guest用SSID「Cisco-Wireless Guest」を作成して

ゲスト用のセグメント「VLAN91 192.168.91.0/24」に接続している。
ゲスト端末同士(無線⇔無線、無線⇔有線)の通信をブロックしたいです。

※192.168.4.0/24(管理)⇔192.168.91.0/24(guest)間の通信は

ルーターのACLにてブロックすることもできます。

ACLを作成して、guest用SSID「Cisco-Wireless Guest」に適用しましたが

DHCPにてアドレスも取得できな状態です。
ACLをはずした状態での「DHCP取得、インターネット接続は正常ですが

設定に誤りはありますでしょうか？

ACLの考え方として

WLANの編集→VLANとファイアウォールのところの
「WLAN事後認証ACL」と「VLAN ACL・ACL方向」のどちらに適用すればよろしいでしょうか？

ACL自体はどの方向に動作するのでしょうか？
どの通信の箇所に適用されるのでしょうか？

また、ゲストネットワーク(192.168.91.0/24)に接続されている

有線PC同士の通信をブロックする方法はありますか？

よろしくお願い致します。

■NW構成

［Internet］------［router(192.168.4.254)］--trunk--［2960L_POE］--trunk・native---［aironet 1815(192.168.4.230)］--------［無線PC(192.168.91.0)・有線PC(192.168.91.0)］

■Router設定(DHCPサーバー、DNSサーバー、VLANサブインターフェイス)

　manage network（untag）
　ip: 192.168.4.0/24
　gw:192.168.4.254
　dns:192.168.4.254
　dhcp range：192.168.4.1-192.168.4.253

　guest network vlan91（tag）
　ip: 192.168.91.0/24
　gw:192.168.91.254
　dns:192.168.91.254
　dhcp range：192.168.91.1-192.168.91.253

■Aironer1815 バージョン 8.10.105.0

　SSID Cisco-Wireless Guest(tag91 192.168.91.0/24)
　AP01 192.168.4.1(untag)
　AP02 192.168.4.2(untag)
　manage 192.168.4.230(untag)

■catalyst 2960L-POE

interface GigabitEthernet0/1
description ### aironet1815_ap01 ###
switchport trunk native vlan 1
switchport mode trunk
!
interface GigabitEthernet0/2
description ### aironet1815_ap02 ###
switchport trunk native vlan 1
switchport mode trunk
!
interface GigabitEthernet0/3
description ### yusen PC01 ###
switchport trunk native vlan 91
switchport mode trunk

interface GigabitEthernet0/4
description ### yusen PC02 ###
switchport trunk native vlan 91
switchport mode trunk
!
interface Vlan1
ip address 192.168.4.253 255.255.255.0

interface Vlan91
ip address 192.168.91.253 255.255.255.0