Tak ono se to dá udělat opačně, že? Domácí LAN tagovat vše (nebo aspoň ty porty, kam se může připojit cizí zařízení) a naopak hostovskou síť dát netagovanou. Jenže to zase přepokládá, že admin toho cizího MKT je ňouma, který si neumí odposlechnout, co mu na WAN port lítá za vlany... takže reálná bezpečnost opět nula.

Jinak obecně: paranoia je pro síťaře nejlepší kamarádka.