Подскажите как считаете, насколько правильно будет реализация такой сети.
Есть 4 офиса(A,B,C и D), от 50 до 200 пк в каждом, необходимо объеденить их все в еденую сеть.
3 офиса находятся рядом друг с другом, от офиса A до B, от B до С и от С до A есть оптика.
Офис D удаленный.

Как думаю сделать:
1) магистральные линки воткнуть в коммутатор и выделить на это отдельную VLAN со своей подсетью адресов /24.
Использовать STP для отказоустойчивости в случае обрыва одного из линков и IPSEC для безопасности.
2) в каждом офисе выделить свою отдельную подсеть /24 и поставить маршрутизатор.
3) Для подключения удаленного офиса D в одном из офисе хочу поднять VPN-сервер.
4) Как протокол маршрутизации использовать OSPF

Магистраль гигабитная, но маршрутизаторы 100мбит.
По оборудованию может кто посоветовать?
И че-то у меня сомнения по поводу шифрования трафика, придется все жe VPN поверх Ethernet делать ?

Схема

Отдельный влан(и ип подсеть) для магистрали это хорошо. Можно сразу запретить доступ из этой подсети на все офисные подсети( ибо живых пользователей там быть не должно )

Я бы в каждом из офисов делал бы кабинет( или отдел ) в отдельную ип подсеть. Не жалей подсетей, отдельная подсеть на 2 бухгалтерских сервера это нормально. Обычно трафик между отделами нулевой(можно совсем зарезать), а безопасность так контролировать проще.

OSPF в офисе это конечно круто ( можно и BGP ) .... но 4 маршрута можно и в ручную прописать.

Шифрование потока в оптике между офисами ..... это по необходимости.

А в качестве маршрутизаторов я бы посоветовал DGS-3610-24 ( 3612 ) для офиса в 200 сотрудников это не дорого, а производительность очень неплоха .

Ну это пока 4-е, прибавить к этому еще 10-ок удаленных впн подключений...

и у меня все же сомнения насчет шифрования, может ли это делать DGS-3610-24 ?

Укажите пожалуйста в личку Ваш телефон.

DGS-3610-24 шифровать поток не умеет, это очень хороший маршрутизатор (для этой задачи и за его стоимость).
А для шифрования можно либо использовать виндовские механизмы( ГЫ ), или покупать дополнительно другую железяку, или дополнительно ставить сервак.

возвожно OSPF и понадобится, хотя сомнительно, скорее только для развлечения админа. Это уже "рюшечки".
Если у тебя ОФИСНАЯ сеть, там где сидят манагеры, бухгалтеры и т.д. то доступ между их компов не нужен, скорее даже вреден. Нужен доступ только к сервакам. А это уже фильтрация и т.д. Т.е. нужны маршрутизатор-ы с большим кол-вом ACL листов и правил к ним. На L3 уровне нужно меньше правил, проще оперировать подсетями. Поэтому дописать 1 маршрут будет счастьем, после составления 200 правил фильтрации.....