задача:Необходимо повернуть весь трафик http из локалки на Squid.
схема: локалка на каталисте 6509 (сети 10,147,8,0/24 10,147,10,0/24) ---> cisco 3660 ---> интернет
настройки:
6509:
interface Vlan8
  ip address 10.147.8.254 255.255.255.0

interface Vlan10
  ip address 10.147.10.254 255.255.255.0

interface Vlan30
  ip address 10.147.15.94 255.255.255.252

между 6509 и 3660 транк (так как на 3660 необходимо несколько сабинтерфейсов)
рабочие станции на интерфейсах с access vlan 8, squid server на интерфейсе с access vlan 10

3660:
interface FastEthernet0/0.30
  encapsulation dot1Q 30
ip address 10.147.15.93 255.255.255.252
ip nat inside
ip policy route-map proxy-redirect

access-list 110 deny   tcp host 10.147.10.34 any (сам прокси)
access-list 110 permit tcp 10.147.8.0 0.0.0.255 any eq www
access-list 110 deny   tcp any any
route-map proxy-redirect permit 10
match ip address 110
set ip next-hop 10.147.10.34

3660#debug ip policy 110
15w6d: IP: s=10.147.8.4 (FastEthernet0/0.30), d=204.9.177.18, len 60, FIB policy match
15w6d: CEF-IP-POLICY: fib for address 10.147.10.34 is with flag 0
15w6d: IP: s=10.147.8.4 (FastEthernet0/0.30), d=204.9.177.18, len 60, FIB policy rejected - normal forwarding

первые две строки говорят, что пакет соответствует политике и перенаправлен на прокси
а третья, что политика неприменена и пакет нормально форвардится
на сквиде тоже ничего в логи не падает но инет работает нормаль
Что не так?

3660#sh access-lists
Extended IP access list 110
    deny tcp host 10.147.10.34 any
    permit tcp 10.147.8.0 0.0.0.255 any eq www (12939 matches)
    deny tcp any any (612512 matches)

а здесь совпадений с прокси нет совсем (т.е. прокси в инет не лезет) :(