JP3972596B2 - Disk array system - Google Patents

Disk array system Download PDF

Info

Publication number
JP3972596B2
JP3972596B2 JP2001121970A JP2001121970A JP3972596B2 JP 3972596 B2 JP3972596 B2 JP 3972596B2 JP 2001121970 A JP2001121970 A JP 2001121970A JP 2001121970 A JP2001121970 A JP 2001121970A JP 3972596 B2 JP3972596 B2 JP 3972596B2
Authority
JP
Japan
Prior art keywords
address
disk array
host
transfer
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001121970A
Other languages
Japanese (ja)
Other versions
JP2002318725A (en
Inventor
暁弘 萬年
育哉 八木沢
康行 味松
直人 松並
健司 村岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2001121970A priority Critical patent/JP3972596B2/en
Publication of JP2002318725A publication Critical patent/JP2002318725A/en
Application granted granted Critical
Publication of JP3972596B2 publication Critical patent/JP3972596B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は主として、コンピュータシステムの記憶システムとして用いられるディスクアレイシステムのための制御方式に係わり、特にディスクアレイシステムのアクセスセキュリティに関する。
【0002】
【従来の技術】
ディスクアレイシステムは、RAID(Redundant Arrays of Inexpensive Disks)とも呼ばれ、複数のディスク装置をアレイ状に配置した構成をとり、ホストからのリード要求(データの読み出し要求)およびライト要求(データの書き込み要求)をディスクの並列動作によって高速に処理するとともに、データに冗長データを付加することによって信頼性を向上させた記憶装置である。ディスクアレイシステムは、冗長データの種類と構成により5つのレベルに分類されている(論文:"A Case for Redundant Arrays of Inexpensive Disks(RAID)", David A.Patterson, Garsh Gibson, and Randy H.Katz, Computer Science Division Department of Electrical Engineering and Computer Sciences, University of California Berkeley ACM SIGMOD pp.109−116 1988)。
【0003】
ディスクアレイシステムは複数のディスクからなるディスク群を備えている。上記のようなディスクアレイを実現するためには、ホストからのリード/ライト要求を各ディスクへのリード/ライト要求に変換し、ライト時にはデータを各ディスクへ分散し、リード時には各ディスクからデータを集合するデータ分散・集合制御を行う必要がある。このような制御をディスクアレイ制御と呼ぶこととする。
【0004】
ホストからのリード/ライト要求は、一般的にLU(Logical Unit)と呼ばれる論理ユニット単位で行われる。
【0005】
ホストとディスクアレイを接続するインタフェースは、メインフレームとの接続では専用インタフェースが、オープンシステムとの接続ではSCSI(Small Computer System Interface)やファイバチャネルが用いられてきた。ところが、近年インターネットにより爆発的に普及した、IP(Internet Protocol)をプロトコルとして用いたネットワークでストレージを接続したいという要求が高まっており、IP上にSCSIのプロトコルを載せるiSCSI(Internet SCSI)という規格がIETF(Internet Engineering Task Force)において検討され、2000年6月の時点でInternet−Draftとしてdraft−satran−iscsi−01.txt が公開されている。
【0006】
iSCSIを一例とするIPストレージ技術により、IPネットワークにストレージデバイスが直接接続可能になると、ディスクアレイシステムを含むストレージデバイスへのアクセス性は飛躍的に向上する。
【0007】
【発明が解決しようとする課題】
iSCSI技術により、IPネットワークにディスクアレイシステムが直接接続され、IPネットワーク上の計算機からディスクアレイシステムが簡単にアクセス可能になると、それだけ不正アクセスの機会も増大することとなり、不正アクセスを防ぐセキュリティ機能が重要となる。
【0008】
ファイバチャネルで構成されSAN(Storage Area Network)と呼ばれるストレージ専用のネットワークでホストおよびディスクアレイシステムが接続されていた時には、あるLUに対してあらかじめ設定しておいたホスト以外からのアクセスを不正アクセスとみなして受け付けないLUNセキュリティ機能を使用してデータ転送におけるセキュリティを高めていた。LUNセキュリティ機能については、特開平10−333839号公報において開示されている。
【0009】
ところが、iSCSI技術により、SCSIのプロトコルがIPの内部にカプセル化されてしまうと、ネットワーク上を流れるIPのパケットを見ただけでは単純にLUを特定することができなくなる。アクセス先のLUおよびアクセス元のホストを特定する為には、IPパケットの中にあるTCPパケットのさらに中にあるiSCSIのパケットを解析する必要があり、iSCSIによってディスクアレイシステムをIPネットワークに接続した場合、従来と同様のLUNセキュリティ機能を実現するのが難しくなるという課題がある。
【0010】
また、IPネットワークでは、各ネットワークを相互接続するルータにさまざまなセキュリティ機能が実装されている。しかしながらそれらの機能はIPを前提としたものであり、そのままではディスクアレイシステムのセキュリティに使用することはできない。
【0011】
本発明の目的は、iSCSI技術でIPネットワークに接続されるディスクアレイにおいて、IPアドレスを用いて従来のLUNセキュリティと同等のセキュリティ機能を実現することにある。
【0012】
本発明のさらにもう1つの目的は、従来のルータに手を加えることなく、ルータでLUNセキュリティと同等のセキュリティを実現することにある。
【0013】
【課題を解決するための手段】
前記目的を達成する為に、本発明は、アレイ上に配置した複数のディスク装置を有するアレイ型ディスクシステムにおいて、IPネットワークに接続されiSCSIプロトコルを解するネットワークインタフェースと、ディスクアレイ制御を行うディスクアレイコントローラに加えて、1つのネットワークインタフェースに複数のIPアドレスを保持する手段と、IPアドレスとディスクアレイ内部のLUを対応付けて管理する手段と、あらかじめ与えられた設定に基づき転送元と転送先のIPアドレスの組によりその転送が不正な転送であるかを判断しフィルタリングする手段を設ける。
【0014】
また、従来アレイ型ディスクシステムを管理していた管理端末に、ディスクアレイ管理機能の他に、ディスクアレイが保持する複数のIPアドレスとLUとを対応付けマッピングし結果をディスクアレイに通知する機能と、どのホストがどのLUにアクセス可能であるかを対応付け、それをIPアドレスレベルで管理し、アクセス可能であるホストとLUのIPアドレスの組をネットワークルータやディスクアレイに設定する機能を設ける。
【0015】
これによりディスクアレイは、正当な転送のIPアドレスの組を知ることができるので、内部に設けた不正な転送をフィルタリングする手段により、不正なIPの組による転送を破棄することができる。LUをIPアドレスと対応付けているので、これは従来のLUNセキュリティと同等のセキュリティ機能である。
【0016】
同様にネットワークルータは、正当な転送のIPアドレスの組を知ることができるので、従来から持っているパケットフィルタリングの機能により、不正なIPの組による転送を破棄することができる。LUをIPアドレスと対応付けているので、これは従来のLUNセキュリティと同等のセキュリティ機能である。さらにディスクアレイ外部のネットワークルータ上で不正な転送を破棄することができるという効果がある。
【0017】
【発明の実施の形態】
以下、本発明の実施の形態を、詳細に説明する。
【0018】
まず、本発明の実施形態の構成を図1を用いて説明する。
【0019】
図1において、ホストA100、ホストB110、ホストC120、ホストD130は、ディスクアレイ200に対してリード/ライト要求を出し、データの入出力を行うホストである。200は本発明におけるディスクアレイ、300はネットワークを相互に接続する装置であるルータ、400はネットワークおよびディスクアレイ200の管理端末である。ネットワークA500とネットワークB510はそれぞれ独立したネットワークであり、ルータ300により相互に接続されている。ホストA100およびホストB110は、ネットワークA500上に存在しているが、ルータ300を介することにより、ネットワークB510上に存在するディスクアレイ200へアクセス可能となっている。ネットワークA500とネットワークB510は、プロトコルとしてIPを用いるネットワークである。
【0020】
図2に本発明におけるディスクアレイの内部ブロック図を示す。ディスクアレイ200は、IPネットワークに接続されiSCSIプロトコルを解するネットワークインタフェース210と、複数IPアドレス保持手段212と、IPアドレス−LUN対応付け手段214と、IPフィルタリング手段216と、ディスクアレイコントローラ220と、ディスク装置群230とを備えている。ディスクアレイコントローラ220は、ホストとのデータ入出力の制御、ディスクアレイ特有のデータ分割/統合の制御、ディスク装置群とのデータの入出力の制御を含むディスクアレイ制御を行う部位であり、ディスクアレイを制御するプログラム蓄えるメモリ222と、プログラムを実行しディスクアレイ全体の制御を行うMPU224と、ホストとディスク装置群間のデータ転送を一時バッファリングするディスクキャッシュ226とを備えている。ディスク装置群230は、アレイ上に配された複数ディスク装置によって構成されている。
【0021】
本実施形態においては、単体ディスクあるいは複数ディスクのRAIDにより構成された論理ユニットLU0−232、LU1−234、LU2−236、LU3−238を備えるものとする。
【0022】
次に、本発明の特徴である複数IPアドレス保持手段212、IPアドレス−LUN対応付け手段214、IPフィルタリング手段216について説明する。従来は通常、一つのネットワークインタフェースには一つのIPアドレスのみを割り当てていた。これは、複数IPアドレスに対応していないネットワーク機器が多く、一つのネットワークインタフェースに複数のIPアドレスを割り当てて運用することが難しかったためである。しかしながら、一つのネットワークインタフェースに複数のIPアドレスを割り当てることを前提とするIPv6が普及することにより、この問題は解消される。本発明のディスクアレイ200は、複数IPアドレス保持手段212を持つことにより、ネットワークインタフェース210に複数のIPアドレスを割り当てることを可能としている。IPアドレス−LUN対応付け手段214は、ネットワーク識別子であるIPアドレスと、ディスクアクセスの論理的な単位であり実質的なディスク識別子であるLUN(LU Number)の対応付けを行う。本実施形態では、IPアドレス何番をどのLUNに対応させるかという対応付け自体はシステム管理者が行い、管理端末400を介して対応付けの結果がIPアドレス−LUN対応付け手段214に通知される。この対応付けは、図4のようなIPアドレス−LUNマッピングテーブル500をもって管理される。
【0023】
IPアドレスとLUNの対応付けの一例を図4のIPアドレス−LUNマッピングテーブル500に示す。ここで、IPアドレスは本来ならばネットワークアドレスとしての意味を持った長い数字列であるが、本実施形態においては説明のために4桁の数字列としてIPアドレスを表すものとする。IPアドレス−LUNマッピングテーブル500では、IPアドレス510とLU番号520を対応付けている。ここに表されている例では、IPアドレス”0000”とLU番号”LU0”が対応付けられ、同様に”0001”と”LU1”が、”0002”と”LU2”が、”0002”と”LU3”が対応付けられている。ここでLU2とLU3は同じIPアドレス”0002”に対応付けられているが、これは論理ユニットとしては別のLUであるが、ネットワーク的には同じ条件でアクセスされるLUの組であるため、同じIPアドレスを割り振っているからである。これは例えば、LU2がRAID1で構成され高速なアクセスが可能となっており、LU3がRAID5で構成されていて、LU2、LU3ともに同じホストからアクセスされるが高速なアクセスが必要な時はLU2が、通常はLU3が使用されるというように使用用途によりLUを区別してアクセスするような場合に有効である。
【0024】
図2に戻って、IPフィルタリング手段216は、通常のルータに実装されているパケットフィルタリング機能の内の一機能、IPパケットを調べ転送元IPアドレスと転送先IPアドレスの組があらかじめ設定されている組であればその転送を正当なものとし、設定されていない組であった場合には不正な転送であると判断してその転送を無効とする、IPアドレスによるフィルタリング機能を実現する。正当なIPアドレスの組は、システム管理者が管理端末400のIPアドレスセキュリティ設定機能416を介してIPフィルタリング手段216に設定する。
【0025】
図3に、本発明における管理端末400のブロック図を示す。管理端末400は、内部に管理ソフト410を持っており、これによってさまざまな管理を実現するが、本実施形態においては管理ソフト410内に従来持っているディスクアレイ管理機能412に加えて、IPアドレス−LUNマッピング機能414、IPアドレスセキュリティ設定機能416を備える。ディスクアレイ管理機能412は、ディスクアレイ200と通信し、LU作成やLU開放等の支持を与えてディスクアレイ200を管理するプログラムである。IPアドレス−LUNマッピング機能は、図4に示すIPアドレス−LUNマッピングテーブル500を持ち、実際のIPアドレス510とLU番号520の対応付けを行う。IPアドレス−LUNマッピング機能414が行ったIPアドレスとLU番号の対応付けを、ディスクアレイ200内部のIPアドレス−LUN対応付け手段に伝えることにより、ディスクアレイ200でも同じ対応付けが行われる。IPアドレスセキュリティ設定機能416は、図5に示すようなアクセス可能LU対応テーブル600を持ち、このテーブルから得られるアクセス可能なホストとLUの組をルータ300およびディスクアレイ200内部のIPフィルタリング手段216に設定することにより、IPアドレスの組によるフィルタリング機能を実現する。
【0026】
図5に示すアクセス可能LU対応テーブル600は、ホスト610、そのホストのIPアドレスを表すホストIPアドレス620、そのホストがアクセスすることが可能なLUを表すアクセス可能LU630、そのLUに対応するIPアドレスを表すLU対応IPアドレス640の項目を持つテーブルである。図5の例では、ホストAはIPアドレス”0100”を持ち、IPアドレス”0000”に対応付けられたLU0にアクセス可能であることを示している。同様にホストBはIPアドレス”0110”を持ち、IPアドレス”0002”に対応付けられたLU2およびLU3にアクセス可能である。このようにホストが複数のLUにアクセス可能の場合は、そのホストがテーブルの複数の行を占めることになる。
【0027】
次に、本実施形態における動作について説明する。まず初めに、システム管理者が、あるホストにはどのくらいのディスク容量が必要か、どのホストからどのくらいのアクセスが予測されるか等のシステム設計を元に、管理端末400のディスクアレイ管理機能412を用いて、RAID構成、容量等を指定して、ディスクアレイ200内にLUを作成する。ここで従来と異なるのは、システム管理者はLUを作成する際にそのLUに対応付け、ネットワークからアクセスする際の識別子になるIPアドレスを指定することである。指定されたIPアドレスはIPアドレス−LUNマッピング機能414によりLUと対応付けられ、IPアドレス−LUN対応付け手段214にその対応付けが通知される。また、そのLUをアクセスするホストに対して、対応付けたIPアドレスが通知される。ホストはそのLUをアクセスする際には、対応付けられたIPアドレスを転送先に指定してアクセスを行う。
【0028】
本実施形態では、LU0−232、LU1−234、LU2−236、LU3−238の4つのLUを作成し、それぞれにIPアドレス”0000”、”0001”、”0002”、”0002”を対応付けることとする。この対応付けは、図4のIPアドレス−LUNマッピングテーブル500に表される。LU2とLU3は例えばRAID1とRAID5で構成される別LUであるが、ネットワーク的には同等のアクセスがされる組であるため、同じIPアドレスに対応付けている。
【0029】
IPアドレス−LUNマッピングテーブル500は、IPアドレス−LUNマッピング機能414およびIPアドレス−LUN対応付け手段214が内部に保持する。
【0030】
本実施形態では、ホストA100がLU0−232を、ホストB110がLU2−236とLU3−238とを、ホストC120がLU1−234とLU2−236とLU3−238とを、ホストD130がLU1−234をアクセスするものとする。ここから、IPアドレスセキュリティ設定機能416は、アクセス可能LU対応テーブル600を作成する。どのホストがどのLUをアクセスするかという情報は、システム管理者が入力する。図5に示されるように、ホストA100のIPアドレスは”0100”であり、ホストB110は”0110”、ホストC120は”0120”、ホストD130は”0130”のIPアドレスを持つ。システム管理者は、ディスクアレイ200へアクセスするホストのIPアドレスをあらかじめ知っている。アクセス可能LU対応テーブル600は、各行の組のアクセスが許可されていることを表している。IPアドレスセキュリティ設定機能416は、アクセス可能LU対応テーブル600を元に、ルータ300とIPフィルタリング手段216に対して、IPアドレス”0100”と”0000”間の転送(ホストA100とLU0−232間)、”0110”と”0002”間の転送(ホストB110とLU2−236およびLU3−238間)、”0120”と”0001”間の転送(ホストC120とLU1−234間)、”0120”と”0002”間の転送(ホストC120とLU2−236およびLU3−238間)、”0130”と”0001”間の転送(ホストD130とLU1−234間)を許可するように指定する。なお、ホストC120、ホストD130、ディスクアレイ200はともにネットワークB510上にあるので、その間の転送はルータ300を介することはない。そのため、IPアドレス”0120”と”0001”間の転送、”0120”と”0002”間の転送、”0130”と”0001”間の転送については、ルータ300に許可するように指定しなくとも良い。
【0031】
IPパケットの中の転送元IPアドレスと転送先IPアドレスを調べ、許可されていない不正な転送をフィルタリングする機能は、従来のルータが備えているパケットフィルタリングの一機能であるので、本発明において、ルータ300には特別に新しい機能は必要なく、従来のルータを使用可能である。
【0032】
上記設定により、ホストA100がLU0−232をアクセスする際には、転送元IPアドレス”0100”、転送先IPアドレス”0000”のIPパケットを使用する。IPアドレス”0100”と”0000”間の転送はルータ300では許可するように設定されているので正当な転送とみなされ、同様にディスクアレイ200内のIPフィルタリング手段216でも正当と判定され、通常のアクセス処理が行われる。
【0033】
ここでもし、ホストB110がLU0−232にアクセスするために転送元IPアドレス”0110”、転送先IPアドレス”0000”のIPパケットを使用したとすると、IPアドレス”0110”と”0000”間の転送はルータ300では許可されていないので、不正な転送とみなされ破棄される。
【0034】
ホストB110がLU0−232にアクセスするために転送元IPアドレス”0110”、転送先IPアドレス”0002”のIPパケットを使用したとすると、ルータ300はIPパケット内部のLUを認識できず、IPアドレスしか認識しないために、この不正なパケットを通してしまうが、ディスクアレイ200内のIPアドレス−LUN対応付け手段214のIPアドレス−LUNマッピングテーブル500においてIPアドレス”0002”とLU0が対応付けられていないことが判るので、ディスクアレイ200内部でこの転送を不正な転送とみなして破棄することができる。
【0035】
以上の構成、動作により本実施形態によれば、iSCSI技術でIPネットワークに接続されるディスクアレイにおいて、IPパケット内の転送元IPアドレスと転送先IPアドレスの組により、従来のLUNセキュリティと同等のセキュリティ機能を実現することができる。
【0036】
また、ネットワークを相互に接続するルータにおいて、同様のIPアドレスの組により、従来のLUNセキュリティと同等のセキュリティ機能を、ディスクアレイの外部で実現することができる。
【0037】
さらに、LUごとにIPアドレスを対応付けるということは、ホストからは複数のディスクアレイがあるのと等価に見えるということであり、多数のディスクアレイがあるのと同じ環境を1つのディスクアレイで構築できるのでより安価であり、また一元管理が可能となりディスクアレイの管理コストを下げる効果もある。
【0038】
さらに、負荷の大きいLUを別のインタフェースや別装置へ移行する際に、対応付けたIPアドレスごと移行することが可能であり、以降後もホストからは同じ環境でアクセス可能となり、以降を容易に実現できるという効果もある。
【0039】
なお、本実施例では、管理端末400からディスクアレイ200およびルータ300への管理情報の転送は、ネットワークB510を介して行っているが、図6に示すようにネットワークB510ではなく、管理端末400とディスクアレイ200を結ぶ専用線700および管理端末400とルータ300を結ぶ専用線710を使用して管理情報の転送を行っても良い。専用線700と710はたとえばシリアル通信線などで実現できる。
【0040】
また、本実施例では、LU1−234はネットワークB510上のホストからしかアクセスされないが、この場合はLU1−234に対応するIPアドレス”0001”をネットワークB510上でのみ有効なローカルアドレスにすれば、LU1−234に関するデータ転送はルータを介して外のネットワークに出て行くことはなくなり、よりセキュリティ的に安全となる。
【0041】
また、本実施例では、ホストがイニシエータになりディスクアレイをアクセスする例で説明したが、インターネットを介した遠距離バックアップ等の為に、ディスクアレイがイニシエータになったデータ転送も考えられる。そのような場合には、バックアップ対象のLUにイニシエータ用のIPアドレスを対応付けることにより、ディスクアレイ200から外部のネットワーク上の装置へのデータ転送においても、本実施例と同じくルータ300上で転送IPアドレスの組によるフィルタリングによってセキュリティチェックを実施できる。
【0042】
また、本実施形態では、ホストは単一のネットワークインタフェースを持っているとして説明したが、ホストが複数のネットワークインタフェースを持ち、それぞれに別のIPアドレスを使用する場合でも同様に実現できる。さらに、ホストが1つのネットワークインタフェースに複数のIPアドレスを割り付け、IPアドレスごとに使用法を変える場合にも、複数のホストが存在するのと同様にして実現可能である。
【0043】
また、本実施形態では、ディスクアレイは単一のネットワークインタフェースを持っているとして説明したが、ディスクアレイが複数のネットワークインタフェースを持ち、それぞれに別の複数IPアドレスを使用する場合でも同様に実現できる。
【0044】
また、本実施形態ではディスクアレイ200にIPアドレス−LUN対応付け手段214およびIPフィルタリング手段216を設けたが、これらを設けず、該当機能をMPU224およびメモリ222にて実現しても良い。
【0045】
【発明の効果】
以上述べたように、本発明によれば、ディスクアレイのネットワークインタフェースに複数のIPアドレスを保持できる手段と、ディスクアレイ内部のLUとIPアドレスを対応付ける手段と、IPパケットの転送元IPアドレスと転送先IPアドレスの組を見て転送をフィルタリングできる手段を設け、ホストとLUの転送はLUに対応付けられたIPアドレスを転送先IPアドレスに指定して転送することとし、管理端末がIPアドレスとLUNのマッピングおよびどの転送元IPアドレスと転送先IPアドレスの組の転送が許可されるかの設定を行うことにより、ディスクアレイおよびルータにて転送元IPアドレスと転送先IPアドレスの組を調べることで不正な転送を破棄できるようになり、ディスクアレイおよびディスクアレイの外部のルータ上で従来のLUNセキュリティと同等のセキュリティを実現可能であるという効果が得られる。
【図面の簡単な説明】
【図1】本発明のネットワーク構成図である。
【図2】本発明におけるディスクアレイの内部ブロック図である。
【図3】本発明における管理端末の内部ブロック図である。
【図4】IPアドレスとLUNのマッピングテーブルを示す図である。
【図5】ホストがアクセス可能なLUのテーブルを示す図である。
【図6】別構成のネットワーク構成図である。
【符号の説明】
100…ホストA、110…ホストB、120…ホストC、130…ホストD、200…ディスクアレイ、300…ルータ、400…管理端末、210…ネットワークインタフェース、212…複数IPアドレス保持手段、214…IPアドレス−LUN対応付け手段、216…IPフィルタリング手段。[0001]
BACKGROUND OF THE INVENTION
The present invention mainly relates to a control system for a disk array system used as a storage system of a computer system, and more particularly to access security of the disk array system.
[0002]
[Prior art]
The disk array system, also called RAID (Redundant Arrays of Inexpensive Disks), has a configuration in which a plurality of disk devices are arranged in an array, and read requests (data read requests) and write requests (data write requests) from the host. ) Is processed at high speed by the parallel operation of the disks, and the reliability is improved by adding redundant data to the data. Disk array systems are classified into five levels according to the type and configuration of redundant data (Paper: "A Case for Redundant Arrays of Inexpensive Disks (RAID)", David A. Patterson, Garsh Gibson, and Randy H. Katz. , Computer Science Division Department of Electrical Engineering and Computer Sciences, University of California Berkeley ACM SIGMOD pp. 109-116 1988).
[0003]
The disk array system has a disk group composed of a plurality of disks. In order to realize the disk array as described above, a read / write request from the host is converted into a read / write request to each disk, data is distributed to each disk at the time of writing, and data is read from each disk at the time of reading. It is necessary to perform data distribution / aggregation control. Such control is called disk array control.
[0004]
A read / write request from a host is generally made in units of logical units called LUs (Logical Units).
[0005]
As an interface for connecting a host and a disk array, a dedicated interface has been used for connection to a mainframe, and a small computer system interface (SCSI) or a fiber channel has been used for connection to an open system. However, in recent years, there has been an increasing demand for connecting storage via a network using IP (Internet Protocol) as a protocol, which has exploded in popularity over the Internet, and there is a standard called iSCSI (Internet SCSI) that carries a SCSI protocol on IP. Draft-satran-iscsi-01.txt has been published as Internet-Draft as of June 2000 as studied by the IETF (Internet Engineering Task Force).
[0006]
When storage devices can be directly connected to an IP network by IP storage technology using iSCSI as an example, accessibility to storage devices including a disk array system is dramatically improved.
[0007]
[Problems to be solved by the invention]
If the disk array system is directly connected to the IP network by the iSCSI technology and the disk array system can be easily accessed from a computer on the IP network, the chance of unauthorized access increases accordingly, and a security function to prevent unauthorized access is provided. It becomes important.
[0008]
When the host and the disk array system are connected via a dedicated storage network called SAN (Storage Area Network), which is composed of Fiber Channel, access from a host other than the host that is set in advance to a certain LU is regarded as unauthorized access. The security in data transfer has been enhanced by using a LUN security function that is not accepted. The LUN security function is disclosed in Japanese Patent Laid-Open No. 10-333839.
[0009]
However, if the SCSI protocol is encapsulated in the IP by the iSCSI technology, it is not possible to simply identify the LU simply by looking at the IP packet flowing on the network. In order to specify the access destination LU and the access source host, it is necessary to analyze the iSCSI packet further in the TCP packet in the IP packet, and the disk array system is connected to the IP network by iSCSI. In this case, there is a problem that it is difficult to realize a LUN security function similar to the conventional one.
[0010]
In the IP network, various security functions are implemented in routers interconnecting the networks. However, these functions are based on IP and cannot be used for security of the disk array system as they are.
[0011]
An object of the present invention is to realize a security function equivalent to conventional LUN security using an IP address in a disk array connected to an IP network by iSCSI technology.
[0012]
Still another object of the present invention is to realize security equivalent to LUN security in a router without modifying the conventional router.
[0013]
[Means for Solving the Problems]
To achieve the above object, the present invention relates to an array type disk system having a plurality of disk devices arranged on an array, a network interface connected to an IP network for solving the iSCSI protocol, and a disk array for performing disk array control. In addition to the controller, means for holding a plurality of IP addresses in one network interface, means for managing IP addresses and LUs in the disk array in association with each other, transfer source and transfer destination based on preset settings Means is provided for determining whether the transfer is an illegal transfer based on the set of IP addresses and filtering.
[0014]
In addition to the disk array management function, a management terminal that has previously managed an array type disk system has a function of mapping and mapping a plurality of IP addresses and LUs held by the disk array and notifying the disk array of the result. A function is provided for associating which host can access which LU, managing it at the IP address level, and setting a set of accessible host and LU IP addresses in a network router or disk array.
[0015]
As a result, the disk array can know the set of IP addresses for the legitimate transfer, and the means for filtering the illegal transfer provided inside can discard the transfer by the illegal IP set. Since the LU is associated with the IP address, this is a security function equivalent to the conventional LUN security.
[0016]
Similarly, since the network router can know the set of IP addresses that are legitimately transferred, the packet filtering function that has been used in the past can discard the transfer due to an illegal IP set. Since the LU is associated with the IP address, this is a security function equivalent to the conventional LUN security. Further, there is an effect that an illegal transfer can be discarded on a network router outside the disk array.
[0017]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail.
[0018]
First, the configuration of the embodiment of the present invention will be described with reference to FIG.
[0019]
In FIG. 1, a host A100, host B110, host C120, and host D130 are hosts that issue read / write requests to the disk array 200 and input / output data. 200 is a disk array according to the present invention, 300 is a router which is a device for interconnecting networks, and 400 is a management terminal for the network and disk array 200. Network A 500 and network B 510 are independent networks, and are connected to each other by router 300. Although the host A 100 and the host B 110 exist on the network A 500, the disk array 200 existing on the network B 510 can be accessed via the router 300. A network A 500 and a network B 510 are networks that use IP as a protocol.
[0020]
FIG. 2 shows an internal block diagram of the disk array in the present invention. The disk array 200 includes a network interface 210 that is connected to the IP network and solves the iSCSI protocol, a plurality of IP address holding means 212, an IP address-LUN association means 214, an IP filtering means 216, a disk array controller 220, And a disk device group 230. The disk array controller 220 is a part that performs disk array control including control of data input / output with the host, control of data division / integration specific to the disk array, and control of data input / output with the disk device group. A memory 222 for storing a program for controlling the disk, an MPU 224 for executing the program and controlling the entire disk array, and a disk cache 226 for temporarily buffering data transfer between the host and the disk device group. The disk device group 230 is composed of a plurality of disk devices arranged on the array.
[0021]
In this embodiment, it is assumed that logical units LU0-232, LU1-234, LU2-236, and LU3-238 configured by a single disk or a plurality of disks of RAID are provided.
[0022]
Next, the multiple IP address holding unit 212, the IP address-LUN association unit 214, and the IP filtering unit 216, which are features of the present invention, will be described. Conventionally, usually only one IP address is assigned to one network interface. This is because there are many network devices that do not support a plurality of IP addresses, and it is difficult to operate by assigning a plurality of IP addresses to one network interface. However, this problem is solved by the widespread use of IPv6, which assumes that a plurality of IP addresses are assigned to one network interface. The disk array 200 of the present invention has a plurality of IP address holding means 212 so that a plurality of IP addresses can be assigned to the network interface 210. The IP address-LUN association unit 214 associates an IP address, which is a network identifier, with a LUN (LU Number), which is a logical unit of disk access and is a substantial disk identifier. In this embodiment, the association itself as to which IP address number corresponds to which LUN is performed by the system administrator, and the association result is notified to the IP address-LUN association unit 214 via the management terminal 400. . This association is managed using an IP address-LUN mapping table 500 as shown in FIG.
[0023]
An example of correspondence between IP addresses and LUNs is shown in the IP address-LUN mapping table 500 of FIG. Here, the IP address is originally a long number string having a meaning as a network address, but in the present embodiment, the IP address is represented as a four-digit number string for explanation. In the IP address-LUN mapping table 500, the IP address 510 and the LU number 520 are associated with each other. In the example shown here, the IP address “0000” is associated with the LU number “LU0”, similarly “0001” and “LU1”, “0002” and “LU2”, “0002” and “ LU3 ″ is associated. Here, LU2 and LU3 are associated with the same IP address “0002”, which is a different LU as a logical unit, but is a set of LUs accessed under the same conditions in terms of network. This is because the same IP address is allocated. For example, LU2 is configured with RAID1 and high-speed access is possible, and LU3 is configured with RAID5. Both LU2 and LU3 are accessed from the same host, but when high-speed access is required, LU2 is This is effective when the LU is distinguished and accessed according to the usage, such as LU3 is normally used.
[0024]
Returning to FIG. 2, the IP filtering means 216 is one of the packet filtering functions implemented in a normal router, and examines the IP packet, and a set of a transfer source IP address and a transfer destination IP address is set in advance. If it is a group, the IP address filtering function is implemented that makes the transfer valid, and if the group is not set, determines that the transfer is invalid and invalidates the transfer. A valid IP address set is set in the IP filtering means 216 by the system administrator via the IP address security setting function 416 of the management terminal 400.
[0025]
FIG. 3 shows a block diagram of the management terminal 400 in the present invention. The management terminal 400 has management software 410 inside, and thereby realizes various managements. In this embodiment, in addition to the disk array management function 412 that is conventionally provided in the management software 410, the IP address A LUN mapping function 414 and an IP address security setting function 416 are provided. The disk array management function 412 is a program that communicates with the disk array 200 and manages the disk array 200 by providing support such as LU creation and LU release. The IP address-LUN mapping function has the IP address-LUN mapping table 500 shown in FIG. 4 and associates the actual IP address 510 with the LU number 520. The correspondence between the IP address and the LUN mapping function 414 is transmitted to the IP address / LUN associating means in the disk array 200 by communicating the correspondence between the IP address and the LU number. The IP address security setting function 416 has an accessible LU correspondence table 600 as shown in FIG. 5, and a set of accessible hosts and LUs obtained from this table is sent to the IP filtering means 216 in the router 300 and the disk array 200. By setting, a filtering function based on a set of IP addresses is realized.
[0026]
The accessible LU correspondence table 600 shown in FIG. 5 includes a host 610, a host IP address 620 representing the IP address of the host, an accessible LU 630 representing an LU that can be accessed by the host, and an IP address corresponding to the LU. Is a table having an item of LU corresponding IP address 640. In the example of FIG. 5, the host A has the IP address “0100” and can access the LU 0 associated with the IP address “0000”. Similarly, the host B has the IP address “0110” and can access LU2 and LU3 associated with the IP address “0002”. Thus, when a host can access a plurality of LUs, the host occupies a plurality of rows in the table.
[0027]
Next, the operation in this embodiment will be described. First, the system administrator uses the disk array management function 412 of the management terminal 400 based on the system design such as how much disk capacity is required for a certain host and how much access is expected from which host. Use to create a LU in the disk array 200 by specifying the RAID configuration, capacity, and the like. Here, what is different from the conventional system is that when the system administrator creates an LU, it associates with the LU and designates an IP address that serves as an identifier for access from the network. The designated IP address is associated with the LU by the IP address-LUN mapping function 414, and the association is notified to the IP address-LUN association unit 214. Further, the associated IP address is notified to the host accessing the LU. When accessing the LU, the host designates the associated IP address as the transfer destination and performs the access.
[0028]
In the present embodiment, four LUs LU0-232, LU1-234, LU2-236, and LU3-238 are created, and IP addresses “0000”, “0001”, “0002”, and “0002” are associated with each. And This association is represented in the IP address-LUN mapping table 500 of FIG. LU2 and LU3 are separate LUs composed of, for example, RAID1 and RAID5, but are associated with the same IP address because they are the same access group in terms of network.
[0029]
The IP address-LUN mapping table 500 is held internally by the IP address-LUN mapping function 414 and the IP address-LUN association unit 214.
[0030]
In this embodiment, the host A100 has LU0-232, the host B110 has LU2-236 and LU3-238, the host C120 has LU1-234, LU2-236 and LU3-238, and the host D130 has LU1-234. Shall be accessed. From here, the IP address security setting function 416 creates an accessible LU correspondence table 600. Information about which host accesses which LU is entered by the system administrator. As shown in FIG. 5, the IP address of the host A100 is “0100”, the host B110 has “0110”, the host C120 has “0120”, and the host D130 has “0130”. The system administrator knows in advance the IP address of the host that accesses the disk array 200. The accessible LU correspondence table 600 represents that access to a set of each row is permitted. The IP address security setting function 416 transfers between the IP addresses “0100” and “0000” to the router 300 and the IP filtering unit 216 based on the accessible LU correspondence table 600 (between the host A 100 and LU 0-232). , Transfer between “0110” and “0002” (between host B110 and LU2-236 and LU3-238), transfer between “0120” and “0001” (between host C120 and LU1-234), “0120” and “ It is specified that transfer between 0002 "(between host C120 and LU2-236 and LU3-238) and transfer between" 0130 "and" 0001 "(between host D130 and LU1-234) are permitted. Since the host C120, the host D130, and the disk array 200 are all on the network B510, the transfer between them does not go through the router 300. Therefore, the transfer between the IP addresses “0120” and “0001”, the transfer between “0120” and “0002”, and the transfer between “0130” and “0001” are not specified to be permitted to the router 300. good.
[0031]
The function of checking the transfer source IP address and the transfer destination IP address in the IP packet and filtering unauthorized transfer that is not permitted is one function of packet filtering provided in the conventional router. The router 300 does not require any special new function, and a conventional router can be used.
[0032]
With the above settings, when the host A100 accesses LU0-232, the IP packet having the transfer source IP address “0100” and the transfer destination IP address “0000” is used. Since the transfer between the IP addresses “0100” and “0000” is set to be permitted in the router 300, it is regarded as a valid transfer. Similarly, the IP filtering means 216 in the disk array 200 determines that the transfer is valid, The access process is performed.
[0033]
Here, if the IP packet of the transfer source IP address “0110” and the transfer destination IP address “0000” is used for the host B 110 to access the LU 0-232, it is between the IP addresses “0110” and “0000”. Since the transfer is not permitted in the router 300, it is regarded as an illegal transfer and discarded.
[0034]
If the host B 110 uses the IP packet having the transfer source IP address “0110” and the transfer destination IP address “0002” to access the LU 0-232, the router 300 cannot recognize the LU inside the IP packet, and the IP address However, the IP address “0002” is not associated with LU0 in the IP address-LUN mapping table 500 of the IP address-LUN association unit 214 in the disk array 200. Therefore, this transfer can be regarded as an illegal transfer in the disk array 200 and discarded.
[0035]
With the configuration and operation described above, according to the present embodiment, in the disk array connected to the IP network using the iSCSI technology, the combination of the transfer source IP address and the transfer destination IP address in the IP packet is equivalent to the conventional LUN security. Security functions can be realized.
[0036]
Also, in the routers connecting the networks to each other, a security function equivalent to the conventional LUN security can be realized outside the disk array with the same set of IP addresses.
[0037]
Furthermore, associating an IP address for each LU means that it appears to the host as being equivalent to a plurality of disk arrays, and the same environment as having a large number of disk arrays can be constructed with a single disk array. Therefore, it is less expensive and can be managed in a centralized manner, thereby reducing the management cost of the disk array.
[0038]
Furthermore, when migrating an LU with a large load to another interface or another device, it is possible to migrate each associated IP address, and after that, it will be accessible from the host in the same environment. There is also an effect that it can be realized.
[0039]
In this embodiment, the management information is transferred from the management terminal 400 to the disk array 200 and the router 300 via the network B510. However, as shown in FIG. Management information may be transferred using a dedicated line 700 that connects the disk array 200 and a dedicated line 710 that connects the management terminal 400 and the router 300. The dedicated lines 700 and 710 can be realized by serial communication lines, for example.
[0040]
In this embodiment, the LU 1-234 is accessed only from the host on the network B 510. In this case, if the IP address “0001” corresponding to the LU 1-234 is a valid local address only on the network B 510, Data transfer regarding LU1-234 does not go out to the outside network via the router, and is more secure in terms of security.
[0041]
Further, in the present embodiment, the example in which the host becomes the initiator and accesses the disk array has been described, but data transfer in which the disk array becomes the initiator is also conceivable for long-distance backup via the Internet. In such a case, by associating the IP address for the initiator with the LU to be backed up, the data transfer from the disk array 200 to the device on the external network also uses the transfer IP on the router 300 as in this embodiment. Security check can be performed by filtering by address set.
[0042]
In the present embodiment, the host is described as having a single network interface. However, the present invention can be similarly realized even when the host has a plurality of network interfaces and uses different IP addresses. Further, when a host assigns a plurality of IP addresses to one network interface and changes the usage for each IP address, it can be realized in the same manner as there exist a plurality of hosts.
[0043]
In this embodiment, the disk array has been described as having a single network interface. However, the present invention can be similarly realized even when the disk array has a plurality of network interfaces and uses different IP addresses. .
[0044]
In this embodiment, the disk array 200 is provided with the IP address / LUN association unit 214 and the IP filtering unit 216. However, the corresponding function may be realized by the MPU 224 and the memory 222 without providing them.
[0045]
【The invention's effect】
As described above, according to the present invention, the means for holding a plurality of IP addresses in the network interface of the disk array, the means for associating the LU in the disk array with the IP address, the IP packet transfer source IP address and the transfer A means for filtering the transfer by providing a set of destination IP addresses is provided, and the transfer between the host and the LU is performed by designating the IP address associated with the LU as the transfer destination IP address, and the management terminal Check the source IP address and destination IP address pair in the disk array and router by setting the LUN mapping and which forwarding source IP address and destination IP address pairs are allowed to be transferred Disk array and disk array Effect that on the outside of the router it is possible to realize a conventional LUN security equivalent security.
[Brief description of the drawings]
FIG. 1 is a network configuration diagram of the present invention.
FIG. 2 is an internal block diagram of a disk array in the present invention.
FIG. 3 is an internal block diagram of a management terminal according to the present invention.
FIG. 4 is a diagram illustrating a mapping table of IP addresses and LUNs.
FIG. 5 is a diagram showing a table of LUs accessible by the host.
FIG. 6 is a network configuration diagram of another configuration.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 100 ... Host A, 110 ... Host B, 120 ... Host C, 130 ... Host D, 200 ... Disk array, 300 ... Router, 400 ... Management terminal, 210 ... Network interface, 212 ... Multiple IP address holding means, 214 ... IP Address-LUN association means, 216... IP filtering means.

Claims (2)

アレイ状に配置した複数のディスク装置を有するディスクアレイシステムであって、該ディスクアレイシステムは、iSCSIによりホストとの入出力を行うネットワークインタフェースと、ディスクアレイシステムを制御するディスクアレイコントローラと、複数のIPアドレスを保持する手段と、IPアドレスと論理ユニットを対応付ける手段と、転送に使われるIPアドレスにより該転送をフィルタリングする手段を備え、管理端末からの指示により論理ユニットとIPアドレスを対応付け、転送元IPアドレスと転送先IPアドレスの組により転送フィルタリングを行うことを特徴とするディスクアレイシステム。A disk array system having a plurality of disk devices arranged in an array, wherein the disk array system includes a network interface that performs input / output with a host by iSCSI, a disk array controller that controls the disk array system, and a plurality of disk devices A means for holding an IP address; a means for associating an IP address with a logical unit; and a means for filtering the transfer according to an IP address used for the transfer. A disk array system, wherein transfer filtering is performed by a combination of an original IP address and a transfer destination IP address. 請求項1記載のディスクアレイシステムと、ディスクアレイシステムを管理する管理端末と、ネットワークを相互に接続するルータとを備えたネットワークシステムにおいて、該管理端末からの指示によりルータ上で転送元IPアドレスと転送先IPアドレスの組により転送フィルタリングを行うことにより、論理ユニットに対応した転送フィルタリングを行うことを特徴とするネットワークシステム。2. A network system comprising: the disk array system according to claim 1; a management terminal that manages the disk array system; and a router that interconnects the networks. A transfer source IP address on the router according to an instruction from the management terminal. A network system characterized by performing transfer filtering corresponding to a logical unit by performing transfer filtering based on a set of transfer destination IP addresses.
JP2001121970A 2001-04-20 2001-04-20 Disk array system Expired - Fee Related JP3972596B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001121970A JP3972596B2 (en) 2001-04-20 2001-04-20 Disk array system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001121970A JP3972596B2 (en) 2001-04-20 2001-04-20 Disk array system

Publications (2)

Publication Number Publication Date
JP2002318725A JP2002318725A (en) 2002-10-31
JP3972596B2 true JP3972596B2 (en) 2007-09-05

Family

ID=18971751

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001121970A Expired - Fee Related JP3972596B2 (en) 2001-04-20 2001-04-20 Disk array system

Country Status (1)

Country Link
JP (1) JP3972596B2 (en)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8005918B2 (en) 2002-11-12 2011-08-23 Rateze Remote Mgmt. L.L.C. Data storage devices having IP capable partitions
US7170890B2 (en) 2002-12-16 2007-01-30 Zetera Corporation Electrical devices with improved communication
US7649880B2 (en) 2002-11-12 2010-01-19 Mark Adams Systems and methods for deriving storage area commands
EP1561306B1 (en) 2002-11-12 2007-03-07 Zetera Corporation Communication protocols, systems and methods
US7369570B2 (en) 2003-03-03 2008-05-06 Nec Corporation iSCSI apparatus and communication control method for the same
JP4137757B2 (en) 2003-10-01 2008-08-20 株式会社日立製作所 Network converter and information processing system
JP2005157826A (en) 2003-11-27 2005-06-16 Hitachi Ltd Access controller and access control method
JP4550557B2 (en) * 2004-11-24 2010-09-22 株式会社日立製作所 Filter definition management method, filter definition management device, and storage area network
US7702850B2 (en) 2005-03-14 2010-04-20 Thomas Earl Ludwig Topology independent storage arrays and methods
JP2006268420A (en) * 2005-03-24 2006-10-05 Nec Corp Disk array device, storage system and control method
US7620981B2 (en) 2005-05-26 2009-11-17 Charles William Frank Virtual devices and virtual bus tunnels, modules and methods
US7743214B2 (en) 2005-08-16 2010-06-22 Mark Adams Generating storage system commands
US8819092B2 (en) 2005-08-16 2014-08-26 Rateze Remote Mgmt. L.L.C. Disaggregated resources and access methods
JP4714530B2 (en) * 2005-08-29 2011-06-29 日本電信電話株式会社 iSCSI automatic connection method and system
US9270532B2 (en) 2005-10-06 2016-02-23 Rateze Remote Mgmt. L.L.C. Resource command messages and methods
US7924881B2 (en) 2006-04-10 2011-04-12 Rateze Remote Mgmt. L.L.C. Datagram identifier management
CN100581172C (en) 2006-04-19 2010-01-13 杭州华三通信技术有限公司 Method for accessing object magnetic dish and system for extensing disk content
JP4664931B2 (en) * 2007-02-27 2011-04-06 オラクル・インターナショナル・コーポレイション Partitioning database ownership between different database servers to control access to the database
US8700821B2 (en) 2008-08-22 2014-04-15 Intel Corporation Unified multi-transport medium connector architecture
JP5436543B2 (en) 2009-03-31 2014-03-05 パナソニック株式会社 Data transfer method
JP5720396B2 (en) * 2011-04-20 2015-05-20 日本電気株式会社 Backup / restore method and apparatus for shared disk device
US8953644B2 (en) 2011-12-27 2015-02-10 Intel Corporation Multi-protocol I/O interconnect time synchronization
US8782321B2 (en) 2012-02-08 2014-07-15 Intel Corporation PCI express tunneling over a multi-protocol I/O interconnect
US8880923B2 (en) 2012-03-29 2014-11-04 Intel Corporation Link power management in an I/O interconnect

Also Published As

Publication number Publication date
JP2002318725A (en) 2002-10-31

Similar Documents

Publication Publication Date Title
JP3972596B2 (en) Disk array system
JP4859471B2 (en) Storage system and storage controller
EP1864221B1 (en) Network-accessible memory element, network-accessible memory module, network storage system and storage area network accelerator
US7536491B2 (en) System, method and apparatus for multiple-protocol-accessible OSD storage subsystem
JP5117748B2 (en) Storage virtualization device with encryption function
JP3944449B2 (en) Computer system, magnetic disk device, and disk cache control method
US7395393B2 (en) Storage control system
JP5059974B2 (en) Cluster shared volume
US7302541B2 (en) System and method for switching access paths during data migration
JP5124103B2 (en) Computer system
US8006310B2 (en) Disk control unit
US7152149B2 (en) Disk array apparatus and control method for disk array apparatus
US7529830B2 (en) Storage system and communication control method
US7139871B2 (en) Method of managing storage system to be managed by multiple managers
JP4939154B2 (en) Storage apparatus and configuration setting method
US8086768B2 (en) Storage system and control method of storage system
US6810396B1 (en) Managed access of a backup storage system coupled to a network
US7827353B2 (en) Self healing memory
US7454584B2 (en) Storage control system and storage controller
JP2006228188A (en) Method of dynamically balancing workload of storage system
JP4484597B2 (en) Storage device and exclusive control method for storage device
JP2002132588A (en) Storage control device and storage system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040902

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20060418

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070425

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070522

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070604

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100622

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100622

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110622

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110622

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120622

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120622

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130622

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees