AntHTML

Оборудование закупается не от крутости вендора: cisco - кошерно, d-link - г....
Оборудование закупается исходя из потребностей и возможностей (часто экономических, а сейчас еще и политических)
Для завода требуется один уровень надежности, который предоставляют так называемые Enterprice вендоры (cisco / Dell/hp. Huawei и тп.). Заключается, начиная от заложенной большей надежности оборудования в наработке на отказ, заканчивая сервисными контрактами на гарантийную поддержку и замену (в том числе до "в течение суток"), а также наличием широкого круга оборудования "единых экосистем", к чему сейчас в принципе стремятся и мелкие SOHO бренды.
Школе же, надежность, по сути не требуется. Там не будет таких убытков от простоя инфраструктуры даже на неделю, кои может понести завод за полчаса неработоспособности сети. Поэтому оборудование может быть гораздо проще, соответственно дешевле.

PS: Имхо: Сейчас, я бы проектируя школу, базой выбирал бы TP-Link Omada - за адекватную цену закрывает все потребности и в базовой комплектации получаем "централизованную графическую управляйку".
Ну а в реальности, что удасться просунуть в госзакупки, это уже вопрос "как там все сорганизуется и договорится с финансированием и разрешениями" - это отдельное болото.

Если нужна тупо локалка для игрушек, то поставить готовый Logmain Hamachi и не нужны никакие хостинги с Wireguard.

Как настроите так и будет работать.
ps: и далеко не факт, что несколько разных сетевых возможно объединить

А что конфиг кажет и его сброс на дефолт?
Такое чувство что SFP сконфигурированы или в стэк или в кольцо или в еще какую фигню типо агрегации которая непонимает обычного линка.

Большинство "взрослых" эмуляторов сети, типо ensp, gns3 и подобные работают поверх систем виртуализации. PacketTracer работает на своей эмуляции, поэтому немного скудноват.
Если в голом плане, то в большинстве систем виртуализации есть виртуальные коммутаторы к которым можно подключать адаптеры виртуальных и хост машин, некоторые из них умеют в назначение VLAN транков.
Имеются дистрибутивы виртуальных маршрутизаторов под x64-x86 платформы, у того же Mikrotik. Fortigate и других.
Виртуальный L2, аля 2960, можно сделать из виртуального маршрутизатора просто набросав нужное кол-во портов

0. Не только из вне, но и во вне
1. Необязательно пихать все ПК в один сегмент, особенно если юзеры занимаются очень разнообразными задачами.
2. 192.168.х.х у некоторых считаются плохим тоном из-за того, что большинство оборудования по дефолту использует эти адреса и если без подготовки втыкнуть в сеть условный туполинк, то, считается, что он наделает проблем больше чем если бы его втыкнули в 10.х.х.х, а также если придется строить VPN сети к "удаленщикам" могут возникнуть коллизии маршрутизации с их туполинками
3. Читайте теорию ip адресации - 10 можно делить на меньшие подсети, собственно как и 192.168.0.х можно делить на /25+ подсети - для чего и как описано в теории, а также плюсы/минусы данных решений.
4. Бестпрактикс - каждому пулу по влану - в реальности, обычно, так и получается. смысла пихать несколько подсетей в vlan обычно не возникает (если не ультралоупрайс оборудование)
5. В зависимости от назначения, политики иб и прочего
6. см. п. 5
7. По ситуации, если в кабинете только одна розетка или на свиче больше нету портов и никаких перспектив - комп через телефон. Если у рабочего места только 2 розетки - принтер через телефон, если и розеток и портов на свичах хватает - в идеале каждое устройство отдельно, а телефоны по poe. Иначе: у меня ничего не работает, тк забыл включить телефон в розетку.
8. Отдельными свичами и маршрутизаторами, в том числе с разбиениями по периметрам, иначе может быть плохо и сети и ИБ
9. По месту и требованиям

В сети на 2000 пользователей, 50 серверов, 3 провайдерам и 20 филиалов одного шлюза не достаточно.
Там целая серверная должна ядром сети рулить потому как такой трафик в одиночку ни одна железка не переварит, да и если таки на нее все засунуть - это будет конфиг на туеву кучу страниц

А аля чего тут С#?

Идеальный вариант - по микротику с VPN на каждую точку, которые подключаются клиентами к вашему IP - тогда никакие порты пробрасывать не надо и все настройки можно пилить удаленно или вообще через аркестр
По пингу, скорости и прочему - Zabbix стандартными проверками, если регики/камеры умеют в SMNP - туда же их
По тесту RTSP как уже выше написали bash скрипт парсинга ответа ffmpeg с выгрузкой в заббикс
Ну и на графане это все по красивее задизайнить

1. В чем больше понимаете, то и ставите MTK более понятен линусятникм/виндузятникам чем нацеленный на сетевиков CIscoLike
2. В зависимости от схемы и расположения можно и пяток CRS326-24G-2S+RM по этажам, а если все сводится в одну серверную, то лучше пара-тройка CRS354-48G-4S+2Q+RM в кольце. CCS лучше не берите, они управляются только WEB, ни CLI ни SSH/TL не имеют
3. роутеры смотрите на https://mikrotik.com/ по требуемой производительности 1100 и 4011 - по сути одно и тоже только в разных корпусах (ну 1100 мож понадежней, особенно dude). Сейчас набирает популярность 5009 вроде тоже ничего железка.

MS Excel умеет в сортировку

Ну вообще чтобы настроить "прозрачный" прокси, то его нужно изначально настраивать как "прозрачный" прокси. Но тогда очень много придется костылить с маршрутизацией.
Эникею филиала врятли такое дадут делать, тк велик шанс положить всю сеть, как минимум, филиала. Да и прокся скорее всего создавалась безопасниками для возможности следить куда народ лазит

Все зависит от конкретного провайдера, его хотелок и настроек (возможностей) оборудования на месте.
Технически: если у них не включены ни какие фильтрации на уровне доступа, то ничто не мешает на одном, не шибко тупом, роутере поднять 2 L2TP (свой и соседский) и назначить их на разные LAN порты.
Либо еще какие заморочки, смотря что там у прова наверчено.

Звонить в техподдержку провайдера. Раз небыло роутера значит была или статика и/или фильтрация по mac-адресу или еще чего. Ну или смотреть в приложениях к договору перечень настроек

D-Link DES-1008P/C1A

Потому что свободные белые V4 давно закончились, новые не выдают, то что сейчас есть на рынке - перепродажи от одного провайдера другому.
Чтобы эту покупку окупить их и перепродают желающим клиентам, остальным, для сидения в одноглазниках достаточно и NAT.
Какие-то провайдеры, в свое время успели закупиться впрок и у них еще осталось достаточно адресов на клиентов, но по мере израсходывания, также будут потиху переводить на NAT.
Ну и как выше писали в плане пограничной инфраструктуры это также различается

Спецслужбы по белому ip узнают провайдера (т.к. у отдела К есть списки подсетей) и просто отправят ему письмо с текстом "или отвечай сам или выдавай данные", ну и естественно провайдер покажет все логи, хоть до, хоть после нат, dhcp. vlan. mac и тд. чтобы в максимальной степени снять с себя ответственнось и переложить ее на клиента.
Дальнейшее разбирательство - это проблемы клиента