Hur enklast ställer man in så att inkommande trafik från ett visst IP eller adress till alla enheter som är i t.ex. VLAN 5 (t.ex. äkta SIP telefon, Raspberry PBX växel etc) släpps in och resten droppas. Dvs enheterna på VLAN 5 kan endas ta emot WAN trafik från få utvalda ställen t.ex. ISP:s datorer som kör IP-PBX och SIP telefonens tillverkare där man kan ladda ner uppdaterad firmware). Enheterna i VLAN 5 borde enbart kunna skicka trafik ut på WAN till samma ställen som nämnt ovan, trafik som inte uppfyller villkoren droppas. Man borde inte behöva öppna portar i det här fallet.
Övriga enheter som inte är i VLAN 5 har inte sådana begränsningar.
