Добрый день. Есть маршрутизатор 2821.
Обнаружили одну странную вещь:

Имеем route-map:

route-map WWW permit 10
   match ip address aaa
   set ip next-hop 10.10.10.254

Так же acl aaa:

ip access-list extended aaa
   deny tcp any any eq 80
   permit any any

Вроде бы все просто, пакеты tcp идущие не на 80 порт, роутмапятся на 10.10.10.254, однако же этого не происходит, в acl счетчики на

deny tcp any any eq 80

отрабатываются, а на

permit any any

нет.
Выглядит это таким образом, если пакет tcp и на 80 порт, то срабатывает ацл, счетчик увеличивается и пакет успешно проходит не попадаю в роут мап, все остальные же пакеты теряются, причем сначала казалось что теряются неизвесто где, ибо других ацлов на циске нет, стали разбираться, поставили в ацл

permit any any log

и в логах обнаружили такие строчки:

%SEC-6-IPACCESSLOGP: list WWW permitted tcp 10.10.10.45(1372) -> 192.168.0.1(21), 3 packets

%SEC-6-IPACCESSLOGP: list WWW permitted tcp 10.10.10.76(1289) -> 192.168.1.11(53), 2 packets

Удивились, откуда взялась 192.168.0.1 и 192.168.1.11 у нас отродясь небыло таких сетей, потом решили посмотреть что за устройства с таким адресами, оказалась оба - длинки 804, такие адреса на них поставил наш местный админ, подальше от чужих глаз (у нас все компьютеры исключительно в 10.10.10.0/24) вообщем совсем не понятно, с какого перепугу циска, вдруг, решила все пакеты вдруг слать на эти адреса, т.е. все dst адреса в пакетах попадающих под route-map она меняет на 192.168.0.1 или 192.168.1.11. Что такого могли разослать четырехпортовые бюджетные маршрутизаторы dlink 804, что у нас циска стала сходить с ума?icmp redirect? Пробовали на 2821 ставить

no ip icmp redirect

не помогло
И почему не срабатывают счетчики на

permit any any

Пакет же проходит, пусть неправильно и вместо
ip next-hop 10.10.10.254 он идет на  192.168.1.11, но он все же проходит!
может кто-нибудь что подскажет?