действительно, я ошибся с командой switchport block unicast/multicast.
нужно использовать PVLAN, и их разновидность - isolated vlan
Isolated VLANs — Ports within an isolated VLAN cannot communicate with each other at the Layer 2 level.
вот хорошая дока http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/31sga/configuration/guide/pvlans.html
M-a-x-Z, команда "no switchport" сделает из интерфейса L3 порт
