Это скорее метод атаки. Так весь трафик идёт через роутер с включенным proxy arp.
Другой вариант ещё - что сеть находится за маршрутизатором и, соответственно, в пакетах ответов указаны маки роутера: например 192.168.0.0/24 и 192.168.1.0/24 при обращении друг к другу должны видеть мак пограничного маршрутизатора.
Изолировать можно как вланами, так и маршрутизатором (pfsense, mikrotik rb951g) с несколькими портами. В первом случае может подойти cisco small business (p200, p220), или другие более бюджетные варианты с CoS.
