入过滤（Ingress Filtering）

入端口（ingress port）是交换机上的这样一个端口——数据包从该端口流入交换机，并且必须在该端口确定其vlan 属性。如果端口的入站过滤（ingress filtering）被设置为生效（enabled），那么，交换机将检查数据包包头中的vlan 信息（如果存在的话），并决定是否转发该数据包。
如果数据包中包含vlan 信息（即被加过标记），那么，入端口首先判定入端口本身是否是标记vlan 的成员端口。如果不是，那么，该数据包将被丢弃，不进行传送。如果是成员端口，那么，交换机将进一步判定目的端口是否是标记vlan 的成员端口。如果不是，那么，该数据包也将被丢弃；反之，该数据包将被转发到目的端口。
如果数据包中不包含vlan 信息（即未被加过标记），那么，入端口将用其pvid 作为数据包的vid 为数据包加上标记（如果该端口是tagging port）。交换机随后判断目的端口是否与入端口属于同一个vlan（即具有相同的vid），如果不是，那么，该数据包将被丢弃，不进行传送。反之，该数据包将被转发到目的端口。
这就是入站过滤（ingress filtering）。在入端口处就丢弃掉那些不在同一个vlan 中的数据包，可以尽可能地保存带宽， 减少后续的目的端口处理数据包的工作量。