action (accept | drop | encrypt; default: accept) - 指定对匹配规则的数据包采取何种动作
accept – 通过数据包
drop – 丢弃数据包
encrypt - 应用在该策略及它的SA 中指定的变换
decrypted (integer) - 由策略解密的输入数据报的数量
dont-fragment (clear | inherit | set; default: clear) - 不分段的IP 标题域状态
clear - 清除（复位）域，以便先前标记的不分段的包进行分段
inherit - 不改变域
set - 设置域，以便每个匹配该规则的包都不被分段
dst-address (IP address/netmask:port; default: 0.0.0.0/32:any) – 目的IP 地址
encrypted (integer) - 由策略加密的输出的包数量
in-accepted (integer) - 由策略通过的没有进行尝试解密的输入包数量
in-dropped (integer) - 由策略丢弃的没有进行尝试解密的输入包数量
ipsec-protocols (multiple choice: ah | esp; default: esp) - 指定你所想要应用到匹配的流上的认证标题和压缩安
全有效载荷协议的联合体。AH 在ESP 之后应用，并且以防隧道模式ESP 将被应用于隧道模式且AH 用于传输模式。
level (acquire | require | use; default: require) -如果一些对该策略的SA 不能找到则指定需要做什么：
use - 跳过变换，不丢弃百也不从IKE 端口监督程序获取SA
acquire - 跳过该变换但从IKE 端口程序获取SA
require -丢弃包但获取SA
manual-sa (name; default: none) - 将被用于对该策略创建SA 的manual-sa 模板名
none - 不设置手动键入
not-decrypted (integer) - 策略尝试解密的输入包数量，但是要丢弃
not-encrypted (integer) - 策略尝试加密的输出包数量，但要丢弃
out-accepted (integer) - 由策略不做任何尝试加密就通过的输出包的数量
out-dropped (integer) - 由策略丢弃的不做任何加密尝试的输出包数量
ph2-state (read-only: expired | no-phase2 | established) - 密匙建立过程的指示
expired -有一些来自先前阶段2 的剩余物。一般地它与no-phase2 类似
no-phase2 - 目前没有密匙建立
estabilished - 合适的SA 在适当位置且一切都工作良好
proposal (name; default: default) - 将被IKE 端口监督程序发送以建立该策略SA 的提议信息名
protocol (name | integer; default: all) - 协议名或号码
sa-dst-address (IP address; default: 0.0.0.0) – SA 目的IP 地址
sa-src-address (IP address; default: 0.0.0.0) – SA 源IP 地址
src-address (IP address/netmask:port; default: 0.0.0.0/32:any) – 源IP 地址
tunnel (yes | no; default: no) - 指定是否使用隧道模式