文章总结： 文档指出ODL控制器因YANG模型兼容性问题限制自动化配置，而Expect脚本存在不可靠和事务原子性缺失的风险。作者提出绕过ODL，利用Pythonncclient库通过NETCONF协议直接下发原生VRPXML配置的方案。该方法避免了非结构化CLI交互的弊端，提升了配置的可靠性与灵活性，实现了真正的基础设施即代码管理。 综合评分： 88 文章分类： 安全运营,网络安全,安全建设

超越ODL：直接使用ncclient通过NETCONF配置华为设备，实现真正的基础设施即代码

原创

衡水铁头哥 衡水铁头哥

铁军哥

2026年1月25日 07:37 北京

前言

本文探讨ODL控制器与设备YANG模型不兼容的深层问题。提出绕过ODL，直接使用Python ncclient库通过NETCONF协议下发原生VRP XML配置的方案，实现了更灵活、可靠的设备自动化管理。

经过前面几次测试，我们已经成功部署了ODL（OpenDaylight）服务器（低成本玩转SDN：实测OpenDaylight资源消耗仅1.1GB，完美纳管华为设备，开源方案真香！），也成功测试了使用NETCONF推送一些基础配置（告别CLI：手把手教你用ODL的RESTCONF接口管理设备，增删改查只需一条curl命令），对于暂不支持的配置，我们也使用Linux标准工具expect通过SSH批量并发地将配置推送到所有设备（ODL高级配置受阻？巧用Expect脚本另辟蹊径，SSH批量下发OSPF/BGP/SRv6等复杂配置）。

但是，我们前面也介绍了，使用expect工具配置时，需要对命令配置非常熟悉才行，毕竟有时命令不是一次下发成功的，还涉及到交互才能完成配置。

其实，这就触及到了expect工具的本质，这是一种使用SSH + PTY伪终端的通信协议，使用非结构化字符串，全靠正则匹配CLI回显，对于复杂命令，需要人工进行解析，通过正则表达式从海量CLI回显中提取结果，而且CLI提示符的更改或输出格式微调都会导致脚本崩盘，对版本兼容性较差，极易出错。

熟悉k8s的同学应该熟悉，这就涉及到了事务的原子性，expect工具不支持原事务，一条条敲命令，中间断开可能导致配置停留在中间状态。此外，expect工具这种模拟人工登录的方式，也存在输入注入的风险。

这样的话，我们又不得不回到基于XML的NETCONF上，既然如此，那我们不如跳过ODL对YANG的死板校验，对于不兼容的YANG模型，我们不妨试试通过NETCONF协议发送设备原生支持的VRP XML报文，覆盖原有设备配置来达到配置的目的。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：铁军哥 衡水铁头哥 衡水铁头哥《超越ODL：直接使用ncclient通过NETCONF配置华为设备，实现真正的基础设施即代码》