Post antigo, mas vai responder de qualquer forma, para que tenha uma resposta.
Em termos de Wi-Fi, as VLANs podem ser configuradas para que qualquer pessoa na mesma VLAN possa se ver e compartilhar arquivos, etc. (supondo que o isolamento sem fio NÃO esteja ativado), mas ninguém em VLANs diferentes ser capaz de ver um ao outro. Usando estritamente VLANs para isolamento completo, você teria que criar uma nova VLAN para cada cliente WiFi e também certificar-se de que cada cliente tenha seus pacotes de tags de PC como pertencentes à sua VLAN atribuída. Também é possível atribuir um SSID diferente por VLAN (dependendo das habilidades do equipamento) e fornecer um SSID diferente por cliente, em vez de usar tags. Usar estritamente apenas VLANs pode não ser desejável para o seu objetivo, já que isso exigiria mais gerenciamento e muito provavelmente atingiria um limite de quantidade de VLAN antes que o número máximo de clientes que o dispositivo pode manipular fosse atingido.
O isolamento sem fio é uma função que simplesmente mantém TODOS os membros em qualquer SSID, para o qual o isolamento é ativado, de se ver ou compartilhar arquivos. No entanto, essa função não impede necessariamente que qualquer cliente WiFi específico acesse a interface de gerenciamento.
Para alcançar seu objetivo, parece que você quer fazer duas VLANs. Uma VLAN é apenas para gerenciamento de dispositivos, o que envolve a atribuição da interface de gerenciamento para responder apenas a solicitações nessa VLAN. A outra VLAN é apenas para clientes e também teria o isolamento sem fio ativado. Se o seu dispositivo permitir a criação de vários SSIDs (com suas próprias senhas), você poderá atribuir cada VLAN ao seu próprio SSID - o que manteria os clientes fora da interface de gerenciamento. O isolamento sem fio impediria que os clientes conversassem entre si. Essa solução é possível com apenas um dispositivo sem fio, que pode fornecer um gateway de Internet para todas as VLANs que ele controla.