1. Лучше всего выставить DHCP-сервер в подсеть к пользователям, вместо использования ip address-helper. Уже потом пользователи (если ПК с виндами, или если настроена DNS-регистрация) пойдут на DC за регистрацией своего IP-адреса и всем остальным от домена. Если у вас DHCP на роутере, то да, в каждый vlan нужно назначить один пул адресов вместе с остальными конфигами (gateway, DNS, что ещё требуется в сети). Хотя в серверной подсети держать DHCP малость некорректно в самом деле, но можно его там иметь на случай если кто-то левый подключится по DHCP, а сервер хоп и алерт пошлет, вида "у вас завелся враг!!11!". Ну или если конфиг на адаптере слетит, можно будет добраться до сервера и починить.
2. Нет, если vlan10 там ни одному устройству не требуется на уровне L2, а по схеме там ни одного устройства с vlan10 нет. Но добавить в транк - можно, "хуже не будет", свитчи знают, на каком порту у них какие устройства, и трафик по vlan10 в сторону свитча полетит только тогда, когда будет куда его отправлять.
3. То же самое
4. Работать будет, а понятие "правильно" тут не особо применимо. Вам понадобится разрешить на роутере доступ к принт-серверу из vlan пользователей и серверов (если в серверах есть RDP, с которых нужна печать), плюс со станции управления.
5. А так и пишете, iptables -A FORWARD -s 172.16.16.0/23 -d 172.16.30.1 -j ACCEPT (опционально фильтровать дополнительно порты, нужен 445 для SMB и могут понадобиться динамические порты, давно уже нет у меня принт-сервера). Все равно меж-влановым доступом управляет роутер на уровне L3/L4.
