一個VLAN配置的實際例子

背景很簡單，和通常的eth-switch經過VLAN作成路由的方式同樣。

    首先看一種硬件效率較高的方法：

1. Port1~4做爲access口，同時在硬件上做爲用戶模式，即從PC發往這些端口的數據包，是不帶VLAN-tag的，SW硬件接收到後，會根據內部的vlan配置，若目的是同一個vlan的其餘PC，則直接轉發；若要發往CPU，則硬件自動爲它們打上tag，而後交由Kernel的vlan設備。一樣，由Kernel下發的數據包是帶tag的（由於是由vlan設備發出的），最後硬件根據tag找到對應的port後，剝去tag，發往PC。
2. Port5做爲trunk口，同時在硬件上做爲傳輸模式，（做爲WAN口）即外部PC發給它的包是要帶tag的（會有多種tag），而後硬件查看是不是發往同一個vlan的其它port的，是則直接轉發，不然，直接傳輸給CPU的Kernel的vlan設備。Kernel下發的帶tag的數據包，也直接發往PC。這裏的PC通常是外部的ISP，它們對哪些應用（如PPP、TR069等）用什麼VID有本身的要求，固然也能識別各類vlan-tag。

 

這種方法的一個缺點是，WAN口（port5）的vid不能和LAN口重合，即LAN口用了哪些vid，WAN口就不能再用了，這對ISP來講是不利的。

 

下面看另外一種方法：

    LAN口的方式不變，WAN口（port5）再也不做爲trunk口，而是和LAN口同樣，做爲access口，且硬件上採用用戶模式。

    不一樣的是，它在Kernel採用兩層vlan的方式。這就容許ISP發給SW的數據包能夠自由帶仍和vid的tag，SW硬件上會自動給數據包加上vid5（該port在SW內的vlan標示）的tag，而後交給Kernel，Kernel中的eth2.5首先剝掉vid5-tag，再根據二層vid交給相應的二層vlan設備來處理。

    這樣作的優勢就是ISP的vid再也不有限制。

    但缺點也很明顯，首先效率下降，由於大部分工做要經過Kernel軟件來完成；其次，WAN做爲access口，不可能再和LAN口直接交換。