一. IP-Prefix的定义
IP-Prefix(IP前缀列表)是华为网络设备中用于精确匹配路由前缀的过滤工具。它通过前缀+掩码范围的组合定义匹配规则,例如匹配192.168.1.0/24但排除192.168.1.0/26的子网。与传统ACL相比,其优势在于:
- 支持掩码长度范围(如
/24到/32) - 可匹配前缀相同但掩码不同的路由
- 专为路由策略设计,匹配效率更高
二. IP-Prefix的原理
工作原理基于树形结构匹配:
- 逐条规则检测:按配置顺序遍历前缀列表条目
- 三元组匹配:
- 前缀地址(如
192.168.1.0) - 前缀长度(如
24) - 掩码范围(如
ge 24 le 30表示掩码长度≥24且≤30)
- 前缀地址(如
- 动作执行:匹配成功后触发
permit或deny动作
三. 配置命令(示例)
# 创建前缀列表 ip ip-prefix HPREFIX index 10 permit 192.168.1.0 24 # 匹配掩码范围 ip ip-prefix HPREFIX index 20 permit 10.0.0.0 8 ge 16 le 24 # 匹配10.0.0.0/8且掩码∈[16,24] # 拒绝默认路由 ip ip-prefix HPREFIX index 30 deny 0.0.0.0 0 # 应用到路由策略 route-policy ROUTE_POLICY permit node 10 if-match ip-prefix HPREFIX apply cost 100四. 应用场景
路由过滤
- 在BGP/OSPF中控制路由收发(如仅接收
/24以上掩码的路由) - 过滤默认路由:
ip ip-prefix DEFAULT deny 0.0.0.0 0
- 在BGP/OSPF中控制路由收发(如仅接收
策略路由
结合route-policy实现:ip ip-prefix VIDEO permit 172.16.0.0 12 ge 22 # 匹配视频业务网段 route-policy VIDEO_POLICY permit node 10 if-match ip-prefix VIDEO apply ip-address next-hop 10.1.1.1 # 重定向到视频专用链路路由聚合控制
限制聚合路由的掩码范围:ip ip-prefix AGGREGATE permit 192.168.0.0 16 ge 24 le 28
注意事项:IP-Prefix遵循首次匹配原则,需合理安排条目顺序;掩码范围
ge/le参数可独立使用(如ge 24表示掩码≥24)。
