802.1x 規格では、一般の人がアクセス可能なポートから不正なクライアントが LAN に接続しないように規制する（適切に認証されている場合を除く）、クライアント/サーバ型のアクセス コントロールおよび認証プロトコルを定めています。認証サーバがスイッチポートに接続する各クライアントを認証したうえで、デバイスまたは LAN が提供するサービスを利用できるようにします。

（注）	TACACS は、802.1x 認証ではサポートされていません。

802.1x アクセスコントロールでは、クライアントを認証するまでの間、そのクライアントが接続しているポート経由では Extensible Authentication Protocol over LAN（EAPOL）、Cisco Discovery Protocol、およびスパニングツリープロトコル（STP）トラフィックしか許可されません。認証に成功すると、通常のトラフィックはポートを通過できるようになります。

次の表は、サポートされる各クライアントセッションの最大数を示しています。

IEEE 802.1X ポートベース認証を設定するには、認証、認可、およびアカウンティング（AAA）を有効にし、認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためにクエリー送信を行う手順と認証方式を記述したものです。

AAA プロセスは認証から始まります。802.1x ポートベース認証がイネーブルであり、クライアントが 802.1x 準拠のクライアント ソフトウェアをサポートしている場合、次のイベントが発生します。

• クライアント ID が有効で 802.1x 認証に成功した場合、デバイスはクライアントにネットワークへのアクセスを許可します。

• EAPOL メッセージ交換の待機中に 802.1x 認証がタイムアウトし、MAC 認証バイパスがイネーブルの場合、デバイスはクライアント MAC アドレスを認証用に使用します。このクライアント MAC アドレスが有効で認証に成功した場合、デバイスはクライアントにネットワークへのアクセスを許可します。クライアント MAC アドレスが無効で認証に失敗した場合、ゲスト VLAN が設定されていれば、デバイスはクライアントに限定的なサービスを提供するゲスト VLAN を割り当てます。

• デバイスが 802.1x 対応クライアントから無効な ID を取得し、制限付き VLAN が指定されている場合、デバイスはクライアントに限定的なサービスを提供する制限付き VLAN を割り当てることができます。

• RADIUS 認証サーバが使用できず（ダウンしていて）アクセスできない認証バイパスがイネーブルの場合、デバイスは、RADIUS 設定済み VLAN またはユーザ指定のアクセス VLAN で、ポートをクリティカル認証ステートにして、クライアントにネットワークへのアクセスを許可します。

  （注）	アクセスできない認証バイパスは、クリティカル認証、または AAA 失敗ポリシーとも呼ばれます。

ポートで Multi Domain Authentication（MDA）が有効になっている場合、音声許可に該当する例外をいくつか伴ったフローを使用できます。

次の状況のいずれかが発生すると、デバイスはクライアントを再認証します。

• 定期的な再認証がイネーブルで、再認証タイマーの期限が切れている場合。

  デバイス固有の値を使用するか、RADIUS サーバからの値に基づいて再認証タイマーを設定できます。

  RADIUS サーバを使用した 802.1x 認証の後で、デバイスは Session-Timeout RADIUS 属性（Attribute[27]）、および Termination-Action RADIUS 属性（Attribute[29]）に基づいてタイマーを使用します。

  Session-Timeout RADIUS 属性（Attribute[27]）には再認証が行われるまでの時間を指定します。

  Termination-Action RADIUS 属性（Attribute[29]）には、再認証中に行われるアクションを指定します。アクションは Initialize および ReAuthenticate に設定できます。アクションに Initialize（属性値は DEFAULT）を設定した場合、802.1x セッションは終了し、認証中、接続は失われます。アクションに ReAuthenticate（属性値は RADIUS-Request）を設定した場合、セッションは再認証による影響を受けません。

• クライアントを手動で再認証するには、dot1x re-authenticate interface interface-id 特権 EXEC コマンドを入力します。

802.1x 認証中に、デバイスまたはクライアントは認証を開始できます。authentication port-control auto インターフェイス コンフィギュレーション コマンドを使用してポート上で認証をイネーブルにすると、デバイスは、リンクステートがダウンからアップに移行したときに認証を開始し、ポートがアップしていて認証されていない場合は定期的に認証を開始します。デバイスはクライアントに EAP-Request/Identity フレームを送信し、識別情報を要求します。クライアントはフレームを受信すると、EAP-Response/Identity フレームで応答します。

ただし、クライアントが起動時にデバイスからの EAP-Request/Identity フレームを受信しなかった場合、クライアントは EAPOL-Start フレームを送信して認証を開始できます。このフレームはデバイスに対し、クライアントの識別情報を要求するように指示します。

（注）	ネットワーク アクセス デバイスで 802.1x 認証がイネーブルに設定されていない、またはサポートされていない場合には、クライアントからの EAPOL フレームはすべて廃棄されます。クライアントが認証の開始を 3 回試みても EAP-Request/Identity フレームを受信しなかった場合、クライアントはポートが許可ステートであるものとしてフレームを送信します。ポートが許可ステートであるということは、クライアントの認証が成功したことを実質的に意味します。

クライアントが自らの識別情報を提示すると、デバイスは仲介デバイスとしての役割を開始し、認証が成功または失敗するまで、クライアントと認証サーバの間で EAP フレームを送受信します。認証が成功すると、ポートは許可ステートになります。認証に失敗した場合、認証が再試行されるか、ポートが限定的なサービスを提供する VLAN に割り当てられるか、あるいはネットワーク アクセスが許可されないかのいずれかになります。

実際に行われる EAP フレーム交換は、使用する認証方式によって異なります。

EAPOL メッセージ交換の待機中に 802.1x 認証がタイムアウトし、MAC 認証バイパスがイネーブルの場合、デバイスはクライアントからイーサネットパケットを検出するとそのクライアントを許可できます。デバイスは、クライアントの MAC アドレスを識別情報として使用し、RADIUS サーバに送信される RADIUS-Access/Request フレームにこの情報を保存します。サーバがデバイスに RADIUS-Access/Accept フレームを送信（許可が成功）すると、ポートが許可されます。許可に失敗してゲスト VLAN が指定されている場合、デバイスはポートをゲスト VLAN に割り当てます。イーサネットパケットの待機中にデバイスが EAPOL パケットを検出すると、デバイスは MAC 認証バイパスプロセスを停止して、802.1x 認証を開始します。

（注）	any は、ACL の発信元としてだけ設定できます。

（注）	マルチホストモードで設定された ACL では、ステートメントの発信元部分は any でなければなりません。（たとえば、 permit icmp any host 10.10.1.1 ）。

（注）	filter-ID としてロールベース ACL を使用することは推奨されません。

定義された ACL の発信元ポートには any を指定する必要があります。指定しない場合、ACL は適用できず、認証は失敗します。シングル ホストは唯一例外的に後方互換性をサポートします。

MDA 対応ポートおよびマルチ認証ポートでは、複数のホストを認証できます。ホストに適用される ACL ポリシーは、別のホストのトラフィックには影響を与えません。マルチ ホスト ポートで認証されるホストが 1 つだけで、他のホストが認証なしでネットワーク アクセスを取得する場合、送信元アドレスに any を指定することで、最初のホストの ACL ポリシーを他の接続ホストに適用できます。

802.1x 認証中に、スイッチのポート ステートによって、スイッチはネットワークへのクライアント アクセスを許可します。ポートは最初、無許可ステートです。このステートでは、音声 VLAN ポートとして設定されていないポートは 802.1x 認証、Cisco Discovery Protocol、および STP パケットを除くすべての入力および出力トラフィックを禁止します。クライアントの認証が成功すると、ポートは許可ステートに変更し、クライアントのトラフィック送受信を通常どおりに許可します。ポートが音声 VLAN ポートとして設定されている場合、VoIP トラフィックおよび 802.1x プロトコル パケットが許可された後クライアントが正常に認証されます。

（注）	Cisco Discovery Protocol バイパスはサポートされていないため、ポートが err-disabled ステートになる場合があります。

802.1x をサポートしていないクライアントが、無許可ステートの 802.1x ポートに接続すると、スイッチはそのクライアントの識別情報を要求します。この状況では、クライアントは要求に応答せず、ポートは引き続き無許可ステートとなり、クライアントはネットワーク アクセスを許可されません。

反対に、802.1x 対応のクライアントが、802.1x 標準が稼働していないポートに接続すると、クライアントは EAPOL-Start フレームを送信して認証プロセスを開始します。応答がなければ、クライアントは同じ要求を所定の回数だけ送信します。応答がないので、クライアントはポートが許可ステートであるものとしてフレーム送信を開始します。

authentication port-control インターフェイス コンフィギュレーション コマンドおよび次のキーワードを使用して、ポートの許可ステートを制御できます。

• force-authorized ：802.1x 認証をディセーブルにし、認証情報の交換を必要とせずに、ポートを許可ステートに変更します。ポートはクライアントとの 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。これがデフォルト設定です。

• force-unauthorized ：ポートが無許可ステートのままになり、クライアントからの認証の試みをすべて無視します。スイッチはポートを介してクライアントに認証サービスを提供できません。

• auto ：802.1x 認証をイネーブルにします。ポートは最初、無許可ステートであり、ポート経由で送受信できるのは EAPOL フレームだけです。ポートのリンク ステートがダウンからアップに変更した際、または EAPOL-Start フレームを受信した際に、認証プロセスが開始されます。スイッチはクライアントの識別情報を要求し、クライアントと認証サーバとの間で認証メッセージのリレーを開始します。スイッチはクライアントの MAC アドレスを使用して、ネットワーク アクセスを試みる各クライアントを一意に識別します。

クライアントが認証に成功すると（認証サーバから Accept フレームを受信すると）、ポートが許可ステートに変わり、認証されたクライアントからの全フレームがポート経由での送受信を許可されます。認証が失敗すると、ポートは無許可ステートのままですが、認証を再試行することはできます。認証サーバに到達できない場合、スイッチは要求を再送信します。所定の回数だけ試行してもサーバから応答が得られない場合には、認証が失敗し、ネットワーク アクセスは許可されません。

クライアントはログオフするとき、EAPOL-Logoff メッセージを送信します。このメッセージによって、スイッチ ポートが無許可ステートになります。

ポートのリンク ステートがアップからダウンに変更した場合、または EAPOL-Logoff フレームを受信した場合に、ポートは無許可ステートに戻ります。

802.1x ポートは、シングル ホスト モードまたはマルチ ホスト モードで設定できます。シングルホストモードでは、802.1x 対応のポートに接続できるのはクライアント 1 つだけです。デバイスは、ポートのリンクステートがアップに変化したときに、EAPOL フレームを送信することでクライアントを検出します。クライアントがログオフしたとき、または別のクライアントに代わったときには、デバイスはポートのリンクステートをダウンに変更し、ポートは無許可ステートに戻ります。

マルチ ホスト モードでは、複数のホストを単一の 802.1x 対応ポートに接続できます。このモードでは、接続されたクライアントのうち 1 つが許可されれば、クライアントすべてのネットワーク アクセスが許可されます。ポートが無許可ステートになると（再認証が失敗するか、または EAPOL-Logoff メッセージを受信した場合）、デバイスは接続しているクライアントのネットワークアクセスをすべて禁止します。

このトポロジでは、ワイヤレスアクセスポイントが接続しているクライアントの認証を処理し、デバイスに対してクライアントとしての役割を果たします。

（注）	すべてのホスト モードで、ポートベース認証が設定されている場合、ライン プロトコルは許可の前にアップのままです。

デバイスはマルチドメイン認証（MDA）をサポートしています。これにより、データ装置と IP Phone などの音声装置（シスコ製品またはシスコ以外の製品）の両方を同じデバイスポートに接続できます。

マルチ認証（multi-auth）モードでは、データ VLAN および音声 VLAN で複数のクライアントを認証できます。各ホストは個別に認証されます。マルチ認証ポートで認証できるデータデバイスまたは音声デバイスの数には制限はありません。

ハブまたはアクセス ポイントが 802.1x 対応ポートに接続されている場合、接続されている各クライアントを認証する必要があります。802.1x 以外のデバイスでは、MAC 認証バイパスまたは Web 認証をホスト単位認証フォールバック メソッドとして使用し、単一のポートで異なる方法で異なるホストを認証できます。

（注）	ポートがマルチ認証モードの場合、認証失敗 VLAN 機能はアクティブになりません。

次の条件で、RADIUS サーバから提供された VLAN をマルチ認証モードで割り当てることができます。

• ホストがポートで最初に許可されたホストであり、RADIUS サーバが VLAN 情報を提供している。

• 後続のホストが、動作 VLAN に一致する VLAN を使用して許可される。

• ホストは VLAN が割り当てられていないポートで許可され、後続のホストでは VLAN 割り当てが設定されていないか、VLAN 情報が動作 VLAN と一致している。

• ポートで最初に許可されたホストにはグループ VLAN が割り当てられ、後続のホストでは VLAN 割り当てが設定されていないか、グループ VLAN がポート上のグループ VLAN と一致している。後続のホストが、最初のホストと同じ VLAN グループの VLAN を使用する必要がある。VLAN リストが使用されている場合、すべてのホストは VLAN リストで指定された条件に従う。

• VLAN がポート上のホストに割り当てられると、後続のホストは一致する VLAN 情報を持つ必要があり、この情報がなければポートへのアクセスを拒否される。

• ゲスト VLAN または認証失敗 VLAN をマルチ認証モードに設定できない。

• クリティカル認証 VLAN の動作が、マルチ認証モード用に変更されない。ホストが認証を試みたときにサーバに到達できない場合、許可されたすべてのホストは、設定された VLAN で再初期化される。

あるスイッチ ポートで MAC アドレスが認証されると、そのアドレスは同じスイッチの別の認証マネージャ対応ポートでは許可されません。スイッチが同じ MAC アドレスを別の認証マネージャ対応ポートで検出すると、そのアドレスは許可されなくなります。

場合によっては、MAC アドレスを同じスイッチ上のポート間で移動する必要があります。たとえば、認証ホストとスイッチ ポート間に別のデバイス（ハブまたは IP Phone など）がある場合、ホストをデバイスから接続して、同じスイッチの別のポートに直接接続する必要があります。

デバイスが新しいポートで再認証されるように、MAC 移動をグローバルにイネーブルにできます。ホストが 2 番目のポートに移動すると、最初のポートのセッションが削除され、ホストは新しいポートで再認証されます。MAC 移動はすべてのホスト モードでサポートされます（認証ホストは、ポートでイネーブルにされているホスト モードに関係なく、スイッチの任意のポートに移動できます）。MAC アドレスがあるポートから別のポートに移動すると、スイッチは元のポートで認証済みセッションを終了し、新しいポートで新しい認証シーケンスを開始します。MAC 移動の機能は、音声およびデータ ホストの両方に適用されます。

（注）	オープン認証モードでは、MAC アドレスは、新しいポートでの許可を必要とせずに、元のポートから新しいポートへただちに移動します。

MAC 置換機能は、ホストが、別のホストがすでに認証済みであるポートに接続しようとすると発生する違反に対処するように設定できます。

（注）	違反はマルチ認証モードでは発生しないため、マルチ認証モードのポートにこの機能は適用されません。マルチホスト モードで認証が必要なのは最初のホストだけなので、この機能はこのモードのポートには適用されません。

replace キーワードを指定して authentication violation インターフェイス コンフィギュレーション コマンドを設定すると、マルチドメインモードのポートでの認証プロセスは、次のようになります。

• 既存の認証済み MAC アドレスを使用するポートで新しい MAC アドレスが受信されます。

• 認証マネージャは、ポート上の現在のデータ ホストの MAC アドレスを、新しい MAC アドレスで置き換えます。

• 認証マネージャは、新しい MAC アドレスに対する認証プロセスを開始します。

• 認証マネージャによって新しいホストが音声ホストであると判断された場合、元の音声ホストは削除されます。

ポートがオープン認証モードになっている場合、MAC アドレスはただちに MAC アドレス テーブルに追加されます。

802.1x 標準では、ユーザの認証およびユーザのネットワーク アクセスに対する許可方法を定義しています。ただし、ネットワークの使用法についてはトラッキングしません。802.1x アカウンティングは、デフォルトでディセーブルです。802.1x アカウンティングをイネーブルにすると、次の処理を 802.1x 対応のポート上でモニタできます。

• 正常にユーザを認証します。

• ユーザがログ オフします。

• リンクダウンが発生します。

• 再認証が正常に行われます。

• 再認証が失敗します。

デバイスは 802.1x アカウンティング情報を記録しません。その代わり、スイッチはこの情報を RADIUS サーバに送信します。RADIUS サーバは、アカウンティング メッセージを記録するように設定する必要があります。

RADIUS セキュリティ サーバは、ホスト名または IP アドレス、ホスト名と特定の UDP ポート番号、または IP アドレスと特定の UDP ポート番号によって識別します。IP アドレスと UDP ポート番号の組み合わせによって、一意の ID が作成され、同一 IP アドレスのサーバ上にある複数の UDP ポートに RADIUS 要求を送信できるようになります。同じ RADIUS サーバ上の異なる 2 つのホスト エントリに同じサービス（たとえば認証）を設定した場合、2 番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして動作します。RADIUS ホスト エントリは、設定した順序に従って試行されます。

802.1x 認証を設定する場合の注意事項は、次のとおりです。

• 802.1x 認証をイネーブルにすると、他のレイヤ 2 またはレイヤ 3 機能がイネーブルになる前に、ポートが認証されます。

• 802.1x 対応ポートが割り当てられている VLAN が変更された場合、この変更は透過的でデバイスには影響しません。たとえば、ポートが RADIUS サーバに割り当ててられた VLAN に割り当てられ、再認証後に別の VLAN に割り当てられた場合に、この変更が発生します。

  802.1x ポートが割り当てられている VLAN がシャットダウン、ディセーブル、または削除される場合、ポートは無許可になります。たとえば、ポートが割り当てられたアクセス VLAN がシャットダウンまたは削除された後、ポートは無許可になります。

• 802.1x プロトコルは、レイヤ 2 スタティックアクセス ポート、音声 VLAN ポート、およびレイヤ 3 ルーテッド ポートでサポートされますが、次のポート タイプではサポートされません。

  • ダイナミックポート：ダイナミックモードのポートは、トランクポートへの変更を、ネイバーとネゴシエートする場合があります。ダイナミック ポートで 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、802.1x 認証はイネーブルになりません。802.1x 対応ポートのモードをダイナミックに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

  • EtherChannel ポート：アクティブまたはアクティブでない EtherChannel メンバーを 802.1x ポートとして設定しないでください。EtherChannel ポートで 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、802.1x 認証はイネーブルになりません。

  • スイッチドポートアナライザ（SPAN）宛先ポート：SPAN 宛先ポートであるポートの 802.1x 認証をイネーブルにすることができます。ただし、ポートを SPAN 宛先ポートとして削除するまでは、802.1x 認証はディセーブルになります。SPAN 送信元ポートでは 802.1x 認証をイネーブルにすることができます。

• デバイス上で、dot1x system-auth-control グローバル コンフィギュレーション コマンドを入力して 802.1x 認証をグローバルにイネーブルにする前に、802.1x 認証と EtherChannel が設定されているインターフェイスから、EtherChannel の設定を削除してください。

柔軟な認証の順序設定を使用して、ポートが新しいホストを認証するときに使用する方法の順序を設定できます。The IEEE 802.1X の柔軟な認証機能では、以下の 3 つの認証方式をサポートしています。

• dot1X：IEEE 802.1X 認証はレイヤ 2 の認証方式です。

• mab：MAC 認証バイパスはレイヤ 2 の認証方式です。

• webauth：Web 認証はレイヤ 3 の認証方式です。

これらの機能を使用すると、各ポートでどの認証方式を使用するかを制御できます。また、そのポートの方式についてフェールオーバー順も制御できます。たとえば、MAC 認証バイパスおよび 802.1x は、プライマリまたはセカンダリ認証方式として使用し、Web 認証は、これらの認証のいずれか、または両方が失敗した場合のフォールバック方法として使用できます。

The IEEE 802.1X の柔軟な認証機能では、以下のホスト モードをサポートしています。

• multi-auth：マルチ認証では、音声 VLAN に 1 つの認証、データ VLAN に複数の認証を使用できます。

• multi-domain：マルチドメイン認証では、音声 VLAN に 1 つ、データ VLAN に 1 つの、2 つの認証を使用できます。

デバイスは、VLAN 割り当てを使用した 802.1x 認証をサポートしています。ポートの 802.1x 認証が成功すると、RADIUS サーバは VLAN 割り当てを送信してデバイスポートを設定します。RADIUS サーバデータベースは、ユーザ名と VLAN のマッピングを維持し、デバイスポートに接続するクライアントのユーザ名に基づいて VLAN を割り当てます。この機能を使用して、特定のユーザのネットワーク アクセスを制限できます。

音声デバイス認証は、マルチドメイン ホスト モードでサポートされます。音声デバイスが許可されているときに、RADIUS サーバから許可された VLAN が返された場合、このポートの音声 VLAN は、割り当てられた音声 VLAN でパケットを送受信するように設定されています。音声 VLAN 割り当ては、マルチドメイン認証（MDA）対応のポートでのデータ VLAN 割り当てと同じように機能します。

デバイスと RADIUS サーバ上で設定された場合、VLAN 割り当てを使用した 802.1x 認証には次の特性があります。

• RADIUS サーバから VLAN が提供されない場合、または 802.1x 認証がディセーブルの場合、認証が成功するとポートはアクセス VLAN に設定されます。アクセス VLAN とは、アクセス ポートに割り当てられた VLAN です。このポート上で送受信されるパケットはすべて、この VLAN に所属します。

• 802.1x 認証がイネーブルで、RADIUS サーバからの VLAN 情報が有効でない場合、認証に失敗して、設定済みの VLAN が引き続き使用されます。これにより、設定エラーによって不適切な VLAN に予期せぬポートが現れることを防ぎます。

  設定エラーには、ルーテッド ポートの VLAN、間違った VLAN ID、存在しないまたは内部（ルーテッド ポート）の VLAN ID、RSPAN VLAN、シャットダウンしている VLAN、あるいは一時停止している VLAN ID の指定などがあります。マルチドメイン ホスト ポートの場合、設定エラーには、設定済みまたは割り当て済み VLAN ID と一致するデータ VLAN の割り当て試行（またはその逆）のために発生するものもあります。

• 802.1x 認証がイネーブルで、RADIUS サーバからのすべての情報が有効の場合、許可されたデバイスは認証後、指定した VLAN に配置されます。

• 802.1x ポートでマルチ ホスト モードがイネーブルの場合、すべてのホストは最初に認証されたホストと同じ VLAN（RADIUS サーバにより指定）に配置されます。

• ポート セキュリティをイネーブル化しても、RADIUS サーバが割り当てられた VLAN の動作には影響しません。

• 802.1x 認証がポートでディセーブルの場合、設定済みのアクセス VLAN と設定済みの音声 VLAN に戻ります。

• 802.1x ポートが認証され、RADIUS サーバによって割り当てられた VLAN に配置されると、そのポートのアクセス VLAN 設定への変更は有効になりません。マルチドメイン ホストの場合、ポートが完全にこれらの例外で許可されている場合、同じことが音声デバイスに適用されます。

  • あるデバイスで VLAN 設定を変更したことにより、他のデバイスに設定済みまたは割り当て済みの VLAN と一致した場合、ポート上の全デバイスの認証が中断して、データおよび音声デバイスに設定済みの VLAN が一致しなくなるような有効な設定が復元されるまで、マルチドメイン ホスト モードがディセーブルになります。

  • 音声デバイスが許可されて、ダウンロードされた音声 VLAN を使用している場合、音声 VLAN 設定を削除したり設定値を dot1p または untagged に修正したりすると、音声デバイスが未許可になり、マルチドメインホストモードがディセーブルになります。

ポートが、強制許可（force-authorized）ステート、強制無許可（force-unauthorized）ステート、無許可ステート、またはシャットダウン ステートの場合、ポートは設定済みのアクセス VLAN に配置されます。

802.1x ポートが認証され、RADIUS サーバによって割り当てられた VLAN に配置されると、そのポートのアクセス VLAN 設定への変更は有効になりません。マルチドメイン ホストの場合、ポートが完全にこれらの例外で許可されている場合、同じことが音声デバイスに適用されます。

• あるデバイスで VLAN 設定を変更したことにより、他のデバイスに設定済または割り当て済みの VLAN と一致した場合、ポート上の全デバイスの認証が中断して、データおよび音声デバイスに設定済みの VLAN が一致しなくなるような有効な設定が復元されるまで、マルチドメイン ホスト モードがディセーブルになります。

• 音声デバイスが許可されて、ダウンロードされた音声 VLAN を使用している場合、音声 VLAN 設定を削除したり設定値を dot1p または untagged に修正したりすると、音声デバイスが未許可になり、マルチドメインホストモードがディセーブルになります。

ポートが、強制許可（force-authorized）ステート、強制無許可（force-unauthorized）ステート、無許可ステート、またはシャットダウン ステートの場合、ポートは設定済みのアクセス VLAN に配置されます。

VLAN 割り当てを設定するには、次の作業を実行する必要があります。

• network キーワードを使用して AAA 認証をイネーブルにし、RADIUS サーバからのインターフェイス設定を可能にします。

• 802.1x 認証をイネーブルにします。（アクセス ポートで 802.1x 認証を設定すると、VLAN 割り当て機能は自動的にイネーブルになります）。

• RADIUS サーバにベンダー固有のトンネル属性を割り当てます。RADIUS サーバは次の属性をデバイスに返す必要があります。

  • [64] Tunnel-Type = VLAN

  • [65] Tunnel-Medium-Type = 802

  • [81] Tunnel-Private-Group-ID = VLAN 名または VLAN ID

  • [83] Tunnel-Preference

  属性 [64] は、値 VLAN（タイプ 13）でなければなりません。属性 [65] は、値802（タイプ 6）でなければなりません。属性 [81] は、IEEE 802.1x 認証ユーザに割り当てられた VLAN 名 または VLAN ID を指定します。

デバイス上の各 802.1x ポートにゲスト VLAN を設定し、クライアントに対して限定的なサービスを提供できます（802.1x クライアントのダウンロードなど）。これらのクライアントは 802.1x 認証用にシステムをアップグレードできる場合がありますが、一部のホスト（Windows 98 システムなど）は IEEE 802.1x 対応ではありません。

デバイスが EAP Request/Identity フレームに対する応答を受信していない場合、または EAPOL パケットがクライアントによって送信されない場合に、802.1x ポート上でゲスト VLAN をイネーブルにすると、デバイスはクライアントにゲスト VLAN を割り当てます。

デバイスは EAPOL パケット履歴を保持します。EAPOL パケットがリンクの存続時間中にインターフェイスで検出された場合、デバイスはそのインターフェイスに接続されているデバイスが IEEE 802.1x 対応のサプリカントであると判断します。インターフェイスはゲスト VLAN ステートにはなりません。インターフェイスのリンク ステータスがダウンした場合、EAPOL 履歴はクリアされます。EAPOL パケットがインターフェイスで検出されない場合、そのインターフェイスはゲスト VLAN のステートになります。

デバイスが 802.1x 対応の音声デバイスを許可しようとしたが、AAA サーバが使用できない場合、許可は失敗します。ただし、EAPOL パケットの検出は EAPOL 履歴に保存されます。この音声デバイスは、AAA サーバが使用可能になると許可されます。ただし、他のデバイスによるゲスト VLAN へのアクセスは許可されなくなります。この状況を防ぐには、次のいずれかのコマンド シーケンスを使用します。

• authentication event no-response action authorize vlan vlan-id インターフェイス コンフィギュレーション コマンドを入力し、ゲスト VLAN へのアクセスを許可します。

• shutdown インターフェイス コンフィギュレーション コマンドを入力し、さらに no shutdown インターフェイス コンフィギュレーション コマンドを入力してポートを再起動します。

リンクの存続時間中にデバイスが EAPOL パケットを送信した場合、デバイスはゲスト VLAN への認証アクセスに失敗したクライアントを許可しません。

（注）	インターフェイスがゲスト VLAN に変わってから EAPOL パケットが検出された場合、無許可ステートに戻って 802.1x 認証を再起動します。

デバイスポートがゲスト VLAN に変わると、802.1x 非対応クライアントはすべてアクセスを許可されます。ゲスト VLAN が設定されているポートに 802.1x 対応クライアントが加入すると、ポートは、ユーザ設定によるアクセス VLAN で無許可ステートになり、認証が再起動されます。

ゲスト VLAN は、単一のホスト、複数のホスト、複数の認証、またはマルチドメイン モードにおける 802.1x ポートでサポートされています。

デバイスは MAC 認証バイパスをサポートします。MAC 認証バイパスが 802.1x ポートでイネーブルの場合、デバイスは、IEEE 802.1x 認証のタイムアウト時に EAPOL メッセージ交換を待機している間、クライアント MAC アドレスに基づいてクライアントを許可できます。デバイスは、802.1x ポート上のクライアントを検出したあとで、クライアントからのイーサネットパケットを待機します。デバイスは、MAC アドレスに基づいたユーザ名およびパスワードを持つ RADIUS-Access/Request フレームを認証サーバに送信します。許可に成功した場合、デバイスはクライアントにネットワークへのアクセスを許可します。許可に失敗した場合、ゲスト VLAN が指定されていれば、デバイスはポートをゲスト VLAN に割り当てます。

ゲスト VLAN にアクセスできないクライアント向けに、限定されたサービスを提供するために、デバイスの各 IEEE 802.1x ポートに対して制限付き VLAN（認証失敗 VLAN と呼ばれることもあります）を設定できます。これらのクライアントは、認証プロセスに失敗したため他の VLAN にアクセスできない 802.1x 対応クライアントです。制限付き VLAN を使用すると、認証サーバの有効なクレデンシャルを持っていないユーザ（通常、企業にアクセスするユーザ）に、サービスを制限したアクセスを提供できます。管理者は制限付き VLAN のサービスを制御できます。

（注）	両方のタイプのユーザに同じサービスを提供する場合、ゲスト VLAN と制限付き VLAN の両方を同じに設定できます。

この機能がないと、クライアントは認証失敗を永遠に繰り返すことになるため、デバイスポートがスパニングツリーのブロッキングステートから変わることができなくなります。この機能を使用することで、クライアントの認証試行回数を指定し（デフォルト値は 3 回）、一定回数後にデバイスポートを制限付き VLAN の状態に移行させることができます。

認証サーバはクライアントの認証試行回数をカウントします。このカウントが設定した認証試行回数を超えると、ポートが制限付き VLAN の状態に変わります。失敗した試行回数は、RADIUS サーバが EAP failure で応答したときや、EAP パケットなしの空の応答を返したときからカウントされます。ポートが制限付き VLAN に変わったら、このカウント数はリセットされます。

認証に失敗したユーザの VLAN は、もう一度認証を実行するまで制限された状態が続きます。VLAN 内のポートは設定された間隔に従って再認証を試みます（デフォルトは 60 秒）。再認証に失敗している間は、ポートの VLAN は制限された状態が続きます。再認証に成功した場合、ポートは設定された VLAN もしくは RADIUS サーバによって送信された VLAN に移行します。再認証はディセーブルにすることもできますが、ディセーブルにすると、link down または EAP logoff イベントを受信しない限り、ポートの認証プロセスを再起動できません。クライアントがハブを介して接続している場合、再認証機能はイネーブルにしておくことを推奨します。クライアントの接続をハブから切り離すと、ポートに link down や EAP logoff イベントが送信されない場合があります。

ポートが制限付き VLAN に移行すると、EAP 成功の疑似メッセージがクライアントに送信されます。このメッセージによって、繰り返し実行している再認証を停止させることができます。クライアントによっては（Windows XP が稼働しているデバイスなど）、EAP なしで DHCP を実装できません。

制限付き VLAN は、すべてのホスト モードでの 802.1x ポート上、およびレイヤ 2 ポート上でサポートされます。

ダイナミック ARP インスペクション、DHCP スヌーピング、IP 送信元ガードなどの他のセキュリティ ポート機能は、制限付き VLAN に対して個別に設定できます。

ゲスト VLAN にアクセスできないクライアント向けに、限定されたサービスを提供するために、デバイスの各 802.1X ポートに対して認証失敗 VLAN を設定できます。これらのクライアントは 802.1X 準拠で、認証プロセスに失敗しているため別の VLAN にアクセスすることができません。認証失敗 VLAN を使用すると、認証サーバの有効なクレデンシャルを持っていないユーザ（通常、企業にアクセスするユーザ）に、サービスを制限したアクセスを提供できます。管理者は認証失敗 VLAN のサービスを制御できます。

（注）	両方のタイプのユーザに同じサービスを提供する場合、ゲスト VLAN と認証失敗 VLAN の両方を同じに設定できます。

この機能がないと、クライアントは認証失敗を永遠に繰り返すことになるため、デバイスポートがスパニングツリーのブロッキングステートから変わることができなくなります。この機能を使用することで、クライアントの認証試行回数を指定し（デフォルト値は 3 回）、一定回数後にデバイスポートを認証失敗 VLAN の状態に移行させることができます。

認証サーバはクライアントの認証試行回数をカウントします。このカウントが設定した認証試行回数を超えると、ポートが認証失敗 VLAN の状態に変わります。失敗した試行回数は、RADIUS サーバが EAP failure で応答したときや、EAP パケットなしの空の応答を返したときからカウントされます。ポートが認証失敗 VLAN に変わったら、このカウント数はリセットされます。

認証に失敗したユーザの VLAN は、もう一度認証を実行するまで認証失敗の状態が続きます。認証失敗 VLAN 内のポートは設定された間隔に従って再認証を試みます（デフォルトは 60 秒）。再認証に失敗している間は、ポートの VLAN は認証失敗の状態が続きます。再認証に成功した場合、ポートは設定された VLAN もしくは RADIUS サーバによって送信された VLAN に移行します。再認証はディセーブルにすることもできますが、ディセーブルにした場合、認証プロセスを再開する唯一の方法は、ポートでリンク ダウンまたは EAP ログオフ イベントを受信することです。クライアントがハブを介して接続している場合、再認証機能はイネーブルにしておくことを推奨します。クライアントがハブから切断されると、ポートがリンク ダウンや EAP ログオフ イベントを受信しない可能性があります。

ポートが認証失敗 VLAN に移行すると、EAP 成功の疑似メッセージがクライアントに送信されます。このメッセージによって、繰り返し実行している再認証を停止させることができます。

前提条件として、デバイスを Cisco Secure Access Control System（ACS）に接続し、RADIUS 認証、許可、およびアカウンティング（AAA）を Web 認証用に設定する必要があります。また、必要に応じて、ACL ダウンロードを有効にします。

Open1x 認証によって、デバイスが認証される前に、そのデバイスがポートにアクセスできるようになります。オープン認証が設定されている場合、新しいホストはポートに定義されているアクセス コントロール リスト（ACL）に基づいてトラフィックを渡します。ホストが認証されると、RADIUS サーバに設定されているポリシーがそのホストに適用されます。

オープン認証を次の状況で設定できます。

• シングルホストモードでのオープン認証：1 人のユーザだけが認証の前後にネットワークにアクセスできます。

• MDA モードでのオープン認証：音声ドメインの 1 人のユーザだけ、およびデータドメインの 1 人のユーザだけが許可されます。

• マルチホストモードでのオープン認証：任意のホストがネットワークにアクセスできます。

• 複数認証モードでのオープン認証：MDA の場合と似ていますが、複数のホストを認証できます。

  （注）	オープン認証が設定されている場合は、他の認証制御よりも優先されます。これは、authentication open インターフェイス コンフィギュレーション コマンドを使用した場合、authentication port-control インターフェイス コンフィギュレーション コマンドに関係なく、ポートがホストにアクセス権を付与することを意味します。

ログイン制限機能では、ネットワーク管理者が、ユーザによるネットワークへのログイン試行を制限することができます。ユーザによるネットワークへのログインの試行が、設定可能な時間制限内かつ設定可能な回数以内に成功しなかった場合、そのユーザをブロックできます。この機能は、ローカル ユーザに対してだけ有効であり、リモート ユーザは利用できません。この機能を有効にするには、グローバル コンフィギュレーション モードで aaa authentication rejected コマンドを設定する必要があります。

デバイスが設定された RADIUS サーバに到達できず、新しいホストを認証できない場合、アクセス不能認証バイパス機能を使用します。この機能は、クリティカル認証または AAA 失敗ポリシーとも呼ばれます。これらのホストをクリティカルポートに接続するようにデバイスを設定できます。

新しいホストがクリティカル ポートに接続しようとすると、そのホストはユーザ指定のアクセス VLAN、クリティカル VLAN に移動されます。管理者はこれらのホストに制限付き認証を付与します。

デバイスは、クリティカルポートに接続されているホストを認証しようとする場合、設定されている RADIUS サーバのステータスをチェックします。利用可能なサーバが 1 つあれば、デバイスはホストを認証できます。ただし、すべての RADIUS サーバが利用不可能な場合は、デバイスはホストへのネットワークアクセスを許可して、ポートを認証ステートの特別なケースであるクリティカル認証ステートにします。

（注）	クリティカル認証をインターフェイスで設定する場合は、クリティカル承認（クリティカル vlan）に使用する vlan をデバイスでアクティブにする必要があります。クリティカル vlan が非アクティブまたはダウンしていると、クリティカル認証セッションは非アクティブな VLAN のイネーブル化を試行し続け、繰り返し失敗します。これは大量のメモリ保持の原因となる可能性があります。

VLAN 割り当て、ゲスト VLAN、制限付き VLAN、およびアクセス不能認証バイパス設定時の注意事項は、次のとおりです。

• 802.1x 認証をポート上でイネーブルにすると、音声 VLAN の機能を持つポート VLAN は設定できません。

• トランクポートまたはダイナミックポートの場合、VLAN 割り当て機能を使用した 802.1x 認証はサポートされません。

• 音声 VLAN を除くあらゆる VLAN を、802.1x ゲスト VLAN として設定できます。ゲスト VLAN 機能は、内部 VLAN（ルーテッド ポート）またはトランク ポートではサポートされていません。アクセス ポート上でだけサポートされます。

• DHCP クライアントが接続されている 802.1x ポートのゲスト VLAN を設定した後、DHCP サーバからホスト IP アドレスを取得する必要があります。クライアント上の DHCP プロセスが時間切れとなり DHCP サーバからホスト IP アドレスを取得しようとする前に、デバイス上の 802.1x 認証プロセスを再起動する設定を変更できます。802.1x 認証プロセスの設定を減らします（authentication timer inactivity および authentication timer reauthentication インターフェイス コンフィギュレーション コマンド）。設定の減少量は、接続された 802.1x クライアントのタイプによって異なります。

• アクセス不能認証バイパス機能を設定する際には、次の注意事項に従ってください。

  • この機能はシングル ホスト モードおよびマルチホスト モードの 802.1x ポートでサポートされます。

  • アクセス不能認証バイパス機能および制限付き VLAN を 802.1x ポート上に設定できます。デバイスが制限付き VLAN 内でクリティカルポートを再認証しようとし、すべての RADIUS サーバが利用不可能な場合、デバイスはポートステートをクリティカル認証ステートに変更し、制限付き VLAN に残ります。

• 音声 VLAN を除くあらゆる VLAN を、802.1x 制限付き VLAN として設定できます。制限付き VLAN 機能は、内部 VLAN（ルーテッド ポート）またはトランク ポートではサポートされていません。アクセス ポート上でだけサポートされます。

MAC 認証バイパス機能を使用し、クライアント MAC アドレスに基づいてクライアントを許可するようにデバイスを設定できます。たとえば、プリンタなどのデバイスに接続された IEEE 802.1x ポートでこの機能をイネーブルにできます。

クライアントからの EAPOL 応答の待機中に IEEE 802.1x 認証がタイムアウトした場合、デバイスは MAC 認証バイパスを使用してクライアントを許可しようとします。

MAC 認証バイパス機能が IEEE 802.1x ポートでイネーブルの場合、デバイスはクライアント ID として MAC アドレスを使用します。認証サーバには、ネットワーク アクセスを許可されたクライアント MAC アドレスのデータベースがあります。デバイスは、IEEE 802.1x ポート上のクライアントを検出した後で、クライアントからのイーサネットパケットを待機します。デバイスは、MAC アドレスに基づいたユーザ名およびパスワードを持つ RADIUS-Access/Request フレームを認証サーバに送信します。許可に成功した場合、デバイスはクライアントにネットワークへのアクセスを許可します。許可に失敗した場合、ゲスト VLAN が設定されていればデバイスはポートにゲスト VLAN を割り当てます。このプロセスは、ほとんどのクライアント デバイスで動作します。ただし、代替の MAC アドレス形式を使用しているクライアントでは動作しません。標準の形式とは異なる MAC アドレスを持つクライアントに対して MAB 認証をどのように実行するかや、RADIUS の設定のどこでユーザ名とパスワードが異なることが要求されるかを設定できます。

リンクのライフタイム中に EAPOL パケットがインターフェイス上で検出された場合、デバイスは、そのインターフェイスに接続されているデバイスが 802.1x 対応サプリカントであることを確認し、（MAC 認証バイパス機能ではなく）802.1x 認証を使用してインターフェイスを許可します。インターフェイスのリンク ステータスがダウンした場合、EAPOL 履歴はクリアされます。

デバイスがすでに MAC 認証バイパスを使用してポートを許可し、IEEE 802.1x サプリカントを検出している場合、デバイスはポートに接続されているクライアントを許可します。再認証が発生するときに、Termination-Action RADIUS 属性値が DEFAULT であるために前のセッションが終了した場合、デバイスはポートに設定されている認証または再認証方式を使用します。

MAC 認証バイパスで認証されたクライアントは再認証できます。再認証プロセスは、IEEE 802.1x を使用して認証されたクライアントに対するプロセスと同じです。再認証中は、ポートは前に割り当てられた VLAN のままです。再認証に成功すると、デバイスはポートを同じ VLAN に保持します。再認証に失敗した場合、ゲスト VLAN が設定されていれば、デバイスはポートをゲスト VLAN に割り当てます。

再認証が Session-Timeout RADIUS 属性（Attribute[27]）、および Termination-Action RADIUS 属性（Attribute[29]）に基づいて行われるときに、Termination-Action RADIUS 属性（Attribute[29]）のアクションが Initialize（属性値は DEFAULT）である場合、MAC 認証バイパス セッションは終了し、再認証の間の接続は失われます。MAC 認証バイパス機能がイネーブルで IEEE 802.1x 認証がタイムアウトした場合、デバイスは MAC 認証バイパス機能を使用して再認証を開始します。これらの AV ペアの詳細については、RFC 3580『IEEE 802.1X Remote Authentication Dial In User Service (RADIUS)』を参照してください。

MAC 認証バイパスは、次の機能と相互に作用します。

• IEEE 802.1x 認証：802.1x 認証がポートでイネーブルの場合にのみ MAC 認証バイパスをイネーブルにできます。

• ゲスト VLAN：クライアントの MAC アドレス ID が無効な場合、ゲスト VLAN が設定されていれば、デバイスは VLAN にクライアントを割り当てます。

• 制限付き VLAN：IEEE 802.1x ポートに接続されているクライアントが MAC 認証バイパスで認証されている場合には、この機能はサポートされません。

• ポート セキュリティ

• 音声 VLAN

• Network Edge Access Topology（NEAT）：MAB と NEAT は相互に排他的です。インターフェイス上で NEAT が有効の場合は、MAB を有効にすることはできません。また、インターフェイス上で MAB が有効の場合は、NEAT を有効にすることはできません。

音声 VLAN ポートは特殊なアクセス ポートで、次の 2 つの VLAN ID が対応付けられています。

• IP Phone との間で音声トラフィックを伝送する VVID。VVID は、ポートに接続された IP Phone を設定するために使用されます。

• IP Phone を通じて、デバイスと接続しているワークステーションとの間でデータトラフィックを伝送する PVID。PVID は、ポートのネイティブ VLAN です。

ポートの許可ステートにかかわらず、IP Phone は音声トラフィックに対して VVID を使用します。これにより、IP Phone は IEEE 802.1x 認証とは独立して動作できます。

シングル ホスト モードでは、IP Phone だけが音声 VLAN で許可されます。マルチ ホスト モードでは、サプリカントが PVID で認証された後、追加のクライアントがトラフィックを音声 VLAN 上で送信できます。マルチ ホスト モードがイネーブルの場合、サプリカント認証は PVID と VVID の両方に影響します。

リンクがあるとき、音声 VLAN ポートはアクティブになり、IP Phone からの最初の Cisco Discovery Protocol メッセージを受け取るとデバイスの MAC アドレスが表示されます。Cisco IP Phone は、他のデバイスから受け取った Cisco Discovery Protocol メッセージをリレーしません。その結果、複数の IP Phone が直列で接続されている場合、デバイスは直接接続されている 1 台だけを認識します。音声 VLAN ポートで IEEE 802.1x 認証がイネーブルの場合、デバイスは 2 ホップ以上離れた認識されない IP Phone からのパケットをドロップします。

IEEE 802.1x 認証をデバイスポート上でイネーブルにすると、音声 VLAN でもあるアクセスポート VLAN を設定できます。

IP Phone がシングルホストモードで 802.1x 対応のデバイスポートに接続されている場合、デバイスは認証を行わずに電話ネットワークアクセスを承認します。ポートでマルチドメイン認証（MDA）を使用して、データ デバイスと IP Phone などの音声デバイスの両方を認証することを推奨します。

（注）	音声 VLAN が設定され、Cisco IP Phone が接続されているアクセスポートで IEEE 802.1x 認証をイネーブルにした場合、Cisco IP Phone のデバイスへの接続が最大 30 秒間失われます。

IEEE 802.1x ではポート単位（IP テレフォニーに MDA が設定されている場合は VLAN 単位）で単一の MAC アドレスが適用され、ポートセキュリティは冗長であり、場合によっては期待される IEEE 802.1x の動作と干渉することがあります。

IEEE 802.1x がイネーブルの場合に、ポートセキュリティをイネーブルにすることは推奨されません。

IEEE 802.1X ポートベース認証を設定するには、認証、認可、およびアカウンティング（AAA）を有効にし、認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためにクエリー送信を行う手順と認証方式を記述したものです。

AAA プロセスは認証から始まります。802.1x ポートベース認証がイネーブルであり、クライアントが 802.1x 準拠のクライアント ソフトウェアをサポートしている場合、次のイベントが発生します。

• クライアント ID が有効で 802.1x 認証に成功した場合、デバイスはクライアントにネットワークへのアクセスを許可します。

• EAPOL メッセージ交換の待機中に 802.1x 認証がタイムアウトし、MAC 認証バイパスがイネーブルの場合、デバイスはクライアント MAC アドレスを認証用に使用します。このクライアント MAC アドレスが有効で認証に成功した場合、デバイスはクライアントにネットワークへのアクセスを許可します。クライアント MAC アドレスが無効で認証に失敗した場合、ゲスト VLAN が設定されていれば、デバイスはクライアントに限定的なサービスを提供するゲスト VLAN を割り当てます。

• デバイスが 802.1x 対応クライアントから無効な ID を取得し、制限付き VLAN が指定されている場合、デバイスはクライアントに限定的なサービスを提供する制限付き VLAN を割り当てることができます。

• RADIUS 認証サーバが使用できず（ダウンしていて）アクセスできない認証バイパスがイネーブルの場合、デバイスは、RADIUS 設定済み VLAN またはユーザ指定のアクセス VLAN で、ポートをクリティカル認証ステートにして、クライアントにネットワークへのアクセスを許可します。

  （注）	アクセスできない認証バイパスは、クリティカル認証、または AAA 失敗ポリシーとも呼ばれます。

ポートで Multi Domain Authentication（MDA）が有効になっている場合、音声許可に該当する例外をいくつか伴ったフローを使用できます。

次の状況のいずれかが発生すると、デバイスはクライアントを再認証します。

• 定期的な再認証がイネーブルで、再認証タイマーの期限が切れている場合。

  デバイス固有の値を使用するか、RADIUS サーバからの値に基づいて再認証タイマーを設定できます。

  RADIUS サーバを使用した 802.1x 認証の後で、デバイスは Session-Timeout RADIUS 属性（Attribute[27]）、および Termination-Action RADIUS 属性（Attribute[29]）に基づいてタイマーを使用します。

  Session-Timeout RADIUS 属性（Attribute[27]）には再認証が行われるまでの時間を指定します。

  Termination-Action RADIUS 属性（Attribute[29]）には、再認証中に行われるアクションを指定します。アクションは Initialize および ReAuthenticate に設定できます。アクションに Initialize（属性値は DEFAULT）を設定した場合、802.1x セッションは終了し、認証中、接続は失われます。アクションに ReAuthenticate（属性値は RADIUS-Request）を設定した場合、セッションは再認証による影響を受けません。

• クライアントを手動で再認証するには、dot1x re-authenticate interface interface-id 特権 EXEC コマンドを入力します。

802.1x 認証中に、デバイスまたはクライアントは認証を開始できます。authentication port-control auto インターフェイス コンフィギュレーション コマンドを使用してポート上で認証をイネーブルにすると、デバイスは、リンクステートがダウンからアップに移行したときに認証を開始し、ポートがアップしていて認証されていない場合は定期的に認証を開始します。デバイスはクライアントに EAP-Request/Identity フレームを送信し、識別情報を要求します。クライアントはフレームを受信すると、EAP-Response/Identity フレームで応答します。

ただし、クライアントが起動時にデバイスからの EAP-Request/Identity フレームを受信しなかった場合、クライアントは EAPOL-Start フレームを送信して認証を開始できます。このフレームはデバイスに対し、クライアントの識別情報を要求するように指示します。

（注）	ネットワーク アクセス デバイスで 802.1x 認証がイネーブルに設定されていない、またはサポートされていない場合には、クライアントからの EAPOL フレームはすべて廃棄されます。クライアントが認証の開始を 3 回試みても EAP-Request/Identity フレームを受信しなかった場合、クライアントはポートが許可ステートであるものとしてフレームを送信します。ポートが許可ステートであるということは、クライアントの認証が成功したことを実質的に意味します。

クライアントが自らの識別情報を提示すると、デバイスは仲介デバイスとしての役割を開始し、認証が成功または失敗するまで、クライアントと認証サーバの間で EAP フレームを送受信します。認証が成功すると、ポートは許可ステートになります。認証に失敗した場合、認証が再試行されるか、ポートが限定的なサービスを提供する VLAN に割り当てられるか、あるいはネットワーク アクセスが許可されないかのいずれかになります。

実際に行われる EAP フレーム交換は、使用する認証方式によって異なります。

EAPOL メッセージ交換の待機中に 802.1x 認証がタイムアウトし、MAC 認証バイパスがイネーブルの場合、デバイスはクライアントからイーサネットパケットを検出するとそのクライアントを許可できます。デバイスは、クライアントの MAC アドレスを識別情報として使用し、RADIUS サーバに送信される RADIUS-Access/Request フレームにこの情報を保存します。サーバがデバイスに RADIUS-Access/Accept フレームを送信（許可が成功）すると、ポートが許可されます。許可に失敗してゲスト VLAN が指定されている場合、デバイスはポートをゲスト VLAN に割り当てます。イーサネットパケットの待機中にデバイスが EAPOL パケットを検出すると、デバイスは MAC 認証バイパスプロセスを停止して、802.1x 認証を開始します。

802.1x ユーザ ディストリビューションを設定すると、複数の異なる VLAN で同じグループ名のユーザのロード バランシングを行うことができます。

VLAN は、RADIUS サーバにより提供されるか、VLAN グループ名でデバイス CLI を介して設定されます。

• RADIUS サーバを設定して、ユーザの複数の VLAN 名を送信します。複数の VLAN 名は、ユーザへの応答の一部として送信できます。802.1x ユーザ ディストリビューションは、特定の VLAN のすべてのユーザを追跡し、許可されたユーザをユーザ数が最も少ない VLAN に移動することでロード バランシングを行います。

• RADIUS サーバを設定してユーザの VLAN グループ名を送信します。VLAN グループ名は、ユーザへの応答の一部として送信できます。デバイス CLI を使用して設定した VLAN グループ名で、選択された VLAN グループ名を検索できます。VLAN グループ名が検出されると、この VLAN グループ名で対応する VLAN を検索して、ユーザ数が最も少ない VLAN が検出されます。ロード バランシングは、対応する許可済みユーザをその VLAN に移動することで行われます。

  （注）	RADIUS サーバは、VLAN ID、VLAN 名、または VLAN グループを任意に組み合わせて VLAN 情報を送信できます。

• 少なくとも 1 つの VLAN が VLAN グループにマッピングされることを確認してください。

• 複数の VLAN を VLAN グループにマッピングできます。

• VLAN を追加または削除することで、VLAN グループを変更できます。

• 既存の VLAN を VLAN グループ名からクリアする場合、VLAN の認証済みポートはクリアされませんが、既存の VLAN グループからマッピングが削除されます。

• 最後の VLAN を VLAN グループ名からクリアすると、VLAN グループがクリアされます。

• アクティブ VLAN がグループにマッピングされても VLAN グループをクリアできます。VLAN グループをクリアすると、グループ内で任意の VLAN の認証ステートであるポートまたはユーザはクリアされませんが、VLAN の VLAN グループへのマッピングはクリアされます。

Network Edge Access Topology（NEAT）機能は、配線用ボックス（会議室など）外の領域まで識別を拡張します。これにより、任意のタイプのデバイスをポートで認証できます。

• 802.1x スイッチサプリカント：802.1x サプリカント機能を使用することで、別のデバイスのサプリカントとして機能するようにスイッチを設定できます。この設定は、たとえば、デバイスが配線用ボックス外にあり、トランクポートを介してアップストリームデバイスに接続される場合に役に立ちます。802.1x デバイスサプリカント機能を使用して設定されたデバイスは、セキュアな接続のためにアップストリームデバイスで認証します。サプリカントデバイスが認証に成功すると、オーセンティケータデバイスでポートモードがアクセスからトランクに変更されます。サプリカントデバイスでは、CISP をイネーブルにするときに手動でトランクを設定する必要があります。

• アクセス VLAN は、オーセンティケータデバイスで設定されている場合、認証が成功した後にトランクポートのネイティブ VLAN になります。

デフォルトでは、BPDU ガードがイネーブルにされたオーセンティケータデバイスにサプリカントデバイスを接続する場合で、オーセンティケータのポートはサプリカントデバイスが認証する前にスパニングツリープロトコル（STP）のブリッジ プロトコル データ ユニット（BPDU）を受信した場合、err-disabled 状態になる可能性があります。認証中にサプリカントのポートから送信されるトラフィックを制御できます。dot1x supplicant controlled transient グローバル コンフィギュレーション コマンドを入力すると、認証が完了する前にオーセンティケータのポートがシャットダウンすることがないように、認証中に一時的にサプリカントのポートがブロックされます。認証に失敗すると、サプリカントのポートが開きます。 no dot1x supplicant controlled transient グローバル コンフィギュレーション コマンドを入力すると、認証期間中にサプリカントのポートが開きます。これはデフォルトの動作です。

BPDU ガードが spanning-tree bpduguard enable インターフェイス コンフィギュレーション コマンドによりオーセンティケータ デバイス ポートでイネーブルになっている場合、サプリカントデバイスで dot1x supplicant controlled transient コマンドを使用することを強く推奨します。

（注）	spanning-tree portfast bpduguard default グローバル コンフィギュレーション コマンドを使用して、グローバルにオーセンティケータデバイスで BPDU ガードをイネーブルにした場合、dot1x supplicant controlled transient コマンドを入力すると、BPDU の違反が避けられなくなります。

1 つ以上のサプリカントデバイスに接続するオーセンティケータ デバイス インターフェイスで MDA またはマルチ認証モードをイネーブルにできます。マルチホストモードはオーセンティケータ デバイス インターフェイスではサポートされていません。

インターフェイスでシングルホストモードがイネーブルになっている状態でオーセンティケータデバイスをリブートすると、認証の前にインターフェイスが err-disabled 状態に移行することがあります。err-disabled 状態から回復するには、オーセンティケータのポートをフラップしてインターフェイスを再度アクティブにし、認証を開始します。

すべてのホストモードで機能するように dot1x supplicant force-multicast グローバル コンフィギュレーション コマンドを Network Edge Access Topology（NEAT）のサプリカントデバイスで使用します。

• ホスト許可：許可済み（サプリカントでデバイスに接続する）ホストからのトラフィックだけがネットワークで許可されます。これらのデバイスは、Client Information Signalling Protocol（CISP）を使用して、サプリカントデバイスに接続する MAC アドレスをオーセンティケータデバイスに送信します。

• 自動イネーブル化：オーセンティケータデバイスでのトランク コンフィギュレーションを自動的にイネーブル化します。これにより、サプリカントデバイスから着信する複数の VLAN のユーザトラフィックが許可されます。ISE で cisco-av-pair を device-traffic-class=switch として設定します（この設定は group または user 設定で行うことができます）。

  

（注）	switchport nonegotiate コマンドは、NEAT を使用したサプリカントおよびオーセンティケータデバイスではサポートされません。このコマンドは、トポロジのサプリカント側で設定しないでください。オーセンティケータ サーバ側で設定した場合は、内部マクロによってポートからこのコマンドが自動的に削除されます。

（注）	any は、ACL の発信元としてだけ設定できます。

（注）	マルチホストモードで設定された ACL では、ステートメントの発信元部分は any でなければなりません。（たとえば、 permit icmp any host 10.10.1.1 ）。

（注）	filter-ID としてロールベース ACL を使用することは推奨されません。

定義された ACL の発信元ポートには any を指定する必要があります。指定しない場合、ACL は適用できず、認証は失敗します。シングル ホストは唯一例外的に後方互換性をサポートします。

MDA 対応ポートおよびマルチ認証ポートでは、複数のホストを認証できます。ホストに適用される ACL ポリシーは、別のホストのトラフィックには影響を与えません。マルチ ホスト ポートで認証されるホストが 1 つだけで、他のホストが認証なしでネットワーク アクセスを取得する場合、送信元アドレスに any を指定することで、最初のホストの ACL ポリシーを他の接続ホストに適用できます。

音声認識 802.1x セキュリティ機能を使用して、セキュリティ違反が発生した場合にデータまたは音声 VLAN に関係なく VLAN だけをディセーブルにするようにデバイスを設定します。この機能が導入される前は、セキュリティ違反の原因であるデータクライアントを認証しようとすると、ポート全体がシャットダウンし、接続が完全に切断されていました。

この機能は、PC が IP Phone に接続されている IP Phone 環境で使用します。データ VLAN でセキュリティ違反が検出されると、データ VLAN だけがシャットダウンされます。音声 VLAN のトラフィックは中断することなくデバイスで送受信されます。