acess-list Vlan на Catalyst 2950 (24)

как на subj прикрутить acess-list для фильтра по портам? если при попытке воткнуть все порты в один vlan и к vlan`у прикрутить access-group XXX in & acess-group XXX out фильтрация не происходит, а при просмотре "пойманых" пакетов (sh access-list) показывает на забаненых портах совпадения (ХХ match), но все равно пакетики бегают как ни в чем не бывало. При предельном случае (acess-list 101 deny any any) сеть все равно бегает. конфиг интерфейсов
!
interface FastEthernet0/13
switchport mode access
no ip address
!

Есть подозрение, что ACL для управляющего Vlan фильтруют трафик предназначенный CPU.
На Cisco об этом пишут так:
If you apply ACLs to a management interface, the ACL only filters packets that are intended for the CPU, such as SNMP, Telnet, or web traffic
{http://cisco.com/en/US/products/hw/switches/ps628/products_configuration_guide_chapter09186a00800c6f1a.html#xtocid16}

Можно попробовать применить ACL ко всем портам командой ip access-group {access-list-number | name} {in} в режиме конфигурирования физического интефейса.

в каталистах этой серии невозможно назначение ip адреса физ. интерфейсу. Может тогда поясните как решить проблему с транком? на 1 физ интерфейсе нужно воткнуть >2 native Vlan. как это делается? (нудно сделать аналог multi) для разделения юзверов так, чтобы каждый видел только 2 интерфеса?

Думаю, что Native Vlan может быть только один на порт. Режим Multi Vlan на 2950 не поддерживается. Напишите, что вы в итоге желаете получить, можно схему. Тогда что-нибудь придумаем.