我认为 2 个专用网络是做到这一点的正确方法。第二个网络就像大家所说的 SAN，除了它是带有 iSCSI 等的以太网，而不是 FC。

示例设置：

您的防火墙有一个公共 IP 和一个私有 IP (10.10.0.1/24)。它使用 SNAT 将私有机器转换为互联网公共 IP。

您所有的机器都有内部 IP（10.10.0.0/24），包括管理程序、存储服务器等（因此您可以管理它们）。默认网关是 10.10.0.1。

管理程序和存储服务器也有一个单独的专用存储/迁移子网 (10.100.0.0/24)，它没有路由、NAT 或桥接到第一个子网，并且没有静态路由或网关（可能没有 dns、dhcp ， ETC。）。将这个分开很好的一个原因是，您可以提高 MTU 而不必担心某些不支持 9000 MTU 的随机桌面机器等的硬件支持。

如果您的存储是一个集群，那将是相同的（与主网络的许多连接，以及与存储网络的许多连接）。

然后虚拟机将无法访问存储网络，但它们将使用来自使用存储网络的管理程序的存储。（所以我不喜欢您将虚拟机连接到存储的左侧图表。）

要将它们分开，您可以使用 VLAN（共享交换机或其他硬件）或不同的硬件（但单独的硬件也应该有一些管理员访问权限，也许可以通过简单的 VLAN 将其加入其他东西；不要桥接它们） . 即使它们是分开的，也不一定认为安全是无关紧要的；有人仍然可以将设备插入网络。

首先，我强烈建议您查看有关 Hyper-V 的这本书。具体来说，您将需要阅读有关网络的章节，高级网络小节。

其次，您肯定希望 VLAN 分离流量类型。不幸的是，您被 1 个希望与 SAN、管理和 VM 流量共享的 10GbE 适配器困住了。我要看的方法是这样的：

虚拟局域网

• Vlan 10：管理
• Vlan 11：FC 管理（如果使用故障转移集群）
• Vlan 20：SAN
• Vlan 30：虚拟机内部
• Vlan 40：VM 外部

我根本不会路由 Vlan 20。

开关设置

在交换机上，10GbE 端口将配置为中继。3 个 1GbE 端口将配置为 LACP、交换机端口访问 vlan 40。

主机 VM 交换机 #1

在每台主机上，您将向 10GbE 适配器添加一个 VM 交换机。然后，您将向此交换机添加管理操作系统 VM 网络适配器（Hyper-V 术语）。一个用于实际管理，一个用于 iSCSI（如果您使用 FC，第三个用于故障转移群集通信）。您将为每个适配器配置其自己的特定 vlan 并分配适当的 IP。

主持 LACP 团队/VM 交换机 #2

然后，您将在 Server 2012 中为您的 3 个 1GbE 端口创建一个网络团队。您将希望将 LACP 与 HyperVPort 负载平衡一起使用。在此之后，您使用此网络团队构建第二个 VM 交换机，用于 VM 的外部流量。

虚拟机网络适配器

创建虚拟机时，您可以在第二个交换机上添加一个 NIC 用于外部流量，在 Vlan 20 中的第一个交换机上添加一个 NIC 用于 SAN 流量（如果需要，尽管我推荐他们自己的用于 SAN 的 Vlan 在 SAN 盒上具有特定安全性如果这是必须的，因此他们无法修改 VM 存储）和第一个交换机上的 NIC，用于 Vlan 30 中的 VLAN 间流量。

服务质量

对于主机上的每个虚拟 NIC，您需要添加某种 QoS 以确保 SAN 流量在 10GbE 链路上具有优先权。

最后，这更多地与您的虚拟化环境的最佳实践有关，您可能希望将其移至服务器故障。