AntHTML

0. Открывайте - никто не мешает.
1. Нужно тестировать, есть "профессиональное" оборудование приема 3/4g которое стабилизирует соединение
2. Тоже самое что и п.1
3. 1 точки достаточно, в клубах основная игра идет по локалке

1. Для такой маленькой сети не обязательно брать смарт-коммутаор, достаточно и обычного неуправляемого.
Про падения скорости - проверять, менять провода - они не качественные.
2. DHCP так и остается на маршрутизаторе, он незаметно для всей сети тянет хоть 250 устройств.
3. Да - между проводными устройствами весь трафик будет гулять внутри коммутатора, на wi-fi и интернет уходить через маршрутизатор
4. Вроде по количеству точек хватает и вашего 5 портовика, или планируется рост? Если замена только из-за "постоянно скорость портов падает с 1GB до 100MB" то это не в коммутаторе проблема

Сеть, в принципе, работоспособна.
Правда не зная истинных масштабов и нагрузок сети возникает вопрос "зачем столько L3"
Конечно принтер воткнутый напрямую в L3 как-то не смотрится.
На место центрального L3 просится скоростной L2, а L3 передвинуть к сервакам.

Вполне возможно что решит, я бы поменял.
Простая арифметика
У Вас 10 камер с битрейтом 2-10мб. Считаем трафик: P1-S2 = 10-50мбит, P2-S2 = 10-50мбит, S2-NVR = 20-100мбит. Т.е. на линии к NVR в пиковых нагрузках имеем приближение к пределу.
При смене коммутатора мы получаем гигабитные линки на NVR, RDP. PC5 и 100мбит линки на свичи, т.е. поднимаем скорость самых загруженных каналов

Перепутаны цвета пар на коннекторе (обжато не по стандарту но в рабочем виде)
по виду обжато на коннекторе
1 - БК, 2 - К, 3 - БС, 6 - С вместо 1 - БО, 2 - О, 3 - БЗ, 6 - З
Если нужно подсоединить этот кабель к розетке то подключать по картинке 568В но на место
БО подключать БК, на место О подключать К, на место БЗ подключать БС, на место З подключать С
И будет все работать, просто провайдер решил "сэкономить" и кинул "телефонную" витуху, часто встречал такую цветогамму именно в дешевых двухпарках

DNSы на пинг локальных IP не влияют, особенно ближайших.

менял компьютер, копировал профиль пользователя, неделю проработал без перебоев и позже стал снова пропадать

Патчкорд/кабель/порт на свиче не меняли?
Очень похоже на: 1) нестабильный коннект с сетью 2) кривые драйвера сетевой карты 3) последние обновы Win, которые ломают все что можно (сталкивался с неподнятием сети с первого запуска)

По USB 2.0 он подключает Bluetooch модуль. Если нужен только Wi-Fi, то по идее можно никуда не подключать.

А на чем диоды мигают в хаотическом порядке? Если сетевая карта/неуправляемый свич, то это не "тестер кабелей", нужна либо прозвонка хотябы обычным тестером, либо специальными.
И как все оконцовано? Если на другом оборудовании все тоже самое, то попробывать переобжать, переоконцевать.
За год в бетоне могло много чего произойти, от банального окисления жилы, перегорания проводника на изломе, до глубокого проникновения перфоратора соседа.

167 - "замыкание на себя" = не удалось получить IP.
Очень похоже на то что у вас не подружился VLAN микрота и дглюка, либо же на d-link-е на физпорт прописали транком вместо аксеса.
В общем, если на микроте есть свободный порт, то вбросить его в тот же бридж 1005, посмотреть как работает локально, а потом уже протягивать порт через свитч.
Да и никаких forward-ов арендатору не надо. Обычный гостевой NAT делать

Скорее нужно просто поглубже настроить исключения в Reboot Restore Rx, чтобы они не затрагивали части отвечающие за обновления

Я бы поднимал VPN межу моновендорными железками, особенно раз есть вторая кошка 5520.
Вот между ними (5520 - 5520) тоннель, микрот отставить на 1м офисе как nat фаервол и default_gateway с пробросом портов на асу, во втором nat-ом поставить 2911. Ну и аса 2 коннектится на белый ip откуда пробрасывается на асу 1, внешние юзеры также через anyconnect в асу1

Если подключиться в один коммутатор, то DHCP-сервер выдаст IP адрес из одного диапазона. А если подключиться в другой коммутатор, то то DHCP-сервер выдаст IP адрес из другого диапазона.

Самое простое, что реально делали, в одноранговой сети для резервирования DHCP - это 2 DHCP сервера с разными диапазонами: условно 1й - 192.168.0.1-192.168.0.100, 2й - 192.168.0.101-192.168.0.200. В принципе это отвечает на утверждение: ответит ближайший к свичу. Но если свичи умные, и админы заморочились, то возможен и варианты предложенные Rsa97

Раз новое здание, то:
1. СКС строить только по правилам:
- единое помещение серверной / коммутационной со стойкой / шкафом
- в административной / кабинетной части - 1 двойная RJ45 розетка на 3 м2 помещения, не менее 3х розеток на кабинет - естественно все на патчпанень в серверной стойке
2. По вайфаю - добавляем на план расположение стелажей, грузим его в вендорские калькуляторы, перересовываем там по типу перегородок и пытаемся подобрать оборудование, расположение, мощность точек
3. По видеонаблюдению - также как и с вайфаем - по калькуляторам подбираем расположение камер и показатели объективов - все сводим на патчпанель в серверной.
4. По активной части сети:
- свитчи - минимум 2 48 гигабитных + 2-4 SFP+ L2/2+ стекируемых коммутатора
- если включать SIP телефоны в разрыв линии компов - то эти свичи POE и телефоны с гигабитными портами. PS: но я так не люблю и при наличии розеток крайне стараюсь подключать телефоны отдельно, чтобы не мешать компам. Соответственно + 2 48 POE- свича такой же модели (чтобы можно было до кучи в общий стэк вкинуть)
- отдельный POE свитч на WI-FI, отдельный POE свитч на Камеры
5. По маршрутизации:
- со старого офиса забираем MIKROTIK RB2011UIAS-2HND-IN - ставим горячим резервом
- к нему в компанию покупаем более старшую модель 4011, 5009 или или те же 1116

Если просто "здесь и сейчас раздать всем интернет" то
1. Роутер (желательно лучший из всех) WAN-портом в провайдера, на WAN настраиваем подключение по настройкам провайдера, на LAN подсеть пускай 192.168.0.0/24 и IP 192.168.0.1
2. Роутер бухгалтерии WAN портом в LAN1 роутера 1 - LAN портами в свичи/компы бухов - на WAN настраиваем IP 192.168.0.2, получение интернета по статическому IP с основного шлюза 192.168.2.1, на LAN подсеть 192.168.2.0/24 IP 192.168.2.1 и DHCP пускай 192.168.2.10-250
3. Роутер сотрудников WAN портом в LAN2 роутера 1, дальше аналогично на WAN 192.168.0.3 на LAN 192.168.3.0/24
4. Роутер гостей WAN портом в LAN3 роутера 1, дальше аналогично на WAN 192.168.0.4 на LAN 192.168.4.0/24
Получится двойной NAT, работать будет, но коммуникации между сетями никакой. Гораздо проще и надежней взять самую дешевую коробку от вышеназванного микротика, умного D/TP-Linka и подобного, для организации в 50+ машин - это копейки по деньгам