rionnagel

Да разберите разетку и посмотрите порядок цветов, это не сложно.

Это гадание на кофейной гуще. Я конечно ловил плохо обжатый коннектор по признакам tx есть, rx нет, а тестор показывает, что всё ок... но лучше так не делать. Хотя бы дешый лан тестор, который стоит как пару пачек сигарет, либо свой скрутить - это уже гораздо лучше, чем гадание по косвенным признакам. Время своего больше потратите больше по деньгам в итоге, особенно если кабель и прочие расходники паршивого качества.
По хорошему зависит от проекта... если это мальнький офис и требований мало - купите дешевый тестор, как расходник. Если чёт побольше - хотяб пару сотен долларов потратьте на повышение надежности.

BGP

Для создания дополнительного периметра это раз. Целей и реализаций может быть масса, не думаю, что тут обязательно приводить кейс.
Для "моногамности" оборудования это два. Предположим у вас колокейнш стоек в разных датацентрах и несколько виртуальных инфраструктур. Вам надо поднять bgp между этим всем и построить звездой связь gre туннелями через ipsec. Ни один вменяемый специалист не сможет гарантировать работоспособность в среде зоопарка, когда можно внезапно ловить ад по mtu, по размерам tcp окна, частыми флапами туннелей и прочего, что может появиться после обновления прошивки того или иного устройства разных вендоров.

Вполне вероятно у вас 2 (либо более) устройства имеют один и тот же ip адрес, либо один и тот же мак адрес.

Это же wifi эфир, он общий для всех в пределах некоторого количества каналов. Скорость в 350 это норм.

Кроме названных выше есть 2g 3g 4g уселители. 2 таких можно объединить в сеть и гонять от места где есть сигнал в место где его нет. Стоит дорого, найти сложно.

Сначала определиться с бюджетом, временем и что у вас есть, прикинуть возможные риски.
Я бы начал с того, что поднял hyper-v (как я понял лицензия у вас есть), одна лицензия это хост + 2 виртуалки, сделал бы план бэкапов и восстоновлений. Поднял бы active directory, посоздовал бы учётки и ввел бы это всю хрень в домен. Из трат - ваше время, время специалистов, пока вы им настраиваете учётки из AD. Если это возможно операционки ставьте новые. Под серверную крайне желательно выделить отдельное помещение с 1-2 кондиционерами и хотя бы ибп, не говорю уже про резервную линию питания.
С сетью очевидно прямых трат больше. Надо прикинуть возможно ли поставить всё в одну коммутационную стойку, или надо несколько стоек по предприятию. Считаем траты на кабель, коммутациюнные шкафы, сколько метров до самых удаленных точек, разетки, маркировка, кабель-каналы и прочий строительный храм + время простоя во время ременота + пространство (КРАЙНЕ ЖЕЛАТЕЛЬНО ЗАКРЫТОЕ, та же серверная) в котором всё это будет находиться. Обсудить с начальством целесообразно ли покупать управляемые свитчи (с тем же storm control и прочими протоколами), либо конторка без проблем денек подождёт, пока вы будете носится как угарелый искать какой такой нехороший сотрудник решил подключить неподключенный кабель в разетку и куда именно, денек до этого выясняя, что это всё-таки именно broadcast storm. Схему рисовать обязательно. Всё должно быть понятно и подписано. В качестве шлюза микротик более, чем норм. И РАЗУМЕЕТСЯ вы на каждую комнату закладываете больше разеток, чем там находится пользователей процентов на 20-80 в зависимости от ситуации.
В описанном не вижу необходимости нарезать vlan'ы и как-то сегментировать сеть, но возможно вы что-то не договариваете, либо я недооцениваю. Разве, видеокамеры в отдельную подсеть и отдельный vlan (хотя и второе не обязательно в зависимости от схемы подключения).
Для принтетов можно подумать принт-сервер. Для удаленки pptp сервер на микротике.

Если вы хотите там как-то резать доступ по отделам, делать несколько ad, сегментировать сеть и т.д. это уже другой вопрос.

Это я так, сходу прикинул. Вообще всё зависит от финансирования.

Сделать перехват и подмену 53 udp елементарно. В микротике вроде не реализовано ничего вроде dns over ssl или dnscrypt из коробки для защиты от этого. Но с помощью нехитрых манипуляций фаервола можно перенаправить на себя dns сервер, который висит на другом порту например.

У динамических правил fasttrack есть такая штука, что даже если вы отключили правила firewall, которые fasttrack включают, то они никуда не пропадут, пока вы не перезагрузите роутер.

Вы идёте не тем путем. Подобные проблемы решаются организационным мерами, а не техническими. Сегодня фортнайт, завтра квейк, послезавтра кол оф дьюти и т.д. Вы всерьёз собираетесь следить за трендами игрушек на рабочем месте? А если оффлайн игры? А если кто-то приставку принесет? А если кто-то не играет, а смотрит книги и читает фильмы? По предприятию выпускается приказ/регламент/нормативка, которая лишает части премии (например) если спалят за подобным занятием не в то время (например если не в перерыв, не после/перед работой, не в отсутствии рабочих задач и пр. условия), даёте на ознакомление и на подпись. Если предприятие большое и действительно в этом есть необходимость, то кроме приказа/регламента/нормативки/пр. можно воспользоваться дорогими техническими решениями для сбора доказательств для депремирования, поиска утечек корпоративных тайн и поиска аномалий.