Las VLAN privadas se utilizan para resolver limitaciones de identificador de VLAN y el desperdicio de direcciones IP para ciertas instalaciones de red.

Una VLAN privada se identifica con el identificador de VLAN principal. Un identificador de VLAN principal puede tener varios identificadores de VLAN secundarios asociados. Las VLAN principales son Promiscuous (Promiscuas) para que los puertos de una VLAN privada puedan comunicarse con puertos configurados como la VLAN principal. Los puertos en una VLAN secundaria pueden ser Isolated (Aislados) y comunicarse solo con puertos promiscuos o Community (Comunitarios) y comunicarse tanto con puertos promiscuos como con otros en la misma VLAN secundaria.

Para utilizar VLAN privadas entre un host y el resto de la red física, el conmutador físico conectado al host necesita ser compatible con VLAN privada y estar configurado con los identificadores de VLAN que utiliza ESXi para la funcionalidad de VLAN privada. En el caso de los conmutadores físicos que utilizan aprendizaje basado en identificador de MAC+VLAN, todos los identificadores de VLAN privados correspondientes primero deben introducirse a la base de datos VLAN del conmutador.