Cisco Cisco Gigabit Ethernet Switch Module (CGESM) for HP Referências técnicas

When a restricted VLAN port is moved to an unauthorized state, the authentication process restarts. If 
the user fails the authentication process again, the authenticator waits in the held state. After the user has 
correctly re-authenticated, all IEEE 802.1x ports are reinitialized and treated as normal IEEE 802.1x 
ports.

When you reconfigure a restricted VLAN as a different VLAN, any ports in the restricted VLAN are also 
moved, and the ports stay in their currently authorized state.

When you shut down or remove a restricted VLAN from the VLAN database, any ports in the restricted 
VLAN are immediately moved to an unauthorized state, and the authentication process restarts. The 
authenticator does not wait in a held state because the restricted VLAN configuration still exists. While 
the restricted VLAN is inactive, all authentication attempts are counted. When the restricted VLAN 
becomes active, the port is placed in the restricted VLAN.

The restricted VLAN is supported only in single-host mode (the default port mode).

When a port is placed in a restricted VLAN, the user’s MAC address is added to the MAC address table. 
If a new MAC address appears on the port, it is treated as a security violation.

This example shows how to configure a restricted VLAN on port 1:

Switch# configure terminal 

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# interface gigabitethernet0/1

Switch(config-if)# dot1x auth-fail vlan 40

Switch(config-if)# end

Switch(config)# end

Switch#

You can verify your configuration by entering the show dot1x [interface interface-id] privileged EXEC 
command.

[max-attempts]

Configures the number of authentication attempts allowed 
before assigning a user to the restricted VLAN.

 [interface interface-id]

Displays IEEE 802.1x status for the specified port.