Cisco IOS: Segregando VLANS

Estou tentando separar o tráfego nas VLANs, já que uma é nossa VLAN de visitante (a VLAN 3 é a lan de convidado). É um roteador Cisco 881W.

Aqui está minha configuração de VLAN:

interface Vlan2
 ip address 10.10.100.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
 zone-member security in-zone
!
interface Vlan3
 ip address 10.100.10.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
 zone-member security in-zone
!

Aqui estão minhas ACLs

access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 2 remark CCP_ACL Category=2
access-list 2 permit 10.10.10.0 0.0.0.255
access-list 3 remark CCP_ACL Category=2
access-list 3 permit 10.10.100.0 0.0.0.255
access-list 4 remark CCP_ACL Category=2
access-list 4 permit 10.100.10.0 0.0.0.255
access-list 100 remark CCP_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip 70.22.148.0 0.0.0.255 any
access-list 101 permit ip 10.100.10.0 0.0.0.255 10.100.10.0 0.0.0.255
access-list 101 deny   icmp 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255
access-list 101 deny   ip 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255
access-list 102 permit ip host 255.255.255.255 any

Assim que adicionar ip access-group 101 in à VLAN 3, a VLAN 3 não poderá mais sair do roteador. A VLAN 3 pode efetuar ping no roteador via 10.100.10.1 e 10.10.100. * Não é mais passível de ping da VLAN 3 (Desejada).

Atualização: eu também precisei adicionar

access-list 10 permit udp any any eq bootpc
access-list 10 permit udp any any eq bootps

Para tornar o trabalho DHCP