Se você tiver um comutador que ofereça suporte a ele, 'portas protegidas' para conexões por cabo ou 'isolamento do cliente' para pontos de acesso no Wi-Fi podem ajudar a eliminar o tráfego entre hosts na mesma rede de camada 2.
Por exemplo, isso é de Manual do switch Cisco :
Protected ports have these features: A protected port does not forward any traffic (unicast, multicast, or broadcast) to any other port that is also a protected port. Data traffic cannot be forwarded between protected ports at Layer 2; only control traffic, such as PIM packets, is forwarded because these packets are processed by the CPU and forwarded in software. All data traffic passing between protected ports must be forwarded through a Layer 3 device.
Então, se você não pretende transferir dados entre eles, não é necessário realizar ações quando eles estiverem "protegidos".
Forwarding behavior between a protected port and a nonprotected port proceeds as usual.
Seus clientes podem ser protegidos, o servidor DHCP, o gateway etc. podem estar em portas desprotegidas.
Atualização 27-07-2017
Como apontado pelo @sirex, se você tiver mais de um switch que não esteja empilhado, o que significa que eles praticamente NÃO são um único switch, portas protegidas não vai parar o tráfego entre os .
Note: Some switches (as specified in the Private VLAN Catalyst Switch Support Matrix ) currently support only the PVLAN Edge feature. The term "protected ports" also refers to this feature. PVLAN Edge ports have a restriction that prevents communication with other protected ports on the same switch. Protected ports on separate switches, however, can communicate with each other.
Se esse for o caso, você precisará de Portas VLAN privadas privadas :
In some situations, you need to prevent Layer 2 (L2) connectivity between end devices on a switch without the placement of the devices in different IP subnets. This setup prevents the waste of IP addresses. Private VLANs (PVLANs) allow the isolation at Layer 2 of devices in the same IP subnet. You can restrict some ports on the switch to reach only specific ports that have a default gateway, backup server, or Cisco LocalDirector attached.
Se a PVLAN estiver passando por vários switches, os troncos de VLAN entre os switches devem ser portas VLAN .
You can extend PVLANs across switches with the use of trunks. Trunk ports carry traffic from regular VLANs and also from primary, isolated, and community VLANs. Cisco recommends the use of standard trunk ports if both switches that undergo trunking support PVLANs.
Se você é usuário da Cisco, pode usar esta matriz para ver se seus switches suportam as opções de que você precisa.