Вопрос собственно, не в том, как написать, а какой тип acl лучше применить в данном случае.
На коммутаторе реализована простая статическая маршрутизация между vlan (для каждого vlan своя подсеть и соотв. ip интерфейс).
Задача - открыть доступ конкретной подсети к определённым IP/протоколам/портам в другой подсети и зафильтровать для неё (подсети) всё остальное.
Какие acl будут меньше грузить коммутатор - packet content, или "обычные" ip acl?

в каком смысле "грузить"? они аппаратно отрабатываются

Гм.. А что это меняет? Разве "аппаратно" = "безразмерно"?
Хорошо, поставлю вопрос так - какой тип acl логичнее/предпочтительнее применять для решения поставленной задачи?