Las VLAN privadas permiten resolver las limitaciones de identificador de VLAN al agregar una segmentación adicional del dominio de difusión lógico en varios subdominios de difusión más reducidos.
Una VLAN privada se identifica con el identificador de VLAN principal. Un identificador de VLAN principal puede tener varios identificadores de VLAN secundarios asociados. Las VLAN principales son Promiscuas para que los puertos de una VLAN privada puedan comunicarse con puertos configurados como la VLAN principal. Los puertos en una VLAN secundaria pueden ser Aislados y comunicarse solo con puertos promiscuos o Comunitarios y comunicarse tanto con puertos promiscuos como con otros en la misma VLAN secundaria.
Para utilizar VLAN privadas entre un host y el resto de la red física, el conmutador físico conectado al host necesita ser compatible con VLAN privada y estar configurado con los identificadores de VLAN que utiliza ESXi para la funcionalidad de VLAN privada. En el caso de los conmutadores físicos que utilizan aprendizaje basado en identificador de MAC+VLAN, todos los identificadores de VLAN privados correspondientes primero deben introducirse a la base de datos VLAN del conmutador.