防止200多台虚拟机互相看到

我能看到的唯一方法就是使用VMWare的“ vShield App ”或“ vShield App with Data Security ”产品，这是他们为这种情况所build议的。

每个客户端/虚拟机创build一个VLAN或专用VLAN的问题是，您必须在交换机上创buildVLAN，然后在每个主机上的每个vswitch上或使用分布式交换机（如上所述，您需要非常昂贵的Ent +许可证）。 使用vShield工具，您将能够使用一个大的VLAN，但将特定的客户端/虚拟机/虚拟机捆绑在一起 – 正如我所说的，这是软件编写来处理的确切问题。

您可能正在寻找所谓的专用VLAN ，允许主机进行通话，但不能在Layer2上互相通话。

软件防火墙规则拒绝除网关之外的所有stream量。

我不知道如何将脚本编写给Linux中的200个用户（或者甚至脚本是什么，我假设的是iptables ），但在Windows上，您将通过组策略部署该规则。

这看起来可能不对，但在我看来是正确的解决scheme。 原则上，以太网层过滤（也就是说，当你想到这个时候，你想用私有VLAN做什么）可能会把你带到你想要的地方，但是这确实会把生活中的任何东西搞糊涂它希望能够直接进行通信 – 比如，一个虚拟机碰巧和它（合法地）想要与之交谈的虚拟机在同一个“子网”上（我可能想从一个恰好托pipe的站点获得一个tarball在另一个虚拟机上）。

由于专用VLAN是构造协议（Cisco），因此您需要具有使用专用VLAN的正确许可的特定Cisco交换机。 如果您还没有拥有大型交换机，那么更简单的解决scheme就是使用ebtables作为网桥防火墙。 http://ebtables.sourceforge.net/