1、先把基础工作做好，就是配置VLAN，配置Trunk，确定10个VLAN和相应的端口都正确。假设10个VLAN的地址分别是192.168.10.X，192.168.20.X。。。。。。192.168.100.X，与VLAN号对应。
2、为第一个VLAN 10创建一个ACL，命令为
    ACL number 2000
这个2000号，可以写的数是2000-2999，是基本的ACL定义。
然后在这个ACL下继续定义rule，例如
rule 1 deny source 192.168.20.0
rule 2 deny source 192.168.30.0
rule 3 deny source 192.168.40.0
rule 4 deny source 192.168.50.0
rule 5 deny source 192.168.60.0
rule 6 deny source 192.168.70.0
rule 7 deny source 192.168.80.0
rule 8 deny source 192.168.90.0
然后进入VLAN接口
interface vlan 10
在vlan 10接口下，启用上面定义的规则：
packet-filter outbound ip-group 2000
这应该就可以了，其它VLAN也按这个方法定义。
这一句：packet-filter outbound ip-group 2000 设备有可能不支持，那你就得换种方法定义ACL，使用3000-3999之间的扩展ACL定义：
rule 1 deny destination 192.168.20.0
....
然后在vlan接口下启用
packet-filter inbound ip-group 3000