ip access-group 100 in没有这条命令怎么办

如果你想在接口中应用一个名为100的IP访问控制列表，但是输入 `ip access-group 100 in` 命令时出错，可能是因为你的设备上没有创建名为100的IP访问控制列表。你需要首先创建一个名为100的IP访问控制列表，然后再将其应用于接口中。

以下是创建名为100的IP访问控制列表的示例命令：

access-list 100 permit tcp any any eq 80

此命令将允许任何源IP地址的TCP流量通过目的端口80。

然后，你可以将该访问控制列表应用于接口的入方向，例如：

interface GigabitEthernet0/0
ip access-group 100 in

这将使名为100的IP访问控制列表应用于接口GigabitEthernet0/0的入方向。

相关问题

ciscoasa(config)#access-list in-to-out permit ip 192.168.0.0 255.255.0.0 any ciscoasa(config)#access-group in-to-out in interface inside1 ciscoasa(config)#access-group in-to-out in interface inside2 ciscoasa(config)#access-list out-to-dmz permit ip any 192.168.80.1 255.255.255.255 ciscoasa(config)#access-group out-to-dmz in interface outside

这些命令是用于配置 Cisco ASA（Adaptive Security Appliance）防火墙的访问控制列表（ACL）和访问组。让我为您解释一下这些命令的作用：

1. 第一条命令 `access-list in-to-out permit ip 192.168.0.0 255.255.0.0 any` 创建了一个名为 "in-to-out" 的访问控制列表，并允许来自子网 192.168.0.0/16 的所有 IP 地址流量通过。"any" 表示允许访问的目标可以是任意 IP 地址。

2. 第二和第三条命令 `access-group in-to-out in interface inside1` 和 `access-group in-to-out in interface inside2` 将 "in-to-out" 访问控制列表应用到内部接口 inside1 和 inside2。这意味着在这两个接口上，只有符合 "in-to-out" 访问控制列表规则的流量才会被允许通过。

3. 第四条命令 `access-list out-to-dmz permit ip any 192.168.80.1 255.255.255.255` 创建了一个名为 "out-to-dmz" 的访问控制列表，并允许任何来源 IP 地址的流量访问目标 IP 地址为 192.168.80.1 的主机。这里的目标 IP 地址是一个具体的主机地址，而不是一个子网。

4. 最后一条命令 `access-group out-to-dmz in interface outside` 将 "out-to-dmz" 访问控制列表应用到外部接口 outside。这意味着只有符合 "out-to-dmz" 访问控制列表规则的流量才会被允许从内部网络发送到 DMZ（Demilitarized Zone）网络。

请注意，这只是一个简单的示例，实际上在配置防火墙时还需要考虑其他因素，并根据具体需求进行更详细的配置。

现要禁止10.1.1.2主机访问服务器192.168.1.2，请问，执行ip access-group 命令时最后应选择out，还是in

如果您想禁止10.1.1.2主机访问服务器192.168.1.2，则应该在服务器的入口处应用IP访问控制列表（ACL），因此最后应选择in。在服务器上，您可以创建一个ACL并将其应用于入站接口（例如，服务器的LAN接口）。ACL将源地址设置为10.1.1.2，并将目标地址设置为192.168.1.2，然后将拒绝这个IP流量。因此，您应该使用类似以下命令来应用ACL：

access-list 1 deny host 10.1.1.2
access-list 1 permit any
interface <interface_name>
ip access-group 1 in

请注意，这只会阻止10.1.1.2到192.168.1.2的流量，而不是反过来。如果您需要阻止反向流量，则需要在反向方向上应用ACL。