WAN側の1本の802.1q trunkで論理的に2本のL2 VPNがサーバラックに来るんだが，これら全ての間をL2で接続したいと思い，頭をひねった挙句，top-of-rackのL2 VLANスイッチのポート同士にループ結線（ただしPVIDが異なる）をほどこすことで概ね実現できた．T は802.1q tagging，U は untagged の意味．

まぁVLAN変換に対応したスイッチを買ってもよかったが... それに対応するのはいわゆるCiscoルータやそのクラスの製品になってしまい「コンフィグが難しいからなー」とか余計なことを考えて，このようなトリッキーな構成を行ってしまった．驚くことに概ね動いている．
ただ，やっぱなんかおかしい... 上で「概ね」と書いたのは，どうも向きによってL2 broadcastが（すなわち，例えばARP requestが！）通らないっぽいのを見つけてしまったせい．やっぱ無理があったか...
ポート4のサーバ*1からポート1内の各VLANの向こうの機器へPingを打つとちゃんと返ってくるが，ポート1内の各VLANから，ARPキャッシュ・エントリが無い状態でポート4へPingを打つと "Destination Host Unreachable" になってしまう．仕方ないのでポート1の各VLANの機器に静的ARPエントリを登録したらポート4に常に正しくPingできるようになった．VLANスイッチのARPキャッシュ・テーブルを眺めたり，そこに静的ARPエントリを登録もしてみたが，無駄だった．なおVLANスイッチのARPキャッシュ・テーブルは，VLANスイッチというものを額面通りに受け取った場合に想定されるのと全く同じ内容となっていた．例えばポート4の先のサーバのNICのMACアドレスがVLAN101:ポート4『と』VLAN102:ポート3の両方に現れていた．こんなんでも動くんですねー．実装の都合でARPキャッシュ・テーブル全体でキーのMACアドレスが一意でないとならない制限（ループ結線を1パケットが出入りする度にARPキャッシュ・テーブルがflip flap書き換わる）を恐れていた．
しかし，しかしである．それでもVLAN 101の機器からVLAN 102の機器にはPing通らない... VLAN タグをストリップして一度 物理ポートから外に出し，それを受け取り，またVLANタグでラップする工程がしんどいのか．全てGbEでfull duplexであり，ポートのエラー統計を見ても特に何も出ていない．
ちょっとこれは目論見と違うなぁ．ポート4のサーバでDNATすればいいかな...
ちなみに買ったL2 VLANスイッチは米国でCoregaに相当（？）するN社の2万円くらいの，「日本人よ，これがチープ革命だ」みたいなやつ（笑