SecPath M9006(Comware V7)域间策略(对象策略)源地址数量限制分两层说明
一、两种配置方式上限完全不同(核心区分)
方式 1:直接在单条规则内写多条源 IP(source-ip-host/subnet/range)
一条域间 / 安全策略规则里,直接写死的源主机 / 网段 / 地址段总和最大 1024 个,超过无法新增,命令直接报错H3C。
示例(不推荐,容易触达上限):
plaintext
rule permit source-ip-subnet 10.0.1.0 0.0.0.255
rule permit source-ip-subnet 10.0.2.0 0.0.0.255
...最多累计1024条
方式 2:使用地址对象组 object-group ip address(生产标准方案,无单条 1024 硬限)
单条规则引用对象组上限
一条规则最多同时引用 1024 个地址对象组(组嵌套也算占用计数)H3C;
单个地址组内部成员上限
M9006 整机全局 IPv4 地址对象总条目容量极大,单地址组可容纳数千网段 / 主机,官方无单组小上限;支持5 层组嵌套(组 A 包含组 B,最多嵌套 5 级)H3C;
整机全局容量
M9006 框式高端防火墙整机全局 IP 地址对象总条目上万,足以承载园区 / 政企海量网段,日常场景不会打满全局上限。
二、域间策略(object-policy)额外约束
一条规则不要混合大量直写 IP + 多对象组,容易快速耗尽 1024 计数;
禁止双向嵌套(A 组包含 B,B 不能包含 A),否则配置报错;
地址组嵌套层级≤5 层,超过无法保存。
三、实操最优规范(规避上限问题)
所有源网段统一放入单个 / 少数地址对象组,一条规则只引用 1 个对象组,几乎不可能触达 1024 引用上限;
bash
运行
# 1. 把所有源网段放进一个地址组
object-group ip address SRC_ALL
ip subnet 10.1.0.0 255.255.0.0
ip subnet 10.2.0.0 255.255.0.0
ip range 172.16.1.10 172.16.1.200
quit
# 2. 域间规则仅引用该组,计数只占1个名额
rule permit source-object-group SRC_ALL destination any service any
禁止在规则内批量堆叠source-ip-subnet,极易到达 1024 硬限制无法扩容;
网段尽量聚合(大掩码汇总),减少地址组内部条目数量,降低内存占用。
四、补充:常见踩坑现象
新增源网段提示配置失败:
原因:单规则直写 IP 累计达到 1024;
解决:把零散 IP 迁移到地址对象组,规则改为引用组。
地址组嵌套报错:
嵌套层级超过 5 层或双向循环嵌套,扁平化拆分多组即可。
整机内存持续走高:
单组内上万零散主机 / 小段会占用大量控制平面内存,优先聚合网段优化。
极简总结
单条规则直接写源 IP:最多 1024 个;
单条规则引用地址对象组:最多引用 1024 个组;
推荐统一使用地址对象组承载所有源网段,一条规则只引用 1 个组,基本不会触发数量限制。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论