Во-первых, VLAN -- он по определнию не физический :-) Как вы понимаете, название "VIRTUAL LAN" нам как бы об этом намекает :-) Физический канал всё равно делится поровну между клиентами, независимо от того, есть у вас деление на вланы или нет.
Во-вторых, Ваш коллега отчасти прав. Но только отчасти. Сегментация сети действительно даёт больше возможностей контроля, и да, стоит разделить сеть на вланы. Причём не только гипервизоры вынести в отдельный VLAN, а вообще сети разделить. Чтобы управление vSphere -- в одном влане, storage-трафик -- в другом, трафик виртуальных машин -- в отдельных VLAN'ах. у вас же виртуалки не одной задачей занимаются, а разными? Соответственно, их нужно сгруппировать и рассадить по вланам. Веб-сервера -- одна сеть, бухгалтерские сервера с 1С -- в другой сети, контроллеры домена -- в третьей. И контроль на на маршрутизатор, чтобы с веб-серверов, доступных через интернет, нельзя было зайти на сервер бухгалтерии, равно как и наоборот.
Клиентов тоже поделить по группам/отделам, и каждый отдел -- в свой VLAN. С раздачей прав доступа, кому куда можно, а куда нельзя.
В идеале, сеть должна быть как можно сильнее сегментирована, и должен быть запрещён любой доступ между хостами, кроме явным образом разрешённого. Есть даже такой термин -- микросегментация. Там хосты даже в рамках одного влана могут друг с другом общаться только по явным образом разрешённым протоколам и портам, а вся остальная коммуникация между ниим запрещена. Но микросегментация -- это не ваша история, это всё реализуется решениями типа VMware NSX или Cisco ACI, т. е. это уже для больших дядек.
Да, и файрвол ESXi можно настроить, но лучше пользоваться более подходящими средствами для этого -- файрволами на маршрутизаторах. Т. е. делим сеть на подсети с помощью вланов и маршрутизации, и настраиваем правила хождения трафика между подсетями файрволом на маршрутизаторе.
