Почему Reflexive ACL не пропускает трафик?

Question

[Avtandilko]

Добрый день.

Есть такие ACL (делалось в UnetLab), IOS 15.2(4)M1:

R1#sh ip access-lists 
Reflexive IP access list MIRROR
     permit icmp host 10.0.2.2 host 10.0.1.2  (20 matches) (time left 50)
Extended IP access list VRF1to2
    10 permit icmp any any reflect MIRROR (10 matches)
    20 deny ip any any log
Extended IP access list VRF2to1
    10 evaluate MIRROR
    20 deny ip any any log (34 matches)

При этом при пинге с 10.0.2.2 до 10.0.1.2 вижу такое:

*Feb 22 22:24:26.505: %SEC-6-IPACCESSLOGDP: list VRF2to1 denied icmp 10.0.2.2 -> 10.0.1.2 (8/0), 26 packets

Конфиг интерфейсов:

interface Ethernet0/0
 ip address 10.0.1.1 255.255.255.0
 ip access-group VRF1to2 in

interface Ethernet0/1
 ip address 10.0.2.1 255.255.255.0
 ip access-group VRF2to1 in

Не могу понять, то ли баг UNL, то ли дело в руках.
Пробовал также на живом железе (Cisco 3550), но там, похоже, все грустно с Reflexive ACL.

Подскажите, в конструкции все верно? У кого то заводились Reflexive ACL в UNL?

Answer 1

[Ivan]

Приведите к виду:

!
interface Ethernet0/0
 desc EXTERNAL
 ip address 10.0.1.1 255.255.255.0
 ip access-group VRF2to1 in
 ip access-group VRF1to2 out
!
interface Ethernet0/1
 desc INTERNAL
 ip address 10.0.2.1 255.255.255.0
end

И пинг с 10.0.2.2 до 10.0.1.2 будет, ACL отработает корректно.