Isso é um pouco de comparação de maçãs e laranjas. Um DMZ é um segmento de rede separado para sistemas com maior risco de comprometimento; uma vlan é um mecanismo para alcançar a separação lógica entre diferentes redes lógicas na mesma rede física.
A comparação que você provavelmente deseja fazer é a seguinte: Devo implementar minha DMZ por meio da separação física usando uma infraestrutura de rede separada ou por meio da separação lógica na mesma infraestrutura de rede?
Com a separação física, a principal barreira é o custo; você estará investindo em equipamentos de rede dedicados para o que soa como um pequeno número de sistemas DMZ. Há também tempo extra de gerenciamento envolvido na configuração e manutenção dessa infraestrutura.
Com a separação de vlan, você estará basicamente construindo a mesma infraestrutura lógica que com a separação física; uma vlan dedicada com sua própria sub-rede, o dispositivo que faz o roteamento entre as sub-redes aplicará controles de acesso, etc.
No entanto, a preocupação é a segurança; compartilhar a mesma infraestrutura física aumenta o número de possíveis superfícies de ataque para um invasor que comprometeu um dispositivo DMZ para tentar acessar a rede não DMZ.
Ao usar apenas a separação lógica, os ataques vlan hopping, bem como as explorações remotas diretas contra os dispositivos de rede acessíveis à DMZ (mas que atendem a ambas as redes) são riscos potenciais, além de um maior risco de configuração incorreta em um único dispositivo comprometendo a barreira entre as redes.