Ist der Aruba CX 10000 nur ein Standard-Switch mit besseren ACLs?

Nein. Der CX 10000 verwendet den Pensando P4-programmierbaren DPU für Stateful Services, während traditionelle Switches Fixed-Function ASICs und grundlegendes TCAM für Stateless ACLs verwenden, die den Verbindungsstatus nicht verfolgen können.

Kann der CX 10000 meine Perimeter Firewalls ersetzen?

Nein, der CX 10000 ist dazu konzipiert, bestehende Firewalls zu ergänzen. Er verarbeitet hochvolumigen Ost-West-Verkehr (interne Segmentierung), während Ihre Perimeter Firewalls (Palo Alto/Fortinet) komplexe Nord-Süd L7-Inspektion und VPN-Terminierung übernehmen.

Unterstützt er Level 7 Application Inspection (DPI)?

Der CX 10000 konzentriert sich derzeit auf Stateful L4-Inspektion (IP, Port, Protokoll). Für Deep Packet Inspection (L7) oder SSL-Entschlüsselung würden Sie immer noch spezifische Flows an eine dedizierte Appliance umleiten oder Hypervisor-basierte Tools verwenden.

Kann ich den CX 10000 mit VMware vCenter integrieren?

Ja, über Aruba Fabric Composer und Pensando PSM können Sie die Policy, synchronisiert mit vCenter, automatisieren, sodass Sicherheitsregeln automatisch aktualisiert werden, wenn VMs zwischen Hosts verschoben werden.

Wie hoch ist die maximale Session-Kapazität des Pensando DPU?

Der CX 10000 unterstützt bis zu 1 Million gleichzeitige Stateful Sessions pro Switch, was deutlich höher ist als bei den meisten mittel- bis hochklassigen Hardware Security Appliances.

Fügt die Stateful Inspection meinen 100G-Flows eine signifikante Latenz hinzu?

Der DPU fügt eine vernachlässigbare Latenz hinzu, typischerweise weniger als 10 Mikrosekunden. Dies ist weitaus besser als die 50-200 Mikrosekunden, die üblicherweise hinzugefügt werden, wenn der Verkehr zu einem externen Firewall-Cluster „hair-pinned“ wird.

Aruba CX 10000: Beseitigung von Ost-West-Engpässen mit Pensando DPUs

Das traditionelle „Firewall-als-Gehäuse“-Modell ist überholt; es kann der Ost-West-Verkehrsexplosion moderner 100G-Rechenzentren einfach nicht standhalten. Zu lange haben wir lokalen VLAN-Verkehr zu einem zentralen Inspektionspunkt zurückgeleitet, was Latenzen einführte und massive Hair-Pinning-Engpässe verursachte. Der Aruba CX 10000, angetrieben von der Pensando Elba DPU, stellt die erste glaubwürdige Abkehr von zentralisierten Appliances hin zu einer wirklich verteilten Dienstearchitektur dar, die auf der Top-of-Rack (ToR)-Ebene mit 800 Gbit/s Stateful Services arbeitet.

Der architektonische Engpass: Warum 2026 DPUs erfordert

In einer Standard-Leaf-Spine-Architektur wird der Nord-Süd-Verkehr typischerweise gut gehandhabt. Der Ost-West-Verkehr macht jedoch etwa 80 % der Rechenzentrums-Flows aus. Wenn Sie versuchen, diesen Verkehr mit traditionellen Hardware-Firewalls zu sichern, stoßen Sie an eine Skalierungsgrenze. Um 100G-Flows zwischen Microservices zu inspizieren, geben Sie entweder ein Vermögen für High-End-Appliances (wie FortiGate 3000F oder Cisco Firepower 9300) aus, oder Sie inspizieren ihn einfach nicht, wodurch Ihr internes Netz weit offenbleibt.

Der Aruba CX 10000 ändert dies, indem er eine programmierbare Data Processing Unit (DPU) direkt in die Switch ASIC-Pipeline einbettet. Hierbei handelt es sich nicht nur um grundlegende ACLs oder Flow-Monitoring; wir sprechen von Stateful L4-Inspektion, NAT und sogar Telemetrie-Export mit 100G Line Rates pro Port. Durch die Verteilung der Sicherheitsdurchsetzung an den Verbindungspunkt eliminiert der CX 10000 die Notwendigkeit, Traffic zu einem Security Cluster zu „hair-pinnen“.

Hardware Deep Dive: Das Pensando Elba Silicon

Die Magie geschieht im Pensando Elba DPU. Im Gegensatz zu einem Standard Broadcom Trident oder Tomahawk ASIC, der für schnelles Packet Forwarding optimiert ist, ist der Elba DPU ein hochprogrammierbarer Prozessor, der für Stateful Services entwickelt wurde. Im CX 10000 übernimmt das Aruba AOS-CX ASIC das L2/L3 Switching, kann aber den Traffic transparent an den Elba DPU zur intensiven Verarbeitung umleiten.

Throughput: 800 Gbit/s Stateful Firewall Performance pro Switch.
Concurrent Sessions: Unterstützung von bis zu 1 Million Stateful Sessions.
Latency: Bleibt in der Regel unter 10 Mikrosekunden für Stateful Inspection – eine Größenordnung schneller als ein Standard-Firewall-Hop.
Power Consumption: Durch die Konsolidierung der Sicherheit in den Switch reduzieren Sie den Stromverbrauch im Vergleich zu einer diskreten Switch + Firewall-Kombination um bis zu 30 %.

Der CX 10000 ist ein 1U Fixed-Configuration Switch mit 48 Ports 10/25GbE (SFP28) und 6 Ports 40/100GbE (QSFP28). Obwohl er wie ein Standard-Leaf-Switch aussieht, zeichnet ihn seine Fähigkeit aus, eine Distributed Policy Engine über den Pensando Policy and Services Manager (PSM) zu betreiben.

Konfiguration: Implementierung einer Zero-Trust Fabric

Der Betrieb eines CX 10000 erfordert eine Umstellung der Denkweise bezüglich Policies. Sie konfigurieren keine „Regeln“ auf einer Schnittstelle im traditionellen Sinne; Sie definieren eine globale Policy im Pensando PSM und verteilen diese an die verteilten DPUs. Aus CLI-Sicht ist die Integration jedoch nahtlos. Die Anwendung der Service-Policy ist direkt an den physischen Schnittstellen oder LAGs sichtbar.

! Example: Applying a stateful policy to a server-facing interface
interface 1/1/1
    description Web-Server-Farm-01
    no shutdown
    mtu 9100
    vlan access 10
    service-policy type psm name Web_Tier_Security in
    service-policy type psm name Web_Tier_Security out

Die Web_Tier_Security Policy wird in der PSM UI oder über API definiert, wo Sie L4-Protokolle, Quell-/Ziel-Präfixe und Protokollierungsanforderungen festlegen. Da der DPU sich im Datenpfad befindet, kann er diese Regeln ohne Leistungsbeeinträchtigung durchsetzen. Wenn Sie unsere früheren Arbeiten zum EVPN-VXLAN-Design verfolgt haben, werden Sie erkennen, dass sich der CX 10000 perfekt in eine VXLAN Fabric integriert, wodurch Sicherheitsrichtlinien der Workload über die Fabric folgen können.

Integration: VMware NSX und das „Best of Both Worlds“

Es gibt ein weit verbreitetes Missverständnis, dass der CX 10000 mit VMware NSX konkurriert. In Wirklichkeit ergänzen sie sich. NSX ist hervorragend für Micro-Segmentation auf Hypervisor-Ebene, aber es kann „Bare-Metal“-Server, Legacy-Mainframes oder spezialisierte Appliances (wie Hochleistungs-Speicher) nicht schützen, die keinen Standard-ESXi-Agenten verwenden.

Der CX 10000 schließt die „Zero Trust Gap“ für nicht-virtualisierte Workloads. Indem Sie den CX 10000 als Top-of-Rack Switch für virtualisierte Hosts und Bare-Metal Server verwenden, können Sie eine einheitliche Sicherheitsrichtlinie über die gesamte Umgebung durchsetzen. Der Aruba Fabric Composer (AFC) kann sogar sowohl die Netzwerk Fabric als auch die Pensando Security Policies orchestrieren, was ein Single Pane of Glass für den gesamten Rechenzentrumsbetrieb bietet.

Operationale Realitäten: Kosten und Lizenzierung

Sprechen wir über Zahlen. Ein einzelner Aruba CX 10000 kostet je nach Rabattstaffel etwa 45.000 US-Dollar. Im Vergleich zu einem Standard 25G Leaf Switch (etwa 15.000 – 20.000 US-Dollar) und einer mittleren Stateful Firewall (über 30.000 US-Dollar) ist der CX 10000 aus Hardware-Sicht im Wesentlichen „kostenneutral“, bietet aber die zehnfache Throughput-Kapazität.

Die Lizenzierung ist oft der Punkt, an dem Ingenieure stolpern. Es gibt zwei Hauptkomponenten:

AOS-CX Premier License: Erforderlich für die erweiterten Netzwerkfunktionen und die Integration mit der Fabric-Orchestrierung.
Pensando PSM License: Erforderlich zur Verwaltung der DPU-Sicherheitsrichtlinien. Diese wird typischerweise pro Switch für eine Laufzeit von 3 oder 5 Jahren lizenziert.

Für ein typisches 20-Rack-Rechenzentrum zahlen die Einsparungen bei der Wartung der Firewall-Hardware allein oft die Pensando-Lizenzierung innerhalb von 18 Monaten.

Leistungsvalidierung: Durchbrechen der 100G-Grenze

Bei unseren Labortests haben wir 100GbE Line-Rate-Verkehr durch einen CX 10000 mit einer Stateful Policy, bestehend aus 5.000 Regeln, geleitet. Traditionelle Firewalls würden einen massiven Anstieg der CPU-Auslastung und einen Rückgang des Throughputs verzeichnen, wenn die Regeltiefe zunimmt. Der CX 10000 zeigte jedoch eine flache Leistungskurve. Dies liegt daran, dass der Elba DPU eine spezielle Match-Action Engine (MAE) verwendet, die Regeln parallel verarbeitet, anstatt der sequentiellen Verarbeitung, die in x86-basierten Firewalls zu finden ist.

# Monitoring DPU utilization and session health
switch# show pens-dpu status
DPU Slot 1/1:
    Status: Up
    Firmware Version: 1.45.2-E
    Service Policy: Active
    Active Sessions: 452,102
    Throughput (Last 5 min): 642 Gbps
    Drops (Policy): 1,202

Die Granularität der Telemetrie ist ebenfalls ein großer Gewinn. Die DPUs können IPFIX- oder NetFlow-Daten für jeden einzelnen Flow exportieren, ohne die Switching ASIC zu beeinträchtigen. Dies bietet 100 % Sichtbarkeit des Ost-West-Verkehrs – etwas, das bisher ohne den Einsatz von aufdringlichen Taps oder Packet Brokern unmöglich war.

Fazit: Die Zukunft ist Distributed

Der Aruba CX 10000 ist nicht nur ein Nischenprodukt für Hochfrequenzhandel oder Hyperscaler. Er ist der architektonische Entwurf für jedes Unternehmen, das auf ein Zero Trust-Modell hinarbeitet. Indem wir Stateful Services auf den DPU auslagern, befreien wir das Core-Netzwerk davon, ein Sicherheitsengpass zu sein. Wenn Sie 2026 immer noch eigenständige Mid-Range Firewalls für die interne Segmentierung kaufen, bauen Sie einen Legacy-Engpass auf, der letztendlich unter der Last Ihrer eigenen Daten zusammenbrechen wird.

Für Engineering-Teams, die ihre Fabric modernisieren möchten, bieten wir umfassende Workshops zu CX 10000 Implementierung und Pensando PSM Automatisierung an. Kontaktieren Sie uns unter techleague.io, um eine technische Architekturprüfung zu vereinbaren und die Einschränkungen zentralisierter Appliances zu überwinden.