Ein VLAN-Tag ist eine Tag-Information, die dem MAC-Frame-Header hinzugefügt wird und in getaggten VLANs (virtuellen LANs) verwendet wird. Mithilfe der VLAN-Technologie kann ein einzelner physischer Layer 2 (L2)-Switch in mehrere virtuelle L2-Switches (L2-Segmente) aufgeteilt werden. Durch die Zuweisung von VLAN-Identifikationsnummern (VLAN-IDs) zu bestimmten Ports des L2-Switches können die an diese Ports angeschlossenen Geräte als Teil bestimmter VLANs (virtueller L2-Segmente) identifiziert werden. Dies wird als „Port-VLAN“ bezeichnet. Bei Port-VLANs ist es üblich, ein Verwaltungsterminal wie einen Computer an den Verwaltungsport des L2-Switches anzuschließen und mithilfe einer Terminalsoftware Befehle für die VLAN-Konfiguration einzugeben.
Bei dieser Konfiguration sind VLANs jedoch auf die Konfiguration innerhalb eines einzelnen physischen Switches beschränkt. Um VLANs in größeren Netzwerken zu verwenden, die sich über mehrere physische Switches erstrecken, müssen VLANs eingerichtet werden, die sich über mehrere Switches erstrecken. Diese Switches müssen in der Lage sein, zu erkennen, zu welchem VLAN ein Frame gehört, indem sie Informationen in einem bestimmten Format kommunizieren. Diese Funktionalität wird durch getaggte VLANs bereitgestellt.
L2-Switches, die getaggte VLANs unterstützen, können einige Ports als „getaggte Ports“ konfigurieren. Markierte Ports werden zur Verbindung mit anderen VLAN-kompatiblen L2-Switches verwendet. Von diesen Ports gesendete Frames werden mit VLAN-Tags versehen. L2-Switches, die diese Frames empfangen, verwenden die Informationen in den VLAN-Tags, um zu bestimmen, zu welchem VLAN der Frame gehört, und leiten den Frame an die entsprechenden Ports weiter.
Die Definition von VLAN-Tags ist unter IEEE 802.1Q standardisiert. Ein VLAN-Tag besteht aus 4 Bytes, wobei die ersten 2 Bytes angeben, dass es sich bei dem Frame um einen IEEE 802.1Q-Frame handelt (hexadezimal als „0x8100“ dargestellt), und die restlichen 2 Bytes Informationen zur VLAN-Identifizierung enthalten, wie etwa die Frame-Priorität und eine 12-Bit-VLAN-ID.