CityCat4

Чтобы иметь возможность открывать порты какие угодно - нужен роутер, а не дишманская соховская железка, которую берут те, для которых слово "порт" означает место, куда приходят корабли :)

Задача не имеет решения.

Микротик, конечно же. Насчет санкций-херанкций ничего не скажу. С одной стороны, Латвия - одна из наиболее антироссйских стран, с другой стороны - пока продают и пока не говорили про прекращение продаж, доступ к сайту не блокируют, с громкими заявлениями не выступают... Пока, конечно же, хз что там будет даже через полгода.

У нас стоит 4011, вывозит спокойно. Если по деньгам ой, то можно рассмотреть и более младшие модели - 3011, 2011 (последний только как совсем #опа - он запросто может не вывозить)

Прокси у Вас нарисовано несколько неправильно. Ну имхо. Прокси должен контролировать трафик, но не создавать лишней нагрузки на сеть, поэтому я бы вывел прокси к микротику отдельным проводом. Аналитика - это значит ssl-bump, нынче по-другому никак. Мне коробочных решений не известно, обычно ставят squid + какой-нибудь парсер логов.

У пары провов видел ISPSystem. Причем они частично отличались, из чего следует, что там тоже модульная система, как и у всех. Да, я думаю, они не бесплатные :) но с некоторого момента платность значение не имеет

Ну, я обычно схемы делю так:
L3 - логика. Схема соединения серверов и подсетей безотносительно того, как это соединение сделано. Обычно простая схема с кубиками и линиями, указанием подсетей, имен интерфейсов etc.
L2 - физика. То же самое, но с прорисовкой свитчей и иерархии их соединения, а также указанием VLAN, буде они есть, и адресов управления свитчами
L1 - план помещения. План помещения, часто в масштабе, где в реальных точках своего расположения указаны все сетевые устройства и тип их соединения (оптика/UTP/etc). По такому плану можно примерно метраж оценивать.

Создание схем L2 и L1 - дело долгое и хлопотное, обычно она рисуется раз и потом только поддерживается.

Бюджет не озвучили.

Напрашивается:
- по хорошему свитчу на этаж (вланы, все дела)
- роутером микротик, причем довольно взрослый, 1016, если позволяет бюджет, если нет - 4011
- рассчитать покрытие склада, чтобы телефоны не заикались (будет слабое покрытие - будет плохая слышимость, голос будет заикаться, точки свести к одному отдельному свитчу

Как правило неподалеку от ввода тырнета ставится шкаф, стойка а лучше всего выделить или отгородить небольшое помещение, куда поставить роутер, сервера, все прочее оборудование. Патч-панели, разумеется - руками чтоли провода скручивать :) Опять же наличие серверов предполагает резервное питание и средства для бэкапа - их тоже здесь разместить.

Подумать лучше обо всем сразу и не стесняться заложить в бюджет побольше - под стройку могут и дать, а потом пробить что-либо в отдельности замучаешься.