Si vous avez un commutateur qui le prend en charge, les «ports protégés» pour les connexions câblées ou «l'isolement du client» pour les points d'accès sur le Wi-Fi peuvent vous aider à éliminer le trafic entre les hôtes du même réseau de couche 2.
Par exemple, c'est du manuel de commutateur de Cisco :
Les ports protégés ont les caractéristiques suivantes: Un port protégé ne transfère aucun trafic (unicast, multicast ou broadcast) vers un autre port qui est également un port protégé. Le trafic de données ne peut pas être transféré entre les ports protégés de la couche 2; seul le trafic de contrôle, tel que les paquets PIM, est transmis car ces paquets sont traités par le CPU et transmis dans le logiciel. Tout le trafic de données passant entre les ports protégés doit être transmis via un périphérique de couche 3.
Donc, si vous n'avez pas l'intention de transférer des données entre eux, vous n'avez pas besoin d'agir une fois qu'ils sont «protégés».
Le comportement de transfert entre un port protégé et un port non protégé se déroule comme d'habitude.
Vos clients peuvent être protégés, le serveur DHCP, la passerelle, etc. peuvent être sur des ports non protégés.
Mise à jour 27-07-2017
Comme l'a souligné @sirex, si vous avez plusieurs commutateurs qui ne sont pas empilés, ce qui signifie qu'ils ne sont pratiquement PAS un seul commutateur, les ports protégés n'arrêteront pas le trafic entre ceux-ci .
Remarque: Certains commutateurs (comme spécifié dans la matrice de prise en charge du commutateur Catalyst VLAN privé) ne prennent actuellement en charge que la fonction PVLAN Edge. Le terme «ports protégés» fait également référence à cette fonctionnalité. Les ports PVLAN Edge ont une restriction qui empêche la communication avec d'autres ports protégés sur le même commutateur. Cependant, les ports protégés sur des commutateurs séparés peuvent communiquer entre eux.
Si tel est le cas, vous auriez besoin de ports VLAN privés isolés :
Dans certaines situations, vous devez empêcher la connectivité de couche 2 (L2) entre les périphériques d'extrémité sur un commutateur sans placer les périphériques dans différents sous-réseaux IP. Cette configuration empêche le gaspillage des adresses IP. Les VLAN privés (PVLAN) permettent l'isolement au niveau de la couche 2 des appareils dans le même sous-réseau IP. Vous pouvez restreindre certains ports du commutateur pour atteindre uniquement des ports spécifiques auxquels une passerelle par défaut, un serveur de sauvegarde ou Cisco LocalDirector sont connectés.
Si PVLAN s'étend sur plusieurs commutateurs, les jonctions VLAN entre les commutateurs doivent être des ports VLAN standard .
Vous pouvez étendre les PVLAN sur plusieurs commutateurs à l'aide de jonctions. Les ports de jonction acheminent le trafic à partir de VLAN réguliers et également à partir de VLAN principaux, isolés et communautaires. Cisco recommande l'utilisation de ports de jonction standard si les deux commutateurs qui subissent la jonction prennent en charge les PVLAN.
Si vous êtes un utilisateur Cisco, vous pouvez utiliser cette matrice pour voir si vos commutateurs prennent en charge les options dont vous avez besoin.