NETCONF(Network Configuration Protocol,网络配置协议)是一种基于XML的网络管理协议,它提供了一种对网络设备进行配置和管理的可编程方法。NETCONF协议的传输层可以是BEEP、SSH、TLS或SOAP。
由于RFC协议规定必须支持SSH,所以目前SSH是NETCONF使用最广泛的传输层协议,当前华为防火墙产品仅支持SSH。
网管软件NMS作为NETCONF Client,向作为NETCONF Server的设备发起连接请求,建立SSH连接,NETCONF会话就承载在SSH连接之上。
RFC 6242规定,NETCONF Server(被管设备)默认使用TCP 830端口接受NETCONF Client的SSH连接请求。
多数网络设备都提供了修改NETCONF over SSH的端口的方法,你需要根据网络设备的配置,确定开放哪些端口。
【图】NETCONF典型组网图
对于NMS主动管理设备的流量,请参考【表1】 配置安全策略。另外,
在某些场景中,被管设备需要主动向网管软件注册,即Call-home。
此时,被管设备主动向网管软件发起连接,需要开放相应方向的安全策略(即下表中103)。
【表1】安全策略示例-NETCONF
【表2】NETCONF通信端口
标签:NETCONF,运维,安全策略,端口,SSH,网管软件,网络设备 From: https://www.cnblogs.com/o-O-oO/p/18390756