Cisco Catalyst 3550交换机 – VLAN ACL问题

我似乎无法使Vlan ACL正常工作。 当我通过VPN连接时，我希望能够访问10.100.xxnetworking上的服务器以及10.200.xxnetworking上的服务器。 但是，我想阻止10.100.xxnetworking看到10.200.xx

目前，我有2个Vlans：

interface Vlan111 description "vlan 111" ip address 10.100.1.1 255.255.255.0 interface Vlan222 description "vlan 222" ip address 10.200.1.1 255.255.255.0 ip access-group vlan222_acl in ip access-group vlan222_acl out 

我有2个服务器连接到每个VLAN：

 !--- the below port is connected to a windows machine with static ip address 10.100.1.10 and gateway 10.100.1.1 interface FastEthernet0/4 description server 1 switchport access vlan 111 switchport mode access !--- the below port is connected to a windows machine with static ip address 10.200.1.10 and gateway 10.200.1.1 interface FastEthernet0/5 description server 2 switchport access vlan 222 switchport mode access 

问题是当我configurationvlan222_acl。

• Linux桥冗余
• 为Dell PowerConnect 5424交换机上的特定端口configurationLAG组
• 从交换机SMC 8748M到Dell PowerConnect 6248的vLAN
• Vlanpipe理策略服务器（VMPS）configuration和pipe理
• vlan 1和1002-1005在一个中继线连接 – 应该允许吗？

这是我input的内容：

 ip access-list extended vlan222_acl deny icmp 10.100.0.0 255.255.0.0 10.200.0.0 255.255.0.0 

但是这里是应用到正在运行的configuration：

 ip access-list extended vlan222_acl deny icmp 0.0.0.0 255.255.0.0 0.0.0.0 255.255.0.0 !--- the above line is not what I actually entered in the terminal, for some reason !--- the source and dest ip addresses are getting replaced with zeros 

由于上述路线，现在每个人都无法在10.200.1.10上ping服务器。 当我删除线，即no deny icmp 0.0.0.0 255.255.0.0 0.0.0.0 255.255.0.0然后我可以再次ping它。

我怎样才能限制10.100.xx能够ping 10.200.xx？

非常感谢您的帮助！ G

 ip access-list standard external_traffic deny 172.16.0.0 0.15.255.255 deny 192.168.0.0 0.0.255.255 

 ip access-list extended block-icmp deny icmp 10.100.1.0 0.0.0.255 10.200.1.0 0.0.0.255 permit ip any any ! interface vlan 111 ip access-group block-icmp in