Прежде я писал, думая, что проброс VLAN поверх транка, поверх которого работает домен 0 в принципе невозможно. Но, не получается если IP для Dom-0 идет без тегов. А если все сети (для Dom-0 и Dom-U) пускать в тегах - проблемы то и нет.

Вот моя конфигурация:

/etc/xen/xend-config.sxp (тут комментируем network-script):
...
#(network-script network-bridges)
...

/etc/sysconfig/network-scripts/ifcfg-bond0:
DEVICE=bond0
ONBOOT=yes
BOOTPROTO=none
MULTICAST=no
ARP=no

/etc/sysconfig/network-scripts/ifcfg-bond0.20 (это моя сеть для Dom-0):
DEVICE=bond0.20
ONBOOT=yes
BOOTPROTO=static
IPADDR=10.0.1.9
NETMASK=255.255.255.0
VLAN=yes
ARP=yes

/etc/sysconfig/network-scripts/ifcfg-bond0.2002 (это моя сеть с названием office для гостевых ВМ):
DEVICE=bond0.2002
VLAN=yes
BRIDGE=office
BOOTPROTO=none
ONBOOT=yes
TYPE=Ethernet
MACADDR=FE:FF:FF:FF:FF:FF
ARP=no
MULTICAST=no

/etc/sysconfig/network-scripts/ifcfg-office (это виртуальный свитч для гостевых ВМ, подключенный к office):
DEVICE=office
TYPE=Bridge
BOOTPROTO=none
ONBOOT=yes
ARP=no
MULTICAST=no

/etc/sysconfig/network-scripts/ifcfg-eth0:
DEVICE=eth0
BOOTPROTO=none
SLAVE=yes
MASTER=bond0
HWADDR=00:30:48:79:1E:06
ONBOOT=yes
ARP=no

/etc/sysconfig/network-scripts/ifcfg-eth1:
DEVICE=eth1
BOOTPROTO=none
SLAVE=yes
MASTER=bond0
HWADDR=00:30:48:79:1E:07
ONBOOT=yes
ARP=no

Что в результате получается?

Интерфейс bond0.2002 через который идет сеть к ВМ, удовлетворяет необходимым требованиям (MAC FE:FF:FF:FF:FF:FF, выключен ARP и MULTICAST) для проброса сети к ВМ. На транковом bond0 нормальный мак, благодаря чему поверх него замечательно работает нужный мне в управляющем домене bond0.20.

В итоге - все имеющиеся интерфейсы используем для доступа к СХД - дешево и сердито.