В чем подвох Acl Cisco не срабатывает?

Question

[CTOPMbI4]

Не срабатывают правила на реальной железки. То есть трафик проходит, по счетчику не видно что ACL срабатывает. Причем в эмуляторе PT. все работает без проблем.
Вопрос что может влиять на то что правила не срабатывают? или может я чего то не понимаю.
Железка Catalyst 3750X
Основное что включено в Конфиге. Если нужно что то еще подробнее в конфиге скину.

ip routing
interface Vlan1
description NET1
ip address 192.168.1.4 255.255.255.240
ip access-group NET1_in in
interface Vlan2
description NET2
ip address 192.168.1.18 255.255.255.240
ip access-group NET2_in in
ip access-list extended NET1_in
permit ip 192.168.1.0 0.0.0.15 192.168.1.0 0.0.0.15
permit ip 192.168.1.0 0.0.0.15 192.168.1.16 0.0.0.15
ip access-list extended NET2_in
permit ip 192.168.1.16 0.0.0.15 192.168.1.16 0.0.0.15
permit ip 192.168.1.16 0.0.0.15 192.168.1.0 0.0.0.15
При пинге от 192.168.1.17 до 192.168.1.1 icmp проходят но по счетчику не видно что оно срабатывает. так же и от 192.168.1.1 до 192.168.1.17

Comments

[RazorBlade]

У вас не сходятся информация на картинке с конфигом.
permit ip host 192.168.1.16 0.0.0.15 192.168.1.0 0.0.0.15 - тут неправильная запись, т.к. стоит указание host, а на самом деле записана сеть.
Нет смысла писать такие ACL permit ip 192.168.1.0 0.0.0.15 192.168.1.0 0.0.0.15, т.к. они не обрабатываются на уровне SVI
И вы не написали, откуда и куда проходит трафик.

[CTOPMbI4]

RazorBlade: извеняюсь там указана сеть просто правил конфиг руками в блокноте чтобы сюда выложить. не срабатывает счетчик от PC0 к PC1. То есть трафик проходит но в ACL счетчик не увеличивается. Так же от PC1 к PC0 так же счетчик не увеличивается. Как раз счетчик ip access-list extended NET1_in
permit ip 192.168.1.0 0.0.0.15 192.168.1.0 0.0.0.15
срабатывает

[RazorBlade]

CTOPMbI4: Я не понимаю, как может срабатывать ACL permit ip 192.168.1.0 0.0.0.15 192.168.1.0 0.0.0.15 при пинге от 192.168.1.17 к 192.168.1.5

[CTOPMbI4]

Есть еще один интерфейс в vlan2 видимо он срабатывает. Забыл нарисовать ее. Но вопрос в том что не срабатывает правило permit ip host 192.168.1.16 0.0.0.15 192.168.1.0 0.0.0.15 от 192.168.1.17 то есть icmp проходит а счетчик не увеличивается. Так же если пинговать от 192.168.1.5 пинги проходят но счетчик на permit ip 192.168.1.0 0.0.0.15 192.168.1.16 0.0.0.15 и обратка 192.168.1.0 0.0.0.15 от 192.168.1.16. Вот в чем вопрос. Причем на PK все отрабатывает как должно быть. Может ли влиять включенный Proxy_ARP?

Answer 1

[CTOPMbI4]

vlan на интерфейсы
interface GigabitEthernet1/0/2
description Link-To-NET1
switchport access vlan 1
switchport mode access
interface GigabitEthernet1/0/3
description Link-To-NET2
switchport access vlan 2