AntHTML

1. В чем больше понимаете, то и ставите MTK более понятен линусятникм/виндузятникам чем нацеленный на сетевиков CIscoLike
2. В зависимости от схемы и расположения можно и пяток CRS326-24G-2S+RM по этажам, а если все сводится в одну серверную, то лучше пара-тройка CRS354-48G-4S+2Q+RM в кольце. CCS лучше не берите, они управляются только WEB, ни CLI ни SSH/TL не имеют
3. роутеры смотрите на https://mikrotik.com/ по требуемой производительности 1100 и 4011 - по сути одно и тоже только в разных корпусах (ну 1100 мож понадежней, особенно dude). Сейчас набирает популярность 5009 вроде тоже ничего железка.

1. 3011 проигрывает по цена/мощность 4011
2. CRS328-24P - если юзать меньше 10 портов по POE то тоже не ахти бюджетное решение
3. Как уже сказали cAP/wAP(ac) + все что может быть подключено проводом - должно быть подключено проводом
4. GPON+РТК+SFP+%чтоугодно% - не совместимы (практически всегда совсем (без разговоров со стороны РТК), технически - крайне редко и костыляво) - самое простое и надежное (повсеместно используемое) - РТК-модем в бридже

В бридже на L2 никак, только в роуте на L3.

Я бы лучше писал скрипт подъема WIFI, именно коннекта WIFI, а не маршрута по недоступности пинга основного шлюза с eth1
чтобы а: не нагружать эфир постоянным бесполезным устройством. б: не городить всякие дистансы и тп.
А вообще перед ремонтом крайне желательно всю стационарщину перетягивать на нормальный CAT6-7, чтоб не сталкиваться с вот такими костылями

У микротиков не бывает Ethernet и LAN портов, у него все порты равнознвчны
Лучше укажите модельку тика и что конкретно нужно сделать, 2 разные подсети или одна подсеть и 2 шлюза?

В IP->Adressess посмотреть что висит на eth3 и задать из этой сети

Обеспечение безопасности делается не только программно-аппаратными, но и административными средствами.
Интернет должен ходить через проксю исключающую возможность простого выхода на нее с мобильника, и естественно с логированием кто куда лазит.
В части левых роутеров - достаточно иметь ссылку в должностной/контракте на политику ИБ. В которой прописан запрет на самовольное подключение любых устройств и изменение ключевых настроек.

А в чем собственно проблема?
1. Создаем бридж 1 из 1-5,10 и назначаем с него роуты на PPPoE-eth1
2. Создаем бридж 2 из 6-9 и назначаем с него роуты на PPPoE-sfp
Вот вам и 2 роутера в одной железке. Капсман тоже помойму вяжется на интерфейсы/брижи, управление - тоже роутинг входящего/исходящего трафика.

PS: Но не понимаю зачем городить такую конфигурацию при цене 951го 40$? Если только потом строить маршрутизацию между LANами или резервирование WANов, а две полностью изолированные сети на одной железке - оно то возможно, но нафик нужно.

1 порт SFP = 1 порт RJ45. Просто другой разъем.
1-2 волокна в SFP это не 2 канала, а по одному прием, по другому передача, иногда и трансивер и ресивер работают по одному волокну.
Для целей видеонаблюдения я бы тянул от каждой точки до офиса по 2 волокна.
В идеале, можно, допустим, взять 4-8ми волоконный кабель и и разварить его муфтами в каждой точке выведя по 2 волокна с обеих сторон.
Ну и в офис любой L2-L3 свич на 16+ SFP или если хватит денег то SFP+, чтобы заложить возможность перехода на 10G

Мой вариант:
На микротике насоздавать VLANов с обычной маршрутизацией через nat, а не pppoe. в каждый vlan забросить dhcp.
Пробросить все на dlink-и и там либо ручками прописать на порты, либо (в идеале) если кабинетов/пользователей много, то поднять radius и пускай свичи по 802.1x сами всех раскидывают. В принципе также можно скриптами прописать и генерацию сетей на mikrotik-е.
Подобные схемы иногда используют мелкие провайдеры.

А с какого, простите, лешего Mikrotik-овский контроллер будет понимать логику и управление Cisco-точками и наоборот.
Система всегда строится на моновендоре (и то совместимых устройствах), ну или в спецификациях указываются поддерживаемые железки дружественного производителя.

Поднять с ISP2_GW01 встречный L2TP до ISP1_GW02 и метриками разбросать приоритеты

В принципе можно двумя подсетями разрулить
Пустить допустим 192.168.0.0/24 на локалку и 192.168.100.0/24 на только интернет
Но вторые компы в таком случае смотут видеть другдруга и если юзер поменяем ip-шник то сможет увидеть всех

Смотря что и как у вас сейчас настроено на микротике и точках
Предложение провайдера заключается в следующем
Создаем VLAN 654 интерфейсы и привязываем их к физическим WAN и LAN0-7
Объединяем созданные VLAN в Bridge
На точках доступа создаем гостевую сеть (2й SSID) и указываем что траффик с него будет уходить в тэг 654

IPTV, телефонию, охрану провайдеры обычно гоняют по отдельным VLANам с разводкой на access порты роутера, так что обычно ничего не мешает перевести только подключение интернета в бридж и поднимать его на своем

Да, по схеме 2 всегда и делаем, если нет отдельного требования ИБшников что WAN сегмент шифратора нигде физически не может пересекаться с LAN.
Еще схема 2 при использовании динамической маршрутизации дает + что можно только часть трафика отправлять на шифрование, либо при падении/повисании шифратора - перенаправлять сразу на WAN

Если в инфраструктуре есть место куда ставить отдельную железку, то надо ставить отдельную железку.
Тут такая же аналогика как Игровой PC & Playstation - да игры идут и там и там, но во втором случае они уже оптимизированы и заточены под конкретное железо. И не дужно плясать с тем чтобы правильно поднять и удержать окружения - сразу настраиваешь конфиг и пошел работать, если упало - открываешь кучу стандартных логеров и смотришь что там или тупо достаточно взлянуть на состояние светодиодов, чтоб понять как работает железка.
Про потерю управления на VM тоже не обна тысяча диферамбов сложена и про софт-роутер и про гипервизор введенный в домен контроллер которого на нем же и расположен и про обновление ESXi когда сервак со сферой на нем
А с железякой на филиале: - "Алло, username. вторкни ноутбук с триджиком в ETH1 и скажи пасс от Teamwiver-a"

Тут как выше уже было сказано надо конкретно смотреть на месте по организации, имеющемуся оборудованию, потокам информации, возможностям, требуемой схеме и преследуемым целям: только расширение адресного пространства или всетаки разграничение доступов, обеспечение отказоустойчивости, централизации и тп
а также какое оборудование сейчас есть на местах и как включено

по SMNP можете пощупать, есть реализации плагинов под PHP