La detección de IP utiliza la intromisión de DHCP y DHCPv6, la intromisión de protocolo de resolución de direcciones (Address Resolution Protocol, ARP), la intromisión de detección de vecinos (Neighbor Discovery, ND) y VM Tools para aprender las direcciones IP y MAC.
Las direcciones MAC e IP detectadas se utilizan para conseguir la supresión de ARP/ND, lo que minimiza el tráfico entre las máquinas virtuales conectadas al mismo conmutador lógico. Las direcciones también las utilizan SpoofGuard y los componentes de firewall distribuido (DFW). DFW utiliza los enlaces de direcciones para determinar la dirección IP de los objetos en las reglas de firewall.
La intromisión de DHCP/DHCPv6 inspecciona los paquetes de DHCP/DHCPv6 que se intercambian entre el servidor y el cliente de DHCP/DHCPv6 para aprender las direcciones IP y MAC.
La intromisión de ARP inspecciona los paquetes de ARP y de ARP innecesario (Gratuitous ARP, GARP) salientes de una máquina virtual para aprender las direcciones IP y MAC.
VM Tools es el software que se ejecuta en las máquinas virtuales alojadas en ESXi y que puede proporcionar información de configuración de las máquinas virtuales, como las direcciones MAC, IP o IPv6. Este método de detección de direcciones IP está disponible para máquinas virtuales que se ejecutan solo en hosts ESXi.
La intromisión de ND es el equivalente IPv6 de la intromisión de ARP. Examina los mensajes de solicitud de equipos vecinos (NS) y de anuncio de equipos vecinos (NA) para aprender las direcciones IP y MAC.
Con la detección de direcciones duplicadas se comprueba si una dirección IP recién detectada ya figura en la lista de enlaces aplicada de otro puerto. Esta comprobación se realiza para los puertos en el mismo segmento. Si se detecta una dirección duplicada, la dirección recién detectada se agrega a la lista descubierta, pero no se agrega a la lista de enlaces aplicada. Todas las direcciones IP duplicadas tienen una marca de tiempo de detección asociada. Si se quita la dirección IP que se encuentra en la lista de enlaces, ya sea porque se agrega a la lista de enlaces ignorados o porque se deshabilita la intromisión, la dirección IP duplicada con la marca de tiempo más antigua se moverá a la lista de enlaces. La información de la dirección duplicada está disponible a través de una llamada de API.
De forma predeterminada, los métodos de detección intromisión de ARP y de ND funcionan en un modo denominado Confianza desde el primer uso (Trust On First Use, TOFU). En el modo TOFU, cuando se detecta una dirección y se agrega a la lista de enlaces realizados, ese enlace permanece en la lista de realizados para siempre. TOFU se aplica a los primeros enlaces 'n' únicos <IP, MAC, VLAN> detectados mediante la intromisión ARP/ND, donde 'n' es el límite de enlace que puede configurar. Puede deshabilitar TOFU para la intromisión de ARP/ND. Los métodos seguirán funcionando en el modo de confianza en cada uso (TOEU). En el modo TOEU, cuando se detecta una dirección, se agrega a la lista de enlaces aplicados y, cuando se elimina o caduca, se elimina de la lista de enlaces aplicados. La intromisión de DHCP y VMware Tools siempre funcionan en el modo TOEU.
Para cada puerto, NSX Manager mantiene una lista de enlaces ignorados, que contiene las direcciones IP que no se pueden enlazar al puerto. Si va a en el modo Manager y selecciona un puerto, puede agregar enlaces detectados a la lista de enlaces ignorados. También puede eliminar un enlace detectado o aplicado existente copiándolos en Enlaces omitidos.
Para las máquinas virtuales Linux, el problema de flujo de ARP puede provocar que la intromisión de ARP obtenga información incorrecta. Puede evitar el problema con un filtro ARP. Para obtener más información, consulte http://linux-ip.net/html/ether-arp.html#ether-arp-flux.