Strabbo

Добавлю свои 5 копеек.

Используются ли провайдерами VLAN 802.1q без использования private vlan? Если да, то как это устроено. Ведь нужно сделать винегрет из вланов в одной подсети, но подсеть же работает только с одним вланом. Как шлюз (под шлюзом назовём L3 коммутатор ядра) будет получать на свой интерфейс столько вланов и потом ещё обратно отправлять пакеты абоненту с нужной меткой VLAN? По идее же, подсеть будет прописана только к одному влану на интерфейсе шлюза.
В рамках работы 802.1q такое вообще возможно, или я что-то не понимаю?

Private vlan используют только маленькие провайдеры, большим не выгодно из-за ресурсов которые нужны для этой схемы. Если у вас 10к абонентов, то с private vlan это 20к маков, вместо обычных 10к. TCAM не резиновый.

Одну подсеть можно прописать на несколько вланов и без private vlan. Тут нам поможет Ip unnumbered + BNG. Можно и без BNG, но с ним круче.

Второй вопрос. Какими методами провайдеры защищают своё оборудование от вмешательств злоумышленников?
Например, чтобы к аксессному коммутатору никто не мог подключить свою железку и слушать через span порт трафик (если вообще аксессные коммутаторы так умеют) или осуществить mitm атаку на абонентов, подключенных к этому коммутатору.

Зависит от атаки, например Если у провайдера есть DHCP snooping + IPSG + DHCP opt 82 (который можно настроить частично на BNG ну и полностью на свичах) то ваш MITM не пройдет. у вас просто не будет доступа к сети. простоу будете снифить и смотреть что там и всё ))

Если там не Ethernet, а GPON. Тут вообще 95% может и больше (процент взял от балды) ничего вы не заснифите, Сперва надо поймать волну, не каждой железкой можно, а потом уже и расшифровать. GPON использует AES шифрование. Ну и потом GPON downlink это обычный broadcast который зависит от OLT, может заключать в себе дофига абонентов и каждый шифруется по разному ) сперва надо достать ключи конкретного ONU, потом отделить как то его трафик и расшифровать (это в теории).

P.S. Не все провайдеры используют то, о чем я написал. Но я работал в таком где использовали.

Перенес с коментов в ответы.

думаю sonic позволит использовать маркировку соединений и раскидывание их по разным таблицам маршрутизации, и в целом фильтрацию L4 уровня, то позволит ли такое IOS?

В NX-OS можно маркировать траффик и раскидывать их в нужные интерфейсы не используя таблицу маршрутизации (PBR), но вот я сомневаюсь, что можно легко раскидвать траффик в разные таблицы маршрутизации без костылей. Вот с костылями это возможно (Например сделать локальный луп на портах и с помощью этих портов соеденять несколько таблиц маршрутизаций, или же программный vrf leak). Фильтрация на L4 работает.

Возможно ли на ios фильтровать соединения одного L2 домена, при этом на L4 уровне?

Возможно, есть Vlan access map, который позволяет сделать ACL по мак адрессам или по IP и фильтровать траффик до того как он дойдет до шлюза.

Умеет ли ios в d/snat?

По документам умеет, но очень много лимитов. Вообще я бы не делал NAT на свичах, даже если производитель говорит, что всё работает. Ну не научились они его нормально делать, сделали кое как для галочки и всё. Единственный раз был свидетелем dst nat на catalyst 9k свичах, после долгих отговорок клиент всё-таки решил сделать этот нат, было 4 свича по 2 штуки в стеке, на обоих сделали нат и через 2 недели high cpu, packet loss. Пока не выключили нат проблема не ушла
.
тут инфа на нексус 5к нат

Что будет лучше для резюме?

Ну если это резюме для сетевика, то на одном свиче далеко не уедешь. Я думаю, что для резюме достаточно будет самой технологии, а вот делали вы ее на cisco/sonic/arista/huawei/juniper уже не имеет разницы, потому что работают они все одинаково, переделать конфиг одного вендора на другой со всеми тестами можно за несколько дней, максимум неделя.

Или существуют коммутаторы лучше предложенных мною, на Б/У рынке в бюджете до 100к? В целом, что будет лучше для домашней лаболатории?

Думаю что вы потратите больше чем 100к, так как QSFP стоят побольше обычных SFP+, не совсем плохие наверное штука от 4-5к, DAC будет дешевле, а AOC дороже.

P.S. Я тоже любитель домашних лаб, начинах с покупи железок, тоже брал по 1, но как только начал глубоко изучать технологии, понял что например 1 свича не хватит, в большинстве случаях надо 4 например, а это уже слишком дорого :) после этого вся моя Network Lab переехала в виртуализацию.

Как получить полную скорость от cisco 2921?

С вашим конфигом никак. У вас даже скорость в нормальном режиме работы (IMIX) будет меньше, чем на спидтесте.
Можно выключить НАТ и тогда скорее всего вы получите 1G.
Посмотрите этот документ, там есть тесты со скоростью с разными конфигурациями

ПДФ

Скорее всего посылает роутер, кто-то (может быть и вы) сканирует сеть 192.168.31. и роутер посылает ARP запросы на все IP, которых у него нету в арп таблице

Возможно, если заплатите достаточно денег и провайдеры между собой договорятся, то вам дадут использовать IP одного провайдера в сети другого провайдера. BGP в этом деле вам не поможет.
У меня был такой случай, только не в России.

Вариантов несколько:
1. Для каждого влана конфигить отдельный vpls со стороный првоайдера и каждый влан согласововать вместе с ними. А с вашей стороны будет обычный транк.
2. Со стороны провайдера должен быть q-in-q. Конфигить надо один раз, не нужно согласовывать вланы с провайдером и добавление нового влана будет происходть без вмешательства провайдера. С вашей стороны это будет обычный транк.
3. Может еще что-то придумали, позвонить провайдеру и рассказать про ваши хотелки.

P.S. Я склоняюсь к 3 варианту.

Это уровни сетевой модели OSI