ACIでのARPフラッディングとARP収集について

はじめに

このドキュメントでは、アプリケーションセントリックインフラストラクチャ(ACI)ファブリックでのアドレス解決プロトコル(ARP)フラッディングおよびARP収集の使用について説明します。

ARPフラッディングについて

Cisco ACIには、ARPフラッディングを使用するオプションと、必要に応じてARPフラッディングを無効にするオプションがあります。レイヤ2の問題のトラブルシューティングを行うには、ARPフラッディングに関するファブリックの動作を知る必要があります。

ARPフラッディングを有効にすると、従来のネットワークにおける通常のARP処理に従って、ARPトラフィックがファブリック内でフラッディングされます。ARPフラッディングは、ホストARPキャッシュまたはルータARPキャッシュを更新するためにGratuitous ARP(GARP)要求が必要な場合に必要です。これは、IPアドレスが異なるMACアドレスを持つことができる場合に当てはまります（たとえば、ロードバランサとファイアウォールのフェールオーバーのクラスタリングなど）。

ARPフラッディングが無効な場合、ファブリックはユニキャストを使用してARPトラフィックを宛先に送信しようとします。したがって、ARPパケットのターゲットIPアドレスに対するレイヤ3ルックアップが発生します。ARPは、宛先リーフスイッチに到達するまで、レイヤ3ユニキャストパケットのように動作します。

次に、ARPフラッディングの使用に関するいくつかの使用例を示します。

使用例1:エンドポイントはACIで学習される

この使用例は、両方のエンドポイントがリーフスイッチに認識されている場合に適用されます。

このシナリオでは、ARPフラッディングは発生しません。リーフスイッチがエンドポイント情報を認識すると、トラフィックはローカルにスイッチされます。この動作は、H1などの一方のエンドポイントがもう一方(H2)にARP要求を送信し、ARPフラッディングが無効な場合も同じです。リーフスイッチはH2の接続先を認識し、ARPターゲットIPアドレス（H2 IPアドレス）をチェックするため、トラフィックをフラッディングしたり、スパインレイヤにリダイレクトしたりする必要はありません。したがって、H2に向けてARP要求を送信します。 

エンドポイントグループ(EPG)、ブリッジドメイン、またはアクセス/カプセル化の設定に関係なく、リーフで認識されているエンドポイントは同じように扱われます。 

例 1：同じEPG、ブリッジドメイン、およびアクセス/カプセル化で動作する、ファブリックに認識されているエンドポイント。

例 2.同じEPG、ブリッジドメインで動作しているがアクセス/カプセル化が異なる、ファブリックに認識されているエンドポイント。

例 3. ファブリックに認識されているエンドポイント。異なるEPGで動作するが、ブリッジドメインは同じ。

ARPフラッディングがディセーブルになっていて、エンドポイントが同じブリッジドメイン内の異なるEPGの一部である場合、同じリーフスイッチに接続されていると、リーフスイッチがARPターゲットIPアドレスを認識していれば（ユニキャストルーティングがイネーブルになっている）、ARPトラフィックはローカルにルーティングされます。

使用例2:エンドポイントはCOOPで学習される

この使用例は、両方のエンドポイントが異なるリーフスイッチに接続され、スパインスイッチのCooperative Protocol(COOP)データベースに存在する場合に適用されます。

ARP要求をファブリック経由で転送する必要があります。H1からH3へのARPトラフィックのフローは次のとおりです。

• H1はブロードキャスト宛先MACを使用してH3にARP要求を送信します。

• ACIではARP要求を送信するためにユニキャストフォワーディングを使用しようとするため、ローカルリーフスイッチがARPターゲットIPアドレス（H3 IPアドレス）をチェックします。ローカルリーフスイッチは、エンドポイントH3のIPアドレスを認識していないため、スパインプロキシのスパインスイッチにARP要求を送信します。

• スパインはCOOPデータベース内にH3情報を持ち（ユニキャストルーティングが有効）、ファブリック経由で宛先リーフスイッチにARP要求を転送します。ファブリックはこの要求をH3に転送します。H3はトラフィックを受信すると、H1に応答します。

例 1： 同じEPG、ブリッジドメイン、およびアクセス/カプセル化で動作する、ファブリックに認識されているエンドポイント。

例 2. 同じEPG、ブリッジドメインで動作しているがアクセス/カプセル化が異なる、ファブリックに認識されているエンドポイント。

例 3. ファブリックに認識されているエンドポイント。異なるEPGで動作するが、ブリッジドメインは同じ。

使用例3:ターゲットIPが不明、ARPフラッドが無効

この使用例は、入力リーフがターゲットIPアドレスの場所を知らない場合に適用されます（ARPフラッディングが無効で、ユニキャストルーティングが有効）。

同様のシナリオでは、ARPフラッディングがディセーブルにされていて、入力リーフがARPターゲットIPアドレスの場所を知らない場合、ARP要求はフラッディングではなく、エニーキャストスパインプロキシトンネルエンドポイント(TEP)に送信されます。H1からH2へのARPトラフィックのフローは次のとおりです。

• H1はブロードキャスト宛先MACを使用して、H2に対するARP要求を送信する。

• ACIはユニキャスト転送を使用してARP要求を送信しようとします。ローカルリーフスイッチは、エンドポイントH2のIPアドレスを認識していないため（ARPターゲットIPが入力リーフで不明）、スパインプロキシのスパインスイッチにARP要求を送信します。

• スパインスイッチのCOOPデータベースにH2エンドポイント情報が欠落しているため、スパインは元のパケットをドロップする代わりに、ARP収集をトリガーしてターゲットIPを検出し、後続のARP要求がドロップされないようにします。

例 1：EPG、ブリッジドメイン、またはアクセス/カプセル化の設定に関係なく、ARP要求のフローは前述と同じままです。

使用例4:ターゲットIPが不明、ARPフラッドが有効

この使用例は、入力リーフがターゲットIPアドレスの場所を知らない場合（ARPフラッディングが有効、ユニキャストルーティングが有効）に適用されます。

ブリッジドメインでARPフラッディングが有効になっている場合、H1からのARP要求はフラッディングを介してH2に到達します。H1からH2へのARPトラフィックのフローは次のとおりです。

• H1はブロードキャスト宛先MACを使用して、H2に対するARP要求を送信する。

• ARP要求は、ブリッジドメインのすべてのインターフェイスにフラッディングされます。H2はフレームを受信して応答し、ファブリック内で学習されます。

例 1：

ARPフラッディングを有効にする利点の1つは、ACIリーフに通知することなく、ある場所から別の場所に移動したサイレントIPを検出できることです。ARP要求はブリッジドメイン内でフラッディングされるため、ACIリーフがIPが古いロケーションにあると認識している場合でも、サイレントIPを持つホストは適切に応答し、ACIリーフはそれに応じてエントリを更新できます。

ARPフラッディングが無効の場合、ACIリーフは、IPエンドポイントがエージングアウトするまで、古い場所にのみARP要求を転送し続けます。一方、ARPフラッディングを無効にする利点は、ARP要求をターゲットIPの場所に直接送信することでトラフィックフローを最適化できることです。ただし、GARPなどを介して移動を通知することなく、エンドポイントが移動しないことが前提です。

使用例5:異なるEPGおよびBDのエンドポイント

この使用例は、エンドポイントが異なるEPGおよび異なるブリッジドメインで接続されている場合に適用されます。

エンドポイントが異なるEPGおよびブリッジドメインの一部である場合、エンドポイント間のトラフィックをルーティングする必要があります。フラッディングは、ARPフラッディングを含め、ブリッジドメインを通過しません。そのため、H1が同じリーフスイッチに接続されているH2と通信する必要がある場合、トラフィックはデフォルトゲートウェイのMACアドレスに向けて送信されるため、この例ではARPフラッディングに関係しません。

ARP収集について

Cisco ACIには、ACIリーフがローカルエンドポイントを学習していないサイレントホストを検出するメカニズムがいくつかあります。ACIには、これらのサイレントホストを検出するためのいくつかのメカニズムがあります。不明なMACに対するレイヤ2スイッチドトラフィックの場合は、ブリッジドメイン(BD)でレイヤ2不明ユニキャストオプションをフラッディングに設定し、ブロードキャスト宛先MACに対するARP要求の場合は、ブリッジドメインでARPフラッディングオプションを使用してフラッディング動作を制御できます。また、Cisco ACIはARP収集を使用して、まだ学習されていないエンドポイントのIPアドレスを解決するためにARP要求を送信します（サイレントホスト検出）。

ARP収集では、スパインにARP要求の宛先がどこに接続されているかについての情報がない場合（ターゲットIPがCOOPデータベースにない場合）、ファブリックはブリッジドメインのスイッチ仮想インターフェイス(SVI)（汎用ゲートウェイ）のIPアドレスから発信されたARP要求を生成します。このARP要求は、ブリッジドメインのすべてのリーフノードのエッジインターフェイス部分に送信されます。また、ARPフラッディングなどの設定に関係なく、（レイヤ3）ルーティングされたトラフィックについては、そのトラフィックが未知のIPにルーティングされている限り、ARP収集がトリガーされます。

ARP収集にはいくつかの要件があります。

• IPアドレスが転送に使用される（ARPフラッディングが無効なARP要求、またはゲートウェイとしてACI BD SVIを使用するサブネット間のトラフィック）

• ユニキャストルーティング有効

• ブリッジドメインの下に作成されたサブネット

使用例1:ターゲットIPが不明、ARPフラッドが無効

この使用例は、ターゲット/宛先エンドポイントがファブリックで認識されない（ARPフラッディングが無効になっている）場合に適用されます。

エンドポイントが異なるリーフスイッチにあり、同じEPGおよびブリッジドメインの一部であり、同じVLANアクセスマッピングを使用する場合、ARP要求（たとえば、H1からH3へ）をファブリック経由で転送する必要があります。スパインスイッチ（サイレントホスト）のCOOPデータベースからH3情報が欠落していて、ARPフラッディングが無効になっている場合、ARP収集も次の図に示すように使用できます。

H1からH3へのARPトラフィックのフローは次のとおりです。

• H1はブロードキャスト宛先MACを使用してH3にARP要求を送信します。

• ACIはARP要求を送信するためにユニキャストフォワーディングを使用しようとするため、ローカルリーフスイッチはARPターゲットIPアドレス(H3 IP)をチェックします。ローカルリーフスイッチは、エンドポイントH3のIPアドレスを認識していないため、スパインプロキシのスパインスイッチにARP要求を送信します。

• スパインスイッチ上のCOOPデータベースにH3情報が欠落しており、送信元として広範なゲートウェイIPアドレスを使用したARP収集がトリガーされます。このARP要求はドメインでフラッディングされます。

• H3はARP要求を受信し、ファブリック内で学習している間に応答します。

EPG、ブリッジドメイン、またはアクセス/カプセル化の設定に関係なく、ARP収集機能は、2つのエンドポイントが互いに通信を試みている場合に同じように動作します（ファブリック内の同じリーフスイッチまたは異なるリーフスイッチへの接続に関係なく）。

使用例2:異なるEPGおよびBDのエンドポイント

この使用例は、エンドポイントが異なるEPGおよびブリッジドメインで接続されている場合（ARPフラッディングが有効になっている場合）に適用されます。

エンドポイントが異なるEPGおよびブリッジドメインの一部である場合、エンドポイント間のトラフィックをルーティングする必要があります。フラッディングは、ARP収集によって生成される可能性があるARPフラッディングを含め、ブリッジドメインを通過しません。そのため、H1が同じリーフスイッチに接続されているH2と通信する必要がある場合、トラフィックはデフォルトゲートウェイのMACアドレスに向けて送信されるため、この例ではARP収集は関係ありません。