Em primeiro lugar, essa pergunta teria uma resposta melhor no Serverfault.com, pois é voltada para os ambientes de negócios e não para questões do tipo service-desk de usuário único. Embora isso deva ser debatido por alguns. Alternativamente, você precisará encontrar um consultor de Engenheiro de Rede para projetar isso para você ou fazer um monte de leitura sobre roteamento IP natting e vlan.
Você pode fazer isso de várias maneiras, dependendo do seu orçamento, mas eu procuraria uma solução cisco, por ter vlans roteáveis e IP NAT (Network Address Translation). Neste cenário, você teria várias Vlans em execução em um switch Cisco (pode usar um switch de camada 2 e fazer o seu roteador rotear as vlans ou uma camada 3 para você) e um roteador Cisco cuidando do NAT para todos os seus IPs externos para seus endereços internos e Vlans. Ao configurar o IP natting em um roteador CIsco, você restringe o acesso configurando acls e roteará para vlan usando tagging dot1q.
Aqui está o design da amostra:
1-2 Endereço IP público determinado para Vlan 2 IPs privados (laptops, tablets, etc) 1-2 Endereço IP público nated ao estágio vlan 3 (ambiente de teste de estágio) 2-6 Endereços IP públicos nated para vlan 4 servidores da Web
Boa sorte ..