H3CSecPathACG1000系列应用控制网关用户FAQ(R6612E6453)6W102新华三集团

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。

目录

设备推荐使用在某个区域的网关或与外网接入处，一般来说，外部网络是最具有威胁的。当所有外网流量进入内网时都需要经过边界网关。由此来说设备放置的位置应为与外网接入的地方。如果内网某一区域对安全性有高要求也可放置设备。但要注意，所有设备应放在区域与区域相接处。

设备能够工作在三种模式下：路由模式、透明模式和旁路模式。如果设备以第三层对外连接（接口具有IP地址），则认为设备工作在路由模式下；若设备通过第二层对外连接（接口无IP地址），则设备工作在透明模式下；若设备在完全不影响原网络运行的情况下部署，则设备工作在旁路模式下。

当设备位于内部网络和外部网络之间时，需要将设备与内部网络、外部网络区域相连的接口分别配置成不同网段的IP地址，重新规划原有的网络拓扑，此时相当于一台路由器。也就是说，路由模式设备连接两个不同的子网。

在网络出口需要定义一些访问控制列表（ACL）来对内外网访问进行更严格的要求时，采用路由模式时，路由模式设备可以完成ACL包过滤、NAT转换等功能。

如出现该情况可检查路由表，执行displayiproute命令查看路由表中是否存在外网路由，如路由表正常，查看设备安全策略，在设备中默认安全策略为deny，需要手工设定放行条目，执行displayrunning-configpolicy命令查看设备安全策略。

透明模式设备进行工作时，可以避免改变拓扑结构造成的麻烦，此时设备对于子网用户和路由器来说是完全透明的。也就是说，用户完全感觉不到设备的存在。

检查物理接口是否划入到了bvi接口中，displayrunning-configinterface查看当前接口下信息。

在透明模式下，设备将流过的所有二层数据进行解封装，把数据根据用户定义的规则进行从二层到四层的过滤。但与路由模式不同的是，设备会将过滤后的数据重新用原来的二层源地址和目的地址再封装成帧进行转发，而不改变数据帧的源地址和目的地址。

透明模式设备一般使用在原网络拓扑在已经完善的情况下增添设备。配置透明模式设备，设备相当于二层设备。可以将设备的多个接口连接到相同子网。可以在不更改其它设备的路由网关对网络进行保护。减少工作量。

旁路模式在不更改原网络部署环境的前提下使用。旁路模式设备将通过的流量进行监听、审计等作用。

旁路模式部署不会大范围影响原网络拓扑结构。只需在原出口设备连接上设备即可。

查看旁路模式设备审计日志时无相应显示，该情况可查看策略配置，执行displayrunning-configpolicy命令于查看设备的部署策略。

设备具有很好的保护网络安全的效果。入侵者必须首先穿越设备的安全防线，才能接触目标计算机。用户可以将设备配置多种策略，如控制端口、协议、应用等。

设备默认存在一条全拒绝的控制策略，使用设备时应先注意安全策略是否匹配。

是的，由于在修改下发时需要先清掉接口地址模式的配置然后在下发配置，因此导致原有配置会被清掉，点击取消后也没有了，如果需要原有配置的话，需重新配置下。

此功能主要为了实现设备快速部署于网络中，支持网关模式、网桥模式和旁路模式。

查看接口下是否配置了HTTPS访问控制，查看是否开启了管理员证书认证功能但并没有对应的证书。

USBKey目前仅支持epass一个厂商。

在管理员双因子认证功能已正常开启的情况下，如果设备CA证书发生变更，需要先关闭管理员双因子认证功能然后再次开启，以便重新关联新的CA根证书。

火狐浏览器需要做兼容性设置，否则无法调用Ukey中的证书。

该问题主要原因是由于用户会话的加密导致，原因为：

特征库的版本号有固定规范不能随意修改添加，但考虑一些特殊局点，需要特殊的特征库，故提供的特征库版本号一致。这种特殊的特征库都采用手动升级的方式，所以手动升级不检测版本号，以手动导入的为准。

是的，因为安全红线要求，在使用HTTPS访问时将浏览器的会话COOKIE设置了Secure属性，

处理方法：

(1)清空浏览器缓存后，刷新页面或关闭浏览器重新打开；

(2)使用其它浏览器访问。

设备在开启实时保存后，每次进行配置的时候都会执行配置保存，非常消耗设备资源，因此不建议开启，由于开启后频繁快速操作或者配合HA使用时可能存在以下现象：

(1)SNMP用户同步过程中，连续生成2次录入用户任务，第一次的用户录入大概率无法同步到备设备；

(2)控制策略引用一条空的url对象，然后在url对象页面添加内容，概率出现引用关系消失；

(3)在自动保存配置的过程中，同时删除多个用户，提示信息有误等问题。

可以使用命令displayrunningauditpoliy查看当前的审计策略。

IPv4审计策略的匹配是从上向下匹配，审计策略里面的源目接口和源目地址都是双向匹配。

日志查询结果按天显示，如果某一天没有所要查询的日志，那么该天对应的日志查询结果页面为空。

(1)查看IPv4审计策略是否有配置，配置是否正确。

(2)查看在线用户中是否有终端用户IP地址，是否为匿名用户。

a.如果在线用户看不到终端IP检查用户识别范围、识别模式是否配置正确。

b.如果在线用户为匿名用户检查是否有配置非经功能，开启非经功能后默认匿名用户不记录上网日志。

c.查看配置文件（displayrunning-config）中是否配置匿名用户审计（anony_userlogxxx）。

(3)查看设备cpu、内存是否较高，设备资源使用过高会自动进入审计bypass状态。

(4)查看设备是否为旁路模式部署，旁路模式需镜像上下行流量。

(5)在Web页面进入“系统管理>日志设定>日志过滤”，查看上网行为日志是否记录到本地。

(6)查看应用识别模式是否开启。

(7)查看上网日志是否符合记录审计日志模块的匹配条件。

(8)查看特定IP地址的会话的AppName字段来确认是否为误识别，命令为：displayipconnectionprotocolprotocol-nameipsourcesource-addrdestdest-addr；调试命令：debugappauditdetail，debugapplicationidentify。

(1)检查审计策略是否正确；

(2)查看应用识别审计是否开启；

(3)所访问网站是否符合包含content-type字段类型为text/html；

(4)查看HTTP返回码是否为200；

(5)查看网页标题长度是否大于128字符；

(6)查看URL长度是否大于512。

(1)查看应用审计日志是否发送，日志服务器是否启用，服务器IP及端口是否正确；

(2)Syslog服务器是否启动，端口是否与设备配置一致；

(3)查看路由是否正确，ping服务器地址是否能ping通。

达到了邮件还原的最大限制数。

阿里旺旺审计不到退出和收发消息，加密应用无法获取到这两种行为特征

审计内容的获取是会把部分格式的内容也审计下来，涉及的日志种类很多，由于基本没影响，改动又较大。下个大版本考虑统一做优化。

这两老字段现在没有实际用途，为了保证版本升级数据库兼容性所以保留下来（避免版本升级要清库导致日志丢失），UI做了屏蔽不会显示。

邮件日志外发时，附件个数规格限制为5个，最多发送5个附件。

由于设备审计邮件是作为整体来审计的，不判断附件个数和大小，在日志外发时再单个拆分附件并统计大小，比较繁琐，非常耗性能，再加上目前并无附件大小统计显示的需求，所以file_size按默认显示为0。

仅支持MIME(MultipurposeInternetMailExtensions)多用途互联网邮件扩展类型的邮件，目前网络中邮件基本都采用MIME格式。

终端上下线日志是存在数据库中的，模式切换后只有新产生的终端上下线日志才会更新用户名，在线用户处用户名会改变，因为是从内存中保存的用户信息获取的。

操作系统类型是通过HTTP中的UA字段来识别的，用户第一次上网产生的流量携带了UA标识，如果后续流量未产生UA标识的情况下，会直接取上一次的UA标识的操作系统结果来产生日志，因此操作系统显示只能作为参考，不能保证百分之百正确。

目前HTTP文件下载支持的文件格式后缀如下：

.apk,mpeg,mpg,wma,wav,mp3,aac,compressed,zip,.rar,.gz,.bz2,.tgz,.tbz,.arj,.lzh,.tar,.ace,.uue,.jar,.iso,.7z,.bin,.zip,.txt,.hdr,.doc,.xls,.xlsx,.pacp,.pacpng,.cap,.img,.xz,.exe,.cmd,.bat,.msi,.dmg,.dll,.rpm,.ptada,.gpg,.pdf,.ps,.info,.cat,.cfg,.lss,.msg。

由于目前大部分浏览器对于.txt格式的文件会自动打开查看而不能进行下载，而且查看的时候浏览器默认使用utf-8格式的编码打开，从而导致出现非utf-8编码的.txt文件在浏览器直接打开查看时显示乱码，无法查看审计到的.txt附件内容，为规避浏览器此问题，目前设备自动对txt文件压缩为.tar格式，这样就能够正常下载到本地解压缩查看了，而页面还是正常显示真实的文件名称及后缀，只是下载时把.txt文件压缩到.tar文件来进行下载。

审计策略匹配优先级从上至下进行匹配，支持配置多条，不进行去重校验；

·HTTP类审计

(1)网站访问

匹配条件：

a.HTTP协议解码模块正确解析获取到host字段。

b.URL库中正确对该host进行URL分类处理。

c.审计模块正确审计到网页标题。

注意项：

(2)网络社区

a.应用识别模块识别到论坛和微博发帖行为；

b.审计模块根据审计特征正确提取到发帖内容。

(3)网页搜索

a.应用识别模块识别到具体的应用搜索行为。

b.审计模块根据审计特征可以正确提取到搜索关键字内容。

对搜索引擎类、电子商务类的搜索行为进行审计，记录日志到搜索关键字日志模块。

(4)HTTP外发下载文件

a.应用识别模块正确识别到HTTP文件传输行为。

b.审计模块根据审计特征正确提取到传输文件名。

(5)Web网盘上传下载文件（需开启解密功能）

a.通过特征识别网盘文件上传、下载会话，提取文件名信息。

b.文件内容先缓存在内存中，整个文件的内容缓存完成后，以文件形式写在硬盘上。

c.通过点击文件传输审计日志里面的文件名，把设备里的文件下载到本地。

网页版网盘上传、下载文件支持百度网盘、360网盘、网易网盘的审计；附件单个文件大小最大支持100M（也可能是99.9M，会有一点点的误差）。

·邮件类审计

(1)SMTP/POP3/IMAP邮件收发

a.应用识别模块正确识别到收邮件行为(IMAP、POP3)或发邮件行为(SMTP)；

(2)Webmail发送接收邮件

a.通过特征识别邮件附件上传、下载会话，提取附件名、把附件内容首先缓存在内存中，整个附件的内容缓存完成后，以文件形式写在硬盘上；

b.通过特征识别邮件发送、接收会话，提取发件人、收件人、抄送人、主题等信息；

c.留存的附件通过附件名与邮件日志关联。

b.Webmail邮件发送接收邮件上传下载附件都会先在文件传输中审计到，再关联到邮件审计日志中里面去；

c.Webmail邮件附件默认最大支持100M。

·即时通讯类审计

b.审计模块正确审计到IM账号信息。

·基础协议类审计

基础协议审计主要是对各个高层协议进行审计，5.0支持FTP协议审计。FTP审计主要审计FTP协议传输文件名、账号、ftp操作命令，记录日志到文件传输日志模块。

a.应用识别模块正确识别到FTP传输文件行为。

b.FTP解码模块可以正确解析出传输文件名。

·娱乐股票类审计

股票类审计：支持股票类软件的账号审计；

·网络应用类审计

网络应用行为审计主要对其它网络应用中能获取到账号的应用行为进行审计，记录日志到其它应用日志模块。

安全策略复制功能不支持CLI配置，目前只支持在WEB页面进行复制。

不支持批量复制，一次只能复制一条“控制策略”或“审计策略”。

控制策略匹配是从上向下匹配，源目接口单向匹配，例如报文是从ge0入从ge1出，此时策略只能匹配到源接口为ge0，目的接口为ge1的控制策略。

新建控制策略和子策略后取消，整个控制策略不下发。

当在已存在的控制策略里新建子策略后，点击取消，子策略会一起下发。控制策略和里面的子策略是不同的配置页面，在控制策略里新建子策略提交后，子策略的配置就已经下发成功。

不支持，压缩文件上传时不是明文的，无法检测到关键字。

关键字过滤不区分大小写字母，无论配置为大写或小写均可正常检测和过滤。

关键字过滤同一条流只要检查到第一个符合条件的关键字就会停止匹配。

不支持附件内容过滤，只支持基于附件名过滤。

恶意url白名单是精确匹配。例：被阻断的网站为qq.com，新建恶意URL白名单www.qq.com后还是不能访问，只能是qq.com，才能访问。

FTP应用暂不支持关键字过滤。

网页内容过滤时，有时关键字在网页中的位置比较靠后，此时检测到关键字后，部分网页内容已经加载成功，所以会出现网页部分加载的情况。

配置好邮件控制后根据发送smtp邮件进行控制，匹配邮件控制顺序为：发件人->收件人->邮件大小->附件个数->邮件主题->邮件内容。

邮件控制中收件人过滤、收件人过滤和标题及内容关键字均只支持选择一个关键字。

关键字匹配规格为发送邮件中的关键字包含配置的自定义关键字才能匹配；反之则不会匹配邮件控制。

单条控制策略只能引用1个关键字对象。

关键字条目规格512和1024条，每个关键字对象里可以配置1024个关键字。

苹果系统虚拟账户控制不生效，特征加密问题。

虚拟账号控制依赖应用特征库，特征库不识别时无法控制。

移动端（安卓）测试虚拟账号控制时，需要关闭移动网络。

旁路模式qq阻断不生效。

虚拟账户匹配到白名单，应用控制不产生日志（只有黑名单阻断后才产生日志）。

(1)文件后缀超过15个字符时，日志记录会截断前15个字符；

(2)阻断FTP时，本地会创建临时的文件；

(3)升级特征库，预定义文件类型需要手动点击重置才可以更新；

(4)真实文件类型识别中：jpg和jpeg无法区分；

(5)开启真实文件类型过滤后，如果识别到真实文件类型为png，但配置为jpg阻断，文件名称后缀为.jpg，不会实现阻断，开启真实文件类型识别后优先进行真实文件判断；

(6)默认真实文件类型识别为关闭状态；在Web管理页面，进入“策略配置>对象管理>应用识别模式>应用识别高级配置”，可以开启真实文件类型识别；或者通过命令行file-typeidentmagicmodeenable开启。

(8)真实文件识别支持类型包括：avi、mp4、mp3、chm、jpg、jpeg、gif、bmp、tiff、png、dcm、heic、ico、jxr、psd、zip、rar、gz、7z、docx、pptx、xlsx、pdf、rtf。

(9)文件类型对象名称匹配不区分大小写，配置ZIP与配置zip阻断效果一样。

(10)如果使用的FTP连接端口为非标准端口，需要在设备中配置FTP非标准端口，配置后就可以正常控制了，HTTP均是正常可以控制的。

终端公告正常弹出需要满足以下条件：

·终端公告提醒前置条件，终端能正常访问公告页面。

首先要看在线用户中此用户的终端类型是否识别为多终端，只有识别成多终端的情况下，才会匹配此控制策略。

自由门软件实现机制比较特殊，提取不到有效的特征，目前暂无法识别和控制。

基础网络协议日志量太大，为了避免大量刷日志，做了特殊处理，只有在阻断的时候才会产生日志，动作为允许时不发日志。

默认控制策略动作为“允许”时，设备syslog日志支持记录级别为“info”的控制策略日志，所以在设置日志外发级别需要选择“全部级别”，或者“信息”，或者“调试”，远端syslog服务器才能收到日志。

注意：建议不要勾选记录日志。控制策略动作为允许的时候，如果勾选日志并外发，会产生大量外发日志，可能对设备性能有影响。

HTTP下载针对网页中的图片不做识别，否则会影响网页浏览，且HTTP下载的识别针对特定类型的文件后缀生效：

.bin,.zip,.rar,.gz,.bz2,.tgz,.tbz,.arj,.lzh,.tar,.ace,.uue,.iso,.7z,.txt,.hdr,.doc,.xls,.xlsx,.pcap,.pcapng,.cap,.img,.xz,.csv,.p12,.crt,.data,.exe,.cmd,.bat,.msi,.apk,.dmg,.dll,.jar,.rpm,.ptada,.gpg,.pdf,.ps,.info,.cat,.cfg,.lss,.msg,.odt,.pom,.gem,zip,.mpeg,.mpg,.wma,.wav,.mp3。

(1)配置自定义URL，无论IPv4策略是否引用，都会对访问的URL按照配置的自定义URL以类的方式识别。如果IPv4策略引用自定义URL，则对引用的对象进行放行或者阻断。

(2)URL匹配配置的自定义URL是支持模糊匹配的，优先精确匹配，匹配不到再进行模糊匹配。例如策略引用了两个自定义URL，名称分别为门户网站和测试网站，门户网站包含URL为“www.sina.com”，测试网站包含URL为“sina.com”，当访问www.sina.com时会优先匹配到“www.sina.com”，URL即属于名称为门户网站的自定义URL，当访问sport.sina.com时，会匹配到“sina.com”，URL即属于分类为测试网站的自定义URL。

模糊匹配时后缀需要全匹配，例如：*.baidu.com，只能匹配www.baidu.com或者new.baidu.com，不能匹配www.baidu.com.cn。

URL过滤中，自定义URL的优先级高于预定义URL，

若创建了一个自定义URL又没有将其引用到任何控制策略中，就意味着对这个自定义URL的访问是全放通的。

因为自定义优先级高于预定义的设定，预定义生效，会直接放通而不会阻断。

配置了应用白名单策略，当应用在20个报文内都没有识别，这20个报文会被放行，20个包之后进行阻断。

(1)如果应用使用的服务器和端口承载了其它应用，会存在误识别成其它应用的可能。

(3)DNS报文必须经过设备，否则应用白名单功能无法生效。

(4)目前只有应用对象中的智能应用支持应用白名单功能，且很多应用存在交集的情况，因此，在配置时，需要首选看一下此应用是否包含于智能应用中，并看一下此智能应用的描述。

终端型号支持长度是1-63字符，超过63字符后会截断显示，目前正式对接中还未出现大于63字符长度的终端类型。

如果重启设备时保存配置，重启不会丢失同步过来的ddi-user，如果没有手动保存配置，会丢失30分钟内同步的ddi-user信息。

目前设备支持的终端类型是版本内置的，暂不支持修改。

由于在命令行配置恢复时空，格隔离开后会识别为是不同关键字，导致配置恢复失败，因此将空格转换为下划线进行显示和配置。

转换方法为：如果前后空格不转换，中间有多个空格时只转换为一个下划线。

此功能默认关闭，可通过命令行或者页面开启。如果未开启此功能，控制策略、审计策略、流量控制策略中的终端配置即使配置后也不会进行匹配，与终端类型配置为any效果一致。

是的，目前描述信息参数配置的字符中带有空格时，在字符串最前面和最后面的空格会自动去掉，只有字符串中间的空格进行配置下发，目前很多模块的描述对于空格的下发均是此种处理方式。

当设备dp内存使用90%以上或者有内存碎块时，下发控制策略，由于内存不足会造成策略编译失败，出现设备cpu100的现象。可以通过displaymemory命令中Flow一行查看dp内存信息。

解决方法如下：

(1)通过命令行clearipconnectionall清流释放内存；

(2)重新下发控制策略；

(3)查看策略状态恢复正常，通过displaypolicyaccelerate命令行查看，State列显示为opened说明策略编译成功，状态正常。

从策略分析的角度，一键分析当前的冲突、冗余、隐藏、合并、过期和空策略，一定程度上解决设备管理的难题，使每一条策略都直观可视，让设备更易于使用、便于维护管理。

冲突策略：不区分匹配的前后顺序，若策略A和策略B存在数据流交集（非包含和被包含关系），且AB策略的行为不同，则A和B互为冲突策略。

冗余策略：根据匹配的前后顺序（先匹配A策略再匹配B策略），如果A策略匹配的所有数据流会被B策略包含在里面，删除A策略不会对其余策略产生影响，如果AB策略行为相同，那么A策略会被计算为冗余策略。

隐藏策略：根据匹配的前后顺序（先匹配A策略再匹配B策略），如果B策略匹配的所有数据流会被A策略包含在里面，如果AB策略行为相同，那么B策略会被计算为隐藏策略。

可合并策略：不区分匹配的前后顺序，策略内元组信息只有一项不同（且可合并）的情况下，则认为是可以合并的策略。

空策略：当策略中匹配的任何一个对象为空时，那么该策略会被计算为空策略。

极宽松、较宽松、正常、准确以引用的源地址、目的地址中包含的实际IP地址数目换算得到，大于65535个IP为极宽松，256-65535为较宽松，32-256为中正常，小于32为准确。

从线路策略绑定接口出去的流量为上行，从线路策略绑定接口进来的流量为下行。

流量控制通道的保障带宽必须小于等于其最大带宽，流量控制通道的保障带宽必须小于等于其上一级通道的保障带宽。流量控制通道的最大带宽必须小于等于其上一级通道的最大带宽。

多个匹配条件是与的关系，当同时满足所有匹配条件时才认为命中该通道。当一个流控通道的匹配条件为空时，会去匹配其子节点的匹配条件。

最大带宽只是起到一个限制的作用，限制流量不能超过其最大带宽。保障带宽的作用是在流量发生拥塞的时流量仍能够达到其保障带宽。

需要检查如下配置是否正确：

(1)线路的最大带宽和保障带宽和其实际的带宽一致，若外网的带宽为20M，就需要配置线路的最大带宽和保障带宽为20M。

(2)下一级通道的保障带宽总和（包括缺省通道）是否已经超过了其保障带宽。

多个流量控制通道是按顺序匹配的，若流量和某一条流量控制通道匹配，就不会再匹配后续的流量控制通道。

QOS排除策略也称为白名单，就是指定的用户或者地址的流量，不受QOS管制，直接转发，最大限度的保证这些用户使用网络。

流量先被每IP限速处理，然后再被流控通道处理。每IP限速的周期是一秒，流控通道是实时的。被IP限速通过的流量可能会继续被流控通道丢弃。

设备配置限制通道及线路通道中的每IP限速，会导致下载附件时实际下载速率为限速值的三分之一。

设备上配置限制通道或线路通道中的每IP限速，可通过qosperipcache-mode(enable|disable)命令来控制每IP限速的令牌桶计算方式：

默认情况下该命令为关闭状态qosperipcache-modedisable

qosperipcache-modedisable没有缓存，丢包取决于是否达到限速值，会使总缓存的报文数量减少，调度更快cpu使用率降低，但会导致每IP限速的丢包，影响TCP滑动窗口，终端发起的流量可能就会少了，导致设备总转发流量降低；

qosperipcache-modeenable有缓存，开始丢包后造成滑动窗口变小，但是还是可以从缓存中获得数据包转发，会抑制滑动窗口不断变小。

·对于限制通道中的每IP限速，配置qosperipcache-modedisable时限速效果好但有抖动，配置qosperipcache-modeenable时网页测速抖动小；

·对于线路通道中的每IP限速，配置qosperipcache-modeenable时限速效果好且速率抖动小。

是的，由于增加了QOS百分比及线路带宽调整，每IP/用户不支持QOS百分比功能，但修改线路带宽会调整通道的带宽，每IP/用户的带宽又无法改变，因此就可能出现调整后的通道带宽小于每IP/用户带宽的情况，若保存配置后重启会出现每IP/用户配置加载失败的情况。为了避免出现配置丢失的严重问题，此种情况作为软件限制处理。

P2P的流量存在不对称性，可能会出现大量的下行流量。多余的流量被流控通道丢弃，但是会影响总体的带宽使用率；建议在实际部署时减小P2P的上行流量，这样可以有效抑制下行流量。

当发生带宽借用时，高级别的通道优先借用带宽。若多个通道的级别相同，则平均分配借用带宽。

当子通道的保障带宽之和大于父通道，按照各个子通道的保障带宽比例分配。

对延时要求高的一类应用可以放在单独的流控通道中，该通道的流量不要超过其保障带宽。

查看当前通道流量的命令displayqosstatistics。

Qos通道带宽自适应，只支持WEB页面配置，不支持命令行配置。

限速百分比支持0.01-100%，并且支持4位有效数字，所有小于0.01的都显示为0.00%。

(1)配置限速通道的保障带宽、最大带宽的限速百分比；自动根据父通道的保障带宽、最大带宽、当前通道的保障带宽生成绝对速率。

(2)配置限速通道的保障带宽、最大带宽的限速速率；自动根据父通道的保障带宽、最大带宽、当前通道的保障带宽生成百分比。

(3)更改父线路或者父通道的保障带宽、最大带宽、子通道的最大带宽、保障带宽自动根据百分比发生变化。

(1)初次配置的带宽百分比是基数不会变。

(2)用带宽/线路值=百分比A（如果≥8Kb显示正常的带宽；算出来的带宽＜8kb，带宽置为8kb，百分比A不变（带宽最小8kb）。

(3)调整线路后，用百分比A*调整后的线路=带宽值。如果≥8Kb显示正常的带宽；算出来的带宽＜8kb，带宽置为8kb，百分比A不变（带宽最小8kb）。

(4)web页面qos通道页面编辑后提交。相当于带宽重新下发，需要以web页面当前的带宽和线路算百分比。

(1)ui先配置带宽后配置每ip的时候有检测，命令行配置perip带宽不检测。

(2)如果上一步的基础上修改线路带宽后，页面不做检测，修改线路带宽不受影响。

(3)ui修改通道带宽或者编辑通道的时候，UI会检测perip大于通道最大带宽，弹出提示。

(4)这种情况如果保存配置重启，配置不会丢失。

在透明部署模式下配置QoS时，线路中绑定的接口必须是bvi接口的成员物理接口，功能才能生效，若在线路中绑定bvi接口则QoS功能无法生效。

在三层部署模式下进行QoS时，线路中绑定的接口必须是三层接口，功能才能生效。另外，当使用bvi接口进行三层转发时，QoS线路需要绑定在bvi接口上才能生效。

在子接口模式下进行QoS时，线路中绑定的接口必须在子接口上做，绑定在子接口的物理口上不生效。

在聚合接口模式下进行QoS时，线路中绑定的接口必须在聚合接口上做，绑定在聚合接口的物理口上不生效。

可在命令行下执行“debugqosmatch”，通过debug消息可知道具体命中条目。

本地报文、非IP报文，另外桥接口报文只受物理口QOS策略限制不受桥口QOS策略限制。

可在命令行下执行“debugqosdrop”，通过debug消息可知道数据包是否被QoS丢弃。

同一个接口既配置普通通道又配置限制通道，只会匹配限制通道，命中限制通道后不会继续匹配。

在外网口和内网口同时配置限制通道和普通通道，先匹配流量流入接口的策略，再匹配流量流出接口的策略。

为了提升QOS限制通道的处理性能，目前流量统计粒度比QOS通道的粗，流量统计存在5%左右的误差。

限制通道、惩罚通道、普通通道共用总规格256。

新增的限制通道和惩罚通道不需要绑定线路，与QOS线路并列显示，因此限制通道与线路和其它限制通道可以配置同一接口。

惩罚通道提供给限额策略引用，可以实现有条件的进入带宽限速，单独配置没有任何影响，只在限额策略引用之后生效。没有启用禁用选项。

支持，低版本是基于QOS通道来实现惩罚通道功能的，升级到支持惩罚通道功能的版本时，当设备重启后会自动删掉被限额策略引用的QOS通道，然后自动创建同名的惩罚通道，保证配置兼容。

一条流包正反两个方向，对于TCP流，设备根据流量发起方确定为正向流，匹配出方向带宽限制，五元组相同的另一个方向的反向流则匹配入方向带宽限制，对于UDP流由于无法区分正反向，会将流量进入设备的那一个方向确定为正向流，匹配出方向带宽限制，五元组相同的然后另一个方向的流确定为反向流匹配入方向带宽限制。综上，如果使用测试仪模拟UDP流量，两个方向的流如果五元组不一样，则均为UDP单向流，会同时命中惩罚通道出方向带宽限制。

该功能依赖硬盘，如果没有硬盘的设备，数据不做统计，如果有硬盘的设备，统计全部是以当天的维度，显示当天总的审计日志条数及具体每个审计模块的日志条数。

该功能需要配合流控策略使用，支持2条线路质量分析，统计线路下行带宽数据来分析整体线路质量。

首页的在线用户中只统计认证用户和匿名用户，点击在线用户可跳转到在线用户页面。

首页的系统日志只报级别是警告及以上的最近20条日志。

首页的审计日志统计各日志当天的记录，并可以点击每一类日志进行详细日志查看。

策略违规展示的是应用控制日志中阻断用户。

共享终端违规展示的是共享接入监控中的阻断用户（阻断和限速）。

限额违规展示的是限额策略中限额用户统计中阻断用户（禁止上网和限速）。

流量分析显示并统计当前流控策略的线路，默认统计前两条流控策略的线路；线路值只统计线路下行带宽，每10s刷新一次。

具体的评分标准是：

·单条线路

线路优=80：使用带宽占比低于50%；

线路良=60：使用带宽占比高于50%，低于60%；

线路中=50；使用带宽占比高于60%，低于80%；

线路差=40；使用带宽占比高于80%。

·整体评估

整体线路评分值为：线路1评分值*（线路1带宽限速值/（线路1带宽限速值+线路2带宽限速值））+线路2评分值*（线路2带宽限速值/线路1带宽限速值+线路2带宽限速值）

整体线路评级标准：

优：整体线路评分值大于等于80；

良：整体线路评分值大于等于60，小于80；

中：整体线路评分值大于等于50，小于60；

差：整体线路评分值小于50。

举例说明：

·单条线路：

31.1/40*100%=77.75%,根据评分标准，此线路质量为中。评分标准如下：

线路优=80：使用带宽占比低于50%。

线路良=60：使用带宽占比高于50%，低于60%

线路中=50；使用带宽占比高于60%，低于80%

线路差=40；使用带宽占比高于80%

·两条线路：

线路123：31.1/40*100%=77.75%,根据评分标准，此线路质量为中，则线路123的评分值为：50。

线路sdf：28.0/40*100%=70%,根据评分标准，此线路质量为中，则线路sdf的评分值为：50。

评分标准如下：

整体线路评估：

线路1评分值*（线路1带宽限速值/（线路1带宽限速值+线路2带宽限速值））+线路2评分值*（线路2带宽限速值/线路1带宽限速值+线路2带宽限速值）=50*(40/(40+40))+50*(40/(40+40))=50,根据评分标准，此整体线路质量为中。评分标准如下：

优：大于等于80

良：大于等于60，小于80

中：大于等于50，小于60

差：小于50

当浏览器重新打开窗口访问设备的Web页面，会再次生成一个SessionId，如果锁定需要重新执行锁定会话。

设备流量统计收发包的大小实际上是去掉了4字节的CRC校验，所以会小于实际的流速。使用实际的发包大小减去4字节，再计算出来的流速将与设备统计值相等。

设备整机转发流量中上行、下行如何区分？

整机转发流量统计的为设备的流速，上行即为外网口的发包速率，下行即为内网口的发包速率。当不设置外网口时，上行流速即为0。

设备整机流量统计本地发包和转发，而用户流量统计只统计转发的流量，所以两者的值会有所出入。

设备流量统计的值每隔1小时会把数据保存一次，当设备异常掉电，未能及时保存数据，设备启动后，最多会丢失1小时的数据。

接口状态页面显示的接口信息是物理接口的接口信息，不包括子接口、网桥接口、聚合接口、隧道接口和3G接的状态信息。

接口统计的数据为接口接收到或转发的流量信息，而整机转发的流量是指结果设备处理的流量信息，如果接口接收到或转发的流量没有经过设备处理，则整机转发流量信息为空。

整机转发流量的上行流量和下行流量，是通过接口的内网口和外网口属性来确定的，通过内网口转发的流量为下行流量，通过外网口转发的流量为上行流量。

(1)最近1小时，1分钟采集一次。

(2)最近4小时，5分种采集一次。

(3)最近1天，10分钟采集一次。

(4)最近1周，1小时采集一次。

监控统计中会话统计与设备健康统计中会话统计，同一时刻数据存在误差，是由于两个功能采集方式不一致导致，会话监控采集周期是1秒一次，而设备健康统计中最小采集周期是1分钟一次

导出功能只能导出最近一周的数据，也可以通过命令（exporthealthstatisticinfotftp）导出

导出数据中内存会展示三列：全部内存、控制内存、数据内存。

页面默认只展示全部内存数据，可以通过命令（healthmemorydetailinfoenable|disable）打开及关闭展示控制内存和数据内存。

(1)流量统计：采集的是平均值。

(2)会话数：允许和阻断，采集的是瞬时值。

(3)CPU信息：加权平均值，假如采集点是1分钟一个，那1分钟收集12个瞬时值，然后将这12个值进行平均计算。

(4)内存信息：采集的是瞬时值。

(5)会话信息：当前会话数和新建会话数，采集的是瞬时值。

(1)目前统计信息存储在/mnt/目录下，设备启动之后，1分钟保存一下临时数据，15分钟保存到/mnt/目录下。

(2)正常重启前（比如执行reboot），会将临时数据保存到/mnt目录下；异常情况，比如断掉或者nmi，无法及时将临时数据拷贝到/mnt下。

(3)cpu繁忙会影响数据的记录（定时器得不到调度），只要dplane进程不挂死，就可以正常收集数据，如果dplane控制核挂死，无法记录数据。

会话统计的排名是按照会话连接数的多少进行的排名，默认只显示前50个会话的排名。

如果该会话不在用户识别范围中，则无法获取到对应的用户及用户组，所以会话监控统计页面上用户及用户组显示为空。

会话监控，某些ip提取不到用户名和组？

用户和组显示为空的几个可能原因：

1、匿名用户超过最大限制（在线用户规格）

超过限制之后，设备会踢掉一些在线用户（最早的上线的那个），此时会话仍然存在。

2、会话刚创建还未进行识别

这种情况下的隔一小会儿就会正常识别。

3、会话老化

会话老化的也会主动将用户信息清除。

4、用户注销或老化

5、用户不活跃超过20分钟，系统内部有一个定时器，超过20分钟不活跃的用户也会被清除。

单用户故障检测功能有哪些限制和注意事项？

单用户故障检测功能的使用限制和注意事项：

(2)如果多个终端使用同一个认证用户上网，终端都会推送测试页面，但只能监测一个终端。

若探测用户名为IP地址，则只针对此IP地址的用户进行单用户检测，不会检测此IP地址的匿名用户。

Clearuccuser可以清除内存中的用户缓存，清除后便可以识别出新用户。

当产生日志时，用户中心的日志计数即加1，但若使用测试仪，1s的日志量很大，已经达到了数据库入库的限制，日志在入库时会产生丢失日志的现象，此时便会出现用户中心的日志数少于链接过去的日志数。

系统启动时会创建一个进程dplane_email_dump专门用来将用户的数据存储到硬盘和数据库中；

每隔30s就会将用户的数据通过update语句更新到数据库中，每次最多更新250个用户，每个用户每次只有一条数据，更新完该用户的数据后，会将该用户移到链表的尾部，等待下次更新；

停流后，用户的数据依然在链表上，没有存储到数据库，设备用户中心最多存储20000（不同设备型号规格不一样）个用户，每30s存储250个用户，20000个用户则需要40分钟；

用户流量统计饼图是显示的top9和9+，9+表示的是除top9以外的应用流量统一为其它。但当某应用类的流量小于总流量的0.8%时，饼图不单独呈现该应用类，只是放在其它里统一呈现。

用户中心网站访问分析中不记录URL为其它类的日志数，所以用户中心中的网站访问日志数会比该用户总的网站数少。

用户中心用户的排名是根据虚拟身份、日志数、流量大小、网站访问数做的综合分析，得到一个权值，按这个值进行的排名。

由于无线网络时多个用户同时使用无线，使得用户中心看到的账号信息为多个用户所使用的账号信息，不建议在无线下使用用户中心查看用户信息，仅做参考使用。

数据中心数据统计入库存在保护机制。当设备最后一个核CPU的使用率大于90%时，将不在进行数据更新入库操作，统计流程进入保护状态。当设备最后一个核CPU的使用率降低至小于60%时，统计流程恢复，正常记录更新数据统计入库。

安全事件分析包含入侵防御检测日志、WEB防护日志、防暴力破解日志、网络层攻击日志（只统计扫描攻击防护日志）。

在安全事件分析中呈现的级别是根据该攻击源中产生的最高级别攻击日志展示的。

资产安全分析包含入侵防御检测日志、WEB防护日志、弱密码防护日志、防暴力破解日志、网络层攻击日志（只统计扫描攻击防护日志）、病毒防护日志、非法外联日志、行为模型（DNS隧道）日志。

各种类型日志，使用资产IP做检索，不同的安全日志检索的源和目的不同，说明如下：

·入侵防御日志：基于目的地址统计；

·WAF日志：基于目的地址统计；

·弱密码防护：基于目的地址统计；

·防暴力破解日志：基于目的地址统计；

·网络层攻击（扫描攻击防护日志）：基于目的地址统计；

·病毒防护日志：基于源地址统计；

·非法外联日志：基于源地址统计；

·行为模型（DNS隧道）：基于源地址统计。

风险计算算法，通过计算威胁事件条数来确定风险级别（1-100为低风险，101-200为中风险，201以上为高风险）。

策略路由，也叫做基于策略的路由，是指在决定一个IP包的下一跳转发地址时，不是简单的根据目的或源IP地址来决定，而是综合考虑多种因素决定。它转发分组到特定网络需要基于预先配置的策略，这个策略可能指定从一个特定的网络发送的通信应该被转发到一个指定的接口。

目前，设备支持同一条策略路由中配置8个不同下一跳。

同一条策略路由中同时配置多个下一跳的情况下，第一个下一跳作为主用路由，其余下一跳作为备份路由，实现路由备份功能。

图1策略路由转发流程图

通常我们都认为下一跳失效的判断条件为下一跳是否可达，但实际上设备在实现上并没有探测下一跳是否可达的机制，因此设备只能根据自身的各种因素进行判断。下面我们分两种情况进行讨论。

(1)下一跳是直连网段地址的情况：

设备判断下一跳是否可达的条件是ARP，只要存在正确的对应下一跳地址的ARP表项，则策略路由认为下一跳可达。值得一提的是，如果配置静态ARP，则需要同时配置对应VLAN和出接口，此时策略路由才认为下一跳可达。

(2)下一跳是非直连网段地址的情况：

对于非直连网段的下一跳地址，设备可以进行路由迭代，即针对下一跳地址查找路由表，如果能匹配到路由，则认为策略路由下一跳可达。如果没有匹配到任何路由，或者只能匹配缺省路由，则认为策略路由下一跳不可达。

IPv6策略路由下一跳信息暂时不支持“出接口(tunnel)”，设备目前暂时不支持IPv6ipsecvpn。

优先级依次为：策略路由->链路负载均衡策略->静态路由（ISP路由）->动态路由，ISP路由也是一种静态路由，所以两者默认优先级完全一样，如果出现相同的目的网段同时同时配置ISP路由和静态路由的下一跳不同，流量负载分担。

当策略路由存在多个下一跳出口时，流量权重是根据会话来区分的，如果只有一条会话，流量只会随机选择其中的一个下一跳转发。

·删除低优先级的策略路由，不影响高优先级的策略路由的正常转发。

·删除高优先级的策略路由，次高优先级的策略路由开始生效。

·反复移动策略路由的优先级，始终是优先级高的策略路由生效。

ISP路由是将数据包从一个网络转发到另一个网络中的目的地址的过程。路由器是处在两个网络之间转发数据包的设备。路由器根据路由表中储存的各种传输路径传输数据包，每一个传输路径即为一个路由条目。

很多用户通常会申请多条线路进行流量负载均衡。然而，一般的均衡是不会根据流量的流向做均衡的，如果网通的服务器通过电信访问，网速就会很慢。安全网关针对该问题，提供ISP路由功能，使不同ISP流量走专有路由，从而提高网络访问速度。

用户在ISP路由配置页面新建策略，可以引用ISP信息预定义的运营商网段表，使相应ISP路由生效，同时支持在ISP信息页面自定义创建新的ISP对象，添加对应的目的地址网段，然后在ISP路由页面创建策略来引用以使其生效。

ISP路由在NAT配置、安全策略配置时可直接调用相应地址对象的流量。通过ISP路由策略（双ISP缺省路由）进行控制相应的流量走向问题，从而达到负载均衡。

(1)ISP路由下发的就是静态路由，只不过ISP路由支持以文件的形式批量下发路由，为了便于区分两种路由的下发形式，displayiproute中在手工配置的静态路由前会标识S，ISP形式下发的路由前会标识为I。

(2)ISP路由下发的条目在静态路由配置页面不显示，进行了过滤，避免影响用户手工创建的静态路由的配置查看。

(3)静态路由和ISP路由规格是共用的，是占用的同一个规格表。

(4)如果配置一条静态路由再自定义创建一条ISP路由分别指向不同的下一跳，实现的是等价路由的效果。

(5)存在ISP路由的情况下，再创建相同的静态路由，静态路由不能下发，实际还是一条路由，反之亦然。

(6)CLI下通过noiproutexxxx可以删除相应的ISP路由，如果要恢复此条ISP路由，需要删除ISP路由重新创建以触发下发整个ISP路由表。

可以使用命令displayikesa查看当前IKESA的信息：

HOST#displayikesa

----------------------------------------------------

Name:dut1id:3184

local_addr:30.1.1.2

peer_addr:30.1.1.3

stat:establish

lifetime:86390

*********************************************************

Data:ikesaTotalcount:1.

可以使用命令displayipsecsa查看当前IPsecsa的信息。

HOST#displayipsecsa

Name:dut1id:4667

local_addr:30.1.1.2peer_addr:30.1.1.3

esp:yesmode:tunnel

enc_algo/auth_algo:aes256/sha1

inbound_spi/outbound_spi:237441483/134485286

ah:no

lifetime/cur_life_time:86400/86304

inbound/outbound:5/5kbytes

local_net:20.1.1.0/24

peer_net:10.1.1.0/24

Data:ipsecsaTotalcount:1.

IPsecVPN的默认加密方式是aes256-sha1。

一条IPsecVPN隧道，配置多个网段的感兴趣流，最多支持100条。

(1)第一阶段协商不成功，首先可以检查IKE的配置，查看两端的配置是否一致。

(2)其次检查路由，查看对端是否可达。

(3)如果一端配置对端网关配置的是动态，另一端配置静态对端网关，查看配置静态对端网关的一端，是否开启了自动连接，若未配置自动连接，流量需要从静态那一端发起，触发IKESA的协商。

(4)一阶段是否配置了两套一样的IKE提议：对端IP，算法提议，对端ID，本地源IP，这些信息一样。如果存在两套一样的提议，设备就无法确认使用哪个IKE配置进行协商了

主模式：对端IP，算法提议，本地源IP（如果配置了就检查）

野蛮模式：对端ID、算法提议、本地源IP

无论哪种模式匹配的标准是一样的，对端IP，算法提议，本地源IP，对端ID。只不过如果没有带的话，这一项就不检查了。

调试命令：debugipsec-VPNdebug。

(1)首先可以检查IPsec的配置，查看两端的配置是否一致。

(2)检测感兴趣流，查看两端的感兴趣流是否一致。

(3)检测路由，查看对端是否可达。若是基于tunnel口，检查是否配置tunnel口的路由。

调试命令：debugipsec-vpndebug。

隧道模式时查看是否配置策略。

查看感兴趣流的方向性是否正确。

若是感兴趣流的问题，可以通过以下命令查看：

displayikedump-tunn，查看基于tunnel的IPSecVPN的sp状态是否建立成功。

(1)有些手机的IKE协商模式是野蛮模式，有些是主模式，所以一条VPN隧道不能保证所有的手机都能接入成功。

(2)手机发起的加密算法也各不相同，可以通过debugipsec-vpndebug命令，查看协商不成功的原因，同时也可以查看对端发来的加密算法是否与本端一致。

搭建IPSEC的环境中间有过NAT并且配置了AH认证导致ipsec无法协商成功，AH封装的校验从IP头开始，如果NAT将IP的头部改动，AH的校验就会失败，因此我们得出结论，AH是无法与NAT共存的。此时去掉AH认证IPSEC可以协商成功。

IPSEC断开后对端设备并没有把原先建立好的Sa清除，就不再接受再次发起的协商请求，导致无法建立连接。

(1)在对端设备手动删除SA。

(2)双方启用DPD检测。

问题原因：对端手动清除了SA；对端同时启用了按秒计时和按流量统计，本端只配置了按秒计时，如果流量过大，可能导致在按秒计时的生存周期内流量已经超出，导致对端SA端口连接

(1)双方把各自一阶段的SA生存期和二阶段SA生存周期改成一致；

(2)一阶段启用DPD检测。

(1)当有多出口时，需要指定用于建立IPsec的本端IP地址。

(2)如果指定的是本地源接口，则使用该接口上的主IP作为本端IP地址。

(1)IPSEC认证方式选择国密认证后，需要填写本端证书、对端证书和CA证书。

(2)协商不成功需要检查本端证书与对端证书是否导入正确。

(1)IPSEC快速配置大大简化了IPSECVPN配置，接入一个新的站点只需要配置节点类型、本端或对端网关IP，保护网段即可实现IPSEC接入，IKE一阶段、IPSEC二阶段、tunnel接口、保护网段路由等动态生成。

(2)IPSEC快速配置支持网段映射，能很好的解决分支站点保护网段冲突的情况。

(3)IPSEC快速配置支持选路策略动态调整，调整主备链路只需要调整分支节点线路顺序，设备会根据线路顺序自动调整路由优先级，默认线路优先级为5、6、7、8，最多支持4条线路。

(1)执行命令displayikeeasy-ipsec-gen可以查看一阶段默认参数如下：

setmodemain

setremotegw172.16.1.1

authenticationpre-share

lifetime86400

dpdenable

dpdinterval5

dpdretry-interval2

setnat10

group2

setpolicy1

encrypt3des

hashmd5

(2)执行命令displayikeeasy-ipsec-gen可以查看二阶段默认参数如下：

vpnipsecphase2

modetunnel

auto-connectenable（分支节点开启自动连接，中心节点默认关闭自动连接）

auto-connectinterval10

setlifetimeseconds86400

setproposal1esp-aes256-sha1ah-null

IPSEC快速配置一二阶段默认参数不支持修改，进入命令行编辑模式时会有错误提示，不允许用户修改。

预共享密钥尽量避免使用特殊字符，如“<>”否则有可能会出现显示报错，但不影响最终使用，尽量避免。

不能，主备链路是一对一的关系，被引用的主链路和备链路都不能再被其它链路引用。

主链路选择是指备链路来选择哪条链路作为主链路，主链路配置的时候不需要选择连接方式为监控链路故障自动连接。

主备链路监控的是IPSECSA的状态。

目前对于低端设备没有完全意义上的控制核，cpu0核也会处理ipsecvpn业务，数据包通过ipsec加密端设备加密后就变成了相同的五元组：协议、源目的IP、源目的端口的报文，由于设备支持流保序功能，从而导致流量默认全部分到了cpu0，可通过switchkeep-orderoff命令关闭。

IPSEC设置有3种：本地源接口，本地源IP，无，对于本地源IP和无的配置，接口down是无法判断要清除那个SA的，所以统一处理逻辑为接口down不自动清IKE，通过DPD机制来检测链路状态即可，DPD保活失败，会自动清除SA。

分支节点中的对端网关配置为嵌套的方式，独立于整个的IPsec快速配置页面，在编辑或新建对端网关配置提交后，对端网关的配置就已经下发成功了。

IPv6具有128位的IP地址结构，提供充足的地址空间。层次化的网络结构，提高了路由效率。支持自动配置，即插即用。支持端到端的安全。支持移动特性。新增流标签功能，更利于支持QoS。

邻居发现协议（NeighborDiscoveryProtocol）是IPv6协议的一个基本的组成部分，它实现了在IPv4中的地址解析协议（ARP）、控制报文协议（ICMP）中的路由器发现部分、重定向协议的所有功能，并具有邻居不可达检测机制。

邻居发现协议实现了路由器和前缀发现、地址解析、下一跳地址确定、重定向、邻居不可达检测、重复地址检测等功能。

当主机没有配置单播地址（例如系统刚启动）时，就会发送路由器请求报文。路由器请求报文有助于主机迅速进行自动配置而不必等待IPv6路由器的周期性IPv6路由器通告报文。

IPv6路由请求为ICMP报文，类型为133。

IPv6路由器请求报文中的源地址通常为未指定的IPv6地址（0::0）。如果主机已经配置了一个单播地址，则此接口的单播地址可在发送路由器请求报文时作为源地址填充。

IPv6路由器请求报文中的目的地址是所有路由器组播地址（FF02::2），作用域为本地链路。如果路由器通告是针对路由器请求发出的，则其目的地址为相应路由器请求报文的源地址。

每个IPv6路由器的配置接口会周期发送路由器通告报文。在本地链路上收到IPv6节点的路由器请求报文后，路由器也会发送路由器通告报文。

IPv6路由器通告报文发送到所有节点的链路本地组播地址（FF02::1）或发送路由器请求报文节点的IPv6单播地址。

路由器通告为ICMP报文，类型为134，包含以下内容：

·是否使用地址自动配置。

·标记支持的自动配置类型（无状态或有状态自动配置）。

·一个或多个本地链路前缀-本地链路上的节点可以使用这些前缀完成地址自动配置。

·通告的本地链路前缀的生存期。

当一个节点需要得到同一本地链路上另外一个节点的链路本地地址时，就会发送邻居请求报文。此报文类似于IPv4中的ARP请求报文，不过使用组播地址而不使用广播，只有被请求节点的最后24比特和此组播相同的节点才会收到此报文，减少了广播风暴的可能。

源节点使用目的节点的IPv6地址的最右24比特形成相应的组播地址，然后在相应链路上发送ICMPv6类型为135的报文。目的节点在响应报文中填充其链路地址。为了发送邻居请求报文，源节点必须首先知道目的节点的IPv6地址。

邻居请求报文也用来在邻居的链路层地址已知时验证邻居的可达性。

IPv6邻居通告报文是对IPv6请求报文的响应。

收到邻居请求报文后，目的节点通过在本地链路上发送ICMPv6类型为136的邻居通告报文进行响应。收到邻居通告后，源节点和目的节点可以进行通信。

当一个节点的本地链路上的链路层地址改变时也会主动发送邻居通告报文。

·路由器和前缀发现。

·地址解析。

·重定向功能。

·邻居不可达检测。

·重复地址检测。

IPv6缺省路由是在路由器没有找到匹配的IPv6路由表项时使用的路由。

IPv6缺省路由有两种生成方式：

·第一种是网络管理员手工配置。指定的目的地址为::/0（前缀长度为0）。

·第二种是动态路由协议生成，由路由能力比较强的路由器将IPv6缺省路由发布给其它路由器，其它路由器在自己的路由表里生成指向那台路由器的缺省路由。

可以按照如下步骤进行：

(1)Tunnel接口未处于up状态的最常见原因是隧道起点的物理接口没有处于up状态。使用displayinterface和displayIPv6interface命令查看隧道起点的物理接口状态为up还是down。如果物理接口状态是down，请检查网络连接。

6to4隧道不需要配置目的地址，因为隧道的目的地址可以通过6to4IPv6地址中嵌入的IPv4地址自动获得。

ISATAP隧道不需要配置目的地址，因为隧道的目的地址可以通过ISATAP地址中嵌入的IPv4地址自动获得。

执行ping6IPv6地址即可，使用ping命令仅为IPv4下使用的。

手动隧道是点到点之间的链路，一条链路就是一个单独的隧道。主要用于边缘路由器—边缘路由器或主机—边缘路由器之间定期安全通信的稳定连接，可实现与远端IPv6网络的连接。

6to4隧道是点到多点的自动隧道，主要建立在边缘路由器之间，用于将多个IPv6孤岛通过IPv4网络连接到IPv6网络。6to4隧道通过在IPv6报文的目的地址中嵌入IPv4地址，来实现自动获取隧道终点的IPv4地址。

6to4隧道采用特殊的6to4地址，其格式为：2002:abcd:efgh:子网号::接口ID/64，其中2002表示固定的IPv6地址前缀，abcd:efgh表示该6to4隧道对应的32位全球唯一的IPv4地址，用16进制表示（如1.1.1.1可以表示为0101:0101）。2002:abcd:efgh之后的部分唯一标识了一个主机在6to4网络内的位置。通过这个嵌入的IPv4地址可以自动确定隧道的终点，使隧道的建立非常方便。

由于6to4地址的64位地址前缀中的16位子网号可以由用户自定义，前缀中的前48位已由固定数值、隧道起点或终点设备的IPv4地址确定，使IPv6报文通过隧道进行转发成为可能。6to4隧道可以实现利用IPv4网络完成IPv6网络的互连，克服了IPv4兼容IPv6自动隧道使用的局限性。

现有的IPv4网络中将会出现越来越多的IPv6主机，ISATAP隧道技术为这种应用提供了一个较好的解决方案。ISATAP隧道是点到多点的自动隧道技术，通过在IPv6报文的目的地址中嵌入的IPv4地址，可以自动获取隧道的终点。

使用ISATAP隧道时，IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP地址。ISATAP地址格式为：Prefix(64bit):0:5EFE:abcd:efgh。其中，64位的Prefix为任何合法的IPv6单播地址前缀，abcd:efgh表示32位IPv4源地址，用16进制表示（如1.1.1.1可以表示为0101:0101），该IPv4地址不要求全球唯一。通过这个嵌入的IPv4地址就可以自动建立隧道，完成IPv6报文的传送。

ISATAP隧道主要用于在IPv4网络中IPv6路由器—IPv6路由器、IPv6主机—IPv6路由器的连接。

设备只支持命令行下配置IPv6的域名白名单，如：user-policywhitelisthostwww.baidu.com。

此功能是通过转发或者旁路流量应用识别DNS报文的域名和地址，设备本地ping不会进入识别流程，所以无法使用displayuser-policywhitelist显示。

AC地址协议定义字段option52，默认不会主动发送该信息，必须收到携带option52的请求消息才会触发下发该地址。

不可以，建议删掉地址池之后重新新建地址。

DHCPv6Server端默认只支持四步交互、日志不开启、优先级为0；如要调整这个参数可通过命令行配置。

v4Server是支持的，v6Server不支持。

DHCPv6server不是按地址池顺序分配地址的，跟v4不同。v6Server是按照固定的算法给客户端分配地址。

DHCPv6server协议规定是不分配网关的，跟v4不同。客户端获取IPv6网关地址是通过RA学习到对端的linklocal地址，所以一般DHCPv6server服务接口最好开启RA，否则客户端将不会有IPv6的网关。

RA是指导设备获取地址的方式，RA中M和O的取值关系决定客户端的地址获取方式，具体对应如下：

IPv6地址获取方式有两种：

(1)IPv6无状态获取地址，即通过RA下发的前缀自动生成IPv6地址；

(2)DHCPv6获取地址，DHCPv6又分为两种，即DHCPv6有状态和无状态，有状态即DHCPv6客户端能获取IPv6地址和DNS等信息；无状态即DHCPv6客户端不获取IPv6地址，只获取DNS等信息。

目前设备作为DHCPv6Client时，不支持DHCPv6无状态。

目前设备对PD的支持有限，只能获取PD前缀，但不能将前缀下发到用户，且获取到的PD信息在本机页面不显示。

目前设备作为DHCPv6Client时，地址冲突检查能力有限，当获取的IPv6地址与本机其它接口IPv6地址有冲突时，可以检测到并且不将该地址配置到接口；但是当获取的IPv6地址与其它设备IPv6地址有冲突时，会将该IPv6地址配置到接口。

DHCPv6Client侧不处理managedflag为1的RA报文。

开启DHCPv6Relay服务时会检查开启Relay功能的接口地址是否为全球单播地址，如果出现提示时，需要检查该接口的地址配置。如下图所示，ge1接口是指开启Relay服务的接口。

删除或修改开启Relay服务的接口的IPv6地址时，最好先关闭该接口的Relay服务，因为Relay服务启动时会初始化，获取接口IPv6地址，所以服务运行过程中接口IPv6地址有变化，Relay服务会失效。

因为Relay是实现跨网段的DHCPv6服务，所以一般情况下Relay接口和Server接口是不在同一网段的，所以无动态路由学习功能的服务器上需要添加静态路由到中继口，该问题容易被忽略，所以一定要检查路由是否通后，再开始使用Relay。

不能，对端路由器发送的RA包中所包含前缀必须是64位前缀，否则会丢弃。

不能，如果被管理标志位置位，不会去获取前缀，只会去获取默认网关。

路由器的RA功能，包含响应终端的RS以及定期发送RA；

设备上接口如果配置了ND-RA，相当于接口处于终端模式，会发送一定数量的RS，并且会解析收到的对端发送的RA包并从中获取IPv6前缀。

可以通过物理网线相连接，也可以通过虚拟接口如子接口方式相连接。

可以创建最多256个vrf，超出时提示：Error:Thetotalnumberofvrfhasexceededthemaximumsize(Capacityreached)。

VRF功能提供了从一台物理路由器变成多台虚拟路由器的功能。设备的VRF功能提供了路由表隔离，接口切换VRF，外部能够正常支持访问已经切换VRF的接口地址，支持本机报文正确选择对应接口向外主动发送报文。

路由表隔离功能是通过在创建和删除VRF时，同时创建对应的fib表实现的，实现形式就是每个VRF一个独立的FIB表，设备在没有开启VRF功能时，是默认存在一个VRF0结构的，路由表和流表都是从属与该结构。

流表的隔离，是通过在流表结构中添加VRF_ID字段来实现的，功能主要流程为，在流里结构中添加了一个VRF_ID的字段，该VRF_ID字段赋值为报文入接口的VRF_ID，查找流表的时候，比较五元组的同时还需比较VRF_ID是否相同，如果五元组和VRF_ID均相同，则表示查找成功，否则，新建对应的流表。

VRF模块属于设备的功能模块，实现虚拟路由转发功能。

绑定了VRF的接口，仅支持NAT和静态路由功能，不支持其它功能，例如动态路由等。

接口加入VRF后，ping本机VRF中的接口地址ping不通，对端直连设备也无法ping通本端VRF接口的地址。

RIP支持v1和v2两个版本。

RIP开启时默认为V2版本，若需要可以手动切换到v1版本。

Ospf不支持pppoe接口。

简单的说我们采用如下策略：

·如果有loopback接口配置了，就选IP地址数值最大的loopback地址。

·如果没有配置loopback接口地址，就选IP地址数值最大的物理接口地址。

·选择完成后不可抢占。

·我们也可以在启动OSPF进程时同时指定RouterID，如:router-id1.1.1.1。

·需要注意的是，如果当前OSPF进程正在运行，RouterID即使是重新手工配置或计算都不会马上生效，而需要OSPF进程重新启动才会生效。这个要求是合理的，因为RouterID对OSPF协议来说太重要，不可能在OSPF保持邻居不断的情况下更新。

·OSPF网络类型是NBMA的，但你忘记在OSPF协议模式下配置邻居了。

·OSPF网络类型是NBMA的，你配置了邻居，但在诸如Framerelay的map语句中忘记加broadcast关键字了，导致协议报文不能到达对方。

·OSPF邻居的hello及deadinterval值不一致。

·在Stub或NSSA区域，有些路由器没有配置成Stub或NSSA。

·OSPF验证配置错误。

·OSPFRouterID有问题，可能和某个其它路由器一样了。

·OSPF链路两端的网络类型不一致。

·OSPF链路两端的MTU相差比较大，尤其注意和不同厂商实现互通时（需要在其接口下配置OSPF忽略MTU检查或修改MTU）。

·该网络根本就没有启动OSPF。

·区域号不一致；链路的网络地址不一致，注意检查两边的mask。

其实很简单，也是必须知道的。调试开关是需要打开的，其中最有效，最常用的就是debugospfpacket命令，协商完成后执行displaylogdebug,它能让你对OSPF的大部分问题看的一目了然。当然它也不是万能的，它是在正确接收OSPF报文的基础上才能有相应的错误事件。

当链路接口没有明确配置OSPFcost的时候，Cost按配置的基值除以接口带宽来计算。这个基值缺省为100M，例如10M的链路，cost缺省是100/10=10。显然当运行OSPF的路由器存在多个速率不同的1000M以上的高速接口时候，如果接口没有明确赋予OSPFCost，按缺省公式自动计算的Cost将都为1，不能反映链路速率。这个时候有一个Bandwidth-Reference的命令，来调节基准值的，但要注意，整个OSPF路由域都要对应调整。因此，最好的方法，还是在网络做好规划，手工对链路接口的Cost赋值。

看起来很奇怪的问题，其实比较有意思。很多人的第一感觉就是：两端的了链路网络类型都不一样，哪能形成邻居关系呢？其实不然。OSPF协议并没有规定，要去严格检查链路的网络类型，链路的网络类型最重要的描述也是在Type1LSA中，形成邻居的关系条件检查并没有去检查它。仔细阅读协议并做实验，你会发现不少情况下，比如两台路由器以太网连接，一端保持缺省的广播网络类型，一端配置成OSPFP2P网络类型，肯定是可以形成邻居，并交换LSDB达到Full状态的。但很奇怪的事情是：到达Full状态了，为什么学不到路由呢？其实答案很简单，OSPF路由器需要LSDB来构建SPT（ShortestPathTree），由于LSDB的数据库是脱节有问题的（在我的RouterLSA中，我认为你是个广播邻居；而在你的RouterLSA中认为我应该是个P2P邻居），根本无法构建正确的SPT，SPF算法也无法计算出正确的路由。

先看一个问题，简单示意的OSPF网络拓扑，area1——area0－area2，area1中三条路由：10.1.0.0/16，10.2.0.0/16，10.3.0.0/16，在area1和area0之间的ABR没有配置聚合（将上述三条聚合成10.0.0.0/8)，但在area0和area2之间的ABR配置聚合却不生效。这就是跨区域的聚合问题，这个表现是否正确呢？

仔细看下RFC232812.4.3Summary-LSAs中的描述，我们可以知道ABR产生type3LSA时，如果是inter-area，就直接处理，产生相应的type3LSA，而不需要考虑配置的range，而在考虑intra-area路由的时候，才要去考虑配置的聚合。

所以，上述描述的结果是正常的现象。区域间路由的聚合是在连接产生该路由的区域的ABR上处理的，而不能跨区域聚合。

从协议的角度上来看，OSPF的虚连接VirtualLink非常有用，一是可以将不与骨干区域直接物理连接的区域连接起来，让它能正常路由，这在一些网络的合并中比较有用；二是可以提高网络的可靠性，让骨干区不至于轻易断开而不能正常路由（RFC2328中的例子）。

OSPFv3仅提供命令行下配置，可以在界面上查看学习到的路由条目。

如果物理连接和下层协议正常，则检查接口上配置的OSPFv3参数，必须保证与相邻路由器的参数一致，区域号相同。

相邻的两台路由器接口的网络类型必须一致。若网络类型为广播网，则至少有一个接口的DR优先级应大于零。

应保证骨干区域与所有的区域相连接。若一台路由器配置了两个以上的区域，则至少有一个区域应与骨干区域相连。骨干区域不能配置成Stub区域。

在Stub区域内的路由器不能接收外部AS的路由。如果一个区域配置成Stub区域，则与这个区域相连的所有路由器都应将此区域配置成Stub区域。

各项口下进行的功能特性配置，在删除routerospf6主进程后，该接口上的所有配置也将被删除。

HA是HighAvailability缩写，即高可用性，可防止网络中由于单个网关产品的设备故障或链路故障导致网络中断，保证网络服务的连续性和安全强度。

随着网络的快速普及和应用的日益深入，各种增值业务（如IPTV、视频会议等）得到了广泛部署，

网络中断可能影响大量业务、造成重大损失。因此，作为业务承载主体的基础网络，其可靠性日益

在实际网络中，总避免不了各种非技术因素造成的网络故障和服务中断。因此，提高系统容错能力、

提高故障恢复速度、降低故障对业务的影响，是提高系统可靠性的有效途径。

目前产品支持两台网关设备以主-备模式运行。

在主备模式下，主设备响应各类报文请求，并且转发网络流量；备用设备不响应报文请求，也不转发网络流量。主备设备之间通过HA心跳线同步状态信息，配置信息以及特征库文件。

主备模式支持路由模式和透明模式。

主主模式是指实现HA的两台设备中，两台均为主设备。主设备在进行业务的同时，将流表信息和认证用户信息同步到对端。当其中一台设备出现故障或链路中断时，另外一台设备作为故障设备的备份，接管原主设备的工作，实现网络业务的无缝切换。

在主主模式下，两台设备均工作，转发流量。主主设备之间通过HA心跳线同步状态信息。

主主模式支持路由模式和透明模式。

HA主备的工作状态主要有两种，主模式和备模式：

·主模式是指在设备HA主备模式中，实际参与工作。

·备模式是指设备在HA主备模式中，作为主设备备份，不参与实际工作。只有当主设备失效，才转换为主设备，接替其工作。

HA主主的工作状态为主模式：

·主模式是指在设备HA主主模式中，两台设备均参与工作。其中一台设备出现故障，另外一台承接出现故障的业务。

HA中，主要有两种接口概念：

·HA接口：连接两台HA设备的接口，不参与报文的转发，只用于HA设备接收心跳报文和同步报文使用。

·非抢占方式：如果备份组中的路由器工作在非抢占方式下，则只要主路由器没有出现故障，备设备不会主动成为主设备。

·抢占模式：抢占模式时指用户可以根据需要，制定某一台设备优选为主设备或者为备设备。如果配置优选为主设备的设备工作正常，即使当前设备为备状态，也要“抢占”成主设备。

·HA的两台设备抢占模式必须匹配。或者全部配置成非抢占模式，或者一个配置成抢占为主，一个配置成抢占为备。否则HA无法正确协商。

处于备状态的HA设备不会参与网络转发，因此无法通过其接口配置的IP地址访问。为了解决这一问题，可以在设备上配置管理地址，用作备设备的网络管理。用户可以从外部访问备设备的telnet服务和web管理界面。

HA作为热备份，为了在状态切换的过程中，尽量减小对网络的影响。HA会将主设备上的一些实时的状态同步给备设备。同步的内容主要包括三种：session信息，设备配置，特征库。

·session信息：包括设备连接表、fdb、用户信息、PKI。

·设备配置：同步的设备配置中不包含HA配置信息，以及一些特殊的配置。

·特征库：特征库包括IPS特征库，AV特征库，APP特征库以及URL特征库。

·当设备启用HA主备模式后，设备进入init（初始化状态）。在这个状态，设备不参与报文转发，只接受对端HA设备的keepalive报文。如果收到了主设备发出的keepalive报文，设备会进入备状态。如果没有收到keepalive报文，设备会进入主状态。

·如果设备成为主状态后，会向外发送免费arp报文，用来更新上下游设备的arp表（工作在路由模式），或者向外发送特殊的报文刷新上下游交换机的fdb信息（工作在透明模式）。

·如果设备成为备设备，设备会清除自己的fdb表（如果工作在透明模式），并且向主设备请求状态信息。

·两台设备必须型号一致，板卡一致。

·两台设备的序列号要求不一致。序列号一致建不起来邻居。

·查看心跳线接口状态是否正常。

两台设备均配置监控接口，当其中一台设备的接口down掉后，两台一台设备的接口将对端地址代理，代理地址置为active，此接口参与出现故障设备的业务转发。

Ha主主环境下，流表信息同步，某种业务的控制报文走的其中一台主主设备，数据报文可以从另外一台设备收上来。

低端硬件型号不支持硬盘，如果主设备上插了U盘或移动硬盘，而备设备上没有，这样主设备上就会下发非经的配置，备设备由于没有硬盘就不会下发配置的配置，这样就会导致主备手动配置同步后，由于主设备上存在非经的配置，会导致配置对比始终不相同，如果出现此现象，拔掉主设备的U盘重启即可。

当HA主备机配置抢占模式后，如果主机重启过程中，备机的配置进行了修改，当主机重启后会比对配置文件，如果不一致，主机将不进行抢占。

HA主备环境中，配置同步项在备机上不允许修改配置，配置不同项在备机可以进行修改。

根据不同机型分别定义，最少一组Bypass接口对，最多不限制。

使用在二层网络场景。

Bypass功能默认开启。

系统异常时设备会自动重启，会触发Bypass。

异常断电会触发Bypass。

会持续Bypass状态一直到系统启动成功。

系统断电或启动过程会丢3个ICMP报文。

可缓存exe文件，如缓存txt、PDF类文件将在页面直接显示无法下载。

本地文件不存在时，会去源站点下载。

如果有硬盘则存储在硬盘上，如没有则存储在CF卡上。

App缓存命中统计为每小时向文件同步一次，如果出现系统异常或重启，则最近一小时的命中统计数据会丢失。

APP动态缓存最多可以写8个域名。

下载URL必须为真实的下载地址，即符合URL三要素（资源类型、存放资源的主机域名、资源文件名）。

此为软件限制，cli上传文件，使用的是tftp方式。tftp在上传完成前无法获知上传文件大小。

当磁盘占用率大于80，无法正常下载。

无法单独删除其中一个app缓存文件，只能删除域名同时删除该域名下的所有缓存app文件。

动态缓存的文件只包含*.apk和*.ipa两种类型且文件类型区分大小写。

使用公网真实的服务器测试不会出现缓存失败现象，测试环境中出现过缓存失败的情况，且只有文件资源名包含中文时才会出现，真实场景是不存在文件名为中文的情况的，目前发现HFS1.5g版本搭建的webserver服务器当文件名包含中文时其对中文进行编码时使用的中文对照的16进制符号不是标准的，会导致设备下载资源后解码出的文件名与实际下载的文件名对应不上，这样即使下载成功了也不能正确显示，测试环境使用的HFS2.3版本无问题，推荐使用该版本进行测试，或者直接使用公网环境测试。

应用缓存实现机制：将用户get报文截获做302重定向到设备本地下载，因为操作过快，导致两次下载的GET实际是在同一条流上，因为302重定向是针对单条流只会重定向一次，后续的GET是直接放通的，所以会出现此现象，是302重定向的机制实现。在实际应用场景中，客户端为手机，不存在连续下载多次相同文件的情况，所以在实际应用场景中也就不存在这个问题。

软件限制，出现概率非常小，不影响使用。

是的，目前APP缓存302重定向设备服务端口必须为80，不支持端口漂移，如果管理端口被修改后配置的动态缓存的应用将无法下载。

基于会话的源和目的IP来进行限制，当会话没有匹配到源IP地址，就会继续匹配目的IP地址。如果匹配到了源IP地址，那么不会继续匹配目的IP地址。限制的方式包括并发会话数和每秒新建会话数两种控制方式。

一条新建的流量能够同时匹配多条会话限制时，将以会话限制配置的从上到下顺序进行匹配，以配置在上面的条目为准。

比如对公司内部各IP进行会话数限制，地址对象为any，总会话数限制为200，每秒新建限制为10，对技术支持组的各IP进行会话限制，地址对象为192.168.2.0/24，总会话数限制为100，每秒新建限制为10。

配置了两条会话限制，技术支持组的地址对象包含于地址对象any。

查看限制阻断，匹配到192.168.2.0/24的地址的会话限制都采用的是技术支持组的会话限制配置，符合预期效果。

可以，会话总数和每秒新建的速度，如果只希望限制一个，可以将另一个的数值设置为0，表示对该项不进行限制。

不可以，如果已经配置了某个地址对象的会话限制，那么下一次新建该地址对象的会话限制后，将覆盖之前配置的会话限制。

不会，由于会话已经建立，且数量大于当前配置的会话限制中的总数，下一次该地址对象的流量到来后，将不会受到会话限制的影响，除非该会话老化。如果一直有该地址对象的流量通过，那么该会话将无法老化，可以通过手动清除当前的会话，来使得会话限制对该地址对象立即生效。

支持，会话控制支持对IPv4地址和IPv6地址对象的会话进行控制。

querycurrentcount:48977当前dns并发请求数

querytotalcount:677413发送的dns累计请求次数

cachecount:0缓存数量

localcount:0设备ping一个域名,成功会+1

dns并发数可以达到1W，设备最多允许接收5W；dns缓存动态5万条，静态和特定域名各128。

dnssession主要影响特定域名。

dnssessionenable特定域名优先走session。

dnssessiondiable特定域名使用特定DNS服务器进行动态解析。

dns代理缓存达到5w以后，新来的dns请求继续处理并回应请求端；此时不再对新来的dns请求产生的应答进行缓存。

DNS报文数据段>512，dns响应报文不能大于512，对于大于512的响应报文，设备进一步回复给客户，但不进行动态缓存。

接口类型改变后必须去手动修改DNS链路的配置，否则会造成业务不通。

A记录设备最多显示8条，如果超过8，剩下的使用...省略号。

displaydnscache和页面支持显示4个具体ip地址，后面（）显示总的ip地址个数；命令行下displaydnscache+域名可支持最多显示出8个具体IP地址。

例：

开启DNS透明代理的功能，但是没有配置透明代理的策略，仍会命中透明代理的流程，导致用户无法上网，需要配置dns透明代理策略。

如果域名比较长，在页面的DNS缓存中无法完全显示（无法显示部分...代替），如果想在页面查询这样的域名是无法查询的。

本机报文不走dns代理流程，只需要在全局dns配置一个有效的DNS地址（DNS全局代理可关闭），在设备上就可以ping域名。

开启DNS透明代理或者DNS全局代理其中一个，DNS流量就会正常的进入DNS静态域名，DNS动态域名流程。

debug显示出接口为NULL时表示匹配的特定域名解析，否则显示出匹配的DNS链路出接口，例：

<2016-12-1415:07:54>DNSPsrcip=20.1.1.3,dstip=200.111.111.1,sendtargetip=111.1.1.6,outinterface=ge4.4021,domain=www.spirentcom.com,retry=0

<2016-12-1415:07:54>DNSPsrcip=20.1.1.3,dstip=200.111.111.1,sendtargetip=111.1.1.3,outinterface=NULL,domain=3.33334.www.spirentcom.com.cn,retry=0

多条链路，配置基于负载，当某个dns链路出接口没有路由时，还是会负载DNS报文,选到有路由的就发出去,选到没有路由的就发不出去，就会造成部分网络不通。

多条链路，配置基于优先级，当优先级高的没有到dns服务器端路由的时候不会切换到优先级低的dns链路发送，会造成网络不通。

是的，由于dns报文被重新组装发送而不是基于会话转发的，所以查询不到。

设备支持DNS4to6及DNS6to4的转换，无论是IPv4还是IPv6的DNS请求都会处理。

答：需检查终端发出的DNS请求是否是AAAA，如果发出的是A则是请求IPv4的地址，服务器未配置IPv4地址无法应答。

支持。根据DNS请求的类型进行应答：

·如果收到的DNS请求是A，则会在一个DNS响应包中回应这两个V4地址，不会回应V6地址

·如果收到的DNS请求是AAAA，则会在一个DNS响应包中回应这两个V6地址，不会回应V4地址

·如果收到的DNS请求包括A和AAAA的，则会用两个DNS响应包分别回应A和AAAA的请求。

是否没有更新最新入侵防御特征库。

规则中包含的签名集需要包含要检测的签名。

防止外部攻击防御，开启该功能以预防。

由于部分特征需要修改检测深度才行识别，可以通过配置max-ips-detect4096命令，提升检测深度，注：此命令只适合测试使用，实际使用开启此命令，会导致性能大幅度下降。

设备同时配置有日志聚合和告警规则时，告警规则优先，即：匹配命中告警规则的报文产生的日志不聚合。

除了自定义规则，其它所有配置不进行恢复，如果原来控制策略中配置了IPS策略，则默认恢复为引用All模板的IPS策略。

·IPS日志聚合配置会丢失。

·IPS所有模板以及模板下的规则配置和协议异常配置都会丢失。

·IPS自定义规则会丢失。

·IPS高级告警配置会丢失。

设备的内存大小不同，IPS规则模板的规格也不同。具体规格如下：

·内存为1G的设备，IPS模板最多支持16个；

·内存为2G-4G的设备，IPS模板最多支持32个；

·内网为8G及以上的设备，IPS模板最多支持64个。

以上规则总数包含4个预定义规则模板。

IPS自定义规则最多可配置32条，每条自定义规则最多可包含8个协议字段，每个协议字段最多可包含8个协议匹配条件。

IPS模板分为预定义规则模板、派生规则模板和自定义规则模板：

·预定义模板：由系统自动创建，不允许增加或删除，每条规则的配置也不允许修改。

·派生模板：由预定义规则模板派生而来，不允许增加或删除，但是可以修改每条规则的配置。

·自定义模板：由用户自己定义创建，其中包含的规则以及配置都可以修改。

为了减小IPS规则过多而导致配置文件太大，影响设备启动，对IPS规则保存格式进行了精简保存，从而提升设备启动速度。

每条规则的保存格式，以“5222414107200”为例说明：

IPS规则，使用命令displayrunning-config查看不到，只有导出配置的时候保存为配置文件：IPS.cfg。

IPS规则如果配置了阻断，命中该规则后会丢弃当前报文。如果是TCP协议，阻断会发rst；如果是UDP协议，阻断直接丢弃报文。阻断只是阻断当前连接或会话。

IPS的防逃避功能只能通过命令行开启，Web页面不支持配置，此功能开启后对性能影响比较大，不建议开启，仅在特殊场景下使用。

如果日志链表里有超过256条日志的话，多于256条的部分日志，会在下一个一分钟发送。比如按照源地址聚合，构造了300个源地址的攻击报文，有256个是1分钟发一次日志，聚合次数就是这一分钟内命中规则的次数。剩下的44条日志会在第二分钟发送，如果回放2分钟，就是2分钟的总命中次数。

如果在大流量场景下，如果将DNS域名长度配置为较小的值，并且配置了日志聚合。因为长度很小，导致产生了很多日志，在配置日志聚合的情况下，日志都被缓存了。日志聚合的缓存大小是50000条，然后以每分钟256条的速度进行入库，在日志量很大缓存满的时候，会需要约3小时（50000/256=195分钟）才能全部入库完成。

所以，在将DNS域名长度配置成1024时，并不是检测错误产生了日志，而是之前缓存的日志还在不停入库。

因为目前仅支持木马后门、蠕虫病毒、挖矿、webshell、木马外联五类攻击，因为这五类攻击是攻击渗透成功之后做的向外传输数据的动作，一般有这种流量基本确定内网已有主机被攻陷，所以能断定被攻击成功，其它种类攻击目前暂不支持判断，成功标志为否。

目前支持对zip、gz、bz2等压缩文件进行扫描。

FTP客户端软件下载部分文件存在概率出现断点续传的情况，被阻断的报文会另起会话进行传输。

某些情况下IMAP协议传输会出现大量报文乱序的情况，目前设备默认规格是支持20个乱序报文重组，已新增命令applicationtcprsmlevel[20-80]可配置支持重组乱序报文个数是20-80个。

只支持二进制方式传输，一般FTP客户端默认是自动选择传输方式，优先使用二进制方式。

关闭nd学习必须配合IP-MAC绑定使用，否则对端无法学习到设备MAC，造成业务不通。

新建已存在黑名单，会进行替换，下发成功后会替换之前的黑名单，并且不会增加黑名单条数，如果已经满规格，进行新的配置，才会给出已超过规格的提示。

答：不一定，以下两种情况不能记录破解账号：

1、目前防暴力破解日志支持对于telnet、ftp、pop3和smtp这4种协议记录破解账号，其它协议不支持。

2、如果解码时获取不到用户名，防暴力破解则无法记录破解账号。

支持网桥模式、路由模式、旁路模式，其中旁路模式只支持检测，其余模式支持检测和阻断

基于异常报文检测方式适用设备部署在NAT后场景，所有和基于流量模型检测适用于除NAT后之外的场景。

dns-tunnel日志一天最多入库5W条，超过5W条后，覆盖最早的日志。

dns-tunnel缓存规格5000条包括所有dns-tunnel的流量。规格超了，就走dns-tunnel检测流程。

Dns隧道动作允许和拒绝都可以记录日志。

dns-tunnel报文匹配阻断并且加入黑名单后，后续的报文再过来直接在黑名单那里就阻断，不会再走dns隧道检测流程。

预置白名单是指在（网络配置-基础网络-DNS服务器下配置的DNS服务器地址）勾选后不会再走dns-tunnel流程。

最大支持64个自定义DNS服务器地址。配置后不会再走dns-tunnel流程。

全局白名单开启后不会再走dns-tunnel流程。

桥和旁路模式，并且是反向报文触发攻击日志的发送的情况，mac记为：-。

相同源、目的ip、源端口的dns-tunnel流5分钟报一条日志，日志发送是没锁的，偶尔可能间隔不完全准确。

记录的是检测到dns隧道的原因，有两种情况，一种是满足dns请求报文个数超过阈值，记为：DNS流量过大，一种是既满足请求报文个数超过阈值又存在异常报文情况，记为：DNS流量过大且存在异常报文。

CC攻击防护的防护范围配置在全站和指定URL这两个方式只能选择一种，全站的防护的范围会比较广，所以默认给的阈值比较大，指定URL，是针对某一个URL的访问防护，所以默认阈值比较小，在进行切换的时候，由于全站的访问次数配置的比较大，切换到指定UR防护，不进行修改的话会影响指定指定URL的防护效果，反之指定URL配置的较小，切换到全站如果不进行修改的话会造成误阻断，所以切换方式的话就默认变成了推荐值，防止影响CC攻击防护功能的使用效果。

规格防护支持统计最近1W条规则防护日志进行分析，高级防护支持统计最近5W条高级防护日志进行分析。

网页防篡改功能不支持防护动态页面，只保护静态页面；访问一个静态页面5次之后，页面被篡改才会有告警。每次访问后需要清理浏览器缓存。

多条精确访问控制规则之间是或的关系，匹配顺序为从上往下顺序匹配，如果匹配中某一条精确访问控制规则，就不再匹配后续的规则。

一条精确访问控制规则可以包含10个匹配条件，多个匹配条件之间是与的关系，流量必须满足该条规则的所有条件，才能命中该条规则。

外联地址支持配置IP或者域名，配置域名的情况下，域名不能直接参与匹配，需要先对经过设备的DNS流量进行学习，记录域名对应的IP地址，匹配服务器外联地址时，与学习到的域名对应IP进行匹配。

统计集中最近1小时的刷新间隔是1分钟刷新一次，统计最近1天的刷新监控是10分钟刷新一次、统计最近1周的刷新间隔是60分钟刷新一次。

近1小时流量趋势图中，将鼠标移动到每分钟上，会显示当时的流速即1分钟内流量的平均值；近1天流量趋势图中，将鼠标移动到每整10分钟时，会显示当时的流速即10分钟内流量的平均值；近1周流量趋势图中，将鼠标移动到每整小时时，会显示当时的流速即1小时内流量的平均值。

统计集中用户的类型包括匿名用户（IPv4用户及IPv6用户）、静态绑定用户、本地认证用户及第三方认证用户。

对于不同的系统平台，统计集所显示及统计的用户及应用的规格是不同的，可以通过命令displayflow-accountspecification查看规格。

统计集每个应用的总流量为上下数据加下行数据统计出来的总流量，其中总量值后边小数点两位进行四舍五入，所以会造成上行+下行大于或小于总流量现象，误差小于1%。

统计集右上角有一个刷新按钮，页面不会自动更新，当用户设置统计集按最近一小时、最近一天、最近一周时，后台分别以1分钟、10分钟、60分钟进行更新，此时前台页面需要手动点击<更新>按钮进行刷新页面。

统计集暂时不支持HA，即主墙数据不会同步到备墙，当HA主备切换后，备墙开始记录数据。

统计集数据目前不能保存，也不能随配置导出再导入。

饼图默认显示流量最高的10种应用以及其它应用,即Top10+1，其它应用是指应用总流量小于0.8%时，记录到其它应用中。

只统计转发流量，不统计到本地流量。

统计集支持设备旁路模式，能够将Span镜像出来的数据进行数据统计。

应用统计可以在应用中进行点击，页面跳转到使用该应用的用户页面，用户统计即当前发起流量的IP或实名认证用户，点击该用户，可以具体查看该用户所发起的应用流量。

进入WEB页面内的“对象管理>地址>地址探测”点击新建地址探测。

进入WEB页面内的“对象管理>地址>地址探测”查看探测track状态失败，先确定配置的探测条目tcp端口是否打开。

(1)探测内网的dns服务器时，首先确定设备dns服务器是否指向了内网dns服务器；

(2)探测外网的知名dns时，首先确定设备是否配置了dns服务器，并且配置有到达外网的路由。

(1)设备备墙上查看HA配置。

(2)设备备墙上查看HA所关联track状态是否为Failed。

(3)设备备墙查看引用的track对象的探测目标是从哪个接口出去的。

(4)设备备墙在探测目标的接口下配置管理ip地址。

(1)Track联动HA时，因为HA备设备只允许源地址为管理地址的报文发送，所以需要将探测报文的源地址指定为接口的管理地址。

(2)Track联动HA时不支持跨网段的探测，因为跨网段的话，你要把往其它网段的报文发到HA管理IP的网关上，备设备看来，HA管理IP的网关就是它自己，但是它自己是备状态，报文发不出。

WEB页面导入csv格式用户和用户组后，备墙无法实时同步，需要在主墙同步一次配置后，HA状态才会一致。

当设备中配置了多条七元组策略时，报文会按照一定的顺序与这些规则进行匹配，一旦匹配上某条策略便结束匹配过程。策略的显示顺序与匹配顺序一致，即按照WEB界面（或者通过displayrunpolicy命令）显示的顺序，从上到下一次匹配。同时，七元组策略支持通过命令移动策略位置来调整策略的匹配顺序。

添加或修改七元组策略后，所有的流量都会重新进行策略匹配，以使新的策略生效。

查看设备中是否有策略将流量拒绝或进入“网络配置>路由>路由表”查看是否存在IMC服务器地址路由条目。

进入WEB页面“用户管理>认证设置>PortalServer”中查看“认证URL”是否正确。配置URL时，根据“例如”信息，将Serverip地址更改为服务器的IP地址。

在NAT环境中，用户访问服务器时MAC地址会发生更改。导致服务器接收的MAC地址与接入用户的MAC不符，产生循环认证的问题。命令行中使用user-portal-servermac-sensitiveenable可解决。

(1)首先在接收的认证页面中输入正确的用户名密码“上线”后，错误信息“向设备发送请求失败。可以检查设备中RADIUS服务器端口号是否与IMC服务器端端口号相同；

(2)查看输入的用户名、密码与IMC服务器中配置的接入用户信息不一致。可查看IMC服务器中接入的用户名、密码是否与输入的相符；

(3)查看IMC服务器内的“用户>接入策略管理>Portal服务管理>IP地址组配置”查看认证用户的IP地址范围是否在IP地址组范围内。

设备内将RADIUS组调用在PortalServer中，该组内有多个RADIUS服务器存在，配置与IMC服务器相同的RADIUS服务器不是该RADIUS组中第一个RADIUS服务器。所以需要进行多次RADIUS服务器匹配，当匹配到与IMC服务器相同RADIUS服务器时即可认证成功。

用户的PC上原认证页面未关闭，将原认证页面关闭或在认证页面填写已认证用户名、密码、服务后，点击下线后，可正常重新认证认证。

在浏览器调用调色板时需要浏览器支持color类型。只有支持color类型的浏览器才可看到颜色按钮，如不支持的浏览器则会出现此问题现象。

对于已经在线的用户，需要进行重新下线再上线才可以同步到。因为设备的用户策略主要针对用户的IP地址，如果相同IP地址的用户已在线，不会再次进行认证。

(1)首先查看ipv4策略是否将此数据包拒绝；

(2)查看设备路由是否正确；

(3)查看用户策略的目的IP是否将服务器的IP地址排除在外。

(3)查看用户策略是否正确，PC上网时是否匹配到此用户策略。

(4)查看网络拓扑，抓包判断是否存在认证流量二次过设备的情况，此时需要在认证策略中将源目地址排除掉设备地址。

根据debugaaaevent或系统日志信息查看，认证失败原因：

(1)服务器无响应：查看路由及IPV4策略是否错误；服务器端口是否匹配；

(2)服务器密码错误（指Radius）；

(3)用户名或密码错误：查看所输入的用户名是否与第三方服务器上的用户名一致；确定密码是否正确，与服务器上对应用户名的密码一致。特别需要指出的是对于Radius第三方用户存储认证，所使用的服务器为IMC服务器中的Radius部分，所以输入的用户名还要包括服务类型标识部分，账号与服务类型之间用@连接，如htest@kkk，其中htest表示账号名称，kkk为服务类型标识，这两者用@连接后整体作为认证用户的用户名。

属于断点续传的有服务器不可达/服务器down/vtysh超时退出（这种情况下，属于断点下载范围。当设备版本下载过程中断掉后，再次开始后从上一次的进度处开始下载）。下载过程中，用户主动断掉（ctrl+c，这种情况不属于断点下载，需要重头开始下载）。

抓取新建会话：新的五元组信息产生的新的流。当高级选项抓取新建会话为2时，指的是一条新建流的前两个包。

对于服务质量管理条目建立之前的“最后一次成功率”和“最后一次延时”数据进行补零显示；

进入WEB页面内的“网络优化>服务质量管理”查看探测结果，先确定配置的探测条目tcp端口是否打开。

当设备上未配置DNS服务器时会出现以上情况：

PC能够重定向到认证页面，说明设备的路由及IPV4策略是没有问题的。

(1)首先查看绑定的MAC地址是否与PC的MAC地址一致；

(2)再查看下组网方式，若是设备通过三层交换机与内网PC相连，目前设备没有跨三层MAC地址学习功能，则无法直接获取到内网PC的MAC地址，这样即使绑定了MAC地址，任然需要通过认证才能上网。

(1)多出口场景下使用。

(2)接口最少2个最多4个。

(3)目前不支持ISP就近探测。

(4)如果在出口使用的话路由需要配置为默认等价路由。且在同一负载均衡组下。

(5)如果一个路由的多下一跳出口分属不同的负载均衡组，对于这种存在冲突的情况，按照之前的路由选路方式进行，不再进行负载均衡。

(6)只有物理口能加入负载均衡组。

(7)加入到负载均衡组中的接口不能再加入到桥口或聚合口和HA心跳口。

目前支持带宽比负载和优先级负载两种方式。

根据每条链路的带宽，通过分配新建链接，采用轮询负载均衡接口的方式选择出口，达到负载均衡的目的。

(1)必须有两个出口。

(2)只有加入到负载均衡的接口，且路由可达的接口才对流量做负载均衡。

(3)采用带宽比负载均衡时，接口组里的所有接口都需要配置带宽，否则该接口组不生效，阈值可不配置。

(4)不配置阈值的情况下，按照带宽比例进行负载。配置阈值的情况下，根据接口带宽和阈值的值进行转发。

(5)如果没有配置过载保护接口的话，当链路阈值到达后，该链路不再承载新连接的流量，转由其它链路进行负载。当所有链路都达到阈值后，则会对新连接丢包。

(6)如果有多个过载保护口，只选择当前负载最小的接口。

基于优先级的是谁的优先级高先走谁接口达到阀值后在找第二优先级的接口走，相同优先级,接口流量满了后才从其它接口转发。

(3)接口必须配置优先级。默认优先级为4，数字越小，优先级越高。带宽阈值可不配置。

(4)负载方式为优先级并且配置有接口带宽和阈值，当优先级高的链路达到阈值后，走优先级低的链路。

(1)负载方式为带宽比的情况下，会话保持优于带宽比。

(2)会话保持保证同一源IP出接口一样。如FTP控制流和数据流走同一链路，同一用户的请求能持续在同一个链路进行负载，避免网银等业务不可用。

(1)负载方式为优先级，同时开启了会话保持，先走优先级。

(2)会话保持对优先级无效，因为优先级强调的本来就是优先走哪个接口，这俩互斥。

(1)负载均衡组指定过载保护接口，该接口在负载均衡组中。当负载均衡的各个出口都达到阈值后，再有新建会话则从指定的过载保护口出，并且该口不受阈值限制。

(2)如果有多个过载保护口，只选择当前负载最小的接口。

支持在负载均衡接口上配置健康检查，引用已有的tack机制。当track状态发生变化时，对应接口的路由状态发生变化。基于track，已实现ICMP、TCP（HTTP、FTP、DNS等）。对于需要多种检测方式的，引用track组。

(1)负载均衡出接口配置规格32。

(2)单独一个出接口允许添加健康检查的个数规格8。

(3)负载均衡策略配置规格32。

(4)单独一条负载均衡策略可以添加的出接口（包括出接口组）规格8。

(5)出接口组中可以添加的出接口的规格4。

(6)免负载地址可以添加的地址对象（包括地址对象组）规格8。

目前支持基于权重负载和优先级负载两种方式。

选路的规则是按照链接哈希，结合权重完成选路，同一链接的所有转发要求使用同一个接口完成。

关于父子链接的应用：sip，h323，pptp，ftp，tftp等要求主从链接必须使用同一个接口完成转发，使用源地址hash，这样就可以保证同一源地址的所有请求使用唯一接口完成转发。

(1)权重的范围1-100。

(2)出接口状态为up的接口能够参与权重比计算。

负载均衡策略添加的出接口，按照由上到下的匹配顺序，进行转发。

这里的优先级需要明确，最优链路出现故障，则使用第二优先级的链路转发，一旦最优链路恢复，则新的链接使用最优链路完成转发，旧得连接在原有的接口上维护。

(1)优先级的匹配顺序是由上到下。

(2)最优链路出现故障，则使用第二优先级的链路转发，一旦最优链路恢复，则新的链接使用最优链路完成转发，旧得连接在原有的接口上维护。

(3)优先级可以通过上下箭头进行调整，按照调整后优先级完成转发。

新版本的会话保持功能，使用源地址hash，这样就可以保证同一源地址的所有请求使用唯一接口完成转发，如FTP控制流和数据流走同一链路，同一用户的请求能持续在同一个链路进行负载，避免网银等业务不可用。

新版本暂时不支持过载保护功能。

(1)链路负载出接口，添加健康检查（健康检查地址需要配置可达地址）。

(2)健康检查支持协议：暂时仅支持ICMP检测。

(3)链路负载均衡出接口，最多添加8个健康检查条目，8个检查条目，只要有任何一个检测失败，认为该出接口健康检测失败，该接口状态为不可用。

(1)出接口为三层口静态ip的接口，必须配置下一跳地址。

(2)出接口为pppoe，dhcp，tunnel接口，不需要手动配置下一跳地址。

(1)默认配置排除设备的直连网段，也就是说直连网段的地址访问外网，不需要进入负载均衡流程。

(2)选中的免负载均衡地址访问外网，不需要进入负载均衡流程。

新版本暂时不支持匹配应用的负载均衡。

首先匹配策略路由，未匹配上策略路由匹配负载均衡策略，均为匹配上，匹配静态路由。

(1)链路负载均衡本身的匹配顺序，先匹配免负载均衡地址，负载均衡策略由上到下匹配。

(2)负载均衡能够匹配正向发送的流量，无法匹配反向进入设备的流量（配置负载均衡策略，同样要配置相应的默认路由，保证目的nat功能可用）。

(1)ISP地址的导入命令：copyftp服务器ip导入的isp地址库名称isp-address

(2)isp地址导出命令行：exportisp-addressbyftp服务器地址

(3)ISP地址导入后需要执行ispaddressupdate，导入的isp地址生效

(4)ISP地址导入后需要执行ispaddresscreat，isp地址生效

(5)ISP地址删除命令，ispaddressdelete

基于权重负载的负载均衡策略是按照源IP地址进行hash运算的，当源IP数量较少时由于hash算法原因查看匹配计数未完全按照配置的权重大小的比例进行负载分担，只有当源IP数量较多时才能够与配置的权重大小比例一致。

基于源地址散列+权重。

为了保持一致性，同一个源的报文被送到同一个服务器处理，这里需要采取基于源地址hash的算法，同时还具有加权随机的算法，最终选择实服务器，即DNAT规则。

基于权重。

源ip每次都会进行匹配后进行转发。

范围为1-100。

权值越小，优先级越高。

支持icmp。

通过发送icmp数据，检查服务器是否存活。

支持tcp。

通过发送指定端口的tcp数据，检查服务器是否存活。

负载算法是先根据源地址计算出一个随机数，用随机数对权重和求余数。比如权重配置是是1:1，加起来就是2，匹配概率0或者1，当源地址比较少的时候很大概率只能匹配到其中一个服务器。此时需要修改权重值为一个比较大的范围比如是10:10，匹配概率会变成1-19，此时负载基本能按照权重匹配（但是匹配数也不太可能完全1：1，如果源地址范围越大，权重总和越大，就越接近1:1）。

账号管理员：创建/删除/编辑系统管理员账号以及查看自己的操作日志。

权限分配管理员：为系统管理员分配权限以及查看自己的操作日志。

审核员：可以查看所有管理员的操作日志。

系统管理员：对自己已有权限的模块行进操作。

设备由普通模式切换到三权模式后，不能再切换到普通模式。

账号管理员、权限分配管理员、审核员这三个默认管理员的名称不可以修改、但密码可以修改。

设备由普通模式切换到三权模式后，原来的系统管理员和审计员都成为系统管理员，但权限为空。

切换到三权模式后，CLI的控制权限就被回收了，只有如下命令的权限是放开的"exit",

"end","en","enable","ping","configureterminal","interface","noshutdown","ipaddress","save","displayrunning-config","displayversion","displayrunning-config","allowaccess"

"noadmin-switchthree-power-mode""debug","log"。

命令行不支持图片导入，不支持图片ha。

域名白名单模糊匹配（使用简单的字符串匹配）。配xw.qq.com访问www.xw.qq.com这才是包含关系。

每张图片默认展示3秒在加上1秒缓冲就是4秒，最多展示4张图片也就是4*3+1一共13秒。

策略匹配顺序从上向下，如果上面策略匹配到的话，下面策略就不会在匹配。

每张图片上传大小最大是2M。

软件限制，策略重名时图片无法恢复，文字可以保留。

同一个小米手机会带多个终端型号：如MI2会同时带MI2、MI2S的终端标识，终端类型会显示成先识别的终端标识，这样就可能会把MI2识别成MI2S。

同一个小米手机会带多个终端型号：如MI2会同时带MI2、MI2S的终端标识，为防止误识别，小米手机型号不能作为用户唯一的标识。

目前暂不支持防共享监控用户列表HA主备同步，主备切换后需要重新检测共享终端。

阻断提示中的单位是动态显示的，大于1分钟时会自动以分钟为单位，小于1分钟时会自动以秒为单位。

不可以，至少需要选择一种共享检测方式。

共享接入日志只有自动阻断或限速的才会产生日志，手动在共享接入监控页面操作栏上手动冻结或限速配置的惩罚用户不会产生日志。

防共享接入检测如果检测到终端数量已经达到阈值，且惩罚方式配置了阻断或限速，直至超时之前都将不再检测，只有超时之后才会检测；如果惩罚方式配置的是无或者配置了白名单，则达到阈值之后会继续检测。

如从4.2或老版本升级到4.5版本串口可能打印user-policyanyanyanyanyalwayspermit1，因为认证方式permit已经被删除，或者会打印user-webauthportal-urldefault-template，因为新版本认证策略机制修改，该命令已被删除，以前配置认证策略后，需要在认证方式中选择模板类型，目前是认证策略选择单一认证方式就自动关联相应认证方式的默认模板，如果是混合认证，就关联混合模板。

主要针对第三方用户，目的是将存在于第三方的用户加入设备，便于做策略限制等。此功能不影响本地已有用户，只会新增用户，不会修改已有用户信息。

认证策略用户录入未配置用户组时不会录入用户。

第三方录入用户，如果用户未下线，该用户无法编辑，在线用户注销后，用户可以编辑。

第三方用户认证录入支持永久录入、有效期录入、临时录入。

(1)永久录入：指用户认证成功后录入到设备的用户不会自动删除，未删除的情况下长期有效；

(3)临时录入：是指用户认证成功后录入用户到设备指定的用户组，当用户注销下线后，录入的临时用户会自动删除。

临时录入策略命令行clearuser-recognition，录入用户不会删除，需要手动删除用户。

为了保证原有功能不受影响，优先录入到imc配置推送的用户组中，功能与以前保持一致，当用户进行PortalServer认证，认证成功后，用户会被录入到设备配置的imc推送的同名用户组中，用户下线后，录入到imc推送用户组的用户会被删除。

当同一个终端自动弹出或打开了多个认证页面时，仅最新的验证码生效。

用户限额信息推送支持本地认证、短信认证、免认证和混合认证（本地认证、短信认证、免认证）。

首次匹配上策略后，可能会出现不显示限额信息推送按钮，需要手动刷新一下认证成功界面。

·在配置本地认证策略时，可以基于用户组织结构，指定该策略限定的认证用户范围，且只对设备添加的本地用户有效。

·混合认证中的本地认证不支持此功能。

·能选择的用户、用户组数量为64（64是指选择的对象的数目，不区分是用户和用户组）。

注意事项：

(1)对于用户层面来说，只有选中的用户才能进行本地WEB认证上网，未选中或者排除的用户不能进行本地WEB认证上网。

如果组网中存在认证流量二次过设备的情况，需要在认证策略配置中，将源、目的地址配置为排除设备地址，否则会导致认证时无法重定向到认证页面的现象。

配置了认证策略后，终端用户访问网站时，可以弹出认证Portal页面进行认证上网。设备仅支持对于HTTP网站的标准端口（80及8080端口），及HTTPS的标准端口（443端口）弹出认证页面，如果访问其他非标准端口的网站时，则无法弹出认证Portal页面。

认证模板预览支持认证方式切换效果的展示，但目前尚不支持此功能。

终端上下线日志是存在数据库中的，用户名切换后只有新产生的终端上下线日志才会更新用户名，在线用户处用户名会改变，因为是从内存中保存的用户信息获取的。

无法认证成功，短信认证与浏览器是绑定的。

不包含短信认证的配置，由于短信认证没有命令行，所以导出的设备配置不包含短信认证配置。

不同步。

用户第一次接入网络时会弹portal认证页面，用户按照要求输入正确的用户名及密码后完成认证并成功上线，此时设备会将该用户的MAC加入到无感知列表，当用户下次上线时先查无感知列表，如果用户MAC在无感知列表中，设备自动完成认证，将用户无感知上线，简化了认证流程，提升了用户体验。

无感知认证支持跨三层组网，但需要在设备上开启SNMP跨三层MAC学习功能，以获取用户的真实MAC。如果未开启SNMP跨三层MAC学习功能，会把报文中的三层设备的MAC加入到无感知列表，从而导致三层设备下的用户都可以无感知上线了。

如果本地认证的用户信息在LDAP和Radius服务器上，LDAP的用户需要同步到设备本地或认证策略里配置录入用户。由于Radius的用户不支持同步，故Radius用户认证需要认证策略里配置录入用户。

(1)用户超时下线，并非用户自己主观行为，所以应该支持无感知，让用户没有重新认证的感觉。

(2)用户被管理员踢下线，证明用户存在一定的异常，针对异常用户肯定不能无感知。

(3)用户主动注销，证明下线是用户主观的行为，不想在不知情的情况下再次上线，所以也不能支持无感知。

通过如下命令检查用户上线后MAC是否被加入到无感知记录表中：

·displayuser-waalocal-waa查看本地认证无感记录表。

·displayuser-waasms-waa查看短信认证无感知记录表。

目前无感知上线的用户暂不支持HA同步，因此HA主设备在线用户显示无感知认证上线的用户名，而HA备机上显示的是匿名用户。

访客二维码认证主要针对下列两种场景：

1.对于企业访客，联网时，终端弹出认证二维码，由公司内部审核人员（比如前台），扫描二维码，备注访客信息，然后实现访客上网；

在二维码访客认证页面中的审核员为在线认证用户，any代表所有在线的认证用户，匿名用户或非在线认证用户不行。

钉钉认证功能支持自动获取用户组织结构，因此需要在钉钉后台开启通讯录可读权限。

支持PC端钉钉认证。

在页面点击钉钉认证注销后，页面不能自动完成刷新。需要手动触发认证策略，重新进行钉钉认证。

POP3认证时，POP3服务器的地址时不支持配置为域名地址。

(2)APP认证不支持加密应用中的用户名提取

(1)IC卡认证用户不支持非经功能。

(2)由于PC的后台流量概率会触发流量劫持（portal认证），会造成测试PC不需要手动触发认证的情况下，直接刷卡认证，就可以上线成功。

(3)IC卡认证不支持NAT后场景。

(4)IC卡认证如果设备上注销用户，用户必须重新进行IC卡刷卡才能进行认证。

(5)IC卡卡机只支持win10系统。

IPv6本地认证是通过地址对象范围控制，数据只要匹配策略地址范围就会命中认证策略，无需页面额外配置。

无感知功能不支持IPv6，其它高级功能都支持。

支持IPv4的第三方服务器进行本地认证。

对于IPv6数据匹配其它类型认证策略，如果检测到非本地认证方式，默认不进行认证。

在混合认证里既可以选择单一的认证方式，同时也选择多种的认证方式。

用户源MAC获取方式因组网环境不同会有差异：

二层组网：直接获取报文中的用户源MAC，显示到日志中。

三层组网：不开启SNMP跨三层MAC学习功能的话，也是直接获取报文中的用户源MAC，显示到日志中。如果开启SNMP跨三层MAC学习功能，先取报文中的源MAC同交换机列表中的MAC进行比对，如果匹配到，则到该交换机列表中获取真实的源MAC显示到日志中，如果没匹配到则显示报文中的源MAC。

是由于浏览器本身的拦截造成的，由于浏览器本身的拦截，请求并没有发起，而是直接被浏览器处理掉了。

伪portal抑制使用的是refresh脚本方式进行重定向，客户端收到重定向报文后需要解析脚本成功后才能访问Portal页面，与302重定向不一样，因为一般的软件不会解析脚本，所以就不会发起访问Portal的请求，在一定程度上就减轻了无效的访问对设备造成的压力。

不能排除部分软件可以识别refresh。这个功能是能在趋势上减少请求量，不能保证所有软件都会起作用。

refresh重定向不一定能有效抑制所有的软件，只是说会减少一部分不会识别的refresh脚本的软件。

地址本域名是指在地址对象中支持添加域名方式的对象，并支持在其它策略中引用。

地址本域名支持添加域名形式的地址对象，设备会将域名解析成对应的IP地址，在策略匹配过程中实际还是直接匹配的IP，如果发现策略命中不生效，检查设备是否配置了DNS，以及查看域名是否成功解析成了IP地址。

NAT44支持端口复用，只要一条流的DIP、Dport、portocol有一个参数不一样就可以转化成相同的源端口。

NAT44端口分配是随机的，从尚未使用的端口号中随机选择一个进行转化。

NAT44、NAT64、NAT46暂不支持ALG，可以用源NAT功能配合ALG使用。

目的NAT的目的地址建议不要配置为全any，否则会对同网段设备造成干扰，导致网段其它设备会报地址冲突。

NAT64、NAT46策略不支持调整优先级。

目前仅支持华为E3372联通版本的4G网卡。

设备在CPU100%的情况下会出现大量丢包，拨号报文发不出去，在连续发10个包后，没有响应，会导致lcpdown，然后报close事件，根据PPP状态机，PPP切换到closing状态。

然后超时，收到To-事件，状态切换到closed状态，此时收到server端的Configure-Requestpackets时，会发送一个Terminate-Ack。收到server端的Terminate-Acks被静静的丢弃，以防止造成循环。

不再主动发包，等待up事件触发，所以需要接口shutdown、noshutdown。

(1)用户的规格是根据不同设备型号（不同的内存来决定的，范围是4096-32768）。

(2)用户组的规格所有设备相同，均为1024。

用户页面能够完整显示前3个用户组，剩余的用户组通过省略号代替，但是会显示具体的所属用户组个数。

用户组中引用用户的规格为2048，当所选用户超过2048个，无法全选移动到指定用户组。

用户支持批量移动，用户组不支持批量移动，仅支持单独移动。

(1)用户导入支持追加导入，不支持覆盖导入，如导入文件中的用户与系统中已存在用户名称相同，则导入失败。回退导入操作。

(2)导出：导出所有用户和用户组。

(3)导入/导出的文件后缀格式（.csv）。

该情况产生主要是使用了非正常操作，当管理员在浏览器中选择需要上传的配置文件后，并未上传文件，直接去手动修改文件名称或直接删除了文件，导致选择要上传的配置文件不存在。此时浏览器的前端脚本是无法检测到系统文件变更的，当执行上传动作时会启动进度条按钮，由于文件不存在进而导致上传行为异常，最终无法监控到上传状态，关闭进度框。此情况实际使用中出现概率较小，即使出现了，刷新下页面即可，实际影响很小，其它页面也存在类似情况，特此进行说明。

由于命令行下输入的中文字符类型可能是UTF-8，可能是ANSI，也可能是其它的编码格式。而且中文字符是2个char型，不同类型的编码是不一样的，这个无法进行限制；如果对其中的一种编码的中文字符做了限制，但是在其它的编码中可能并不是异常字符，这样限制就会有问题。因此目前命令行对以上中文非法字符未作处理，目前很多模块由于此种情况均存在未对中文特殊字符进行检查，Web页面的检查与命令行保持一致，也是支持以上中文字符的。

在用户组织结构下用户组最多可以建8级。

在用户组织结构根目录下，选择“用户>所有页”，批量编辑用户的状态，只有根路径“/”下的用户状态能成功编辑，其它组下的用户状态不变。

配置的排除地址必须要在绑定范围内才会生效，否则提示排除地址不合法。

由于用户绑定的IP与mac是或的关系，先匹配IP，在IP未命中情况下再匹配mac，所以用户能以mac方式上线。

在跨三层环境下，由于通过SNMP获取到真实MAC后在线用户的MAC会发生变化，用户刚上线时未学习到终端真实MAC地址，后期学习到终端真实MAC地址后，如果用户MAC敏感为关闭状态，用户不会重新识别会导致无法关联上静态绑定用户。

用户MAC敏感功能默认为disable状态，通过usermac-sensitiveenable命令开启MAC敏感功能，当终端的MAC地址发生变化时重新进行用户认证识别上线。

其它模块引用用户最多引用64个用户对象。

在根组导出组织结构，会导出所有用户和用户组，但是不包括属性组，点击属性组后导出的为属性组。

·本地认证不会新建用户组；

·静态绑定ip和静态绑定mac不会新建用户组；

·portal认证会新建用户组：portal-server用户；

·短信认证会新建用户组：短信用户；

·免认证会新建用户组：免认证用户；

·混合认证会根据用户选择的哪种认证方式认证后进行创建不同的组，认证方式为选择的认证类型方式；

·二维码认证会新建用户组：二维码用户；

·IMC推送UDP9999会新建用户组：IMC用户，所属组IMC用户，认证方式为imc；

·第三方radius用户认证会新建用户组：Radius用户组，认证方式为第三方Radius认证；

·第三方ldap用户认证会新建用户组：Ldap用户组，认证方式为第三方Ldap认证。

根据不同硬件类型，每个组下最多允许对象也不一样，但是在默认组下允许对象数没有限制，但也不会超过最大规格。

如果在导入时有用户被引用，会出现导入不全的情况，因为导入的时候是先删除用户再导入用户，而被引用的用户，是无法被删除的，此时出错，那么退出，故导致导入不全。存在此情况时建议使用“跳过，不导入该用户”的方式

目前我们设备使用的yyyy-mm-dd的风格进行显示。

csv的源文件使用Notepad++打开显示的也是yyyy-mm-dd风格。

仅允许绑定1个IPv6地址，因为用户绑定配置限制条数为256个，防止IPV6地址使用掩码配置范围超出范围。

1、管理员创建用户组时支持配置IP录入范围

2、当IP属于录入范围时，以IP地址作为用户名创本地用户，并录入到用户组

3、对应的IP地址的用户可以在上线用户组中显示在对应的用户组下

4、录入的用户以静态绑定方式上线，并记录上线日志（在线用户不支持同步-备机通过流量触发上线）

1、该功能只针对认证过程发生在本地的本地用户生效。对于LDAP同步过来的用户，认证过程发生在LDAP服务器的场景，每用户终端个数限制功能不生效。

2、对于用户终端个数限制，可以通过以下两种方式进行配置：

3、用户配置的优先级大于全局配置的优先级。

4、修改用户配置会强制该用户下线；修改全局配置，不会强制所有用户下线。如果发生强制下线的情况，在上下线日志中会有记录。

LDAP同步条目128，SNMP同步规格64，ARP扫描条目64个。

LDAP同步录入用户不支持指定用户组，录入按照AD域上OU和安全组进行录入。

LDAP服务器用户名长度大于63字符后同步到设备用户名会截断成63字符。

LDAP服务器同步目前支持389明文传输，不支持636密文传输（加密跟服务器交互不了身份验证不了）。

在用户管理>全局配置>第三方LDAP认证处，选择ldap组统一认证。

LDAP仅支持简单模式的联动认证，不支持匿名和通用模式的联动认证。

E6442及以上的版本，支持与Openldap、WindowsAD域服务器的认证对接。

AD服务器上用户名超长(大于63字符)，含有异常字符（汉字数字字母以及@._-()[]|以外的特殊字符）可以同步，不能录入到本地用户结构，同步过程中会依次在本地用户结构添加用户、用户组，本地满规格时无法录入，同步规格和本地用户规格相同。

LDAPBaseDN如果写根OU的话，同步LDAP服务器的时候会把根OU下的所有子OU以及用户全部同步下来。

远端用户删除后重新同步ldap组后，远端被删除的用户移除用户组，本地用户没被删除，不会影响到策略。

(1)由于远端用户认证未下线所以本地即使没有该认证用户也不影响下联pc上网。

(2)当远端pc认证用户下线后重新使用被删除的用户进行认证是提示用户不存在。

IPSes和SSLVPN条件下使用LDAP认证时，IPSes和SSLVPN认证使用用户名密码认证后，会从本地查找该用户名用户，若该用户不存在，则不会添加该用户到认证用户组。所以若使用该方式认证，需保证本地存在该用户。

多个用户认证并行时，用户同步任务单线程处理，上一个同步任务完成后，才开始下一个同步任务。

AD域用户更新密码后，使用同步的ldap认证时，新旧密码都可以认证。在server2008级别的AD下，旧密码生存期为5分钟，在server2003级别的AD下，旧密码生存期为60分钟。

测试2003的服务器，旧密码有效期为60分钟，自测60分钟后密码失效，此为AD域服务器的保护机制，不修改。

手动创建用户组、用户创建为本地用户，和ldap服务器上组、用户名称一样，点ldap同步，这个用户没法用ldap认证，ldap同步当存在重名用户时，只移动用户，不覆盖。

ldap组里第一个ldap服务器密码不对，用户在第二个服务器，此时用户认证浏览器无响应，目前处理不了跨域的ldap组认证，需要保障ldap组下地址可达，服务器密码正确。

arp扫描只支持扫描设备同网段用户。

arp扫描和SNMP录入支持指定用户组录入和不录入，如果配置的ARP扫描和SNMP同步未指定录入组，只扫描同步，录入用户。可以在同步结果页面，直接下载CSV文件、录入到指定用户组、支持IP-MAC绑定。

(1)新建交换机条目的mac地址是与设备相连的交换机的地址。

(2)设备配置的团体名需要跟交换机上的团体名一致。

(3)团体名不能包含中文。

开启SNMP同步后，交换机下的新用户IPMAC如果不能及时学习到，数据直接放通，在线用户列表中的MAC会显示成三层交换机的MAC。

如果交换机的MAC不在跨三层学习交换机列表中，直接拿数据MAC与IP-MAC绑定表比对。

如果交换机的MAC在跨三层学习列表中，先遍历IPMAC学习表获取真实MAC，然后再与IP-MAC绑定表比对。

随着网络攻击的多样化，对于js、sql注入攻击经常被市场扫出或提出风险，R6612版本对特殊字符配置做了全方面的安全加固，不允许配置敏感字符，考虑到配置兼容性，当前类似SQL注入风险字符的安全校验只在前端页面有检查，后端没有此类检查。因此在Web页面中无法配置，可以通过配置文件导入或命令行进行配置。该问题在多个模块均存在，出现此情况时可以在命令行下进行编辑修改，或者在页面将原带有异常注入字符的配置去掉，然后新建不带异常注入字符的配置即可。

学习是分两步：

(1)snmp协议跟交换机交互报文，来学习IP/mac条目，并将IP/mac条目存到文件中（网络好时报文交互快，学的也快）。

(1)IPMAC表达到59000条时触发快速老化，将已经老化的IP/mac全清掉，规格满直接丢新的条目。

因为录入前没有流量做策略匹配导致获取不到录入的组，因此无法录入，这种情况需要用户重新弹认证页面上线才能够正常录入。

radius服务器是使用icmp检查，如果有回复则认为成功，ldap服务器是使用协议默认的tcp389端口进行测试，并且会使用配置的管理员及密码进行验证，验证通过后才认为成功。

(1)接口已经作为镜像规则源接口时不可再配置为其它规则的监控接口；

(2)接口已经作为镜像规则监控接口时不可再配置为其它规则的源接口；

(3)源接口和监控接口不能是同一个物理接口，要么配置为源接口，要么配置为监控接口，不能同时配置；

(4)管理口以及旁路接口不可配置为监控接口；

(5)在线业务口不可配置为监控接口（在线业务口即为现网在跑正常业务的物理接口）。

(1)查看接口是否up，只有镜像接口up时才进行端口流量镜像，否则不进行流量镜像；

(2)设备packetbuffer数量使用率超过3/4，可通过displaystatisticsfpa命令中PKI_POOL一行查看当前的使用情况，如果正常业务流量的packetbuffer数量使用率超过3/4则镜像功能失效，不再镜像业务流量。

设备packetbuffer数量使用率超过3/4，可通过displaystatisticsfpa命令中PKI_POOL一行查看当前的使用情况，如果正常业务流量的packetbuffer数量使用率未超过3/4，但匹配镜像功能后超过3/4，则会出现只镜像出部分业务流量的现象。

需要配置多条端口镜像规则，每条规则配置不同的源端口镜像到同一个监控接口，目前端口镜像规则的源接口、监控接口只允许配置一个物理接口，无法配置多个物理接口。

不支持，由于设备仅仅支持单台模式，因此仅仅支持本地镜像，而不支持远端镜像。

不能。

使用displaystatisticsphy-interface命令或在web页面查看监控接口的发送的流量大小是否等于端口镜像规则源接口所配置镜像方向的流量的大小。

可以，但是镜像前要保证被镜像的源接口的流量小于监控接口真实的物理带宽，否则监控接口发送报文出现拥塞，造成系统大量丢包，影响报文正常转发，造成业务中断，因此建议使用时配置低带宽向高带宽接口镜像，尽量不要高带宽往低带宽接口镜像。

(1)首先解析DNS报文，设备获取到DNS的回应报文，匹配解密策略的源地址，解析出域名对应的IP，往当前策略上添加IP域名信息（dns缓存）。

(2)转发报文流经设备，判断TCP的端口是否为443、995、993、465进入解密策略匹配流程，然后依次匹配解密策略的入接口，源地址，目的地址，若为443端口判断目的IP是否存在于DNS解析的IP中，若均匹配上报文送入linux内核，通过内核的iptablesredirect功能重定向到本机代理进程。

(3)代理进程建立双向SSL连接，并对数据进行加解密，解密后的数据封装SKB后送入审计流程。

场景限制：

(1)dns流量未经过设备，业务流量经过设备，解密策略是否生效？

因dns缓存未记录域名及对应的ip地址，此场景解密策略不生效。

(2)dns流量开始时经过设备，后续dns流量场景改变，不过设备，acg解密是否生效？

由于dns流量开始时经过设备，匹配解密策略后会有dns缓存。

定时刷新机制：解密dns缓存定时器每3小时刷新一次，如果缓存列表未更新前，对应审计流量经过设备后，会走解密流程。

当dns缓存定时器刷新后，dns缓存列表会被清空，后续审计流量不走解密流程。

手动清除机制：解密dns缓存支持手动清除，策略配置》ssl解密策略，点击编辑解密策略，重新提交后会清空所有dns缓存。

dns流量不过设备时，手动清除dns缓存后，解密策略不生效。

(3)解密策略禁用情况下，不会受解密dns缓存影响，无需手动清除。

电脑必须要安装，如不安装会出现浏览器提示证书不合法无法访问的情况。

电脑端需要安正证书在浏览器的受信任根目录下，具体导入过程见【证书导入文档】。

当设备DNS设置成全局模式时，用户电脑的DNS需要指向设备的入接口，以保证DNS过设备，解密策略才能生效。若DNS不经过设备的话，解密策略不生效。

设备的证书必须和用户导入的证书一致，否则浏览器依然显示证书非安全。

手机端（Android/ios）都需要导入证书，如果不导入，手机端访问网址、发送邮件、升级系统都会报非安全连接或者验证错误。

由于部分APP对证书有高安全级别的检验，移动终端导入的证书就会检验不通过，导致无法访问，如果出现此情况，则在解密策略中排除APP应用服务器的IP或者关闭解密策略。

需要在命令行配置sslproxyserial-randomdisable，由于ssl客户端生成的证书的序列号为服务端证书+随机数计算而成，每次序列号是变化的，对于某些手机端的浏览器安装了证书还是会存在合法性校验验证不过，会被浏览器拦截，这个时候如果弹出了继续浏览按钮，点击继续浏览，下一次ssl握手推送的证书和上一次证书的序列号不一致，还会被浏览器继续拦截，因此会一直弹告警，但是在配置了sslproxyserial-randomdisable后，会每10分钟变化一次随机数，这样点击继续浏览后两次的证书序列号是一致的，就不会存在一直弹安全告警了。

安卓系统手机、Linux系统PC不支持SSL解密证书的推送。

访问本地检测页面采用域名的形式，因此要求设备可以捕获下游用户DNS请求，用户把域名重定向到设备IP。

证书是否安装的检测基于用户实现，若下游存在nat或者其它共享地址上网的情况，第一次检测后，一个小时内不再进行检测。

证书推送需要配置解密策略，只针对解密对象中支持的域名有效，解密对象中不支持的域名，需要将域名单独添加到解密对象中。

是的，目前解密中的域名地址的匹配是通过监听DNS报文解析出IP地址，然后以此地址和目的地址进行匹配的，因此如果两个不同的域名绑定了相同的IP地址，只在HTTPS对象中配置了其中一个域名，另一个域名也是会进入解密流程的。

支持日流量限额。

支持月流量限额。

支持日时长限额。

支持月时长限额。

支持惩罚方式为禁止上网。

支持惩罚方式为添加到流控通道。

仅支持流控子通道。

需配置一个非常用的服务来作为惩罚的低速通道。

限额策略根据五元组从上到下顺序匹配策略，同一个用户只会匹配到一条策略，对于限额实际应用场景来说，时长限额和流量限额是二选一的。

流量阻断后，用户产生的流量过设备仍然会进行统计，从另一方面可以帮助管理员判断是否有攻击或用户电脑是否中断一直产生异常流量。

限额策略配置修改后统计数据不清零，会在之前的基础上继续累加，如果希望将某个用户的统计数据清零可以在限额用户统计页面删除指定用户。

限额统计支持设备重启后恢复的机制，限额用户的统计数据会定期（1个小时）写到文件中，下次设备重启后，会从文件中读取之前的记录，避免设备重启后，限额统计被清零的情况。

限额统计是基于用户流量触发来统计在线时长，无流量不统计，与认证用户实际在线时长没有关系，是两个维度，避免认证用户在没有使用网络的时候也会被统计在线时长，出现严重统计误差（如永不超时）

是的，针对UDP流量不在源IP指定范围内时也能匹配上限额策略，因为UDP流量无法区分正反向，所以在匹配时会将流上的源目IP调换一下跟匹配条件对比一次，即做了双向匹配，避免下行流量先过设备时永远无法匹配上策略。

DDNS功能的规格限制是以配置的账户名的数量做限制的，目前支持配置10个不同的账户名，由于每个ddns条目只能配置一个账户，且不同的ddns条目不允许配置相同的账户名，因此ddns功能支持配置的条目也是10条。

当外网口地址存在多个IP地址时，DDNS更新时使用主地址进行更新，不会使用从地址，不支持指定某个特定的IP地址进行更新。

由于花生壳厂商不支持对指定的特定域名进行更新，而是会更新此账户下的所有域名导致，后续会进行优化，嵌入支持其它服务商。

不支持，目前只支持IPv4。

不支持，目前只支持三级域名。

由于设备支持配置32个链路负载出接口，每条链路负载出接口均支持配置dns-dnat功能，因此dns-dnat规格与链路负载出接口一致。

DNS透明代理功能优先处理DNS报文，DNS报文不会在进DNS-DNAT流程处理。

DNS-DNAT的探测功能在配置DNS-DNA后就会默认开启，设备主动往主、备DNS服务器发送域名www.baidu.com的dns请求报文，每10s发送一次，重试次数为3次，即如果连续三次未收到DNS服务器的dns恢复报文则认为此DNS服务器故障。

在web管理页面，网络配置>负载聚合>负载均衡出接口配置页面查看，如果DNS服务器探测失效时，DNS服务器的显示将变为红色字体，将鼠标放在dns服务器显示IP处，会有弹出框显示“此dns服务器探测失败，为故障不可用状态”；在cli下可通过命令行displaylb-policywansinterfacestate进行查看；在dnsserver后面会显示当前dns服务器成功还是失败，并且后面会有相应的标识，各状态标识含义如下：

·0x00表示均不健康

·0x01表示主是健康的

·0x02表示备是健康的

·0x03表示均健康

支持保存、导出、导入配置文件的格式为.cfg格式（导入时支持web页面导出的.data加密格式的配置文件），只支持保存配置文件的数量为6个，所有配置文件占总存储大小空间为200M。

配置文件保存在CF卡中，当CF卡空间不足以保存配置文件时会进行提示；使用erasestartup-config命令清除所有配置重启后不会清除掉保存的配置文件。

在命令行下使用copyconfigtest.cfgftp192.168.2.120test.cfg导出配置文件时，输入“？”时后面仍会提示输入FTP服务器的地址。如下所示：

这是由于FTP导出配置文件的注册命令是这样2条命令：“copyconfigLocalFileftpUSERNAMEPASSWDA.B.C.DRemoteFile”，“copyconfigLocalFileftpA.B.C.DRemoteFile”，

“copyconfigtest.cfgftp192.168.2.120test.cfg”执行的命令给识别为第一条命令了，把IP地址作为USERNAME来使用，所以导致输入？仍会提示输入FTP服务器地址。FTP导出命令是分为2个命令注册的，一个是匿名用户，一个需要输入用户名/密码；在输入IP地址和文件名称时无法区分是否是用户名、密码还是服务器、文件名称。

导入配置文件进行配置恢复时，设备重启过程中配置保存选项要N，不能输入Y，否则设备的运行配置会覆盖导入的配置文件，导致配置恢复失败。

不支持。FTPv6目前只支持从FTP服务器导入文件，即copyftp的命令，不支持导出配置文件，即copy{running-config|startup-config}ftp命令不支持FTPv6。

TFTPv6目前只支持从TFTP服务器导入文件，即copytftp的命令，而不支持导出配置文件，即copy{running-config|startup-config}tftp命令不支持TFTPv6。

1G内存设备存储规格为1000；

2G内存设备存储规格为5000；

4G内存设备（含小于8G设备）存储规格为1W；

8G及超8G内存设备规格为2W。

要求在逃生时所有用户均可上网、逃生结束后未认证用户均需认证。也就意味着，在逃生期间在线用户不发生变动。

要求在逃生时在线用户和mac地址在已认证用户列表里的用户可以上网，其它用户不能上网。

认证用户有保存用户数的规格限制，当存储用户数达到规格时，优先删除最久没有流量的用户。

可以，启动成功后执行命令即可。

根目录下的version是文件里，里面放置需要更换的版本文件，序列号文件里的version只是一个放置版本号和版本名称的文件。

没有影响，只有在重启的过程中生效。

零配置启动盘启动成功后会在序列号文件夹下生成一个finish的文件。把文件删除后，还能继续生效。

零配置启动盘启动后，不论失败或者成功，displaylogdebug即可看见日志。

不是，启动盘里可支持1024序列号。

启动配置是一个，备份文件是三个。

包括访问网站日志、IM聊天软件日志、社区日志、搜索引擎日志、邮件日志、文件传输日志、娱乐/股票日志、其它应用日志。

不支持，比如邮件日志里的内容和附件就不支持导出。

只支持带硬盘可以访问审计日志页面的设备才具备日志导出功能。

当导出日志中某一天无日志记录时不生成该日期的空内容导出文件。

不支持按查询条件导出，审计日志、系统日志、操作日志、网络层安全日志等均不支持基于查询条件导出。

设备的探针功能默认为关闭，默认发送非探针格式日志；在“系统管理>日志设定>日志过滤”页面可以手动开启和关闭探针格式日志，也可以通过命令行lognta-modeenable开启探针格式日志，通过命令行lognta-mode可以关闭探针格式日志。

探针功能开启后，会话日志、审计日志和安全日志的日志内容和格式将按探针日志格式发送，探针日志包括会话日志、加密流量TCP统计日志encrypted_traffic、访问网站日志，IM聊天日志、社区日志、搜索引擎日志、邮件日志、文件传输日志、娱乐/股票日志、协议审计日志，其它应用日志（DNS日志、telnet日志、LDAP日志、ssl加密日志、login日志)、安全防护中的扫描行为、入侵检测日志、病毒防护日志、防暴力破解日志、弱密码防护日志、行为模型日志，非法外联日志。

其中会话日志和ssl日志会影响性能，系统默认为不发送，如需发送可在日志过滤页面进行设置。

告警事件的全局开关就是“启用事件告警”，取消勾选后整个功能处于关闭状态。

会话警告阈值规格是按照设备的会话规格统计的，例如设备会话限制30W，会话警告阈值就最大值就是30W条。

重置会回到前一次的配置，并不是清空配置。

不会，只有在设备主页系统状态页面会弹窗告警。

记录到1W条日志时，会删除最初的1000条。

仅Web页面可配置的告警项（CPU告警、内存告警、硬盘告警、会话告警、整机流量告警）支持告警恢复功能。

是的，目前针对一些可能会影响业务的情况，只要启用事件告警就会记录告警日志，具体包括设备重启、接口up/down以及HA切换等。

最大规格是500条自定义应用，如果导出超过500条的文件，则只有导进500条成功。

尽量不要选择已经被使用的端口。

不是，只需要在目标端口、IP、域名或URL任选一个填写即可。

首先用户没有识别，那就是用户地址不在识别范围内，更改用户全局配置里识别范围后，清一下会话，再匹配自定义应用流量过设备。

自定义应用不支持审计，因为每一种应用的审计日志都是需要通过事先分析应用中的特征来提取出对应的审计规则才能正常产生审计日志，对于自定义应用由于只是根据IP、端口、URL等规则做简单的流量识别，所以无对应的审计规则，无法产生审计日志，自定义应用阻断日志同其它所有预定义应用的阻断日志一样发送到应用控制日志中。

切换成英文版后系统日志和操作日志显示的中文日志是在中文版本操作的，对应的，如果是在英文版的操作后，切换成中文版本，日志也会有英文显示。

设备控件显示中文和操作系统语言有关，操作系统为英文版，浏览器显示设备控件即是英文。

不会，保存的配置不受切换版本影响。

(1)用户标签是根据网站日志分类进行上报标签，设备需要开启审计策略，需要审计网站类日志

(2)用户标签上报前必须配置imc服务器的ip地址、认证用户名、密码，否则服务器连接认证失败无法上报用户标签。

只支持配置一个上报服务器，如果重复配置的话会把之前的imc覆盖。

预定义只有56个，不支持手动创建自定义url分类，其它的id号作为预留url分类使用。默认所有URL分类均参与标签上报通过命令url-category（1-1025）user-labelenable/disable限制哪些标签上报。

用户存储的最大规格为50x1024，到达规格后老化不活跃用户。

(1)推荐使用于二层场景。

每个用户只上报top3的用户标签，如果用户标签不足三个，使用USER_LABEL_NONE（0）填充。

用户标签信息本地配置文件存储周期为15分钟。

用户标签信息上报imc服务器周期为24小时。

(1)没有配置imc服务器。

(2)用户标签文件创建失败。

(3)用户标签前台调用的脚本失败。

(1)查看是不是对应的上报被关闭了。

(2)查看保存文件是否是更新了最新的。

(3)查看上报文件中的标签是否和保存的一致同时也是更新了最新的。

(4)debugappauditlog查看是否产生日志。

(5)设备开启了审计策略但是没配置imc标签上报服务器，默认24小时上报一次。

User-lableenable

User-labledisable

分类ID

中文名称

英文名称

1

ad

2

成人

adult

3

傀儡主机

botnet

4

艺术

art

5

在线音乐

music

6

机动车

automobile

7

BBS站点

BBS

8

键盘记录网站

keyboard-recorder

9

博彩

lottery

10

商业

business

11

计算机与互联网

network

12

犯罪

crime

13

钓鱼网站

fishing

14

毒品

drug

15

教育

education

16

娱乐

entertainment

17

在线股票交易

transaction

18

证券公司

securities

19

赌博

gambling

20

游戏

game

21

木马病毒

trojan

22

网络资源

network-resources

23

医疗健康

health

24

违反法律

illegal

25

违反道德

immoral

26

求职招聘

recruitment

27

儿童

child

28

法律

law

29

社会生活

society

31

网上交易

trade

32

新闻媒体

news

33

文学

literature

34

在线聊天

chat

35

财经

economics

36

非盈利组织

charity

37

政治

political

38

色情

porn

39

门户网站与搜索引擎

portal-searcher

40

远程代理

proxy

41

房地产

estate

42

参考

reference

43

宗教与信仰

religion

44

科学

science

45

期货

futures

46

银行

bank

47

体育

sports

48

股票

stock

49

基金

fund

50

外汇

exchange

51

旅游

travel

52

暴力

violence

53

病毒

virus

54

WEB通信

web-im

55

交通住宿预定

hotal

56

白名单

whitelist

目前不支持多域及子域的情况，在线用户信息未带域名信息。

用户上报信息已加密，包含用户名、密码。

新的主设备收到用户心跳报文后（默认30s发一次心跳报文），用户会重新上线，但是如果上网流量产生在心跳报文之前，则以IP作为用户名直接上线。

新的主设备收到用户心跳报文后（默认30s发一次心跳报文），用户会重新上线，但是如果上网流量产生在心跳报文之前，则会继续匹配设备上的后续认证策略，如果没有后续认证策略，则会丢弃在收到下个心跳报文之前的30s内的所有报文，后续收到心跳报文后则会重新上线。

确认设备本身是否有带硬盘，没有硬盘的设备无线非经模块在最新版本上默认不显示。

目前特征提取是从格式开始的地方开始提取的，一直到结束为止，目前包含内容的日志都是这种方式处理的，修改涉及范围较大，后续版本统一优化处理。

最新版本上Radius监听功能默认是关闭的，如果需要可在命令行配置模式下执行命令user-radius-listenenable来开启。

(1)检查无线非经配置策略，场所AP是否都已配置；

(2)检查测试的应用是否在应用关系对照表中；

(3)检查场所AP配置是否均已下发（通过命令displaywxfj-place-cnt可确认场所AP规格以及下发的场所AP数）。

(1)确认设备与网监平台服务器是否能互通；

(2)检查数据上报网监平台的账号密码是否都正确（通过命令displaywireless-certpbo-entry查看）；

(3)确认网监平台提供的账号是否有写入权限；

(4)排查网络中间是否有配置访问控制阻断策略，阻断其上报数据。

所有数据上报来自同一个AP，原因是认证数据中没有APMAC字段，或者推送过来的APMAC字段与设备配置的APMAC未匹配上，为了数据不丢失，如果认证数据中的APMAC字段与设备上的未匹配上，设备上默认进行终端地址范围匹配，终端地址范围默认是any，所以会出现所有数据都匹配到一个AP上进行上报。

AP配置导入格式是csv格式所致，如果一个AP上需要导入多个AP地址范围，可以将多个地址对象添加到一个地址对象组中进行导入来实现效果。

由于非经字段非常多，检查很复杂，有些特殊字段是动态生成或拼接而成，无法实现精确检查，所以不能保证提示信息100%准确，比如当配置导入时检查完所有的行和列确认类型配置没有问题后会记录最后一次检查的行列值作为提示返回，但由于修改的字段，长度拼接后出现超过范围的情况，此时的提示信息会用之前的行列值加上字段错误的信息返回，这样就造成了提示信息中的行列值并不是真正有问题的字段，出现不准确的情况。

1、只支持离线升级，不支持在立刻升级中升级无线非经特征库。

2、只基于版本升级，即非经特征库要基于版本打特征库。

3、升级版本后以版本为准，特征库不生效。

4、多次升级非经特征库，以最后一次升级特征库为准。

(1)menuboot下已经格式化的硬盘分区被删除，然后启动支持该功能的版本，打开WEB会提示格式化硬盘。

(2)menuboot下硬盘分区格式化成FAT，然后启动支持该功能的八本，打开WEB会提示格式化。

页面提示格式化，格式完毕后会自动重启，重启后硬盘会自动挂载，WEB页面不应再有提示格式化硬盘的提示。

UI上是否显示硬盘是依赖于数据库能否正常连接上，连接不上不会显示，如果数据库创建失败，则会导致硬盘无法显示，处理方法如下：

recoverdatabase重新创建数据库或格式化硬盘即可恢复正常，出现此现象一般是由于两个版本的数据库差异太大导致数据库创建失败，如果升级前后的两个版本差异太大，请升级版本后清库重启。

识别模式分为“启发模式”和“强制模式”两种，默认配置为强制模式，识别范围默认配置均为private私网地址段。

“启发模式”指的是，优先将属于识别范围的IP地址识别为在线用户，并且根据流量发起方先识别源IP，再识别目的IP，如果源IP和目的IP都不在识别范围中时则将源IP识别为在线用户。

“启发模式”使用场景：对用户识别要求不严格的情况下使用启发模式，在线用户中会出现非识别范围内的用户（如：同时出现私网IP和公网IP的用户），所以统计到的在线用户数量会比较多，在此模式下需要将识别范围修改成内网实际使用的地址网段，否则会导致用户识别不精确。

“强制模式”指的是，只将属于识别范围的IP地址识别为在线用户，并且根据流量发起方先识别源IP，再识别目的IP，只有源IP或目的IP地址中的一个属于识别范围时，才会被识别为在线用户；否则此IP地址流量不受系统转发流程中用户识别后的所有功能模块限制，如：用户策略、安全策略、应用识别和审计、入侵检测、病毒防护、QOS。

“强制模式”使用场景：对用户识别要求严格的情况下使用强制模式，在线用户中只会存在识别范围内的用户，过滤掉了不属于内网地址段的用户，精简了在线用户列表，只显示用户真正关心的数据，同时提升了设备性能，不在识别范围内的IP流量不走用户认证流程，避免了对用户不关心数据的处理，在此模式下务必将识别范围修改成内网实际使用的地址网段，避免因识别范围配置错误导致的用户关心的IP地址流量不受用户策略控制的情况出现。

由于在开启更新网关后，会在设备中增加一条默认路由出接口是ppp口，这样很容易就会有ip流量通过ppp接口发送出去，第三方pppoe监听用户上线需要收到协议0x8864（pppoe协议）并且是0x0021（ipv4协议）的报文，获取到ip地址，然后根据sessionid和源mac进行查找其关联的用户名进行上线，如果在不配置更新网关的情况下，可通过ping对端ppp接口地址手动触发（可通过displayiproute查看到ppp接口对端ip地址），此时报文走ppp接口发包，也会触发pppoe第三方用户上线。因此该现象与配置更新网关和更新dns并无直接关联，只要ipv4流量走ppp接口发包，pppoe第三方用户就能获取到ip信息上线。

WEB用户同步录入用户与本地用户同名时，第三方用户同步的WEB用户同步上线后，由于户管理模块未区分是录入的用户还是本地创建的用户，该同名用户就会变成已经被引用的用户，此时本地用户中的该同名用户不可编辑和删除；只有把第三方WEB同步用户注销后，本地用户中的同名用户才能进行编辑和删除。

(1)用户名支持63个字符，超出部分会截取前63个字符；

(2)IP地址目前只支持IPv4，不支持IPv6；

(4)提取特征中的标记字符与被提取的用户信息数据字符有重复时会导致被提取信息截断。

例如：用户名为test&123，特征标记为&，提取后的用户名为test。

(5)端口配置不可配置为已使用的端口，例如80、443端口。支持1024-65534之间未使用的端口。

Web用户同步不支持HA主主同步；HA主备模式下，Web用户同步配置支持同步，在线用户不支持同步。

城市热点服务器用户同步到设备，需要在设备端“用户管理>认证管理>高级选项>第三方用户同步>其它用户同步”中开启城市热点监听功能，城市热点服务器同步用户上下线报文到设备端的61441端口。

在线用户冻结是基于用户维度的，不支持IP维度。

在线用户踢除支持基于IP维度。

设备Web页面的在线用户页面不显示MAC为0的用户，并且不计数；通过命令行displayuser-recognition查看在线用户的信息，也不统计MAC为0的用户。但是该用户会占用在线用户的一个名额。

客户端支持所有的win7和win10，Android6.0以上手机。

客户端自己断开或者在设备上注销，都不会发送下线消息给对方，VPN断开连接是自己的探测机制，每10S发送一次加密报文，客户端120s内没收到服务器的探测信息，自己下线。设备端150s内没有收到客户端的探测信息，注销在线用户。

资源如果选择FTP协议，不支持被动模式。如果支持，再设置自定义tcp端口1024-65535。

是的，由于初次认证修改密码是需要设备主动进行页面访问来推送弹窗，但SSLVPN客户端的认证流程无法进行弹窗，因此SSLVPN使用此用户上线后是不会强制修改密码的。

导入SSLVPN资源和策略后，原来已配置的策略及未被引用的资源，会被导入的配置进行覆盖，原来配置的条目会删除；已被策略引用的资源不会被覆盖。

(1)本地证书和对端证书必须是CA证书签发，客户端否则无法通过证书校验。

(2)本地证书或对端证书失效后，客户端无法通过证书校验。

本地证书和对端证书如果导入已注销的证书，若CA证书正确的情况，客户端依然可以通过证书校验，设备无法针对证书是否注销进行判断。

Type的值表示SSLVPN预定义的资源类型，显示为十进制的值，是由二进制转换过来的。资源类型的二进制值是按照资源类型对应的二进制位置进行置位标记的，第一位是HTTP，第二位是HTTPS，第三位是FTP，第四位是ICMP，第五位是SSH，第六位是TELNET，第七位是邮件（SMTP，IMAP，POP3）；置1表示允许，置0表示不允许。比如资源类型配置为HTTP和SSH，即为0010001，转换为十进制数即为17；如果资源类型为any或者自定义的，Type的值为0。

目前SSLVPN隧道接口的配置只支持管理方式的配置，可通过Web页面进入“网络配置>隧道接口”，选择需要配置的SSLVNP隧道接口，进行编辑；也可在命令行下通过allowaccess命令进行配置。如果通过命令行对除管理方式以外的参数进行配置，设备重启后，配置将会丢失。

是的。SSLVPN用户上线后，修改SSLVPN的全局配置会导致SSLVPN进程以新的配置重新启动，所以之前上线的用户会被全部踢掉。

需要在其它未使用的接口配置IP地址用来管理设备。

可以正常使用，认证用户和设备管理口要路由可达，不然会出现认证页面无法打开的情况。

旁路认证默认状态为关闭状态，需要在部署方式高级配置开启此功能。

在用户认证策略中配置的源接口以及目的接口必须配置接收镜像流量的旁路部署接口或者是any。

旁路认证为双向认证，源地址配置是PC访问的目的IP地址也会弹出认证页面。

旁路阻断默认状态为关闭状态，需要在部署方式高级配置开启此功能。

在控制策略中配置控制策略为拒绝，并且配置源接口以及目的接口必须配置接收镜像流量的旁路接口或者是any。

控制策略中配置行为为拒绝时，PC无法正常打开外网页面，无提示；如果是url控制或应用控制中配置拒绝会弹出提醒页面。

旁路阻断只针对于TCP报文生效，对于UDP，ICMP等报文无法进行阻断。

对TCP报文的阻断由于是发送reset进行阻断，如果存在外网流量回复速度快于旁路设备发送的reset报文速度，那pc将能够正常打开外网正常上网。

旁路阻断务必保证旁路设备到上网PC可达，否则功能无法使用。

管理员外部认证功能只针对管理员模式生效，三权模式不支持。

外部认证时，只支持选择服务器对象且只能选择一个，不支持同时选择多个，不支持服务器对象组，与系统创建的管理员保持一致。

上传热补丁数量限制为5个，上传第6个的时候会给出相应报错提示。

热补丁升级版本，会将当前版本上所有的补丁文件删除，当前补丁不卸载，当设备重启后，加载新升级的版本。

在主机上操作热补丁会同步到备机上，例如：在主机上传、加载、卸载和删除热补丁操作均会同步到备机上。

1G内存设备报表格式只支持html格式，2G及2G内存以上设备报表格式支持pdf和html两种格式。

统计报表模块依赖于设备硬盘，只有在有硬盘的设备上才会显示，没有硬盘的设备上将不会显示统计报表模块功能。

目前的报表统计流程是：

(1)制作报表

(2)更新记录（报表占用空间使用率数据更新）

(3)数据汇聚（从内存中获取会话数、CPU、内存使用率状态信息存入数据库中）

(4)休眠5分钟

以上4个步骤循环。

有两种情况会影响报表统计的数据不准确：

(1)设备运行异常、当CPU和内存使用率很高时，可能会导致读取会话数、CPU和内存使用率的数据失败或入库失败导致数据缺失或入库数据不准确。

主要是由于采样以及数据分区划分的原因：

是的，报表开启数据统计，在数据量较大时，报表的汇聚是会占用cpu资源的，报表汇聚目前进行了保护，如果cpu超过85或内存超过90时会等待30秒，如果30秒后cpu以及内存降下来了，再开始汇聚，因此会出现描述现象。

是的，点击手工同步会同步报表管理中的配置，不会同步历史报表中的文件，同时HA监控中的系统配置会显示两端配置一样，不会对比历史报表是否一致。

报表中的CPU利用率统计和UI上的统计不符主要是由于采样以及数据分区划分的不一样。

为节省设备资源，统计报表的数据统计功能默认是关闭的，需要在设备的“数据中心>统计报表>配置管理”中开启报表的数据采集功能，数据统计才会开始汇聚统计。

白名单优先级高于黑名单，按照全局白名单走，不去匹配黑名单。

白名单查询支持模糊匹配，没有进行名称、地址、描述的区分。

支持，全局白名单的地址可以配置为IPv6地址。但是在旁路接入的场景下，全局白名单对IPv6地址不生效。

支持上传公告页面功能，但上传页面文件不能超过2M，文件格式见默认模板。

编辑公告页面时，可支持插入图片、文件及链接，但是所有资源不能超过2M。

页面超过2M后，需要到文件（图片）服务器里删除，然后再提交。

1、针对HTTPS网站在触发控制时，URL控制、恶意URL、防共享、移动终端管理支持公告页面推送。

2、支持进程及用户态协议栈两种方式的HTTPS公告页面推送。

移动终端管理策略只控制移动终端和多终端用户，不控制PC端用户。

移动用户识别，通过UA（移动终端访问网站是带的字段）和应用特征来识别移动终端用户。

“严格”是特征+多线程识别方式，“宽松”是使用多线程识别方式，有误报的可能。

P2P智能识别，是针对UDP流量进行固定特征+并发连接识别方式，“严格”和“适中”都是先进行并发连接识别，再进行固定特征识别，“严格”要求并发连接阈值高。“宽松”是固定特征识别方式，有误报的可能。

(1)P2P软件支持：脱兔、快车、utorrent、比特精灵、比特彗星。

(2)P2P流媒体（客户端）支持：优酷、芒果TV、芒果TV、YY直播、腾讯视频、爱奇艺、PPTV、搜狐视频。

迅雷的应用很复杂而且有些还是加密传输的，可能会出现识别流量不全或未识别的情况，比如某些特征改变或者其报文加密算法变更，将无法识别出来，这些并不是版本功能问题，可通过更新版本特征库解决。

资产管理适用于内网监控场景，提供以资产为核心的安全监控和分析理念，通过资产梳理、主动风险发现、被动流量检测，帮助用户构建对IT资产实现多维度的安全分析监控。

通过流量发现、端口扫描、手动添加方式添加资产，其中流量发现、端口扫描加入的资产需要配置资产识别设定范围。

资产管理只会同步手动添加的，自动发现的不支持同步，导入的所有资产可支持同步至备机。

活跃状态代表资产在线，若一个小时内资产没有更新，则认为是离线设备，页面展示为空闲状态。

资产管理，无硬盘设备，支持5000规格，有硬盘设备，支持5W规格，达到规格后，只支持更新不支持新增。

属性状态列的数字用来标识操作系统、部门、用户名是否为用户自定义，第一位为操作系统是否自定义标记，第二位为部门是否自定义标记，第三位为用户名是否自定义标记，如果是自定义的就为1，不是自定义的就为0，然后转换为十进制数进行显示，比如用户名和部门是自定义的，操作系统不是自定义的，那就是二进制的110，转换为十进制数即为6。

流量发现不支持本地链接IPv6地址。

设备资产管理的同步策略状态包含两种方式：

·手动同步：管理员使用资产管理的立即同步的功能进行同步。

·自动同步：每天凌晨三点进行策略状态同步。

资产管理策略状态查询是先使用资产IP匹配源地址对象，如果没有命中，则匹配目的地址对象。不会匹配禁用的控制策略，只会显示出查到的第一条控制策略。

接口从地址能配置为相同网段的不同IP，不会发生冲突，这是业内的标准实现。

UTF-8编码格式，是变长的编码格式，具体如下：

占2个字节的：带有附加符号的拉丁文、希腊文、西里尔字母、亚美尼亚语、希伯来文、阿拉伯文、及它拿字母则需要二个字节编码

占3个字节的：基本等同于GBK，含21000多个汉字

占4个字节的：中日韩超大字符集里面的汉字，有5万多个

一个UTF-88数字占1个字节

一个UTF-8英文字母占1个字节

即少数是汉字每个占用3个字节，多数占用4个字节。

是的，加入到域的物理口是无法加入到聚合口的，同样如果物理口加入到聚合口后也就无法再将此物理接口加到安全域了。

如果同一个安全域内的接口不全在一个网桥（部分接口在一个网桥，部分接口工作在三层），这些接口需要跨三层互访或与其它三层接口互访时，需要将相应的接口加入到安全域内。

如果需要通过控制策略或审计策略调用安全域进行三层流量控制或审计，并且安全域内的接口存在加入网桥的情况时，需要将接口对应的网桥接口加入安全域。

不可以，串口下必须按照源IP、目的IP、源端口、目的端口的顺序配置。

接口管理方式中的Center-monitor为日志分析与管理平台的管理方式，R0304及以下版本日志分析与管理平台不支持IPv6，所以接口的Center-monitor管理方式不支持IPv6地址。

·L2TP内层协议识别功能默认关闭，可通过auditl2tpenable命令开启。

·L2TP内层协议识别只支持单包内层协议识别，因此存在内层协议识别不准确的情况。

·应用流量会识别分2份，一份是L2TP应用流量，一份是L2TP内载具体应用流量，会导致应用总流量比实际接口流量统计多的情况。

·L2TP内层协议审计，不支持解密，所以如果L2TP内载应用是加密流量，则无法进行内容审计。

·L2TP内层协议控制只支持通过IPv4控制策略匹配条件中用户、源接口/域，目的接口/域，源地址、目的地址、服务条件进行阻断，其它如入侵防御、病毒防护、URL过滤、应用过滤等都不支持阻断。