настройки двух портов:
interface FastEthernet0/17
description DMZ-to-PIX
switchport access vlan 172
!
interface FastEthernet0/19
description DMZ-to-relay
switchport access vlan 172
!
физика работает, вижу два МАСа на обеих сторонах
с-2900-XL#sh mac-add
Dynamic Address Count:                 11
Secure Address Count:                  0
Static Address (User-defined) Count:   0
System Self Address Count:             51
Total MAC addresses:                   62
Maximum MAC addresses:                 8192
Non-static Address Table:
Destination Address  Address Type  VLAN  Destination Port
-------------------  ------------  ----  --------------------
...
0002.b32c.91ca       Dynamic        172  FastEthernet0/17
...
0011.43e5.e024       Dynamic        172  FastEthernet0/19

на обоих ip-устройствах в строну друг друга ни пакета на ходит,
на сat2924 в sh int счетчики растут во всех направлениях, ошибок нет.
5 minute output rate 0 bits/sec, 0 packets/sec
     2331 packets input, 153592 bytes
     Received 33 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog, 0 multicast
     0 input packets with dribble condition detected
     80 packets output, 15600 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out

кстати, одно из ip-устройств pix515 172.1.1.1. соответсвенно на нем есть разрешения для определенных пакетов для адреса 172.1.1.2.  втыкаю во влан 172.1.1.2 - глухо. втыкаю 172.1.1.3(на него разрешений нет) - глухо, при чем и deny в логе пикса тоже нет.

Благодарю за советы.