Есть 3324 с адресом x.x.222.6. Он служит роутером в интернет и 1 порт подключен к провайдеру. К остальным подключена локальная сеть.

Как можно сделать так, чтобы на 1 порт проходили только пакеты, которые имели адреса источника вида x.x.222.0/24 или которые которые шли с устройств, у которых ip шлюза был настроен как x.x.222.6?

То есть мне надо ограничить трафик на 1 порту только чисто пакетами для интернет (так в нее летит всякая гадость типа бродкастов)

Кажется это можно сделав, настроив port security, привязав мак провайдра к порту. Сделал:

create fdb default <mac> port 1:1

Вроде все нормально, все пакеты с этим маком отправляет на порт 1. Теперь чтобы никаких других пакетов туда не шло делаю:

config port_security ports 1:1 admin_state enable max_learning_addr 0

После этого перестает пинговаться шлюз провайдера, хотя его мак есть в fdb

Включать функцию Port security на магистральных портах не имеет смысла, так как количество MAC-адресов, изученных по этому порту обычно довольно большое. Что сделали Вы - включили Port Security и запретили всем MAC, кроме одного пропускаться через этот порт. Port Security имеет смысл использовать только на пользовательских портах. Ваше же проблема решается при помощи ACL.

Спасибо, acl подошли, но сейчас я выкрутился как мне кажется более красивым решением - через вланы. Просто выделил порт к провайдеру в отдельный влан, между вланами - маршрутизация.

Но в этом случае всё равно для ограничения доступа из VLAN в VLAN нужно использовать ACL. Рад что помог