Судя по вашей схеме Вам ничего прятать ненужно
у Вас один виртуальный свич в который выключен в белую сеть и в него включен один порт микроитка (виртуального)
в так как вчентр включен в vs-2 который никак не связан с vs-1 то фаерволом выступает ваш микротик и ничего затрещать не надо, но я бы для коросты выделил бы хост и сферу в отельный коммутатор (так называемую менеджменскую сеть) для управления. и на микротоме бы полностью зарезал доступ к ней и ей
p.s. Я не стану говорить о "правильности" такого постарения сети, надеюсь только что это лаборатория.