JDima

я уверен, что ее производительность лучше любого домашнего/офисного маршрутизатора

Существуют не только «офисные», но и ентерпрайзного либо операторского класса маршрутизаторы. С хардварным натом. Там речь идет о сотнях гигабит / терабитах. Боюсь, что ваш компьютер сможет противостоять только дешевым софтварным платформам, а эти (к примеру) коробки разгромят его с неприличным отрывом.

У цисок совершенно стандартная реализация IPSec (как вариант — с L2TP). Раз «подешевле» — смотрите в сторону каких-нибудь микротиков и тому подобного. Наверняка и dd-wrt сгодится. Если с бюджетом все не настолько плохо, то действительно можно 8ХХ взять, только внимание на производительность.
Ну и как бы имеет смысл обновить софт… Сказать «12.4(15)T5 устарел лет на пять» — ничего не сказать. Последний представитель той линейки софта — 12.4(15)T17, и кроме багфиксов там толком ничего и не было на протяжении 12-и серий. При задействовании нового функционала рискуете получить много приключений на ровном месте…

Я думаю, любой IP-PBX поддерживает функционал автоматического набора хант-группы при снятии трубки… В чем вопрос-то?

наличие гигабитных портов резко повышает стоимость.

Не наличие гигабитных портов, а наличие шильдика «Cisco» :)

Не совсем понятна возможность реализации failover подключений.

Грубо говоря: перед ASA стоит свитч, в который воткнуты внутренние машины, а за асой — свитч, в который воткнуты интернет-каналы. Асы работают в active/standby: как только сдохла первая, вторая мгновенно хватает те же адреса и продолжает роутить без потери соединений.

без подписки фиг получишь обновления операционки.

Официально — фиг (но обычно smartnet — лишь 10% стоимости железки в год, и иногда оно того стоит). Неофициально — торренты, без проблем. Во времена 3600-х это тем более не было проблемой.

только с разницей в 2к уе в цене.

Смотрю на яндекс.маркете. Обе стоят примерно одинаково. Циска даже немного дешевле.
Только вот брать сейчас 5510 — никакого смысла, она сильно устарела и наверняка скоро станет EOL. Есть 5512-X за те же деньги.

Канал 2 для внешних серверов (99,999% ftp-data) (для обмена видеоматериалами)

«До»? То есть удастся на уровне таблицы маршрутизации разграничить доступ? Иначе задача немного усложнится.

DMZ — это какой интерфейс? Случаем не саб gi0/0? Что говорит sh int на нем? Что будет, если и на нем поменять мак? Что именно не работает? Что говорит sh arp?

Ключевой вопрос. RTP трафик проходит транзитом через А? Если нет, то либо записать нельзя, либо надо настраивать на транзит. Если да, то легко технически, но надо выбирать наиболее подходящее решение.

Загадка природы… Возможно, чтобы понимать, что «не езернетом единым».
Но концепция MPLS ИМХО сложновата будет для CCNA. Там еще только учатся IP пакеты форвардить.
И какой смысл учить MPLS без VPN или TE? Ну включили LDP. Ну распространились метки. В результате ничего не изменилось, только на 4 байта увеличились заголовки, ну и где-то глубоко внутри роутера он начал смотреть на другой заголовок при передаче пакета, с тем же результатом… Спросят преподавателя «зачем мы вводили mpls ip на интерфейсах?» — а тому нечего сказать кроме «ну потом можно будет еще вот это настроить».

Осторожнее. Лишний трафик (вне зависимости от его характера) легко по биллингу (netflow например) обнаружится. Вряд ли они что-то с вами сделают, но нервы потрепать при желании смогут.

Cisco — ASA и ISR не реализует все функции.

Аса, понятно, бесполезна в этом сценарии, но вот ISR чем не устроили?

Локальная аутентификация wi-fi есть (зачем?)

Балансировка есть, причем весьма интеллектуальная — PfR, эта штука способна спасти качество сервиса для определенных (указанных) классов трафика при деградации связи, а не только при полном падении связи. Иначе — костыли на базе EEM с массой ограничений и минимумом интеллекта. В самом простом случае тупо ECMP.

Фильтрации по URL, IPS и прочие — к SM модулям.

VPN — не проблема. DMVPN для site-to-site и anyconnect для RA. Можно Flex настроить.

«быстрое обнаружение «узких мест»» — не понял вопрос. Но PfR вместе с QoS способны на многое в автоматическом режиме.

«повышение производительности сервисов, требующих широкой полосы пропускания, таких как VoIP и видеоконференции;»
Легко. Опять же, PfR, позволяющий указывать требования для разных классов трафика и автоматически выбирающий маршрут в зависимости от удовлетворения требований, плюс QoS на выходе.

«QoS;»
Запросто. Вдобавок, у ISR есть, насколько мне известно, уникальная фича «per-tunnel QoS». Суть: центральный офис будет знать про ширину канала у каждого из регионов, и сможет динамически применять политики QoS для каждого региона.

«шейпинг трафика — чтобы один сотрудник не мог занять канал когда возникает очередь, но мог использовать весь канал когда, например, он один в офисе или когда канал не полностью занят и нет очереди.»
Вы назвали это шейпингом, но на самом деле это как раз принцип работы приоритезации QoS, не имеющий к шейпингу никакого отношения.
Или подразумевается, что вешается шейпер, соответствующий ширине провайдерского канала, и в нем уже классические очереди? Это стандартная практика.

То есть по сути, ваш таргет — ISR G2, удовлетворяющий всем требованиям. Это бранчи. В центр, на терминацию VPN каналов лучше ASR1k поставить, благо они относительно недорогие — пиров многовато для ISR. Весь указанный выше функционал (кроме фильтрации URL и вирусов, который без проблем реализуется отдельной железкой) на них тоже есть.

Case Logic DLBP-116. Мягкий для ноутбука, очень грамотно сделанный.

Если есть локальная учетка на компьютере и учетка с тем же именем и паролем на сервере (отвечаю только за винду), то при обращении к сетевой папке аутентификация будет автоматической, и можно спокойно перманентно замапить диски.
Это если ну совсем-совсем никак нельзя поднять AD.

www.google.ru/search?q=Satellite+L870+16gb+ram
Желательно брать что-то из этого списка, потому что теоретически проблемы могут быть (на самом деле, они могут быть всегда, но в данном случае шанс напороться на несовместимость выше).

WoL действует исключительно в пределах подсети. По интернету не маршрутизируется в принципе. Копайте в сторону того, как заставить роутер послать волшебный пакет.

В одном датацентре МТС вот здесь ловит на 3 палки, а вот тут [делаю шаг в сторону] вообще теряет сеть, при этом Мегафон везде стабильно.
Короче, исходите из необходимости внешней антенны, которая будет торчать над стойкой, и да, уточните в ДЦ либо самостоятельно проверьте.

Какой результат получен при копировании и про прожигании iperf'ом?
Случайно не 11-12мб/с? :)

У этой матери есть видеовыходы, а у ЦП — интеловская графика. Соответственно — предлагаю отделить от системы последнюю не жизненно необходимую деталь, и убедиться, что все работает.
А потом видюху в сервис.

(были у меня очень похожие симптомы, только там с дымом и спецэффектами, да и карте пара лет исполнилась)

Lenovo X230.
(хотя можете слегка вылезти за бюджет, но оно того стоит)

Как вариант — www.youtube.com/playlist?list=PLA0AF9A1586D50544 и «скачать видео youtube» :)
Не узнаю INE. Они что, действительно бесплатно опубликовали весь курс?

Общая рекомендация. Любого рода фильтрации по MAC адресам вообще ни под каким видом не являются средством обеспечения безопасности. Скорее — средство доставления неудобств себе любимому. Советую отказаться от этого требования.

Анализ трафика и логи — лучше задействовать netflow и сливать его на отдельную машину, которая и займется обработкой голых данных. Но вы точно будете смотреть эти логи?

Ну и у любого хомячкого роутера принцип «снаружи закрыто все, что не разрешено» действует из коробки.