用“ACL”实现一个vlan里的全部用户不能上外网？ip段192.168.0.200-230，怎么弄？

楼主你的ACL写错了，但是如果是不能访问外网的话，你可以不用像楼上所说的用一个扩展访问控制列表，直接一个标准控制列表限制源地址，放在互联网出接口上就可以了
access-list 1 deny [vlan3的网络号] [vlan3的子网掩码]
然后应用到
interface f0/0 [就是你连接外网的端口]
ip access-group 1 out

access-list 101 deny icmp host 192168052 host 192168399
access-list 101 permit ip any any
上面这个是不能ping通但是可以互相访问，如果让两台不能互相访问，把icmp换成ip就好了。

其实很简单的诶。看下面的例子：
例如你想让1921681200 这个IP不能访问外网，将使用以下的命令（“/”后面是命令解释）
在系统图示下建立acl 3000 /基于三层协议的acl，范围：3000-3999
[h3c]acl number 3000 /建立3000号acl
[h3c-acl-adv-3000]rule deny ip destination 1921681200 0 /建立规则，动作为不允许（deny），协议为IP，目标为 1921681200 ，“0”是通配符，代表的是单个IP。如果后面跟上反掩码，则代表的是一个网络段。
[h3c-acl-adv-3000]quit /退出acl编辑图示到系统图示
[h3c]traffic classifier test /创建流量分类“test”。其中test为分类名称，可以随便起，以方便记忆或实用为主。
[h3c-classifier-test]if-match acl 3000 /分类类型为：与acl 3000匹配（或者说绑定，看个人理解）。
[h3c-classifier-test]quit /退出到系统图示
[h3c]traffic behavior test /创建流量行为“test”。其中test为分类名称，可以随便起，以方便记忆或实用为主。
[h3c-behavior-test]filter deny /建立过滤规则为：不允许。
[h3c-behavior-test]quit /退出到系统图示
[h3c]qos policy test /建立一个名为test的qos策略，test为策略名字，可以随便起，但以方便记忆、辨认、实用为主。
[h3c-qospolicy-test]classifier test behavior test /将名为test（刚才我们建立的）流量分类与名为test（也是我们刚才建立的）流量行为进行绑定
[h3c-qospolicy-test]quit /退出到系统图示
[h3c]interface GigabitEthernet 0/0/30 /进入千兆0/0/30接口图示
[h3c--GigabitEthernet0/0/30]qos apply policy test inbound /将qos策略“test”应用到进入接口的方向（是外面的数据不能进入该接口）。注意：这里的test为我们刚才建立的qos策略，不是流量行为，也不是流量分类。
到这里整个配置就结束了。其实最重要的还没有说：最重要的是一条命令save。
好了我们整理一下，完整的命令汇总如下：
[h3c]acl number 3000
[h3c-acl-adv-3000]rule deny ip destination 1921681200 0
[h3c-acl-adv-3000]quit
[h3c]traffic classifier test
[h3c-classifier-test]if-match acl 3000
[h3c-classifier-test]quit
[h3c]traffic behavior test
[h3c-behavior-test]filter deny
[h3c-behavior-test]quit
[h3c]qos policy test
[h3c-qospolicy-test]classifier test behavior test
[h3c-qospolicy-test]quit
[h3c]interface GigabitEthernet 0/0/30
[h3c-GigabitEthernet0/0/30]qos apply policy test inbound
[h3c-GigabitEthernet0/0/30]quit
[h3c]save
不知道楼主的0/0/30是不是上行接口，我是按照上行接口来做的。因为只有下发到上行接口，才可以既可以访问局域网同时还可以限制其访问外网。
至于其他的IP是不是会受到影响？这个疑虑你大可不必担心，因为在不做任何规则的条件下，端口默认是转发数据的。
最最后，你可以给分了！ 嘎嘎……

你要限制单个IP访问外网，需要在防火墙上配置ACL而不是在交换机上
不知道你防火墙是不是思科的。如果是思科的新建一条ACL过滤掉你要限制的那个IP地址就行了
R1(config)#access-list 1 deny host 168168168x
R1(config)#access-list 1 permit any
R1(config)#int f1/0
R1(config-if)#ip access-group 1 out

---