Síťová řešení datových center se v uplynulé dekádě skokově vyvíjela, a to především v oblasti topologií 25/100/400G leaf-spine, které umožňují řešit objem, a především rychlost nových aplikačních architektur. Související služby však za tímto tempem zaostávají. Centralizovaná bezpečnostní řešení jsou při ochraně aplikačního provozu v rámci datacentra neefektivní a drahá. Problém se ještě více prohlubuje u aplikací založených na mikroslužbách, kde provoz nemusí opustit fyzický server. Tento provoz se vyhne kontrole na firewallu, IPS nebo na jiném bezpečnostním zařízení, což způsobuje problém zranitelnosti vůči vnitřním útokům.

Image

Aruba CX 10000 je nová řada switchů, která pomáhá se s výše nastíněnými problémy vypořádat. Umožňuje nasazení distribuovaného stavového firewallu pro east-west provoz, segmentaci s nulovou důvěrou, průběžný sběr informací o síťovém provozu (telemetrie) a v budoucnu služby stavového NAT a šifrování. Řešení poskytuje kombinaci výkonu a automatizace pro distribuci pokročilých síťových a bezpečnostních služeb tam, kde je nepraktické a nákladné odesílat provoz do centrálního bezpečnostního zařízení. Místo toho tyto služby jednoduše aplikuje na okraji přístupové vrstvy sítě služeb, kde běží aplikace.

Některé klíčové funkce:

• podpora vysoké dostupnosti díky technologii VSX (Virtual Switching Extension), redundantnímu napájení a ventilátorům;
• automatizace ArubaOS-CX, vestavěné rozhraní REST API a podpora Python skriptů;
• podpora funkcí BGP, OSPF, VRFLite a IPv6;
• podpora hloubkové segmentace v datovém centru pomocí VXLAN s BGP-EVPN;
• duální Pensando Data Processing Units (DPU).

Programovatelný procesor pro vyšší výkon

Jednu z podstatných předností nových switchů Aruba CX 10000 představují programovatelné procesory Pensando. Jde o jednotku, která byla vyvinuta společností Pensando Systems pro zpracování dat na síťové kartě, která kombinuje funkce tradičních síťových karet, firewallu, load balanceru a dalších síťových prvků s výkonem a funkcionalitou, kterou lze najít v moderních procesorech. Pro moderní aplikace je zásadní, že DPU umožňuje sítím dosáhnout vyššího výkonu, nižší latence a zvyšuje jejich bezpečnost a efektivitu.

Firewall definuje pravidla a sleduje provoz

Hlavní výhodu switche Aruba CX 10000 pak reprezentuje integrovaný stavový firewall. Firewall je součástí operačního systému ArubaOS-CX a umožňuje definovat pravidla pro filtrování a blokování síťového provozu. Pravidla mohou být definována na základě kritérií, jako jsou zdrojová a cílová IP adresa, porty, protokoly a další atributy. Kromě klasických pravidel pro filtrování provozu lze nastavit pravidla pro detekci a blokování útoků typu DoS (Denial of Service), jako jsou například útoky SYN Flood. Další funkcí firewallu je sledování síťového provozu a generování zpráv o detekovaných událostech, které mohou indikovat útoky nebo jiné anomálie v síti.

Aruba Fabric Composer

Jako vhodný nástroj pro správu switche Aruba CX 10000 je doporučován nástroj Aruba Fabric Composer (AFC). Administrátor zde může konfigurovat veškeré funkce včetně firewallu. AFC funguje jako centrální řídící bod, který umožňuje spravovat jednotlivé prvky sítě bez nutnosti manuální konfigurace jednotlivých zařízení.

Aruba CX 10000 může svými funkcemi uspokojit větší a náročnější zákazníky, kteří kladou důraz na vysoký výkon, škálovatelnost, bezpečnostní funkce.

Další užitečné informace je možné získat z Aruba Airheads komunity, případně na youtube kanálu Airheads Broadcasting Channel.