Для борьбы с подслушиванием трафика и вирусами, вызывающими arp-spoofing, приняли решение использовать Traffic Segmentation. Собрали все сервера в корне дерева, клиенты-листочки, сделали всё по букварю. Свитчи доступа 400шт*3526, в корне 3шт*3326. Однако, для некоторых абонентов, хотелось бы настроить связь между собой. Т.е. обеспечив их изоляцию на уровне 2, разрешить соединения на уровне 3 (или что-то типа этого). Все клиенты сидят в одной подсети 10.0.0.0/16 и классическая маршрутизация тут не поможет, т.к. ни один хост не додумается ходить в свою сеть через гейт. Да, в сети запущен мультикаст (ТВ-вещание). Хостов на L2 более 5000.

Есть некая сеть в городе, у которой тоже все абоненты сидят "каждый в своем влане", тоже есть мультикаст, и до их нововведения с вланами, абоненты сидели на свитчах 3526 с привязкой по МАК-ИП. Теперь, на 99% (точность информации) свитчи на уровне доступа остались теми же - 3526, а трасса до соседнего хоста в той же подсети проходит вот так:

IP: 77.41.27.186
Mask: 255.255.240.0
Def gateway: 77.41.16.1

Tracing route to host 77.41.27.185
1 2 ms 1 ms 1 ms 10.182.192.1 ??? та самая загадка.
2 2 ms 1 ms 1 ms 77.41.27.185

Trace complete.

ВОПРОС.
Можно ли организовать аналогичную схему на оборудовании ДЛинк? Что надо дополнительно прописать на свитчах доступа и/или что установить в качестве корневого устройства?

Это можно организовать только VLAN-ами, маршрутизацией между ними и ограничением её. Скорее всего в указанном случае используется какое-то софтовое решение.