RazorBlade

А что мешает самому скачать IOS без npe и не мучаться?

А что именно не завелось? MAC-адрес провайдерской железки виден sh mac-address-table | i FastEthernet0/0

Сначала надо задать настройки ftp, а потом уже заливать:
(config)#ip ftp username ftp_user
(config)#ip ftp password ftp_password
и дальше уже copy flash:file.name ftp://1.1.1.1/file.name

Ссылка у вас неправильная, поэтому выложите конфиг.
Судя по симптомам, у вас неправильно работают route-map, и ответы на пакеты пришедшие через второго провайдера, уходят через первого.

Насколько я понял, вы хотите, чтобы внутренний сервер видел в качестве источника пакета сам маршрутизатор?
Но тогда маршрутизатор в любом случае будет отправлять пакет на реального отправителя согласно таблице маршрутизации, а не таблице трансляции.
Вам надо делать Policy Based Routing.

Судя по даташиту, особых требований у модуля нет, лицензии дополнительные к нему не нужны.

Если смотрите именно Cisco, то подойдет Cisco Catalyst 2960X-24PS-L.
12 ports up to 30W или 24 ports up to 15.4W. Тут надо смотреть сколько потребляют ваши камеры.
Вот даташит на серию 2960X

Если действительно необходимо назначать адреса по порядку, то никак. Т.к. третья группа в 2000 хостов "влезает" только в маску /21, а это половина имеющейся маски и должна идти либо в начале (192.168.48.0/21) или в конце (192.168.56.0/21), но никак не в середине.

Если рассматривать ISR, то за глаза хватит 1941, а то и 891 (на нее можно не покупать лицензию на security, правда это нелегально). Входящий трафик можно будет шейпить на сабинтерфейсах. VPN умеет, как site2site, так и клиентский. Блокировать "плохие" сайты будет неудобно, но можно.
Если брать ASA, то так же, минимум 5505 или максимум 5510. Они больше заточены под шифрование и firewall. С дополнительными модулями есть проверка трафика на вирусы, спам и тд., правда придется ежегодно покупать подписки.