Валентин

Сеть 10.0.0.0 используют из-за того, что удобно делать сети > /24, а во втором октете можно зашифровать географию (№ офиса, код региона, зону ответственности и т.д., например, 10.77.X.X - адресный диапазон для Москвы).
Конечно, нужно кучу вланов, вы удивитесь, но у вас их будет гораздо больше, чем вы написали. Например, сходу будет влан управления (где будет управление сетевым оборудованием), влан управления серверами (iLo, IPMI, iDRAC или что там у вас), влан с "публичными" IP-адресами (в офисе же будет интернет?), влан серверов для пользователей (файловые шары), влан технологических серверов (всякие сислоги, заббиксы), рано или поздно два влана на вай-фай (гостевой и внутренний), вланы для стыковочных сетей (от L3-коммутатора до маршрутизатора, между L3-коммутаторами и т.д.).

Основная экономическая характеристика коммутатора - цена за порт. Как правило, для телефонии используются порты с PoE, они стоят в 2.5 раза дороже портов без PoE. На сэкономленные деньги лучше купить ЗИП на телефоны.
Когда-то потом вы придете к настройке QoS для телефонии по крайней мере на линках от агрегации. Это проще всего делать, когда телефоны выделены в отдельный влан.

Под видеонаблюдение опять же как правило используются порты с PoE. Камеры, конечно лучше в отдельный влан, который пустить в отдельный порт. Трафик с камер емкий, но в то же время не вызывающий сильного пользовательского негатива, легко забьет 1GE.

Есть куча способов положить сегмент Ethernet. Например, спуфинг мак-адресов для заполнения таблицы коммутации, имитация L2 петли для свода с ума коммутатора, подмена шлюзов ака спамилка дублирующими ARP-запросами, спам STP пакетами, есть и более тонкие техники на phy-уровне (чипов весьма ограниченное количество, гораздо меньше нежели моделей коммутаторов), а можно подняться и выше, например, до фейковых dhcp. Да, многие вещи на нормальном оборудовании можно отсечь, но про них надо знать, да и заморочиться с тонкой настройкой.
Хотите узнать, как работает именно эта балалайка, ну спросите у продавца.

Суть контракта в подписке на Windows

Вы заблуждаетесь и не видите всей ситуации.

Если вы работаете в бюджетной организации, то можете найти госконтракт на zakupki.gov.ru. Скорее всего там какой-нибудь сервисный контракт, на предоставление чего-нибудь как услуги. Почему так - вопрос коммерческий. Например, у вашей организации не было денег купить сразу весь объем необходимого оборудования и ПО, поэтому они купили это как услугу и платят сумму каждый месяц.

У меня есть абсолютное понимание того, как работают VLAN на коммутаторах Cisco, D-Link, и т.д.

Ключевое слово здесь - на коммутаторах. На маршрутизаторах пусть даже циски или линуксе есть также различное количество вариантов создать влан. И также через бридж, и на физический интерфейс. Посмотрите, как добавлять вланы в Cisco 6500, тогда поймете логику. Если провести аналогию, то бридж - это L3-интерфейс на влане. А физ порт - L3-интерфейс на физическом интерфейсе, добавление влана к которому дает возможность разграничивать трафик на транке.

Вот.
Задержка может быть в устройстве (промежуточных устройствах и их составных частях - порты, софт устройств, процессоры) и среде передачи.

Ну так себе вопрос. Смотря что и как бекапить… для одних приложений надо SMB шару под виндоуз, для других - NFS под Линукс, для третьих - объектное хранилище S3, для четвёртых git-репозиторий, для пятых - отдельная СХД, а для каких-то целей аппаратный ленточный массив.

Это так не решается. Есть набор практик, описанный в ITIL, можете почитать. Начинать надо с создания каталога сервисов. Примеры легко гуглятся, например вот. Дальше планируется, какая нужна под это инфраструктура (помещения, сеть связи, электричество, АРМы, периферийное оборудование, серверы, софт). Дальше на это накручивается ITSM (сервис деск), потом учёт типа CMDB, требования к типовому АРМ, а дальше непрерывный процесс оптимизации.

Mangle и OSPF не связаны никак. В терминах микротика mangle - внутренняя маркировка пакетов. OSPF же по сути распространение информации между несколькими маршрутизаторами. Mangle работает для установления GRE, OSPF же работает поверх GRE, это как бы разные слои, уровни. Для разбивки сетей по линкам (а линки у вас уже созданные GRE-туннели) следует использовать метрики OSPF.

Очевидно, что сегменты забуферизируются.
Вот Очень хороший обширный материал по работе TCP. Прочитайте все главы вдумчиво и внимательно.

Если благополучно доставлены байты с номерами 0-N, а затем получен сегмент с номерами байтов (N+k) - (N+k+m), такой сегмент будет буферизован, но подтверждения его получения не последует. Вместо этого посылается отклик, с кодом номер октета, который должен прийти следующим =(N+1). В случае получения сегмента с неверной контрольной суммой будет послан отклик, идентичный предыдущему. Дублированные отклики позволяют детектировать потерю пакета.

Это работает не так. К любому техническому заданию, методическим рекомендациям прилагается раздел «обоснования», где перечислены базовые нормативно-правовые акты (включая стандарты и Технические условия), которые надо соблюдать. Криптография используется для каких-либо целей, как правило это зашифровать канал или подписать документ квалифицированной электронной подписью. Надо смотреть, какие у вас цели и под какую правовую базу они попадают (приказы ФСТЭК, постановления правительства, федеральные законы).

К вышесказанному добавлю, что если телики неумные, то можно за ними поставить дешевую приставку. Ну и HDMI бывают оптические с гораздо большей возможной длинной.

iproute2, зачем изобретать что-то еще?

Начните свой путь с ФЗ-152, ФЗ-149, ФЗ-187, ФЗ-63, ФЗ-126, сейчас ещё стал актуален ФЗ-530, если организация ещё что-то продаёт, то ФЗ-54. Эти законы вас выведут на постановления правительств (например, п.п.1119 о перс данных) или приказов (например ФСТЭК 21 или 19).

Если провода норм и компьютеры норм, то глючит коммутатор.
В коммутаторах доступа порты на плате сгруппированы по восемь штук. Один ASIC обрабатывает восьмерку портов. Вполне возможно, что дохнет конкретный asic. Попробуйте проблемные ПК переткнуть в другую восьмерку.
В коммутаторах есть такая проблема, как коллизия мак адресов. Коммутатор ищет порт, куда отправить пакет, по хешу от мак-адресу и влану. Во-первых, пара хешей может совпасть. Во-вторых, память для хранения этих хешей (таблицы мак-адресов) дорогая, и производители дешевых коммутаторов на ней экономят так, что в неё умещается не весь хеш, а только первые его байты. Эта особенность тоже может привести к коллизии. Можно попробовать перекинуть порты в другой влан. Или найти мак-адрес, из-за которого происходит коллизия.
Ну и конечно никто не отменял случая, когда в сети появилось несколько устройств с одинаковым мак-адресом (или петля), а порты коммутатора флапают из-за loop-detect.

Следите за логикой:
1) отдельный домен как правило отдельная ИТ-инфраструктура, отдельный web-сервер например
2) за домены второго уровня надо платить. В масштабах организации может быть они стоят и дёшево, но нужно следить за их статусом просрочки. Регистрацию домена третьего уровня не надо согласовывать с закупками.
3) подходящее имя домена второго уровня может быть уже занято, в то время как все пространство имён 3-го уровня у вас под рукой.
4) на все домены 3-но уровня можно выпустить один сертификат SSL типа wildcard.

Изучение по packet tracert - освоение ремесла. Будущие профессионалы начинают с Таненбаума.

Похожая в каком плане?
Как устроена внутри? Ну если только всякие китайские спутниковые модемы. Просто она очень старая, поэтому внутри примитивная. + на эту старость накручена поддержка модульных железок и всякие стекирования. Поэтому она уникальна.
Синтаксис? Да полно: huawei, edge-core…
Функционал? Juniper, huawei.

В сети любого мобильного оператора есть узел PCEF, который определяет типы пользовательского трафика. Так отделяются, например, мессенджеры, социальные сети, видео и тд. Качество видеопотока можно однозначно определить исходя из объема передаваемой информации. Далее по истечении пробного периода можно ограничить скорость до определенного сервиса, качество видео будет автоматически подстроено (тем же протоколом HLS) под доступную полосу.