настроил на порту 8 доступ только для определенной маски. и бродкаст эзернет
но при подключении через 27 порт и еще один коммутатор я ловлю именно с этого порта всякий мусор которого там быть не должно. вот правила
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 20
config access_profile profile_id 20 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 8 deny

create access_profile ip source_ip_mask 255.255.255.0 profile_id 60
config access_profile profile_id 60 add access_id 16 ip source_ip 192.168.64.0 port 8 permit
create access_profile ip source_ip_mask 0.0.0.0 profile_id 80
config access_profile profile_id 80 add access_id 1 ip source_ip 0.0.0.0 port 8 deny

а вот что я получаю от туда
0x0000 FF FF FF FF FF FF 00 07-E9 40 0D A9 08 06 00 01 яяяяяя..й@.©....
0x0010 08 00 06 04 00 01 00 07-E9 40 0D A9 AC 19 09 37 ........й@.©¬..7
0x0020 00 00 00 00 00 00 AC 19-01 03 00 00 00 00 00 00 ......¬.........
0x0030 00 00 00 00 00 00 00 00-00 00 00 00 ............

т.е. не только на бродкаст ff-ff-ff-ff-ff-ff валит но и с айпи не из маски 192,168,64,0/24 а 172,25,9,55

Пришлите пожалуйста конфиг устройства.

Дамп приведённого вами трафика - есть ARP-запрос типа
who has 172.25.1.3? Tell 172.25.9.55

Прохождение таких пакетов вашими ACL-правилами не запрещено (ваши правила фильтруют только ethertype=0x800, в то время как снифером вы получаете пакет с ethertype=0x806!).
Так в этом плане что всё честно.