CAS三权分立部署如何更改网络策略模板

一、 修改网络策略模板步骤

1. 进入管理页面：登录 CAS 云计算管理平台，选择顶部“云资源”页签，单击左侧导航树 [ 计算 概览 ] 菜单项，进入云资源概要信息页面。
2. 定位模板列表：选择“网络策略模板”页签，进入网络策略模板列表页面。
3. 执行修改操作：选择待修改的网络策略模板，单击对应操作列的 < 修改 > 按钮，弹出修改网络策略模板配置对话框。
4. 保存生效：根据需求修改相关参数（如 ACL 策略、VLAN ID、出入方向流量限制等），单击 < 完成 > 按钮即可完成操作。

二、 核心注意事项（重要）

• 立即生效机制：如果该网络策略模板正在被虚拟机（或云主机）网卡使用，修改完成后，所做的更改将会在虚拟网卡所连接的虚拟交换机端口上立即生效。
• 删除限制：不允许删除系统默认的网络策略模板“Default”，同时，如果网络策略模板正在被虚拟机网卡使用，也不允许删除。

三、  特殊情况处理（针对 CloudOS 下发的模板）

CAS 三权分立模式下，网络策略模板只能由「安全管理员（security）」修改；系统管理员（system）不能改策略，只能改系统；审计管理员（audit）只能看不能改。下面按角色和操作步骤讲清楚。
一、先确认三权账号与权限（关键）
CAS 三权分立默认三个账号：
system（系统管理员）：管主机、网络、存储、备份、升级；不能改安全策略模板
security（安全管理员）：管网络策略模板、ACL、安全组、防火墙、QoS；只有这个角色能改网络策略模板
audit（审计管理员）：只能看日志、审计、监控；不能改任何配置
你现在改不了，大概率是：
用了 system 账号登录（没权限改策略）
security 账号没分配「网络策略模板修改」权限
模板被锁定 / 归属其他租户
二、正确修改步骤（必须用 security 账号）
1. 用 security 账号登录 CAS Web
地址：https://CAS_IP:8443/cas
2. 进入网络策略模板
顶部菜单：云资源 → 计算 / 概览 → 网络策略模板


3. 修改模板
选中要改的模板 → 点修改
改 VLAN、ACL、带宽限速、QoS 等
点完成保存
4. 权限不足时（常见）
如果 security 看不到 / 改不了：
用 system 账号登录 → 系统管理 → 管理员 → 编辑 security 用户
角色勾选：安全管理员（内置），并勾选网络策略模板管理权限
提交后，重新用 security 登录即可
三、三权模式下的限制（别踩坑）
system 永远不能改网络策略模板，这是三权隔离设计，不能绕过
模板谁创建谁管理，高权限 security 可改低权限 security 的模板
不能回切普通模式（切换三权后不可逆）
四、快速排查（按顺序）
确认登录账号：必须是 security
检查 security 角色权限：是否有网络策略模板修改
检查模板状态：是否被锁定、是否属于其他租户
清浏览器缓存 / 换隐私模式，避免权限缓存