思科在新型可编程交换机中集成安全服务

思科系统公司今天宣布推出一系列数据中心交换机，这些交换机能够直接在交换层中嵌入服务，首先是安全服务。

思科的 Nexus 9300 系列智能交换机 结合了该公司的 Silicon One E100 网络处理器和 AMD 的可编程数据处理单元。该交换机作为一个高容量、多功能的服务托管设备。思科表示，随着组织越来越多地采用人工智能应用（可能在网络的中心或边缘运行），这是简化数据中心基础设施设计的一次尝试。

传统的数据中心架构需要为每项新服务配备特定设备，这增加了复杂性。此外，还必须为每项新服务或工作负载配置安全策略。

相比之下，Nexus 智能交换机将服务直接嵌入到数据中心结构中。它们包含两个处理引擎：用于数据传输的思科 Silicon One 网络处理器和用于安全处理的网络服务辅助处理器。流量在两个引擎之间智能调度以实现最佳性能。

思科数据中心网络产品管理副总裁 Murali Gandluru 表示："安全服务运行在 DPU 之上，而 Silicon One 提供智能路由。这种价值主张是独特的，因为它可以智能地转发需要转发的流量，而不需要转发的流量则转到 DPU。"

安全优先

首个提供的嵌入式服务是 Cisco Hypershield，这是一个基于人工智能的原生安全系统，可在公共和私有云环境中的应用程序和服务器中嵌入保护。它采用扩展的 Berkeley Packet Filter，这是一个 Linux 内核功能，使得在内核中运行沙箱程序成为可能。DPU 提供分布式安全，支持自主分段、实时漏洞防护和持续更新等功能。

思科表示，嵌入在交换层的 Hypershield 减少了设备数量，使数据中心运营商能够在构成工作负载的每个服务周围创建"微边界"。更新可以自动应用到正确的执行点，组织可以在部署前应用自我验证的策略更新。策略由 Cisco Hybrid Mesh Firewall 管理。

Gandluru 将智能交换机描述为"机架顶部解决方案"，采用 1U 形态，位于服务器机架顶部，汇聚所有进出服务器的通信流量。"你可以在整个数据中心结构中无缝启用安全服务，"他说。"去年我们宣布 Hypershield 能够在虚拟机、容器和裸机用例中提供策略。现在我们将其引入网络，从架构角度推动简化，提高电源和散热效率，降低总拥有成本并实现点对点可见性。"

Gandluru 表示，思科注意到要尊重企业数据中心的典型运营。"安全运营团队可以访问数据处理单元并能够启用安全服务，而网络团队管理交换机的生命周期，因此我们正在适应运营商现有的范式，"他说。

思科没有透露未来计划在交换机上提供哪些其他服务，但 Gandluru 表示网络地址转换是自然的下一步。"这些将是以网络为中心的用例，"他说。"我们不会把它们变成 [图形处理单元] 处理器。"

24 端口 100 千兆位每秒型号将在春季上市，48 端口 25G、6 端口 400G 和 2 端口 100G 型号将在夏季推出。价格尚未公布。