ACI에서 ARP 플러딩 및 ARP 반짝임 파악

소개

이 문서에서는 ACI(Application Centric Infrastructure) 패브릭에서 ARP(Address Resolution Protocol) 플러딩 및 ARP 기울기의 사용에 대해 설명합니다.

ARP 플러딩 이해

Cisco ACI에서는 ARP 플러딩을 사용하거나 필요할 때 비활성화할 수 있는 옵션이 있습니다. ARP 플러딩과 관련된 패브릭 동작을 알아야 레이어 2 문제를 해결할 수 있습니다.

ARP 플러딩을 활성화할 경우, 기존 네트워크에서 일반 ARP 처리에 따라 패브릭 내에서 ARP 트래픽이 플러딩됩니다. 호스트 ARP 캐시 또는 라우터 ARP 캐시를 업데이트하기 위해 GARP(Gratuitous ARP) 요청이 필요한 경우 ARP 플러딩이 필요합니다. 이는 IP 주소가 다른 MAC 주소를 가질 수 있는 경우입니다(예: 로드 밸런서 및 방화벽의 장애 조치 클러스터링).

ARP 플러딩이 비활성화되면 패브릭은 유니캐스트를 사용하여 ARP 트래픽을 대상으로 전송하려고 시도합니다. 따라서 ARP 패킷의 대상 IP 주소에 대해 레이어 3 조회가 발생합니다. ARP는 대상 리프 스위치에 도달할 때까지 레이어 3 유니캐스트 패킷처럼 작동합니다.

다음으로, ARP 플러딩 사용과 관련된 몇 가지 사용 사례를 확인할 수 있습니다.

활용 사례 1. 엔드포인트는 ACI에서 학습됨

이 활용 사례는 두 엔드포인트가 모두 리프 스위치에 알려진 경우에 적용됩니다.

이 시나리오에서는 ARP 플러딩의 역할이 없습니다. 리프 스위치가 해당 엔드포인트 정보를 알고 있을 때 트래픽은 로컬로 스위칭됩니다. 이 동작은 한 엔드포인트(예: H1)가 다른 엔드포인트(H2)로 ARP 요청을 보내고 ARP 플러딩을 비활성화하는 경우에도 동일합니다. 리프 스위치는 H2가 연결된 위치를 알고 ARP 대상 IP 주소(H2 IP 주소)를 확인하므로, 트래픽을 플러딩하거나 스파인 레이어로 리디렉션할 필요가 없습니다. 따라서 H2로 ARP 요청을 보냅니다. 

EPG(End-Point Group), 브리지 도메인 또는 액세스/캡슐화 설정과 상관없이, 엔드포인트가 leaf에 알려진 경우 동일한 방식으로 처리됩니다. 

예 1. 패브릭에 알려진 엔드포인트로, 동일한 EPG, 브리지 도메인 및 액세스/캡슐화에서 작동합니다.

예 2. 패브릭에 알려진 엔드포인트로, 동일한 EPG, Bridge 도메인에서 작동하지만 액세스/캡슐화가 다릅니다.

예 3. 패브릭에 알려진 엔드포인트로, 서로 다른 EPG에서 작동하지만 동일한 브리지 도메인에서 작동합니다.

ARP 플러딩이 비활성화되고 엔드포인트가 동일한 브리지 도메인에서 서로 다른 EPG에 속하지만 동일한 리프 스위치에 연결된 경우, 리프 스위치가 ARP 대상 IP 주소를 알고 있으면(유니캐스트 라우팅이 활성화됨) ARP 트래픽이 로컬로 라우팅됩니다.

활용 사례 2. 엔드포인트가 COOP에서 학습됨

이 활용 사례는 두 엔드포인트가 서로 다른 리프 스위치에 연결된 경우에 적용되며, 이는 스파인 스위치의 COOP(Cooperative Protocol) 데이터베이스에 있습니다.

ARP 요청은 패브릭 전체에 전달되어야 합니다. H1에서 H3으로의 ARP 트래픽 흐름은 다음과 같습니다.

• H1은 브로드캐스트 대상 MAC를 사용하여 H3에 대한 ARP 요청을 전송합니다.

• ACI는 ARP 요청을 전송하기 위해 유니캐스트 포워딩을 사용하려고 하므로 로컬 리프 스위치는 ARP 대상 IP 주소(H3 IP 주소)를 확인합니다. 로컬 리프 스위치는 엔드포인트 H3의 IP 주소를 모르므로 스파인 프록시를 위해 스파인 스위치에 ARP 요청을 보냅니다.

• 스파인은 COOP 데이터베이스에 H3 정보가 있으며(유니캐스트 라우팅이 활성화됨) 패브릭을 통해 대상 리프 스위치에 ARP 요청을 전달하며, 이 스위치는 이를 H3으로 전달합니다. H3가 트래픽을 수신하면 H1에 응답합니다.

예 1. 패브릭에 알려진 엔드포인트로, 동일한 EPG, 브리지 도메인 및 액세스/캡슐화에서 작동합니다.

예 2. 패브릭에 알려진 엔드포인트로, 동일한 EPG, Bridge 도메인에서 작동하지만 액세스/캡슐화가 다릅니다.

예 3. 패브릭에 알려진 엔드포인트로, 서로 다른 EPG에서 작동하지만 동일한 브리지 도메인에서 작동합니다.

활용 사례 3. 대상 IP 알 수 없음, ARP 플러드 사용 안 함

이 활용 사례는 인그레스 리프가 대상 IP 주소의 위치를 모르는 경우(ARP 플러딩 비활성화, 유니캐스트 라우팅 활성화)에 적용됩니다.

유사한 시나리오에서 ARP 플러딩을 비활성화하고 인그레스 리프가 ARP 대상 IP 주소의 위치를 모를 경우, ARP 요청이 플러딩 대신 애니캐스트 스파인-프록시 터널 엔드포인트(TEP)로 전송됩니다. H1에서 H2로의 ARP 트래픽 흐름은 다음과 같습니다.

• H1은 브로드캐스트 대상 MAC를 사용하여 H2에 대한 ARP 요청을 전송합니다.

• ACI는 유니캐스트 포워딩을 사용하여 ARP 요청을 전송하려고 시도합니다. 로컬 리프 스위치는 엔드포인트 H2의 IP 주소를 알지 못하므로(ARP 대상 IP는 인그레스 리프에서 알 수 없음) 스파인 프록시를 위해 스파인 스위치에 ARP 요청을 보냅니다.

• 스파인 스위치의 COOP 데이터베이스에서 H2 엔드포인트 정보가 누락되었으므로 스파인은 원래 패킷을 삭제하지만, 대신 ARP 요청을 트리거하여 대상 IP를 탐지하므로 후속 ARP 요청은 삭제되지 않습니다.

예 1. EPG, 브리지 도메인 또는 액세스/캡슐화 설정과 상관없이 ARP 요청의 흐름은 앞서 언급한 대로 유지됩니다.

활용 사례 4. 대상 IP 알 수 없음, ARP 플러드 사용

이 활용 사례는 인그레스 리프가 대상 IP 주소의 위치를 모르는 경우(ARP 플러딩 활성화, 유니캐스트 라우팅 활성화)에 적용됩니다.

브리지 도메인에서 ARP 플러딩을 활성화하면 H1의 ARP 요청은 플러딩을 통해 H2에 도달합니다. H1에서 H2로의 ARP 트래픽 흐름

• H1은 브로드캐스트 대상 MAC를 사용하여 H2에 대한 ARP 요청을 전송합니다.

• ARP 요청이 브리지 도메인의 모든 인터페이스에 플러딩됩니다. H2는 패브릭에서 학습되는 동안 프레임을 수신하고 응답합니다.

예 1.

ARP 플러딩을 활성화할 경우 이점 중 하나는 ACI leaf에 알리지 않고 한 위치에서 다른 위치로 이동한 무음 IP를 탐지할 수 있다는 것입니다. ARP 요청이 브리지 도메인 내에서 플러딩되므로, ACI leaf에서 IP가 이전 위치에 있다고 생각하더라도 무음 IP가 있는 호스트는 적절하게 응답하여 ACI leaf에서 적절하게 항목을 업데이트할 수 있습니다.

ARP 플러딩을 비활성화하면 ACI 리프는 IP 엔드포인트가 에이징될 때까지 ARP 요청을 기존 위치로만 계속 전달합니다. 반면, ARP 플러딩을 비활성화하면 엔드포인트가 GARP를 통해 이동을 알리지 않고 이동하지 않는다고 가정할 때 ARP 요청을 대상 IP의 위치로 직접 전송하여 트래픽 흐름을 최적화할 수 있습니다.

활용 사례 5. 서로 다른 EPG 및 BD의 엔드포인트

이 활용 사례는 엔드포인트가 서로 다른 EPG 및 서로 다른 브리지 도메인에 연결될 때 적용됩니다.

엔드포인트가 서로 다른 EPG 및 서로 다른 브리지 도메인의 일부인 경우, 엔드포인트 간의 트래픽은 라우팅되어야 합니다. 플러딩은 ARP 플러딩을 비롯한 브리지 도메인을 건너지 않습니다. 따라서 H1이 동일한 리프 스위치에 연결된 H2와 통신해야 하는 경우 트래픽은 기본 게이트웨이 MAC 주소로 전송되므로 이 예에서는 ARP 플러딩이 관련이 없습니다.

ARP 조정 이해

Cisco ACI에는 ACI 리프가 로컬 엔드포인트를 학습하지 않은 무음 호스트를 탐지하는 몇 가지 메커니즘이 있습니다. ACI에는 이러한 무음 호스트를 탐지하는 몇 가지 메커니즘이 있습니다. 레이어 2 스위치드 트래픽을 알 수 없는 MAC으로 전환할 경우, BD(Bridge Domain) 아래의 Layer 2 Unknown Unicast 옵션을 플러딩하도록 설정할 수 있으며, 브로드캐스트 대상 MAC의 ARP 요청에 대해서는 브리지 도메인 아래의 ARP 플러딩 옵션을 사용하여 플러딩 동작을 제어할 수 있습니다. 또한 Cisco ACI는 ARP 요청을 전송하여 아직 학습되지 않은 엔드포인트의 IP 주소를 확인합니다(무음 호스트 탐지).

ARP 정리를 사용하면 스파인에 ARP 요청의 대상이 연결된 위치에 대한 정보가 없는 경우(대상 IP가 COOP 데이터베이스에 없는 경우) 패브릭은 브리지 도메인 SVI(Switch Virtual Interface)(퍼베이시브 게이트웨이) IP 주소에서 시작된 ARP 요청을 생성합니다. 이 ARP 요청은 브리지 도메인의 모든 리프 노드 에지 인터페이스 부분으로 전송됩니다. 또한 트래픽이 알 수 없는 IP로 라우팅되는 한 ARP 플러딩 등의 컨피그레이션과 상관없이 (레이어 3) 라우팅된 트래픽에 대해 ARP 경화가 트리거됩니다.

ARP 기울이기는 몇 가지 요구 사항이 있습니다.

• IP 주소는 포워딩에 사용됩니다(ARP 플러딩을 사용하지 않는 ARP 요청 또는 ACI BD SVI를 게이트웨이로 하는 서브넷 간 트래픽).

• 유니캐스트 라우팅 사용

• 브리지 도메인 아래에 서브넷이 생성됨

활용 사례 1. 대상 IP 알 수 없음, ARP 플러드 사용 안 함

이 활용 사례는 대상/대상 엔드포인트가 패브릭에 알려지지 않은 경우(ARP 플러딩 비활성화) 적용됩니다.

엔드포인트가 서로 다른 리프 스위치에 있는 경우, 동일한 EPG 및 브리지 도메인에 속하고 동일한 VLAN 액세스 매핑을 사용하는 경우 ARP 요청(예: H1에서 H3까지)이 패브릭 전체에 전달되어야 합니다. 스파인 스위치(무음 호스트)의 COOP 데이터베이스에서 H3 정보가 누락되고 ARP 플러딩이 비활성화되면 이 그림에 나와 있는 것처럼 ARP 기울이기를 활용할 수도 있습니다.

H1에서 H3으로의 ARP 트래픽 흐름은 다음과 같습니다.

• H1은 브로드캐스트 대상 MAC를 사용하여 H3에 대한 ARP 요청을 전송합니다.

• ACI는 ARP 요청을 전송하기 위해 유니캐스트 포워딩을 사용하려고 하므로 로컬 리프 스위치는 ARP 대상 IP 주소(H3 IP)를 확인합니다. 로컬 리프 스위치는 엔드포인트 H3의 IP 주소를 모르므로 스파인 프록시를 위해 스파인 스위치에 ARP 요청을 보냅니다.

• 스파인 스위치의 COOP 데이터베이스에서 H3 정보가 누락되었으며 퍼베이시브 게이트웨이 IP 주소를 소스로 사용하여 ARP 정리를 트리거합니다. 이 ARP 요청은 도메인에서 플러딩됩니다.

• H3는 패브릭에서 학습되는 동안 ARP 요청을 수신하고 회신합니다.

EPG, 브리지 도메인 또는 액세스/캡슐화 설정과 상관없이, ARP Glean 기능은 두 엔드포인트가 서로 통신하려고 할 때(패브릭 내에서 동일한 또는 서로 다른 리프 스위치에 연결되었는지에 관계없이) 동일한 방식으로 작동합니다.

활용 사례 2. 서로 다른 EPG 및 BD의 엔드포인트

이 활용 사례는 엔드포인트가 서로 다른 EPG 및 브리지 도메인에 연결된 경우(ARP 플러딩 활성화)에 적용됩니다.

엔드포인트가 서로 다른 EPG 및 서로 다른 브리지 도메인의 일부인 경우, 엔드포인트 간의 트래픽은 라우팅되어야 합니다. 플러딩은 브리지 도메인을 통과하지 않으며, ARP 경사에 의해 생성될 수 있는 ARP 플러딩을 포함합니다. 따라서 H1이 동일한 리프 스위치에 연결된 H2와 통신해야 하는 경우, 트래픽은 기본 게이트웨이 MAC 주소로 전송되므로 이 예에서는 ARP 기울기가 적합하지 않습니다.