La découverte d'adresses IP utilise l'écoute DHCP et DHCPv6, l'écoute ARP (Address Resolution Protocol), l'écoute ND (Neighbor-Discovery) et VM Tools pour découvrir les adresses MAC et IP.

Note : Les méthodes de détection d'adresses IP pour IPv6 sont désactivées dans le profil de segment de détection d'IP par défaut. Pour activer la détection d'adresses IP pour IPv6 pour des segments, vous devez créer un profil de détection d'adresses IP avec les options IPv6 activées et associer le profil aux segments. En outre, assurez-vous que le pare-feu distribué autorise les paquets de détection de voisin IPv6 entre toutes les charges de travail (autorisé par défaut).

Les adresses MAC et IP découvertes sont utilisées pour obtenir la suppression ARP/ND, ce qui réduit le trafic entre les machines virtuelles connectées à un même segment. Le nombre d'adresses IP dans le cache de suppression ARP/ND pour n'importe quel port donné est déterminé par les paramètres du profil de détection d'adresses IP du port. Les paramètres pertinents sont Limite de liaison ARP, Limite d'écoute ND, Détection d'adresses IP en double, Délai d'expiration de limite de liaison ARP ND et Approuver à la première utilisation.

Les adresses MAC et IP détectées sont également utilisées par SpoofGuard et les composants du pare-feu distribué (DFW). DFW utilise les liaisons d'adresse pour déterminer l'adresse IP des objets dans les règles de pare-feu.

L'écoute DHCP/DHCPv6 inspecte les paquets DHCP/DHCPv6 échangés entre le client et le serveur DHCP/DHCPv6 pour apprendre les adresses IP et MAC.

L'écoute ARP inspecte les paquets ARP et GARP (ARP gratuits) sortants d'une VM pour apprendre les adresses IP et MAC.

VM Tools est un logiciel qui s'exécute sur une machine virtuelle hébergée par ESXi et peut fournir les informations de configuration de la machine virtuelle, y compris les adresses MAC et IP ou IPv6. Cette méthode de découverte d'adresses IP est disponible pour les machines virtuelles en cours d'exécution sur les hôtes ESXi uniquement.

L'écoute ND est l'équivalent IPv6 de l'écoute ARP. Elle inspecte les messages Neighbor Solicitation (NS) et Neighbor Advertisement (NA) pour découvrir les adresses IP et MAC.

La détection d'adresses en double vérifie si une adresse IP qui vient d'être découverte est déjà présente dans la liste de liaison réalisée pour un port différent. Cette vérification est effectuée pour les ports se trouvant sur le même segment. Si une adresse en double est détectée, l'adresse qui vient d'être découverte est ajoutée à la liste découverte, mais n'est pas ajoutée à la liste de liaison réalisée. Toutes les adresses IP en double ont un horodatage de découverte associé. Si l'adresse IP qui se trouve sur la liste des liaisons réalisées est supprimée, soit en l'ajoutant à la liste Ignorer la liaison, soit en désactivant l'écoute, l'adresse IP en double avec l'horodatage le plus ancien est déplacée vers la liste des liaisons réalisées. Les informations d'adresse en double sont disponibles via un appel d'API.

Par défaut, les méthodes de découverte par écoute ARP et écoute ND fonctionnent dans un mode appelé TOFU (Trust On First Use). En mode TOFU, lorsqu'une adresse est découverte et ajoutée à la liste de liaison réalisée, cette liaison reste indéfiniment dans la liste réalisée. TOFU s'applique aux « n » premières liaisons uniques <IP, MAC, VLAN> découvertes à l'aide de l'écoute ARP/ND, où « n » représente la limite de liaison que vous pouvez configurer. Vous pouvez désactiver le mode TOFU pour l'écoute ARP/ND. Les méthodes fonctionneront ensuite en mode TOEU (Trust On Every Use). En mode TOEU, lorsqu'une adresse est découverte, elle est ajoutée à la liste de liaison réalisée et lorsqu'elle est supprimée ou expirée, elle est supprimée de cette liste. L'écoute DHCP et VMTools fonctionnent toujours dans le mode TOEU.

Note : TOFU n'est pas identique à SpoofGuard et ne bloque pas le trafic de la même manière que SpoofGuard. Pour plus d'informations, reportez-vous à la section Comprendre le profil de segment SpoofGuard.

Pour les machines virtuelles Linux, le problème de flux ARP peut empêcher l'écoute ARP d'obtenir des informations incorrectes. Le problème peut être évité à l'aide d'un filtre ARP. Pour plus d'informations, consultez http://linux-ip.net/html/ether-arp.html#ether-arp-flux.

Pour chaque port, NSX Manager conserve une liste Ignorer les liaisons, qui contient les adresses IP qui ne peuvent pas être liées au port. Si vous accédez à Mise en réseau > Commutateurs logiques > Ports dans le mode Gestionnaire et que vous sélectionnez un port, vous pouvez ajouter les liaisons détectées pour ignorer la liste de liaisons. Vous pouvez également supprimer une liaison existante découverte ou réalisée en la copiant vers Ignorer les liaisons.