Akina

1. Собственный сервер - скорее да, чем нет. На Windows - 33/67 (альтернативы - Linux и NAS). AD - точно нет.
2. Коммутатор, разделяющий сеть на изолированные сегменты с помощью VLAN. При необходимости ограниченного или контролируемого доступа из сегмента в сегмент - маршрутизация Микротиком.
3. См. п. 1.
4. Видео - есть. Полезных - нет.

Дополнительно. Организация надёжного резервного копирования, и в первую очередь баз 1С, на независимый носитель - критично обязательно.

Против программного вандализма - бездисковые рабочие станции и сервер терминалов.

Против физического вандализма - система видеообзора в классе. Плюс "Правила использования компьютерной техники", подписанные официальными представителем каждого учащегося (родители и пр.) и самими учащимися (если позволяет возраст). С подробным описанием санкций (включая материальные) в случае такого вандализма.

И при любом инциденте - не стесняться. Досудебная претензия с полным "меню" восстановления, а при невыполнении в срок - в суд. Обычно "достаточно одной таблэтки" (с)

Навскидку как-то так:

1. На коммутаторе для VLAN интерфейса к pfSense прописываете статический (и не входящий в диапазон выделения на pfSense) адрес из 192.168.1.0.
   
2. На коммутаторе указываете адрес pfSense дефолтным шлюзом. Проверяете наличие связи коммутатора и pfSense в обе стороны, а также коммутатора к внешним адресам в Инете.
   
3. Для VLAN клиентских портов прописываете статический адрес из 192.168.2.0 и включаете на нём DHCP-сервер. Проверяете факт раздачи адресов и коннект коммутатора и клиента в обе стороны.
   
4. Включаете на коммутаторе маршрутизацию между подсетями.
   
5. Прописываете раздачу DHCP-сервером коммутатора своего адреса как адреса шлюза по умолчанию.
   
6. На pfSense в настройках его DHCP настраиваете раздачу адреса коммутатора из 192.168.1.0 как шлюза в подсеть 192.168.2.0/24. Проверяете. что всё работает.
   

Ну и это вроде бы всё...

Да, часть этих пунктов может, скорее всего, выполниться автоматически по факту настройки этого или предыдущих пунктов. Пункт 5 - почти наверняка.

Как обычно - берём двухинтерфейсный маршрутизатор, один к порту в одном VLAN, другой к другому, адреса из соотв. подсетей, маршрутизация, и его на узлах как шлюз в другую подсеть.
Если коммутатор уровня L2+ (а раз на нём есть DHCP-сервер, то это так), то он сам может работать маршрутизатором - прописываешь соотв. адреса внутреннего интерфейса в соотв. VLAN (один уже не надо, на нём DHCP-сервер), и указываешь их шлюзом.
Да, подсети в разных VLAN не должны пересекаться, ессно.

Как мне объяснить микротику, что на одном из портов стоит коммутатор?

Ему вообще-то похрен.
А циска пусть работает как тупой свитч. То есть абсолютно всё, кроме коммутирования - нахрен.

я докупил Cisco Catalyst WS-C2960-24TC-L

Можно было обойтись любым неуправляемым коммутатором на нужное число портов.

Если комп с Windows рядом - киньте патч-корд напрямую.
Если не очень далеко - подключитесь по WiFi.

Планировщик заданий - Библиотека планировщика заданий - Microsoft - Windows - UpdateOrchestrator - Reboot - ПКМ - Отключить

Если монитор имеет опцию PiP (картинка в картинке) либо PbP (картинка рядом с картинкой) - то вообще без проблем. Иначе - переключение через меню монитора или, как сказал Stalker_RED, командами DDC.

Ещё вариант - подключить монитор только к одному из компов, и с него же подключиться к удалённому рабочему столу второго компа. Правда, при этом необходимо, чтобы компы были объединены сетью.

1. Каждый DHCP-скоп должен "сидеть" в своём VLAN. Так что VLANID=10 для DHCP-сервера - явно неправильно. Он должен раздавать адреса юзерам и, возможно, принтерам, так что два скопа и три VLANID (ибо он сервер и должен быть в VLAN серверов). Да, серверы с динамическим IP - это более чем странно, даже при статическом резервировании.

2. Клиентских портов - да, не требуется. А вот на транке добавь, хуже не будет.

3. Аналогично - лучше добавь.

4. Можно и так, и эдак. Как по мне - принтсервер таки сервер, вот и пусть его в сегменте серверов. А вообще я б его делал двухинтерфейсным, наверное - один в серверах, второй с принтерами, так ему проще будет отлавливать включение-выключение принтеров.

5. Так принт-сервер и его очереди же публикуются через домен, а доступ к нему маршрутизируется. Зачем тебе прямой доступ клиентов к принтсерверу?

Навскидку:

1. Звезда - плохо. Случись что, и сегмент отвалится. Я бы делал как минимум кольцо, и в него ERPS или RSTP (ещё лучше - кольцо на ERPS, а дальше RSTP). Ещё лучше - два кольца. И из тех же соображений надёжности - минимум два магистральных коммутатора на площадку/здание.
2. Неуправляемые коммутаторы - забудьте как страшный сон. Например, надо перестартовать камеру по питанию - что, бежать к камере? да даже элементарно посмотреть статус коннекта... ставьте PoE L2.
3. Транки я бы делал 10G.
4. Оптический коммутатор в центре достаточно L2 или L2+. У него вообще все порты будут в транке (tagged).
5. По части подсетей - для указанного количества оборудования я бы брал подсети /23 или /22 из 172.16. Избыток адресов ни на что не влияет, а их недостаток - это по определению геморрой. Оно надо?
6. Если подсеть исчерпала адреса - то перестраиваешь DHCP-сервер, раздающий адреса. Либо расширяешь подсеть, либо добавляешь ещё один скоп и организуешь маршрутизацию. Второе правильнее - ибо в любом сегменте найдётся оборудование со статическим назначением адресов (не статическое резервирование!), при изменении маски их придётся перенастраивать.
7. И я как-то не увидел управляющего VLAN, в котором будут только административные адреса коммутаторов.

Вы неправильно понимаете, и от того неправильно мыслите.

Представим, что у нас на коммутаторе сделаны, скажем, 3 VLAN. Ну и подключены какие-то узлы-клиенты. Так вот - чтобы построить то же самое, но без управляемого коммутатора, Вы должны взять три отдельных коммутатора, и в соответствии с VLAN переключить на них всех клиентов.

Иными словами, сети различных VLAN изолированы друг от друга ПОЛНОСТЬЮ. И пусть Вас не обманывает, что все они сходятся в одном коммутаторе - внутри этого коммутатора никакого соединения между VLAN нет. Соответственно чтобы трафик ходил из одного VLAN в другой, нужен маршрутизатор, который одним интерфейсом смотрит в один VLAN, другим - в другой VLAN.

Вы хотите сделать у себя 5 VLAN. Соответственно если они, скажем, должны обращаться к одному и тому же серверу-файлопомойке, или через этот один сервер ходить в Интернет, значит, в этот сервер придётся вставить 5 сетевых карт, и каждую из карт подключить к отдельному порту коммутатора, являющемуся членом одного из имеющихся VLAN. Вот Вы точно этого хотите? А представляете, какой получится монстр, если количество VLAN будет не 5, а 15?

Да, в именно описанном случае можно спасти ситуацию, если использовать серверное оборудование и ПО, которые могут на одном внешнем интерфейсе создать несколько адресов из разных подсетей и статически зафиксировать для каждого из адресов определённый МАС-адрес, а на коммутаторе включить МАС-based VLAN. Но, поверьте, Ваша ситуация ну совершенно не располагает к созданию себе подобного геморроя...

--------------------

Как по мне, Вам вполне достаточно просто сделать несколько подсетей.

Инфраструктура виртуальных рабочих мест TermiDesk
Ну или
Терминальный сервер LTSP

WAN-интерфейс роутера может либо получать настройки по DHCP, либо настройки могут назначаться статически.

Касательно роутера, подключенного к провайдеру, всё очевидно. Провайдер желает DHCP - так и оставь.

Что же до своих роутеров, то лучше соблюдать железное правило - любые узлы, предоставляющие сервис (серверы, маршрутизаторы, включая и роутеры, и пр.), имеют статический адрес. Исходя из этого постулата, следует выделить внутренним роутерам для WAN адреса из LAN-подсети первого роутера, не входящие в его DHCP-скоп (т.е. недоступные для выделения). Кстати, именно с этой целью скоп обычно делают менее широким, нежели подсеть, оставляя и в начале, и в конце несколько свободных от выделения адресов.

Такая настройка позволит не выяснять каждый раз, какой IP присвоен роутеру, если потребуется подключиться к его административному интерфейсу со стороны WAN. Если для доступа к узлам сетей за вторичными роутерами используется port mapping или DMZ - не будет чехарды с адресом, можно будет использовать статические ссылки. Ну и ещё куча ситуаций, когда проблем со статическими адресами меньше, чем с динамическими. Да и правила доступа писать проще - как на основном роутере, так и на клиентских узлах его сети.

Считается, что можно установить на роутер динамический адрес, а в настройках DHCP основного роутера прописать эти назначения как статические. Однако это не убережёт от проблем, когда в сети первого роутера появится криво настроенный клиент с ошибочно включённым DHCP-сервером - сеть просто развалится. К тому же при исчерпании нерезервированных адресов в скопе и выключенном вторичном роутере основной может выдать и зарезервированный адрес - тоже не дождик золотой.

Сначала - инвентаризация. Понять, что есть.
Затем - проект. Понять, что предстоит сделать и что должно получиться в конце.
Далее - бюджет. Убедиться, что бюджет достаточен для реализации проекта, включая непредвиденные расходы, резервирование и прочие форсмажоры.
Если всё соответствует - можно начинать. Иначе даже не надо начинать - когда не получится, виноватого долго искать не придётся.