Você pode, em teoria, enviar todo o tráfego pelo roteador, o que o torna um gargalo para o tráfego. Também criaria uma grande quantidade de sobrecarga com muitas interfaces no roteador (uma por vlan), muitas listas de controle de acesso ou lugares separados onde você precisa limitar / permitir o tráfego, e geralmente provavelmente seria uma grande bagunça. ..
Geralmente, as vlans são usadas para conter dispositivos de nível de segurança semelhantes ou para vários dispositivos de funções semelhantes (como telefones, impressoras ou acesso Wi-Fi) ou para cercar um departamento ou outro agrupamento lógico de usuários. Isso também permite que eles intercomunicam entre si sem tantas restrições, o que normalmente é um bom compromisso, mas você pode limitar ainda mais isso com um switch de camada 3, firewall baseado em host ou alguns outros métodos como firewalls dedicados.
Quando você usa um roteador para forçar o tráfego do cliente a mover a inter-vlan, você está enviando todo o tráfego inter-vlan do switch para o roteador, o que aumenta o uso da largura de banda. Isso pode ou não ser desejável, mas geralmente o switch terá um throughput maior do que o roteador, portanto, geralmente não é um bom compromisso.
Dito isto, dada a descrição do seu ambiente, você provavelmente obteria o máximo de milhagem de um firewall de rede combinado com firewalls simples baseados em host para serem configurados através de um sistema de gerenciamento de configuração (fantoche / chef / ansible et al ). Isso permite a você um método fácil de dimensionar a configuração de firewall, sem a complexidade das vlans para cada servidor.edite: oh, e fazê-lo da maneira sugerida também separa a configuração dos servidores (ou seja, a segurança deles) dos próprios servidores, o que pode levar a uma complexidade extra desnecessária.