Substitua a palavra router
por firewall
e você verá os benefícios de segurança porque criou um único ponto em que todo tráfego entre VLANs deve transitar sem exigir infra-estrutura fisicamente distinta. Você pode filtrar, registrar, permitir e negar o conteúdo do seu coração.
Compare isso a uma situação em que você tem um comutador com o roteador, o computador e o servidor conectados. Vamos supor que seu servidor e seu computador doméstico estejam em sub-redes IP separadas. Nada me impediria de reatribuir o endereço do seu computador doméstico para estar na mesma sub-rede que o seu servidor (ou vice-versa) e, em seguida, enviar tráfego malicioso para ele. Se tivéssemos as VLANs configuradas de acordo com a sua pergunta, eu ainda poderia fazer isso (presumo que já desenvolvi as informações de sub-rede), mas não consegui acessar diretamente o servidor sem passar primeiro pelo roteador (e provavelmente o roteador não <<> / em> rota para esse tráfego de qualquer maneira).
Aqui está o principal benefício das VLANs: a capacidade de tratar uma infraestrutura física como várias infraestruturas físicas "discretas". Em vez de exigir a separação física, você pode conseguir algo semelhante usando VLANs separadas. Outra maneira de colocar isso é, você pode pegar um único domínio de broadcast de Camada 2 e tratá-lo como vários domínios de broadcast (que cada VLAN "mapeou" para uma sub-rede IP correspondente).