>  ....
>  match protocol http host "*odnoklassniki.ru"
> policy-map test
>  class p2p
>    drop

Когда делаю блокировку таким способом, появляются ошибки:
MyCisco(config)#class-map match-any schit
MyCisco(config-cmap)#match protocol http host "*vk.com"
MyCisco(config-cmap)#match protocol http host "*ok.ru"
MyCisco(config-cmap)#policy-map schit
MyCisco(config-pmap)#class p2p
% class map p2p not configured
MyCisco(config-pmap)#drop
                      ^
% Invalid input detected at '^' marker.

Другим способом всё получилось. Но хотелось попробовать этот, т.к. здесь фильтр можно вешать и на вход и на выход.
В другом, работающем примере можно сделать немного по другому и потом:
interface FastEthernet4
ip inspect Protect out
Но проблема в том, что на ФА4 я могу это повесить, а на ФА1 почему-то не вешается.
Как это сделать?