Pfsense med managerbara switchar hur bygga vlan och lag för säkerhet

Jag har ett nätverk där det finns ett företag men även konferens- o campinggäster via wlan med login via captive portal samt en skrivare. Hittils har jag löst säkerhetsfrågan inom lan med att spärra bort allt som inte skall in i företaget med windows xp brandväggen. Nu funderar jag på att i dell powerconnect 27xx switcharna bygga vlan.
I 1.a fallet där en routers LAN1 tar in 1st switch´som i sin tur har 2st switchar under sig:
Om jag förstått vlan rätt så är det bara ett skydd fram till routern allt kommer in på samma LAN interface och då spricker säkerheten
I 2.a fallet med LAN1 och LAN2
alltså måste jag bygga extra lan i routern. Gör jag extra lan i routern kan jag nytjja lag och gruppera portar tex tar jag alla 6 wlan ap och grupperar dom i en lag och kör dom till LAN2 i routern.

Fråga: Vad skall jag med vlan till om jag bygger lag, min tanke är att switcharnas portar grupperas:
företaget är lag 1=LAN1, wlan(camping och konferens) är lag 2=LAN2, och skrivaren är lag 3=LAN3
all trafik styrs sen via brandväggsregler i pfsense tex kommer bara wlan ut mot WAN allt annat är blockerat, utom skrivaren på beställning och då öpppnar jag brandväggen för ip mot ip.

Jag har inte beskrivit allt men förhoppningsvis tillräckligt för att ni skall se om jag tänkt rätt. Google är bra men det är svårt att hitta något vettigt kring hur man bygger nätverk som en helthet.

---
Tack, det är så det fungerar med vlan, allt är separerat ända in i routern, brandväggen kan sen spärra
ip att komma till ip och sätter man alias tex en grupp statiska ip och en annan till dynamiska blir det nog enkelt med regler. trunken blir väl vlan1 om jag begripit manualen och google kring switcharna (dell27xx)rätt.

Nu tror jag jag förstår hur lag kan användas. Jag delar upp switch1 i två delar: en lag1 som kopplas till routerns LAN1 och lag2 till LAN2, sen gör jag lag i de två switchar som ligger under. LAN1 och LAN2 får olika subnet i routern. Sen bygger jag vlan under respektive lag, dvs jag får först två fysisk uppdelningar i switchen(lag) och sen flera virituella uppdelningar(vlan) under respektive lag (som princip tror jag det funkar så). Sen vet jag inte riktigt om det är nya vlan under LAN2 eller om det går att få samma vlan tex 2 via både LAN1 och LAN2.
Snart kan jag börja rita upp en systembild över det hela med alla klienter och burkar.

Link Aggregation Group (LAG).

Har läst på mer och ser att syftet med LAG är ett annat än jag det jag trodde (vilket maniak oxå påpekar) och att VLAN är det jag skall planera för. Ser nu att jag i pfsense kan tilldela OPT1-x vlan som då kommer in via LAN. När jag sen aktiverar interfacet OPT1-x kan jag förmodligen brygga det med LAN eller starta DHCP på OPT1-xTror jag (än en gång) förstår hur det hänger ihop.

Återkommer med en systembild så får ni avgöra om jag planerar rätt struktur och för säkerhet eller katastrof dvs inget funkar som jag tänkt mej

Edit tog bort text om nic.