防止 200 多个虚拟机互相看到

我认为实现此目的的唯一方法是使用 VMWare 的“vShield 应用程序“ 或者 ”具有数据安全性的 vShield App“产品，这是他们针对这种情况提出自己的建议。

为每个客户端/VM 创建 VLAN 或专用 VLAN 的问题在于，您必须在交换机上创建它，然后在每个主机的每个 vswitch 上创建它，或者使用分布式交换机创建它（如上所述，您需要非常昂贵的 Ent+ 许可证才能做到这一点）。使用 vShield 工具，您可以使用一个大 VLAN，但将特定的客户端/VM/VM 绑定在一起 - 正如我所说，这正是该软件为解决的问题而编写的。

你可能正在寻找私有 VLAN这使得主机可以进行通信，但不能在第 2 层相互通信。

软件防火墙规则拒绝除往返网关之外的所有流量。

我不知道如何在 Linux 中为 200 个用户编写脚本（或者甚至不知道脚本是什么，我假设是这样的iptables），但在 Windows 上，您可以通过组策略部署该规则。

由于 Private VLAN 是一种构造协议（Cisco），因此您需要拥有具有正确许可证的特定 Cisco 交换机才能使用 Private VLAN。如果您还没有大型交换机，更简单的解决方案是使用 ebtables 作为桥接防火墙。 http://ebtables.sourceforge.net/