Die IP Discovery ruft MAC- und IP-Adressen mithilfe von DHCP- und DHCPv6-Snooping, ARP-Snooping (Address Resolution Protocol), ND-Snooping (Neighbor Discovery) und VM-Tools ab.
Die ermittelten MAC- und IP-Adressen werden zur ARP/ND-Unterdrückung verwendet. Dadurch wird der Datenverkehr zwischen VMs minimiert, die mit demselben logischen Switch verbunden sind. Die Adressen werden auch von den SpoofGuard-Komponenten und Komponenten der verteilten Firewall (DFW) verwendet. Anhand der Adressbindungen ermittelt DFW die IP-Adresse von Objekten in Firewallregeln.
Das DHCP/DHCPv6-Snooping prüft die DHCP/DHCPv6-Pakete, die zwischen dem DHCP/DHCPv6-Client und dem DHCP/DHCPv6-Server ausgetauscht werden, um die IP- und MAC-Adressen abzurufen.
Das ARP-Snooping überprüft die ausgehenden ARP- und GARP- (Gratuitous ARP-)Pakete der VM, um die IP- und MAC-Adressen abzurufen.
VM Tools ist eine Software, die auf einer ESXi-gehosteten virtuellen Maschine ausgeführt wird und die Konfigurationsdaten der virtuellen Maschine, einschließlich MAC- und IP- oder IPv6-Adressen, bereitstellen kann. Diese IP Discovery-Methode ist nur für VMs verfügbar, die auf ESXi-Hosts ausgeführt werden.
ND-Snooping ist das IPv6-Äquivalent zum ARP-Snooping. Es prüft Neighbor Solicitation (NS)- und Neighbor Advertisement (NA)-Nachrichten, um die IP- und MAC-Adressen zu ermitteln.
Die Erkennung von doppelten Adressen überprüft, ob eine neu ermittelte IP-Adresse bereits in der realisierten Bindungsliste für einen anderen Port vorhanden ist. Diese Prüfung wird für Ports durchgeführt, die sich im selben Segment befinden. Wenn eine doppelte Adresse erkannt wird, wird die neu ermittelte Adresse der erkannten Liste, aber nicht der realisierten Bindungsliste hinzugefügt. Allen doppelten IPs ist ein Ermittlungszeitstempel zugeordnet. Wenn die IP, die sich in der realisierten Bindungsliste befindet, entweder durch Hinzufügen zur Ignorieren-Bindungsliste oder durch Deaktivieren des Snooping entfernt wird, wird die doppelte IP mit dem ältesten Zeitstempel in die realisierte Bindungsliste verschoben. Die doppelten Adressinformationen sind über einen API-Aufruf verfügbar.
Standardmäßig arbeiten die Ermittlungsmethoden ARP-Snooping und ND-Snooping in einem Modus namens „Trust on First Use“ (TOFU). Wenn im TOFU-Modus eine Adresse erkannt und der Liste der realisierten Bindungen hinzugefügt wird, bleibt diese Bindung für immer in der realisierten Liste. TOFU wird auf die ersten 'n' eindeutigen <IP-, MAC-, VLAN >-Bindungen angewendet, die mithilfe von ARP/ND-Snooping erkannt werden, wobei 'n' der Bindungsgrenzwert ist, den Sie konfigurieren können. Sie können TOFU für ARP-/ND-Snooping deaktivieren. Die Methoden werden dann im TOEU-Modus als vertrauenswürdig eingestuft. Wenn eine Adresse im TOEU-Modus erkannt wird, wird sie der Liste der realisierten Bindungen hinzugefügt und wenn sie gelöscht oder abgelaufen ist, wird sie aus der Liste der realisierten Bindungen entfernt. DHCP-Snooping und VM-Tools werden immer im TOEU-Modus betrieben.
NSX Manager verwaltet für jeden Port eine Ignorieren-Bindungsliste, die IP-Adressen enthält, die nicht an den Port gebunden werden können. Wenn Sie im Modus Manager zu navigieren und einen Port auswählen, können Sie erkannte Bindungen der Liste der ignorierten Bindungen hinzufügen. Sie können auch eine vorhandene erkannte oder realisierte Bindung löschen, indem Sie sie nach Ignorierte Bindungen kopieren.
Für Linux-VMs kann das ARP-Flux-Problem möglicherweise dazu führen, dass das ARP-Snooping inkorrekte Informationen erhält. Das Problem kann durch einen ARP-Filter verhindert werden. Weitere Informationen finden Sie unter http://linux-ip.net/html/ether-arp.html#ether-arp-flux.
