O que você está pedindo é possível alcançar com VLANs. Será até possível em alguns switches não gerenciados, embora um switch gerenciável lhe dê mais opções.
Você pode deixar seus IPs públicos na VLAN não marcada, o que significa que o segmento de IP público funcionará normalmente e não precisará de alterações de configuração no roteador do outro lado do switch.
Em seguida, em cada host, você cria uma interface virtual para uma tag de VLAN e a utiliza para seu segmento interno. Por exemplo, se você usa o Linux, o comando a usar poderia ser vconfig add eth0 10 , o que criaria uma interface chamada eth0.10 e enviaria e receberia pacotes com a tag VLAN número 10. Você pode abrir essas interfaces virtuais em cada host, da mesma forma que se eles fossem uma interface física.
Se for um switch não gerenciado capaz de trocar pacotes marcados, então não há nada mais para isso.
Se for um switch gerenciado, pode não permitir os pacotes marcados por padrão. Nesse caso, você teria que ativar a tag VLAN em cada porta na configuração do switch. Um switch gerenciado oferece algumas outras opções.
Se você tiver portas sobressalentes no switch, você pode escolher que elas sejam usadas para as portas, que estão atualmente conectadas através de cabo crossover. Antes de conectá-los, você precisa configurar as VLANs no switch.
Você pode configurar todas as portas usadas atualmente para usar a VLAN 1 como não marcada e a VLAN 2 como marcada. E você poderia configurar as portas a serem conectadas ao lado para usar a VLAN 2 como não marcada e a VLAN 1 como marcada.
Em seguida, você pode conectar cada uma dessas portas ao switch em vez de usar um cabo crossover. Dessa forma, você pode começar com as VLANs sem precisar reconfigurar os servidores imediatamente.
O próximo servidor que você adicionar poderia ter apenas uma conexão de rede, que poderia ter acesso a ambas as VLANs. Nesse ponto, você teria que decidir qual VLAN estaria sem tag, se algum deles.