Mengapa lalu lintas iscsi harus diisolasi?

Mengapa trafik SAN iscsi harus diisolasi? Saya mencoba menjelaskan kepada orang jaringan saya mengapa kita harus mengisolasi lalu lintas.

Karena:

• Hal-hal yang sangat, sangat buruk akan terjadi jika seseorang memperoleh akses tidak sah ke jaringan penyimpanan Anda
• Sangat, hal-hal yang sangat buruk akan terjadi jika Anda memiliki lalu lintas iSCSI Anda tidak terpisahkan, dan seseorang mendapati ide bagus untuk bergurau dengan topologi STP di switch edge, dengan hasil seluruh jaringan Anda dan subsistem penyimpanan Anda turun sekaligus.
• Sangat, hal yang sangat buruk akan terjadi jika desain jaringan iSCSI tidak dilakukan dengan hati-hati. Menyimpannya di VLAN terisolasi membuat jauh lebih sulit untuk melakukan sesuatu yang konyol, seperti mencoba membawa lalu lintas iSCSI melintasi router atau firewall (seharusnya tidak ada router atau firewall di jaringan iSCSI)
• Sangat, hal-hal yang sangat buruk akan terjadi jika admin penyimpanan / virtualisasi Anda ingin menerapkan bingkai jumbo, dan admin jaringan Anda tidak ingin menerapkan bingkai jumbo. Memisahkan iSCSI pada sakelar khusus akan mencegah hal ini terjadi. Bahkan berbagi sakelar dengan lalu lintas jaringan biasa akan mencegah ketidakcocokan MTU, karena Anda hanya akan meningkatkan MTU pada sakelar yang memiliki lalu lintas iSCSI - bukan sakelar yang terhubung.

Saya mungkin bisa menyebutkan lebih banyak alasan, tetapi saya pikir itu cukup untuk mendapatkan ide. Jangan mencampur lalu lintas iSCSI dengan jenis lalu lintas lainnya di port yang sama. Jika Anda memiliki sakelar yang layak, silakan lanjutkan dan bagikan sakelar sakelar dengan lalu lintas lain, tetapi pertahankan iSCSI pada port terpisah di VLAN terpisah.

Karena tidak melakukan hal itu memungkinkan lalu lintas reguler berdampak pada lalu lintas penyimpanan, yang merupakan ide buruk karena itu berarti bahwa unduhan pengguna dapat menunda membaca atau menulis yang penting.

Anda tidak ingin efek samping dari lalu lintas mengganggu akses SAN Anda. Kami memiliki lingkungan VMWare VSphere kecil tempat kami pertama kali memiliki lalu lintas VMotion dan iSCSI melalui sakelar yang sama di jaringan yang sama. Adaptor jaringan berbeda, tetapi jaringan yang sama. Bug di ESXi 5.0 membuat host secara acak kehilangan akses ke iSCSI SAN setiap kali aksi VMotion yang lebih lama yang menggunakan lebih dari 1 adapter jaringan aktif. Bergantung pada solusi SAN dan klien iSCSI yang digunakan, Anda dapat mengharapkan segala macam perilaku lucu ketika Anda mencampur lalu lintas. Tentu saja itu dapat berjalan tanpa masalah juga, tetapi itu biasanya hanya berlangsung sampai suatu hari ketika kolega Anda semua berlibur dan tiba-tiba semua kacau.

Masalah lain ketika Anda memiliki sistem SAN iSCSI di jaringan default Anda: seseorang dapat menggunakan alamat IP yang ditetapkan untuk simpul SAN Anda. Itu mungkin tidak akan terjadi secara tidak sengaja, tetapi seseorang yang mencoba membuat Anda atau perusahaan yang bermasalah dapat memindai jaringan Anda, menemukan SAN dan menggunakan perangkat yang mendukung IP untuk membuat SAN Anda menghilang secara ajaib.