AntHTML

А с какого, простите, лешего Mikrotik-овский контроллер будет понимать логику и управление Cisco-точками и наоборот.
Система всегда строится на моновендоре (и то совместимых устройствах), ну или в спецификациях указываются поддерживаемые железки дружественного производителя.

Поднять с ISP2_GW01 встречный L2TP до ISP1_GW02 и метриками разбросать приоритеты

В принципе можно двумя подсетями разрулить
Пустить допустим 192.168.0.0/24 на локалку и 192.168.100.0/24 на только интернет
Но вторые компы в таком случае смотут видеть другдруга и если юзер поменяем ip-шник то сможет увидеть всех

Смотря что и как у вас сейчас настроено на микротике и точках
Предложение провайдера заключается в следующем
Создаем VLAN 654 интерфейсы и привязываем их к физическим WAN и LAN0-7
Объединяем созданные VLAN в Bridge
На точках доступа создаем гостевую сеть (2й SSID) и указываем что траффик с него будет уходить в тэг 654

IPTV, телефонию, охрану провайдеры обычно гоняют по отдельным VLANам с разводкой на access порты роутера, так что обычно ничего не мешает перевести только подключение интернета в бридж и поднимать его на своем

Да, по схеме 2 всегда и делаем, если нет отдельного требования ИБшников что WAN сегмент шифратора нигде физически не может пересекаться с LAN.
Еще схема 2 при использовании динамической маршрутизации дает + что можно только часть трафика отправлять на шифрование, либо при падении/повисании шифратора - перенаправлять сразу на WAN

Если в инфраструктуре есть место куда ставить отдельную железку, то надо ставить отдельную железку.
Тут такая же аналогика как Игровой PC & Playstation - да игры идут и там и там, но во втором случае они уже оптимизированы и заточены под конкретное железо. И не дужно плясать с тем чтобы правильно поднять и удержать окружения - сразу настраиваешь конфиг и пошел работать, если упало - открываешь кучу стандартных логеров и смотришь что там или тупо достаточно взлянуть на состояние светодиодов, чтоб понять как работает железка.
Про потерю управления на VM тоже не обна тысяча диферамбов сложена и про софт-роутер и про гипервизор введенный в домен контроллер которого на нем же и расположен и про обновление ESXi когда сервак со сферой на нем
А с железякой на филиале: - "Алло, username. вторкни ноутбук с триджиком в ETH1 и скажи пасс от Teamwiver-a"

Тут как выше уже было сказано надо конкретно смотреть на месте по организации, имеющемуся оборудованию, потокам информации, возможностям, требуемой схеме и преследуемым целям: только расширение адресного пространства или всетаки разграничение доступов, обеспечение отказоустойчивости, централизации и тп
а также какое оборудование сейчас есть на местах и как включено

по SMNP можете пощупать, есть реализации плагинов под PHP

Ну попробуйте раскрутите, если SMA действительно распяны, то переходник + любые палки типо https://mikrotik.com/product/ACOMNIRPSMA просверлите дырки в ящике и прикрутите снаружи

1. Берем кол-во койкомест = х
2. Берем среднюю максимальную продолжительность путевки = у = (пускай 21 день + 2 дня заезд/отезд)
3. Берем в среднем 1,5 девайса (ну это если кто-то приехал с телефоном и планшетом/ноутом)
1,5*х = средее необходимое кол-во адресов на заезд, y - срок аренды адреса (чтоб на каждом девайсе была статика)
4. Смотрим в какую маску укладывается полученное число - ее и забиваем в роутер во все места где встречается маска

Из ноута 55.3 пингануть 55.2
если ответит, то написать в ноуте
route add 192.168.1.0 mask 255.255.255.0 192.168.55.2
У вас шлюзом из подсети 55.0 в подсеть 1.0 является 55.2, а не 55.1
ну и на 55.2 обратный маскарад не забыть

Winbox или встроенный web в микротах - это все стандартные gui
Остальное по средством cli или snmp со сторонних следилок управлялок

1. Подойдет и КАП и ХАП. Нормальные полноценные маршрутизаторы. Соедините по Капсману.
2. Зачем Вам режим моста, если у Вас проводная шина? Мост это когда нет кабеля между точками, у вас же все получается давольно красиво.
3. Не создавайте сильно длинную цепочку. 5-6 точек на ветку, не больше иначе будете грести затупы. Постарайтесь расположить ядро сети в центре

Зухели кенетики такое умели, почти любой микротик умеет, да много еще кто.
Главно чтоб был multi-ssid и желательно поддержка WAN по WIFI

Ответ один: если требуется скорость более 25 мб/с и стабильность более 50% то только оптика.
В WIFI стабильность не предусмотрена по определению, т.к. эфир для всех один, да есть технологии позволяющие увеличить стабильность/производительность, но 100% гарантию дает только закрытая среда передачи.
Стабильное и мощное оборудование для уличного направленного WIFI относится к операторскому классу, а там бюрократии с радионадзором будет гораздо больше чем с собственником территории по вопросу прокладки кабеля.

1. Для чего вам шифрование в таком офисе?
2. Если в качестве чисто точек доступа то лучше не ас2 а cAP ac
3. Думаю в вашем случае хватило бы в голову RB3011UiAS-RM, а остальное на L2 свичах
4. Нужно четко определиться с тем что хочется видеть в сети и исходя из этого уже делать выбор с оборудованием и по.

Если рассматривать роутеры "корпоративного" сегмента, то там у всех примерно все нормально, даже д-линки корпоротивные вполне норм работают.
А вот "домашний", "бюджетный" сегмент у всех примерно также, домашнюю нагрузку в 5 клиентов держит, а на большее он и не разработывался.
Да имеются интузиасты, "гентушники" которые утверждают что бюджетный туполинк с правильно настроенной WRT уделает микру, и в этом есть доля правды. Но тут получается что то время которое инженеры тика потратили на допиливание роутерос ты тратишь на впаривание и допиливание WRT под туполинк и по сумарной стоимости выходит тоже самое.

По мне раз приходит ВОЛС и в ней не PON то лучше брать RB2011iLS-IN и выбросить, дешевый, частоподтупливающий медиаконвертер, а 10портового шлюза с таким функционалом с лихвой хватит нарулить маршрутизацию внутри школы, чтоб ученические компы не имели доступа к VK, а учительские свободно ходили на Tube и тд.