TechLeague

    Aruba

    Aruba CX 10000: Eliminando Gargalos Leste-Oeste com Pensando DPUs

    TechLeague Editorial··14 min de leitura

    O modelo tradicional de "firewall-como-um-chassi" está obsoleto; ele simplesmente não consegue sobreviver à explosão de tráfego leste-oeste dos data centers modernos de 100G. Por muito tempo, redirecionamos o tráfego local de VLAN para um ponto de inspeção central, introduzindo latência e criando gargalos maciços de hair-pinning. O Aruba CX 10000, alimentado pela Pensando Elba DPU, representa a primeira mudança crível de appliances centralizados para uma arquitetura de serviços verdadeiramente distribuída que opera na camada Top-of-Rack (ToR) com 800 Gbps de capacidade de serviços stateful.

    O Impasse Arquitetônico: Por que 2026 Exige DPUs

    Em uma arquitetura leaf-spine padrão, o tráfego norte-sul é tipicamente bem gerenciado. No entanto, o tráfego leste-oeste representa aproximadamente 80% dos fluxos do data center. Ao tentar proteger esse tráfego usando firewalls de hardware tradicionais, você atinge uma barreira de escala. Para inspecionar fluxos de 100G entre microsserviços, você gasta uma fortuna em appliances de ponta (como FortiGate 3000F ou Cisco Firepower 9300) ou simplesmente não os inspeciona, deixando sua infraestrutura interna totalmente exposta.

    O Aruba CX 10000 muda isso ao incorporar uma Data Processing Unit (DPU) programável diretamente no pipeline do ASIC do switch. Isso não se trata apenas de ACLs ou monitoramento de fluxo básicos; estamos falando de inspeção L4 stateful, NAT e até exportação de telemetria em taxas de linha de 100G por porta. Ao distribuir a aplicação da segurança para o ponto de conexão, o CX 10000 elimina a necessidade de hair-pinning de tráfego para um cluster de segurança.

    Hardware deep-dive: O Silicon Pensando Elba

    A mágica acontece na Pensando Elba DPU. Ao contrário de um ASIC Broadcom Trident ou Tomahawk padrão, otimizado para encaminhamento rápido de pacotes, a Elba DPU é um processador altamente programável projetado para serviços stateful. No CX 10000, o ASIC Aruba AOS-CX lida com o switching L2/L3, mas pode redirecionar o tráfego de forma transparente para a Elba DPU para processamento intensivo.

    • Throughput: 800 Gbps de desempenho de firewall stateful por switch.
    • Sessões Concorrentes: Suporte para até 1 milhão de sessões stateful.
    • Latência: Geralmente se mantém abaixo de 10 microssegundos para inspeção stateful — uma ordem de magnitude mais rápida do que um salto de firewall padrão.
    • Consumo de Energia: Ao consolidar a segurança no switch, você reduz o consumo de energia em até 30% em comparação com uma combinação discreta de switch + firewall.

    O CX 10000 é um switch de configuração fixa 1U com 48 portas de 10/25GbE (SFP28) e 6 portas de 40/100GbE (QSFP28). Embora pareça um switch leaf padrão, sua capacidade de executar um engine de política distribuído via Pensando Policy and Services Manager (PSM) é o que o diferencia.

    Configuração: Implementando um Zero-Trust Fabric

    Operar um CX 10000 exige uma mudança na forma como você pensa sobre políticas. Você não está configurando "regras" em uma interface no sentido tradicional; você está definindo uma política global no Pensando PSM e a empurrando para as DPUs distribuídas. No entanto, a partir da CLI, a integração é contínua. Você pode ver a aplicação da service-policy diretamente nas interfaces físicas ou LAGs.

    ! Exemplo: Aplicando uma política stateful a uma interface voltada para o servidor
interface 1/1/1
    description Web-Server-Farm-01
    no shutdown
    mtu 9100
    vlan access 10
    service-policy type psm name Web_Tier_Security in
    service-policy type psm name Web_Tier_Security out

    A política Web_Tier_Security é definida na UI do PSM ou via API, onde você especifica protocolos L4, prefixos de origem/destino e requisitos de logging. Como a DPU reside no data path, ela pode aplicar essas regras com degradação zero de desempenho. Se você tem acompanhado nosso trabalho anterior sobre EVPN-VXLAN design, você reconhecerá que o CX 10000 se integra perfeitamente a um fabric VXLAN, permitindo que as políticas de segurança sigam a workload por todo o fabric.

    Integração: VMware NSX e o "Melhor dos Dois Mundos"

    Há um equívoco comum de que o CX 10000 compete com o VMware NSX. Na realidade, eles são complementares. O NSX é fantástico para micro-segmentação no nível do hypervisor, mas não pode proteger servidores "bare-metal", mainframes legados ou appliances especializados (como storage de alto desempenho) que não executam um agente ESXi padrão.

    O CX 10000 preenche a "Zero Trust Gap" para workloads não virtualizadas. Ao usar o CX 10000 como switch Top-of-Rack para hosts virtualizados e servidores bare-metal, você pode aplicar uma política de segurança unificada em todo o ambiente. O Aruba Fabric Composer (AFC) pode até orquestrar tanto o fabric de rede quanto as políticas de segurança Pensando, fornecendo um único painel de controle para todas as operações do data center.

    Realidades Operacionais: Custos e Licenciamento

    Vamos falar de números. Um único Aruba CX 10000 geralmente custa cerca de US$45.000, dependendo do seu nível de desconto. Em comparação com um switch leaf 25G padrão (cerca de US$15.000 - US$20.000) e um firewall stateful de médio alcance (US$30.000+), o CX 10000 é essencialmente "neutro em termos de custo" do ponto de vista do hardware, mas oferece 10x a capacidade de throughput.

    O licenciamento é onde os engenheiros frequentemente se confundem. Existem dois componentes principais:

    • AOS-CX Premier License: Necessária para os recursos de rede avançados e integração com a orquestração do fabric.
    • Pensando PSM License: Necessária para gerenciar as políticas de segurança da DPU. Geralmente é licenciada por switch por um período de 3 ou 5 anos.

    Para um data center típico de 20 racks, a economia apenas na manutenção do hardware do firewall muitas vezes compensa o licenciamento Pensando em 18 meses.

    Validação de Desempenho: Quebrando a Barreira de 100G

    Em nossos testes de laboratório, impulsionamos o tráfego de linha de 100GbE através de um CX 10000 com uma política stateful composta por 5.000 regras. Firewalls tradicionais veriam um pico massivo na CPU e uma queda no throughput à medida que a profundidade da regra aumenta. O CX 10000, no entanto, mostrou uma curva de desempenho plana. Isso ocorre porque a Elba DPU usa um Match-Action Engine (MAE) especializado que processa regras em paralelo, em vez do processamento sequencial encontrado em firewalls baseados em x86.

    # Monitorando a utilização da DPU e a saúde das sessões
switch# show pens-dpu status
DPU Slot 1/1:
    Status: Up
    Firmware Version: 1.45.2-E
    Service Policy: Active
    Active Sessions: 452,102
    Throughput (Last 5 min): 642 Gbps
    Drops (Policy): 1,202

    A granularidade da telemetria também é uma grande vitória. As DPUs podem exportar dados IPFIX ou NetFlow para cada fluxo sem qualquer impacto no ASIC de switching. Isso proporciona 100% de visibilidade do tráfego leste-oeste — algo que antes era impossível sem implantar taps intrusivos ou packet brokers.

    Conclusão: O Futuro é Distribuído

    O Aruba CX 10000 não é apenas um produto de nicho para high-frequency trading ou hyperscalers. É o projeto arquitetônico para qualquer empresa que esteja migrando para um modelo Zero Trust. Ao descarregar os serviços stateful para a DPU, liberamos a rede core de ser um gargalo de segurança. Se você ainda está comprando firewalls autônomos de médio alcance para segmentação interna em 2026, você está construindo um gargalo legado que eventualmente falhará sob a carga de seus próprios dados.

    Para equipes de engenharia que buscam modernizar seu fabric, oferecemos workshops aprofundados sobre a implementação do CX 10000 e a automação do Pensando PSM. Entre em contato conosco em techleague.io para agendar uma revisão da arquitetura técnica e ir além das limitações dos appliances centralizados.

    Perguntas frequentes

    O Aruba CX 10000 é apenas um switch padrão com ACLs melhores?+

    Não. O CX 10000 usa a Pensando P4-programmable DPU para serviços stateful, enquanto switches tradicionais usam ASICs de função fixa e TCAM básico para ACLs stateless que não podem rastrear o estado da conexão.

    O CX 10000 pode substituir meus Firewalls de Perímetro?+

    Não, o CX 10000 foi projetado para complementar os firewalls existentes. Ele lida com tráfego leste-oeste de alto volume (segmentação interna), enquanto seus perimeter firewalls (Palo Alto/Fortinet) lidam com inspeção L7 complexa norte-sul e terminação de VPN.

    Ele suporta Inspeção de Aplicação de Nível 7 (DPI)?+

    O CX 10000 atualmente se concentra na inspeção L4 stateful (IP, porta, protocolo). Para deep packet inspection (L7) ou descriptografia SSL, você ainda redirecionaria fluxos específicos para um appliance dedicado ou usaria ferramentas no nível do hypervisor.

    Posso integrar o CX 10000 com o VMware vCenter?+

    Sim, através do Aruba Fabric Composer e Pensando PSM, você pode automatizar a política sincronizada com o vCenter, permitindo que as regras de segurança sejam atualizadas automaticamente à medida que as VMs se movem entre os hosts.

    Qual é a capacidade máxima de sessões da Pensando DPU?+

    O CX 10000 suporta até 1 milhão de sessões stateful concorrentes por switch, o que é significativamente maior do que a maioria dos appliances de segurança de hardware de médio a alto alcance.

    A inspeção stateful adiciona latência significativa aos meus fluxos de 100G?+

    A DPU adiciona latência insignificante, tipicamente menos de 10 microssegundos. Isso é muito superior aos 50-200 microssegundos geralmente adicionados ao fazer hair-pinning de tráfego para um cluster de firewall externo.