hrabrahrabr

Провайдер со своей стороны не наблюдает падений и потери пакетов.
дежурный оператор проверяет только линк от вас до себя, тут всё может быть ок.
Однако если посмотреть ваши графики:
начиная со второго хопа это ваш провайдер, с шестого/седьмого хопа это пиринговые эксченжи с другими провайдерами.
а пятый хоп это "главный НАТ" провайдера, который кстати на графике " при обрыве" не пингуется или не резолвится по имени - уже подозрительно. может провайдер хапнул больше клиентов, чем может реально обслужить. и это оборудование перегружено.
Также большие потери идут на четвертом хопе, а это всё ещё оборудование вашего провайдера !
Может быть там тоже слишком много клиентского трафика и роутер дропает "лишнее", а вы не в приоритете.

Подскажите, в чем может быть причина и как решить проблему?
Пинать провайдера с этими графиками в руках, по другому никак.
у очевидно что проблема в провайдере.. + 143 %

Большинство комментаторов и сам ТС, начали совершенно не с той стороны.
Тут главное и первое: количество трафика и направление "потока"! Деление на сети уже второе, но тоже важное.
Имеем: "Общее количество камер 151."
Т.к. каждая камера генерирует постоянный трафик в сторону серверов, примерно от 2 до 10 Мб/с в зависимости от настроек, в обратную сторону "мелочь" - можно пренебречь. В отличии от всех других типов хостов, которые генерируют очень не предсказуемый по размеру трафик, в обе стороны.
Итого имеем в сумме от 300 Мб/с до 1,5 Гб/с АПстрим, в ядро/ к серверам. Ну и от серверов ДАУНстрим в сторону клиентов/операторы ССТВ, тоже есть и не мало, но сколько надо смотреть по месту.
Какие у вас интерфейсы на коммутаторах и серверах? смогут переварить более гигабита?
И да езернет карта на хостах, обычно не может "переварить" более 80% от максимума.

Вот исходя из этих потоков трафика в каждой точке сети и нужно делить сеть на подсети и ВЛАНы.
Но, скажу так: маска /20 в одном ВЛАНе это геморой.
Рекомендованная архитектура сети для ССТВ, примерно:
Одна логическая/физическая группа камер (обычно все на одном коммутаторе, который подключен в ядро отдельным линком, а не шлейфом к соседу) и первый интерфейс сервера в одной подсети, с маской не выше /24, в одном ВЛАН, без шлюза - маршрутизации наружу нет - и она реально не нужна! зачем вам прямой доступ к камерам откуда то извне?
Вторая логическая/физическая группа камер и второй интерфейс сервера, во второй подсети с маской не выше /24, во втором ВЛАН, без шлюза - маршрутизации наружу нет, и тд,
Для подключения к серверу клиентов/операторы ССТВ выделен отдельный интерфейс со своей сетью/ВЛАНом, тут есть уже шлюз и маршрутизация.
Эта схема позволяет убрать узкие места, где трафик излишне большой, ну и в случае проблем в одном из сегментов купировать распространение на другие сегменты .

Нет никакого смысла искать логику там, где её нет. Вся электроника , в том числе роутеры и двадцать и тридцать лет назад и сейчас, питаются от тех БП которые удобны производителю, а это почти стандартный ряд 3.3, 5, 6, 7.5, 8.4, 9, 10, 12, 14, 16, 18, 19, 24 и больше Вольт !! Да! тот ещё зоопарк! и Горит оно всё в разной степени. у длинковских 5 вольтовых - перепаивались кондюки - за два года эксплуатации, на всех 100%.
Кто вам сказал, что в роутере микросхемы работают от 5 вольт? последние поколения мелкосхем (мелкая логика) в основном 3.3 В, но толерантны и от 3 до 5В, более старые ТТЛ требовали жестко 5В (+-3%) CMOS толерантны от 3 до 15 В. про процы вообще помолчим, там много дробных вариантов от вольта до пяти.
Опять же микросборки для интерфейсов, могут питаться и выдавать в линию , напряжение много больше 5 вольт.

Роутеров куча, но у многих из них LAN-порты совместные, то есть создать на них разные VLAN и разделить их на две сети нельзя.
это вы какие то древние модели смотрите, даже у д-линк и тр-линк в новых моделях каждый порт программируется отдельно.
впрочем под вашу задачу гарантировано можно брать любой роутер , у которого обозначены порты ван (один или два), DMZ и лан (эти даже если тут свич неуправляемый) .
под офис лан порты , под видео или ван2 или дмз порты, в инет ван1 порт,
ну и правила доступа между этими тремя группами.

Смотри настройки коммутаторов, например vlan. Из-за этого ПК не получает адрес автоматически, кто кстати раздает dhcp?

@capt_Rimmer
в том то и проблема, что на схеме сей прискорбный факт вы старательно спрятали - с разбега он не виден.
Маска 255.255.192.0 о чём-либо вам говорит?
говорит, но очень не внятно. тк маршрут с этой маской, может означать кучу вариантов нарезки сетей слева от 2821, поэтому и нужен его конфиг.
Например - 63 сети класса С и одна справа, либо более крупная/мелкая нарезка на подсети.
ИМХО вместо лепки НАТов практичнее и проще либо сменить нумерацию сети справа от 881, либо выпилить диапазон 192.168.40/24 из нумерации слева (да тут статических маршрутов придется писать больше раз в 5, на всех 4 роутерах).
вам виднее.

Но что-то я не пойму, D-link DES-3200-52 против Cisco WS-C2960-48TС-S не выигрывает даже по цене? Они одной серии девайсы?
до циски тоже добрался кризис, поэтому она немного умерила аппетит в низших линейках, цены на яндекс маркет D-link DES-3200-52 и WS-C2960-48TС-S но это без расширенной гарантии (+10+15% в год), обычная всего 90 дней и почти снятая с производства линейка C2960 и 2960S http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps6406/eos-eol-notice-c51-730121.html вместо неё уже есть 2960X.

насколько я могу судить - примерно да. версия IOS LanLite без стекирования сильно удешевляет железо по сравнению с LanBase http://www.cisco.com/web/RU/products/ps6406/index.html
http://www.cbs.ru/site/faq/?section=9473#9490
А почему ДЛинк с гемороем? С DES-3526 проблем не испытываю.
повезло. за десять лет куплено больше сотни устройств (увы руководство видит в первую очередь цену): комбайны типа DFL/DIR, свичи от 5 портовых неуправляемых до 24 портовых смартов, пара штук 3100, ну и плюс кучка оптоконвертеров и принт-серверов и тд.
почти на каждой железке сгоревшие порты и блоки питания - не по одному разу.
на DFL/DIR, еще и слетающие иногда на ровном месте прошивки и невозможность их обновить без ручной правки конфигурации.

share port sfp - порт SFP с дублированием разъемом RJ45, для работы по меди достаточно воткнуть патч-шнур, при вставленном sfp модуле - медь отрубается. да по старому называется combo-port.
non share port sfp для работы по меди требуется модуль 1000t sfp.

есть большой опыт по нортел, длинк, циске , чуток по НР.
неуправляемый не стоит брать совсем, тем более под сервера. =Сейчас нам нужны vlan, = чем маршрутизировать между ними планируешь? разница между 100м и 1Г не такая уж и большая особенно у длинка, на СКС для 48 компов потратишь больше, так что не стоит экономить.
яндекс в среднем: D-link DGS-1210-48 - 15 т.руб D-link DES-1210-52- 10 т.руб.
да, это смарты - нр1910 и длинк 1210 примерно одинаковы (но у смарт-НР своих "закидонов" больше, чем у длинка), только веб интерфейс и по сравнению с 3200 функционал минимален, и цена в 3-4 раза различается.
длинк 3*** это свичи 2 и 3 уровня, настройки хотя командная строка "почти как у циски", но по сравнению с циской очень запутанная и не логичная, например, смотреть список мак-адресов: show fdb (просто жесть) или настройки порта show ipif
http://doam.ru/?p=354 и почти всегда требует набора команд из нескольких слов (часто длинных) полностью . знакомый давно пытался на них строить сеть на 200 юзверей с использованием разных нужных фишек - весь переплевался.
У циски и НР, логика команд более понятная (особенно если английский знаешь) и достаточно набрать 2-3 буквы из слова (редко 5) что бы быть правильно поняла.
так что одну циску можно взять ;-) особенно с IOS LanLite - минимальный вариант всех нужных программных фич.
при выборе сильно обращай внимание на отдельные буквы в названии - очень разные варианты и цены сильно разнятся.
=Работал с DES-3200-52. цена очень приятная по сравнению Cisco.= 'не любите "кошек" - просто не умеете их готовить' ;-) вот аналог WS-C2960-48TС-S или WS-C2960-48TT-S (48 по 100м и два по 1Г) и стоит примерно также - 25-35т.руб.
конечно полностью гиговый минимальный Cisco WS-C2960S-48TS-S ну да стоит примерно 60-65 т.руб. но есть запас на будущее.

в общем если дешево и с гемороем, то длинк, если минимизировать то циска и старший НР