各个VLAN间不允许访问

3550EMI的设备， 3550上起路由，然后配置VACL，可以做到：
1、大家都能通过公共电信线路上网
2、各个VLAN间不允许访问
3、VLAN内部可以访问(这个就要多写了几条语句，不写，vlan内是不同的)
4、控制可以跨VLAN的机器的访问，或放在公共区域，让所有VLAN访问，或写ACL控制某几个VLAN访问。
我的做法是：
vlan1 192.168.18.0/28是公共区域
其它的vlan如acl所示，公9个
#sh ip access-list
Extended IP access list 100
    10 permit ip any 192.168.18.0 0.0.0.15
    20 permit ip 192.168.18.0 0.0.0.15 any 
    30 permit ip 192.168.18.240 0.0.0.15 192.168.18.240 0.0.0.15
    40 permit ip 192.168.18.32 0.0.0.15 192.168.18.32 0.0.0.15
    50 permit ip 192.168.18.16 0.0.0.15 192.168.18.16 0.0.0.15
    60 permit ip 192.168.18.128 0.0.0.31 192.168.18.128 0.0.0.31
    70 permit ip 192.168.18.48 0.0.0.15 192.168.18.48 0.0.0.15
    80 permit ip 192.168.18.64 0.0.0.15 192.168.18.64 0.0.0.15
    90 permit ip 192.168.18.80 0.0.0.15 192.168.18.80 0.0.0.15
    100 permit ip 192.168.18.96 0.0.0.31 192.168.18.96 0.0.0.31
    110 permit ip 192.168.18.176 0.0.0.15 192.168.18.176 0.0.0.15
Extended IP access list 101
    10 permit ip 192.168.18.0 0.0.0.255 192.168.18.0 0.0.0.255 
#sh vlan access-map
Vlan access-map "group"  20
  Match clauses:
    ip  address: 100
  Action:
    forward
Vlan access-map "group"  30
  Match clauses:
    ip  address: 101
  Action:
    drop
Vlan access-map "group"  40
  Match clauses:
  Action:
    forward