То что сказано выше решит Вашу задачу. Но если по какой-то причине нужно Вы не хотите использовать специально созданную функцию, а хотите использовать ACL, то алгоритм будет следующий:
allow ip SVI
deny any <локальные сети в пределах коммутатора> (правил может быть много)
allow any any

Вероятно я не понял сказанного. Traffic segmentation это функция коммутатора? Ничего не нашел о ней в мануалах. Как с ней работать.
У меня нет супервиланов. К 3610 подключены разные пользовательские виланы через транковые порты. в одном вилане более одного пользователя. Поясните пожалуйста подробнее как я могу использовать Traffic segmentation.


Станислав пробую сделать как вы подсказали:
Интерфейс с которым балуюсь - Vlan 2: 10.10.10.1/24

DGS-3610(config)#ip access-list standard 1
DGS-3610(config-std-nacl)# permit host 192.168.100.9 - ip шлюза
DGS-3610(config-std-nacl)# permit host 192.168.100.10 - ip соответсвующего интерфейса на 3610
DGS-3610(config-std-nacl)#deny any
DGS-3610(config-std-nacl)#end
DGS-3610#configure
DGS-3610(config)#interface vlan 2
DGS-3610(config-if)#ip access-group 1 in
DGS-3610(config-if)#end
DGS-3610#sh ip access-group
ip access-group 1 in
Applied On interface VLAN 2.
DGS-3610#sh access-lists

ip access-list standard 1
10 permit host 192.168.100.9
40 permit host 192.168.100.10
70 deny any
2 packets filtered

expert access-list extended expert-list
DGS-3610#

Я разрешил доступ на IP шлюза коммутатора и IP интерфейса 3610 в одной подсети с шлюзом (на всякий случай), потом запретил весь трафик (я так понимаю остальной). Но в результате вся подсеть VLAN 2 попросту перестала видеться, даже с самого 3610 (шлюза) любые ip из 10.10.10.0/24. И с 192.168.100.9, которому разрешил всё вроде, всю подсеть не вижу тоже. Что то явно не так.

Запрещаю трафик для ностов поскольку попытка запретить для сети привела вот к какому результату:
DGS-3610(config-std-nacl)#permit 192.168.100.8 255.255.255.0
DGS-3610(config-std-nacl)#permit 192.168.100.8 255.255.255.252
DGS-3610(config-std-nacl)#permit 192.168.100.8 252.0.0.0
DGS-3610(config-std-nacl)#permit 192.168.100.8 0.0.0.252
DGS-3610(config-std-nacl)#permit 192.168.100.8 252.255.255.255
DGS-3610(config-std-nacl)#sh access-lists

ip access-list standard 1
10 permit 0.0.0.8 255.255.255.0
20 permit 0.0.0.0 255.255.255.252
30 permit 0.168.100.8 252.0.0.0
40 permit 192.168.100.0 0.0.0.252
50 permit 0.0.0.0 252.255.255.255

Я нашел доку по traffic segmentation, мне это никак не поможет. Завтра встану, протру красны глазки и нарисую почему (с моей стороны были допущены неправильные вводные). Поясните почему ACL так непонятно себя ведут в моем примере.

На этом устройстве нет traffic segmentation, а есть super vlan, который реализовывает этот функционал. Что касается Вашей схемы, я немного не понял назначения подобных ACL.
Посмотрите пожалуйста в самое начало ветки обсуждения, там есть пример с картинкой и настройками. Почему он Вас не устраивает?

Эта схема рассматривается как перспективная, но я спрашиваю про ACL. Насколько я вижу они работают как то неадекватно, либо неадекватно работаю я, но в любом случае необходимо понять как всё же создать правило которое запретит доступ на фиксированый IP, разрешит (запретит) доступ на подсеть, группу ip и т.д. Иными словами мне необходимо запрещать и разрешать доступ на какие либо ресурсы по IP. Вот конкретный пример, который я обсуждал выше:

Vlan 2: 10.10.10.1/24 - это влан управления коммутаторами. В нем сейчас сотня свичей, мне не нужно чтобы кто либо получал доступ к этому вилану, кроме заданых IP. Что получается я описал выше. Пожалуйста ответьте конкретно по ACL.

Хорошо, приведите конкретное задание с адресами, я покажу как составляется правило.

Написал в приват, продублировал на почту.