Você afirma que deseja negar o tráfego de 172.28.224.0 a 172.28.226.208 (quais máscaras de sub-rede?), mas nega o tráfego de QUALQUER a 172.28.226.208 / 29.
Em seguida, você aplica a ACL na direção de saída em Fa0 / 0.1, mas o destino (172.28.226.208/29) não reside lá, portanto, aplique a entrada da ACL em seu lugar.
Aplique a entrada da ACL em vez da saída e corrija a instrução "ANY" e ela deve funcionar.