Segregar / Separar um dispositivo (ATT 3G Microcell) da rede interna sem usar DMZ

Eu gostaria de colocar a Microcélula 3G ATT em uma rede isolada de uma rede que tem o resto dos meus dispositivos, o que significa que eu quero que o Microcell ATT 3G só possa acessar a Internet, mas não "ver" ou acessar minha rede interna. Eu entendo as opções para configurar isso no meu Asus RT-AC66U executando Tomato (versão Shibby: 1.28.0000 MIPSR2-1.23.16 K26AC USB AIO-64K) Asuswrt-Merlin - construir 376.48 (xx-xxx -2014) [NOTA 1] estão usando:

1. VLAN

2. Tabelas de roteamento (iptables)

Meu entendimento é que, para usar a VLAN, tenho que "criar" um segmento físico diferente, o que significa que tenho que abrir mão de uma das portas LAN no roteador para atribuir à VLAN. Indesejável por causa da forma como tenho a configuração da minha rede, que é que a Microcell está conectada a um comutador ao qual outros dispositivos que precisam estar na rede interna estão conectados, e esse comutador está conectado ao meu roteador (porta LAN 1), que fica em uma parte completamente diferente da casa, onde as portas LAN 2-4 são usadas para conectar um servidor com vários adaptadores Ethernet.

Eu sinto falta de entender como a VLAN funciona?

Se não, existe uma maneira de fazer isso usando tabelas de roteamento? Regras de firewall?

FWIW, estas são as únicas portas que a Microcell ATT usa:

Portas TCP / UDP [NOTA: Todas as portas listadas precisam ser configuradas para conexões de entrada e saída.]

• 123 / UDP: tempo do NTP (tráfego NTP)
• 443 / TCP: Https por TLS / SSL para tráfego de provisionamento e gerenciamento
• 4500 / UDP: IPSec NAT Traversal (para toda a sinalização, dados, tráfego de voz)
• 500 / UDP: IPSec Fase 1 antes da detecção de NAT (após a detecção de NAT, o 4500 / UDP é usado)
• 4500 / UDP: após a detecção de NAT, o 4500 / UDP é usado

Nota: 1. Eu posso estar comprando um switch gerenciado com capacidade de VLAN, então quaisquer opiniões seriam bem-vindas.