za mně:

- osobně nevidím přínos v oddělování serverů od pracovních stanic, nevidím v tom nějaký extrémní přínos, protože (většinou) je tak jako tak třeba stanicím vystavit "citlivé" porty (typicky RPC) - za oddělováním by vždy měl být nějaký vyšší cíl - bezpečnost, odolnost vůči chybám a výpadkům, úspory přenosového pásma apod.
- pokud už oddělovat, oddělil bych (pokud je to větší firma) jednotlivá oddělení, typicky finance/účtárna, vývoj, apod. a případně "jejich" servery - tam to smysl (logický) má, navíc oddělíš svou podstatou různé části firmy (a můžeš tak odstínit např. síťový průšvih vývojářů, který se neprojeví v účtárně (a obráceně)). Toto byl/je původní smysl VLAN
- nevím jak máte řešené wifi, ale pokud je to něco postavené na Radiusu (tj. bezpečný firemní wifi systém), opět nevidím důvod oddělovat to jen na základě jiného média.
- co se NAS týká, oddělil bych asi jen zálohovací řešení (tím omezíš případné vlivy sítě na funkci a integritu záloh)
- velikost podsítě by měla být dostatečně dimenzovaná, tj. měl by v ní být dostatečný počet rezervních IP adres.
- samozřejmě bys měl uvážit, že členové VLANy by měli většinu objemu své komunikace směrovat v rámci své VLAN (a podle toho i ty VLANy stavět)

Ad virtuální stroje: do jisté míry tohle vidím jako značné bezpečnostní riziko, neřízené (resp. běžnými usery řízené) virtuální stroje bývají zdrojem nemalých problémů (jak po SW, tak po síťové stránce), obávám se ale, že běžné počítače jsou z tohoto pohledu prakticky neřiditelné - buď jim vezmeš práva editovat nastavení virt. stroje, a pak je to polovičaté a spíše nefunkční řešení, nebo jim dáš volnost, a pak je to IT Damoklův meč nad tvou sítí. Navíc oddělit virtuální adaptér od fyzického, na který je namapován, je prakticky věc nemožná - musel bys tagovat "uvnitř" virtuálního stroje (a opět jsi tím odkázán na libovůli uživatele), nebo použít VLAN nad 3. vrstvou ISO/OSI - ale to předpokládá vlastnit odpovídající vybavení.

Když už jsem to nakousl, tak VLANy postavené nad 3. vrstvou jsou hodně progresivní (tj. VLANy jsou defacto určeny IP adresou uživatele), ale zde opět platí pravidlo "málo muziky za relativně hodně peněz")