Strabbo

В Cisco это делается легко с помощью Private Vlan

Есть предположение, что это из-за vlan, потому что если интерфейс падает, влан всё равно остаётся в состоянии up. Соответственно, коммутатор считает, что интерфейс все еще рабочий и не меняет маршрут в таблице маршрутизации. Если это так, то как тогда это пофиксить?

Так и есть. В старших железках можно было привязать IP SLA к Track, а его уже к статик роуту. В новых железках добавили BFD к статике. Посмотрите что из этого есть на вашей железке.

Второе решение это привязать влан только к одному порту, чтобы при падении порта падал и влан.

С 3560 только комутация сработает. Тяните vlan с одного свича на другой

Вам нет, но есть люди, которым есть смысл сдавать этот экзамен.

темы которые там вроде редко используются

это какие?

Зависит от железки.
на старых роутерах был CCP, на ASA фаерволах был ASDM.
у новых FTD firewall есть свой урезанный веб гуи + полноценный контроллер (FMC), который надо ставить отдельно.

Если апаратура новая с лицензиями, то можно использовать новую архитектуру с полной автоматизацией, там есть веб гуи )

1. SD-WAN для подключения офисов (бранчей), сам строит впн, всё делается через веб гуи. Вроде может всё что надо сделать в сети.
2. SD-Access для локальной сети (свичи + wifi), есть веб гуи, полная автоматизация. Умеет всё что только придет в голову.
3. ACI тоже гуи + автоматизация только для дата центров.

P.S. Как только вы узнаете цену этих софтов, то сразу пойдете учить CLI :)

У каждого уровня есть свои преднастроенные команды и когда вы используете priv exec lev 3 sh run, то вы добавляете это команду к этому уровню, но остальные не удаляются. Вам нужно использовать radius/tacacs+, чтобы разрешить только конкретные команды.

У MicroTik есть RouterOS для x86. Её можно развернуть как на реальном железе, так и на виртуальной машине.
А есть ли что-то подобное у CISCO?

Есть, Cisco Cloud Services Router 1000V Series. Можно развенуть на виртуалке

UPD:
Еще есть Cisco IOS XRv 9000

Коммутатор автоматически может переводить порт с аксеса в транк и наоборот если там работает DTP. С этими коммутаторами не работал, но других вариантов вроде нету.

Дома, если найдете книги в интернете, то даже платить не надо будет :)

Здравствуйте, вот тут есть похожий вопрос. Если вы сдаете SP, то лучше ничего не покупать. В SP давно практикуют иос XR, которого нету ни в одной железной лабе.

Trunk - магистральный порт, который позволяет создавать магистральное соединение между промежуточными сетевыми устройствами (коммутаторами).

Нет, термин trunk никак не связан с магистралями и магистральными линками. Trunk - режим порта, при котором он может отправлять тегированые пакеты. Вы можете использовать транк в сторону другого роутера, комутатора, компьютера, сервера и так далее.

Т.е. гибридные порты могут работать как в режиме портов доступа, т.е. принимать нетегированный трафик, так и в режиме приёма тегированного трафика.

Да.

Мне казалось, что коммутатор, принимая от компьютера нетегированный трафик (с гибридного порта), затем либо тегирует его (если этот трафик не из Native VLAN), либо передаёт его дальше нетегированным (если это Native VLAN), а телефон уже передаёт тегированный трафик. Это так?

Всё зависит от того, что надо будет делать дальше с трафиком.

switchport mode hybrid
switchport hybrid pvid 33
switchport hybrid allowed vlan add 33 untagged
switchport hybrid allowed vlan add 34 tagged

В вашем случае если пакет пришел не тегированый, он попадет во влан 33, если надо этот пакет послать на соседний порт с таким же конфигом, то его свич тегировать не будет и прямо отправит так как есть. Если же например этот пакет надо будет отправить на другой порт, который работает в режиме транк (например на другой комутатор или на другой порт этого же свича, только с другим конфигом(транком)), то ваш пакет будет передаваться уже тегированым.

switchport hybrid allowed vlan add 34 tagged

Разрешает принять пакет с вланом 34 ну и в обратную сторону, если надо будет оправить пакет на этот порт с этим вланом, то он будет тегированым. Если надо будет отправить пакет в другое место, то всё уже зависит от конфига другого порта.
Вы можете принять пакет не тегированым, повесить на него тег и отправить уже в другое место тегированым.
Если вы учитесть, то используйте wireshark на всех портах, там будет видно как и и с какими тегами идут пакеты.
Всё зависит от конкретного конфига.
Если всё это вы затеяли ради ради того, чтобы подключить к одному потрту телефон + компьютер, то для этого у cisco есть voice vlan, который легко настраивается.

Лучше ничего не покупать.
Для обучение используйте Packet Tracer, GNS3, Eve-ng.
Если всё-таки руки чешутся, то на ebay ищите CCNA LAB KIT/ CCNP LAB KIT.
Там указаны модели, можете сразу всю лабу купить.

Возможно, в чем конкретно у вас возникла проблема?

Вышеперечисленные методы вам не подойдут, на сколько я помню Cisco AnyConnect использует SSL. Вам понадобиться установить клиент. Cisco AnyConnect

Так и надо добавлять, при добавлении нового порта надо копировать на него конфиг с физического порта(который уже работает в группе) и только после этого добавляя конфиг на portchannel, конфиг будет добавляться на всех портах.

Можно убрать default-route originate и настроить redistribution в оспф. Если деф роут будет, то он появится в оспф, а если исчезнет из таблицы маршрутизации, то в оспф он не попадет.