Всезнающий ALL !

Вопрос: Как прикрутить ограничение по скорости к WWW к группе компьютеров ?

Изучил "Configuring Service Policy Rules" & "Configuring QoS".
Пытаюсь прикрутить на DMZ2 (т.к. нужно ограничить трафик в сторону хостов сети DMZ2, то делаю ограничение на output):

access-list DMZ2_mpc extended permit tcp any any eq www
class-map DMZ2-class
match access-list DMZ2_mpc
policy-map DMZ2-policy
class DMZ2-class
  police output 32000 1500
service-policy DMZ2-policy interface DMZ2

Для интерфейса DMZ2 HTTP-трафик является входящим(получаются запросы) и порт TCP 80 - destination port. Но политика не срабатывает(скорость не ограничивается):

show service-policy police

Interface outside:
  Service-policy: outside-policy-dmz2
    Class-map: outside-class-dmz2
      Input police Interface outside:
        cir 32000 bps, bc 1500 bytes
        conformed 3 packets, 170 bytes; actions:  transmit
        exceeded 0 packets, 0 bytes; actions:  drop
        conformed 320 bps, exceed 0 bps

Если же поставить входящую политику на outside интерфейс(на направление input) на весь поток ip/tcp то новая политика срабатывает, но тогда неизвестно как выделить WWW трафик (т.к. ACL настраивается на destination port, а он для исходящего потока заранее неизвестен.