Постановка задачи:

Пользователи авторизуются на порту свитча (802.1х). Происходит проверка баланса, если он ненулевой - доступ разрешается, иначе - нет.

Насколько я понял - подобное позволет сделать 3526 свитч. (Естественно с внешним радиус-сервером и соответствующей биллинговой системой.)

В соответствии с руководством имеем два варианта пользовательской авторизации на порту свитча.

1. Port-based
2. Mac-based

В случае 1 все достаточно легко и просто. Абонент послал запрос на авторизацию - его пустили. Одно но - ставить подобное на каждый дом несколько накладно. 24 абонента с дома я соберу очень и очень не скоро.

Что делаем? Подсоединяем к каждому порту 3526 свитч 2108. 3526 ставим в центре района, 2108 - на домах. Каждому порту 2108 даем отдельный ВЛАН, чтобы абоненты не видели друг друга и пробрасываем его до 3526.

О случае 2 в мануале говорится, что создается что-то типа множества виртуальных каналов, которые позволяют авторизовать на порту до 16 устройств. Вопрос - нужно ли мне при этом прописывать маки устройств руками или все будет работать как и в случае 1 с тем лишь исключением, что порт будет блокироваться для одних устройств и работать для других?

В Вашем случае нужно просто настроить Port Security на несколько MAC-адресов на порту, отключив Learning на портах.

В этом случае мне придется расставлять маки руками. Это минус. И я не смогу работать с радиусом. Это второй минус.


Ладно, поставим вопрос по-другому.

Могу ли я использовать Радиус-аутентификацию для нескольких устройств, подключенных к порту 3526? То есть, если один пользователь прошел аутентификацию, его пускают в сеть, другой не прошел - его не пускают? И все это на одном порту?

MAC-и не обязательно выставлять руками. Если настроить как я уже сказал, то первые несколько MAC-ов (сколько задано) будут зафиксированы в таблицы и будут ликвидными.
Да можете и так! Это называется MAC-Based access.