Построить мост между двумя trunk-портами на 6500

Доброго времени суток всем!
Тему создал не в разделе "Безопасность", т.к. она скорее относится к тонкой настройке multilayer-свитча.

Собственно мой вопрос я уже задал здесь:
https://supportforums.cisco.com/message/3884411#3884411

Дано:
Catalyst 6500 (1 шт.)
IPS 4510 (1 шт.)
К 6500 подключены серверные VLAN-ы (много) и пользовательские (ещё больше).
6500 в настоящий момент осуществляет intel-vlan routing.

Задача:
Трафик, идущий из пользовательских VLAN-ов в серверные VLAN-ы, завернуть через IPS.
При этом обеспечить режим fail-open (если IPS падает, траффик должен ходить дальше).

Некоторые свойства IPS сенсора:
- работает как мост (L2)
- может воспринимать 802.1q тэги, но не менять их. Какой тэг получил на первый интерфейс в паре - такой же и отправил на другой интерфейс.
- есть функция hardware-bypass между спаренными интерфейсами. Если сенсор падает/выключается - происходит физическое замыкание спаренных портов.

В случае, когда на IPS нужно "завернуть" один VLAN, всё понятно:
Для этого в VLAN-е, который необходимо пропускать через IPS, удаляется SVI. В другом VLANе создаётся SVI с таким же адресом (этот адрес является дефолт-гейтвеем для подсети из исходного VLAN-а).

http://cs410516.vk.me/v410516541/44dc/2kkx5CCazvE.jpg

Применительно к схеме:

(Допустим в VLAN10 используется сеть 10.0.10.0/24 с дефолт-гейтвеем 10.0.10.1)
#Switch config:
!
ip routing
!
interface Ge1/1
switchport access vlan 10
switchport mode access
!
interface Ge1/0
switchport access vlan 110
switchport mode access
!
no interface Vlan10
!
interface Vlan110
ip address 10.0.10.1 255.255.255.0

В этом сценарии трафик входящий/исходящий в/из VLAN10 к/от другим VLAN-ам будет проходить через IPS.
Здесь IPS подключен к аксесс портам 6500. Т.е. фактически строит мост между двумя VLAN-ами.
При этом в случае падения сенсора всё будет хорошо (hardware-bypass обеспечит по сути физическое подключение между VLAN10 и VLAN110).

Однако, если нужно будет завернуть на IPS ещё один VLAN - для этого потрубется использовать ещё одну пару интерфейсов на IPS.
А их не так много (6 штук, т.е. 3 пары). А серверных VLAN-ов сильно больше :)

Собственно вот и вопрос - как можно сделать мост между двумя trunk-портами одного коммутатора, да так, чтобы мост этот соединял разные VLAN-ы. Мост (IPS) при этом теги в кадрах менять не может. А в случае падения IPS всё должно продолжать работать :)

http://cs410516.vk.me/v410516541/44c5/XxerpOab1vA.jpg

Или тут нужно использовать что-то отличное, от "Вынести SVI в другой VLAN"?
Может какие-нибудь policy-routing, VRF, private VLAN?

Есть идеи? Буду очень признателен. Второй день голову себе взырваю (не так много опыта общения с multilayer свитчами у меня, как хотелось бы)...