没错。IOS不允许你在NAT使用的ACL中使用permit ip any any，即使你确实要permit所有的流量。你只能使用多条规则基于网段的把所有需要NAT的流量捕捉到。要特别注意的是，如果你真的使用了permit ip any any这条规则，IOS是不会报错的，但是思科官方的描述是：这会导致无法预料的结果。