Ну, я бы начал с vlan-ов. По вилану: бухгалтерам, программерам, манагерам, оборудованию. Отдельно гостевой вилан для wifi. Все виланы сволятся в центральный коммутатор, там же и маршрутизуются. На коммутаторах настраивается gvrp и dhcp-snooping, политиками доступа на центральном - какой вилан куда ходит.
На вайфай точках поднимаются по две сети, гостевая и рабочая (можно еще и для программеров с бухгалтерами до кучи).
На роутере настраивается какому вилан какая полоса доступна, дополнительно можно выделить зону DMZ для доступаиз интернет.
Виланы - хорошо! Особенно, если программеры любят гадить мультикастом (тогда поднять igmp-snooping).
Ну и совсем для параноиков - радиус-сервер с авторизацией по 802.1x и гостевым виланом на свичах. Будет очень энтерпрайзненько :-)
