CN1467957A - 可靠的存储系统 - Google Patents
可靠的存储系统 Download PDFInfo
- Publication number
- CN1467957A CN1467957A CNA031045618A CN03104561A CN1467957A CN 1467957 A CN1467957 A CN 1467957A CN A031045618 A CNA031045618 A CN A031045618A CN 03104561 A CN03104561 A CN 03104561A CN 1467957 A CN1467957 A CN 1467957A
- Authority
- CN
- China
- Prior art keywords
- vpn
- conversion equipment
- memory device
- private network
- virtual private
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2053—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where persistent mass storage functionality or persistent mass storage control functionality is redundant
- G06F11/2094—Redundant storage or storage space
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2097—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements maintaining the standby controller/processing unit updated
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种可靠的存储系统,用于在网络上安全地访问一个存储设备,并且改进卷管理可量测性,它包含一个有着VPN功能的用户;一个SAN中的存储设备;一个有着一个用于存储容量和一个分配给该存储设备的逻辑卷的装置的管理装置;一个将用于SAN中的协议转换为用于LAN/MAN/WAN网络协议(反之亦然)的转换器;以及一个转换装置,其拥有VPN功能。设计一个VPN安装于该用户和该转换装置之间。向该转换装置在该VPN和该存储设备的一个访问范围之间提供一个映射。一个VPN标识用于识别该VPN。该逻辑卷中的一个地址用于该存储设备的访问范围。
Description
技术领域
本发明涉及一种存储系统,其中的一用户端和一存储设备通过一个网络联接。
背景技术
众所周知,SAN(存储区域网络)是一种存储系统,其中的一用户端和一存储设备通过一个网络联接。SAN包括一个SAN光纤网络,它把FC(光纤信道)协议应用于通讯。该用户端利用SCSI(小型计算机系统接口)命令来访问该存储设备。“构建存储网络第二版”(ISBN0-07-213072-5,23-30页OSBORNE公司2001年出版)中描述了SAN配置的一个范例。
为了防止一个无权的用户未经授权就得以访问,SAN应用了一种分区功能,如图27,以便在一个存储设备11中以一个FC端口12来映射一个逻辑卷13。该逻辑卷13和该FC端口62之间的映射只允许用户21访问该逻辑卷13,条件是该用户被允许联接到FC端口12。未联接到FC端口12的用户22则不能访问逻辑卷13。至于网络的种类,众所周知的有,LAN(局域网)、MAN(城域网)、和WAN(广域网)。对于这些网络,广泛地使用着一些协议,比如以太网、ATM(异步传输模式)、以及IP(互联网协议),这些商标都得以注册。众所周知的iSCSI协议是一种对直接联接到LAN/MAN/WAN或者通过SAN的存储设备的访问方式。iSCSI协议互换网络协议上的SCSI命令并启用对块单元中的存储器的访问。互联网工程任务组出版的《iSCSI》(draft-ietf-ips-iscsi)中详细描述了iSCSI协议。
为了阻挡未经授权的访问,由iSCSI指定了关于登录鉴定的协议,但却没有关于LAN/MAN/WAN上通信路径的数据保护的协议。因为不定数目的用户可能联接到网络,所以LAN/MAN/WAN网络要求有针对未经授权的访问或者信息的非法截取的对策。公知VPN(虚拟专用网络)就是一种对付未经授权的访问或信息非法截取的措施。
VPN技术提供了一种网络协议,以该协议构建一个专用网络,用于LAN网络中其他LAN/MAN/WAN网络协议的有效载荷部分。于是,VPN在诸多远程专用网络之间虚拟地产生了一个专用网络区域。当向LAN/MAN/WAN提供VPN时,相关VPN的流通信息就可以区别于其他信息。结果,就可以从终端而非VPN其他用户上杜绝未经授权的访问或信息非法截取,以此确保了安全。网络协议VPN有多种类型。不同类型的VPN并不连通。当不同的域管理相同的VPN时,连通会很困难。正因为如此,建议使用一个统一的标识,比如,VPN标识。VPN标识的概念由互联网工程任务组出版的《虚拟专用网络标识》(RFC2685)详细阐述。
iSCSI使用IPSec(互联网协议安全)作为该系统保护LAN/MAN/WAN通信路径上的数据的例子。具体指定IPSec以便把鉴定或加密算法或密钥管理器同该协议本身分离开来,并启用各种算法的支持。因此,IPSec包含多个协议。该IPSec安全机制依照数据的保护来具体设定,以防止篡改和走漏。如果连接信息源和目标用户遵从IPSec,并且一个中间网络支持互联网协议IP,那么IPSec就可以建立沟通。因此,就可以提供一个宽泛的可应用范围,如此的好处便是无须任何特定的设备。当IPSec安全机制用于iSCSI以便实施鉴定,该用户就可以通过LAN/MAN/WAN访问存储器。IPSec的架构在《互联网协议安全架构》(RFC2401)一书中有详细的描述。
SAN的该分区功能把该存储设备逻辑卷的数量限制到同FC端口的数量一样。但是,由于在实践中该存储设备为少数用户所占用,那么就存在着一个操作问题。
上述现有技术中存在着如下的问题:
当一个用户通过LAN/MAN/WAN网络访问该存储设备时,SAN和LAN/MAN/WAN网络都需要确保安全。SAN可以通过分区功能来保证安全。而LAN/MAN/WAN网络则可以通过把iSCSI和通信路径上的数据保护系统加以结合来确保安全。但是,IPSec却无法提防“伪装”,也无法对付所有的网络环境。例如,一个用户可以通过不保证安全或线路质量的网络从一个宽区域中访问该存储器。在这样的情形下,每个网络都必须用上一个恰当的数据保护系统以便向用户提供更安全更可靠的访问。所以,VPN须要不仅包含单一类型,还要包含多种类型。
当用户通过LAN/MAN/WAN网络访问该存储器时,一个卷须指派给每一个用户。iSCSI可允许多个用户访问该FC端口,但它无法指派一个逻辑卷给每一个用户。虽然可以改进可联接用户数量的可量测性,但依然有逻辑卷数量可量测性改进的问题。
发明内容
本发明的一个最佳方面就是,一个存储系统含有一个存储设备,以及一个连接到使用该存储设备的虚拟专用网络的用户,在此,该系统包括:一个管理装置,其通过一个分配给该存储设备的逻辑卷管理该存储设备;一个转换装置,用于转换与该存储设备相应的协议,以及转换用于虚拟专用网络的协议;一个映射装置,其中存储着一个指派给用户的虚拟专用网络,以及对应于该虚拟专用网络的该存储设备的一个访问范围。
在另一个最佳方面中,依照本发明的一个转换装置,连接到存储设备,通过一个虚拟专用网络连接到一个使用该存储设备的用户上,其中该转换装置包含:一个协议转换装置,用于转换对应于该存储设备的一个协议,以及转换用于该虚拟专用网络的协议;一个映射装置,其存储了一个指派给用户的虚拟专用网络,以及对应于该虚拟专用网络的该存储设备的一个访问范围。
还有一个最佳方面是,依照本发明的一个存储访问方法,用于一个存储系统,包含一个存储设备、一个连接到虚拟专用网络的用户、和一个转换装置,该转换装置通过该虚拟专用网络连接到该用户,并转换该存储设备的协议和用于虚拟专用网络的协议,其中该转换装置,基于所接收的来自于该用户通过虚拟专用网络的访问请求,往该存储设备上写入数据,而该存储设备基于有关该虚拟专用网络的鉴定信息的核对结果连接到该转换装置;并且,该转换装置基于自该存储设备接收到的写终止的响应,把该写终止的响应返还给该用户以终止该用户写入数据的进程。
还有一个最佳方面为,本发明提供了一种存储系统,包含有一个存储设备以及连接到使用到该存储设备的一个虚拟专用网络的用户,该系统具体设置为具备:一个管理装置,其通过一个分配给该存储设备的逻辑卷管理该存储设备;一个转换装置,用于转换与该存储设备相应的协议,以及转换用于虚拟专用网络的协议;一个映射装置,其中存储着一个指派给用户的虚拟专用网络,以及对应于该虚拟专用网络的该存储设备的一个访问范围。因此,按照本发明的该存储系统得以同时防止未授权的访问并确保该卷管理的可量测性。
也就是说,当一个用户通过一个LAN/WAN/WAN网络访问一个存储设备,依照本发明的该系统对该用户所使用的虚拟专用网络(VPN)进行识别,并把访问的范围限制为该存储设备逻辑卷中的地址。于是,该系统就能阻挡未授权的访问或者非法信息截取,并通过把逻辑卷分为多部分、然后分别指派给多个用户的方式提高卷管理可量测性。
进而,向转换装置提供以虚拟专用网络和该存储设备的访问范围之间的映射(转换表40和49)。从而,该虚拟专用网络就被限制在该转换装置和对该存储设备拥有有效访问权的一个用户之间。所以,对虚拟专用网络的识别就可以识别该用户并阻挡未经授权的访问。
本发明其他及更多的目的、特征和优势,将从下文中更详细地加以介绍。
附图说明
图1表示按照本发明第一最佳实施例的一个网络配置图;
图2表示一个程序图,它显示了本发明第一实施例中该用户使用一个虚拟卷的步骤;
图3表示按照本发明第一最佳实施例,为管理装置所管理的一个用户信息表的示范图;
图4表示按照本发明第一最佳实施例,为管理装置所管理的转换装置信息表的示范图;
图5表示按照本发明第一最佳实施例,为管理装置所管理的虚拟卷信息表的示范图;
图6表示按照本发明第一最佳实施例,为管理装置所管理的存储信息表的示范图;
图7表示按照本发明第一最佳实施例,为管理装置所管理的VPN设置信息表的示范图;
图8表示一个虚拟卷和一个逻辑卷之间关系的示范图;
图9表示按照本发明第一最佳实施例,转换装置24的转换表的示范图;
图10表示按照本发明第一最佳实施例,转换装置25的转换表的示范图;
图11表示按照本发明第一最佳实施例的一个示范图,表明基于来自该用户的访问请求的地址转换和通讯协议转换;
图12表示按照本发明第一最佳实施例的一个流程图,表明从一个虚拟地址到一个逻辑地址的地址转换;
图13表示按照本发明第一最佳实施例的一个流程图,表明从一个逻辑地址到一个虚拟地址的地址转换;
图14表示按照本发明第一最佳实施例的一个程序图,表明该用户把数据写入一个虚拟卷的过程;
图15表示按照本发明第一最佳实施例的一个流程图,表明该转换装置接受该用户对一个虚拟卷的访问一个过程;
图16表示按照本发明第一最佳实施例的一个流程图,表明该转换装置到一个备份转换装置的一个备份的过程;
图17表示按照本发明第一最佳实施例的一个示范图,表明一个日志表;
图18表示按照本发明第一最佳实施例的一个流程图,表明从该转换装置到一个存储设备的数据写入过程;
图19表示按照本发明第一最佳实施例的一个流程图,表明该转换装置的存储响应过程;
图20表示按照本发明第一最佳实施例的一个流程图,表明该转换装置的备份响应过程;
图21表示按照本发明第一最佳实施例的一个程序图,表明来自虚拟卷的该用户的读取过程;
图22表示按照本发明第一最佳实施例的一个流程图,表明该转换装置的一个数据读取过程;
图23表示按照本发明第一最佳实施例的一个程序图,表明处理错误的过程;
图24表示按照本发明第二最佳实施例,表明一个网络配置;
图25表示按照本发明第三最佳实施例,表明一个网络配置;
图26表示按照本发明第四最佳实施例,表明包含多个网络的网络配置;以及
图27表示依照现有技术的一个示范图,表明利用FC端口实行卷管理。
具体实施方式
为了使本发明更清楚地被理解、更容易被实施,本发明将结合以如下若干附图来说明,其中相同的参照符号代表相同或者类似的部分,这些附图属于该说明书的一部分。
显然,出于对本发明清晰地理解,本发明的图和说明书内容都经过简化,以描述相关部分,虽然有未表示出的,但那是为了清楚的目的,其余部分则可清楚地理解。本领域普通技术人员将公知其余部分被说明和/或被要求,以便实施本发明。但是,由于这些部分在本技术领域已经成为公知,而且由于它们对更好地理解本发明并没有多大的帮助,那么在此就不再讨论这些部分。关于本发明的详述和其中的最佳实施例将如下参照附图加以说明。
图1表示按照本发明第一最佳实施例该存储系统的配置。不象如下描述的其他最佳实施例,图1所示的第一实施例用于互联网。图1中,参照数字21和22代表用户,23为管理装置,24和25为转换装置,26和27为存储设备,以及,50为一个网络。
该转换装置24把用户22和21、存储设备26和转换装置25连接起来。该转换装置24、用户21和22、以及转换装置25通过一个包含以太网、ATM、IP等等的网络协议彼此连接。iSCSI接口用于从转换装置24到存储设备26的一个访问请求。FC协议用于连接转换装置24和存储设备26。SCSI接口用于对该存储设备的一个访问请求。
转换装置25连接转换装置24、管理装置23、和一个存储设备27。转换装置25和管理装置23通过包含以太网、ATM、IP等的网络协议彼此连接。FC协议用于连接转换装置25和存储设备27。
在用户21和转换装置24之间,在用户22和转换装置24之间,以及在转换装置24和转换装置25之间,提供一个VPN。
管理装置23管理着转换装置24和25、存储设备26和27、以及用户21和22。先令管理装置23指派存储设备26和27的虚拟卷给用户21。对用户21鉴定之后,管理装置23指定一个有着VPN标识的VPN,并管理指定的VPN信息。
先向用户21和22提供一个管理装置23的IP地址,或者提供用于识别管理装置23的IP地址的装置。用于识别IP地址的装置包括一个目录服务、Web服务、一个UDDI(统一描述、发现和集成)、以及一个DNS(域名系统)。
UDDI的规范由UDDI项目开发,出版于《UDDI技术白皮书》(微软公司、国际商用机器公司、和ARIBA公司版权所有)之中。而DNS出版于《域名——概念及功能》(RFC1034)以及《域名——实现及规范》(RFC1035)(IETF出版)。
图2为一个程序图,表明该用户使用虚拟卷的过程。
用户21通过转换装置24和25(程序201)发送用户鉴定信息33,其中包含对管理装置23的一个用户身份ID、密码、以及用户信息34。
用户信息34可用于识别应用程序或者通过VPN的数据业务量。用户信息34包含一个MAC(媒体访问控制)地址、一个VLAN(虚拟局域网)标签、一个IP地址、一个TCP(传输控制协议)、或者UDP(用户数据报协议)端口数、Diffserv(区分服务)中定义的DSCP(区分服务码点)、一个IPv6协议中的流标号等等。
该VLAN以及VLAN标签在《局域网及城域网电气和电子工程师协会标准:虚拟局域网桥》(ISBN 0-7381-1538-X SS94709,IEEE(电气和电子工程师协会)出版)中有所规定。Diffserv(区分服务)在IETF出版的《用于区分服务的构架》(RFC2475)和《在IPv4和IPv6报头差分服务字段(DS Field)的定义》(RFC2474)中有所阐述。
程序101表明用户鉴定程序。基于自用户21接收的用户鉴定信息33,管理装置23鉴定一个虚拟卷是否已指派给用户21。
图3到图7表示管理装置23所管理的信息。
图3表示一个用户信息表321,表明被管理装置23所管理的用户信息的内容。用户ID 304表示一个用户名,Auth 301代表鉴定信息,VPN标识302代表所连接的VPN的名称,以及卷标309代表虚拟卷的名称。图4中的一个转换装置信息表322表示一个转换装置23所管理的转换装置的内容。TS-ID 312代表一个转换装置的名称,标明一个虚拟卷的地址,ST-ID 313代表一个存储器名称,以及卷标310代表一个虚拟卷的名称。图5中虚拟卷信息表323表示管理装置23所管理的一个虚拟卷的内容。范围318代表该虚拟卷虚拟地址的范围。图6中的存储信息表324表明管理装置23所管理的存储信息的内容。虚拟卷分派315表明一个虚拟卷所属的地址和范围。图7中VPN设置信息表325表明管理装置23所管理的VPN设置信息的内容。可用用户信息303包括被分别指派给一个用户名和用户信息的用户ID 304和信息305。
图2中管理装置23使用用户信息表321(见图3)以鉴定用户21。当受到用户21的访问时,管理装置23注明于用户信息表321并且拿鉴定信息33和一个记录326中的Auth 301进行比较,该记录的用户ID 304含有该用户21的一个值。对用户21的鉴定成功后,管理装置23基于用户信息表321对用户21的VPN标识31进行判断。如果鉴定不成功,管理装置23则拒绝访问。
当对用户21的鉴定成功时,管理装置23创建一个新记录308在VPN设置信息表325中(见图7)。当管理装置23成功鉴定用户21时,记录308中的VPN标识302把所判定出的VPN标识31列入清单。可用用户信息303详细列明用户21的信息。该信息在鉴定步骤101的过程中被获取。可用用户信息303分别包含指派给用户21和用户信息34的用户ID304和信息305。
VPN设置信息表325(见图7)中记录308的TS-ID 306指明一个为原端所指定转换装置的识别符。TS-ID 307指示出为备份端所指定的转换装置的识别符。该识别符正是管理装置23用以访问该用户的IP地址或者转换装置所需要的信息。
为了给TS-ID 306和307设定值,就必须了解到用户21可用的虚拟卷。虚拟卷16作为可用虚拟卷被得到。虚拟卷16被指定为卷标309的一个值,用于用户信息表321(见图3)中的记录326。那么,就必须知道关于该存储设备所连接到的该转换装置的识别信息。由于虚拟卷由一个或者多个逻辑卷组成,那么就有一个存储设备,上面存在着一个逻辑卷来构建该虚拟卷。但是,存储器本身的信息对记录308而言不是必要的。管理装置23则从虚拟卷信息表323(见图5)中的卷标310找回含有虚拟卷16的一个记录。管理装置23得到转换装置24和25,亦即,记录327的值,其中含有对应于卷标310的虚拟卷16的值。针对在VPN设置信息表325(图7)中的记录308,通过把转换装置24和25设定为TS-ID306和307来完成记录308。
图8显示指派给用户21的一个虚拟卷和一个现实的安全存储系统之间的关系。
虚拟卷16包含一个存储设备26中的逻辑卷13和一个备份存储设备27中的逻辑卷15。当用户21开始使用虚拟卷16时,管理装置23分派VPN标识31,把转换装置24定义为原件,把转换装置25定义为备份件,然后发送VPN标识31和关于转换装置24的鉴定信息给用户21。当用户21基于该鉴定信息发送一个访问请求给虚拟卷16时,转换装置24把访问请求转换为一个对现实存储设备26上的逻辑卷13的访问请求。以此方法,用户21就能访问存储设备26。
转换装置24和25包含转换表40和49(见图9和10)。用户利用这些表,提供访问一个虚拟卷时的访问限制范围,同时转换协议,并把地址转换为分配给现实存储设备26和27的逻辑地址,等等。
图9显示的是转换表40的一个范例。VPN识别符41对应于当用户访问一个转换装置时的一个VPN识别符。一个地址范围42表示一个分配给该用户的虚拟卷中数据的一个虚拟地址的范围。存储鉴定信息43提供有关一个内含逻辑卷并在其上构建了一个分派给用户的虚拟卷的存储设备的鉴定信息。一个偏移量44指定了一个偏移地址用于从一个虚拟地址中,创建一个在存储鉴定信息43中提供的该存储设备的逻辑地址。一个备份转换装置45指示出关于转换装置的鉴定信息,该转换装置由管理装置23定义为该用户的一个备份。转换表40限定了这些信息之间的关系。
存储鉴定信息43中显示了一个FC端口。偏移地址44指示出一个LUN(逻辑单元号)或者一个LBA(逻辑块地址)。
图9中,记录46和47被当作同一个VPN识别符41的例子以及不同的地址范围42。在这个例子中,虚拟卷16可以包含多个逻辑卷,因为记录46和47把一个虚拟卷分派给了不同的存储设备。
记录48显示的是未指定地址范围42和备份转换装置45时的例子。当地址范围42未指定时,仅由VPN识别符41判定存储鉴定信息43和偏移地址44。没有指定备份转换装置45来指明含有这个转换表的该转换装置被设定为备份转换装置,用于分配给记录48中的VPN识别符41虚拟卷。
管理装置23发送一个转换表中的记录58,以及发送用户21的用户信息34到转换装置24上(图2中程序202)。记录58包含5项:(1)VPN识别符41指明VPN标识31;(2)地址范围42指明地址范围RANGE1以对应于用户21访问的虚拟卷的一个地址范围;(3)存储识别信息43指明关于存储设备26的识别信息;(4)偏移量44指明偏移地址偏移量1以创建一个逻辑地址在存储设备26中;以及(5)备份转换装置45指明关于转换装置25的识别信息作为一个备份目标转换装置。
同样地,管理装置23把一个在转换表中的记录59(图10)以及用户21的用户信息34一起发送到转换装置25(图2中的程序103)。记录59包含5个项:(1)VPN识别符41指明VPN标识31;(2)地址范围42指明地址范围RANGE1;(3)关于存储器27的存储识别信息43;(4)偏移量44指明偏移量2;以及(5)备份转换装置45未指明,因为转换装置25作为一个备份工作。
管理装置23在转换表40中为转换装置24以如下的步骤创建记录58。
当创建记录308时,管理装置23为VPN标识31、用户21、虚拟卷16、和转换装置24和25获取到值。但是,管理装置23没有得到存储设备的值和转换装置24中的地址范围,而这些都是为虚拟卷所需要的,因为这些值在记录308创建期间未被恢复。管理装置23则为记录308从转换装置信息表322(图4)中的TS-ID 312找回转换装置24作为的TS-ID306的值,并找到含有转换装置24的一个记录328。该恢复旨在找到一个含有虚拟卷16的存储设备。管理装置23为记录328中的ST-ID 313从位于存储信息表324(图6)的ST-ID 314中找回所有的值。管理装置23找到一个记录319,其中虚拟卷分配315的卷标316记录于虚拟卷16。
按照恢复的顺序,管理装置23把记录319中(图6)的虚拟卷351的偏移量317指定为记录58中(图9)的偏移量44;虚拟卷315的范围318到记录58中的地址范围42;以及记录319中相对应的ST-ID 314到记录58中的存储识别信息43。最后,管理装置23把VPN标识31指派到记录58中的VPN识别符41,并把转换装置25指派到记录58中的备份转换装置45,以创建记录58。记录59也依照同样的过程创建。
图11是一个原理图,表示用户21通过转换装置24访问存储设备26,把一个访问一请求虚拟地址转换为一个逻辑地址。
图11中,参照号81表示网络协议报头的一个例子;82表示VPN报头的一个例子;83表示iSCSI提出的访问请求的例子;84表示SCSI提出的访问请求的例子;85为FC协议报头的例子。因为用户21朝虚拟卷16中写入数据35,一个虚拟地址用于一个地址87以便开始写入访问请求83。实际上,数据35被写入到了逻辑卷13中。因此,转换装置24须要转换虚拟地址87为逻辑地址89。
当接受到一个来自于用户21的访问请求时,转换装置24将一个VPN识别符86标注为VPN报头,并为VPN标识31检查转换表40。转换装置24利用一个偏移地址88和一个虚拟逻辑转换71来转把访问请求83的虚拟地址87转换为逻辑地址89。转换装置24作为一个传输目的90,指派存储设备26,具体表明在转换表40的记录58中的存储识别信息43,然后使用FC协议来发送访问请求84。
图12表明的是一个虚拟-逻辑转换程序。图13表明的是一个逻辑-虚拟转换程序。图12的程序通过把该虚拟地址和一个偏移地址44当成自变量的函数73而把一个虚拟地址转换成一个逻辑地址。函数73基于虚拟地址和偏移地址44通过执行一次“加”或者“或”运算产生一个逻辑地址。图13的程序通过使用逻辑地址和偏移地址44作为自变量的函数74把一个逻辑地址转换为一个虚拟地址。函数74基于该逻辑地址和偏移地址44通过执行一个“减”或者“与”运算产生一个虚拟地址。
图2中程序102显示一个VPN设置程序。管理装置23依照VPN标识31设置一个VPN 52在转换装置24和25之间,还依照VPN 31设置一个VPN 51在转换装置24和用户21之间。
程序103表示的是给转换装置24分派转换表的一个记录。管理装置23分派转换表的记录58给转换表40(图9),该表为转换装置24而提供。和程序103一样,程序104表明的是指派转换表的记录给转换装置25。管理装置23也分配转换表49的记录59给转换装置25,同指派给转换装置24的记录58一样。
管理装置23从转换装置24和25接收程序102、103、104和106的结果(程序204)。当程序的结果成功时,管理装置23通过转换装置25和24发送一个鉴定响应给用户21(程序205)。如果程序102、103、104和106之中的任何一个失败,管理装置23就放弃设定VPN 51和记录58同59,并拒绝来自用户21的访问。如果鉴定成功,用户21则从管理装置23收到VPN标识31和关于转换装置24的识别信息(程序205)。
用户21为VPN 51依照VPN标识31执行程序107的设置步骤,访问转换装置24,并执行架设步骤以便用户21应用一个虚拟卷(程序206)。程序105表明的是架设一个虚拟卷。基于VPN标识31,转换装置24假设存储器26适用于来自于转换表中的记录58的用户21的一个虚拟卷,并为存储器26执行架设步骤。用户21接收到来自于转换装置24的响应(程序207),并架设该虚拟卷并开始应用它。
图14表示的是用户21把数据35写入虚拟卷16的顺序。
用户21发送一个访问请求,其中包含一个写入命令,通过VPN标识31所指定的VPN 51发送到转换装置24(程序211)。转换装置24执行一个访问接收程序111来检查转换表40(图9)中的VPN识别符41是否包含一个含有VPN标识31的记录。转换装置24把记录58标注为受转换表40指定,并对转换装置25执行一个备份程序112。执行程序112后,转换装置24发送一个访问请求给转换装置25(程序212)并执行一个程序113来把数据35写入存储设备26。
当从该存储设备接收到一个响应表明写入完成,转换装置24执行一个存储设备响应程序114,并把来自于存储设备的响应返还给用户21(程序213)。当接收到一个来自于转换装置24的访问请求(程序212),转换装置25基于转换表49执行一个访问接收程序115,其过程同转换装置24如出一辙。当VPN标识31针对转换表49中的记录59匹配VPN识别符41时,转换装置25执行一个程序117,把数据35写入存储设备27。当接收到一个来自于存储设备27的响应时,转换装置25把表明写入完毕的响应返还给转换装置24(程序214)。当接收到一个来自于转换装置25的响应,转换装置24执行一个备份响应程序116,并完成用户21的写入程序。
图15表示是图14的程序111的详细流程图。图15显示了该转换装置接收一个访问请求时的程序的顺序。
当该转换装置接收到一个来自于用户或者转换装置的访问请求时,执行程序121。程序122检查转换表40或者49(图9或10)中的VPN识别符41是否包含已交付访问请求的一个VPN的VPN标识。如果转换表中的VPN识别符41包含VPN标识,则控制进行到下一个程序123。如果未发现匹配,控制进行到程序126以拒绝访问请求。图14中,转换装置24的转换表40包含匹配VPN 51的VPN标识31的记录58。因此,控制进行到程序123。程序123从VPN标识符41中选择相关记录作为参照。
程序124判断访问请求的命令类型。当该访问是“写入”时,控制进行到程序125。当访问是“读取”时,控制进行到程序128。如果访问既不是“读取”也不是“写入”,控制进行到程序127。图15中,访问请求是“写入”命令。所以,控制进行到程序125。
程序125检查该访问请求的地址部分是否匹配由该记录指定的该访问请求的地址范围,该记录通过程序123用于参照。如果地址部分处于范围内,控制进行到程序112。如果地址部分不在范围内,控制进行到访问拒绝程序126,用户21则被拒绝访问。如果程序124判定该访问请求是一个读取命令,则由程序128检查地址范围,方式与写入程序同。如果该地址在范围内,控制进行到一个数据读取程序172。如果地址在范围内,控制进行到访问拒绝程序126。如果程序124判定该访问请求既非读取又非写入命令,控制进行到依靠访问请求的程序127。
图16表示的是图14中的一个程序112的详细的流程图。图16显示了一个备份转换装置的程序的顺序。
程序131判断该备份45是否已指定于启用于被图15中的程序123参照的记录之中。如果备份45已经指定,控制进行到程序150。否则,控制进行到程序113用于写入数据。图14中,在记录58中转换装置25被指定为备份45(图9)。因此,转换装置24执行程序150以找回执行备份程序时所创建的日志36和37(见图17)。此时,原始转换装置则有了一个日志表39以防止一个对备份传输装置的访问请求的复制传输。
创设写入日志表39的目的在于同步化原始转换装置和备份转换装置之间的数据写入。一个日志记录包含一个访问请求330、备份转换装置45、VPN识别符41、存储识别信息43、和一个数据开始地址334。日志36记录了对一个连接到原始转换装置上的存储设备写入的开始。日志37记录了对一个连接到原始转换装置上的存储设备写入的终止。
程序150恢复一目标日志。如果一个目标被发现,控制进行到程序113用以写入数据。否则,控制进行到程序151。程序151基于访问请求创建日志36、备份转换装置45、和VPN识别符41。图14中,该程序基于一个用户21发出的写入命令、转换装置25和VPN标识31创建该日志。程序152通过一个拥有VPN标识符41的VPN发送一个访问请求给为备份转换装置45指定的转换装置。图14中,来自于用户21的一个访问请求通过VPN 51被发送到转换装置25。
图18表明的是图14的数据写入程序113的详细流程图。图18表明了用于写入数据到连接于转换装置的存储设备的程序的顺序。
程序133判定偏移量44是否指定在启用于图15的参照的记录中。如果偏移量44被指定了,控制进行到程序71。否则,控制进行到程序134。图14中,偏移量1因偏移量44而被指定在记录58中(图9)。所以,转换装置24执行虚拟-逻辑转换程序71。程序71完毕后,程序134发送访问请求到在启用于参照的记录中的存储鉴定信息43。图14中,存储设备26被指定用于记录58中的存储鉴定信息43。因此,转换装置24发送访问请求到存储设备26。
图19表明的是图14的存储响应程序114的细节。图19表明了程序的顺序,即当转换装置24发送一个写入命令给存储设备26然后自存储设备26接收到一个响应。
写入数据后,该转换装置执行程序141以等待来自该存储设备的响应。当接到一个来自该存储设备的响应时,控制进行到程序142。由程序142来判定备份45是否被指定在该启用于图15的参照的记录中。如果备份45已指定,则控制进行到程序153。否则,控制进行到程序144。图14中,转换装置25被指定用于记录58的备份45。因此,转换装置24执行程序153。
该程序检查写入日志表39(图17)是否包含创建自访问请求的在存储设备中写入时的日志36。如果得不到日志36,那么就假设备份转换装置已经完成了写入程序。如果得到日志36,控制进行到程序154,以添加信息,实际地写入到日志36。这个信息同该存储设备和逻辑地址有关。在图14中,存储设备26和逻辑地址89被添加到日志36。状态331于是被更新为“写后”。
程序154改变日志36为日志37。程序144判定偏移量44是否被指定在该起用于图15中的参照的记录中。如果偏移量被指定,控制进行到程序72。否则,控制进行到程序145。图14中,偏移量1被指定用于记录58中的偏移量44。所以,转换装置24执行逻辑-虚拟转换程序72。
程序145自该存储设备发送一个响应到发出访问请求的源头。图14中,用户21就是一个访问源。所以,一个来自存储设备26的响应通过VPN 51被发送到用户21。用户21自转换装置24收到响应(图5的程序213),以此完成写入程序。
图20表示一个详细的流程图,为图14中的备份响应程序116。图20表示程序的顺序,即处理一个来自于转换装置的响应为备份目标。
程序161处理一个来自该备份目标转换装置的响应。当接收到该响应时,控制进行到程序162。该程序162基于该访问请求、备份目标转换装置45、以及VPN识别符41恢复相关日志36和37(见图17)。当未获取到日志时,程序则通知备份目标转换装置,告之没有访问请求被发送。然后控制进行到程序163。当发现日志时,控制进行到程序164。
程序164判断访问请求的程序内容。如果程序内容显示写入终止,控制进行到程序165以删除相关日志并终结备份响应程序116。
当程序内容显示转发,控制进行到程序166。程序166判断日志类型。当日志类型对应于“写入后”状态(如日志37),表示实际写入存储信息被添加以终止写入,此时控制进行到程序167。当日志类型对应于“写入前”状态(如日志36),控制则进行到程序168。程序167从日志37中的信息中产生访问请求,并把它转发到备份目标转换装置。
程序168中,转换装置激活一个程序,使该访问请求从虚拟地址转换为逻辑地址,由此写入相关访问请求进一个现实的存储器。因此,该转换装置删除相关日志36,把保留的访问请求之中的报头的逻辑地址转换为虚拟地址,然后允许相应的程序再次执行一个备份开始程序132。
在程序214过程中如图14,一个转换装置25的响应在对存储设备26的写入完成时被发送出。因此,日志37产生于写入完成之时,然后备份响应程序被激活。备份响应程序116删除日志37。按照基于写入日志表39的备份程序管理,日志36和37被保留,以及数据同步得以保证直到备份目标转换装置放出一个响应,指示写入的终止。由此,当转换装置24终止写入程序时,它仅需要把该响应返还给用户21。该来自于转换装置25的响应则停止于转换装置24,不被返还给用户21。也可能保持一个删除恢复的日志。此种情形下,当相关日志被删除时,日志状态331的值被设置为“完成”。
图21显示一个从用户21的虚拟卷16读取数据的顺序。
当从虚拟卷16读取数据时,用户21通过由VPN标识31(程序271)指定的的VPN 51发送一个访问请求,其中包含一个对转换装置24的读取命令。转换装置24检查转换表40(图9)是否包含一个记录,该记录拥有VPN识别符41的VPN标识31(程序111)。转换装置24给指定的记录58标注,并从存储设备26中读取数据(程序172)。当从存储设备26中接收到一个包含有数据38的读取终止响应,转换装置24把该响应返还给用户21(程序272)以完成自用户21的读取程序。
图21中的程序111为图15的访问接收程序。由于图21显示了用户的读取数据的程序,访问接收程序111被数据读取程序172所跟随。
图22中表示的是从一个存储设备连接到转换装置的一个数据读取程序的详细流程图(图21中程序172)。
程序132判定偏移量44(图9)是否被指定在启用的记录中为图15的参照。如果偏离量44被指定,控制进行到程序71。否则,控制进行到程序133。在图21中,偏移量1被指定为偏移量44在记录58中。因此,转换装置24执行虚拟-逻辑转换程序71。
程序71后,转换装置24执行程序133以发送一个访问请求到存储识别信息43在为图15的参照而启用的记录中。图21中,存储设备26被指定用于存储识别信息43在记录58中。于是转换装置24发送访问请求给存储设备26。程序141接收到一个响应来自于存储设备26。转换装置24使用程序72以执行逻辑-虚拟的转换。程序144把含数据38的访问请求返还给用户21。
当程序132判定偏移地址44未被指定时,转换装置把该访问请求传输给存储设备26而不转换地址。要停止使用虚拟卷,用户21发送VPN标识31和用户鉴定信息33给管理装置23。管理装置23删除包括转换装置24和25的转换表中的VPN标识31的记录,然后为用户21免除VPN51。
图23表示的是一个当存储设备26从用户21的虚拟卷16在数据读取程序运行期间导致一个错误时的顺序图。
当从虚拟卷16中读取数据时,用户21通过VPN 51发送一个读取命令到转换装置24(程序271)。转换装置24在转换表40(图9)中检查一个记录(程序111),并标注指定的记录58,并从存储设备26中读取数据。当从存储设备26未接收到响应或者接收到一个不成功的响应,转换装置24判定出一个错误产生于存储装置26中(程序173)。
当一个错误产生于存储设备26并读取操作失败时,转换装置24把访问请求报头中的逻辑地址转换为虚拟地址,然后发送这个访问请求到转换装置25(程序273)。如同转换装置24一样,转换装置25为一个记录检查转换表49(程序174)。转换装置25给记录59标注并从存储设备27中读取数据以接收数据38(程序175)。转换装置25把包含来自于该存储设备的数据38的该响应传输给转换装置24(程序274)。
转换装置24把该响应发送到用户21,该响应通过转换装置25接收自该存储设备(程序272)。用户完成读取过程后,转换装置24发送一个错误信息给管理装置23(程序275)。
管理装置23分配一个新的备份目标或者一个不同的虚拟卷以准备接收一个来自用户21的数据读取或者写入命令(程序176)。当分配一个不同的虚拟卷时,管理装置23保留写入日志37直到原始存储设备复原。当该原始存储设备复原时,管理装置23也基于日志37从不同的虚拟卷恢复最近的同步状态。这个操作顺序使写入数据得以同步进行,即使有错误发生。
当ATM用于VPN时,可以推想VPN类型包含MPLS-VPN、IP-VPN、基于IPSec的VPN、以及SVC(交换虚电路)。还可推想设置VPN的装置包含策略分配,如COPS(共同开放政策服务)以及操作者的操作。MPLS在《多协议标记交换》(RFC3031)(IETF出版)中有所阐述。MPLS-VPN在《BGP/MPLS VPNs》(RFC2547)(IETF出版)中有所描述。COPS在《COPS(共同开放政策服务)协议》(RFC2748)以及《COPS用于提供策略的用法(COPS-PR)》(RFC3084)(IETF出版)中有所描述。
本发明的第一实施例按照上述方案而配置,其包含有:一个用户或者一个含有VPN功能的网络节点;一个存储设备,含有一个SAN等等;一个管理装置,其含有一个管理存储容量和分配到该存储设备的一个逻辑卷的装置;一个协议转换装置,用于转换一个协议,如用于该存储设备的SAN,使之成为一个用于LAN/MAN/WAN网络的协议,或者反之亦然;以及一个转换装置,其拥有VPN功能。从安全反制措施着想,提供一个映射装置来指定一个或者多个类型的VPN于该用户和转换装置之间,按照分区功能维持一个映射于转换装置和存储设备之间,并向转换装置提供一个该存储访问范围和该VPN之间的映射。由于VPN仅建立于该转换装置和一个拥有对该存储设备的有效访问权限用户之间,那么对VPN的识别就可以识别该用户。该VPN标识用于识别该VPN。该逻辑卷中的一个地址用于指定存储访问范围。因此,就可以防止未经授权的访问的同时,确保卷管理的可量测性。
即,提供一个VPN于该用户和该转换装置之间,但不向该存储设备提供VPN。在该转换装置和该存储设备之间提供一个SAN,但该SAN无法直接同一个连接到LAN/MAN/WAN网络的用户通讯。因此,该转换装置必须常用于与该用户的通讯。该转换装置拒绝由一个用户对该存储设备的访问,该用户的转换装置未提供以该VPN标识,以此确保从转换装置到存储端的安全。进而,由于VPN标识用于提供映射方法于该VPN和该存储访问范围之间,那么就可以不仅限于对该存储设备的访问,而且还可管理该存储访问范围。于是,相对于受该SAN端口数量限制的该卷跟踪而言,就可增加卷的数量以分配给该用户。这就有可能阻止未授权的访问或者信息的非法截取。此外,该卷管理的可量测性可以通过把该逻辑卷划分为若干部分并分配它们给多用户的方法而得以改进。而且,转换装置24被指定为原始件。转换装置25被指定为备份件。当一个针对原始件的错误产生于存储设备26中时,管理装置23能察觉出该错误。用于备份的存储设备27能把数据问题存到该错误中。
图24表示的是按照本发明第二实施例的最佳存储系统。参照号21和22代表用户,23代表管理装置,24和25代表转换装置,26和27代表存储设备,28和29代表网络节点,以及30代表一个网络控制器。该网络节点28和29被叫做路由器或者转换器,并应当有能力设置一个VPN。网络控制器30提供信息流量,其含有VPN标识31的通信质量(VPN通信量、QoS优先设置、等等),以及一个冗余配置。用户21和22不需要提供以一个装置用以设置VPN。参照号50表示一个网络。该网络被提供以通信量,其可能对从用户到存储设备的访问是一个障碍。网络控制器30向该网络提供通信质量的设置,比如:确保一定的带宽。
转换装置24把转换装置25、存储设备26、和网络节点29连接起来。该网络协议用于连接转换装置24、转换装置25、和网络节点29。该FC协议用于连接转换装置24和存储设备26。网络节点29通过该网络协议的方式连接网络节点28和网络控制器30。网络节点28通过该网络协议的方式连接用户21和22。转换装置25把管理装置23和存储设备27连接起来。该网络协议用于连接转换装置25和管理装置23。FC协议用于连接转换装置25和存储设备27。
网络控制器30能指定一个VPN在网络节点28和29之间、网络节点29和转换装置24之间、以及转换装置24和25之间。网络控制器30能够提供网络节点28以该用户的信息和一个VPN的映射。
按照本发明第二最佳实施例的存储系统中,和依照第一最佳实施例中的存储系统一样,用户21发送用户鉴定信息33给管理装置23,以便执行一个步骤以利用一个网络上分配的虚拟卷。基于对用户21成功的鉴定,管理装置23为用户21判定VPN标识31。和第一最佳实施例一样,管理装置23分配转换表40中的记录58和59和用户信息34给转换装置24和25。管理装置23发送用于用户21和VPN标识31的用户信息34给网络控制器30。管理装置23向用户21发送VPN标识31和转换装置24的地址。
网络控制器30依照VPN标识31在网络节点28和29和转换装置24之间指定VPN 51。网络控制器30在转换装置24和25之间指定VPN 52。网络控制器30按照该用户21的用户信息分派给用户21以该通信量,以及一个对VPN 51的针对用户21的映射。其余的程序同第一最佳实施例。
从安全的角度出发,第二最佳实施例仿佛导致了一个问题,因为VPN51未被提供于用户21和网络节点28之间。但是,安全性得以确保,因为网络节点28识别用户21,并将其从其他通信量中区别开来。
第二最佳实施例通过MPLS(多协议标记交换)或者MPLS延伸协议、GMPLS(通用MPLS)信号发送、策略路由、区分服务、RSVP(资源预留协议)、以及ATM(异步传输模式)中的VP(虚拟路径)/VC(虚拟信道)设置来保证一定的带宽和通信路径。GMPLS信号发送在《通用MPLS-信号发送功能性说明》(draft-ietf-mpls-generalized-signaling)(IETF出版)中有所说明。
如果已经给一个网络管理服务器提供了接口在网络控制器30和管理装置23之间,并且任何VPN标识都能用于指定一个VPN,那么一个用于该服务器的设置装置则被应用。当网络控制器30没有外部设置装置时,则预定该VPN。当一个来自于用户的使用过程被处理时,对应于转换装置的转换表中的记录被指定,以便该VPN生效。
除了第一最佳实施例的效果之外,按照拥有上述配置的第二最佳实施例的该可靠的存储系统,向该网络节点在该用户和该VPN之间提供了映射。依此就可以保证对存储设备访问时的安全,哪怕该VPN不能为该用户直接地被指定出来。
图25表示的是一个按照本发明第三最佳实施例的存储系统。网络节点28相当于一个开关,可以实现VLAN设置,尽管没有提供VPN功能。网络节点29相当于一个路由器,它有VLAN和VPN的功能,并且还能在VLAN和VPN之间映射。在第一和第二最佳实施例中执行同样操作的部分以同样的参照号来指明,其中的一个复制的详细说明书处于简约而被省略。
一个VLAN在网络节点28和29之间构成一个联接。一个VPN在网络节点29和转换装置24之间、以及在转换装置24和25之间构成一个联接。网络控制器30可以把VPN分派到网络节点29、转换装置24和25;以及把VLAN分派到网络节点28和29。此外,网络控制器30可以分派用户信息和一个映射给对网络节点28的VLAN;以及分派VLAN和一个映射给对网络节点29的VPN。
当从管理装置23收到一个请求,要为用户21指定VPN 51,网络控制器30则在转换装置25和网络节点29之间提供VPN 51;在转换装置25和转换装置24之间提供VPN 52;以及在网络节点28和29之间提供VLAN 53。网络控制器30判断并管理VLAN 53,使之同接收自管理装置23的VPN标识31一致。网络节点28按照用户信息34为用户21被分配以通信量,并为用户21被分配以一个对VPN 51的映射。网络节点29为用户21被分配以VLAN 53,并为用户21被分配以一个对VPN 51的映射。其余程序同第二最佳实施例。
除了第一最佳实施例的效果外,依照第三最佳实施例拥有以上所述的配置的该可靠存储系统,为VLAN和VPN之间的映射使用VPN标识。这就可以确保从VLAN上的用户对存储设备的一个访问的安全性,即便VLAN被提供于该用户和网络节点之间。
图26显示的是按照本发明的第四最佳实施例的存储系统。执行和第一到第三最佳实施例同样的操作的部分,依照同样的参照号来表述,其中复制的详细的说明出于简约而被省略。
参照号21和22代表用户,24和25代表转换装置,26和27代表存储设备,23代表管理装置,30代表网络控制器,28代表网络节点,7代表一个含有LAN或者SAN的内部网,8代表一个外部网,如MAN或者WAN网络。VPN可以被指派到转换装置24和25,以及网络节点28。一个网络控制器30被提供到每个内部网7和外部网8。网络控制器30按照发自于管理装置23的VPN标识31启用或者禁用VPN 51和52,在VLAN和VPN之间提供一个映射,并且基于该用户信息为每个网络上的网络节点28和转换装置24及25指定VPN/VLAN。除了第一最佳实施例的影响之外,依照有着上述配置的第四实施例该可靠存储系统可以为被指派以VLAN的一个大规模的网络中,比如MAN或者WAN的用户到存储设备的访问的确保安全。
以下说明的是第五最佳实施例,这是一个按照第一最佳实施例的存储系统的经修正过的范例。在该存储系统中,按照第五最佳实施例,转换装置24为转换装置25被指派到位于转换表49中的记录59的该备份转换装置45(图10)。转换装置25作为一个备份装置为转换装置24工作。转换装置24作为一个备份装置为转换装置25工作。执行同第一最佳实施例中相同的操作的部分由同样的参照号表示出,以及其中复制的详细说明出于简约的目的而省略。
从转换装置25看,它作为一个备份转换装置而运行。如同原始转换装置24一样,转换装置25可以通过处理来自于其他用户的访问来分散负载。管理装置23能够返还关于一个适当的转换装置的鉴定信息,以便来自用户的访问可以分散或者在来自用户为该程序的鉴定响应期间访问速率可以提高,以便使用虚拟卷。
除了第一最佳实施例的效果之外,按照第五最佳实施例的有着上述配置的该可靠存储系统可以指定转换装置25作为一个转换装置24的备份,以及指定转换装置24作为转换装置25的备份。每个转换装置都能够共享访问及提高访问速率。
上述发明已按照最佳实施例得以说明。尽管如此,本领域普通技术人员会发现该实施例的诸多变种已经存在。这些变种被认为落入本发明的范围及附加权利要求之中
以上的说明未曾给本发明限定以任何具体的材料、几何形状、或者构件的定向性。很多部分/定向的替代均为本发明的范围所纳入、所设想,对本领域普通技术人员是显而易见的。在此说明的实施例仅以范例的形式来表现,不应当理解为对本发明范围的限制。
虽然本发明根据一个应用程序中的具体的实施例得以说明,但本领域普通技术人员可以依照其中的指导,创造出更多的实施方式及修改方案,而不背离或者超出本发明权利要求的内核精神。因此,可想而知,其中的附图和说明书以范例的形式呈现,其目的仅在于方便对本发明的理解,而不应当解释为对本发明范围的限制。
Claims (18)
1.一种存储系统,包含一个存储设备和利用该存储设备连接到一个虚拟专用网络的一个用户,该系统包含:
一个管理装置,其通过一个指派给该存储设备的逻辑卷来管理该存储设备;
一个转换装置,通过它来转换对应于该存储设备一个协议,转换用于该虚拟专用网络的协议;以及
一个映射装置,其中存储了一个分配给用户的虚拟专用网络,还存储了对应于该虚拟专用网络的该存储设备的一个访问范围。
2.按照权利要求1的该存储系统,其中的映射装置中存储了一个记录,用以指定关于该虚拟专用网络的识别信息和关于有着逻辑卷和指定用于该存储设备的该逻辑卷的一个地址范围的该存储设备的识别信息之间的通信。
3.按照权利要求2的该存储系统,其中的管理装置分派给该用户以指定用于该存储设备的该逻辑卷、该逻辑卷中的该地址范围、以及该虚拟专用网络识别信息。
4.按照权利要求1的该存储系统,其中的管理装置包含:
一个虚拟专用网络设置装置,用于在该用户和该转换装置之间通过利用该虚拟专用网络识别信息配置一个虚拟专用网络;
一个虚拟专用网络管理装置用于管理该转换装置、该存储装置、以及该虚拟专用网络;以及
一个记录设置装置,用于批准该映射装置在分配给该用户的一个虚拟专用网络和当该用户使用该存储设备时的用于该虚拟专用网络的该存储设备的一个访问范围之间存储来往信息。
5.按照权利要求1的该存储系统,进而包含:
一个网络控制器,用以通过使用该虚拟专用网络识别信息来配置一个虚拟专用网络,其中:
该管理装置有一个虚拟专用网络设置请求装置,用于批准网络控制器来利用该虚拟专用网络识别信息来配置一个虚拟专用网络;以及
网络控制器在多个网络上依照一个来自于该虚拟专用网络设置请求装置的请求配置该虚拟专用网络。
6.按照权利要求5的该存储系统,其中该网络控制器为有着该虚拟专用网络识别信息的通信量设定通讯质量,并保证该虚拟专用网络的通讯质量。
7.按照权利要求5的该存储系统,进而包含:
一个网络节点,其中含有一个网络通信装置,用于在一个分配给一个网络的虚拟网络和该虚拟专用网络之间进行通信,其中
该网络控制器包含一个虚拟网络管理装置,用于管理该虚拟专用网络和一个虚拟网络之间的信息来往。
8.按照权利要求1的该存储系统,其中
该用户通过该虚拟专用网络利用关于该转换装置的识别信息和该虚拟专用网络识别信息连接到该转换装置,二者均发自于该管理装置;以及
该管理装置从该用户到该存储设备构成联接,基于的是通过利用该虚拟专用网络关于该用户的鉴定结果。
9.按照权利要求1的该存储系统,进而包含:
一个备份存储设备,用于临时存储保存于逻辑卷中的指定用于该存储设备的信息;以及
一个备份转换装置,它可为该备份存储系统和一个用于该虚拟专用网络的协议转换一个协议,其中
该管理装置包含一个备份记录设置装置,用于当该用户使用该逻辑卷时存储识别信息,该信息同该映射装置中的该备份转换装置有关。
10.按照权利要求9的该存储系统,其中该转换装置包含一个数据转移装置,用于当一个错误产生于该存储设备时,从该备份转换装置把数据转移到该备份存储设备。
11.按照权利要求1的该存储系统,其中
该管理装置包含一个虚拟卷产生装置,用以产生一个虚拟卷,包含一个或者更多的逻辑卷;
该映射装置存储了一个偏移地址用于把该虚拟卷的一个地址转换为该逻辑卷的一个地址;
该转换装置包含了一个地址转换装置,用于转换该虚拟卷的一个地址到该逻辑卷的一个地址;以及
该地址转换装置分配该虚拟卷到一个该存储设备中未用过的区域。
12.一种连接到一个存储设备的转换装置,其中
该转换装置通过一个虚拟专用网络被连接到一个使用该存储设备的用户,其中该转换装置包含:
一个协议转换装置,用于转换一个对应于该存储设备的协议,以及转换一个用于该虚拟专用网络的协议;以及
一个映射装置,其存储了一个分配给该用户的虚拟专用网络,和对应于该虚拟专用网络的一个该存储设备的访问范围。
13.按照权利要求12的该转换装置,其中该映射装置存储了一个记录,指定了关于该虚拟专用网络的和关于该存储设备的识别信息之间的通讯来往,该存储设备含有该逻辑卷和一个指定用于该存储设备的该逻辑卷的地址范围。
14.按照权利要求12的该转换装置,其中
该转换装置连接到一个备份转换装置,它转换一个用于备份存储设备的协议,以临时存储保存于一个指定用于该存储设备的逻辑卷中的信息,并转换一个用于该虚拟专用网络的协议;以及
该转换装置包含一个数据转移装置,用于当一个错误发生于该存储设备时,从该备份转换装置中转移数据到该存储设备。
15.一个存储系统,包含一个存储设备、一个连接到一个虚拟专用网络的用户、以及通过该虚拟专用网络连接到该用户的一个转换装置,其为该存储设备转换一个协议,以及转换一个用于该虚拟专用网络的协议,其中
该转换装置,基于通过该虚拟专用网络收到的来自于该用户的访问请求,基于一个关于该虚拟专用网络的识别信息检查的结果把数据写入连接于该转换装置的该存储设备;以及
该转换装置,基于从该存储设备接收到的一个用于写入终止的响应,把该写入终止的响应返还给该用户以终结一个从该用户写入数据的程序。
16.一种存储访问方法,用于一个存储系统,包含一个存储设备,一个连接到一个虚拟专用网络的用户,一个通过该虚拟专用网络连接到该用户的转换装置,它为该存储设备转换一个协议,还转换一个用于该虚拟专用网络的协议,以及一个备份转换装置,其连接到该转换装置和一个备份存储设备,并为该备份存储设备转换一个协议,以及转换一个用于该转换装置的协议,其中
该转换装置,基于通过该虚拟专用网络收到的来自于该用户的访问请求,发送该访问请求到该备份转换装置,其基于关于该虚拟专用网络的鉴定信息的第一次检查结果指定于该转换表中;
该转换装置把数据写入连接于该转换装置的该存储设备;
该转换装置,基于接收到的来自于该存储设备的写入终止的响应,把该写入终止的响应返还给该用户;
该备份转换装置,基于接收到的来自于该转换装置的一个访问请求,本着关于该虚拟专用网络的鉴定信息的第二检查结果把数据写入连接于该备份转换装置的一个备份存储设备,并且,基于接收到的一个来自于该备份存储设备的写入终止响应,把该写入终止的响应返还给该转换装置;以及
该转换装置,基于接收到的一个来自于该备份转换装置的响应,终止来自于该用户的写入数据的程序。
17.一种存储访问方法,用于一个存储系统,其包含一个存储设备、一个连接到一个虚拟专用网络的用户、一个转换装置,该转换装置通过该虚拟专用网络连接到该用户,并为该存储设备转换一个协议,以及转换一个用于该虚拟专用网络的协议,以及一个备份转换装置,该装置连接到该转换装置以及一个备份存储设备,并为该备份存储设备转换一个协议,以及转换一个用于该转换装置的协议,其中
该转换装置,基于通过该虚拟专用网络接收到的来自于该用户的一个访问请求,基于关于该虚拟专用网络的识别信息的第一检查结果发送一个读取数据的请求到连接到该转换装置的该存储设备;
该转换装置,基于自该存储设备未成功接收数据的情况,发送一个访问请求给连接于该转换装置的该备份转换装置;
该备份转换装置,基于自该转换装置接收到的一个访问请求,基于关于该虚拟专用网络的识别信息的第二检查结果从一个连接到该备份转换装置的备份存储设备读取数据,以及基于从该备份存储设备接收的数据,从该备份存储设备发送该数据到该转换装置;以及
该转换装置,基于从该备份转换装置接收到的数据,从该备份存储设备发送该数据到该用户。
18.按照权利要求17的用于一个存储系统的该存储访问方法,包含该转换装置,它连接到一个管理装置以依照一个指定用于该存储器的逻辑卷来管理该存储设备,其中
该转换装置,基于对数据自该存储设备未成功的接收,发送关于该存储设备的错误信息到该管理装置;以及
该管理装置为该存储设备改变了一个逻辑卷设置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002169725A JP4382328B2 (ja) | 2002-06-11 | 2002-06-11 | セキュアストレージシステム |
JP2002169725 | 2002-06-11 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1467957A true CN1467957A (zh) | 2004-01-14 |
CN100490403C CN100490403C (zh) | 2009-05-20 |
Family
ID=29561740
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB031045618A Expired - Fee Related CN100490403C (zh) | 2002-06-11 | 2003-02-18 | 可靠的存储系统 |
Country Status (5)
Country | Link |
---|---|
US (1) | US7346670B2 (zh) |
EP (1) | EP1372297B1 (zh) |
JP (1) | JP4382328B2 (zh) |
CN (1) | CN100490403C (zh) |
DE (1) | DE60323902D1 (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1322427C (zh) * | 2005-02-25 | 2007-06-20 | 清华大学 | Windows平台下动态管理存储资源的通用方法 |
WO2007101375A1 (fr) * | 2006-03-08 | 2007-09-13 | Hangzhou H3C Technologies Co., Ltd. | Système virtuel de mémoire réseau, dispositif de mémoire réseau et procédé virtuel |
CN100440888C (zh) * | 2004-01-17 | 2008-12-03 | 中国科学院计算技术研究所 | 基于网络存储和资源虚拟化的大型服务系统的管理系统及其方法 |
CN101136929B (zh) * | 2007-10-19 | 2010-08-25 | 杭州华三通信技术有限公司 | 因特网小型计算机系统接口数据传输方法及设备 |
CN102750201A (zh) * | 2008-08-27 | 2012-10-24 | 株式会社日立制作所 | 计算机系统及其备份方法 |
CN102859970A (zh) * | 2010-04-23 | 2013-01-02 | 思科技术公司 | 被表示为互联网协议地址的值 |
CN109995792A (zh) * | 2019-04-11 | 2019-07-09 | 苏州浪潮智能科技有限公司 | 一种存储设备的安全管理系统 |
Families Citing this family (44)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4060114B2 (ja) * | 2002-04-23 | 2008-03-12 | 株式会社日立製作所 | プログラム、情報処理方法、情報処理装置、及び記憶装置 |
JP4087149B2 (ja) * | 2002-05-20 | 2008-05-21 | 株式会社日立製作所 | ディスク装置共有システム、及び計算機 |
JP4345309B2 (ja) * | 2003-01-20 | 2009-10-14 | 株式会社日立製作所 | ネットワークストレージ装置 |
US7525994B2 (en) * | 2003-01-30 | 2009-04-28 | Avaya Inc. | Packet data flow identification for multiplexing |
US7831736B1 (en) * | 2003-02-27 | 2010-11-09 | Cisco Technology, Inc. | System and method for supporting VLANs in an iSCSI |
US7302500B2 (en) * | 2003-04-30 | 2007-11-27 | Dynamic Network Factory, Inc. | Apparatus and method for packet based storage virtualization |
JP4123088B2 (ja) * | 2003-08-06 | 2008-07-23 | 株式会社日立製作所 | ストレージネットワーク管理装置及び方法 |
JP4512179B2 (ja) * | 2003-10-28 | 2010-07-28 | 株式会社日立製作所 | ストレージ装置及びそのアクセス管理方法 |
JP2005151259A (ja) * | 2003-11-17 | 2005-06-09 | Toshiba Corp | データ転送装置およびプログラム |
JP3976324B2 (ja) | 2004-02-27 | 2007-09-19 | 株式会社日立製作所 | セキュリティレベルに応じて記憶領域を計算機に割り当てるシステム |
US7447211B1 (en) | 2004-03-23 | 2008-11-04 | Avaya Inc. | Method and apparatus of establishing a communication channel using protected network resources |
JP4272105B2 (ja) * | 2004-04-27 | 2009-06-03 | 株式会社日立製作所 | ストレージグループ設定方法および装置 |
JP4826077B2 (ja) * | 2004-08-31 | 2011-11-30 | 株式会社日立製作所 | ブートディスク管理方法 |
JP4574287B2 (ja) * | 2004-09-01 | 2010-11-04 | キヤノン株式会社 | ファイル管理装置 |
US7680100B1 (en) | 2004-09-30 | 2010-03-16 | Avaya Inc. | Internet protocol appliance manager |
JP4574315B2 (ja) * | 2004-10-07 | 2010-11-04 | 株式会社日立製作所 | ストレージ装置およびストレージ装置における構成管理方法 |
US7633859B2 (en) * | 2005-01-26 | 2009-12-15 | Cisco Technology, Inc. | Loop prevention technique for MPLS using two labels |
US20060209886A1 (en) * | 2005-03-04 | 2006-09-21 | Rad Data Communications, Ltd. | Small form-factor device implementing protocol conversion |
US7502871B2 (en) * | 2005-05-23 | 2009-03-10 | International Business Machines Corporation | Method for query/modification of linear block address table entries for direct I/O |
US20070005815A1 (en) * | 2005-05-23 | 2007-01-04 | Boyd William T | System and method for processing block mode I/O operations using a linear block address translation protection table |
US7464189B2 (en) | 2005-05-23 | 2008-12-09 | International Business Machines Corporation | System and method for creation/deletion of linear block address table entries for direct I/O |
US7502872B2 (en) * | 2005-05-23 | 2009-03-10 | International Bsuiness Machines Corporation | Method for out of user space block mode I/O directly between an application instance and an I/O adapter |
US7552240B2 (en) | 2005-05-23 | 2009-06-23 | International Business Machines Corporation | Method for user space operations for direct I/O between an application instance and an I/O adapter |
US20060265525A1 (en) * | 2005-05-23 | 2006-11-23 | Boyd William T | System and method for processor queue to linear block address translation using protection table control based on a protection domain |
US7500071B2 (en) * | 2005-08-31 | 2009-03-03 | International Business Machines Corporation | Method for out of user space I/O with server authentication |
US7577761B2 (en) * | 2005-08-31 | 2009-08-18 | International Business Machines Corporation | Out of user space I/O directly between a host system and a physical adapter using file based linear block address translation |
US7657662B2 (en) * | 2005-08-31 | 2010-02-02 | International Business Machines Corporation | Processing user space operations directly between an application instance and an I/O adapter |
US8161134B2 (en) * | 2005-09-20 | 2012-04-17 | Cisco Technology, Inc. | Smart zoning to enforce interoperability matrix in a storage area network |
JP5245240B2 (ja) | 2006-10-26 | 2013-07-24 | 住友電気工業株式会社 | 光ファイバコイル収納容器及び光ファイバモジュール |
US7926090B2 (en) * | 2007-07-13 | 2011-04-12 | Erf Wireless, Inc. | Separate secure networks over a non-secure network |
KR101525220B1 (ko) * | 2007-09-28 | 2015-06-10 | 엑세리온 악티에볼라그 | 네트워크 오퍼레이팅 시스템 |
JP5012397B2 (ja) * | 2007-10-16 | 2012-08-29 | 日本電気株式会社 | 通信システム、方法、装置、およびプログラム |
US8086585B1 (en) * | 2008-09-30 | 2011-12-27 | Emc Corporation | Access control to block storage devices for a shared disk based file system |
US9137209B1 (en) | 2008-12-10 | 2015-09-15 | Amazon Technologies, Inc. | Providing local secure network access to remote services |
US9524167B1 (en) * | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
US8201237B1 (en) | 2008-12-10 | 2012-06-12 | Amazon Technologies, Inc. | Establishing secure remote access to private computer networks |
US8230050B1 (en) | 2008-12-10 | 2012-07-24 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
US8078665B2 (en) * | 2009-05-04 | 2011-12-13 | Comcast Cable Holdings, Llc | Sharing media content based on a media server |
US20100281508A1 (en) | 2009-05-04 | 2010-11-04 | Comcast Cable Holdings, Llc | Internet Protocol (IP) to Video-on-Demand (VOD) Gateway |
US20100333192A1 (en) * | 2009-06-24 | 2010-12-30 | Esgw Holdings Limited | Secure storage |
US20110289548A1 (en) * | 2010-05-18 | 2011-11-24 | Georg Heidenreich | Guard Computer and a System for Connecting an External Device to a Physical Computer Network |
JP5158184B2 (ja) * | 2010-12-10 | 2013-03-06 | 株式会社日立製作所 | ブートディスク管理方法 |
KR101953122B1 (ko) * | 2012-01-06 | 2019-02-28 | 삼성전자주식회사 | 프로토콜 변환 장치 및 방법 |
JP2015166965A (ja) * | 2014-03-04 | 2015-09-24 | 日本電気株式会社 | バックアップ制御装置及びバックアップ制御方法、記憶装置システム、通信装置 |
Family Cites Families (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5941972A (en) * | 1997-12-31 | 1999-08-24 | Crossroads Systems, Inc. | Storage router and method for providing virtual local storage |
US6615357B1 (en) * | 1999-01-29 | 2003-09-02 | International Business Machines Corporation | System and method for network address translation integration with IP security |
JP3465620B2 (ja) * | 1999-03-17 | 2003-11-10 | 日本電気株式会社 | 仮想私設網構築システム |
GB2353676A (en) * | 1999-08-17 | 2001-02-28 | Hewlett Packard Co | Robust encryption and decryption of packetised data transferred across communications networks |
US6684209B1 (en) | 2000-01-14 | 2004-01-27 | Hitachi, Ltd. | Security method and system for storage subsystem |
US6826580B2 (en) * | 2000-01-20 | 2004-11-30 | Emc Corporation | Distributed storage resource management in a storage area network |
US20010034758A1 (en) | 2000-02-24 | 2001-10-25 | Dan Kikinis | Virtual private network (VPN) for servicing home gateway system through external disk management |
CA2414869C (en) | 2000-07-05 | 2010-08-17 | Ernst & Young Llp | Method and apparatus for providing computer services |
US6920153B2 (en) | 2000-07-17 | 2005-07-19 | Nortel Networks Limited | Architecture and addressing scheme for storage interconnect and emerging storage service providers |
WO2002037300A1 (en) | 2000-11-02 | 2002-05-10 | Pirus Networks | Switching system |
US6976060B2 (en) * | 2000-12-05 | 2005-12-13 | Agami Sytems, Inc. | Symmetric shared file storage system |
US20050088977A1 (en) * | 2000-12-14 | 2005-04-28 | Nortel Networks Limited | Dynamic virtual private network (VPN) tunnel quality of service (QoS) treatment |
US7124189B2 (en) * | 2000-12-20 | 2006-10-17 | Intellisync Corporation | Spontaneous virtual private network between portable device and enterprise network |
US20040233910A1 (en) * | 2001-02-23 | 2004-11-25 | Wen-Shyen Chen | Storage area network using a data communication protocol |
FI20010511A0 (fi) * | 2001-03-14 | 2001-03-14 | Stonesoft Oy | Datapakettien käsittely |
US6622220B2 (en) * | 2001-03-15 | 2003-09-16 | Hewlett-Packard Development Company, L.P. | Security-enhanced network attached storage device |
US7171453B2 (en) * | 2001-04-19 | 2007-01-30 | Hitachi, Ltd. | Virtual private volume method and system |
US7099912B2 (en) * | 2001-04-24 | 2006-08-29 | Hitachi, Ltd. | Integrated service management system |
JP4632574B2 (ja) * | 2001-05-25 | 2011-02-16 | 株式会社日立製作所 | 記憶装置およびファイルデータのバックアップ方法およびファイルデータのコピー方法 |
US6732104B1 (en) * | 2001-06-06 | 2004-05-04 | Lsi Logic Corporatioin | Uniform routing of storage access requests through redundant array controllers |
US6876656B2 (en) * | 2001-06-15 | 2005-04-05 | Broadcom Corporation | Switch assisted frame aliasing for storage virtualization |
US7130305B2 (en) * | 2001-07-02 | 2006-10-31 | Stonesoft Oy | Processing of data packets within a network element cluster |
US7006526B1 (en) * | 2001-07-31 | 2006-02-28 | Cisco Technology, Inc. | Mechanisms for avoiding problems associated with network address protocol translation |
EP1563389A4 (en) * | 2001-08-01 | 2008-06-25 | Actona Technologies Ltd | VIRTUAL DATA DISTRIBUTION NETWORK |
US7197550B2 (en) * | 2001-08-23 | 2007-03-27 | The Directv Group, Inc. | Automated configuration of a virtual private network |
US7085827B2 (en) * | 2001-09-20 | 2006-08-01 | Hitachi, Ltd. | Integrated service management system for remote customer support |
US6880101B2 (en) * | 2001-10-12 | 2005-04-12 | Dell Products L.P. | System and method for providing automatic data restoration after a storage device failure |
US20030105830A1 (en) | 2001-12-03 | 2003-06-05 | Duc Pham | Scalable network media access controller and methods |
US7650412B2 (en) | 2001-12-21 | 2010-01-19 | Netapp, Inc. | Systems and method of implementing disk ownership in networked storage |
US6895429B2 (en) * | 2001-12-28 | 2005-05-17 | Network Appliance, Inc. | Technique for enabling multiple virtual filers on a single filer to participate in multiple address spaces with overlapping network addresses |
US6983303B2 (en) | 2002-01-31 | 2006-01-03 | Hewlett-Packard Development Company, Lp. | Storage aggregator for enhancing virtualization in data storage networks |
US20030182363A1 (en) * | 2002-03-25 | 2003-09-25 | James Clough | Providing private network local resource access to a logically remote device |
US20030217132A1 (en) * | 2002-05-16 | 2003-11-20 | International Business Machines Corporation | System and method for remotely managing a computer system by a wireless communications device |
-
2002
- 2002-06-11 JP JP2002169725A patent/JP4382328B2/ja not_active Expired - Fee Related
-
2003
- 2003-01-27 US US10/351,382 patent/US7346670B2/en not_active Expired - Fee Related
- 2003-02-18 CN CNB031045618A patent/CN100490403C/zh not_active Expired - Fee Related
- 2003-02-20 EP EP03003200A patent/EP1372297B1/en not_active Expired - Fee Related
- 2003-02-20 DE DE60323902T patent/DE60323902D1/de not_active Expired - Lifetime
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100440888C (zh) * | 2004-01-17 | 2008-12-03 | 中国科学院计算技术研究所 | 基于网络存储和资源虚拟化的大型服务系统的管理系统及其方法 |
CN1322427C (zh) * | 2005-02-25 | 2007-06-20 | 清华大学 | Windows平台下动态管理存储资源的通用方法 |
WO2007101375A1 (fr) * | 2006-03-08 | 2007-09-13 | Hangzhou H3C Technologies Co., Ltd. | Système virtuel de mémoire réseau, dispositif de mémoire réseau et procédé virtuel |
US8612561B2 (en) | 2006-03-08 | 2013-12-17 | Hangzhou H3C Technologies Co., Ltd. | Virtual network storage system, network storage device and virtual method |
CN101136929B (zh) * | 2007-10-19 | 2010-08-25 | 杭州华三通信技术有限公司 | 因特网小型计算机系统接口数据传输方法及设备 |
CN102750201A (zh) * | 2008-08-27 | 2012-10-24 | 株式会社日立制作所 | 计算机系统及其备份方法 |
CN102859970A (zh) * | 2010-04-23 | 2013-01-02 | 思科技术公司 | 被表示为互联网协议地址的值 |
CN102859970B (zh) * | 2010-04-23 | 2016-06-15 | 思科技术公司 | 访问非互联网协议中心资源的方法和装置 |
US9386097B2 (en) | 2010-04-23 | 2016-07-05 | Cisco Technology, Inc. | Using values represented as internet protocol (IP) addresses to access resources in a non-internet protocol address space |
CN109995792A (zh) * | 2019-04-11 | 2019-07-09 | 苏州浪潮智能科技有限公司 | 一种存储设备的安全管理系统 |
CN109995792B (zh) * | 2019-04-11 | 2021-08-31 | 苏州浪潮智能科技有限公司 | 一种存储设备的安全管理系统 |
Also Published As
Publication number | Publication date |
---|---|
EP1372297A2 (en) | 2003-12-17 |
JP4382328B2 (ja) | 2009-12-09 |
CN100490403C (zh) | 2009-05-20 |
DE60323902D1 (de) | 2008-11-20 |
EP1372297B1 (en) | 2008-10-08 |
US7346670B2 (en) | 2008-03-18 |
US20030229690A1 (en) | 2003-12-11 |
EP1372297A3 (en) | 2005-01-26 |
JP2004013778A (ja) | 2004-01-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1467957A (zh) | 可靠的存储系统 | |
JP4587446B2 (ja) | ネットワークシステム、並びにスイッチ装置及び経路管理サーバ及びそれらの制御方法、及び、コンピュータプログラム及びコンピュータ可読記憶媒体 | |
US10135827B2 (en) | Secure access to remote resources over a network | |
US8201221B2 (en) | Data transmission control on network | |
CN1878097A (zh) | 通信装置、通信系统及方法 | |
US20080002703A1 (en) | System and method for virtual network interface cards based on internet protocol addresses | |
CN1714537A (zh) | 非置信服务器环境中san管理的安全系统和方法 | |
US20030225864A1 (en) | Host-based automatic negotiation of an internet protocol address for a network connected device | |
WO2006028535A1 (en) | Operating system independent agent | |
US8838807B2 (en) | Edge traversal service dormancy | |
CN1856967A (zh) | 与网络有关的设定的自动切换 | |
JP4852110B2 (ja) | IPv6アドレス取得装置、方法、及びシステム | |
US7428594B2 (en) | File server system | |
US20060193330A1 (en) | Communication apparatus, router apparatus, communication method and computer program product | |
CN1921496B (zh) | 一种dhcp客户端识别dhcp服务器的方法 | |
JP2005108218A (ja) | 文書画像を保存するためのシステム及び方法 | |
JP2006332910A (ja) | ネットワーク機器制御システム、アクセス制御装置、アクセス制御方法、及びプログラム | |
US7461140B2 (en) | Method and apparatus for identifying IPsec security policy in iSCSI | |
JP2004207788A (ja) | アクセス制御方法、アクセス制御装置およびその装置を用いたアクセス制御システム | |
JP2004038550A (ja) | ネットワーク装置およびその制御方法 | |
CN1842085A (zh) | 访问控制服务和控制服务器 | |
JP2005173839A (ja) | データ格納システムおよび方法 | |
JPH11261583A (ja) | Ipアドレス割り当て機能を備えたローカルエリアネットワーク管理方式 | |
KR20050076925A (ko) | 사용자 권한인증 프린팅 시스템 및 그 방법 | |
JP2004139592A (ja) | 通信装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090520 Termination date: 20160218 |
|
CF01 | Termination of patent right due to non-payment of annual fee |