Решил вынести ACL на уровень распределения. Поскольку правила для RFW привязываются к брандмауэрам, решил добавить все периферийные циски как брандамауэры и для каждой создать правила, после чего абонентов перепривязать с ядра к их цискам.
Открываю "Руководство Администратора" и читаю на странице 66:
То есть, чтобы можно было распределить ACL по цискам, netflow должен литься с них же? Можно ли как-то обойти это ограничение? У меня циски шибко тупые на распределении стоят.ID брандамауэра - идентификатор брандмауэра, используемый для определения адреса поставщика Netflow. Если данный параметр установлен, с данной IP-группой будет сопоставлен только тот трафик, информация о котором поступила от поставщика с указанным IP-адресом.
Если оставить поле IP равным "0.0.0.0", netflow будет приниматься с любого хоста, несмотря на привязку к конкретному брандмауэру в сервисной связке?