Bei Tagged VLANs funktioniert die Zuweisung zu VLANs dynamischer: Statt fest im Switch festgelegt, sorgt eine Markierung (Tag) im Frame des Nachrichtenpakets für die Zuordnung. Aus diesem Grund nennt man diese Technik analog zu den portbasierten Netzen auch framebasiert. In dem Tag steht die Information, in welchem VLAN man sich gerade befindet. Ein Switch kann so erkennen, in welchem Segment die Kommunikation stattfindet, und leitet die Nachricht dementsprechend weiter.
Ein VLAN-Tag ist 32 Bit lang und erscheint im Ethernet-Frame direkt nach der MAC-Adresse des Absenders. Das Tag beginnt mit einer zwei Byte langen Protokoll-ID: Der Tag Protocol Identifier (TPI) zeigt an, ob überhaupt eine VLAN-ID angegeben wurde. Sollte ein VLAN über den Frame markiert werden, haben diese Blöcke den Wert 0x8100. Im Anschluss verweist der Frame in drei Bits auf die Priorität der Nachricht. Es folgt ein Bit für den Canonical Format Identifier (CFI). Diese Position wird nur genutzt, um die Kompatibilität zwischen Ethernet und Token Ring zu gewährleisten.
Erst in den letzten zwölf Bits vermerkt das Protokoll die eigentliche VLAN-ID (VID). Durch die Länge des Frame-Bereichs sind 4.096 verschiedene VLANs verfügbar. Jedes VLAN erhält seine eigene Nummer. Tagged VLANs können auch direkt über die Netzwerkkarten realisiert werden. So unterstützt Linux beispielsweise von Haus aus den Standard. Nutzer von Windows hingegen sind abhängig vom jeweiligen Hersteller der Netzwerkkarte. Über den Gerätetreiber lässt sich dann das VLAN einstellen.
Das hier vorgestellte Frame-Prinzip folgt dem Standard IEEE 802.1q. Dies ist die am häufigsten verwendete Variante. Tatsächlich bestehen aber noch andere Möglichkeiten, wie sich VLAN-Tags im Nachrichtenpaket unterbringen lassen. Cisco beispielsweise verwendet für seine Switches das Inter-Switch Link Protocol (ISL). Um mehrere VLANs zu ermöglichen, kapselt dieses Protokoll den kompletten Datenframe ein.
Der Vorteil von einem Tagged VLAN gegenüber einem, das über Portzuweisung funktioniert, findet sich in der Verbindung zwischen verschiedenen Switches. Portbasiert müssen mindestens zwei Kabel zwischen den Switches verlegt werden, da jedes Virtual LAN seine eigene Verbindung braucht. Bei Trunking in Tagged VLANs reicht ein Kabel, da die Verteilung über die Informationen des Frames funktioniert. Der Switch erkennt das korrekte VLAN und sendet es weiter an den entsprechenden zweiten Switch. Dort wird das Tag entfernt und das Paket an den korrekten Empfänger weitergeleitet.