MES3124 v.2.5.34 aaa authentication mode break

[URC]

Добрый день!
Сталкивался ли кто нибудь с проблемой когда не работает режим aaa authentication mode break.
Хотел настроить на коммутаторе авторизацию через tacacs, наподобие цисковской, когда локальная база пользователей/паролей используется только в случае отсутствия доступа к серверу авторизации.
Сделал следующие настройки:
aaa authentication enable default tacacs enable
aaa authentication login default tacacs local
aaa authentication mode break
aaa accounting commands stop-only default tacacs
enable password level 15 encrypted <PASS>
username <USER> password encrypted <PASS>
tacacs-server host <HOST> encrypted key <KEY>
tacacs-server source-ip <IP>

Авторизация и enable через tacacs при этом заработала, но(!) при попытке авторизоваться локальным пользователем и локальным enable я также получил доступ. (пользователи и enable на tacacs и в локальной базе разные)
show tacacs при этом показывает:

Код: Выделить всё

Device Configuration
-----------------------------
  IP address      Status   Port  Single      TimeOut    Source IP    Priority
                                 Connection
--------------- ---------- ----- ----------- -------- -------------- --------
<SERVER IP>    Not        49    No          Global   Global         0
                Connected

В документации про режим aaa authentication mode сказано: - break – переход к следующему методу аутентификации происходит только при отсутствии доступа к серверу аутентификации.
Буду благодарен за любую информацию.

[URC]

И еще в догонку.
У меня одного нет правильной подсказки в ip acl?

Код: Выделить всё

(config)#ip access-list extended test
(config-ip-al)#permit ip ?
  any                  Define Any.
  <sequence>           Specify MAC source address and mask. For example, to
                       set 00:00:00:00:10:XX use mac 00:00:00:00:10:00 with
                       mask 00:00:00:00:00:FF

Хотя если ввести параметры как в книжке написано напр.: permit ip 1.1.1.1 0.0.0.0 any, то данные сохраняются.
А еще вопрос возник по применимости acl, это наверное больше к разработчикам, если читают.
Как я понял acl можно применить только к интерфейсу Ethernet или группе портов и только во входящем направлении. Планируется ли возможность применения acl к svi (interface vlan xxx), и возможность использования в разных направлениях разных acl?

[Evgeny R]

В версии 3.5.10 все Ваши вопросы решины.
з.ы. а почему народ сидит на 2.5? Елтекс не раздает свежие прошивки или аппаратная несовместимость?

[URC]

В версии 3.5.10 все Ваши вопросы решины.
з.ы. а почему народ сидит на 2.5? Елтекс не раздает свежие прошивки или аппаратная несовместимость?

Благодарю, за ответ.
Не подскажете где можно взять эту прошивку 3.5.10 и где почитать Release Notes к ней?
И да, присоединяюсь к вопросу по поводу раздачи свежих прошивок.

[Evgeny R]

я получил прошивку 3.5.10 от саппорта Елтекса, после проблемы описанной тут: http://eltex.nsk.ru/forum/viewtopic.php?f=10&t=3943
з.ы. у меня все-таки MES3124F, может это разные железки?

[Голубцов Дмитрий]

Прошивки версий 3.5.Х испоользуются на устройствах другой ревизии. Проблема уже исправлена в версии прошивки 2.5.36, которая выйдет в ближайшее время.