VLAN 提供了一个方便的句柄来将安全或 QoS 策略应用于一组设备。

VLAN 和子网还将大型广播域和故障域分解为可管理的组。

• 如果您有 VLAN 间路由，则有一个点 - 路由器 - 您可以在其中控制流量。当然，您可以有两个甚至更多的路由器来实现冗余（数量很少），但您可以有几十个交换机。
• 在例如客户端和服务器子网中拆分您的网络可以让您非常方便地将不同的安全策略应用于每个子网（区域），例如在防火墙上。
• 客户端可以很容易地在同一子网内伪造其 IP 地址（除非您实施了严格的措施，例如 DHCP 侦听和 MAC 绑定），但它不能伪造其 VLAN/子网成员身份。
• 即使是中型网络也几乎需要多个子网/VLAN 以实现可扩展性。
• 可能还有许多其他原因，为什么您希望将 VLAN（地理、限制广播域、单独管理等）分开，同时仍允许它们相互通信。

我猜广播流量不在 VLAN 之间路由？

有限广播（到 255.255.255.255）通常仅限于 VLAN = 广播域。如果您的路由器以这种方式配置，则可以路由定向子网广播（例如到 192.168.0.255/24）。

由于 VLAN 可以访问其他 VLAN，因此安全参数不适用。

您可以在 VLAN 之间设置安全性（ACL、防火墙等），但这在第 2 层广播域上要困难得多或不可能。在第 2 层 LAN 中，每个主机都可以直接访问同一 LAN 上的所有其他主机，但不能跨越第 3 层边界。

此外，第 2 层协议（STP、CDP、LLDP 等）被视为安全问题，应尽可能消除、隔离或最小化。第 2 层协议攻击在第 3 层边界处停止。（请参阅LAN 交换机安全性：黑客对您的交换机的了解。）

生成树循环和广播风暴会影响整个第 2 层广播域，但会在第 3 层边界处停止。

现代最佳实践是将第 3 层边界尽可能靠近主机。将 VLAN 隔离到单个接入交换机（接入交换机上可以有多个 VLAN，但这些 VLAN 不会扩展到任何其他接入交换机）。一种方法是通过第 3 层将接入交换机连接到分布交换机。接入交换机上的任何第 2 层问题都与该接入交换机隔离。今天，几乎没有什么要求主机在同一个二层网络上，三层分离解决了几个问题。

Vlan 和 Vlan 间的概念是成正比的

VLAN 被定义为网络的逻辑分段.. VLAN 可以根据我们的要求隔离流量..

默认情况下，不同的 Vlàns 流量不会相互通信。为了确保不同 VLAN 之间的通信，需要在第 3 层设备上启用 VLAN 间路由。