• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

M9006源地址数量限制

1天前提问
  • 0关注
  • 0收藏,55浏览
白白 四段
粉丝:3人 关注:0人

问题描述:

M9006域间策略中的源地址数量有没有限制?

2 个回答
粉丝:18人 关注:2人

SecPath M9006(Comware V7)域间策略(对象策略)源地址数量限制分两层说明
一、两种配置方式上限完全不同(核心区分)
方式 1:直接在单条规则内写多条源 IP(source-ip-host/subnet/range)
一条域间 / 安全策略规则里,直接写死的源主机 / 网段 / 地址段总和最大 1024 个,超过无法新增,命令直接报错H3C。
示例(不推荐,容易触达上限):
plaintext
rule permit source-ip-subnet 10.0.1.0 0.0.0.255
rule permit source-ip-subnet 10.0.2.0 0.0.0.255
...最多累计1024条

方式 2:使用地址对象组 object-group ip address(生产标准方案,无单条 1024 硬限)
单条规则引用对象组上限
一条规则最多同时引用 1024 个地址对象组(组嵌套也算占用计数)H3C;
单个地址组内部成员上限
M9006 整机全局 IPv4 地址对象总条目容量极大,单地址组可容纳数千网段 / 主机,官方无单组小上限;支持5 层组嵌套(组 A 包含组 B,最多嵌套 5 级)H3C;
整机全局容量
M9006 框式高端防火墙整机全局 IP 地址对象总条目上万,足以承载园区 / 政企海量网段,日常场景不会打满全局上限。
二、域间策略(object-policy)额外约束
一条规则不要混合大量直写 IP + 多对象组,容易快速耗尽 1024 计数;
禁止双向嵌套(A 组包含 B,B 不能包含 A),否则配置报错;
地址组嵌套层级≤5 层,超过无法保存。
三、实操最优规范(规避上限问题)
所有源网段统一放入单个 / 少数地址对象组,一条规则只引用 1 个对象组,几乎不可能触达 1024 引用上限;
bash
运行
# 1. 把所有源网段放进一个地址组
object-group ip address SRC_ALL
ip subnet 10.1.0.0 255.255.0.0
ip subnet 10.2.0.0 255.255.0.0
ip range 172.16.1.10 172.16.1.200
quit
# 2. 域间规则仅引用该组,计数只占1个名额
rule permit source-object-group SRC_ALL destination any service any

禁止在规则内批量堆叠source-ip-subnet,极易到达 1024 硬限制无法扩容;
网段尽量聚合(大掩码汇总),减少地址组内部条目数量,降低内存占用。
四、补充:常见踩坑现象
新增源网段提示配置失败:
原因:单规则直写 IP 累计达到 1024;
解决:把零散 IP 迁移到地址对象组,规则改为引用组。
地址组嵌套报错:
嵌套层级超过 5 层或双向循环嵌套,扁平化拆分多组即可。
整机内存持续走高:
单组内上万零散主机 / 小段会占用大量控制平面内存,优先聚合网段优化。
极简总结
单条规则直接写源 IP:最多 1024 个;
单条规则引用地址对象组:最多引用 1024 个组;
推荐统一使用地址对象组承载所有源网段,一条规则只引用 1 个组,基本不会触发数量限制。

暂无评论

粉丝:132人 关注:11人

没有限制 

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明