Il rilevamento IP utilizza lo snooping DHCP e DHCPv6, lo snooping ARP (Address Resolution Protocol), lo snooping ND (Neighbor Discovery) e gli strumenti della macchina virtuale per acquisire indirizzi MAC e IP.
Gli indirizzi MAC e IP rilevati vengono utilizzati per ottenere la soppressione di ARP/ND, che riduce al minimo il traffico tra le macchine virtuali connesse allo stesso commutatore logico. Gli indirizzi vengono utilizzati anche dai componenti SpoofGuard e DFW (Distributed Firewall). DFW utilizza i binding degli indirizzi per determinare l'indirizzo IP degli oggetti nelle regole del firewall.
Lo snooping DHCP/DHCPv6 ispeziona i pacchetti DHCP/DHCPv6 scambiati tra il client e il server DHCP/DHCPv6 per acquisire gli indirizzi IP e MAC.
Lo snooping ARP ispeziona i pacchetti ARP e GARP (ARP gratuito) in uscita di una macchina virtuale per acquisire gli indirizzi IP e MAC.
VM Tools è un software che viene eseguito in una macchina virtuale ospitata in ESXi e può fornire informazioni di configurazione della macchina virtuale, tra cui indirizzi MAC, IP o IPv6. Questo metodo di individuazione IP è disponibile solo per le macchine virtuali in esecuzione su host ESXi.
Lo snooping ND è l'equivalente IPv6 dello snooping ARP. Analizza i messaggi della richiesta del router adiacente (NS) e dell'annuncio del router adiacente (NA) per apprendere gli indirizzi IP e MAC.
Il rilevamento degli indirizzi duplicato verifica se un indirizzo IP appena rilevato è già presente nell'elenco di binding realizzato per una porta diversa. Questo controllo viene eseguito per le porte nello stesso segmento. Se viene rilevato un indirizzo duplicato, l'indirizzo appena rilevato viene aggiunto all'elenco rilevato, ma non viene aggiunto all'elenco di binding realizzato. A tutti gli IP duplicati è associato una data e ora di rilevamento. Se l'IP presente nell'elenco di binding realizzato viene rimosso, aggiungendolo all'elenco di binding ignorato o disabilitando lo snooping, l'IP duplicato con la data e ora meno recente viene spostato nell'elenco di binding realizzato. Le informazioni sugli indirizzi duplicati sono disponibili tramite una chiamata API.
Per impostazione predefinita, i metodi di individuazione snooping ARP e snooping ND operano in una modalità TOFU (Trust on First Use). In modalità TOFU, quando un indirizzo viene rilevato e aggiunto all'elenco dei binding realizzati, tale binding rimane nell'elenco realizzato per sempre. TOFU si applica ai primo binding univoci 'n' <IP, MAC, VLAN> rilevati utilizzando lo snooping ARP/ND, dove 'n' è il limite di binding che è possibile configurare. È possibile disabilitare TOFU per lo snooping ARP/ND. I metodi operano quindi in modalità TOEU (Trust on Every Use). In modalità TOEU, quando viene rilevato, un indirizzo viene aggiunto all'elenco dei binding realizzati e quando viene eliminato o è scaduto, viene rimosso dall'elenco dei binding realizzati. Lo snooping DHCP e gli strumenti delle macchine virtuali operano sempre in modalità TOEU
Per ogni porta, NSX Manager gestisce un elenco di binding ignorati, che contiene indirizzi IP che non possono essere associati alla porta. Se si passa a in modalità Manager e si seleziona una porta, è possibile aggiungere binding rilevati all'elenco di binding ignorati. È inoltre possibile eliminare un binding esistente rilevato o realizzato copiandolo in Ignora i binding.
Per le macchine virtuali Linux, il problema di flusso ARP potrebbe far sì che lo snooping ARP ottenga informazioni errate. Il problema può essere impedito con un filtro ARP. Per ulteriori informazioni, vedere http://linux-ip.net/html/ether-arp.html#ether-arp-flux.