Como configurar a rede VLAN

Como Joeqwerty já observou, você está se aproximando disso com uma compreensão fundamental inadequada, combinada com metas vagamente definidas. Você está se preparando para falhas, tempo de inatividade e falhas de segurança. Em vez de apenas responder às suas perguntas conforme solicitado, vou entrar num pequeno tutorial "vLAN 101" que poderá ser um pouco mais útil para si.

Você parece ter alguns equívocos fundamentais sobre a segmentação de vLAN e como ela se encaixa na arquitetura de rede, por isso vamos reverter ALLLLLLL o caminho de volta ao início por um minuto:

A partir de um nível de arquitetura de rede, você pode ter uma visão muito simplista de que uma vLAN é nada mais do que um switch separado, não conectado a nenhum outro switch (vLAN).

Se você observar as vLANs dessa maneira, fica relativamente claro como usá-las: quando você não quiser que as máquinas em Group A possam conversar com as máquinas em Group B , coloque-as em vLANs separadas e forçá-los a atravessar um roteador (idealmente um com funcionalidade de firewall) para falar uns com os outros.
Sob quase todas as circunstâncias, é melhor (e mais fácil) fazer isso colocando também as máquinas em diferentes redes IP (sub-redes) - As máquinas dentro de uma vLAN estão na mesma sub-rede e podem conversar entre si o quanto quiserem, mas se eles querem conversar com alguém fora de sua vLAN e também ficarão fora de sua sub-rede, de modo que sejam transferidos para seu gateway padrão, que pode lidar com a preocupação de segurança de quem pode conversar com quem sob quais circunstâncias.

Assim, a arquitetura da vLAN em 11 etapas fáceis:

1. Descobrir quais máquinas formam grupos lógicos. Estas são suas vLANs
   Em um ambiente muito simples, isso poderia ser Web Servers e Database Servers .
   Em ambientes mais complexos, você pode ter muitos grupos e pode combinar vários grupos em uma única vLAN - essa é uma decisão de arquitetura que você deve tomar.

2. Descobrir um esquema de endereçamento adequado às suas vlans.
   Se você tem muita sorte, cada vLAN vai caber em um / 24 e você será capaz de construir uma topologia baseada nisso. Se você não tiver a sorte de descobrir quais vLANs precisam de blocos maiores (ou menores).

3. Desenhe o que você fez até agora no papel.

4. Descobrir quais vLANs precisam se comunicar.
   Quais portas / serviços devem ser abertos entre vLANs / redes?
   Quais outras condições precisam existir para o seu ambiente funcionar?

5. Desenhe o que você criou no papel. Certifique-se de que é são e, em seguida, converta-o em política de firewall / roteador.

6. Rascunhe uma configuração de firewall / roteador. O ideal é brincar com ele em um ambiente de teste.

7. Desenhe seu comutador no papel e mapeie quais portas irão para quais vLANs.
   É útil agrupar fisicamente as conexões para que elas fiquem na mesma vLAN lógica mas isso não é estritamente necessário.

8. Transforme seu desenho de switch em uma configuração de switch. O ideal é brincar com ele em um ambiente de teste.

9. Limpe seus desenhos no papel. O desenho lógico deve se parecer com isso:
   (Aimagemfoiencolhidaparacoisasobscurasquevocênãoprecisaler)

10. Peçaaalguémparaverseudesign.
    Vocêpodeperguntarsobreafalhadoservidor,masémelhorsealguémfamiliarizadocomoseuambienteolharparaelecomoelessãomaispropensosapegarpossíveisquebras.

11. Pegueumfinaldesemanaetransformeseudesignlógicoemumarealidadefísica.
    (Nãodeveriaserprecisodizerquevocêdeveriaterumplanodereversãonocasodeascoisasdaremerrado,masestoudizendoissodequalquermaneira.)

(SevocêéMUITObom,vocêpodepularalgumasdasetapasdo"Desenhe no papel" acima, mas eu não recomendo pular essa sua primeira vez.)

Re: as duas perguntas específicas que você fez:

1)How can I segment this network with minimum down time on the devices already on the network?

Você não pode. Quebrar sua rede em vLANs exigirá uma janela de interrupção - você terá que reconfigurar seu switch, mover as máquinas para diferentes redes lógicas, configurar o roteamento, provavelmente mover alguns cabos, etc. etc. etc. Planeje uma interrupção a partir das 17h de sexta-feira e estendendo-se ao longo de um final de semana, ESPECIALMENTE se esta for sua primeira vez projetando uma rede adequadamente segmentada - você gastará algum tempo depurando coisas que quebram.

2)Can I just create Vlans and leave all these Vlans in the same laye 3 network so that they can go out of the network (I am not not concerned about Vlan routing) or I have to create subnets which means reconfiguring the existing devices (something I do not want)

Você pode? Sim.
Vai comprar alguma coisa em termos de segurança? Não realmente.
Isso tornará o projeto inteiro 10 vezes mais difícil? Absolutamente.
Você deveria projetar uma rede dessa maneira? NÃO.

How can I segment this network with minimum down time on the devices already on the network?

Deixe a rede atual como o padrão VLan. Para cada dispositivo que está sendo movido para um novo VLan, reconfigure sua porta e altere suas informações de endereço para a sub-rede correspondente, um dispositivo de cada vez.

Can I just create Vlans and leave all these Vlans in the same layer 3 network

Não. Isso é totalmente contra o próprio conceito de um VLan.

(I am not not concerned about Vlan routing)

Você deve fornecer o roteamento entre VLans para dispositivos em diferentes VLans para se comunicar.

or [do] I have to create subnets which means reconfiguring the existing devices (something I do not want)

Então você pode não desejar ter VLans.