规则管理器分层配置 三步避开父子规则冲突

亲测华为USG6000E V600R007C00SPC100，曾遇全局规则跟接口规则优先级错乱致使业务全断之困局，新手依步骤逐一操作，便可轻易躲开此类常见问题。

1 进入分层视图并设置深度

在Web界面，先依次点击“策略”，接着点击“安全策略”，再点击“规则管理器”，于右侧寻找到“分层视图”按钮，随后单击该按钮，将参数“层级深度”通过手工方式输入3，最后点击“应用”。

【新手需躲开的坑】，常见出现报错“无法加载分层视图”的弹窗，其核心缘由是浏览器兼容性不太好（特别是IE模式的情况下）。能够快速解决的办法是：换用Chrome 80以上的版本，将缓存清空之后再重新进行登录。

2 配置父子规则继承关系

左键在分层视图之中，对父规则（.ID 为 1001）进行右键点选，从中选择“编辑子规则策略”选项，接着勾选“继承父规则动作”这一项目，把子规则 ID 的范围填写成 2001 – 2005。在点击“保存”这个动作之前，要确认“匹配顺序”的状态是“按层级优先”。

【新手需防入坑】，存在这样的情况：子规则已明确添加，然而却未产生作用，流量被匹配到了其他规则。究其缘由：是遗漏 设置了匹配顺序，系统会按照ID顺序进行默认处理。解决的办法是：退回到规则管理器的首页，寻找到标有“匹配顺序”的下拉框，强行将其设置为“按层级优先”后再进行保存。

3 调整分层优先级与兜底规则

当进入“全局配置”之中的“分层优先级”，把“接口层”的权重调整为10 ，将“区域层”的权重调至5 ，而“全局层”留有1。关键参数层级深度显示为3是最优的推荐数值：处于深度超过5的情况会显著地增加匹配时延（经过实测增加了40%）。深度为1时则不能够区分接口与区域，3层能够刚好覆盖全局、区域以及接口，维护与性能之间的平衡是为最好。

【新手避开陷阱】，要是权重设定得不恰当，就会引发“规则环检测失败”的错误提示，比如说接口层予以准许，然而全局层却加以拒绝，从而构成循环。完整的解决步骤如下：第一步是禁用“允许循环检测”复选框，第二步是手动导出配置文件，接着搜索其中的“loop_detect”并将其改成false，第三步是再次导入并且重启规则管理器服务。

有着两种实操方案进行对比，方案A呈现扁平化规则，所有规则处于同级状态，它适用于规则总数为200条规则的大规模环境，在此环境中修改父规则便能够联动子规则。现存在取舍逻辑，即倘若每周变更规则超过3次，那就无脑选择方案B；要是网络固定并且规则极少，那么方案A会更省事。

针对高频出现的报错“Error: Rule conflict at layer2”的完整解决流程如下：现象呈现为提交时出现冲突状况，原因在于父子规则的动作呈现相反态势（父规则予以允许然而子规则却加以拒绝）。一站式的步骤如下：其一，运用命令display rule conflict layer2来定位发生冲突的规则对；其二，把子规则的动作修改为“继承父动作”；其三，倘若业务存在例外需求，勾选“覆盖父动作”并添加备注，最后再次编译规则集。

此方法对动态时间调度规则不适用，对三层以上嵌套也不适用，像全局大于区域大于接口大于用户大于应用这种情况，经实测性能下降了60%。有一套简易替代方案，它包括改用策略矩阵也就是Policy Matrix直接对交叉组合进行定义，或者把它拆分为ACL分组后按照顺序去调用。