<html><head><style type='text/css'>p { margin: 0; }</style></head><body><div style='font-family: verdana,helvetica,sans-serif; font-size: 10pt; color: #000000'><br>Thanks Ryan!<br><br>Can you clarify "CSC doc on SBD" ? I'd like to review it. Is it the chapter you are referring to?<br><br><div><span name="x"></span>---<br>Lelio Fulgenzi, B.A.<br>Senior Analyst, Network Infrastructure<br>Computing and Communications Services (CCS)<br>University of Guelph<br><br>519‐824‐4120 Ext 56354<br>lelio@uoguelph.ca<br>www.uoguelph.ca/ccs<br>Room 037, Animal Science and Nutrition Building<br>Guelph, Ontario, N1G 2W1<span name="x"></span><br></div><br><hr id="zwchr"><div style="color:#000;font-weight:normal;font-style:normal;text-decoration:none;font-family:Helvetica,Arial,sans-serif;font-size:12pt;"><b>From: </b>"Ryan Ratliff (rratliff)" <rratliff@cisco.com><br><b>To: </b>"Lelio Fulgenzi" <lelio@uoguelph.ca><br><b>Cc: </b>"cisco-voip voyp list" <cisco-voip@puck.nether.net><br><b>Sent: </b>Thursday, February 20, 2014 12:32:42 PM<br><b>Subject: </b>Re: [cisco-voip] unexpected behaviour with "Prepare Cluster for Rollback" and migrating phones between v9 and v7 cluster<br><br>




Inline...
<div><br>
<div>-Ryan </div>
<blockquote><br>
<div>
<div>On Feb 20, 2014, at 10:49 AM, Lelio Fulgenzi <<a href="mailto:lelio@uoguelph.ca" target="_blank">lelio@uoguelph.ca</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div><style>p { margin: 0; }</style>
<div>
<div style="font-family: verdana, helvetica, sans-serif; font-size: 10pt;"><br>
As a follow up to this, I'm still a little confused.<br>
<br>
I have confirmed<br>
<ul>
<li>that the phone that I removed after setting the "Prepare Cluster for Rollback" to True, had an empty trust list</li><li>that the phone that I removed after setting the "Prepare Cluster for Rollback" to False, had an non-empty trust list
<ul>
<li>TFTP: fqdn of TFTP server</li><li>TVS: fqdn of PUB</li><li>TVS: fqdn of SUB1</li></ul>
</li><li>this was with only changing the parameter and resetting phones, no restarts of TFTP or TVS services.</li></ul>
</div>
</div>
</div>
</div>
</blockquote>
<div>Good, that is what I'd expect you to see.</div>
<br>
<blockquote>
<div>
<div>
<div>
<div style="font-family: verdana, helvetica, sans-serif; font-size: 10pt;">
<p>I was also able to confirm that:</p>
<ul>
<li>both the phone with an empty trust list AND non-empty trust list were able to register to the old cluster</li></ul>
</div>
</div>
</div>
</div>
</blockquote>
<div>All phones, in absence of getting a valid configuration file, attempt to register to the configured TFTP server.  The best way to tell if the phone is happy about it's config is to look at the Status Messages log.  Failures to get a config file, update
 the trust list, or successful config file downloads will be logged here.</div>
<blockquote>
<div>
<div>
<div>
<div style="font-family: verdana, helvetica, sans-serif; font-size: 10pt;">
<ul>
<li>I was able to change the configuration (adding a secondary DN) to both phones and they both accepted them</li></ul>
</div>
</div>
</div>
</div>
</blockquote>
<div>This behavior will vary by phone model and protocol used (SCCP vs SIP).  SCCP phones don't get any DN information in their config file. </div>
<div>The biggest thing that will get you moving between 7.x and 8.x or later is a phone with a real trust list (CTL or non-empty ITL) will only request a signed config file.  A 7.x server with no CTL installed will not generate a signed configuration file for
 a device.  How the phone behaves at this point depends on what's different between the cached config file the phone has and the current cluster it's trying to register to.  If the nodes have the same IP address and such then there's a good shot the device
 will still register, even though new config file updates won't take.  </div>
<br>
<blockquote>
<div>
<div>
<div>
<div style="font-family: verdana, helvetica, sans-serif; font-size: 10pt;">
<div><br class="webkit-block-placeholder">
</div>
<div><br class="webkit-block-placeholder">
</div>
<p>Is the trust list simply a _list_ of acceptable hosts? And because the (fqdn) hostnames and IP addresses are the same on both clusters the phones are still able to register and accept changes?</p>
<p><br>
</p>
<p>If not simply a list, and it uses the host certificates, i.e. it uses host certificates to either build the list hash or push the certificates down to the phones, is what I am seeing the same certificate being generated on each host? I mean, I'm using all
 the same information, could that be possible? I don't know which certificates to compare, or I would have provided the results of that test.</p>
</div>
</div>
</div>
</div>
</blockquote>
<div><br>
</div>
<div>The CSC doc on SBD has a great deal of this information in it already.  The trust list is just that, a list of certificates that the phone can trust for SSL communication or signed configuration files.  If you upgraded your 7.x servers to 9.x and are swapping
 phones between a lab and production network then there's a good chance most of the same certs are present (though they won't be used the same).  For ITLs the two certs used most commonly are Tomcat (for HTTPS services) and CCM (for signing config files by
 TFTP).  The last one is the TVS cert which is used by the phone to validate any cert it is presented with that isn't in the trust list already.</div>
<br>
<blockquote>
<div>
<div>
<div>
<div style="font-family: verdana, helvetica, sans-serif; font-size: 10pt;">
<p><br>
</p>
<p>Thoughts?</p>
<p><br>
</p>
<p>Lelio</p>
<p><br>
</p>
<p><br>
</p>
<p><br>
</p>
<p><br>
</p>
<p><br>
<span></span></p>
<p><span></span>---<br>
</p>
<div>Lelio Fulgenzi, B.A.<br>
Senior Analyst, Network Infrastructure<br>
Computing and Communications Services (CCS)<br>
University of Guelph<br>
<br>
519‐824‐4120 Ext 56354<br>
<a href="mailto:lelio@uoguelph.ca" target="_blank">lelio@uoguelph.ca</a><br>
www.uoguelph.ca/ccs<br>
Room 037, Animal Science and Nutrition Building<br>
Guelph, Ontario, N1G 2W1<span></span><br>
</div>
<br>
<hr id="zwchr">
<div style="font-weight: normal; font-style: normal; text-decoration: none; font-family: Helvetica, Arial, sans-serif; font-size: 12pt;">
<b>From: </b>"Lelio Fulgenzi" <<a href="mailto:lelio@uoguelph.ca" target="_blank">lelio@uoguelph.ca</a>><br>
<b>To: </b>"cisco-voip voyp list" <<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a>><br>
<b>Sent: </b>Wednesday, February 19, 2014 4:37:35 PM<br>
<b>Subject: </b>unexpected behaviour with "Prepare Cluster for Rollback" and migrating phones between v9 and v7 cluster<br>
<br>
<style>p { margin: 0; }</style>
<div style="font-family: verdana, helvetica, sans-serif; font-size: 10pt;"><br>
OK, now I am officially confused. ;)<br>
<br>
I was under the impression that once a phone has registered to a v9 cluster, it downloads an ITL trust list/file which prevents it from registering to a v7 cluster. To help with this, the "Prepare Cluster for Rollback" enterprise parameter was introduced.<br>
<br>
Here's what I did:<br>
<ul>
<li>upgraded offline cluster (all servers had same hostname and IP address)<br>
</li><li>set the "Prepare Cluster for Rollback" parameter to True and clicked Save (because there were no phones registered, I did not "Apply Changes")</li><li>plugged phones into the offline network</li><li>phones registered to the new offline v9 cluster<br>
</li><li>checked phone security pages - they showed ITL files listed (that long string of numbers)</li><li>thinking it was the "Apply Changes" that missed something, I clicked that</li><li>phones restarted, but still showed an ITL file</li><li>brought a phone back to the live network, phone registered to the v7 cluster (still has an ITL file listed)</li><li>on offline cluster, change the "Prepare Cluster for Rollback" to False, clicked Save, clicked Apply Changes (phones restarted, and showed an ITL file)</li><li>I picked up one of the phones from the offline network (now in rollback=false mode) and brought it to the live network. It registered to the v7 cluster.</li></ul>
<p>So what I see are a few things confusing me:</p>
<ul>
<li>Why do phones still have ITL files if the cluster is in rollback mode. This is not a big deal, but I'd like to be able to tell from the phone when it's registered with the "Prepare Cluster for Rollback" set to TRUE.</li><li>Why does a phone that registers to a v7 cluster still have it's ITL file set?</li><li>Why (and this is the one that gets me) does a phone that was on v9 with "Prepare Cluster for Rollback" set to FALSE successfully register to the v7 cluster?</li></ul>
<p>Is the ITL trust list a simple hash of the IP addresses and host names of the cluster members? If I don't change anything, things will continue to work?</p>
<p><br>
</p>
<p>Is something wrong with my logic and steps? I was testing with a 7942 and a 7962.<br>
</p>
<p><br>
</p>
<p>Lelio</p>
<p><br>
</p>
<div><span></span>---<br>
Lelio Fulgenzi, B.A.<br>
Senior Analyst, Network Infrastructure<br>
Computing and Communications Services (CCS)<br>
University of Guelph<br>
<br>
519‐824‐4120 Ext 56354<br>
<a href="mailto:lelio@uoguelph.ca" target="_blank">lelio@uoguelph.ca</a><br>
www.uoguelph.ca/ccs<br>
Room 037, Animal Science and Nutrition Building<br>
Guelph, Ontario, N1G 2W1<span></span><br>
</div>
<br>
</div>
</div>
<br>
</div>
</div>
_______________________________________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>
https://puck.nether.net/mailman/listinfo/cisco-voip<br>
</div>
</div>
<br>
</blockquote>
</div>


</div><br></div></body></html>