Das Gast-LAN der Fritz!Box kann Geräte untereinander nicht trennen, das geht nur im Gast-WLAN, weil da der Traffic erst über die Box geht. Im Gast-LAN mit einem nachgeschalteten Switch geht der Traffic gar nicht durch die Box, daher kann sie den auch nicht blockieren. Aber die Geräte sind natürlich vom internen Netz an den restlichen Ports der Fritz!Box getrennt.
Zum Switch: Ja genau, es sollte managebar sein, möglichst per Webinterface, notfalls auch per proprietärer Software und VLANs unterstützen. Das sind - nach den dumb-Switches ohne jegliche Konfiguration - aber so mit die absoluten Grundfeatures. Wird schwer sein, ein VLAN-fähiges Switch zu finden, dass man nicht konfigurieren kann. Ebenso wird es schwer, ein konfigurierbares Switch zu finden, welches keine VLANs kann.
Aber wichtig ist auch der Gedanke von laptopheaven: Wenn du die Geräte vom Rest des Netzes trennst, trennst du sie auch von deinem Router. Damit kommen sie auch nicht mehr ins Internet. Das kann gewollt sein, aber wenn nicht, brauchst du einen Router, der sich entsprechend auch in das zweite VLAN hängen lässt. Das ist mit den Standard-SOHO-Routern bzw. Heimnetzgeräten in der Regel nicht der Fall! Fritz!Box und Co. können das also nicht - abgesehen vom Gastnetz, welches zwar eher für andere Zwecke gedacht ist, sich aber für ein zweites VLAN missbrauchen lässt. Wenn man noch genauer konfigurieren will, als es das Gastnetz kann oder mehr als zwei VLANs möchte, muss dann schon auf andere Lösungen zurückgreifen. Z.B. mit OpenWRT (Achtung! Das kann einiges an CPU fressen - nicht jedes OpenWRT-Gerät macht das also performant mit) oder pfSense/OPNsense. Letztere beiden kann man sich entweder in Software z.B. in einer VM oder auf ausrangierter PC-Hardware installieren oder eine Hardware-Appliance kaufen. Beispiele:
shop.opnsense.com
The Netgate 4200 Is The Official pfSense router, pfSense firewall, & pfSense VPN. The Netgate® 4200 with pfSense® Plus software is one of the most versatile security gateways in its class. The 4200 delivers almost 10 Gbps of L3 routing across four independent 2.5 GbE flexible WAN/LAN ports.
shop.netgate.com
oder abgespeckt:
https://shop.netgate.com/products/1100-pfsense
Das Switch ist dann dagegen der deutlich günstigere Part. Je nach Anzahl der Ports und weiterer Anforderungen schon für unter 50€ machbar.