Restrição de acesso à rede de uso misto

Sou um manequim de rede. Eu tenho um ambiente misto de negócios e gostaria de criar um ambiente seguro com acesso controlado. Aqui está um layout básico:

O lado esquerdo é o lado comercial - com terminais POS, servidor e impressoras. Também inclui a máquina de back office e uma unidade de CCTV DVR. O lado direito é a minha rede doméstica, com conexão à internet e várias máquinas.

Agora, a grande questão é como juntá-los. 1. o lado comercial da rede precisa falar uns com os outros livremente (o DVR pode ser uma exceção a isso) 2. Quero permitir que a máquina do back office e o DVR tenham acesso à Internet. 3. Da (s) máquina (s) doméstica (s) eu quero acessar o DVR e o servidor.

Eu estava pensando em separar o lado comercial separadamente do time da casa. Mas estou confuso como conseguir o # 2 e o # 3. Eu tenho roteadores adicionais (incluindo um dd-wrt) espalhados em casa e dispostos a investir em algum hardware.

Uma alternativa que considerei foi o uso da regra de controle de acesso / firewall com base no endereço IP. Outra alternativa era usar a VLAN. Digamos que eu substitua o switch de negócios por um gerenciado e adicione o DVR, o Server e o BackOffice para ter acesso ao upstream, como evito que o servidor acesse / seja exposto à web?

Alguma ajuda?