VLAN 标记简而言之：

• 当端口必须仅通过一个 VLAN 的流量时，该端口在该 VLAN 上没有标记
• 当端口必须通过来自多个 VLAN 的流量时，该端口可以在一个 VLAN（端口的“本机”VLAN）上未标记，并且必须在所有其他 VLAN 上标记
• 很少有 PC 或其他 egde 设备网卡可以做 802.1Q，所以边缘端口通常只是一个 VLAN 的未标记成员，互连网络设备的链路被标记在额外的 VLAN 中

图片似乎只显示了您的 Netgear 配置，而不是物理拓扑。如果您的防火墙有 2 个端口（LAN 和 Internet），它应该像这样物理连接：

.----------.
| INTERNET |     .------------------.     .--------.
|  ROUTER  =-----= WAN    FW    LAN =-----= SWITCH |
|          |     '------------------'     '--------'
'----------'

因此，FW 和交换机之间只有一根电缆，在交换机和 FW 的 LAN 端口上创建了 VLAN。交换机和 FW LAN 端口之间的链路应该是一个标记的，所有边缘端口都未标记到它们所属的 VLAN。

如果您通过交换机端口 1 运行防火墙的 Internet 连接，将办公室 PC 连接到端口 2-4，并且端口 1-4 位于交换机上的同一 VLAN 中，则防火墙不会保护您的办公室 PC。

如果出现以下情况，您的配置应该可以正常运行：

1: Your VLAN Layer3 interfaces are properly configured on your firewall 

2: Your NetGear switch has proper tagged, untagged and PVID values set for its ports: 
    2a: Ensure that "Untagged VLAN" and "PVID" values are set: the PVID value is the second half of VLAN membership for ports on NetGear switches. 

    2b: Ensure that the firewall understands the difference between the VLANs, (for example, with a 802.1q trunk and tagged / native VLAN functionality between the switch and firewall).

非常感谢@PantherModern 和@Arimo 的两位回答者。我能够很容易地解决它，结果证明当您拥有 NetGear 路由器时，您必须确保自定义 vlan 上的所有未标记端口都具有正确的 PVID。当我这样做时，没有问题。我感谢您的所有帮助，因此我能够更好地了解我的情况。我祝福你有个美好的一天。