Não gerenciado, é um switch básico, apenas passa pacotes de A para B.
L2, fará segregação básica baseada em coisas como vLan, e normalmente fará QoS, e poderá fazer outras coisas como GVRP. Isso é mais útil quando usado em conjunto com um comutador de núcleo L3 ou com um roteador que suporte totalmente vLans.
L3, fará o roteamento entre diferentes sub-redes em diferentes vLans e poderá fazer modelagem básica de tráfego (depende do fabricante e do modelo). Pode suportar ACLs, mas não é muito comum. Isso é mais útil como um núcleo de comutação em uma rede semi-complicada.
L4, é basicamente um simples roteador com uma tonelada de portas. Estes permitem redes muito complicadas, e o preço reflete isso. Normalmente, eles têm todos os recursos mencionados acima, além de todos os recursos normalmente encontrados em roteadores mais baratos (de nível comercial).
Editar:
Geralmente, as pessoas usam vLans para separar diferentes tipos de tráfego. É comum os telefones VoIP usarem um vLan diferente para o tráfego de voz do que o tráfego de rede "normal". Também é comum separar as redes SAN e Management do resto da rede. Particularmente com os recursos de gerenciamento, é conveniente ter um switch L3 / 4 com ACLs, de modo que somente os computadores Admin possam acessar os controladores de gerenciamento (iLO / iLOM, UPS conectadas em rede). Antes de qualquer um iniciar um argumento "você não confia em seus funcionários", às vezes é melhor apenas saber quem pode / não pode acessar as coisas.
Além disso, você pode usar vLans para criar uma rede de visitantes. Dessa forma, determinados portos (em salas de conferência, salas de espera ou áreas públicas) podem ser usados pelos hóspedes / visitantes sem deixá-los em sua rede.
A maioria dessas coisas pode ser realizada com um switch L2 e um roteador vLan aware. No entanto, esta opção irá reduzir o seu tecido de comutação vLan para os links para o roteador; que pode não ser suficiente largura de banda (depende da sua rede e requisitos).