仮想ローカル・エリア・ネットワーク (VLAN) により、物理ネットワークを論理的にセグメント化することができます。
VLAN は、レイヤー 2 接続を同じ VLAN に属するメンバーに限定するなど、物理ネットワークを論理的にセグメント化する方式です。このセグメント化は、イーサネット・パケットにその VLAN メンバーシップ情報でタグ付けしてから、 送達をその VLAN のメンバーに限定することによって行われます。 VLAN は、IEEE 802.1Q 標準によって記述されています。
この VLAN タグ情報を VLAN ID (VID) といいます。 スイッチ上のポートは、 そのポートの VID によって指定された VLAN のメンバーとして構成されます。 ポートのデフォルト VID は、ポート VID (PVID) といいます。 VID は、VLAN 認知ホスト、または VLAN 非認知の場合はスイッチのいずれかによって、イーサネット・パケットに追加できます。 したがって、イーサネット・スイッチ上のポートは、 接続されたホストが VLAN 認知かどうかを示す情報によって構成する必要があります。
VLAN 非認知ホストの場合、ポートはタグなしとしてセットアップされ、スイッチは、そのポートを介して入ってくるすべてのパケットにポート VLAN ID (PVID) のタグを付けます。 さらに、VLAN 非認知ホストへの送達前に、 そのポートを出るすべてのパケットのタグを外します。 VLAN 非認知ホストの接続に使用するポートは、「タグなしポート」と呼ばれ、その PVID によって識別された単一の VLAN のメンバーにのみなることができます。VLAN 認知であるホストは、その独自のタグを挿入、かつ除去でき、複数の VLAN のメンバーになることができます。 これらのホストは、一般的には、パケットをホストに引き渡す前にタグを除去しないで、タグなしパケットがポートに入る際に PVID タグを挿入するポートに接続されます。 ポートで使用できるのは、タグなしのパケットか、 あるいはポートが属するいずれかの VLAN のタグが付いたパケットに限られます。 これらの VLAN の規則は、スイッチが従う通常のメディア・アクセス制御 (MAC) アドレス・ベースの転送規則に 追加されます。 したがって、ブロードキャストまたはマルチキャスト宛先 MAC のパケットは、 パケット内のタグで識別される VLAN に属するメンバー・ポートにも引き渡されます。 このメカニズムによって、VLAN のメンバーシップに基づく物理ネットワークの論理分離が 保証されます。