- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-NETCONF故障处理手册
本章节下载: 02-NETCONF故障处理手册 (168.60 KB)
设备作为NETCONF服务器,用户使用NETCONF over SOAP客户端登录设备失败。
本类故障的常见原因主要包括:
· SOAP客户端与设备之间路由不通,无法建立TCP连接。
· 设备未开启NETCONF over SOAP服务器功能。
· 服务器上配置了对客户端的访问控制,但客户端的IP地址不在访问控制的permit规则内。
· 本地用户未配置授权HTTP/HTTPS服务。
· 本地用户认证方式配置不正确。
· HTTP/HTTPS登录用户数达到允许用户数的上限。
本类故障的诊断流程如图1-1所示。
图1-1 SOAP方式登录失败的故障诊断流程图
(1) 检查物理链路是否存在故障。
可以通过Telnet登录设备(用户角色名为network-admin),在设备上尝试能否ping通NETCONF客户端的IP地址。如果不能ping通,在设备上执行display ip routing-table命令或者display route-static routing-table命令查看去往客户端的路由出接口,再执行display interface命令检查该接口状态:
<Sysname> display interface gigabitethernet 2/0/1
GigabitEthernet2/0/1
Interface index: 386
Current state: Administratively DOWN
Line protocol state: DOWN
...
a. 如果Current state显示为Administratively DOWN,则在接口下执行undo shutdown命令打开关闭的接口。如果Current state显示为DOWN,则检查接口的物理连线是否正确。
b. 如果设备和客户端之间存在其他设备,按上述方法逐跳检查和修复各设备连接的物理接口状态。
(2) 通过display netconf service命令检查NETCONF over SOAP功能是否开启。
<Sysname> display netconf service
NETCONF over SOAP over HTTP: Disabled (port 80)
NETCONF over SOAP over HTTPS: Disabled (port 832)
NETCONF over SSH: Disabled (port 830)
NETCONF over Telnet: Enabled
NETCONF over Console: Enabled
...
当NETCONF over SOAP over HTTP或NETCONF over SOAP over HTTPS字段值为Disabled时,请在系统视图下执行netconf soap http enable、netconf soap https enable命令开启基于HTTP/HTTPS的NETCONF over SOAP功能。
(3) 检查是否设置了对客户端IP地址的ACL访问控制。
<Sysname> display current-configuration | begin netconf
netconf soap http enable
netconf soap https enable
netconf soap http acl 2000
#
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000] display this
#
acl basic 2000
rule 5 permit source 192.168.4.10 0
rule 10 permit source 192.168.4.15 0
...
如果存在netconf soap { http | https } acl命令配置,请按需选择执行以下操作:
¡ 确保客户端的IP地址在相关ACL的rule命令允许的IP地址列表中。
¡ 通过执行undo netconf soap { http | https } acl,使NETCONF over SOAP不再关联ACL。
(4) 使用本地认证时,检查客户端对应的本地用户是否可以使用HTTP/HTTPS服务。
进入本地用户视图,执行display this命令,确保配置了service-type http https。
<Sysname> system-view
[Sysname] local-user test
[Sysname-luser-manage-test] display this
#
local-user test class manage
service-type http https
authorization-attribute user-role network-operator
(5) 使用本地认证时,通过display domain命令检查用户认证域下的认证、授权、计费配置。
<Sysname> display domain
Total 12 domains
Domain: system
Current state: Active
State configuration: Active
Default authentication scheme: Local
Default authorization scheme: Local
Default accounting scheme: Local
...
例如,用户认证域为system时,如果缺省的Authentication、Authorization、Accounting方案不为Local,请执行以下命令,将login用户的认证、授权、计费方案配置为Local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authentication login local
[Sysname-isp-system] authorization login local
[Sysname-isp-system] accounting login local
(6) 检查登录到设备的用户数是否达到允许用户数的上限。
在设备上使用display netconf service命令查看Active Sessions字段(当前活跃的NETCONF会话数量),如果该字段值已达到aaa session-limit命令配置的HTTP/HTTPS类型的最大用户连接数,请选择以下一种方式进行调整:
¡ 通过aaa session-limit { http | https } max-sessions命令,配置更大的HTTP/HTTPS用户的连接数上限。
¡ 使用<kill-session>操作,强制释放已建立的部分SOAP类型的NETCONF会话,使新的用户能够上线。
# 查看NETCONF会话信息的命令如下:
<Sysname> display netconf session
Session ID: 1 Session type : SOAP
Username : yy
...
# <kill-session>操作的XML报文示例如下:
<rpc message-id="100" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<kill-session>
<session-id>1</session-id>
</kill-session>
</rpc>
(7) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
无
· NETCONF/6/SOAP_XML_LOGIN
配置工具通过SSH登录设备失败。
请参见“安全类故障处理/SSH客户端登录设备失败”进行定位。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
