1 NETCONF

1.1?? 功效先容

1.1.1? NETCONF概述

随着网络规模的增大、重大性的增添和异构性的增强，，，，，，，，古板的IP网络治理协议SNMP（Simple Network Management Protocol，，，，，，，，简朴网络治理协议）对目今重大网络的治理变得越来越难题，，，，，，，，尤其无法知足设置治理以及大型网络的应用系统开发方面的需求。。。。。。。。为了填补SNMP的缺乏，，，，，，，，IETF组织制订基于XML（Extensible Markup Language，，，，，，，，可扩展标记语言）的网络治理设置协议——NETCONF（Network Configuration Protocol，，，，，，，，网络设置协议）。。。。。。。。它提供了一种可编程的、对网络装备举行设置和治理的要领。。。。。。。。该协议使用XML名堂的报文设置参数、获取参数值、获取统计信息等，，，，，，，，具有优异的扩展性，，，，，，，，使网络装备的设置治理事情变得更简朴更高效。。。。。。。。

1.1.2? NETCONF的 协议结构

NETCONF的通讯模式接纳C/S模式，，，，，，，，装备上运行协议的服务器程序，，，，，，，，用户运行协议的客户端程序。。。。。。。。协议报文名堂为XML名堂，，，，，，，，包括所有设置数据和协议新闻均为XML名堂。。。。。。。。与ISO/OSI分层类似，，，，，，，，NETCONF协议由下至上分为四层：传输层、RPC层、操作层、内容层。。。。。。。。如图1-1所示。。。。。。。。

图1-1 NETCONF的协议结构图

1. 传输层

传输层为NETCONF协议提供清静传输通道，，，，，，，，使用SSH、SOAP和BEEP等清静协议，，，，，，，，目今一样平常使用SSH协议。。。。。。。。

2. RPC层

RPC层提供了一个简朴的、与传输协议无关的机制，，，，，，，，包括一些过失反响新闻元素的划定。。。。。。。。RPC层界说了三种新闻类型：

l Hello：在NETCONF客户端与服务器刚建设会话时完成能力集交流。。。。。。。。

l RPC和RPC-Reply：RPC是NETCONF客户端提倡的发送给服务器的请求新闻；；；；；；RPC-Reply是NETCONF服务器响应客户端的响应数据，，，，，，，，不可自动提倡，，，，，，，，仅能在收到RPC之后回复，，，，，，，，且必需携带与收到的RPC相同的message-id。。。。。。。。

l Notification：以订阅方法举行新闻通知。。。。。。。。

3. 操作层

RPC中应用的基来源语操作集，，，，，，，，界说了9种基础的操作要领。。。。。。。。

l 获取数据操作：get、get-config。。。。。。。。

l 设置操作：edit-config、copy-config、delete-config。。。。。。。。

l 对装备临界资源（设置文件等）并发操作时的锁保�；；；；；ぃ�lock、unlock。。。。。。。。

l 竣事会话操作：close-session、kill-session。。。。。。。。

4. 内容层

内容层是被治理的数据工具荟萃。。。。。。。。内容层是NETCONF协议现在唯一没有被标准化、没有统一数据模子的层。。。。。。。。

说明

aggame官网产品使用YANG对数据建模，，，，，，，，使用XML传输数据。。。。。。。。

图1-2 NETCONF会话交互报文示意图

1.1.3? NETCONF会话交互历程

NETCONF会话的交互过如图1-2所示，，，，，，，，可以分为三部分。。。。。。。。

1. 会话毗连

(1) NETCONF传输层依赖于SSH协议。。。。。。。。装备上NETCONF服务端启动NETCONF历程后，，，，，，，，建设一个监听端口。。。。。。。。

(2) 服务端监听830端口，，，，，，，，建设SSH通道：经由一系列的传输算法协商（其中包括密钥协商、压缩算法、哈希算法、加密算法、署名算法等）和用户认证后建设SSH通道。。。。。。。。

(3) NETCONF传输层的毗连会话建设，，，，，，，，NETCONF客户端可以通过这个会话同NETCONF服务器举行交互。。。。。。。。

说明

协议划定NETCONF默认的SSH TCP端口是830，，，，，，，，可以凭证现真相形自行设置NETCONF SSH TCP端口。。。。。。。。

2. 能力集交流

NETCONF会话建立毗连之后，，，，，，，，双方连忙通过相互发送Hello报文提供各自实现的能力集，，，，，，，，对自己不明确的或者没有实现的能力举行忽略。。。。。。。。可是双方都必需支持协议基本能力（urn:ietf:params:netconf:base:1.1）。。。。。。。。若是需要兼容旧协议版本，，，，，，，，双方还需要支持旧协议基本能力（urn:ietf:params:netconf:base:1.0）。。。。。。。。最终取得一个两头实现能力的交集，，，，，，，，以举行后续的数据操作与治理。。。。。。。。

注重

● 交流的能力值除了在NETCONF RFC中界说的“能力”外，，，，，，，，开发职员可以通过遵照RFC中形貌的规范名堂添加特另外“能力”。。。。。。。。

● 客户端发给服务端的能力交互报文，，，，，，，，不得带有会话ID节点（<session-id>）。。。。。。。。

3. 协议操作

l get：获取装备状态或设置数据。。。。。。。。

客户端发送报文名堂如下：

<?xml version="1.0" encoding="utf-8"?>

<get>

　　　设置数据（或者状态数据）过滤规则

</filter>

</get>

</rpc>

服务端应答报文名堂如下：

<?xml version="1.0" encoding="utf-8"?>

<rpc-reply message-id="xxx " xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">

获取到的设置数据（或者状态数据）

</data>

</rpc-reply>

若是装备上状态数据的所有子集都无法匹配过滤规则，，，，，，，，则会应答空的data节点，，，，，，，，如下：

<?xml version="1.0" encoding="utf-8"?>

<rpc-reply message-id="新闻ID " xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">

</rpc-reply>

l get-config：凭证操作内容的过滤节点获取响应的设置数据。。。。。。。。

客户端发送报文名堂如下：

<?xml version="1.0" encoding="utf-8"?>

<get-config>

</source>

　　　协议过滤规则

</filter>

</get-config>

</rpc>

服务端应答报文名堂如下：

<?xml version="1.0" encoding="utf-8"?>

<rpc-reply message-id="xxx" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">

获取到的设置数据

</data>

</rpc-reply>

若是装备上设置数据的所有子集都无法匹配过滤规则，，，，，，，，则会应答空的data节点，，，，，，，，如下：

<?xml version="1.0" encoding="utf-8"?>

<rpc-reply message-id="xxx " xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">

</rpc-reply>

说明

get-config操作通过种种子树过滤规则获取响应的设置数据子集，，，，，，，，可是不可获取装备状态数据。。。。。。。。

l edit-config：凭证数据模子界说以及操作属性举行装备设置。。。。。。。。

设置的报文中，，，，，，，，包括5个操作属性，，，，，，，，在下发的XML报文中设置节点的operation属性形貌中给出，，，，，，，，这5个操作属性划分是：

merge：将edit-config报文中包括该属性的设置数据合并到指定装备设置文件中或者数据库中。。。。。。。。若是设置数据不保存，，，，，，，，则建设该设置数据。。。。。。。。

replace：将edit-config报文中包括该属性的设置数据替换指定装备设置文件中或者数据库中的响应设置数据节点。。。。。。。。若是该设置数据不保存，，，，，，，，则直接凭证下发内容建设该设置。。。。。。。。

create：在指定设置数据文件中或者数据库中建设edit-config报文中包括该属性的设置数据。。。。。。。。若是设置数据不保存，，，，，，，，则乐成下发内容建设该设置数据；；；；；；若是设置数据已经保存，，，，，，，，则会应答rpc-error报文，，，，，，，，error-tag值为“data-exists”。。。。。。。。

delete：在指定设置数据文件中或者数据库中删除edit-config报文中包括该属性的设置数据。。。。。。。。若是设置数据不保存，，，，，，，，则会应答rpc-error报文，，，，，，，，error-tag值为data-missing；；；；；；若是设置数据保存，，，，，，，，则直接删除响应的设置。。。。。。。。

remove：在指定设置数据文件中或者数据库中移除edit-config报文中包括该属性的设置数据。。。。。。。。若是设置数据不保存，，，，，，，，则忽略该操作返回ok；；；；；；若是设置数据保存，，，，，，，，则直接移除响应的设置。。。。。。。。

客户端发送报文名堂如下：

<?xml version="1.0" encoding="utf-8"?>

<edit-config>

　　　　设置数据

</config>

</edit-config>

</rpc>

服务端应答报文名堂如下：

<?xml version="1.0" encoding="utf-8"?>

<rpc-reply message-id="新闻ID " xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">

<ok/>

</rpc-reply>

报文中携带error-option节点。。。。。。。。error-option节点是枚举类型的节点，，，，，，，，装备可以支持的值有：

continue-on-error：edit-config操作时，，，，，，，，遇到设置蜕化会纪录目今的过失节点并继续处置惩罚剩余的设置，，，，，，，，可是最后返回过失信息（即泛起任何设置过失，，，，，，，，最终的应答报文均为rpc-error）。。。。。。。。

stop-on-error：该值为error-option的缺省值。。。。。。。。edit-config操作时，，，，，，，，遇到第一个过失时，，，，，，，，则连忙阻止目今的edit-config操作，，，，，，，，目今设置报文前面设置的数据都已经生效（蜕化之前的设置）。。。。。。。。

一样平常如下名堂：

<?xml version="1.0" encoding="utf-8"?>

<edit-config>

<error-option>设置蜕化时的行为选项</error-option>

　　　设置数据

</config>

</edit-config>

</rpc>

产品/版本支持情形

现在装备对replace操作暂不支持，，，，，，，，若是有下发该属性操作按merge操作处置惩罚。。。。。。。。

说明

● edit-config报文中没有携带error-option节点时，，，，，，，，默认该节点值为stop-on-error，，，，，，，，即一旦遇到哪个节点设置蜕化，，，，，，，，则连忙阻止统一个报文中剩余的后续设置并返回过失(rpc-error)。。。。。。。。

● edit-config报文中没有携带test-option节点，，，，，，，，默认该节点的值为test-then-set。。。。。。。。

● edit-config报文中没有携带default-operation节点，，，，，，，，默认该节点的值为merge操作。。。。。。。。

l copy-config：设置文件复制，，，，，，，，如将候选设置复制至设置文件、启机设置复制至运行设置、运行设置写入启机设置等，，，，，，，，这些需要目的文件支持可写的能力。。。。。。。。

客户端发送名堂如下：

<?xml version="1.0" encoding="utf-8"?>

　<copy-config>

　　</target>

　　</source>

　</copy-config>

</rpc>

服务端应答报文名堂如下：

<?xml version="1.0" encoding="utf-8"?>

<rpc-reply message-id="xxx"　xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">

　<ok/>

</rpc-reply>

l delete-config：删除装备设置文件，，，，，，，，但不允许删除装备的运行文件。。。。。。。。

客户端发送名堂如下：

<?xml version="1.0" encoding="utf-8"?>

?<delete-config>

　 </target>

?</delete-config>

</rpc>

服务端应答报文名堂如下：

<?xml version="1.0" encoding="utf-8"?>

<rpc-reply message-id="xxx " xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">

　<ok/>

</rpc-reply>

产品/版本支持情形

现在装备仅支持将启机设置同步至运行设置。。。。。。。。

l lock：对设置数据文件举行锁保�；；；；；�，，，，，，，，允许目今客户端举行会见或者修改。。。。。。。。同时其他客户端或者非NETCONF客户端（如SNMP或者CLI）无法会见或者修改。。。。。。。。浚浚�？？？？？突Ф朔⑺兔萌缦拢�

<?xml version="1.0" encoding="utf-8"?>

?<lock>

　 </target>

?</lock>

</rpc>

服务端应答报文名堂如下：

<?xml version="1.0" encoding="utf-8"?>

<rpc-reply message-id="xxx "　xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">

　<ok/>

</rpc-reply>

说明

RFC6241说明lock是用来锁定设置数据库（设置文件），，，，，，，，避免多个源（如CLI、SNMP以及多个NETCONF会话等）同时对装备的设置文件举行修订，，，，，，，，导致引入其他无关的设置修订。。。。。。。。装备目今针对这个操作做一些裁剪，，，，，，，，只能避免多个NETCONF会话同时修订运行设置，，，，，，，，包管设置数据修订清静。。。。。。。。

l unlock：对设置数据库（设置文件，，，，，，，，在装备中指的是运行设置）举行解锁操作，，，，，，，，与lock操作是成对操作。。。。。。。。

客户端发送名堂如下：

<?xml version="1.0" encoding="utf-8"?>

?<unlock>

　 </target>

?</unlock>

</rpc>

服务端应答报文名堂如下：

<?xml version="1.0" encoding="utf-8"?>

<rpc-reply message-id="xxx "　xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">

　<ok/>

</rpc-reply>

l close-session：关闭目今会话，，，，，，，，包括资源、锁的释放以及毗连断开等。。。。。。。。

客户端发送名堂如下：

<?xml version="1.0" encoding="utf-8"?>

　 <close-session/>

</rpc>

服务端应答报文名堂如下：

<?xml version="1.0" encoding="utf-8"?>

<rpc-reply message-id="xxx"　xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">

　<ok/>

</rpc-reply>

说明

使用close-session操作关闭目今会话时，，，，，，，，若是有营业在处置惩罚，，，，，，，，必需包管目今营业处置惩罚完毕，，，，，，，，并且不再接受新的处置惩罚处置惩罚请求，，，，，，，，再执行关闭会话操作。。。。。。。。

l kill-session：强制关闭会话，，，，，，，，包括资源、锁的释放以及毗连断开等。。。。。。。。

注重

● 使用kill-session操作强行关闭会话时，，，，，，，，若是有目今营业在处置惩罚，，，，，，，，必需阻止处置惩罚，，，，，，，，并且将未完成的营业回滚至营业处置惩罚最先之前，，，，，，，，再执行关闭会话请求。。。。。。。。

● kill-session操作不允许关闭目今会话。。。。。。。。

1.1.4? 鉴权机制

NETCONF鉴权机制用于治理特定用户执行NETCONF操作和会见NETCONF资源权限，，，，，，，，使这些用户只能执行或会见NETCONF协议划定的操作和数据节点信息。。。。。。。。

1. NETCONF鉴权功效支持的会见权限

缺省情情形下，，，，，，，，没有设置NETCONF鉴权功效，，，，，，，，认证用户具有所有NETCONF权限。。。。。。。。支持的会见权限如下：

l Create：允许和榨取添加新的数据节点。。。。。。。。

l Read：允许和榨取读取数据节点信息。。。。。。。。

l Update：允许和榨取更新数据节点。。。。。。。。

l Delete：允许和榨取删除数据节点。。。。。。。。

l Exec：允许和榨取所有的协议操作。。。。。。。。

2. NETCONF鉴权功效支持的内容

NETCONF鉴权功效支持的内容包括RPC要领鉴权和数据节点鉴权。。。。。。。。

l RPC要领鉴权

NETCONF的RPC要领鉴权用于控制NETCONF协议划定的操作要领权限。。。。。。。。详细RPC要领以及默认权限如表1-1所示。。。。。。。。

表1-1 RPC要领以及默认权限说明表

RPC要领	功效说明	默认权限（读：R；；；；；；写：W；；；；；；执行：X）
get	获取数据	XàR
get-config	获取设置	XàR
edit-config	修改设置	XàW
copy-config	源设置替换目的设置	X
delete-config	删除设置	X
validate	语法校验	X
commit	候选设置生效运行设置	X
cancel-commit	作废confirmed-commit操作	X
discard-changes	放弃还未生效的候选设置	X
lock/unlock	设置上锁/解锁	X
close-session	关闭目今会话	X
kill-session	关闭其他会话	X
get-schema	获取yang文件	X

说明

● 所有的RPC要领默认都需要执行权限才华操作。。。。。。。。其中get、get-config和edit-config需要检查数据节点的读和写权限。。。。。。。。

● close-session默认允许，，，，，，，，无法设置榨取。。。。。。。。

● delete-config和kill-session默认情形下是榨取，，，，，，，，可以设置允许。。。。。。。。其他RPC要领，，，，，，，，默认情形下是允许。。。。。。。。

● lock/unlock是需要配对，，，，，，，，只要设置lock权限，，，，，，，，unlock也具有同样权限。。。。。。。。

l 数据节点鉴权

NETCONF的数据节点鉴权用于控制NETCONF数据节点的权限。。。。。。。。浚浚�？？？？？梢宰龅蕉运心？？？？？？？？椤⒌ジ瞿？？？？？？？？楹吞囟ǖ氖萁诘愕娜ㄏ蘧傩锌刂啤�。。。。。。。详细情形如下：

若是只设置“/”，，，，，，，，则说明是对所有模浚浚�？？？？？榈氖萁诘闳ㄏ蘅刂啤�。。。。。。。

若是设置到模浚浚�？？？？？槊�，，，，，，，，则说明是对单个模浚浚�？？？？？榈氖萁诘闳ㄏ蘅刂�，，，，，，，，例如：/rg-snmp:snmp。。。。。。。。

其他情形则是对详细模浚浚�？？？？？橄碌氖萁诘闳ㄏ蘅刂啤�。。。。。。。

1.1.5? 协议规范

l RFC4741：NETCONF Configuration Protocol

l RFC4742：Using the NETCONF Configuration Protocol over Secure Shell (SSH)

l RFC4743：Using NETCONF over the Simple Object Access Protocol (SOAP)

l RFC4744：Using the NETCONF Protocol over the Blocks Extensible Exchange Protocol (BEEP)

l RFC5277：NETCONF Event Notifications

l RFC5381：Experience of Implementing NETCONF over SOAP

l RFC5539：NETCONF Over Transport Layer Security (TLS)

l RFC5717：Partial Lock RPC for NETCONF

l RFC6022：NETCONF Monitoring Schema

l RFC6241：Network Configuration Protocol

l RFC6242：Using the Network Configuration Protocol over Secure Shell

l RFC6243：With-defaults capability for NETCONF

l RFC6470：NETCONF Notification Events

l RFC6536：NETCONF Access Control Model (NACM)

说明

RFC4741和RFC4742已划分被RFC6241和RFC6242取代。。。。。。。。

1.2?? 设置使命概览

NETCONF设置使命如下：

(1) 设置NETCONF服务器与客户端举行通讯

(2) （可选�。。。。。。。�设置NETCONF鉴权

1.3?? 设置NETCONF服务器与客户端举行通讯

1.3.1? 功效简介

在NETCONF服务器端开启NETCONF功效，，，，，，，，与客户端能够正常通讯，，，，，，，，实现治理网络装备的目的。。。。。。。。

1.3.2? 设置限制与指导

l 执行netconf yang multi-revision下令，，，，，，，，必需在NETCONF服务端能力报文（Hello）通告之前设置。。。。。。。。

l 执行no netconf yang multi-revision下令，，，，，，，，必需在NETCONF服务端能力报文（Hello）通告之前设置，，，，，，，，且能力通告报文中一个YANG模浚浚�？？？？？橹煌ǜ嫠拷褡钚掳姹尽�。。。。。。。

l 严酷校验模式可能会导致部分在轻量级校验模式下可以下发的XML被阻挡。。。。。。。。

1.3.3? 设置准备

NETCONF协议承载在SSH协议上，，，，，，，，因此在使用NETCONF功效之前，，，，，，，，需要在装备上先设置SSH。。。。。。。。设置请参考“SSH设置”。。。。。。。。

1.3.4? 设置办法

(1) 进入特权模式。。。。。。。。

enable

(2) 进入全局设置模式。。。。。。。。

configure terminal

(3) 设置NETCONF服务器属性参数。。。。。。。。以下设置均为可选，，，，，，，，请凭证现真相形选择设置。。。。。。。。

（可选�。。。。。。。┥柚�NETCONF服务开启。。。。。。。。

netconf enable

缺省情形下，，，，，，，，NETCONF功效处于开启状态。。。。。。。。

（可选�。。。。。。。�设置NETCONF支持的会话最大毗连个数。。。。。。。。

netconf max-sessions max-sessions-numbers

缺省情形下，，，，，，，，NETCONF支持的会话最大毗连个数为5个。。。。。。。。

（可选�。。。。。。。�设置NETCONF会话edit-config操作的超时时间。。。。。。。。

netconf timeout timeout

缺省情形下，，，，，，，，NETCONF会话edit-config操作的超时时间为120秒。。。。。。。。

（可选�。。。。。。。┥柚�YANG模浚浚�？？？？？槎喟姹就ǜ妗�。。。。。。。

netconf yang multi-revision

缺省情形下，，，，，，，，NETCONF的YANG模浚浚�？？？？？槎喟姹就ǜ婀πТτ诳糇刺�。。。。。。。

（可选�。。。。。。。┥柚�NETCONF能力。。。。。。。。

netconf capability{ candidate | rollback | validate }

缺省情形下，，，，，，，，未设置NETCONF相关能力功效。。。。。。。。

（可选�。。。。。。。�设置NETCONF校验模式。。。。。。。。

netconf calibration-mode { lightweight | strict }

缺省情形下，，，，，，，，NETCONF校验模式为轻量级校验模式。。。。。。。。

（可选�。。。。。。。�设置NETCONF日志开关。。。。。。。。

netconf log { capability | edit | get | session }

缺省情形下，，，，，，，，NETCONF日志开关处于关闭状态。。。。。。。。

（可选�。。。。。。。�设置NETCONF服务端口号。。。。。。。。

netconf port port-number

缺省情形下，，，，，，，，NETCONF服务端口号为830。。。。。。。。

1.4?? 设置NETCONF鉴权

1.4.1? 功效简介

设置NETCONF鉴权机制用于治理特定用户执行NETCONF操作和会见NETCONF资源权限，，，，，，，，使这些用户只能执行或会见NETCONF协议划定的操作和数据节点信息。。。。。。。。

1.4.2? 设置限制与指导

l 不可建设用户组“星号（*）”，，，，，，，，用户组“星号（*）”体现所有用户组。。。。。。。。

l 关于单个规则列心情形，，，，，，，，用户规则匹配的顺序是凭证用户设置的规则顺序举行。。。。。。。。若是操作匹配到允许规则，，，，，，，，则说明操作是被允许。。。。。。。。若是操作匹配到榨取规则或者没有匹配到规则，，，，，，，，则说明操作在目今规则列表是被榨取。。。。。。。。

l 关于多个规则列心情形，，，，，，，，差别规则列表下的规则也是凭证用户设置的顺序举行匹配。。。。。。。。若是操作匹配到一个规则列表中的允许规则，，，，，，，，则说明操作是被允许。。。。。。。。若是操作匹配到榨取规则，，，，，，，，则说明操作是被榨取。。。。。。。。若是目今的规则列表没有匹配到任何规则，，，，，，，，则匹配下一个规则列表的规则。。。。。。。。

l RPC操作要领包括get、get-config、edit-config、copy-config、delete-config、validate、commit、cancel-commit、discard-changes、lock、kill-session和get-schema等。。。。。。。。

l 没有设置规则类型情形下，，，，，，，，则体现同时开启对RPC操作要领和数据节点规则权限控制。。。。。。。。

l 规则下有设置开启RPC操作方规则则控制。。。。。。。。若是规则下设置的会见操作权限包括exec权限，，，，，，，，则举行RPC操作要领检查时会举行该规则的匹配；；；；；；不然举行RPC操作要领检查时不会举行该规则的匹配。。。。。。。。

l 规则下有设置开启数据节点规则控制。。。。。。。。若是规则下设置的会见操作权限包括create、read、update和delete中至少一种权限，，，，，，，，则举行数据节点检查时会举行该规则的匹配；；；；；；不然举行数据节点检查时不会举行该规则的匹配。。。。。。。。

1.4.3? 设置办法

(1) 进入特权模式。。。。。。。。

enable

(2) 进入全局设置模式。。。。。。。。

configure terminal

(3) 进入鉴权设置模式。。。。。。。。

netconf acm

(4) 设置用户组并进入用户组模式。。。。。。。。

user-group-name name

缺省情形下，，，，，，，，未设置用户组。。。。。。。。

(5) 设置用户组关联用户。。。。。。。。

user-name name

缺省情形下，，，，，，，，未设置用户组关联用户。。。。。。。。

(6) 退出到鉴权设置模式。。。。。。。。

exit

(7) 设置规则列表并进入规则列表模式。。。。。。。。

rule-list name

缺省情形下，，，，，，，，未设置规则列表。。。。。。。。

(8) 设置规则列表关联用户组。。。。。。。。

user-group { * | name }

缺省情形下，，，，，，，，未设置规则列表关联用户组。。。。。。。。

(9) 设置规则并进入规则模式。。。。。。。。

rule name action { permit | deny }

缺省情形下，，，，，，，，未设置规则。。。。。。。。

(10) 设置规则类型。。。。。。。。

rule-type { rpc-name { name | * } | path path }

缺省情形下，，，，，，，，未设置规则类型。。。。。。。。

(11) 设置规则的会见操作权限。。。。。。。。

access-operation { * | { create | delete | exec | read | update } * }

缺省情形下，，，，，，，，未设置规则的会见操作权限。。。。。。。。

1.5?? 监视与维护

可以通过show下令行审查功效设置后的运行情形以验证设置效果。。。。。。。。

表1-2 NETCONF监视与维护

作用	下令
审查用户关联的规则列表信息、规则列表详细信息和用户组信息	show netconf authorization user-name name { rule-list [ detail ] \| user-group }
审查NETCONF目今所有的会话信息	show netconf session
审查NETCONF目今全局统计信息	show netconf statistics
审查装备目今支持的所有yang文件	show netconf yang file
审查装备目今支持的所有节点路径	show netconf yang node-path
审查装备目今支持的所有yang模子树	show netconf yang tree

1.6?? 典范设置举例

1.6.1? NETCONF设置举例

1. 组网需求

关于清静性、可扩展性要求高的网络装备治理需求，，，，，，，，可以使用NETCONF作为网管工具。。。。。。。。NETCONF的承载协议为SSH协议，，，，，，，，SSH协议作为应用层的清静协议，，，，，，，，包管了NETCONF的清静性。。。。。。。。以图1-3为例，，，，，，，，用户通过NETCONF网络治理软件，，，，，，，，来对网络装备举行治理和监控。。。。。。。。

2. 组网图

图1-3 NETCONF组网图

3. 设置要点

l 设置NETCONF服务端的网络治理口IP地点，，，，，，，，包管NETCONF的客户端与服务端之间三层路由可达。。。。。。。。

l 在NETCONF服务端上安排SSH功效。。。。。。。。

l 在NETCONF服务端上设置NETCONF功效相关参数，，，，，，，，以知足现实场景需求。。。。。。。。

l NETCONF客户端软件通过SSH协议毗连到NETCONF服务端，，，，，，，，实现对网络装备的治理和监控。。。。。。。。

4. 设置办法

# 设置NETCONF服务端的网络治理口IP地点。。。。。。。。

Hostname> enable

Hostname# configure terminal

Hostname(config)# interface mgmt 0

Hostname(config-if-Mgmt 0)# ip address 172.29.71.62 255.255.255.0

Hostname(config-if-Mgmt 0)# gateway 172.29.71.1

# 开启SSH功效，，，，，，，，并天生外地密钥。。。。。。。。密钥类型的选择原则，，，，，，，，请参考“SSH下令手册”中的crypto key generate下令的使用指导。。。。。。。。

Hostname> enable

Hostname# configure terminal

Hostname(config)# enable service ssh-server

Hostname(config)# crypto key generate rsa

% You already have RSA keys.

% Do you really want to replace them? [yes/no]:y

Choose the size of the rsa key modulus in the range of 512 to 2048

and the size of the dsa key modulus in the range of 360 to 2048 for your

Signature Keys. Choosing a key modulus greater than 512 may take

a few minutes.

Choose the size of the ecc key modulus from (256, 384, 521)

How many bits in the modulus [1024]:2048

% Generating 2048 bit RSA1 keys ...[ok]

% Generating 2048 bit RSA keys ...[ok]

Hostname(config)#

# 建设用户名为netconf的SSH用户，，，，，，，，并设置密码为netconf_1234。。。。。。。。

Hostname(config)# username netconf privilege 15 password netconf_1234

注重

为包管清静性，，，，，，，，请按期修改用户名及密码。。。。。。。。

# 设置VTY线路外地用户认证。。。。。。。。

Hostname(config)# line vty 0 35

Hostname(config-line)# login local

# 在NETCONF服务端上开启NETCONF服务功效。。。。。。。。

Hostname(config)# netconf enable

# 在NETCONF服务端上设置支持的会话最大毗连个数为6。。。。。。。。

Hostname(config)# netconf max-sessions 6

# 在NETCONF服务端上设置NETCONF会话edit-config操作的超时时间为100秒。。。。。。。。

Hostname(config)# netconf timeout 100

# 在NETCONF服务端上设置YANG模浚浚�？？？？？槎喟姹就ǜ妗�。。。。。。。

Hostname(config)# netconf yang multi-revision

# 在NETCONF服务端上设置开启NETCONF服务端candidate能力。。。。。。。。

Hostname(config)# netconf capability candidate

# 在NETCONF服务端上设置NETCONF校验模式为轻量级校验模式。。。。。。。。

Hostname(config)# netconf calibration lightweight

# 在NETCONF服务端上设置NETCONF会话相关的Syslog日志开关。。。。。。。。

Hostname(config)# netconf log session

# 在NETCONF服务端上设置NETCONF服务端口号为5000。。。。。。。。

Hostname(config)# netconf port 5000

# 如图1-4所示，，，，，，，，使用NETCONF客户端软件通过SSH协议登录到NETCONF服务端，，，，，，，，实现对网络装备的治理和监控。。。。。。。。

图1-4 NETCONF客户端软件登录装备示例图

5. 验证设置效果

# 通过ping下令审查NETCONF的客户端与服务端是否三层可达。。。。。。。。

Hostname# ping oob 172.29.71.100

Sending 5, 100-byte ICMP Echoes to 172.29.71.100, timeout is 2 seconds:

　< press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/3 ms.

Hostname#

# 通过show service下令审查SSH服务是否开启。。。。。。。。

Hostname# show service

snmp-agent　　: enabled

ssh-server　　: enabled

telnet-server : enabled

# 在装备上通过show netconf session下令审查NETCONF客户端软件使用SSH协议毗连NETCONF服务端乐成。。。。。。。。

Hostname# show netconf session

************************session information************************

　　　　　　　　　　　　　Session count: 1

*******************************************************************

Session ID　　　　　　　: 20

Session version　　　　 : 1.1

Session transport　　　 : netconf-ssh

Session login IP　　　　: 172.29.69.21　　

Session login time　　　: 2020-12-18T08:26:30Z

Session in rpcs　　　　 : 0

Session in bad rpcs　　 : 0

Session out rpc errors　: 0

Session out notification: 0

Session out rpcs　　　　: 0

Session out send fail　 : 0

Session get　　　　　　 : 0

Session get config　　　: 0

Session edit config　　 : 0

Session copy config　　 : 0

Session delete config　 : 0

Session close session　 : 0

Session unsupport　　　 : 0

Session lock_or_unlock　: 0

===================================================================

6. 设置文件

NETCONF_Server的设置文件

hostname Hostname

username netconf privilege 15 password netconf_1234

netconf log session

netconf capability candidate

netconf port 5000

netconf max-sessions 6

netconf timeout 100

enable service ssh-server

interface Mgmt 0

?ip address 172.29.71.62 255.255.255.0

?gateway 172.29.71.1

line vty 0 35

?login local

end

1.6.2? NETCONF鉴权设置举例

1. 组网需求

用户user1拥有所有模浚浚�？？？？？榈�get操作权限，，，，，，，，用户user2拥有对SNMP模浚浚�？？？？？榈慕ㄉ枞ㄏ�。。。。。。。。

2. 组网图

图1-5 NETCONF鉴权组网图

3. 设置要点

设置用户user1对所有模浚浚�？？？？？榫哂�get操作权限。。。。。。。。

设置用户user2仅对SNMP模浚浚�？？？？？橛涤薪ㄉ枞ㄏ蕖�。。。。。。。

4. 设置办法

(1) 设置用户user1对所有模浚浚�？？？？？榫哂�get操作权限。。。。。。。。

# 设置用户user1。。。。。。。。

Device> enable

Device# configure terminal

Device(config)# username user1 password test12345

# 设置进入鉴权模式。。。。。。。。

Device(config)# netconf acm

# 设置用户组guser1。。。。。。。。

Device(config-nacm)# user-group-name guser1

# 设置用户组guser1关联用户user1。。。。。。。。

Device(config-nacm-user-group)# user-name user1

Device(config-nacm-user-group)# exit

# 设置规则列表rule-list1。。。。。。。。

Device(config-nacm)# rule-list rule-list1

# 设置规则列表rule-list1关联用户组guser1。。。。。。。。

Device(config-nacm-rule-list)# user-group guser1

# 设置允许规则rule1。。。。。。。。

Device(config-nacm-rule-list)# rule rule1 action permit

# 设置RPC方规则则类型get。。。。。。。。

Device(config-nacm-rule-list-rule)# rule-type rpc-name get

Device(config-nacm-rule-list-rule)# end

(2) 设置用户user2仅对SNMP模浚浚�？？？？？橛涤薪ㄉ枞ㄏ蕖�。。。。。。。

# 设置用户user2。。。。。。。。

Device# configure terminal

Device(config)# username user2 password test12345

# 设置进入鉴权模式。。。。。。。。

Device(config)# netconf acm

# 设置用户组guser2。。。。。。。。

Device(config-nacm)# user-group-name guser2

# 设置用户组guser2关联用户user2。。。。。。。。

Device(config-nacm-user-group)# user-name user2

# 设置规则列表rule-list2。。。。。。。。

Device(config-nacm-user-group)# exit

# 设置规则列表rule-list2关联用户组guser2。。。。。。。。

Device(config-nacm)# rule-list rule-list2

Device(config-nacm-rule-list)# user-group guser2

# 设置允许规则rule2。。。。。。。。

Device(config-nacm-rule-list)# rule rule2 action permit

# 设置数据节点规则类型，，，，，，，，并设置数据节点为SNMP模浚浚�？？？？？槊�。。。。。。。

Device(config-nacm-rule-list-rule)# rule-type path /rg-snmp:snmp

# 设置会见操作权限为create。。。。。。。。

Device(config-nacm-rule-list-rule)# access-operation create

5. 验证设置效果

# 通过show netconf authorization user-name user2 user-group下令审查用户user1的用户组信息。。。。。。。。

Device # show netconf authorization user-name user1 user-group

UserGroup: guser1

# 通过show netconf authorization user-name user2 user-group下令审查用户user1的用户组信息。。。。。。。。

Device # show netconf authorization user-name user2 user-group

UserGroup: guser2

# 通过show netconf authorization user-name user1 rule-list detail下令审查用户user1关联的规则列表详细信息。。。。。。。。

Device# show netconf authorization user-name user1 rule-list detail

RuleList: rule-list1

　-------------------------------------------------------------------

　Rule　　　　　　 Action　 AccessOperation　 Type　　　Entity　　　

　-------------------------------------------------------------------

　rule1　　　　　　permit　 RCUDX　　　　　　 RPC　　　 get

　[R:Read C:Create U:Update D:Delete X:Exec]

# 通过show netconf authorization user-name user2 rule-list detail下令审查用户user2关联的规则列表详细信息。。。。。。。。

Device# show netconf authorization user-name user2 rule-list detail

RuleList: rule-list2

　-------------------------------------------------------------------

　Rule　　　　　　 Action　 AccessOperation　 Type　　　Entity　　　

　-------------------------------------------------------------------

　rule2　　　　　　permit　 -C---　　　　　　 PATH　　　/rg-snmp:snmp

　[R:Read C:Create U:Update D:Delete X:Exec]

6. 设置文件

Device的设置文件

hostname Device

username user1 password test12345

username user2 password test12345

netconf acm

?user-group-name guser1

　user-name user1

?user-group-name guser2

　user-name user2

?rule-list rule-list1

　user-group guser1

　rule rule1 action permit

　 rule-type rpc-name get

?rule-list rule-list2

　user-group guser2

　rule rule2 action permit

　 access-operation create

　 rule-type path /rg-snmp:snmp

end