802.1x 規格では、一般の人がアクセス可能なポートから不正なクライアントが LAN に接続しないように規制する（適切に認証されている場合を除く）、クライアント/サーバ型のアクセス コントロールおよび認証プロトコルを定めています。認証サーバーがスイッチ ポートに接続する各クライアントを認証したうえで、スイッチまたは LAN が提供するサービスを利用できるようにします。設定情報を含む、802.1x の詳細については、「Configuring IEEE 802.1x Port-Based Authentication」を参照してください。

Network Edge Access Topology（NEAT）機能は、ワイヤリングクローゼット外の領域まで識別を拡張します。これにより、任意のタイプのデバイスをポートで認証できます。NEAT では、サプリカントスイッチとオーセンティケータ間でクライアントの MAC と VLAN 情報を伝播するために Client Information Signalling Protocol（CISP）が使用されます。CISP および NEAT は L2 ポートでのみサポートされ、L3 ポートではサポートされません。Cisco Catalyst IE9300 高耐久性シリーズ スイッチで NEAT を設定できます。

• 802.1x スイッチ サプリカント：802.1x サプリカント機能を使用することで、別のスイッチのサプリカントとして機能するようにスイッチを設定できます。この設定は、たとえば、スイッチがワイヤリング クローゼット外にあり、トランク ポートを介してアップストリーム スイッチに接続される場合に役に立ちます。802.1x スイッチ サプリカント機能を使用して設定されたスイッチは、セキュアな接続のためにアップストリーム スイッチで認証します。サプリカント スイッチが認証に成功すると、オーセンティケータ スイッチでポート モードがアクセスからトランクに変更されます。サプリカントスイッチでは、CISP を有効にするときに手動でトランクを設定する必要があります。

• アクセス VLAN は、オーセンティケータ スイッチで設定されている場合、認証が成功した後にトランク ポートのネイティブ VLAN になります。

デフォルトでは、BPDU ガードが有効にされたオーセンティケータ スイッチにサプリカントのスイッチを接続する場合、オーセンティケータのポートはサプリカント スイッチが認証する前にスパニングツリー プロトコル（STP）のブリッジ プロトコル データ ユニット（BPDU）を受信した場合、errdisable 状態になる可能性があります。認証中にサプリカントのポートから送信されるトラフィックを制御できます。dot1x supplicant controlled transient グローバル コンフィギュレーション コマンドを入力すると、認証が完了する前にオーセンティケータ ポートがシャットダウンすることがないように、認証中に一時的にサプリカントのポートをブロックします。認証に失敗すると、サプリカントのポートが開きます。no dot1x supplicant controlled transient グローバル コンフィギュレーション コマンドを入力すると、認証期間中にサプリカント ポートが開きます。これはデフォルトの動作です。

BPDU ガードが spanning-tree bpduguard enable インターフェイス コンフィギュレーション コマンドによりオーセンティケータのスイッチ ポートで有効になっている場合、サプリカント スイッチで dot1x supplicant controlled transient コマンドを使用することを強く推奨します。

（注）	spanning-tree portfast bpduguard default グローバル コンフィギュレーション コマンドを使用して、グローバルにオーセンティケータスイッチで BPDU ガードを有効にした場合、サプリカントスイッチで dot1x supplicant controlled transient コマンドを入力すると、BPDU の違反が避けられなくなります。

1 つ以上のサプリカントスイッチに接続するオーセンティケータ スイッチ インターフェイスで MDA または multiauth モードを有効にできます。マルチホスト モードはオーセンティケータ スイッチ インターフェイスではサポートされていません。

インターフェイスで有効になっているシングルホスト モードでオーセンティケータ スイッチをリブートすると、インターフェイスが認証前に err-disabled 状態に移行する場合があります。err-disabled 状態から回復するには、オーセンティケータ ポートをフラップしてインターフェイスを再度アクティブにし、認証を開始します。

すべてのホストモードで機能するように dot1x supplicant force-multicast グローバル コンフィギュレーション コマンドを NEAT のサプリカントスイッチで使用します。

• ホスト許可：許可済み（サプリカントでスイッチに接続する）ホストからのトラフィックだけがネットワークで許可されます。これらのスイッチは、CISP を使用して、サプリカントスイッチに接続する MAC アドレスをオーセンティケータスイッチに送信します。

• 自動有効化：オーセンティケータ スイッチでのトランク コンフィギュレーションを自動的に有効化します。これにより、サプリカント スイッチから着信する複数の VLAN のユーザー トラフィックが許可されます。ISE で cisco-av-pair を device-traffic-class=switch として設定します（この設定は group または user 設定で行うことができます）。

  

（注）	switchport nonegotiate コマンドは、NEAT を使用したサプリカントおよびオーセンティケータ スイッチではサポートされません。このコマンドは、トポロジのサプリカント側で設定しないでください。オーセンティケータ サーバ側で設定した場合は、内部マクロによってポートからこのコマンドが自動的に削除されます。

次に、NEAT の設定および使用に関する注意事項と制約事項を示します。

• シスコの Identity Server Engine（ISE）などの RADIUS サーバーが必要です。

• CISP および NEAT は L2 ポートでのみサポートされ、L3 ポートではサポートされません。

• NEAT および 802.1x は、EtherChannel ポートではサポートされません。

• NEAT はダイナミックポートではサポートされません。

• MACsec は NEAT でサポートされます。

• NEAT は PTP と併用できます。

• MAB と NEAT は相互に排他的です。インターフェイス上で NEAT が有効の場合は、MAB を有効にすることはできません。また、インターフェイス上で MAB が有効の場合は、NEAT を有効にすることはできません。

Client Information Signaling Protocol（CISP）および Network Edge Access Topology（NEAT）の設定に関する情報を確認するには、次の show コマンドを使用します。

• show cisp interface <interface name>

• show cisp clients

• show cisp summary

• show cisp registrations

次に、show cisp コマンドの出力例を示します。GigabitEthernet 1/0/1 はオーセンティケータとして設定され、GigabitEthernet 1/0/2 はサプリカントとして設定されます。

Auth# show cisp interface Gi1/0/2

CISP Status for interface Gi1/0/2
 ------------------------------------- 
Version: 1 
Mode: Supplicant Peer 
Mode: Authenticator 
Supp State: Idle

Auth# show cisp clients 

Authenticator Client Table:
 ------------------------
 MAC Address VLAN Interface
 ---------------------------------
 0050.5695.4de8 1 Gi1/0/10 
6c03.09e7.3947 1 Gi1/0/10 
6c03.09e7.3954 11 Gi1/0/10 
6c03.09e7.4485 1 Gi1/0/10
 9077.ee4a.8567 1 Gi1/0/10 
e41f.7ba1.bbd4 1 Gi1/0/10 

Supplicant Client Table: 
------------------------ 
MAC Address VLAN Interface 
--------------------------------- 
9077.ee4a.856b 11 Vl11 
9077.ee4a.8572 1 Ap1/1 
e41f.7bc7.2f03 1 Gi1/0/9

Auth# show cisp summary

CISP is running on the following interface(s):
----------------------------------------------
Gi1/0/2 (Authenticator)

Supp# show cisp summary

CISP is running on the following interface(s):
----------------------------------------------
Gi1/0/1 (Supplicant)

Auth# show cisp registrations

Interface(s) with CISP registered user(s):
------------------------------------------
Gi1/0/2
Auth Mgr (Authenticator)

Supp# show cisp registration

Interface(s) with CISP registered user(s):
------------------------------------------
Gi1/0/1
802.1x Sup (Supplicant)

CISP および NEAT をトラブルシューティングするには、次の debug コマンドを使用します。

• debug access-session errors

• debug access-session event

• debug dot1x errors

• debug dot1x packets

• debug dot1x events