Akina

Подключаешься удалённо к роутеру и disable/enable порта, которому подключен компьютер.
Если роутер не умеет избирательно отключать порты - то через файрвол включаешь/выключаешь правило, разрешающее доступ из LAN, либо по МАС.

Нужно изменить режим работы Роутера-2. Он должен работать в режиме не роутера, а точки доступа, т.е. просто служить конвертором интерфейса. Ну и, само собой, DHCP на нём отключить.
Тогда камера будет цепляться за него и через него слать запрос адреса на Роутер-1. Ну вернее слать запрос в проводной интерфейс, а там Роутер-1 единственный DHCP.
У ТПЛинка на сайте даже видео есть "Как превратить роутер в точку доступа?".

Читайте договор.

Если точка предоставления услуг провайдером - выход роутера, то вы в принципе не имеете права что-то делать с роутером. В том числе и заменять его.
Если точка предоставления услуг провайдером - вход роутера, то вы имеете полное право заменить роутер на свой, и потребовать от провайдера полный перечень настроек, необходимых для подключения своего оборудования.

Надеюсь, коммутатор управляемый?

Смотрим ARP коммутатора. Некоторые МАС можно идентифицировать сразу - например, у большинства сетевых принтеров МАС написан на шильдике. Хотя, судя по поставленной задаче и имеющемуся бардаку, клиентов немного, так что обойти все компы и переписать МАС-и недолго.

Берём ноут либо планшет с сетевухой (USB). Втыкаемся в розетку или коммутатор. Смотрим в ARP в интерфейсе сиськи, на каком порте находится МАС сетевухи.

А ещё есть генераторы, которые "свистят" в кабель. И к ним щуп, который определяет наличие этого "свиста" в кабеле либо розетке. Но это либо вдвоём, либо много бегать.

Есть устоявшаяся практика: присваивать номер vlan номеру подсети

Вот честно - слышал, но никогда не мог понять. Как по мне - хрень голимая. Качественное документирование куда как полезнее.

Более того, никогда не понимал и горячее желание иметь одну подсеть на вилан. Но тут хотя бы понять можно, почему.

понятно ограничение на количество vlan на разном оборудовании

Если оборудование не поддерживает стандарт, который определяет 4к различных VLAN, то разумнее его не использовать - кто знает, что оно ещё делает не по стандарту...

Насколько крупный должен быть бизнес, чтобы человек был не админом-универсалом, а трушным сетевиком?

В основном это определяется не размером конторы, а областью её деятельности и разветвлённостью её сетевой инфраструктуры.

Мелкой, средней, и даже крупной конторе, но не имеющей разветвлённой сетевой инфраструктуры, выделенный сетевик в общем-то не нужен, как правило, вполне достаточно системного админа (или нескольких) с соответствующими скиллами.

Крупной конторе с разветвлённой сетевой инфраструктурой (как правило, речь о территориально распределённых) выделенный сетевик или даже отдел - нужны. А если проблемы в сетевой инфраструктуре способны сильно влиять на бизнес и приводить к серьёзным потерям - то такой отдел необходим.

Крупной конторе, предоставляющей услуги связи другим конторам (т.е. тем, у которых сетевая инфраструктура - одно из главных средств производства), выделенный отдел сетевиков абсолютно и критично необходим. Причём там должны быть и сетевые администраторы, и сетевые инженеры - это весьма разные должности функционально. Список таких областей деятельности достаточно узкий - связисты, провайдеры, ну ещё датацентры, пожалуй, ну и всё.

является ли такой режим и график работы для сетевика нормой?

Для организации, имеющий соответствующий отдел и службу быстрого реагирования (последняя категория из описанных выше) - совершенно ненормально.

Для организации, у которой службы быстрого реагирования отсутствует - хоть и ненормально, но, увы, типично. И хорошо, если эта особенность соотв. образом учитывается в зарплате, но такое бывает далеко не всегда.

Документация на странице 7 утверждает, что девайс поддерживает полный набор виланов, все 4096 штук.

16 ноутбуков с выходом в интернет. Если подключить к коммутатору, то IP адресов не хватает. Думаю как-нибудь через маршрутизатор подключить, но пока не знаю, как это сделать и какой маршрутизатор для этого подходит. Маршрутизатор будет получать IP адрес от сервера школы.

Иными словами, в качестве маршрутизатора в инет и одновременно DHCP-сервера выступает этот самый "сервер школы".
Соответственно решение - на сервере в настройках DHCP-сервера создать ещё один скоп /27 или шире, и смаршрутизировать его в интерфейс/VLAN, через который подключается коммутатор класса.
Задача должна решаться администратором, а не первым попавшимся под руку неспециалистом.

Нормально спроектированная СКС предполагает как минимум наличие одного центра. Там собственно и размещается общее оборудование. Для настолько малой сети - стойка/шкаф, туда маршрутизатор доступа в Инет, коммутаторы, патч-панель и бесперебойник, и туда же заводится линк к провайдеру. От патч-панели - разводка медью до точек подключения стационарных компов (с пробивкой в розетки, предусмотреть лотки для раскладки кабельной сети), точек доступа и периферии.

Коммутаторы - достаточно одного на 24 клиентских порта для разводки по меди (хотя раскладку всегда следует делать с запасом, народ то мебель переставит, то сетевую МФУ купит, то ноут подключит кабелем, так что я бы взял на 48 портов) и одного PoE на 8 портов для подключения точек доступа.

Маршрутизатор - если нет необходимости разграничивать доступ, то формально и какого-нибудь SOHO роутера хватит. Скажем, Микротика из недорогих..

Точки доступа лучше брать сразу комплект под бесшовку, чтобы с настройкой не трахаться. А если управляющий корпус сам обеспечивает PoE, то и второй будет коммутатор не нужен.

1. Подключаем к розетке комп/ноут.
2. Подключаемся к коммутаторам, смотрим FDB, ищем МАС компа/ноута на клиентском порте.

Альтернативное решение.

1. Подключаем к розетке комп/ноут.
2. Запускаем от имени администратора следующий батник:

:start 
netsh interface set interface "Имя сетевого интерфейса" disable
timeout /T 3
netsh interface set interface "Имя сетевого интерфейса" enable
timeout /T 3
goto :start

Идём по коммутаторам и ищем клиентский порт, мерцающий с частотой раз в 3 секунды.

L2:

Switch1 должен пропускать VLANID 20 с порта Fa0/1 (untagged) на порт Fa0/2 (tagged).
Switch2 должен пропускать VLANID 30 с порта Fa0/1 (untagged) на порт Fa0/2 (tagged).
На Router1 на порте Gig0/0/0 должен быть VLANID 20 tagged.
На Router2 на порте Gig0/0/0 должен быть VLANID 30 tagged.
Порты Gig0/0/1 обоих роутеров должны быть в одном и том же VLANID, оба tagged либо оба untagged. Либо соединены напрямую без использования VLAN.

L3:

На PC1 должен присутствовать маршрут в 192,168,30,0/24 (либо дефолтный) через 192,168,20,1.
На PC2 должен присутствовать маршрут в 192,168,20,0/24 (либо дефолтный) через 192,168,20,1.
На Router1 должен присутствовать маршрут в 192,168,30,0/24 через 10,3,3,3.
На Router2 должен присутствовать маршрут в 192,168,20,0/24 через 10,3,3,2.

Если то, что обозначено на схеме словами Switch1 - неуправляемый коммутатор, то может спасти MAC-based VLAN на порте роутера, подключенном к этому неуправляемому коммутатору. Впрочем, единый широковещательный домен никуда не денется.

Всё современное оборудование имеет Auto MDI/MDIX detection и не требует кроссовых кабелей.

Кроссовые кабели обязательны при соединении двух оконечных или двух транзитных устройств, не поддерживающих автоопределения, и рекомендуются при соединении двух устройств, если оба являются оконечными (клиентскими) либо оба транзитными, и одно из них не поддерживает автоопределение.

Firewall rule:

Chain - forward
Dst. address - блокируемый сайт
In interface - порт к коммутатору
Action - drop

Как роутеры провайдера узнают, на какой именно локальный серый ip отправлять пакет?

Нет такого термина как "серый", это неопределённый до конца слэнг.

Впрочем, неважно. Этот термин является подмножеством термина "немаршрутизируемые адреса". Т.е. адреса, маршрутизация которых запрещена. А потому любой маршрутизатор, получив для передачи пакет с немаршрутизируемым (в т.ч. и с "серым") адресом назначения, просто выбросит его. И даже не озаботится отсылкой уведомления о том, что пакет был убит.

Соответственно на роутер провайдера может прийти только пакет с маршрутизируемым адресом назначения. А чтобы роутер перенаправил его на один из адресов внутренней сети, адрес назначения пакета должен быть адресом внешнего интерфейса (WAN) самого роутера.

Что же касательно вопроса "кому будет передан" - правило маппинга портов включает чёткое и однозначное соответствие между тем, по какому протоколу и с каким портом назначения пришёл пакет, и на какой адрес во внутренней сети его следует перенаправить.

Видел на ноутбуке (сетевая карта 100 на 100) как он по сети давал 125 на 75.

Ты тупо не понял, что видел. Отключи кэширования со стороны дисковой и сетевой подсистем - и хрен ты увидишь такие значения.

Хотелось бы на сервере и на потребителе выставить настройки сетевого порта 1950 на 50, чтобы при скачивании с сервера скорость была в два раза выше.

Невозможно даже теоретически.

Канал приёма и канал передачи в режиме полного дуплекса практически независимы, это два однонаправленных канала, и у каждого предельная скорость передачи составляет 1 Гбит. То есть свыше этой скорости передавать не получится - даже если другой канал простаивает, он просто не умеет слать в обратном направлении.

А в полудуплексе они синхронны в рамках общей, суммарной, скорости в 1 Гбит - т.е. когда один канал работает, встречный отдыхает.

-----------------

Для увеличения скорости обмена можно доставить по второй сетевой карте и агрегировать эти два канала в один логический. Впрочем, до 1950 добраться всё равно не получится.

Либо (самое правильное решение) докупить и поставить более высокоскоростные сетевые карты. Стоимость решения в случае 10G портов - порядка 9 тыр за порт.

Можно ли использовать коммутатор для соединения интернета, роутера и видео.

Если между местом планируемой установки коммутатора и микротиком есть (или можно проложить) два кабеля, а коммутатор управляемый - да, можно. Впрочем, в этом случае коммутатор как бы и не нужен.

Если кабель только один, предлагаю переместить микротик к точке входа оптики, а на его место поставить коммутатор - тогда он может быть и неуправляемый.

Если кабель один, а микротик неперемещаемый, то теоретически можно по одному кабелю пустить 2 соединения (скорость будет не более 100 мегабит) - но настоятельно не советую.