VS> AFAIK не всегда так. Hапример бывает, что гипервизор выполняет NAT для VS> виртуалки, а значит в сетевой и даже транспортный (в случае PAT) уровень лезет.
И это очень плохо, что они лезут на уровень выше коммутации ethernet-фреймов, от этого потом фрагментированные ESP-пакеты внутри IP перестают ходить, или там GRE, или ещё много чего. Именно из-за гипервизора. Потом (может быть) разработчики гипервизора выпускают патч и проблема уходит, но гораздо лучше бы они оставляли кесарево кесарю^W^W роутинг роутерам, а трансляцию пакетов тоже роутерам, а вместо этого делали корректную по стандарту реализацию виртуального коммутатора, это гораздо проще и надежнее.