In questa figura abbiamo una configurazione gerarchica di rete col fine di separare diverse reti locali (utili a diversi dipartimenti in questo caso).
Ecco alcuni motivi per cui una configurazione del genere non è efficiente:

• Mancanza di isolamento del traffico, sebbene la gerarchia separi il traffico di un gruppo in un solo switch (uno per gruppo), il traffico broadcast (frame che trasportano messaggi ARP o DHCP o ancora switch che hanno inviato messaggi broadcast poiché una destinazione MAC non è ancora nota) attraversa l'intera rete istituzionale. L'efficienza della LAN incrementerebbe se fosse possibile limitare tale traffico broadcast, anche per ragioni di riservatezza. Per esempio supponiamo che in una organizzazione vi siano due divisioni separate da switch, in cui una è quella di dipendenti infelice e l'altra quella dell'amministrazione, in questo caso il traffico con gli switch non è isolato e i dipendenti scontenti potrebbero usare il traffico per sniffare il traffico del dipartimento di amministrazione.
• Uso inefficiente degli switch, se invece di 3 gruppi un'organizzazione ne avesse 10? Avrebbe bisogno di 10 switch. Ma anche in questo caso non vi sarebbe isolamento del traffico.
• Gestione degli utenti, se un dipendente deve muoversi tra diversi gruppi, ogni volta deve collegare il computer allo switch della divisione in cui si trova.
  Queste difficoltà possono essere superate utilizzando switch che supportino VLAN (virtual local area network). Gli host connessi ad una VLAN comunicano tra di loro come se fosse tutti connessi allo switch, inoltre possono comunicare solo tra di loro e non all'esterno della VLAN.
  Il gestore dei rete può configurare questo tipo di switch suddividendo le porte dello switch in gruppi di porte, ciascun gruppo costituisce una VLAN.
  
  In questa figura lo switch origina due VLAN, le porte da 2 a 8 sono riservate alla VLAN per il dipartimento di elettronica, mentre le porte da 9 a 15 per il dipartimento di informatica.
  Le porte 1 e 16 sono inutilizzate.
  I frame delle due VLAN sono isolati tra di loro.
  Il gestore di rete dichiara che una porta appartiene a una determinata VLAN (le porte non dichiarate fanno parte di una VLAN di default) utilizzando il software dello switch. Lo switch mantiene una tabella che associa porte e VLAN, l'hardware dello switch inoltra frame tra porte appartenenti alla stessa VLAN.

Supponiamo adesso che i dipartimenti siano ospitati in molti edifici separati dove deve essere fornito l'accesso alla rete e che l'accesso faccia parte della VLAN del dipartimento.
Aggiungiamo alla nostra configurazione un altro switch, in cui come per l'altro ogni porta rappresenta un computer del dipartimento di informatica o di elettronica.
Come vanno interconnessi questi switch? Un'idea potrebbe essere quella di definire che una porta appartiene alla VLAN di informatica sul nuovo switch e lo stesso per la VLAN di elettronica.
Quindi nel nuovo switch bisogna dedicare una porta alla VLAN cui si vuole collegare un'altra VLAN.
Questa soluzione non è scalabile, poiché se ci fossero su uno switch N VLAN bisognerebbe avere N porte da utilizzare per questo scopo. In questo caso le VLAN sono 2: informatica e elettronica, ma se fossero 10? Bisognerebbe utilizzare 10 porte per interconnettere le VLAN, lasciando poco spazio ai dispositivi da utilizzare e dovendo richiedere switch con molte porte disponibili.
Un'altra soluzione è il VLAN trunking.

Il primo approccio è descritto dall'immagine a della figura sopra, mentre la VLAN trunking è descritta dalla figura b.
In quest'ultimo approccio, una porta per switch è configurata come porta di trunking e interconnette gli switch. Il collegamento di trunking è condiviso tra tutte le VLAN.

Le VLAN posso essere create sulla base di diversi criteri, in questo caso abbiamo analizzato il caso in cui vengono utilizzate le poter, ma potrebbero, per esempio, essere usati anche gli indirizzi MAC, in cui viene specificato che un certo insieme di indirizzi MAC formano una LAN.