Strabbo

Зависит от железки.
на старых роутерах был CCP, на ASA фаерволах был ASDM.
у новых FTD firewall есть свой урезанный веб гуи + полноценный контроллер (FMC), который надо ставить отдельно.

Если апаратура новая с лицензиями, то можно использовать новую архитектуру с полной автоматизацией, там есть веб гуи )

1. SD-WAN для подключения офисов (бранчей), сам строит впн, всё делается через веб гуи. Вроде может всё что надо сделать в сети.
2. SD-Access для локальной сети (свичи + wifi), есть веб гуи, полная автоматизация. Умеет всё что только придет в голову.
3. ACI тоже гуи + автоматизация только для дата центров.

P.S. Как только вы узнаете цену этих софтов, то сразу пойдете учить CLI :)

У каждого уровня есть свои преднастроенные команды и когда вы используете priv exec lev 3 sh run, то вы добавляете это команду к этому уровню, но остальные не удаляются. Вам нужно использовать radius/tacacs+, чтобы разрешить только конкретные команды.

EOIP tunnel должен вам подойти

У MicroTik есть RouterOS для x86. Её можно развернуть как на реальном железе, так и на виртуальной машине.
А есть ли что-то подобное у CISCO?

Есть, Cisco Cloud Services Router 1000V Series. Можно развенуть на виртуалке

UPD:
Еще есть Cisco IOS XRv 9000

Коммутатор автоматически может переводить порт с аксеса в транк и наоборот если там работает DTP. С этими коммутаторами не работал, но других вариантов вроде нету.

Дома, если найдете книги в интернете, то даже платить не надо будет :)

Насколько я знаю, есть лишь один метод убрать свич из стэка и это физическое разъеденение. Если у вас кольцо, то проще всего выводить из стэка Slave . Не забудьте вернуть кабель на другой свич чтобы образовалось кольцо. О последствиях покидания разных ролей из стэка можно почитать на их сайте.

Всё зависит от ваших хотелок и имеющегося оборудования.
1. Какие у вас свичи?
2. Чего вы хотите добиться прописывая ip на свичах, а не на роутерах?
3. Отказаустойчивость обеспечивается не до клиента, а до свича протоколами маршрутизации. Надо связать свич с двумя другими свичами/роутерами. Метрики это не про отказоустойчивость.
4. Если IP серые, то можете хоть /31 прописывать для каждого клиента если оборудование позволяет. Если белые, то всё зависит от ваших хотелок. Можно например всех в одну сеть закинуть, но потом если вам понадобится фильтровать траффик на свиче для каждого клиента отдельно, то это будет проблематично, потому чо коммутатор это не фаирволл. Если делать ACL для каждого клиента отдельно, то может переполнится TCAM(всё зависит от самого фильтра и железки), если переполнится TCAM, то пакеты пойдут в CPU и он может загнутся. + если прописать IP на свиче, то надо будет городить более сложный Control Plane Policy, чем для L2 свича.
5. У меня больше вопросов, чем ответов. Сперва опеделите для себя зачем это вам нужно. Если есть конкретная задача, то опишите её. Если хотите сделать всё красиво для серверов, то смотрите дизайн топологий для датацентров (VPC, VXLAN)

Здравствуйте, вот тут есть похожий вопрос. Если вы сдаете SP, то лучше ничего не покупать. В SP давно практикуют иос XR, которого нету ни в одной железной лабе.

У коммутаторов Cisco есть такой функционал, называется Private Vlan.

Trunk - магистральный порт, который позволяет создавать магистральное соединение между промежуточными сетевыми устройствами (коммутаторами).

Нет, термин trunk никак не связан с магистралями и магистральными линками. Trunk - режим порта, при котором он может отправлять тегированые пакеты. Вы можете использовать транк в сторону другого роутера, комутатора, компьютера, сервера и так далее.

Т.е. гибридные порты могут работать как в режиме портов доступа, т.е. принимать нетегированный трафик, так и в режиме приёма тегированного трафика.

Да.

Мне казалось, что коммутатор, принимая от компьютера нетегированный трафик (с гибридного порта), затем либо тегирует его (если этот трафик не из Native VLAN), либо передаёт его дальше нетегированным (если это Native VLAN), а телефон уже передаёт тегированный трафик. Это так?

Всё зависит от того, что надо будет делать дальше с трафиком.

switchport mode hybrid
switchport hybrid pvid 33
switchport hybrid allowed vlan add 33 untagged
switchport hybrid allowed vlan add 34 tagged

В вашем случае если пакет пришел не тегированый, он попадет во влан 33, если надо этот пакет послать на соседний порт с таким же конфигом, то его свич тегировать не будет и прямо отправит так как есть. Если же например этот пакет надо будет отправить на другой порт, который работает в режиме транк (например на другой комутатор или на другой порт этого же свича, только с другим конфигом(транком)), то ваш пакет будет передаваться уже тегированым.

switchport hybrid allowed vlan add 34 tagged

Разрешает принять пакет с вланом 34 ну и в обратную сторону, если надо будет оправить пакет на этот порт с этим вланом, то он будет тегированым. Если надо будет отправить пакет в другое место, то всё уже зависит от конфига другого порта.
Вы можете принять пакет не тегированым, повесить на него тег и отправить уже в другое место тегированым.
Если вы учитесть, то используйте wireshark на всех портах, там будет видно как и и с какими тегами идут пакеты.
Всё зависит от конкретного конфига.
Если всё это вы затеяли ради ради того, чтобы подключить к одному потрту телефон + компьютер, то для этого у cisco есть voice vlan, который легко настраивается.

Лучше ничего не покупать.
Для обучение используйте Packet Tracer, GNS3, Eve-ng.
Если всё-таки руки чешутся, то на ebay ищите CCNA LAB KIT/ CCNP LAB KIT.
Там указаны модели, можете сразу всю лабу купить.

NAT у вас настроен, проблема скорее всего в правилах фаервола.
У вас есть правило, которое позволяет ходить трафику изнутри снаружу.
policies {
from-zone trust to-zone untrust {

Но у вас нет правила, которое разрешает ходить обратному трафику

policies {
from-zone untrust to-zone trust {

Невоможно, если почитаете спецификацию WS-C4948E-F, то увидите что он может обрабатывать очень мало маршрутов по сравнению с full-view

Возможно, в чем конкретно у вас возникла проблема?