No já jsem to doma vyřešil tak, že jsem si rozdělil zařízení do skupin, kdo kam může. Jedna skupina = jedna VLANa.
1. Infrastruktura (AP, switche). Nechci, aby to viděl kdokoliv mimo hlavní síť a není důvod, aby to vidělo ven, nebo bylo viděno zvenčí -> izolovaná VLAN1.
2. Klasická LANka pro komply s Linuxem, kde mám pod kontrolou SW a aktualizace a jsou tam důležitý data -> VLAN2
3. Ostatní zařízení s přístupem na net (Smart TV v obýváku chce Netflix a Youtube, pak jsou tady mobily s update jenom omylem,...) -> VLAN3 s přístupem na net. TV a mobil v jedné síti dovoluje i Chromecast apod.
4. Pak jsou stroje jako tiskárna, kde není důvod, aby na ně někdo lezl z venku a nemám zájem, aby samy lezly ven. Ty jsou ve svojí VLAN4 a komunikace na principu bachař-mukl z VLAN2 a VLAN3
5. IPTV set top boxy. Potřebují konektivitu ven, já se k nim nepřipojím pavučiny z firmware neometu -> VLAN s přístupem pouze ven, ať nevidí, co je doma -> VLAN5.
6. Zařízení návštěv. Potřebují ven, ale ne na sdílený stroje ve VLAN4. Software je úplně mimo kontrolu -> VLAN6
7. Zabezpečovačka, kamery -> VAN 7, přístup z VLAN2, VLAN3
8. Zařízení, který chci mít přístupný z domácí sítě i veřejně. Momentálně nic takovýho nemám, ale v případě potřeby není problém aktivovat LAN8
Na WiFi jsou VLANy 2 (skrytá), 3 (skrytá), 6 (WPA2 s heslem). Všechno řídí modrák a rozstřeluje GS1900-24E a v pracovně na pokusy stará TL-2218 + zabezpečení (nebudu publikovat). U mobilních zařízení (NTB) switch hodí příslušnou VLANu po zapojení do zásuvky, neznámý zařízení (švárův noťas apod.) rovnou spadne do odpadní VLAN6.
Tady bych to dělal podobně, ale VLAN 2, 3, 4 bych řešil pro každou rodinu extra.