100 个服务器和 200 个用户 - 有很多方法可以隔离它们。但是由于您已经明确表示要按功能（prod、db、web 等）进行划分，因此我建议如下：

服务器：取当前位于 /20 上的 100 个服务器。按功能划分它们。对于每个功能，添加“增长空间”。这可能是最难的部分。但最好在这个阶段进行计划。然后开始子网划分。

根据您的要求，始终使用一致的掩码可能有意义也可能没有意义。假设一个子网只需要 4 个 ip，另一个需要 200 个，那么始终保持 /24 是没有意义的。但如果数字或多或少相同，则使用相同的掩码。当您稍后尝试自动化时，一致性将得到回报。

用户：然后获取用户网络，并将其划分为类似于您为服务器所做的那样。我想这些都是相互独立的。您将在更高的协议层上拥有 IP ACL，以控制访问。

您可以创建访问列表，该列表可以应用于传出方向的接口，将一些流量与您需要的 IP 匹配。

你也可以在你的服务器上使用 iptables。但是，另一方面，为什么要使用 vlan？

我会为需要分离的每个组创建 VLAN（带 SVI）。这是最容易的部分。就权限而言，您可以通过 AD 以简单的方式实现，或者通过基于分配给他们的用户 IP 地址的访问列表来实现困难的方式。您可以在 DHCP 中使用预留，但在您所说的规模上，这永远不会有效地工作。有一些很好的安全工具 (Cisco ISE) 可以查看流量​​类型并根据用户/系统等允许或阻止。