In vielen Umgebungen werden heutzutage Firewalls eingesetzt, welche nur Verbindungen zwischen erlaubten Hosts und Ports zulassen. Nicht-erwünschte Verbindungen werden von den Firewalls blockiert. Damit kann verhindert werden, das jedes System jeden beliebigen Port auf einem Server ansprechen kann. Befinden sich Quell- und Ziel-System als LPARs auf dem gleichen Managed System, so ist allerdings eine Kommunikation über den virtuellen Ethernet Switch unter Umgehung der Firewall möglich. Pakete zwischen LPARs im gleichen Managed System (gleicher virtueller Switch und gleiches VLAN) werden über den virtuellen Switch direkt zugestellt. Diese Pakete gehen nicht ins externe Netzwerk, wo eine Untersuchung der Pakete durch eine Firewall stattfinden könnte.

In einigen Umgebungen gibt es die Anforderung das jeglicher Netzwerk-Verkehr immer über eine Firewall gehen muß. Dies kann mit PowerVM durch den Virtual Port Aggregator Mode (VEPA) erreicht werden. Wie in Bild 7.9 zu sehen ist, werden Netz-Pakete immer an den Trunking Port und damit über einen Shared Ethernet Adapter letztlich ins externe Netzwerk weitergeleitet. Die Pakete verlassen damit das Managed System. Im externen Netzwerk können die Pakete dann z.B. durch eine Firewall untersucht werden und müssen dann, falls die Pakete nicht durch die Firewall geblockt werden, zurück an den physikalischen Ethernet Port des Managed Systems geschickt werden, wo sie dann über den Shared Ethernet Adapter und den Trunking Port wieder zum virtuellen Switch kommen und dann dort an die Ziel-LPAR weitergeleitet werden. Eine direkt Kommunikation zwischen zwei LPARs, so wie im VEB-Mode ist dann nicht mehr möglich.