Есть подозрение, что Policy Route Settings отрабатывает раньше правил в acl.
Привожу явный пример конфигурации:
Код:
create access_profile profile_id 1 ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.0.0
config access_profile profile_id 1 add access_id 1 ip source_ip 172.16.5.0 destination_ip 172.16.0.0 port 10 permit
create access_profile profile_id 2 ip source_ip_mask 255.255.255.0
config access_profile profile_id 2 add access_id 1 ip source_ip 172.16.5.0 port 10 permit
create policy_route name 172.16.5.0/24
config policy_route name 172.16.5.0/24 acl profile_id 2 access_id 1 nexthop 172.16.0.130 state enable
По теории все пакеты, идущие от 172.16.5.0/24 на 172.16.0.0/16 должны маршрутизироваться внутри коммутатора.
А пакеты идущие от 172.16.5.0/24 на 0.0.0.0/0 (кроме 172.16.0.0/16) должны маршрутизироваться на hop 172.16.0.130.
На практике же получается, что при такой конфигурации все пакеты идущие от 172.16.5.0/24 маршрутизируются на 172.16.0.130.
Такое ощущение, что Policy Route Settings отрабатывает раньше, чем profile_id 1.