¿Es el Aruba CX 10000 solo un switch estándar con mejores ACLs?

No. El CX 10000 utiliza la DPU programable P4 de Pensando para servicios stateful, mientras que los switches tradicionales utilizan ASICs de función fija y TCAM básica para ACLs stateless que no pueden rastrear el estado de la conexión.

¿Puede el CX 10000 reemplazar mis Perimeter Firewalls?

No, el CX 10000 está diseñado para complementar los firewalls existentes. Gestiona el tráfico este-oeste de alto volumen (segmentación interna), mientras que sus firewalls perimetrales (Palo Alto/Fortinet) gestionan la inspección L7 compleja norte-sur y la terminación de VPN.

¿Soporta Inspección de Aplicaciones Nivel 7 (DPI)?

El CX 10000 se centra actualmente en la inspección L4 stateful (IP, Puerto, Protocolo). Para deep packet inspection (L7) o descifrado SSL, aún debería redirigir flujos específicos a un appliance dedicado o usar herramientas a nivel de hypervisor.

¿Puedo integrar el CX 10000 con VMware vCenter?

Sí, a través de Aruba Fabric Composer y Pensando PSM, puede automatizar la política sincronizada con vCenter, permitiendo que las reglas de seguridad se actualicen automáticamente a medida que las VMs se mueven entre hosts.

¿Cuál es la capacidad máxima de sesión de la DPU Pensando?

El CX 10000 soporta hasta 1 millón de sesiones stateful concurrentes por switch, lo cual es significativamente más alto que la mayoría de los appliances de seguridad de hardware de rango medio a alto.

¿La inspección stateful añade una latencia significativa a mis flujos de 100G?

La DPU añade una latencia insignificante, típicamente menos de 10 microsegundos. Esto es muy superior a los 50-200 microsegundos que suele añadirse al redirigir el tráfico a un clúster de firewall externo.

Aruba CX 10000: Eliminando cuellos de botella Este-Oeste con DPUs de Pensando

El modelo tradicional de "firewall como chasis" ha muerto; simplemente no puede sobrevivir a la explosión del tráfico este-oeste de data centers modernos de 100G. Durante demasiado tiempo, hemos estado redirigiendo el tráfico de VLAN local a un punto de inspección central, introduciendo latencia y creando enormes cuellos de botella. El Aruba CX 10000, impulsado por la DPU Pensando Elba, representa el primer cambio creíble de appliances centralizados hacia una arquitectura de servicios verdaderamente distribuida que opera en la capa Top-of-Rack (ToR) con 800 Gbps de capacidad de servicios stateful.

El Impasse Arquitectónico: Por qué 2026 Demanda DPUs

En una arquitectura leaf-spine estándar, el tráfico norte-sur suele gestionarse bien. Sin embargo, el tráfico este-oeste representa aproximadamente el 80% de los flujos del data center. Cuando se intenta asegurar este tráfico utilizando firewalls de hardware tradicionales, se alcanza un límite de escalabilidad. Para inspeccionar flujos de 100G entre microservicios, o se gasta una fortuna en appliances de gama alta (como FortiGate 3000F o Cisco Firepower 9300) o simplemente no se inspecciona, dejando el interior completamente expuesto.

El Aruba CX 10000 cambia esto al integrar una Data Processing Unit (DPU) programable directamente en el pipeline ASIC del switch. Esto no son solo ACLs básicas o monitoreo de flujos; estamos hablando de inspección L4 stateful, NAT e incluso exportación de telemetría a velocidades de línea de 100G por puerto. Al distribuir la aplicación de seguridad al punto de conexión, el CX 10000 elimina la necesidad de redirigir el tráfico a un clúster de seguridad.

Análisis de hardware: El silicio Pensando Elba

La magia ocurre en la DPU Pensando Elba. A diferencia de un ASIC Broadcom Trident o Tomahawk estándar que está optimizado para el forwarding rápido de paquetes, la DPU Elba es un procesador altamente programable diseñado para servicios stateful. En el CX 10000, el ASIC Aruba AOS-CX gestiona el switching L2/L3, pero puede redirigir de forma transparente el tráfico a la DPU Elba para un procesamiento intensivo.

Throughput: 800 Gbps de rendimiento de firewall stateful por switch.
Sesiones Concurrentes: Soporte para hasta 1 millón de sesiones stateful.
Latencia: Generalmente se mantiene por debajo de los 10 microsegundos para inspección stateful, un orden de magnitud más rápido que un salto a un firewall estándar.
Consumo de Energía: Al consolidar la seguridad en el switch, se reduce el consumo de energía hasta en un 30% en comparación con una combinación discreta de switch + firewall.

El CX 10000 es un switch de configuración fija de 1U con 48 puertos 10/25GbE (SFP28) y 6 puertos 40/100GbE (QSFP28). Aunque se parece a un switch leaf estándar, su capacidad para ejecutar un motor de políticas distribuido a través de Pensando Policy and Services Manager (PSM) es lo que lo distingue.

Configuración: Implementando un Fabric de Zero Trust

Operar un CX 10000 requiere un cambio en la forma de pensar sobre las políticas. No se están configurando "reglas" en una interfaz en el sentido tradicional; se está definiendo una política global en el Pensando PSM y empujándola a las DPUs distribuidas. Sin embargo, desde la CLI, la integración es perfecta. Se puede ver la aplicación de la service-policy directamente en las interfaces físicas o LAGs.

! Ejemplo: Aplicando una política stateful a una interfaz orientada a servidores
interface 1/1/1
    description Web-Server-Farm-01
    no shutdown
    mtu 9100
    vlan access 10
    service-policy type psm name Web_Tier_Security in
    service-policy type psm name Web_Tier_Security out

La política Web_Tier_Security se define en la UI del PSM o a través de API, donde se especifican los protocolos L4, prefijos de origen/destino y requisitos de logging. Debido a que la DPU reside en la ruta de datos, puede aplicar estas reglas sin degradación del rendimiento. Si ha seguido nuestro trabajo anterior sobre EVPN-VXLAN design, reconocerá que el CX 10000 se integra perfectamente en un fabric VXLAN, permitiendo que las políticas de seguridad sigan la carga de trabajo a través del fabric.

Integración: VMware NSX y lo "Mejor de Ambos Mundos"

Existe una idea errónea común de que el CX 10000 compite con VMware NSX. En realidad, son complementarios. NSX es excelente para la microsegmentación a nivel de hypervisor, pero no puede proteger servidores "bare-metal", mainframes heredados o appliances especializados (como almacenamiento de alto rendimiento) que no ejecutan un agente ESXi estándar.

El CX 10000 llena el "Zero Trust Gap" para cargas de trabajo no virtualizadas. Al usar el CX 10000 como switch Top-of-Rack para hosts virtualizados y servidores bare-metal, se puede aplicar una política de seguridad unificada en todo el entorno. El Aruba Fabric Composer (AFC) incluso puede orquestar tanto el fabric de red como las políticas de seguridad de Pensando, proporcionando una única interfaz de administración para todas las operaciones del data center.

Realidades Operativas: Costos y Licenciamiento

Hablemos de números. Un solo Aruba CX 10000 generalmente tiene un precio de lista de alrededor de $45,000 dependiendo de su nivel de descuento. En comparación con un switch leaf estándar de 25G (aproximadamente $15,000 - $20,000) y un firewall stateful de rango medio (más de $30,000), el CX 10000 es esencialmente "neutro en costos" desde una perspectiva de hardware, pero ofrece 10 veces la capacidad de throughput.

El licenciamiento es donde los ingenieros a menudo se confunden. Hay dos componentes principales:

AOS-CX Premier License: Requerido para las funciones avanzadas de red y la integración con la orquestación del fabric.
Pensando PSM License: Requerido para gestionar las políticas de seguridad de la DPU. Esto suele licenciarse por switch por un período de 3 o 5 años.

Para un data center típico de 20 racks, los ahorros solo en el mantenimiento del hardware del firewall a menudo pagan el licenciamiento de Pensando en 18 meses.

Validación de Rendimiento: Rompiendo la barrera de los 100G

En nuestras pruebas de laboratorio, probamos tráfico de línea de 100GbE a través de un CX 10000 con una política stateful que consistía en 5,000 reglas. Los firewalls tradicionales experimentarían un aumento masivo en la CPU y una caída en el throughput a medida que aumenta la profundidad de las reglas. Sin embargo, el CX 10000 mostró una curva de rendimiento plana. Esto se debe a que la DPU Elba utiliza un Match-Action Engine (MAE) especializado que procesa las reglas en paralelo, en lugar del procesamiento secuencial que se encuentra en los firewalls basados en x86.

# Monitoreando la utilización de la DPU y la salud de las sesiones
switch# show pens-dpu status
DPU Slot 1/1:
    Status: Up
    Firmware Version: 1.45.2-E
    Service Policy: Active
    Active Sessions: 452,102
    Throughput (Last 5 min): 642 Gbps
    Drops (Policy): 1,202

La granularidad de la telemetría también es una ventaja importante. Las DPUs pueden exportar datos IPFIX o NetFlow para cada flujo sin ningún impacto en el ASIC de switching. Esto proporciona una visibilidad del 100% en el tráfico este-oeste, algo que antes era imposible sin desplegar taps intrusivos o packet brokers.

Conclusión: El Futuro es Distribuido

El Aruba CX 10000 no es solo un producto de nicho para trading de alta frecuencia o hiperescaladores. Es el modelo arquitectónico para cualquier empresa que avanza hacia un modelo Zero Trust. Al descargar los servicios stateful a la DPU, liberamos la red central de ser un cuello de botella de seguridad. Si todavía está comprando firewalls standalone de rango medio para segmentación interna en 2026, está construyendo un cuello de botella heredado que eventualmente fallará bajo la carga de sus propios datos.

Para los equipos de ingeniería que buscan modernizar su fabric, ofrecemos talleres detallados sobre la implementación del CX 10000 y la automatización del Pensando PSM. Contáctenos en techleague.io para programar una revisión de arquitectura técnica y superar las limitaciones de los appliances centralizados.