VLANs privadas são usadas para resolver as limitações de ID de VLAN adicionando uma segmentação adicional do domínio de transmissão lógico em vários subdomínios de transmissão menores.

Uma VLAN privada é identificada por sua ID de VLAN primária. Uma ID de VLAN primária pode ter várias IDs de VLAN secundárias associadas a ela. As VLANs primárias são promíscuas (Promiscuous), para que as portas em uma VLAN privada possam se comunicar com as portas configuradas como a VLAN primária. As portas em uma VLAN secundária podem ser isoladas (Isolated), comunicando-se apenas com portas promíscuas, ou Comunidade (Community), comunicando-se com portas promíscuas e outras portas na mesma VLAN secundária.

Para usar VLANs privadas entre um host e o restante da rede física, o switch físico conectado ao host precisa ser capaz de VLAN privada e configurado com as IDs de VLAN sendo usadas por ESXi para a funcionalidade de VLAN privada. Para switches físicos que usam aprendizagem baseada em MAC + VLAN dinâmico, todos os IDs de VLAN privados correspondentes devem ser inseridos primeiro no banco de dados de VLAN do switch.