Привет

Есть cisco 5350 , которая роутит 3 локалки в инет ( за 5350 стоит каталист 2950 в который включены локалки). FE 0 разбит на сабинтерфесы , и моя  задача чтобы локалка  172.18.3.0  (FE 0/0.1) роутилась в интернет как и прежде , но чтобы юзеры соседних локалок её полностью не видели и не имели к ней доступа. Текущая настройка 110-го аксес листа ниже . Пинги всё равно ходят из сети 172.17.5.0 например ... как мне это дело правильно настроить ? заранее спасибо за помощь

interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip address 172.18.3.2 255.255.255.192
ip access-group 110 in
no ip redirects
ip flow ingress
ip flow egress
ip nat inside
no ip virtual-reassembly
!
interface FastEthernet0/0.3
encapsulation dot1Q 3
ip address 192.168.0.2 255.255.255.0
no ip redirects
ip flow ingress
ip flow egress
ip nat inside
no ip virtual-reassembly
!
interface FastEthernet0/0.10
description -- clients
encapsulation dot1Q 10
ip address 172.17.5.2 255.255.255.128
ip access-group 106 out
no ip redirects
ip flow ingress
ip flow egress
ip nat inside
no ip virtual-reassembly

access-list 110 deny   ip 172.17.5.0 0.0.0.255 any
access-list 110 deny   ip 192.168.0.0 0.0.0.255 any
access-list 110 permit ip any any