Le VLAN private ( pVLAN ) sono VLAN che forniscono un determinato isolamento tra porte appartenento alla stessa VLAN. Le pVLAN sono state introdotte da CISCO al fine di ottenere una maggiore sicurezza, ridurre il numero di sottoreti IP e diminuire l'utilizzazione delle VLAN isolando il traffico tra apparati che risedono sulla stessa. Chiaramente questi vantaggi vengono sfruttati dai provider ed in un ambiente complesso permette alle aziende di utilizzare le pVLAN per prevenire che apparati di rete connessi ad interfacce o a gruppi di interfacce possano comunicare tra di essi, ma che possano comunicare con un default gateway quale potrebbe essere un'interfaccia logica VLAN o un router. Sebbene gli apparati risiedano su differenti pVLAN, essi usano la stessa sottorete; in questa maniera gli apparati di rete in una stessa VLAN possono comunicare con un gateway o con un gruppo specifico di apparati secondo quanto necessario. Le pVLAN possono essere distribuite su più switch ed attraversarli, l'importante è che gli apparati di rete supportino il trunking delle pVLAN.

TIPOLOGIE DI PVLAN

Ogni pVLAN consiste di due VLAN di supporto:
- Una VLAN primaria : la VLAN primaria è la VLAN di alto livello della pVLAN. Una VLAN primaria può essere composta da più VLAN secondarie, con le VLAN secondarie che possono appartenere alla stessa sottorete della VLAN primaria;
- Una VLAN secondaria : Ogni VLAN secondaria è figlia di una VLAN primaria ed è agganciata ad una solo di esse. Gli apparati finali sono all'interno della pVLAN secondaria e possono comunicare con le porte promiscue definite all'interno della pVLAN , queste in genere sono porte di un router, server di back-up o interfacce VLAN. Ogni porta promiscua è parte di un'unica VLAN primaria ma può essere agganciata a più VLAN secondarie.

Oltre alla divisione menzionata sopra, le VLAN secondarie possono essere:
- VLAN collettiva : le porte che appartengono ad una VLAN collettiva possono comunicare con altre porte appartenenti alla stessa VLAN collettiva e con le porte promiscue della pVLAN. Nella figura sotto  i  PC A e B, i quali appartengono alla VLAN collettiva 1, possono comunicare tra di loro ma non con i PC C e D che appartengolo alla VLAN collettiva 2;
- VLAN isolate : le porte che appartengono ad una VLAN isolata possono soltanto comunicare con le porte promiscue. Sempre nella figura PC E e F seppur appartenti alla stessa VLAN isolata 3 non possono comunicare tra di loro ma solo con le prote promiscue. Ogni pVLAN ha una sola VLAN isolata.

LIMITAZIONI

Essendo una funzione molto particolare, che in ambienti di piccola e media impresa ha scarsamente menzione gli apparati che supportano le pVLAN non sono molti. Questo è chiaramente un limite in una nuvola di apparati diversificati dove se qualcuno di essi non supporta le pVLAN non si può pensare al trunking o alla loro configurazione per i clienti che risiedono dietro quell'apparato. Oltre a questo limite , ve ne sono altri puramente di configurazione:
1. le pVLAN richiedono che il VTP ( VLAN Trunking Protocol) sia in modalità trasparente per le versioni 1 e 2;
2. non è possibile configurare un'interfaccia VLAN di tipo layer 3 per una VLAN secondaria;
3. pVLAN non sono supportate su EtherChannel
4. pVLAn non supportate su porte di tipo Remote SPAN
5. non possone essere configurate su porte con PAgP o LACP abilitato

Ai punti sopra se ne aggiungono altri più particolari e relativi al modello di apparato usato.