＞(config)access-list 100 permit tcp host 192.168.0.1 host 10.0.0.1 eq 21 ACL#100で、PC1からPC2へFTP-COMを通しているようですね。 FTP-DATA（TCP/20）は通さないんですね。これじゃファイル転送はできないですね。pasive-ftpを想定してるのかな、でもdefault denyで落ちるとは思いますけど。 悪魔の囁きと捕らえて頂いて結構ですけど、permit tcp any any establishedという手もあります。tcpの戻りパケットにはSYN/ACKビットが立っているんでそれは通すっていうACLです。 内から外は何でもOK、外から内は、内からリクエストされたもんだけ通す、なんてときに使います。分って使っている分には無駄なACLを書かないで済むという利点がありますが、分らないで適用すればザルを作ることになります。これが「悪魔の囁きと捕らえて頂いて結構」とい理由です。正確には「素人さんには悪魔の囁きと捕らえて頂いて結構」という意味です。 ＞(config)access-list 100 permit icmp host 10.0.0.1 host 192.168.0.1　echo ACL#100でPC2からPC1へのICMP echoを通す、と。 ＞(config-if)ip access-group 100 in このACL#100のinはどこのインタフェースに適用するんですかね。あなたの説明とACLを見ると、10.0.0.1と192.168.0.1は同じインタフェースの先にいて、そのインタフェースにはセカンダリIPが設定されていて、ルータでローカルルーティングされる。その際にACLがヒットする、ていう前提なんでしょうか。 +--------+ 10.0.0.0/? | router ○----------------------------- +--------+ 192.168.0./? という感じ。 ＞１．アクセスグループを消すときは ＞no ip access-group　100　in ＞でいいのでしょうか。最後がoutになった場合はどうなるのでしょうか そうです。outでも同じ。でも書かれたACLを見る限り、in側適用を意図しているようけどね。 ちなみにACL#100を消すときには、no ip accesss-list 100です。 ＞２、pingのみ許可する場合はICMPのオプションのechoとecho reply はどちらにしたらいいのでしょうか echoは許可されたリクエスト側、echo replyは許可された応答側。 そもそもどういう構成であるかの説明がないんで、上記のようにしか言えない。 ＞３、上記のように設定すれば、最後の三番目の条件の残りすべて禁止は暗黙のdenyですべて禁止という設定になるのでしょうか？ はい。defaultがどうなるかは意識して置いてください。ciscoはdefault deny、extremeはdefault permitです。