hi,

klar kannst Du Subnetze bilden im LAN und privaten Adressbereichen. Zur logischen Trennung bietet sich ein Switch mit VLANs (Virtuelles Lan) an.

Routen zwischen VLAN -> Router on a stick. Und schau mal nach Layer-3-Switch Hardware, die sind für sowas optimiert.

Access-Control: Mit ACLs, Access Lists, auf einem Router kannst Du kontrollieren, "wer mit wem" und auch für NAT (Internet Access).

Viele Grüße,
Hotte