お初にお目にかかります。na5mi と申します。

海外拠点において、一部 ISP がユーザ側 GW に対して 802.1x (EAP-MD5) 認証を求める事例があります。

主に家庭用ルータで対応機器を利用する前提のようですが、Cisco ルータで対応させたく苦慮しております。

現在 C891 を試験導入して検証を進めておりますが、

どうにも認証が通らず、設定の問題なのかはたまたバグなのか確定したく思っております。

検証にあたり設定した config は下記のとおりです。

!
aaa new-model
!
cisp enable
eap profile ISP
 method md5
!
!
dot1x system-auth-control
dot1x credentials ISP
 username <ISP-USERNAME>
 password 0 <ISP-PASSWORD>
!
dot1x critical eapol
!
!
interface GigabitEthernet0/0
 mac-address yyyy.yyyy.yyyy
 ip address dhcp hostname <HOSTNAME>
 duplex auto
 speed auto
 authentication port-control auto
 dot1x pae supplicant
 dot1x credentials ISP
 dot1x supplicant eap profile ISP
 no cdp enable
!
!

この状態で Gi0/0 をモデムに接続しますと、debug log に下記のようなログが出力され、認証に失敗します。

*Mar  9 04:27:39.726: dot1x-ev(Gi0/0): Role determination not required
*Mar  9 04:27:39.726: dot1x-packet(Gi0/0): Queuing an EAPOL pkt on Supplicant Q
*Mar  9 04:27:39.726: dot1x-ev:Enqueued the eapol packet to the global supplicant queue
*Mar  9 04:27:39.726: dot1x-packet:Received an EAPOL frame on interface GigabitEthernet0/0
*Mar  9 04:27:39.726: dot1x-ev:Received pkt saddr =xxxx.xxxx.xxxx , daddr = yyyy.yyyy.yyyy, pae-ether-type = 888e.0100.0004
*Mar  9 04:27:39.726: dot1x-ev:Interface down - cannot start supplicant
*Mar  9 04:27:39.726: dot1x-ev:Interface down - cannot start supplicant
*Mar  9 04:27:39.726: dot1x-err:Unable to create an entry for the authenticator on interface GigabitEthernet0/0 for mac xxxx.xxxx.xxxx

Gi0/0 と ISP 間の通信をキャプチャしたところ、ISP 側からの Request Identity は正常に飛んできておりますが、

C891 側から Response Identity が返っておらず、認証がタイムアウトしているように見えます。

何方か知見をお持ちの方いらっしゃいましたら、対処方法をご教授いただけませんでしょうか。

よろしくお願いいたします。