子网是确定哪些主机“假定在链接上”的 IP 堆栈方式。如果地址在同一子网中，流量将直接发送，否则将发送到路由器（默认情况下）。

VLAN 是一种将物理以太网网络拆分为多个虚拟以太网网络的方法。

如果您将具有不同子网的主机放在同一个未分区的以太网网络上，则 IPv4 单播流量（以及可能的 IPv6 全局单播流量，取决于您在客户端上设置 IPv6 路由的方式）将默认流经可以设置防火墙的路由器。然而。

1. 一个子网上主机的恶意用户可以轻松地在另一个子网上为自己添加一个辅助 IP，并使用它直接绕过路由器/防火墙与该子网上的机器对话。
2. 广播流量、多播流量、IPv6 链路本地流量、非 IP 流量等可以绕过路由器/防火墙直接在系统之间流动。
3. ARP 中毒、MAC 泛洪等低级别攻击不会关心机器应该位于哪个子网。

如果您希望 L3 防火墙提供的不仅仅是隔离的错觉，那么您需要物理或虚拟地拆分 L2 网络。

通常情况下，您会为每个第 2 层 VLAN 使用单独的第 3 层网络。然后，您可以在第 3 层网络之间使用第 3 层安全策略（ACL、防火墙等），并获得完整的第 2 层分离。在同一个第 2 层 LAN 上为 IPv4 使用多个第 3 层网络是很少见的，您应该真正了解自己在做什么，并且出于特定原因这样做。

您没有提供足够的信息来正确回答您的最后两个问题。

如果您在单个第 2 层网络中运行单独的 IP 子网，则任何客户端都可以同时切换子网或连接到多个子网。此外，在单个 L2 网段 = 广播域中动态分配来自多个子网的 IP 地址可能具有挑战性。

对于基于子网（区域）的任何安全性，您需要第 2 层分离 = 单独的 VLAN 并控制其间的通信。

L2 分离意味着 L3 分离。L3 分离不一定意味着 L2 分离，但要实施安全区域，您需要 VLAN 分离。

我没有看到其他人提到它，但是，您不仅在使用 VLAN 时将广播域分开，而且还添加了另一层安全/粒度，因为 VLAN 是在接入层端口接口上定义的。