NETCONF ist ein Netzwerkprotokoll zur Verwaltung, Änderung und Auslese von Gerätekonfigurationen über eine strukturierte, standardisierte Schnittstelle. Für Network Engineers ist NETCONF vor allem deshalb relevant, weil es klassische CLI-basierte Verfahren ergänzt und in vielen Fällen deutlich kontrollierter, konsistenter und automatisierungsfreundlicher arbeitet. Statt Konfigurationen nur als freie Textbefehle auf ein Gerät zu senden, werden Konfigurationsdaten bei NETCONF in strukturierter Form übertragen. Dadurch lassen sich Änderungen gezielter validieren, Transaktionen sauberer durchführen und Konfigurationszustände präziser auslesen. Wer moderne Netzwerkautomatisierung verstehen will, sollte NETCONF nicht als Ersatz für jede CLI-Aufgabe betrachten, sondern als wichtigen Baustein modellgetriebener Netzwerke.
Was NETCONF grundsätzlich ist
NETCONF als Protokoll für Konfiguration und Zustand
NETCONF steht für Network Configuration Protocol. Es wurde entwickelt, um Netzwerkgeräte wie Router, Switches, Firewalls oder andere Infrastruktursysteme über eine standardisierte Schnittstelle zu konfigurieren und abzufragen. Im Gegensatz zur klassischen CLI ist NETCONF nicht primär für Menschen optimiert, sondern für strukturierte Kommunikation zwischen Management-Systemen, Automatisierungstools und Netzwerkgeräten.
NETCONF wird typischerweise für folgende Aufgaben verwendet:
- Auslesen von Konfigurationsdaten
- Ändern von Konfigurationen
- Löschen oder Ersetzen von Konfigurationsbestandteilen
- Auslesen bestimmter Zustandsdaten
- Validieren von Konfigurationsänderungen
- Kontrolliertes Commit von Änderungen
Der zentrale Unterschied zur CLI liegt darin, dass NETCONF nicht mit frei formulierten Befehlen arbeitet, sondern mit klar strukturierten Daten und standardisierten Operationen.
NETCONF ist kein Ersatz für Netzwerkgrundlagen
Auch wenn NETCONF moderne Automatisierung erleichtert, ersetzt es nicht das klassische Verständnis von Netzwerken. Wer Routing, Switching, Security oder Plattformverhalten nicht beherrscht, wird auch mit NETCONF keine sauberen Änderungen durchführen. Das Protokoll verändert also nicht die fachlichen Anforderungen an Network Engineers, sondern die Art, wie Konfigurationsdaten übertragen und verarbeitet werden.
Warum NETCONF entwickelt wurde
Grenzen klassischer CLI-orientierter Verfahren
Lange Zeit war die CLI das dominierende Werkzeug im Netzwerkbetrieb. Sie ist für Menschen sehr effektiv, bringt für Automatisierung jedoch einige bekannte Nachteile mit sich. CLI-Ausgaben sind textbasiert, herstellerspezifisch und oft nicht formal modelliert. Das erschwert maschinelle Verarbeitung, Validierung und Skalierung.
- CLI-Ausgaben müssen geparst werden.
- Syntax variiert zwischen Herstellern und Plattformen.
- Änderungen werden oft zeilenweise und unmittelbar aktiv.
- Rollback und Transaktionen sind nur begrenzt standardisiert.
- Soll- und Ist-Zustände sind schwerer strukturiert vergleichbar.
NETCONF wurde entwickelt, um genau diese Probleme besser zu adressieren. Das Protokoll bietet standardisierte Operationen, definierte Datenstrukturen und eine sauberere Trennung zwischen Konfiguration, Validierung und Commit.
Automatisierung braucht strukturierte Daten
Mit wachsenden Netzwerken und zunehmender Automatisierung wurde klar, dass textorientierte Einzelbefehle nicht immer ausreichen. Moderne Tools benötigen strukturierte, maschinenlesbare Informationen. Genau dafür ist NETCONF gedacht: Es transportiert Konfigurations- und Zustandsdaten so, dass Programme zuverlässig damit arbeiten können.
Wie NETCONF grundsätzlich arbeitet
Client-Server-Prinzip
NETCONF arbeitet nach einem Client-Server-Modell. Ein Management-System, ein Automatisierungstool oder ein Skript fungiert als Client und verbindet sich mit dem Netzwerkgerät, das als NETCONF-Server arbeitet. Über diese Verbindung werden standardisierte Operationen ausgetauscht.
- Der Client stellt die Verbindung her.
- Das Gerät meldet seine Fähigkeiten.
- Der Client sendet NETCONF-Operationen.
- Das Gerät antwortet strukturiert mit Erfolg, Fehlern oder Daten.
Diese Arbeitsweise unterscheidet sich grundlegend von einer interaktiven CLI-Session, in der ein Benutzer schrittweise Befehle eingibt und Textantworten interpretiert.
Transport typischerweise über SSH
NETCONF wird in der Praxis meist über SSH transportiert. Das ist für Network Engineers hilfreich, weil SSH als sicherer und etablierter Mechanismus bereits bekannt ist. NETCONF nutzt also nicht zwingend einen völlig neuen Sicherheitsansatz, sondern setzt häufig auf vertraute Transportmechanismen auf.
Auf vielen Geräten muss NETCONF zunächst aktiviert werden. In Cisco-Umgebungen sieht das beispielsweise oft so aus:
conf t
netconf-yang
end
Zur Prüfung kann je nach Plattform unter anderem Folgendes verwendet werden:
show running-config | include netconf
show netconf-yang sessions
Die genaue Syntax variiert je nach Betriebssystem und Version, das Prinzip bleibt aber gleich: Das Gerät muss NETCONF-Services bereitstellen.
Welche Daten NETCONF verarbeitet
Konfigurationsdaten
Der wichtigste Einsatzbereich von NETCONF ist die Verwaltung von Konfigurationsdaten. Dazu zählen alle Werte, die den gewünschten Zustand eines Geräts beschreiben.
- Hostname
- Management-Parameter
- Interface-Konfigurationen
- IP-Adressen
- Routing-Protokolle
- ACLs
- NTP-, Syslog- und AAA-Einstellungen
Ein klassisches CLI-Beispiel:
interface GigabitEthernet0/1
description Uplink-to-Core
ip address 192.0.2.2 255.255.255.252
no shutdown
Mit NETCONF wird dieselbe fachliche Änderung nicht primär als freie Befehlsfolge betrachtet, sondern als strukturierter Datensatz im passenden Modell.
Status- und Betriebsdaten
Neben Konfigurationen kann NETCONF auch bestimmte Statusdaten liefern. Das ist für Monitoring, Validierung und Soll-Ist-Vergleiche wichtig. Dazu gehören beispielsweise operative Interface-Zustände oder andere modellierte Gerätedaten.
- Interface-Status
- Operative Parameter
- Teile von Routing- oder Protokollzuständen
- Gerätespezifische Betriebsinformationen
Welche Daten genau verfügbar sind, hängt vom unterstützten Datenmodell und der Plattform ab.
NETCONF und XML
Warum XML bei NETCONF eine Rolle spielt
NETCONF verwendet typischerweise XML zur Darstellung der übertragenen Daten und Operationen. Für viele Network Engineers wirkt XML anfangs ungewohnt, weil es deutlich strukturierter und formaler aussieht als CLI oder einfache YAML-/JSON-Beispiele. Dennoch ist XML im NETCONF-Kontext gut nachvollziehbar: Es transportiert klar hierarchische Daten mit eindeutigen Tags.
Ein vereinfachtes Beispiel für einen RPC-Aufruf könnte logisch so aussehen:
<rpc>
<get-config>
<source>
<running/>
</source>
</get-config>
</rpc>
Das ist keine CLI-Anweisung, sondern eine strukturierte Protokolloperation. Genau darin liegt der Unterschied: NETCONF sendet nicht “Befehle” im klassischen Sinn, sondern formal beschriebene Anfragen.
Struktur statt Freitext
Der Einsatz von XML wirkt auf den ersten Blick sperriger als eine einfache Kommandozeile. Technisch bietet er aber wichtige Vorteile:
- Klare Baumstruktur
- Maschinenlesbarkeit
- Eindeutige Felder und Kontexte
- Bessere Validierbarkeit
- Sauberere Weiterverarbeitung durch Tools
Für Engineers bedeutet das nicht, dass XML manuell im Alltag geschrieben werden muss. Viele Bibliotheken und Tools übernehmen diese Details. Es ist dennoch hilfreich zu verstehen, dass NETCONF intern auf strukturierte XML-Nachrichten setzt.
Die wichtigsten Grundoperationen von NETCONF
Konfiguration lesen
Eine der häufigsten NETCONF-Aufgaben ist das Auslesen von Konfigurationen. Dabei kann gezielt eine bestimmte Konfigurationsdatenbank abgefragt werden, zum Beispiel die laufende Konfiguration.
Typische konzeptionelle Operationen sind:
get-configzum Lesen von Konfigurationsdatengetzum Lesen von Konfigurations- und teilweise Zustandsdaten
Damit können Tools gezielt Daten abrufen, ohne komplette Textausgaben parsen zu müssen.
Konfiguration ändern
Für Änderungen wird häufig die Operation edit-config verwendet. Sie erlaubt es, definierte Konfigurationsteile zu erstellen, zu ändern, zusammenzuführen oder zu ersetzen. Das ist deutlich kontrollierter als ein loses Senden einzelner CLI-Zeilen.
- Bestehende Werte ändern
- Neue Objekte anlegen
- Teile einer Konfiguration löschen
- Konfigurationsbereiche ersetzen
Genau diese strukturierte Änderungslogik macht NETCONF für Automatisierung besonders interessant.
Änderungen prüfen und committen
Ein sehr wichtiger Vorteil von NETCONF ist die Unterstützung kontrollierter Commit-Prozesse. Auf unterstützten Plattformen können Änderungen zunächst in einer Kandidatenkonfiguration vorbereitet und anschließend gezielt übernommen werden.
Wichtige Konzepte dabei sind:
validatezur Prüfung der Konfigurationcommitzur Aktivierung vorbereiteter Änderungendiscard-changeszum Verwerfen nicht übernommener Änderungen
Diese Arbeitsweise ist ein großer Unterschied zur klassischen CLI, bei der viele Änderungen sofort aktiv werden.
Was mit Running, Candidate und Startup gemeint ist
Mehrere Konfigurationsdatenbanken
NETCONF arbeitet mit dem Konzept unterschiedlicher Konfigurationsdatenspeicher, auch Datastores genannt. Nicht jedes Gerät unterstützt alle Varianten, aber die wichtigsten Begriffe sollte man kennen.
- running: aktuell aktive Konfiguration
- candidate: vorbereitete, noch nicht aktivierte Konfiguration
- startup: gespeicherte Konfiguration für den Neustart
Diese Trennung ist im Alltag sehr wertvoll, weil Änderungen sauber vorbereitet und kontrolliert übernommen werden können.
Warum Candidate so wichtig ist
Gerade die Candidate-Konfiguration ist für sichere Changes relevant. Statt Zeile für Zeile direkt auf die aktive Konfiguration zu schreiben, können Änderungen zuerst gesammelt, geprüft und anschließend gemeinsam aktiviert werden. Das reduziert Fehler und erhöht die Kontrolle bei größeren Änderungen.
NETCONF und YANG: die wichtige Verbindung
NETCONF transportiert, YANG modelliert
NETCONF und YANG werden oft gemeinsam genannt, sind aber nicht dasselbe. YANG ist eine Modellierungssprache für Netzwerkdaten. NETCONF ist das Protokoll, das diese strukturierten Daten typischerweise überträgt. Vereinfacht gesagt:
- YANG beschreibt die Struktur der Daten.
- NETCONF transportiert diese Daten zwischen Client und Gerät.
Diese Trennung ist essenziell. NETCONF ohne sinnvolle Datenmodelle wäre wenig wertvoll, und YANG ohne ein geeignetes Protokoll wäre im Betrieb weniger praktisch nutzbar.
Warum das für Engineers relevant ist
Wenn ein Interface, ein NTP-Server oder ein Routing-Prozess als YANG-Modell beschrieben ist, kann NETCONF diese Daten sauber lesen oder ändern. Statt herstellerspezifische CLI-Blöcke zu verarbeiten, arbeiten Tools dann mit strukturierten Objekten.
Praktische Vorteile von NETCONF im Netzwerkbetrieb
Weniger Parsing, mehr Struktur
Einer der größten Vorteile von NETCONF ist die strukturierte Datenverarbeitung. Automatisierungssysteme müssen nicht mehr in erster Linie freie Textblöcke interpretieren, sondern können mit klaren Feldern, Hierarchien und Datentypen arbeiten.
- Geringerer Parsing-Aufwand
- Weniger Abhängigkeit von Textformaten
- Bessere Maschinenlesbarkeit
- Einfachere Validierung
Kontrolliertere Änderungen
NETCONF ermöglicht je nach Plattform transaktionsähnliche Änderungen. Das verbessert Sicherheit und Nachvollziehbarkeit, insbesondere bei komplexeren Deployments.
- Änderungen vorbereiten statt sofort aktivieren
- Konfiguration vor dem Commit validieren
- Nicht übernommene Änderungen verwerfen
- Gezieltere Fehlerbehandlung
Bessere Grundlage für Automatisierung
Weil NETCONF auf standardisierten Operationen basiert, eignet es sich gut für Automatisierungsframeworks, zentrale Managementsysteme und modellgetriebene Betriebsprozesse. Es ist besonders nützlich, wenn Konfigurationen wiederholbar, konsistent und prüfbar ausgerollt werden sollen.
Typische Einsatzszenarien für NETCONF
Standardisierte Konfigurationsänderungen
NETCONF eignet sich gut für wiederkehrende und strukturierte Konfigurationsänderungen, etwa in folgenden Bereichen:
- Management- und Basisparameter
- Interface- und IP-Konfiguration
- NTP-, Syslog- und DNS-Einstellungen
- Routing- oder Security-Parameter
- Konfigurationsabgleich mit Soll-Modellen
Gerade dort, wo Konsistenz und Validierung wichtig sind, spielt NETCONF seine Stärken aus.
Auslesen von Konfigurations- und Zustandsdaten
Auch Read-Only-Szenarien sind sehr praxisrelevant. Ein Tool kann gezielt modellierte Daten vom Gerät abfragen, ohne unstrukturierte CLI-Rückgaben parsen zu müssen. Das ist hilfreich für:
- Inventarisierung
- Compliance-Prüfungen
- Drift-Erkennung
- Vorher-Nachher-Vergleiche bei Changes
Unterschiede zwischen NETCONF und klassischer CLI
CLI ist menschenorientiert, NETCONF maschinenorientiert
Die CLI bleibt für Troubleshooting und spontane Diagnose sehr wertvoll. Sie ist direkt, flexibel und für Menschen optimiert. NETCONF verfolgt dagegen ein anderes Ziel: Es schafft eine zuverlässige, strukturierte Schnittstelle für Systeme und Automatisierung.
- CLI arbeitet mit Befehlen und Textausgaben.
- NETCONF arbeitet mit Operationen und strukturierten Daten.
- CLI ist oft sofort wirksam.
- NETCONF unterstützt stärker validierte und kontrollierte Workflows.
NETCONF ist nicht immer die beste Wahl für jede Aufgabe
Trotz seiner Vorteile ersetzt NETCONF nicht jede Form der CLI-Nutzung. Gerade bei spontaner Fehleranalyse, herstellerspezifischen Sonderfunktionen oder schnellen Ad-hoc-Prüfungen bleibt die CLI häufig das praktischere Werkzeug. In der Praxis entstehen daher oft hybride Betriebsmodelle.
Voraussetzungen für den Einsatz von NETCONF
Geräteunterstützung und Aktivierung
Nicht jedes Netzwerkgerät unterstützt NETCONF in gleichem Umfang. Vor dem produktiven Einsatz muss geprüft werden, ob die Plattform NETCONF, passende Datenmodelle und die gewünschten Funktionen tatsächlich bereitstellt.
- Unterstützt das Gerät NETCONF überhaupt?
- Welche YANG-Modelle sind verfügbar?
- Gibt es Candidate- und Validate-Funktionen?
- Welche Datastores werden unterstützt?
In Cisco-Umgebungen sind oft folgende Basisschritte relevant:
conf t
netconf-yang
end
Ergänzend kann die Erreichbarkeit des SSH-Dienstes sowie die Authentifizierung geprüft werden.
Automatisierungstools oder Bibliotheken
Im Alltag wird NETCONF selten vollständig manuell genutzt. Stattdessen verwenden Engineers Bibliotheken, Frameworks oder Controller, die die XML-Kommunikation und Protokolldetails übernehmen. Das senkt die Einstiegshürde erheblich, setzt aber weiterhin Verständnis für die Konzepte voraus.
Typische Missverständnisse rund um NETCONF
NETCONF ist nicht automatisch herstellerunabhängig in jeder Funktion
Auch wenn NETCONF standardisiert ist, hängt die praktische Nutzung stark von den unterstützten Datenmodellen und der Plattformimplementierung ab. Das Protokoll standardisiert also die Kommunikationsform, nicht automatisch jede inhaltliche Funktion in exakt gleicher Weise.
NETCONF ist nicht nur für große Umgebungen interessant
Auch kleinere Netzwerke können von NETCONF profitieren, wenn strukturierte Konfigurationsverwaltung, saubere Validierung oder automatisierte Standardaufgaben eine Rolle spielen. Der Nutzen steigt zwar mit der Größe und Reife der Umgebung, beginnt aber nicht erst im Großunternehmen.
XML macht NETCONF nicht unpraktisch
Viele Engineers schrecken vor NETCONF zurück, weil XML sperrig wirkt. In der Praxis arbeiten jedoch oft Tools und Bibliotheken mit diesen Daten, sodass nicht jede XML-Struktur manuell geschrieben werden muss. Wichtig ist vor allem, das Prinzip hinter der Struktur zu verstehen.
Best Practices für den Einstieg in NETCONF
- NETCONF zuerst als strukturiertes Managementprotokoll und nicht als CLI-Ersatz verstehen.
- Die Unterschiede zwischen Running, Candidate und Startup sauber einordnen.
- NETCONF immer zusammen mit Datenmodellen wie YANG betrachten.
- Mit einfachen Read-Only-Abfragen beginnen, bevor Write-Operationen produktiv genutzt werden.
- Geräteunterstützung und verfügbare Funktionen vorab genau prüfen.
- Validierung und Commit-Prozesse gezielt in Change-Workflows einbauen.
- CLI-Know-how als Grundlage behalten und NETCONF als Erweiterung nutzen.
- Strukturierte Konfigurationsänderungen bevorzugt über NETCONF statt über reine SSH-Befehlsschleifen ausführen.
- Für produktive Nutzung Bibliotheken oder Automatisierungstools einsetzen, statt XML komplett manuell zu erzeugen.
- NETCONF besonders dort einsetzen, wo Konsistenz, Wiederholbarkeit und kontrollierte Änderungen wichtig sind.
Damit wird NETCONF für Network Engineers zu einem sehr praxisnahen Werkzeug: Es verbindet sichere Übertragung, strukturierte Daten, validierte Änderungen und modellgetriebene Verwaltung zu einem Ansatz, der klassische Netzwerkkonfiguration sinnvoll ergänzt und moderne Automatisierungsprozesse deutlich robuster macht.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
