Ein Virtual Local Area Network (VLAN) ist eine logische Struktur innerhalb eines LANs und wird in IEEE 802.1Q (Virtual LAN) beschrieben. Durch VLANs können innerhalb einer  Netzwerktopologie virtuelle Gruppen relativ frei definiert und administriert werden.  Netzwerkteilnehmer innerhalb des VLANs können miteinander kommunizieren, unabhängig von der physikalischen Ausdehnung des LANs. Die Teilnehmer einer Gruppe greifen oftmals auf denselben Datenbestand zu.  Realisiert werden VLANS durch Bridges bzw. Switches. Mit Hilfe von Bridges können VLAN-Topologien realisiert und verwaltet werden,  sofern die zu überbrückenden Netzwerke durch Bridges verbunden sind (Bridged LAN).

Vorteile von Virtual-LANs 
Die Vorteile von VLANs bestehen darin, dass Router explizit nicht notwendig sind und sich damit Antwortzeiten verringern. Grosse Netzwerke, die durch Switches realisert sind, können  über sehr viele Stationen verfügen, so dass eine Unterteilung in VLANs einige Vorteile wie bessere Leistung, Flexibilität oder Sicherheit bringen. Beispielsweise ist in Layer-2 geswitchten Netzen ARP-Spoofing möglich,  nicht jedoch zwischen gerouteten VLANs. In VLANs können auch Firewalls eingesetzt werden.  Der Traffic zwischen VLANs wird mit Routern bewältigt. Jedes VLAN-Segment eines Netzwerkes bildet eine eigene Broadcast-Domäne. Um verschiedene Netzwerksegmente einem  VLAN zuzuordnen, können Portzuordnungen an Switchen vorgenommen werden oder, als dynamische Methode, durch MAC-Adressen, IP-Adressen oder anderen höheren Protokollen wie UDP-Ports oder TCP-Ports. 

VTP
Um Daten zwischen VLANs zu routen, die sich über mehrere Switches erstrecken ist ein Kabel erforderlich oder VLAN-Trunks nach dem VLAN Truncing Protocol, dass zur  Administration und Konfiguration von VLANs in Cisco-Netzen entwickelt wurde. Durch VLAN-Trunks (VLT) werden Daten der einzelnen VLANs durch einen einzigen Vermittlungspunkt weitergeleitet; dies kann durch einen einzelnen Port  geschehen oder durch die Zusammenfassung mehrer Ports durch Link Aggregation.  Manche Switche können ebenfalls die Routing-Funktion zwischen VLANs übernehmen (Layer-3-Switch). Die VLAN-Technologie ist auch der Bildung von Subnetzen überlegen, insofern als der Wechsel von einem VLAN zu einem anderen am Verbindungspunkt  (Multi-Layer-Switch, Router) stattfinden kann, ohne dass eine physikalische Verbindung geändert werden muss.

Statische VLANs 
Statische VLANS werden durch einen Port eines Switches zugeordnet (Port-basiert). Wenn ein Port mehreren VLANS zugeordnet ist spricht man von einem Trunk-Port.

Dynamische VLANs 
Dynamische VLANs können durch Einbeziehung eines Datenframes zu einem VLAN anhand bestimmter Kriterien errichtet werden. Diese Kriterien beziehen sich auf Inhalte des Datenframes und werden auf Grundlage der  MAC-Adresse oder der IP-Adresse oder der Layer-4-Port-Nummer ermittelt.

Tagging in Virtual LANs
Falls sich VLANs über mehrere Switche aufbauen kommt ein Tagging der Datenframes zum Einsatz, die die Zugehörigkeit zu einem  VLAN angeben. Standard ist das explizite Tagging, bei dem gesonderte Informationen zum VLAN an das Datenframe angehängt werden.

Datenframe 
Als Datenframe bezeichnet man ein Protocol Data Unit aus der OSI-Layer-2 (Sicherungsschicht). Er besteht aus Trennzeichen, Ziel- und Quell-Adressen,  Steuerinformationen, Nutzdaten (des Paketes von OSI Layer 3: Netzwerkschicht, Vermittlungsschicht) und Prüfsummen. 

Praktischer Nutzen
VPNs können der Kostensenkung dienen, da das Internet als Transportmedium genutzt werden kann, z.B. zum Einwählen in ein Firmennetzwerk für einen Home-Office Arbeitsplatz  oder einer mobilen Datenstation. Mit Hilfe von VPNs können auch zwei Firmen-Standorte miteinander verbunden werden. Diese Verbindungen werden oft mit Hilfe des IPsec Protokolls realisiert.