Вам вполне подойдет минимальный вариант - два коммутатора 2960 Plus (у обычных EoL в конце октября уже), например WS-C2960+48PST-S (это PoE) и WS-C2960+48TC-S с базовой L2 лицензией. Стека у них нет, но есть пара 1GE портов, чтоб между собой связать.
Маршрутизатор CISCO1941-SEC/K9 вас в принципе тоже должен устроить по всем параметрам, даже без модуля аппаратного шифрования (он около 2K$ стоит). Благо с недавних пор на SSL VPN отдельно лицензии покупать не надо.
Ну и SmartNET, как минимум к самому маршрутизатору.
Итого:
CISCO1941-SEC/K9 - около $3K по GPL (с сервисным контрактом).
WS-C2960+48PST-S - около $3K по GPL.
WS-C2960+48TC-S - около $1,3K по GPL.
Итого имеем 7300 баксов по GPL. Ну т.е. по факту, с учетом скидок, в 6 килобаксов влезете без проблем.
Сложный
