Ситуация следующая:
есть роутер CISCO 3945 (c3900-universalk9-mz.SPA.150-1.M2), обслуживающий 500-600 абонентов
задача - выделить каждому абоненту (группе абонентов) свою полосу
абоненты поадресно включены в 2 ACL (добавляется\удаляется автоматом)

access-list 2114 dynamic HOLE_INP timeout 9999 permit ip 10.76.0.0 0.0.255.255 any
access-list 2115 dynamic HOLE_OUT timeout 9999 permit ip any 10.76.0.0 0.0.255.255

если делать вот так:

class-map match-any OUTPUT_MAP
match access-group 2114

class-map match-any INPUT_MAP
match access-group 2115

policy-map 4096in
class INPUT_MAP
    police 4096000 640000 640000 conform-action transmit  exceed-action drop  violate-action drop

policy-map 4096out
class OUTPUT_MAP
    police 4096000 640000 640000 conform-action transmit  exceed-action drop  violate-action drop

interface GigabitEthernet0/1
!LAN_INT

service-policy input 4096in
service-policy output 4096out

то
во первых: в полиси не попадает ничего
во вторых: скорость делится между ВСЕМИ абонентами из ACL
если использовать

policy-map 4096in
class class-default
    police 4096000 640000 640000 conform-action transmit  exceed-action drop  violate-action drop

а мне нужно чтобы такая скорость давалась КАЖДОМУ, кто входит в АКЛ

вот так выглядят сами акл

C3900#sh access-lists 2114
Extended IP access list 2114
    10 Dynamic HOLE_INP permit ip 10.76.0.0 0.0.255.255 any
        permit ip host 10.76.4.25 any
        permit ip host 10.76.4.22 any
        permit ip host 10.76.4.29 any (63019 matches)
        permit ip host 10.76.4.27 any
        permit ip host 10.76.4.28 any
        permit ip host 10.76.4.26 any
        permit ip host 10.76.4.20 any (245 matches)
        permit ip host 10.76.4.23 any
        permit ip host 10.76.4.2 any (2140 matches)

C3900#sh access-lists 2115
Extended IP access list 2115
    10 Dynamic HOLE_OUT permit ip any 10.76.0.0 0.0.255.255
        permit ip any host 10.76.4.25
        permit ip any host 10.76.4.22
        permit ip any host 10.76.4.29 (4143 matches)
        permit ip any host 10.76.4.27
        permit ip any host 10.76.4.28
        permit ip any host 10.76.4.26
        permit ip any host 10.76.4.20 (4200 matches)
        permit ip any host 10.76.4.23
        permit ip any host 10.76.4.2 (1163 matches)

кто ни будь занимался ограничением скорости абонентов?

пример взят вот отсюда:

!
class-map match-all Traf1
match access-group 101
!
!
class-map match-all Traf2
match access-group 102
!
policy-map Policy1
class Traf1
  shape peak 64000
!
policy-map Policy2
class Traf2
  shape peak 64000
!
interface FastEthernet0/0
description INTERNET
ip address 194.226.248.67 255.255.255.252
service-policy output Policy1
no cdp enable
!
interface FastEthernet0/1
description CLIENT
ip address 192.168.0.1 255.255.255.252
service-policy output Policy2
no cdp enable
!
access-list 101 permit ip host 192.168.0.2 any
access-list 102 permit ip any host 192.168.0.2