Segurança do Linux - Systemd-networkd (Clear Linux) - Topologia das interfaces de ponte (br0 / br1)

Tudo,

Desculpas pelas perguntas dos novatos, mas este é meu primeiro mergulho no Linux e no systemd, então espero que alguém com melhor conhecimento do que eu possa ajudar aqui.

Eu tenho um servidor físico executando o Clear Linux como o sistema operacional host. Tem duas portas Ethernet físicas de 1 Gbps. Estou construindo uma configuração que hospedará um firewall virtual (entre outras VMs, que o firewall virtual precisa proteger).

Eu consegui dar um nó na minha calcinha sobre o que realmente é uma 'ponte' (br0) no Linux. Eu não sou muito mais claro depois de ler o link abaixo, além de dizer que eu acho que uma bridge virtual e um switch virtual equivalem à mesma coisa: Qual é a diferença entre uma bridge e um switch?

Tenho várias vlans não confiáveis e várias confiáveis que estão sendo entroncadas em interfaces físicas separadas de um switch de hardware usando 802.1q. Eu quero garantir que o tráfego nessas VLANs permaneça completamente separado, incluindo seu tráfego de broadcast, uma vez que eles atinjam o host KVM e sua configuração de rede virtual.

Meu plano era criar uma br0 e uma br1 no host KVM e, em seguida, anexar essas pontes virtuais às suas respectivas interfaces físicas no servidor host. Essas NICs físicas são cabeadas para separar interfaces no comutador de hardware, com as interfaces entroncando apenas vlans confiáveis em uma porta e com a internet imunda e mal-cheirosa não confiável, como vlans, na outra.

Parece que você pode realmente fazer VLANs via br's que estão configuradas em um host KVM, a fim de obter vlans com tags expostas a domínios guest KVM, ao usar um sistema operacional que utilize systemd (como o Clear Linux), de acordo com esse cookie inteligente quem fez o mesmo com o Debian: link

Minhas perguntas reais:

1. As pontes do Linux são transparentes? (o acima implica não, mas outros artigos dizem que são ..)
2. Uma 'ponte' do Linux mantém o tráfego de broadcast separado entre as vlans marcadas?
3. Isso mantém as transmissões separadas entre as vlans não marcadas (nativas) e as vlans marcadas?
4. Você poderia colocar a lógica br0 e br1 na mesma interface física no host e ainda manter seu tráfego completamente separado?
5. Se as vlans estiverem marcadas, eu preciso mesmo de duas pontes separadas logicamente?

No momento estou visualizando br0 e br1 como sepearte switches físicos plugados em duas portas diferentes de um firewall físico (que na verdade seria uma VM em execução no host KVM) ... mas não tenho certeza se Eu tenho isso correto?

Não estou claro se estou criando um risco à segurança neste processo ou não. Qualquer clareza seria muito apreciada.

Felicidades