AntHTML

Насколько помню раньше говорили, что Purple и Red это по железу Blue со слегка измененными прошивками на приоритет записи/кэша.
Так что все они одинаковые, тем более что QNAP даже официально тестирует совместимость по Purple и для не критически нагруженных систем абсолютно пофиг какие там диски.

Ну 1U ATX корпусов хватает, на вскидку тот же Серверный корпус ExeGate Pro 1U650-04
С радиаторами по проблемней, но вполне можно попробывать взять какой слим типо Кулер для процессора ID-Cooling IS-30 и открутить от него кулер, чтоб продувался потоком с боковых.
Но блин, на патеринке радиаторы питания не предназначены для горизонтального обдува - жарковато ей будет в 1U

В первом случае при установлении связи TURN может отдавать информацию о первом белом адресе второму и далее они работают напрямую, через сервер идет только служебная информация.
Во втором случае через сервер идет все

А что за железки под серваками? И как лицензирована 1С?
Я бы все 4 вогнал в hyper-v кластер.
Через L2 свич запустил WAN в VLAN
Виртуалки
1. Керио активный
2. DNS+DHCP+AD+GPO
3. FS
4. 1С
5. DNS+DHCP+AD+GPO
На клиентах по идее ничего настраивать не нужно, т.к. достаточно на DHCP настроить первичный и вторичный DNS, но я DNS люблю настраивать статически на компах.
В кластере виртуалки можно будет мигрировать между железками, а также проще бэкапить и востанавливать целиком

На одном только компе или на нескольких и одним только юзером или нескольких?
Как вариант: Загрузиться под локальным админом, полностью вычистить папки и реестр глючного профиля, потом зайти под ним чтобы все заново создалось. Пару раз сталкивался с подобными глюками и это помогало.

Скорее нужно просто поглубже настроить исключения в Reboot Restore Rx, чтобы они не затрагивали части отвечающие за обновления

Я бы поднимал VPN межу моновендорными железками, особенно раз есть вторая кошка 5520.
Вот между ними (5520 - 5520) тоннель, микрот отставить на 1м офисе как nat фаервол и default_gateway с пробросом портов на асу, во втором nat-ом поставить 2911. Ну и аса 2 коннектится на белый ip откуда пробрасывается на асу 1, внешние юзеры также через anyconnect в асу1

Если все порты на одном свитч-чипе, то у него обычно пропускная способность = скорость порта * кол-во портов * 2. И между двумя любыми портами будет гигабит.
Если свитч-чипы разные (как у 10 портовых микротиков), то нужно смотреть по схеме какая линия между ними.
WAN - отдельная история, там большую задержку и соответственно ограничение скорости вносят программые алгоритмы маршрутизации и фильтрации, но обычно с выключенной маршрутизацией скорость LAN-WAN приближается к максимальной скорости порта.

В учебе обычно различаются два пути:
"Хочу бумажку" для "чтоб была" : хотите - сдавайте, никто вас не останавливает
"Нужна бумажка" для "работы": в таком случае человек уже сам, прекрасно, понимает зачем ему это.

PS: это тоже самое, как у меня однокашницы, "с подружкой за компанию" на права учиться ходили, и спустя 15 лет ни разу за рулем не сидели.

Графана это тупо дашборд, показывалка, она не умеет в оповещения.
Тригеры и оповещения нужно делать в системе мониторинга из которой вы тяните данные в графаню

CabNet, TRK, Bilnet - названия хостов (или похоже провайдеров (в принципе одно и тоже))
Щиток - похож на фаервор (скорее обозначили NGFW)
main, ref - соответственно основной и запасной маршруты
курсивом обычно обозначаются VPN туннели

У десятки есть фишка в проводнике показывать локализованные псевдонимы папок. Если зайти на диск C через тотал, там будут привычные program files, users и тп.

Большинство "взрослых" эмуляторов сети, типо ensp, gns3 и подобные работают поверх систем виртуализации. PacketTracer работает на своей эмуляции, поэтому немного скудноват.
Если в голом плане, то в большинстве систем виртуализации есть виртуальные коммутаторы к которым можно подключать адаптеры виртуальных и хост машин, некоторые из них умеют в назначение VLAN транков.
Имеются дистрибутивы виртуальных маршрутизаторов под x64-x86 платформы, у того же Mikrotik. Fortigate и других.
Виртуальный L2, аля 2960, можно сделать из виртуального маршрутизатора просто набросав нужное кол-во портов

0. Не только из вне, но и во вне
1. Необязательно пихать все ПК в один сегмент, особенно если юзеры занимаются очень разнообразными задачами.
2. 192.168.х.х у некоторых считаются плохим тоном из-за того, что большинство оборудования по дефолту использует эти адреса и если без подготовки втыкнуть в сеть условный туполинк, то, считается, что он наделает проблем больше чем если бы его втыкнули в 10.х.х.х, а также если придется строить VPN сети к "удаленщикам" могут возникнуть коллизии маршрутизации с их туполинками
3. Читайте теорию ip адресации - 10 можно делить на меньшие подсети, собственно как и 192.168.0.х можно делить на /25+ подсети - для чего и как описано в теории, а также плюсы/минусы данных решений.
4. Бестпрактикс - каждому пулу по влану - в реальности, обычно, так и получается. смысла пихать несколько подсетей в vlan обычно не возникает (если не ультралоупрайс оборудование)
5. В зависимости от назначения, политики иб и прочего
6. см. п. 5
7. По ситуации, если в кабинете только одна розетка или на свиче больше нету портов и никаких перспектив - комп через телефон. Если у рабочего места только 2 розетки - принтер через телефон, если и розеток и портов на свичах хватает - в идеале каждое устройство отдельно, а телефоны по poe. Иначе: у меня ничего не работает, тк забыл включить телефон в розетку.
8. Отдельными свичами и маршрутизаторами, в том числе с разбиениями по периметрам, иначе может быть плохо и сети и ИБ
9. По месту и требованиям

1. В чем больше понимаете, то и ставите MTK более понятен линусятникм/виндузятникам чем нацеленный на сетевиков CIscoLike
2. В зависимости от схемы и расположения можно и пяток CRS326-24G-2S+RM по этажам, а если все сводится в одну серверную, то лучше пара-тройка CRS354-48G-4S+2Q+RM в кольце. CCS лучше не берите, они управляются только WEB, ни CLI ни SSH/TL не имеют
3. роутеры смотрите на https://mikrotik.com/ по требуемой производительности 1100 и 4011 - по сути одно и тоже только в разных корпусах (ну 1100 мож понадежней, особенно dude). Сейчас набирает популярность 5009 вроде тоже ничего железка.

Ближайший аналог шины на оптоволокне это xPON, в принципе, это и есть master-slave шина.
Одноранговую шину сделать на волокне, в принципе, сделать возможно, но зачем? Там будут слишком большие коллизии именно по этому нет скоростных одноранговых шин.
Да и на волокне трудно сделать делители чтобы сигнал равномерно проходил во все 3 стороны

Типового понятия того что вы описали не существует. Все что вы описали подбирается под каждую задачу ИСКЛЮЧИТЕЛЬНО индивидуально.
Аудиторы не с проста столько стоят, потому как продают накопленные за годы / десятилетия знания / опыт и умение. И далеко не каждый аудитор / аналитик/ эксперт сможет и будет разбираться во всем этом сразу.
А также нужно время чтобы это все проанализировать, придумать все варианты, просчитать их и рассчитать эффективность, чтобы принять рациональное решение.

обеспечение надежного канала доступа в Интернет - у каждого решения свой критерий надежности: кому-то достаточно SLA от провайдера о не более 4ч простоя в год, кому-то нужно 7 резервных каналов - затраченные суммы и виды решения будет отличаться в сотни раз.
беспроводные сети Wi-Fi - опять же: это просто точка для мобильника директора либо надежное бесшовное покрытие всего склада / цэха / площадки. Во втором случае без радиочастотного менеджмента и анализа на конкретной местности ничего сказать не возможно. Развернете типовое решение, а у вас там будут дикие наводки от которого оно бупо сляжет.
системы видеоконференцсвязи в переговорных комнатах - их столько, что пруд пруди: кому-то надо телевизор с вебкой и скайпом/зумом, кому-то цискофон с HD порктытием всей комнаты, беспрерывным ни на секунду не логанувшим сигналом, и коннектом к собеседнику по ГОСТ VPN - цена решения естественно: от телевизора до боинга.
системы и средства информационной безопасности - главно чтобы затрабы на ИБ не превысили стоимость защищаемой информации и не сильно препятствовали работе с ней, а дальше пруд - пруди.
IP-телефония, АТС, ВАТС - здесь опять же что за организация и для чего эта телефония будет использоваться. Если для бухгалтеру позвонить на склад, спросить остатки - это одно. если там коллцентр совершенно другое, а также в этом случае всякие интеграции с CMS и сторонними сервисами
корпоративная электронная почта - что маркетинг, безопасность, админы, директоры пожелают. от типовых ящиков "отдел"-"компания"@gmail.com, покупки платных облачных сервисов с прикручиванием своего домена, до эксчейнда с хранением данных на опломбированной схд в собственной серверной под двойной охраной.
обеспечения хранения, резервного копирования и безопасности корпоративных данных - что хранить? как копировать? от документики в расшаренной папке буха, до фабрики на петабайт данных в медиастудии с 40G линками до компов дизайнеров - на все свои нужды.
доступ к корпоративным ресурсам, разграничения прав, виртуализации - опять же все тависит от ресурсов и что от них хотят с ними делают - кому-то хватает гуглдоков, кому-то необходимы VPNы

Тема с созданием домена 3 уровня целесообразна/необходима в случаях когда нужно каким-то боком выставлять контроллер домена "голым задом" в WWW, чтобы в нем могли авторизовываться удаленщики без всяких VPN и прочих бубнов.
Третий/четвертый уровень - для того чтобы на домене сидели только адреса именно контроллеров AD, а не всякой Web чухни и прочего, которое может находится в DMZ или вообще у стороннего хостера. А чем дальше находится / дольше ищется сервер AD, тем сильнее тупит клиент

Django, React, PostgreSQL = веб приложение.
В этой сфере давно все норм паралелится, как уже отвечали выше - изначально писать с закосом на расширение, ставить на мимнимум и мастштабировать по необходимости.
тотже PostgreSQL при минимальных нагрузках лучше держать локально для ускорения работы, при увеличении нагрузки - выпихнуть на соседний сервак или в кластер (главно в коде это норм прописать в виде глобальных констант, а не в каждом конекшене и запросе писать localhost/localdb)
фронт/бэк при необходимости теми же балансировщиками параллелится