Strabbo

Перенес с коментов в ответы.

думаю sonic позволит использовать маркировку соединений и раскидывание их по разным таблицам маршрутизации, и в целом фильтрацию L4 уровня, то позволит ли такое IOS?

В NX-OS можно маркировать траффик и раскидывать их в нужные интерфейсы не используя таблицу маршрутизации (PBR), но вот я сомневаюсь, что можно легко раскидвать траффик в разные таблицы маршрутизации без костылей. Вот с костылями это возможно (Например сделать локальный луп на портах и с помощью этих портов соеденять несколько таблиц маршрутизаций, или же программный vrf leak). Фильтрация на L4 работает.

Возможно ли на ios фильтровать соединения одного L2 домена, при этом на L4 уровне?

Возможно, есть Vlan access map, который позволяет сделать ACL по мак адрессам или по IP и фильтровать траффик до того как он дойдет до шлюза.

Умеет ли ios в d/snat?

По документам умеет, но очень много лимитов. Вообще я бы не делал NAT на свичах, даже если производитель говорит, что всё работает. Ну не научились они его нормально делать, сделали кое как для галочки и всё. Единственный раз был свидетелем dst nat на catalyst 9k свичах, после долгих отговорок клиент всё-таки решил сделать этот нат, было 4 свича по 2 штуки в стеке, на обоих сделали нат и через 2 недели high cpu, packet loss. Пока не выключили нат проблема не ушла
.
тут инфа на нексус 5к нат

Что будет лучше для резюме?

Ну если это резюме для сетевика, то на одном свиче далеко не уедешь. Я думаю, что для резюме достаточно будет самой технологии, а вот делали вы ее на cisco/sonic/arista/huawei/juniper уже не имеет разницы, потому что работают они все одинаково, переделать конфиг одного вендора на другой со всеми тестами можно за несколько дней, максимум неделя.

Или существуют коммутаторы лучше предложенных мною, на Б/У рынке в бюджете до 100к? В целом, что будет лучше для домашней лаболатории?

Думаю что вы потратите больше чем 100к, так как QSFP стоят побольше обычных SFP+, не совсем плохие наверное штука от 4-5к, DAC будет дешевле, а AOC дороже.

P.S. Я тоже любитель домашних лаб, начинах с покупи железок, тоже брал по 1, но как только начал глубоко изучать технологии, понял что например 1 свича не хватит, в большинстве случаях надо 4 например, а это уже слишком дорого :) после этого вся моя Network Lab переехала в виртуализацию.

Как получить полную скорость от cisco 2921?

С вашим конфигом никак. У вас даже скорость в нормальном режиме работы (IMIX) будет меньше, чем на спидтесте.
Можно выключить НАТ и тогда скорее всего вы получите 1G.
Посмотрите этот документ, там есть тесты со скоростью с разными конфигурациями

ПДФ

вот какие порты использует данный протокол, чтоб ему разрешать передачу трафика через firewall

Он не использует IP протокол, соответственно никаких портов там нету. IS-IS использует протокол CLNS.

можно ли огранить отправку маршрутов по аналогии с OSPF filter rules или же данный протокол работает совершенно по-другому

По стандарту фильтрация работает из одной area в другую или же с Level 2 в Level 1 и наоборот. + может какой то вендор добавил свои методы фильтрации.

P.S. как ISIS работает в микротике понятия не имею :)

В вашем случае всё зависит от системы виртуализации, например ESXI сам всё разнесет по портам так что лупа не будет. Так что вы можете даже подключить ваши свичи друг к другу и петли не будет. Но в таком случае усложниться управление- вместо одного стека будете управлять несколькими свичами по отдельности. При добавлении коммутаторов опять таки без стека надо будет много конфигить. Без стека может усложниться подключение к провайдеру и к остальной сети(если она существует).

P.S. Best Practice зависит от многого, так что тут не можеть быть конкретного ответа, многое зависит от разных факторов.

Как уже сказал szelga дело может быть в ограничениях.
даташит говорит следующее:
Provides basic routing (supporting up to 512 static routes and 32 VLAN interface on
aggregation model; 32 static routes and 8 VLAN interfaces on access models); allows manual
routing configuration

т.е. в зависимости от модели у вас бодует 8 или 32 L3 интерфейса.
Вы точно создали штук 12? покажите весь конфиг свича

Я заметил, что между роутером и свичом порт в транке, хотя у вас нету саб интерфейсов на роутере, в таком случае нужно со стороны свича портв аксес перевести(гиг1/0/3). аксес лист отвечающий за нат содержит только сеть 192.168.1.0/24, он должен содержать все сети, которые должны иметь доступ в интернет. Дальше идёт настройка самого ната ip nat inside source list 1 pool NAT-POOLp тут без overload у вас будет работать только 1 айпи. Потом идут настройки ДНС сервера, там где у вас ya.ru. Н а всех компах вроде его используют как днс, он должен резолвить все имена, а в нем прописан только ya.ru. надо добавить туда еще cisco.com с соответствующим айпи адресом. Попробуйте всё это исправить, если не заработает завтра еще подумаем.

P.S. Поздно уже, голова плохо варит, может быть что-то упустил

Если ваши свичи не поддерживают MEC (Multichassis Etherchannel), что-то вроде vss от циско или vpc от циско нексусов, то никак. Только режим active/backup (т.е. одновременно оба работать не будут).

P.S. Раньше было так и щас скорее всего также, а может быть и нет.

Мало информации, но думаю у вас не включен прокси арп на внутренних интерфейсах (или бриджах)

Использовать PBR или же VRF. С PBR всё просто, если же будете использовать VRF, то там чуть посложнее PBR и конфига больше и разбираться дольше, но в конце я думаю от VRF профита больше будет, когда будете расширять сеть то просто будете добавлять новую сеть в нужный VRF. Конкретно в вашей схеме можно создать 2 VRF, распределить по ним влан 10 в один, а в другой 40 и 50. Настроить импорт и экспорт роутов, чтобы все видели друг друга, а потом уже отдаете по одному дефолту каждому VRF.