У нас именно такая ситуация. Пользователи могут обмениваться трафиком исключительно через файлообенники. Напрмую никак. Никаких сложностей с прокси и arp нет.
Обычные Vlan конечно лучше, но вот сетевое оборудование которое с ними умеет работать (действительно умеет) на порядок дороже мыльниц с поддержкой port-base vlan.
Именно port-based Vlan. Вы же не будете для каждого клиента заводить новый Vlan, это не экономично, ни по аппартным ресурсам, ни по деньгам. К тому же клиенту нужно трафик отдавать untag'ом. А port-based Vlan - это просто когда все порты на коммутаторе видят только uplink.