Attraverso le VLAN (Virtual Local Area Network), uno switch può mettere a disposizione più sottoreti logiche isolate ed indipendenti. Attraverso una ‘etichetta’, il TAG, associata ad ogni pacchetto ethernet, lo switch identifica la VLAN di appartenenza del pacchetto consentendone l’inoltro verso le porte designate per la VLAN. Lo standard che regola tale meccanismo è l'802.1Q.

I dispositivi che implementano le VLAN possono gestire correttamente il TAG e i relativi meccanismi, mentre i dispositivi che non supportando le VLAN devono essere abbinati a porte dello switch che provvedono ad aggiungere o rimuovere gli opportuni TAG.

In questo modo diverse sottoreti (VLAN) possono essere distribuite sulle porte di un unico switch consentendo di separare il traffico in base alla tipologia, ad esempio separare il traffico dati, dalla telefonia. Si può anche destinare una sottorete per fornire l’accesso ad internet per gli ospiti.

La suddivisione consente di separare in più domini di collisione l’infrastruttura di rete aziendale, migliorando l’efficienza e porre le basi per implementare una migliore politica di sicurezza, isolando, come nell’esempio, traffico destinato a diverse aree aziendali o ad utenti non aziendali.

Nella struttura proposta le varie VLAN non sono in grado di scambiare traffico. Se ad esempio l’accesso ad internet è inglobato nella VLAN dati (A), la VLAN ospiti (B) non potrà accedere ad internet, cosa non sempre desiderata.