>> гость смигрируется
> trunk на свиче + ovs + tag на порту виртуалки. ничего добавлять и виртуалка, отданная малознакомому аутсорсеру в влан с ограниченным доступом, зато с доступом извне - с удовольствием начинает слушать (а то и подставляет мак и радостно подменяет существующий хост) внутреннюю защищенную сеть - просто перенастроив порт изнутри виртуалки, я правильно понял?
Вот так вы и работаете, ага, понятен. А вланы-то вам, простите, для чего вообще? давайте уж вообще vlan1 на все про все. Даже ovs не нужен будет.