RazorBlade

А что мешает самому скачать IOS без npe и не мучаться?

А что именно не завелось? MAC-адрес провайдерской железки виден sh mac-address-table | i FastEthernet0/0

Сначала надо задать настройки ftp, а потом уже заливать:
(config)#ip ftp username ftp_user
(config)#ip ftp password ftp_password
и дальше уже copy flash:file.name ftp://1.1.1.1/file.name

Ссылка у вас неправильная, поэтому выложите конфиг.
Судя по симптомам, у вас неправильно работают route-map, и ответы на пакеты пришедшие через второго провайдера, уходят через первого.

Нет, веб-морды у него нет, и софтины для управления тоже. Есть системы мониторинга IMC, но она стоит денег и вряд ли вам сильно поможет в настройке. Поэтому только CLI.
Документация вам в помощь.

Судя по даташиту, особых требований у модуля нет, лицензии дополнительные к нему не нужны.

Тут два варианта, либо при наличии внутреннего DNS сервера, сделать на нем соответствующую A-запись с внутренним IP. Либо гуглить на тему, как настроить на вашем роутере hairpin nat.

Не очень силен в HP, но мне кажется надо поправить ACL 3002, запретив проход в соседние VLAN:

acl number 3002 
 rule 1 deny ip destination 10.10.0.0 0.0.255.255
 rule 2 deny ip destination 192.168.0.0 0.0.255.255
 rule 10 permit ip source 10.10.254.0 0.0.0.255 logging

Не знаю, можно ли указать в ACL source и destination, если можно, то лучше указать и то и то

rule 1 deny ip source 10.10.254.0 0.0.0.255 destination 10.10.0.0 0.0.255.255

И оставить изначальный PBR

policy-based-route test-pbr-new permit node 2
   if-match acl 3002
   apply ip-address next-hop 10.10.253.2 direct

Тогда, по идее трафик в соседние VLAN не будет попадать в PBR

Если рассматривать ISR, то за глаза хватит 1941, а то и 891 (на нее можно не покупать лицензию на security, правда это нелегально). Входящий трафик можно будет шейпить на сабинтерфейсах. VPN умеет, как site2site, так и клиентский. Блокировать "плохие" сайты будет неудобно, но можно.
Если брать ASA, то так же, минимум 5505 или максимум 5510. Они больше заточены под шифрование и firewall. С дополнительными модулями есть проверка трафика на вирусы, спам и тд., правда придется ежегодно покупать подписки.