Была маленькая сеть 192.168.1.0 (255.255.255.0), циска - шлюзом (192.168.1.1), инет раздается по макам на сотню юзеров. Разрослись, подключили несколько корпусов по оптике (свичи 3ком 4228, 4250, 4924) возникла необходимость разделить на подсети. dhcp на 2003 перестроили на выдачу 192.168.0.0-192.168.15.0 (255.255.240.0).
пробуем поделить на несколько vlan'ов, появляются вопросы.
выделяем корпус в ВЛАН3, остальные остаются в дефолтном ВЛАН1.
транковые порты свичей делаем тэгиреумыми и пихаем в ВЛАН3 и ВЛАН1. (пока все работает)
Порт свича на циску делаем тэгируемым и в ВЛАН3 и ВЛАН1.
на циске вместо

interface FastEthernet0/0
description $ETH-LAN$
ip address 192.168.1.1 255.255.240.0
ip nat inside
no ip virtual-reassembly
duplex auto
speed auto
no arp arpa
!
interface FastEthernet0/1
description $ETH-WAN$
ip address 1х.1х.2х.14 255.255.255.0
ip access-group 111 in
ip nat outside
no ip virtual-reassembly
duplex auto
speed auto
!
ip default-network 192.168.1.0
ip route 0.0.0.0 0.0.0.0 1х.1х.2х.1

делаем

interface FastEthernet0/0
description $ETH-LAN$
no ip virtual-reassembly
duplex auto
speed auto
no arp arpa
!
interface FastEthernet0/0.1
enc dot1q 1
ip address 192.168.1.1 255.255.255.0
ip nat inside
!
в результате циска не пингуется из 192.168.1.0 почему? и где воткнуть нат, чтобы можно было добавить еще:

interface FastEthernet0/0.3
enc dot1q 3
ip address 192.168.3.1 255.255.255.0
!

Или как правильней настроить шлюз и вланы для выхода в инет?