所以这是我的配置。

我希望来自除 172.23.1.0/24 之外的所有网络的流量被 inferface fa 0/0 阻止

所以在路由器上我创建了 2 个 ACL

ACL 10

R1# access-list 10 permit 172.23.1.0 0.0.0.255

R1# access-list 10 deny any

ACL 101

R1# access-list 101 permit ip 172.23.1.0 0.0.0.255 10.10.10.0 0.0.0.255

现在我尝试了之后的所有组合ip access-group 10 in，ip access-group 10 out之后ip access-group 101 in和finnaly ip access-group 10 out。所有这些都在 R1 的接口 fa 0/0 上......但我仍然可以用任何身体 ping 10.10.10.0/24 网络的主机。

我希望只有 172.23.1.0/24 的主机能够与他们通信......我在这里做错了什么？

以下是 R1 配置

hostname R1
!
!
no ip cef
no ipv6 cef
!
!
username admin password 7 08204B471D1C09
!!
ip ssh version 1
ip domain-name mycorp.com
!!
!
interface FastEthernet0/0
 no ip address
 ip access-group 101 in
 ip access-group 10 out
 duplex auto
 speed auto
!
interface FastEthernet0/0.2
 encapsulation dot1Q 99
 ip address 10.10.10.3 255.255.255.0
 ip access-group 10 in
!
interface FastEthernet0/0.3
 encapsulation dot1Q 100
 ip address 10.100.100.3 255.255.255.0
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface Serial0/0
 ip address 192.168.1.130 255.255.255.192
!
interface Serial0/1
 no ip address
 clock rate 2000000
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.129 
!
ip flow-export version 9
!
!
access-list 15 permit 10.10.10.0 0.0.0.255
access-list 15 deny any
access-list 10 permit 172.23.1.0 0.0.0.255
access-list 10 permit 10.10.10.0 0.0.0.255
access-list 10 deny any
!
!
line con 0
!
line aux 0
!
line vty 0 4
 access-class 15 in
 password 7 08204B471D1C09
 login
line vty 5 15
 access-class 15 in
 login local
!
!
!
end

所以下面是我的网络图像。只有 PC2 应该能够与 PC1 通信。PC3 不应该，但它确实......