Вы подтвердили с захватом пакетов, что клиент не согласовывает соединение TLS? Это - единственный способ, которым я знаю, чтобы окончательно проверить, что он работает как ожидалось.
Вы должны иметь возможность обращаться с vlan как с интерфейсом, подобным следующему:
access-list 101 permit ip 10.10.10.0 0.0.0.255 10.10.9.0 0.0.0.255
access-list 101 deny ip any any
interface vlan 2
ip access-group 101 in
Это должно дать вам общее представление. Дополнительные примеры доступны на веб-сайте Cisco, я использовал следующий: http://www.cisco.com/en/US/tech/tk389/tk689/technologies_configuration_example09186a008009478e.shtml#howto