Karroplan

сделайте больше классов во внутренней политике XXX-Video и телеметрию пускайте в priority, а ВКС в гарантированной полосе, т.к. ВКС проще переживет джиттер чем телеметрия:
class-map match-all telemetry
... whantever ...
!
policy-map XXXX-Video
class telemetry
priority 2000
class Video-any
bandwidth 2000
class class-default
fair-queue
!

никак. Это решается фаерволлом со стороны vpn-сервера.

Ubiquity Edge-X Lite. Умеет ospf/bgp/ipsec, стоит около 5 тыр, тянет ~100mbps без ip-sec, около 80mbps с ipsec

обычно, доступ в интернет происходит через отдельный интерфейс. Типа, Gi0/0 - в интернет, Gi0/1 - в локальную сеть, Gi0/2 в сторону WAN нашей компании. Поэтому нет смысла делать какой-то там фильтр по подсетям. просто делаешь шейпер на весь интерфейс в сторону интернета и все.

sg300 по-умолчанию из коробки настроен как L2-свитч.
Из gui включить L3 - administration->system settings и там есть кнопка System mode: L2 / L3
Из CLI в режиме exec - set system mode router