Ну вот им пришли снова к тому, к чему выше пришли. А комбинировать с гостевым VLAN - это как? DFL не умеет быть ни радиусом, ни ldap, ни чем-то другим. Он сам может авторизовать и у себя прописывать разрешение. Но гость из guest vlan от этого никак не перейдет в "правильный" vlan. Свитчу просто никто не сообщит об этом.
Самое правильное решение - маленький дохленький комп, поднять на нем простейший radius. И знай себе - вводи МАКи. А на DFL одно правило NAT для всех хостов "правильного" vlan'а.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

насколько я знаю, acl на свичах обрабатывается "на вхлде"

от сюда у меня возникает следующая проблема....

туда, куда входит DFL - это стек 3100 (48,24,24 и 24 порта). и если мне писать acl типа

config access_profile profile_id 10 add access_id auto_assign ethernet vlan guest source_mac 00-13-ce-c0-dd-73 port all permit

впрочем как и удаление acl, имеющего в себе такие профайлы занимает оооочень немало времени.

а можно ли как-нибудь для данной задачи обойтись ACL для одного порта коммутатора, куда включен роутер?