Николай Турнавиотов

у меня были пару раз идиотские материнские платы, у которых при каждом аппаратном сбросе питания мак адрес был разный, в результате прописывал мак адрес через драйвера операционной системы и тогда это работало

Советую начать с обоих частей ICND я проходил уже второую версию, мжет уже и 3,4 вышли, на торрентах скорее всего будет куча документации. эмуляторы и еще всякого для тренировки

А что, нативный клиент VPN в Windows 8 умеет работать с Cisco VPN Server'ом?
на XP/7 оно почему-то не работало, иначе компании бы просто не ставили Cisco VPN клиент.

MS NAP, с Cisco ACS можно сделать, работает в Xp, Win7/8, скорее всего в линуксах. Даже на некоторых сетевых принтерах может работать. Если вменяемые Вифи — то и там тоже

NBAR на цисках есть, но некоторую часть трафика он не ловит.

Вообще просмотрите внимательно настройки циско впн клиента, помню тоже с этим возился и в настройках что-то нашаманил дома даже без того, чтобы пинать сетевиков по cisco asa. Полгода назад было. w7x64, cisco vpn x64, деталей не помню.

Не могу сказать за очень хитрые параметры в настройках Cisco, но, допустим, простые вещи типа настройки портов, днс, вланов, менеджмент интерфейсов, радиуса/такакса на те 26х, 35х, 37х и 18х железки, которые стоят у меня на работе проблем не возникло, детали были разве что в настройках транковых портов на железках, у которых была не только dot1x енкапсуляция, еще на некоторых особо умных пришлось выключать маршрутизацию и прописывать роутинг, иначе железка по менеджмент интерфейсу была недоступна.

Я бы сделал так:
1. слил конфиги со всех железок в одно место
2. протипизировал разные варианты конфигов
3. создал на любимом языке генератор конфигурации с нужными настройками — dns, snmp, management и т.п по шаблонам из пункта 2.
4. настроил tftp/ftp сервера с балансировкой и хартбитом по гайдам от вендоров для выдачи прошивок и конфигураций
на железки.
5. протестил загрузку и получение прошивки на устройства по сети и их корректный запуск.
6. настроил создание/обновление узлов в системе мониторинга на основании лога от ftp/tftp — т.е. допустим нода получила прошивку и конфигурацию, соответственно получила какой-то адрес, и ведь не факт что он есть в мониторинге и профили в системе мониторинга которые к железке будут подключаться.
7. запустил это все в продакшен.

Возможно я упустил какие-то пункты, но подозреваю что этоуже будет зависеть от топологии сети

не знаю, как сейчас, но в бытностью мою работы в одной крупной конторе 3560 там тоже внутренним «роутингом» (каким — за давностью лет не скажу, тогда циски вообще не знал) занималась. Так вот по отзывам моих знающих коллег — на 3560 роутинг грустненький был, пришлось менять. Может там сейчас что и поправили. но на моей текущей работе с 3560 пришлось немного повозиться, пока понял, что ей нужен маршрут по умолчанию, для того чтобы она могла достукиваться куда угодно из менеджмент влана.

Либо тонкие клиенты и rdp/vnc сервера.

а инструкции по настройкам — бекапам и так далее -да, иногда делаются, иногда рассылаются всем сотрудникам в форме приказа.

Но приучить всех сотрудников хранить все документы на файловых серверах можно только одним способом — маппинг «мои документы» на сетевой диск, запрет записи туда музыки/видео политиками на файловом сервере и закрытием на запись локальных дисков в принудительном порядке с отбиранием админских прав. и списком софта, допустимого к установке на рабочие машины

Чаще всего СБ в ИТ части выполняется ИТ отделом, иногда выделенные сотрудники с соответствующим образованием по защите информации.
Обычная СБ — чаще всего бывшие менты/кгб/сбу/свой вариант, которые в ИТ разбираются мало и плохо, и по большей части в возрасте и звании.
А политика обычно описана групповым политиками в домене и настройками на прокси и почтовом сервере.

Документов за свой стаж я встречал один раз. когда устраивался в банк, но если честно, меня обломало читать несколько десятков листов А4 этой ахинеи — просто подписал и отдал

Если есть 2008R2 сервер — впн, роутинг, nat на нём по учёткам в AD + впн клиент есть в каждой версии винды.
Если нет — vyatta и linux/bsd на сервере и openvpn на винде на региональных офисах.

Почта — если светится наружу, то и будет доступна вне зависимости от подключения по впн.

PS роутер нормально делается в виртуалке с пробросом двух сетевых — если упадёт гипервизор, то поверьте, будет не до прокси, а если упадёт виртуалка — фря и линукс в минимальной конфигурации весят несколько сотен метров, поднять из бекапа минутное дело. Даже виндовая виртуалка в 30 гигабайт поднимается быстро.

на уровне днс — для внешней зоны отдавать внешний айпишник, скажем узла мейл.компания.ком, для внутренней — отдавать внутренний айпишник сервера.
при нормальных сертификатах — у меня на ноуте который регулярно ездит по всяким гостям корректно отображается почта и по веб и в аутлуке

Не забудьте сразу описывать все кабеля, кабельную структуру, маркировку кабелей и портов и тщательное документирование. можно вести локальную медиавики + карты в visio/его аналоге. на стенках серверных шкафов — описание где какие вводы (чтобы сервер включать в разные вводы) где какие сервера и какой функционал они выполняют. тестовые лучше выделить в отдельный шкаф.
Кабели лучше вести заново — будете уверены что они новые, т.к. старые могут перебиваться и так далее.

Можете посмотреть в сторону huawei еще. у них цископодобный cli, или Нортел.
в идеале — влан для пользователей (иногда даже их групп), влан для менеджмента свичей роутеров/етц,
влан для серверов внутренних и для демилитаризованной зоны, т.е. та где внешние сервера смотрят в мир. 2 вифи точки — одна корпоративная с радиусом, привязанным к MS AD, вторая для гостей с ноутами/телефонами (и шейпингом)
в дмз — впн сервер для удаленных офисов.
сеть по этажам — на каждом этаже логично поставить свич с двумя линками вверх/вниз и stp чтобы не было кольца.
не забудьте про бекапы серверов, мониторинг.
про АД — два контроллера домена, отдельно файлопомойка, можно виртуализировать если железо позволяет на разных железках