交换机S5024PV5及ac WX2520X-LI，能否实现客户端之间隔离和SSID之间隔离？

大家好。

 我们已经有台MSG360-10-PWR，集成了10个poe端口。在里面可以设置客户端（例如手机）之间隔离，或者不同SSID之间隔离，或者端口之间（即ap之间）隔离。 

现在要在另一个项目上一个新系统，打算买poe交换机S5024PV5-EI-PWR，及ac WX2520X-LI。这两个poe和ac会上联到思科SG350上的一个单独vlan，然后再出去互联网。

 我们打算建三个wifi，员工、访客、打印机，员工和访客不能互相访问，但都能访问打印机，也就是实现客户端之间隔离和SSID之间隔离的功能。 

 请问： 

1、这个poe和ac的组合，能否实现这两个功能？如何实现？ 

2、要实现这两个功能，是否poe交换机必须支持三层vlan？还是说只要求ac支持三层vlan、poe交换机只需要普通的不可管理的即可？ 

3、ap的网口，能否设置成vlan的trunk口？感觉必须要能设置成trunc口，才能做到vlan隔离。 

4、poe和ac如何连接？是poe先连到ac上，然后ac连上层交换机？还是poe和ac都直接连上层交换机？ 

 看了poe交换机的说明，https://www.h3c.com/cn/Service/Document_Software/Document_Center/Switches/Catalog/S5000P/S5000V5-EI/Configure/Operation_Manual/H3C_S5000PV5-EI_CG-R1115-6W100/02/ ， 它只支持二层vlan。 但说明书里说它又能设置vlan接口，不同vlan间能通路由；可是说明书里又没有ACL（access control list）的设置，无法控制哪些vlan能互通。这个让我有点不明白。 而且它的DHCP只能设置一个网段，所以似乎无法处理三层vlan。 https://www.h3c.com/cn/d_202010/1348881_30005_0.htm 

 看了ac的说明书，https://www.h3c.com/cn/d_202103/1392146_30005_0.htm ，好像是能路由三层vlan，但好像也没有ACL控制。 

 而且DHCP似乎也不是通常的三层DHCP，分成了主网段和从网段，似乎也不太支持三层vlan。 https://www.h3c.com/cn/d_202103/1392156_30005_0.htm