Eigentlich musst Du bei den Ports nur unterscheiden was da dran hängt.
Ist es Infrastruktur, also APs, Switche, Uplink zu Router, dann Management VLAN ungetaggt und alles andere tagged erlauben (mindestens die VLANs die irgendwo benötigt werden)
Sind es Endgeräte, dann einfach untagged das VLAN in welchem das Gerät sich tummeln soll und alles andere blocken. Hierzu würde ich auch erstmal ein NAS zählen.
Es gibt dann halt noch "Endgeräte" die unter Umständen getaggte VLANs dazu benötigen. Dies wird z.B. bei Servern genutzt die als Virtualisierungshosts laufen. Dazu können dann auch wieder NAS Systeme zählen.