AntHTML

Схема абсолютно верная и рабочая.
в небольшой сети пропускной способности гигабита для нее хватит с запасом.
Основной загрузчик - как всегда - сервер бэкапов, соответственно нужно создать расписание бэкапов под моменты минимальной нагрузки сети.
Микрот с таким перевариванием вполне справится, т.к. через него будет бежать только межвланный траффик.
VLAN 17 лучше подключить напрямую к микротику иначе у вас Астериск бэкапится по пути L2.2-L2.1-RB-L2.1-L2.2.
Либо в идеале между L2.2 и VLAN17 поставить еще микрот и настроить его как резервный маршрутизатор, все что не имеет выхода в интернет гнать через него, в таком случае даже при обрыве оптики сетка не развалится, а первый микрот будет варить практически только WAN-траффик.
Ну или на WAN поставить керио, а на сервер бэкапа микрот.

Чем не устраивает Start на входе?
Поставить Giga III в щиток ведущим, от него кабелем в первую комнату Start (в режиме моста), во вторую комнату цепляйте свою Xiaomi также мостом по проводу от гиги, все стационарное желательно по проводу или от гиги или на худой конец от старта.
Да и зачем вам по маршрутизатору в каждой комнате?
По опыту даже самые сложные планировки среднестатистических квартир прекрасно покрываются одной - двумя точками доступа, 3 это уже на хороший котедж.

- 130 хостов в одноранговой сети - ну Вы даете, при 50ти уже целесообразно вланить, иначе хорошо если 70% вашего гигабита это udp-штормы.
- Сеть обязательно резать как минимум на: административную, производственную, серверную. Можно имеющимся микротом если встянет по производительности, если нет - докупить еще пару.
- Шары на >20 клиентов только парольные иначе задолбетесь искать кто где нагадил.
- IP в DHCP, DHCP в MAC и на тех же микротах в iptables, там это одна из стандартных функций.
- В производственной сети зарезать все кроме нужных ресурсов, все шары только на серверах.

А не лучше ли было бы перейти на Гугл Таблицы, у них групповая работа поприличней организована чем у файлового варианта экселя, и не придется никакие VPNы строить?
Ну а так самое простое это Hamachi, либо VPN на шлюзах филиалов.

400-450 компов + 2 серверных.
Такая сеть априори не способна работать на неуправляемых 5-16 портовых дглюках и хр, как у вас там по ней маршрутизация справляется?
Здесь только переустройство сети или хотя бы ядра на L2-L3.
А лучше и укрупнение узлов до 24-48 портов обязательно с гигабитными аплинками