throughtheether

в лабе не засчитывается

В какой лабе? У вас лабораторные занятия в packet tracer? Попробуйте crossover (т.к. давным-давно компьютер и маршрутизатор соединяли именно таким кабелем).

Дело оказалось в том,что в одном трапе само устройство может передать несколько состояний mac-notification в объекте cmnHistMacChangedMsg.

Если я правильно понял, то так и должно быть. Цитата Cisco SNMP object navigator:

This object contains the information of a MAC change notification event. It consists of several tuples packed together in the format of '...'.

several tuples

several

Полагаю, проблема в разборе (парсинге) сообщения.

Падение линка не падение интерфейса. Подскажите как можно выкрутиться не прибегая к протоколам BGP.

Или самому организовывать добавление/удаление маршрутов в зависимости от "доступности" (ping и прочая) противоположного конца тоннеля, или использовать динамическую маршрутизацию через туннельные интерфейсы (реализации RIPv2, если не ошибаюсь, есть почти под каждую из популярных ОС).

Точнее можно будет ответить после того, как вы предоставите схему организации сети.
UPD:

Очень краткая схема в первом комментарии выше.

Если я правильно понял, то можно (нужно?) изменять маршрут по умолчанию (т.е. маршрутизировать трафик на OPENVPNSERVER1 или OPENVPNSERVER2) на 3750 в зависимости от работоспособности тоннеля?

Когда трава была зеленее я видел использованиe route map в зависимости от пинга, но не запомнил и информации сейчас нет.

На мой взгляд, вам подойдет решение в виде статической маршрутизации вкупе с ip sla tracking. См. раздел Резервирование.
UPD2:

К сожалению со второй стороны также нужно отправлять пакеты, в свою очередь выбирая интерфейс. А там у нас чисто линуксовое решение.

Я полагал, что хотя бы с одной стороны маршруты исчезают при нарушении работоспособности туннеля. Если нет, то остается RIPv2 (на 3 серверах с openvpn и на устройстве cisco).

При попытке добавить в транк 1 влан

Что именно делаете? Добавляете его тегированным/нетегированным (native)?

VLAN 1

Вообще говоря, vlan 1 может использоваться для служебных целей и иметь в связи с этим некоторые нюансы. На вашем месте, я бы, при возможности, использовал вместо него другой влан.

Если все-таки нужен влан 1 в тегированном виде, попробуйте на нужном интерфейсе команду
switchport default-vlan tagged

как повесить ещё один айпи на этот же интерфейс

Если не ошибаюсь, ASA не поддерживает secondary ip, то есть никак. С другой стороны, почти наверняка вашу проблему (какую, кстати?) можно решить другим путем.

Попробуйте IRB.

На мой взгляд, сеть довольно проста, требования не самые трудновыполнимые, но выбрать лучше 3550.
Плюсы:
- когда ваша сеть вырастет из одного L2-сегмента, 3550 можно будет переконфигурировать (используя его L3-возможности)
- больше "кнопочек и рычажков" - более разнообразный опыт настройки для вас

Единственное, если нужны гигабитные аплинки для связи между помещениями (в чем я сомневаюсь), то потребуется докупить модули.

По поводу HP ProCurve, мне запомнился менее удобный по сравнению с cisco/juniper cli-интерфейс и странная терминология (то, что я привык называть portchannel/etherchannel/aggregated ethernet, в терминах HP называется Trunk).

Но ведь в таком случае на проектор также пойдут dhcp-запросы и прочий разрешенный в ip forward-protocol бродкаст, что, как мне кажется, нежелательно.

Вы можете отфильтровать эти запросы при помощи ACL на out-направлении интерфейса vlan2, на мой взгляд.

адрес проектора клиентский софт на ПК определяет широковещательным пакетом на адрес 10.0.2.255

а не на 255.255.255.255?

А вы рассматривали вариант проверять "наличие интернета" при помощи http get, если ваша версия IOS это поддерживает? ICMP, на мой взгляд, не вполне полноправный член семьи IP протоколов, его часто подвергают полисингу (ограничению) в первую очередь.

На приведенной схеме все коммутаторы соединены между собой оптикой

Кроме 3750 какие коммутаторы (вендор, модель) в кольце присутствуют, поясните пожалуйста. Сеть моновендорная?

На первый взгляд можно использовать MSTP, и все будет работать.

Можно. А можно использовать и Rapid-PVST+. Во втором случае все будет проще и понятней, на мой взгляд. Но Rapid-PVST+ - вендорспецифичная технология. Но с другой стороны, если вы хотите настроить STP (MSTP, например) в мультивендорном окружении, то будьте готовы к тому, что вам придется диагностировать проблемы, которых "по книжке" быть не должно, но они есть.

На тестовом стенде получили время схождения в пределах секунды-двух.

А вам сколько надо? Если выбирать между даунтаймом в секунду и несколько часов (если линк оборвался, а резервирования нет), то выбор очевиден, на мой вгляд.

Однако, изучая дискуссии по STP (на хабре) пришел к выводу, что данный подход не есть торт.

STP - такая вещь, о которой знает каждый человек с CCNA, но у которой огромное количество нюансов, и в них уже разбирается не так много людей. Это следует учесть при оценке полезности мнения незнакомого вам человека. Кроме того, не только ваш подход "не торт", но и сам STP "не торт". Если смотреть на вещи в развитии, то сама идея ethernet-бриджинга "не торт". Но есть некие идеалы, а есть "реальность", с которой предстоит работать.

Собственно вопрос, как сделать правильно?

Не знаю, и никто не знает. Мне вообще сама идея "правильных"/"неправильных" решений не вполне понятна. Есть рабочие решения, есть нерабочие. Есть решения с незначительными побочными эффектами, есть, наоборот, с ощутимыми.
На вашем месте я бы настроил Rapid-PVST+, подкрутил при необходимости таймеры, жестко задал бы приоритет корневого коммутатора (если я правильно понял, 3750 в топологии годится на эту роль) и отработал бы типовые аварии (все это в лабе), не забывал бы о udld. С другой стороны, если в обозримом будущем возможно добавление в кольцо оборудования других производителей, или число вланов слишком велико, стоит подумать о MSTP.

Но из внешки - по не понятной мне причине оно тупо не проходит.

Что под этим подразумевается? Истекает таймаут или сервер присылает RST-сегмент?
Во втором случае, проверьте настройки сервера (фаерволла, в частности).
Проверить, доходит ли трафик до сервера, вы можете при помощи wireshark/tshark (я предполагаю, на сервере установлена ОС windows).

Кто сталкивался с данным маршрутизатором

Не сталкивался, но пару мыслей выскажу.

сайт из вне более не доступен

Что это значит? Как вы определяете доступность? Когда вы обращаетесь по URL вида http://ipv4address:port, что происходит? Истекает таймаут ("не удалось обнаружить сервер") или вы видите сообщение вроде "сервер сбросил/разорвал соединение"? В первом случае следует проверить настройки "проброса портов", во втором - настройки фаерволла/ACL. Надеюсь, что настройки сервера вы уже проверили.

Основной шлюз имеет 100 мегабитный канал в инет. А один из офисов только 10 мегабитный канал до шлюза.

Уточните пожалуйста, в чем конкретно состоит проблема. На что расходуются 10 мегабит/c полосы пропускания? На что их не хватает?

Каким образом можно сжимать трафик штатными средствами?

Пока не вполне ясно, как именно вам поможет сжатие трафика. Наиболее простой, поддерживаемый, прогнозируемый способ увеличить производительность доступ в интернет из указанного вами офиса - увеличить полосу пропускания до шлюза.

Возможны и другие варианты. Если в основном используется веб-функциональность интернета, вы можете поднять в проблемном офисе кэширующий прокси-сервер и, в случае использования оборудования cisco, задействовать его при помощи wccp. Вот пример.

Другой вариант - воспользоваться "ускорителем интернета" (WAN acceleration). В случае cisco - семейство WAAS. Имеет реализацию сжатия трафика, дедупликации данных и оптимизации производительности TCP. Опыта промышленной эксплуатации этого продукта я не имел, но могу предположить, что для грамотного внедрения подобного решения, необходимо понимать, как именно работают приложения в вашей сети, знать нюансы реализации TCP-стека на серверах/рабочих станциях и быть готовым к труднообъяснимым багам. И все это ради негарантированного улучшения производительности в вашем случае.

Наконец, когда-то существовали модули аппаратного сжатия трафика для 2600, 7200, но, если не ошибаюсь, они достигли статуса End-of-life.

Вкратце, не вполне ясно, как (насколько) именно вам поможет сжатие трафика. О наличии встроенной (не требующей дополнительной лицензии, дополнительного модуля) подобной функциональности в оборудовании cisco мне неизвестно. Возможные варианты я вам обрисовал.

UPD: Обнаружил такое якобы бесплатное решение. Думаю, стоит обратить на него внимание. Хотя, повторюсь, WAN-оптимизация - дело нетривиальное.

Пробовал в остановить пароль по инструкциям в инете после того как поменял регистр на 2142

Какую именно команду вы применили? Правильная команда confreg 0x2142 Если вы ввели, например, confreg 2142, то это не то значение, которое вам нужно.

по консольному кабелю роутер молчит. В чем может быть проблема?

Если вы ввели неправильное значение, скорее всего вы затерли настройки консоли. На вашем месте я бы попытался подключиться к консоли, перебрав все возможные значения настроек (baud rate и прочая).

Если вы ввели confreg 2142 (десятичное значение вместо шестнадцатиричного), попробуйте установить скорость 4800 бод.

Открою секрет - нет никаких коммутаторов, маршрутизаторов, фаерволлов и прочая. Есть устройства. У каждого устройства есть определенная функциональность. Пример:

• одно устройство может перенаправлять трафик, основываясь на его L2-заголовках, но при этом имеет зачатки маршрутизации (L3-форвардинга). Это управляемый "коммутатор".

• другое устройство может обрабатывать (перенаправлять) трафик, исходя как из L2, так и из L3- и L4-заголовков пакетов (фреймов, датаграмм, сегментов). Оно же имеет функциональность DHCP-сервера. Но оно оптимизировано под Ethernet-технологию, зато IP-over-Ethernet трафик обрабатывает очень быстро, благодаря оптимизациям. Это L3-"коммутатор".

• третье устройство обрабатывает трафик, исходя из L3-L7 заголовков. Оно умеет транслировать адреса (NAT), поднимать шифрованные туннели, фильтровать трафик, применять внимательный к деталям QoS. Это "роутер".

Далее, по вашим вопросам:

- что есть "облачный маршрутизатор"?

Практически любая фраза, содержащая слово "облачный" (кроме "облачная погода") - плод сумрачного маркетингового гения. Я не знаю, что такое "облачный маршрутизатор". Это может означать "SOHO-маршрутизатор со встроенным клиентом для файлового облака". Это может означать "группа маршрутизаторов с централизованным управлением/автоматическим распределением (provisioning) ресурсов конечным пользователям", некий шаг в сторону SDN (software-defined networking). Это может означать что угодно, это маркетинговое понятие.

- опять же, где более-менее можно узнать об отличиях между сериями?

Логичнее всего - на сайте cisco.com. Еще, по-моему, на канале skillfactory в youtube были обзорные видео.

- чем маршрутизатор периметра отличается от просто маршрутизатора?

Положением в топологии сети (на границе вашей сети и сети вашего провайдера) и вытекающими из этого требованиями (EBGP-сессии, некая фильтрация трафика и т.д.).

- например, недавно была статья, исходя из которой мне не понятно, что такое сетевой экран и система предотвращения вторжений, т.к. у меня в голове это все равнозначно файрволлу и встроено в роутер?

Фаерволлы, насколько мне известно, начинались как простые пакетные фильтры, затем фильтры с учетом состояния сессии (TCP), затем фильтры с учетом L7-данных (Application level gateways, ALG; началось это с необходимости обработки протокола FTP, известного своим специфическим дизайном), затем добавились антивирусы, антиспам и поиск сигнатур вредоносного трафика (IDS/IPS). Часто все эти возможности в той или иной степени совмещаются в одном устройстве (Unified Threat Management, UTM).

так вот, с чего бы начать, чтобы таких вопросов поубавилось?

Изучите спецификации и примеры использования каждого из интересующих вас семейств устройств. Разберитесь, какие особенности устройств (большой объем памяти - можно принять несколько BGP Full View, высокопроизводительные ASIC - низкие задержки при обработке трафика, криптографический ускоритель - высокая производительность шифрованных тоннелей и т.д.) позволяют их использовать в соответствующих ролях.

Но конфиг не менялся!

Не менялся в буквальном смысле или вы его перезаливали через терминал (copy-paste) после перепрошивки? Во втором случае проверьте, нет ли лишних пробелов в логине/пароле (в конце).