[kim-aa]

Цитата DRadmin:

Насколько вообще целесообразно думать о серьезной железке - маршрутизаторе с возможностью подключения смарт-карт »

Эта возможность зашита не в железке. Точнее не только в железке. В железяках зашиты протоколы RADIUS и TACACS+ при помощи которых можно расширять возможности аутентификации.

Применяется следующая связка.

Маршрутизатор --> Сервер TACACS+ --> Сервер проверки аутентификации (третьего может и не быть)
Маршрутизатор --> Сервер RADIUS --> Сервер проверки аутентификации (Сервер сертификатов, паролей и т.п.)

Непосредственно с маршрутизатором данную конструкцию мы не применяли. Применяли в Wi-Fi.

2) Думаю вам за глаза хватит 1811. Там есть и VPN и встроенный proxy.
Из-за наличия 2х WAN и управляемого 8-портового коммутатора (спокойно делится на VLAN) легко реализуются конфигурации:
2 провайдера + внутренняя сеть
провайдер + корпоративная сеть + внутренняя сеть.

http://www.cisco.com/en/US/prod/coll...ata_Sheet.html

----------------------------------------------------------------------
Из собственного опыта:
В своей бывшей конторе (РАО ЕЭС Курское отделение)
мы использовали Cisco как фаервол и маршрутизатор
- PIX525 и 2801 (провайдеров было трое)
- в качестве прокси мы использовали SQUID на Unix (SUN Solaris)

------------------------------------------------------------------------

В принципе указанная вами задача решается при наличии знаний и рук на сервере FreeBSD (любом ином Unix).
Однако при наличии денег ф-и фаервола и VPN лучше решать "железными" способами.

Функции же кэш-сервера и прокси (эти понятия часто смешивают), напротив, выгоднее решать на Unix (если не стоит жутких требований по производительности, конечно)