Cisco路由器访问列表无法按预期工作

Question

我正试图在包追踪器中建立一个带有VLAN间路由的网络.我需要限制其中一个VLAN只接受来自172.25.30.0/24网络的流量。

为此，我使用了一个访问列表：

access-list 1 permit 172.25.30.0 0.0.0.255

我为网络上的不同VLAN提供了5个子接口，并将访问列表应用于f0/0.50：

interface FastEthernet0/0.10
 encapsulation dot1Q 10
 ip address 172.25.10.254 255.255.255.0
!
interface FastEthernet0/0.20
 encapsulation dot1Q 20
 ip address 172.25.20.254 255.255.255.0
!
interface FastEthernet0/0.30
 encapsulation dot1Q 30
 ip address 172.25.30.254 255.255.255.0
!
interface FastEthernet0/0.40
 encapsulation dot1Q 40
 ip address 172.25.40.254 255.255.255.0
!
interface FastEthernet0/0.50
 encapsulation dot1Q 50
 ip address 172.25.50.254 255.255.255.0
 ip access-group 1 in
!

据我所知，现在应该只允许172.25.30.0/24网络上的设备与172.25.50.0/24网络(我的管理网络)上的设备通信。但是，一旦我将访问列表应用到子接口上，我就不能再从任何设备(包括172.25.30.0/24网络上的设备)中屏蔽172.25.50.0/24网络。

有人知道为什么会这样吗？

Answer 1

将ACL的方向更改为out。

ip access-group 1 out

方向是从路由器接口的角度。Out指的是离开接口，面向设备。