Me doy cuenta de que esta es una vieja pregunta, pero para cualquiera que se encuentre con esto, esta es probablemente la mejor solución (en mi opinión).
Un par de personas sugirieron una VLAN (Red de área local virtual). La idea aquí es que puede tomar un conmutador administrado de 24 puertos y configurarlo para que los puertos 1-12 funcionen como un conmutador separado y los puertos 13-24 funcionen como un conmutador separado. Entonces, una vez que segrega sus puertos, asigna a los puertos 1-12 una ID de VLAN y a los puertos 13-24 una segunda ID de VLAN. Las VLAN funcionan con la VLAN predeterminada (sin VLAN habilitada) como VLAN 1. La VLAN 1 tiene acceso a todo en la red (de manera predeterminada, porque todo se considera conectado a la VLAN 1).
Entonces, supongamos que tiene servidores a los que no desea que los contactores tengan acceso. Ponemos todos esos servidores en los puertos que tienen asignada la VLAN 20. Ponga también todas las estaciones de trabajo de su empresa en la VLAN 20. Ahora cree una red invitada VLAN 40. Los contratistas conectarían sus computadoras a la VLAN 40. Como está configurado, actualmente la VLAN 40 no puede comunicarse con la VLAN 20.
Ahora cree una tercera VLAN para impresoras en la que ambas redes deberían poder imprimir. Coloque las impresoras comunes en la VLAN 30. Configure el enrutamiento para que la VLAN 20 pueda comunicarse con la VLAN 30 y la VLAN 40 pueda comunicarse con la VLAN 30. La VLAN 20 y la VLAN 40 no pueden comunicarse.
Eso te dará la solución que deseas. Para hacer esto, necesita conmutadores administrados de capa tres y debe configurar correctamente el etiquetado de VLAN, el enlace troncal y el enrutamiento IP en los conmutadores de capa tres relacionados.
Esperemos que esto ayude a alguien en el futuro. Por favor hazme saber si tienes preguntas.