Михаил Хорев

Коллеги подсказывают правильно, но не для сети на 30-40 пользователей)
На 40 человек трехуровневый дизайн не нужен.
Или это только отдел продаж, а вся сеть на 1000-5000 человек?
Для сети до 100 человек - вполне норм плоский одноуровневый дизайн с софтовым шлюзом.
Для сети на 5000 - да, двух или трехуровневый дизайн, нормальное оборудование, никаких неуправляемых свичей, аппаратный, а не софтовый файрволл.

Но соглашусь с ky0 - Один коммутатор на 48 лучше чем 5 штук по 10 портов. Два коммутатора по 48 портов в стеке лучше, чем два коммутатора по 48 портов не в стеке.
И соглашусь с Родион Кудрявцев - при возможности управляемые железки с поддержкой агрегации портов лучше чем тупые мыльницы.

Остальное надо смотреть от бюджета и существующей СКС (она запросто окажется дороже чем активное оборудование)

Если не планируется покупка L3 коммутатора, то да, трафик между VLAN-ами пойдет через микротик.
Что бы минимизировать трафик между вланами, в отдельные вланы стоит выносить то, что не общается между собой.
Например СКУД и видеонаблюдение и телефония.
Телефония и пользователи иногда не общаются, но не во всех системах.
Соответственно, не стоит выносить терминалы и сервера в отдельный влан от пользователей.

Ну где-то в глубине души 40G - это Etherchannel 4x10G
Поэтому при установке кабеля-разветвителя на 4 по 10G просто этот etherchannel разбивается и работа идет с 4 отдельными портами.

Если позавчера ничего не делали, то возможно комп всосал какие-то обновы.
Например некоторое время назад (полгода-год назад) Микрософтом был заблокирован протокол SMBv1
Принудительно его включить можно.

Посмотрите, галочка "Поддержка общего доступа к файлам SMB 1.0/CIFS" стоит или не стоит на всех компах?
SMBv1 - потенциально опасный протокол. Использовать его не рекомендую, но проверить, в нем ли дело или нет - стоит.

Cisco sf200-24 - коммутатор.
Сколько IP-адресов вам выделено?
Судя по описанию, один и вам нужен роутер?
Тогда Cisco sf200-24 просто не подойдет.

Обычно такие шарманки когда делают, входящий и исходящий трафик разводят по разным VLAN-ам.
Насколько критично, что б он был в одном влане?

На Cisco Catalyst можно, то есть нужно написать на обоих портах switchport protected, а на аплинке такую строку не писать.
На порту 1 (для обработанного трафика) надо еще написать mac access-list, что б необработанный трафик не пер на него с аплинка. (unknown unicast будет так или иначе занимать полосу)
И вообще, если protected чем-то не подойдет - можно покурить тему private vlans.