A maneira como o @minarnhere descreve é absolutamente o caminho a percorrer, mas não se divida apenas pela funcionalidade, adicione fatores de segurança, localização física e número de hosts, divida sua rede em quantas VLANs forem necessárias, com base em todos esses fatores.
Assumindo que os switches e roteadores apropriados estejam em vigor, não há custo para ter muitas VLANs e os benefícios são enormes, se for planejado corretamente, a sobrecarga administrativa também será mínima. Não se limite a restrições artificiais sobre colocar todos os alunos ou tutores ou qualquer grupo de usuários ou hosts em uma única VLAN, por que você faria isso de qualquer maneira? Lembre-se de que o tráfego só pode ser controlado na camada 3; portanto, divida sua rede para limitar e controlar o tráfego entre VLANs, sem chance de tráfego dentro de uma VLAN.
A maneira clássica de projetar uma LAN do campus é dividir a rede em Acesso, Distribuição e Núcleo. Muitos switches da camada 2 do Access, cada um transportando tráfego de uma ou mais VLANs, se conectam a alguns switches de distribuição da camada 3 que direcionam o tráfego para um pequeno número de switches principais da camada 3.
Todos os seus hosts devem estar conectados à camada de acesso que é dividida em VLANs com base nos fatores descritos acima. Cada VLAN da camada de acesso deve, sempre que possível, limitar-se a um comutador físico (essa regra só precisa ser violada se você tiver servidores com hospedagem dupla que talvez precisem de failover para outro comutador na mesma VLAN). Lembre-se de que cada VLAN é um domínio de broadcast e você deseja limitar o tráfego de broadcast em cada um deles o máximo possível. Considere usar apenas / 24 sub-redes para sua camada de acesso, por que você deseja> 250 hosts em um único domínio de broadcast?
Haverá algumas, muito, muito poucas circunstâncias em que uma VLAN precisará se espalhar por vários comutadores, mas elas serão muito especializadas, talvez o gerenciamento de comutadores (mas isso é discutível), existem muito poucas outras.
Um bom ponto de partida seria seus servidores. Se eles estiverem no mesmo local físico (sala, não prédio), convém dividi-los em VLANs com base na funcionalidade, mas, caso contrário, uma única VLAN por ~ 200 hosts será adequada. Obviamente (?) Os servidores voltados para a Internet devem estar por conta própria, de preferência fisicamente separados, em rede, protegidos por firewall no campus (o design da DMZ é outra especialidade em si, por isso não vou falar disso aqui). Seus servidores internos também devem ser divididos em servidores para uso dos alunos e somente para administradores internos, dividindo-os em VLANs adequadamente. Se alguns servidores pertencem a departamentos específicos (por exemplo, RH), se você precisar controlar o tráfego para esses servidores, considere ter uma VLAN apenas para eles.
Se os servidores estiverem espalhados, coloque-os em VLANs separadas, com base no local e na funcionalidade, não é necessário que eles estejam na mesma VLAN apenas 'porque são servidores' ou 'porque são todos servidores da Web'.
Passando para os alunos e funcionários. Para começar, cada porta ou ponto de acesso que é, ou pode ser, acessado por pessoas que não são de TI deve ser considerado um risco de segurança e todo o tráfego originado por ela deve ser tratado como não confiável. Coloque suas salas de aula em VLANs com base no número possível de hosts e, dependendo das circunstâncias, grupos de usuários, mas não cometa o erro de 'confiar' em determinadas portas, se os tutores precisarem acessar sua rede de administração de uma sala de aula, eles deverão receber o mesmo método de acesso (VPN?) como se estivessem em casa ou em uma cafeteria pública.
A rede sem fio deve estar em VLANs separadas da com fio, mas com as mesmas restrições, se for possível evitar (mas às vezes não) não colocar todos os pontos de acesso em uma VLAN em todo o campus, dividi-los usando a mesma metodologia e pelo mesmo motivo que o com fio.
Os telefones IP devem, surpresa, surpresa, estar em VLANs separadas de tudo o mais, isso é facilitado em algumas marcas (Cisco na minha experiência) pelo telefone negociando com o switch de acesso para colocar o tráfego na VLAN apropriada, mas isso obviamente exige que o switch seja esteja configurado corretamente.
Há muito mais sobre o design da LAN, mas o acima é um começo. Como observação final, no que diz respeito ao DHCP, use-o para todos os hosts, incluindo servidores e impressoras, ambos devem ter endereços IP atribuídos estaticamente com base em seus endereços MAC. O escopo (ou escopos) do primeiro não deve ter endereços sobressalentes, isso ajuda a impedir a conexão casual de dispositivos às VLANs do servidor, mas, e isso também se aplica às impressoras, o ponto é que você tem controle central dos dispositivos e quaisquer alterações são tratadas centralmente, em vez de depender de engenheiros que vagam pelo campus, acertando os endereços.
Ok, por enquanto, espero que ajude um pouco.