JP2002318725A - ディスクアレイシステム - Google Patents

ディスクアレイシステム

Info

Publication number
JP2002318725A
JP2002318725A JP2001121970A JP2001121970A JP2002318725A JP 2002318725 A JP2002318725 A JP 2002318725A JP 2001121970 A JP2001121970 A JP 2001121970A JP 2001121970 A JP2001121970 A JP 2001121970A JP 2002318725 A JP2002318725 A JP 2002318725A
Authority
JP
Japan
Prior art keywords
address
disk array
transfer
host
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001121970A
Other languages
English (en)
Other versions
JP3972596B2 (ja
Inventor
Akihiro Mannen
暁弘 萬年
Ikuya Yagisawa
育哉 八木沢
Yasuyuki Ajimatsu
康行 味松
Naoto Matsunami
直人 松並
Kenji Muraoka
健司 村岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2001121970A priority Critical patent/JP3972596B2/ja
Publication of JP2002318725A publication Critical patent/JP2002318725A/ja
Application granted granted Critical
Publication of JP3972596B2 publication Critical patent/JP3972596B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】iSCSI技術でネットワークに接続されるデ
ィスクアレイにおいて、従来のLUNセキュリティと同
等のセキュリティ機能を実現する。 【解決手段】ディスクアレイ内部に複数のIPアドレス
を保持する手段と、IPアドレスとLUを対応付ける手
段と、転送に使われるIPアドレスを見て転送をフィル
タリングする手段を設け、管理端末によりIPアドレス
とLUの対応付け、およびIPアドレスの組による転送
の許可/不許可を設定することにより、ディスクアレイ
およびルータ上でLUに対応するIPアドレスによる転
送フィルタリングを実現する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は主として、コンピュ
ータシステムの記憶システムとして用いられるディスク
アレイシステムのための制御方式に係わり、特にディス
クアレイシステムのアクセスセキュリティに関する。
【0002】
【従来の技術】ディスクアレイシステムは、RAID
(Redundant Arrays of Inexpensive Disks)とも呼ば
れ、複数のディスク装置をアレイ状に配置した構成をと
り、ホストからのリード要求(データの読み出し要求)
およびライト要求(データの書き込み要求)をディスク
の並列動作によって高速に処理するとともに、データに
冗長データを付加することによって信頼性を向上させた
記憶装置である。ディスクアレイシステムは、冗長デー
タの種類と構成により5つのレベルに分類されている
(論文:"A Case for Redundant Arrays of Inexpensiv
e Disks(RAID)", David A.Patterson, Garsh Gibson, a
nd Randy H.Katz, Computer Science DivisionDepartme
nt of Electrical Engineering and Computer Science
s, Universityof California Berkeley ACM SIGMOD pp.
109−116 1988)。
【0003】ディスクアレイシステムは複数のディスク
からなるディスク群を備えている。上記のようなディス
クアレイを実現するためには、ホストからのリード/ラ
イト要求を各ディスクへのリード/ライト要求に変換
し、ライト時にはデータを各ディスクへ分散し、リード
時には各ディスクからデータを集合するデータ分散・集
合制御を行う必要がある。このような制御をディスクア
レイ制御と呼ぶこととする。
【0004】ホストからのリード/ライト要求は、一般
的にLU(Logical Unit)と呼ばれる論理ユニット単位
で行われる。
【0005】ホストとディスクアレイを接続するインタ
フェースは、メインフレームとの接続では専用インタフ
ェースが、オープンシステムとの接続ではSCSI(Sm
allComputer System Interface)やファイバチャネルが
用いられてきた。ところが、近年インターネットにより
爆発的に普及した、IP(Internet Protocol)をプロ
トコルとして用いたネットワークでストレージを接続し
たいという要求が高まっており、IP上にSCSIのプ
ロトコルを載せるiSCSI(Internet SCSI)という
規格がIETF(Internet Engineering Task Force)
において検討され、2000年6月の時点でInternet−
Draftとしてdraft−satran−iscsi−01.txt が公開され
ている。
【0006】iSCSIを一例とするIPストレージ技
術により、IPネットワークにストレージデバイスが直
接接続可能になると、ディスクアレイシステムを含むス
トレージデバイスへのアクセス性は飛躍的に向上する。
【0007】
【発明が解決しようとする課題】iSCSI技術によ
り、IPネットワークにディスクアレイシステムが直接
接続され、IPネットワーク上の計算機からディスクア
レイシステムが簡単にアクセス可能になると、それだけ
不正アクセスの機会も増大することとなり、不正アクセ
スを防ぐセキュリティ機能が重要となる。
【0008】ファイバチャネルで構成されSAN(Stor
age Area Network)と呼ばれるストレージ専用のネット
ワークでホストおよびディスクアレイシステムが接続さ
れていた時には、あるLUに対してあらかじめ設定して
おいたホスト以外からのアクセスを不正アクセスとみな
して受け付けないLUNセキュリティ機能を使用してデ
ータ転送におけるセキュリティを高めていた。LUNセ
キュリティ機能については、特開平10−333839
号公報において開示されている。
【0009】ところが、iSCSI技術により、SCS
IのプロトコルがIPの内部にカプセル化されてしまう
と、ネットワーク上を流れるIPのパケットを見ただけ
では単純にLUを特定することができなくなる。アクセ
ス先のLUおよびアクセス元のホストを特定する為に
は、IPパケットの中にあるTCPパケットのさらに中
にあるiSCSIのパケットを解析する必要があり、i
SCSIによってディスクアレイシステムをIPネット
ワークに接続した場合、従来と同様のLUNセキュリテ
ィ機能を実現するのが難しくなるという課題がある。
【0010】また、IPネットワークでは、各ネットワ
ークを相互接続するルータにさまざまなセキュリティ機
能が実装されている。しかしながらそれらの機能はIP
を前提としたものであり、そのままではディスクアレイ
システムのセキュリティに使用することはできない。
【0011】本発明の目的は、iSCSI技術でIPネ
ットワークに接続されるディスクアレイにおいて、IP
アドレスを用いて従来のLUNセキュリティと同等のセ
キュリティ機能を実現することにある。
【0012】本発明のさらにもう1つの目的は、従来の
ルータに手を加えることなく、ルータでLUNセキュリ
ティと同等のセキュリティを実現することにある。
【0013】
【課題を解決するための手段】前記目的を達成する為
に、本発明は、アレイ上に配置した複数のディスク装置
を有するアレイ型ディスクシステムにおいて、IPネッ
トワークに接続されiSCSIプロトコルを解するネッ
トワークインタフェースと、ディスクアレイ制御を行う
ディスクアレイコントローラに加えて、1つのネットワ
ークインタフェースに複数のIPアドレスを保持する手
段と、IPアドレスとディスクアレイ内部のLUを対応
付けて管理する手段と、あらかじめ与えられた設定に基
づき転送元と転送先のIPアドレスの組によりその転送
が不正な転送であるかを判断しフィルタリングする手段
を設ける。
【0014】また、従来アレイ型ディスクシステムを管
理していた管理端末に、ディスクアレイ管理機能の他
に、ディスクアレイが保持する複数のIPアドレスとL
Uとを対応付けマッピングし結果をディスクアレイに通
知する機能と、どのホストがどのLUにアクセス可能で
あるかを対応付け、それをIPアドレスレベルで管理
し、アクセス可能であるホストとLUのIPアドレスの
組をネットワークルータやディスクアレイに設定する機
能を設ける。
【0015】これによりディスクアレイは、正当な転送
のIPアドレスの組を知ることができるので、内部に設
けた不正な転送をフィルタリングする手段により、不正
なIPの組による転送を破棄することができる。LUを
IPアドレスと対応付けているので、これは従来のLU
Nセキュリティと同等のセキュリティ機能である。
【0016】同様にネットワークルータは、正当な転送
のIPアドレスの組を知ることができるので、従来から
持っているパケットフィルタリングの機能により、不正
なIPの組による転送を破棄することができる。LUを
IPアドレスと対応付けているので、これは従来のLU
Nセキュリティと同等のセキュリティ機能である。さら
にディスクアレイ外部のネットワークルータ上で不正な
転送を破棄することができるという効果がある。
【0017】
【発明の実施の形態】以下、本発明の実施の形態を、詳
細に説明する。
【0018】まず、本発明の実施形態の構成を図1を用
いて説明する。
【0019】図1において、ホストA100、ホストB
110、ホストC120、ホストD130は、ディスク
アレイ200に対してリード/ライト要求を出し、デー
タの入出力を行うホストである。200は本発明におけ
るディスクアレイ、300はネットワークを相互に接続
する装置であるルータ、400はネットワークおよびデ
ィスクアレイ200の管理端末である。ネットワークA
500とネットワークB510はそれぞれ独立したネッ
トワークであり、ルータ300により相互に接続されて
いる。ホストA100およびホストB110は、ネット
ワークA500上に存在しているが、ルータ300を介
することにより、ネットワークB510上に存在するデ
ィスクアレイ200へアクセス可能となっている。ネッ
トワークA500とネットワークB510は、プロトコ
ルとしてIPを用いるネットワークである。
【0020】図2に本発明におけるディスクアレイの内
部ブロック図を示す。ディスクアレイ200は、IPネ
ットワークに接続されiSCSIプロトコルを解するネ
ットワークインタフェース210と、複数IPアドレス
保持手段212と、IPアドレス−LUN対応付け手段
214と、IPフィルタリング手段216と、ディスク
アレイコントローラ220と、ディスク装置群230と
を備えている。ディスクアレイコントローラ220は、
ホストとのデータ入出力の制御、ディスクアレイ特有の
データ分割/統合の制御、ディスク装置群とのデータの
入出力の制御を含むディスクアレイ制御を行う部位であ
り、ディスクアレイを制御するプログラム蓄えるメモリ
222と、プログラムを実行しディスクアレイ全体の制
御を行うMPU224と、ホストとディスク装置群間の
データ転送を一時バッファリングするディスクキャッシ
ュ226とを備えている。ディスク装置群230は、ア
レイ上に配された複数ディスク装置によって構成されて
いる。
【0021】本実施形態においては、単体ディスクある
いは複数ディスクのRAIDにより構成された論理ユニ
ットLU0−232、LU1−234、LU2−23
6、LU3−238を備えるものとする。
【0022】次に、本発明の特徴である複数IPアドレ
ス保持手段212、IPアドレス−LUN対応付け手段
214、IPフィルタリング手段216について説明す
る。従来は通常、一つのネットワークインタフェースに
は一つのIPアドレスのみを割り当てていた。これは、
複数IPアドレスに対応していないネットワーク機器が
多く、一つのネットワークインタフェースに複数のIP
アドレスを割り当てて運用することが難しかったためで
ある。しかしながら、一つのネットワークインタフェー
スに複数のIPアドレスを割り当てることを前提とする
IPv6が普及することにより、この問題は解消され
る。本発明のディスクアレイ200は、複数IPアドレ
ス保持手段212を持つことにより、ネットワークイン
タフェース210に複数のIPアドレスを割り当てるこ
とを可能としている。IPアドレス−LUN対応付け手
段214は、ネットワーク識別子であるIPアドレス
と、ディスクアクセスの論理的な単位であり実質的なデ
ィスク識別子であるLUN(LU Number)の対
応付けを行う。本実施形態では、IPアドレス何番をど
のLUNに対応させるかという対応付け自体はシステム
管理者が行い、管理端末400を介して対応付けの結果
がIPアドレス−LUN対応付け手段214に通知され
る。この対応付けは、図4のようなIPアドレス−LU
Nマッピングテーブル500をもって管理される。
【0023】IPアドレスとLUNの対応付けの一例を
図4のIPアドレス−LUNマッピングテーブル500
に示す。ここで、IPアドレスは本来ならばネットワー
クアドレスとしての意味を持った長い数字列であるが、
本実施形態においては説明のために4桁の数字列として
IPアドレスを表すものとする。IPアドレス−LUN
マッピングテーブル500では、IPアドレス510と
LU番号520を対応付けている。ここに表されている
例では、IPアドレス”0000”とLU番号”LU
0”が対応付けられ、同様に”0001”と”LU1”
が、”0002”と”LU2”が、”0002”と”L
U3”が対応付けられている。ここでLU2とLU3は
同じIPアドレス”0002”に対応付けられている
が、これは論理ユニットとしては別のLUであるが、ネ
ットワーク的には同じ条件でアクセスされるLUの組で
あるため、同じIPアドレスを割り振っているからであ
る。これは例えば、LU2がRAID1で構成され高速
なアクセスが可能となっており、LU3がRAID5で
構成されていて、LU2、LU3ともに同じホストから
アクセスされるが高速なアクセスが必要な時はLU2
が、通常はLU3が使用されるというように使用用途に
よりLUを区別してアクセスするような場合に有効であ
る。
【0024】図2に戻って、IPフィルタリング手段2
16は、通常のルータに実装されているパケットフィル
タリング機能の内の一機能、IPパケットを調べ転送元
IPアドレスと転送先IPアドレスの組があらかじめ設
定されている組であればその転送を正当なものとし、設
定されていない組であった場合には不正な転送であると
判断してその転送を無効とする、IPアドレスによるフ
ィルタリング機能を実現する。正当なIPアドレスの組
は、システム管理者が管理端末400のIPアドレスセ
キュリティ設定機能416を介してIPフィルタリング
手段216に設定する。
【0025】図3に、本発明における管理端末400の
ブロック図を示す。管理端末400は、内部に管理ソフ
ト410を持っており、これによってさまざまな管理を
実現するが、本実施形態においては管理ソフト410内
に従来持っているディスクアレイ管理機能412に加え
て、IPアドレス−LUNマッピング機能414、IP
アドレスセキュリティ設定機能416を備える。ディス
クアレイ管理機能412は、ディスクアレイ200と通
信し、LU作成やLU開放等の支持を与えてディスクア
レイ200を管理するプログラムである。IPアドレス
−LUNマッピング機能は、図4に示すIPアドレス−
LUNマッピングテーブル500を持ち、実際のIPア
ドレス510とLU番号520の対応付けを行う。IP
アドレス−LUNマッピング機能414が行ったIPア
ドレスとLU番号の対応付けを、ディスクアレイ200
内部のIPアドレス−LUN対応付け手段に伝えること
により、ディスクアレイ200でも同じ対応付けが行わ
れる。IPアドレスセキュリティ設定機能416は、図
5に示すようなアクセス可能LU対応テーブル600を
持ち、このテーブルから得られるアクセス可能なホスト
とLUの組をルータ300およびディスクアレイ200
内部のIPフィルタリング手段216に設定することに
より、IPアドレスの組によるフィルタリング機能を実
現する。
【0026】図5に示すアクセス可能LU対応テーブル
600は、ホスト610、そのホストのIPアドレスを
表すホストIPアドレス620、そのホストがアクセス
することが可能なLUを表すアクセス可能LU630、
そのLUに対応するIPアドレスを表すLU対応IPア
ドレス640の項目を持つテーブルである。図5の例で
は、ホストAはIPアドレス”0100”を持ち、IP
アドレス”0000”に対応付けられたLU0にアクセ
ス可能であることを示している。同様にホストBはIP
アドレス”0110”を持ち、IPアドレス”000
2”に対応付けられたLU2およびLU3にアクセス可
能である。このようにホストが複数のLUにアクセス可
能の場合は、そのホストがテーブルの複数の行を占める
ことになる。
【0027】次に、本実施形態における動作について説
明する。まず初めに、システム管理者が、あるホストに
はどのくらいのディスク容量が必要か、どのホストから
どのくらいのアクセスが予測されるか等のシステム設計
を元に、管理端末400のディスクアレイ管理機能41
2を用いて、RAID構成、容量等を指定して、ディス
クアレイ200内にLUを作成する。ここで従来と異な
るのは、システム管理者はLUを作成する際にそのLU
に対応付け、ネットワークからアクセスする際の識別子
になるIPアドレスを指定することである。指定された
IPアドレスはIPアドレス−LUNマッピング機能4
14によりLUと対応付けられ、IPアドレス−LUN
対応付け手段214にその対応付けが通知される。ま
た、そのLUをアクセスするホストに対して、対応付け
たIPアドレスが通知される。ホストはそのLUをアク
セスする際には、対応付けられたIPアドレスを転送先
に指定してアクセスを行う。
【0028】本実施形態では、LU0−232、LU1
−234、LU2−236、LU3−238の4つのL
Uを作成し、それぞれにIPアドレス”0000”、”
0001”、”0002”、”0002”を対応付ける
こととする。この対応付けは、図4のIPアドレス−L
UNマッピングテーブル500に表される。LU2とL
U3は例えばRAID1とRAID5で構成される別L
Uであるが、ネットワーク的には同等のアクセスがされ
る組であるため、同じIPアドレスに対応付けている。
【0029】IPアドレス−LUNマッピングテーブル
500は、IPアドレス−LUNマッピング機能414
およびIPアドレス−LUN対応付け手段214が内部
に保持する。
【0030】本実施形態では、ホストA100がLU0
−232を、ホストB110がLU2−236とLU3
−238とを、ホストC120がLU1−234とLU
2−236とLU3−238とを、ホストD130がL
U1−234をアクセスするものとする。ここから、I
Pアドレスセキュリティ設定機能416は、アクセス可
能LU対応テーブル600を作成する。どのホストがど
のLUをアクセスするかという情報は、システム管理者
が入力する。図5に示されるように、ホストA100の
IPアドレスは”0100”であり、ホストB110
は”0110”、ホストC120は”0120”、ホス
トD130は”0130”のIPアドレスを持つ。シス
テム管理者は、ディスクアレイ200へアクセスするホ
ストのIPアドレスをあらかじめ知っている。アクセス
可能LU対応テーブル600は、各行の組のアクセスが
許可されていることを表している。IPアドレスセキュ
リティ設定機能416は、アクセス可能LU対応テーブ
ル600を元に、ルータ300とIPフィルタリング手
段216に対して、IPアドレス”0100”と”00
00”間の転送(ホストA100とLU0−232
間)、”0110”と”0002”間の転送(ホストB
110とLU2−236およびLU3−238間)、”
0120”と”0001”間の転送(ホストC120と
LU1−234間)、”0120”と”0002”間の
転送(ホストC120とLU2−236およびLU3−
238間)、”0130”と”0001”間の転送(ホ
ストD130とLU1−234間)を許可するように指
定する。なお、ホストC120、ホストD130、ディ
スクアレイ200はともにネットワークB510上にあ
るので、その間の転送はルータ300を介することはな
い。そのため、IPアドレス”0120”と”000
1”間の転送、”0120”と”0002”間の転
送、”0130”と”0001”間の転送については、
ルータ300に許可するように指定しなくとも良い。
【0031】IPパケットの中の転送元IPアドレスと
転送先IPアドレスを調べ、許可されていない不正な転
送をフィルタリングする機能は、従来のルータが備えて
いるパケットフィルタリングの一機能であるので、本発
明において、ルータ300には特別に新しい機能は必要
なく、従来のルータを使用可能である。
【0032】上記設定により、ホストA100がLU0
−232をアクセスする際には、転送元IPアドレス”
0100”、転送先IPアドレス”0000”のIPパ
ケットを使用する。IPアドレス”0100”と”00
00”間の転送はルータ300では許可するように設定
されているので正当な転送とみなされ、同様にディスク
アレイ200内のIPフィルタリング手段216でも正
当と判定され、通常のアクセス処理が行われる。
【0033】ここでもし、ホストB110がLU0−2
32にアクセスするために転送元IPアドレス”011
0”、転送先IPアドレス”0000”のIPパケット
を使用したとすると、IPアドレス”0110”と”0
000”間の転送はルータ300では許可されていない
ので、不正な転送とみなされ破棄される。
【0034】ホストB110がLU0−232にアクセ
スするために転送元IPアドレス”0110”、転送先
IPアドレス”0002”のIPパケットを使用したと
すると、ルータ300はIPパケット内部のLUを認識
できず、IPアドレスしか認識しないために、この不正
なパケットを通してしまうが、ディスクアレイ200内
のIPアドレス−LUN対応付け手段214のIPアド
レス−LUNマッピングテーブル500においてIPア
ドレス”0002”とLU0が対応付けられていないこ
とが判るので、ディスクアレイ200内部でこの転送を
不正な転送とみなして破棄することができる。
【0035】以上の構成、動作により本実施形態によれ
ば、iSCSI技術でIPネットワークに接続されるデ
ィスクアレイにおいて、IPパケット内の転送元IPア
ドレスと転送先IPアドレスの組により、従来のLUN
セキュリティと同等のセキュリティ機能を実現すること
ができる。
【0036】また、ネットワークを相互に接続するルー
タにおいて、同様のIPアドレスの組により、従来のL
UNセキュリティと同等のセキュリティ機能を、ディス
クアレイの外部で実現することができる。
【0037】さらに、LUごとにIPアドレスを対応付
けるということは、ホストからは複数のディスクアレイ
があるのと等価に見えるということであり、多数のディ
スクアレイがあるのと同じ環境を1つのディスクアレイ
で構築できるのでより安価であり、また一元管理が可能
となりディスクアレイの管理コストを下げる効果もあ
る。
【0038】さらに、負荷の大きいLUを別のインタフ
ェースや別装置へ移行する際に、対応付けたIPアドレ
スごと移行することが可能であり、以降後もホストから
は同じ環境でアクセス可能となり、以降を容易に実現で
きるという効果もある。
【0039】なお、本実施例では、管理端末400から
ディスクアレイ200およびルータ300への管理情報
の転送は、ネットワークB510を介して行っている
が、図6に示すようにネットワークB510ではなく、
管理端末400とディスクアレイ200を結ぶ専用線7
00および管理端末400とルータ300を結ぶ専用線
710を使用して管理情報の転送を行っても良い。専用
線700と710はたとえばシリアル通信線などで実現
できる。
【0040】また、本実施例では、LU1−234はネ
ットワークB510上のホストからしかアクセスされな
いが、この場合はLU1−234に対応するIPアドレ
ス”0001”をネットワークB510上でのみ有効な
ローカルアドレスにすれば、LU1−234に関するデ
ータ転送はルータを介して外のネットワークに出て行く
ことはなくなり、よりセキュリティ的に安全となる。
【0041】また、本実施例では、ホストがイニシエー
タになりディスクアレイをアクセスする例で説明した
が、インターネットを介した遠距離バックアップ等の為
に、ディスクアレイがイニシエータになったデータ転送
も考えられる。そのような場合には、バックアップ対象
のLUにイニシエータ用のIPアドレスを対応付けるこ
とにより、ディスクアレイ200から外部のネットワー
ク上の装置へのデータ転送においても、本実施例と同じ
くルータ300上で転送IPアドレスの組によるフィル
タリングによってセキュリティチェックを実施できる。
【0042】また、本実施形態では、ホストは単一のネ
ットワークインタフェースを持っているとして説明した
が、ホストが複数のネットワークインタフェースを持
ち、それぞれに別のIPアドレスを使用する場合でも同
様に実現できる。さらに、ホストが1つのネットワーク
インタフェースに複数のIPアドレスを割り付け、IP
アドレスごとに使用法を変える場合にも、複数のホスト
が存在するのと同様にして実現可能である。
【0043】また、本実施形態では、ディスクアレイは
単一のネットワークインタフェースを持っているとして
説明したが、ディスクアレイが複数のネットワークイン
タフェースを持ち、それぞれに別の複数IPアドレスを
使用する場合でも同様に実現できる。
【0044】また、本実施形態ではディスクアレイ20
0にIPアドレス−LUN対応付け手段214およびI
Pフィルタリング手段216を設けたが、これらを設け
ず、該当機能をMPU224およびメモリ222にて実
現しても良い。
【0045】
【発明の効果】以上述べたように、本発明によれば、デ
ィスクアレイのネットワークインタフェースに複数のI
Pアドレスを保持できる手段と、ディスクアレイ内部の
LUとIPアドレスを対応付ける手段と、IPパケット
の転送元IPアドレスと転送先IPアドレスの組を見て
転送をフィルタリングできる手段を設け、ホストとLU
の転送はLUに対応付けられたIPアドレスを転送先I
Pアドレスに指定して転送することとし、管理端末がI
PアドレスとLUNのマッピングおよびどの転送元IP
アドレスと転送先IPアドレスの組の転送が許可される
かの設定を行うことにより、ディスクアレイおよびルー
タにて転送元IPアドレスと転送先IPアドレスの組を
調べることで不正な転送を破棄できるようになり、ディ
スクアレイおよびディスクアレイの外部のルータ上で従
来のLUNセキュリティと同等のセキュリティを実現可
能であるという効果が得られる。
【図面の簡単な説明】
【図1】本発明のネットワーク構成図である。
【図2】本発明におけるディスクアレイの内部ブロック
図である。
【図3】本発明における管理端末の内部ブロック図であ
る。
【図4】IPアドレスとLUNのマッピングテーブルを
示す図である。
【図5】ホストがアクセス可能なLUのテーブルを示す
図である。
【図6】別構成のネットワーク構成図である。
【符号の説明】
100…ホストA、110…ホストB、120…ホスト
C、130…ホストD、200…ディスクアレイ、30
0…ルータ、400…管理端末、210…ネットワーク
インタフェース、212…複数IPアドレス保持手段、
214…IPアドレス−LUN対応付け手段、216…
IPフィルタリング手段。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 味松 康行 神奈川県川崎市麻生区王禅寺1099番地 株 式会社日立製作所システム開発研究所内 (72)発明者 松並 直人 神奈川県川崎市麻生区王禅寺1099番地 株 式会社日立製作所システム開発研究所内 (72)発明者 村岡 健司 神奈川県小田原市国府津2880番地 株式会 社日立製作所ストレージ事業部内 Fターム(参考) 5B017 AA07 BA01 CA07 5B065 BA01 CA30 PA12

Claims (2)

    【特許請求の範囲】
  1. 【請求項1】 アレイ状に配置した複数のディスク装置
    を有するディスクアレイシステムであって、該ディスク
    アレイシステムは、iSCSIによりホストとの入出力
    を行うネットワークインタフェースと、ディスクアレイ
    システムを制御するディスクアレイコントローラと、複
    数のIPアドレスを保持する手段と、IPアドレスと論
    理ユニットを対応付ける手段と、転送に使われるIPア
    ドレスにより該転送をフィルタリングする手段を備え、
    管理端末からの指示により論理ユニットとIPアドレス
    を対応付け、転送元IPアドレスと転送先IPアドレス
    の組により転送フィルタリングを行うことを特徴とする
    ディスクアレイシステム。
  2. 【請求項2】 請求項1記載のディスクアレイシステム
    と、ディスクアレイシステムを管理する管理端末と、ネ
    ットワークを相互に接続するルータとを備えたネットワ
    ークシステムにおいて、該管理端末からの指示によりル
    ータ上で転送元IPアドレスと転送先IPアドレスの組
    により転送フィルタリングを行うことにより、論理ユニ
    ットに対応した転送フィルタリングを行うことを特徴と
    するネットワークシステム。
JP2001121970A 2001-04-20 2001-04-20 ディスクアレイシステム Expired - Fee Related JP3972596B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001121970A JP3972596B2 (ja) 2001-04-20 2001-04-20 ディスクアレイシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001121970A JP3972596B2 (ja) 2001-04-20 2001-04-20 ディスクアレイシステム

Publications (2)

Publication Number Publication Date
JP2002318725A true JP2002318725A (ja) 2002-10-31
JP3972596B2 JP3972596B2 (ja) 2007-09-05

Family

ID=18971751

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001121970A Expired - Fee Related JP3972596B2 (ja) 2001-04-20 2001-04-20 ディスクアレイシステム

Country Status (1)

Country Link
JP (1) JP3972596B2 (ja)

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006146767A (ja) * 2004-11-24 2006-06-08 Hitachi Ltd Ip−sanネットワークフィルタ定義作成方法およびフィルタ定義設定方法
JP2006268420A (ja) * 2005-03-24 2006-10-05 Nec Corp ディスクアレイ装置、ストレージシステムおよび制御方法
US7127543B2 (en) 2003-11-27 2006-10-24 Hitachi, Ltd. Access control apparatus and access control method
JP2007065712A (ja) * 2005-08-29 2007-03-15 Nippon Telegr & Teleph Corp <Ntt> iSCSI自動接続方法及びシステム
JP2007188518A (ja) * 2007-02-27 2007-07-26 Oracle Internatl Corp データベースへのアクセスを制御するための異なったデータベースサーバ間のデータベースのオーナーシップのパーティション化
US7369570B2 (en) 2003-03-03 2008-05-06 Nec Corporation iSCSI apparatus and communication control method for the same
US7386622B2 (en) 2003-10-01 2008-06-10 Hitachi, Ltd. Network converter and information processing system
US7649880B2 (en) 2002-11-12 2010-01-19 Mark Adams Systems and methods for deriving storage area commands
US7688814B2 (en) 2002-11-12 2010-03-30 Charles Frank Methods of conveying information using fixed sized packets
US7702850B2 (en) 2005-03-14 2010-04-20 Thomas Earl Ludwig Topology independent storage arrays and methods
US7720058B2 (en) 2002-11-12 2010-05-18 Charles Frank Protocol adapter for electromagnetic device elements
US7743214B2 (en) 2005-08-16 2010-06-22 Mark Adams Generating storage system commands
WO2010113491A1 (ja) 2009-03-31 2010-10-07 パナソニック株式会社 データ転送方法
US7924881B2 (en) 2006-04-10 2011-04-12 Rateze Remote Mgmt. L.L.C. Datagram identifier management
US8005918B2 (en) 2002-11-12 2011-08-23 Rateze Remote Mgmt. L.L.C. Data storage devices having IP capable partitions
US8041890B2 (en) 2006-04-19 2011-10-18 Hangzhou H3C Technologies Co., Ltd. Method for accessing target disk, system for expanding disk capacity and disk array
JP2012501012A (ja) * 2008-08-22 2012-01-12 インテル コーポレイション 統合マルチ転送媒体コネクタ・アーキテクチャ
JP2012226585A (ja) * 2011-04-20 2012-11-15 Nec Corp 共有ディスク装置のバックアップ・リストア方法及びその装置
US8387132B2 (en) 2005-05-26 2013-02-26 Rateze Remote Mgmt. L.L.C. Information packet communication with virtual objects
US8782321B2 (en) 2012-02-08 2014-07-15 Intel Corporation PCI express tunneling over a multi-protocol I/O interconnect
US8819092B2 (en) 2005-08-16 2014-08-26 Rateze Remote Mgmt. L.L.C. Disaggregated resources and access methods
US9141132B2 (en) 2011-12-27 2015-09-22 Intel Corporation Multi-protocol I/O interconnect time synchronization
US9270532B2 (en) 2005-10-06 2016-02-23 Rateze Remote Mgmt. L.L.C. Resource command messages and methods
US9600060B2 (en) 2012-03-29 2017-03-21 Intel Corporation Link power management in an I/O interconnect

Cited By (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7688814B2 (en) 2002-11-12 2010-03-30 Charles Frank Methods of conveying information using fixed sized packets
US8473578B2 (en) 2002-11-12 2013-06-25 Rateze Remote Mgmt, L.L.C. Data storage devices having IP capable partitions
US8694640B2 (en) 2002-11-12 2014-04-08 Rateze Remote Mgmt. L.L.C. Low level storage protocols, systems and methods
US8005918B2 (en) 2002-11-12 2011-08-23 Rateze Remote Mgmt. L.L.C. Data storage devices having IP capable partitions
US7916727B2 (en) 2002-11-12 2011-03-29 Rateze Remote Mgmt. L.L.C. Low level storage protocols, systems and methods
US7720058B2 (en) 2002-11-12 2010-05-18 Charles Frank Protocol adapter for electromagnetic device elements
US7698526B2 (en) 2002-11-12 2010-04-13 Charles Frank Adapted disk drives executing instructions for I/O command processing
US7649880B2 (en) 2002-11-12 2010-01-19 Mark Adams Systems and methods for deriving storage area commands
US7369570B2 (en) 2003-03-03 2008-05-06 Nec Corporation iSCSI apparatus and communication control method for the same
US7386622B2 (en) 2003-10-01 2008-06-10 Hitachi, Ltd. Network converter and information processing system
US7127543B2 (en) 2003-11-27 2006-10-24 Hitachi, Ltd. Access control apparatus and access control method
JP4550557B2 (ja) * 2004-11-24 2010-09-22 株式会社日立製作所 フィルタ定義管理方法、フィルタ定義管理装置、および、ストレージエリアネットワーク
JP2006146767A (ja) * 2004-11-24 2006-06-08 Hitachi Ltd Ip−sanネットワークフィルタ定義作成方法およびフィルタ定義設定方法
US7702850B2 (en) 2005-03-14 2010-04-20 Thomas Earl Ludwig Topology independent storage arrays and methods
JP2006268420A (ja) * 2005-03-24 2006-10-05 Nec Corp ディスクアレイ装置、ストレージシステムおよび制御方法
US8387132B2 (en) 2005-05-26 2013-02-26 Rateze Remote Mgmt. L.L.C. Information packet communication with virtual objects
US8726363B2 (en) 2005-05-26 2014-05-13 Rateze Remote Mgmt, L.L.C. Information packet communication with virtual objects
US8819092B2 (en) 2005-08-16 2014-08-26 Rateze Remote Mgmt. L.L.C. Disaggregated resources and access methods
USRE48894E1 (en) 2005-08-16 2022-01-11 Rateze Remote Mgmt. L.L.C. Disaggregated resources and access methods
USRE47411E1 (en) 2005-08-16 2019-05-28 Rateze Remote Mgmt. L.L.C. Disaggregated resources and access methods
US7743214B2 (en) 2005-08-16 2010-06-22 Mark Adams Generating storage system commands
JP2007065712A (ja) * 2005-08-29 2007-03-15 Nippon Telegr & Teleph Corp <Ntt> iSCSI自動接続方法及びシステム
US11848822B2 (en) 2005-10-06 2023-12-19 Rateze Remote Mgmt. L.L.C. Resource command messages and methods
US11601334B2 (en) 2005-10-06 2023-03-07 Rateze Remote Mgmt. L.L.C. Resource command messages and methods
US9270532B2 (en) 2005-10-06 2016-02-23 Rateze Remote Mgmt. L.L.C. Resource command messages and methods
US7924881B2 (en) 2006-04-10 2011-04-12 Rateze Remote Mgmt. L.L.C. Datagram identifier management
US8041890B2 (en) 2006-04-19 2011-10-18 Hangzhou H3C Technologies Co., Ltd. Method for accessing target disk, system for expanding disk capacity and disk array
JP4664931B2 (ja) * 2007-02-27 2011-04-06 オラクル・インターナショナル・コーポレイション データベースへのアクセスを制御するための異なったデータベースサーバ間のデータベースのオーナーシップのパーティション化
JP2007188518A (ja) * 2007-02-27 2007-07-26 Oracle Internatl Corp データベースへのアクセスを制御するための異なったデータベースサーバ間のデータベースのオーナーシップのパーティション化
JP2012501012A (ja) * 2008-08-22 2012-01-12 インテル コーポレイション 統合マルチ転送媒体コネクタ・アーキテクチャ
US9047222B2 (en) 2008-08-22 2015-06-02 Intel Corporation Unified multi-transport medium connector architecture
US8700821B2 (en) 2008-08-22 2014-04-15 Intel Corporation Unified multi-transport medium connector architecture
WO2010113491A1 (ja) 2009-03-31 2010-10-07 パナソニック株式会社 データ転送方法
JP2012226585A (ja) * 2011-04-20 2012-11-15 Nec Corp 共有ディスク装置のバックアップ・リストア方法及びその装置
US9141132B2 (en) 2011-12-27 2015-09-22 Intel Corporation Multi-protocol I/O interconnect time synchronization
US9164535B2 (en) 2011-12-27 2015-10-20 Intel Corporation Multi-protocol I/O interconnect time synchronization
US9934181B2 (en) 2012-02-08 2018-04-03 Intel Corporation PCI express tunneling over a multi-protocol I/O interconnect
US8782321B2 (en) 2012-02-08 2014-07-15 Intel Corporation PCI express tunneling over a multi-protocol I/O interconnect
US10387348B2 (en) 2012-02-08 2019-08-20 Intel Corporation PCI express tunneling over a multi-protocol I/O interconnect
US10884965B2 (en) 2012-02-08 2021-01-05 Intel Corporation PCI express tunneling over a multi-protocol I/O interconnect
US9600060B2 (en) 2012-03-29 2017-03-21 Intel Corporation Link power management in an I/O interconnect

Also Published As

Publication number Publication date
JP3972596B2 (ja) 2007-09-05

Similar Documents

Publication Publication Date Title
JP3972596B2 (ja) ディスクアレイシステム
US7039662B2 (en) Method and apparatus of media management on disk-subsystem
US8006310B2 (en) Disk control unit
US7366808B2 (en) System, method and apparatus for multiple-protocol-accessible OSD storage subsystem
JP5059974B2 (ja) クラスタ共有ボリューム
US8402239B2 (en) Volume management for network-type storage devices
US6295575B1 (en) Configuring vectors of logical storage units for data storage partitioning and sharing
JP4859471B2 (ja) ストレージシステム及びストレージコントローラ
US7930487B1 (en) System and method for providing access control to raw shared devices
US6260120B1 (en) Storage mapping and partitioning among multiple host processors in the presence of login state changes and host controller replacement
US6421711B1 (en) Virtual ports for data transferring of a data storage system
JP5124103B2 (ja) 計算機システム
US7984133B2 (en) Computer and access control method in a computer
US7395393B2 (en) Storage control system
US8099624B1 (en) Recovery mechanism for I/O module using out-of-band control path
JP2006048313A (ja) 複数の管理者から管理されるストレージシステムの管理方法
JP4175083B2 (ja) 記憶装置の管理用計算機、およびプログラム
US6810396B1 (en) Managed access of a backup storage system coupled to a network
US9740649B2 (en) Systems, devices, apparatus, and methods for identifying stored data by a device located in a path between virtual Fibre channel switches and performing a data management service
US20080209025A1 (en) Storage system, information processing apparatus, and connection method
JP4484597B2 (ja) ストレージ装置及びストレージ装置の排他制御方法
US6981170B2 (en) Control method of storage control apparatus and storage control apparatus
US7870239B1 (en) Method and system for securing network access to dynamically updateable data stored in a data storage system
US7752316B1 (en) Method and system for securing network access to data stored in a data storage system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040902

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20060418

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070425

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070522

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070604

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100622

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100622

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110622

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110622

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120622

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120622

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130622

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees