家庭网络上的 VLAN/隔离

我有一套复式公寓，住在其中一部分，另一部分出租。我的目标是共享互联网，但有两个独立的网络：我的网络和租户的网络。两个网络都应该有以太网和 Wi-Fi。

目前，我有一台 Motorola Surfboard SB6190 电缆调制解调器。它只有 1 个 RJ-45，可连接到 TP-Link AC1900 路由器的 WAN 端口。这台路由器上直接挂着我的几台设备，它还为非托管 8 端口交换机供电（以扩大端口数量），该交换机为我家的一半供电。TP-Link 路由器还为 D-Link DIR-860L 路由器的 WAN 端口供电。然后，D-Link 路由器为另一台非托管 8 端口交换机供电（同样是为了扩大端口数量），该交换机为租户的一半供电。

TL;DR - 在硬件方面，有什么建议可以管理 2 个 VLAN，每个 VLAN 在 1 个中继上配备 Wi-Fi，基本完全分离，并可选择允许监控和限制？

路由器配置为位于不同的子网：192.168.0.0/255.255.255.0和192.168.1.0/255.255.255.0。这很有效，我认为它能给我带来我想要的网络隔离。2 个路由器提供独立的 Wi-Fi，租户网络应该停止在其路由器上，并且不应该能够升级（我希望）。

但是，现在所有东西都有以太网端口了，我又没有端口了。我可以再买一个 8/16/24 端口的非管理型交换机，然后接上它，但我想简化一下。

因此，我购买了一台 TP-Link TP-SG1024DE 24 端口管理型交换机，想尝试一下 VLAN 之类的东西。

我最初的想法是，我可以做单根路由器，并将交换机端口分成 2 个 VLAN（我的和租户）。但是，单根路由器方法旨在促进跨 VLAN 的通信，而这并不是我真正想要的。我的结论是，如果所有设备都从同一个路由器获取 IP，那么它们最终将位于同一个子网中。即使交换机将隔离数据包，数据包也会向上传输到路由器并返回到另一个 VLAN，这不是我的目标。大多数指南都提到了网关上的虚拟子接口，我猜这允许智能 IP 分配，但我怀疑我的消费级路由器是否智能。如果我的理解错了，请纠正我的理解。

我的下一个想法是保留一个端口（端口 1）来连接到调制解调器。其余端口将分为 2 个 VLAN，每个 VLAN 具有唯一的 VPID 和 1 个路由器。第三个 VLAN 将所有端口绑定在一起，以便它们可以与调制解调器通信，这样保留端口上的未标记流量将转到第三个 VPID。很多地方都有记录，但我无法解决以下两件事：

1. 由于第三个 VLAN 桥接所有端口，我不清楚隔离级别。似乎调制解调器和每个路由器之间的流量对彼此都是可见的。我猜这是因为租户没有路由器的管理员访问权限。
2. 路由器如何获取其外部 IP 地址？似乎两个路由器的 WAN 端口也需要与调制解调器的端口共享一个 VLAN，然后使用另一个端口与各自的 VLAN 通信。此外，我的 ISP 是康卡斯特，他们（或调制解调器）对与谁通信很挑剔。例如，当我更换路由器时，我必须克隆一个 MAC 地址才能让调制解调器为路由器分配一个 IP 地址。我猜在康卡斯特注册期间，他们选择只与特定 MAC 通信，而不与任何其他 MAC 通信。最后，我假设康卡斯特只会给我 1 个 IP 地址，不收费。

因此，最近的想法是回到调制解调器->我的路由器 WAN->租户路由器 WAN。然后我的路由器将连接到交换机端口 1，租户路由器将连接到交换机端口 24。端口 1-12 将是 VLAN-10，端口 13-24 将是 VLAN-20。但是，这意味着我购买的交换机（就我的目的而言）只比 2 个非托管交换机好几步。我对此很满意，因为它的成本与两个 16 端口交换机相同，但它并不像我想象的那样优雅。

我在网上找到的东西要么是思科企业级产品，要么是简单的家庭个人网络。从拓扑结构来看，这更接近简单的家庭个人网络，但我认为没有任何消费级硬件真正支持它。

那么，在硬件方面，有什么建议可以管理 2 个 VLAN，每个 VLAN 都带有 1 个中继上的 Wi-Fi，基本上完全分离，并可选择允许监控和节流？我对使用 Linux 作为软件路由器有一些想法。我一直想涉足树莓派，但从来没有一个令人信服的理由这样做。有人可以详细说明该拓扑是什么样子吗（假设它是可能的）？

我的背景：我是一名软件工程师，所以我（认为我）拥有强大的技术背景，但在网络管理方面我缺乏实际经验。我是 stackoverflow 的忠实粉丝，但第一次在 serverfault 上发帖。

请注意，我注意到这些类型的问题往往会被标记为“离题”。我知道这是一个有点冗长的问题，并且多次要求澄清，但我明确定义了我的目标，并询问“哪种硬件拓扑可以实现我的目标？”。如果有人决定关闭它，至少请礼貌地将我指向一个更合适的论坛。