Das hat was mit der Architektur des Wrt zu tun.

Dort ist ein frei programmierbarer Switch (nicht alle Routermodelle!), welcher 5(6) Ports hat.
Ports 1-4 in je ein VLAN, der 5te ist in alle 4 VLans.
Der 5 Port ist die Netzwerkkarte in den Microcontroller.
Der Port 5 ist dann Tagged.

Damit kann nun der Kernel auf die 4 einzelnen Ports zugreifen ohne das diese sich untereinander sehen.
Nun kommt der Netzwerkstack des Kernels die 4 Vlans können mit Bridging zusammen geführt werden.
Dann hat man eine weiteren "switch" und kann dann nur Pakete Filtern.
Andere Variante ohne Bridging ist dann Routing.

http://wiki.openwrt.org/doc/uci/network