在交换机上配置 VLAN“摄像机”以及一个唯一的子网供它们使用，例如 10.2.2.x/24。在路由器上，如果您有备用以太网端口，请为其分配 IP 地址 10.2.2.254/24。如果没有备用以太网接口，则将交换机的链路重新配置为中继，以便它从两个 VLAN（默认和摄像头）获取帧。

在任何情况下，只需创建一个访问列表，以便摄像机 VLAN/子网可以访问的唯一设备是 NAS 的 IP 地址。

购买一个像样的交换机（支持您的摄像机的 VLAN 和 PoE+ 的交换机）。

如果您“喜欢”便宜的非托管交换机，您可以为用户和摄像头使用单独的非托管交换机。并将NAS和交换机连接到路由器的不同端口。

但无论如何，不​​受信任的用户的非托管交换机可能是个坏主意。

如果您需要 PoE，请查看或多或少便宜的托管交换机，例如Mikrotik或Ubiquiti 。

如果没有托管交换机或每个隔离组使用单独的非托管交换机，则只能进行假隔离。通过在单个路由器端口上分配多个子网。并且只有在一个动态 DHCP 中才有可能。

它可能取决于路由器功能。你的路由器是什么？

我建议您将 NAS 连接到路由器而不是交换机和摄像头（如果您只有一个摄像头）。3个不同的网络就可以了。