Владимир Пилипчук

Udp натится с оговорками. И одна из причин прописана в rfc. И порт обязательно будет меняться. Только конусный нат возможен.
Читайте разницу в трансляциях tcp и udp.

Павел Межуев хороший вариант предложил.
Я бы дополнил следующим:

SNR-S2982G-8T - не достаточно для построения такой топологии. Я бы использовал что-то помощнее. Либо L3-коммутатор, либо маршрутизатор.

Разбить сеть на /24 VLANы
- в каждом офисе для пользователей свой VLAN
- для серверной подсети свой VLAN
- для сети управления свой MGMT VLAN
Связность между бранчами лучше городить на L2, если есть возможность. И если так, то лучше использовать QinQ на транспорте, чтобы нативно иметь связность между офисами на L2 и получить PortMash сеть. Вдруг нужно будет потом VLAN из одного офиса кинуть в другой/другие. Это более универсальная топология, позволяющая менять архитектуру СПД on-the-fly.
Между CE поднимаем OSPF/BGP/EIGRP/etc. Это позволит более эффективно управлять маршрутизацией.

потому, что есть потери на оверхед на каждом из уровней. И они будут тем больше, чем меньше вы попали в VTD, MTU и NUMA/vNUMA на каждом из уровней.
Если не попали - то с каждым уровнем у нас будет все больше пропусков вычислений так как не попали в тайм-слот такта вычислений.
Для решения этих и многих других проблем с производительностью сети придуманы разные технологии и инструменты.
Управление vNUMA, vSwitch, VLAN translation и множество других, которые так или иначе позволяют снизить оверхед виртуализации и оптимизировать нагрузки.
В vmware workstation таких инструментов не предусмотрено. Вам нужен ESX или уходите на нативный HyperV, там есть немного инструментов... Типа NIC teaming, которая при включении позволяет прокидывать фреймы нативно на уровень хоста без оверхеда.
Еще не маловажно использовать оборудование, которое способно работать с этими технологиями, например поддержка vt-d, vt-x и тп, и решать проблемы вложенной виртуализации.

Вы какую цель преследуете?
Вообще таких устройств не существует, особенно USB
Существуют технологии, позволяющие так или иначе агрегировать трафик. Мультиплексоры, например.
Есть технологии, позволяющие агрегировать трафик на L2-L7.
Например, в теории, если у вас есть своя AS и с операторами поднят BGP, через эти модемы, тогда вымажете разлить входящий трафик по этим модемам...
Но так чтобы воткнул какое-то устройство и оно полетело - так не бывает. Вспомните, что маршрут по умолчанию у нас всегда один. Если таких маршрутов много, тогда нужно как-то их разруливать, городить VRF и тп... Это инженерный вопрос, который нужно решать.

На хабре есть хороший цикл "Сети для самых маленьких". Начните с него.

Архитектура может быть разной. Судя по ответам восьмёрок - там целая ферма.
У меня тоже есть свой рекурсер. Он держит зоны и резолвит весь "интернет" для инфраструктуры. Запросов очень много.
Сделал так:
На входе стоит 2 аппаратных балансировщика. Все запросы на DNS-порты отправляются на 4 резолвера на базе Unbound, которые пересылают запросы, ответов на которые нет в локальном кэше на 4 DNS-сервера за каждым.
Балансёры равномерно разливают запросы на 4 резолвера, резолверы, в свою очередь, не менее равномерно разливают запросы по 16 серверам.
Как-то так.

Итого: 16 DNS-серверов спрятаны за 4 резолвера, которые стоят за двумя балансерами.
Думаю так сделано у многих хостеров, регистраторов и компаний, которые получают большой трафик.

Тот который ему присвоит оператор сети. ipv4/v6 очевидно. Скорее всего из приватного диапазона.
Белый/серый... это такие условности... в любом случае Вам нужно эти вопросы задавать не здесь, а оператору.

Да много конфигураций можно наплодить.
BVI - это бридж. Обычно его используют для пробросать трафика с провода в воздух.
Иногда на нем терминируют подсеть управления, чтобы иметь доступ к самой точке (ssh/telnet/etc).

Могут ли несколько точек (2-3) работать без контроллера в бесшовном режиме?

Смотря что вы под этом подразумеваете.
Теоретически - да могут. На всех точках настраиваете одинаковые ssid и авторизацию... клонируете в обшем. Клиенты по мере удаления будут терять старую точку, и переключаться на новую. Но вот роуминга не будет, так как сессии должен кто-то перетаскивать с точки на точку, и это делает контроллер. Без него сессии будут рваться при переключении.
Ну и стоит помнить, что это все же разные устройства, которые работают на одной частоте. Естественно они будут создавать друг-другу помехи. Разнесением по частоте, каналам, и управление мощностью передатчика для минимизации помех - тоже контроллер занимается.

BVI обычно используется для подсети доступа к самой точке. На него обычно садят подстеть управления, а пользовательские вайфаи отдают vlan-ами на сабинтерфейсах. BVI - это бридж. Для чего его использовать или нет - решать Вам.

Уточните, у вас сетевой стек на обоих серверах подготовлен к работе на таких скоростях? По умолчанию в операционных система семейства Linux праметры настроены на усредненные показатели, которые дают по кругу 500-600 мегабит. Для передачи/получения данных на скоростях выше гигабита необходимо немного подстроить хосты (MTU/SlowStart/буферы и тп).

Для EIGRP нет необходимости в DR/BDR, так как каждый роутер знает всю топологию и все возможные маршруты до узла назначения, выбирая при этом лучший(лучшие) маршрут в зависимости от дистации, загрузки канала, задержки и т.д. Для "тупиковых" роутеров можно указать STUB-сеть в анонсах, со всеми вытекающими.
Это позволяет организовать балансировку трафика между узлами, указав нужный variacnce. Например, если до точки назначение имеется 2 маршрута, то при указании variance 2 в таблицу маршрутизации попадет 2 "лучших" маршрута, между которыми будет распределен траффик примерно 50/50.

Если у вас гостиница, то я бы настаивал на инвестиции в нормальные коммутаторы.
По стоимости получите то-же самое, а вот в управлении получите профит:
Для обеспечения изоляции клиентов на L2 и простого роутинга - настраиваете private vlan.
Для беспроводных клиентов, на Uni-fi можно настроить релей option 82 и option 43 (если захотите)
Собираете аплинки всех коммутаторов на магистрали и одним проводом отдаете транк на любой линуксовый или аппаратный роутер, с поддержкой танков. Раскрываете нужные вам vlan на сабинтерфейсах и маршрутизируете как пожелаете.
ТАкой подход избавит вас от паразитного трафика, снизит нагрузку на маршрутизаторах и коммутаторах, а управление всей сетью станет простым и прозрачным. Ну и РКН будет сложнее докопаться.

Catalyst 2960 вам подойдет. В нужной комплектации (2 10G SFP + 100/1000 per port)
Есть аналоги e D-Link. Но в них я не силен.

Ответсвенного человека советую брать c прямыми руками, а не гуями.
набрать — дело нескольких секунд

conf t
int range f0/1 - f0/48
switch acc vlan 7
switch acc voice vlan 12

Ждать пока это сделает какой нибудь флэш — на много дольше, и нет гарантии, что все не упадет после этого…

Свитч годный, а вот по роутеру — интересно узнать чего от него хотите?

нужна довольно тупая железка

Возможность настройки автоматического переключения каналов
Балансировка нагрузки между каналами.

Небольшое противоречие, ИМХО, но да ладно.

Я хочу поинтересоваться — а каков бюджет-то на сие железо и какова топология шлюзуемой инфраструктуры? Это бы немного сориентировало в советчиков в советах…
Я лично рекомендовал бы известные, зарекомендовавшие себя решения, имеющие поддержку у производителя, а лучше контракт с SLA.
Cisco делает довольно производительное и мсштабируемое железо. Поддержка в России, как не удивительно, соответсвует контракту, в отличии от многих других брэндов.
Поддержка широкого спектра технологий в рамках ISR — очень удобно. При правильном подходе к настройке — 2811 выдерживает мршрутизацию 96 C-сетей сетей и NAT восьми сетей того же класса пр изагрузке CPU в пике до 80%. Деградации в производительности не замечено. Аптайм железа более 5 лет (без учета плановых мероприятий по обслуживанию)

Можно конечно обойтись и сборками разных *nix, но это немного не то решение, которе бы я использовал в Enterprise даже для 200-300 клиентов.

PS: Мое личное убеждение — что любая компания, даже самая маленькая, должна использовать в своей работе, по возможности, самые передовые инструменты и технологии, дабы обеспечивать высокую эффективность инфраструктур.
Предприятие — это бизнес, а бизнес — это инвестиции. И если бизнес не готов инвестировать в свои-же потребности, это не правильный бизнес и не стоит тратить на него время.
Приобретение данного типа железяки — не такая уж и большая инвестиция. Ну максимум две месячных зарплаты админа.

Приведите пожалуйста Вашу конфигурацию оп части настроек интерфейсов и VLAN.

Попробуйте мониторинг от Opmanager, есть бесплатные версии с ограничением в 10 хостов/интерфейсов

Мне нужно предоставить весомые аргументы в пользу моего варианта (замена бранчевых кошек на srx100 + каналы через интернет со статикой в бранчах)

Я думаю, что не суть какое оборудование использовать. Главное чтобы ответсвенные сотрудники умели его правильно готовить.
Я лично, недавно сталкивался с такой задачей — объяснить руководству. Особо оно не упиралось, руководство это. я лишь объяснил, что использование чужого (операторского) MPLS/VPN — дополнительная колонка в карте рисков. Ничто, кроме совести, не мешает оператору вклиниться в нашу частную сеть + стоимость своего MPLS — в 60 раз дешевле (в нашем случае).
В итоге на имеющихся кошках приготовил «солянку» Dual Hub DMVPN + MPLS + EIGRP + QoS. Руководство сначала сомневалось, ибо паблик по обоим каналам менее стабилен на порядки, по сравнению с арендуемым MPLS, однако после первых трех месяцев аптайма КСПД и ужасающей статистики по падению каналов (которое никак не сказалось на SLA) — довольно итоговым результатом.

Я не гуру в 1С, но сдается мне что узкое место это ОЗУ: ~1gB + обращение к базе по сети да по 100 Мбит.
Интересно есть ли рейд на PC1. + 6 чувство мне подсказывает, что при обращении по UNC PC2 сначала разрешает сетевое имя, получает листинг шары, загружает в память файлы базы, соответсвующие области поиска, а уже потом осуществляет по ней поиск.
Как вариант можно попробовать подцепить \\PC1\base\ диском к PC2 и посмотреть что будет… иногда это спасает.

Вариант еще более правильный — разжиться высокопроизводительным сетевым хранилищем на SAS и дать доступ обеим машинам к базе по шине в 4-6 Гбит.

Спасибо за ответ, проблема оказалась куда забавнее — от меня до серверов фэйсбука и некоторых других (с учетом моих двух роутеров) было более 255 хопов.
Наши провайдеры расчитаны в основном для домашних пользователей и предполагают, что шнурок втыкается на прямую в комп. После смены роута у провайдера все заработало.