Você pode usar uma única rede somente de host e configurar VLANs para os convidados anexados para que eles não se vejam (mas eu não estou familiarizado com isso) ou crie uma rede separada somente de host para cada convidado ( com virsh net-define ... ou virsh net-edit ... ) assim:
<network>
<name>private0</name>
<uuid>a2422899-d29b-9055-4bf7-1995fd6af4b8</uuid>
<bridge name='private0' stp='off' delay='0'/>
<mac address='52:54:00:29:c3:aa'/>
</network>
(Deixe de fora uuid e mac ao definir.)