throughtheether

если я правильно понял задачу, то примерно так (python 2.7):

>>> a=[['{0}*{1}={2}'.format(row,col,col*row) for col in xrange (1,5)] for row in xrange(1,5)]
>>> a
[['1*1=1', '1*2=2', '1*3=3', '1*4=4'], ['2*1=2', '2*2=4', '2*3=6', '2*4=8'], ['3*1=3', '3*2=6', '3*3=9', '3*4=12'], ['4*1=4', '4*2=8', '4*3=12', '4*4=16']]

как прекратить подобное, при условии, что внешний доступ по ssh мне нужен

Экзистенциально эта проблема не имеет решения, я полагаю. Всегда, когда есть доступ снаружи, будут люди (боты), пытающиеся этот доступ эксплуатировать. В качестве паллиатива можно перевесить ssh-демон на другой порт и/или реализовать port-knocking (не знаю, насколько это просто сделать в openWRT). Можно еще попытаться зафильтровать входящий ssh-трафик по базе GeoIP или резать по самодельной базе префиксов, но это самый плохой способ, по моему мнению.

Я не работал с 4500 специфично, но, судя по всему, вам надо на всех интерфейсах дать команду switchport. По умолчанию L2-порты (т.е. конфигурированные с командой switchport) должны работать в аксесс-режиме (без 802.1q-тегирования фреймов) во влане 1, так что "пинг" через коммутатор должен пройти нормально.

Если я вас правильно понял, с сервера необходимо иметь доступ к ресурсу, доступному через два глобально маршрутизируемого IP-адреса. Предлагаемое решение представлено на схеме:
Суть в следующем - нужен еще один сервер/vps с глобально маршрутизируемым ("белым") IP-адресом. На схеме адрес указан как C.C.C.C. На этом сервере необходимо установить балансировщик нагрузки, который будет отслеживать доступность целевого компьютера через разные адреса (A.A.A.A, B.B.B.B) и соответственно проксировать соединения/датаграммы (если используется протокол TCP/UDP). Подобную схему я реализовывал при помощи "железного" балансировщика нагрузки (F5 LTM), но, насколько мне известно, в вашем случае поможет бесплатный haproxy. Кроме этого, на ближайших к целевому компьютеру маршрутизаторах необходимо соответственно настроить port-forwarding ("проброс портов").

Другим решением может быть скрипт на сервере, отслеживающий доступность адресов A.A.A.A/B.B.B.B и соответственно меняющий статические DNS-записи на сервере же. Программе целевой хост необходимо будет указать заданием имени (hostname). Тогда в различных ситуациях (в смысле работоспособности каналов) это имя будет по-разному транслироваться в IPv4-адрес.

IP сети представляют собой сети с коммутацией пакетов. Поэтому путь передачи данных - вещь довольно изменчивая и эфемерная, в том смысле, что, как правило, для двух адресов (источника и назначения) нет "прибитого гвоздями" маршрута, как в случае, например, телефонии с барышнями (хотя нюансы возможны).

Как он это делает то? По-моему он только идентифицирует хосты.

Путь передачи данных определяется поведением каждого маршрутизатора (per-hop). Каждый маршрутизатор получает пакет, изучает его адрес назначения (IPv4/v6 адрес в данном случае), и определяет на основании таблицы маршрутизации, с какого интерфейса этот пакет отправить далее.
Грубо говоря, из таблицы маршрутизации видно, трафик до какого хоста надо пускать через какой интерфейс. Этот результирующий путь (маршрут) может быть асимметричен (трафик от источника до п.назначения идет по другому пути, нежели обратный), может меняться неоднократно на протяжении сеанса связи.

Для более-менее внятной передачи данных поверх IP используются транспортные протоколы, обеспечивающие, как правило что-то из следующего: мультиплексирование (см. номера портов), защиту от дублирования, защиту от искажения передаваемых данных, и прочая и прочая.

Компьютеры подключены к коммутатору, коммутатор подключен к маршрутизатору.
В таком случае
1) с каждого компьютера будет доступен интернет
2) компьютеры доступны друг для друга
3) в предыдущем пункте трафик будет идти через коммутатор
4) возможно еще немалое количество нюансов, которые могут значительно повлиять на работоспособность схемы. Но, я полагаю, 'обычный' коммутатор с настройками по умолчанию вам поможет.

При использовании QinQ к уже тэгированному фрейму добавляется еще один тэг. Наиболее часто используется в провайдинге. Например, от клиента 1 все фреймы дополнительно помечаются тэгом 100, от клиента 2 - 200. Таким образом можно отличить фреймы во влане, например, 10, от первого (они будут тегированы 10 , затем 100) и второго (тегированы 10, затем 200) клиентов.

Private vlan используется, когда надо повлиять на 'видимость' хостов внутри влана. Пару раз видел у хостеров - есть, к примеру, /25 сеть и соответствующий влан, надо каждому хосту (один хост - это один клиентский сервер) разрешить видеть только default gateway и возможно служебный сервер для загрузки ОС. В таком случае порты, к которым подключены маршрутизатор и служебный сервер, работают в режиме promiscuous (в терминах private vlan, опять же), каждый клиентский порт - в режиме isolated (как участник isolated vlan). Двойного тэгирования здесь, как я понял, не происходит.

Вкратце, думаю, можно сказать, что QinQ - это технология мультиплексирования, Private vlan - технология фильтрации на уровне портов (т.е. мы можем указать, каким портам обмениваться трафиком, а каким нет, несмотря на то, что все порты находятся в одном vlan).