Você não pode usar a segurança da porta do switch na Cisco, já que todas as VMs estarão compartilhando uma porta de switch física. E você não pode usar o Linux iptables porque o tráfego está sendo vinculado, não roteado, através da máquina do hipervisor. Mas você pode emular a segurança da porta do switch no hypervisor com o Linux ebtables , que é um firewall de camada 2/3 menos conhecido na ponte do Linux. Um exemplo rápido e sujo (e provavelmente incompleto; geralmente não me incomodo com isso):
# First allow some obvious stuff; might need other things I forgot about
ebtables -A FORWARD -p IPv4 -m ip --ip-source 0.0.0.0 -j ACCEPT
ebtables -A FORWARD -p IPv6 -m ip6 --ip6-source :: -j ACCEPT
# Prevent a source MAC address from using a wrong source IP
ebtables -A FORWARD -p IPv4 -s 52:54:00:70:C1:99 -m ip --ip-source ! 192.0.2.5 -j DROP
ebtables -A FORWARD -p IPv4 -s 52:54:00:A3:09:3F -m ip --ip-source ! 192.0.2.6 -j DROP
ebtables -A FORWARD -p IPv4 -s 52:54:00:18:65:2A -m ip --ip-source ! 192.0.2.7 -j DROP