瞭解ACI中的ARP泛洪和ARP收集

簡介

本檔案介紹位址解析通訊協定(ARP)泛洪和ARP收集在以應用程式為中心的基礎架構(ACI)網狀架構中的使用。

瞭解ARP泛洪

在Cisco ACI中，有一個選項可以在需要時使用ARP泛洪或禁用它。必須瞭解有關ARP泛洪的交換矩陣行為，才能排除第2層故障。

如果啟用ARP泛洪，ARP流量會根據傳統網路中常規ARP處理而在交換矩陣內泛洪。當您需要無端ARP(GARP)請求來更新主機ARP快取或路由器ARP快取時，需要ARP泛洪。當IP地址可以具有不同的MAC地址時（例如，具有負載平衡器和防火牆的故障轉移群集），就會出現這種情況。

如果ARP泛洪被禁用，交換矩陣將嘗試使用單播將ARP流量傳送到目的地。因此，將對ARP資料包的目標IP地址進行第3層查詢。ARP的行為類似於第3層單播資料包，直到它到達目的枝葉交換機。

附註：請注意，僅當在橋接域上啟用了單播路由時，此選項才適用。如果禁用了單播路由，則隱式啟用ARP泛洪。

接下來，您將看到一些與ARP泛洪的使用有關的使用案例。

使用案例1.在ACI中學習端點

此使用案例適用於枝葉交換機已知兩個端點的情形。

在此案例中，ARP泛洪不起作用。當枝葉交換機知道其端點資訊時，流量在本地進行交換。當一個端點（例如H1）向另一個端點(H2)傳送ARP請求時，此行為是相同的，並且ARP泛洪被禁用。由於枝葉交換機知道H2連線的位置並檢查ARP目標IP地址（即H2 IP地址），因此無需將流量泛洪或重定向到主幹層。因此，它向H2傳送ARP請求。 

無論終端組(EPG)、網橋域或接入/封裝設定如何，如果枝葉知道端點，則以相同的方式處理它們。 

示例1.交換矩陣已知的端點，在同一EPG、網橋域和接入/封裝中工作。

示例2.交換矩陣已知的端點，在同一個EPG網橋域中工作，但訪問/封裝不同。

示例3.交換矩陣已知的端點，可在不同的EPG但相同的網橋域中工作。

當禁用ARP泛洪時，當終端屬於同一網橋域中的不同EPG時，連線到同一枝葉交換機時，如果枝葉交換機知道ARP目標IP地址（啟用單播路由），則會本地路由ARP流量。

使用案例2.在COOP中學習端點

當兩個端點連線到不同的枝葉交換機時，此使用案例適用；存在於主幹交換機的合作協定(COOP)資料庫中。

ARP請求必須通過交換矩陣轉發。從H1到H3的ARP流量流為：

• H1使用廣播目標MAC傳送對H3的ARP請求。

• ACI嘗試使用單播轉發來傳送ARP請求，因此本地枝葉交換機檢查ARP目標IP地址，即H3 IP地址。由於本地枝葉交換機不知道終端H3的IP地址，因此它會將ARP請求傳送到主幹交換機以進行主幹代理。

• 主幹在COOP資料庫中具有H3資訊（已啟用單播路由），然後將ARP請求轉發到交換矩陣上的目標枝葉交換機，目的枝葉交換機再將其轉發到H3。H3收到流量後，便會對H1做出應答。

附註：上述機制適用於所有三種情況。

範例1.交換矩陣已知的端點，工作在相同的EPG、橋接域和接入/封裝。

範例2.交換矩陣已知的端點，在同一EPG網橋域中工作，但訪問/封裝不同。

示例3.交換矩陣已知的端點，可在不同的EPG但相同的網橋域中工作。

使用案例3.目標IP未知，ARP泛洪已禁用

當入口枝葉不知道目標IP地址的位置時（禁用ARP泛洪，啟用單播路由），將應用此使用案例。

在類似的情況中，當ARP泛洪被禁用，而入口枝葉不知道ARP目標IP地址位於何處時，ARP請求會被傳送到任播主幹代理隧道終端(TEP)，而不是泛洪。從H1到H2的ARP流量為：

• H1使用廣播目標MAC傳送對H2的ARP請求。

• ACI嘗試使用單播轉發來傳送ARP請求。本地枝葉交換機不知道端點H2的IP地址（入口枝葉未知該ARP目標IP），因此它將ARP請求傳送到主幹交換機以進行主幹代理。

• 由於主幹交換機上的COOP資料庫中缺少H2端點資訊，因此主幹丟棄了原始資料包，而是觸發ARP收集來檢測目標IP，從而不會丟棄後續的ARP請求。

示例1.無論EPG、網橋域或接入/封裝設定如何，ARP請求的流都保持如前所述。

用例4.目標IP未知，啟用ARP泛洪

此使用案例適用於入口枝葉不知道目標IP地址的位置（啟用ARP泛洪，啟用單播路由）。

如果在網橋域中啟用了ARP泛洪，來自H1的ARP請求通過泛洪到達H2。從H1到H2的ARP流量為：

• H1使用廣播目標MAC傳送對H2的ARP請求。

• ARP請求被泛洪到網橋域中的所有介面。H2接收幀並回覆，同時在交換矩陣中獲知。

範例 1.

附註：思科ACI（網橋域或EPG級別）封裝中的泛洪可用於將網橋域內的泛洪流量限製為單個封裝。當兩個EPG共用相同的網橋域且啟用了「封裝中泛洪」時，EPG泛洪流量不會到達另一個EPG。

啟用ARP泛洪的優點之一是能夠檢測從一個位置移動到另一個位置的靜默IP，而無需通知ACI枝葉。由於ARP請求在網橋域內泛洪，即使ACI枝葉仍然認為IP位於舊位置，具有靜默IP的主機也會作出適當響應，以便ACI枝葉可以相應地更新其條目。

如果ARP泛洪被禁用，ACI枝葉會一直將ARP請求僅轉發到舊位置，直到IP終端老化。另一方面，禁用ARP泛洪的好處是能夠將ARP請求直接傳送到目標IP的位置，從而最佳化流量，假定沒有終端移動而不通過GARP等通知其移動。

使用案例5.不同EPG和BD中的終端

此使用案例適用於終端連線在不同的EPG和不同的網橋域中的情況。

當端點屬於不同的EPG和不同的網橋域時，必須路由它們之間的流量。泛洪不會跨越網橋域，包括ARP泛洪。因此，如果H1需要與連線在同一枝葉交換機上的H2通訊，流量將傳送到預設網關MAC地址，因此ARP泛洪在本示例中並不相關。

瞭解ARP收集

思科ACI具有多種檢測靜默主機的機制，其中ACI枝葉尚未獲取本地端點。ACI有一些機制可以檢測這些無聲主機。對於流向未知MAC的第2層交換流量，您可以將橋接域(BD)下的第2層未知單播選項設定為泛洪，而對於具有廣播目標MAC的ARP請求，可以使用橋接域下的ARP泛洪選項來控制泛洪行為。此外，思科ACI使用ARP收集來傳送ARP請求，以解決尚未獲知的終端的IP地址（靜默主機檢測）。

通過ARP收集，如果主幹沒有有關ARP請求的目標連線位置的資訊（目標IP不在COOP資料庫中），交換矩陣將生成一個源自橋接域交換機虛擬介面(SVI)（沈浸式網關）IP地址的ARP請求。此ARP請求傳送到橋接域的所有枝葉節點的邊緣介面部分。此外，只要流量被路由到未知IP，無論配置如何（如ARP泛洪），都會觸發（第3層）路由流量的ARP收集。

ARP收集有一些要求：

• IP地址用於轉發（禁用ARP泛洪的ARP請求，或以ACI BD SVI作為網關的子網間流量）

• 單播路由已啟用

• 在網橋域下建立的子網

使用案例1.目標IP未知，ARP泛洪已禁用

此使用案例適用於目標/目標終端未知到交換矩陣（禁用ARP泛洪）的情況。

當終端位於不同的枝葉交換機上，同時屬於同一EPG和網橋域，並且使用同一VLAN訪問對映時，ARP請求（例如，從H1到H3）必須通過交換矩陣轉發。如果主幹交換機（靜默主機）上的COOP資料庫中缺少H3資訊，並且禁用了ARP泛洪，也可以使用ARP聚集，如圖所示。

從H1到H3的ARP流量流為：

• H1使用廣播目標MAC傳送對H3的ARP請求。

• ACI嘗試使用單播轉發來傳送ARP請求，因此本地枝葉交換機檢查ARP目標IP地址(H3 IP)。 由於本地枝葉交換機不知道終端H3的IP地址，因此它會將ARP請求傳送到主幹交換機以進行主幹代理。

• 主幹交換機上的COOP資料庫中缺少H3資訊，並且使用沈浸式網關IP地址作為源來觸發ARP收集。此ARP請求在域中泛洪。

• H3收到ARP請求並回覆，而在交換矩陣中獲知。

無論EPG、網橋域或接入/封裝設定如何，當兩個端點嘗試彼此通訊時（無論它們與交換矩陣內相同或不同枝葉交換機的連線如何），ARP匯聚功能的工作方式相同。

使用案例2.不同EPG和BD中的終端

此使用案例適用於終端連線在不同的EPG和橋接域中（啟用ARP泛洪）的情況。

當端點屬於不同的EPG和不同的網橋域時，必須路由它們之間的流量。泛洪不會跨越網橋域，包括ARP泛洪可能產生的ARP泛洪。因此，如果H1需要與連線在同一枝葉交換機上的H2通訊，則流量會傳送到預設網關MAC地址，因此ARP聚合在本示例中並不相關。