IP アドレス検出では、DHCP と DHCPv6 スヌーピング、ARP (Address Resolution Protocol) スヌーピング、ネイバー検出 (ND) スヌーピング、および仮想マシン ツールを使用して、MAC および IP アドレスを学習します。

検出された MAC アドレスおよび IP アドレスを使用すると、ARP/ND 抑制が実現されるため、同じ論理スイッチに接続されている仮想マシン間のトラフィックが最小限に抑えられます。また、このアドレスは、SpoofGuard および分散ファイアウォール (DFW) のコンポーネントでも使用可能です。DFW はアドレス割り当てを使用し、ファイアウォール ルール内のオブジェクトの IP アドレスを決定します。

DHCP/DHCPv6 スヌーピングは、DHCP/DHCPv6 クライアントとサーバ間で交換された DHCP/DHCPv6 パケットを検査し、IP アドレスおよび MAC アドレスを学習します。

ARP スヌーピングは、仮想マシンの送信 ARP および GARP (Gratuitous ARP) パケットを検査し、IP アドレスと MAC アドレスを学習します。

仮想マシン ツールは、ESXi ホストの仮想マシン上で実行されるソフトウェアで、MAC アドレスおよび IP または IPv6 アドレスを含む仮想マシンの構成情報を提供します。この IP アドレス検出方法は、ESXi ホストで実行されている仮想マシンにのみ使用できます。

ND スヌーピングは ARP スヌーピングに相当する IPv6 です。Neighbor Solicitation (NS) と Neighbor Advertisement (NA) メッセージを検査し、IP アドレスと MAC アドレスを学習します。

重複アドレス検出は、新しく検出された IP アドレスが別のポートの認識済みの割り当てリストにすでに含まれているかどうかを確認します。このチェックは、同じセグメント上のポートに実行されます。アドレスの重複が検出されると、新しく検出されたアドレスは認識済みの割り当てリストではなく、検出リストに追加されます。重複するすべての IP アドレスは検出タイムスタンプに関連付けられます。除外する割り当てリストに追加したり、またはスヌーピングを無効にしたりして、認識済みの割り当てリスト内の IP アドレスが削除されると、最も古いタイムスタンプの重複 IP アドレスが認識済みの割り当てリストに移動します。重複するアドレス情報は API 呼び出しを介して使用できます。

デフォルトでは、ARP スヌーピングと ND スヌーピングの検出方法は、初回使用時に信頼する (TOFU) と呼ばれるモードで動作します。TOFU モードでは、アドレスが検出され、認識済みの割り当てリストに追加されると、その割り当ては認識済みのリストに永久に残ります。TOFU は、ARP/ND スヌーピングを使用して検出された最初の n 個の固有の <IP, MAC, VLAN> の割り当てに適用されます。n は、設定可能な割り当て制限です。ARP/ND スヌーピングの TOFU を無効にすることができます。これは、毎回使用時に信頼する (TOEU) モードで動作します。TOEU モードの場合、アドレスが検出されると、そのアドレスは認識済みの割り当てリストに追加されます。アドレスが削除されるか期限切れになると、認識済みの割り当てリストから削除されます。DHCP スヌーピングと仮想マシン ツールは常に TOEU モードで動作します。

各ポートでは、NSX Manager は、ポートに割り当てられない IP アドレスが含まれる、除外する割り当てリストを保持します。[マネージャ] モードで [ネットワーク] > [論理スイッチ] > [ポート] の順に移動してポートを選択すると、除外する割り当てリストに検出された割り当てを追加できます。また、既存の検出済みまたは認識済みの割り当てを削除するには、[除外する割り当て] にコピーします。

注: TOFU は、SpoofGuard と同じではありません。SpoofGuard と同じ方法でトラフィックをブロックしません。詳細については、『 SpoofGuard セグメント プロファイルの理解』を参照してください。

Linux 仮想マシンの場合、ARP Flux (ARP 変動) の問題によって ARP スヌーピングが不正な情報を取得する可能性があります。この問題は ARP フィルタによって回避できます。詳細については、http://linux-ip.net/html/ether-arp.html#ether-arp-fluxを参照してください。