ACL

-vlan 10 (verde) haga ping a todo, sin inet, sin acceso vlan 12 (roja)

•

>denegando todo

acce 100 deny ip 172.35.196.0 0.0.3.255 172.35.192.0 0.0.3.255
acce 100 deny tcp 172.35.196.0 0.0.3.255 any eq 80 -> puede llegar a cualquier ip pero no por p80
acce 100 deny udp 172.35.196.0 0.0.3.255 any eq 53 -> puede llegar a cualquier ip pero no por p53

>permitiendo ping

acce 100 permit icmp 172.35.196.0 0.0.3.255 any
int f0/0.X(origen)
ip access-group 100 in

al permitir ping despues de denegar lo que primero hace caso es denegar primero.