Karroplan

можно, можно. Такой режим называется FlexConnect. Точки доступа Cisco с управлением от контроллера (lightwieght access points) обычно устанавливают два capwap туннеля до контроллера - один для управления точкой, второй для передачи трафика от клиентов точки до контроллера. И в таком случае клиентский трафик из точки выпадает в сеть из порта контроллера - это нормальный режим работы. В случае с FlexConnect (или иногда говорят local switching) клиентский трафик вываливается из локального порта точки.
Только не все точки поддерживают FlexConnect, ищите с поддержкой.
И второй момент - два контроллера 2504 (в целях отказоустойчивости) не синхронизируют конфиг автоматически. Внес изменения на одном, пошел на второй и сделал тоже самое или огреб проблем при переключении. Если это критично то стоит брать контроллер потолще )

простите, но ASA не умеет быть прокси-сервером!

сделайте больше классов во внутренней политике XXX-Video и телеметрию пускайте в priority, а ВКС в гарантированной полосе, т.к. ВКС проще переживет джиттер чем телеметрия:
class-map match-all telemetry
... whantever ...
!
policy-map XXXX-Video
class telemetry
priority 2000
class Video-any
bandwidth 2000
class class-default
fair-queue
!

Ubiquity Edge-X Lite. Умеет ospf/bgp/ipsec, стоит около 5 тыр, тянет ~100mbps без ip-sec, около 80mbps с ipsec

обычно, доступ в интернет происходит через отдельный интерфейс. Типа, Gi0/0 - в интернет, Gi0/1 - в локальную сеть, Gi0/2 в сторону WAN нашей компании. Поэтому нет смысла делать какой-то там фильтр по подсетям. просто делаешь шейпер на весь интерфейс в сторону интернета и все.

sg300 по-умолчанию из коробки настроен как L2-свитч.
Из gui включить L3 - administration->system settings и там есть кнопка System mode: L2 / L3
Из CLI в режиме exec - set system mode router