Einige Geräte können kein IEEE 802.1X,

Tja. Dann gehören die in ein eigenes Netz. Genauer in eine DMZ und also „paranoid“ abgeschirmt: Keine oder nur sorgfältig ausgewählte Requests (z.B. HTTP[s] zu bestimmten Hosts für Firmware-Updates) nach außen. Dito von außen… und auch untereinander!

Sollten das Drucker sein, dann kann man die auch via USB anbinden(¹): Raspi mit minimalem Linux dran kleben, der dann, CUPS und Samba machen es möglich, als Druckserver arbeitet. Netzwerk-Konfiguration? Netplan kann z.B. IEEE 802.1x. ufw kann die Firewall steuern.

¹) Für andere Geräte ist ein ähnliches Vorgehen sicherlich möglich…