Teljesen jól gondolod, hogy alapesetben az ugyanabban a VLAN-ban lévő eszközök közötti kommunikációhoz (itt most L2-ről beszélünk) nincs szükség gatewayre és routingra, az azonos VLAN-ba tartozó eszközök látják egymást. L3-ban azonos VLAN-ban lévő gépek esetén is szükséges (lehet) a gateway, ha a két host külön IP subnetben van.
"Tehát ahhoz hogy egymást se lássák, a korlátozásokat a switchen kellene ACl-el beállítani."
Így van (nem feltétlen ACL, de a rendes switchekben van ilyen jellegű funkció). Cisco switchekben ez protected port néven fut.
Viszont az eredeti kérdező nem ezt szeretné ("Tehát 10-20, 20-30, 10-30 vlan ne tudja egymást elérni"), hanem csak a különböző VLAN-ok közötti forgalmat szeretné korlátozni, amit célszerűen a gatewayen tűzfal segítségével tehet meg. Tehát a te felvetésed önmagában igaz, de nem vonatkozik az eredeti kérdésre.