Comprendre l'inondation ARP et le glanage ARP dans l'ACI

Introduction

Ce document décrit l'utilisation de l'inondation ARP (Address Resolution Protocol) et du glanage ARP dans le fabric ACI (Application Centric Infrastructure).

Présentation de l'inondation ARP

Dans Cisco ACI, il existe une option permettant d'utiliser la diffusion ARP ou de la désactiver si nécessaire. Il est obligatoire de connaître le comportement du fabric en ce qui concerne la diffusion ARP afin de pouvoir dépanner les problèmes de couche 2.

Si l'inondation ARP est activée, le trafic ARP est inondé à l'intérieur du fabric, conformément à la gestion ARP normale dans les réseaux traditionnels. L'inondation ARP est requise lorsque vous avez besoin de requêtes GRATUITES ARP (GARP) pour mettre à jour les caches ARP de l'hôte ou les caches ARP du routeur. C'est le cas lorsqu'une adresse IP peut avoir une adresse MAC différente (par exemple, avec la mise en grappe du basculement des équilibreurs de charge et des pare-feu).

Si l'inondation ARP est désactivée, le fabric tente d'utiliser la monodiffusion pour envoyer le trafic ARP à la destination. Par conséquent, une recherche de couche 3 se produit pour l'adresse IP cible du paquet ARP. Le protocole ARP se comporte comme un paquet de monodiffusion de couche 3 jusqu’à ce qu’il atteigne le commutateur Leaf de destination.

Ensuite, vous voyez quelques exemples d'utilisation en ce qui concerne l'utilisation de la diffusion ARP.

Cas d'utilisation 1. Les terminaux sont assimilés dans l'ACI

Ce cas d'utilisation s'applique lorsque les deux points d'extrémité sont connus du commutateur Leaf.

Il n'y a aucun rôle d'inondation ARP dans ce scénario. Le trafic est commuté localement lorsque le commutateur Leaf connaît ses informations de point d'extrémité. Ce comportement est identique lorsqu'un point d'extrémité, tel que H1, envoie une requête ARP à l'autre (H2) et que la diffusion ARP est désactivée. Comme le commutateur Leaf sait où H2 est connecté et vérifie l'adresse IP cible ARP (qui est une adresse IP H2), il n'est pas nécessaire d'inonder le trafic ou de le rediriger vers la couche dorsale. Par conséquent, il envoie la requête ARP vers H2. 

Quels que soient les paramètres du groupe de terminaux (EPG), du domaine de pont ou d'accès/encapsulation, si les terminaux sont connus du noeud terminal, ils sont traités de la même manière. 

Exemple 1. Terminaux connus du fabric, fonctionnant dans le même EPG, domaine Bridge et accès/encapsulation.

Exemple 2 . Terminaux connus du fabric, fonctionnant dans le même domaine EPG, Bridge mais avec un accès/encapsulation différent.

Exemple 3 . Terminaux connus du fabric, fonctionnant dans différents groupes de terminaux, mais avec le même domaine de pont.

Lorsque l'inondation ARP est désactivée et que les points d'extrémité font partie des différents EPG dans le même domaine de pont, alors qu'ils sont connectés au même commutateur leaf, le trafic ARP est routé localement si le commutateur leaf connaît l'adresse IP cible ARP (le routage monodiffusion est activé).

Cas d'utilisation 2. Les terminaux sont assimilés dans COOP

Cet exemple d'utilisation s'applique lorsque les deux points d'extrémité sont connectés à des commutateurs Leaf différents ; présents dans la base de données COOP (Cooperative Protocol) du commutateur Spine.

La requête ARP doit être transmise à travers le fabric. Le flux du trafic ARP de H1 à H3 est le suivant :

• H1 envoie une requête ARP pour H3 en utilisant un MAC de destination de diffusion.

• L'ACI tente d'utiliser le transfert monodiffusion afin d'envoyer la requête ARP, de sorte que le commutateur Leaf local vérifie l'adresse IP cible ARP, qui est l'adresse IP H3. Comme le commutateur Leaf local ne connaît pas l'adresse IP du point d'extrémité H3, il envoie la requête ARP au commutateur Spine pour le proxy Spine.

• La colonne vertébrale dispose des informations H3 dans la base de données COOP (le routage monodiffusion est activé) et transfère la requête ARP au commutateur Leaf de destination à travers le fabric, qui la transfère à H3. Une fois que H3 reçoit le trafic, il répond à H1.

Exemple 1. Terminaux connus du fabric, fonctionnant dans le même EPG, domaine Bridge et accès/encapsulation.

Exemple 2 . Terminaux connus du fabric, fonctionnant dans le même domaine EPG, Bridge mais avec un accès/encapsulation différent.

Exemple 3 . Terminaux connus du fabric, fonctionnant dans différents groupes de terminaux, mais avec le même domaine de pont.

Cas d'utilisation 3. IP cible inconnue, inondation ARP désactivée

Cet exemple d'utilisation s'applique lorsque le leaf d'entrée ne connaît pas l'emplacement de l'adresse IP cible (inondation ARP désactivée, routage de monodiffusion activé).

Dans un scénario similaire, lorsque l'inondation ARP est désactivée et que le leaf d'entrée ne sait pas où se trouve l'adresse IP cible ARP, une requête ARP est envoyée au point terminal du tunnel (TEP) spine-proxy anycast au lieu de l'inondation. Le flux du trafic ARP entre H1 et H2 est le suivant :

• H1 envoie une requête ARP pour H2 en utilisant un MAC de destination de diffusion.

• L'ACI tente d'utiliser le transfert monodiffusion pour envoyer la requête ARP. Le commutateur Leaf local ne connaît pas l'adresse IP du point d'extrémité H2 (l'adresse IP cible ARP est inconnue du noeud Leaf d'entrée), il envoie donc la requête ARP au commutateur Spine pour le proxy Spine.

• Étant donné que les informations de point de terminaison H2 sont manquantes dans la base de données COOP sur le commutateur spine, le spine abandonne le paquet d'origine, mais à la place, il déclenche ARP glean pour détecter l'IP cible, de sorte que les requêtes ARP suivantes ne soient pas abandonnées.

Exemple 1. Quels que soient les paramètres EPG, Bridge domain ou Access/Encapsulation, le flux des requêtes ARP reste le même que mentionné précédemment.

Cas d'utilisation 4. IP cible inconnue, inondation ARP activée

Cet exemple d'utilisation s'applique lorsque le leaf d'entrée ne connaît pas l'emplacement de l'adresse IP cible (diffusion ARP activée, routage de monodiffusion activé).

Si la diffusion ARP est activée dans le domaine du pont, la requête ARP de H1 atteint H2 par diffusion. Le flux du trafic ARP de H1 à H2 est :

• H1 envoie une requête ARP pour H2 en utilisant un MAC de destination de diffusion.

• La requête ARP est diffusée à toutes les interfaces du domaine de pont. H2 reçoit la trame et y répond, tandis qu’elle est apprise dans le fabric.

Exemple 1.

L'un des avantages de l'activation de la diffusion ARP est de pouvoir détecter une adresse IP silencieuse qui a été déplacée d'un emplacement à un autre sans en avertir un terminal ACI. Étant donné que la requête ARP est diffusée dans le domaine de pont, même si le leaf ACI pense toujours que l'IP se trouve à l'ancien emplacement, l'hôte avec l'IP silencieuse répond de manière appropriée afin que le leaf ACI puisse mettre à jour son entrée en conséquence.

Si la diffusion ARP est désactivée, le leaf ACI continue à transférer la requête ARP uniquement vers l'ancien emplacement jusqu'à ce que le point d'extrémité IP expire. D'autre part, l'avantage de la désactivation de l'inondation ARP est de pouvoir optimiser le flux de trafic en envoyant la requête ARP directement à l'emplacement de l'IP cible, en supposant qu'aucun point d'extrémité ne se déplace sans en notifier le mouvement via GARP et autres.

Cas d'utilisation 5. Terminaux dans différents groupes de terminaux et BD

Cet exemple d'utilisation s'applique lorsque des points d'extrémité sont connectés dans différents groupes de terminaux et domaines de pont.

Lorsque les terminaux font partie des différents groupes de terminaux et domaines de pont, le trafic entre eux doit être routé. La diffusion ne traverse pas les domaines du pont, y compris la diffusion ARP. Ainsi, si H1 doit communiquer avec H2, qui est connecté sur le même commutateur leaf, le trafic est envoyé vers l'adresse MAC de la passerelle par défaut, de sorte que l'inondation ARP n'est pas pertinente dans cet exemple.

Présentation du glanage ARP

L'ACI Cisco dispose de plusieurs mécanismes pour détecter les hôtes silencieux, lorsqu'un leaf ACI n'a pas appris de terminal local. L'ACI dispose de mécanismes pour détecter ces hôtes silencieux. Pour le trafic commuté de couche 2 vers un MAC inconnu, vous pouvez configurer l'option Unknown Unicast de couche 2 sous le domaine de pont (BD) pour qu'elle diffuse, tandis que pour les requêtes ARP avec un MAC de destination de diffusion, vous pouvez utiliser l'option d'inondation ARP sous le domaine de pont pour contrôler le comportement d'inondation. En outre, l'ACI Cisco utilise le glanage ARP afin d'envoyer des requêtes ARP pour résoudre l'adresse IP d'un terminal qui n'a pas encore été apprise (détection d'hôte silencieux).

Avec le glanage ARP, si la colonne vertébrale ne dispose pas d'informations sur l'endroit où la destination de la requête ARP est connectée (l'IP cible ne figure pas dans la base de données COOP), le fabric génère une requête ARP qui provient de l'adresse IP de l'interface virtuelle de commutateur (SVI) (passerelle omniprésente) du domaine de pont. Cette requête ARP est envoyée à toutes les interfaces de périphérie des noeuds leaf faisant partie du domaine de pont. En outre, le glanage ARP est déclenché pour le trafic routé (couche 3), quelle que soit la configuration, telle que l'inondation ARP, tant que le trafic est routé vers une adresse IP inconnue.

Le glanage ARP a quelques exigences :

• L'adresse IP est utilisée pour le transfert (requêtes ARP avec inondation ARP désactivée ou trafic sur les sous-réseaux avec ACI BD SVI comme passerelle)

• Routage de monodiffusion activé

• Sous-réseau créé sous le domaine du pont

Cas d'utilisation 1. IP cible inconnue, inondation ARP désactivée

Cet exemple d'utilisation s'applique lorsque le fabric ne connaît pas le point d'extrémité cible/de destination (diffusion ARP désactivée).

Lorsque les points d'extrémité se trouvent sur des commutateurs Leaf différents, faisant partie du même domaine EPG et de pont, et utilisant le même mappage d'accès VLAN, la requête ARP (par exemple, de H1 à H3) doit être transmise à travers le fabric. Si des informations H3 sont manquantes dans la base de données COOP sur le commutateur Spine (hôte silencieux) et que l'inondation ARP est désactivée, le nettoyage ARP peut également être utilisé comme illustré dans cette figure.

Le flux du trafic ARP de H1 à H3 est le suivant :

• H1 envoie une requête ARP pour H3 en utilisant un MAC de destination de diffusion.

• L'ACI tente d'utiliser le transfert de monodiffusion afin d'envoyer la requête ARP, de sorte que le commutateur Leaf local vérifie l'adresse IP cible ARP (IP H3). Comme le commutateur Leaf local ne connaît pas l'adresse IP du point d'extrémité H3, il envoie la requête ARP au commutateur Spine pour le proxy Spine.

• Les informations H3 sont manquantes dans la base de données COOP sur le commutateur spine et déclenchent le glanage ARP en utilisant l'adresse IP de la passerelle omniprésente comme source. Cette requête ARP est diffusée dans le domaine.

• H3 reçoit la requête ARP et y répond, tandis qu’elle est apprise dans le fabric.

Quels que soient les paramètres EPG, de domaine Bridge ou d'accès/encapsulation, la fonctionnalité de glanage ARP fonctionne de la même manière lorsque deux points d'extrémité tentent de communiquer entre eux (indépendamment de leur connectivité au même commutateur leaf ou à un commutateur leaf différent à l'intérieur du fabric).

Cas d'utilisation 2. Terminaux dans différents groupes de terminaux et BD

Cet exemple d'utilisation s'applique lorsque des terminaux sont connectés dans différents EPG et domaines de pont (diffusion ARP activée).

Lorsque les terminaux font partie des différents groupes de terminaux et domaines de pont, le trafic entre eux doit être routé. La diffusion ne traverse pas les domaines de pont, y compris la diffusion ARP qui peut être générée par le glanage ARP. Ainsi, si H1 doit communiquer avec H2, qui est connecté sur le même commutateur leaf, le trafic est envoyé vers l'adresse MAC de la passerelle par défaut, de sorte que le glanage ARP n'est pas pertinent dans cet exemple.