Зачем все так усложнять?
При VLAN на всех имеем - ARP spoofing, DHCP spoofing, подмена MAC и IP. И т.д.
Все решения - DHCP snooping, relay, IP-source-guard, op 82, MAC-port binding основаны ТОЛЬКО на управляемом железе
При VLAN на пользователя - все будет работать идеально.
Доп вопросы- что делать с терминацией VLAN и т.п решаются исходя из вопроса - как делаем доступ.
Либо наоборот выбираем ядро и делаем доступ.
Надо от чего-то отталкиваться при обсуждении конкретных схем и их критике.