Имеется ES4612, прошивка (ES4612-38_V1.0.2.33.bix)

Нужно сделать так, чтобы устройства на некоторых портах получали и передавали только ICMP трафик.

Делал так:

access-list IP extended "QWE"
deny TCP any any
deny UDP any any

sw(config)#access-list ip extended QWE
sw(config-ext-acl)#deny tcp any any
sw(config-ext-acl)#deny udp any any
sw(config-ext-acl)#exit
sw(config)#access-list ip mask-precedence out
sw(config-ip-mask-acl)#mask any any
sw(config-ip-mask-acl)#exit

затем

sw(config-if)#ip access-group QWE in
Failed to enable ingress IP access-group on port 1/3


что не так? и вообще правильно ли изначально делаю?

Ребята, подскажите. очень нужно...

Прошу прощения, я никогда не имел дела с коммутаторами этого производителя, поэтому, к сожалению, не могу дать Вам квалифицированного совета.
У меня скорее вопрос. Насколько я вижу, оболочка воспринимает команды очень близкими к командам Cisco IOS.
Хотел поинтересоваться, на какой порт Вы пытались назначить список доступа?
Порты коммутаторов Cisco обычно не позволяют производить подобную операцию. Они выполняют коммутацию на канальном уровне модели OSI, в то время как access-list фильтрует пакеты сетевого уровня.
Поэтому для того, чтобы добиться нужного Вам результата на оборудовании cisco обычно необходимо сначала создать vlan:
#vlan database
vlan xxxx (любой неиспользуемый номер в пределах до поддерживаемого максимума), допустим 100

применить access-group к этому виртуальному интерфейсу

conf t

int vlan100
ip access-group qwe in

а потом прикрепить vlan к физическому интерфейсу:

int f0/0
switchport access vlan 100

или, если нужно организовать мост, указываете что-то вроде

bridge irb (все команды, кроме "vlan database" даются в режиме конфигурирования)

каждый интерфейс включаете в соответствующую группу:

int f?/?
bridge-group 1
...
и в эту же группу включаете vlan к которому применены нужные списки доступа
int vlan100
bridge-group 1

ну и так далее.

Заранее извиняюсь, поскольку от моего сообщения никакой пользы Вам явно не будет - у Вас же не Cisco.

int vlan100
ip access-group qwe in
эта комманда не проходит для vlan интерфайсов! только для intervace ethernet.