通过出站 HTTPS 的 NETCONF 会话

启用 NETCONF 客户端应用程序来管理无法通过其他协议访问的设备。

使用出站 HTTPS 客户端的基于证书的身份验证，启用设备的远程管理。

您可以通过出站 HTTPS 在受支持的 Junos 设备和网络管理系统之间建立 NETCONF 会话。通过出站 HTTPS 的 NETCONF 会话使您能够远程管理可能无法通过 SSH 等其他协议访问的设备。例如，如果设备在防火墙后面，而防火墙或其他安全工具会阻止这些协议，则可能会发生这种情况。另一方面，HTTPS 使用标准端口，在大多数环境中通常允许出站。

在受支持的设备上，Junos OS 包括一个瞻博网络扩展工具包 （JET） 应用程序，支持使用出站 HTTPS 建立 NETCONF 会话。JET 应用程序使用 gRPC 框架连接到出站 HTTPS 客户端，该客户端由在网络管理系统上运行的 gRPC 服务器组成。gRPC 是一个与语言无关的开源远程过程调用 （RPC） 框架。 图 1 以最简单的形式展示了出站 HTTPS 设置。

在这种情况下，gRPC 服务器充当 NETCONF 客户端，JET 应用程序是 gRPC 客户端和 NETCONF 服务器。gRPC 服务器侦听指定端口上的连接请求，默认为端口 443。您可以将 JET 应用程序配置为扩展服务。相关连接和身份验证信息被传递到脚本。脚本运行时，会自动尝试连接到配置的主机和端口上的 gRPC 服务器。

JET 应用程序和 gRPC 服务器通过 TLS 加密的 gRPC 会话建立永久 HTTPS 连接。JET 应用程序使用 X.509 数字证书对 gRPC 服务器进行身份验证，如果身份验证成功，则会通过此连接建立请求的 NETCONF 会话。NETCONF 操作在为扩展服务应用程序配置的用户的帐户权限下执行。

出站 HTTPS 连接使用 X.509 数字证书对 gRPC 服务器进行身份验证。数字证书是通过可信第三方（称为证书颁发机构或证书颁发机构 （CA）来验证您的身份的一种电子手段。证书颁发机构颁发数字证书，该证书可用于通过证书验证在两个端点之间建立安全连接。X.509 标准定义了证书的格式。要在受支持的 Junos 设备上通过出站 HTTPS 建立 NETCONF 会话，gRPC 服务器必须具有有效的 X.509 证书。

出站 HTTPS 基本功能支持连接到单个出站 HTTPS 客户端，并为该客户端配置一个 gRPC 服务器。服务器身份验证必须使用自签名 X.509 证书。您可以通过连接建立单个 NETCONF 会话。

在通过出站 HTTPS 举行的 NETCONF 会话中，网络管理系统上运行的 gRPC 服务器充当 NETCONF 客户端，而 Junos 设备上的 JET 应用程序是 gRPC 客户端和 NETCONF 服务器。

gRPC 客户端和服务器通过出站 HTTPS 建立 NETCONF 会话，请执行以下操作：

gRPC 服务器侦听指定端口上的传入连接，如果未指定端口，则侦听默认端口 443 上的传入连接。

gRPC 客户端会与配置的 gRPC 服务器和端口启动 TCP/IP 连接。

gRPC 客户端发送 TLS ClientHello 消息以启动 TLS 握手。

gRPC 服务器会发送一 ServerHello 条消息及其证书。

gRPC 客户端验证 gRPC 服务器的身份。

NETCONF 会话已建立。

服务器和客户端交换 NETCONF 消息。

NETCONF 客户端应用程序会根据需要执行操作。