Себе я мозг уже взорвал, теперь ваша очередь )))

В общем схема такая:
  Есть роутер cisco 2811, к нему подключен свитч cisco 2960 который порты делит на VLAN-ы
  На 112 VLAN висит сервер на FreeBSD со SQUID(WCCP) + DNS
Задача:
  Подсчитывать трафик по NetFlow на VLAN от 200 и выше...
Бага:
  Если включить Flow на всех VLAN то все работает, но пакет идущий  по маршруту SQUID->CISCO->Client попадает в счетчик Flow 2 раза!!! Поэтому весь трафик на порт 80 получается что считается 2 раза (в детальном отчете видны 3 строки: 1-запрос и 2 одинаковых ответа). Чтож думаю ща вырублю Flow на 112 VLAN (Squid) и все будет как надо, так вот возникает 2я проблема, при выключении Flow на 112 VLAN, через него не проходят никакие пакеты UDP (DNS запросы и NTP синхронизация) TCP вроди как работает нормано, по SSH на сервак захожу и пинги в норме, файрвол на серваке временно открыт(чтоб не мешал решению данной проблемы).

Конфиг роутера:

Building configuration...

Current configuration : 8311 bytes
!
version 12.4
service tcp-keepalives-in
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone YEKT 5
ip subnet-zero
no ip source-route
ip wccp check services all
ip wccp web-cache redirect-list fwd-2-squid
ip telnet source-interface FastEthernet0/1.111
!
(Аки _ вырезанно :D )
!
ip cef
!
!
no ip domain lookup
ip name-server 172.27.1.10
ip name-server 192.168.10.1
ip name-server 195.54.2.1
ip name-server 81.89.80.8
ip rcmd rsh-enable
ip rcmd remote-host netup 172.27.0.12 root enable
ip rcmd source-interface FastEthernet0/1.111
!
!
interface Loopback0
ip address 192.168.15.1 255.255.255.0
ip route-cache policy
!
interface FastEthernet0/0
ip address 192.168.10.27 255.255.255.0
ip wccp web-cache redirect out
ip nat outside
ip route-cache policy
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1.111
encapsulation dot1Q 111
ip address 172.27.0.1 255.255.255.224
ip access-group 130 out
ip flow ingress
ip flow egress
ip nat inside
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/1.112
encapsulation dot1Q 112
ip address 172.27.1.1 255.255.255.0
ip nat inside
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/1.206
encapsulation dot1Q 206
ip address 10.77.0.5 255.255.255.252
ip access-group 105 in
ip access-group 106 out
ip flow ingress
ip flow egress
ip nat inside
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/1.207
encapsulation dot1Q 207
ip access-group 105 in
ip access-group 106 out
ip flow ingress
ip flow egress
ip nat inside
no snmp trap link-status
no cdp enable
!
.
. () все последующие VLAN одинаковые (клиенты).
.
!
interface FastEthernet0/1.224
encapsulation dot1Q 224
ip access-group 105 in
ip access-group 106 out
ip flow ingress
ip flow egress
ip nat inside
no snmp trap link-status
no cdp enable
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.10.1
ip flow-export version 5
ip flow-export destination 172.27.0.12 9996
!
no ip http server
ip http port 1082
ip http access-class 2
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source static 10.77.0.6 192.168.10.6
ip nat inside source static 10.77.0.2 192.168.10.100
!
ip access-list standard fwd-2-squid
deny   172.27.0.13
deny   172.27.1.0 0.0.0.255
permit any
!
logging 172.27.0.11
access-list 1 permit 10.77.0.0 0.0.255.255
access-list 1 permit 172.27.0.0 0.0.0.31
access-list 1 permit 172.27.1.0 0.0.0.255
access-list 1 permit 172.27.2.0 0.0.0.255
access-list 2 permit 172.27.0.0 0.0.0.31
access-list 105 permit tcp any 172.27.1.0 0.0.0.255 eq www
access-list 105 permit tcp any 172.27.1.0 0.0.0.255 eq domain
access-list 105 permit udp any 172.27.1.0 0.0.0.255 eq domain
access-list 105 dynamic utm1 permit ip any any
access-list 106 permit udp 172.27.1.0 0.0.0.255 eq domain any
access-list 106 permit tcp 172.27.1.0 0.0.0.255 eq www any
access-list 106 permit tcp 172.27.1.0 0.0.0.255 eq domain any
access-list 106 dynamic utm2 permit ip any any
access-list 108 permit ip any 10.77.0.0 0.0.255.255
access-list 110 permit tcp any host 192.168.4.2 eq 11758
access-list 120 dynamic subnet permit ip 10.0.0.0 0.0.255.255 10.0.0.0 0.0.255.255
access-list 130 permit udp any eq domain any
access-list 130 permit tcp any eq domain any
access-list 130 permit udp any eq ntp any
access-list 130 permit tcp host 172.27.1.10 host 172.27.0.12 eq 11758
access-list 130 permit tcp host 172.27.1.10 host 172.27.0.11 eq 3306
access-list 130 permit icmp any 172.27.0.0 0.0.0.31 echo
access-list 130 remark TO_SERVERS_UTM
no cdp run
route-map MAP permit 10
match ip address 108
set interface Loopback0
!
!
control-plane
!
privilege exec level 8 access-template
privilege exec level 8 clear access-template
privilege exec level 8 clear
!
line con 0
login local
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
access-class 2 in
login local
transport input telnet
!
scheduler allocate 20000 1000
ntp clock-period 17180348
ntp update-calendar
ntp server 172.27.0.11
!
end

Описание:
  interface FastEthernet0/0 - смотрит в инет
  interface FastEthernet0/1 - подключен к cisco 2960 к транковому порту.
  сервак биллинга находится в 111 VLAN
  сервак Squid и DNS находится в 112 Vlan
  access-list 1 - Кому ходить через NAT в инет
  access-list 2 - Откуда мона админить киску по http (но он ща вырублен :D )
  access-list 105 и access-list 106 динамические ацес литы которыми открывается или закрывается доступ в инет клиентам.
  

(Вроди все)