nApoBo3

1. Поставьте задачу перед видеонаблюдением.
Иначе оно у вас не источник безопасности, а источник рисков.
2. Не забудьте вам потребуется ещё защита портов коммутатора, иначе злоумышленники подаст в вашу сеть через провод 220, спалит ваш коммутатор выключив остальные камеры.
3. Изоляция портов можно сделать или vlan, или физическим коммутатором.
4. VLAN просто исходя из названия, оно virtual. В ИТ виртуал используется в первую очередь для повышения утилизации ресурсов. Т.е. если вам нужно 48 портов, с разделением два по 24, это дешевле, чем 48 с vlan. Использовать vlan в такой конфигурации может снизить электро потребление и снижает занимаемое место, но снижает устойчивость к отказам и увеличивает стоимость.
5. Маршрутизацию между vlan осуществляет маршрутизатор порты которого находятся в соответствующих вланах.

100метров это стандарт, а не скорость света. Реальная работа на больших расстояниях зависит от конкретного оборудования и множества других факторов.
Для себя вывел, если линия получается длиннее 80 метров, то лучше ее или разрезать или заменить оптикой, иначе она статистически значимо становится источником постоянных проблем.

"Секюрности" незначительно, но добавляет.
Так же немного улучшает "управляемость".
Плюс нужно понимать, что админ, если это не целый коллектив профи, не может быть до конца уверен в своих компетенциях по всему спектру технологий и будет больше полагаться на те технологии которые лучше понимает. Вероятно в mikrotik он чувствует себя увереннее.

Допустим все порты открыты и пользователь использует условный jabber, через него происходит что-нибудь не хорошее. Абсолютно не важно, что, но руководство не довольно, кто плохой, админ.
Допустим админ доступными методами все перекрыл, а пользователь обошел эти методы и произошло, что-то не хорошее, кто плохой, пользователь. А на вопрос, почему это нельзя было заблокировать, ответ, даже у гос-ва заблокировать телеграмм не вышло, куда уж нам.

Настраивать. Для начала разобраться почему голос пропадает. Чаще всего это связанно с особенностями sip. Поскольку для голоса используется другой протокол, rtp, а по sip только соединение устанавливается.

Работать будет. Вопрос только с vrrp на порту провайдера.
Вообще вопрос странный, у вас с точки зрения сети практически ничего не меняется, только в каждую подсесть добавляются два реальных ip маршрутизаторов, а виртуальный они перехватывают по недоступности друг у друга.

Настройки зависят от типа тоннеля. Вполне вероятно, что у вас не корректно настроены ваши(2,3) маршрутизаторы.
NAT в данной конфигурации вам не нужен, он не является защитой и требует такой же настройки межсетевого экрана как и соединение без NAT. В первую очередь откажитесь от него, это несколько упростит настройку и понимание как у вас ходят пакеты.

Самый дешевый вариант, это поменять коммутаторы на управляемые. Хотя бы от того же mikrotik. Если все не управляемые коммутаторы стоят в одном месте возможно дешевле будет IP pdu или Ибп с управлением по сети, но вряд ли.

Ipip и ipsec

В принципе, если мы не говорим о vpn авторизации или о 802.11, никаких сложностей сделать такую врезку нет. Только зачем?
С VPN сложнее, зависит от провайдера, если он не озаботился авторизацией сервера, а вы не хранили в безопасности ваши данные для аутентификации, то тоже возможно, но опять таки зачем это нужно?
Там же по факту нужно врезаться в кабельное хозяйство, нужно свое оборудование, нужно обеспечить ему питание, всегда есть риск, что его найдут. Никакого смысла так делать нет, от слова совсем.
Проще с вами договориться и разделить интернет "полюбовно".

Если у каждого vlan свои параметры, вам все равно это все разбирать. ИМХО вы где-то в другом месте, с самими vlan, что-то не так делаете, если у вас возникла такая проблема, делите сеть не правильно. VLAN по одним принципам поделили, а qos по другим, на выходе получаете громоздкую матрицу настроек.

Посмотрел предыдущие темы. Вы смешиваете трасерт, пинг, dhcp, сканирование сети все в одну кучу.

Судя по первой теме, в вашей сети есть альтернативный dhcp. Следует понимать, это не обязательно сам сервер, это может быть realy. При этом это может быть как ваш relay в следствии ошибок в настройке, так и "левый".
Но следует понимать, что если адрес dhcp находится не в вашей подсети, это может быть два разных узла. Т.е. узел в ваше подсети или relay получил широковещательный запрос dhcp от вас, ответил вам и представился определенным ip. Но поскольку этот ip не в вашей подстеи, то трафик на него пойдет через шлюз, таким образом о можете перейти на совсем другой узел.
Пример:
Я поднимаю в вашей сети dhcp и руками прописываю ему ip yandex. Вы получили адрес и пытаете мой ip пинговать, но трафик пойдет на шлюз и шлюз его отправит на yandex и узел yandex'а вам ответит.

Вам нужно найти dhcp в сети который вам "делает пакости". Для начала посмотрите wireshark mak адрес который вам отвечает. Попробуйте его найти на коммутаторах. В худущем случае сужайте домен, можно даже физически отключая свичи или вставляя в разрез грамотно настроенный микротик.

Коммутировать второй коммутатор к маршрутизатору. Настроить на маршрутизаторе фаервол и роутинг.
Есть два варианта атаки, первая атака периметра, т.е. попытка получить контроль над маршрутизатором извне, вторая атака на сервисы за "границей" маршрутизатора. Если вы хотите обезопасить сеть и полагаете, что сервисы в сети видеонаблюдения могут быть уязвимы, то следует относиться к ней как не доверенной сети и соответствующим образом настроить фаервол( т.е. считать, что это второй такой же интернет ).
Но не следует забывать, что получив доступ к сети видеонаблюдения, злоумышленник может использовать весьма изощренную атаку основанную на данных видеонаблюдения, начиная от подсмотра паролей, заканчивая хитрой социальной инженерией.

VLAN это сегментирование сети. Если у вас есть необходимость сегментировать сеть, то делайте, если нет, то нет.

VLAN по отделам вообще на мой взгляд странная вещь, зачем они реально нужны загадка.

Не очень представляю себе сеть в которой 40 компьютеров и если необходимость в 14 портовом маршрутизаторе.
Или делайте l3 на уровне доступа, тогда вам нужны микротики сразу на "40" портов( 10 по 4, или два по 24 это уже решать вам ). Или делайте доступ l2, но тогда зачем на микротике 14 портов?

Всю диагностику надо проводить в момент возникновения проблемы. Если ее можно вызвать искусственно( т.е. например торможение обязательно проявиться на одном из 10 файлов ), то уже пол дела можно сказать сделано.
Как только проблема возникла.
1) Проверяем нагрузку на портах
2) Пытаемся создать доп.нагрузку, смотрим удалось ли( можно включить 4к виде на youtube с другого компа в том же vlan )
3) Пытаемся создать нагрузку из другого vlan.
4) Если утилизация канала с ростом нагрузки растет, нагрузка успешно "масштабируется", то пытаемся скачать файл аналогичного формата с другого сервера( в момент наличия проблемы ) в том же vlan.( формат файла может влиять на работу антивирусов )
5) Повторяем пункт 4 на компе, на котором есть проблема( есть прямо сейчас ).

Если все 5 пунктов показывают нормальную работу, значит проблема в канале между вами и сервером( в том числе проблема может быть с самим сервером ).
В любом случае это позволит вам отсечь кучу вариантов.

Для начала принтсервер, и избавляться от зоопарка, желательно моновендер иначе вероятны различные грабли с драйверами, ну и естественно с деплоем, мониторингом, картриджами. Но на ваших объёмах пока не актуально.

Защитить от копирования файловую базу данных без промежуточного слоя в общем случае невозможно. Можно несколько затруднить данную операцию. Но если пользователь может работать с данной базой, то может и скопировать.

1. Схема странная, линк между коммутаторами или между маршрутизаторами лишний.
2. Какое оборудование у вас используется? На схеме нужно подписать модели коммутаторов и маршрутизаторов, от этого сильно зависит спектр возможных решений.
3. Что они у вас такое делают, что 100Мбит не хватает, у вас с такими масками максимальный предел 170 устройств?
4. Зачем вам вообще все делить на подсети? Чем продиктованы требования к маршрутизации?
5. Головные маршрутизаторы линкуються через интернет или локально?