С одним физическим интерфейсом и двумя подсетями их разграничить по нормальному наверное никак.
А с другой стороны, если сеть в домене и настроено все более менее по уму то она отчасти изолирована от компьютеров не являющихся членами домена... На это полностью полагаться нельзя, но переконтоваться до покупки еще одной точки доступа и дополнительной сетевой карты в шлюз наверное можно

Итого, вопрос в 1 точке доступа, 1 сетевой реалтек и сколько-то там метров кабеля

ИМХО...