VLAN的主要目的是隔离计算机。

VLANS 的重点是允许您分离物理和逻辑网络结构。

在这种情况下，是否有兴趣在交换机上使用 VLAN？实际上，路由器的良好配置将执行隔离。

需要考虑三种情况。

1. 这些机器都在同一个没有 VLAN 的以太网上。在这种情况下，即使机器位于不同的子网中，它们也不会被隔离。默认情况下，不同子网之间的 IPv4 单播流量将通过路由器进行过滤，但广播到 255.255.255.255 和 IPv6 链路本地流量将直接在机器之间传递。此外，如果有人确实想绕过路由器发送 IPv4 单播流量，他们只需要向他们的 NIC 添加第二个 IP 地址。
2. 这些机器位于两个物理上独立的以太网网络上，连接到路由器上的不同端口。在这种情况下，路由器可以可靠地控制两组计算机之间的通信，但维护两个或更多物理上独立的网络是一个 PITA（很可能迟早会有一些 numpy 将它们互连）。
3. 这些机器位于同一物理以太网网络上的不同 VLAN 上。这为您提供了两全其美的体验。路由器控制两组计算机之间的通信，但您只需要维护一个物理基础设施。

VLAN的主要目的是隔离计算机

这是不正确的。VLAN 将在交换机上创建单独的第 2 层广播域，默认情况下，整个交换机将位于单个第 2 层广播域中。

需要第 3 层设备（路由器）在第 2 层 VLAN 之间传输流量，就像 VLAN 是连接到不同路由器接口的单独 LAN 一样。

可以使用 ACL 或防火墙来限制路由器上 VLAN 之间的流量。

我们生活在第 3 层世界中。它曾经是，“在你可以切换的地方，在你必须的地方路由”，但这个概念不再正确。路由器，包括第 3 层交换机，可以很容易地为 VLAN 提供虚拟接口，与隔离第 2 层广播域的物理路由器接口相比，这非常便宜，并且网络安全性比以前重要得多.

第 2 层协议只是没有跟上现实。特别是，STP，甚至 RSTP，都可能存在问题。有一些替代品，例如 TRILL，力求消除对 STP 的需求，但它们目前仅限于数据中心，而且大多数都不能互操作或者是专有的。

思科在第 2 层设计方面有一些最佳实践，包括将每个 VLAN 限制为单个接入交换机和使用路由，而不是让 VLAN 分布在许多接入交换机上。推荐的最佳实践将几乎消除 STP 问题，例如广播风暴，它会削弱大型网络。

VLAN 限制 BUM 流量的范围并隔离故障域。

VLAN 定义了以太网的范围，它可能存在于单个或多个交换机上的任意数量的端口上。多个子网可以通过单个 VLAN 进行通信，但您通常会看到每个 VLAN 有一个子网。

如果在共享 VLAN 上，最终用户可以添加辅助 IP 地址以切换子网。