Begrijp ARP overstromingen en ARP Gleaning in ACI

Downloadopties

  • PDF     (960.0 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:23 juli 2024
Document-id:222179

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt het gebruik van het Address Resolution Protocol (ARP) voor overstromingen en ARP-opheldering in de Application Centric Infrastructure (ACI)-structuur beschreven.

    ARP-overstromingen begrijpen

    In Cisco ACI is er een optie om de ARP-overstroming te gebruiken of uit te schakelen wanneer dat nodig is. Het is verplicht om het weefselgedrag met betrekking tot de ARP-overstroming te kennen, zodat u problemen met de Layer 2-problemen kunt oplossen.

    Als ARP flooding is ingeschakeld, wordt ARP-verkeer overspoeld in de fabric volgens de normale ARP-afhandeling in traditionele netwerken. ARP-overstromingen zijn vereist wanneer u Gratuitous ARP (GARP)-verzoeken nodig hebt om host ARP-caches of router ARP-caches bij te werken. Dit is het geval wanneer een IP-adres een ander MAC-adres kan hebben (bijvoorbeeld met clustering van failover van load balancers en firewalls).

    Als ARP flooding is uitgeschakeld, probeert de fabric unicast te gebruiken om het ARP-verkeer naar de bestemming te sturen. Daarom wordt Layer 3 opgezocht voor het IP-adres van het ARP-pakket. ARP gedraagt zich als een Layer 3-unicastpakket totdat het de switch van het bestemmingsblad bereikt.

    note-icon

    Opmerking: deze optie is alleen van toepassing als unicast-routering is ingeschakeld in het bridge-domein. Als unicast-routering is uitgeschakeld, is ARP-overstroming impliciet ingeschakeld.

    Vervolgens zie je een aantal use cases met betrekking tot het gebruik van ARP flooding.

    Gebruiksscenario 1. Eindpunten worden geleerd in ACI

    Deze use case is van toepassing wanneer beide eindpunten bekend zijn bij de switch.

    Er is geen rol van ARP-overstromingen in dit scenario. Het verkeer wordt lokaal geschakeld wanneer de switch van het blad zijn eindpuntinformatie kent. Dit gedrag is hetzelfde wanneer een eindpunt, zoals H1, een ARP-verzoek naar de andere stuurt (H2) en ARP-overstromingen zijn uitgeschakeld. Omdat de leaf switch weet waar H2 is aangesloten en het ARP-doel IP-adres controleert (wat een H2 IP-adres is), is het niet nodig om het verkeer te overspoelen of om te leiden naar de ruggengraatlaag. Daarom stuurt het het ARP-verzoek naar H2. 

    Ongeacht de instellingen voor de eindpuntgroep (EPG), het brugdomein of Access/Encapsulation. Als de eindpunten bekend zijn bij het blad, worden ze op dezelfde manier behandeld. 

    Voorbeeld 1. Eindpunten die bekend zijn bij de fabric en werken in hetzelfde EPG-, Bridge-domein en Access/Encapsulation-domein.

    EPs on Same Leaf, EPG/BD/Encap

    Voorbeeld 2. Eindpunten die bekend zijn bij de fabric en werken in hetzelfde EPG-, Bridge-domein, maar met verschillende Access/Encapsulation-functies.

    EPs on Same Leaf, EPG/BD, Encap different

    Voorbeeld 3. Eindpunten die bekend zijn bij de fabric, werken in verschillende EPG's maar in hetzelfde Bridge Domain.

    Wanneer ARP-overstromingen is uitgeschakeld en de eindpunten deel uitmaken van de verschillende EPG's in hetzelfde brugdomein, terwijl ze zijn verbonden met dezelfde leaf-switch, wordt het ARP-verkeer lokaal gerouteerd als de leaf-switch het ARP-doel-IP-adres kent (unicast-routering is ingeschakeld).

    EPs on Same Leaf/BD, Different EPGs

    Gebruiksscenario 2. Eindpunten worden geleerd in COOP

    Deze use case is van toepassing wanneer beide eindpunten verbonden zijn met verschillende switches; aanwezig in de Cooperative Protocol (COOP) database van Spine Switch.

    ARP-verzoek moet worden doorgestuurd over de hele stof. De doorstroming van het ARP-verkeer van H1 naar H3 is:

    • H1 verzendt een ARP-verzoek voor H3 met behulp van een broadcast-bestemmings-MAC.

    • De ACI probeert unicast forwarding te gebruiken om het ARP-verzoek te verzenden, dus de lokale leaf-switch controleert het ARP-doel-IP-adres, het H3-IP-adres. Aangezien de lokale leaf-switch het IP-adres van het eindpunt H3 niet kent, stuurt het het ARP-verzoek naar de spine-switch voor spine-proxy.

    • De ruggengraat heeft de H3-informatie in de COOP-database (unicast-routering is ingeschakeld) en stuurt het ARP-verzoek door naar de switch van het bestemmingsblad over het weefsel, die het doorstuurt naar H3. Zodra H3 het verkeer ontvangt, antwoordt het op H1.

    note-icon

    Opmerking: Het genoemde mechanisme is van toepassing op alle drie de scenario's.

    Voorbeeld 1. Eindpunten die bekend zijn bij de fabric en werken in hetzelfde EPG-, Bridge-domein en Access/Encapsulation-domein.

    EPs on Different Leaf, Same EPG/BD/Encap

    Voorbeeld 2. Eindpunten die bekend zijn bij de fabric en werken in hetzelfde EPG-, Bridge-domein, maar met verschillende Access/Encapsulation-functies.

    EPs on Different Leaf, EPG/BD, Encap Different

    Voorbeeld 3. Eindpunten die bekend zijn bij de fabric, werken in verschillende EPG's maar in hetzelfde Bridge Domain.

    EPs on Same Leaf/BD, Different EPGs

    Use Case 3. Doel-IP onbekend, ARP-stroom uitgeschakeld

    Deze use case wordt toegepast wanneer Ingress Leaf de locatie van het doel-IP-adres niet weet (ARP-overstroming uitgeschakeld, unicast-routering ingeschakeld).

    In een vergelijkbaar scenario, wanneer ARP-overstromingen zijn uitgeschakeld en het ingangsblad niet weet waar het ARP-doel-IP-adres zich bevindt, wordt een ARP-verzoek verzonden naar het anycast spine-proxy Tunnel End-point (TEP) in plaats van overstromingen. De doorstroming van het ARP-verkeer van H1 naar H2 is:

    • H1 verzendt een ARP-verzoek voor H2 met behulp van een broadcast-bestemmings-MAC.

    • De ACI probeert unicast forwarding te gebruiken om het ARP-verzoek te verzenden. De lokale leaf-switch kent het IP-adres van het eindpunt H2 niet (het ARP-doel-IP is onbekend voor het binnenkomende blad), dus stuurt het het ARP-verzoek naar de switch van de wervelkolom voor de proxy van de wervelkolom.

    • Omdat H2-eindpuntinformatie ontbreekt in de COOP-database op de switch van de wervelkolom, laat de wervelkolom het oorspronkelijke pakket vallen, maar in plaats daarvan wordt ARP-glean geactiveerd om het doel-IP te detecteren, zodat latere ARP-verzoeken niet worden weggelaten.

    Voorbeeld 1. Ongeacht de instellingen voor EPG, Bridge-domein of Access/Encapsulation blijft de stroom ARP-verzoeken hetzelfde als eerder vermeld.

    Target IP Unknown

    Gebruiksscenario 4. Doel-IP onbekend, ARP-vloed ingeschakeld

    Deze use case is van toepassing wanneer Ingress Leaf de locatie van het IP-adres van het doel niet weet (ARP-overstromingen ingeschakeld, unicast-routering ingeschakeld).

    Als de ARP-overstroming is ingeschakeld in het brugdomein, bereikt het ARP-verzoek van H1 H2 via overstromingen. De doorstroming van het ARP-verkeer van H1 naar H2 is:

    • H1 verzendt een ARP-verzoek voor H2 met behulp van een broadcast-bestemmings-MAC.

    • Het ARP-verzoek wordt overspoeld naar alle interfaces in het bridge-domein. H2 ontvangt het frame en antwoordt, terwijl het in de stof wordt geleerd.

    Voorbeeld 1.

    Target IP Unknown, ARP Flood Enable

    note-icon

    Opmerking: De overstroming in inkapseling in Cisco ACI (bridge domain of EPG level) kan worden gebruikt om het overstromingsverkeer binnen het bridge domain te beperken tot één inkapseling. Wanneer twee EPG's hetzelfde brugdomein delen en Flood in Encapsulation is ingeschakeld, bereikt het EPG-overstromingsverkeer de andere EPG niet.

    Een van de voordelen van het inschakelen van ARP-overstromingen is om een stil IP-adres te kunnen detecteren dat van de ene locatie naar de andere is verplaatst zonder een ACI-blad te melden. Omdat het ARP-verzoek binnen het bridge-domein wordt overspoeld, reageert de host met het stille IP-adres, zelfs als het ACI-blad nog steeds denkt dat het IP-adres zich op de oude locatie bevindt, op de juiste manier zodat het ACI-blad de invoer dienovereenkomstig kan bijwerken.

    Als ARP-overstromingen zijn uitgeschakeld, blijft de ACI-leaf het ARP-verzoek alleen doorsturen naar de oude locatie totdat het IP-eindpunt veroudert. Aan de andere kant is het voordeel van het uitschakelen van ARP-overstromingen om de verkeersstroom te kunnen optimaliseren door het ARP-verzoek rechtstreeks naar de locatie van het doel-IP te sturen, ervan uitgaande dat er geen eindpuntbewegingen zijn zonder de verplaatsing via GARP en dergelijke te melden.

    Gebruiksscenario 5. Eindpunten in verschillende EPG's en BD's

    Deze use case wordt toegepast wanneer eindpunten zijn verbonden in verschillende EPG's en verschillende bridge-domeinen.

    Wanneer de eindpunten deel uitmaken van de verschillende EPG's en verschillende brugdomeinen, moet het verkeer daartussen worden gerouteerd. De overstroming gaat niet over de brugdomeinen, inclusief ARP-overstromingen. Dus als H1 moet communiceren met H2, dat is verbonden met dezelfde switch, wordt het verkeer naar het standaard MAC-adres van de gateway gestuurd, dus ARP-overstromingen zijn niet van toepassing in dit voorbeeld.

    EPs in Different EPGs and BD, ARP Flood

    ARP-leren begrijpen

    Cisco ACI heeft verschillende mechanismen om stille hosts te detecteren, waarbij een ACI-blad geen lokaal eindpunt heeft geleerd. ACI heeft een aantal mechanismen om die stille hosts te detecteren. Voor Layer 2-verkeer dat naar een onbekende MAC is overgezet, kunt u de optie Layer 2 Unknown Unicast onder het Bridge Domain (BD) instellen op flood, terwijl u voor de ARP-verzoeken met een MAC-uitzendbestemming de ARP-overstromingsoptie onder het bridge-domein kunt gebruiken om het overstromingsgedrag te regelen. Daarnaast maakt Cisco ACI gebruik van ARP-gleaning om ARP-verzoeken te verzenden om het IP-adres op te lossen van een eindpunt dat nog moet worden geleerd (stille hostdetectie).

    Als de ruggengraat geen informatie heeft over waar de bestemming van het ARP-verzoek is gekoppeld (het doel-IP bevindt zich niet in de COOP-database), genereert de fabric een ARP-verzoek dat afkomstig is van het IP-adres van de bridge domain Switch Virtual Interface (SVI) (pervasive gateway). Dit ARP-verzoek wordt verzonden naar alle randinterfaces van de bladknooppunten die deel uitmaken van het brugdomein. ARP-gleaning wordt ook geactiveerd voor (Layer 3) gerouteerd verkeer, ongeacht de configuratie, zoals ARP-overstromingen, zolang het verkeer wordt gerouteerd naar een onbekend IP.

    ARP-learning heeft een aantal vereisten:

    • IP-adres wordt gebruikt voor doorsturen (ARP-verzoeken met ARP-overstroming uitgeschakeld of verkeer over subnetten met ACI BD SVI als gateway)

    • Unicast-routering ingeschakeld

    • Subnet gemaakt onder het bridge-domein

    Gebruiksscenario 1. Doel-IP onbekend, ARP-stroom uitgeschakeld

    Deze use case is van toepassing wanneer het doel-/bestemmingseindpunt niet bekend is bij de fabric (ARP-overstroming uitgeschakeld).

    Wanneer de eindpunten zich op verschillende switches bevinden, terwijl ze deel uitmaken van hetzelfde EPG- en brugdomein en dezelfde VLAN-toegangstoewijzing gebruiken, moet het ARP-verzoek (bijvoorbeeld van H1 naar H3) over de fabric worden doorgestuurd. Als H3-informatie ontbreekt in de COOP-database op de switch van de wervelkolom (silent host) en ARP-overstroming is uitgeschakeld, kan ARP-gleaning ook worden gebruikt zoals weergegeven in deze afbeelding.

    Target IP Unknown, ARP Flood Disable

    De doorstroming van het ARP-verkeer van H1 naar H3 is:

    • H1 verzendt een ARP-verzoek voor H3 met behulp van een broadcast-bestemmings-MAC.

    • De ACI probeert unicast forwarding te gebruiken om het ARP-verzoek te verzenden, zodat de lokale leaf-switch het ARP-doel-IP-adres (H3 IP) controleert. Aangezien de lokale leaf-switch het IP-adres van het eindpunt H3 niet kent, stuurt het het ARP-verzoek naar de spine-switch voor spine-proxy.

    • De H3-informatie ontbreekt in de COOP-database op de switch van de wervelkolom en activeert ARP-gleaning met behulp van het doordringende IP-adres van de gateway als bron. Dit ARP-verzoek wordt overspoeld in het domein.

    • H3 ontvangt het ARP-verzoek en antwoordt, terwijl het in de stof wordt geleerd.

    Ongeacht de instellingen voor EPG, Bridge-domein of Access/Encapsulation werkt de ARP-glean-functie op dezelfde manier wanneer twee eindpunten met elkaar proberen te communiceren (ongeacht hun connectiviteit met dezelfde of verschillende switch in de fabric).

    Gebruiksscenario 2. Eindpunten in verschillende EPG's en BD's

    Deze use case is van toepassing wanneer eindpunten zijn verbonden in verschillende EPG's en bridge-domeinen (ARP flooding ingeschakeld).

    Wanneer de eindpunten deel uitmaken van de verschillende EPG's en verschillende brugdomeinen, moet het verkeer daartussen worden gerouteerd. De overstroming gaat niet over de brugdomeinen, inclusief ARP-overstromingen die kunnen worden gegenereerd door ARP-opruiming. Dus als H1 moet communiceren met H2, dat op dezelfde switch is aangesloten, wordt het verkeer naar het standaard MAC-adres van de gateway verzonden, dus ARP-verzamelen is niet van toepassing in dit voorbeeld.

    EPs in Different EPGs and BD

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    23-Jul-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Shekhar Garg
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten