так он и не является шлюзом, в роли шлюза выступает OpnSense.
Схема такая: шлюз OpnSense - транк в ядро (SNR -S2995) - звездой в остальные коммутаторы (S2990). Соответственно на шлюзе настроены все необходимые vlan'ы и с него транслируются в коммутаторы. Вся маршрутизация происходит на шлюзе.
По поводу подсетей: есть основная подсеть (172.16.0.0/16), в которой на данный момент находится практически всё: железные рабочие места, виртуалки, камеры и проче необходимое IP-железо, которое просто получает свои адреса по dhcp из общей сети. Сейчас было принято решение, что всё офисное оборудование (телефоны, офисные камеры, управлялки коммутаторов, скуды) нужно перетащить в отдельный vlan, чтобы, во-первых, оно не светилось в общей сети, во-вторых, ограничить доступ к ним админским отделом. Ну и в данный момент остались только коммутаторы, с которыми и бьюсь