доброго времени суток
попытка настроить на catalyst 3550 при помощи vlan maps разграничение доступа из сети 192.168.54.0/24 к сети 192.168.200.0/24
конфигурация catalyst 3550
ip subnet-zero
ip routing
ip domain-name domain.ru
ip name-server
!
!
vlan access-map VLAN4_MAP 10
action forward
match ip address VLAN4_ACL_1
vlan access-map VLAN4_MAP 20
action drop
match ip address VLAN4_ACL_2
vlan access-map VLAN4_MAP 30
action forward
match ip address VLAN4_ACL_3
vlan access-map VLAN4_MAP 40
action drop
!
spanning-tree extend system-id
!
!
!
interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
no ip address
!
interface GigabitEthernet0/2
switchport access vlan 2
no ip address
!
[------ еще несколько интерфейсов -----]
!
interface GigabitEthernet0/12
no ip address
shutdown
!
interface Vlan1
no ip address
shutdown
!
interface Vlan2
ip address 192.168.54.1 255.255.255.0
!
interface Vlan3
ip address 192.168.1.10 255.255.255.0
!
interface Vlan4
ip address 192.168.200.1 255.255.255.0
!
ip classless
!
[-------- таблица маршрутизации -------]
!
ip access-list extended VLAN4_ACL_1
permit ip host 192.168.200.2 any
permit tcp 192.168.200.0 0.0.0.255 host 192.168.54.6 eq 3128
permit tcp 192.168.200.0 0.0.0.255 eq pop3 host 192.168.1.3
permit tcp 192.168.200.0 0.0.0.255 host 192.168.1.3 eq pop3
permit tcp 192.168.200.0 0.0.0.255 eq smtp host 192.168.1.3
permit tcp 192.168.200.0 0.0.0.255 host 192.168.1.3 eq smtp
ip access-list extended VLAN4_ACL_2
permit tcp 192.168.200.0 0.0.0.255 192.168.54.0 0.0.0.255
permit tcp 192.168.200.0 0.0.0.255 192.168.56.0 0.0.0.255
permit tcp 192.168.200.0 0.0.0.255 192.168.57.0 0.0.0.255
permit tcp 192.168.200.0 0.0.0.255 192.168.58.0 0.0.0.255
ip access-list extended VLAN4_ACL_3
permit ip 192.168.200.0 0.0.0.255 192.168.0.0 0.0.255.255
после выполнения
# vlan filter VLAN4_MAP vlan-list 4
в логах появляется сообщение
001012: Nov 4 12:25:58.905: %FM-3-CONFLICT: VLAN Map VLAN4_MAP conflicts with port ACLs
и доступ в сеть 192.168.200.0./24 пропадает полностью...
не подскажете в чем собственно проблема и возможно ли каким-нибудь способом ее решить?
P.S. если еще необходимы какие-либо данные по конфигурации сети или catalyst'а - спросите, я напишу...