Примеры конфигов Huawei s5600 и s5300(s5700) с MAK-авторизацией

@Fotohunter · Регистрация: 13.05.2016

Студворк — интернет-сервис помощи студентам

Оба коммутатора являются аналогами по производительности и функционалу, разница лишь в дате выпуска и формально в фирме производителе s5600 выпускал концерн H3C (Huawei + 3Com), s5300 (s5700 выпускает Huawei), есть ещё s5300 выпускаемые HP (им были отданы права на выпуск коммутаторов после ликвидации H3C).
Хоть коммутаторы и являются аналогами - их конфиги слегка отличаются. Собственно я лично прошёл путь по обновлению конфига с 5600 на 5300 и хочу выложить оба варианта для обладателей данных изделий, что бы они могли понять что железка может и как это реализовать. Не многочисленные посты на тему отдельных функций не дают общего представления о этой железке. Я же собираюсь показать схему с МАК-авторизацией через CAMS(RADIUS)-сервер. Так же заслуживает внимания объединение(агрегация) линий связи с целью резервирования и увеличения пропускной способности. Для секьюрности пароли заменю звёздочками :-)))
Итак начнём:
S5624P-PWR - поддерживает устройства с питанием от Эзернета на скорости 1Гигабит, имеет 24 медных порта и 4 SFP (21-24 порты смежные с 4мя отическими т.е. если используете 2оптических, то медных становится на 2 меньше), так же есть плата стэкирования позволяющая объединять до 8ми коммутаторов в стэк.
S5648P-PWR - поддерживает устройства с питанием от Эзернета на скорости 1Гигабит, имеет 48 медных порта и 4 SFP (45-48 порты смежные с 4мя отическими т.е. если используете 2оптических, то медных становится на 2 меньше), так же есть плата стэкирования позволяющая объединять до 8ми коммутаторов в стэк.
Максимальное количество интерфейс-виланов в инструкциях и тех.характеристиках не указано, но мне удалось создать около 114(не исключаю, что в разных конфигурациях и прошивках цифра может меняться в меньшую сторону)
У железки не продумана система питания и вентиляции в связи с чем происходит перегрев, выход из смтроя вентиляторов корпуса и вентиляторов блока питания, а так же выход из строя самих блоков питания, которые невозможно заменить ибо не производятся и не возможно починить ибо там всё на микросхемах и нет ни какой гарантии, что при замене элементной базе контроллеры заведуться и запустят блок питания.
А теперь конфиг:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
#
 sysname SW-A-1-1-(ip7)[Ambulance]
#
 lldp enable
 lldp compliance cdp
#
 igmp-snooping enable
 igmp-snooping fast-leave
 igmp-snooping nonflooding-enable
#
 MAC-authentication
 MAC-authentication domain CAMS
#
 udp-helper enable
#
 multicast routing-enable
#
 link-aggregation group 7 mode static
#
 dns server 192.168.0.1
 dns server 192.168.0.3
 dns domain sks.local
#
 fabric member-auto-update software enable
#
radius scheme system
radius scheme CAMS
 server-type huawei
 primary authentication 192.168.254.254
 primary accounting 192.168.254.254
 accounting optional
 key authentication cipher *****
 key accounting cipher *****
 accounting-on enable
#
domain cams
 scheme radius-scheme CAMS
 authentication radius-scheme CAMS
 accounting radius-scheme CAMS
 access-limit enable 172
domain system
#
local-user test
 password cipher *****
 service-type telnet
 level 3
#
 stp instance 0 priority 12288
 stp timer forward-delay 700
 stp timer max-age 1000
 stp bpdu-protection
 stp enable
#
vlan 1 to 128
#
vlan 777
#
interface Vlan-interface777
 ip address 192.168.254.7 255.255.255.0
#
 ntp-service source-interface Vlan-interface777
 ntp-service unicast-server 192.168.254.234
 ntp-service unicast-server 192.168.254.236
#
interface Aux1/0/0
#
interface GigabitEthernet1/0/1
 poe enable
 stp edged-port enable
 MAC-authentication
#
interface GigabitEthernet1/0/21
 poe enable
 stp disable
 port link-type trunk
 port trunk permit vlan all
 description WiFi-(ip60)
#
interface GigabitEthernet1/0/22
 poe enable
 stp loop-protection
 stp no-agreement-check
 port link-type trunk
 port trunk permit vlan all
 port trunk pvid vlan 777
 shutdown
 lacp enable
 port link-aggregation group 7
#
interface GigabitEthernet1/0/23
 poe enable
 stp disable
 port access vlan 113
 description Ambulance-SERVER
#
interface GigabitEthernet1/0/24
 poe enable
 stp loop-protection
 stp no-agreement-check
 port link-type trunk
 port trunk permit vlan all
 port trunk pvid vlan 777
 shutdown
 lacp enable
 port link-aggregation group 7
#
interface GigabitEthernet1/0/25
 stp loop-protection
 stp no-agreement-check
 port link-type trunk
 port trunk permit vlan all
 port trunk pvid vlan 777
 description to SW-D-2A-1_2-3
 lacp enable
 port link-aggregation group 7
#
interface GigabitEthernet1/0/26
 stp loop-protection
 stp no-agreement-check
 port link-type trunk
 port trunk permit vlan all
 port trunk pvid vlan 777
 description to SW-D-2A-1_2-4
 lacp enable
 port link-aggregation group 7
#
interface GigabitEthernet1/0/27
 stp disable
 port link-type trunk
 port trunk permit vlan all
 shutdown
#
interface GigabitEthernet1/0/28
 stp disable
 shutdown
 port access vlan 113
#
interface Cascade1/2/1
#
interface Cascade1/2/2
#
interface NULL0
#
 management-vlan 777
#
pim
#
 voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000 description Unknown-VoIP
 voice vlan mac-address 0007-3b00-0000 mask ffff-ff00-0000 description Avaya_VoIP
 voice vlan mac-address 001b-4f00-0000 mask ffff-ff00-0000 description Avaya_VoIP-2
 voice vlan mac-address 0021-2900-0000 mask ffff-ff00-0000 description LinksysPAP-VoIP-FAX
 voice vlan mac-address 0050-6000-0000 mask ffff-ff00-0000 description TANDBERG
 voice vlan 120 enable
#
 ip route-static 0.0.0.0 0.0.0.0 192.168.254.234 preference 60
#
 snmp-agent
 snmp-agent local-engineid 800007DB000FE23170816877
 snmp-agent community write private
 snmp-agent sys-info version all
 snmp-agent group v3 ADMIN write-view internet
 snmp-agent target-host trap address udp-domain 192.168.254.90 udp-port 5000 params securityname ***** v3
 snmp-agent mib-view included internet internet
 snmp-agent usm-user v3 ADMIN ADMIN
#
user-interface aux 0 7
 authentication-mode scheme
 history-command max-size 50
 idle-timeout 0 0
user-interface vty 0 4
 authentication-mode scheme
 user privilege level 3
 history-command max-size 50
 idle-timeout 0 0
#
return

s5300 - в отличии от s5600 имеет независимые от медного эзернета оптические модули несколькх видов: это могут быть и 4х1G SFP или 1, 2х10G SFP+, так же есть плата стэкирования позволяющая объединять до 8ми коммутаторов в стэк. Нюанс - если одновременно вставлена плата с 4х1G SFP и плата стэкирования - колчиство рабочих портов SFP сокращается с 4х до 2х. В отличии от s5600 вместо одного блока питания сделано 2 универсальных, подходящих под любые коммутаторы данного вендора, правда есть нюанс - полноценное PoE всех портов могут обеспечить только 2 БП, если работает только один - количество портов с PoE уменьшается в 2 раза, но если у Вас половина портов компьютеры не нуждающиеся в PoE, то проблем быть не должно.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
#
!Software Version V100R005C01SPC100
 sysname SW-A-1-7-5300-(ip13)
#
 dns resolve
 dns server 192.168.254.234
 dns domain sks.local
#
 voice-vlan mac-address 0001-e300-0000 mask ffff-ff00-0000 description Unrnown-VoIP
 voice-vlan mac-address 0007-3b00-0000 mask ffff-ff00-0000 description Avaya_VoIP
 voice-vlan mac-address 0021-2900-0000 mask ffff-ff00-0000 description LinksysPAP-VoIP-FAX
 voice-vlan mac-address 0003-6b00-0000 mask ffff-ff00-0000 description Cisco phone
 voice-vlan mac-address 000f-e200-0000 mask ffff-ff00-0000 description H3C Aolynk phone
 voice-vlan mac-address 00d0-1e00-0000 mask ffff-ff00-0000 description Pingtel phone
 voice-vlan mac-address 00e0-7500-0000 mask ffff-ff00-0000 description Polycom phone
 voice-vlan mac-address 00e0-bb00-0000 mask ffff-ff00-0000 description 3Com phone
 voice-vlan mac-address 001b-4f00-0000 mask ffff-ff00-0000 description Avaya_VoIP-2
 voice-vlan mac-address 0050-6000-0000 mask ffff-ff00-0000 description TANDBERG
 voice-vlan mac-address b447-5e00-0000 mask ffff-ff00-0000 description Avaya_VoIP-3
 voice-vlan mac-address 8483-7100-0000 mask ffff-ff00-0000 description Avaya_VoIP-4
#
 vlan batch 2 to 254 310 333 777 999
#
 stp instance 0 priority 20480
 stp timer forward-delay 700
 stp timer max-age 1000
 stp bpdu-protection
 stp pathcost-standard legacy
 stp enable
 stp converge fast
#
 gvrp
#
 multicast routing-enable
#
 domain cams
#
 igmp-snooping enable
 igmp-snooping send-query enable
#
 mld-snooping enable
#
 poe high-inrush enable slot 0
#
 cluster enable
 ntdp enable
 ndp enable
#
 mac-authen
 mac-authen domain cams
#
 lldp enable
#
 http server load flash:/s5300ei-v100r005c01spc100.web.zip
#
radius-server template cams
 radius-server shared-key simple *****
 radius-server authentication 192.168.254.254 1812
 radius-server accounting 192.168.254.254 1813
 radius-server traffic-unit mbyte
 radius-server attribute translate
radius-server authorization 192.168.254.254 shared-key simple ***** server-group cams
#
hwtacacs-server template cams
 hwtacacs-server authentication 192.168.254.254
 hwtacacs-server authorization 192.168.254.254
 hwtacacs-server accounting 192.168.254.254
 hwtacacs-server shared-key *****
#
traffic classifier SKS operator or
 if-match vlan-id 2 to 119
#
traffic behavior SKS
 permit
 statistic enable
 car cir 850000 pir 850000 cbs 106250000 pbs 106250000 green pass remark-8021p 5 yellow pass remark-8021p 7 red discard
#
traffic policy SKS
 classifier SKS behavior SKS
#
vlan 120
 description VoIP VLAN 120
vlan 310
 description EROS
vlan 777
 description NOC
#
aaa
 authentication-scheme default
 authentication-scheme cams
  authentication-mode radius hwtacacs
 authorization-scheme default
 authorization-scheme cams
  authorization-mode  if-authenticated hwtacacs
 accounting-scheme default
 accounting-scheme cams
  accounting-mode radius
  accounting realtime 10
  accounting start-fail online
  accounting interim-fail max-times 255 online
 recording-scheme cams
  recording-mode hwtacacs cams
 service-scheme cams
 domain default
 domain default_admin
 domain cams
  authentication-scheme cams
  accounting-scheme cams
  authorization-scheme cams
  service-scheme cams
  radius-server  cams
  hwtacacs-server cams
 local-user test password simple *****
 local-user test privilege level 3
 local-user test service-type telnet terminal ssh ftp web bind http
 undo local-user admin
#
 ntp-service source-interface Vlanif777
 ntp-service unicast-server 192.168.254.234
 ntp-service unicast-server 192.168.254.236
#
interface Vlanif777
 description NOC
 ip address 192.168.254.13 255.255.255.0
#
interface MEth0/0/1
 description For-Admin-Nout-ONLY
 ip address 10.10.10.13 255.255.255.0
#
interface Eth-Trunk0
 port link-type trunk
 port trunk pvid vlan 777
 port trunk allow-pass vlan 2 to 4094
 stp no-agreement-check
 stp loop-protection
 mode lacp-static
 ntdp enable
 ndp enable
 bpdu enable
#
interface GigabitEthernet0/0/1
 description Andrey-phone-komp
 voice-vlan 120 enable
 voice-vlan legacy enable
 stp edged-port enable
 ntdp enable
 bpdu enable
 mac-authen
 mac-authen guest-vlan 126
#
interface GigabitEthernet0/0/2
 description WiFi-Eudemon-ip99
 port link-type trunk
 port trunk pvid vlan 777
 port trunk allow-pass vlan 2 to 4094
 stp no-agreement-check
 stp root-protection
 ntdp enable
#
interface GigabitEthernet0/0/11
 description Canon Z1
 port link-type access
 port default vlan 31
 stp disable
 ntdp enable
 bpdu enable
#
interface GigabitEthernet0/0/48
 description UPS-1-7-(ip117)
 port link-type access
 port default vlan 777
 stp disable
 ntdp enable
 bpdu enable
#
interface GigabitEthernet0/1/1
 eth-trunk 0
#
interface GigabitEthernet0/1/2
 eth-trunk 0
#
interface GigabitEthernet0/1/3
#
interface GigabitEthernet0/1/4
#
interface NULL0
#
 ip route-static 0.0.0.0 0.0.0.0 192.168.254.234 preference 1 description Default-NOC-Router
#
 snmp-agent
 snmp-agent local-engineid 800007DB000FE22E44406877
 snmp-agent community write private
 snmp-agent sys-info contact Andrey E. Smirnov tel#5959 & +7-904-3336622
 snmp-agent sys-info location kab.40
 snmp-agent sys-info version all
 snmp-agent group v3 ADMIN write-view internet
 snmp-agent target-host trap  address udp-domain 192.168.254.90 udp-port 5000 params securityname ***** v3
 snmp-agent mib-view included internet internet
 snmp-agent usm-user v3 ADMIN ADMIN
#
 ssh authentication-type default password
 ssh user test
 ssh user test authentication-type all
 ssh user test service-type all
 ssh user test authorization-cmd aaa
#
user-interface con 0
 idle-timeout 0 0
user-interface vty 0 4
 authentication-mode aaa
 user privilege level 3
 protocol inbound all
#
return

Так же могу выложить конфиги от s6506R коммутатор уровня ядра и s6700 - оптический коммутатор.

@Fotohunter · 26.05.2016, 14:52 **[ТС]**

s5300 является полным аналогом s5600, хотя и доработанный напильником :-)
Вот конфиг типичного коммутатора:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
<Quidway-s5700>dis cur
#
!Software Version V200R001C00SPC300
sysname Quidway-s5700
#
dns resolve
dns server 192.168.0.1
dns server 192.168.254.234
dns server 192.168.254.236
dns domain sks.local
#
voice-vlan mac-address 0001-e300-0000 mask ffff-ff00-0000 description Unrnown-VoIP
voice-vlan mac-address 0007-3b00-0000 mask ffff-ff00-0000 description Avaya_VoIP
voice-vlan mac-address 0021-2900-0000 mask ffff-ff00-0000 description LinksysPAP-VoIP-FAX
voice-vlan mac-address 0003-6b00-0000 mask ffff-ff00-0000 description Cisco phone
voice-vlan mac-address 000f-e200-0000 mask ffff-ff00-0000 description H3C Aolynk phone
voice-vlan mac-address 00d0-1e00-0000 mask ffff-ff00-0000 description Pingtel phone
voice-vlan mac-address 00e0-7500-0000 mask ffff-ff00-0000 description Polycom phone
voice-vlan mac-address 00e0-bb00-0000 mask ffff-ff00-0000 description 3Com phone
voice-vlan mac-address 001b-4f00-0000 mask ffff-ff00-0000 description Avaya_VoIP-2
voice-vlan mac-address 0050-6000-0000 mask ffff-ff00-0000 description TANDBERG
voice-vlan mac-address b447-5e00-0000 mask ffff-ff00-0000 description Avaya_VoIP-3
voice-vlan mac-address 8483-7100-0000 mask ffff-ff00-0000 description Avaya_VoIP-4
#
vlan batch 2 to 254 333 777
#
stp instance 0 priority 20480
stp timer forward-delay 700
stp timer max-age 1000
stp bpdu-protection
stp pathcost-standard legacy
stp converge fast
#
domain cams
#
igmp-snooping enable
igmp-snooping send-query enable
#
mld-snooping enable
#
mac-authen
mac-authen domain cams
#
lldp enable
#
http server load flash:/s5700li-v200r001c00.001.web.zip
#
nd snooping enable
#
radius-server template cams
 radius-server shared-key simple *****
 radius-server authentication 192.168.254.254 1812
 radius-server accounting 192.168.254.254 1813
 radius-server traffic-unit mbyte
 radius-server attribute translate
radius-server authorization 192.168.254.254 shared-key simple ***** server-group cams
#
hwtacacs-server template cams
 hwtacacs-server authentication 192.168.254.254
 hwtacacs-server authorization 192.168.254.254
 hwtacacs-server accounting 192.168.254.254
 hwtacacs-server shared-key cipher *****
#
vlan 120
 description VoIP VLAN 120
vlan 777
 description NOC
#
aaa
 authentication-scheme default
 authentication-scheme cams
  authentication-mode radius hwtacacs
 authorization-scheme default
 authorization-scheme cams
  authorization-mode if-authenticated hwtacacs
 accounting-scheme default
 accounting-scheme cams
  accounting-mode radius
  accounting realtime 10
  accounting start-fail online
  accounting interim-fail max-times 255 online
 recording-scheme cams
  recording-mode hwtacacs cams
 service-scheme cams
 domain default
 domain default_admin
 domain cams
  authentication-scheme cams
  accounting-scheme cams
  authorization-scheme cams
  service-scheme cams
  radius-server  cams
  hwtacacs-server cams
 local-user root password cipher *****
 local-user root privilege level 15
 local-user root service-type ssh
 local-user test password cipher *****
 local-user test privilege level 3
 local-user test service-type telnet terminal ssh ftp web bind http
 local-user admin password cipher *****
 local-user admin service-type http
#
ntp-service source-interface Eth-Trunk0
ntp-service unicast-server 192.168.254.236
ntp-service unicast-server 192.168.254.234
ntp-service unicast-server 192.168.254.235
#
interface Vlanif777
 ip address 192.168.254.45 255.255.255.0
#
interface Eth-Trunk0
 port link-type trunk
 port trunk pvid vlan 777
 port trunk allow-pass vlan 101 120 125 127 145 to 146 777
 stp no-agreement-check
 stp loop-protection
 mode lacp-static
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 15
#
interface GigabitEthernet0/0/12
 description VoIP-Phone-4305
 voice-vlan 120 enable
 voice-vlan legacy enable
 stp edged-port enable
 mac-vlan enable
 authentication guest-vlan 126
 mac-authen
#
interface GigabitEthernet0/0/13
 port link-type trunk
 port trunk pvid vlan 16
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/23
 eth-trunk 0
#
interface GigabitEthernet0/0/24
 eth-trunk 0
#
interface NULL0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.254.234
#
snmp-agent
snmp-agent local-engineid 800007DB000FE22E44406877
snmp-agent community write cipher ****
snmp-agent sys-info contact Andrey E. Smirnov tel#5959 & +7-904-333****
snmp-agent sys-info location kab.129
snmp-agent sys-info version all
snmp-agent group v3 ADMIN write-view internet
snmp-agent target-host trap address udp-domain 192.168.254.240 udp-port 5000 params securityname ***** v3
snmp-agent target-host trap address udp-domain 192.168.254.254 udp-port 5000 params securityname ***** v3
snmp-agent mib-view included internet internet
snmp-agent usm-user v3 ADMIN ADMIN
#
stelnet server enable
ssh authentication-type default password
ssh user root
ssh user root authentication-type password
ssh user root service-type stelnet
ssh user test
ssh user test authentication-type all
ssh user test service-type all
ssh user test authorization-cmd aaa
#
user-interface con 0
 authentication-mode password
 set authentication password cipher *****
user-interface vty 0 4
 authentication-mode aaa
 user privilege level 3
 protocol inbound all
user-interface vty 16 20
#
return

@floridateam · 31.05.2018, 14:52

Коллеги, добрый день. Есть коммутатор S5700-28C-SI, в правиле прописан общий принтер с адресом 192.168.60.20

<SW01>system-view
Enter system view, return user view with Ctrl+Z.
[SW01]acl 3060
[SW01-acl-adv-3060]display this
#
acl number 3060
description Clients
rule 5 permit ip source 192.168.60.20 0
rule 10 permit tcp destination 10.100.0.1 0 destination-port eq domain
rule 15 permit udp destination 10.100.0.1 0 destination-port eq dns
rule 20 permit ip destination 192.168.60.20 0
rule 25 deny ip destination 192.168.0.0 0.0.255.255
rule 30 deny ip destination 10.100.0.0 0.0.0.255

[SW01-acl-adv-3030]display this
#
acl number 3030
description WiFi-Clients
rule 5 permit ip destination 192.168.60.20 0
rule 6 permit ip destination 192.168.30.254 0
rule 7 permit ip source 192.168.30.254 0
rule 15 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
rule 20 permit tcp destination 10.100.0.1 0 destination-port eq domain
rule 25 permit udp destination 10.100.0.1 0 destination-port eq dns
rule 30 deny ip destination 10.100.0.0 0.0.0.255

При добавлении правила, выдает ошибку:
[SW01-acl-adv-3060]rule 6 permit ip source 192.168.60.21 0
Error: The ACL is contained by some application(s) and forbidden to be modified.

Мне нужно добавить в acl 3030 и acl 3060 еще один общий принтер с адресом 192.168.60.21
Подскажите пожалуйста, как это сделать? Не судите строго, новичок в программировании, спасибо))

@Fotohunter · 08.06.2018, 10:55 **[ТС]**

Внимательно посмотрите свой же лог:

Сообщение от floridateam

[SW01-acl-adv-3030]display this
#
acl number 3030
description WiFi-Clients
rule 5 permit ip destination 192.168.60.20 0
rule 6 permit ip destination 192.168.30.254 0
rule 7 permit ip source 192.168.30.254 0
rule 15 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
rule 20 permit tcp destination 10.100.0.1 0 destination-port eq domain
rule 25 permit udp destination 10.100.0.1 0 destination-port eq dns
rule 30 deny ip destination 10.100.0.0 0.0.0.255
При добавлении правила, выдает ошибку:
[SW01-acl-adv-3060]rule 6 permit ip source 192.168.60.21 0
Error: The ACL is contained by some application(s) and forbidden to be modified.

Правило с номером "6" уже есть, свободный номер "8".

@floridateam · 08.06.2018, 11:26

Добрый день.

acl number 3030
description WiFi-Clients
rule 5 permit ip destination 192.168.60.20 0
rule 6 permit ip destination 192.168.30.254 0
rule 7 permit ip source 192.168.30.254 0
rule 15 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
rule 20 permit tcp destination 10.100.0.1 0 destination-port eq domain
rule 25 permit udp destination 10.100.0.1 0 destination-port eq dns
rule 30 deny ip destination 10.100.0.0 0.0.0.255
#
return
[SW01-acl-adv-3030]rule 8 permit ip destination 192.168.60.21 0
Error: The ACL is contained by some application(s) and forbidden to be modified.
[SW01-acl-adv-3030]

Я пробовал по всякому и нечаянно вставил не тот лог. Он при 8 правиле тоже такую ошибку выдает

@Fotohunter · 15.06.2022, 17:11 **[ТС]**

Решил сделать доброе дело и выложил прошивки для huawei s5300 s5700 s6700, контроллера wifi и точек доступа

https://ftp.la.spb.ru/pub/huawei/

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .
SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .

@floridateam 0 / 0 / 0 Регистрация: 31.05.2018 Сообщений: 8
	31.05.2018, 14:52
	Коллеги, добрый день. Есть коммутатор S5700-28C-SI, в правиле прописан общий принтер с адресом 192.168.60.20 <SW01>system-view Enter system view, return user view with Ctrl+Z. [SW01]acl 3060 [SW01-acl-adv-3060]display this # acl number 3060 description Clients rule 5 permit ip source 192.168.60.20 0 rule 10 permit tcp destination 10.100.0.1 0 destination-port eq domain rule 15 permit udp destination 10.100.0.1 0 destination-port eq dns rule 20 permit ip destination 192.168.60.20 0 rule 25 deny ip destination 192.168.0.0 0.0.255.255 rule 30 deny ip destination 10.100.0.0 0.0.0.255 [SW01-acl-adv-3030]display this # acl number 3030 description WiFi-Clients rule 5 permit ip destination 192.168.60.20 0 rule 6 permit ip destination 192.168.30.254 0 rule 7 permit ip source 192.168.30.254 0 rule 15 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.0.0 0.0.255.255 rule 20 permit tcp destination 10.100.0.1 0 destination-port eq domain rule 25 permit udp destination 10.100.0.1 0 destination-port eq dns rule 30 deny ip destination 10.100.0.0 0.0.0.255 При добавлении правила, выдает ошибку: [SW01-acl-adv-3060]rule 6 permit ip source 192.168.60.21 0 Error: The ACL is contained by some application(s) and forbidden to be modified. Мне нужно добавить в acl 3030 и acl 3060 еще один общий принтер с адресом 192.168.60.21 Подскажите пожалуйста, как это сделать? Не судите строго, новичок в программировании, спасибо)) 0

@floridateam 0 / 0 / 0 Регистрация: 31.05.2018 Сообщений: 8
	08.06.2018, 11:26
	Добрый день. acl number 3030 description WiFi-Clients rule 5 permit ip destination 192.168.60.20 0 rule 6 permit ip destination 192.168.30.254 0 rule 7 permit ip source 192.168.30.254 0 rule 15 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.0.0 0.0.255.255 rule 20 permit tcp destination 10.100.0.1 0 destination-port eq domain rule 25 permit udp destination 10.100.0.1 0 destination-port eq dns rule 30 deny ip destination 10.100.0.0 0.0.0.255 # return [SW01-acl-adv-3030]rule 8 permit ip destination 192.168.60.21 0 Error: The ACL is contained by some application(s) and forbidden to be modified. [SW01-acl-adv-3030] Я пробовал по всякому и нечаянно вставил не тот лог. Он при 8 правиле тоже такую ошибку выдает 0

@Fotohunter 250 / 49 / 8 Регистрация: 13.05.2016 Сообщений: 187 Записей в блоге: 3
	15.06.2022, 17:11 [ТС]
	Решил сделать доброе дело и выложил прошивки для huawei s5300 s5700 s6700, контроллера wifi и точек доступа https://ftp.la.spb.ru/pub/huawei/ 0