トラフィックのためにネットワークを分離する方法

私はオーストラリアの多くの私立学校に相談していますが、彼らの最善の方法はVLANを使用することです。 1つはスタッフ用、もう1つは管理者用、もう1つは学生用です。

これにより、学校のセキュリティデバイスは、制限のあるスタッフや管理者がいなくても、生徒向けに簡単にセットアップおよび保守できます。

学校では4種類の交通が見られます。管理者、スタッフ（非教育）、教師および学生。現在、ほとんどの私立学校は、保護者と卒業生の2つの新しいグループを追加しています。状況は非常に複雑になり始めています。

DHCPの2つのスコープで問題ありませんが、スイッチポートの構成を使用すると、セットアップがさらに多くなります。 @ voretaq7に同意する2つのDHCPインスタンスを持つことは、別々のサブネットを実行している1台のマシンで2つのNICよりもはるかに効果的です。

最初のリンクでは、分割を実行するいくつかの異なる方法について説明しています http://social.technet.Microsoft.com/Forums/en-US/winserverNIS/thread/9ae4e7dd-f73e-4cce-bdff-5913d5961c09

2番目のリンクは、複数のサブネットに関するMicrosoftの実際の展開ガイドです http://technet.Microsoft.com/en-us/library/cc758865（WS.10）.aspx

もう1つの興味深い注意点として、ほとんどの大規模な私立学校では、ハードウェアファイアウォールの前に、フィルタリング/ファイアウォールデバイスとして「ネットボックスブルー」を使用しているようです。 http://netboxblue.com/ 嫌いですが、小規模なITチームの場合はうまく機能します。

それは学校のプロジェクトなので、私はあなたのためにあなたの質問に本当に答えるべきではありません。笑

これは、ネットワーク設計のケーススタディとして取り組むのに最適なプロジェクトです。

ここにいる誰もがあなたに完全な答えを与えるつもりはないと思います（学習演習としての目的を打ち負かします）が、ここにいくつかの実用的な指針があります：
ネットワークを可能な限り分離したい学校の場合-「物理的」分離（異なるスイッチングインフラストラクチャ、または少なくとも異なるVLAN）とネットワーク/論理的分離（異なるサブネット）が必要です。

上記の疑問符の付いた項目を確認します。

ファイアウォール？
はい。間違いなく。適切なルールセットを使用します。
ブランドはあなた次第ですが、あなたが言及したものは両方とも私見の良い選択です。

VLAN？
個別のスイッチングインフラストラクチャよりも安価です:-)

DHCPサーバーに2つのスコープがあるべきですか？
2つのDHCPサーバーが必要です（ネットワークが2つの異なるブロードキャストドメインに分割されるため）。おそらく、各ネットワークにDCも必要です。
技術を習得したい場合は、ADにサブツリーを作成して、「edu」のもの（ユーザー/パスワードなど）を保持し、管理用のものとは別にする必要があります。