rionnagel

Использовать sccm например.

Вы что хотите в итоге? 1 ip адрес и если идёте на jopa.ru - то попадаете туда, а на jora.ru - сюда? Тогда вам надо гуглить virtual hosting. Это Вы можете сделать с использованием реверс прокси на nginx например (apache, haproxy и так далее).

BGP

Для создания дополнительного периметра это раз. Целей и реализаций может быть масса, не думаю, что тут обязательно приводить кейс.
Для "моногамности" оборудования это два. Предположим у вас колокейнш стоек в разных датацентрах и несколько виртуальных инфраструктур. Вам надо поднять bgp между этим всем и построить звездой связь gre туннелями через ipsec. Ни один вменяемый специалист не сможет гарантировать работоспособность в среде зоопарка, когда можно внезапно ловить ад по mtu, по размерам tcp окна, частыми флапами туннелей и прочего, что может появиться после обновления прошивки того или иного устройства разных вендоров.

Это же wifi эфир, он общий для всех в пределах некоторого количества каналов. Скорость в 350 это норм.

Зависит от нюансов. Опишите подробно кейс.

Например твоя виртуалка на винде с обновлениями 2008 года в общей сети с другими машинами, торчит голой жопой в интернет всеми портами. И тут прилетает вонакрай... ту би континуед.

Базу и популярные утилиты как минимум и сетевые инструменты. Да, в случае чего на какой-нибудь gaia os вам придется тюнить tcp/ip стэк и пересобирать ядро с нужными параметрами. Тюнить стэк вам и на винде придётся ключами реестра. Определять в чём затык, как бороться с tcp перегрузками на разных этапах. Иметь представление обо всём надо, не обязательно слишком детализированно, вам не обязательно знать принципиальные отличия zfs от xfs, но что такое айноды знать надо.

Но у каждого работодателя может быть по разному, вдруг вы там только будите ворочать bgp и правилами через консоль - хз, а может и только правилами доступа и защитой.

Вдруг от линукса вам надо будет только умение поднимать strong swan и iperf'ом скорость мерять хз.

Кроме названных выше есть 2g 3g 4g уселители. 2 таких можно объединить в сеть и гонять от места где есть сигнал в место где его нет. Стоит дорого, найти сложно.

Сначала определиться с бюджетом, временем и что у вас есть, прикинуть возможные риски.
Я бы начал с того, что поднял hyper-v (как я понял лицензия у вас есть), одна лицензия это хост + 2 виртуалки, сделал бы план бэкапов и восстоновлений. Поднял бы active directory, посоздовал бы учётки и ввел бы это всю хрень в домен. Из трат - ваше время, время специалистов, пока вы им настраиваете учётки из AD. Если это возможно операционки ставьте новые. Под серверную крайне желательно выделить отдельное помещение с 1-2 кондиционерами и хотя бы ибп, не говорю уже про резервную линию питания.
С сетью очевидно прямых трат больше. Надо прикинуть возможно ли поставить всё в одну коммутационную стойку, или надо несколько стоек по предприятию. Считаем траты на кабель, коммутациюнные шкафы, сколько метров до самых удаленных точек, разетки, маркировка, кабель-каналы и прочий строительный храм + время простоя во время ременота + пространство (КРАЙНЕ ЖЕЛАТЕЛЬНО ЗАКРЫТОЕ, та же серверная) в котором всё это будет находиться. Обсудить с начальством целесообразно ли покупать управляемые свитчи (с тем же storm control и прочими протоколами), либо конторка без проблем денек подождёт, пока вы будете носится как угарелый искать какой такой нехороший сотрудник решил подключить неподключенный кабель в разетку и куда именно, денек до этого выясняя, что это всё-таки именно broadcast storm. Схему рисовать обязательно. Всё должно быть понятно и подписано. В качестве шлюза микротик более, чем норм. И РАЗУМЕЕТСЯ вы на каждую комнату закладываете больше разеток, чем там находится пользователей процентов на 20-80 в зависимости от ситуации.
В описанном не вижу необходимости нарезать vlan'ы и как-то сегментировать сеть, но возможно вы что-то не договариваете, либо я недооцениваю. Разве, видеокамеры в отдельную подсеть и отдельный vlan (хотя и второе не обязательно в зависимости от схемы подключения).
Для принтетов можно подумать принт-сервер. Для удаленки pptp сервер на микротике.

Если вы хотите там как-то резать доступ по отделам, делать несколько ad, сегментировать сеть и т.д. это уже другой вопрос.

Это я так, сходу прикинул. Вообще всё зависит от финансирования.

Потому, что пакеты полностью дропаются, а не реджектятся. Перед дропами сделать reject tcp-reset.
То, шо вы используете веб прокси еще не значит, что клиент игнорит фаервол.

С сетью у вас трэш какой-то.
На AD нету шлюза (как у вас там что-то маршрутизируется?), dhcp другой на win 7, разные подсети, на xp возможно вообще dhcp клиент отключен (либо ещё по какой-то причине не получает адрес). Возможно сами компы не вводятся в домен т.к. нет доступа до днс сервера.
Я предполагаю, что вы начудили с настройкой сети виртуальных машин.

Найдите работу получше. Увольняйтесь. Я без шуток и без издевок. На этом месте вы ничего не узнаете и ничего интересного делать не будите. Я исхожу из описанной вами цели "А так хочется набраться опыта".

Zabbix, elk stack + elastiflow, PRTG Network Monitor, netflow analizer и прочее, что умеет жрать netflow. Так вы увидите с какого ip на какой человек лезет. Но вы же понимаете, что с коробки ничего вам не покажет, что человек сидит на youtube, а не гуглит (это можно определить лишь по косвенным признакам и неоднозначно), особенно если адреса принадлежат одной компании. Если заголовок зашифрован - вам надо mitm фигачить, сертификаты всем подменять, возможно покупать весьма дорогое ПО, а в некоторых случаях и железки и пр. Сейчас не 2000 года, когда трафик был преимущественно http и можно было без проблем видеть заголовки через прокси.
Если бюджетом не располагаете, то лучше эту идею не реализовывать. А то придёте к тому, что везде надо будет ставить kerio control, покупать лицензии, подменять сертификаты и переворачивать сетевую инфраструктуру так, чтобы потратить меньше денег. Это потянет более жосткие проблемы за собой и на поддержание этого придётся нанимать специалиста.

Да простят меня все мыслимые и немыслимые специалисты... Но вашу задачу решает вполне себе тот же Kerio Control из коробки с красивыми отчетами и графиками... только денег стоит.

Про стрельбу из пушки по мухам можно упомянуть ELK stack, который жрёт логи... например сквида.

Возможно сертификат на сервере установлен некорректно (нету chain к примеру в сертификате до нужных CA) либо как ответили выше не установлен CA/