Você precisaria de um switch inteligente para fazer isso na rede. Não sei se existe uma ferramenta de gerenciamento de VMs que possa impedir que os usuários adicionem outro ou alterem os IPs em seus convidados.
No Cisco-land, você está procurando por segurança de porta para impedir que alguém em uma porta diferente impeça o mac e a proteção de origem de IP (IPSG) para inspecionar a combinação mac / IP e / ou a inspeção dinâmica de arp (DAI) para evitar spoofing ARP. O IPSG e o DAI dependem do snooping DHCP ou de uma tabela configurada pelo usuário, portanto, pode adicionar bastante a sobrecarga à sua operação.
Outros fornecedores (Juniper / Extreme / Force10 / etc ...) podem fazer os mesmos recursos de segurança, mas os nomes podem diferir do que eu mencionei. Todos os fornecedores terão seus próprios requisitos de hardware / software / licenciamento que você precisará trabalhar com seu fornecedor / VAR.
Além disso, há complicações na configuração desse tipo de segurança, e um erro de configuração pode ser realmente difícil de solucionar e, dependendo da rede, talvez não seja possível fornecer esse nível de segurança.