VLAN是虚拟局域网的缩写，它是OSI层上物理网络交换机的虚拟分区。 它是一种保持网络客户端彼此分离的方法，即使它们使用相同的共享物理网络，也不会设置成一整个子网和一个路由器。 它通过在网络流量上添加一个标签(VLANID)来工作，并使用这个标签来路由流量，以将孤立的客户端保持在不同的VLAN中。 要使用VLAN，您需要至少2个支持VLAN特性的设备（因为任何路由都需要至少2个点），通常是高级路由器，任何OpenWrt设备，以及任何的PC或单板计算机(Windows、MacOS、Linux和BSD支持VLAN)。 openWRT支持IEEE802.1Q和IEEE802.1ad VLAN标准。

许多具有多个端口的嵌入式设备包含一个具有VLAN能力的交换机(例如，所有具有广域网端口的路由器都有一个具有VLAN能力的交换机)。单端口设备和每个端口都有以太网控制器的设备（指网卡）(例如PCEngines板或大多数PC硬件一样)将有VLAN管理的操作系统驱动程序。 具有VLAN能力的交换机是称为“管理型交换机”的独立设备的集成版本。 它连接到设备的内部“以太网”接口，它或多或少独立于主CPU。 它可以将端口放置在同一个VLAN下（它们将相互通信），只需在端口上设置正确的VLANID（下面有正确的配置），这将工作，而不管网络通信是否到达路由器CPU本身(请注意，要配置路由器本身，仍然需要至少一个VLAN才能到达CPU)。 有软件VLAN支持的设备只是一个具有许多不同以太网控制器（即网卡）的设备，因此，如果您想将两个接口放置在同一个VLAN中，并且希望这两个接口也将流量路由到彼此(就像我上面提到的那样，它们充当一个具有VLAN能力的交换机)，你也需要桥接它们(即： 两者必须在同一个界面，无论是局域网、广域网，或不管怎样)。

许多现成路由器上非常常见的默认VLAN配置是局域网/广域网分离。 在这些设备上openWrt默认配置通常会镜像库存配置。 大多数这样的路由器只包含一个网络接口(eth0网卡)，导致一个支持5端口VLAN的交换机，通过使用VLAN实际上被划分为局域网和广域网： VLAN ID Upstream: HW switch ↑↓ eth0 driver Downstream: HW switch ↑↓ physical ports CPU (eth0) LAN 1 LAN 2 LAN 3 LAN4 WAN 1 tagged untagged untagged untagged untagged off 2 tagged off off off off untagged 在本例中，LAN端口的VLANID为1，而WAN端口的VLANID为2。 请注意，“传入”和“传出”以及类似的术语指到达交换机物理端口(或内部CPU端口)的网络流量，而不是已经进入交换机的流量。

在“CPU(Eth0)网卡”上标记的意思是在本例（1，2）中使用的两个VLANID到 路由器CPU“作为标记数据”。记住：您只能将标记数据发送到配置为正确处理它的VLAN感知设备。

无标记untagged意味着在这些端口上，交换机将只接受没有任何VLANID的传入流量(即：正常的以太网流量)。 交换机将删除这些端口中传出数据的VLANID。 每个端口只能被分配为“未标记”到确切的一个VLANID。

关闭此VLANID的标记端口的任何通信量都不会到达这些端口。

标记端口tagged的目的是传递多个VLAN的流量，而非标记端口untag只接受单个VLAN的流量。 一般来说，tag标记端口将链接交换机(trunk端口类型)，未标记端口untag将链接到终端设备。 Access端口类型 然后，路由器CPU使用上面配置的标记信息来知道数据来自VLAN1(LAN)或VLAN2(WAN)，然后将相应地采取行动。 在默认配置中，CPU只接收和生成“标记”数据（因为它没有其他方法来判断什么是什么）。 CPU使用驱动级VLAN管理，因为它充当单端口设备。 请注意此示例中的WAN和LAN VLANID如何不共享任何外部端口。 任何数据要跨越广域网和局域网边界，它必须在eth0上传递CPU（其中路由器和防火墙将过滤数据）。 如上所述，没有什么可以阻止VLAN完全绕过CPU。