Pourquoi le trafic iscsi doit-il être isolé?

Pourquoi le trafic SAN iscsi doit-il être isolé? J'essaie d'expliquer à mon gars du réseau pourquoi nous devrions isoler le trafic.

Parce que:

• De très, très mauvaises choses se produiront si quelqu'un obtient un accès non autorisé à votre réseau de stockage
• De très, très mauvaises choses se produiront si votre trafic iSCSI n'est pas séparé, et quelqu'un trouve que c'est une excellente idée de contourner la topologie STP au niveau d'un commutateur de périphérie, avec le résultat de l'ensemble de votre réseau ET de votre sous-système de stockage tombant en panne à la fois
• De très très mauvaises choses se produiront si la conception du réseau iSCSI n'est pas effectuée avec soin. Le garder sur des VLAN isolés rend beaucoup plus difficile de faire quelque chose de stupide, comme essayer de transporter du trafic iSCSI à travers un routeur ou un pare-feu (il ne devrait pas y avoir de routeurs ou de pare-feu sur un réseau iSCSI)
• De très, très mauvaises choses se produiront si votre administrateur de stockage / virtualisation veut implémenter des trames jumbo, et votre administrateur réseau ne veut pas mettre en œuvre des trames jumbo. Garder iSCSI séparé sur des commutateurs dédiés empêchera cela de se produire. Même le partage de commutateurs avec un trafic réseau régulier empêchera la non-concordance de MTU, car vous n'augmenteriez que la MTU sur les commutateurs qui ont du trafic iSCSI - pas les commutateurs connectés.

Je pourrais probablement énumérer d'autres raisons, mais je pense que cela suffit pour se faire une idée. Ne mélangez pas le trafic iSCSI avec tout autre type de trafic sur les mêmes ports. Si vous avez des commutateurs décents, allez-y et partagez la matrice de commutateurs avec d'autres trafics, mais conservez iSCSI sur des ports séparés dans des VLAN distincts.

Parce que ne pas le faire permet au trafic régulier d'avoir un impact sur le trafic de stockage, ce qui est une mauvaise idée car cela signifie que le téléchargement d'un utilisateur pourrait retarder une lecture ou une écriture importante.

Vous ne voulez pas que les effets secondaires du trafic perturbent votre accès au SAN. Nous avons un petit environnement VMWare VSphere où nous avions d'abord le trafic VMotion et iSCSI passant par les mêmes commutateurs sur le même réseau. Différents adaptateurs réseau, mais le même réseau. Un bogue dans ESXi 5.0 faisait que les hôtes perdaient aléatoirement l'accès au SAN iSCSI chaque fois qu'une action VMotion plus longue qui utilisait plus d'une carte réseau était active. Selon la solution SAN et les clients iSCSI utilisés, vous pouvez vous attendre à toutes sortes de comportements amusants lorsque vous mélangez du trafic. Bien sûr, cela peut aussi fonctionner sans problème, mais cela ne dure généralement que jusqu'au jour où vos collègues sont tous en vacances et soudain, tout l'enfer se déchaîne.

Autre problème lorsque vous avez des systèmes SAN iSCSI dans votre réseau par défaut: quelqu'un pourrait utiliser une adresse IP attribuée à votre nœud SAN. Cela ne se produirait probablement pas par accident, mais quelqu'un qui essaie de vous causer des problèmes, à vous ou à l'entreprise, pourrait analyser votre réseau, découvrir le SAN et utiliser n'importe quel appareil compatible IP pour faire disparaître votre SAN comme par magie.