Múltiplo roteamento de rede

Estou seguindo alguns conselhos sobre como alcançar várias LANs independentes, que podem se comunicar de maneira restrita (com custo mínimo).

Eu tenho 3 LANS

LAN A - Admin Lan - Vários servidores e estações de trabalho, conectados à Internet pela WAN A. LAN B - Lan de produção - servidor único, várias máquinas de produção LAN C - "Special Lan" - basicamente uma duplicata do Admin Lan, mas especializada para um cliente em particular (Connected to WAN B).

Em essência, os idiomas Lan A e C precisam falar com a LAN B, mas não podem falar com a LAN B.

LAN A e C têm várias conexões WAN.

EDITAR Fiz mais algumas pesquisas e parece que posso conseguir isso de forma relativamente barata usando alguns roteadores draytek. Eles suportam tratar cada porta LAN como uma VLAN e uma sub-rede diferente, e podem colocar regras de firewall entre VLANs

Alguém pode comentar sobre o design abaixo?

link

1. No 2830, podemos restringir o tráfego usando regras de firewall, para que apenas o tráfego RDP possa ir do thin client para o servidor do cliente especial?
2. No 2830, podemos restringir o tráfego para que o servidor cliente especial possa enviar dados para o 2920 (via serviços da Web), mas todos os outros pacotes do 2920 serão descartados?
3. No primeiro 2830, podemos forçar qualquer tráfego do segundo 2830 para ir somente através da interface WAN? (isto é, sem acesso às outras VLANS)
4. O segundo 2830 pode usar o primeiro 2830 como uma conexão de internet de backup? A camada NAT adicional quebrará alguma coisa?