VLAN's (Virtual Local Area Networks) biedt het fysieke netwerk de mogelijkheid om te worden opgedeeld in logische segmenten.
VLAN is een methode om een fysiek netwerk zodanig in logische segmenten in te delen dat de connectiviteit van laag 2 wordt beperkt tot leden die tot hetzelfde VLAN behoren. Deze indeling wordt tot stand gebracht door Ethernet-pakketten te voorzien van de bijbehorende VLAN-lidmaatschapsgegevens en vervolgens de aflevering ervan te beperken tot leden van dat VLAN. VLAN wordt gekarakteriseerd door de IEEE 802.1Q-standaard.
De VLAN-labelgegevens worden het VLAN-ID (VID) genoemd. Poorten op een switch worden geconfigureerd als zijnde leden van een VLAN dat met het VID voor die poort wordt aangeduid. Het standaard VID voor een poort wordt het poort-VID (PVID) genoemd. Het VID kan aan een Ethernet-pakket worden toegevoegd door een host die signaleert dat VLAN aanwezig is of door de switch in het geval van hosts die niet signaleren dat VLAN niet aanwezig is. Daarom moeten poorten op een Ethernet-switch worden geconfigureerd met informatie die aangeeft of de host waarmee verbinding wordt gemaakt de aanwezigheid van VLAN signaleert.
Voor hosts die niet signaleren dat VLAN aanwezig is, wordt een ongelabelde poort ingesteld en alle pakketten die door die poort binnenkomen worden door de switch gelabeld met het poort-VLAN-ID (PVID). Daarnaast verwijdert de switch de labels van alle pakketten die de poort verlaten voordat deze worden geleverd aan de host die geen VLAN signaleert. Een poort die wordt gebruikt voor verbindingen met hosts die geen VLAN signaleren wordt een niet-gelabelde poort genoemd. Een dergelijke poort kan slechts lid zijn van één VLAN en wordt aangeduid met het bijbehorende PVID. Hosts die wel signaleren of VLAN aanwezig is, kunnen hun eigen labels invoegen en verwijderen en kunnen lid zijn van meer dan een VLAN. Deze hosts zijn meestal verbonden met poorten die geen labels verwijderen voordat de pakketten aan de host worden geleverd, maar een PVID-label invoegen als er een ongelabeld pakket de poort binnenkomt. Een poort accepteert alleen pakketten die geen label hebben of die gelabeld zijn met het label van een van de VLAN's waartoe de poort behoort. Deze VLAN-regels zijn een aanvulling op de reguliere, op een MAC (Media Access Control)-adres gebaseerde doorzendregels die door een switch worden gehanteerd. Een pakket met een broadcast- of multicastbestemmings-MAC wordt daarom ook geleverd aan lidmaatschapspoorten die behoren tot het VLAN dat met de labels (tags) in het pakket wordt geïdentificeerd. Dit mechanisme zorgt voor een logische indeling van het fysieke netwerk op basis van het lidmaatschap van een VLAN.