Мне представляются следующие варианты.
Switchport protected на 2960 как вегетарианская замена private vlans.
Если хосты общаются между собой при помощи протоколов поверх IP, то можно подумать насчет
proxy arp на устройстве, маршрутизирующем данный влан (3750).
Самый тоталитарный вариант -
VLAN ACL (mac access-list, vlan access-map) на 2960. Разрешить трафик к хосту только от default gateway (учитывая FHRP, если у вас что-то подобное настроено).
Думал сделать route map, и пакеты в null направлять, а теперь задумался, проходят-ли пакеты внутри влана через интерфейс влана на котором роут мап будет?
Пакеты (фреймы) могут скоммутироваться от источника до адресата уже на уровне access, где, я предполагаю, L3-интерфейсов для этого влана нет.
Средний
Сложный