deny ip 10.10.10.10/32 255.255.255.255/32应该这样做，例如10.10.10.10作为来源。

如果要过滤多个源 IP，则需要多个 ACL 条目，除非您可以为所有源设置掩码。

例如，deny ip 10.10.10.8/30 255.255.255.255/32过滤来自主机的所有节目10.10.10.8通过10.10.10.11。

请注意，通配符掩码不必像子网掩码一样连续。您可以使用deny ip 10.10.10.10 255.255.255.251 255.255.255.255/32源10.10.10.10和10.10.10.14.

ip access-list acl-01
Deny ip <destination IP> <destination wild card> host <source ip>
permit any any

实现应该在接口中完成，方向应该是进/出，但我们不能不看图就确切地说出它。

ip access-group acl-01 in

如果您甚至想阻止主机与同一 IP 网络中的主机通信，则必须在主机上安装防火墙。另一种方法是使用 Private Vlan 来隔离它并强制每次通信通过下一跳（可能是防火墙）。