我在 MPIO 配置中的一组隔离交换机上设置了 iSCSI。文件服务器 VM 使用主机上的所有 4 个端口。2 个用于 iSCSI MPIO,每个都插入仅连接 NAS 的物理隔离交换机,2 个用于 LAN 的绑定端口插入服务器子网交换机。我们有一个第 3 层核心交换机。防火墙最终会接收所有通过端口 445 寻找 iSCSI 子网上的文件服务器的工作站的流量并将其丢弃。工作站甚至不应该知道这些子网的存在,更不用说尝试连接到它们上的主机了。我的配置中做错了什么?iscsi 以太网端口仅配置了 IP 和掩码,没有网关或 DNS。接口配置为不向 DNS 注册。没有具有这些 IP 地址的 DNS 条目。
- 服务器:10.0.0.x
- 工作站:10.0.3.x
- iSCSI:10.0.1.x;10.0.2.x(物理隔离)
答案1
在适配器属性中,我删除了Client for Microsoft Networks和File and Printer Sharing for Microsoft Networks以及IPv6。尽管网络是隔离的,但文件共享服务一定出于某种原因将这些 IP 共享给客户端。进行此更改后,防火墙不再丢弃数据包,并且隔离的 iSCSI 网络不需要这些服务。
答案2
服务器已向 DNS 注册了 iSCSI 接口的 IP 地址。在 iSCSI 接口的适配器属性中,将其关闭并从 DNS 中删除条目。