Pojďme na to úplně jinak.
1) Proč chceš, aby nějaké zařízení bylo oddělené od firemní sítě? Zřejmě proto, že mnoho průmyslových zařízení je na tom s možnostmi zabezpečení tak, že by z toho odborník na IT bezpečnost okamžitě omdlel. Ač nevím, jaké zařízení to je a jaké hrozby řešíš, tak souhlasím, že to chce řešit. A jelikož to řešení neplatím a nejsem za něj zodpovědný, tak ti tu budu radit, že to řešení by mělo být systémové.
2) Odpojovat zařízení od firemní sítě (a je jedno, jestli odpojovat konektor, nebo vypínač na eth kabelu, nebo vypínač na napájení dedikovaného switche) je hezké řešení, které je levné, jednoduché a v principu špatné. Nevím, jaká rizika řešíš, ale spousta útoků může být automatizována a pak čekat - a pak zaútočí v tu chvíli, když připojíš to zranitelné zařízení.
Nemluvě o tom, že situace, že někdo nechá to zařízení připnuté ne pár minut, ale pár hodin (nebo dní) není z kategorie JESTLI, ale z kategorie KDY.
3) Co máš za problém s řešením odpojováním/vypínáním portu na switchi? Že to někdo zapomene pak vypnout/odpojit ten port? V čem se to liší od situace, kdy někdo zapomene odepnout fyzický vypínač? Že selže nějaký skript, který má vypínat ten port? No to se dá řešit jiným skriptem, který bude kontrolovat stav toho portu. Nebo co je tam za problém?
4) IMHO je správné a systémové řešení toto: Požádáš firemního IŤáka, ať pomocí firewallu, managovaného switche a VLAN zařídí unikátní prostup. Tedy, že s tím zranitelným zařízením bude moci komunikovat pouze jeden počítač, který je píchlý v jednom portu jednoho switche. A náš IŤák to měl ještě pojištěno tak, že když se tomu počítači změnila MAC adresa, tak se ten prostup zavřel a musel to ručně nahodit (a zahájilo se vyšetřování kdo a proč připojil jiné koncové zařízení). Ale to je nepodstatná třešnička na dortu. Ten počítač (i switch) může být umístěn tak, že se k němu fyzicky nedostane nikdo, kdo nemá.
Čili to zranitelné zařízení vlastně není ve firemní síti - je schopno se bavit pouze s jedním definovaným počítačem ve firemní síti. A ten počítač může poskytovat služby ostatním počítačům ve firemní síti, protože to už je normální počítač s normálním (ve firmě schváleným a provozovaným) operačním systémem, na který firemní IT dokáže aplikovat normální pravidla bezpečnosti.