Cat 6506.
s72033-adventerprisek9_wan-mz.122-33.SXI3

Воспользовался механизмом "private hosts" для изоляции портов. Все работает как надо.
Но после применения директив:

access-group mode prefer port
private-hosts mode isolated

На транковом порту, перестал работать "ip policy route-map" описаный в вилане, который проходит в этот порт.

private-hosts vlan-list 200-207
private-hosts promiscuous PPPoE_Interfaces vlan-list 200-207
private-hosts mac-list PPPoE_Interfaces 0025.B3A6.9918 remark PPPoE6_Gi1-27
private-hosts

interface GigabitEthernet1/30
description PPPoE5
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 200-207
switchport mode trunk
access-group mode prefer port
private-hosts mode promiscuous

interface GigabitEthernet3/6
description rev40
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,14,200
switchport mode trunk
access-group mode prefer port
private-hosts mode isolated

interface Vlan10
description
ip address 10.1.123.1 255.255.255.0 secondary
ip address 10.1.4.17 255.255.255.240
no ip redirects
no ip unreachables
ip policy route-map NAT-access

После применения "private-hosts mode isolated" на "interface GigabitEthernet3/6"
перестает срабатывать "ip policy route-map NAT-access" на "interface Vlan10"
Подозреваю, что дело в режиме "access-group mode prefer port". Но толком незнаю как он влияет.
Фильтры, которые накладывает "private hosts" по сути не должны касаться влана 10. так как (private-hosts vlan-list 200-207)
Но факт на лицо. Роут-мап работать перестает. :-(

Можете прояснить ? И чем это вылечить ?