Спасибо всем за советы. Помогли.
Рассказываю как я решил задачу.
Хорошо, что провайдер решил тэгировать PPPoE трафик в свой еще один VLAN (пусть будет VLAN111).
Я переживал, что он будет не тэгирован.
На CRS326-1 я создал в бридже 3 VLANа (111,222,333). Сказал бриджу тэгировать этими VLANами 23порт коммутатора и SFP (fiber). Включил ingress filtering.
На CRS326-2 сделал тоже самое.
Включил ISP в 23 порт CRS326-1. Перевёз сервер. Подключил его в 23 порт CRS326-2.
На сервере сетевой интерфейс настроен на приём/передачу тэгированного трафика по всем трём VLANам.
Всё работает на "wire speed", HW offloading включён.