VLAN тут не помощник.
В условиях, когда все три узла подключены к одному коммутатору, спасти может только запрет форвардинга с порта Fa0/1 на Fa0/2 и обратно - если такая возможность в коммутаторе вообще есть. По-русски это обзывается "Изолированный режим". Не знаю как он обзывается у Циски - а, например, в D-Link это называется Traffic Segmentation. И выглядит вот так:
UPDATE.
Вроде у сиськи он обзывается так же. См.
https://www.cisco.com/c/en/us/products/security/wh...
То есть просто находишь сию настройку, включаешь сегментацию, и разрешаешь Fa0/1 форвардить только на Fa0/3, то же для Fa0/2, а вот Fa0/3 разрешаешь форвардинг и на Fa0/1, и на Fa0/2.
Само собой все три порта должны быть в одном VLAN.