No momento, estamos executando o iscsi em uma rede aberta e gostaríamos de migrar nosso iscsi para uma vlan separada. Ao ler a documentação, isso não parece ser possível. Em vez disso, o iet / iscsitarget parece anunciar o serviço em todos os IPs do destino iscsi. Já que nem todos esses endereços IP estão disponíveis em nossos iniciadores iscsi. O que, por sua vez, interrompe nosso autostartup de xen durante a inicialização (tempo limite muito longo).
Restringir a sub-rede em /etc/iet/initiators.allow e negar tudo em /etc/iet/initiators.deny não parece ter o efeito desejado:
# /etc/iet/initiators.allow
ALL 192.168.50.0/24
ALL 192.168.51.0/24
# /etc/iet/initiators.deny
ALL ALL
Acredito que você possa vincular seu destino IET a uma interface específica (por exemplo, sua interface iSCSI VLAN) fornecendo o parâmetro -a <IPaddress> na inicialização.
Definindo rp_filter e / ou empregando regras de iptables (mais caro, mas necessário se você tiver o roteamento ativado para o seu sub-rede iscsi) deve garantir que os hosts não consigam alcançar o endereço de destino da VLAN iSCSI por meio de outras interfaces ou de outras sub-redes.