Рассмотрим более подробно указанную схему подключения.

Особенностью данной схемы является то, что за контроллером VSG в локальной сети находится роутер (маршрутизатор) и пользователи выходят в Интернет через NAT.
При такой схеме контроллер VSG не будет выполнять авторизацию каждого клиента. Дело в том, что контроллер VSG авторизует пользователей только по MAC-адресам.
Если за контроллером VSG в локальной сети находится роутер с NAT, то в этом случае роутер в сетевых пакетах будет подменять MAC-адрес источника на свой собственный MAC-адрес.
Таким образом, контроллер VSG1200 будет получать сетевые пакеты от роутера только с одного MAC-адреса и устройство будет пропускать всех клиентов, как только один из них авторизуется.

Если вы хотите, чтобы каждый пользователь проходил авторизацию, то решением будет отказ от дополнительных маршрутизаторов в вашей локальной сети, чтобы все клиенты имели собственные MAC-адреса.

Использование дополнительного маршрутизатора уместно, если вы хотите предоставить доступ рабочей группе. В этом случае маршрутизатор будет как раз удобен для единого подсчета трафика на сервере учета.