为什么要隔离iSCSI流量？

为什么要隔离iscsi SAN流量？我试图向我的网络人员解释为什么我们应该隔离流量。

因为：

• 如果有人未经授权访问您的存储网络，将会发生非常非常糟糕的事情
• 如果不分开iSCSI流量，将会发生非常非常糟糕的事情，有人发现在边缘交换机上采用STP拓扑是一个好主意，结果整个网络和存储子系统都将立即关闭
• 如果不仔细进行iSCSI网络设计，将会发生非常非常糟糕的事情。将其保持在隔离的VLAN上，很难做一些愚蠢的事情，例如试图通过路由器或防火墙传输iSCSI流量（iSCSI网络上不应有任何路由器或防火墙）
• 如果您的存储/虚拟化管理员想要实现巨型框架，而您的网络管理员不想实现巨型框架，则会发生非常非常糟糕的事情。在专用交换机上将iSCSI分开可以防止这种情况的发生。即使共享具有常规网络流量的交换机，也可以防止MTU不匹配，因为您只会增加具有iSCSI流量的交换机（而不是连接的交换机）的MTU。

我可能会列出更多原因，但我认为就足够了。请勿在同一端口上将iSCSI通信与任何其他类型的通信混合使用。如果您有不错的交换机，请继续与其他流量共享交换机结构，但是将iSCSI保留在单独VLAN中的单独端口上。

因为不这样做，会使常规流量影响存储流量，所以这是一个坏主意，因为这意味着用户的下载可能会延迟重要的读取或写入操作。

您不希望流量带来的副作用干扰您的SAN访问。我们有一个小型的VMWare VSphere环境，首先我们要让VMotion和iSCSI通信流经同一网络上的同一交换机。不同的网络适配器，但相同的网络。ESXi 5.0中的一个错误使每当使用了多个网络适配器的较长的VMotion操作处于活动状态时，主机便会随机失去对iSCSI SAN的访问权限。根据使用的SAN解决方案和iSCSI客户端，您可能会在混合流量时发生各种有趣的行为。当然，它也可以毫无问题地运行，但是通常只持续到一天，直到您的同事都在休假，突然间地狱松开。

当默认网络中有iSCSI SAN系统时，另一个问题是：有人可以使用分配给SAN节点的IP地址。那可能不会偶然发生，但是试图使您或公司陷入困境的人可以扫描您的网络，发现SAN，并使用任何支持IP的设备使您的SAN神奇消失。