Есть стенд, состоящий:
1. свитч DES-3200-10
Boot PROM Version : Build 1.00.B004
Firmware Version : Build 1.52.B009
****************
# VLAN

disable asymmetric_vlan
enable pvid auto_assign
config vlan default delete 1-10
config vlan default advertisement enable
config vlan default add tagged 10
config vlan default add forbidden 1-8
create vlan VLAN2 tag 2
config vlan VLAN2 add tagged 10
config vlan VLAN2 add untagged 1-2
create vlan VLAN999 tag 999
config vlan VLAN999 add tagged 10
create vlan VLAN1287 tag 1287
config vlan VLAN1287 add tagged 10
config vlan VLAN1287 add untagged 1
disable qinq
disable gvrp
config qinq ports 1-10 role nni outer_tpid 0x88A8 trust_cvid disable vlan_translation disable
config gvrp 1 state disable ingress_checking enable acceptable_frame admit_all pvid 1287
config gvrp 2 state disable ingress_checking enable acceptable_frame admit_all pvid 2
config gvrp 3-10 state disable ingress_checking enable acceptable_frame admit_all pvid 1

# MBA

enable mac_based_access_control
disable authorization attributes
config mac_based_access_control authorization attributes radius enable
config mac_based_access_control authorization attributes local enable
config mac_based_access_control trap state enable
config mac_based_access_control log state enable
create mac_based_access_control guest_vlan VLAN999
config mac_based_access_control guest_vlan ports 1
config mac_based_access_control ports 1-2 state enable
config mac_based_access_control ports 3-10 state disable
config mac_based_access_control ports 1-10 mode host_based
config mac_based_access_control method radius
config mac_based_access_control auth_failover enable
config mac_based_access_control password pass
config mac_based_access_control max_users no_limit
create mac_based_access_control_local mac 00-13-77-5B-CA-62 vlanid 2
config mac_based_access_control ports 1-2 aging_time 1
config mac_based_access_control ports 1-2 max_users no_limit


2. Сервер FreeRadius, на котором заведена единственная учетка и в radreply есть запись
0013775BCA62 Tunnel-Private-Group-ID = 2
при подключении ноута в 1й порт сервер возвращает ответ
Sending Access-Accept of id 142 to 10.255.1.1 port 8021
Tunnel-Private-Group-Id:0 = "2"
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Type:0 = VLAN
3. В 10й порт DES3200-10 воткнута сеть, в которой есть что попинговать во 2м и в 1287м влане.

Если я убираю нетегированный 1й порт из 2го и 1287го влана, то при аутентификации свитч пишет
Port MAC Address Auth State VID Priority Aging Time/
Hold Time
---- -------------------- -------------- ---- -------- -----------
1 00-13-77-5B-CA-62 Authenticated 1 - 55

причем, не важно, какой влан назначается ему через радиус. Будь то 2й или 1287.

Если добавить 1й порт во 2й влан и автоматом к нему приклеится pvid 2, то все нормально работает (на первый звгляд).
Port MAC Address Auth State VID Priority Aging Time/
Hold Time
---- -------------------- -------------- ---- -------- -----------
1 00-13-77-5B-CA-62 Authenticated 2 - 44

Добавляем 1й нетегированный порт в 1287 и автоматом к нему приклеится pvid 1287, то получается такая непонятная штука
1 00-13-77-5B-CA-62 Authenticated 1287 - 51

Т.е. можно, конечно засовывать неуатентичные МАСи в гостевой влан, но применять mac_based_access_control для того, чтобы еще и выбирать для правильных МАСов еще и влан через радиус или локальную базу mac_based_access_control_local НЕВОЗМОЖНО.
Попутно выяснял работает ли mac_based_vlan в случае назначения нетегированного порта в два влана. ТОЖЕ НЕ РАБОТАЕТ!
Скажите, это баг или фича такая? Та же самая схема на DGS-3200 работает на отлично. Там даже не надо назначать нетегированные порты ни в какой влан, свитч сам их назначает, согласно атрибутам аутентификации. К тому же в запросе на Радиус там есть еще и параметр NAS-Port, чего на DES3200 нет.
И второй вопрос, который вытекает из первого:
будет ли это исправлено или это на данной серии не возможно и не стоит ждать?

Уточните, пожалуйста, какую задачу Вы хотите решить: как я понимаю проблема в том, что коммутатор не позволяет назначить через RADIUS VLAN ID для клиента?

Задача такая.
Есть на коммутаторе несколько вланов плюс один гостевой.
Надо, чтобы коммутатор при аутентификации пользователя по МАСу получал от радиуса номер ВЛАНА, в который надо этот МАС засунуть. Радиус атрибуты отдает (см. мой пост выше), но свитч может отработать по этим атрибутам только тогда, когда на порту прописан PVID того влана в который надо втолкать МАС. Соответственно, если на порту есть, допустим, три МАС 1й - надо во влан2, 2й - надо во влан 1287, а о третьем вообще Радиус не знает. Получается картина, что если на порту в данный момент стоит PVID 2, то 1й МАС будет работать нормально, 2й попадет все равно во 2й влан, а третий, как и положено, окажется в гостевом влане.

Подытоживая, надо, чтобы свитч назначал МАСи во вланы согласно атрибутам радиуса, а не согласно PVID на порту.
В описании к DES3200 такой функционал заявлен, но не работает.
Кстати, еще и mac_based_vlan не работает нормально. Невозможно МАС, прописанный в таблице mac_based_vlan с назначенным валном засунуть в этот назначенный влан.

DGS3200 и DES3528 с такой задачей справляются нормально.

Попробуйте выполнить команду: enable authorization attributes

Спасибо огромное.
Работает вроде...
Видел эту команду, но сбило с толку то, что после нее идет включение атрибутов для радиуса и локальной базы.

Еще раз спасибо.

Не за что. Рад слышать, что задача решена!