このモードでは、スイッチはポートリンクがアップしたときに1つのEAPOL Successフレームを送信し、ポート上のクライアントは認証なしでネットワークアクセスを許可されます。

このモードでは、スイッチはポートリンクがアップしたときに1つのEAPOL Failureフレームを送信し、ポート上のクライアントはネットワークアクセスを許可されません。

802.1X環境では、ユーザーはサプリカントと呼ばれ、スイッチはオーセンティケータになり、RADIUSサーバは認証サーバになります。 オーセンティケータは、中間者(man-in-the-middle)として動作し、サプリカントと認証サーバーの間で要求と応答を転送します。 サプリカントとスイッチ間で送信されるフレームは、EAPOL(EAP Over LANs)フレームと呼ばれる特殊な802.1Xフレームです。 EAPOLフレームはEAP PDUをカプセル化します(RFC3748)。スイッチとRADIUSサーバ間で送信されるフレームは、RADIUSパケットです。 また、RADIUSパケットは、スイッチのIPアドレス、名前、サプリカントのポート番号などの他の属性とともにEAP PDUをカプセル化します。 EAPは、MD5チャレンジ、PEAP、TLSなどのさまざまな認証方法が可能な点で非常に柔軟です。重要なことは、オーセンティケータ(スイッチ)が、サプリカントと認証サーバがどの認証方式を使用しているか、または特定の方法に必要な情報交換フレーム数を知る必要がないことです。 スイッチは、フレームのEAP部分を関連するタイプ（EAPOLまたはRADIUS）にカプセル化し、転送します。

認証が完了すると、RADIUSサーバは成功または失敗の指示を含む特別なパケットを送信します。 この決定をサプリカントに転送することに加えて、スイッチはサプリカントに接続されているスイッチポート上のトラフィックをオープンまたはブロックするためにこの決定を転送します。

注：2つのバックエンドサーバーが有効で、サーバーのタイムアウトが(AAA構成ページを使用して)X秒に設定されていて、リストの最初のサーバーが現在停止しているとみなされているとします。 ここでサプリカントがEAPOL StartフレームをX秒より早いレートで再送信すると、サプリカントから新しいEAPOL Startフレームを受信するたびに、スイッチが継続中のバックエンド認証サーバ要求をキャンセルするため、認証されません。 また、サーバーがまだ失敗していないため（X秒が経過していないため）、スイッチからの次回のバックエンド認証サーバー要求時に同じサーバーに接続します。 このシナリオは永遠に繰り返されます。したがって、サーバーのタイムアウトは、サプリカントのEAPOL開始フレーム再送信レートよりも小さくする必要があります。

ポートベースの802.1X認証では、サプリカントがポートで正常に認証されると、ポート全体がネットワークトラフィック用に開かれます。 これにより、ポートに接続されている他のクライアント(たとえばハブ経由)は、正常に認証されたクライアントをピギーバックし、本当に認証されていなくてもネットワークアクセスを取得できます。 このセキュリティ違反を克服するには、Single 802.1Xバリアントを使用します。
Single 802.1Xは実際にはIEEE標準ではありませんが、ポートベースの802.1Xと同じ特性の多くを備えています。Single 802.1Xでは、一度に1つのサプリカントがポートで認証されます。 通常のEAPOLフレームは、サプリカントとスイッチ間の通信に使用されます。ポートに複数のサプリカントが接続されている場合は、ポートのリンクが確立したときに最初に来るサプリカントが最初に考慮されます。 そのサプリカントが一定の時間内に有効な資格情報を提供しない場合、別のサプリカントにチャンスが与えられます。 サプリカントが正常に認証されると、サプリカントだけがアクセスを許可されます。これは、サポートされているすべてのモードのうちで最も安全です。 このモードでは、Port Securityモジュールを使用してサプリカントのMACアドレスが認証に成功すると、そのMACアドレスを保護します。

Multi 802.1Xは、IEEE標準ではなく、同じ特性の多くを備えた変種です。Multi 802.1Xでは、1つまたは複数のサプリカントが同じポート上で同時に認証されることがあります。 各サプリカントは個別に認証され、ポートセキュリティモジュールを使用してMACテーブルに保護されます。
Multi 802.1Xでは、スイッチからサプリカントに送信されたEAPOLフレームの宛先MACアドレスとしてマルチキャストBPDU MACアドレスを使用できません。 これは、ポートに接続されているすべてのサプリカントがスイッチから送信された要求に応答するためです。 代わりに、スイッチはサプリカントによって送信された最初のEAPOL StartまたはEAPOL Response Identityフレームから取得されたサプリカントのMACアドレスを使用します。 ただし、サプリカントが接続されていない場合は例外です。この場合、スイッチは宛先としてBPDUマルチキャストMACアドレスを使用してEAPOL要求アイデンティティフレームを送信し、ポート上にある可能性のあるサプリカントをウェイクアップさせます。
ポートセキュリティ制限機能を使用すると、ポートに接続できるサプリカントの最大数を制限できます。

ポートベースの802.1Xとは異なり、MACベースの認証は標準ではなく、業界で採用されているベストプラクティスの方法です。 MACベースの認証では、ユーザはクライアントと呼ばれ、スイッチはクライアントに代わってサプリカントとして機能します。 クライアントによって送信された最初のフレーム(あらゆる種類のフレーム)は、スイッチによってスヌーピングされます。 スイッチは、RADIUSサーバとのその後のEAP交換で、クライアントのMACアドレスをユーザ名とパスワードの両方として使用します。 6 ByteのMACアドレスは、"xx-xx-xx-xx-xx-xx"形式の文字列に変換されます。つまり、ダッシュ( - )が小文字の16進数の区切り文字として使用されます。 スイッチはMD5-Challenge認証方式のみをサポートしているため、RADIUSサーバを適切に設定する必要があります。
認証が完了すると、RADIUSサーバは成功または失敗の通知を送信し、ポートセキュリティモジュールを使用してスイッチが特定のクライアントのトラフィックをオープンまたはブロックします。 その後、クライアントからのフレームはスイッチ上で転送されます。この認証にはEAPOLフレームは含まれていないため、MACベース認証は802.1X標準とは何の関係もありません。
802.1Xベースの認証でのMACベースの認証の利点は、クライアントが認証に特別なサプリカントソフトウェアを必要としないことです。欠点は、MACアドレスが悪意のあるユーザによって偽装される可能性があることです。MACアドレスが有効なRADIUSユーザである機器は誰でも使用できます。また、MD5-Challengeメソッドのみがサポートされています。ポートセキュリティ制限機能を使用すると、ポートに接続できるクライアントの最大数を制限できます。

- Tunnel-Medium-Type：「IEEE-802」(ordinal 6)に設定する必要があります。
- Tunnel-Type：「VLAN」(ordinal 13)に設定する必要があります。
- Tunnel-Private-Group-ID：VLAN IDを表す10進文字列として解釈される '0'〜'9'の範囲のASCII文字列でなければなりません。先頭の0は破棄されます。最終的な値は[1; 4095]。

ゲストVLAN対応ポートのリンクが起動すると、スイッチはEAPOL要求アイデンティティフレームの送信を開始します。そのようなフレームの送信回数がMax Reauthを超える場合、カウント中にEAPOLフレームが受信されていない場合、スイッチはゲストVLANの入力を考慮します。 EAPOL要求アイデンティティフレームの送信間隔は、EAPOLタイムアウトで設定されます。 EAPOLが有効になっている場合にゲストVLANを許可すると、ポートはゲストVLANに配置されます。 無効にすると、スイッチはまず履歴をチェックして、ポートでEAPOLフレームが以前に受信されたかどうかを確認します(ポートリンクがダウンするかポートのAdmin Stateが変更されるとこの履歴はクリアされます)。 ゲストVLANに配置する必要があります。それ以外の場合は、ゲストVLANには移動しませんが、EAPOLタイムアウトによって指定された速度でEAPOL要求アイデンティティフレームを送信し続けます。

ゲストVLANに入ると、ポートは認証されたものとみなされ、ポート上のすべての接続クライアントはこのVLAN上でアクセスが許可されます。スイッチは、ゲストVLANに入るときにEAPOL Successフレームを送信しません。
ゲストVLANでは、スイッチはEAPOLフレームのリンクを監視し、そのようなフレームが1つ受信された場合、すぐにゲストVLANからポートを取り出し、ポートモードに従ってサプリカントの認証を開始します。 EAPOLフレームが受信された場合、「EAPOLが見える場合のゲストVLANの許可」が無効になっている場合、ポートはゲストVLANに戻ることはできません。