На L3 спокойно поднимаются 2 влана - для офисной сети и для наблюдения. Между ними - файрвол, для распределения доступов. Неуправляемые коммутаторы спокойно поживут в отдельной сети. L3 вполне сможет сам держать ДХЦП для двух сетей
Вот статья, и по оглавлению перед ней еще одна, я думаю они вам помогут с ответами. Если сомневаетесь, какие выбрать цифры IP-адресов для сети - выбирайте самые любимые в приватных диапазонах.