Un detalle muy importante a tener en cuenta. El aislamiento del tráfico que se logra usando VLANs solo es a capa 2.
Más técnicamente hablando estamos aislando los dominios de broadcast.

Eso no implica que los equipos estarán aislados en capa 3.
Es decir que las redes 192.168.10.x/24 y 192.168.20.x/24 aunque estén aisladas en capa 2 (usando VLANs) siempre tendrán conectividad en capa 3 a menos que un firewall lo bloquee.