Валентин

Например, серия ME-серии (цен не скажу - GPL нет под рукой).

Для Вашего задания можно придумать очень много вариантов) Например, роутер можно убрать и использовать L3-свич. Или может быть вообще маршрутизация не нужна (связь между отделами должна осуществляться с помощью мостов)
Возможно Вам нужно посмотреть уже существующие проекты сетей, чтобы понимать, какая информация нужна. Ну и да, сколько денег есть на модернизацию.

Вот тут написано, что в вашей модели 1-й и 2-й слоты под супервайзеры.

Нет. Коммутатор будет передавать на скорости порта (-5-7%) трафик от обоих клиентов. При достижении полки в 100Mb лишнее отбросится. Вы увидите в счетчиках коммутаторов (если они управляемые) скорее всего дропы. По какому принципу будут отбрасываться? В случае обычного неуправляемого коммутатора фрейм, прилетевший раньше, и уйдет раньше. Пришедший позже отбросится. Это действует как на передающий порт, так и на принимающий

Вариантов масса.
Проще сеть логичнее посегментировать) Тех, которым нужен доступ куда-то, выкинуть в отдельный VLAN. Наводящие подсказки: один пул может быть на несколько VLAN-ов, а на VLAN-интерфейсах можно проключать ip unnumbered.
Как вариант, тем компьютерам, которым нужен доступ (если их меньше) поставить IP-шник руками (ну или уж если совсем хочется сделать статические привязки IP-MAC)
Еще вариант, правда сложный, заиспользовать опцию 82 DHCP и dhcp-snooping на коммутаторах.
Еще - промаркировать трафик на абонентских портах каким-нибудь QoS (DSCP например) и сделать эту маркировку критерием DSCP. Это не очень правильный путь, но можно)

Вот я открываю страницу с описанием 2960 серии и вижу, что нет.
От себя добавлю, что для соединения именно серверов на будущее лучше пред усмотреть большее количество 10GE портов. Как правило они расходятся как пирожки.
Нет, ну конечно смотря что за серверы... Из цисок я бы порекомендовал 4900M серию - неплохая плотность 10GE портов+плата на 1ge)

Смотря, как надо фильтровать. Если пользователям нужен только HTTP, тогда конечно логичнее сделать проксей, а на циске запретить все обращения, кроме с прокси. Если же нужен не только WEB, то логичнее вбить в циску какие-нибудь ACL/PBR. Никто же не запрещает сделать просто скрипт, который делает выгрузку из БД и выдает команды для copy-paste)

Вы уже замучали свою бедную Ciscy и ADSL-модем)
Естественно, просто так маршруты на модеме не появятся) Не знаю конкретные возможности вашего Zyxel, но логика действий с железками типа ваших должна быть такой:
1)Делаем /30 сеть между модемом и циской, айпишники назначаем статические
2)Задаем на Zyxel статический маршруты до ваших сетей в других вланах
3)Задаем на Cisco статический маршрут 0.0.0.0/0 через модем
4)Проверяем на компах интернет (возможно, нужно будет подкрутить настройки NAT на модеме)

Ну наверно как минимум надо на модеме указать маршруты к сеткам в других VLANах?