VLAN 允许您对 l2 进行分段。如果目标是分离——为什么子网划分（l3 分离）还不够？

我猜这个：

在单个 VLAN 上拥有多个子网（反之亦然）的通信问题和安全隐患是显而易见的。

不像你说的那么清楚。

从VLAN的角度来看，VLAN就是一个广播域。当主机收到第 2 层广播时，该广播将发送到广播域中的每个主机，主机硬件必须将帧传递到网络堆栈中的更高层进行处理，以查看帧有效载荷是否以主机为目的地。这不仅会引起运行捕获软件的主机的安全问题，而且会成为一个问题，因为 VLAN 上的更多主机意味着 VLAN 上的广播甚至比添加的主机数量还要多，从而中断 LAN 上的每个主机。

VLAN 基本上会将一个广播域分解为多个广播域，就像您拥有多个、独立的、未连接的交换机一样。要将流量从一个 VLAN 传输到另一个 VLAN 需要路由器。将流量从一个第 3 层网络传输到另一个第 3 层网络也是如此，这就是第 2 层 VLAN 和第 3 层网络网格如此出色的原因。

路由器在第 3 层网络之间路由第 3 层数据包，而不是第 2 层帧，因此每个路由器接口都在不同的第 3 层网络中。由于需要路由器在 VLAN 之间移动流量，这意味着如果每个 VLAN 需要与不同的 VLAN 通信，则它需要使用不同的第 3 层网络。

您还可以在 VLAN 之间放置路由器 ACL 或路由器上的软件防火墙，但这需要在每个 VLAN 上使用不同的第 3 层网络，因为路由器在网络之间路由数据包。这可能是一个真正的安全功能或要求。

但在实践中，子网真的共享 l2 基础设施的任何部分吗？

由于 VLAN 可以对单个交换机进行分区，因此 VLAN 上的不同第 3 层网络将共享交换机硬件，但逻辑上将位于不同的交换机上，即使在同一物理交换机上。不同的三层网络也可以在交换机或路由器上共享一个物理接口，通过将接口配置为中继，使用标签将具有不同三层网络的二层帧分成不同的VLAN。

你问的是真正的以太网。有很多二层协议不使用VLAN，有的只能在一个二层局域网上使用一个三层网络。甚至取代以太网成为 LAN 之王的 Wi-Fi 也没有真正的 VLAN。它确实有单独的 SSID，可以映射到 WAP 以太网端的 VLAN，但您不太可能为每个 SSID 配置一个以上的第 3 层网络。

但是，子网提供 l3 分离。

有点，有点，不是真的。

如果您将多个子网放在同一个“链接”上（例如以太网 VLAN、wifi SSID 或其他协议的类似内容），则默认情况下不同子网上的设备不会直接向彼此发送 IPv4 单播数据包。相反，他们将通过他们的默认网关发送它们，在那里有可能对其进行过滤。

然而：

1. 此行为只是默认行为，完全可以配置设备，使其可以直接与两个子网上的设备进行通信。
2. IPv4 单播流量不是全世界，还有广播、多播和 IPv6 流量需要考虑，更不用说 IPX 和 Netbeui 等传统协议了。其中一些可能/将直接在主机之间流动，即使它们继续使用不同的 IPv4 子网。

结果是将多个子网放在同一个 L2“链接”上通常会导致分离的错觉。

在某些情况下，将多个子网放在同一个“链接”上是有意义的，例如，如果您希望某些但不是所有机器具有公共 IP，或者如果现有子网的地址已用完，但如果您想强制执行机器之间的分离那么您真的需要在单独的（物理或虚拟）链接上使用它们。

我知道了。我想我假设子网通常不会设置在同一链路上（至少对于以太网而言）。如果不是这种情况，则 VLAN 完全有意义。

是的，VLAN 的目标是允许共享物理基础设施，同时保持逻辑上的分离。

但是，如果它们位于不同的链路上，并且您想要更多的 LAN 分段，那么创建另一个子网是否是使用 VLAN 的可行替代方案？

是的，保持子网物理分离直到它们与路由器/防火墙相遇是使用 VLAN 的替代方法。有些人认为它更安全，过去肯定有过 VLAN 跳跃攻击，但 OTOH 很容易让两个应该物理上分开的网络意外互连。

您还应该知道，术语“VLAN”有点过载。根据上下文，它可以指用于标记线路上的数据包的编号，也可以指通过这样做创建的虚拟以太网网络。在大型网络基础设施中，相同的 VLAN 编号可能用于不同地方的不同虚拟以太网网络。

第 3 层提供子网之间的逻辑隔离。如果您在同一个第 2 层 [以太网或 VLAN] 上运行它们，它们实际上并没有被隔离。他们会自动看到彼此的广播流量。通过添加一条路由，它们可以直接相互交谈，绕过任何路由器、防火墙或 acl——因为它们在同一条线路上。很少有交换机可以对第 2 层端口进行第 3 层过滤。