Я бы на роль свича взял HP ProCurve. Например такой.
А вообще, как выше написал nApoBo3 , если не нужно много портов, я бы взял один Mikrotik CRS125-24G - он вам и свич, и роутер в одном флаконе.
Interfaces -> bridge-local(или кто он у вас там) -> Правой мышки, пункт Torch. Жмете Start, собираете статистику. Показывает активных клиентов, не показывает MAC.
Tools - > IP Scan - собственно "пингатор", но по файерволу может не показать.
Пользовал эти Nanostation'ы - работают вполне не плохо. Другой вопрос, что их на полной мощности регать надо, либо ставить режим "Россея".
Кстати в зоне почти прямой видимости у ваc будет почти связь (если вы понимаете о чем я).
Я бы предложил выдавать инет по тикетам с авторизацией. Развешиваете в комнатах персональный логин-пароль - Profit. Ну или раздаёте их на ресепшене. Ну и соответственно лимит на пользователя по трафику. Можно даже на тикете писать столько то мегабайт.
На точках... например WPA2-Enterprise + RADIUS. Хотя сейчас с вебмордами наверное уже попроще будет что намутить.
PS
Да кстати, не забывайте, что вроде как обязаны сохранять ФИО пользователя инета, объем трафика итп. и в случае чего предоставлять "тем, кому надо". Еще один плюс в сторону персональной авторизации.
PPS
Авторизация по MAC - давно не торт.
Ограничение скорости при текущих скоростях выглядит странно. Тем более чтоб ограничить пользователей, вам придется очень сильно скорость резать. Хотя я бы ограничение ~1-2мбит выставил на всякий случай.
Такую хрень может и поджаренная сетевуха творить.
Кстати проверить наличие левых DHCP просто - отключите на микроте и попробуйте получить адрес.
Возможно в вашем случае будет проще отделить подсети друг от друга - вытащите их из бриджа.
Не очень понятно, пользователи подсоединяются из интернета или из офиса(ну мало ли)?
Сдается мне, не нужен вам второй VPN.
Под рукой сейчас нет микрота, но более чем уверен, что можно подсоединять ползователей VPN к разным интерфейсам. В таком случае прокидываете VLAN с 1 микрота на 2 и на 2-ом выпускаете его в Сеть 2. Пользователю "Vasya" делаете соединение не к bridge-local, а к VLAN.