Требуется примерно следующее - с сетей 10.2.0.0/16 (состоит из мелких подсетей на /24) дать доступ к их дефолтам, т.е. например, из сети 10.2.0.0/24 к 10.2.0.1 и т.д. Как создать профайл понятно ... но как то неправильно плодить 254 рулеса в нём.
Как это можно сделать рациональнее ?
Спасибо.

Во-первых, уточните о какой модели идет речь.
Во-вторых, используйте ACL PCF, делая в профиле выборку в адресе источника по первым двум байтам, а в адресе назначения по первым двум и по последнему (можно и просто по последнему байту, учитывая, что это дефолт, но тут надо учитывать ситуацию целиком). У решения есть ограничение, так как из сети 10.2.0.0/24, помимо доступа к 10.2.0.1, будет еще получен доступ и к 10.2.1.1, т.д. ко всем дефолтам во всех сетях, но так как опять таки речь идет о дефолтах, проблемой это быть не должно.

1. 3627g
2. А почему собственно не IP acl ? Особо не силён в создании PCF тем более для 3627.
3. Про доступ к "чужим" дефолтам речь не идёт. Нужно именно как раз к своим из подсетей.

Тогда это нужно делать с помощью CPU ACL через IP профиль.

_________________
С уважением,
Бигаров Руслан.