JP2005157826A - アクセス制御装置及び方法 - Google Patents
アクセス制御装置及び方法 Download PDFInfo
- Publication number
- JP2005157826A JP2005157826A JP2003396625A JP2003396625A JP2005157826A JP 2005157826 A JP2005157826 A JP 2005157826A JP 2003396625 A JP2003396625 A JP 2003396625A JP 2003396625 A JP2003396625 A JP 2003396625A JP 2005157826 A JP2005157826 A JP 2005157826A
- Authority
- JP
- Japan
- Prior art keywords
- access
- target
- network
- host
- host device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0622—Securing storage systems in relation to access
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0629—Configuration or reconfiguration of storage systems
- G06F3/0637—Permissions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/067—Distributed or networked storage systems, e.g. storage area networks [SAN], network attached storage [NAS]
Abstract
【課題】 同一の通信ネットワークだけでなく1又は複数の別の通信ネットワークを介して受けるアクセスを制御する。
【解決手段】 記憶制御システム3のチャネルプロセッサ40は、ターゲットIPアドレスを含むログイン要求をターゲットホストから受け、そのターゲットIPアドレスと、iSCSIポート38に記憶されている自機IPアドレスとの比較結果に基づいて、ターゲットホストを含むターゲットネットワークについて、記憶制御システム3を含む通信ネットワーク2に対するターゲットネットワークのネットワーク相対論理距離を判断する。そして、チャネルプロセッサ40は、その判断されたネットワーク相対論理距離に対応した許可アクセス種別のアクセスを、ターゲット上位装置に対して許可する。
【選択図】図1
【解決手段】 記憶制御システム3のチャネルプロセッサ40は、ターゲットIPアドレスを含むログイン要求をターゲットホストから受け、そのターゲットIPアドレスと、iSCSIポート38に記憶されている自機IPアドレスとの比較結果に基づいて、ターゲットホストを含むターゲットネットワークについて、記憶制御システム3を含む通信ネットワーク2に対するターゲットネットワークのネットワーク相対論理距離を判断する。そして、チャネルプロセッサ40は、その判断されたネットワーク相対論理距離に対応した許可アクセス種別のアクセスを、ターゲット上位装置に対して許可する。
【選択図】図1
Description
本発明は、外部装置から通信ネットワークを介して受けるアクセスを制御するための技術に関し、具体的には、例えば、通信ネットワークを介して受ける、iSCSIプロトコルに従うアクセスを制御する記憶制御装置に関する。
例えば、複数の上位装置からファイバチャネル(Fabric)を介して受けるアクセスを制御するファイバチャネル接続記憶制御装置が既に知られている(例えば特許文献1)。
ところで、IP−SAN(Internet Protocol - Storage Area Network)では、iSCSI(SCSIは「small computer system interface」の略語)と呼ばれる通信プロトコルに基づく通信が可能であることが知られている。iSCSIプロトコルに基づく通信技術では、どのようにして不正アクセスを防止しセキュリティを向上させるかが一つの課題と考えられる。
しかし、iSCSIプロトコルに基づくアクセスを制御するための技術に、特許文献1に記載のような、ファイバチャネルに基づくアクセス制御技術を単に転用することはできない。なぜなら、記憶制御装置がファイバチャネルを介して受けるアクセスは、必ず、同一通信ネットワークに接続された上位装置からのアクセスであり、iSCSIプロトコルに基づくアクセスのように、別の通信ネットワークに接続された不特定ノードからのアクセスであることは無いからである。具体的には、iSCSIプロトコルでは、例えば、或るLAN(Local Area Network)に接続された記憶制御装置は、別のLAN及びそれが接続されたインターネットを介して不特定情報処理端末からアクセスを受ける場合があり得る。
このように、iSCSIプロトコルに基づく通信では、どのようにアクセス制御を行って高セキュリティを提供するかが一つと課題と考えられる。また、この種の課題は、iSCSIプロトコルに限らず、同一の通信ネットワークだけでなく1又は複数の別の通信ネットワークを介して受けるアクセスを受けるようになったシステムにも同様に存在するものと考えられる。
従って、本発明の目的は、同一の通信ネットワークだけでなく1又は複数の別の通信ネットワークを介して受けるアクセスを制御することにある。具体的には、例えば、iSCSIプロトコルに基づいて受けるアクセスを制御することにある。
本発明の他の目的は、後述の説明から明らかになるであろう。
本発明の第1の側面に従う記憶制御装置は、1又は複数の通信ネットワークを介して上位装置に接続された記憶制御装置であって、1又は複数のメモリと、データ記憶装置(例えば物理的又は論理的な記憶デバイス)と、チャネルアダプタとを備える。
前記1又は複数のメモリ(例えば、不揮発性メモリ)は、上位装置が接続されるターゲット通信ネットワークの属性を表す複数種類のターゲットネットワーク属性(例えば、論理的な位置、ネットワーク種類等)にそれぞれ対応した複数種類の許可アクセス種別を記憶する。
前記データ記憶装置は、前記上位装置から受信するライトデータ及び/又は前記上位装置に送信されるリードデータを記憶する。
前記チャネルアダプタは、前記上位装置からのアクセスを1又は複数の通信ネットワークを介して受けるiSCSIポートと、前記iSCSIポートから出力された情報に対する処理を行う1又は複数のチャネルプロセッサとを備える。前記チャネルアダプタは、IPアドレスを含むアクセスを前記ターゲット上位装置から前記iSCSIポートで受け、前記IPアドレスに基づいて、前記ターゲット通信ネットワークの種別を判断して、前記判断されたターゲット通信ネットワーク種別に対応した許可アクセス種別を、前記1又は複数のメモリ内の情報を参照することにより識別し、前記識別された許可アクセス種別の、前記データ記憶装置に対するアクセスを、前記ターゲット上位装置に対して許可する。この一連の処理は、例えば、iSCSIポートが有するプロトコル処理部及び/又は上記チャネルプロセッサが単独で又は協働して行っても良い。
ここで、「通信ネットワーク」とは、例えば、物理的又は論理的に区切られた一つの通信ネットワーク(例えばLAN又はインターネット)のことを意味し、複数の通信ネットワークを1又は複数種類の所定中継装置を介して接続することで、一つの通信ネットワーク群を構成することができる。具体的には、例えば、第1中継部(例えばスイッチ)に、記憶制御装置を含む1又は複数の機器が接続されることで、1又は複数の機器が接続された第1通信ネットワーク(例えばLAN)が構築される。同様に、第2中継部(例えばスイッチ)に1又は複数の第1上位装置が接続されることで、1又は複数の第1上位装置が接続された第2通信ネットワーク(例えばLAN)が構築される。そして、第1中継部と第2中継部とが所定中継装置(例えばゲートウェイ)を介して接続されることにより、前記第1通信ネットワークと前記第2通信ネットワークとを含んだ通信ネットワーク群が構築される。
また、上位装置からのアクセスに含まれる「IPアドレス」は、アクセス元の上位装置が接続されたターゲット通信ネットワークにおいて割当てられたアクセス元上位装置それ自身のIPアドレスであっても良いし、ターゲット通信ネットワークを構築するための所定中継部に割当てられたグローバルIPアドレスであっても良い。
また、データ記憶装置は、例えば、1又は複数のデバイス識別コード(例えば後述の論理ユニット番号)がそれぞれ割当てられた1又は複数の論理デバイスであっても良い。記憶制御装置は、1又は複数のチャネルアダプタの各々に1以上のiSCSIポートを備え、それら1以上のiSCSIポートの各々には、そのiSCSIポートにアクセスした上位装置がアクセス可能な1又は2以上の論理デバイスが割当てられていても良い。そして、各iSCSIポートのローカルメモリ又は別のメモリには、各iSCSIポートに割当てられた1又は2以上の論理デバイスのデバイス識別コードが記憶されても良い。それにより、例えば、デバイス識別コードを含んだアクセスをチャネルアダプタの或るiSCSIポートが受けた場合、チャネルアダプタは、そのiSCSIポートに割当てられたデバイス識別コードと、上記アクセスに含まれるデバイス識別コードとが一致するか否かを判別し、一致しなければ、アクセスを許可せず、一致すれば、アクセスを許可するようにしても良い。
この記憶制御装置の第1の好適な実施形態では、前記1又は複数のメモリは、複数の上位装置にそれぞれ対応した複数の上位装置識別情報を記憶する。前記チャネルアダプタは、前記IPアドレス及びターゲット上位装置識別情報を含むアクセスを前記ターゲット上位装置から受けた場合、そのターゲット上位装置識別情報が前記1又は複数のメモリに記憶されていなければ、前記上位装置に対してアクセスを許可しない。
なお、上位装置識別情報は、例えば、iSCSIネーム、MACアドレス又は上位装置の製造シリアル番号等である。
この記憶制御装置の第2の好適な実施形態では、前記1又は複数のメモリは、前記iSCSIポート又は前記記憶制御装置に割当てられた自装置IPアドレスを記憶する。前記ターゲットネットワーク属性は、前記記憶制御装置が接続される自装置通信ネットワークと前記ターゲット通信ネットワークとの論理的な距離を表すネットワーク論理距離である。前記複数種類のアクセス種別は、それぞれ、前記複数種類のネットワーク論理距離に対応付けられており、且つ、前記複数種類のアクセス種別の各々は、対応付けられた前記ネットワーク論理距離が大になればなるほど、前記ターゲット上位装置の前記データ記憶装置に対するアクセス可能行為数が少ないことを意味する種別になっている。前記チャネルアダプタは、前記自装置IPアドレスと前記IPアドレスとに基づいて、前記ネットワーク論理距離を判断する。
この記憶制御装置の第3の好適な実施形態では、上記第2の好適な実施形態において、前記ネットワーク論理距離が小(例えば、自装置通信ネットワークとの距離がゼロである場合を含んでも良い)に対応した許可アクセス種別は、前記上位装置に対して前記データ記憶装置へのリード及びライトの両方を許可することを意味する種別である。前記ネットワーク論理距離が中に対応した許可アクセス種別は、前記上位装置に対して前記データ記憶装置へのリード及びライトのうちリードのみを許可することを意味する種別である。前記ネットワーク論理距離が大に対応した許可アクセス種別は、前記上位装置に対して前記データ記憶装置へのリード及びライトのうちうちのいずれも許可しないことを意味する種別である。
ここで、例えば、ネットワーク論理距離は、前記自装置通信ネットワークと前記ターゲット通信ネットワークとを接続するための中継装置の数が多くなればなるほど大になっても良い。或いは、例えば、ネットワーク論理距離は、中継装置の数の多少に関わらず、所定種類の論理的又は物理的な中継デバイスが介在される毎に大になっても良い。換言すれば、例えば、第1通信ネットワークと第2通信ネットワークとの間に、どんな種類の論理的又は物理的な中継デバイスが幾つ介在するかによって、第1と第2の通信ネットワーク間のネットワーク論理距離が異なっても良い。また、例えば、第1通信ネットワークと第2通信ネットワークとの間に、どんな種類の通信プロトコルが介在するかによって、第1と第2の通信ネットワーク間のネットワーク論理距離が異なっても良い。具体的には、例えば、実質的に一種類の通信プロトコル(一例として、iSCSIプロトコルのみ)しか存在しないのであれば、ネットワーク論理距離は小さく、実質的に複数種類の通信プロトコル(一例として、iSCSIプロトコルとFC(ファイバチャネル)プロトコル)が存在するのであれば、ネットワーク論理距離は大きいとされても良い。
本発明の第2の側面に従うアクセス制御装置は、1又は複数の通信ネットワークを介して上位装置に接続されたアクセス制御装置であって、ターゲット上位装置(例えばアクセス元上位装置)からのアクセスを1又は複数の通信ネットワークを介して受けるアクセス受け手段と、アクセス制御手段とを備える。アクセス制御手段は、前記ターゲット上位装置からのアクセスに含まれる情報(例えばIPアドレス)に基づいて、前記ターゲット上位装置が接続されるターゲット通信ネットワークに関する属性であるターゲットネットワーク属性を識別し、識別されたターゲットネットワーク属性に基づいて、前記ターゲット上位装置に対して許可するアクセス種別を制御する。
このアクセス制御装置の第1の好適な実施形態では、アクセス制御装置は、前記ターゲット通信ネットワークの論理的位置及び/又は種別を表す複数種類のターゲットネットワーク位置/種別にそれぞれ対応した複数種類の許可アクセス種別を記憶するアクセス制御用情報記憶手段(例えば、メモリ又はハードディスク)を更に備える。前記アクセス制御手段は、前記ターゲット上位装置からのアクセスに含まれる情報(例えばIPアドレス)に基づいて、前記ターゲットネットワーク位置/種別を識別し、識別されたターゲットネットワーク位置/種別に対応した許可アクセス種別を、前記アクセス制御用情報記憶手段が記憶する情報を参照することにより識別し、前記識別された許可アクセス種別に対応したアクセスを前記ターゲット上位装置に対して許可する。
ターゲットネットワーク位置/種別としては、例えば、自装置通信ネットワークから論理的にどの程度離れているかを段階的に又は連続的に示す遠隔距離レベルであっても良いし、LAN、SAN等の種別それ自体を表したものであっても良い。
このアクセス制御装置の第2の好適な実施形態では、上記第1の好適な実施形態において、前記アクセス制御手段は、前記ターゲット上位装置のターゲットIPアドレスを含むアクセスを前記ターゲット上位装置から受け、前記ターゲットIPアドレスに基づいて、前記ターゲットネットワーク位置を判断する。
ここで、例えば、「ターゲットIPアドレス」は、アクセス元の上位装置が接続されたターゲット通信ネットワークにおいて割当てられたアクセス元上位装置それ自身のIPアドレスであっても良いし、ターゲット通信ネットワークを構築するための所定中継部に割当てられたグローバルIPアドレスであっても良い。
このアクセス制御装置の第3の好適な実施形態では、上記第1の好適な実施形態において、前記アクセス制御用情報記憶装置は、前記アクセス制御装置に割当てられた自装置IPアドレスを更に記憶する。前記ターゲットネットワーク位置は、前記アクセス制御装置が接続される自装置通信ネットワークと前記ターゲット通信ネットワークとの論理的な距離を表すネットワーク論理距離である。前記複数種類のアクセス種別は、それぞれ、前記複数種類のネットワーク論理距離に対応付けられており、且つ、前記複数種類のアクセス種別の各々は、対応付けられた前記ネットワーク論理距離が大になればなるほど、前記ターゲット上位装置のアクセス可能行為数が少ないことを意味する種別になっている。前記アクセス制御手段は、前記ターゲット上位装置のターゲットIPアドレスを含むアクセスを前記ターゲット上位装置から受け、前記自装置IPアドレスと前記ターゲットIPアドレスとに基づいて、前記ネットワーク論理距離を判断する。
このアクセス制御装置の第4の好適な実施形態では、アクセス制御装置は、複数の上位装置にそれぞれ対応した複数の上位装置識別情報を記憶するアクセス制御用情報記憶装置を更に備える。前記アクセス制御手段は、前記ターゲット上位装置のターゲット上位装置識別情報を含むアクセスを前記ターゲット上位装置から受けた場合、そのターゲット上位装置識別情報が前記アクセス制御用記憶装置に記憶されていなければ、前記ターゲット上位装置に対してアクセスを許可しない。
本発明に従う記憶制御装置によれば、アクセス元であるターゲット上位装置が接続されるターゲット通信ネットワークの位置に基づいて、ターゲット上位装置からのアクセスの制御が行われる。これにより、1又は複数の通信ネットワークを介してアクセスを受ける場合に、アクセス元がどの通信ネットワークに接続された上位装置であるかに基づいたアクセス制御が可能である。
本発明に従うアクセス制御装置によれば、ターゲット上位装置からのアクセスに含まれる情報に基づいて、ターゲット上位装置が接続されるターゲット通信ネットワークに関する情報であるターゲットネットワーク情報を識別し、識別されたターゲットネットワーク情報に基づいて、ターゲット上位装置に対して許可するアクセス種別が制御される。これにより、1又は複数の通信ネットワークを介してアクセスを受ける場合に、アクセス元がどの通信ネットワークに接続された上位装置であるかに基づいたアクセス制御が可能である。
以下、1又は複数の通信ネットワークを介してアクセスを受ける場合として、iSCSIプロトコルに基づくアクセスを受ける場合を例に採り、図面を参照して、本発明の一実施形態について説明する。
図1は、本発明の一実施例に係るシステムの全体構成を示す。
このシステムでは、複数の通信ネットワークが互いに接続されて一つのネットワーク群が構成されている。複数の通信ネットワークには、記憶制御システム3が含まれた通信ネットワーク2と、その通信ネットワーク2と相対的に所定論理距離(以下、「ネットワーク相対論理距離」と言う)を隔てて離れている通信ネットワーク4又は6とが含まれている。具体的には、例えば、複数の通信ネットワークには、ネットワーク相対論理距離がゼロ又は小程度の「小遠隔ネットワーク」2と、ネットワーク相対論理距離が中程度の「中遠隔ネットワーク」4と、ネットワーク相対論理距離が大程度の「大遠隔ネットワーク」6とが含まれている。
ここで、「ネットワーク相対論理距離がゼロ又は小程度」とは、例えば、記憶制御システム3が存在する通信ネットワーク2それ自体であること、又は、その通信ネットワーク2とそれの接続先ネットワークとの間に介在する物理的又は論理的な介在デバイスの種類が後述の小遠隔ネット側スイッチ7と同種の中継器であること(或いは、介在中継器の数が少ないこと(例えば1個であること))を意味する。
また、「ネットワーク相対論理距離が中程度」とは、例えば、小遠隔ネットワーク2とそれの接続先ネットワークとの間に所定種類の上記介在デバイス(例えばゲートウェイ)があること(或いは、介在中継器の数が中程度であること))を意味する。
また、「ネットワーク相対論理距離が大程度」とは、例えば、小遠隔ネットワーク2とそれの接続先ネットワークとの間に上記所定種類の上記介在デバイス(例えばゲートウェイ)に代えて又は加えて、別の所定種類の上記介在デバイス(例えばファイアウォール)があること(或いは、介在中継器の数が多いこと))を意味する。
小遠隔ネットワーク2は、小遠隔ネット側スイッチ7等のネットワーク構築用機器(例えばハブ)に1又は複数のノード機器が接続されることによって構築されたものである。小遠隔ネット側スイッチ7には、例えば、1又は複数のホスト装置(以下、「小遠隔ネット接続ホスト」と言う)5と、ホスト装置5、15又は31からアクセスを受ける記憶制御システム3とが接続される。
小遠隔ネット接続ホスト5は、パーソナルコンピュータ、PDA(Personal Digital Assistants)等のコンピュータマシンである。小遠隔ネット接続ホスト5は、iSCSIプロトコルに基づく通信を行うためのiSCSIポート21を備えている。このiSCSIポート21が小遠隔ネット側スイッチ7に接続されることにより、小遠隔ネット接続ホスト5がiSCSIプロトコルに基づく通信を行うことが可能になる。iSCSIポート21には、メモリ等の記憶媒体(以下、「ポートメモリ」と言う)が備えられており、そのポートメモリに、小遠隔ネット接続ホスト5に割当てられたIPアドレスと、固有のiSCSIネームとが格納されている。
記憶制御システム3は、複数の物理ディスク群(例えばハードディスク群)を含んだ記憶装置23と、ホスト装置5、15又は31からの記憶装置23へのアクセスを制御する記憶制御部25とを備える。記憶制御部25は、ホスト装置5、15又は31との間の通信を制御する複数のチャネルアダプタセット37を備える。チャネルアダプタセット37に含まれる各チャネルアダプタには、iSCSIポート38が搭載されている。このiSCSI38が小遠隔ネット側スイッチ7に接続されることにより、記憶制御システム3がiSCSIプロトコルに基づく通信を行うことが可能になる。
中遠隔ネットワーク4は、中遠隔ネット側スイッチ9等のネットワーク構築用機器(例えばハブ)に1又は複数のノード機器が接続されることによって構築されたものである。中遠隔ネット側スイッチ9には、1又は複数のホスト装置(以下、「中遠隔ネット接続ホスト」と言う)15が接続される。
中遠隔ネット接続ホスト15は、小遠隔ネット接続ホスト5と同様に、パーソナルコンピュータ、PDA(Personal Digital Assistants)等のコンピュータマシンである。中遠隔ネット接続ホスト15も、iSCSIポート13を備えており、このiSCSIポート13が中遠隔ネット側スイッチ9に接続されることにより、このホスト15がiSCSIプロトコルに基づく通信を行うことが可能になる。iSCSIポート13には、ポートメモリが備えられており、そのポートメモリに、中遠隔ネット接続ホスト15に割当てられたIPアドレスと、固有のiSCSIネームとが格納されている。
大遠隔ネットワーク6は、インターネット1に1又は複数のノード機器が通信可能に接続されることによって構築されたものである。1又は複数のノード機器は、例えば、ホスト装置(以下、「大遠隔ネット接続ホスト」と言う)31である。
大遠隔ネット接続ホスト31は、小遠隔ネット接続ホスト5と同様に、パーソナルコンピュータ、PDA(Personal Digital Assistants)等のコンピュータマシンである。大遠隔ネット接続ホスト31も、iSCSIポート33を備えており、このiSCSIポート33がインターネットに接続されることにより、このホスト31がiSCSIプロトコルに基づく通信を行うことが可能になる。iSCSIポート33には、ポートメモリが備えられており、そのポートメモリに、大遠隔ネット接続ホスト33に割当てられたIPアドレスと、固有のiSCSIネームとが格納されている。
以上の小遠隔ネットワーク2の小遠隔ネット側スイッチ7と、中遠隔ネットワーク4の中遠隔ネット側スイッチ9とが、ゲートウェイ30(例えば、iSCSIプロコルに基づくコマンドとFCプロトコルに基づくコマンドとを互いに変換する等の所定プロトコル変換機)を介して接続されている。また、ゲートウェイ30は、ファイアウォール29を介してインターネット1に接続されている。これにより、小遠隔ネットワーク2が、中遠隔ネットワーク4及び大遠隔ネットワーク6の双方と接続されている。この環境の下で、記憶制御システム3は、どのホスト5、15及び31とも通信可能になっている。
図2は、記憶制御システム3のハードウェア構成を示すブロック図である。
記憶制御システム3は、例えばRAID(Redundant
Array of Independent Inexpensive Disks)システムであり、記憶装置23として、アレイ状に配設された複数のディスク型記憶装置を有する1以上の物理ディスク群39を備える。それら物理ディスク群39により提供される物理的な記憶領域上には、論理的な記憶領域である1又は複数の論理デバイス(以下、「Logical Device」を略して「LDEV」と表記)35が設定される。各LDEV35には、そのLDEVの識別情報(以下、「LDEV#」と表記)が割当てられており、且つ、各LDEV#には、ホスト装置5、15又は31が指定可能な論理ユニット番号(以下、「Logical
Unit Number」を略して「LUN」と表記)が対応付けられている。
Array of Independent Inexpensive Disks)システムであり、記憶装置23として、アレイ状に配設された複数のディスク型記憶装置を有する1以上の物理ディスク群39を備える。それら物理ディスク群39により提供される物理的な記憶領域上には、論理的な記憶領域である1又は複数の論理デバイス(以下、「Logical Device」を略して「LDEV」と表記)35が設定される。各LDEV35には、そのLDEVの識別情報(以下、「LDEV#」と表記)が割当てられており、且つ、各LDEV#には、ホスト装置5、15又は31が指定可能な論理ユニット番号(以下、「Logical
Unit Number」を略して「LUN」と表記)が対応付けられている。
また、記憶制御システム3は、1又は複数のチャネルアダプタセット37と、キャッシュメモリ43と、共有メモリ47と、1又は複数のディスクアダプタセット41と、スイッチング制御部45とを備えている。
各チャネルアダプタセット37には、複数(典型的には2つ)のチャネルアダプタ37A、37Bが含まれており、それらアダプタ37A、37Bは、実質的に同一の構成になっている。これにより、例えば、一方のチャネルアダプタ37Aを介してホスト5、15又は31が所定LDEVにアクセスできなくなった場合には、他方のチャネルアダプタ37Bを介して同一の所定LDEVにアクセスすることが行われる(これは、ディスクアダプタセット41についても実質的に同様である)。チャネルアダプタ37A、37Bも実質的に同一の構成なので、チャネルアダプタ37Aについて代表的に説明する。
チャネルアダプタ37Aは、1又は複数(例えば2つ)のiSCSIポート38、38を備え、iSCSIポート38を介して1又は複数のホスト5、15又は31と通信可能に接続される。チャネルアダプタ37Aは、ハードウェア回路、ソフトウェア、又はそれらの組み合わせで構成することができ、この記憶制御システム3とホスト5、15又は31との間のデータ通信を行う。iSCSIポート38には、インターフェース120、バッファ121、ローカルメモリ123及びプロトコル処理部122が備えられる。インターフェース120は、小遠隔ネット側スイッチ7と物理的に接続されるケーブル口を有したものである。バッファ121は、ホスト5、15又は31と記憶制御システム3との間で送受信されるデータが一時的に格納されるメモリである。ローカルメモリ123は、例えば不揮発性メモリであり、IPアドレスと、iSCSIネームと、このiSCSIポート38がアクセス可能なアクセス可能LUNとを記憶する。プロトコル処理部122は、所定内部バス(例えばPCIバス)を介してチャネルプロセッサ40、40と通信可能に接続されており、バッファ121及びローカルメモリ123内の情報に基づいて、後述するTCP/IP、iSCSI及びSCSIプロトコルに従うプロトコル処理を実行する。なお、TCP/IP、iSCSI及びSCSIプロトコルに従うプロトコル処理を実行する機能は、プロトコル処理部122に代えてチャネルプロセッサ40が備えても良い。
また、チャネルアダプタ37Aには、各iSCSIポート38に通信可能に接続される1以上のマイクロプロセッサ(以下、「チャネルプロセッサ」と言う)40も搭載される。更に、チャネルアダプタ37Aには、共有メモリ47と通信可能に接続されるマイクロプロセッサアダプタ(以下、「MPA」と略記)42と、キャッシュメモリ43と通信可能に接続されるデータ転送アダプタ(以下、「DTA」と略記)44とが搭載される。チャネルプロセッサ40が外部プロセッサ(具体的には、ディスクアダプタ41A、41B上の図示しないマイクロプロセッサ)との間で制御情報(例えばプロセッサ間メッセージ)を送受信する場合には、MPA42を介して制御情報が送受信される。また、ホスト5、15又は31からLDEV35にライトデータが書き込まれる場合、及び、LDEV35から読み出されたリードデータが記憶制御システム3からホスト5、15又は31に出力される場合には、ライトデータ及びリードデータはDTA44を通過する。
各チャネルプロセッサ40は、例えば、共有メモリ47の制御情報格納領域50をポーリングしMPA42を介して制御情報を取得したり、キャッシュメモリ43に格納されているリードデータを読み出してホスト5、15又は31に送信したり、ホスト5、15又は31から受信した書込み対象のデータ(つまりライトデータ)をキャッシュメモリ43に格納したりする。
キャッシュメモリ43は、揮発性又は不揮発性のメモリである。キャッシュメモリ43には、チャネルアダプタ37A、37Bからディスクアダプタセット41のディスクアダプタ41A、41Bへ渡されるライトデータ、及び、ディスクアダプタ41A、41Bからチャネルアダプタ37A、37Bへ渡されるリードデータが一時的に格納される。
共有メモリ47は、不揮発性のメモリであり、例えば、制御情報格納領域50と、データテーブル群51とを備える。制御情報格納領域50には、上述した制御情報が格納される。
各ディスクアダプタセット41は、各物理ディスク群39毎に備えられている。ディスクアダプタ41A、41Bは、図示しない1又は複数のマイクロプロセッサを備えており、そのマイクロプロセッサの処理により、ホスト装置5、15又は31から指定されたLUNに対応のLDEV#を有するLDEV35に対してデータの読出し又は書込みを行なう。
スイッチング制御部45は、例えば、高速スイッチング動作によりデータ伝送を行う超高速クロスバスイッチ等のような高速バスとして構成することができる。スイッチング制御部45は、各チャネルアダプタ37A、37Bと、各ディスクアダプタ41A、41Bと、共有メモリ47と、キャッシュメモリ43とを相互に通信可能に接続する。上述した各チャネルアダプタ37A、37Bと、各ディスクアダプタ41A、41Aと、共有メモリ47と、キャッシュメモリ43との間のデータ又はコマンドの授受は、スイッチング制御部45を介して行われる。
以上が、この実施形態に係る記憶制御システム3の概要である。この記憶制御システム3は、ホスト5、15又は31からI/O要求を受け、そのI/O要求の内容に基づく処理を実行する。
以下、記憶制御システム3におけるI/O要求の処理流れの概要を、ホスト装置5がI/O要求を発行した場合を例に採り説明する。なお、その説明では、発行されたI/O要求がリード要求を示す場合とライト要求を示す場合とに分けて説明する。
(1)I/O要求がリード要求を示す場合。
ホスト装置5から発行されたI/O要求は、iSCSIポート38のバッファ121に格納される。チャネルプロセッサ40は、その格納されたI/O要求を読出し、そのI/O要求においてリード要求されているデータ(つまりリードデータ)がキャッシュメモリ43に存在するか否かの判別を行う。
その判別の結果が肯定的の場合、すなわち、リードデータがキャッシュメモリ43に存在する場合(キャッシュヒットした場合)、チャネルプロセッサ40は、キャッシュメモリ43からDTA44を介してリードデータを取得し、そのリードデータを、iSCSIポート38を介してホスト装置5に送信する。
一方、上記判別の結果が否定的の場合、すなわち、リードデータがキャッシュメモリ43に存在しない場合(キャッシュミスした場合)、チャネルプロセッサ40は、所定LDEV35内のリードデータをいったんキャッシュメモリ43にリードすることをディスクアダプタ43Aのマイクロプロセッサ(以下、「ディスクプロセッサ」と言う)に指示するための制御情報をMPA42を介して共有メモリ47に格納する。ディスクプロセッサがその制御情報を読み出すことにより、ディスクプロセッサによって、所定LDEV35からリードデータがリードされてキャッシュメモリ43に格納される。その後、チャネルプロセッサ40は、そのリードデータをキャッシュメモリ43から取得してホスト装置5に送信する。
(2)I/O要求がライト要求を示す場合。
ホスト装置5から出力された、ライトデータを含んだI/O要求は、iSCSIポート38のバッファ121に格納される。チャネルプロセッサ40は、その格納されたI/O要求を読出し、キャッシュメモリ43上の所定領域(以下、所定キャッシュスロット)にデータが存在するか否かの判別を行う。
その判別の結果が肯定的の場合、すなわち、データが所定のキャッシュスロットに存在する場合(キャッシュヒットした場合)、チャネルプロセッサ40は、上記読み出したI/O要求に含まれているライトデータを、上記所定のキャッシュスロット内のデータに上書きする。
一方、上記判別の結果が否定的の場合、すなわち、データが所定のキャッシュスロットに存在しない場合(キャッシュミスした場合)、チャネルプロセッサ40は、上記読み出したI/O要求から特定されるLDEVからデータをいったんキャッシュメモリ43にリードすることをドライブ制御部107に指示する。それにより、ディスクアダプタ107によって、そのデータ記憶領域からデータがリードされて所定のキャッシュスロットに格納されたならば、チャネルプロセッサ40は、上記所定のキャッシュスロットに格納されたデータに、上記読み出したI/O要求に含まれているライトデータを上書きする。
このようにして、キャッシュメモリ43にライトデータが書き込まれたときは、当該ライト要求は終了したものとして、記憶制御システム30からホスト装置5に終了報告が返される。なお、キャッシュメモリ43にライトデータが書き込まれた時点では、一般に、そのデータは所定LDEV35には反映されておらず、その後に、ディスクプロセッサによって、キャッシュメモリ43からライトデータが読み出され所定LDEVに書き込まれる。
以上が、記憶制御システム3におけるデータのリード及びライトの処理流れの概要である。
以下、本実施形態に係るシステムについて、主要な部分について詳細に説明する。
図3及び図4は、共有メモリ47に格納されるデータテーブル群51の構成を示す。
データテーブル群51には、図3に示すように、ホスト接続パラメータエントリテーブル(以下、「HPテーブル」と表記)53、ホスト管理テーブル57、LUN第1管理テーブル59及びLUN第2管理テーブル60が含まれている。また、データテーブル群51には、図4に示すように、LDEV管理テーブル61及び許可アクセス種別設定ルールテーブル63が含まれている。
図3に示すように、HPテーブル53は、ホスト装置5、15又は31毎に用意されるテーブルである。このHPテーブル53には、HPテーブルID(識別情報)と共に、iSCSIプロトコルに基づく通信のために必要な種々の通信情報が登録される。その通信情報には、例えば、ホストiSCSIネーム、IPアドレス、TCP/IPオプション、iSCSIオプション、第1iSCSIパラメータ及び第2iSCSIパラメータが登録される。これらの情報のうち、ホストiSCSIネーム、IPアドレス、TCP/IPオプション、iSCSIオプション及び第1iSCSIパラメータは、iSCSIプロトコルに基づくホストからのログイン要求の際にそのホスト装置から受ける情報であり、第2iSCSIパラメータは、後述するネットワークアドレス判定時に決定される情報である。従って、「ホストiSCSIネーム」は、そのログイン要求元のホスト装置(具体的にはそれのiSCSIポート)に割当てられたiSCSIネームである。「IPアドレス」は、ログイン要求元のホスト装置(具体的にはそれのiSCSIポート)に割当てられたIPアドレス(又は、そのホスト装置が接続されたネットワークにおける中継器(例えばゲートウェイ)に割当てられたグローバルIPアドレス)である。「TCP/IPオプション」は、例えば、TCP/IPプロトコル固有情報、DHCP(Dynamic Host Configuration
Protocol)使用有無、及び/又はDNS(Domain
Name System)使用有無を含んだ情報である。「iSCSIオプション」は、iSCSIプロトコル固有情報、CHAP(Challenge Handshake
Authentication Protocol)使用有無、及び/又はタイムアウト値を含んだ情報である。「第1iSCSIパラメータ」は、コネクション数及びiSCSI転送長/転送数の少なくとも1つを含む情報である。「第2iSCSIパラメータ」は、許可アクセス種別を含む情報である。許可アクセス種別には、複数種類があり、例えば、リード及びライトの両方を許可することを意味する「RW」、リード及びライトのうちリードのみを許可することを意味する「RO」、及び、リード及びライトのいずれも許可しないことを意味する「RJT」(「reject」の略)がある。
Protocol)使用有無、及び/又はDNS(Domain
Name System)使用有無を含んだ情報である。「iSCSIオプション」は、iSCSIプロトコル固有情報、CHAP(Challenge Handshake
Authentication Protocol)使用有無、及び/又はタイムアウト値を含んだ情報である。「第1iSCSIパラメータ」は、コネクション数及びiSCSI転送長/転送数の少なくとも1つを含む情報である。「第2iSCSIパラメータ」は、許可アクセス種別を含む情報である。許可アクセス種別には、複数種類があり、例えば、リード及びライトの両方を許可することを意味する「RW」、リード及びライトのうちリードのみを許可することを意味する「RO」、及び、リード及びライトのいずれも許可しないことを意味する「RJT」(「reject」の略)がある。
ホスト管理テーブル57には、ホスト装置からのアクセス制御に使用するための種々の情報が登録される。具体的には、例えば、ホスト管理テーブル57には、複数のホストiSCSIネームにそれぞれ対応したHPテーブルID、IPアドレス及び許可アクセス種別が登録される。初期的には、ホストiSCSIネームのみが登録されており、その他の情報はブランクの状態になっている。なお、ホスト5,15又は31から記憶制御システム3へのログイン要求のときに記憶制御システム3が受けたIPアドレスがグローバルIPアドレスの場合には、ホスト管理テーブル57には、2種類以上のiSCSIネームに対して同一のIPアドレスが設定される場合がある。
LUN第1管理テーブル59には、どのホスト装置からどのLUNの指定を受け付けるかに関する情報が登録される。具体的には、例えば、LUN第1管理テーブル59には、複数のiSCSIネーム(すなわち複数のホスト)の各々に対応した1以上のLUNが登録される。これは、例えば、予めユーザによって初期的に完全な状態で用意される。また、適当なタイミングで、ユーザによって編集されても良い。
LUN第2管理テーブル60には、どのLUNがどのLDEV#に対応付いているかに関する情報が登録される。具体的には、例えば、LUN第2管理テーブル60には、複数種類のLUNにそれぞれ対応したLDEV#が登録されている。
図4に示すように、LDEV管理テーブル61には、各LDEV35に関する情報が登録される。具体的には、例えば、LDEV管理テーブル61には、複数のLDEV35の各々に対応したLDEV#、開始アドレス、及びデータ記憶サイズ等が登録される。
許可アクセス種別設定ルールテーブル63には、どのようなIPアドレスを受けた場合にログイン要求元ホストに対してどんなアクセス種別を許可するかに関する情報が登録される。具体的には、例えば、許可アクセス種別設定ルールテーブル63には、複数種類のネットマスクの各々に対応した許可アクセス種別(例えば「RW」、「RO」及び「RJT」のいずれか1つ)が登録されている。
なお、ネットマスクは、ホストのログイン要求の際に受けるログイン要求側のIPアドレス(以下、「ターゲットIPアドレス」)と、記憶制御システム3のiSCSIポート38に記憶されているIPアドレス(以下、「自機IPアドレス」)とから、ログイン要求元ホストがどのようなネットワークに属するのかを判別するために使用されるものである。
例えば、IPアドレスが、図示のように「.(ピリオド)」で区切られた4つの数字を含んでいる場合、ネットマスク「255.255.255.0」は、ターゲットIPアドレスと自機IPアドレスとにおける初め(左側)の3つの数字が同じで最後の1つの数字が異なること、換言すれば、ネットワーク相対論理距離が小程度(例えばゼロ)であることを意味する。すなわち、例えば、小遠隔ネットワーク2(図1参照)に属する小遠隔ネット接続ホスト5に対しては、許可アクセス種別として「RW」が設定される。
また、ネットマスク「255.255.0.0」は、ターゲットIPアドレスと自機IPアドレスとにおいける初めの2つの数字が同じで残りの2つの数字が異なること、換言すれば、ネットワーク相対論理距離が中程度であることを意味する。すなわち、例えば、中遠隔ネットワーク4(図1参照)に属する中遠隔ネット接続ホスト15に対しては、許可アクセス種別として「RO」が設定される。
また、ネットマスク「255.0.0.0」は、ターゲットIPアドレスと自機IPアドレスとが、最初の1つの数字が同じで残りの3つの数字が異なることを意味する。また、ネットマスク「0.0.0.0」は、ターゲットIPアドレスと自機IPアドレスとには、同じ場所に同じ数字が全く存在しないことを意味する。これら2つのネットマスク「255.0.0.0」及び「0.0.0.0」は、換言すれば、ネットワーク相対論理距離が大程度であることを意味する。すなわち、例えば、大遠隔ネットワーク6(図1参照)に属する大遠隔ネット接続ホスト31に対しては、許可アクセス種別として「RJT」が設定される。
以上が、データテーブル群51に含まれる各種テーブルについての説明である。なお、データテーブル群51のうちの少なくとも1つのテーブルは、共有メモリ47以外の場所、例えば、物理ディスク群39或いはiSCSIポート38のローカルメモリ(例えば不揮発性メモリ)123に格納されていても良い。
図5は、iSCSIに関する通信におけるプロトコル構成を示す。図6は、その通信において送受信されるコマンドの構成を示す。
図5に示すように、iSCSIプロトコルに基づく通信のために、ホスト装置5(15及び31)には、下位層から上位層にかけて順に言うと、物理層及びデータリンク層71、IPプロトコル層72、TCPプロトコル層73、iSCSIプロトコル層74、SCSIプロトコル層75及びSCSIアプリケーション層76が備えられている。
一方、記憶制御システム3には、下位層から上位層にかけて順に言うと、物理層及びデータリンク層81、IPプロトコル層82、TCPプロトコル層83、iSCSIプロトコル層84、SCSIプロトコル層85及びデバイスサーバ層86が備えられている。
ホスト装置5のSCSIアプリケーション層76からSCSIプロトコル層75を介して出力されるコマンドは、図6(A)に例示するように、コマンド及びデータ(又はコマンドのみ)を含んだコマンドフレーム(具体的には、例えば、ライト又はリード等のオペレーションコードが先頭バイトに含まれる6バイトのコマンドフレーム)である。そして、そのコマンドフレームが、iSCSIプロトコル層74に到達し、その層74からデータリンク層及び物理層71から出力されると、図6(B)に示すような情報フレーム、すなわち、SCSIコマンドパケットが、iSCSIPDUユニット、TCPパケット、IPパケット及びイーサネットヘッドパケットに包まれた情報フレームになる。なお、PDUは、Protocol Data Unitの略であり、このPDUには、ホスト装置が記憶制御システム3に対して指定するLUNや、CDB(Command
Descriptor Block)が含まれる。
Descriptor Block)が含まれる。
図5に示したプロトコル構成の下では、データリンク層及び物理層71、81同士、IPプロトコル層72、82同士、TCPプロトコル層73、83同士、iSCSIプロトコル層74、84同士、SCSIプロトコル層75、85同士、及びSCSIアプリケーション層76とデバイスサーバ層86同士が順にセッションすることにより、ホスト装置から出力されたI/O要求を記憶制御システム3が受信しその記憶制御システム3がそのI/O要求に基づく処理を実行することが行われる。
例えば、データリンク層及び物理層71、81同士のセッションでは、ARP(Address Resolution Protocol)要求とそれに対するARP応答が行われることにより、互いに、通信相手のMAC(Media
Access Control)アドレスが取得される。IPプロトコル層72、82同士のセッションでは、ping要求とそれに対するping応答が行われることにより、互いに、相手(IPアドレス)が存在するかの確認が行われる。具体的には、例えば、ログイン要求元ホストが接続されたネットワーク(以下、「ターゲットネットワーク」)から記憶制御システム3に送信される。また、TCPプロトコル層73、83同士のセッションでは、シーケンス番号を同期させるための3つのパケットがやりとりされる。また、iSCSIプロトコル層74、84同士のセッションでは、ログイン要求とそれに対するログイン応答がやり取りされるログインフェーズによって、iSCSIの接続が確立される(例えば、IPアドレス、ログイン要求元ホストのiSCSIネーム及びTCPポート番号がターゲットネットワークから記憶制御システム3に送信される)。また、SCSIプロトコル層75、85同士のセッションでは、リード要求又はライト要求を含んだSCSIコマンドがホストから記憶制御システム3へ送信される。SCSIアプリケーション層76とデバイスサーバ層86同士のセッションでは、ライトデータがホストから記憶制御システム3に送信される、又は、リードデータが記憶制御システム3からホストへ送信される。
Access Control)アドレスが取得される。IPプロトコル層72、82同士のセッションでは、ping要求とそれに対するping応答が行われることにより、互いに、相手(IPアドレス)が存在するかの確認が行われる。具体的には、例えば、ログイン要求元ホストが接続されたネットワーク(以下、「ターゲットネットワーク」)から記憶制御システム3に送信される。また、TCPプロトコル層73、83同士のセッションでは、シーケンス番号を同期させるための3つのパケットがやりとりされる。また、iSCSIプロトコル層74、84同士のセッションでは、ログイン要求とそれに対するログイン応答がやり取りされるログインフェーズによって、iSCSIの接続が確立される(例えば、IPアドレス、ログイン要求元ホストのiSCSIネーム及びTCPポート番号がターゲットネットワークから記憶制御システム3に送信される)。また、SCSIプロトコル層75、85同士のセッションでは、リード要求又はライト要求を含んだSCSIコマンドがホストから記憶制御システム3へ送信される。SCSIアプリケーション層76とデバイスサーバ層86同士のセッションでは、ライトデータがホストから記憶制御システム3に送信される、又は、リードデータが記憶制御システム3からホストへ送信される。
本実施形態では、記憶制御システム3は、上述したログインフェーズでターゲットネットワークから受ける情報に基づいて、ログイン要求元ホストからのアクセス(例えばログイン又はその後のアクセス)を制御する。以下、図7を参照して、記憶制御システム3において行われるログイン要求元ホストからのアクセス制御の処理流れを説明する。
まず、iSCSIポート38のプロトコル処理部122が、ターゲットネットワークからログイン要求を受ける(ステップS1)。そのログイン要求には、例えば、TCPポート番号、ログイン要求元ホストのiSCSIネーム、及びIPアドレス(例えば、ログイン要求元ホストのIPアドレス又はターゲットネットワークの中継器(例えばゲートウェイ)に割当てられたグローバルIPアドレス)が含まれている。これらの情報は、例えば、ユーザによってホストに入力されホストの記憶装置に記憶されて読み出されたものであっても良い。また、これらの情報は、DNS(Domain Name System)等により、同一ネットワークに所属する1以上のホストを管理するホスト管理装置からログイン要求元ホストが取得した情報であっても良い。
S1において、iSCSIポート38がログイン要求を受けた場合、iSCSIポート38のプロトコル処理部122が、そのログイン要求に対してプロトコル処理(例えばパケットの開封処理)を行い、その処理によって得られた情報(例えば、TCPポート番号、ログイン要求元ホストのiSCSIネーム、及びIPアドレス等)を、所定の又は任意に選択したターゲットチャネルプロセッサ40に渡す。また、プロトコル処理部122は、HPテーブルIDを生成し、それを、上記ターゲットチャネルプロセッサ40に渡す。
ターゲットチャネルプロセッサ40は、プロトコル処理部122から受けたHPテーブルIDを有する新たなHPテーブル53(つまり、ログイン要求元ホストに対応した新たなHPテーブル53)を準備する。そして、ターゲットチャネルプロセッサ40は、プロトコル処理部122から受けた情報(例えば上記iSCSIネーム等)に基づいて、上記準備したHPテーブル53に、上述したホストiSCSIネーム、IPアドレス、TCP/IPオプション、iSCSIオプション及び第1iSCSIパラメータを書き込む(S2)。
次に、チャネルプロセッサ40は、新たなHPテーブル53に書き込んだホストiSCSIネームが、ホスト管理テーブル57に予め登録されている複数のiSCSIネームのうちのいずれかと一致するか否かを判別する(S3)。
S3の判別の結果、否定的な結果が得られた場合は(S3でN)、チャネルプロセッサ40は、以後、ログイン要求元ホストに対して何ら応答しない(S8)。すなわち、iSCSIプロトコルの下では、チャネルプロセッサ40は、ログイン要求に対するログイン応答して、ログインを許可することを意味する「ログイン許可」と、ログインを許可しないことを意味する「ログイン拒否」との2種類のログイン応答のいずれかを、プロトコル処理部122を介して返すことができるが、この実施形態では、S3で否定的な結果が得られた場合には、ログイン拒否さえも返さない(この場合、タイムアウトによりコネクションが切断されるようにする)。なお、この実施形態の一つの変形例として、許可アクセス種別「RJT」については、応答種別として、「何も応答しない」と、「ログイン拒否の応答を返す」の2種類の応答種別を用意し、ターゲットネットワークの種別に基づいて応答種別が選択されるようにしても良い(例えば、ネットワーク相対論理距離が単なる大ならば、応答種別として「ログイン拒否」が選択され、当該論理距離が一層大ならば、応答種別として「何も応答しない」が選択されても良い)。
さて、一方、S3の判別の結果、肯定的な結果が得られた場合(S3でY)、チャネルプロセッサ40は、ホスト管理テーブル57における、ログイン要求元ホストのiSCSIネーム(以下、「ターゲットiSCSIネーム」と言う)に対応した情報項目欄を埋める(S4)。
具体的には、例えば、チャネルプロセッサ40は、新たなHPテーブル53のHPテーブルIDを、ターゲットiSCSIネームに対応したHPテーブルID欄に書き込む。
また、チャネルプロセッサ40は、iSCSIポート38のプロトコル処理部122から受信したターゲットIPアドレスを、ターゲットiSCSIネームに対応したIPアドレス欄に書き込む。
また、チャネルプロセッサ40は、ターゲットIPアドレスと、ログイン要求を受けたiSCSIポート38が記憶する自機IPアドレスとを、許可アクセス種別設定ルールテーブル63(特に、それに記録されている複数種類のネットマスク)を用いて比較するネットワークアドレス判定を実行する。そして、チャネルプロセッサ40は、その比較の結果に基づいて、複数の許可アクセス種別の中から任意の許可アクセス種別を選択し、選択された許可アクセス種別を、ターゲットiSCSIネームに対応した許可アクセス種別欄に書き込む。
S4において、許可アクセス種別が「RO」及び「RW」の場合、チャネルプロセッサ40は、ログイン許可をプロトコル処理部122を介してログイン要求元ホストに通知する(S5)。
S5の後、チャネルプロセッサ40は、上記選択された許可アクセス種別を、上記新たなHPテーブル53に第2iSCSIパラメータとして設定する(S6)。その後、チャネルプロセッサ40は、ログイン要求元のiSCSIネームに対応した1又は複数個のLUNをLUN第1管理テーブルから取得し、取得した1又は複数個のLUNを、ログイン要求元ホストに通知する(S7)。これにより、ログインフェーズは終了し、以後、SCSIコマンドを含んだイーサネットフレーム(図6の(B)参照)の受信が可能になる。
なお、S4において、許可アクセス種別が「RJT」の場合、チャネルプロセッサ40は、ログイン要求元ホストに対して何ら応答しない(S8)。
以上の一連の流れにより、ホスト管理テーブル57に、各ホスト毎に対して設定した許可アクセス種別が登録され、ログインフェーズが終了する。この後、例えば次のようにしてアクセス制御が行われる。
まず、iSCSIポート38が、LUNを含んだI/O要求(イーサネットフレーム)をホストから受け、そのI/O要求が、iSCSIポート38のバッファ121に一時的に格納される。
その場合、プロトコル処理部122は、そのバッファ121に蓄積されたI/O要求に含まれているLUNと、ローカルメモリ123に記憶されているアクセス可能LUNとが一致するか否かを判断し、否定的であれば所定のエラー処理を実行する(例えばI/O要求を消去する等して、そのI/O要求を実行しない)。
一方、その判断の結果が肯定的であれば、プロトコル処理部122がその旨をチャネルプロセッサ40に通知する。チャネルプロセッサ40は、バッファ121に蓄積されたI/O要求に含まれているIPアドレス又はiSCSIネームに対応した許可アクセス種別をホスト管理テーブル57から識別する。そして、チャネルプロセッサ40は、識別された許可アクセス種別と、上記取得したI/O要求が指し示すアクセス種別とが適合するか否かを比較する。
その比較の結果が否定的である場合、チャネルプロセッサ40は、所定のエラー処理を実行する。具体的には、例えば、許可アクセス種別が「RO」であるにも関わらず、I/O要求がライト要求であることが認識された場合(例えば、図6(A)に示したSCSIコマンドの先頭バイトに「ライト」が記述されている場合)、チャネルプロセッサ40は、I/O要求送信元ホストにエラー(例えば、不当コマンド受領)を応答する。なお、許可アクセス種別が「RO」の場合、ログインフェーズ終了後、I/O要求を受けたか否かに関わらず、チャネルプロセッサ40は、リードコマンドは実行するがライトコマンドは実行できない旨を、ログイン要求元ホストに通知しても良い。また、例えば、許可アクセス種別が「RW」の場合、ログインフェーズ終了後、I/O要求を受けたか否かに関わらず、チャネルプロセッサ40は、リードコマンド及びライトコマンドの双方を実行する旨を、ログイン要求元ホストに通知しても良い。
一方、上記比較の結果が肯定的であれば(例えば、許可アクセス種別が「RW」である場合にI/O要求がリード要求又はライト要求であることが認識された場合)、チャネルプロセッサ40は、I/O要求送信元ホストのiSCSIネームに対応した1又は複数のLUNをLUN第1管理テーブル59から取得し、取得した1又は複数のLUNに、I/O要求に含まれるLUNと一致するLUNが存在するか否かを判定する。
その判定の結果が否定的であれば、チャネルプロセッサ40は、I/O要求発行元ホストに違うLUNを指定するよう指示する等の所定のエラー処理を実行する。
一方、その判定の結果が肯定的であれば、チャネルプロセッサ40は、I/O要求に含まれるLUNに対応したLDEV#をLUN第2管理テーブル60から取得し、取得されたLDEV#に対応したLDEVに対してデータのリード又はライトを行うよう所定のディスクプロセッサに指示する。それにより、I/O要求発行元ホストが発行したI/O要求に基づく処理が完了する。
以上が、この実施形態についての説明である。なお、この実施形態では、例えば、図7を参照して説明した処理、及び、許可アクセス種別設定後のアクセス制御処理は、チャネルプロセッサ40以外の要素、例えば、iSCSIポート38のプロトコル処理部122が所定のマイクロプログラムにより実行しても良い。また、この実施形態では、例えば、IPアドレス及びiSCSIネームの少なくとも一方は、記憶制御システム3に固有のものであっても良いし、各iSCSIポート38毎に固有のものであっても良い。また、ログインフェーズでは、iSCSIネームに代えて又は加えて、別の種類のホスト識別情報(例えばMACアドレス)がターゲットネットワークから記憶制御システム3に送信されても良い。
以上、上述した実施形態によれば、ターゲットIPアドレスと自機IPアドレスとの比較の結果、換言すれば、上述したネットワーク相対論理距離に基づいて、許可アドレス種別が設定される。すなわち、ログイン要求元ホストが所属する通信ネットワークが、記憶制御システム3が含まれた通信ネットワーク2から論理的にどれだけ離れた場所にあるかに基づいて、そのログイン要求元ホストが行えるアドレス種別が決定される。換言すれば、記憶制御システム3が含まれる通信ネットワーク2を基準とする各通信ネットワーク2,4及び6のネットワーク相対論理距離に応じて、各通信ネットワーク2、4、6がレベル分けされ、各レベルに基づいて、許可アクセス種別が決定される。これにより、通信ネットワーク単位でアクセス制御を行うことが可能になる。
また、上述した実施形態によれば、不正アクセスの可能性が高いと考えられる通信ネットワークに所属するホストからのアクセスに対して記憶制御システム3は何ら応答を返さない。これにより、そのホストに対して記憶制御システム3の存在が知らされないので、高いセキュリティが図れる。
以上、本発明の好適な実施形態を説明したが、これは本発明の説明のための例示であって、本発明の範囲をこの実施形態及び変形例にのみ限定する趣旨ではない。本発明は、他の種々の形態でも実施することが可能である。例えば、本発明は、iSCSIプロトコルに基づく通信環境だけでなく、1又は複数の通信ネットワークを介してアクセスを受ける種々の環境下に適用可能である。また、例えば、リードやライトに限らず、他種のSCSIコマンドコード(抽象的にはアクセス種別)毎に、どのような応答を返すかが対応付けられたテーブルが用意されていて、ログイン後にSCSIコマンドを受けた場合、当該テーブルとそのSCSIコマンドコードに基づいて、応答の内容が選択されても良い。
1・・・インターネット、2・・・小遠隔ネットワーク、3・・・記憶制御装置、4・・・中遠隔ネットワーク、5・・・小遠隔ネット接続ホスト、6・・・大遠隔ネットワーク、7・・・小遠隔ネット側スイッチ、9・・・中遠隔ネット側スイッチ、13、21及び38・・・iSCSIポート、35・・・LDEV(論理デバイス)、37A、37B・・・チャネルアダプタ、39・・・物理ディスク群、40・・・チャネルプロセッサ、41A、41B・・・ディスクアダプタ、43・・・キャッシュメモリ、45・・・スイッチング制御部、47・・・共有メモリ
Claims (10)
- 1又は複数の通信ネットワークを介して上位装置に接続された記憶制御装置において、
上位装置からのアクセスを1又は複数の通信ネットワークを介して受けるiSCSIポートと、前記iSCSIポートから出力された情報に対する処理を行う1又は複数のチャネルプロセッサとを備えたチャネルアダプタと、
前記上位装置が接続されるターゲット通信ネットワークの属性を表す複数種類のターゲットネットワーク属性にそれぞれ対応した複数種類の許可アクセス種別を記憶する1又は複数のメモリと、
前記上位装置から受信するライトデータ及び/又は前記上位装置に送信されるリードデータを記憶するデータ記憶装置と
を備え、
前記チャネルアダプタは、IPアドレスを含むアクセスを前記上位装置から前記iSCSIポートで受け、前記IPアドレスに基づいて、前記ターゲット通信ネットワークの属性を判断して、前記判断されたターゲット通信ネットワーク属性に対応した許可アクセス種別を、前記1又は複数のメモリ内の情報を参照することにより識別し、前記識別された許可アクセス種別の、前記データ記憶装置に対するアクセスを、前記上位装置に対して許可する、
記憶制御装置。 - 前記1又は複数のメモリは、複数の上位装置にそれぞれ対応した複数の上位装置識別情報を記憶し、
前記チャネルアダプタは、IPアドレス及び上位装置識別情報を含むアクセスを前記上位装置から受けた場合、その上位装置識別情報が前記1又は複数のメモリに記憶されていなければ、前記上位装置に対してアクセスを許可しない、
請求項1記載の記憶制御装置。 - 前記1又は複数のメモリは、前記iSCSIポート又は前記記憶制御装置に割当てられた自装置IPアドレスを記憶し、
前記ターゲットネットワーク属性は、前記記憶制御装置が接続される自装置通信ネットワークと前記ターゲット通信ネットワークとの論理的な距離を表すネットワーク論理距離であり、
前記複数種類のアクセス種別は、前記複数種類のネットワーク論理距離にそれぞれ対応付けられており、且つ、前記複数種類のアクセス種別の各々は、対応付けられた前記ネットワーク論理距離が大になればなるほど、前記上位装置の前記データ記憶装置に対するアクセス可能行為数が少ないことを意味する種別になっており、
前記チャネルアダプタは、前記自装置IPアドレスと前記IPアドレスとに基づいて、前記ネットワーク論理距離を判断する、
請求項1記載の記憶制御装置。 - 前記ネットワーク論理距離が小に対応した許可アクセス種別は、前記上位装置に対して前記データ記憶装置へのリード及びライトの両方を許可することを意味する種別であり、
前記ネットワーク論理距離が中に対応した許可アクセス種別は、前記上位装置に対して前記データ記憶装置へのリード及びライトのうちリードのみを許可することを意味する種別であり、
前記ネットワーク論理距離が大に対応した許可アクセス種別は、前記上位装置に対して前記データ記憶装置へのリード及びライトのうちうちのいずれも許可しないことを意味する種別である、
請求項3記載の記憶制御装置。 - 1又は複数の通信ネットワークを介して上位装置に接続されたアクセス制御装置において、
ターゲット上位装置からのアクセスを1又は複数の通信ネットワークを介して受けるアクセス受け手段と、
前記ターゲット上位装置からのアクセスに含まれる情報に基づいて、前記ターゲット上位装置が接続されるターゲット通信ネットワークに関する属性であるターゲットネットワーク属性を識別し、識別されたターゲットネットワーク属性に基づいて、前記ターゲット上位装置に対して許可するアクセス種別を制御するアクセス制御手段と
を備えるアクセス制御装置。 - 前記ターゲット通信ネットワークの論理的位置及び/又は種別を表す複数種類のターゲットネットワーク位置/種別にそれぞれ対応した複数種類の許可アクセス種別を記憶するアクセス制御用情報記憶手段を更に備え、
前記アクセス制御手段は、前記ターゲット上位装置からのアクセスに含まれる情報に基づいて、前記ターゲットネットワーク位置/種別を識別し、識別されたターゲットネットワーク位置/種別に対応した許可アクセス種別を、前記アクセス制御用情報記憶手段が記憶する情報を参照することにより識別し、前記識別された許可アクセス種別に対応したアクセスを前記ターゲット上位装置に対して許可する、
請求項5記載のアクセス制御装置。 - 前記アクセス制御手段は、ターゲットIPアドレスを含むアクセスを前記ターゲット上位装置から受け、前記ターゲットIPアドレスに基づいて、前記ターゲットネットワーク位置を判断する、
請求項6記載のアクセス制御装置。 - 前記アクセス制御用情報記憶装置は、前記アクセス制御装置に割当てられた自装置IPアドレスを更に記憶し、
前記ターゲットネットワーク位置は、前記アクセス制御装置が接続される自装置通信ネットワークと前記ターゲット通信ネットワークとの論理的な距離を表すネットワーク論理距離であり、
前記複数種類のアクセス種別は、前記複数種類のネットワーク論理距離にそれぞれ対応付けられており、且つ、前記複数種類のアクセス種別の各々は、対応付けられた前記ネットワーク論理距離が大になればなるほど、前記ターゲット上位装置のアクセス可能行為数が少ないことを意味する種別になっており、
前記アクセス制御手段は、ターゲットIPアドレスを含むアクセスを前記ターゲット上位装置から受け、前記自装置IPアドレスと前記ターゲットIPアドレスとに基づいて、前記ネットワーク論理距離を判断する、
請求項6記載のアクセス制御装置。 - 複数の上位装置にそれぞれ対応した複数の上位装置識別情報を記憶するアクセス制御用情報記憶装置を更に備え、
前記アクセス制御手段は、前記ターゲット上位装置のターゲット上位装置識別情報を含むアクセスを前記ターゲット上位装置から受けた場合、そのターゲット上位装置識別情報が前記アクセス制御用記憶装置に記憶されていなければ、前記ターゲット上位装置に対してアクセスを許可しない、
請求項5記載のアクセス制御装置。 - 上位装置が1又は複数の通信ネットワークを介して下位装置にアクセスすることを制御するための方法において、
ターゲット上位装置から出力されたアクセスに含まれる所定情報に基づいて、前記ターゲット上位装置が接続されるターゲット通信ネットワークに関する情報であるターゲットネットワーク情報を識別するステップと、
前記識別されたターゲットネットワーク情報に基づいて、前記ターゲット上位装置に対して許可するアクセス種別を制御するステップと
を有するアクセス制御方法。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003396625A JP2005157826A (ja) | 2003-11-27 | 2003-11-27 | アクセス制御装置及び方法 |
| US10/768,147 US7127543B2 (en) | 2003-11-27 | 2004-02-02 | Access control apparatus and access control method |
| DE102004013116A DE102004013116B4 (de) | 2003-11-27 | 2004-03-17 | Speichersteuervorrichtung, Zugriffssteuervorrichtung und Zugriffssteuerverfahren |
| GB0408538A GB2408602B (en) | 2003-11-27 | 2004-04-16 | Access control apparatus and access control method |
| FR0404022A FR2863073B1 (fr) | 2003-11-27 | 2004-04-16 | Dispositif et procede de controle d'acces |
| US11/076,868 US20050160275A1 (en) | 2003-11-27 | 2005-03-11 | Access control appartus and access control method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003396625A JP2005157826A (ja) | 2003-11-27 | 2003-11-27 | アクセス制御装置及び方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005157826A true JP2005157826A (ja) | 2005-06-16 |
Family
ID=32322192
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003396625A Withdrawn JP2005157826A (ja) | 2003-11-27 | 2003-11-27 | アクセス制御装置及び方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US7127543B2 (ja) |
| JP (1) | JP2005157826A (ja) |
| DE (1) | DE102004013116B4 (ja) |
| FR (1) | FR2863073B1 (ja) |
| GB (1) | GB2408602B (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014064824A1 (ja) * | 2012-10-26 | 2014-05-01 | Necディスプレイソリューションズ株式会社 | 識別子制御装置、識別子制御システム、多画面表示システム、識別子制御方法及びプログラム |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4266725B2 (ja) * | 2003-06-27 | 2009-05-20 | 株式会社日立製作所 | 記憶システム |
| US8850141B2 (en) * | 2003-07-15 | 2014-09-30 | International Business Machines Corporation | System and method for mirroring data |
| JP4327630B2 (ja) | 2004-03-22 | 2009-09-09 | 株式会社日立製作所 | インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置 |
| US7644289B2 (en) * | 2004-03-23 | 2010-01-05 | Harris Corporation | Modular cryptographic device providing enhanced communication control features and related methods |
| JP2007133807A (ja) * | 2005-11-14 | 2007-05-31 | Hitachi Ltd | データ処理システム、ストレージ装置及び管理装置 |
| US7539790B1 (en) * | 2005-11-15 | 2009-05-26 | 3Par, Inc. | Reducing latency in SCSI protocol |
| CN100579063C (zh) * | 2006-05-29 | 2010-01-06 | 华为技术有限公司 | 多业务接入网的控制系统及控制方法 |
| US8756411B2 (en) * | 2010-12-06 | 2014-06-17 | Siemens Aktiengesellschaft | Application layer security proxy for automation and control system networks |
| CN102750230B (zh) * | 2011-04-19 | 2014-11-12 | 中国科学院数据与通信保护研究教育中心 | 一种通用串行总线存储设备的访问控制系统及方法 |
| CA2931098A1 (en) | 2013-09-27 | 2015-04-02 | Intel Corporation | Determination of a suitable target for an initiator by a control plane processor |
| JP7070095B2 (ja) * | 2018-05-28 | 2022-05-18 | ブラザー工業株式会社 | 通信装置のためのコンピュータプログラムと通信装置とサーバのためのコンピュータプログラム |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3228182B2 (ja) | 1997-05-29 | 2001-11-12 | 株式会社日立製作所 | 記憶システム及び記憶システムへのアクセス方法 |
| US6094683A (en) * | 1997-08-29 | 2000-07-25 | Intel Corporation | Link bundling in a network |
| US6226680B1 (en) | 1997-10-14 | 2001-05-01 | Alacritech, Inc. | Intelligent network interface system method for protocol processing |
| US6308273B1 (en) | 1998-06-12 | 2001-10-23 | Microsoft Corporation | Method and system of security location discrimination |
| US6434700B1 (en) * | 1998-12-22 | 2002-08-13 | Cisco Technology, Inc. | Authentication and authorization mechanisms for Fortezza passwords |
| US6684209B1 (en) | 2000-01-14 | 2004-01-27 | Hitachi, Ltd. | Security method and system for storage subsystem |
| US6754718B1 (en) | 2000-05-10 | 2004-06-22 | Emc Corporation | Pushing attribute information to storage devices for network topology access |
| US8019901B2 (en) | 2000-09-29 | 2011-09-13 | Alacritech, Inc. | Intelligent network storage interface system |
| US20020103913A1 (en) | 2001-01-26 | 2002-08-01 | Ahmad Tawil | System and method for host based target device masking based on unique hardware addresses |
| JP3972596B2 (ja) | 2001-04-20 | 2007-09-05 | 株式会社日立製作所 | ディスクアレイシステム |
| US20020188725A1 (en) * | 2001-05-31 | 2002-12-12 | Mani Babu V. | User verification service in a multimedia-capable network |
| EP1407342A2 (en) | 2001-06-14 | 2004-04-14 | Cable & Wireless Internet Services, Inc. | Secured shared storage architecture |
| US7734781B2 (en) | 2001-07-09 | 2010-06-08 | Savvis Communications Corporation | Methods and systems for shared storage virtualization |
| US6845403B2 (en) | 2001-10-31 | 2005-01-18 | Hewlett-Packard Development Company, L.P. | System and method for storage virtualization |
| US7055056B2 (en) | 2001-11-21 | 2006-05-30 | Hewlett-Packard Development Company, L.P. | System and method for ensuring the availability of a storage system |
| US20030105830A1 (en) | 2001-12-03 | 2003-06-05 | Duc Pham | Scalable network media access controller and methods |
| JP3993773B2 (ja) | 2002-02-20 | 2007-10-17 | 株式会社日立製作所 | ストレージサブシステム、記憶制御装置及びデータコピー方法 |
| JP4146653B2 (ja) | 2002-02-28 | 2008-09-10 | 株式会社日立製作所 | 記憶装置 |
| US7089587B2 (en) | 2002-04-04 | 2006-08-08 | International Business Machines Corporation | ISCSI target offload administrator |
| US6683883B1 (en) | 2002-04-09 | 2004-01-27 | Sancastle Technologies Ltd. | ISCSI-FCP gateway |
| US7844833B2 (en) * | 2002-06-24 | 2010-11-30 | Microsoft Corporation | Method and system for user protected media pool |
| US20040103220A1 (en) | 2002-10-21 | 2004-05-27 | Bill Bostick | Remote management system |
| US7043578B2 (en) * | 2003-01-09 | 2006-05-09 | International Business Machines Corporation | Method, system, and program for processing a packet including I/O commands and data |
| US7369570B2 (en) | 2003-03-03 | 2008-05-06 | Nec Corporation | iSCSI apparatus and communication control method for the same |
| JP4329412B2 (ja) | 2003-06-02 | 2009-09-09 | 株式会社日立製作所 | ファイルサーバシステム |
| JP4123088B2 (ja) * | 2003-08-06 | 2008-07-23 | 株式会社日立製作所 | ストレージネットワーク管理装置及び方法 |
| US20050157730A1 (en) * | 2003-10-31 | 2005-07-21 | Grant Robert H. | Configuration management for transparent gateways in heterogeneous storage networks |
-
2003
- 2003-11-27 JP JP2003396625A patent/JP2005157826A/ja not_active Withdrawn
-
2004
- 2004-02-02 US US10/768,147 patent/US7127543B2/en not_active Expired - Fee Related
- 2004-03-17 DE DE102004013116A patent/DE102004013116B4/de not_active Expired - Fee Related
- 2004-04-16 GB GB0408538A patent/GB2408602B/en not_active Expired - Fee Related
- 2004-04-16 FR FR0404022A patent/FR2863073B1/fr not_active Expired - Fee Related
-
2005
- 2005-03-11 US US11/076,868 patent/US20050160275A1/en not_active Abandoned
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014064824A1 (ja) * | 2012-10-26 | 2014-05-01 | Necディスプレイソリューションズ株式会社 | 識別子制御装置、識別子制御システム、多画面表示システム、識別子制御方法及びプログラム |
| US9966043B2 (en) | 2012-10-26 | 2018-05-08 | Nec Display Solutions, Ltd. | Identifier control device, identifier control system, multi-screen display system, identifier controlmethod, and program |
Also Published As
| Publication number | Publication date |
|---|---|
| GB2408602B (en) | 2005-11-30 |
| GB0408538D0 (en) | 2004-05-19 |
| DE102004013116B4 (de) | 2008-04-17 |
| FR2863073A1 (fr) | 2005-06-03 |
| DE102004013116A1 (de) | 2005-06-30 |
| FR2863073B1 (fr) | 2006-08-25 |
| GB2408602A (en) | 2005-06-01 |
| US7127543B2 (en) | 2006-10-24 |
| US20050120222A1 (en) | 2005-06-02 |
| US20050160275A1 (en) | 2005-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4311637B2 (ja) | 記憶制御装置 | |
| JP4512179B2 (ja) | ストレージ装置及びそのアクセス管理方法 | |
| JP3993773B2 (ja) | ストレージサブシステム、記憶制御装置及びデータコピー方法 | |
| US20050160275A1 (en) | Access control appartus and access control method | |
| JP4651230B2 (ja) | 記憶システム及び論理ユニットへのアクセス制御方法 | |
| US7917751B2 (en) | Distributed filesystem network security extension | |
| US20060109850A1 (en) | IP-SAN network access control list generating method and access control list setup method | |
| US20080022120A1 (en) | System, Method and Computer Program Product for Secure Access Control to a Storage Device | |
| US20110280252A1 (en) | Managing Virtual Ports in an Information Processing System | |
| US20080313187A1 (en) | Storage system capable of authenticating hosts on a network | |
| JP2004192305A (ja) | iSCSIストレージ管理方法及び管理システム | |
| US7139871B2 (en) | Method of managing storage system to be managed by multiple managers | |
| US20050216767A1 (en) | Storage device | |
| JP2007102761A (ja) | ストレージ装置へのアクセスを制限するためのシステムと方法 | |
| JP2007087059A (ja) | 記憶制御システム | |
| JP3744248B2 (ja) | ファイバチャネル接続ストレージサブシステム及びそのアクセス方法 | |
| US20050251684A1 (en) | Storage control system and storage control method | |
| JP2007072521A (ja) | 記憶制御システム及び記憶制御装置 | |
| US20090216886A1 (en) | Method of multi-path accessing remote logic device under linux system | |
| JP2007004710A (ja) | ストレージアクセス方式、データ転送装置、ストレージアクセス方法、及びプログラム | |
| JP4315142B2 (ja) | ストレージシステム及びストレージシステムのアクセス方法 | |
| TWI406545B (zh) | Linux系統下的多路徑訪問遠端邏輯設備的方法 | |
| KR102155256B1 (ko) | 이기종 환경에서 사용 가능한 스토리지 이중화 시스템 | |
| KR102139475B1 (ko) | 스토리지 이중화 장치 및 그 장치의 구축방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061023 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20061023 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20090525 |