Mikrosegmentierung mit Cisco-Switches bedingt nicht zwangsläufig ACI

Ankündigung vom Februar 2025

Laut einer Cisco-Presseerklärung vom Februar 2025 haben die neuen Cisco-Switches eingebettete AMD Pensando DPUs (Data Processing Units).  Cisco wirbt damit, dass die DPUs den Switches mehr Intelligenz verleihen, sodass sich diese auch für KI-Anforderungen eignen.

Im Februar 2025 wurden zunächst Smart Switches der Cisco-N9300-Serie (Nexus 9300) angekündigt. Die neuen Switches unterstützen Cisco Hypershield. Hypershield dient der Integration von Sicherheitsfunktionen in das Netz.

Neben Pensando DPUs sind die neuen Switches mit Cisco Silicon One E100 ausgestattet. Die neue Smart-Switch-Architektur dient der Bewältigung komplexer Verarbeitungsaufgaben in den Switches. Originalton Cisco: „Die Switches verfügen über zwei Prozessoren: einen leistungsstarken Netzwerkprozessor für stabile Datenübertragung und einen Netzwerkservice-Sidecar für agile Sicherheitsverarbeitung. Der Datenverkehr wird für optimale Leistung intelligent zwischen den beiden Prozessoren gesteuert.“

Die Cisco Smart Switches arbeiten mit dem Betriebssystem NX-OS (d.h. zunächst nicht mit ACI-Software). Die Verwaltung erfolgt über Nexus Dashboard (NDB). Die Smart Switches unterstützen zustandsorientierte Segmentierung („stateful inspection“), IPSec-Verschlüsselung, erweiterte Telemetrie und DDoS-Schutz. Damit werden einige Sicherheitsfunktionen in das Switch-Netz integriert.

Die Cisco-Presserklärung vom Februar 2025 schließt mit folgenden Angaben: „Der erste verfügbare Cisco N9300 Smart Switch mit 24 100G-Ports soll im Frühjahr 2025 ausgeliefert werden. Ein Top-of-Rack-Modell mit 48 25G-Ports, zwei 100G-Ports und sechs 400G-Ports soll im Sommer 2025 verfügbar sein.“

Cisco-eigene Alternative zu ACI

Lange galt die Möglichkeit der Mikrosegmentierung direkt auf den Switches als eine Besonderheit der mit ACI betriebenen Switches von Cisco. Andere Hersteller wie HPE und Arista folgten mit ihren eigenen Lösungen für Switch-basierende Mikrosegmentierung. Dabei setzte HPE in den eigenen CX-10000-Switches auf Pensando-Chips. Einen ähnlichen Weg geht nun auch Cisco. Es ist naheliegend, dass treue Cisco-Kunden nach der von Cisco favorisierten Produktstrategie fragen, denn beim Einsatz der Cisco-RZ-Switches der Nexus-Reihe muss man sich entweder für NX-OS oder für ACI als Betriebssystem entscheiden. In einer FAQ zu den neuen Smart Switches heißt es u.a.:

„Die Verwaltung der Switches durch Cisco ACI über den APIC wird derzeit geprüft.“ (APIC bedeutet Application Policy Infrastructure Controller und ist die steuernde Instanz von ACI).

Cisco Hypershield

Hypershield ist laut Cisco „eine verteilte, KI-native Sicherheitsarchitektur“. Smart Switches wie der erste solche Switch aus der N9300-Serie fungieren als Enforcement Points für Hypershield. Hypershield wird zentral über eine cloudbasierte Verwaltungskonsole namens Cisco Security Cloud Control verwaltet. Hypershield ist im Subscription-Modus zu beschaffen. Ohne Hypershield wird die DPU eines Smart Switches nicht genutzt.

Mit Hypershield und Smart Switches ist die Netzsegmentierung anhand von Informationen der Protokollschicht 4 (Transport Layer) möglich. Die Auslagerung rechenintensiver Dienste auf DPUs dient dem Zweck, komplexere Funktionen zu unterstützen.

Regelwerkmanagement

Laut Cisco wird für die Smart Switches die Integration in ein übergeordnetes Regelwerkmanagement wie AlgoSec und Tufin im Rahmen der Roadmap für die weitere Entwicklung der Cisco-Lösung evaluiert.

Mehr Möglichkeiten für Mikrosegmentierung

Die im Mai 2025 von mir im Netzwerk Insider aufgeführte Liste der Varianten für Netzsegmentierung wird mit Cisco Smart Switches und Hypershield länger. Das ist eine gute Nachricht für Planer und Betreiber von Rechenzentren. Mir sind Entscheidungsträger bekannt, die einerseits gerne die bewährten Eigenschaften von Cisco-Switches nutzen und andererseits bewusst eine zentrale Steuerungsinstanz wie APIC vermeiden wollen, weil sie eine verteilte Control Plane bevorzugen. Cisco hat mit den neuen Smart Switches solchen Kunden eine Tür aufgemacht.