Ya que el router conoce las redes de cada vlan es capaz de enrutar entre ellas. Para evitarlo puedes hacer uso de listas de acceso y así restringir la conectividad entre las subinterfaces del router.

Te dejo el sitio de cisco sobre ACLs: http://www.cisco.com/en/US/products/...shtml#standacl