我正在处理数据包跟踪器中的一个项目，并且我有一个连接到 VLAN 10 的服务器。

VLAN 10 上有一个服务器设备，IP 范围是 /30。

我在 2 个站点上有 8 个其他 VLAN。这两个站点通过连接到 2 个数据包跟踪路由器的光纤链路链接，然后连接到 3650 24p 交换机。

有 2 个 VLAN（VLAN 2 和 4）不应访问 VLAN 10 上的服务器。

VLAN 2 被划分为 192.168.2.0/26 VLAN 4 被划分为 192.168.4.0/26

在所有路由器和交换机上都设置了 EIGRP，目前，网络上的所有设备都可以 ping 192.168.10.1 上的服务器。我需要阻止上述 2 个 VLAN 中的设备与 VLAN 10 中的设备通信。

我尝试了几种不同的方法，我得到的关闭是 VLAN 2 和 4 上的设备得到“目标主机无法访问”，但随后所有其他主机得到“请求超时”，这（显然）是不希望的。

以下是我在交换机上编程的内容：

access-list 100 deny ip 192.168.2.0 0.0.0.63 192.168.10.0 0.0.0.3
access-list 100 deny ip 192.168.4.0 0.0.0.63 192.168.10.0 0.0.0.3
access-list 100 permit ip any 192.168.10.0 0.0.0.3

int vlan 10

ip access-group 100 in
ip access-group 100 out

以上所有内容都输入到 VLAN10 所在的 3650 交换机中。