řešíš nesmysly.

běžná lan: VLAN1
guest lan: VLAN11

Mikrotik LAN: Trunkport 1+11 (tj. plně tagovaný port)
Unify Controller: Trunkport 1+11 (předpoklad že na tom WLC běží walled garden s autentikací pro guesty);
APčko Unify: Hybrid port (VLAN1 notag, VLAN11 tagged, PVID1)
Vše ostatní bude už klasika Access port s VLAN1

P.S.: VLAN1 je default (i pokud se VLANy nepoužívají vůbec), tudíž pokud se nechceš zaobírat dalšími Access porty, ponecháš právě tuto.

edit: tam, kde je trunkport nebo hybrid, předpokládá se to, že nastavíš i koncové zařízení, tj. MKT, a WLC (APčko si sosne konfiguraci z WLC).

edit2: abys rozuměl: řešit hybrid port na mikrotiku není třeba, protože do něj nebudeš připojovat žádné zařízení, které toto bude vyžadovat. Do něj půjdou už pakety ze switche krásně otagované (viz. hybridní port pro AP, který toto zařídí). Nezapomeň: Access port = taguje switch. Trunk/tagged port = taguje koncové zařízení a Hybrid = taguje koncové zařízení, a pokud paket tag nemá, taguje switch (naopak to funguje taky, tj. pro danou vlanu se při výstupu tag odebírá). Z hlediska switche Zyxel je MKT koncové zařízení. Už chápeš?

edit3: jediný reálný problém vidím v autentizaci guesta, protože na to potřebuješ, aby WLC fungoval jako router, tj. podle HW konfigurace WLC je třeba zajistit prostup paketů z guest LAN do oficiální LAN přes "správné" porty na WLC.