Multi réseau DHCP + VLAN WINDOWS

Bonjour,

Je suis actuellement en projet de construction d'un nouveau réseau pour mon entreprise et je dois sécuriser des accès locaux par des vlans. J'ai des contraintes aux niveaux des accès internet à mettre en place.

Cela fait un mois que j'effectue des testes sur un serveur sous Windows 2008 R2 avec pas mal de recherche sur le net sur la façon dont je pourrais m'y prendre.

Voici un lien du schéma réseau que je dois mettre en place :
http://www.step-post.fr/schema_reseau.jpg

Le routeur Débian est bien configuré pour router les paquets au bon réseau.
Il y a donc 3 réseaux IP. STAFF 1, STAFF 2, et le réseau invité.

Le souhait est que :
Les utilisateurs appartenant au groupe STAFF 2 ont accès au réseau STAFF 1 (serveur) et à internet en passant par le routeur WAN 2.
Les utilisateurs appartenant au groupe STAFF 1 ont accès au réseau STAFF 2 et à internet en passant par le routeur WAN 1.
Les utilisateurs qui n'appartient à aucun groupe, ni au domaine (les guest par exemple) ont accès qu'à internet en passant par le routeur WAN 1.

J'ai essayé de mettre en place un serveur DHCP avec plusieurs étendues avec un serveur NPS et un switch "DELL Power Connect 5548" qui fait du VLAN dynamique avec relay DHCP, mais sans succès, je peine sur la configuration des vlans avec le DHCP.

Pensez-vous le fait de mettre en place la solution DHCP + NPS + VLAN correspondrait à cette construction de réseau ?

Sur le point aussi que je bloque c'est que je n'arrive pas à voir comment affecter les étendues DHCP sur les bon vlan.
J'ai essayé le scénario du 802.1x cablé (Ethernet) pour affecter les bons groupes utilisateurs.
En client Radius j'ai mi l'IP du switch (se trouvant dans le réseau STAFF 1) avec le mot de passe partagé des 2 cotés. J'ai configuré les Vlans en dynamique. Dans la configuration des stratégies NPS j'ai bien affecté les ID vlans.

Vous n'auriez pas une piste ou une petite démarche à suivre ?

J'essaie de comprendre cette technologie "dites" assez complexe, et biensur si je viens poser la question ici c'est que j'ai fait pas mal de recherche sur les scénarios possibles, mais je n'arrive pas à comprendre comment les clients peuvent-ils avoir une adresse IP une fois que les conditions sont conformes.

J'ai besoin d'aide à ce sujet, je plane complètement et on va dire que le désespoir commence à prendre place.

En vous remerciant d'avance pour les réponses apportées.