Добрый день.
Пытаюсь реализовать блокировку абонентов динамическими акцесс-листами. Cisco 7505 (RSP-JK9O3SV-M, Version 12.4(10a), fc2). На ней два внешних подъинтерфейса (fa2/1/0.2, fa2/1/0.3) и один внутренний (fa2/1/0.217).
Создаю два ACL (все разрешить, запретить динамически добавляемые записи):
access-list 105 dynamic OUTSIDE deny ip any any
access-list 105 permit ip any any
access-list 106 dynamic INSIDE deny ip any any
access-list 106 permit ip any any
Вешаю на подъинтерфейсы:
interface FastEthernet2/1/0.2
description Outside 1
ip access-group 105 out
interface FastEthernet2/1/0.3
description Outside 2
ip access-group 105 out
interface FastEthernet2/1/0.217
description Inside
ip access-group 106 out
Проверяю. 106 лист (входящие на абонентов пакеты) работает правильно:
#sh access-lists 106
Extended IP access list 106
10 Dynamic INSIDE deny ip any any
deny ip any host xxx.xxx.xxx.xxx (179 matches)
20 permit ip any any (52088433 matches)
105 лист (исходящие от абонетов пакеты) ведет себя странно - строка Dynamic OUTSIDE deny ip any any ПРОПУСКАЕТ все пакеты, и учитывает это в счетчике. При добавлении динамической записи, значение счетчика строки Dynamic копируется в счетчик динамической записи. После чего последний не меняется, а счетчик Dynamic продолжает расти. До строки permit ip any any проверка не доходит:
#sh access-lists 105
Extended IP access list 105
10 Dynamic OUTSIDE deny ip any any (57466477 matches)
deny ip host xxx.xxx.xxx.xxx any (20597443 matches)
20 permit ip any any
Если вешаю 105 лист на внутренний интерфейс (предварительно сняв с внешних и обнулив счетчики):
interface FastEthernet2/1/0.217
description Inside
ip access-group 105 in
ip access-group 106 out
Ситуация становится еще более загадочной. Исходящие пакеты по прежнему не фильтруются, но проверка иногда доходит до строки permit ip any any:
#sh access-lists 105
Extended IP access list 105
10 Dynamic OUTSIDE deny ip any any (50746 matches)
20 permit ip any any (2680 matches)
Дело не в номерах листов, а в интерфейсах и направлениях. Подскажите, куда копать?