Warum sollte der iscsi-Verkehr isoliert werden?

Warum sollte der iscsi SAN-Verkehr isoliert werden? Ich versuche meinem Netzwerk-Mitarbeiter zu erklären, warum wir den Datenverkehr isolieren sollten.

Weil:

• Sehr, sehr schlimme Dinge passieren, wenn jemand unbefugten Zugriff auf Ihr Speichernetzwerk erhält
• Sehr, sehr schlimme Dinge werden passieren, wenn Ihr iSCSI-Verkehr nicht getrennt ist und jemand es für eine gute Idee hält, an einem Edge-Switch mit der STP-Topologie herumzuspielen, was dazu führt, dass Ihr gesamtes Netzwerk UND Ihr Speichersubsystem sofort ausfallen
• Sehr, sehr schlimme Dinge werden passieren, wenn das iSCSI-Netzwerkdesign nicht sorgfältig durchgeführt wird. Wenn Sie es in isolierten VLANs belassen, ist es viel schwieriger, etwas Dummes zu tun, z. B. den Versuch, iSCSI-Verkehr über einen Router oder eine Firewall zu übertragen (in einem iSCSI-Netzwerk sollten keine Router oder Firewalls vorhanden sein).
• Sehr, sehr schlimme Dinge werden passieren, wenn Ihr Speicher- / Virtualisierungsadministrator Jumbo-Frames implementieren möchte und Ihr Netzwerkadministrator keine Jumbo-Frames implementieren möchte. Wenn Sie iSCSI auf dedizierten Switches getrennt halten, wird dies verhindert. Selbst das Teilen von Switches mit regulärem Netzwerkverkehr verhindert eine MTU-Nichtübereinstimmung, da Sie die MTU nur auf den Switches mit iSCSI-Verkehr erhöhen würden - nicht auf den verbundenen Switches.

Ich könnte wahrscheinlich weitere Gründe auflisten, aber ich denke, es reicht aus, um eine Idee zu bekommen. Mischen Sie iSCSI-Verkehr nicht mit anderen Arten von Verkehr an denselben Ports. Wenn Sie über anständige Switches verfügen, teilen Sie die Switch-Struktur mit anderem Datenverkehr, lassen Sie iSCSI jedoch an separaten Ports in separaten VLANs.

Wenn Sie dies nicht tun, kann sich der reguläre Datenverkehr auf den Speicherdatenverkehr auswirken. Dies ist eine schlechte Idee, da der Download eines Benutzers beispielsweise ein wichtiges Lesen oder Schreiben verzögern kann.

Sie möchten nicht, dass Nebenwirkungen des Datenverkehrs Ihren SAN-Zugriff stören. Wir haben eine kleine VMWare VSphere-Umgebung, in der zunächst sowohl VMotion- als auch iSCSI-Datenverkehr über dieselben Switches im selben Netzwerk übertragen wurde. Unterschiedliche Netzwerkadapter, aber dasselbe Netzwerk. Ein Fehler in ESXi 5.0 führte dazu, dass die Hosts zufällig den Zugriff auf das iSCSI-SAN verloren, wenn eine längere VMotion-Aktion aktiv war, bei der mehr als ein Netzwerkadapter verwendet wurde. Abhängig von der SAN-Lösung und den verwendeten iSCSI-Clients können Sie beim Mischen des Datenverkehrs allerlei lustiges Verhalten erwarten. Natürlich kann es auch problemlos laufen, aber das dauert normalerweise nur bis zu dem einen Tag, an dem Ihre Kollegen alle im Urlaub sind und plötzlich die Hölle losbricht.

Ein weiteres Problem, wenn Sie iSCSI-SAN-Systeme in Ihrem Standardnetzwerk haben: Jemand könnte eine IP-Adresse verwenden, die Ihrem SAN-Knoten zugewiesen ist. Das würde wahrscheinlich nicht zufällig passieren, aber jemand, der versucht, Sie oder das Unternehmen in Schwierigkeiten zu bringen, könnte Ihr Netzwerk scannen, das SAN entdecken und jedes IP-fähige Gerät verwenden, um Ihr SAN auf magische Weise verschwinden zu lassen.