Les réseaux locaux virtuels (VLAN) permettent de segmenter le réseau physique de manière logique.
Il s'agit d'une méthode permettant de segmenter de façon logique un réseau physique de sorte que la connectivité de couche 2 soit limitée aux membres appartenant au même réseau local virtuel. Cette séparation est effectuée en marquant les paquets Ethernet avec leurs informations d'appartenance au réseau local virtuel (VLAN) puis en limitant la transmission aux membres de ce réseau. Le réseau local virtuel est décrit par la norme IEEE 802.1Q.
Les informations relatives aux marques du réseau local virtuel sont appelées ID VLAN (VID). Les ports d'un commutateur sont configurés en tant que membres d'un réseau local virtuel désigné par le VID pour ce port. Le VID par défaut d'un port est appelé VID de port (PVID). Il est possible d'ajouter le VID à un paquet Ethernet à l'aide d'un hôte VLAN (appartenant au réseau local virtuel) ou d'un commutateur dans le cas d'hôtes non VLAN. Par conséquent, les ports d'un commutateur Ethernet doivent être configurés à l'aide des informations indiquant si l'hôte connecté appartient au réseau local virtuel ou non.
Pour les hôtes non VLAN, un port est configuré comme non marqué et le commutateur marque tous les paquets qui entrent par ce port avec le PVID. Il va également démarquer tous les paquets qui quittent ce port avant leur transmission vers un hôte non VLAN. Un port utilisé pour connecter des hôtes non VLAN est appelé port non marqué ; il ne peut être le membre que d'un seul réseau local virtuel identifié par son PVID. Les hôtes VLAN peuvent insérer et retirer leurs propres marques et être des membres de plusieurs réseaux locaux virtuels. Ces hôtes sont en général connectés aux ports qui ne retirent pas les marques avant de transmettre les paquets à l'hôte, mais qui vont insérer la marque PVID lorsqu'un paquet non marqué entre par le port. Un port va uniquement admettre les paquets non marqués ou marqués portant la marque de l'un des réseaux locaux virtuels (VLAN) auquel il appartient. Ces règles VLAN s'ajoutent aux règles classiques de routage basées sur l'adresse MAC (contrôle d'accès obligatoire) auxquelles se conforme un commutateur. Par conséquent, un paquet avec une adresse MAC cible de diffusion ou de multidiffusion est également transmis aux ports des membres appartenant au réseau local virtuel identifié par les marques du paquet. Ce mécanisme garantit la séparation logique du réseau physique en fonction de son appartenance à un réseau local virtuel.