¿Por qué se debe aislar el tráfico iscsi?

¿Por qué se debe aislar el tráfico iscsi SAN? Estoy tratando de explicarle a mi chico de la red por qué deberíamos aislar el tráfico.

Porque:

• Sucederán cosas muy malas si alguien obtiene acceso no autorizado a su red de almacenamiento
• Sucederán cosas muy, muy malas si su tráfico iSCSI no está separado, y a alguien le parece una buena idea hurgar con la topología STP en un interruptor de borde, con el resultado de que toda su red Y su subsistema de almacenamiento se caigan de inmediato
• Sucederán cosas muy malas si el diseño de la red iSCSI no se realiza con cuidado. Mantenerlo en VLAN aisladas hace que sea mucho más difícil hacer algo tonto, como tratar de transportar el tráfico iSCSI a través de un enrutador o firewall (no debería haber enrutadores o firewalls en una red iSCSI)
• Sucederán cosas muy, muy malas si su administrador de almacenamiento / virtualización quiere implementar tramas gigantes, y su administrador de red no quiere implementar tramas gigantes. Mantener iSCSI separado en conmutadores dedicados evitará que esto suceda. Incluso compartir conmutadores con tráfico de red regular evitará la falta de coincidencia de MTU, ya que solo aumentaría la MTU en los conmutadores que tienen tráfico iSCSI, no en los conmutadores conectados.

Probablemente podría enumerar más razones, pero creo que es suficiente para tener una idea. No mezcle el tráfico iSCSI con ningún otro tipo de tráfico en los mismos puertos. Si tiene conmutadores decentes, continúe y comparta la estructura del conmutador con otro tráfico, pero mantenga iSCSI en puertos separados en VLAN separadas.

Porque no hacerlo permite que el tráfico regular afecte el tráfico de almacenamiento, lo cual es una mala idea, ya que significa que la descarga de un usuario podría retrasar una lectura o escritura importante.

No desea que los efectos secundarios del tráfico perturben su acceso a SAN. Tenemos un pequeño entorno VMWare VSphere donde al principio teníamos tráfico VMotion e iSCSI que pasaba por los mismos conmutadores en la misma red. Diferentes adaptadores de red, pero la misma red. Un error en ESXi 5.0 hizo que los hosts perdieran aleatoriamente el acceso a la SAN iSCSI cada vez que una acción VMotion más larga que utilizaba más de 1 adaptador de red estaba activa. Dependiendo de la solución SAN y de los clientes iSCSI utilizados, puede esperar todo tipo de comportamiento divertido cuando mezcla tráfico. Por supuesto, también puede funcionar sin ningún problema, pero eso generalmente solo dura hasta el día en que sus colegas están de vacaciones y de repente se desata el infierno.

Otro problema cuando tiene sistemas SAN iSCSI en su red predeterminada: alguien podría usar una dirección IP asignada a su nodo SAN. Eso probablemente no sucedería por accidente, pero alguien que intente meterte a ti o a la empresa en problemas podría escanear tu red, descubrir la SAN y usar cualquier dispositivo habilitado para IP para hacer que tu SAN desaparezca mágicamente.