nApoBo3

Если единственная задача общий диск купите NAS. Сервер на базе windows для этого не нужен, а его стоимость будет очень сильно выше.

Можно. Без должной квалификации может не быть сети у пользователей. Делается просто. Делаете два адреса на одном интерфейсе. На него же вешаете dhcp сервер. Не забыть про dns( если он на микротик ). Ну и настроить маршруты для каждой сети с правилами фаервола.

Зависит от трафика камер и от того, что вы ещё туда повесете, например qos, который вероятно потребуется в данной конфигурации.
Но учитывая разницу в стоимости вопрос не имеет смысла, берите 4011.

Вероятно вы использовали wan порты для соединения маршрутизаторов. На многих soho устройствах единственный способ общения wan с lan это проброс портов.
Используйте lan порты и отключите dhcp на нижестоящих маршрутизаторах.

Работать будет. Вопрос только с vrrp на порту провайдера.
Вообще вопрос странный, у вас с точки зрения сети практически ничего не меняется, только в каждую подсесть добавляются два реальных ip маршрутизаторов, а виртуальный они перехватывают по недоступности друг у друга.

Настройки зависят от типа тоннеля. Вполне вероятно, что у вас не корректно настроены ваши(2,3) маршрутизаторы.
NAT в данной конфигурации вам не нужен, он не является защитой и требует такой же настройки межсетевого экрана как и соединение без NAT. В первую очередь откажитесь от него, это несколько упростит настройку и понимание как у вас ходят пакеты.

Самый дешевый вариант, это поменять коммутаторы на управляемые. Хотя бы от того же mikrotik. Если все не управляемые коммутаторы стоят в одном месте возможно дешевле будет IP pdu или Ибп с управлением по сети, но вряд ли.

Из вопроса не очень понятно, что именно вам нужно. Сети, IP и ethernet? Какой уровень вас интересует? По сетям есть очень приличный цикл статей на хабре, "Сети для самых маленьких".

Ipip и ipsec

Хватит.
Наличие проблемы на 50Мбит говорит или о специфических требованиях, о которых вы умалчиваете, например файловая 1C на удаленном сервере без RDP.
Или о том, что кто-то узурпирует канал, как правило это можно сделать видео, играми, торрентами.
Данные проблемы решаются настройкой QOS.

Главный вопрос который вам следует себе задать, зачем?
Сделать можно практически все что угодно, но для этого должна быть вполне конкретная измеримая цель достижение которой можно проверить.
Использование терминалов или VDI( если мы говорим о пользовательских ОС ) имеет как ряд достоинств, так и ряд недостатков, оценивать которые можно только относительно конечной цели, а не просто как сферического коня в вакууме.
Одно можно сказать практически точно, при массовом использовании в пределах стандартного рабочего дня это не будет дешевле.

В принципе, если мы не говорим о vpn авторизации или о 802.11, никаких сложностей сделать такую врезку нет. Только зачем?
С VPN сложнее, зависит от провайдера, если он не озаботился авторизацией сервера, а вы не хранили в безопасности ваши данные для аутентификации, то тоже возможно, но опять таки зачем это нужно?
Там же по факту нужно врезаться в кабельное хозяйство, нужно свое оборудование, нужно обеспечить ему питание, всегда есть риск, что его найдут. Никакого смысла так делать нет, от слова совсем.
Проще с вами договориться и разделить интернет "полюбовно".

Ошибка в конфигурации birdge на точках доступа может приводить к такой проблеме при использовании capsman.
В логах будут ошибки вида bridge port received packet with own address as source address.

Если у каждого vlan свои параметры, вам все равно это все разбирать. ИМХО вы где-то в другом месте, с самими vlan, что-то не так делаете, если у вас возникла такая проблема, делите сеть не правильно. VLAN по одним принципам поделили, а qos по другим, на выходе получаете громоздкую матрицу настроек.

Есть несколько уровней.
1.Скорость порта.
2. Скорость передачи данных.

Для первого есть специальные механизмы, Autonegotiation, важный момент, скорость линка не всегда будет максимально возможно, а в некоторых условиях ее нужно искусственно занизит, чтобы получить стабильную связь.

Для второго. Если речь про udp, то никак скорость не регулируется, с какой один отдает, с ней же другой принимает. Если не может принять пакет теряется. В случае TCP, смотреть в сторону TCP windows size, там есть специальный механизм обеспечивающий подстройку скорости под канал.

Внутри kvm вам nat не нужен. Делайте везде внутри route, а nat только наружу.

Ставить то что знаете.
Что именно не принципиально, сеть не большая.
Из не дорогих и приличных mikrotik и ubiquiti. Первый лучше как роутеры, второй как wifi.
Еще очень интересные железки из не слишком дорогих есть у zyxel.
Лично я предпочитаю mikrotik, по нему очень много мануалов достаточно подробных и приличного качества, плюс его легко купить, много и в наличии.
Коммутаторы не принципиально, если нужно poe можно взять cisco sb( например sf300p ), вообщем любые управляемые, можно из тех же mikrotik или ubiquti.

Выбор конкретных моделей будет зависит от физической конфигурации объекта, требовании в температурным и погодным режимам, питанию.

Посмотрел предыдущие темы. Вы смешиваете трасерт, пинг, dhcp, сканирование сети все в одну кучу.

Судя по первой теме, в вашей сети есть альтернативный dhcp. Следует понимать, это не обязательно сам сервер, это может быть realy. При этом это может быть как ваш relay в следствии ошибок в настройке, так и "левый".
Но следует понимать, что если адрес dhcp находится не в вашей подсети, это может быть два разных узла. Т.е. узел в ваше подсети или relay получил широковещательный запрос dhcp от вас, ответил вам и представился определенным ip. Но поскольку этот ip не в вашей подстеи, то трафик на него пойдет через шлюз, таким образом о можете перейти на совсем другой узел.
Пример:
Я поднимаю в вашей сети dhcp и руками прописываю ему ip yandex. Вы получили адрес и пытаете мой ip пинговать, но трафик пойдет на шлюз и шлюз его отправит на yandex и узел yandex'а вам ответит.

Вам нужно найти dhcp в сети который вам "делает пакости". Для начала посмотрите wireshark mak адрес который вам отвечает. Попробуйте его найти на коммутаторах. В худущем случае сужайте домен, можно даже физически отключая свичи или вставляя в разрез грамотно настроенный микротик.