Por que o tráfego iscsi deve ser isolado?

Por que o tráfego iscsi SAN deve ser isolado? Estou tentando explicar ao meu funcionário da rede por que devemos isolar o tráfego.

Porque:

• Coisas muito, muito ruins acontecerão se alguém obtiver acesso não autorizado à sua rede de armazenamento
• Coisas muito, muito ruins acontecerão se você não tiver o tráfego iSCSI separado e alguém achar uma boa ideia mexer com a topologia STP em um switch de borda, com o resultado de toda a sua rede E do seu subsistema de armazenamento caindo ao mesmo tempo
• Coisas muito, muito ruins acontecerão se o design da rede iSCSI não for feito com cuidado. Mantê-lo em VLANs isoladas torna muito mais difícil fazer algo bobo, como tentar transportar tráfego iSCSI através de um roteador ou firewall (não deve haver roteadores ou firewalls em uma rede iSCSI)
• Coisas muito ruins acontecerão se o administrador de armazenamento / virtualização quiser implementar jumbo-frames e seu administrador de rede não quiser implementar jumbo-frames. Manter o iSCSI separado em switches dedicados impedirá que isso aconteça. Mesmo o compartilhamento de switches com tráfego de rede regular evitará a incompatibilidade da MTU, pois você aumentaria a MTU apenas nos switches que possuem tráfego iSCSI - e não nos switches conectados.

Eu provavelmente poderia listar mais razões, mas acho que é suficiente para ter uma idéia. Não misture tráfego iSCSI com qualquer outro tipo de tráfego nas mesmas portas. Se você tiver comutadores decentes, vá em frente e compartilhe a estrutura do comutador com outro tráfego, mas mantenha o iSCSI em portas separadas em VLANs separadas.

Como isso não é permitido, o tráfego regular afeta o tráfego de armazenamento, o que é uma má idéia, pois significa que o download de um usuário pode atrasar uma leitura ou gravação importante.

Você não deseja que efeitos colaterais do tráfego atrapalhem o seu acesso à SAN. Temos um pequeno ambiente VMWare VSphere, no qual inicialmente tivemos tráfego VMotion e iSCSI passando pelos mesmos comutadores na mesma rede. Adaptadores de rede diferentes, mas a mesma rede. Um bug no ESXi 5.0 fazia os hosts perderem aleatoriamente o acesso à SAN iSCSI sempre que uma ação VMotion mais longa que usava mais de 1 adaptador de rede estava ativa. Dependendo da solução SAN e dos clientes iSCSI usados, você pode esperar todo tipo de comportamento engraçado ao misturar tráfego. É claro que também pode funcionar sem nenhum problema, mas isso geralmente dura apenas até aquele dia em que seus colegas estão de férias e de repente o inferno se abre.

Outro problema quando você tem sistemas SAN iSCSI em sua rede padrão: alguém pode usar um endereço IP atribuído ao seu nó SAN. Provavelmente isso não aconteceria por acidente, mas alguém que tentasse causar problemas para você ou a empresa poderia verificar sua rede, descobrir a SAN e usar qualquer dispositivo habilitado para IP para fazer sua SAN desaparecer magicamente.