Cisco-Switches: Mehr Sicherheit – auch wenn es noch keine Patches gibt

Cisco bringt eine ganze Reihe von Neuerungen im Netzwerkumfeld. Darunter neue Smart Switches der Catalyst-9000-Serie gezielt für Campus-Umgebungen. Erst Anfang des Jahres gab es im Rechenzentrumsumfeld die Ankündigung zu Nexus 9000 Smart Switches in Kooperation mit AMD Pensando. Cisco möchte damit die Sicherheitslösung Hypershield an den Rand der Netzwerke bringen, um den Datenverkehr zwischen den Endgeräten besser zu kontrollieren. Zudem gab es ein Wi-Fi Campus Gateway und Wi-Fi 7 Access-Points für Umgebungen mit hoher Dichte an Nutzern.

Die ersten beiden Modelle stellen die nicht-modularen Catalyst 9350 Smart Switches für den Access-Bereich und die modularen Catalyst 9610 Smart Switches für Core und Distributionsebenen dar. Beide basieren auf der vereinheitlichten Silicon-One-Architektur. Dabei sind spezifische Anwendungsslices des ASICs programmierbar gestaltet, wodurch spezifische Anwendungen direkt auf dem ASIC betrieben werden können. Zusätzlich gibt es einen Co-Prozessor.

Netzwerk-Security mit Hypershiels

Als Anwendungsbeispiel nennt Cisco die Sicherheitslösung Hypershield, die als Agent auf diesen Switches laufen soll. Falls eine Komponente eine Sicherheitslücke aufweist, es aber keinen Patch gibt oder bis der Patch eingespielt ist, soll Hypershield über sogenannte kompensierende Kontrolle Segmentierungsrichtlinien auf Switch-Ebene implementieren, um attackierende Traffic-Muster zu blocken. Damit sollen sie als sogenannter Enforcement Point im UZTNA-Framework (Universal Zero Trust Network Access) dienen. Für besonders sensible Datenströme bietet Cisco nun auch eine Funktion zur sogenannten Security Service Insertion, mit der sich der Verkehr gezielt an spezialisierte Next Generation Firewalls mit Layer-7-Intelligenz, beispielsweise einem integrierten IPS, weiterleiten lässt. Dadurch wird eine optimale Ausnutzung der vorhandenen Sicherheits- und Netzwerkressourcen erreicht. Ferner gibt es Integrationen mit den ThousandEyes- und Splunk-Plattformen, um die Sichtbarkeit in puncto Netzwerk- und Applikationsperformance, als auch der Sicherheit zu verbessern.

Neben diesen Features liefern die Switches einige wenige Neuerungen gegenüber den direkten Vorgängern in der 9300- und 9600-Modellreihe. Die 9350er-Switche kommen auf einer Höheneinheit daher und unterstützen nun UPoE+ bis 90 Watt, also 802.3bt Klasse 8 und MultiGigabit Ethernet bis 10G im Downlink und bis 100G Uplinks, um den gestiegenen Bandbreiten- und Leistungsbedarfen im Wi-Fi-Umfeld gerecht zu werden. VXLAN unterstützen diese Switche nicht. Die Switche sollen zudem post-quantenresistente Algorithmen für MACsec, IPsec und WAN MACsec zur Verschlüsselung der Links unterstützen.

Innerhalb des UZTNA-Frameworks fungieren die neuen Switches als durchsetzende Knotenpunkte (Enforcement Points), die Sicherheitsrichtlinien konsequent umsetzen. Für besonders sensible Datenströme bietet Cisco nun die Funktion Security Service Insertion, mit der sich der Verkehr gezielt an spezialisierte Firewalls weiterleiten lässt. Dadurch wird eine optimale Ausnutzung der vorhandenen Sicherheits- und Netzwerkressourcen erreicht.

Die Catalyst-9610-Switche bieten ein modulares Chassis mit 10 Einschüben auf 18 Höheneinheiten. Jeder Slot soll bis zu 6,4 Tbit/s Durchsatz unterstützen. Bei über 120 kg Gewicht möchte man nicht der Integrator sein, der dies in das Rack bringen muss. Der Switch unterstützt zwei redundante Supervisor und Stackwise Virtual zur Kombination von zwei Chassis zu einem logischen Verbund. Auf Anschlussebene bietet er bis zu 256 × 100G QSFP28 oder 16 × 400G QSFP-DD. Dazu bringt er acht Netzteile und vier Lüftereinheiten mit. Zudem unterstützt er gemäß Datenblatt 8 GByte QoS-Puffer mit hierarchischem QoS, 256 Bit MACsec und VXLAN für Ciscos Software Defined Access (SDA) oder BGP-EVPN-Umgebungen. Als Betriebssystem kommt auf beiden das bewährte IOS-XE zum Einsatz.

Wi-Fi 7 von Cisco

Ein weiteres neues Produkt ist Ciscos neue CW9179F Wi-Fi 7 Access-Point-Serie. Sie soll insbesondere für Umgebungen mit hoher Dichte an Nutzern, etwa Stadien, dienen. Dazu soll er sich flexibel über softwarekontrolliertes Beam Switching anpassen können. Sie erlaubt es, die Funkabdeckung flexibel in drei verschiedenen Konfigurationen anzupassen, wodurch der Access-Point in Umgebungen, in denen sich Nutzerverhalten und Geräteverteilung stetig ändern, dynamisch agieren können soll. Zusätzlich bietet er zweimal 4×4:4 Antennen im 5-GHz-Band und jeweils einmal 4×4:4 Antennen im 2,4- und 6-GHz-Band, die entsprechend unidirektional und nicht omnidirektional sind. Außerdem bietet er zwei 10G Uplinks zum Switch für Redundanz und Link-Aggregation.

Mit der Einführung des Cisco Campus Gateway sollen Kunden, die bisher On-Premises-Controller mit zentraler Traffic-Ausleitung genutzt haben, ohne Anpassung der Netzwerkarchitektur auf die Meraki Plattform wechseln können. Die Access-Points tunneln dabei den Datenverkehr zum zentralen Campus Gateway, der den Datenverkehr dann zentral ausleitet. Bisher war nur ein lokales Ausleiten möglich. Unterstützt werden bis zu 5000 Access-Points und 50.000 Clients. Die Lösung erscheint insbesondere für Gast-WLANs interessant, um den Datenverkehr in entsprechende WLAN-DMZs zu tunneln.

Vereinheitlichtes Management

Zudem vereinheitlicht Cisco das Management, indem eine neue vereinheitlichte Oberfläche für On-Premises- und das Meraki Cloud-Management eingeführt wurde. Hierbei handelt es sich um eine weitere von Kunden erwartete Vereinheitlichung, nachdem auch die Access-Points und Lizenzmodelle angeglichen wurden.

(fo)