اشکال در دسترسی توسط access list

با سلام

قصد دارم اجازه دسترسی یک کاربر رو فقط به اینترنت بدم. یعنی نتونه به شبکه داخلی وصل بشه.

فرض کنیم رنج شبکه 192.168.40.0/24 و کاربر 192.168.40.100 باشه و می خوام محدودیت دسترسی به رنج 192.168.0.0/16 باشه.

داخل سوئیچ این کد رو نوشتم:

access-list 101 deny   ip 192.168.40.100 0.0.0.0 192.168.0.0 0.0.255.255

و در اینترفیس اون Vlan نوشتم:

ip access-group 101 out

اما مشکلی که بوجود میاد اینه که این محدودیت برای تمام کلاینها اعمال میشه و دسترسی همه به همه جا قطع می شه.

در صورت امکان راهنمائی بفرمائید.

با تشکر