VLANS 作为一个概念随着技术或解决方案的实施而保持稳定和不变。核心概念是定义网络之间的逻辑边界集；一条信任线作为说。它的实施方式各不相同，这就是风险所在。

如果您了解在 vmware 平台下运行的 ubuntu，您可以使用诸如vconfig 之类的命令来定义 vlan 。视用途而定；您的虚拟机是双宿主的，有 (2) 个 NIC 卡位于 DMZ 中，它可能需要两个 vlan 来连接和传输数据。

就像在物理开关中一样；你想过滤或者定义一个trunk链路可以携带的vlan id；例如，您不希望 ftp 服务器 vlan 仅承载 ftp 服务器的流量，而不是其他任何东西。

对于 VLAN 间路由，您需要在第 3 层路由器上定义智能策略，以根据安全要求过滤/丢弃数据包。例如，非 ftp 用户访问 ftp 场。非标准 ftp 端口的传入流量也会被丢弃。

无论您最终拥有多少虚拟化环境，都必须通过组织环境的物理交换机/路由器。这是真正的控制/检查应该适用的地方。

在 cisco 学术界（例如 ccna 课程）中，保护 vlan 是相当普遍的，并且可以很好地逆转。你可以从这里开始。. 此链接讨论了对 vlan 协议的攻击，例如 vlan 跳跃以及可以采取哪些措施来降低风险。

好吧，VLAN 的整个概念在物理和/或虚拟中都是相同的。但是使用 VLAN 有点不同：

1. 当您处于非虚拟环境（物理）中时，您可以使用 VLAN 根据不同的标准（例如部门、位置和数据类型）隔离不同类型的流量，在这种情况下使用物理交换机。
2. 例如，在像 VMware 这样的虚拟环境中，通常我们有一些特定的流量，比如 Management、ISCSI、NFS、vMotion 等。所以你必须使用 VLAN 来根据这些类型的流量进行分离。这里，使用了两个虚拟交换机：关于我们的场景的“标准交换机”、“分布式交换机”。

恕我直言，一个人应该对基本概念和现实世界场景有很好的理解。希望它可以为您的问题提供一些线索。