Você deve ser capaz de tratar a vlan similar a uma interface como a seguinte:
access-list 101 permit ip 10.10.10.0 0.0.0.255 10.10.9.0 0.0.0.255
access-list 101 deny ip any any
interface vlan 2
ip access-group 101 in
Isso deve lhe dar uma ideia geral. Mais exemplos estão disponíveis no site da Cisco, um que eu usei é: link