dot1x für Port auf Cisco 2960 aktivieren

[MikeSHH]

Hallo, ich möchte 802.1x in einer Testumgebung einrichten. Dazu habe ich eine Enterprise CA aufgesetzt und Clientzertifikate verteilt. Nun habe ich mich heute erstmals mit einem Cisco Switch befasst und möchte nach dieser Anleitung 802.1x aktivieren :

Catalyst 2950 Desktop Switch Software Configuration Guide, 12.1(9)EA1 - Configuring 802.1X Port-Based Authentication [Cisco Catalyst 2950 Series Switches] - Cisco Systems

Ich kann ohne Probleme folgende Schritte ausführen :

Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x default group radius Switch(config)# interface fastethernet0/1

Die folgenden Schritte kann ich allerdings nicht ausführen, da der Befehl dot1x dann nicht zur Verfügung steht ( bei Eingabe von ? erscheint der Befehl nicht)

Switch(config-if)# dot1x port-control auto Switch(config-if)# end

Den Switch habe ich bereits neu gestartet. Hat jemand eine Idee, woran dies liegen kann ?

Danke und Gruß

Mike

[MikeSHH]

OK, der Befehl heißt mittlerweile "authentication". Gibt es denn eine Möglichkeit zu testen, ob die Kommunikation zwischen Switch und Server funktioniert ? Ich habe schon nach validate usw. gegoogled, dazu aber leider nichts gefunden.

[s.F]

Hallo,

Was deine Konfiguration betrifft, bin ich nicht wirklich ein Experte. Wenn bestimmte Commands nicht vorhanden sind, dann fehlen diese Funktionen eventuell, weil diese die IOS Version auf dem Device zu alt ist.

Welches IOS ist auf dem Switch was sagt "show version" ?

Im Einzelfall kann es auch sein die Hardware manches nicht unterstützt. Je nach Gerät kann man des öfteren jedoch durch Hardware Module Abhilfe schaffen.

[blackbox]

Hi,

du kannst nix testen - aber du kannst den 802.1x bis ins detail "debuggen" - dann siehst du wo der Hase läuft.

Bei mir heisst der aber immer noch "dot1x port-control auto" hier von nem Port die Config. Was für ein 2960er Switch ist es - evtl. so ne "Lite" Büchse ?

interface FastEthernetxx
switchport access vlan 2
switchport mode access
dot1x mac-auth-bypass
dot1x pae authenticator
dot1x port-control auto
dot1x timeout tx-period 1
dot1x max-reauth-req 1

[Otaku19]

hm, gibts nicht so test aa ? commands ? Nur denke ich mir wird man sich da bei einer zertifikatsbasierten authentifizierung schwer tun die ins CLI zu bekommen, aber immerhin ein FAIL sollte man vom RADIUS zurückbekommen