На L3 спокойно поднимаются 2 влана - для офисной сети и для наблюдения. Между ними - файрвол, для распределения доступов. Неуправляемые коммутаторы спокойно поживут в отдельной сети. L3 вполне сможет сам держать ДХЦП для двух сетей
Не видя вебки от свитча, могу дать только примерную инструкцию. Зайти в раздел vlan, создать необходимые вланы, выбрать порт, указать pvid или untagged для нетэгированного влана и tagged для всех тэгированных, которые надо передавать в порт