Nesse caso específico, uma regra de iprange pode ser um pouco mais rápida que duas regras de CIDR, mas a diferença é tão pequena que provavelmente será imperceptível. A menos que você esteja roteando vários gigabits por segundo, não vale a pena tentar otimizar aqui e, se estiver, provavelmente você deve comprar um roteador específico.
Eu recomendo que você use as comparações do CIDR de qualquer maneira, pois isso será mais rápido se você adicionar intervalos separados (e provavelmente você irá, mais cedo ou mais tarde). E é mais limpo e mais fácil de entender.
O que está acontecendo aqui?
Digamos que você esteja comparando um endereço IP 192.0.2.87 a uma rede e prefixo de 192.0.2.0/24. Primeiro, o prefixo é usado como a máscara de rede, que é literalmente o valor de 32 bits com os bits no lado da rede definidos como 1 e no lado do host definido como 0. Assim / 24 teria sido escrito 255.255.255.0, embora internamente ele e o endereço IP e a rede são armazenados como valores brutos de 32 bits. (Eu estou ignorando endianness aqui, pois não é relevante para entender como isso funciona.)
O que acontece é que o endereço IP será ANDed bit a bit com a máscara de rede e o resultado comparado à rede. Se eles forem iguais, o endereço IP estará dentro da rede / prefixo.
No intervalo de IPs, você precisa de duas comparações . Nesse caso, o endereço IP é comparado primeiro ao endereço IP inicial. Se for maior ou igual, continuamos e comparamos com o endereço IP final. Se for menor ou igual, temos uma correspondência.
A diferença no tempo do processador entre essas comparações é insignificante, especialmente porque há muita sobrecarga para cada regra antes mesmo de você chegar às instruções de linguagem de máquina relevantes que fazem a comparação (cargas de registro, etc.).