Funktionsweise
Ein auf einem Switchport eintreffendes Paket wird mit einem VLAN Anhang (Tag) versehen, d.h. das Ethernet-Paket wird um 4 Byte erweitert. Davon sind 12 bit zur Aufnahme der VLAN ID vorgesehen, so dass insgesamt 4096 VLANs möglich sind. Wenn dieses Paket den Switch zum Zielrechner verläßt, wird dieses Tag wieder entfernt. Jedes VLAN bekommt eine eindeutige Nummer zugeordnet. Man nennt diese Nummer VLAN ID. Ein Gerät, das zum VLAN mit der ID=1 gehört, kann mit jedem anderen Gerät im gleichen VLAN kommunizieren, nicht jedoch mit einem Gerät in einem der anderen VLANs ID=2,3,..

VLANs bieten Benutzern mehr Bandbreite als ein gemeinsames Netz

Benutzer, die mit demselben gemeinsamen LAN-Segment verbunden sind, verwenden die Bandbreite des Segments gemeinsam. Je mehr Benutzer mit dem gemeinsamen Medium verbunden sind, desto geringer sind also die wirklich zur Verfügung stehende Bandbreite und die Netzleistung.
VLANs unterteilen bestehende Netze logisch, somit entstehen verschiedene Broadcast-Domänen. Dabei kann jeder Switch-Port einem anderen VLAN zugewiesen werden. Ports, die demselben VLAN zugeordnet sind, liegen also in einer Broadcast-Domäne. (Abb.1) Ports, die nicht zu diesem VLAN gehören, haben an diesen Broadcasts keinen Anteil. Dadurch wird die Gesamtleistung des Netzes verbessert.

VLANs bieten mehr Sicherheit als ein gemeinsames Netz

Switches dürfen Datenverkehr nur innerhalb der einzelnen VLANs passieren lassen, da sonst die Integrität der VLAN-Broadcast-Domäne verletzt würde. Da jedem VLAN eine eindeutige Netzadresse zugewiesen werden muss, ist ein Router notwendig, um Pakete zwischen den einzelnen VLANs weiter zu reichen. (Abb. 2) Somit kann der Datenfluss vom Administrator optimal kontrolliert und den Bedürfnissen entsprechend reglementiert werden. Die Segmentierung von Netzwerken durch VLANs ist einer physikalischen Trennung gleichzusetzen.