Вечер добрый. Сейчас вскроюсь. Понять не могу что не так. Есть

маршрутизатор. Цель - изолировать DMZ-сеть от других сетей.

Создал такую ACL:

Extended IP access list DMZ
10 deny ip 10.64.30.0 0.0.0.255 object-group RFC_1918
20 permit ip 10.64.30.0 0.0.0.255 any

Где object-group RFC_1918:
10.0.0.0 255.0.0.0
172.16.0.0 255.240.0.0
192.168.0.0 255.255.0.0

Повесил ACL на интерфейс:

interface GigabitEthernet0/0/0.30
description DMZ
encapsulation dot1Q 30
ip address 10.64.30.1 255.255.255.0
ip nat inside
ip access-group DMZ in
end


Рядом стоит коммутатор, на котором поднял SVI в VLAN30,тестирую с него.

UFA01SW01#ping 1.1.1.1 source vlan 30
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 10.64.30.41
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms


Все вроде ок. Но плевать он хотел на deny ip 10.64.30.0 0.0.0.255 object-group RFC_1918:

UFA01SW01#ping 10.64.40.1 source vlan 30
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.64.40.1, timeout is 2 seconds:
Packet sent with a source address of 10.64.30.41
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
UFA01SW01#ping 10.64.5.1 source vlan 30
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.64.5.1, timeout is 2 seconds:
Packet sent with a source address of 10.64.30.41
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

ЧЯДНТ?

А если ноут засунуть в access-порт, то работает как надо. Что это за нафиг