华为云用户手册

处理步骤 原因1：KA探测失败。 检查TNP绑定的接口之间是否能ping通。 如果是，则请执行步骤3。 如果不是，则请执行步骤2。 检查中间传输网络是否发生故障。 请收集告警信息和配置信息，并联系技术支持人员。 原因2：KA状态异常。 检查TNP绑定的接口之间是否能ping通。 如果是，则请执行步骤3。 如果不是，则请执行步骤2。 检查中间传输网络是否发生故障。 请收集告警信息和配置信息，并联系技术支持人员。 原因3：接口DOWN。 检查TNP绑定的接口物理协议状态是否UP。 检查接口是否被执行shutdown命令。 如果没有被执行，请收集告警信息和配置信息，并联系技术支持人员。 原因4：接口地址变更。 检查TNP绑定的接口的地址是否存在修改 如果没有被修改，请收集告警信息和配置信息，并联系技术支持人员。 原因5：NAT探测失败。 检查RR地址能否ping通。 如果是，则请执行步骤2。 如果不是，则请执行步骤3。 检查中间传输网络是否发生故障。若未发生故障，则执行步骤3. 检查中间传输网络是否对3478端口和4500端口做了限制。 若端口未做限制，请收集告警信息和配置信息，并联系技术支持人员。 原因6：BGP通知删除TNP。 使用display site-tnp site-id查看对端设备的TNP是否被删除。如果不是，请收集告警信息和配置信息，并联系技术支持人员。 原因7：BGP通知更新TNP。 使用display site-tnp site-id verbose查看对端设备的TNP内容是否有变化。如果不是，请收集告警信息和配置信息，并联系技术支持人员。 原因8：TNP权重发生变化。 使用display site-tnp site-id verbose查看TNP的权重是否被改变。如果不是，请收集告警信息和配置信息，并联系技术支持人员。 原因9：TNP配置发生变化。 使用display site-tnp site-id verbose检查TNP的带宽、地址等信息是否发生变化。如果不是，请收集告警信息和配置信息，并联系技术支持人员。 原因10：DTLS通知。 检查是否配置了ESN黑白名单功能。如果未配置，请收集告警信息和配置信息，并联系技术支持人员 原因11：用户重置。 检查本端设备是否有被reset BGP或者reset evpn connection等操作。如果未操作，请收集告警信息和配置信息，并联系技术支持人员。 原因12：诊断结束。 检查链接曾经是否多次震荡或者DOWN时间过长，若存在则是正常恢复操作。若不存在，请收集告警信息和配置信息，并联系技术支持人员。 原因13：站点业务路由被删除。 检查到对应站点的业务路由是否被删除。 使用display tunnel all查看所有隧道信息。 使用display tunnel tunnel-id逐个查看SD-WAN隧道信息，看是否存在对应的业务路由。 如果不存在，则配置对应的站点路由。 如果存在，请收集告警信息和配置信息，并联系技术支持人员。 原因14：DH Group不匹配。 检查本端设备和对端设备的DH group是否匹配。 使用display ipsec p2mp-policy查看两端设备ipsec中Key-Exchange的信息。 如果通信双方DH Group不相同，那么DH group就不能匹配。请将DH group配置相同。 若相同请收集告警信息和配置信息，并联系技术支持人员。 原因15：DH Group发生变化。 使用display ipsec p2mp-policy查看对端设备ipsec中Key-Exchange的信息。 查看DH group是否变更。若未变更请收集告警信息和配置信息，并联系技术支持人员。 原因16：自愈恢复。 设备发现链接异常状态，自愈恢复。收集告警信息和配置信息，并联系技术支持人员。 原因17：动态隧道老化。 执行display smart-policy-route查看是否有开启动态隧道，若开启检查流量是否已不存在。 若流量不在，为正常现象。 若流量不在，请收集告警信息和配置信息，并联系技术支持人员。 原因18：动态隧道阻塞。 执行display smart-policy-route查看是否有开启动态隧道，若开启了检查链接是否超过规格。 若超过规格，说明RR/HUB站点资源不够。 若未超过规格，请收集告警信息和配置信息，并联系技术支持人员。 原因19：动态隧道清除。 执行display smart-policy-route查看是否有开启动态隧道。 若开启了，则是正常清除无用链接动作。 若未开启，请收集告警信息和配置信息，并联系技术支持人员。 原因20：其他原因。 请收集告警信息和配置信息，并联系技术支持人员。

可能原因 原因1：KA探测失败。 原因2：KA状态异常。 原因3：接口DOWN。 原因4：接口地址变更。 原因5：NAT探测失败。 原因6：BGP通知删除TNP。 原因7：BGP通知更新TNP。 原因8：TNP权重发生变化。 原因9：TNP配置发生变化。 原因10：DTLS通知。 原因11：用户重置。 原因12：诊断结束。 原因13：站点业务路由被删除。 原因14：DH Group不匹配。 原因15：DH Group发生变化。 原因16：自愈恢复。 原因17：动态隧道老化。 原因18：动态隧道阻塞。 原因19：动态隧道清除。 原因20：其他原因。

告警解释 RUMNG/2/RUPORTCRCERRORRISING:OID [oid] Remote unit CRC error is rising. (RemoteUnitEsn=[OCTET], InterfaceName=[OCTET], CrcErrorStatistics=[COUNTER64], CrcErrorThreshold=[INTEGER], CrcErrorInterval=[INTEGER](s)) CRC错误在设定时间内高于设定告警个数时产生告警，当前阈值为20，周期为1分钟。

处理步骤 原因1：网板混插。 1. 插入正确的网板。 原因2：系统功率或者系统备份功率不足。 1. 增加电源模块。 原因3：所有SFU单板都不在位。 1. 插入SFU单板。 原因4：所有LPU单板都不在位。 1. 插入LPU单板。 原因5：所有CMU单板都不在位。 1. 插入CMU单板。 原因6：电源模块类型不一致。 1. 设备上电源槽全部插入直流电源或交流电源。 原因7：电源获取槽位信息失败。 1. 将电源更换电源槽位后重新插入，如果告警仍然存在，请更换电源。 原因8：风扇未插满告警。 1. 插满所有风扇 原因9：SFU单板在位数量不足。 1. 插入SFU单板。

告警参数 参数名称 参数含义 [oid] 该告警所对应的MIB节点的OID号。 SessionType 告警类型，当前仅支持SESSION。 ThresholdLevel 告警级别。 1：1级告警，告警阈值为90%。 2：2级告警，告警阈值为100%。 CurrentNum 当前使用转发流表数目。 TotalNum 转发流表规格数目。 Usage 当前转发流表数目占规格数目的比例。 Top3SourceIpAddress 当前转发流表数目最多的三个源IP地址及其转发流表数目。 格式为：(源IP地址1, 转发流表数目1)(源IP地址2, 转发流表数目2)(源IP地址3, 转发流表数目3)

告警解释 FWDTRAP/2/SESSIONRESLACKREPORT: OID [oid] The forward session resources were overloaded.(SessionType = "[OCTET]", ThresholdLevel = [INTEGER], CurrentNum = [INTEGER], TotalNum = [INTEGER], Usage = [INTEGER]%, Top3SourceIpAddress=[OCTET]) 当前转发流表数目达到或超过规格数目的90%或者100%时，设备会产生告警。

告警解释 L2IFPPI/4/PORTSE CS TATICFLP: OID [OID] Interface received a packet with flapping static MAC. (MACAddr=[OPAQUE], VLAN=[GAUGE], VsiName=[OCTET], IfIndex=[INTEGER], InterfaceName=[OCTET]) 接口接收到报文的源MAC地址已经存在在其他接口的静态MAC表中。

漏洞扫描 表1 规格清单 一级分类 二级分类 规格名称 规格描述 防火墙款型适配 - 配套的防火墙型号 天关： USG65xxE-C：USG6501E-C/USG6502E-C/USG6503E-C USG66xxF-C：USG6603F-C/USG6606F-C 防火墙： USG65xxE：USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E USG65xxE-K：USG6520E-K/USG6560E-K/USG6590E-K USG66xxE：USG6610E/USG6620E/USG6630E/USG6650E/USG6680E/USG6605E-B/USG6620E-K/USG6640E-K USG67xxE：USG6712E/USG6716E USG65xxF：USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K 订单开通 - 试用订单 支持客户试用，一般免费试用期为一个月。 服务授权 - VPN接口配置 支持手动配置和自动配置，获取防火墙上行口用于扫描时创建云端和天关VPN隧道。 服务授权 服务的租户级别全局授权，客户阅读授权协议并授权后才能正常使用漏洞扫描的基本功能。 资产发现 - 资产发现 功能描述：支持指定IP网段的主机发现，支持发现后的资产录入到资产管理服务中。 规格描述： 单次最大可扫描网段中最多包含1024个IP。 不支持保留网段的资产发现。云上保留IP：10.252.0.64/26，10.252.0.0/28，172.27.0.0/23，172.28.0.0/23。 漏洞扫描场景 专项扫描 高危漏洞扫描 高危漏洞扫描：对服务器、终端设备等多种资产类型进行高危漏洞扫描。 扫描任务最多支持20个资产。 漏洞扫描不支持多协议登录扫描，如：不支持SMB协议。 同一资产不支持同时在多个任务中发起扫描。 不支持防火墙云管理模式。 只支持建立隧道后可访问的内网资产扫描。 不支持保留网段的扫描。云上保留IP：10.252.0.64/26，10.252.0.0/28，172.27.0.0/23，172.28.0.0/23。 热点漏洞扫描 热点漏洞扫描：对服务器和终端设备进行最新Apache Log4j2远程代码执行漏洞的扫描。 扫描任务最多支持20个资产。 漏洞扫描不支持多协议登录扫描，如：不支持SMB协议。 同一资产不支持同时在多个任务中发起扫描。 不支持防火墙云管理模式。 只支持建立隧道后可访问的内网资产扫描。 不支持保留网段的扫描。云上保留IP：10.252.0.64/26，10.252.0.0/28，172.27.0.0/23，172.28.0.0/23。 数据库扫描 数据库扫描：对数据库进行安全漏洞扫描、未授权扫描，并支持版本风险提示。 扫描任务最多支持20个资产。 漏洞扫描不支持多协议登录扫描，如：不支持SMB协议。 同一资产不支持同时在多个任务中发起扫描。 不支持防火墙云管理模式。 只支持建立隧道后可访问的内网资产扫描。 不支持保留网段的扫描。云上保留IP：10.252.0.64/26，10.252.0.0/28，172.27.0.0/23，172.28.0.0/23。 弱密码扫描 弱密码扫描：对服务器和终端设备进行基于弱密码字典库、弱密码规则和穷举等多种模式的弱密码扫描。 扫描任务最多支持20个资产。 漏洞扫描不支持多协议登录扫描，如：不支持SMB协议。 同一资产不支持同时在多个任务中发起扫描。 不支持防火墙云管理模式。 只支持建立隧道后可访问的内网资产扫描。 不支持保留网段的扫描。云上保留IP：10.252.0.64/26，10.252.0.0/28，172.27.0.0/23，172.28.0.0/23。 WEB扫描 WEB扫描：对SQL注入、跨站脚本攻击、跨站请求伪造、安全配置错误、敏感信息泄露等多种Web常规漏洞进行扫描。 扫描任务最多支持20个资产。 漏洞扫描不支持多协议登录扫描，如：不支持SMB协议。 同一资产不支持同时在多个任务中发起扫描。 不支持防火墙云管理模式。 只支持建立隧道后可访问的内网资产扫描。 不支持保留网段的扫描。云上保留IP：10.252.0.64/26，10.252.0.0/28，172.27.0.0/23，172.28.0.0/23。 - 扫描报告 可以根据客户所选择资产生成漏洞扫描报告，支持客户下载报告，报告明细：报告概览、报告详情、漏洞详情、安全建议、参考标准等。 - 全量扫描 对服务器、终端设备等多种资产类型进行漏洞扫描，包括系统漏洞扫描、应用漏洞扫描、数据库漏洞扫描。 扫描任务最多支持20个资产。 漏洞扫描不支持多协议登录扫描，如：不支持SMB协议。 同一资产不支持同时在多个任务中发起扫描。 不支持防火墙云管理模式。 只支持建立隧道后可访问的内网资产扫描。 不支持保留网段的扫描。云上保留IP：10.252.0.64/26，10.252.0.0/28，172.27.0.0/23，172.28.0.0/23。 - 扫描任务 支持查看历史扫描任务以及每个历史任务的扫描结果查看（任务信息、资产和漏洞情况等）。 扫描结果 - 漏洞标签 漏洞本身的特征或者某资产上扫描出来的漏洞的特征，如：log4j漏洞、SQL注入、漏洞利用成功等。 漏洞管理 支持扫描出来的漏洞基本信息查看以及按照漏洞修复优先级评分（VPR）排序功能。 漏洞详情 展示漏洞的详细信息，处置建议和关联的资产信息。 漏洞处置 客户根据实际情况标记漏洞状态（待分析、非问题、已处理）。 服务首页 - 智慧体 1）高危资产和待评估资产提醒。2）订单到期提醒。 漏洞扫描数据统计 待处置漏洞统计，漏洞按照风险等级统计，漏洞趋势统计，TOP5漏洞和类型。 租户代维 - 身份代维 租户委托给MSP，MSP通过身份代维方式进入代维功能帮助客户处理相关问题。 父主题： 规格清单

华为乾坤APP 表1 规格清单 一级分类 二级分类 规格名称 规格描述 MSP MSP待办 威胁事件 1、支持快速查看代维租户未处置的威胁事件列表（失陷主机、外部攻击、恶意文件）； 2、支持按照租户名称过滤筛选； 3、支持按照事件类型，事件等级进行过滤筛选。 离线设备 1、支持快速查看代维租户的离线设备告警信息； 2、支持按照租户名称过滤筛选； MSP我的页面 工单 1、支持一键创建工单，反馈问题； 2、支持查看工单处理进度及工单状态； 个人信息 1、支持查看并修改个人头像信息； 2、支持查看并修改MSP用户名信息； 3、支持查看、修改或绑定个人邮箱； 4、支持查看、修改或绑定个人手机号。 名片 1、支持一键分享个人名片至微信朋友圈和微信好友； 2、支持新增、编辑、删除个人名片信息； 3、支持已分享个人名片信息禁止查看； 分享应用 1、支持一键分享华为乾坤APP的下载链接； 2、支持分享至微信朋友圈和微信好友。 操作日志 1、支持快速查看代维租户相关威胁事件的处置记录及处置结果； 2、支持按照租户名称过滤筛选。 设置 1、支持快速查看华为乾坤最新版本的隐私声明和用户协议； 2、支持一键查询华为乾坤APP是否存在新版本支持更新。 MSP首页 MSP首页套餐监控 1、支持快速查看当前代维租户的套餐总数，套餐状态； 2、当有租户套餐即将过期时（有效期小于等于7天），首页会弹出提示。 MSP首页问题租户监控 支持快速查看当前代维租户中待办事项最多的5个租户信息。 MSP首页设备监控 支持快速查看当前代维的所有租户，安全设备、网络设备的正常设备总数和异常设备总数。 DFX 隐私保护 敏感信息UI脱敏展示 1、租户个人信息中手机号、邮箱脱敏展示； 2、租户个人名片中，姓名、手机号、邮箱、微信号等信息脱敏展示，可点击查看。 支持隐私协议签署和展示 支持查看华为乾坤最新版本的隐私政策和用户协议。 APP运营 推送管理 - 1、紧急状态的外部攻击事件每天最多推送10次。 2、紧急状态的失陷主机事件每天最多推送10次。 网络场景首页 - 首页搜索功能 支持快速搜索查找APP内功能列表。 - 设备密码 支持一键修改站点内所有设备的登录密码。 - 视频测试 一键进行视频业务体验测试，检测当前Wi-Fi网络可支持的视频清晰度。 - 应用管理 支持根据业务场景需要，自定义APP首页展示的功能列表。 扫码开局 防火墙开局 防火墙设备扫码上云开局。 天关开局 天关设备扫码上云开局。 网络设备扫码开局 支持AR、LSW、AP设备的扫码上云开局。 网络运维监控 扫码开局 支持对华为数通网络设备（AR、LSW、FW、AP）和天关进行扫码开局上线乾坤云。 站点管理 支持对租户名下的站点进行增删改查操作。 终端拨测 1、支持对终端连接的Wi-Fi网络进行拨测业务，测试内容包括：信号强度测试、Ping测试、网页连通性测试、互联网性能测试、Wi-Fi干扰测试。 2、单个项目拨测测试次数1~10次； 3、单次测试Ping包测试1~10次； 4、互联网性能测试时长约20秒。 Wi-Fi测速 1、支持快速对Wi-Fi网络进行时延、上传速率、下载速率的测试； 2、单次测试时长约20秒。 Wi-Fi体检 1、支持对终端连接的Wi-Fi网络进行单点测试业务：信号强度测试、Ping测试、网页连通性测试、互联网性能测试、Wi-Fi干扰测试； 2、单次测试时长约30秒。 网络环境 根据过去24小时，华为AP上报的网络环境信息，从信号覆盖、无线繁忙度、5G优先占比、接入体验、漫游体验5大维度评估整网网络质量，并提供优化建议。 Wi-Fi调优 一键调优 支持无线网络环境一键优化，降低无线干扰。 干扰信息查询 支持查看整网无线网络干扰信息。 Wi-Fi管理 Wi-Fi详情 支持查看站点内Wi-Fi配置详情。 Wi-Fi增删改查 支持对站点内的Wi-Fi配置进行新建、删除、查询、修改等操作。 设备运维监控 设备管理 支持站点内设备的增删改查操作。 升级管理 支持对站点内的网络设备进行一键升级，并支持查看升级记录、升级失败原因。 AP诊断 支持对开局过程中未正常上线的AP进行快速诊断，分析未上线的原因。 AP计算器 支持根据用户输入的房间信息、面积信息，初步计算需要的AP数量，并推荐热销款型。 AP指示灯 支持一键关闭AP指示灯闪烁。 交换机端口查看 支持查看站点内在线交换机的端口列表及端口配置信息。 AP闪灯 支持对站点内在线的AP进行闪灯操作，方便快速确认AP位置。 单设备告警 支持查看站点内在线设备的告警信息。 设备重启 支持对站点内在线设备进行重启操作。 设备详情 支持查看站点内设备的基本信息。 拓扑 支持查看站点内网络拓扑信息。 接入终端 接入终端列表 支持查看接入终端列表。 网络场景推荐 AP诊断指导视频 AP诊断功能使用介绍视频查看。 安全场景首页 安全场景推荐 边界防护介绍宣传页推荐 快速查看华为乾坤边界防护服务特性宣传介绍页。 终端防护与响应宣传页推荐 快速查看华为乾坤终端防护服务特性宣传介绍页。 扫码开局 防火墙开局 防火墙设备扫码上云开局。 天关开局 天关设备扫码上云开局。 网络设备扫码开局 支持AR、LSW、AP设备的扫码上云开局。 安全态势小程序 恶意文件 边界防护服务恶意文件事件的查看与快速处置。 失陷主机 边界防护服务失陷主机事件的查看与快速处置。 外部攻击 边界防护服务外部攻击事件的查看与快速处置。 资产管理 资产列表查询，详情查看，分类筛选。 站点列表快捷入口 站点管理 站点的快速增删改查操作。 天关添加授权ID 支持对天关进行扫码添加授权ID激活。 天关管理 天关的增删改查。 - 黑白名单 边界防护服务，天关黑白名单下发。 - 安全报表 1、边界防护服务，安全周报和月报的一键导出与分享。 2、支持分享至微信朋友圈和微信好友。 3、支持导出过去两个月的安全报表。 发现 精选推荐 新上线服务推荐 支持华为乾坤上线全新服务时，发现页置顶推荐。 精选推广软文展示 华为乾坤热点新闻推荐。 热门教学视频展示 华为乾坤相关技术教学视频推荐。 消息 系统推送消息 发现页文章消息推送 支持发现页文章、方案介绍等软文更新时，推送通知用户。 APP内 消息通知 设备告警管理 支持新增设备告警推送至客户终端系统通知栏，提醒用户及时处理。 威胁事件处置 紧急威胁事件推送APP系统通知栏，及时提醒用户处理。 安全业务消息通知 华为乾坤新增安全服务及时推送APP系统通知栏，提醒用户了解查看。 我的 注册登录 手机号注册登录 1、支持手机号+验证码一键注册华为乾坤租户账号并自动登录； 2、华为乾坤APP一次登录支持连续在线30天。 用户名登录 支持使用租户的用户名+密码登录华为乾坤APP。 个人信息 修改头像信息 支持租户账号个人信息中的头像修改。 修改租户名称 支持租户名称修改。 绑定/修改邮箱 支持租户账号修改或绑定个人邮箱。 绑定/修改手机号 支持租户账号修改或绑定个人手机号。 修改用户名 支持租户帐号修改用户名信息。 套餐管理 套餐信息查看 支持查看当前租户账号相关套餐信息。 我的工单 工单处理 1、支持查看租户账号下历史工单信息； 2、支持关闭工单、催单、评价等操作。 新建工单 支持快速创建工单。 个人名片 个人名片分享 支持一键分享个人名片至微信朋友圈和微信好友。 编辑个人名片信息 1、支持新增、编辑、删除个人名片信息； 2、支持已分享个人名片信息禁止查看。 - 分享应用 1、支持一键分享华为乾坤APP的下载链接； 2、支持分享至微信朋友圈和微信好友。 设置 关于我们 1、支持快速查看华为乾坤最新版本的隐私声明和用户协议； 2、支持一键查询华为乾坤APP是否存在新版本支持更新。 选择语言 支持一键切换APP展示语言，当前支持简体中文和English。 注销租户 支持租户帐号的快速注销。 父主题： 规格清单

处理步骤 请在接口视图下执行命令display this interface，检查流量阈值是否过低。阈值的合理范围由用户根据实际业务确定。 如果是，则请执行步骤2。 如果否，则请执行步骤3。 请在接口视图下执行命令trap-threshold input-rate bandwidth-in-use，重新设置告警阈值，查看告警是否恢复。 如果是，则请执行步骤4。 如果否，则请执行步骤3。 请收集告警信息和配置信息，并联系技术支持工程师。 结束。

告警解释 Interface input flow bandwidth usage exceeded the trap threshold. (Interface=[IfIndex], BandWidthUsage=[hwIfMonitorInputRatePercentage], TrapThreshold=[hwIfMonitorInputRateThreshold], InterfaceName=[InterfaceName]) 当接口接收的流量占接口总带宽的比例大于设定阈值时，发出告警。

资产管理 表1 规格清单 一级分类 二级分类 规格名称 规格描述 租户代维 - 身份代维 租户将指定角色委托给MSP，MSP通过身份代维方式帮助租户处理相关问题。 手机APP - 手机APP 支持通过华为乾坤APP使用以下功能： 支持租户按资产类型、资产等级、评估状态筛选查看资产。 支持查看资产详情。 支持关注核心资产。 资产组管理 - 资产组增删改查 提供资产组的增删改查功能。 支持租户将资产添加到资产组，方便批量管理。 单租户最大支持创建100个资产组，创建租户时，会自动创建1个默认资产组。 资产管理 - 风险资产管理 提供风险资产的统一展示界面，帮助用户查询管理风险资产。 根据资产发现的漏洞、威胁事件，自动生成威胁标签。 支持用户自定义创建资产标签。 资产的威胁标签最多展示6个。 资产的用户自定义标签最多支持6个。 - 资产处置记录可追溯 支持资产全生命周期处置记录的查询，包括： 威胁处置记录 漏洞处置记录 资产维护记录，包括创建、修改、病毒查杀和漏洞扫描 - IP关联资产 查看指定IP地址被资产使用的历史记录。 - 资产更新、查询、删除 支持租户通过界面对资产进行修改、查询、删除。 资产发现 手工录入 支持租户通过界面手工录入资产： 单租户最多支持5000资产。 支持的资产类型如下： 网站 终端设备 网络设备 中间件 服务器 文件服务器 接入服务器 Web服务器 应用服务器 数据库服务器 DNS服务器 代理服务器 数据库 Oracle数据库 MySQL数据库 SQL Server数据库 PostgreSQL数据库 安全设备 未识别类型 资产重要性等级如下： 核心 普通 批量导入 支持租户通过指定Excel模板批量导入资产数据； 单次最多支持导入200条资产数据。 EDR资产发现 用户在资产上安装EDR Agent后，EDR Agent会将资产信息自动注册到云端资产管理服务。 支持每秒最多处理200个EDR Agent发现上报的资产，400个EDR Agnet发现资产的上下线状态。 漏洞扫描资产发现 支持用户通过使用 漏洞扫描服务 的资产发现功能，扫描指定IP网段内存活的资产，单次最大可扫描网段中1024个IP地址。 每秒最多录入200个资产发现功能发现的资产。 资产风险评估 - 资产评估及处置 对单个资产进行漏洞扫描与病毒查杀。 支持租户查看资产评估的分数、漏洞明细、威胁事件明细。 支持租户人工处置漏洞、威胁事件并查看处置记录。 提供资产分数给周边服务查询，以及资产安全分数变更通知周边服务的能力。 漏洞扫描及处置 对单个资产进行漏洞扫描。 支持租户查看资产待处置漏洞以及已处置漏洞。 支持租户人工处置漏洞。 病毒查杀及处置 对单个资产进行病毒查杀。 支持租户查看资产的病毒信息。 支持租户人工处置病毒。 DFX 性能 资产导入 批量导入资产规格：单次最多支持导入200个资产。 资产录入 单租户规格：最多支持管理5000资产。 系统规格：最多支持管理2000万资产。 升级 - 支持滚动升级，升级不中断。 OpenAPI - 资产管理支持北向API 开放OpenAPI接口，支持三方系统通过接口调用资产管理业务。 新增资产 删除资产 更新资产 查询资产 获取租户安全健康分数 父主题： 规格清单

边界防护与响应 表1 规格清单 一级分类 二级分类 规格名称 规格描述 管理 授权管理 服务授权 进行边界防护相关功能的授权管理。 安全态势大屏 资产失陷态势 资产失陷态势，包括：失陷主机趋势、失陷主机分布、失陷事件阻断率、最新失陷事件、top失陷主机、top失陷类型、top失陷事件。 基础安全事件态势 基础安全事件态势，包括：攻击位置、威胁判定平均时长、阻断率、top攻击类型展示，最近威胁事件，专项事件数量。 外部攻击源态势 外部攻击源态势，包括：外部攻击源趋势、攻击源分布、外部攻击阻断率、最新外部攻击、top攻击源、攻击资产、攻击类型。 套餐管理 变更/续费场景，SCP威胁防护升级License激活时长 激活时长 = 1小时。 套餐开通 支持用户下单边界服务套餐、套餐绑定设备、套餐绑定重保等能力。 定期安全报告 定期安全报告 按周、按月为用户提供安全服务报告，安全服务报告将以邮件形式发送至用户订阅邮箱。通过安全服务报告，客户可清晰了解以下信息： 安全服务概况。 威胁防护次数及趋势。 失陷主机数量及详情。 外部攻击源数量及趋势。 恶意文件数量及趋势。 支持应用访问行为统计，支持基于源IP、时间和应用分布等维度的统计，按周月提供统计分析报表 支持历史安全报告的查看和预览功能。 支持报告下载。 安全域管理 安全域状态管理 支持安全域状态监测，检查安全域物理连线是否接反。 支持针对安全域设置信任标签。 手机APP 手机APP 支持手机APP方式进行边界防护的威胁事件、黑白名单、安全报表等功能管理。 MSSP MSSP代维 可在用户运维平台对安全服务建立委托关系，给指定被委托方建立不同操作权限角色（管理员、审计员等）的代维委托。委托建立后，被委托方可查看、处置安全威胁事件。 MSSP安全大屏 支持针对MSSP管辖的租户进行安全大屏呈现。 MSSP工单流转 支持租户的工单流转到MSSP进行分析和处置。 识别 暴露面风险评估 暴露面风险评估 通过对互联网暴露面端口扫描，对用户网络安全状态实时看护，提示用户网络内不必要暴露端口。 天关/防火墙威胁防护 恶意软件防护 支持多级防护技术，支持多种恶意代码载体类型检测，实时更新病毒库，覆盖流行高危恶意软件。注：1U款型支持500万病毒库，桌面型款型支持300万病毒库。 僵木蠕防护 支持基于僵尸网络拓扑分析技术的精准角色识别，支持500+僵尸网络识别，支持1000+蠕虫和木马识别。 业务感知 支持识别6000+应用，支持主流应用协议全覆盖。 WEB分类 支持Web分类库超1.2亿，对访问行为进行管理，防范恶意网站对企业网络的侵害。 入侵防御 支持基于漏洞与行为分析的攻击检测技术，支持上下文语义还原的防躲避技术，最大支持12000+特征库，支持自动更新 。1U款型支持12000特征库，桌面型款型支持5000特征库，支持僵尸网络检测及应用服务器防护 。 响应 手动封禁 手动封禁 可以通过检测到的外部攻击源事件，进行手动封禁攻击源的操作。 EDR联动处置 EDR联动处置 支持失陷主机、恶意文件进行EDR联动处置能力，支持进程隔离、病毒查杀等操作。 EDR资产和设备自动关联 通过EDR资产发送探测报文方式，实现EDR资产、边界防护与响应服务、资产管理服务、EDR服务等服务联动，进行EDR资产与天关设备自动关联。 威胁自动阻断 外部攻击源自动阻断 支持对外部高危攻击源精准识别，自动下发黑名单，阻拦其后续的攻击行为。 恶意域名自动阻断 支持基于DNS过滤实现恶意域名自动阻断，拦截用户网络内主机对恶意域名的访问行为。 紧急安全通知 短信通知 支持短信紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 手机APP通知 支持手机APP紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 邮件通知 支持邮件紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 告警模板 对于需要发送给用户的紧急告警，提供对应的告警模板自定义能力。 黑白名单功能 域名黑名单 支持配置域名黑名单，拦截用户网络内主机对恶意域名的访问行为。 设备黑名单 支持设备黑名单设置能力，快速阻断威胁攻击源。 支持设备历史黑名单的查看。 支持一键清除。 设备保护网段 支持设备保护网段联动能力，保护已知业务，防止黑名单误阻断。 租户全局白名单 支持租户全局白名单设置能力，保护已知业务，防止黑名单误阻断。 设备白名单 支持设备白名单设置能力，保护已知业务，加入设备白名单的地址不会再进行内容安全检测。 分析 专项事件分析 失陷主机 支持按失陷主机维度自动聚合，基于失陷主机进行快速分析和处置。 外部攻击源 支持按外部攻击源维度自动聚合，基于外部攻击源进行快速分析和处置。 支持外部攻击源导出能力。 恶意文件 支持按恶意文件维度自动聚合，基于恶意文件进行快速分析和处置 检测 自定义签名 自定义签名事件检测 支持由云端向设备下发自定义签名配置，并对由此产生的安全事件进行管理分析。 云蜜罐 事件检测 支持联动云蜜罐进行 威胁检测 、分析研判与处置 云端DNS自动化威胁检测 DNS恶意域名检测 恶意域名检测支持基于DNS过滤日志和恶意域名库，针对内网主机请求外网恶意域名的检测 云端Metadata威胁检测 明文口令检测 检测网站交互流量中是否存在明文口令传输行为。 弱密码检测 检测网站交互流量中是否存在弱密码传输行为。 反序列化攻击检测 反序列化是指把字节序列恢复为对象的过程, 如果Web应用在进行反序列化时接收用户输入的数据，且缺少对输入数据必要的验证，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，导致任意代码执行。算法基于反序列化攻击中的恶意流量特征进行检测，并支持攻击成功判定。 暴力破解检测 暴力破解攻击是通过使用某一账号、密码字典（通常为网络社工收集），尝试枚举登录，如果登录成功，则可获取用户账号密码。算法基于流量检测针对SSH、RDP协议的暴力破解，包括常规爆破以及密码喷洒式爆破、慢速爆破。 SQL注入检测 SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句中添加额外的SQL语句，实现欺骗数据库服务器执行非授权的任意查询，达到获取数据信息的目的。算法基于HTTP交互行为特征识别SQL注入，并支持SQL注入的攻击成功判定。 DNS Tunnel检测 DNS通道指攻击者通过将攻击报文封装在DNS协议中，利用DNS递归查询机制，与远程恶意DNS服务器实现C&C（命令和控制）通信、数据窃取操作。算法利用DNS流量中的交互行为特征，检测DNS隐蔽通道。 OGNL注入检测 OGNL注入指web应用程序对用户输入数据的合法性没有判断，攻击者通过构造带有攻击性的OGNL表达式，以此实现命令执行的目的。算法基于HTTP交互行为特征识别OGNL注入，并支持攻击成功判定。 WebShell检测 基于流量行为特征检测未经加密和部分加密（如冰蝎、weevely、jweevely等）的WebShell，包括WebShell文件上传和与WebShell交互的场景。 RCE攻击检测 远程命令注入RCE是一种由于服务器应用漏洞导致黑客可以在服务器上执行任意命令的攻击。算法基于Web流量，通过攻击交互的行为特征识别命令注入，并支持攻击成功判定。 XXE攻击检测 XXE即XML外部实体攻击，是一种针对解析XML格式应用程序的攻击类型之一。此类攻击发生在当配置不当的XML解析器处理指向外部实体的文档时，可能会导致敏感文件泄露、拒绝服务攻击、系统命令执行等危害。算法基于XXE页面攻击特征识别注入行为，并支持攻击成功判定。 父主题： 规格清单

告警解释 License is near deadline, remaining [hwGtlRemainTime] day (s). Apply for a new license file from Huawei before the grace period expires. Otherwise, relevant service functions may be unavailable or the configuration may become ineffective. (FeatureName=[hwGtlFeatureName], ChassisIDorSlotID=[hwGtlChassisID]). License文件即将过期。请在保活期结束前重新向华为公司申请新的License文件，否则可能导致相关的业务功能不可用或配置失效。

处理步骤 通过减小掩码增加地址池可供分配的IP地址：在接口视图下执行命令ip address ip-address { mask | mask-length }减小掩码长度；或者在全局地址池下执行命令network ip-address [ mask { mask | mask-length } ]减小掩码长度。 如果地址池下配置了IP地址段，通过扩大地址段范围增加地址池可供分配的IP地址：在接口视图下执行命令dhcp server ip-range start-ip-address end-ip-address扩大IP地址范围；或者在全局地址池下执行命令section section-id start-address [ end-address ]扩大IP地址范围。

处理步骤 1. 请在接口视图下执行命令display this，检查设置的错误报文告警阈值是否过低。阈值的合理范围由用户根据实际业务确定。 如果是，则请执行步骤2。 如果不是，则请执行步骤3。 2. 请在接口视图下执行命令trap-threshold crc-statistics，配置更大的错误报文告警阈值，查看告警是否恢复。 如果是，则无需执行其他操作。 如果不是，则请执行步骤3。 3. 请收集告警信息、日志信息和配置信息，并联系技术支持人员。

告警解释 The CRC error is rising. (hwIfMonitorIndex=[EntityPhysicalIndex], hwIfMonitorCrcErrorStatistics=[hwIfMonitorCrcErrorStatistics], hwIfMonitorCrcErrorThreshold=[hwIfMonitorCrcErrorThreshold], hwIfMonitorCrcErrorInterval=[hwIfMonitorCrcErrorInterval], EntPhysicalName=[EntPhysicalName], hwIfMonitorAllStatistics=[hwIfMonitorAllStatistics]) 接口在单位时间内接收到CRC错误的报文数量超过设置的上限阈值。

告警参数 参数名称 参数含义 OID 该告警所对应的MIB节点的OID号。 EntityPhysicalIndex 实体索引 hwIfMonitorCrcErrorStatistics CRC错包实时统计值 hwIfMonitorCrcErrorThreshold 配置的CRC错包上限阈值 hwIfMonitorCrcErrorInterval 配置的统计时间间隔 EntPhysicalName 实体名称 hwIfMonitorAllStatistics 实时统计报文数

告警解释 SECE/4/ DAI_VLANDROP_ALARM: OID [oid] The packet dropped by DAI exceeds the alarm threshold. (DroppedNum=[INTEGER], Threshold=[INTEGER], VLAN=[INTEGER], PacketInfo=[OCTET]) VLAN下被DAI（Dynamic ARP Inspection）丢弃的报文数超过告警阈值时，会发出告警。

处理步骤 如果用户业务不受影响，无需处理。 如果用户业务中断，请按照以下步骤处理： 执行命令display dhcp static user-bind { { interface interface-type interface-number | ip-address ip-address | mac-address mac-address | vlan vlan-id } * | all } [ verbose ]或display dhcpv6 static user-bind { { interface interface-type interface-number | ipv6-address { ipv6-address | all } | mac-address mac-address | vlan vlan-id } * | all } [ verbose ]查看静态绑定表信息，执行display dhcp snooping user-bind { { interface interface-type interface-number | ip-address ip-address | mac-address mac-address | vlan vlan-id | bridge-domain bd-id } * | all } [ verbose ]查看动态绑定表信息，且绑定表是否正确。 根据告警信息找到发生攻击的接口以及发出攻击的用户主机，查看该用户主机是否异常，如果没有异常，该用户可能是攻击者，可适当采取惩罚措施，如将该用户下线等。 请收集告警信息和配置信息，并联系技术支持人员。

处理步骤 检查设备PnP配置是否正确。 当上游设备（即本端设备）配置文件中存在pnp startup-link-aggregation enable命令时，检查上游设备配置文件中是否存在pnp startup-vlan send enable命令，如果不存在，请执行pnp startup-vlan send enable命令使能向下游设备传递PnP VLAN的功能。 检查下游设备（即对端设备）配置文件是否存在undo pnp startup-vlan receive enable命令，如果存在，请执行pnp startup-vlan receive enable命令使能接收上游设备发送的PnP VLAN协商报文的功能。 检查下游设备（即对端设备）配置文件是否存在undo pnp startup-link-aggregation receive enable命令，如果存在，pnp startup-link-aggregation receive enable命令开启Eth-Trunk自协商功能。 检查下游设备（即对端设备）物理接口上是否由于存在非缺省配置导致Eth-Trunk协商失败，如果存在，请执行undo命令删除非缺省配置。 排查上下游设备的接口连线是否正确。如果不正确，将会导致Eth-Trunk协商失败，请按照规划正确连线。 请收集告警信息和配置信息，并联系技术支持人员。

告警解释 NTITYTRAP/4/PNP_TRUNK_FAILED：OID [oid] The peer device cannot go online because Eth-Trunk auto-negotiation fails. Check the configuration and connection. (PeerDeviceEsn=[STRING]) 使用PnP自协商Eth-Trunk时，对端设备协商失败。

处理步骤 原因1：子卡温度偏高。 检查风扇过滤网是否堵塞。 如果是，请清理过滤网。 如果不是，请执行步骤2。 检查环境温度是否过高。 如果是，请降低环境温度。 如果不是，请执行步骤3。 检查风扇是否有故障。 如果是，请处理风扇故障。 如果不是，请执行步骤4。 检查未插子卡槽位是否插入假面板。 如果是，请执行步骤5。 如果不是，请插入假面板。 请收集告警信息、日志信息和配置信息，并联系技术支持人员。 原因2：单板温度偏高。 检查风扇过滤网是否堵塞。 如果是，请清理过滤网。 如果不是，请执行步骤2。 检查环境温度是否过高。 如果是，请降低环境温度。 如果不是，请执行步骤3。 检查风扇是否有故障。 如果是，请处理风扇故障。 如果不是，请执行步骤4。 检查未插单板槽位是否插入假面板。 如果是，请执行步骤5。 如果不是，请插入假面板。 5. 请收集告警信息、日志信息和配置信息，并联系技术支持人员。 原因3：单板温度偏低。 调整环境温度或者增加设备与空调之间的距离。 请收集告警信息、日志信息和配置信息，联系技术支持工程师进行处理。 原因4：子卡温度偏低。 调整环境温度或者增加设备与空调之间的距离。 请收集告警信息、日志信息和配置信息，联系技术支持工程师进行处理。

告警解释 ARP/4/ARP_THRESHOLDEXCEED_TRAP:OID [OID] The number of ARP entries exceeded the threshold. (entPhysicalIndex=[INTEGER], Slot name=[OCTET], Threshold=[COUNTER], Number of dynamic ARP entries=[COUNTER], Number of static ARP entries=[COUNTER]). ARP表项数量超过阈值时，设备产生告警。

告警参数 参数名称 参数含义 oid 该告警所对应的MIB节点的OID号。 entPhysicalIndex 物理实体索引。 Slot name 单板接口板设备名称。 Threshold 告警阈值。该告警阈值为设备支持的ARP表项总数的80%，不可修改。 Number of dynamic ARP entries 动态ARP表项的数量。 Number of static ARP entries 静态ARP表项的数量。

云日志 审计 表1 规格清单 一级分类 规格名称 规格描述 租户代维 身份代维 日志审计支持身份代维，进入身份代维后可操作除协议签署外的其他业务，包括审计资产管理、日志查询、日志导出等。 日志采集存储 实时存储7天归档存储180天 支持实时存储7天的日志，归档存储180天的日志。 支持实时数据快速查询、全文检索。 支持归档数据跨180天全量查询。 设备款型支持 天关： USG6xxxE-C：USG6501E-C/6502E-C/6503E-C USG6xxxF-C：USG6603F-C/USG6606F-C 防火墙： USG65xxE：USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E USG65xxE-K：USG6520E-K/USG6560E-K/USG6590E-K USG66xxE：USG6610E/USG6620E/USG6630E/USG6650E/USG6680E/USG6605E-B/USG6620E-K/USG6640E-K USG67xxE：USG6712E/USG6716E USG65xxF：USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K 审计资产管理 审计资产增删查 支持单个资产录入。 支持审计资产增加、删除和查询。 审计资产上报状态 监控资产上报日志的状态，每5分钟更新一次，超过6小时未收到更新信息标记为上报异常。 服务配置 服务授权 支持全局授权、取消授权，服务未授权时，不保存资产上报的日志。 服务指引 资产日志上报的配置指引。 日志审计总览 日志审计总览 为客户提供服务的天数、日志留存的总数量、天数、存储趋势等。 智慧体 当前服务待处理问题 订单到期提醒。 审计资产日志上报异常提示。 最近上报日志展示。 日志查询 日志查询 支持基于原始日志关键字全文检索。 支持基于日期区间、日志级别、资产等条件精确查询。 日志查询结果最多返回1万条数据。 关键词推荐 按租户查询频率推荐关键词。 日志导出 日志导出 支持部分日志导出、全量日志导出。 支持全局同时执行10个导出任务。 父主题： 规格清单

处理步骤 原因1：链路的时延超过策略配置的阈值。 执行命令display spr-policy查看SPR策略的时延阈值是否配置正确。 如配置有误，则执行命令set delay threshold为策略配置合适的阈值，执行步骤4。 如确认配置正确，执行步骤2。 检查传输网络状态。 如发生切换时网络中确实存在较大的时延，则链路切换是正常现象，执行步骤4。 如排除网络原因，执行步骤3。 请收集告警信息、日志信息和配置信息，并联系技术支持人员。、 结束。 原因2：链路的丢包率超过策略配置的阈值。 执行命令display spr-policy查看SPR策略的丢包率阈值是否配置正确。 如配置有误，则执行命令set loss threshold为策略配置合适的阈值，执行步骤5。 如确认配置正确，执行步骤3。 检查传输网络状态。 如网络中确实存在丢包现象，则链路切换是正常现象，执行步骤4。 如排除网络原因，执行步骤3。 请收集告警信息、日志信息和配置信息，并联系技术支持人员。 结束。 原因3：链路的抖动超过策略配置的阈值。 执行命令display spr-policy查看SPR策略的抖动阈值是否配置正确。 如配置有误，则执行命令set jitter threshold为策略配置合适的阈值，执行步骤4。 如确认配置正确，执行步骤2。 检查传输网络状态。 如发生切换时网络中确实存在较大的抖动，则链路切换是正常现象，执行步骤4。 如排除网络原因，执行步骤3。 请收集告警信息、日志信息和配置信息，并联系技术支持人员。 结束。 原因4：链路的综合度量指标超过策略配置的阈值。 执行命令display spr-policy查看SPR策略的综合度量指标阈值是否配置正确。 如配置有误，则执行命令set cmi threshold为策略配置合适的阈值，执行步骤4。 如确认配置正确，执行步骤2。 检查传输网络状态。 如发生切换时网络质量确实较差，则链路切换是正常现象，执行步骤4。 如排除网络原因，执行步骤3。 请收集告警信息、日志信息和配置信息，并联系技术支持人员。 结束。 正常信息，无需处理。 正常信息，无需处理。 正常信息，无需处理。 正常信息，无需处理。

云管理网络 （*）：该特性需要跳转至旧版云管理网络界面操作。 表1 华为乾坤云管理网络解决方案规格清单 一级分类 二级分类 三级分类 四级分类 规格名称 规格描述 网络云化管理 资源管理 资源管理 设备管理 云盒设备管理 云盒设备通指通过Netconf Callhome方式与Campus建联的设备，包括路由器（AR）、云AP、交换机、防火墙。 支持导入设备SN号，设置设备名称和描述，关联站点。 支持单个和批量删除设备。 支持显示租户下存量设备列表信息，包括名称、SN、状态、所属站点、型号、license状态、软件版本、注册时间等，支持根据状态、站点类型和关键词过滤查询。 支持修改设备名称、描述、SN、角色等信息。 远端模块管理（*） 支持分布式交换机管理，以远端模块方式在中心交换机设备详情中呈现，支持端口隔离配置下发、设备复位、设备性能数据上报和接口性能数据上报。 WiFi-CPE（*） 支持WiFi-CPE统一纳管； 支持WiFi-CPE远程监控； 支持WiFi-CPE批量远程升级和远程指令下发。 站点管理 站点管理 支持创建站点，指定站点名称、站点下设备类型、站点GIS位置、描述信息。 支持修改站点的名称、GIS位置和描述，支持新增站点下的设备类型。 支持站点列表，呈现站点下的应用数、VIP数等信息。 支持基于站点名称、设备类型、和站点状态进行站点查询。 文件管理（*） 文件管理（*） 支持通过WEB上传各种类型的本地文件，包括软件包、补丁、证书文件、license文件。 支持查看文件上传的任务列表，可以停止或取消某个上传任务。 支持上传文件（软件包、补丁）签名校验。 其中，软件包、补丁由uUpgrade实现。 网规 网络规划与设计 组网方案规划 组网方案推荐 基于AI+预置规则进行推荐。 基于零售商超场景的组网方案推荐。 基于分支办公场景的组网方案推荐。 基于高教校园场景的组网方案推荐。 组网方案手动优化 通过无线网规工具优化无线组网配置。 通过拓扑规划优化拓扑组网。 通过业务配置调整优化网络配置。 生成网规报告 支持生成网规LLD报告。 支持生成项目技术建议书。 自动开局 组网方案导入 支持网规自动导入设备清单。 支持网规自动导入网络配置。 支持网规手动导入。 协同网规 支持MSP网规 支持MSP租户进行网络规划。 支持MSP网规方案分享。 网规（*） 网规管理（*） - 支持工程创建、修改、删除、导入、导出和合并。 支持网规工程同步到室内地图。 网规工程包括楼层、楼栋、环境设置、区域设置、设备布放、信号仿真、导出报告。 支持云盒设备的网规统一管理。 网络业务配置 网元注册 协议通道 管理方式（云盒） 云盒设备基于SSH通道主动callhome连接控制台。 SN白名单 - 支持配置SN白名单，不在名单里的设备不允许注册纳管，提升安全性。 网元认证 - 认证采用证书+SN双向校验。 开局方式 DHCP开局 本地部署采用DHCP Option 148配置方式，设备获取IP后自动连接华为乾坤云平台。 注册查询中心开局 采用注册查询中心开局方式，在华为乾坤云平台上导入设备SN，设备自动连接注册查询中心后完成到租户的注册上线。AR暂不支持。 命令行开局 通过串口连接设备，配置命令行指定设备要连接华为乾坤云平台的地址，完成设备上线。 其他 支持扫码开局。 支持U盘开局，支持防火墙、AR设备。 支持邮件开局，仅限AR。 网络配置 站点配置模板管理（*） 站点配置模板（*） 支持站点模板创建、查看、修改、删除。 支持站点模板绑定到站点，与站点解绑。 站点级模板支持配置包括： 站点级配置，BootROM、SNMP参数、本地用户、NTP。 AP参数：射频、SSID、攻击防范、无线安全、DHCP。 防火墙参数：子网、DNS、认证、SSID、流量策略。 CLI站点配置模板（*） 支持CLI站点配置模板，包括AP、AR、防火墙、交换机。 站点配置模板克隆（*） 站点配置模板支持克隆。 特性模板（*） 交换机端口特性部署模板化（*） 端口安全特性部署模板：DHCP snooping；ND Snooping；IPSG；DAI；端口隔离及风暴控制，可以绑定到多个交换机端口。 端口VLAN：配置access VLAN/trunk/hybrid VLAN，缺省VLAN，允许通过的VLAN以及voice VLAN，并绑定到多个端口。 端口物理属性：自协商；POE使能。 端口环网：可以配置STP使能，环路检测，并绑定到多个端口。 端口流量策略：基于接口或接口组下发流量策略：DSCP（0~63，0最低）/802.1P优先级（0~7，0最低）。 支持接口应用识别和应用流量统计。 交换机设备特性部署模板化（*） 支持设备组定义。 支持基于设备或设备组下发流量策略（仅限交换机），包括： 出方向、入方向、双向。 流分类定义：五元组、Vlan段。 流行为应用：Deny/Permit。 流量限速包括：CIR/PIR/CBS/PBS。 流量优先级包括：本地优先级/DSCP优先级/802.1p优先级。 模板管理 模板管理（*） 支持创建、修改和删除业务模板。 业务模板（*） 支持ACL、动态ACL、URL、URL分类模板。 支持Radius服务器和Radius中继、HWTACACS服务器和第三方Portal模板。 支持认证模板、逃生策略模板。 支持流分类模板、流行为模板。 支持定义HQOS依赖的相关模板，包括：自定义应用模板、应用调度模板。 支持IGMP Snooping模板。 支持WAN链路模板。 支持SNMP协议模板，用以传统设备的扫描发现。 支持防火墙安全域模板管理，防火墙IP/MAC地址集管理。 支持自定义SA应用。 设备模板 交换机接口模板（*） 支持交换机设备级模板管理，包括设备级模板的增加、删除、修改、查询，交换机的接口特性适配设备级模板。 CLI模板（*） 支持CLI设备模板，包括AP/AR/防火墙/交换机。 站点克隆（*） 站点克隆（*） 支持把源站点的部分站点级配置克隆到目的站点。 站点深度克隆（*） 站点克隆时支持勾选深度克隆（仅支持单FW站点，FW+AP站点），会把站点级配置和FW的配置克隆，主要应对： 把源站点的设备，克隆到新站点为无ESN的未注册设备 克隆站点的部分站点级配置（同原来的站点克隆特性） 克隆部分设备级配置： FW：接口、IPSecVPN的Spoke设置、WAN口配置 AP： 设备级射频 站点克隆配置同步（*） 手动触发克隆的配置同步（包括站点级克隆内容和设备级克隆内容） 支持层次化模板（*） 支持云杉层次化模板（*） 通过引入搭积木式的业务配置模板，助力企业网络业务批量复制，批量部署, 个性定制和快速上线。 关键能力： 支持批量复制（继承），批量部署，联动批量修改。 支持模板导入导出。 支持灵活组装特性。 支持模板应用时使用变量参数。 GND设备配置（*） GND单设备配置（*） 支持通过GND基于云杉设备下发配置。 特性模板（*） 支持将多个GND特性组成特性模板，通过特性模板批量部署设备配置下发。 基础配置管理 设备名称配置 - 控制台下发设备名称到设备，以便准确地进行设备识别。 设备管理员帐号密码配置 - 控制台支持修改设备admin账号的密码、服务级别以及支持的服务类型。 SNMP（*） SNMP基本配置（*） 用户配置SNMP（简单网络管理协议），以便用户网络中其他网管（如eSight等）或告警服务器通过SNMP协议连接设备，使用户可以通过网管查看设备的配置，设备可以上报告警到告警服务器。 允许指定可以通过SNMP访问设备的IP地址范围。 SNMP告警屏蔽（*） 支持屏蔽接口链路层状态变化SNMP告警。 时间配置 - 配置时区，使设备本地时间显示为当地时间。 配置NTP，使设备通过NTP进行时间同步，确保时间准确。 二/三层网络业务管理 接口管理 接口配置 支持以太网接口信息按照列表显示。 接口配置包含管理状态、描述、自协商（速率和双工模式）、管理VLAN自协商、VLAN ID和允许通过的VLAN、Voice VLAN。 支持链路邻居发现协议开关：LLDP/CDP。 支持端口安全配置，包括：DHCP Snooping/ND Snooping/ARP Snooping/DNS Snooping/mDNS Snooping/DAI/IPSG/风暴抑制/环路检测。 支持基于IP子网划分VLAN的开关。 变化通知SNMP TRAP开关，IP子网划分VLAN。 动态MAC采集开关。 Trust选项、端口隔离、风暴控制、环路检测、POE供电。 STP开关、边缘端口配置。 多出口管理 支持多出口链路的配置管理，包括接口下的NAT配置及状态监控。 支持3G/LTE/5G作为备份链路。 框式交换机上云 - 支持框式交换机纳管，基础运维（诊断工具、性能监控、告警上报、升级），板卡插拔。 交换机堆叠 盒式交换机堆叠 堆叠自动配置。 支持租户管理员管理堆叠和堆叠成员，显示堆叠告警故障状态，堆叠设备主机和成员上下线。 支持堆叠升级、证书替换、堆叠告警、性能监控、设备日志上报。 支持堆叠成员配置下发、保留vlan配置、多主检测。 框式交换机堆叠 支持框式交换机堆叠上云：拓扑查看、巡检、升级、堆叠分裂检测及基础运维。 支持堆叠成员替换。 Network Internet网络接入 支持本地Internet接入和多分支互联两种模式的Network配置。 Network参数配置 Network支持配置名称、描述、用途、VLAN ID、IP地址、掩码和DHCP配置。DHCP配置包括DHCP模式、DNS模式、DHCP Relay模式下的Server列表、租期、保留IP地址。 支持配置ARP代理、MTU、管理VLAN、管理地址固化策略。 Static管理IP 支持配置交换机子网、防火墙子网、AR子网的固定管理IP。 DHCP - 在终端使用NAT模式接入网络场景下，需要为终端配置DHCP 地址池，支持IP地址、掩码、租期、主WINS、备WINS和静态绑定地址。 DNS - 支持配置DNS模式（客户端、中继）、DNS服务器地址列表、本地域名配置列表。 NAT - 支持EasyIp的NAT配置。 VPN Ipsec VPN 支持Hub-Spoke和Mesh两种模式的VPN配置（防火墙作为Hub设备）。 Hub-Spoke模式下，支持配置一个Hub节点（第三方设备或云管理设备，支持配置进入VPN的网段）、选择安全模板的方式配置IKE提议和IPSec提议、配置多个Spoke节点（全部设备、手选设备或第三方Spoke设备，支持配置进入VPN的网段和VPN的限速）。 Mesh模式下，支持多个设备与当前站点的设备组成Mesh网络、选择安全模板的方式配置IKE提议和IPSec提议、配置当前站点内组成Mesh网络的设备（全部设备或手选设备，支持配置进入VPN的网段和VPN的限速）。 Ipsec VPN增强 说明： 仅防火墙做了该增强。 IPSecVPN智能选路场景Spoke支持多上行： Spoke多上行与Hub组成M*N条链路，统一生成智能选路规则。 Spoke多上行变更时，重新生成智能选路规则。 Hub变更时，重新生成智能选路规则。 智能选路场景下，支持链路回切，高优先级的链路优先，默认使用高优先级；链路故障时使用低优先级；高优先级的链路恢复后，切换回高优先级链路。 管理VLAN 云盒自动协商管理VLAN 云盒自动协商管理VLAN，新增云盒支持即插即用。 手工配置管理VLAN 用户配置管理VLAN，使内网设备通过独立的VLAN获取管理IP，避免与业务竞争IP地址。 管理VLAN配置 有线和无线PNP VLAN设置，并且支持基于核心交换机的端口对管理VLAN配置二层隔离策略。 STP MSTP（*） 支持生成树实例，域名等MSTP基本能力配置。 RSTP（*） 使能RSTP协议，配置优先级。 VBST（*） 使能VBST协议，配置交换机和VLAN范围。 路由 策略路由 支持静态策略路由（配置基于五元组的策略路由进行选路）。 支持动态策略路由（基于应用种类和基于出口链路质量的智能选路）。 支持防火墙站点静态路由配置 支持防火墙站点静态路由配置。 支持交换机站点静态路由配置 支持交换机站点静态路由配置。 支持AR站点静态路由配置 支持AR站点静态路由配置。 LAN-WAN融合（*） LAN-WAN端到端管理（*） 云管理控制器与SD-WAN控制器初步融合，界面统一：安装部署，性能监控，组织管理，设备管理，租户管理，维护诊断工具，维护升级，告警，站点管理。 支持WAN高级策略（*） WAN侧出口支持配置ACL配置、Qos配置、智能选路策略、上网策略、安全策略、对接VAS、支持对接zScaler&Fortinet等第三方 云安全 平台。 WAN侧开局配置快速导入导出（*） WAN侧开局配置快速导入导出。 WLAN业务管理 SSID管理 SSID配置 支持SSID的创建、修改、删除与查询功能，包含SSID基本配置（VLAN、最大用户数、启用射频、隐藏SSID、限速、WMM），支持SSID的高级优化配置。 Soft GRE（*） 支持基于SSID配置Soft GRE。 终端限速区分时间段（*） 单个终端分时间段限速进行上下行限速。 射频管理 - 支持国家码修改，支持射频开关、频宽、信道、发射功率和增益配置。 支持手动、自动和定时射频调优，包括2.4G和5G，支持设置调优TPC阈值。 内置Wi-Fi的AR支持双频同时开启。 漫游 - 支持中心AP和云AP间三层漫游。 双频DCA动态信道调整（*） - 支持双频DCA动态调整开关、策略下发。 支持DCA信道调整结果查看。 WLAN AC上云 WLAN AC基本配置 通过Netconf报文创建控制到设备的ssh反向连接隧道。 控制台管理员的浏览器打开设备Web网管的界面。 WLAN AC兼容老款型AP WLAN AC上云，可以管理非云盒AP；可以监控AP的状态；配置下发（功能较云盒AP少）。 WAC关联Fit AP 支持WAC关联Fit AP，支持从WAC中移除Fit AP关联关系。 WAC关联云AP（*） 支持WAC关联云AP，并支持配置WAC与云AP的加密隧道，实现流量的集中/本地转发，支持从WAC中移除云AP关联关系。 VIP用户优先保障（*） - VIP用户优先保障。 802.11r（*） - 支持802.11r的使能去使能。 抗非法AP干扰（*） - 支持配置射频调优策略，让AP可以自动规避非法AP的干扰。 负载均衡（*） - 支持AP基于终端数做负载均衡。 WLAN MESH配置（*） - 支持Mesh配置和下发，支持MESH链路状态监控。 蓝牙（*） 蓝牙基本配置（*） 支持蓝牙广播，蓝牙监控。 蓝牙广播个性化配置（*） 支持给站点内设备配置不同蓝牙广播参数。 QoS 报文重标记（*） - 基于IP段/掩码，协议+端口，hostname，MAC地址，应用/应用分类（AP/AR/防火墙，交换机不支持），用户组，时间段，国家/地区（仅防火墙）。 流量限速（*） - 基于IP段/掩码，协议+端口，hostname，MAC地址，应用/应用分类（AP/AR/防火墙，交换机不支持），用户组，时间段，国家/地区（仅防火墙）。 支持防火墙的每IP限流。 支持基于SSID和终端的上行、下行流量限速。 流量整形（*） - 支持配置设备端口的端口队列和整形配置。 支持端口trust配置：dscp和8021p，其中设备默认8021p。 拥塞管理（*） - 支持配置端口拥塞管理，支持pq，wrr，drr及混合调度配置。 基础安全业务管理 静态MAC绑定（*） - 支持基于设备配置MAC/VLAN/接口的绑定关系。 防异常报文攻击（*） - 支持全局配置畸形报文、分片报文、TCP SYNC泛洪、UDP泛洪、ICMP泛洪攻击。 PSK加密（*） - 漫游、负载均衡、射频调优等无线功能需要多个无线设备之间进行通信，此类通信信息可以进行加密，以提高网络安全性。 安全策略（*） 流量策略（*） 设备根据流量报文的特性进行条件匹配，对于匹配到条件的流量进行安全控制。 DHCP Snooping - 支持在接口中配置DHCP Snooping使能。 MAC黑白名单功能 - MAC黑白名单功能。 WIDS/WIPS（*） - 支持WIDS模板、白名单（SSID、OUI、MAC）、SSID仿冒识别规则模板。 支持WIDS检测配置；反制非法设备、非法客户端。 支持攻击检测与防御配置。 URL过滤 - 预定义URL分类过滤。 URL黑白名单（HTTP/HTTPS）。 特征库升级（*） 病毒库升级（*） 控制台可以升级防火墙的病毒库。 文件信誉库升级（*） 控制台可以升级防火墙的文件信誉库。 恶意域名库升级（*） 控制台可以升级防火墙的恶意域名库。 入侵防护库升级（*） 控制台可以升级防火墙的入侵防护库。 IP信誉库升级（*） 控制台可以升级防火墙的IP信誉库。 干扰检测（*） - 针对租户，提供有无干扰。 针对租户，提供干扰和AP的检测关系，并显示干扰类型。 无线非经（*） - - 支持中国的无线访问安全要求。 网络运维 配置维护（*） 配置结果（*） - 业务配置完成之后，可以查看是否成功下发到设备，并支持失败配置重下发和配置全量下发。 支持查看全站点配置结果统计信息。 配置保存（*） - 每隔2小时会自动向南向设备下发一次save操作，避免设备由于异常掉电等因素而造成数据丢失，同时也支持对指定设备手动触发save操作。 数据一致性（*） - 支持对云杉设备进行配置差异发现、同步和对账操作： 差异发现是指从设备上收集全量或者增量变化的配置，与控制器上存储的设备数据进行比较，并将差异呈现现在界面上，用于对配置信息进行检查。 同步是指当控制器与设备有差异配置后，以设备配置为准，可覆盖控制器侧的无源配置，并可删除控制器侧冗余的无源配置，但不支持覆盖控制器侧的有源配置。 对账是指当控制器与设备有差异配置后，以控制器配置为准，可覆盖设备侧的差异配置，同时也可删除设备侧冗余的配置（开关控制）。 配置文件管理（*） 配置文件管理（*） - 支持设备配置文件的备份、恢复、基线化、查看、导入、导出、运行至启动、比较等操作，发生变更能产生告警。 监控 云管理网络服务首页 网规统计报表 支持网络预案统计、开通网络站点数统计、网络设备统计。 网络运维和分析报表 支持告警设备数统计、无线问题数统计。 网络体验优化统计 漫游引导数统计、自动调优次数统计、VIP数统计。 在线设备趋势图 支持统计云盒设备在线趋势图。 接入用户数趋势图 支持接入用户数趋势图。 无线健康度趋势图 支持无线健康评分趋势图。 VIP用户体验分析报表 支持异常和异常的VIP用户统计。 网络大屏 站点GIS报表widget 支持GIS上展示站点的位置和状态数据，支持按比例缩放。 网规方案统计widget 网规方案数统计，无线网规方案数统计。 开局站点数widget 开局站点数统计，站点状态统计，设备数统计，设备状态统计。 在线设备趋势widget 近7天在线设备趋势图。 网络流量统计widget 近24小时网络流量统计，支持总流量、总下行流量、总上行流量。 网络调优与收益widget 支持全局调优、局部调优、AI漫游引导的次数统计，支持干扰率、下行带宽、漫游成功率的优化度量统计。 AP代际升级widget 统计对比Wifi6非Wifi6 AP的信号强度、时延和接入人数。 应用总流量widget 应用总流量趋势统计。 用户体验评估widget 支持各评分等级的用户数统计。 已处理问题分布widget 支持各类已处理问题的分布统计。 网络监控评分widget 支持查看网络监控评分。 告警管理 - 支持查看设备告警。 支持告警清除。 设备监控 设备状态 支持设备在线、离线、未注册、告警、故障状态信息。 设备信息 单设备详情支持显示设备基本信息：设备名称、版本、型号、启动时间、IP地址、MAC地址、运行时间、制造商、描述信息、所属标签组、地图上的位置信息。 支持显示设备接口信息：包括接口运行状态、名称、IP地址、带宽、MTU、双工模式等。 资源监控 支持显示单设备CPU、内存使用率监控。 支持显示单设备SSID和射频信息。 支持显示单设备流量、终端信息。 AP空口资源监控（*） 查看AP空口和有线端口上下行的单播、组播， 广播报文统计和趋势以及端口的状态。 Overlay组播（*） Fabric场景，查看设备的overlay组播信息。 终端监控 在线终端信息 支持查看站点下AP上线的终端列表，可以查看终端的IP地址、MAC地址、用户名、关联AP、协商速率、丢包率、信噪比、重传率、信号强度、认证方式、上下行速率、VLAN最近接入的时间、接入的SSID、流量等信息。 导出终端用户列表（*） 支持在报表定制页面导出30天内的终端用户列表 。 历史趋势（*） 支持查看7天内历史用户。 支持显示指定时间段的站点总的连接终端数趋势。 支持选择天、周、月、年四种时间范围。 终端KPI数据（*） 控制器上展示终端KPI数据。 终端漫游轨迹（*） 支持终端漫游轨迹查看。 漫游组及漫游邻居（*） 定时上报漫游组和漫游邻居信息，由控制台界面进行展示（只做表格展示）。 认证用户监控（*） - 支持显示通过控制台进行Portal认证的在线用户信息，在线用户信息包括：用户名、用户组、认证方式、访问策略、接入SSID、终端MAC地址、终端IP、登录时间和站点，在线用户信息支持导出。 支持租户管理员将指定在线用户强制下线。 WLAN业务监控（*） 无线环境监控（*） 射频信道利用率、射频干扰率、射频噪声统计。 历史24小时射频趋势图。 支持显示站点下AP射频信息列表。 基础安全业务监控（*） VPN状态（*） 查询VPN隧道连接状态，包括IPSec策略名、源设备、接口、目的设备、VPN状态。 应用监控（*） 应用识别（*） AP/防火墙设备，DPI应用的识别，可识别具体应用类型，如QQ、MSN、sina邮箱等。 可按照DPI应用识别的报文，按时间段、租户、设备、站点，统计各应用的流量和占用率。 DPI升级（*） 支持在线升级控制台的应用数据。 控制配置防火墙、AR、AP的升级地址，同时配置升级计划。 支持控制台触发设备立即在线升级应用数据。 支持应用库本地升级：租户上传库文件到控制台，控制台下发到设备进行应用数据本地升级。 流量分析（*） 支持显示指定时间段的站点总的网络流量趋势（站点中所有设备的流量汇总），支持选择天、周、月、年四种时间范围，支持分别显示上行和下行网络流量的趋势。 支持显示指定时间段内站点的Top5流量的设备和对应的流量，点击设备链接可以显示指定设备的详情。 支持显示指定时间段内站点的Top5流量的SSID和对应的流量。 支持显示指定时间段内站点的Top5流量的终端和对应的流量。 增加支持租户级统计。 应用体验（*） 基于IP的随流检测（*） 支持基于五元组部署随流检测能力。 基于应用的随流检测（*） 支持下发DPI应用、自定义应用的应用识别，以及应用流量采集、上报能力。 支持呈现交换机单个应用、应用列表、Top·N应用流量数据。 支持基于应用部署随流检测能力。 基于安全组的随流检测（*） 支持基于安全组或者安全组+应用部署应用体验检测能力。 支持基于安全组或者安全组+应用部署随流检测能力。 故障诊断 远程命令行 - 支持远程登录设备命令行界面进行诊断。 远程登录 - 支持跳转到设备的web界面。 配置锁定 - 支持锁定单设备的配置下发行为。 拓扑管理 站点网络拓扑 - 支持物理拓扑自动发现和呈现。 支持呈现设备状态和基本信息。 支持快速查找设备。 支持查看组网流量热力图。 GIS拓扑 - 支持在GIS地图上呈现站点间的VPN连接信息。 支持呈现VPN通道的状态。 支持物理拓扑（*） - 支持基于LLDP协议动态发现物理拓扑，基于站点维度的物理拓扑呈现 支持在物理拓扑上手工编辑设备节点和连接关系 支持在物理拓扑上呈现设备的状态和基本信息 支持在物理拓扑上基于设备名称，IP地址/地址段快速找到单个或者多个设备 支持在物理拓扑上显示链路状态 不同设备类型用不同图标展现 支持全局拓扑（*） - 支持多级拓扑：支持呈现一级站点GIS地图，支持呈现二级站点内物理设备（支持按角色自动布局）和终端拓扑 拓扑呈现优化：支持拓扑按设备角色折叠 和 站点内划分区域 支持终端可视：支持在拓扑上查看终端（含PC, 手机，摄像头等） 故障诊断 远程命令行（*） - 支持控制台远程登录设备命令行界面进行诊断，防火墙设备在V3R3C00支持。 远程控制（*） - 支持AP闪灯。 支持控制台上远程重启设备。 支持AP设备的关灯、开灯配置，且支持按照时间段设置。 批量重启设备（*） - 用户可以通过批量选中部分设备，一键式批量重启设备，简化运维，快速恢复业务。 获取报文头（*） - 支持通过控制台界面选择设备的抓包端口，按照64字节长度抓取报文。并支持通过控制台界面下载抓包文件。 报文路径跟踪（*） - 支持自定义设备报文跟踪，探测协议支持ICMP、IGMP、IPINIP、TCP、UDP、GRE、OSPF。 诊断信息收集（*） - 支持手动收集设备诊断信息；支持自动收集设备诊断信息，触发条件是设备CPU占用高、内存占用高或重启，条件三选一。 故障定位（*） 定位手段 控制台支持基于AP查看非法信号。 故障定位工具 包含Ping测试、TraceRoute测试、射频Ping测试、虚拟电缆测试。 升级（*） 软件包管理（*） - 支持传统设备的SLA管理。 支持软件大包、补丁文件的上传、修改、删除、查询功能。 支持通过琥珀平台下载设备软件大包。 软件升级（*） - 支持基于站点进行软件大包、补丁的安装，查看安装的进度，提供对老软件版本设备的自动升级：当加入到新软件版本的站点内，控制台自动升级设备版本。 设备在线升级可以实现选择设备升级。 站点云盒版本升级可编排。 支持传统设备的升级（基于uUpgrade提供升级）。 支持云盒设备堆叠升级。 断点续传（*） - 支持大包升级时断点续传。 支持设定时间窗（*） - 支持设定升级时间窗，在时间窗内设备开始升级，时间窗关闭后停止升级。 报表（*） 统计报表（*） - 支持基于租户/站点两个维度统一下列数据： 站点网络出口uplink/downlink的整体流量(在租户维度统计每一个站点的总体流量)。 每天接入的client（接入终端）数的统计（租户/站点两个维度，可以选择设置Top·N）。 统计每SSID，AP，用户/用户组，应用分类/单应用的流量统计（租户/站点两个维度，可以选择设置Top·N）。 安全事件（WIDS/IPS分析，网络告警）的导出（租户/站点两个维度，可以选择设置Top·N），增加支持租户级Top·N统计。 可以按照（日，周，月，年）周期性导出（CVS或者其他格式）并支持eMail发送。 敏捷报表（*） - 提供默认的场景化仪表盘简化运维，支持针对客户根据自身运维分析诉求灵活定制DASHBOARD，支持常用数据源编排能力，支持联动进行数据关联分析，支持周期性报表导出任务；支持报表导出：Word、PDF或CSV文件格式。 基于敏捷报表框架提供以下报表： 资源类包括：设备供应商报表、设备类别统计报表、设备类型统计报表。 认证报表：在线终端趋势图、在线用户趋势图、Radius日志统计图、Portal日志统计图、终端类型占比图、Top·N厂商、Top·N操作系统。 日志（*） 设备通道日志（*） - 支持记录和查询设备的配置通道、性能通道、认证通道、IP Group通道的建联日志。 认证用户上下线日志（*） - 显示Portal认证的上下线日志信息，用户登录日志包括：用户、认证时间、终端MAC、终端IP、下线时间、认证方式、用户类型、失败原因和接入SSID，上下线日志支持导出。 设备统一日志管理（*） - 支持AP设备的日志采集、展示、导出及过期日志删除。 设备证书（*） 离线设备证书管理（*） - 支持导出设备证书申请请求文件。 支持上传申请成功的设备证书。 支持设备证书下发。 设备对接三方CA（*） - 支持admin管理员配置三方CA服务器的地址。 支持租户管理员将三方CA服务器地址等参数下发给设备，从而使得设备对接三方CA服务器下载证书。 设备对接内置LiteCA（*） - 支持通过控制器内置LiteCA实现设备身份证书的颁发和吊销。 安全接入（*） 设备管理安全控制（*） - 在开局过程中，管理员发送给用户的开局信息携带NCE-Campus证书实体信息，AR设备上线之前通过证书实体信息验证NCE-Campus的合法性，验证通过之后方可正常上线，避免存在非法NCE-Campus；同时NCE-Campus也基于设备证书的CN字段与netconf建链上报master_esn字段匹配，验证AR设备的合法性，验证通过之后方可允许AR接入NCE-Campus，避免非法AR设备接入。 网络接入安全控制 （*） - 为了保证网络的安全性，Edge站点接入RR站点时，可以验证RR站点的合法性，验证通过之后，方可接入RR站点，避免接入非法的RR站点。同时RR站点也可以验证Edge站点的合法性，验证通过之后，方可允许Edge站点接入，避免非法Edge站点接入。实现原理为NCE-Campus将Edge站点或RR站点的设备ESN白名单下发给对端站点，对端站点基于ESN白名单做接入控制。 支持手动指定站定进行站点隔离操作和取消隔离操作。 IP地址管理 （*） IP地址管理 （*） - 支持IP分组管理：用户可以按照部门、办公区域、行政划分等不同层级方式创建分组，用于IP子网、IP地址的分层分组管理，可基于分组查看IP地址的分配率、使用率等信息。最多可创建5层分组。 支持IP子网管理：支持按照IP子网对IP地址进行划分管理，创建子网时可将对应IP添加到网管，可查看子网的IP地址分配率、使用率等信息。 支持IP地址分配：用户可以对IP地址执行分配操作，指定IP地址的使用人、MAC、位置、描述等信息。 支持IP地址管理：用户可以查看IP地址的使用状态、是否为异常IP等信息。 支持IP地址空闲检测：支持用户进行IP地址闲置检测，功能开启后，如果IP在闲置超时时间内未接入过网络，则属于空闲IP，用户可以进行释放操作以节省资源。 支持IP地址回收：支持用户对已经分配的IP地址进行回收释放操作，释放后的IP地址可以重新进行分配。 支持IP子网/IP地址导入导出：用户可以通过导入导出方式，快速录入现网存量IP地址信息。 电子保单 （*） 服务年限信息管理 （*） - 支持控制器和设备的服务年限信息的维护和查询（仅Netconf协议纳管的V600R021C00版本及之后版本的设备支持服务年限信息的同步和下发）。 网络建康360 仪表盘 - - 支持网络整体概览评估，包括健康度评分，接入用户、流量及设备数。全网问题分布与调优次数，AP款型代际升级及覆盖补盲决策项。 无线健康度 - - 评价指标支持接入成功率、接入耗时、信号与干扰、容量、漫游、吞吐、并按照优良差分档评估。 根因指标支持关联/认证/DHCP成功率、关联/认证/DHCP耗时、信号强度、信道利用率、用户数、带宽、漫游成功率、漫游耗时、干扰率、空口拥塞达标率、非5G优先占比。 支持查看评价指标排名、趋势；支持查看根因指标详情。 数据分析支持issue关联呈现，支持数据聚类能力，包括AP聚类、用户聚类、SSID聚类等，并识别问题终端、问题AP等提升运行效率。 支持健康度评估报告本地下载。 问题分析 - - 支持查看连接类问题的数量、分布、详细信息。连接类问题支持：认证失败（802.1x认证、mac认证）、认证慢（802.1x认证）、认证超时（802.1x认证、mac认证）、关联失败(有线用户不支持)、关联慢(有线用户不支持)、DHCP失败、DHCP慢。 支持认证服务器不可达、用户数超容量等问题的根因识别，支持认证类问题关联设备类问题的根因识别。 说明： portal认证的场景，由于不同portal服务器的差异，网络接入控制流程不同，只有最终到Radius上认证的场景才支持。 支持查看空口性能类问题的数量、分布、详细信息。空口性能类问题支持：弱信号覆盖、高信道利用率、高干扰、空口拥塞、终端容量、非5G优先接入。 支持查看漫游类问题的数量、分布、详细信息，包括乒乓漫游。 用户体验360 用户列表 - - 支持查看用户接入信息列表。 用户旅程 - - 支持查看用户旅程信息：用户信息、指标概览、接入旅程各节点详情。 协议回放 - - 支持基于无线用户接入三阶段协议级别过程呈现，包括关联、认证（仅支持802.1X认证方式）、DHCP，通过细化各个协议交互阶段结果与耗时，提供用户接入过程个障的精细化分析，支持呈现用户接入失败的大概率根因与修复建议。 智能调优360 首页概览 - - 支持调优收益查看，包括上下行带宽、信道利用率、干扰率。 支持AI漫游收益查看，包括漫游成功率，漫游前信号强度，漫游时带宽。 支持AI推理数据查看：系统识别的高负载AP数、边缘AP数、重保AP数、识别的漫游终端画像数、终端厂商数。 支持智能无线射频调优次数与AI漫游引导次数查看。 AI推理 - - 支持高负载AP详情查看。 支持边缘AP详情查看。 支持重保AP增加、删除、查看。 调优记录 - - 支持调优记录查看：调优时间、调优类型、调优范围、调优频段、调优后的终端上下行带宽，干扰率、信道利用率等。 AI漫游 - - 支持AI漫游终端统计：训练的终端画像数、漫游引导次数。 支持AI漫游分厂商的引导数据查看：厂商、厂商下不同款型的画像数、终端数量、引导成功次数、漫游前信号强度、上下行速率等。 支持AI漫游详情记录查看：漫游的终端、漫游出入AP、漫游详情。 应用保障360 应用概览 - - 应用可视：支持查看应用列表、非法应用、流量统计。 总流量趋势：支持站点总流量趋势分析，设置阈值监控流量超限。 网流分析 - - 支持设备、主机维度的网络流量分析。 云准入 用户管理 本地用户管理 用户管理 - 支持创建、修改和删除用户信息，该用户信息用于终端进行Portal认证，用户信息包括用户名、密码、邮箱、过期时间、联系电话。 支持用户导入导出。 支持用户通过注册创建用户帐号。 用户组管理 - 支持创建、修改和删除用户组信息，基于用户的组管理，可用于访问策略控制用户组信息包括用户组名、地址、邮编、管理员邮箱和描述。 支持用户组导入导出功能(和用户的导入导出共用模板)。 角色管理 - 支持角色管理增删改查能力，用户、访客等信息可绑定角色能力，并通过角色进行差异化授权。 支持角色导入导出能力。 访客管理 访客帐号管理 - 支持租户管理员和访客管理员创建普通访客帐号，访客账号支持定时清理。 支持租户管理员批量创建Passcode帐号。（*） 访客支持组管理、角色管理。 账号过期支持邮件和短信通知提醒。 访客帐号策略（*） - 用户名密码，支持帐号、手机、邮箱、公共二维码四种。 支持定制访客帐号生效策略、通知策略、审批策略。 支持限制访客登录的类型。 访客帐号审批（*） - 访客帐号审批支持：免审批流程、租户管理员审批流程、员工审批流程、邮箱激活审批、二维码审批。 审批通知支持短信、邮件。 访客账号审批通过通知支持短信、邮件、WEB。 访客认证（*） - 访客认证支持：用户名密码认证、Passcode认证、短信认证、双因子认证、匿名认证、微信链接认证、微信连WiFi认证、社交媒体认证（Facebook、Twitter、QQ、新浪微博），开发者模式微信认证、公共二维码认证。 访客申请支持的接入方式（*） - 访客申请支持的接入方式支持三种模式：租户管理员创建及批量创建访客帐号、访客管理员创建及批量创建访客帐号、访客自助申请。 访客功能部署向导（*） - 采用向导的方式部署访客功能，降低系统部署和实施的复杂度。 社交媒体对接配置 微信对接配置 - 支持配置对接的微信公众号，配置密钥信息。 支持微信认证用户映射用户组配置。 第三方数据源对接（*） 社交媒体认证（*） - 社交媒体认证，包括：Facebook账号认证/Twitter账号认证。 在线用户管理 在线用户管理 - 支持在线用户导出、强制用户下线，支持通过HACA通道进行Radius CoA授权信息变更。 时长流量控制（*） 时长流量控制（*） - 支持用户/终端的流量和时长统计、管理： 用户/终端在线流量限制。 用户/终端在线时长控制。 终端单次在线时长控制。 基于用户组粒度限制用户/终端流量和时长。 手动清除在线用户/终端时长信息。 手动重置在线用户/终端流量信息。 在线用户/终端流量信息周期清理。 支持每次登录的时候自动重置用户/终端流量和时长信息。 用户/终端的流量和时长信息统计。 终端管理 终端管理（*） 终端和终端组管理（*） 终端和终端组管理（*） 支持终端组的增删改查，支持级联。 支持终端分配到终端组、并支持手工添加终端，自动发现后加入组。 支持已识别终端准入，以及终端黑名单。 支持预置终端识别策略；支持自定义终端识别策略。 摄像头类终端管理（*） 在原终端管理基础上，支持： 支持摄像头对接接口的POE状态查询和关闭/启动能力。 支持查看摄像头的流量等信息。 终端识别（*） 终端识别（*） 规则库：fingerbank。 识别手段：User-Agent、DHCP Option、MAC OUI、MDNS、LLDP 支持识别的终端信息：操作系统、产商、终端型号、终端类型。 AI聚类/识别（*） 支持将未知终端按照类型划分，方便管理员统一处理。 支持根据已学习的标记规则，自动识别未知终端。 终端指纹库离线更新（*） 提供导入终端指纹库的方式，来更新控制台内置的指纹库。 5G终端接入（*） - 支持5G物联终端接入园区网络。 物联感知网（*） - 支持配置引导iConnect终端的引导SSID，实现物联终端的即插即用。 支持iConnect终端自动加载数字证书增强终端的接入安全。 终端认证日志 Portal上下线日志 - Portal上下线日志过滤、查看和导出。 RADIUS上下线日志（*） - radius认证日志和radius计费日志的过滤、查看和导出。 Boarding管理（*） Boarding管理（*） - 通过boarding客户端配置1X认证，网络接入策略管理。 Portal认证 内置Portal认证（*） Portal协议（*） - 支持基于HTTP 2.0的Portal认证（HACA），支持Portal认证逃生。 MAC优先（*） - 控制台保存终端的mac地址，第二次就可以直接使用网络，不用登录。 支持跨站点的MAC优先认证。 认证方式（*） - Portal认证支持用户密码认证、匿名认证、短信认证、Facebook认证、passcode认证。 账号密码生成策略（*） 批量生成账号密码（*） - 批量创建账号，并指定账号有效周期，用户首次认证时触发计时。 一键生成账号密码（*） - 一键式自动生成登录账号密码。 passcode（*） - 只输入一个参数就完成认证。 接入终端数控制（*） - - 用户名和密码的portal认证，能限制每个账号可接入的终端数。 第三方Portal对接（*） - - 支持配置对接第三方Portal，控制台下发对接第三方Portal和Radius配置。 AP设备第三方Portal支持对接深澜、防火墙支持对接园区控制器。 页面规则 Portal页面推送规则 - 支持根据不同推送条件配置推送不同的Portal页面，包括认证方式、站点、ssid、操作系统等。 Portal页面管理（*） 页面定制（*） - 支持预置Portal页面模板，根据模板增加、删除Portal页面，支持修改页面的Logo、标题、描述内容、样式，支持拨号控件、轮播图控件。 预置页面支持：微信连接认证页面、用户名密码认证页面、短信认证页面、Passcode认证页面、一键认证页面、社交媒体认证页面、匿名认证页面、全屏广告页。 完全可自定义的portal页面。 页面语言选择（*） - portal页面的定制化功能具备选择登录语言的能力，除英语外，当前可选择德语、西班牙语。 门户管理（*） - 支持上传门户页面和删除门户文件。 Portal页面推送策略（*） - 支持根据不同推送条件配置推送不同的Portal页面，包括根据设备、设备类型、设备组、终端OS、终端浏览器语言、终端IP、SSID、时间、站点推送不同页面。 PPSK/DPSK PPSK/DPSK（*） - - 通过UI进行PPSK账号配置；提供API进行PPSK账号配置；PPSK账号批量导入导出。 可以为每个用户提供不同的PSK密码。 社交媒体认证 微信认证（*） 微信链接认证（*） - 支持微信链接（URL对接密钥）。 微信公众号扫码认证（*） - 关注微信公众号，二维码扫码。 Facebook认证（*） - - 支持通过Facebook的账号密码进行身份认证，接入网络。 Twitter账号认证（*） - - 支持通过Twitter账号密码进行身份认证，接入网络。 短信认证 短信认证（*） - - 支持短信认证，支持预置Twillio/fungo短信模板。 短信内容定制（*） - - 支持认证短信内容支持定制。 Radius认证 Radius Server（*） - - 控制台支持自身作为Radius认证、计费服务器。 Radius Proxy（*） - - 控制台支持通过Radius协议和第三方认证&计费服务器对接。 认证规则管理 认证规则条件（*） - - 认证规则支持以下组合：用户/用户组/角色/站点/准入控制设备组/设备类型/接入设备/SSID/终端组/终端IP/地址范围/时间段/通过Radius属性自定义条件/认证方式/接入方式。 认证规则条件 - - 认证规则支持以下组合：用户/用户组/角色/站点/SSID。 认证规则处理 - - 用户不存在时，默认继续处理。 身份认证失败时，默认拒绝接入。 认证规则处理（*） - - 支持自学习接入设备的IP地址、接入vlan、接入端口、用户MAC地址、用户IP地址、IMSI、终端SN。 如果帐号中没有绑定任何接入信息，则不允许接入网络。 根据认证规则的条件，选择不同的数据源，支持选择多个数据源。 配置802.1X认证中，服务端的首选协议，提升协议协商速率。 在Radius认证场景下，可以限制服务端支持的Radius协议类型。 用户不存在时，支持三种策略：继续处理、不发送应答报文、拒绝接入。 身份认证失败时，支持三种策略：继续处理、不发送应答报文、拒绝接入。 授权结果管理 授权规则条件（*） - - 授权规则定义支持以下组合：用户/用户组/角色/站点/准入控制设备组/设备类型/接入设备/SSID/终端组/终端IP/地址范围/时间段/通过Radius属性自定义条件/认证方式/接入方式/区域属性。 授权规则条件 - - 授权规则定义支持以下组合：用户/用户组/角色/站点/SSID/MDM检查。 授权结果管理 - - 授权ACL、授权VLAN、授权QoS。 授权结果管理（*） - - 授权VIP用户身份、授权URL过滤、授权ACL、授权VLAN、授权QoS、授权应用调度（HQOS）、自定义Radius授权参数、授权安全组、授权重定向、ACL（动态ACL&静态ACL）、授权强推URL。 准入配置下发 认证配置下发管理（*） 云AP认证配置（*） - 云AP支持配置Portal认证、PSK/PPSK认证、MAC认证、802.1X认证。 交换机认证配置（*） - 交换机有线和无线接入支持配置Portal认证、PSK/PPSK认证、MAC认证、802.1X认证。 交换机有线接入模式支持指定： 设置端口下允许多终端接入、仅允许单终端接入。 多终端分别认证接入、仅第一个终端需要认证接入。 防火墙认证配置（*） - 防火墙支持Portal认证配置。 AR认证配置（*） - AR支持Portal认证配置。 授权配置下发管理（*） 云AP授权配置（*） - 云AP授权配置支持：VIP用户、授权ACL、URL过滤、终端流量限速、授权DSCP、授权VLAN。 交换机授权配置（*） - 交换机授权配置支持：VIP用户、授权ACL、授权IPv6 ACL、授权安全组、授权VLAN、终端流量限速、应用控制模板。 防火墙授权配置（*） - 防火墙授权配置支持：授权安全组。 AR授权配置（*） - AR授权配置支持：授权ACL、终端流量限速、授权DSCP。 PPSK帐号下发（*） - - PPSK帐号下发，仅AP支持。 业务随行 业务随行资源（*） 安全组管理（*） - 支持安全组管理、逃生安全组管理。 支持安全组的导入和导出。 资源组管理（*） - 支持资源组管理。 支持资源组的导入和导出。 业务随行策略（*） 业务随行策略（*） - 业务随行策略配置： 支持单站场景的策略矩阵定义。 支持Fabric场景的策略矩阵定义。 支持策略矩阵修改。 策略矩阵部署。 组间策略定义。 支持组策略批量配置。 支持策略反向规则配置。 支持以矩阵和列表方式展示组间策略。 支持自定义策略视图。 支持策略优先级调整。 IPv6用户认证 802.1x认证（*） - - 支持IPv6终端通过802.1x认证后接入园区网络。 MAC认证（*） - - 支持IPv6终端通过MAC认证后接入园区网络。 Portal认证（*） - - 支持IPv6终端通过Portal认证接入园区网络。 SD-WAN（*） 网络配置 网络规划配置 物理网络 - 路由域、传输网络、IPSec加密参数、设备激活安全配置、链路通断检测参数配置、选路策略参数配置、NTP。 虚拟网络 - 路由参数、IP地址池、DNS、端口配置。 采集配置 - 应用流量、应用质量、WAN链路流量。 WAN物理网络 物理接口 - 支持物理接口及Eth-Trunk接口配置。 ZTP - 配置站点在WAN侧的物理链路及NTP，并支持邮件开局、U盘开局、DHCP Option开局等多种开局方式。 WAN路由 静态路由 支持CPE网关通过IPv4 Static、IPv6 Static与WAN侧网络对接。 OSPF 支持CPE网关通过OSPF协议与WAN侧网络对接。 BGP 支持CPE网关通过BGP、BGP4+协议与WAN侧网络对接。 VLAN - 支持配置VLAN功能，可以进行二层隔离，增强网络的安全性。 Non SD-WAN Site互联 GRE 通过GRE隧道技术，将IPv6报文封装成普通的IPv4报文，使IPv6报文在IPv4网络中传输，实现IPv6分支之间的互连。 IPSec 支持SD-WAN站点也可以和传统站点或者第三方网点之间建立IPSec隧道，以及与公有云VPC之间建立IPSec隧道。 通用配置 TACACS 支持TACACS服务器认证配置。 认证模式 网络接入控制，通过对LAN侧接入网络的客户端和用户的认证保证网络的安全。 设备专业配置 支持配置设备QoS模式、QoS GTS配置。 连接源端口 配置STUN连接源端口。 本地优先选路 配置本地优先选路。 设备可靠性 支持配置VRRP MAC类型。 连接RR - 配置Edge站点关联到反射器RR站点。 WAN虚拟网络 拓扑 - 根据不同业务互通诉求，配置不同的站点间互联的拓扑模型。 预定义拓扑 单层网络模型：Hub-Spoke、Full-Mesh和Partial-Mesh。 分层网络模型：多个区域又通过集中的区域中心（骨干区域）进行互联，从而实现海量站点之间跨区域的互访。 自定义拓扑 通过自定义拓扑策略可以在预定义拓扑基础上调整站点之间的互通路径，进而完成拓扑调整。 LAN接口 - 站点的CPE网关支持配置三层接口（L3接口）和二层接口与LAN侧网络对接。 LAN路由 静态路由 支持CPE网关通过IPv4 Static、IPv6 Static与LAN侧网络对接。 OSPF 支持CPE网关通过OSPF、OSPFv3协议与LAN侧网络对接。 BGP 支持CPE网关通过BGP、BGP4+协议与LAN侧网络对接。 WAN路由 WAN路由策略 Overlay网络拓扑配置完成后，系统会自动部署站点之间的BGP控制协议，传播Overlay网络的路由。 用户可以通过配置Overlay路由过滤的黑白名单过滤发布或接收Overlay WAN侧BGP路由。 WAN路由策略模板 通过配置WAN路由模板，提供批量配置修改WAN路由策略的能力。 WLAN - 配置WLAN使LAN侧网络的无线终端通过Wi-Fi接入网关设备。 LoopBack接口 - 设置Overlay VPN网络的LoopBack接口配置。 静态ARP - 支持基于IPv4协议配置静态ARP。 VAS连接 - CPE通过VAS连接功能与FW互联。FW作为集中安全网关，对总部和分支的流量提供安全防护。 应用体验 安全策略 URL - 配置URL安全策略，对用户访问的URL（Uniform Resource Locator）进行控制。 防火墙 - 支持配置防火墙安全策略，逻辑上实现内部网络和外部网络的隔离，对用户访问Internet的业务进行安全防护，保护内部网络免受外部非法用户的侵入。 IPS&AV - 支持配置IPS&AV安全策略，通过预置的IPS与病毒特征库，将报文的特征与特征库中的特征进行对比，如果匹配则采取相应的防御措施。 流量策略 Overlay QoS - 支持对应用或者流量进行带宽限制。 Overlay ACL - 支持在LAN侧部署ACL策略，可以阻断用户与外部通信的某些特定流量。 智能选路 - 当到达目的网络有多条链路可选时，根据应用对链路的质量、带宽、优先级等要求，动态选择最优链路，并实时监控网络的质量，根据各链路实时状态，动态地调整分配流量的路径，使用户业务不受网络质量的影响，从而保障用户的使用体验。 广域优化 - FEC、多发选收和逐包负载分担等技术，提高数据在WAN链路上的传输质量和效率。 站点上网 - 支持本地上网、集中上网、混合上网。 传统站点互访 - 支持本地互访、集中互访、混合互访。 Overlay NAT - 动态NAT，NAT模式支持Easy IP、PAT、No-PAT。 Underlay ACL - 支持WAN侧部署ACL策略，可以防止外部网络的特定流量进入CPE和内部网络。 云安全 - 对接第三方云网关安全策略，提升访问Internet网络的安全性。 Underlay NAT - 实现内部网络（私有IP地址）访问外部网络（公有IP地址）的功能。 通用QoS - 业务报文通过Underlay网络从LAN侧发送到WAN侧时，可以使用通用QOS，对应用或者流量进行带宽限制。 NAT ALG - 支持特定的应用层协议进行NAT转换。 动态QoS - 支持保证业务流通，缓解拥塞，对重要业务做保障。 重定向 - 配置重定向策略，支持EVPN隧道接口、内联隧道接口以及LAN接口。 广播报文转发 - 支持使能设备接口转发或接收定向广播报文。 应用管理 自定义应用 - 自带应用识别特征库，用于识别各种常见的应用。当预定义应用不能满足要求时，用户可以根据该应用的特征自定义一个新的应用；支持的应用类型为SA、Domain Name和Advance Rule。 应用组 - 支持创建应用组以匹配需要识别的应用流量。 网络监控 WAN站点互联 链路流量 - 支持查看链路流量分布图，应用流量TOP10。 按照时间段查看吞吐量趋势、带宽利用率趋势、LQM趋势。 链路质量 - 查看链路质量数据（LQM趋势、时延变化趋势、抖动变化趋势和丢包率变化趋势）。 SPR切换 - 支持查看目标站点的SPR切换统计信息。 应用 - 支持查看应用质量和应用所在链路质量，吞吐量趋势，上下行带宽使用趋势。 广域优化FEC - 对广域进行优化之后，可以查看优化效果。 应用监控 - - 支持查看应用信息，应用AQM、统计排行、全网站点间通信的应用详情、性能趋势。 父主题： 规格清单

可能原因 隧道被删除原因： dpd timeout：DPD探测超时。 config modify or manual offline：修改配置导致SA被删除或者手动清除SA。 modecfg address soft expiry：Remote端向Server端申请的IP地址租期到期。 re-auth timeout：重认证超时导致SA被删除。 aaa cut user：AAA模块强制用户下线导致SA被删除。 kick old sa with same flow：相同的流接入时删除老的SA。 spi conflict：SPI冲突。 phase1 sa replace：新IKE SA替换老的IKE SA。 phase2 sa replace：新IPSec SA替换老的IPSec SA。 disconnect track nqa/bfd/vrrp：根据NQA测试例、NQA组、VRRP、BFD会话或BFD组的状态拆除IPSec隧道。 receive invalid spi notify：收到无效SPI通知。 dns resolution status change：DNS解析状态发生改变。 ikev1 phase1-phase2 sa dependent offline：设备删除IKEv1 SA时删除其关联的IPSec SA。 exchange timeout：报文交互超时。

告警解释 IPSEC/4/IPSECTUNNELSTOP: OID [OID] The IPSec tunnel is deleted. (Ifindex=[Ifindex], SeqNum=[SeqNum],TunnelIndex=[TunnelIndex], RuleNum=[RuleNum], DstIP=[DstIP], InsideIP=[InsideIP], RemotePort=[RemotePort], CpuID=[CpuID], SrcIP=[SrcIP], FlowInfo=[FlowInfo], OfflineReason=[offlinereason], VsysName=[vsys-name], InterfaceName=[InterfaceName], SlotID=[SlotID]) 删除IPSec tunnel。