Las redes de área local virtuales (VLAN) permiten segmentar de forma lógica la red física.
VLAN es un método que segmenta de forma lógica una red física para que la conectividad de capa 2 esté restringida a miembros que pertenezcan a la misma VLAN. Esta separación se obtiene al etiquetar los paquetes Ethernet con la información de los miembros de la VLAN y restringir la entrega a los miembros de la VLAN. VLAN se describe en el estándar IEEE 802.1Q.
La información de etiquetas de la VLAN se conoce como ID VLAN (VID). Los puertos en un conmutador se configuran como miembros de una VLAN designada por el VID para el puerto. El VID por omisión de un puerto se conoce como VID de puerto (PVID). El VID se puede añadir a un paquete Ethernet utilizando un sistema principal que reconoce VLAN, o el conmutador en el caso de los sistemas principales que no reconocen VLAN. Los puertos de un conmutador Ethernet deben configurarse con información que indique si el sistema principal conectado reconoce VLAN.
Para los sistemas principales que no reconocen VLAN, se configura un puerto como sin etiquetar y el conmutador etiquetará todos los paquetes entrando a través de ese puerto con el ID de VLAN de puerto (PVID). También eliminará la etiqueta de todos los paquetes que salgan de ese puerto antes de la entrega al sistema principal que no reconoce VLAN. Un puerto utilizado para conectar sistemas principales que no reconocen VLAN se denomina un puerto sin etiquetar, y sólo puede ser miembro de una única VLAN identificada por este PVID. Los sistemas principales que reconocen VLAN pueden insertar y eliminar sus propias etiquetas y pueden ser miembros de más de una VLAN. Estos sistemas principales normalmente están conectados a puertos que no eliminan las etiquetas antes de entregar los paquetes al sistema principal, pero insertarán la etiqueta PVID cuando un paquete sin etiquetar entre en el puerto. Un puerto sólo permitirá paquetes que estén sin etiquetar o etiquetados con la etiqueta de una de las VLAN a las que pertenece el puerto. Estas reglas de VLAN se suman a las reglas de envío normales basadas en la dirección MAC (Media Access Control) que sigue un conmutador. Por lo tanto, también se entrega un paquete con un MAC de destino de multidifusión o de difusión a los puertos miembro que pertenezcan a la VLAN que identifican las etiquetas del paquete. Este mecanismo garantiza la separación lógica de la red física basada en los miembros de una VLAN.