Валентин

Как надо:
отдельный маршрутизатор на границе, серверы и все компоненты, работающие с внешним миром напрямую - в отдельную зону DMZ, между DMZ и внутренней сетью - statefull fw. На windows-сервере ISA-прокси для внутренних пользователей, прямая маршрутизация между офисными ПК, DMZ и внешним миром запрещена. Все это хозяйство желательно резервировать.

Как можно ака бюджетный колхоз-вариант:
Один линукс сервер, он же stateless fw, желательно на нем прокси, nat менее желателен. Windows-сервер выкинуть вообще. Серверы отделите вланом от пользователей. Прямая маршрутизация между всеми компонентами разрешена, доступы режутся iptables.

Как будет.
Местный админ пойдёт к руководству и скажет, что я не умею управлять всем этим, чтобы управлять этим хозяйством надо ещё двух человек. он же поможет руководству составить ТЗ и методику приемосдаточных испытаний (если он вообще знает, что это такое). Руководство проникнется и выставит вам требования под его дудку.

Основной принцип: тяжелое снизу, легкое - сверху. В самый низ - ИБП, в самый верх - оптический кросс+органайзер, дальше по мере веса и необходимости доступности по удобству. Как правило ставят свич+патчпанель+органайзер, и так много раз. Крайне желательно рядом со всем активным оборудованием (ИБП, свичи, маршрутизаторы) оставлять место под их оперативную замену. Если под мелкими свичами делать органайзер, в случае расширения воткнете свич на его место, а вот с ИБП так не получится, надо предусмотреть заранее.

Возможны вариации в зависимости от портовой емкости свича, патчпанелей, кроссов под многопарник, большого многоюнитого обордования (циски на 20 юнитов), наличия телефонных шнуров, необходимости вентиляторов, полочки медиков и т.д. Еще удобно воткнуть одну полочку где-нибудь сверху.

Почитайте в сторону IGMP-snooping, активно используется в операторских сетях IPTV