Михаил Хорев

Коллеги подсказывают правильно, но не для сети на 30-40 пользователей)
На 40 человек трехуровневый дизайн не нужен.
Или это только отдел продаж, а вся сеть на 1000-5000 человек?
Для сети до 100 человек - вполне норм плоский одноуровневый дизайн с софтовым шлюзом.
Для сети на 5000 - да, двух или трехуровневый дизайн, нормальное оборудование, никаких неуправляемых свичей, аппаратный, а не софтовый файрволл.

Но соглашусь с ky0 - Один коммутатор на 48 лучше чем 5 штук по 10 портов. Два коммутатора по 48 портов в стеке лучше, чем два коммутатора по 48 портов не в стеке.
И соглашусь с Родион Кудрявцев - при возможности управляемые железки с поддержкой агрегации портов лучше чем тупые мыльницы.

Остальное надо смотреть от бюджета и существующей СКС (она запросто окажется дороже чем активное оборудование)

Ну я б сказал, что стекировать или нет - ваше дело, стекирование облегчает жизнь, объединяя манаджмент двух коммутаторов в один.

Но если не стекировать, то между коммутаторами и следовательно, между ~35 (половина от 70) пользователями и сервером получается или 1 гигабит или, если объединять двумя SFP - 20 гигабит?

В умных книгах рекомендуют поддерживать коэффициент переподписки не более 15 (и чем современнее книги, тем меньше коэффициент, вплоть до 4).
То есть на 15 клиентов держать гигабит аплинка.
Соответственно, одного линка 1G на 35 пользователей будет мало. Все равно надо подключать на 10 или даже 20 гигабит между коммутаторами.

Посмотрите при помощи какого-нибудь планшетного WiFi Analyzer, сколько еще точек на канале вашего Микротика?
Кстати, какой канал? Рекомендованы к использованию 1,6,11, их всего три.

Обычно такие шарманки когда делают, входящий и исходящий трафик разводят по разным VLAN-ам.
Насколько критично, что б он был в одном влане?

На Cisco Catalyst можно, то есть нужно написать на обоих портах switchport protected, а на аплинке такую строку не писать.
На порту 1 (для обработанного трафика) надо еще написать mac access-list, что б необработанный трафик не пер на него с аплинка. (unknown unicast будет так или иначе занимать полосу)
И вообще, если protected чем-то не подойдет - можно покурить тему private vlans.