throughtheether

Я не думаю, что какой-либо вендор расскажет вам в деталях, как устроена подобная защита. Мои предположения:
1) настраивается сбор статистики (количество GET/POST запросов в единицу времени, период времени между запросами, характеристики обхода графа ссылок и прочая)
2) натравливаем популярных ботов, собираем статистику
3) обучаем систему на живом трафике
4) учим систему классифицировать трафик, относится ли он к случаю 2) или 3)
5) ???
6) профит!
По поводу эффективности технологии - я не знаю, как ее померять. Зато знаю, что "нажать ссылку" - это довольно примитивная защита, капча и то лучше, полагаю. В случае массовой атаки на сервисы, защищенные капчей, как правило, используются сервисы типа "антикапча", которые стоят денег. То есть под внятную атаку нужен бюджет; есть ограничение по масштабируемости атаки. В случае защиты секретной ссылкой - нужно один раз научиться доставать ссылку (phantomJS и другие headless-решения), и размножить это метод по всем ботам. Насколько мне известно, ботов на основе phantomJS выявляют по тонким отличиям в реакции на субстандартные заголовки.

Я не вполне понимаю схему подключения (схема была бы кстати), но предлагаю проверить настройки автоопределения дуплекса и скорости передачи данных среды. В частности, настройки автоопределения с противоположного конца "кабеля", который вы втыкаете в маршрутизатор. Если на устройстве/устройствах с того конца скорость и дуплекс жестко заданы (100/full), например, а на маршрутизаторе определяются автоматически, то вполне возможно, что порт маршрутизатора поднимется в режиме 100/half. Это чревато потерей пакетов. Также проверьте настройки дуплекса на линках между компьютерами и маршрутизаторами.

Я не работал с AP от Cisco, но разве gi1/0/3 не должен быть транком с тегированным 4 вланом?

ловит петлю и отключает порт

Вы уверены, что порт отключается из-за формирования петли (т.е. он переходит в режим blocking/alternate), а не из-за срабатывания, к примеру, root guard?

Кроме того, стоит проверить, нет ли в настройках маршрутизаторов (router 1, router 2) какого-либо форвардинга фреймов (бриджинг, например, или форвардинг BPDU) между портами, указанными на схеме (т.е. не является ли один из маршрутизаторов причиной, по которой root считает, что в наличии петля).

Предлагаю аккуратно измерить напряжение между "землями"/корпусами коммутатора, сетевого фильтра и АТС.

Предлагаю с маршрутизатора запустить пинг до интересующего вас сервера. Затем посмотреть, формируются ли соответствующие записи в ARP- и MAC-таблицах. В случае с Cisco IOS CLI это можно сделать так

ping 192.168.0.2
show arp
show mac address-table

В вашем случае синтаксис может немного отличаться.

Я вообще полагаю, что из отсутствия ответа на ICMP Echo-request еще не обязательно следует неполадка в маршрутизации. Насколько мне известно, в некоторых случаях (ОС Windows) встроенный фаерволл (брандмауэр) запрещает входящие пинги.

Надо сделать так, чтобы пакет отправлялся не в один, а в несколько портов

Другой возможный способ - воспользоваться RSPAN. Примерно как здесь.
RSPAN, если я правильно понял, на 2960S поддерживается.

Первое - обеспечить доставку пакета только на одно устройство

Если на вашем оборудовании нормально реализован Ethernet (не шлете, например, слишком длинные фреймы, не используете FF:FF:FF:FF:FF:FF в качестве адреса источника во фрейме), то каждому порту будет поставлен в соответствие MAC-адрес устройства (X), к нему подключенного. Фреймы, имеющие X в качестве адреса назначения, будут коммутироваться только в этот порт. Первоначально, пока таблица таких соответствий еще не составлена, фреймы будут коммутироваться на все порты (интерфейсы). Как только устройство ответит фреймом со своим MAC-адресом в качестве адреса источника, запись в таблице появится и фреймы, предназначенные этому устройству, будут коммутироваться только в этот порт. Если это неприемлемо, и надо все приколотить гвоздями с самого начала, поможет команда:

mac-address-table static AA:BB:CC:DD:EE:FF vlan VVV interface fa0/N

Второе - тут я вообще не понимаю, с какой стороны подступиться. Надо сделать так, чтобы пакет отправлялся не в один, а в несколько портов

На некоторых коммутаторах можно командой
no mac-address-table learning vlan VVV
где VVV - номер влана, сделать так, что все фреймы, входящие для интерфейсов в заданном влане, будут скоммутированы (скопированы) на все остальные интерфейсы в этом влане. Именно это вам и надо, как понял. Но я не помню, поддерживает ли 2960S эту команду. Подробнее здесь.

Я с оборудованием Linksys не работал, но мысли такие:

1) доступ между вланами наблюдается, потому что, предположительно, SG300 маршрутизирует трафик между вланами. Проверить можно при помощи (команда Cisco IOS CLI, в Linksys синтаксис может отличаться):
show ip route Почему при подключении к Gi2 (если я правильно понял) не были доступны хосты в других вланах - надо разбираться отдельно (вероятно, некорректный адрес шлюза по умолчанию на хосте, подключаемом к этому порту)

2) Если хотите заблокировать весь трафик влана 102 от проникания в другие вланы, попробуйте (опять же, предполагая синтаксис Cisco IOS CLI):

ip access-list extended vlan102-in
ip access-list extended vlan102-out
interface vlan 102
 ip access-group vlan102-in in
 ip access-group vlan102-out out

>Тогда я был бы благодарен за мануал по настройке статических определений связок
Если вы решили попробовать настроить специфичные arp-записи, как я рекомендовал, то надо сделать следующее:
1) на одном из хостов пропинговать 192.168.1.2 (с целью обновить динамические arp-записи).
2) посмотреть соответствующий MAC-адрес (в windows arp -a 192.168.1.2)
3) на каждом из 'избранных' хостов добавить статическую arp-запись (в windows arp -s 192.168.1.1 aa-bb-cc-dd-ee-ff, где aa-bb-cc-dd-ee-ff - адрес из п.2)
4) удалить статическую запись можно arp -d 192.168.1.1
5) при перезагрузке статическая запись теряется, может потребоваться прописать команду в автозагрузку

Я так понимаю, mikrotik и linux-машина находятся в одном l2-домене (т.е. включены в один коммутатор, порты в одном влане, интерфейсы 192.168.1.1 и 192.168.1.2 могут друг друга пинговать)?

Если так, то можно поднять на linux-машине dhcp-сервер и отдавать клиентам адрес маршрутизатора (dhcp option 3) в зависимости от MAC-адреса клиента. По-моему, dnsmasq это умеет.

Я вижу два главных отличия - на 3750 можно установить 10-гигабитные трансиверы в качестве аплинков, также на 3750 более полно (RIP/OSPF) реализована маршрутизация (на 2960s только статические маршруты, около 16, и по-моему надо использовать софт LAN Base, а не LAN Lite, идущий в комплекте)

Полезные ссылки:
3750
2960