私有VLAN（英文：Private VLAN），也称为专用VLAN，是一种电脑网络技术，它包含被限制的交换机端口，使得它们只能与给定的“上行链路”（uplink）通信。受限（restricted）端口称为“私有端口”。每个专用VLAN通常包含许多私有端口和单个上行链路。上行链路通常是连接到路由器、防火墙、服务器、提供商网络或类似中心资源的端口。

无论VLAN ID或目的MAC地址如何，交换机将从专用端口接收的所有帧转发到上行端口。从上行链路端口接收的帧以正常方式转发（即，到承载目的地MAC地址的端口，或广播帧的所有端口或未知目的地MAC地址）。结果，通过交换机的端对端流量会被交换机阻塞（blocked），并且任何这样的通信必须经过上行链路。私有VLAN在数据链路层提供通讯间的隔离，但网络设备的配置会导致客户端仍然可能在高层进行通信。

私有VLAN的典型应用是酒店或家庭以太网，每个房间或公寓都有一个可以上网的端口。在基于以太网的ADSL DSLAM中使用类似的端口隔离。允许客户节点之间的直接数据链路层通信将使本地网络暴露于诸如ARP Spoofing之类的各种安全攻击，并增加由于配置错误而导致的损坏的可能性。

私有VLAN的另一个应用是简化IP地址分配。属于同一个IP子网时，端口在数据链路层可以彼此隔离（出于安全性，性能或其他原因）。在这种情况下，受保护端口上的IP主机之间的直接通信只能通过使用MAC-Forced Forwarding或类似的基于Proxy ARP的解决方案通过上行链路连接来实现。

私有VLAN将一个主要VLAN划分为多个次要VLAN，并同时保留现有的IP子网和第三层配置。常规VLAN是单个广播域，而私有VLAN将一个广播域分成多个较小的广播子域。

私有VLAN主要有两种类型的端口：混杂端口（P-Port）和主机端口。主机端口进一步分为两种类型：隔离端口（I-Port）和公共端口（C-Port）。

在以下情况下，专用VLAN用于网络隔离：

托管操作中的私有VLAN允许客户之间的隔离，具有以下好处：

隔离的VLAN可用于将VDI桌面彼此隔离，允许过滤和检查桌面到桌面的通信。使用非隔离VLAN需要为每个VDI桌面使用不同的VLAN和子网。

在备份网络上，不需要主机相互访问。主机只能到达其备份目的地。备份客户端可以放置在一个隔离VLAN中，备份服务器可以放在Primary VLAN上，这样主机就只能与备份服务器通信。