Здравствуйте коллеги %)
Столкнулся с неизведанным, дано:
cisco 1921, где интерфейс GigabitEthernet0/0.300 смотрит в провайдера, GigabitEthernet0/0.200 в влане "домашней сети" (проводные девайсы в коммутатор медью подключены, безпроводные через wifi точку доступа в режиме бриджа).
На циске настроен zone based firewall.
Загадка вот в чем:
когда policy-map ответственный за трафик из домашней сети в инет (zone-pair security WAN-LAN source WAN destination LAN) выглядел вот так:
policy-map type inspect PMAP-HOME-LAN-254-INET
class type inspect CMAP-HOME-LAN-254-ALL
inspect
class class-default
pass
то по какой то причине, интернет не работал на двух устройствах: ноуте с win 7 и одном из телефонов. При этом на всех девайсах подключенных проводом все работало, и на 4 девайсах подключенных по воздуху (2 телефона приставка и телек) тоже работало. На ноуте значек wifi был с восклицательным знаком (на телефоне тоже).
При этом, с ноута есть пинг на все домашние девайсы, на внутренний и внешний интерфейсы циски, но нет на шлюз провайдера. В wireshark ничего интересного не увидел.
Когда поменял policy-map на вот такой вариант:
policy-map type inspect PMAP-HOME-LAN-254-INET
class type inspect CMAP-HOME-LAN-254-ICMP
inspect
class type inspect CMAP-HOME-LAN-254-HTTP
inspect
class type inspect CMAP-HOME-LAN-254-HTTPS
inspect
class type inspect CMAP-HOME-LAN-254-DNS
inspect
class type inspect CMAP-HOME-LAN-254-ALL
inspect
class class-default
pass
все заработало.
конфиг польностью тут:
https://pastebin.com/x7i1Z6JnЕсли кто-нибудь объяснит почему так случилось, буду признателен. Или хотя б ткните пальцем где искать ответ.