IP 探索使用 DHCP 和 DHCPv6 窺探、ARP (位址解析通訊協定) 窺探、ND (芳鄰探索) 窺探,以及 VM Tools 來學習 MAC 和 IP 位址。
探索到的 MAC 和 IP 位址用於實現 ARP/ND 隱藏,以最大限度地減少連線至相同區段的虛擬機器之間的流量。任何指定連接埠之 ARP/ND 隱藏快取中的 IP 數目,會由連接埠之 IP 探索設定檔中的設定來決定。相關設定包括 ARP 繫結限制、ND 窺探限制、重複的 IP 偵測、ARP ND 繫結限制逾時,以及首次使用時信任 (TOFU)。
SpoofGuard 和分散式防火牆 (DFW) 元件也會使用這些探索到的 MAC 和 IP 位址。DFW 使用位址繫結來判斷防火牆規則中物件的 IP 位址。
DHCP/DHCPv6 窺探會檢查在 DHCP/DHCPv6 用戶端和伺服器之間交換的 DHCP/DHCPv6 封包,以學習 IP 和 MAC 位址。
ARP 窺探會檢查虛擬機器的傳出 ARP 和 GARP (Gratuitous ARP) 封包,以學習 IP 和 MAC 位址。
VM Tools 是一種在 ESXi 主控虛擬機器執行上的軟體,可提供包括 MAC 和 IP 或 IPv6 位址的虛擬機器組態資訊。此 IP 探索方法僅適用於在 ESXi 主機上執行的虛擬機器。
ND 窺探是 ARP 窺探的對等 IPv6。它會檢查芳鄰請求 (NS) 和芳鄰通告 (無) 訊息,以學習 IP 和 MAC 位址。
重複位址偵測會檢查其他連接埠已實現繫結清單上是否已有新探索到的 IP 位址。會針對同一區段上的連接埠執行此檢查。如果偵測到重複的位址,新探索到的位址就會新增至探索到的清單,但不會新增至實現的繫結清單。所有重複的 IP 都具有相關聯的探索時間戳記。如果藉由將已實現繫結清單上的 IP 新增至略過繫結清單或停用窺探來移除此 IP,則具有最舊時間戳記的重複 IP 將會移至已實現繫結清單中。可透過 API 呼叫取得重複位址資訊。
依預設,探索方法 ARP 窺探和 ND 窺探會在名稱為「首次使用時信任 (TOFU)」的模式下運作。在 TOFU 模式中,在探索到位址並將其新增至實現的繫結清單時,該繫結會永久保留在實現的清單中。TOFU 會套用至使用 ARP/ND 窺探探索到前「n」個唯一的 <IP、MAC、VLAN> 繫結,其中「n」是您可以設定的繫結限制。您可以針對 ARP/ND 窺探停用 TOFU。隨後,這些方法將會在「每次使用皆信任 (TOEU)」模式中運作。在 TOEU 模式中,在探索到某個位址時,系統即會將其新增至實現的繫結清單中,並在該位址刪除或到期後,將其從實現的繫結清單中移除。DHCP 窺探和 VM Tools 一律會在 TOEU 模式中運作。
對於 Linux 虛擬機器,ARP 流量問題可能會導致 ARP 窺探取得不正確的資訊。可透過使用 ARP 篩選器防止出現此問題。如需詳細資訊,請參閱http://linux-ip.net/html/ether-arp.html#ether-arp-flux。
對於每個連接埠,NSX Manager 會維護略過繫結清單,其中包含無法繫結至連接埠的 IP 位址。如果您在管理程式模式中導覽至,然後選取連接埠,則可以將探索到的繫結新增至略過繫結清單。您也可以將目前探索到的繫結或實現的繫結複製到略過繫結,以刪除該繫結。
