Сегодня обнаружил странную такую ситуцию:
DES-3225G
PROM version 2.01-B29
Firmware version 2.01-B55
Hardware version 04
Slot 1 TX Module
Slot 2 None

порт S1P1 отражён на порт 14. Default VLAN на них одинаковый (VLAN1). Порт S1P1 в VLAN1 (untag) и в VLAN2 (tag).
Порт 14 только в VLAN1 (untag). Для остальных VLAN'ов он Forbidden.
S1P1 воткнут в рутер Cisco3640, на этом порту 2 интерфейса: FastEthernet 0/0 и FastEthernet 0/0.2 (ecanpsulation dot1Q 2).
Порт 14 включен в Линукс, на котором считается трафик.

Наблюдается дублирование пакетов, если они рутятся из первого VLAN'а во второй. И вообще: пакеты, покидающие порт S1P1, всегда пробрасываются на 14 порт без меток VLAN, независимо от их принадлежности. Входящие на S1P1 пакеты разбираются нормально: то есть я вижу на отражённом порту пакеты из VLAN1, и не вижу из VLAN2.

Аналогичная схема на DES-3226s работала нормально, пакеты из других VLAN'ов приходили с метками. Forbidden там не использовался.