Подскажите можно ли такое сделать на VLAN
сервер эзернетом идет на - 3312 (порт 1) далее оптикой - 3526 (порт 25)

от 3526 на портах 1-5 группа 1, на портах 6-24 группа 2
Задача группе 1 и группе 2 дать доступ к серверу но не дать доступ к друг другу.
на сервере сетевая поддерживает VLAN у абонентов обоих групп сетевухи VLAN не поддерживают.

Наиболее просто эта задача решается через функцию сегментации трафика на 3526. Настройка VLAN'ов ни на коммутаторах, ни на сервере не требуется. Всё, что нужно сдлать на 3526 - вбить три строчки:

config traffic_segmentation 1-5 forward_list 1-5,25
config traffic_segmentation 6-24 forward_list 6-25
config traffic_segmentation 25 forward_list 1-25

разве группы в таком случае не будут видеть друг друга через коммутатор 3312, мне кажется что пакет дойдя до 3312 полетит обратно но уже в другой сегмент

Это зависет как ты 3312 настроиш.
на 3526 создаёш 2 VLANа, порты унтагет для нужных клиентов, тагет в магистраль.
дальше как хочеш или на сервере так же 2 VLANа они будет шлюзом для клиентов, или на 3312 с IP так же шлюзами.
3312 - это 3-й уровень, зачем лишнию нагрузку на сервер если сети роутить может коммутатор прописывае ACL с ограничемнием в доступе.

Видеть не будут (во всяком случае при условии нахождения групп в одном VLAN'е). Пакет не полетит в тот же порт, из которого пришёл - это противоречит логике работы коммутатора.

спасибо, это полезно.

а не подскажите какие настройки VLAN для 3312 нужны что бы эту схему реализовать

Всё стандартно. Обсуждалось несколько раз на форуме. Магистральные порты и порт сервера как tagged во все необходимые VLAN-ы. Клиентские порты как untagged каждый в свой VLAN. На сетвой карте сервера настраиваете несколько логических интерфейсов на одном физическом.