1. Vlan бывают транковые и нет. В чём разница, зачем? Может, ещё какие бывают?
Транковый вилан (точнее, транковый порт) добавляет к каждому исходящему и читает из входящего тэг, который состоит из 2 байт, максимальное количество виланов там - 4096. По этому тэгу оборудование определяет принадлежность пакета к той или иной виртуальной сети. Так же порт может быть настроен так, что в него "выходят" пакеты, принадлежащие определённому вилану, но выходят они уже БЕЗ тэга, а коммутатор просто знает, что пакеты этого порта будут принадлежать такому-то вилану. Это называется "без тэга, но в вилане". :)
2. Железка на пакеты вешает ярлык vlan`а, верно? Там айдишник и всё такое. Другая железка берёт этот айдишник и сравнивает со своими, верно? Значит, vlan`ы на двух железках должны иметь одинаковые айдишники?
Другая ситуация - есть линк между коммутаторами, и нужно чтобы один и тот же вилан был видим на обоих коммутаторах - тогда вешаем на пакеты тэг и отправляем их туда. По тэгам, опять же, будет определена принадлежность трафика, и он будет правильно разделен. Конечно, в этом случае ID одного и того же вилана должен быть одинаков на обоих коммутаторах, иначе пакеты просто потеряются (не вдаваясь в подробности). Ну и таким образом через один линк можно передавать любое количество виланов, в пределах 4096 и мощности оборудования.
3. Иногда вижу, что надо настраивать дополнительно и сами ПК. Зачем? Вроде всё железки делать должны.
Всё верно. Если настроено, что "порт принадлежит 3-му вилану без тэга" - ПК увидит этот пакет без тэгов и даже ничего не заподозрит, без всяких костылей и танцев с бубном, но внутри коммутатора он будет явно выделен в вилан. Если же необходимо послать на ПК, например, несколько виланов на одну сетевую карту (мало ли, ограничения какие-нибудь), то можно один вилан послать без тэга (хоть и не обязательно), а остальные - в тэге. В этом случае нужны дрова на сетевую карту, которые поддерживают виланы, и с их помощью будут созданы виртуальные интерфейсы по одному на каждый тэгированный вилан. Их количество определяется Вашей настройкой (добавляется вилан -> появляется интерфейс).
Чтобы народ, находящийся в разных виланах, видел друг друга, необходимо, чтобы в обоих виланах висело по одному интерфейсу роутера (в простейшем случае - одного и того же роутера) в качестве шлюза, и роутер уже будет переправлять трафик между виланами и подсетями. Ну а дальше на роутере можно и безопасность накрутить, т.к. единственная точка "перехода" трафика между виланами - будет этот роутер. Без этого роутера ПК в разных виланах друг друга не увидят.