Access List

访问列表（Access List）是用于基于 IPv4/IPv6 地址 + 掩码的 prefix 进行路由过滤的简单列表。

配置方法

IPv4:
config router access-list
    edit <name>
        config rule
            edit <id>
                set action {permit | deny}
                set prefix <IPv4_address>
                set wildcard <wildcard_filter>
                set exact-match {enable | disable}
            next
        end
    next
end

IPv6:
config router access-list6
    edit <name>
        config rule
            edit <id>
                set action {permit | deny}
                set prefix <IPv6_address>
                set exact-match {enable | disable}
            next
        end
    next
end

• action {permit | deny}：动作是允许还是拒绝路由条目。
• prefix <IPv4_address>：IPv4 路由的前缀 + 掩码，如10.10.1.0/24。该配置与wildcard互斥。
• wildcard <wildcard_filter>：以通配符掩码（反掩码）方式匹配路由，如10.0.104.0 0.255.0.255（匹配掩码为 1 的位，为 0 的位忽略），该配置与prefix互斥。
• exact-match {enable | disable}：是否严格匹配，如果开启严格匹配，只有 prefix 和 wildcard（掩码）完全相同的路由会匹配此 Access List；如果关闭严格匹配，大于该掩码的 CIDR 路由也会匹配，默认关闭（仅在使用prefix模式时生效）。

引用 Access List

被 RIP 引用

config router rip
    config distribute-list
        edit <id>
            set direction {in | out}
            set listname <string>
        next
    end
    config offset-list
        edit <id>
            set direction {in | out}
            set access-list <string>
            set offset <integer>
        next
    end
end

• listname <string>：引用 Access List 或 Prefix List 用于出/入方向路由过滤。
• access-list <string>：针对 Access List 匹配的路由修改路由的跳数（这里 Access List 中的动作 permit/deny 表示匹配/不匹配）。

被 OSPF 引用

config router ospf
    set distribute-list-in <string>
    config distribute-list
        edit <id>
            set access-list <string>
            set protocol {connected | static | rip}
        next
    end
end

• distribute-list-in <string>：入方向引用 Access List 过滤路由。
• access-list <string>：发布路由时引用 Access List 过滤路由。

被 BGP 引用

config router bgp
    config neighbor
        edit <ip>
            set distribute-list-in <string>
            set distribute-list-in6 <string>
            set distribute-list-in-vpnv4 <string>
            set distribute-list-out <string>
            set distribute-list-out6 <string>
            set distribute-list-out-vpnv4 <string>
        next
    end
end

• distribute-list-in <string>：入方向引用 Access List 过滤 IPv4 路由。
• distribute-list-in6 <string>：入方向引用 Access List 过滤 IPv6 路由。
• distribute-list-in-vpnv4 <string>：入方向引用 Access List 过滤 VPNv4 路由。
• distribute-list-out <string>：出方向引用 Access List 过滤 IPv4 路由。
• distribute-list-out6 <string>：出方向引用 Access List 过滤 IPv6 路由。
• distribute-list-out-vpnv4 <string>：出方向引用 Access List 过滤 VPNv4 路由。

被 Route Map 引用

重要

被 Route Map 引用时，Access List 中的动作 permit/deny 表示匹配/不匹配，而不是允许/禁用。

config router route-map
    edit <name>
        config rule
            edit <id>
                set match-ip-address <string>
                set match-ip6-address <string>
                set match-ip-nexthop <string>
                set match-ip6-nexthop <string>
            next
        end
    next
end

• match-ip-address <string>：引用 Access List 匹配 IPv4 路由条目。
• match-ip6-address <string>：引用 Access List 匹配 IPv6 路由条目。
• match-ip-nexthop <string>：引用 Access List 匹配 IPv4 路由下一跳。
• match-ip6-nexthop <string>：引用 Access List 匹配 IPv6 路由下一跳。