OZ
Не понял, на вопрос про секретаря ответили? Можно сделать, чтобы когда локально работает, доступ к nas был, а когда через рдп - фиг? Или я задачу не понял?
1. тебе бы книги писать а не ТЗ
2. изолировать можно как бриджами так и вланами. твой случай очень простой можно и так и сяк, разницы особой нет.
3. для изоляции сегмента проще всего вытащить порт из общего свича и назначить на нем отдельную сеть и воткнуть ПК секретаря, а дальше рулить доступом на l3
