Les VLAN privés servent à résoudre les restrictions d'ID VLAN en ajoutant une segmentation supplémentaire du domaine de diffusion logique à plusieurs sous-domaines de diffusion plus petits.

Un VLAN privé est identifié par son ID VLAN primaire. un ID VLAN primaire peut avoir plusieurs ID VLAN associées. Les VLAN primaires sont Promiscuité, afin que les ports sur un VLAN privé puissent communiquer avec des ports configurés en tant que VLAN primaire. Des ports sur un VLAN secondaire peuvent être Isolé et communiquer uniquement avec des ports de promiscuité, ou Communauté et communiquer avec des ports de promiscuité et d'autres ports sur le même VLAN secondaire.

Pour utiliser des VLAN privés entre un hôte et le reste du réseau physique, le commutateur physique connecté à l'hôte doit être un VLAN privé compatible et configuré avec les ID VLAN utilisés par ESXi pour la fonctionnalité VLAN privée. Pour les commutateurs physiques utilisant un apprentissage par ID VLAN+MAC dynamique, toutes les ID VLAN privé correspondantes doivent être d'abord entrées dans la base de données VLAN du commutateur.