Ein VLAN-Tag (Virtual Local Area Network Tag) ist ein spezieller Zusatz zu Ethernet-Frames, der verwendet wird, um den Datenverkehr in virtuellen Netzwerken zu identifizieren und zu steuern. Es handelt sich um einen 4-Byte-Header, der dem Ethernet-Frame hinzugefügt wird.

Ein VLAN-Tag besteht aus zwei Teilen: dem Tag Protocol Identifier (TPID) und dem Tag Control Information (TCI). Der TPID gibt an, welches Protokoll für die VLAN-Kennzeichnung verwendet wird, üblicherweise das IEEE 802.1Q-Protokoll. Der TCI enthält Informationen wie die VLAN-ID und Priorität.

Der VLAN-Tag wird am Anfang des Ethernet-Frames platziert, bevor die eigentlichen Nutzdaten (Payload) des Frames folgen. Jeder Switch im Netzwerk kann den VLAN-Tag lesen und basierend darauf entscheiden, wie der Datenverkehr weitergeleitet werden soll.

VLAN-Tags ermöglichen es Netzwerkadministratoren, den Datenverkehr in verschiedene virtuelle Netzwerke aufzuteilen, auch wenn sie physisch über dasselbe Netzwerk-Infrastrukturgerät übertragen werden. Dies führt zu einer effizienteren Verwaltung des Netzwerks, weniger Broadcast-Verkehr und erhöhter Sicherheit, da der Datenverkehr zwischen VLANs isoliert werden kann.