08-NETCONF命令
本章节下载: 08-NETCONF命令 (136.35 KB)
设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
xml命令用来进入XML视图。
进入XML视图后可以输入NETCONF指令来配置或者获取系统数据。用户登录时使用的角色不同,可执行的NETCONF操作也不同:
· network-admin可执行全部操作。
· network-operator可执行get、get-bulk、get-config、get-bulk-config、get-sessions、close-session操作。
· 用户输入的NETCONF指令必须符合XML语言格式要求和《NETCONF XML API 手册》中的语法、语义要求。建议使用第三方软件来协助生成NETCONF指令,命令行手工输入方式通常用于研发和测试环境。
· 退出XML视图时需要使用相关的NETCONF指令,不能使用quit。
· 在XML模式下终止当前任务的快捷键有重置缓存的功能,快捷键之前的内容都会被清除掉。如果在用户线/用户线类视图下使用escape-key命令配置了终止当前任务的快捷键(默认为Ctrl+C),可能会影响XML视图下相关配置。例如:在用户线视图下配置了escape-key a,当NETCONF指令中含有字符‘a’时,其实只有NETCONF指令最后一个‘a’之后的内容能够得到处理;当NETCONF指令中不含有字符‘a’时,则对XML视图下的配置没有影响。
# 进入XML视图。
<?xml version="1.0" encoding="UTF-8"?><hello xmlns="urn:ietf:params:xml:ns:netconf:base:1.0"><capabilities><capability>urn:ietf:params:netconf:base:1.1</capability><capability>urn:ietf:params:netconf:writable-running</capability><capability>urn:ietf:params:netconf:capability:notification:1.0</capability><capability>urn:ietf:params:netconf:capability:validate:1.1</capability><capability>urn:ietf:params:netconf:capability:interleave:1.0</capability><capability>urn:h3c:params:netconf:capability:h3c-netconf-ext:1.0</capability></capabilities><session-id>1</session-id></hello>]]>]]>
# 退出XML视图。
<rpc message-id="101" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<close-session>
</close-session>
</rpc>]]>]]>
<Sysname>
netconf soap http acl命令用来配置基于HTTP的NETCONF over SOAP功能关联的ACL。
undo netconf soap http acl命令用来取消基于HTTP的NETCONF over SOAP功能关联的ACL。
【命令】
netconf soap http acl { acl-number | name acl-name }
undo netconf soap http acl
【缺省情况】
未配置基于HTTP的NETCONF over SOAP功能关联的ACL。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
acl-number:ACL的编号,取值范围为2000~2999(基本IPv4 ACL)。
name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。仅当指定名称的ACL存在且为基本IPv4 ACL时生效。
【使用指导】
FIPS模式下,不支持本命令。
配置SOAP服务与ACL关联后,只有ACL允许通过的NETCONF客户端能够通过SOAP方式登录设备。不匹配ACL或ACL拒绝通过的NETCONF客户端将不能通过SOAP方式登录设备。
多次执行该命令最新配置生效。
【举例】
# 配置基于HTTP的NETCONF over SOAP功能与ACL 2001关联,只允许10.10.0.0/16网段的客户端访问设备。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 10.10.0.0 0.0.255.255
[Sysname-acl-ipv4-basic-2001] quit[Sysname] netconf soap http acl 2001
netconf soap http enable命令用来开启基于HTTP的SOAP功能。
基于HTTP的SOAP功能处于关闭状态。
FIPS模式下,不支持本命令。
配置该命令后,表示设备能够解析这样的HTTP报文,报文中的数据为SOAP封装过的NETCONF指令。
# 开启基于HTTP的SOAP功能。
[Sysname] netconf soap http enable
netconf soap https acl命令用来配置基于HTTPS的NETCONF over SOAP功能关联的ACL。
undo netconf soap https acl命令用来取消基于HTTPS的NETCONF over SOAP功能关联的ACL。
【命令】
netconf soap https acl { acl-number | name acl-name }
undo netconf soap https acl
【缺省情况】
未配置基于HTTPS的NETCONF over SOAP功能关联的ACL。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
acl-number:ACL的编号,取值范围为2000~2999(基本IPv4 ACL)。
name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。仅当指定名称的ACL存在且为基本IPv4 ACL时生效。
【使用指导】
配置SOAP服务与ACL关联后,只有ACL允许通过的NETCONF 客户端能够通过SOAP方式登录设备。不匹配ACL或ACL拒绝通过的NETCONF客户端将不能通过SOAP方式登录设备。
多次执行该命令最新配置生效。
【举例】
# 配置基于HTTPS的NETCONF over SOAP功能与ACL 2001关联,只允许10.10.0.0/16网段的客户端访问设备。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 10.10.0.0 0.0.255.255
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] netconf soap https acl 2001
netconf soap https enable命令用来开启基于HTTPS的SOAP功能。
undo netconf soap https enable
基于HTTPS的SOAP功能处于关闭状态。
配置该命令后,表示设备能够解析这样的HTTPS报文,报文中的数据为SOAP封装过的NETCONF指令。
# 开启基于HTTPS的SOAP功能。
[Sysname] netconf soap https enable
netconf ssh server enable命令用来开启NETCONF Over SSH的接入方式。
undo netconf ssh server enable命令用来关闭NETCONF Over SSH的接入方式。
undo netconf ssh server enable
未开启NETCONF Over SSH的接入方式。
用户配置该命令后,可以利用SSH客户端通过SSH子系统的方式接入设备的NETCONF系统,然后直接进入NETCONF配置模式,而不用手工输入XML命令。
使能该命令前必须在设备上把SSH连接终端的认证方式设置为scheme,支持NETCONF over SSH的客户端才能连接到NETCONF系统,目前只支持用urn:ietf:params:netconf:base:1.0(设备与终端共同支持的能力集)连接系统。
# 开启NETCONF Over SSH的接入方式。
[Sysname] netconf ssh server enable
netconf ssh server port命令用来设置 NETCONF Over SSH接入方式的监听端口号。
undo netconf ssh server port命令用来把端口号恢复成默认的830。
netconf ssh server port port-number
基于NETCONF Over SSH的接入方式的监听端口是830。
port-number:基于NETCONF Over SSH的接入方式的监听端口,取值范围为1~65535,缺省值为830。
用户可以在必要时使用此命令来重新配置一个端口作为NETCONF子系统的监听端口,但由于SSH服务使用共享端口的方式来分配监听端口,为了正常使用,必须保证分配的端口不和其他使用的端口冲突。
# 把基于NETCONF Over SSH的接入方式的监听端口设置为800。
[sysname] netconf ssh server port 800
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!