关于cisco三层交换机ACL配置问题

0.0.0.0 255.255.0.0这不符合逻辑
在ACL里，是反转掩码
比如拒绝192.168.0.0/16的写法是这样的：
deny ip any 192.168.0.0 0.0.255.255
反推到你的语句里的IP地址就成这样了：
0.0.0.0/0.0.255.255，这是个嘛啊？？我没见过啊。我也不理解。

你最好明确你的需求，举例说，在ACL-IN里拒绝三个子网进入路由器，分别是：
192.168.1.0/25，172.16.0.0/16，10.0.0.0/8
其他全允许，写法有两种：
第一种，ACL命名
ip access-list ext IN
deny ip 192.168.1.0 0.0.0.127 any
deny ip 172.16.0.0 0.0.255.255 any
deny ip 10.0.0.0 0.255.255.255 any
permit ip any any

第二种：ACL编号，100-199是ext acl的编号
access-list 123 deny ip 192.168.1.0 0.0.0.127 any
access-list 123 deny ip 172.16.0.0 0.0.255.255 any
access-list 123 deny ip 10.0.0.0 0.255.255.255 any
access-list 123 permit ip any any

Cisco访问列表默认策略就是拒绝所有，所以就不用再写全拒绝的命令了。

访问列表写完了，绑定到端口生效。
ACL是锁头，路由器是大门。你买了100把锁头，只有锁在大门上那把才是有用的。

应该使用反掩码吧。
ip access-list extended IN
deny ip any 0.0.0.0 255.255.0.0
deny ip any 0.0.0.0 255.255.224.0
deny ip any 0.0.0.0 255.255.254.0
permit ip any any
是说要拒绝任何到0.0.0.0/16的IP协议的流量，允许其他不被匹配的流量放行
ip access-list extended OUT
deny ip 0.0.0.0 255.255.0.0 any
deny ip 0.0.0.0 255.255.224.0 any
deny ip 0.0.0.0 255.255.254.0 any
permit ip any any
是说要拒绝0.0.0.0/16的地址到任何地方的IP协议的流量，允许其他不被匹配的流量放行
流量经过设备才能起到过滤的作用。

deny 是拒绝通信的IP,子网掩码， permit是允许通信的IP,IP,子网掩码，在进（in)和出（out)方向，不允许255.255.255.0.0 255.255.224.0 255.255.254.0 ，三个子网内的主机对外通信。

access-list in extended permit ip any interface inside
access-list out extended permit ip any interface outside
access-list in extended deny ip any 0.0.0.0 255.255.0.0
access-list in extended deny ip any 0.0.0.0 255.255.224.0
access-list in extended deny ip any 0.0.0.0 255.255.254.0
access-list out extended deny ip any 0.0.0.0 255.255.0.0
access-list out extended deny ip any 0.0.0.0 255.255.224.0
access-list out extended deny ip any 0.0.0.0 255.255.254.0
cisco爱好者，瞎琢磨的，看看对吗？呵呵。

你说这些控制列表能用？你怎么试出来的？
如你的第一句：
deny ip any 0.0.0.0 255.255.0.0
推算过来是 拒绝ip 所有 到 0.0.0.0 0.0.255.255 有这样的掩码结构吗？ 真没见过