安全部分来自使用 VLAN。一个 VLAN 上的用户和设备不能与另一个 VLAN 上的用户和设备通信，除非通过路由器。这使您有机会对 VLAN 到 VLAN 通信设置限制（防火墙、ACL 等）。

VLAN 标记用于中继，其中来自多个 VLAN 的流量在其中传输，以便标记帧，以便交换机知道哪些帧属于哪个 VLAN。大多数终端设备不理解帧上的 VLAN 标记，将帧标记到终端设备通常会导致帧被丢弃。这部分实际上与安全无关，除非它有助于将来自多个 VLAN 的流量的中继上的流量分开。

VLAN 本身没有任何安全优势。但是，正如@ronmaupin 所暗示的那样，使用 VLAN 允许您放置访问控制列表以限制从一个 VLAN 到另一个 VLAN 的流量。因此，例如，您可以限制不安全 VLAN 上的用户访问更安全 VLAN 上的设备。

如果在一个物理端口上有多个 VLAN，您将使用 VLAN 标记。

这更多是关于为帧形成第 2 层边界并分割您的流量而不是安全性，它在某种程度上确实有帮助，因为如果没有第 3 层 ip 路由来自每个 vlan 的流量只知道连接到该主机的中继上允许的 vlan...中继携带多个 vlan 并连接第 2 层环境，能够在每个中继上允许特定 vlan 或允许所有 vlan（坏主意）。

当第三层虚拟路由接口添加到 vlan 时，它可以连接到跨越子网和网络边界的其他第三层 vlan。这当然需要路由器或第三层交换机以及路由协议来规定流量连接的规则等.....

是的。

同一 L2 域上的设备可能容易受到彼此的攻击。可以使用 ARP 欺骗、Mac 欺骗或 MAC 泛洪技术来拦截流量。IP 以外的协议可能正在运行，但保护程度不如 IP。某些软件防火墙默认信任本地子网上的设备。某些交换机具有缓解这些问题的功能，但它们是事后补充的，在某些情况下，您可能会发现您的交换机具有 IPv4 保护功能，但没有针对 IPv6 的相应功能。在同一 L2 域上的设备之间设置防火墙也很困难。

拆分 L2 域可让您减少暴露于 L2 弱点的风险，并允许您设置防火墙以控制网络不同部分之间的通信。

您可以通过构建物理上独立的网络来实现这种拆分，但这样做既昂贵又容易出错。带有标记中继的 VLAN 允许您在不付出高昂成本的情况下实现独立网络的大部分安全优势。