一、IP Prefix List简介
1.1 IP Prefix List使用场景
地址前缀列表(IP Prefix List),因为ACL不能匹配子网掩码,我们用IP-Prefix来作为匹配工具,在缺省的情况下是拒绝所有的。相比于ACL,更适合应用于网络层,可以针对动态路由协议进行路由过滤。
二、IP Prefix List原理
2.1 IP Prefix List执行流程
地址前缀列表(IP Prefix List)的匹配顺序严格根据 Index 序号 从小到大依次执行
graph TDA[输入路由前缀] --> B[按Index升序排列规则]B --> C{检查规则1}C -->|匹配| D[执行规则动作]C -->|不匹配| E{检查规则2}E -->|匹配| F[执行规则动作]E -->|不匹配| G[...后续规则...]G --> H{规则N}H -->|匹配| I[执行规则动作]H -->|不匹配| J[隐式拒绝]%% 暗黑模式样式classDef cond fill:#2d4059,stroke:#4a90e2,color:#fff;classDef step fill:#3a3a3a,stroke:#888,color:#eee;classDef allow fill:#2d5a27,stroke:#67c23a,color:#fff;classDef deny fill:#5a2727,stroke:#f56c6c,color:#fff;class C,E,H cond;class A,B,D,F,I,J step;class D,F,I allow;class J deny;
2.2 对比ACL
特性 IP前缀列表 ACL 主要用途 路由过滤 数据包过滤 匹配维度 网络前缀 + 掩码长度 五元组(IP、端口等) 掩码范围匹配 支持ge/le 仅支持通配符 性能影响 低(控制平面) 中高(数据平面)
三、IP Prefix List配置
3.1 IP Prefix List基本语法
# ip ip-prefix <列表名称> [index <序号>] <动作 permit | deny > <网络号> <掩码> [ge <值>] [le <值>]
参数 含义 mask-length 指定前缀的长度,表示前缀中多少位是不能发生变化的。 greater-equal (GE) 指定最小值,表示允许的最小掩码长度。 less-equal (LE) 指定最大值,表示允许的最大掩码长度。 1.不写GE、LE时GE=LE=Length
2.不写GE时GE=Length
3.不写LE时LE=32
3.2 简单案例
# 要精确匹配 10.1.5.0/24的路由 Ip ip-prefix 10.5 deny 10.1.5.0 24 Ip ip-prefix 10.5 permit 0.0.0.0 0 le 32
