Настоил авторизацию по 802.1х на свитче DGS-1216t версия прошивки 4.20.11 в качестве радиус сервера использую сервер политики сети из Windows Server 2008. Все работает порты авторизуются по доменным учетным записям компьютеров. Но столкнулся с проблеммой. Есть хост с WinVista который не входит в домен но авторизация по 802.1х на нем активирована я создал для этого хоста правило исключения на радиус сервере по MAC которое разрешает этому хосту доступ в сеть. Но оно не работает. Я снял сетевым монитором обмен между свитчем и радиус сервером в момент авторизации этого хоста и выяснил, что радиус сервер посылает сообщение "Access-Accept" с успешной авторизацией хоста. Cвитч его получает но игнорирует. Я сравнил другие соообщения "Access-Accept" с этим сообщеним и единственное отличие которое я нашел это отсутствие атрибута "User name" в отвергаемом сообщении, но его там и не может быть т.к. для этого хоста разрешается доступ без проверки имени пользователя и пароля. Получается это баг прошивки коммутатора или я ошибаюсь ?

Немного не поял. Авторизации по MAC адресам в этом коммутаторе нет, есть только по порту.

Я на radius сервере настроил правило которое при при запросе доступа от клиента с определенным mac адресом сразу разрешает ему доступ без проверки подлинности.

Если я правильно понял, то Вам нужен MAC-Based Access Control где аутентификации проходит только по MAC-адресу без запроса логина и пароля. Эта функция этой серией не поддерживается. Вам нужен как минимум DES-3528 если достаточно 100 Мбит/с клиентских портов или DGS-3200-10/3200-16 если нужны гигабитные порты.

Иван Вы меня немного не поняли.
Приведу схему:
1. Имеем свитч DGS-1216T (аутентификатор) на котором настроена авторизация по 802.1x сервером RADIUS выступает сервер политики сети из win2008. На всех портах свитча включена авторизация.
2. Имеем клиента winvista с включенным клиентом 802.1x. (аппликант)
3. Подключаем клиента к порту свитча.
4.Порт становиться в состояние "unauthorized"
5.Клиент посылает кадр EAPOL-start для начала авторизации на порту
6. свитч посылает кадр EAP-Request/Identity клиенту для запроса учетных данных
7. клиент отвечает свитчу кадром EAPResponse/Identity.
8. Свитч пересылает этот кадр серверу RADIUS для проверки подлинности.
9. На сервере RADIUS создано исключение из правила проверки подклинности разрещающие клиенту с MAC адресом [X] полный доступ к сети.
10. Сервер RADIUS сравнивает MAC из пакета EAPResponse/Identity и т.к. он совпадает с исключением отправляет кадр Access-Accept свитчу для открытия порта.
11. Свитч получает кадр Access-Accept (Я смотрел сетевым монитором) но порт почему-то не переводит в состояние authorized. Вероятно из-за пустого поля "User name" в этом кадре.

Пришлите пожалуйста мне на почту конфиг коммутатора и снифы трафика с пользователя и с radius сервера, в формате pcap.

Хорошо в понедельник вышлю Вам на почту.

Нашел еще недоработку. Этот коммутатор (DGS-1216T версия прошивки 4.21.01) некорректно ставит реквизит NAS-Port-Type в сообщении Radius. Он ставит NAS-Port-Type=19, что соответствует Wireless - IEEE 802.11 по RFC 2865, а должен NAS-Port-Type=15, что соответствует Ethernet по тому-же RFC. Из-за этого для него нужно писать отдельные правила на radius сервере. т.к. у меня есть условия на тип порта.
Напишите разработчикам ?

Да, так и есть. Я запросил ШК.

Архив выслал на почту указанную в профиле.