Konfiguracja i zabezpieczenie sieci domowej z VLAN i port forwarding

Witam,

Chciałbym skompletować sprzęt i skonfigurować sieć w domu aby było bezproblemowo i bezpieczniej.
Poniżej przedstawiam jak to wygląda u mnie teraz. Posiadam stały adres IP. Router dostawcy jest jako bridge. Router TP-Link ER605 jeszcze mogę ewentualnie wymienić na inny aby miał więcej portów LAN np na TP-Link ER7212PC. Switch niezarzadzalny TP-Link który mam już musi zostać ewentualnie dokupić coś jeszcze. Jako AP posiadam Ubiquiti U6.


Założenia:
Chciałbym odseparować od siebie sieci Alarmu, Kamer, Domofonu i domową. Do tego chciałem wykorzystać VLAN ale w routerze brak wystarczającej ilości portów LAN na wszystkie VLANy które chcę stworzyć i teraz moje pytanie wymienić router na taki z większą ilością portów czy postawić za routerem Switch zarządzalny i tam dopiero stworzyć VLAN?
Dostęp do niektórych urządzeń będzie poprzez port forwarding, w jaki sposób zabezpieczyć się np.na ewentualne skanowania i ataki?
Router TP-Link ER7212PC jest z kontrolerem Omada czy warto iść w tym kierunku?
Za dalsze sugestie i podpowiedzi z góry bardzo dziękuję.

Lepiej switch zarzadzalny i trunki do routera oraz trunki do AP. Wtedy też na AP możesz mieć kilka podsieci i BSSID dla różnych grup urządzeń, np domownicy, IoT, goście. Wszystkie SSID na jednym AP. Natomiast nawet jak jest switch zarzadzalny, to on pracuje w domenie L2, więc na routerze też muszą być VLANY L2 (do MAC i Ethernetu) + odpowiadające im interfejsy L3 do przekazywania ruchu IP.
Omady nie znam, więc się nie wypowiadam.

Ok, czyli pierwszy wariant jest taki: zostawiam router, który mam obecnie, i kupuję zarządzalny switch, który postawiam za routerem.
Nie napisałem wcześniej, że mam w domu 2 sztuki access pointów (jeden na parterze, drugi na piętrze). Poniżej wstawiam rysunek, jak ja teraz to widzę:



Lub drugi wariant z jednym routerem 10-portowym:



Który wariant jest lepszy dla moich rozwiązań? Jeśli coś, to poprawcie mnie.

Obecnie w aplikacji Unifi mam 2 sztuki access pointów, które działają w ramach jednej sieci (czyli pod jedną nazwą).

Chciałbym, aby:
- VLAN_6 był odrębny i niewidoczny dla innych VLANów
- VLAN_5 był odrębny i niewidoczny dla innych VLANów
- VLAN_4 był odrębny i niewidoczny dla innych VLANów
- VLAN_1_2_3 były razem w grupie i stanowiły odrębny i niewidoczny dla innych VLANów
- Wydzielić w access pointach strefę dla gości, aby nie mieli dostępu do wszystkich VLANów, tylko do Internetu.
Czy to ma sens, czy powinienem zrobić coś innego?
Obecnie potrzebuję przekierowania portów do alarmu (okazjonalnie), domofonu IP i urządzeń smart.
Chciałbym zarządzać routerem zdalnie lub poprzez przekierowanie portów.
Ewentualnie switch zarządzalny będzie zarządzany przez chmurę.

Obie opcje są ok. Co wybierzesz, zależy od tego jak masz przewody poprowadzone. Ogólnie zasada jest taka https://pasja-informatyki.pl/sieci-komputerowe/hierarchiczny-model-sieci-lan/

Przewody mam w gwiazdę do szafy rack. Chciałbym tak wybrać aby to dobrze skonfigurować i zabezpieczyć

A nie chcesz sobie tego ładnie postawić na Ubiquiti jak już masz od nich AP? Jest drożej, ale będziesz miał fajny, spójny system. Jeśli masz (bądź będziesz miał więcej niż jeden AP) mile widziany byłby już stale działający kontroler.

Jak bym robił od zera to był poszedł w jakiś zunifikowany system i wszędzie switche zarządzalne, natomiast u Ciebie obecnie to w działaniu nie będzie różnicy jak zepniesz.
Jedynie switch brałbym 24 a nie 8 portów. Nigdy nie wiadomo w przyszłości do czego się przydadzą.
Rozwiązanie z routerem 10 portów ma taką wadę, że jeżeli będziesz miał jeden VLAN na różnych portach (np sieć domowa przewodowa i po WiFi) to może to mocno wpłynąć na obciążenie routera. Dużo routerów nie akceleruje przekazywania ramek L2 hardwarowo między portami. Znowu za to taka konfiguracja zwiększa wydajność IVR. Musisz sam zdecydować na czym bardziej Ci zależy. Czy na szybkim przekazywaniu L2, czy na IVR.
No chyba, że zrobisz jak w porządnych firmach, czyli switch L3 do całego ruchu wewnętrznego a router tylko jako brzegowy do ISP + NAT.

Ok. Czyli co zostawić ten router co teraz jest czyli ER605 od tp linka a jako Switch to co polecacie konkretnie Model Tak aby spiąć te dwa AP od Ubiquiti i resztę sieci Czyli port forwarding będzie z routera a reszta z switcha. A ktoś podpowie tak to zabezpieczyć przed skanowaniem otwartych portów?