Внутри же сегмента обычно получается довольно доверительная атмосфера общения между компьютерами. Ну, привязка к mac-адресу... ну, запрет спуфинга... учинять что-то более серьёзное – сил не хватит обслуживать .
Поделить на сегменты можно и локальную сеть с одинаковым уровнем безопасности, если эта сеть достаточно велика. Так делят на отсеки корабль, чтобы пробоина привела к затоплению только одного сегмента, но не судна в целом.
Чем обширнее один сегмент, тем меньше времени и сил мы тратим при его настройке и обслуживании. Но тем больше будет область поражения и последующего восстановления в случае инцидента. Очевидно, где-то имеется оптимум.