Private VLANs werden verwendet, um VLAN-ID-Beschränkungen zu beheben, indem die logische Broadcast-Domäne weiter in mehrere kleinere Broadcast-Unterdomänen segmentiert wird.

Ein privates VLAN wird durch seine primäre VLAN-ID identifiziert. Einer primären VLAN-ID können mehrere sekundäre VLAN-IDs zugeordnet sein. Primäre VLANs sind Promiscuous, sodass Ports in einem privaten VLAN mit Ports kommunizieren können, die als primäres VLAN konfiguriert sind. Ports in einem sekundären VLAN können entweder Isoliert sein und nur mit Promiscuous-Ports kommunizieren oder es handelt sich um Community-Ports, die sowohl mit Promiscuous-Ports als auch mit anderen Ports im gleichen sekundären VLAN kommunizieren.

Wenn Sie private VLANs zwischen einem Host und dem Rest des physischen Netzwerks verwenden möchten, muss der physische Switch, der mit dem Host verbunden ist, privates VLAN unterstützen und ordnungsgemäß mit den von ESXi verwendeten VLAN-IDs konfiguriert sein, damit das private VLAN funktioniert. Für physische Switches, die dynamisches MAC+VLAN-ID-basiertes Lernen verwenden, müssen alle entsprechenden privaten VLAN-IDs zuerst in die VLAN-Datenbank des Switches eingegeben werden.