策略管理

首包识别的应用

三元组方式：通过服务器地址、协议类型，并且端口号固定的内容来标识该应用。

业务感知的应用

关键字方式：通过服务器地址、协议类型，端口号不固定的内容来标识该应用。

三元组+关键字方式：通过服务器采用相同的端口号提供两种或两种以上服务来标识该应用。

查看自定义应用详情

查看自定义应用的详细信息。

1. 在“自定义应用”页签，在需要查看自定义详情的行中，单击。
2. 在展开后的区域，查看自定义应用的详情。

修改自定义应用

正在被应用组引用的自定义应用的“应用名”不能被修改。

1. 在“自定义应用”页签，在需要修改的自定义应用的“操作”列中，单击。
2. 在新打开界面中修改自定义应用。
3. 单击“确认”，完成修改。

克隆自定义应用

在已有的自定义应用基础上通过简单的修改，可以快速的新建一条自定义应用。

1. 在“自定义应用”页签，在需要克隆的自定义应用的“操作”列中，单击。
2. 修改克隆后的自定义应用。
3. 单击“确认”，完成配置。

删除自定义应用

正在被应用组引用的自定义应用不能被删除。

1. 在“自定义应用”页签，在需要删除的自定义应用的“操作”列中，单击。
2. 单击“是”，完成删除。

应用名

自定义应用的名称。

描述

自定义应用的功能的简要描述。

应用组

添加到已有的应用组中。也可以完成应用自定义后，在应用组中进行添加。

规则

名称

通过定义规则来标识应用报文，规则一般包含应用所使用的协议号、端口号等基本属性。

描述

对规则的简要描述。

目的IP

应用报文的目的IP地址。

应用服务器的IP地址一般是固定的公网IP，可以通过指定IP地址来标识该类应用报文。

端口号

应用报文的目的端口号。

协议

自定义应用规则的传输层协议类型。选择ALL、TCP或者UDP协议。

签名

签名

一些应用的数据报文中含有相同的某一段字符串，这段字符串就相当于一个签名信息。

内容

选择基于流或者基于包的方式识别签名信息。

基于包表示需检测应用的每个报文；基于流表示仅检测应用数据流的首个报文，如果后续报文通过五元组判断属于同一数据流，则不做检测。

方向

选择识别方向。可以只识别请求报文中的签名，或者只识别响应报文的签名，或者请求响应报文都识别。

明文串

签名的字符串，区分大小写。

查看应用组详情

查看应用组的详细信息。

1. 在“应用组”页签，在需要查看的应用组详情的行中，单击。
2. 在展开后的区域，查看应用组的详情。

修改应用组

正在被流分类模板或者应用质量监测引用的自定义应用的“名称”不能被修改。

1. 在“应用组”页签，在需要修改的应用组的“操作”列中，单击。
2. 在新打开界面中修改应用组。
3. 单击“确定”，完成修改。

删除应用组

正在被流分类模板或者应用质量监测引用的自定义应用不能被删除。

1. 在“应用组”页签，在需要删除的应用组的“操作”列中，单击。
2. 单击“确定”，完成删除。

名称

应用组的名称。

描述

应用组的简要描述，比如视频类应用软件、或者社交类应用软件。

应用

预定义应用

SA功能库

在选择FPI和SA之前，需先选择SA功能库。当前支持SA_H30071000 (6000+)和SA_H30071002 (500+)两个库，前者包含6000余个应用，后者包含500余个应用。不同的功能库下，FPI和SA的选择范围不同。

FPI

单击“添加预定义应用”，选择FPI预定义应用加入到应用组。

SA

单击“添加预定义应用”，选择SA预定义应用加入到应用组。

FPI（First Packet Inspection）首包识别对报文要求较高，而SA深度识别可以识别出更多的应用，所以FPI应用是SA应用的子集。

自定义应用

单击“添加自定义应用”，选择已配置的自定义应用。

修改流分类模板

被策略引用的流分类模板不允许被修改。修改流分类模板前，需要先删除关联流分类模板的流量策略或者解除与流量策略的绑定关系。

在“流分类模板”界面，需要修改的流分类模板的“操作”列，单击，进行修改。

删除流分类模板

被策略引用的流分类模板不允许被修改。删除流分类模板前，需要先删除关联流分类模板的流量策略或者解除与流量策略的绑定关系。

在“流分类模板”界面，勾选需要删除的流分类模板，单击，删除流分类模板。

克隆流分类模板

在已有的流分类模板上通过简单的修改，可以快速的新建一个模板。克隆模板后，仅仅在iMaster NCE-Campus中新建，如果还需要在下发设备，还需要进行“提交”操作。

在“流分类模板”界面，勾选需要克隆的流分类模板，单击，克隆流分类模板。

流分类模板名称

流分类模板的名称。

规则类型

• “与”：表示流分类中各规则之间关系为“逻辑与”，指定该逻辑关系后：
  • 当流分类中有ACL规则时，报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类。
  • 当流分类中没有ACL规则时，则报文必须匹配所有非ACL规则才属于该类。
• “或”：表示流分类中各规则之间关系为“逻辑或”，即报文只需匹配流分类中的一个或多个规则即属于该类。

缺省情况下，流分类中各规则之间的关系为“逻辑与”。

L3 ACL

优先级

用户可配置多条三层ACL规则，报文优先匹配优先级高的三层ACL规则。

源IP地址

指定匹配报文的源地址信息。如果不指定，表示报文的任何源IP地址都匹配。

目的IP地址

指定匹配报文的目的地址信息。如果不指定，表示报文的任何目的IP地址都匹配。

DSCP

指定匹配报文的区分服务代码点（Differentiated Services Code Point）。DSCP是定义在报文的IP头部的某个字段，标识该报文的服务类别、优先级，从而保证通信的QoS等级。

协议

指定匹配报文的三层协议类型。

• 当ACL类型为“IPV4”时，支持TCP/UDP/OSPF/IPinIP/IP/IGMP/ICMP/GRE等协议，也可以自定义协议号Protocol Number。

源端口

指定匹配报文的源端口。如果不指定，表示报文的任何源端口都匹配。

目的端口

指定匹配报文的目的端口。如果不指定，表示报文的任何目的端口都匹配。

应用组

指定匹配报文的应用。仅支持勾选应用组，没有加入到应用组的应用不做呈现，也不能只选择应用组中的部分应用。需要用户对应用组进行合理规划。

高级

Vlan ID

起始Vlan lD

指定匹配VLAN报文的起始外层VLAN ID。

截止Vlan lD

指定匹配VLAN报文的结束外层VLAN ID。“截止Vlan lD”取值必须大于“起始Vlan lD”。若不指定“截止Vlan lD”参数，表示基于“起始Vlan lD”参数所指定的VLAN ID进行流分类。

802.1P

指定匹配VLAN报文的802.1p优先级。

源MAC

指定匹配报文的源MAC地址。

目的MAC

指定匹配报文的目的MAC地址。

L2协议

指定匹配报文的二层协议类型，目前支持ARP/IP/MPLS/RARP协议，也可以自定义协议号Protocol Number。

修改生效时间模板

修改生效时间模板前，需要先删除关联生效时间模板的流量策略或者解除与流量策略的绑定关系。否则不允许修改。

在“流分类模板”界面，需要修改的流分类模板的“操作”列，单击，进行修改。

删除生效时间模板

删除生效时间模板前，需要先删除关联生效时间模板的流量策略或者解除与流量策略的绑定关系。否则不允许删除。

在“流分类模板”界面，勾选需要删除的流分类模板，单击，删除流分类模板。

生效时间模板名称

时间段名称。

时间类型

• 每日：属于周期时间段。以天为单位来定义时间范围，表示规则以一天为周期（如每天的8至12点）循环生效。
• 每周：属于周期时间段。以星期为单位来定义时间范围，表示规则以一周为周期（如每周一的8至12点）循环生效。
• 固定时间：属于绝对时间段，从某年某月某日的某一时间开始，到某年某月某日的某一时间结束，表示规则在这段时间范围内生效。

每周

（当“时间类型”为“每周”时，配置）

指定时间范围有效日期。可以是星期一、星期二、星期三、星期四、星期五、星期六、星期日中的一个或者几个的组合。

开始时间

策略生效的开始时间。

结束时间

策略生效的结束时间。

撤销ACL策略

对于没有下发到站点的策略，即没有执行“提交”操作的策略（“状态”不是“已提交”的策略），可以进行撤销操作。对于已经执行提交操作的策略无法进行撤销操作。撤销操作的目的是为了取消对策略的上一步的操作，如取消对策略的修改、取消新建策略、取消删除策略。撤销后的策略仅仅对配置进行回退，即只修改在iMaster NCE-Campus中的操作，并不会对设备进行操作。

在“ACL”页签中，选中需要撤销的ACL策略，单击“撤销”，再选择“撤销选中”，完成撤销。

删除ACL策略

对于所有已经下发到站点和没有下发到站点的策略，可以进行删除操作。删除策略后，仅仅在iMaster NCE-Campus将把这些策略删除，如果还需要在设备中删除这些策略，还需要进行“提交”操作。

在“ACL”页签中，选中需要删除的ACL策略，单击“删除”，完成删除。

修改ACL策略

对于所有已经下发到站点和没有下发到站点的策略，可以进行修改操作。修改策略后，仅仅在iMaster NCE-Campus将把这些策略修改，如果还需要在设备中修改这些策略，还需要进行“提交”操作。

1. 在“ACL”页签，在需要修改的策略的“操作”列中，单击。
2. 修改策略。
3. 单击“确认”，完成配置。

克隆ACL策略

在已有的策略基础上通过简单的修改，可以快速的新建一条策略。克隆策略后，仅仅在iMaster NCE-Campus中新建，如果还需要在下发设备，还需要进行“提交”操作。

1. 在“ACL”页签，在需要克隆的策略的“操作”列中，单击。
2. 修改克隆后策略。
3. 单击“确认”，完成克隆。

去使能/使能ACL策略

• 去使能：对于暂时不需要使用的策略，可以进行去使能操作。对于所有已经下发到站点和没有下发到站点的策略，可以进行去使能操作。去使能策略后，仅仅在iMaster NCE-Campus中把这些策略去使能，如果还需要在设备中去使能这些策略，还需要进行“提交”操作。
• 使能：对于去使能状态策略又需要使用，可以进行使能操作。对于所有已经下发到站点和没有下发到站点的策略，可以进行使能操作。使能策略后，仅仅在iMaster NCE-Campus将把这些策略使能，如果还需要在设备中使能这些策略，还需要进行“提交”操作。

• 去使能：在“ACL”页签，在需要使能/去使能的策略的“操作”列中，单击，对策略进行去使能操作。
• 使能：在“ACL”页签，在需要使能/去使能的策略的“操作”列中，单击，对策略进行使能操作。

站点视图下绑定新策略

以站点为对象，绑定新的策略。

1. 在“ACL”页签，单击“站点视图”。
2. 在站点区域，选择站点。
3. 单击“绑定新策略”。
4. 选择需要绑定到选中站点的策略。
5. 单击“确认”，完成配置。

站点视图下批量配置策略

将已经绑定到站点的策略绑定到其他没有绑定过策略的站点中，使不同站点拥有同样的策略。

1. 在“ACL”页签，单击“站点视图”。
2. 单击“批量配置”。
3. 在“克隆站点”中，选择已经绑定了策略的站点。
4. 在“站点”区域，选择需要绑定同样策略的目的站点。
5. 单击“确认”，完成配置。

站点视图下全部提交

以站点为对象，提交全部的策略。

1. 在“ACL”页签，单击“站点视图”。
2. 在站点区域，选择站点。
3. 单击“全部提交”。
4. 单击“确认”，完成配置。

站点视图下撤销所有

以站点为对象，撤销所有策略。

1. 在“ACL”页签，单击“站点视图”。
2. 在站点区域，选择站点。
3. 单击“撤销所有”。
4. 单击“确认”，完成配置。

策略名称

ACL策略的名称。

流分类模板

对匹配流分类模板的报文应用ACL策略。Underlay的ACL策略不能选择包含有应用组的流分类模板。Overlay的ACL策略可以选择任意流分类模板。

策略优先级

ACL策略的优先级。CPE接收到报文后，按照策略的优先级从高到低的顺序依次与流分类模板进行匹配，如果匹配成功，执行策略定义的动作，即流量过滤；如果匹配失败，则与下一条策略的流分类模板进行匹配。

接口

LAN

只存在于Overlay网络；LAN侧的所有三层接口，包括L3接口/子接口、VLANIF口，均使能ACL策略。对于LAN侧接口来说，Inbound即流量从内网用户进入CPE，Outbound即流量从CPE发往内网用户。

WAN

只存在于Underlay网络；WAN侧的所有接口均使能ACL策略。对于WAN侧接口来说，Inbound即流量从WAN网络进入CPE，Outbound即流量从CPE发往WAN网络。

流量过滤

• 拒绝：拒绝匹配流分类模板的报文通过。
• 允许：允许匹配流分类模板的报文通过。

流量方向

流量方向默认为“Inbound”。

• Outbound：在接口的出方向上使能ACL策略。
• Inbound：在接口的入方向上使能ACL策略。

生效时间模板

ACL策略仅在模板定义的时间段内生效。

撤销ACL策略

对于没有下发到站点的策略，即没有执行“提交”操作的策略（“状态”不是“已提交”的策略），可以进行撤销操作。对于已经执行提交操作的策略无法进行撤销操作。撤销操作的目的是为了取消对策略的上一步的操作，如取消对策略的修改、取消新建策略、取消删除策略。撤销后的策略仅仅对配置进行回退，即只修改在iMaster NCE-Campus中的操作，并不会对设备进行操作。

在“ACL”页签中，选中需要撤销的ACL策略，单击“撤销”，再选择“撤销选中”，完成撤销。

删除ACL策略

对于所有已经下发到站点和没有下发到站点的策略，可以进行删除操作。删除策略后，仅仅在iMaster NCE-Campus将把这些策略删除，如果还需要在设备中删除这些策略，还需要进行“提交”操作。

在“ACL”页签中，选中需要删除的ACL策略，单击“删除”，完成删除。

修改ACL策略

对于所有已经下发到站点和没有下发到站点的策略，可以进行修改操作。修改策略后，仅仅在iMaster NCE-Campus将把这些策略修改，如果还需要在设备中修改这些策略，还需要进行“提交”操作。

1. 在“ACL”页签，在需要修改的策略的“操作”列中，单击。
2. 修改策略。
3. 单击“确认”，完成配置。

克隆ACL策略

在已有的策略基础上通过简单的修改，可以快速的新建一条策略。克隆策略后，仅仅在iMaster NCE-Campus中新建，如果还需要在下发设备，还需要进行“提交”操作。

1. 在“ACL”页签，在需要克隆的策略的“操作”列中，单击。
2. 修改克隆后策略。
3. 单击“确认”，完成克隆。

去使能/使能ACL策略

• 去使能：对于暂时不需要使用的策略，可以进行去使能操作。对于所有已经下发到站点和没有下发到站点的策略，可以进行去使能操作。去使能策略后，仅仅在iMaster NCE-Campus中把这些策略去使能，如果还需要在设备中去使能这些策略，还需要进行“提交”操作。
• 使能：对于去使能状态策略又需要使用，可以进行使能操作。对于所有已经下发到站点和没有下发到站点的策略，可以进行使能操作。使能策略后，仅仅在iMaster NCE-Campus将把这些策略使能，如果还需要在设备中使能这些策略，还需要进行“提交”操作。

• 去使能：在“ACL”页签，在需要使能/去使能的策略的“操作”列中，单击，对策略进行去使能操作。
• 使能：在“ACL”页签，在需要使能/去使能的策略的“操作”列中，单击，对策略进行使能操作。

站点视图下绑定新策略

以站点为对象，绑定新的策略。

1. 在“ACL”页签，单击“站点视图”。
2. 在站点区域，选择站点。
3. 单击“绑定新策略”。
4. 选择需要绑定到选中站点的策略。
5. 单击“确认”，完成配置。

站点视图下批量配置策略

将已经绑定到站点的策略绑定到其他没有绑定过策略的站点中，使不同站点拥有同样的策略。

1. 在“ACL”页签，单击“站点视图”。
2. 单击“批量配置”。
3. 在“克隆站点”中，选择已经绑定了策略的站点。
4. 在“站点”区域，选择需要绑定同样策略的目的站点。
5. 单击“确认”，完成配置。

站点视图下全部提交

以站点为对象，提交全部的策略。

1. 在“ACL”页签，单击“站点视图”。
2. 在站点区域，选择站点。
3. 单击“全部提交”。
4. 单击“确认”，完成配置。

站点视图下撤销所有

以站点为对象，撤销所有策略。

1. 在“ACL”页签，单击“站点视图”。
2. 在站点区域，选择站点。
3. 单击“撤销所有”。
4. 单击“确认”，完成配置。

策略名称

ACL策略的名称。

流分类模板

对匹配流分类模板的报文应用ACL策略。Underlay的ACL策略不能选择包含有应用组的流分类模板。Overlay的ACL策略可以选择任意流分类模板。

策略优先级

ACL策略的优先级。CPE接收到报文后，按照策略的优先级从高到低的顺序依次与流分类模板进行匹配，如果匹配成功，执行策略定义的动作，即流量过滤；如果匹配失败，则与下一条策略的流分类模板进行匹配。

接口

LAN

只存在于Overlay网络；LAN侧的所有三层接口，包括L3接口/子接口、VLANIF口，均使能ACL策略。对于LAN侧接口来说，Inbound即流量从内网用户进入CPE，Outbound即流量从CPE发往内网用户。

WAN

只存在于Underlay网络；WAN侧的所有接口均使能ACL策略。对于WAN侧接口来说，Inbound即流量从WAN网络进入CPE，Outbound即流量从CPE发往WAN网络。

流量过滤

• 拒绝：拒绝匹配流分类模板的报文通过。
• 允许：允许匹配流分类模板的报文通过。

流量方向

流量方向默认为“Inbound”。

• Outbound：在接口的出方向上使能ACL策略。
• Inbound：在接口的入方向上使能ACL策略。

生效时间模板

ACL策略仅在模板定义的时间段内生效。

删除NAT策略

对于NAT策略，可以进行删除操作。

在“NAT”页签中，选中需要删除的NAT策略，单击“删除”，完成删除。

修改NAT策略

对于所有NAT策略，可以进行修改操作。

1. 在“NAT”页签，在需要修改的策略的“操作”列中，单击。
2. 修改策略。
3. 单击“确认”，完成配置。

策略名称

动态NAT策略的名称。

设备

部署动态NAT策略的CPE设备的名称。

接口名称

使能动态NAT策略的接口。Underlay网络的WAN侧接口名称。

NAT模式

• Easy IP：使用接口的地址作为NAT转换后的地址。
  说明：

  同一接口下，Easy IP类型的动态NAT只能配置一条，如果站点上网的配置中，已经使能了NAT，则NAT策略中不可以再配置Easy IP类型动态NAT，因为站点上网中的NAT默认为Easy IP类型。

• PAT：支持端口转换，地址转换为多对一。
• No-PAT：不支持端口转换，进行一对一的地址转换。

IP地址组

起始IP地址

NAT转换后的IP地址的范围，一般为公网IP。仅当NAT模式选择PAT或者No-PAT时，才可配置。配置时有以下约束：

• 结束IP地址必须大于或等于起始IP地址。
• 地址范围不能超过255。
• 同一接口下，不同NAT策略的IP地址段不能重叠。

结束IP地址

匹配规则

匹配规则

一个ACL访问控制列表，用户可定义多条ACL规则。匹配ACL的数据报文，CPE将对报文的源IP源端口进行NAT转换。

优先级

ACL规则的优先级。报文优先匹配级别高的规则，执行高优先级规则定义的动作。

动作

• 允许：表示匹配该ACL规则的报文可以通过。
• 拒绝：表示匹配该ACL规则的报文不可以通过。

协议

ACL规则匹配报文的协议类型。

源IP/掩码

ACL规则匹配报文的源IP地址。

目的IP/掩码

ACL规则匹配报文的目的IP地址。

源端口

ACL规则匹配报文的源端口。仅当协议选择为TCP或者UDP时，才可配置。

目的端口

ACL规则匹配报文的目的IP端口。仅当协议选择为TCP或者UDP时，才可配置。

策略名称

静态NAT策略的名称。

设备

部署静态NAT策略的CPE设备的名称。

接口名称

Underlay网络的WAN侧接口名称。

外部IP

NAT转换后的IP地址，一般是公网IP。

• 使用当前接口IP：使用接口IP地址作为外部IP。
• 用户自定义：使用配置的IP地址作为外部IP。

内部IP

NAT转换前的IP地址，一般是私网IP。

转换类型

• 地址转换：对所有源IP地址为内部IP的报文，进行NAT转换。
• 协议转换：根据报文的协议类型做NAT转换。

协议类型

仅当转换类型为协议转换时，才可配置。

• TCP：对所有源IP地址为内部IP、源端口为内部端口、且协议类型为TCP的报文做NAT转换。内部IP转换为外部IP，内部端口转换为外部端口。
• UDP：对所有源IP地址为内部IP、源端口为内部端口、且协议类型为UDP的报文做NAT转换。内部IP转换为外部IP，内部端口转换为外部端口。
• ICMP：对所有源IP地址为内部IP且协议类型为ICMP的报文做NAT转换。内部IP转换为外部IP。

外部端口

NAT转换后的端口号。仅当转换类型为协议转换且协议类型为TCP或者UDP，才可配置。

内部端口

NAT转换前的端口号。仅当转换类型为协议转换且协议类型为TCP或者UDP，才可配置。

高级设置

方向

缺省为“双向”，用户也可根据NAT转换的场景指定为“外部访问内部”或者“内部访问外部”。比如，某站点LAN侧部署了对外文件服务器，外部Internet主动访问内网服务器，则用户也可设置为“外部访问内部”。

匹配规则

如果用户需要限制做静态NAT转换的报文的范围，比如目的端口为指定端口的TCP报文才做NAT转换，那么可以在通过配置ACL规则来实现。

具体各字段含义可参考“表 动态NAT页签，创建NAT策略”中动态NAT的匹配规则。

删除NAT策略

对于NAT策略，可以进行删除操作。

在“NAT”页签中，选中需要删除的NAT策略，单击“删除”，完成删除。

修改NAT策略

对于所有NAT策略，可以进行修改操作。

1. 在“NAT”页签，在需要修改的策略的“操作”列中，单击。
2. 修改策略。
3. 单击“确认”，完成配置。

动态NAT

策略名称

动态NAT策略的名称。

设备

部署动态NAT策略的CPE设备的名称。

接口名称

使能动态NAT策略的接口。

Overlay NAT策略，可选接口为Overlay Tunnnel口以及LAN侧接口。如果选择Overlay Tunnel口，表示在所有的Tunnel口上做NAT转换。

NAT模式

• Easy IP：使用接口的地址作为NAT转换后的地址。
  说明：

  同一接口下，Easy IP类型的动态NAT只能配置一条，如果站点上网的配置中，已经使能了NAT，则NAT策略中不可以再配置Easy IP类型动态NAT，因为站点上网中的NAT默认为Easy IP类型。

• PAT：支持端口转换，地址转换为多对一。
• No-PAT：不支持端口转换，进行一对一的地址转换。

IP地址组

起始IP地址

NAT转换后的IP地址的范围，一般为公网IP。仅当NAT模式选择PAT或者No-PAT时，才可配置。配置时有以下约束：

• 结束IP地址必须大于起始IP地址。
• 地址范围不能超过255。
• 同一接口下，不同NAT策略的IP地址段不能重叠。

结束IP地址

匹配规则

匹配规则

一个ACL访问控制列表，用户可定义多条ACL规则。匹配ACL的数据报文，CPE将对报文的源IP源端口进行NAT转换。

优先级

ACL规则的优先级。报文优先匹配级别高的规则，执行高优先级规则定义的动作。

动作

• 允许：表示匹配该ACL规则的报文可以通过。
• 拒绝：表示匹配该ACL规则的报文不可以通过。

协议

ACL规则匹配报文的协议类型。

源IP/掩码

ACL规则匹配报文的源IP地址。

目的IP/掩码

ACL规则匹配报文的目的IP地址。

源端口

ACL规则匹配报文的源端口。仅当协议选择为TCP或者UDP时，才可配置。

目的端口

ACL规则匹配报文的目的IP端口。仅当协议选择为TCP或者UDP时，才可配置。

静态NAT

策略名称

静态NAT策略的名称。

设备

部署静态NAT策略的CPE设备的名称。

接口名称

使能静态NAT策略的接口。

Overlay NAT策略，可选接口为Overlay Tunnel或者LAN侧接口。如果选择Overlay Tunnel口，表示在所有的Tunnel口上做NAT转换。

外部IP

NAT转换后的IP地址，一般是公网IP。

• 使用当前接口IP：使用接口IP地址作为外部IP。
• 用户自定义：使用配置的IP地址作为外部IP。

内部IP

NAT转换前的IP地址，一般是私网IP。

转换类型

• 地址转换：对所有源IP地址为内部IP的报文，进行NAT转换。
• 协议转换：根据报文的协议类型做NAT转换。

协议类型

仅当转换类型为协议转换时，才可配置。

• TCP：对所有源IP地址为内部IP、源端口为内部端口、且协议类型为TCP的报文做NAT转换。内部IP转换为外部IP，内部端口转换为外部端口。
• UDP：对所有源IP地址为内部IP、源端口为内部端口、且协议类型为UDP的报文做NAT转换。内部IP转换为外部IP，内部端口转换为外部端口。
• ICMP：对所有源IP地址为内部IP且协议类型为ICMP的报文做NAT转换。内部IP转换为外部IP。

外部端口

NAT转换后的端口号。仅当转换类型为协议转换且协议类型为TCP或者UDP，才可配置。

内部端口

NAT转换前的端口号。仅当转换类型为协议转换且协议类型为TCP或者UDP，才可配置。

高级设置

方向

缺省为“双向”，用户也可根据NAT转换的场景指定为“外部访问内部”或者“内部访问外部”。比如，某站点LAN侧部署了对外文件服务器，外部Internet主动访问内网服务器，则用户也可设置为“外部访问内部”。

匹配规则

如果用户需要限制做静态NAT转换的报文的范围，比如目的端口为指定端口的TCP报文才做NAT转换，那么可以在通过配置ACL规则来实现。

具体各字段含义可参考动态NAT的匹配规则。

撤销智能选路策略

对于没有下发到站点的策略，即没有执行“提交”操作的策略（“状态”不是“已提交”的策略），可以进行撤销操作。对于已经执行提交操作的策略无法进行撤销操作。撤销操作的目的是为了取消对策略的上一步的操作，如取消对策略的修改、取消新建策略、取消删除策略。撤销后的策略仅仅对配置进行回退，即只修改在iMaster NCE-Campus中的操作，并不会对设备进行操作。

在“智能选路”页签中，选中需要撤销的智能选路策略，单击“撤销”，再选择“撤销选中”，完成撤销。

删除智能选路策略

对于所有已经下发到站点和没有下发到站点的策略，可以进行删除操作。删除策略后，仅仅在iMaster NCE-Campus将把这些策略删除，如果还需要在设备中删除这些策略，还需要进行“提交”操作。

在“智能选路”页签中，选中需要删除的智能选路策略，单击“删除”，完成删除。

修改智能选路策略

对于所有已经下发到站点和没有下发到站点的策略，可以进行修改操作。修改策略后，仅仅在iMaster NCE-Campus将把这些策略修改，如果还需要在设备中修改这些策略，还需要进行“提交”操作。

1. 在“智能选路”页签，在需要修改的策略的“操作”列中，单击。
2. 修改策略。
3. 单击“确认”，完成配置。

克隆智能选路策略

在已有的策略基础上通过简单的修改，可以快速的新建一条策略。克隆策略后，仅仅在iMaster NCE-Campus中新建，如果还需要在下发设备，还需要进行“提交”操作。

1. 在“智能选路”页签，在需要克隆的策略的“操作”列中，单击。
2. 修改克隆后策略。
3. 单击“确认”，完成克隆。

去使能/使能智能选路策略

• 去使能：对于暂时不需要使用的策略，可以进行去使能操作。对于所有已经下发到站点和没有下发到站点的策略，可以进行去使能操作。去使能策略后，仅仅在iMaster NCE-Campus中把这些策略去使能，如果还需要在设备中去使能这些策略，还需要进行“提交”操作。
• 使能：对于去使能状态策略又需要使用，可以进行使能操作。对于所有已经下发到站点和没有下发到站点的策略，可以进行使能操作。使能策略后，仅仅在iMaster NCE-Campus将把这些策略使能，如果还需要在设备中使能这些策略，还需要进行“提交”操作。

• 去使能：在“智能选路”页签，在需要使能/去使能的策略的“操作”列中，单击，对策略进行去使能操作。
• 使能：在“智能选路”页签，在需要使能/去使能的策略的“操作”列中，单击，对策略进行使能操作。

站点视图下绑定新策略

以站点为对象，绑定新的策略。

1. 在“智能选路”页签，单击“站点视图”。
2. 在站点区域，选择站点。
3. 单击“绑定新策略”。
4. 选择需要绑定到选中站点的策略。
5. 单击“确认”，完成配置。

站点视图下批量配置策略

将已经绑定到站点的策略绑定到其他没有绑定过策略的站点中，使不同站点拥有同样的策略。

1. 在“智能选路”页签，单击“站点视图”。
2. 单击“批量配置”。
3. 在“克隆站点”中，选择已经绑定了策略的站点。
4. 在“站点”区域，选择需要绑定同样策略的目的站点。
5. 单击“确认”，完成配置。

站点视图下全部提交

以站点为对象，提交全部的策略。

1. 在“智能选路”页签，单击“站点视图”。
2. 在站点区域，选择站点。
3. 单击“全部提交”。
4. 单击“确认”，完成配置。

站点视图下撤销所有

以站点为对象，撤销所有策略。

1. 在“智能选路”页签，单击“站点视图”。
2. 在站点区域，选择站点。
3. 单击“撤销所有”。
4. 单击“确认”，完成配置。

策略名称

智能选路策略的名称。

流分类模板

对匹配流分类模板的报文应用智能选路策略。

策略优先级

智能选路策略的优先级。对于同一个数据流，优先匹配高优先级的智能选路策略。

切换指标

切换指标

切换指标主要指链路的延迟、抖动和丢包率，不同的业务对链路质量的要求不同，比如语音和视频业务对时延、丢包率的容忍度较低。CPE设备通过IP FPM（IP Flow Performance Measurement）实时监控应用流量的延迟、抖动以及丢包率，三个指标只要有其中一个超出阈值，就会触发链路切换。

系统为语音、实时视频、低时延数据、大容量数据这四种典型的业务定义了切换指标，用户直接选择业务类型即可。用户也可以根据业务需求自定义切换指标，选择“自定义”后，可对“延迟”、“抖动”、“丢包率”进行设置。

延迟(ms)

延迟时间。

抖动(ms)

抖动时间。

丢包率(‰)

丢包比例阈值。

传输网络优先级

主传输网络

优先级

配置主传输网络的优先级，数值越小优先级越高，用户也可以为传输网络配置相同优先级。

传输网络

用户可配置多条主传输网络，并指定其优先级。用户可通过设置“传输网络间流量行为”，定义不同传输网络间的调度模式。

• 对于相同优先级的传输网络，建议采用“负载均衡”的调度模式。
• 对于不同优先级的传输网络，建议采用“优先占用”的调度模式。即应用流量转发时，首先选择优先级最高的传输网络，如果“切换指标”超出阈值或者带宽占用率超出“带宽上限”，则切换至优先级较低的传输网络。

备传输网络

配置备传输网络。备传输网络提供的是逃生链路，只有当主传输网络全部不可用时，应用流量才切换到备传输网络。

高级设置

切换阈值上限

除了根据延迟、抖动和丢包率选择链路以外，用户还可以根据链路带宽利用率控制流量选路。

• 链路带宽占用率<下限值：当前应用流量通过该传输网络转发，新的应用流量也可以进入。
• 下限值<链路带宽占用率<上限值：仅保证当前应用流量的转发，新的应用流量不可以再进入。
• 链路带宽占用率>上限值：部分应用流量切换到其他传输网络，新的应用流量也不可以再进入。

切换阈值下限

带宽条件

传输网络

为某个传输网络配置带宽条件，主要有下面两种应用场景。

• 配置带宽上限和带宽下限：“切换阈值上限”和“切换阈值下限”默认应用于所有传输网络，如果用户需要为某个传输网络做特殊的配置，则可以在带宽条件里进行配置。
• 配置应用最大带宽和应用最小带宽：根据应用占用链路带宽的情况来选择链路。
  说明：

  应用带宽占用率是从应用的角度对流量进行选路控制，链路带宽利用率是从链路的角度对流量进行选路控制，建议用户不要叠加使用。应用带宽占用率超限后的设备行为与链路带宽利用率超限的设备行为一样。

带宽上限(%)

链路带宽占用率，基数为当前传输网络的链路总带宽，分子为链路上承载的所有应用占用的带宽之和。

带宽下限(%)

带宽上限(MB)

用户也可以通过数值的形式指定链路带宽上下限值。

带宽下限(MB)

应用最大带宽(%)

应用带宽占用率，基数为当前传输网络的链路总带宽，分子为流分类模板指定的应用所占用的带宽。

应用最小带宽(%)

应用最大带宽(MB)

用户也可以通过数值的形式指定应用带宽上下限值。

应用最小带宽(MB)

条件不满足时流量行为

当主传输网络的SLA均不满足要求，或者带宽利用率均超出阈值的情况 ，流量的选路行为。

• “差中选优”：在“优先占用”和“负载均衡”调度模式下，会基于CMI算法，从主传输网络中选择一条相对较好的链路进行流量转发。
• “等价转发”：在“负载均衡”调度模式下，通过查路由表随机选择链路进行报文转发。
• “丢弃”：如果配置了逃生链路，报文会通过逃生链路转发，如果未配置，报文将被全部丢弃，可能导致业务中断。

切换模式

发生了链路切换后，如果原链路质量恢复是否允许流量回切至原链路。链路切换，包括不同优先级的主传输网络之间的切换，以及主备传输网络之间的切换。

传输网络间流量行为

不同优先级的主传输网络，默认采用“优先占用”的调度模式，用户也可选择“负载均衡”的调度模式。

优先级（仅当“传输网络间流量行为”为“负载均衡”时可配）

应用优先级，数值越小优先级越高。如果在同一条链路上有多种业务报文，当链路拥塞时会优先保证高优先级应用的使用，低优先级应用避让高优先级应用。

生效时间模板

智能选路策略仅在模板定义的时间段内生效。

撤销QoS策略

对于没有下发到站点的策略，即没有执行“提交”操作的策略（“状态”不是“已提交”的策略），可以进行撤销操作。对于已经执行提交操作的策略无法进行撤销操作。撤销操作的目的是为了取消对策略的上一步的操作，如取消对策略的修改、取消新建策略、取消删除策略。撤销后的策略仅仅对配置进行回退，即只修改在iMaster NCE-Campus中的操作，并不会对设备进行操作。

在“QoS”页签中，选中需要撤销的QoS策略，单击“撤销”，再选择“撤销选中”，完成撤销。

删除QoS策略

对于所有已经下发到站点和没有下发到站点的策略，可以进行删除操作。删除策略后，仅仅在iMaster NCE-Campus将把这些策略删除，如果还需要在设备中删除这些策略，还需要进行“提交”操作。

在“QoS”页签中，选中需要删除的QoS策略，单击“删除”，完成删除。

修改QoS策略

对于所有已经下发到站点和没有下发到站点的策略，可以进行修改操作。修改策略后，仅仅在iMaster NCE-Campus将把这些策略修改，如果还需要在设备中修改这些策略，还需要进行“提交”操作。

1. 在“QoS”页签，在需要修改的策略的“操作”列中，单击。
2. 修改策略。
3. 单击“确认”，完成配置。

克隆QoS策略

在已有的策略基础上通过简单的修改，可以快速的新建一条策略。克隆策略后，仅仅在iMaster NCE-Campus中新建，如果还需要在下发设备，还需要进行“提交”操作。

1. 在“QoS”页签，在需要克隆的策略的“操作”列中，单击。
2. 修改克隆后策略。
3. 单击“确认”，完成克隆。

去使能/使能QoS策略

• 去使能：对于暂时不需要使用的策略，可以进行去使能操作。对于所有已经下发到站点和没有下发到站点的策略，可以进行去使能操作。去使能策略后，仅仅在iMaster NCE-Campus中把这些策略去使能，如果还需要在设备中去使能这些策略，还需要进行“提交”操作。
• 使能：对于去使能状态策略又需要使用，可以进行使能操作。对于所有已经下发到站点和没有下发到站点的策略，可以进行使能操作。使能策略后，仅仅在iMaster NCE-Campus将把这些策略使能，如果还需要在设备中使能这些策略，还需要进行“提交”操作。

• 去使能：在“QoS”页签，在需要使能/去使能的策略的“操作”列中，单击，对策略进行去使能操作。
• 使能：在“QoS”页签，在需要使能/去使能的策略的“操作”列中，单击，对策略进行使能操作。

站点视图下绑定新策略

以站点为对象，绑定新的策略。

1. 在“QoS”页签，单击“站点视图”。
2. 在站点区域，选择站点。
3. 单击“绑定新策略”。
4. 选择需要绑定到选中站点的策略。
5. 单击“确认”，完成配置。

站点视图下批量配置策略

将已经绑定到站点的策略绑定到其他没有绑定过策略的站点中，使不同站点拥有同样的策略。

1. 在“QoS”页签，单击“站点视图”。
2. 单击“批量配置”。
3. 在“克隆站点”中，选择已经绑定了而来的站点。
4. 在“站点”区域，选择需要绑定同样策略的目的站点。
5. 单击“确认”，完成配置。

站点视图下全部提交

以站点为对象，提交全部的策略。

1. 在“QoS”页签，单击“站点视图”。
2. 在站点区域，选择站点。
3. 单击“全部提交”。
4. 单击“确认”，完成配置。

站点视图下撤销所有

以站点为对象，撤销所有策略。

1. 在“QoS”页签，单击“站点视图”。
2. 在站点区域，选择站点。
3. 单击“撤销所有”。
4. 单击“确认”，完成配置。

策略名称

QoS策略的名称。

流分类模板

对匹配流分类模板的报文应用QoS策略。

策略优先级

QoS策略的优先级。

LAN

LAN DSCP标记

指定IP报文的DSCP优先级值。取值范围是0～63，值越大优先级越高。

如果使能了“LAN”，则CPE会将封装在Overlay隧道内的IP头的DSCP字段设置为该值。

LAN统计开关

使能LAN口流量统计功能。使能流量统计功能后，可以在CPE设备上查看统计信息。

WAN

队列优先级

队列优先级

对于需要重点保障的关键应用，建议使能“队列优先级”。当使能“队列优先级”后，CPE会根据设置的队列优先级，自动将识别的报文设置为不同的队列类型。

优先级（使能“队列优先级”时，才需要配置）

QoS优先级。当发生网络拥塞时，系统将优先保证高优先级的应用报文正常传输。主要支持如下几种：

• 中等：中等优先级使用AF（Assured Forwarding）确保转发队列，可以保证在网络发送的业务流量没有超过最小可确保带宽的情况下，此队列中报文的丢失概率非常低。
• 高：高优先级使用EF（Expedited Forwarding）加速转发队列，匹配规则的报文进入EF队列后，进行绝对优先级调度，仅当EF队列中的报文调度完毕后，才会调度其他队列中的报文。而且当AF或BE队列有空闲带宽时，EF队列可以对空闲带宽进行占用。
• 最高：最高优先级使用LLQ（Low Latency Queuing）调度。LLQ队列一种特殊的EF队列，采用绝对优先调度，相较于EF队列而言，时延更低，可以为时延敏感的应用（如VoIP业务）提供良好的服务质量保证。但是LLQ队列不抢占剩余带宽。

保证带宽（使能“队列优先级”时，才需要配置）

对于AF和EF队列，保证带宽为可确保的最小带宽，当流量超出保证带宽后可以占用剩余带宽。

对于LLQ队列，由于LLQ队列不抢占剩余带宽，所以保证带宽为可确保的最大带宽，当流量超出保证带宽后会被丢弃。

保证带宽的配置方式支持指定具体的带宽值，也可指定带宽占用比例。其中，百分比的基数为接口上某部门（VPN）可用的带宽，如果直接指定保证带宽的值，也不能超过该基数。

例如，某WAN侧接口带宽为100M，经过流量分配后，VPN1占用50M带宽，如果保证带宽配置20%，则匹配该流分类的报文可以占用10M的带宽。

流量带宽限制

流量带宽限制

是否对流量的带宽做限制。当使能“流量带宽限制”后，将对匹配一定规则的某一类报文进行低延时转发。

限制类型（使能“流量带宽限制”时，才需要配置）

支持如下几种类型：

• 流量整形：（削峰填谷）是一种主动调整流量输出速率的措施。当下游设备的入接口速率小于上游设备的出接口速率或发生突发流量时，下游设备入接口处可能出现流量拥塞的情况，此时用户可以通过在上游设备的接口出方向配置流量整形，将上游不规整的流量进行削峰填谷，输出一条比较平整的流量，从而解决下游设备的拥塞问题。
• 流量监管：（削峰）对流量进行控制，通过监督进入网络的流量速率，对超出部分的流量进行丢弃，使进入的流量被限制在一个合理的范围之内，从而保护网络资源和企业网用户的利益。目前使用CAR进行流量监管。

限制带宽（使能“流量带宽限制”时，才需要配置）

限制带宽表示流量的上限值，如果超出了这个数值，报文会被限制——缓存起来稍后发送（整形）或者直接丢弃（监管）。

理论上，限制带宽要大于保证带宽。

DSCP标记

如果“接口”选择的是“WAN”口，则CPE会将报文最外层IP头的DSCP字段设置为该值；如果“接口”选择的是“LAN”口，则CPE会将封装在Overlay隧道内的IP头的DSCP字段设置为该值。

指定IP报文的DSCP优先级值。当流量进入CPE设备时，CPE会把报文最外层IP头的DSCP字段设置为该值。此参数取值范围是0～63，值越大优先级越高。

一般情况下，语音报文场景DSCP优先级设为最高，视频报文的DSCP优先级其次，数据报文的DSCP优先级最低。

队列长度

队列的最大长度。只有当“队列优先级”配置为“高”或者“中等”后才能配置队列长度。

用户可指定队列最多可存储报文字节数，或者指定队列最多可存储报文数，或者两者都指定。如果两者都指定，表示当队列中的报文数达到队列总报文最大个数，或队列中所有报文字节总数达到队列总报文最大字节数时，队列不再接受报文。

Re-mark 8021p

重新标记VLAN报文的802.1p优先级，值越大优先级越高。由于流策略应用在接口出方向时，将不会影响当前CPE设备对报文的QoS处理，仅会影响下游二层设备对报文的QoS处理。

统计开关

使能流量统计功能。使能流量统计功能后，可以在CPE设备上查看统计信息。

生效时间模板

QoS策略仅在模板定义的时间段内生效。

设备

选择站点设备。在单网关场景下，站点设备仅有一个，用户直接选择即可。在双网关场景下，存在下面两种情况：

• 单出口：仅一个网关设备的WAN侧接口支持上网。这种情况下，仅在一个网关设备上配置VAS连接即可。
• 双出口：两个网关设备的WAN侧接口均支持上网。这种情况下，两个网关设备上都需要配置VAS连接。

方向

在一个VPN下，一个站点设备需要配置两条VAS连接，一个Ingress方向和一个Egress方向。

• Ingress方向：上网流量由站点设备发送至FW的Ingress接口。
• Egress方向：上网流量经FW处理完后，由Egress接口传回站点设备。

描述

VAS连接的描述信息。

接口配置

接入类型

接口的接入类型。支持VLAN和L3接口两种类型。当前FW仅支持VLAN方式对接，L3接口作为预留。以下接口配置的参数说明，均为VLAN对接方式下的。

VLAN ID

接入类型为VLAN时，站点设备与FW之间二层通信所使用的VLAN。系统会根据VLAN ID自动创建VLANIF接口。

物理接口

Ingress方向上，配置与FW的Ingress接口对接的接口；Egress方向上，配置与FW的Egress接口对接的接口。

当前站点设备与FW对接所使用的物理接口的接口类型、接口编号均与FW下创建的接口类型、接口编号一致。

TAG模式

出口报文是否加VLAN Tag标签。

IP地址

VLAN IF接口的IP地址。

信任模式

指定安全域的类型，接口上收到的报文属于信任域还是非信任域，如果为非信任域，则接口上收到的报文需要转发至安全策略模块进行处理。

路由配置

路由

路由类型，支持OSPF或者静态路由。

静态路由

目的网段/掩码

静态路由的目的网段。比如，对于上网业务流量，用户需要在Ingress方向上配置一条静态路由，目的网段为0.0.0.0，下一跳为FW的Ingress接口的IP地址；对于回程业务流量，用户需要在Egress方向上配置一条静态路由，目的网段为VPN下某个分支站点的地址段，下一跳为FW的Egress接口的IP地址。

下一跳类型

静态路由的下一跳类型，当前只支持IP地址类型。

IP地址

下一跳IP地址。

优先级

静态路由优先级，数值越小优先级越高。

探测

使能静态路由与NQA测试例联动。

目标

静态路由与NQA联动时仅采用ICMP测试例来检测源端到目的端的路由是否可达。指定NQA测试例的目的地址。

OSPF

进程ID

OSPF进程的ID，系统规划给VAS使用OSPF路由，进程ID限制在60000~61000的范围内。

通告默认路由

是否将缺省路由通告到普通OSPF区域。开启该开关后，设备会一直对外通告OSPF缺省路由。

接口参数

区域ID

OSPF区域的ID号。

验证模式

OSPF支持报文验证功能，只有通过验证的OSPF报文才能接收，否则将不能正常建立邻居。

加密模式（当“验证模式”为“Cryptographic”时，才需要配置）

支持MD5、HMAC-MD5或者HMAC-SHA256三种加密模式。MD5、HMAC-MD5加密模式可能存在安全风险，推荐使用HMAC-SHA256加密模式。

Key（当“验证模式”为“Cryptographic”时，才需要配置）

设置接口密文验证的验证字标识符。

密码（当“验证模式”为“Simple”或者“Cryptographic”时，才需要配置）

设置密文验证字。

删除QoS策略

对于所有已经下发到站点和没有下发到站点的策略，可以进行删除操作。删除策略后，仅仅在iMaster NCE-Campus将把这些策略删除，如果还需要在设备中删除这些策略，还需要进行“提交”操作。

在“QoS”页签中，选中需要删除的QoS策略，单击“删除”，完成删除。

修改QoS策略

对于所有已经下发到站点和没有下发到站点的策略，可以进行修改操作。修改策略后，仅仅在iMaster NCE-Campus将把这些策略修改，如果还需要在设备中修改这些策略，还需要进行“提交”操作。

1. 在“QoS”页签，在需要修改的策略的“操作”列中，单击。
2. 修改策略。
3. 单击“确认”，完成配置。

策略名称

QoS策略的名称。

流分类模板

对匹配流分类模板的报文应用QoS策略。

策略优先级

QoS策略的优先级。

设备

选择需要配置QoS的设备。

类型

支持WAN接口和LAN接口类型。

• WAN：业务报文直接通过Underlay网络从LAN侧发送到WAN侧时，推荐使用Common的WAN类型QoS策略。
• LAN：当需要修改DSCP的报文时，推荐使用Common的LAN类型QoS策略。

接口名称

支持WAN接口和LAN接口。当前QoS策略（主要指“队列优先级”和“流量带宽限制”）仅支持作用在WAN侧接口的出方向上，而在LAN接口上仅支持配置“DSCP标记”。

流量方向

系统自动显示。

• 当“类型”设置为“WAN”时，该值自动显示为“outbound”。
• 当“类型”设置为“LAN”时，该值自动显示为“inbound”。

队列优先级（当“类型”设置为“WAN”时，才需要配置。）

队列优先级

对于需要重点保障的关键应用，建议使能“队列优先级”。当使能“队列优先级”后，CPE会根据设置的队列优先级，自动将识别的报文设置为不同的队列类型。

优先级（使能“队列优先级”时，才需要配置。）

QoS优先级。当发生网络拥塞时，系统将优先保证高优先级的应用报文正常传输。主要支持如下几种：

• 中等：中等优先级使用AF（Assured Forwarding）确保转发队列，可以保证在网络发送的业务流量没有超过最小可确保带宽的情况下，此队列中报文的丢失概率非常低。
• 高：高优先级使用EF（Expedited Forwarding）加速转发队列，匹配规则的报文进入EF队列后，进行绝对优先级调度，仅当EF队列中的报文调度完毕后，才会调度其他队列中的报文。而且当AF或BE队列有空闲带宽时，EF队列可以对空闲带宽进行占用。
• 最高：最高优先级使用LLQ（Low Latency Queuing）调度。LLQ队列一种特殊的EF队列，采用绝对优先调度，相较于EF队列而言，时延更低，可以为时延敏感的应用（如VoIP业务）提供良好的服务质量保证。但是LLQ队列不抢占剩余带宽。

保证带宽（使能“队列优先级”时，才需要配置。）

对于AF和EF队列，保证带宽为可确保的最小带宽，当流量超出保证带宽后可以占用剩余带宽。

对于LLQ队列，由于LLQ队列不抢占剩余带宽，所以保证带宽为可确保的最大带宽，当流量超出保证带宽后会被丢弃。

保证带宽的配置方式支持指定具体的带宽值，也可指定带宽占用比例。其中，百分比的基数为接口上某部门（VPN）可用的带宽，如果直接指定保证带宽的值，也不能超过该基数。

例如，某WAN侧接口带宽为100M，经过流量分配后，VPN1占用50M带宽，如果保证带宽配置20%，则匹配该流分类的报文可以占用10M的带宽。

流量带宽限制

（当“类型”设置为“WAN”时，才需要配置。）

流量带宽限制

是否对流量的带宽做限制。当使能“流量带宽限制”后，将对匹配一定规则的某一类报文进行低延时转发。

限制类型（使能“流量带宽限制”时，才需要配置。）

• 流量整形：（削峰填谷）是一种主动调整流量输出速率的措施。当下游设备的入接口速率小于上游设备的出接口速率或发生突发流量时，下游设备入接口处可能出现流量拥塞的情况，此时用户可以通过在上游设备的接口出方向配置流量整形，将上游不规整的流量进行削峰填谷，输出一条比较平整的流量，从而解决下游设备的拥塞问题。
• 流量监管：（削峰）对流量进行控制，通过监督进入网络的流量速率，对超出部分的流量进行丢弃，使进入的流量被限制在一个合理的范围之内，从而保护网络资源和企业网用户的利益。目前使用CAR进行流量监管。

如果使能了“队列优先级”，且优先级为“最高”或者“高”时，只能选择流量监管，不能选择流量整形。

限制带宽（使能“流量带宽限制”时，才需要配置。）

限制带宽表示流量的上限值，如果超出了这个数值，报文会被限制——缓存起来稍后发送（整形）或者直接丢弃（监管）。

理论上，限制带宽要大于保证带宽。

DSCP标记

指定IP报文的DSCP优先级值。当流量进入CPE设备时，CPE会把报文最外层IP头的DSCP字段设置为该值。此参数取值范围是0～63，值越大优先级越高。

一般情况下，语音报文场景DSCP优先级设为最高，视频报文的DSCP优先级其次，数据报文的DSCP优先级最低。

队列长度

（当“类型”设置为“WAN”时，才需要配置。）

队列的最大长度。只有当“队列优先级”配置为“高”或者“中等”后才能配置队列长度。

用户可指定队列最多可存储报文字节数，或者指定队列最多可存储报文数，或者两者都指定。如果两者都指定，表示当队列中的报文数达到队列总报文最大个数，或队列中所有报文字节总数达到队列总报文最大字节数时，队列不再接受报文。

Re-mark 8021p

（当“类型”设置为“WAN”时，才需要配置。）

重新标记VLAN报文的802.1p优先级，值越大优先级越高。由于流策略应用在接口出方向时，将不会影响当前CPE设备对报文的QoS处理，仅会影响下游二层设备对报文的QoS处理。

统计开关

（当“类型”设置为“WAN”时，才需要配置。）

使能流量统计功能。使能流量统计功能后，可以在CPE设备上查看统计信息。

生效时间模板

QoS策略仅在模板定义的时间段内生效。

dns

使能后，可以进行如下转换：

响应报文中的IP和Port

当前不涉及此协议应用场景，默认不能使能。

ftp

使能后，可以进行如下转换：

• Port请求报文中载荷里的IP和Port
• Passive响应报文中载荷里的IP和Port

rtsp

使能后，可以进行如下转换：

setup/reply OK报文中的端口字段

sip

使能后，可以进行如下转换：

• Request line
• From
• To
• Contact
• Via
• O
• Message body的C字段地址和M字段的端口
• record-router

pptp

使能后，可以进行如下转换：

分PPTP Client在私网还是PPTP Server在私网两种场景：

• PPTP Client在私网，PPTP Server在公网时，仅对Client-Call-ID进行端口替换。
• PPTP Server在私网，PPTP Client在公网时，仅对Server-Call-ID进行端口替换。

删除云安全策略

对于云安全策略，可以进行删除操作。

在“云安全”页签中，选中需要删除的云安全策略，单击“删除”，完成删除。

修改云安全策略

对于所有云安全策略，可以进行修改操作。

1. 在“云安全”页签，在需要修改的策略的“操作”列中，单击。
2. 修改策略。
3. 单击“确认”，完成配置。

策略名称

云安全的策略名称。通过GRE隧道与云访问安全代理对接，实现访问网络应用的安全性。

流分类模板

选择流分类模板，匹配流分类模板的报文经过GRE隧道转发。云安全策略场景下不支持选择包含有应用组的流分类模板，流分类模板的目的IP地址一般设置为云访问安全代理的IP地址。

隧道信息

设备名称（ESN）

与云访问安全代理对接的CPE设备。

WAN链路

CPE设备的WAN链路。一条WAN链路可对应一主一备两条GRE隧道。当主GRE隧道故障，流量启动切换至备GRE隧道。

主隧道

GRE隧道源IP

主隧道的源端地址。

GRE隧道目的IP

主隧道的目的端地址。

云网关IP

与GRE隧道对接的第三方安全云网关地址。

GRE Key

主隧道的识别关键字。为了增强GRE隧道的安全性，可以对GRE隧道两端设置GRE隧道的识别关键字，通过这种安全机制防止错误识别、接收其它地方来的报文。该值需与云访问安全代理的GRE Key保持一致。

GRE校验和

选择是否使能对封装的报文进行端到端校验。

备隧道

GRE隧道源IP

备隧道的接口IP地址。

GRE隧道目的IP

备隧道的目的端地址。

云网关IP

与GRE隧道对接的第三方安全云网关地址。

GRE Key

备隧道的识别关键字。

GRE校验和

选择是否使能对封装的报文进行端到端校验。

报文分片

MTU

隧道接口的MTU。对主备隧道同时生效。

MSS

隧道接口的TCP最大报文段长度。对主备隧道同时生效。

Keepalive

周期（秒）

GRE隧道发送Keepalive报文的定时器周期。默认5秒。每发送一个，不可达计数器加一。如果此计数器的值到达“重试次数”还没收到返回报文，就认为对端不可达。对主备隧道同时生效。

重试次数

隧道对端不可达的重试次数。默认3次。对主备隧道同时生效。

撤销安全策略

对于没有下发到站点的策略，即没有执行“提交”操作的策略（“状态”不是“已提交”的策略），可以进行撤销操作。对于已经执行提交操作的策略无法进行撤销操作。撤销操作的目的是为了取消对策略的上一步的操作，如取消对策略的修改、取消新建策略、取消删除策略。撤销后的策略仅仅对配置进行回退，即只修改在iMaster NCE-Campus中的操作，并不会对设备进行操作。

在“安全策略”页签中，选中需要撤销的策略，单击“撤销”，再选择“撤销选中”，完成撤销。

删除安全策略

对于所有已经下发到站点和没有下发到站点的策略，可以进行删除操作。删除策略后，仅仅在iMaster NCE-Campus将把这些策略删除，如果还需要在设备中删除这些策略，还需要进行“提交”操作。

在“安全策略”页签中，选中需要删除的策略，单击“删除”，完成删除。

修改安全策略

对于所有已经下发到站点和没有下发到站点的策略，可以进行修改操作。修改策略后，仅仅在iMaster NCE-Campus将把这些策略修改，如果还需要在设备中修改这些策略，还需要进行“提交”操作。

1. 在“安全策略”页签，在需要修改的策略的“操作”列中，单击。
2. 修改策略。
3. 单击“确认”，完成配置。

克隆安全策略

在已有的策略基础上通过简单的修改，可以快速的新建一条策略。克隆策略后，仅仅在iMaster NCE-Campus中新建，如果还需要在下发设备，还需要进行“提交”操作。

1. 在“安全策略”页签，在需要克隆的策略的“操作”列中，单击。
2. 修改克隆后策略。
3. 单击“确认”，完成克隆。

去使能/使能安全策略

• 去使能：对于暂时不需要使用的策略，可以进行去使能操作。对于所有已经下发到站点和没有下发到站点的策略，可以进行去使能操作。去使能策略后，仅仅在iMaster NCE-Campus中把这些策略去使能，如果还需要在设备中去使能这些策略，还需要进行“提交”操作。
• 使能：对于去使能状态策略又需要使用，可以进行使能操作。对于所有已经下发到站点和没有下发到站点的策略，可以进行使能操作。使能策略后，仅仅在iMaster NCE-Campus将把这些策略使能，如果还需要在设备中使能这些策略，还需要进行“提交”操作。

• 去使能：在“安全策略”页签，在需要使能/去使能的策略的“操作”列中，单击，对策略进行去使能操作。
• 使能：在“安全策略”页签，在需要使能/去使能的策略的“操作”列中，单击，对策略进行使能操作。

策略名称

安全策略的名称。

安全策略

URL策略

策略类型

对URL的过滤后的影响动作。在查询到URL的分类后，设备会根据配置的动作做出响应。支持如下两种类型：

• 黑名单
• 白名单

黑名单/白名单列表

添加URL过滤列表。

• 如果添加的是黑名单列表，则不在“黑名单列表”中的URL可以访问。
• 如果添加的是白名单列表，则只有在“白名单列表”中的URL才可以访问。

启用预定义分类

选择是否通过URL预分类库定义阻断动作实现访问控制。

CPE设备出厂时会预置一个URL预分类库，类别多达四十多种，每一类下定义了多个URL。

过滤级别（仅使能了“启用预定义分类”后才可配置）

如果需要对每一种URL类型都配置响应动作，则用户的工作量巨大。为了简化用户的配置操作，使用高、中、低三种分类策略控制的模板进行分类。这三种默认的分类如果不满足要求可以使用自定义的方式控制动作。当前支持如下几种级别：

• 高：代表相对比较严格的分类处理动作（例如：对成人网站、非法活动、社交网络、视频共享等网站进行控制）。
• 中：代表相对比较中等的分类处理动作。（例如：对所有成人网站和非法网站进行控制）
• 低：代表相对比较宽松的分类处理动作（例如：对成人网站进行控制）。
• 自定义： 对每一个预定义分类自定义动作，即选择允许或者拒绝。

防火墙策略

入方向默认动作

未匹配入方向列表的数据报文，按照默认动作处理。缺省情况下，入方向拒绝任何报文通过，用户也可设置入方向报文的默认动作为允许。入方向是指从优先级低的安全区域到优先级高的安全区域。

入方向列表

入方向列表

一个ACL访问控制列表，用户可定义多条ACL规则。

优先级

ACL规则的优先级。报文优先匹配级别高的规则，执行高优先级规则定义的动作。

动作

• 允许：表示入方向上匹配该ACL规则的报文可以通过。
• 拒绝：表示入方向上匹配该ACL规则的报文不可以通过。

协议

ACL规则匹配报文的协议类型。

源IP

ACL规则匹配报文的源IP地址。

源端口

ACL规则匹配报文的源IP端口。

目的IP

ACL规则匹配报文的目的IP地址。

目的端口

ACL规则匹配报文的目的IP端口。

出方向默认动作

未匹配出方向列表的数据报文，按照默认动作处理。缺省情况下，出方向允许任何报文通过，用户也可设置出方向报文的默认动作为拒绝。出方向是指从优先级高的安全区域到优先级低的安全区域。

出方向列表

出方向列表

一个ACL访问控制列表，用户可定义多条ACL规则。

优先级

ACL规则的优先级。报文优先匹配级别高的规则，执行高优先级规则定义的动作。

动作

• 允许：表示出方向上匹配该ACL规则的报文可以通过。
• 拒绝：表示出方向上匹配该ACL规则的报文不可以通过。

协议

ACL规则匹配报文的协议类型。

源IP

ACL规则匹配报文的源IP地址。

源端口

ACL规则匹配报文的源IP端口。

目的IP

ACL规则匹配报文的目的IP地址。

目的端口

ACL规则匹配报文的目的IP端口。

IPS策略

安全配置文件

iMaster NCE-Campus缺省存在多个安全配置文件以适用于不同的应用场景，预置的安全配置文件可以查看或直接被安全策略引用。当前支持的安全配置文件如下：

• strict：包括所有签名，动作为阻断。适用于所有协议。适用于所有威胁类别。该配置文件适用于需要设备阻断所有命中签名的报文场景。
• web_server：包括所有签名，动作采用签名的缺省动作。适用于DNS、HTTP、FTP协议。适用于所有威胁类别。该配置文件适用于当设备部署在Web服务器前面的场景。
• file_server：包括所有签名，动作采用签名的缺省动作。适用于DNS、SMB、NFS、SUNRPC、MSRPC、FILE、TELNET协议。适用于所有威胁类别。该配置文件适用于当设备部署在File服务器前面的场景。
• dns_server：包括所有签名，动作采用签名的缺省动作。适用于DNS协议。适用于所有威胁类别。该配置文件适用于当设备部署在DNS服务器前面的场景。
• mail_server：包括所有签名，动作采用签名的缺省动作。适用于DNS、IMAP4、SMTP、POP3协议。适用于所有威胁类别。该配置文件适用于当设备部署在Mail服务器前面的场景。
• inside_firewall：包括所有签名，动作采用签名的缺省动作。适用于所有协议。适用于所有威胁类别。该配置文件适用于当设备部署在防火墙里面的场景。
• dmz：包括所有签名，动作采用签名的缺省动作。适用于除NFS、SMB、TELNET和TFTP之外的所有协议。适用于所有威胁类别。该配置文件适用于当设备部署在DMZ区域前的场景。
• outside_firewall：包括所有签名，动作采用签名的缺省动作。适用于所有协议。适用于除Scanner之外的威胁类别。该配置文件适用于当设备部署在防火墙外面的场景。
• default：包括所有签名，动作采用签名的缺省动作。适用于所有协议。适用于所有威胁类别。该配置文件适用于当设备以IPS（直路）模式部署时的通用场景。