Добрый день.
Планируем построить сегмент сети на связке 3526 с 3612G. Топология сети следующая - в центре сегмента 3612, к которому подключены несколько закольцованных сегментов 3526-х (до 10шт. в каждом сегменте.). Получается "ромашка". Каждый 3526 в своем влане. Вланы планируется терминировать на 3612. IP-адреса раздавать через DHCP options 82.
Возник вопрос как правильно организовать раздачу подсетей по вланам и организовать маршрутизацию между ними?

Если клиенту писать ацки с билинга по порту, то вланы можно делать один на лепесток ромашки, теоретически их можно вообще не делать.
http://bgbilling.bitel.ru/v4.4/doc/ch09s11s05.html

Изначально мысль была такая - каждый 3526 в своем влане, передача данных между портами запрещена. Можно ли простыми средствами это организовать? Ссылку я глянул, но нам это не очень подходит, да и биллинг у нас другой...

В общем, задача - обеспечить максимально устойчивую и защищенную работу такого сегмента. Буду признателен за любые идеи.

Навернёшь на 3612G столько вланов тегированых или не тэгированых, столько шлюзов хоть реальных, хоть виртуальных сколько тебе надо и рули.

Попробовал соорудить вышеописанную конструкцию. Создал на каждый 3526 по влану и соответств. вланы на 3612. Потом присвоил порту на 3612 (куда включена цепочка из 3526) два ip (10.1.33.254 и 10.1.34.254). Получились шлюзы по умолчанию для каждого влана (и соотв. подсети). На данном этапе все хорошо, пакетики по цепочке ходят до шлюза и обратно. Только не получается поднять роутинг между подсетями. Куда копать?

Учить мат часть

А Вы клиентам шлюзом по умолчанию соответствующие интерфейсы устройства прописали?

Засада оказалась стандартной...у меня две сетевые, маршрут по умолчанию шел на другой интерфейс. Маршрутизация действительно работает сразу после создания ip-интерфейсов и привязки к ним вланов на 3612G. Вопрос решен, спасибо.

Собственно, возник еще один вопросик... хочется сделать изоляцию портов на 3526, чтобы клиенты могли общаться только через L3. Попробовал Traffic segmentations, как самое очевидное средство. Но у меня клиентские порты находятся в одном влане и одной подсети, поэтому получается, что общаться они могут со всеми подсетями, кроме своей собственной.
Может, как-то можно это обойти?

QinQ, vlan per client.
подумайте может быть вашими средствами можно сделать Traffic Segmentation так что бы и остальных не увидели.

Нет к сожалению без разбиения на подсети в вашем случае не получится.

Можно поигравшись Ацлками закрыть им доступ всюду кроме одного маршрутера, где разместить VPN. И там фильтровать доступ между впн клиентами.
У меня так поставлены, те кто не хочет платить абонентскую плату за локалку, причём делается это одной кнопкой на том самом биллинге.