Kontrollierte RZ-Datenflüsse mit HPE-Switch CX 10000 im Test
Dank einer AMD-DPU bewältigt der Switch von HPE Aruba Networking Stateful Packet Inspection. Er verarbeitet Traffic im Rechenzentrum bei voller Durchsatzrate.
- Benjamin Pfister
Die Datenraten in Rechenzentren steigen zunehmend. Gleichzeitig gilt es, den wachsenden Sicherheitsanforderungen gerecht zu werden. Dazu trägt unter anderem verstärkte Netzwerksegmentierung bei, die laterale Datenbewegungen beschränkt (Angreifer arbeiten sich schrittweise durchs interne Netz). Insbesondere der Ost-West-Traffic, also innerhalb eines Rechenzentrums, stellt jedoch hohe Anforderungen an die Performance.
Klassisch segmentiert man die Subnetze über Stateful-Inspection-Firewalls, die jedoch geringere Durchsatzraten bieten als Layer-3-Switches, relativ teuer sind und beispielsweise in vSphere-Umgebungen durch das mehrstufige Ausleiten des Traffics zu einem suboptimalen Datenfluss führen (virtueller Switch, Hardwareswitch, Firewall und zurück). Innerhalb der Subnetze fließen die Daten unkontrolliert, weshalb Mikrosegmentierung auch im Rechenzentrum ratsam ist. HPE Aruba Networking liefert mit dem CX 10000 das erste Modell überhaupt aus, das hardwareseitiges Stateful Firewalling bei voller Performance in einem Switch vereint.
- Der Switch CX 10000 von HPE ermöglicht Stateful Firewalling in Layer-2- und Layer-3-Umgebungen und EVPN/VXLAN-Fabrics ohne Ausleiten des Traffics an eine Hardwarefirewall.
- Die Paketverarbeitung übernimmt eine dedizierte Data Processing Unit Pensando von AMD.
- Einrichtung und Betrieb erfordern die Kommandozeile und zwei Softwarekomponenten von HPE und AMD (AFC und PSM).
- Der Switch kann als Top-of-Rack-Gerät dienen oder mehrere Rechenzentren (sowie Public Clouds) koppeln; dabei lassen sich auch IPsec und NAT kombinieren.
Broadcom hat mit VMware NSX softwaredefiniertes Networking (SDN) im Programm. Die gestiegenen Lizenzkosten nach der Übernahme bringen aber einige Kunden ins Grübeln, zudem sind meist auch nicht virtualisierte Server zu berücksichtigen. Cisco liefert mit der Application Centric Infrastructure (ACI) einen weiteren SDN-Ansatz, der zwar die Konfiguration einer Stateful-Option bietet, aber im Kern nur auf das ACK-Flag im TCP schaut und ansonsten statuslos arbeitet. HPE Aruba Networking und AMD kombinieren mit dem CX 10000 die Performance eines Layer-3-Switches mit echter Stateful Packet Inspection auf Basis einer Pensando-DPU (Data Processing Unit). Unser Test zeigt, wie sich die Verwaltungs- und die Sicherheitsfunktionen des Switches in der Praxis schlagen.
Das war die Leseprobe unseres heise-Plus-Artikels "Kontrollierte RZ-Datenflüsse mit HPE-Switch CX 10000 im Test". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
