Direi che c'è necessità di un firewall e di almeno uno switch L3.
La prassi è creare una rete "CORE" che è quella che collega tutte le varie subnet.
Da qui ogni "settore" (produzione, management, uffici) può avere la sua subnet e in base alle ACL settate sullo switch L3 principale dirigi il traffico solo dove serve.
Puoi anche aggiungere security usando le VLAN ma dipende sempre dallo scopo ultimo e da quanta complessità è richiesta/effettivamente necessaria.
fple22 Vorrei che queste macchine virtuali non possano accedere né al pannello di configurazione del router (192.168.1.1) né vedersi tra di loro, né vedere altri dispositivi sulla rete. Vorrei quindi che siano isolate
Sul serio nessuna VM e nessun host devono parlare con nulla in rete locale?
Infine con un apparato firewall dedicato puoi gestire sicuramente meglio di qualsiasi cosa ti abbia dato Tim tutto il traffico passante compreso cosa è visibile da lan/wan.
Aggiungerei che è il caso di mettere un proxy nel mezzo e non di esporre servizi direttamente.
