имеем:
(l3tunnel) AP3500 (10.0.1.2) ---- (LAN: 10.0.2.1, loopback 10.3.0.1, IF vlan 84 l3tunnel 10.0.0.254/24)

Интерфейс L3 туннеля ни к какому физ. порту подключен.
куда повесить ACL'ки для входящего трафика с беспроводных клиентов 10.0.0.x (для защиты самого комутатора - WEB и т.д.)
потому как в интерфейсе ACL надо прицепить именно к 0/1 - 0/24 физ.портам?

В документации рассмотрены ворпросы защиты комутатора только при использльзовании L2 vlan.

Отвечаю сам себе:
На тот-же физ.порт с которого приходит l3туннель (даже если 3tunnel vlan в состояние exclude на этом порту)
в итоге созданная acl'ка будет мочить, как данные l3 туннеля, так и данные всех vlan'ов проходящих через данный физ. порт. (что как я понимаю и на производительности и на юзебилити сказывается не в положительную сторону)...