IP Prefix List

一、IP Prefix List简介

1.1 IP Prefix List使用场景

地址前缀列表（IP Prefix List），因为ACL不能匹配子网掩码，我们用IP-Prefix来作为匹配工具，在缺省的情况下是拒绝所有的。相比于ACL，更适合应用于网络层，可以针对动态路由协议进行路由过滤。

二、IP Prefix List原理

2.1 IP Prefix List执行流程

地址前缀列表（IP Prefix List）的匹配顺序严格根据 Index 序号 从小到大依次执行

graph TD A[输入路由前缀] --> B[按Index升序排列规则] B --> C{检查规则1} C -->|匹配| D[执行规则动作] C -->|不匹配| E{检查规则2} E -->|匹配| F[执行规则动作] E -->|不匹配| G[...后续规则...] G --> H{规则N} H -->|匹配| I[执行规则动作] H -->|不匹配| J[隐式拒绝] %% 暗黑模式样式 classDef cond fill:#2d4059,stroke:#4a90e2,color:#fff; classDef step fill:#3a3a3a,stroke:#888,color:#eee; classDef allow fill:#2d5a27,stroke:#67c23a,color:#fff; classDef deny fill:#5a2727,stroke:#f56c6c,color:#fff; class C,E,H cond; class A,B,D,F,I,J step; class D,F,I allow; class J deny;

2.2 对比ACL

特性	IP前缀列表	ACL
主要用途	路由过滤	数据包过滤
匹配维度	网络前缀 + 掩码长度	五元组（IP、端口等）
掩码范围匹配	支持ge/le	仅支持通配符
性能影响	低（控制平面）	中高（数据平面）

三、IP Prefix List配置

3.1 IP Prefix List基本语法

# ip ip-prefix <列表名称> [index <序号>] <动作  permit | deny > <网络号> <掩码> [ge <值>] [le <值>]

参数	含义
mask-length	指定前缀的长度，表示前缀中多少位是不能发生变化的。
greater-equal (GE)	指定最小值，表示允许的最小掩码长度。
less-equal (LE)	指定最大值，表示允许的最大掩码长度。

1.不写GE、LE时GE=LE=Length

2.不写GE时GE=Length

3.不写LE时LE=32

3.2 简单案例

# 要精确匹配 10.1.5.0/24的路由
Ip ip-prefix 10.5 deny 10.1.5.0 24
Ip ip-prefix 10.5 permit 0.0.0.0 0 le 32