Benedictus

Redhat и RedHat - это две большие разницы :)

Это для поддержки старых клиентов и людей привыкших к тем командам (как я например).
Для примера старая команда docker ps это алиас к docker container ls а команда docker build это алиас к docker image build

Ну где-то в глубине души 40G - это Etherchannel 4x10G
Поэтому при установке кабеля-разветвителя на 4 по 10G просто этот etherchannel разбивается и работа идет с 4 отдельными портами.

Вам нужно свой DNS-сервер ставить. Который может и внешние имена резолвить, и внутренние. Например, так умеет делать Unbound. По дефолту он резолвит всё через корневые NS, но можно сделать local zone, и прописать там локальные хосты. Тогда по этим именам Unbound будет отдавать то, что прописано в local zone.

Придётся всю систему менять. Либо переделывать отдачу трафика на "анализатор" (вы, я так понимаю, строите IPS?) через маршрутизацию, т. е. выносить на уровень L3. Либо подавать на анализатор копию трафика через SPAN, а анализатор должен отстреливать spoofed-пакетами TCP RST в сторону клиента, прикидываясь сервером если соединение признано подозрительным. Тогда клиент будет сразу закрывать соединение.

Но отвечая на прямым образом поставленный вопрос -- защитить коммутатор от отключения избыточного линка можно настроив, например, port-channel на этих линках (между коммутаторами). Однако очевидно, что это не ваша история, и вам этот вариант не поможет. Так что остаётся только менять систему.

1) два логических или физических интерфейса на внешней платформе, на коммутаторе они в разных вланах. На коммутаторе можно отключить mac-address-learning для обоих вланов
2) первый и второй порт на свиче в режим port-isolate
3) если трафик только в одну сторону, тупо отзеркалировать типа SPAN (без всяких вланов) из порта 1 в порт в сторону внешней платформы
4) на сервере для аналитики трафика помечать исходящий трафик какой-нибудь меткой (например qos), а на коммутаторе запретить исходящие пакеты с этим qos на порту 2. Для всего слана отключить mac-learning.

Обычно такие шарманки когда делают, входящий и исходящий трафик разводят по разным VLAN-ам.
Насколько критично, что б он был в одном влане?

На Cisco Catalyst можно, то есть нужно написать на обоих портах switchport protected, а на аплинке такую строку не писать.
На порту 1 (для обработанного трафика) надо еще написать mac access-list, что б необработанный трафик не пер на него с аплинка. (unknown unicast будет так или иначе занимать полосу)
И вообще, если protected чем-то не подойдет - можно покурить тему private vlans.

Можно, настраивается в iptables или аналогичном ПО.

Например, так:

iptables -t mangle -A POSTROUTING <условия> -j TEE --gateway <куда (IP)>

Есть несколько таких же серверов с HP Ethernet 10Gb 2-port 560FLR-SFP+ Adapter.
Это старый добрый Intel 82599ES, так что, при большом желании, можно загружать модуль ixgbe с опцией allow_unsupported_sfp=1 и тогда точно будет есть все подряд.
У меня работает с ноунейм DAC-кабелями без дополнительных параметров, и с большинством SFP+, если таки параметр прописать.
Речь, естественно, о Linux.