theo mình, với vlan 40, tren router hanoi, dùng standar cấm vlan 40 đi đến 172.16.0.0/24 và tất nhiên dùng extend để cấm vlan 40 truy cập internet.

Hi bạn,

Bạn có 2 cách:
Cách 1: bạn thực hiện trên router như bạn đã làm với vlan 50
Cấm Vlan 40,50 access 172.16.0.0/24
Hanoi(config)#access-list 10 deny 192.168.50.0 0.0.0.255
Hanoi(config)#access-list 10 deny <IP vlan 40> <wildcard>
Hanoi(config)#access-list 10 permit any
Hanoi(config)#interface s1/0
Hanoi(config-if)#ip access-group 10 out
Hanoi(config-if)#exit

Cấm Vlan 40 access internet:
Không thực hiện NAT pool address Vlan40 trên router HaNoi.

Cách 2:
Tạo các access list Extend trên core switch cấm Vlan 40, 50 access 172.16.0.0/24

Coreswitch(config)#access-list 100 deny ip 192.168.50.0 0.0.0.255 172.16.0.0 0.0.0.255
Coreswitch(config)#access-list 100 deny ip <IP vlan 40> <wildcard> 172.16.0.0 0.0.0.255
Coreswitch(config)#access-list 100 permit ip any any
Coreswitch(config)#interface f0/1
Coreswitch(config-if)#ip access-group 100 out
Coreswitch(config-if)#end
Coreswitch#wr

Cách trên là 1 ví dụ, tùy thuộc vào ACLs trên coreswitch mà bạn đặt sao cho hợp lý

Cấm Vlan 40 access internet:
Không thực hiện NAT pool address Vlan40 trên router HaNoi.

ở mô hình trên em cấu hình NAT cho tất cả các địa chỉ bên trong ra internet.
em cấu hình như thế này được không ?
Hanoi(config)#access-list 12 deny 192.168.40.0 0.0.0.255
Hanoi(config)#access-list 12 permit any
Hanoi(config)#interface fa0/0
Hanoi(config-if)#ip access-group 12 in
Hanoi(config-if)#exit
hoặc là với ACL trên em apply vào port fa0/1 của con Switch Core theo chiều out được không vậy ?