Eu acho que o principal problema é provavelmente os comutadores piggy-backed. Sem switches gerenciados, você provavelmente não será capaz de criar uma rede virtual segregada (uma VLAN) sem incluir outros dispositivos conectados ao switch grande.
O que você deve tentar é enviar todos os dispositivos inseguros para uma única porta em seu roteador e definir uma VLAN contra essa porta. Eu não estou familiarizado com o seu roteador, então não sei se ele suporta VLANs.
Uma alternativa seria obter um segundo roteador barato e conectá-lo a isso. Em seguida, aplique regras de firewall para restringir o acesso por PORT. Basicamente tratando a câmera como dispositivos externos não confiáveis.