А если создать "транковую" порт группу, и VLAN разбирать уже средствами гостевой ОС? При этом все политики безопасности для этой порт группы поставить в "accept". Будет достаточно сильная деградация в производительности на сетевом уровне, но должно работать, ведь ситуация такая же точно как и с Nested ESXi, а они у меня в домашней лабе отлично работают в такой конфигурации.
PS
pVLAN тут точно не помогут, это скорее фишка для повышения именно безопасности инфраструктуру.