cssman

Филировать, как много в этом слове?
Если просто анализировать - хоть tcpdump включи и смотри трафик глазами (wireshark конечно поудобнее будет с фильтрами и gui). Если нужны какие то срабатывания - то писать скрипты, либо использовать готовый siem и ids/ips. Не обязательно за денежку, вот посоветовали бесплатную сурикату и условно бесплатный снорт, как сием можно накрутить splunk.

Чтобы генерировать вредоносный трафик - сканировать порты мало, используйте metasploit, kali. В интернет совсем такое себе решение выставлять машину на растерзание. Будет очень не репрезентативно.

если это не какая то зависшая сессия со старым маршрутом, то больше похоже на багу конкретного дистрибутива сервера

nmap

Если вы идёте в сети, то учите английский. все маны, все консоли управления (даже на веб морде) всё на английском у любой энтерпрайз железки.

Видимо плохо искал :)

В двух словах: нетегированный трафик = native vlan. Тот случай, когда порт транковый и разделение по l2 не требуется.

Вы сами ответили на вопрос:

создать vlan и положить в него компьютер

либо дать ему выход через другое оборудование, либо изолировать vlan'ом. Можете использовать acl, но зачем?

посмотрите в сторону cisco LMS, либо дешёво и сердито скриптами

Вы про snmp?
любой zabbix, prtg и т.п.

как вариант можно пустить snmp over mpls.
ещё в интернете есть такой костыль как snmp over ssh

Как Вам уже верно сказали выше, VLAN - L2
Для того, чтобы сделать связные разные L3 подсети без (почти без) маршрутизации - пользуются NAT

- интернет канал 1 Gigabit
- в среднем 300, редко может доходить до 1000 пользователей WiFi, ограничение по 5 мегабит на пользователя

у Вас тут уже проблемы. 300*5mbit=1,5 Gbit
Вам нужно либо канал пошире, либо ограничивать сильнее, либо QoS настраивать, а это ещё доп. нагрузка на процессор (помимо NAT).

У вендора (у циски точно) есть, как правило, данные по пропускной способности ( UDP, MiX, 64b packet, etc) в зависимости от включённого функционала (Filter, NAT, QoS, IPsec, etc).
Ещё будет зависеть от настроенных Вами правил, но если только NAT - думаю вряд ли у Вас там будет их большой список, который ещё подгрузит железо.

Резюмируя: смотрите на канал, он маленький. Либо канал шире, либо пользователей резать (QoS или меньше 5мбит). Найдите, запросите у вендора таблицу производительности для выбранных моделей.

тут много от чего зависит выбор.
работать удобно и с тем, и с другим?
Трафика много будет обрабатывать?
ASA какой версии? Какие мощности будут у выделенного сервера?

Если АСА всё равно стоит воздух греет и моделька с версией не старая (в старых есть критикалы) - ставьте её.
Если хотите сэкономить - ставьте шлюз на фряхе, но там программно производительность пониже будет

на in любые входящие соединения (что пришло к Вам в сеть), на out - исходящие (что выйдет из Вашей сети).

Снаружи у вас trunk, а внутри access вероятно.

А Вы vlan'ы создали и назначили их на интерфейсы?

Если внутри access:
sw1(config-if)# switchport mode access
sw1(config-if)# switchport access vlan 2

cisco: packet tracer -> GNS -> .... -> profit
unix: vmware/virtualbox и гоняй там стенды

но на всё это нужны ресурсы компьютера

1) доступные vlan
2) доступные и up на данный момент.