Perché il traffico iscsi dovrebbe essere isolato?

Perché il traffico SAN iscsi dovrebbe essere isolato? Sto cercando di spiegare al mio ragazzo di rete perché dovremmo isolare il traffico.

Perché:

• Accadranno cose molto, molto cattive se qualcuno ottiene l'accesso non autorizzato alla tua rete di archiviazione
• Accadranno cose molto, molto cattive se il tuo traffico iSCSI non è separato e qualcuno trova un'ottima idea aggirarsi con la topologia STP su un interruttore periferico, con il risultato dell'intera rete E del sottosistema di archiviazione che si riducono contemporaneamente
• Accadranno cose molto, molto cattive se la progettazione della rete iSCSI non viene eseguita con cura. Mantenerlo su VLAN isolate rende molto più difficile fare qualcosa di stupido, come cercare di trasportare traffico iSCSI attraverso un router o un firewall (non dovrebbero esserci router o firewall su una rete iSCSI)
• Accadranno cose molto brutte se l'amministratore di archiviazione / virtualizzazione vuole implementare frame jumbo e l'amministratore di rete non vuole implementare frame jumbo. Mantenere iSCSI separato su switch dedicati eviterà che ciò accada. Anche la condivisione di switch con traffico di rete regolare previene la mancata corrispondenza di MTU, poiché si aumenterebbe solo MTU sugli switch con traffico iSCSI, non sugli switch collegati.

Probabilmente potrei elencare più motivi, ma penso che sia abbastanza per avere un'idea. Non mescolare il traffico iSCSI con nessun altro tipo di traffico sulle stesse porte. Se disponi di switch decenti, vai avanti e condividi la struttura degli switch con altro traffico, ma mantieni iSCSI su porte separate in VLAN separate.

Perché non farlo consente al traffico regolare di influire sul traffico di archiviazione, il che è una cattiva idea in quanto significa che il download di un utente potrebbe ritardare una lettura o una scrittura importanti.

Non si desidera che gli effetti collaterali del traffico disturbino l'accesso alla SAN. Abbiamo un piccolo ambiente VMWare VSphere in cui inizialmente avevamo traffico VMotion e iSCSI che attraversava gli stessi switch sulla stessa rete. Schede di rete diverse, ma la stessa rete. Un bug in ESXi 5.0 faceva perdere casualmente agli host l'accesso alla SAN iSCSI ogni volta che era attiva un'azione VMotion più lunga che faceva uso di più di una scheda di rete. A seconda della soluzione SAN e dei client iSCSI utilizzati, ci si può aspettare ogni sorta di comportamento divertente quando si mescola il traffico. Ovviamente può funzionare anche senza alcun problema, ma di solito dura solo quel giorno in cui i tuoi colleghi sono tutti in vacanza e all'improvviso si scatena l'inferno.

Un altro problema quando si hanno sistemi SAN iSCSI nella propria rete predefinita: qualcuno potrebbe usare un indirizzo IP assegnato al proprio nodo SAN. Probabilmente ciò non accadrà per caso, ma qualcuno che cerca di mettere in difficoltà te o l'azienda potrebbe scansionare la tua rete, scoprire la SAN e utilizzare qualsiasi dispositivo abilitato IP per far scomparire magicamente la tua SAN.