egate1.301：在聚合端口上创建子端口。子端口同时也就是vlan号，注意：子端口的MAC同父端口

int eth0/0 ：在配置模式下，进入接口配置子项，此处也更象Cisco，而不象ScreenOS在一条命令里配置完

aggregate aggregate1：将eth0/0添加到聚合端口1中，注意：进入聚合的物理端口应不属于其他端口及任何安全域。

int eth0/0.1：创建eth0/0下的子端口

manage ping/http/https/ssh/telnet/snmp 等，配置该接口的管理选项

ip address xx.xx.xx.xx/xx：配置IP地址

zone xxxx：配置该接口所属的zone

int redundant1：创建冗余端口，增加成员同聚合端口，在物理端口下输入redundant redundant1，即可添加物理端口至red1

primary eth0/0：指定eth0/0为冗余端口的主端口

int redundant1.1：在冗余端口上创建子端口，这一部分基本上同ScreenOS

安全对象定义及策略类：

address xxxx：定义网络地址对象

ip 192.168.0.0/24：定义该对象的IP地址

description "KKOA Net 192.168.0.0"：对地址对象进行描述，注意描述中有空格的用双引号

host：定义域名对象

range 192.168.0.10 192.168.0.20 ： 定义一个地址范围

rename xxx：重命名对象

member xxx：可以添加另一个地址名做为成员(暂不明确适用场景)

service pubsvc-winrdp：定义服务对象(每个对象可以定义约8个条目)

tcp dst-port 33389 src-port 1024 65535 定义tcp服务，目标端口33389，源端口范围1024-65535

tcp dst-port 43389 src-port 1024 65535 添加第二条端口

policy-global：进入定义访问控制策略

rule from 10.97.0.0/16 to any from-zone trust to untrust service any permit 出站策略

rule id 2 from any to 192.168.3.235/32 from-zone untrust to-zone trust service pubsvc-winrdp permit 入站策略，目的地址直接用外网IP，目的端口也是外部映射端口，这跟screenos用mip和cisco用内网IP都有所不同。

rule from any to any from-zone App to-zone App service any permit：同zone，不同子网下的互通策略。缺省是阻断的，没有screenos下的全通选项，只能通过策略来打通。

id 2：进入指定id号的策略子命令集

move 3 before 1：将id3策略移到id1前，即调整策略顺序

地址转换及路由：

ip vrouter trust-vr：进入trust-vr (系统缺省带此vrouter，不可删除)

ip route 0.0.0.0 0.0.0.0 eth0/0 192.168.0.3 配置缺省路由，指向下一跳网关

snatrule top from 10.97.0.0/16 to any eif eth0/0 trans-to eif-ip mode dynamicport：出站SNAT，将策略置于top，nat为出站口

snatrule id 3 from grp-Appnet to Any service Any eif eth0/0 trans-to eif-ip mode dynamicport：将一个IP组的出站转为接口IP

snatrule from 10.97.3.18 to any eif eth0/0 trans-to 192.168.0.232 mode dynamicport log：出站SNAT，转为指定IP

dnatrule from any to 192.168.0.235 servi