Por que eu deveria ter um switch VLAN quando apenas posso usar uma máscara de sub-rede?

Como os sistemas podem modificar seu IP e / ou sub-rede para ver o tráfego de broadcast em outras redes no mesmo switch.

Como um exemplo prático: Imagine que no seu cenário 10.17.0.0 é a rede de alto valor, e um atacante controla um sistema no switch que atualmente tem IP 10.15.1.96

O invasor configura um alias de rede para 10.17.1.96 e prossegue para executar um ataque de envenenamento de ARP para a MiTM em todo o seu tráfego.

Não seria possível migrar para a rede 10.17.0.0 se você tivesse usado vlans ao invés de um switch.

As máquinas em cada sub-rede não poderão "ver-se" diretamente na camada 3 (IP), mas poderão ver uma a outra na camada 2 (Ethernet).

O tráfego L3 ou L2 que transborda (broadcast, multicast, unicast desconhecido) acenderá todas as portas. As máquinas em sub-redes diferentes podem não responder ao tráfego inundado, mas podem ser afetadas por ele, especialmente se houver o suficiente para congestionar uma interface. Você tem um domínio de broadcast e um maior domínio de colisão .

Uma máquina pode ter seu endereço / máscara alterado e falar com uma sub-rede para a qual não foi destinada, o que pode ter implicações de segurança.

Outros protocolos de camada 2 ou não-camada 3 passarão entre os dispositivos, mesmo se estiverem em sub-redes diferentes.

As VLANs são para quando você precisa da separação da camada 2 (alterações de nível mais baixo e impermeável pela camada 3), geralmente por motivos de desempenho ou segurança.

Se você confia em todas as máquinas da rede e não está preocupado com o fato de um domínio L2 ser inundado, basta usar sub-redes para segmentar sua rede, se achar mais simples.