Strabbo

Насколько я знаю, есть лишь один метод убрать свич из стэка и это физическое разъеденение. Если у вас кольцо, то проще всего выводить из стэка Slave . Не забудьте вернуть кабель на другой свич чтобы образовалось кольцо. О последствиях покидания разных ролей из стэка можно почитать на их сайте.

Всё зависит от ваших хотелок и имеющегося оборудования.
1. Какие у вас свичи?
2. Чего вы хотите добиться прописывая ip на свичах, а не на роутерах?
3. Отказаустойчивость обеспечивается не до клиента, а до свича протоколами маршрутизации. Надо связать свич с двумя другими свичами/роутерами. Метрики это не про отказоустойчивость.
4. Если IP серые, то можете хоть /31 прописывать для каждого клиента если оборудование позволяет. Если белые, то всё зависит от ваших хотелок. Можно например всех в одну сеть закинуть, но потом если вам понадобится фильтровать траффик на свиче для каждого клиента отдельно, то это будет проблематично, потому чо коммутатор это не фаирволл. Если делать ACL для каждого клиента отдельно, то может переполнится TCAM(всё зависит от самого фильтра и железки), если переполнится TCAM, то пакеты пойдут в CPU и он может загнутся. + если прописать IP на свиче, то надо будет городить более сложный Control Plane Policy, чем для L2 свича.
5. У меня больше вопросов, чем ответов. Сперва опеделите для себя зачем это вам нужно. Если есть конкретная задача, то опишите её. Если хотите сделать всё красиво для серверов, то смотрите дизайн топологий для датацентров (VPC, VXLAN)

Здравствуйте, вот тут есть похожий вопрос. Если вы сдаете SP, то лучше ничего не покупать. В SP давно практикуют иос XR, которого нету ни в одной железной лабе.

У коммутаторов Cisco есть такой функционал, называется Private Vlan.

Trunk - магистральный порт, который позволяет создавать магистральное соединение между промежуточными сетевыми устройствами (коммутаторами).

Нет, термин trunk никак не связан с магистралями и магистральными линками. Trunk - режим порта, при котором он может отправлять тегированые пакеты. Вы можете использовать транк в сторону другого роутера, комутатора, компьютера, сервера и так далее.

Т.е. гибридные порты могут работать как в режиме портов доступа, т.е. принимать нетегированный трафик, так и в режиме приёма тегированного трафика.

Да.

Мне казалось, что коммутатор, принимая от компьютера нетегированный трафик (с гибридного порта), затем либо тегирует его (если этот трафик не из Native VLAN), либо передаёт его дальше нетегированным (если это Native VLAN), а телефон уже передаёт тегированный трафик. Это так?

Всё зависит от того, что надо будет делать дальше с трафиком.

switchport mode hybrid
switchport hybrid pvid 33
switchport hybrid allowed vlan add 33 untagged
switchport hybrid allowed vlan add 34 tagged

В вашем случае если пакет пришел не тегированый, он попадет во влан 33, если надо этот пакет послать на соседний порт с таким же конфигом, то его свич тегировать не будет и прямо отправит так как есть. Если же например этот пакет надо будет отправить на другой порт, который работает в режиме транк (например на другой комутатор или на другой порт этого же свича, только с другим конфигом(транком)), то ваш пакет будет передаваться уже тегированым.

switchport hybrid allowed vlan add 34 tagged

Разрешает принять пакет с вланом 34 ну и в обратную сторону, если надо будет оправить пакет на этот порт с этим вланом, то он будет тегированым. Если надо будет отправить пакет в другое место, то всё уже зависит от конфига другого порта.
Вы можете принять пакет не тегированым, повесить на него тег и отправить уже в другое место тегированым.
Если вы учитесть, то используйте wireshark на всех портах, там будет видно как и и с какими тегами идут пакеты.
Всё зависит от конкретного конфига.
Если всё это вы затеяли ради ради того, чтобы подключить к одному потрту телефон + компьютер, то для этого у cisco есть voice vlan, который легко настраивается.

Лучше ничего не покупать.
Для обучение используйте Packet Tracer, GNS3, Eve-ng.
Если всё-таки руки чешутся, то на ebay ищите CCNA LAB KIT/ CCNP LAB KIT.
Там указаны модели, можете сразу всю лабу купить.

NAT у вас настроен, проблема скорее всего в правилах фаервола.
У вас есть правило, которое позволяет ходить трафику изнутри снаружу.
policies {
from-zone trust to-zone untrust {

Но у вас нет правила, которое разрешает ходить обратному трафику

policies {
from-zone untrust to-zone trust {

Невоможно, если почитаете спецификацию WS-C4948E-F, то увидите что он может обрабатывать очень мало маршрутов по сравнению с full-view

Возможно, в чем конкретно у вас возникла проблема?

Можно на своем компе поднять ipv6 over ipv4 и оттуда тестить. Бесплатный ipv6 и инструкция по настройке

Если не получается сделать с помощью радиус атрибутов, то можно попробовать локальный PBR или же можно использовать VRF. Серый пул в отдельный VRF, у него в таблице маршрутизации будут только IP платежных сайтов и Default на linux маршрутизатор, который будет редиректить на страницу оплаты.

Скорее всего надо настроить nat hairpin