802.1x op Cisco 2960

Volgens specificatie en command reference zou ik op de cisco 2960 gebruik kunnen maken van 802.1x (dot1x). Maar ik krijg het niet voor elkaar.

Uit mijn huidige running-config relevante lijnen die ingesteld zijn:



Ik zou in de interface configuratie mode gebruik kunnen maken van het commando 'dot1x' maar deze onbreken.

Een 'show dot1x' een privileged exec mode laat hetvolgende zien:



Ik heb in ieder geval al de volgende images geprobeerd:

c2960-lanbasek9-mz.122-25.SEE4.bin
c2960-lanbasek9-mz.122-40.SE.bin

(hier ligt het probleem niet)

Weet iemand waar het mogelijk fout loopt?

Bl@ckbird schreef op dinsdag 13 november 2007 @ 23:13:
Gebruik je de Command Reference of de Catalyst 2960 Configuration Guide?
Zie hier .

De command reference dus. Er stond wel het een en ander in, wat eerst gedaan moest worden voordat er van dot1x gebruik gemaakt kon worden.

Ik ga morgenochtend gelijk even met de config guide aan de slag. Het lijkt stuk hulpzamer te zijn dan alleen een reference guide (al lijkt hetgeen overeen te komen met wat ik dacht gedaan te hebben)

TrailBlazer schreef op woensdag 14 november 2007 @ 10:53:
als het aan de image ligt dan ligt het aan de feature set die je hebt. De twee versies die je hebt geprobeerd hebben dezelfde feature set dus dat zal niks uitmaken.
Ik vraag me enkel af of je met local authentication 802.1x kan doen. Dit wordt meestal op een radius server gedaan.

ik denk dat daar wellicht een fout van mij zou liggen. Want nu heb ik het wel voor elkaar om dot1x op de interfaces te zetten. (Alleen nog niet werkende, maar dat is weer een apart verhaal van hier )

Klopt,

In mijn running-config staat nu dit erbij.



in de interface config mode heb ik ook 'switchport mode access' aangegeven.

Hierna kreeg ik in ieder geval in de interface config mode de optie 'dot1x'

Verwijderd schreef op woensdag 14 november 2007 @ 21:39:
je zult nog steeds in config een radius server op moeten geven voor authenticatie (op windows servers kun je hier mooi IAS voor gebruiken)

config t -> radius-server host "ip radius machine" auth-port .. acct-port .. key .....

verdere info(die je waarschijnlijk al gebruikt ) :

http://www.cisco.com/en/U...de/sw8021x.html#wp1093988

Dat was inmiddels al gelukt. nu kan ik ongenode gasten buiten de deur houden

Even nog hier verder op. MD5 challenge lukt zonder probleem. Via radius kan ik de aangemelde gebruiker in een bepaalde vlan zetten.

Kan dit eigenlijk ook bij authenticatie met certificaten?

phsmit schreef op maandag 03 december 2007 @ 12:24:
Waarom zou dat niet mogelijk zijn? Het kan uiteraard dat je Radius server het niet ondersteund, maar dan moeten we weten welke Radius server je gebruikt voordat we kunnen helpen.

Freeradius.

Probleem is dat ik geen goede documentatie van deze combinatie kan vinden (Wel van alleen met hulp met certs aanmelden en alleen van username/pw en vlan assigment. Maar niet van certs + vlan assigment bijvoorbeeld)