VLAN (Virtual local area networks) consente la segmentazione logica della rete fisica.
La VLAN è un metodo per segmentare in modo logico una rete fisica cosicché la connettività a due livelli viene limitata ai membri appartenenti alla stessa VLAN. E' possibile realizzare questa separazione etichettando (con tag) i pacchetti Ethernet con le informazioni di appartenenza alla VLAN e limitandone la consegna ai membri di tale VLAN. La VLAN è definita dallo standard IEEE 802.1Q.
Le informazioni presenti sulla tag VLAN costituiscono l'ID VLAN (VID). Le porte su un commutatore vengono configurate come membri di una VLAN designata dal VID per tali porte. Il VID predefinito di una porta viene detto PVID. Il VID può essere aggiunto a un pacchetto Ethernet da un host che riconosce la VLAN o dal commutatore nel caso di host che non riconoscono la VLAN. Le porte su un commutatore Ethernet devono quindi essere configurate con informazioni che indicano se l'host collegato riconosce o meno VLAN.
Per host che non riconoscono VLAN, un porta viene impostata senza tag ed il commutatore porrà la tag su tutti i pacchetti immessi tramite quella porta con il PVID (Port VLAN ID). Il commutatore eliminerà anche la tag da tutti i pacchetti che escono da tale porta prima della consegna all'host che non riconosce la VLAN. Una porta utilizzata per collegare host che non riconoscono VLAN è denominata porta senza tag e può far parte di una sola VLAN identificata dal suo PVID. Gli host che riconoscono la VLAN possono inserire e rimuovere le proprie tag e possono fare parte di più VLAN. Tali host sono generalmente collegati a porte che non rimuovono le tag prima della consegna dei pacchetti all'host, ma inseriscono la tag PVID quando un pacchetto senza tag passa attraverso la porta. Una porta accetterà solo pacchetti senza tag o con la tag di una delle VLAN a cui la porta appartiene. Queste regole VLAN sono in aggiunta alle normali regole di inoltro basato sull'indirizzo MAC (media access control) seguite da un commutatore. Quindi, un pacchetto con un MAC di destinazione broadcast o multicast viene distribuito anche alle porte membro che appartengono alla VLAN identificata dalle tag nel pacchetto. Questo meccanismo garantisce la separazione logica della rete fisica in base all'appartenenza ad una VLAN.