Согласно схеме ЕСПД
http://imcluga.ru/wp-content/uploads/20 ... %D0%BC.pdf
Своей адресации не должно быть вообще. Есть два контура - открытый (с которым мы мучаемся) и закрытый (там будут только ГИСы). В открытом контуре все компы школы, кроме тех что для ГИСов (сейчас на них VipNet стоит или у кого что), и у всех ПК статическая адресация (ибо они привязывают ИП - кабинет). И вот для нужных ИП из их сети пишется: кабинет директора - vk, ok.ru ну и т.д. (возможно можно и протоколы с портами) и так для каждого.
Мы можем НАТом спрятаться за какой нить ИП, со своей подсетью и там делать что вздумается, но это "немного" незаконно. К нам пару раз приходили, правда не помню откуда, проверяли контент фильтр, на флешке какая то программулина, которую касперский схавал )))). Она проверяет доступность доменов, ип, а потом эти проверяющие ручками тестировали поисковую выдачу. Но это было когда контент фильтр был свой. Как будут проверять сейчас - не знаю, вдруг ИП сверять будут, а у нас там 192.168...
Так что видимо надо готовиться к выходу из своих сетей, ну если только там видеонаблюдение, скуды, сервера, телевизоры, интерфейсы управления. ПК они точно все дожмут рано или поздно. Они приходят уже с инфой сколько компьютеров стоит на балансе школы, берут они ее у отделов образования.
Вообще идея такой сегментации с точки зрения безопасности и контроля вполне неплоха, во многих гос органах именно так и сделано, но там из-за персональных данных. Только они не учли специфику школы - надо было делать еще один сегмент для администрации и учителей.