JP4550557B2 - フィルタ定義管理方法、フィルタ定義管理装置、および、ストレージエリアネットワーク - Google Patents

フィルタ定義管理方法、フィルタ定義管理装置、および、ストレージエリアネットワーク Download PDF

Info

Publication number
JP4550557B2
JP4550557B2 JP2004338673A JP2004338673A JP4550557B2 JP 4550557 B2 JP4550557 B2 JP 4550557B2 JP 2004338673 A JP2004338673 A JP 2004338673A JP 2004338673 A JP2004338673 A JP 2004338673A JP 4550557 B2 JP4550557 B2 JP 4550557B2
Authority
JP
Japan
Prior art keywords
iscsi
address
filter definition
communication device
filter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004338673A
Other languages
English (en)
Other versions
JP2006146767A (ja
Inventor
俊雄 大谷
直子 岩見
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2004338673A priority Critical patent/JP4550557B2/ja
Priority to US11/049,405 priority patent/US20060109850A1/en
Publication of JP2006146767A publication Critical patent/JP2006146767A/ja
Application granted granted Critical
Publication of JP4550557B2 publication Critical patent/JP4550557B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明はIP-SANにおけるセキュリティ対策技術に係り、特にiSCSIに係る制限を反映したIPネットワーク上のフィルタ技術に関する。
近年、ストレージ装置とホストとをIP(Internet Protocol)ネットワークにて接続し、ホストからストレージ装置内のボリュームへのデータ読み書きを可能とするiSCSI(Internet Small Computer Interface)によるIP-SAN(Storage Area Network)が普及している。iSCSIによるIP-SANでは、ストレージ装置やホストなど、IP-SANを構成する装置を、iSCSIノードと呼ぶ。iSCSIノードのうち、SCSIコマンドを送出する側を、iSCSIイニシエータと呼び、SCSIコマンドを実行する側を、iSCSIターゲットと呼ぶ。iSCSIノード間のiSCSIプロトコルによる通信(以後、iSCSI通信と呼ぶ)では、iSCSIイニシエータからiSCSIターゲットへ接続を行うという特徴がある。従って、iSCSIイニシエータ同士の接続、iSCSIターゲット同士の接続、iSCSIターゲットからiSCSIイニシエータへの接続は許可されない。
IP-SANは、IPネットワーク上で動作するため、IPネットワーク上で考えられる各種の攻撃手段がそのまま有効となる。すなわち、ファイバチャネル(Fibre Channel)プロトコルによるFC-SANに比べて攻撃手段が多岐に渡る。よって、IP-SANでは各種攻撃を防御するためのセキュリティ対策が重要であり、IP-SANにおけるセキュリティ対策として、様々な方式が考えられている。
例えば、パスワード等を用いてログイン時に認証を行うことによって、アクセスを制限し、セキュリティを確保するものがある。この方式では、iSCSIイニシエータがiSCSIターゲットへ接続要求を送信すると、iSCSIターゲットがiSCSIイニシエータの認証(ユーザ名、パスワードによる認証。iSCSIログイン認証と呼ばれる)を行う(例えば、非特許文献1参照。)。
また、iSNS(Internet Storage Name Service)の仕組みを用いてディスカバリ範囲を制限することにより、セキュリティを確保するものがある。
各iSCSIノードは、ノード識別や管理のためのiSCSIネームを持つ。iSCSIイニシエータがiSCSIターゲットへのiSCSIセッションを確立するためには、ターゲットのIPアドレス、TCPポート番号、およびiSCSIネームが必要となる。iSNSサーバはこれらの情報を管理する。さらに、iSNSサーバは、DD(Discovery Domain)と呼ばれるiSCSIノードのグループを管理する。DDは、通信可能なiSCSIノードのグループであり、同じDDに属するiSCSIノード間でのみ通信が許可される。
iSCSIイニシエータであるiSCSIノードから、通信可能なiSCSIノードの問い合わせを受けると、iSNSサーバは、問い合わせ元のiSCSIノードと同じDDグループに属するiSCSIターゲットのIPアドレスおよびTCPポート番号など接続に必要な情報を問い合わせ元のiSCSIノードに応答する。この、iSCSIノードがiSNSサーバに接続可能なiSCSIノードを問い合わせし、折り返し接続に必要なIPアドレスなどの情報を得る仕組みを、ディスカバリと呼ぶ。
このように、DDは、ディスカバリの範囲を制限する。例えばあるDDグループAに属するiSCSIノードNAがディスカバリを実施した際、iSCSIノードNAが知ることができるiSCSIノードの情報は、DDグループAに属するiSCSIノードの情報のみとなり、iSCSIノードNAは、DDグループBに属するiSCSIノードの情報を知ることができない。従って、iSCSIノードNAは、DDグループAに属するiSCSIノードとの間でしか通信を行うことができない。
このように、iSNSサーバにより、上記ディスカバリ機能を提供することで、iSCSI通信の制限を行う技術がある(例えば、非特許文献2参照。)。
J. Satran 「RFC3720 Internet Small Computer Systems Interface (iSCSI)」 IETF 2004年;http://www.ietf.org/rfc/rfc3720.txt Josh Tseng 「Internet Draft <draft-ietf-ips-isns-22.txt> Internet Storage Name Service (iSNS)」 IETF 2004年; http://www.ietf.org/internet-drafts/draft-ietf-ips-isns-22.txt
上述のように、iSCSI通信では、iSCSIイニシエータからiSCSIターゲットへの接続のみ許可され、iSCSIイニシエータ同士の接続、iSCSIターゲット同士の接続、iSCSIターゲットからiSCSIイニシエータへの接続は許可されないという特徴がある。
しかしながら、iSCSIイニシエータ、iSCSIターゲットという種類は、iSCSIレイヤ固有の情報であり、IPネットワークが構築されるIPレイヤは、その情報を意識しない。このため、IPレイヤレベルでは、iSCSIレイヤでは許可されないパターンのIPパケットが、iSCSIノードに到達する可能性がある。
例えば、iSNSサーバを用いたディスカバリによれば、接続可能なiSCSIノードが応答され、接続可能なiSCSIノード間の通信に制限される。しかしながら、物理的にIPパケットを遮断するものではない。従って、ディスカバリ時になりすまし等の不正な手段により許可されていないiSCSIノードのIPアドレス等が取得された場合、許可されていない装置間の通信が行われる可能性がある。
上記のiSCSIノードの認証およびDDによるディスカバリ制限は、ともに、IPレイヤより上位のiSCSIレイヤで行われるものであるため、これらの技術では、IPレイヤでやりとりされる不正なIPパケットを遮断できない。従って、IPアドレスScan等の技術を利用して、攻撃対象のIPアドレスが知られてしまえば、IPパケットを、iSCSIレイヤでは許可されないiSCSIノードに到達させることができる。このような想定外の通信により、iSCSIの脆弱性や不要なTCP Openポートをついた攻撃等を容易に実現できてしまう問題がある。
すなわち、従来技術では、IPレイヤより上位のiSCSIレイヤにおいては、様々なセキュリティ対策の手段が提供されているが、IPレイヤ上でのセキュリティは考慮されていない。従って、iSCSIレイヤで認められないiSCSIノード間の通信を、IPレイヤで防ぐことができない。IPレイヤでの不正な通信によるIP-SANへの攻撃、例えば、許可されていないiSCSIターゲットへの接続によるLU(Logical Unit)への無制限アクセス、iSCSIターゲット管理用ポートへの攻撃、iSCSIイニシエータを踏み台とした別のiSCSIイニシエータへの攻撃、不正なTCP Openポートへの攻撃、MACアドレス詐称による盗聴、不正なDoS攻撃等など、IPネットワーク上で考えられる様々な攻撃を防ぐことができない。
本発明は、上記事情を鑑みてなされたもので、iSCSI通信で許可されない不正な通信を、IPレベルにおいても制限し、IP-SANのセキュリティレベルを向上させることを目的とする。
本発明は、上記課題を解決するために、iSCSI通信特有の制限を反映したフィルタ設定をIPネットワーク上で実現する手段を提供する。iSCSIレイヤ固有の接続情報(DD情報、ストレージパス定義等)から、IPレイヤにおけるフィルタ定義を作成する手段を提供する。
具体的には、それぞれ通信装置を介してIPネットワークに接続し、互いにiSCSI(Internet Small Computer Interface)通信を行うiSCSIノード群を備えるストレージエリアネットワークであって、前記iSCSI通信が許可されるiSCSIノードの組み合わせが予め定められているストレージエリアネットワークにおける、各iSCSIノード間で送受信されるIPパケットを、前記各通信装置内でフィルタリングするフィルタ定義の作成および設定を行うフィルタ定義管理方法であって、前記iSCSI通信が許可されるiSCSIノードの組み合わせそれぞれの、iSCSIイニシエータ側のiSCSIノードに割り当てられたIPアドレスと、iSCSIターゲット側のiSCSIノードに割り当てられたIPアドレスとポート番号とを対応づけて管理する管理情報を、iSCSIターゲットとなるストレージ装置から取得する管理情報取得ステップと、前記組み合わせ毎に、前記iSCSIイニシエータ側に割り当てられた前記IPアドレスを送信元IPアドレスとし、前記iSCSIターゲット側に割り当てられた前記IPアドレスおよび前記ポート番号を、送信先IPアドレスおよびポート番号とするフィルタ定義を作成するフィルタ定義作成ステップと、設定対象の通信装置に対して、作成された前記フィルタ定義を設定するフィルタ定義設定ステップと、を備えることを特徴とするフィルタ定義管理方法を提供する。
本発明では、iSCSIノード間の不要なIP通信を制限することができ、IP-SANのセキュリティレベルを向上することができる。
<<第一の実施形態>>
以下、本発明の第一の実施形態を図を用いて説明する。
図1は、本実施形態のストレージエリアネットワーク全体の構成を示すシステム構成図である。本図に示すように、本実施形態のストレージエリアネットワークは、各構成ノード間が、IPネットワークを介して接続されるIP-SANシステムであり、構成ノードとして、ホスト100、110、通信装置200、220、ストレージ装置300、iSNSサーバ400、管理サーバ500を備える。なお、ホスト、ストレージ装置などの各構成ノードの数は、これに限られない。以下、各構成ノードの詳細を、それぞれ説明する。
まず、ホスト100、110について説明する。ホスト100および110は同じ構成を有し、同じ機能を実現するものであるため、ここでは、ホスト100を取り上げ、説明する。
図2は、ホスト100の構成図である。ホスト100は、CPU等で構成される処理部101と、RAM等の記憶装置により構成される記憶部102と、ネットワーク通信装置103と、キーボード等の入力デバイスからのデータ入力処理を行う入力装置104と、ディスプレイ等の出力デバイスへデータを出力する出力装置105と、それらを各々接続するバス106とを備える。
記憶部102は、メモリ管理やタスク管理等の機能を実現するOSプログラム107および後述するストレージ装置300との通信処理の機能を実現する通信制御プログラム108を保持する。これらのプログラムは、処理部101のCPUにより実行され、それぞれの機能を実現する。
ネットワーク通信装置103は、通信装置200との接続インタフェースであり、ホスト100を通信装置200と物理接続し、ホスト100に関わるネットワーク層の通信処理を、通信装置200が提供する通信プロトコルにて実施する。本実施形態では、この通信プロトコルをIPとする。
また、ホスト100は、通信装置200を経由して上位のレイヤでは、iSCSIプロトコルに従って、ストレージ装置300と通信する。通信制御プログラム108は、iSCSIプロトコルによる通信(iSCSI通信)に関わる処理を実施する。通信制御プログラム108は、ホスト100をiSCSIイニシエータとして動作させる。以下、ホスト100上で実現されるiSCSIイニシエータのiSCSIネームを、iqn.a.com:hst-Aとする。
また、ホスト110も、ホスト100同様、iSCSIイニシエータとして動作し、ストレージ装置300とiSCSI通信を行う。以下、ホスト110上で実現されるiSCSIイニシエータのiSCSIネームをiqn.a.com:hst-Bとする。
次に、ストレージ装置300について、説明する。図3は、ストレージ装置300の構成図である。
本図に示すように、ストレージ装置300は、装置全体の制御を行うストレージ制御装置301と、物理ディスク群308と、ストレージ制御装置301と物理ディスク群308とを接続するバス309とを備える。
物理ディスク群308は、それぞれのデータ格納領域を部分的に組み合わせ、実際にデータを格納する論理的なストレージ(LU(Logical Unit)。以下ボリュームと呼ぶ。)310、311を構成する。もちろん、LUの数はこれに限られない。
ストレージ制御装置301は、CPU等で構成される処理部302と、RAM等の記憶装置により構成される記憶部303と、ネットワーク通信装置304、305と、ストレージ接続装置306と、各機能部を接続するバス307とを備える。
記憶部303は、ボリューム310,311へのアクセス管理等を行うストレージ制御プログラム312およびパス定義情報313を保持する。パス定義情報は、iSCSIイニシエータと当該iSCSIイニシエータが接続可能なボリュームとの対応関係を管理するテーブルである。
ストレージ装置300は、通信装置220を経由してiSCSIプロトコルに従って、ホスト100および110と通信する。ストレージ制御プログラム312は、処理部302のCPUにより実行され、iSCSI通信に関わる処理を実施する。そして、ストレージ装置300を、各ボリューム毎にiSCSIターゲットとして動作させる。以下、ストレージ装置300上で実現されるiSCSIターゲットのうち、ボリューム310に対応づけられているもののiSCSIネームを、iqn.a.com:str-LU0、ボリューム311に対応づけられているもののiSCSIネームを、iqn.a.com:str-LU1とする。なお、上記対応は、これに限られることはない。
ネットワーク通信装置304,305は、通信装置220と、ストレージ装置300との間の接続インタフェースである。ストレージ装置300は、ネットワーク通信装置304、305を介して通信装置220と物理接続し、ストレージ装置300に関わるネットワーク層の通信処理を、通信装置220が提供する通信プロトコル(本実施形態ではIP)にて実施する。
ストレージ接続装置306は、物理ディスク群308との接続インタフェースである。
次に、iSNSサーバ400について説明する。iSNSサーバ400は、上述のように、各iSCSIノードからディスカバリを受け、応答する。
図4は、iSNSサーバ400の機能構成図である。本図に示すように、iSNSサーバ400は、CPU等により構成される処理部401と、RAM等の記憶装置により構成される記憶部402と、ネットワーク通信装置403と、キーボード等の入力デバイスからのデータ入力処理を行う入力装置404と、ディスプレイ等の出力デバイスへデータを出力する出力装置405と、以上の各機能をそれぞれ接続するバス406とを備える。
記憶部402は、メモリ管理やタスク管理等を行うOSプログラム407と、iSCSIネームによる問い合わせに応答する等のiSNS機能を実現するiSNSプログラム408と、iSCSIネームとIPアドレス等との対応関係を管理するDD(Discovery Domain)情報409とを保持する。
ネットワーク通信装置403は、通信装置200との接続インタフェースであり、iSNSサーバ400を通信装置200と物理接続し、iSNSサーバ400に関わるネットワーク層の通信処理を、通信装置200が提供する通信プロトコル(本実施形態ではIP)に従って実施する。
iSNSプログラム408は、iSCSIイニシエータからディスカバリの要求を受け付けると、DD情報409を検索し、要求元のiSCSIイニシエータと同じDDに属するiSCSIターゲットの、iSCSIネーム、IPアドレス、TCPポート番号を、要求元のiSCSIイニシエータに返信する。
DD情報409は、ディスカバリに対応する応答を行うため、各iSCSIノードの情報を管理するテーブルである。DD情報409は、各iSCSIノードのiSCSIネームとiSCSIノードの種類(イニシエータであるかターゲットであるか)と属するグループとIPアドレスとを対応づけて管理する。なお、iSCSIノードの種類がiSCSIターゲットの場合、DD情報409は、さらに、iSCSI通信を待ち受けるTCPポート番号も対応づけて保持する。
図5に、本実施形態のDD情報409の一例を示す。本図に示すように、DD情報409は、iSCSI Name(iSCSIネーム)409bと、iSCSI Node Type(ここではiSCSIイニシエータ及びiSCSIターゲットを示す)409cと、DD ID(DDのグループを識別するID)409dと、Portal IP Address(iSCSIノード間の通信を実現するIPアドレス)409eと、Portal TCP/UDP Port(iSCSIターゲットが待ち受けするTCPポート番号)409fと、SCN Port(後に説明する。)409gと、ESI Port(後に説明する。)409hといった属性情報を、iSCSIノード毎に保持する。
例えば、本図において、1行目のレコードで示されるiSCSIノードは、そのiSCSIネームがiqn.a.com:hst-AのiSCSIイニシエータ(iSCSI Node Typeより)であり、DD ID=0のグループに属し、そのIPアドレスは、192.168.0.1である。また、3行目のレコードで示されるiSCSIノードは、そのiSCSIネームがiqn.a.com:str-LU0のターゲット(iSCSI Node Typeより)であり、DD ID=0のグループに属し、そのIPアドレスは、192.168.10.1であり、iSCSI通信において用いられるTCPポート番号は、3260である。
この場合、iSCSIネームがiqn.a.com:hst-Aであるイニシエータ(ホスト100)は、同じDD ID=0のグループに属するiqn.a.com:str-LU0を介して、ボリューム310に対し、データの読み書きが可能であり、iSCSIネームがiqn.a.com:hst-Bであるイニシエータ(ホスト110)は、同じDD ID=1のグループに属するiqn.a.com:str-LU1を介して、ボリューム311に対し、データの読み書きが可能となる。
iSCSIイニシエータiqn.a.com:hst-AがiSNSサーバ400に対してディスカバリを行うと、iSNSサーバ400は、iSNSプログラム408に従って、DD情報409を検索し、iqn.a.com:hst-Aと同一DD IDを持つ3行目のレコードの情報を応答することとなる。このように、iSNSサーバ400は、DDを用いたディスカバリ機能を提供することで、iSCSIレイヤレベルで、許可されていないiSCSI通信の制限を行う。
なお、DD情報409は、例えば、以下の方法で作成する。DD IDとそのDDに属するiSCSIネームは、本システムの管理者等により、管理者が使用するユーザ端末(不図示)から送信されるDDRegと呼ばれるパケットにより登録される。iSCSIネームやPortal IP Address等の必要な属性は、個々のiSCSIノードが、自身が通信装置に接続されたタイミングで、DevAttrRegと呼ばれるパケットにて、iSNSサーバ400に対して登録される。これらはiSNSの既存技術にて実現することが可能である。iSCSIネームは、iSNSサーバ400が管理者から直接入力を受け付けてもよい。
次に、通信装置200および220について説明する。通信装置200および220は同じ構成を有し、同じ機能を実現するものであるため、ここでは、通信装置200を取り上げ、説明する。
図6は、通信装置200の構成図である。通信装置200はCPU等で構成される処理部201と、RAM等の記憶装置により構成される記憶部202と、ネットワーク通信装置203、204、205、206と、以上の各機能部間を接続するバス207とを備える。
記憶部202は、IPプロトコルに従ってパケット転送処理を行うパケット転送制御プログラム208と、Config情報209と、MACテーブル210とを保持する。パケット転送制御プログラム208は、処理部201のCPUにより実行され、その機能を実現する。
ネットワーク通信装置203、204、205、206は、それぞれ、ホスト100、110、iSNSサーバ400、および、通信装置220と物理接続し、パケット転送制御プログラム208に従って、IPプロトコルに従ったパケット転送処理を実施する。
MACテーブル210は、IPアドレスとMAC(Media Access Control)アドレスとの対応関係を管理するテーブルであり、それぞれにインタフェース名を付与する。このインタフェース名は、後述するConfig情報209の記述等に使用される。MACテーブル210は、ARP(Address Resolution Protocol)等により自動収集され、上記インタフェース名と関連づけられた形式で保持される。
図7に、ホスト100、110と接続する通信装置200に格納されているMACテーブル210の一例を示す。なお、図8は、ストレージ装置300と接続する通信装置220に格納されるMACテーブル230の一例である。本図に示すように、MACテーブル210は、各IPアドレス210aに対応づけられたMACアドレス210bとインタフェース名210cとを保持する。
Config情報209は、当該通信装置のインタフェース毎のパケット転送やパケットフィルタリング(フィルタ定義)等の設定を記述するものであり、管理者から、ユーザ端末(不図示)を介して予め設定される。なお、本明細書では、以後、通信装置を通過可能なIPパケットの、送信元IPアドレス(およびTCPポート番号)と送信先IPアドレス(およびTCPポート番号)との組の記述を、フィルタ定義と呼ぶ。通信装置は、フィルタ定義を満たすIPパケットのみ通過させる。
また、本実施形態では、一旦設定されたConfig情報209は、後述する管理サーバ500のフィルタ定義設定プログラム509により更新される。
図9に、ホスト100、110と接続する通信装置200が保持するConfig情報209の一例を示す。なお、図10は、ストレージ装置300と接続する通信装置220が保持するConfig情報229の一例である。
図9に示すConfig情報209において、1行目から4行目の記述は、ホスト100と接続するインタフェースの設定を示す。2行目の記述は、ある論理インタフェースipAは、192.168.0.254/24のIPアドレスを持ち、物理ポートfe0/0からfe0/1が割り当てられており、input(ホスト100から通信装置200へ向けたパケット)方向にフィルタ定義ipA-aclが設定されていることを示す。
さらに、フィルタ定義ipA-aclは、3、4行目に、その詳細な設定内容が記述される。すなわち、フィルタ定義ipA-aclとして、送信元IPアドレスが192.168.0.0/24、送信元TCPポートがany、送信先IPアドレスが192.168.9.1/32(これはiSNSサーバ400のIPアドレスを示す)、送信先TCPポート番号が3205(iSNSサーバ400がパケットを待ち受けるTCPポート番号)の通信を許可し、その他の通信は許可しない、ことを意味するフィルタ定義が設定されている。
また、Config情報229の13行目にあるestablishedという記述は、TCPのSYN(接続開始要求パケット)が送信されたコネクションに対する応答を許可することを示す。これは、TCPにおけるステートフルな通信を許可するために一般的に用いられるものである。
なお、通信装置200は、Config情報209に示すように、サブネットの異なる複数のインタフェースを収容しており、通信装置200内部でIPルーティングを行う。
また、図10に示す通信装置220のConfig情報229より、物理インタフェースfe0/0、fe0/1、fe0/2、fe0/3は、同一VLAN(Virtual LAN;同一サブネット)に属する。
次に、管理サーバ500について説明する。図11は、管理サーバ500の構成図である。本図に示すように、管理サーバ500は、CPU等により構成される処理部501と、RAM等の記憶装置により構成される記憶部502と、ネットワーク通信装置503と、キーボード等の入力デバイスからのデータ入力処理を行う入力装置504と、ディスプレイ等の出力デバイスへデータを出力する出力装置505と、以上の各機能間をそれぞれ接続するバス506とを備える。
記憶部502は、フィルタ定義テーブル511と、メモリ管理やタスク管理等を行うOSプログラム507と、フィルタ定義作成プログラム508と、フィルタ定義設定プログラム509と、後述するフィルタ設定ログ情報を管理するフィルタ定義ログ情報510とを保持する。
ネットワーク通信装置503は、通信装置200、220との接続インタフェースであり、管理サーバ500を通信装置200、220と物理接続し、管理サーバ500に関わるネットワーク層の通信処理を、通信装置200、220が提供する通信プロトコル(ここではIP)に従って実施する。
フィルタ定義作成プログラム508は、iSNSサーバ400が有するDD情報409に基づいて、iSCSIレイヤで許可される通信に対応するIPレイヤでのフィルタ定義を作成し、フィルタ定義テーブル511に保持する。すなわち、フィルタ定義作成プログラム508は、送信元がiSCSIイニシエータのIPアドレス、送信先がiSCSIターゲットのIPアドレス及びTCPポート番号を示す、IP通信において意味を成すフィルタ定義を作成し、フィルタ定義テーブル511に格納する。
フィルタ定義テーブル511には、iSCSIレイヤで通信が許可されるiSCSIイニシエータおよびiSCSIターゲットの、それぞれのIPアドレスおよびTCPポート番号が、1レコードとして格納される。図12は、フィルタ定義テーブル511の一例である。
本図に示すように、フィルタ定義テーブル511には、送信元のiSCSIノードのIPアドレスである送信元IPアドレス511bごとに、対応する送信元ポート511cと、通信が許可されるiSCSIノードのIPアドレスおよびTCPポート番号として送信先IPアドレス511dおよび送信先ポート511eとを備える。
フィルタ定義設定プログラム509は、フィルタ定義テーブル511に保持されているフィルタ定義を、Config情報に登録可能な記述にし、通信装置200、220のConfig情報209、229に追加設定する
また、フィルタ定義ログ情報510は、フィルタ定義設定プログラム509が通信装置200、220のConfig情報に追加したフィルタ定義のログを蓄積する。図13は、フィルタ定義ログ情報510の一例である。フィルタ定義ログ情報510は、後述するように、不要なフィルタ定義の削除を行う場合に利用される。
本図に示すように、フィルタ定義ログ情報510は、設定対象510aと、時刻510bと、設定内容510cとを備える。設定対象510aとして、本レコードがConfig情報に設定された通信装置名、時刻510bとして、本レコードが通信装置に設定された時刻が保持される。
以上説明した構成により、ホスト100、110、ストレージ装置300、iSNSサーバ400、管理サーバ500は、それぞれの装置間で、IPプロトコルに従い、iSCSIレイヤで許可されている通信を実現する。
次に、フィルタ定義作成プログラム508により、フィルタ定義テーブル511を作成する手順を説明する。概略は以下のとおりである。
管理サーバ500は、DD情報409が変更された場合、通信装置200、220を介してiSNSサーバ400から変更後のDD情報409を取得する。
次に、管理サーバ500は、フィルタ定義作成プログラム508に従って、取得したDD情報409を参照し、同一DD IDを有するiSCSIノード毎に、送信元をiSCSIイニシエータのIPアドレス、送信先をiSCSIターゲットのIPアドレスおよびTCPポート番号とするフィルタ定義テーブル511を作成する。
以下、フィルタ定義作成プログラム508の処理フローを詳細に説明する。図14は、フィルタ定義作成プログラム508によるフィルタ定義テーブル511作成時の処理フローである。以下において、DD情報409は、図5に示すものを例にあげて説明する。
フィルタ定義作成プログラム508は、iSNSサーバ400から、DD情報409の更新を示すメッセージおよび更新されたDD情報409を受信する(ステップ5081)。DD情報409の取得は、例えばSNMP Trap等の既存技術を用いて実現することができる。すなわち、DD情報409は、iSCSIノードによるDevAttrRegによる属性登録が完了した時点で取得される。例えば、iSNSサーバ400は、属性登録が完了すると、管理サーバ500に対してSNMP Trapを送信する。そして、管理サーバ500は、常にSNMP Trapを待ち受け、受信したタイミングで上記処理を実行する。
以後、フィルタ定義作成プログラム508は、DD IDが同じレコード毎に、フィルタ定義を作成し、フィルタ定義テーブル511に登録する。具体的には、以下の処理を行う。
フィルタ定義作成プログラム508は、取得したDD情報409に含まれる全DD IDを読み出し、全てのDD IDについて、重複を除いたDD IDのリスト(以後、DDリストと呼ぶ。)を作成するとともに、そのレコード数をカウントし、保持する(ステップ5082)。図5のDD情報409の例では、DDリストは、「0、1、2」からなる。レコード数は3である
フィルタ定義作成プログラム508は、n(nは自然数)に1を設定する(ステップ5083)。そして、DDリストのn行目のレコードのDD ID に合致するDD ID を有するレコードを全て、DD情報409から取得し、記憶部502に一時的に作成したフィルタ定義仮テーブル5111に格納する(ステップ5084)。DDリストが1行目から0、1、2の順に作成され、DD情報409が図5に示すものの場合、n=1の場合、DD ID=0のレコードがDD情報409から抽出される。このとき作成されるフィルタ定義仮テーブル5111の一例を図15に示す。なお、ここでは、SCN Port等の属性は省略する。
フィルタ定義作成プログラム508は、フィルタ定義仮テーブル5111に保持したデータを用いて、送信元IPアドレス511bをiSCSIイニシエータのIPアドレス、送信先IPアドレス511dをiSCSIターゲットのIPアドレス、送信先ポート511eをiSCSIターゲットのTCP/UDPポートとするレコードを作成し、フィルタ定義テーブル511に追加する(ステップ5085)。
このとき、フィルタ定義作成プログラム508は、まず、フィルタ定義仮テーブル5111において、iSCSI Node TypeがInitiatorであるレコードのPortal IP Addressを送信元のIPアドレスと認識する。例えば、iSCSI Node Typeで認識する代わりに、Portal TCP/UDP Portの値が空欄であることによって、当該レコードが示すiSCSIノードがInitiatorであること、すなわち、当該レコードのPortal IP Addressを送信元のIPアドレスと認識してもよい。
そして、フィルタ定義作成プログラム508は、iSCSI Node TypeがTargetであるレコードのPortal IP AddressおよびPortal TCP/UDP Portを、送信先のIPアドレスおよびTCPポート番号と認識する。この場合も、iSCSI Node Typeで認識する代わりに、Portal TCP/UDP Portの値が空欄でないことによって、当該レコードが示すiSCSIノードがTargetであることを認識してもよい。
なお、同じDD IDに属するiSCSIイニシエータおよび/またはiSCSIターゲットが、複数ある場合、全てのiSCSIイニシエータとiSCSIターゲットとの組み合わせについて、上記フィルタ定義を作成する。
この時点で作成されるフィルタ定義テーブル511を図16に示す。本図に示すように、フィルタ定義テーブル511には、送信元IPアドレスとして、図15に示すフィルタ定義仮テーブル5111の1行目に示す内容が格納され、送信先IPアドレス及び送信先ポートとして2行目に示す内容が格納されたレコードが追加される。すなわち、送信元がiSCSIイニシエータのIPアドレス、送信先がiSCSIターゲットのIPアドレス及びTCPポート番号を示す、iSCSIレイヤでの通信制限を反映した通信制御をIPレイヤにて行うことができるフィルタ定義を作成することができる。
次に、フィルタ定義作成プログラム508は、nの値に1を加え(ステップ5086)、更新後のnがDDリストのレコード数を超えているか否かを判別する(ステップ5087)。レコード数を超えていれば、処理を終了する。レコード数以下の場合は、ステップ5084の処理に戻る。
例えば、DDリストが上述のものであり、DD情報409が図5に示すものの場合、フィルタ定義作成プログラム508は、n=2とし、ステップ5084に戻る。ここで、DDリストの2番目のレコードが示すDD ID は1であるため、DD ID=1のレコードを全て取得し、新たなフィルタ定義仮テーブル5111を作成する。この場合のフィルタ定義仮テーブル5111を図17に示す。
そして、フィルタ定義作成プログラム508は、フィルタ定義仮テーブル5111を用いて新たなフィルタ定義を作成し、フィルタ定義テーブル511に追加する。
フィルタ定義作成プログラム508は、このように、ステップ5084から5087の処理を繰り返し、DD情報409の全てのレコードについて処理を行い、フィルタ定義テーブル511を作成する。
上記手順により、図5に示すDD情報409から、フィルタ定義作成プログラム508により作成されたフィルタ定義テーブル511の一例が上述の図12である。本実施形態の場合、フィルタ定義テーブル511は、n=1の際に作成したDD ID=0の1行目のレコードに加え、n=2の際に作成したDD ID=1の2行目のレコード、および、n=2の際に作成したDD ID=2の3行目のレコードを保持する。
管理サーバ500は、以上の手順でフィルタ定義テーブル511が生成されると、次に、フィルタ定義設定プログラム509により、このフィルタ定義テーブル511に格納されているレコードを用いて、各通信装置のConfig情報として登録可能な記述を作成し、各通信装置200、220のConfig情報209、229に対して登録する。登録は、フィルタ定義テーブル511のレコード毎に、その送信元IPアドレスおよび送信先IPアドレスに関し、それぞれのIPアドレスをインタフェースに有する通信装置(のうち、論理構成上近い通信装置)になされる。
以下、フィルタ定義設定プログラム509の処理の詳細を説明する。概略は以下のとおりである。
各通信装置から、Config情報およびMACテーブルを取得し、フィルタ定義テーブル511に保持されているフィルタ定義毎に、送信元IPアドレス511bを含むインタフェースを有するConfig情報を保持する通信装置、送信先IPアドレス511dを含むインタフェースを有するConfig情報を保持する通信装置を特定し、それぞれに、送信元IPアドレス511bを送信元、送信先IPアドレス511dを送信先としたConfig情報の記述、および、送信先IPアドレス511dを送信元、送信元IPアドレス511bを送信先としたConfig情報の記述を追加する。
以下、本処理を説明するに際して、フィルタ定義テーブル511として図12に示すものを、Config情報209、220としてそれぞれ図9および図10に示すものを、MACテーブル210、230としてそれぞれ図7および図8に示すものを用いる場合を例にあげて説明する。
図18は、フィルタ定義設定プログラム509による通信装置200、220へのフィルタ設定時の処理フローである。
フィルタ定義設定プログラム509は、システム内の全ての通信装置から、Config情報およびMACテーブルを取得する(ステップ5091)。本実施形態では、通信装置200および220から、Config情報209、229及びMACテーブル210、230を取得する。
次に、フィルタ定義設定プログラム509は、m(mは自然数)に1を設定する(ステップ5092)。
そして、フィルタ定義設定プログラム509は、フィルタ定義作成処理Aとして、フィルタ定義テーブル511のm行目のレコードの送信元IPアドレス511bを基に、設定すべき通信装置を特定するとともに、Config情報の記述を作成し、特定した通信装置のConfig情報に追加する(ステップ5093)。このとき作成した記述は、Config設定Aとして保持蓄積する。なお、Config設定Aは、フィルタ定義設定プログラム509起動時に初期化され、その後は記述が作成される毎に追加される。フィルタ定義作成処理Aは、正常終了または異常終了を返す。フィルタ定義作成処理Aについては、後述する。
フィルタ定義作成処理Aが正常終了した場合、フィルタ定義作成処理Bに進む(ステップ5094)。一方、フィルタ定義作成処理Aが異常終了した場合、エラー通知を行い(ステップ5096)、ステップ5095に処理を進める。
フィルタ定義設定プログラム509は、フィルタ定義作成処理Bとして、フィルタ定義テーブル511のm行目のレコードの送信先IPアドレス511dを基に、設定すべき通信装置を特定するとともに、Config情報の記述を作成し、特定した通信装置のConfig情報に追加する(ステップ5094)。このとき作成した記述は、Config設定Bとして保持蓄積する。なお、Config設定Bは、フィルタ定義設定プログラム509起動時に初期化され、その後は記述が作成される毎に追加される。フィルタ定義作成処理Bは、正常終了または異常終了を返す。フィルタ定義作成処理Bについては、後述する。
フィルタ定義作成処理Bが異常終了した場合、エラー通知を行い(ステップ5096)、ステップ5095に処理を進める。フィルタ定義作成処理Bが正常終了した場合、ステップ5095に進む。
フィルタ定義設定プログラム509は、mの値に1を加え、mがフィルタ定義テーブル511のレコード数を超過するかをチェックする(ステップ5095)。
超過しない場合、ステップ5093に戻り、フィルタ定義テーブル511の次のレコード(2行目のレコード)に対し、先に述べた処理を繰り返し、それぞれ、Config情報209、229にフィルタ定義から作成した記述を追加する。
一方、ステップ5095において、超過した場合、上記ステップ5093および5094で蓄積したConfig設定AおよびConfig設定Bと、最新のフィルタ定義ログ情報510とを比較する(ステップ5097)。
最新のフィルタ定義ログ情報510に、Config設定AおよびConfig設定B以外の記述がある場合、フィルタ定義設定プログラム509は、当該記述を有する通信装置のConfig情報を特定し、その中から、当該記述を削除し(ステップ5098)、ステップ5099に進む。一方、最新のフィルタ定義ログ情報510に、Config設定AおよびConfig設定B以外の記述がない場合は、直接ステップ5099に進む。
フィルタ定義設定プログラム509は、フィルタ定義作成処理Aおよびフィルタ定義作成処理Bにおいて追加がなされ、上記ステップ5098において削除がなされた最新のConfig情報209、229を、それぞれ、通信装置200、220に登録し、Config設定AおよびConfig設定Bを、フィルタ定義ログ情報510に追加する(ステップ5099)。
最終的に作成されるConfig情報209、229の一例を、それぞれ、図19、図20に示す。ここでは、下線で示した行が新たに作成した定義である。
次に、上記フィルタ定義作成処理Aについて説明する。
図19は、フィルタ定義作成処理Aの処理フローである。
フィルタ定義設定プログラム509は、MACテーブル210、230及びConfig情報209、229を検索し、フィルタ定義テーブル511のm行目のレコードの送信元IPアドレス511bをIPアドレス210bとするインタフェースがあれば、そのインタフェースを抽出するとともに、そのインタフェースを抽出した通信装置を特定する(ステップ50931)。これは、フィルタ設定を実施する通信装置およびインタフェースを特定するための処理である。
ここでは、フィルタ定義テーブル511の1行目の送信元IPアドレスは192.168.0.1である。当該IPアドレスは、図7に示すMACテーブル210及びConfig情報209から、通信装置200のインタフェースipAに収容されていることが特定される。
フィルタ定義設定プログラム509は、対象のインタフェースがいずれかの通信装置に収容されていることを特定できた場合、ステップ50933へ進み、特定できなかった場合、異常終了として処理を終了する(ステップ50932)。
なお、異常終了時は、m行目のレコードについてのフィルタ定義は作成しない。このとき、管理者800に向けてSNMP Trap等でエラーメッセージを通知してもよい。
特定できた場合、フィルタ定義設定プログラム509は、対象インタフェースに関するinput側のフィルタ定義を含むConfig情報の記述を作成し、当該記述が、フィルタ定義ログ情報510に存在するか否か判別する(ステップ50933)。
具体的には、送信元IPアドレスをフィルタ定義テーブル511の1行目の送信元IPアドレス192.168.0.1に、送信元ポートをフィルタ定義テーブル511の1行目の送信先ポートanyに、送信先IPアドレスをフィルタ定義テーブル511の1行目の送信先IPアドレス192.168.10.1に、送信先ポートをフィルタ定義テーブル511の1行目の送信先ポート3260としたConfig情報の記述を作成する。
上記Config情報の記述がフィルタ定義ログ情報510に存在する場合、当該記述に関するConfig情報は既に設定済みであるため、ステップ50935に進む。一方、フィルタ定義ログ情報510に存在しない場合は、対象インタフェース(ここでは、通信装置200のインタフェースipA)のConfig情報209に、ステップ50933で作成したConfig情報の記述を追加し(ステップ50934)、ステップ50935に進む。
ここで、設定したConfig情報の記述が追加された後のConfig情報209を、図21に示す。追加されたConfig情報は、4行目の記述に相当する。以上のように、本処理により、iSCSIイニシエータからiSCSIターゲットへのIPパケットのフィルタ定義を含むConfig情報が作成できる。
そして、フィルタ定義設定プログラム509は、ステップ50933で作成したConfig情報の記述を、Config設定Aに追加し(ステップ50935)、正常終了として処理を終了する。
次に、上記フィルタ定義作成処理Bについて説明する。
図20は、フィルタ定義作成処理Bの処理フローである。
フィルタ定義設定プログラム509は、MACテーブル210、230を検索し、フィルタ定義テーブル511のm行目のレコードの送信先IPアドレス511dをIPアドレス210bとするインタフェースがあれば、そのインタフェースを抽出するとともに、そのインタフェースを抽出した通信装置を特定する(ステップ50941)。これは、フィルタ定義を設定する通信装置およびインタフェースを特定するための処理である。
ここでは、フィルタ定義テーブル511の1行目の送信先IPアドレスは192.168.10.1である。当該IPアドレスは、図7に示すMACテーブル210および図8に示すMACテーブル230から、通信装置200のインタフェースipEおよび通信装置220のインタフェースfe0/2に収容されていることが特定される。
このように、ここでは、フィルタ設定を実施する対象のインタフェース候補は2つ得られる。従って、Config情報209、229を参照し、いずれのインタフェースがIPネットワークの論理構成上、対象の送信先IPアドレスに近いか判断する。
本実施形態では、通信装置200のConfig情報209には、インタフェースipEに関し、上記先IPアドレス192.168.10.1を含む条件が記載され、通信装置220のConfig情報229には、記載されていないものとする。その場合、送信先IPアドレス511dを有するインタフェースは、通信装置220を介して通信装置200に接続するものと考えられる。従って、この場合、通信装置220がより近い通信装置と判断され、特定される。
フィルタ定義設定プログラム509は、対象インタフェースがいずれかの通信装置に収容されていることを特定できた場合、ステップ50943に進み、特定できなかった場合、異常終了として処理を終了する(ステップ50942)。
なお、異常終了時は、m行目のレコードについてのフィルタ定義は作成しない。このとき、管理者800に向けてSNMP Trap等でエラーメッセージを通知してもよい。
特定できた場合、フィルタ定義設定プログラム509は、対象インタフェースに関するinput側のフィルタ定義を含むConfig情報の記述を作成し、当該記述が、フィルタ定義ログ情報510に存在するか否か判別する(ステップ50943)。
具体的には、対象インタフェース(ここでは、通信装置220のインタフェースfe0/2)のConfig情報229に、送信元IPアドレスをフィルタ定義テーブル511の1行目の送信先IPアドレス192.168.10.1に、送信元ポートをフィルタ定義テーブル511の1行目の送信先ポート3260に、送信先IPアドレスをフィルタ定義テーブル511の1行目の送信元IPアドレス192.168.0.1に、送信先ポートをフィルタ定義テーブル511の1行目の送信元ポートanyとしたConfig情報の記述を作成する。
上記Config情報の記述がフィルタ定義ログ情報510に存在する場合、当該記述に関するConfig情報は既に設定済みであるため、ステップ50945に進む。一方、フィルタ定義ログ情報510に存在しない場合は、対象インタフェース(ここでは、通信装置220のインタフェースfe0/2)のConfig情報229に、ステップ50943で作成したConfig情報の記述を追加し(ステップ50944)、ステップ50945に進む。
ここで、設定したConfig情報の記述が追加された後のConfig情報229を図22に示す。追加されたConfig情報は、10行目の記述に相当する。以上のように、本処理により、iSCSIターゲットからiSCSIイニシエータへのIPパケットのフィルタ設定を含むConfig情報が作成できる。
そして、フィルタ定義設定プログラム509は、ステップ50943にて作成したConfig情報の記述を、Config設定Bに追加し(ステップ50945)、正常終了として処理を終了する。
以上、フィルタ定義設定プログラム509の処理について説明した。本実施形態では、フィルタ定義設定プログラム509により、ストレージエリアネットワークの構成が変更になった場合、変更後の構成に対応したフィルタ設定を、通信装置に行うことができる。
例えば、本実施形態のストレージエリアネットワークに、新たな構成が追加された場合、DD情報409は更新される。それに伴い、管理サーバ500は、更新後のDD情報409を受け取って作成したフィルタ定義テーブル511からフィルタ定義を生成し、Config情報に追加する。また、構成が切り離された場合、も同様にDD情報409は更新され、それに伴い、管理サーバ500は、作成したフィルタ定義テーブル511からフィルタ定義を生成し、Config情報に追加する。この場合、新たに作成されたフィルタ定義をConfig情報に設定するだけでは、上記の切り離された構成に係るフィルタ定義が残ってしまうこととなる。従って、上述のように、フィルタ定義ログ情報510を用いて、不要となったフィルタ定義を抽出し、削除する処理を行う。
例えば、ホスト100が切り離された場合、本実施形態では、ホスト100にかかるIPアドレスが含まれるフィルタ定義である、図19に示す4行目の定義と図20に示す10行目の定義とは不要となる。そこで、本実施形態のフィルタ定義設定プログラム509は、フィルタ定義ログ情報510を参照し、以前に設定した定義のうち、不要となった定義を削除する処理を実施する。
以上の手順にて、本実施形態では、iSCSI通信特有の制限を反映したフィルタ設定をIPネットワーク上で実現する。これによりiSCSIノード間の、iSCSIレイヤで許可されない通信を、IPレベルで制限することができ、IP-SANのセキュリティレベルを向上することができる。
なお、本実施形態では、フィルタ定義作成プログラム508及びフィルタ定義設定プログラム509を、管理サーバ500が保持する構成を例にあげて説明したが、これに限られない。例えば、ホスト100、110やストレージ装置300、iSNSサーバ400、通信装置200、220が、これらのプログラムを保持する構成であってもよい。
なお、通信装置200、220がフィルタ定義作成プログラム508及びフィルタ定義設定プログラム509を保持する構成の場合、フィルタ定義設定プログラム509の処理において、自通信装置が保持するインタフェースに関わるフィルタ定義のみを、自通信装置に対して設定するよう構成する。
また、図5に示すDD情報409において、3行目に示すレコードおよび5行目に示すレコードのように、同一IPアドレスにてiSCSIイニシエータ(iqn.a.com:str-Ini)とiSCSIターゲット(iqn.a.com:str-LU0)とを兼ねる構成であっても、同様にIPレイヤでのフィルタ定義設定を実現することが可能である。
以上説明したように、本実施形態によれば、iSCSI通信特有の制限を反映したフィルタ設定をIPネットワーク上で実現することができる。従って、本実施形態によれば、iSCSI通信で許可されない不正な通信を、IPレベルで制限することを実現できる。
<<第二の実施形態>>
第一の実施形態では、通信装置にフィルタ設定を行い、iSCSIイニシエータおよびiSCSIターゲット間の通信をIPレベルで制御する。本実施形態では、iSNSサーバ400からiSCSIノードへ送信されるメッセージであるSCN(State Change Notification)及びESI(Entity Status Inquiry)に対して、IPネットワーク上でフィルタ設定を行う場合を説明する。
SCNは、本システム内のiSCSIノードの構成、すなわち、DD情報409に変更があった場合、その変更をiSCSIノードへ通知するためにiSNSサーバ400からiSCSIノードへ送信されるメッセージである。また、ESIは、iSNSサーバ400が発行する、iSCSIノードの生死監視用パケットである。SCN及びESIの送受信は、特定のTCPポートを介して実施される。具体的には、それぞれ、図5に示すSCN Port、ESI Portを用いてやり取りされる。
すなわち、本実施形態では、iSNSサーバ400からiSCSIノードに送信されるIPパケットに対するIPレベルでのフィルタ設定の手法について説明する。
以下、SCNに対するフィルタ設定を例にあげ、手順を説明する。ESIについても同様の手順にて実現可能である。
本実施形態のシステム構成は、第一の実施形態と基本的に同様である。ただし、管理サーバ500は、フィルタ定義作成プログラム508の代わりに、フィルタ定義作成プログラム508−2を備える。
フィルタ定義作成プログラム508−2は、以下の手順により、フィルタ定義テーブル511を生成する。なお、以下において、図5に示すDD情報409を用いて処理を行う場合を例に挙げて説明する。
図23は、本実施形態における、フィルタ定義作成プログラム508−2によるフィルタ定義テーブル511作成の手順である。
フィルタ定義作成プログラム508−2は、iSNSサーバ400からDD情報409を取得する(ステップ5201)。
カウンタn(nは自然数)を1に設定する(ステップ5202)
フィルタ定義作成プログラム508−2は、送信元IPアドレス511bを、予め保持するiSNSサーバ400のIPアドレス(ここでは、192.168.9.1となる)、送信先IPアドレス511dを、DD情報409のn行目のレコードのPortal IP Address409e、送信先ポート511eをDD情報409のn行目のレコードのSCN Port409g(ESIの場合は、ESI Port409h)とするフィルタ定義を作成し、フィルタ定義テーブル511に追加する(ステップ5203)。なお、iSNSサーバ400のIPアドレスは、予め管理者端末800などを介して設定される。なお、ステップ5203において作成するフィルタ定義において、送信元ポート511cは、特に限定されないため、anyが設定される。
次に、フィルタ定義作成プログラム508−2は、nの値に1を加え、nがDD情報409のレコード数を超過するかをチェックする(ステップ5204)。超過しない場合、ステップ5203に戻り、先に述べた処理を繰り返す。
超過した場合、管理サーバ500は、フィルタ定義作成プログラム508−2を終了する。
以上の処理により、フィルタ定義作成プログラム508−2により作成されたフィルタ定義テーブル511の一例を、図24に示す。
管理サーバ500は、以上の手順でフィルタ定義テーブル511が生成されると、次に、フィルタ定義設定プログラム509により、対象の通信装置に対して、Config情報209の設定を行う。
フィルタ定義設定プログラム509による処理は、第一の実施形態と同様である。本実施形態のフィルタ定義設定プログラム509により、作成されたConfig情報209、229の一例を、それぞれ図25および図26に示す。これらは、それぞれ、対象の通信装置である200、220に設定される。
以上の手順にて、iSCSI通信特有の制限を反映したフィルタ設定を、IPネットワーク上で実現する。これによりiSNSサーバ400とiSCSIノードとの間の許可されていないIP通信を制限することができ、IP-SANのセキュリティレベルを向上することができる。
なお、本実施形態では、フィルタ定義作成プログラム508−2及びフィルタ定義設定プログラム509を、管理サーバ500が持つ構成を例にあげて説明したが、これに限られない。例えば、ホスト100、110やストレージ装置300、iSNSサーバ400、通信装置200、220が、これらのプログラムを保持する構成であってもよい。
なお、通信装置200、220がフィルタ定義作成プログラム508−2及びフィルタ定義設定プログラム509を保持する構成の場合、フィルタ定義設定プログラム509の処理において、自通信装置が保持するインタフェースに関わるフィルタ定義のみを、自通信装置に対して設定するよう構成する。
<<第三の実施形態>>
上記の各実施形態では、iSNSサーバ400が持つDD情報409を基に、フィルタ定義テーブル511を生成し、Config情報を作成していたが、本実施形態では、DD情報409の代わりに、ストレージ装置300が持つパス定義情報313を用い、上記処理を実現する。
本実施形態のストレージエリアネットワーク全体の構成を示すシステム構成図を図27に示す。
本図に示すように、本実施形態では、上記各実施形態の場合のシステム構成と異なり、iSNSサーバ400を必要としない。他の同符号の構成は、第一の実施形態と同様である。ただし、本実施形態では、管理サーバ500は、フィルタ定義作成プログラム508、508−2の代わりに、フィルタ定義作成プログラム508−3を備える。そして、フィルタ定義作成プログラム508−3は、通信装置200、220を介してストレージ装置300からパス定義情報313を取得し、フィルタ定義テーブル511を作成する。
管理サーバ500は、上記各実施形態同様、作成したフィルタ定義テーブル511を用いて、フィルタ定義設定プログラム509にて、必要な通信装置に対してIPパケットのフィルタ設定を実施する。
パス定義情報313は、iSCSIイニシエータとiSCSIターゲットとの接続関係が記述されているテーブルであり、管理者端末800を介して、予めストレージ装置300に設定されるものである。設定の方法はこれに限られない。
図28に、パス定義情報313の一例を示す。本図に示すように、パス定義情報313は、通信元のiSCSIイニシエータを識別するiSCSI Name313bとPortal IP Address313c、通信先のiSCSIターゲットを識別するiSCSI Name313dとPortal IP Address313e、Portal TCP/UDP Port313f、当該iSCSIターゲットからアクセス可能なLUN(LU Number)313gを備える。
ストレージ装置300において、ストレージ制御装置301は、このパス定義情報313に基づき、iSCSIレイヤレベルでiSCSI通信を制御する。例えば、iqn.a.com:hst-Aからのiqn.a.com:str-LU1へのアクセスは、iSCSI Name313bがiqn.a.com:hst-A で、iSCSI Name313dがiqn.a.com:str-LU1を満たすレコードがないため、iSCSIログイン認証で許可しない、等の制御を行う。
次に、フィルタ定義作成プログラム508−3によって、取得したパス定義情報313から、IPレイヤのフィルタ定義、すなわち、送信元をiSCSIイニシエータのIPアドレス、送信先をiSCSIターゲットのIPアドレス及びTCP/UDPポート番号としたフィルタ定義を格納したフィルタ定義テーブル511を作成する手順について、説明する。ここでは、図28に示すパス定義情報313を用いて処理を行う場合を例にあげて説明する。
図29は、本実施形態における、フィルタ定義作成プログラム508−3によるフィルタ定義テーブル511作成の手順である。
フィルタ定義作成プログラム508−3は、ストレージ装置300からパス定義情報313を取得する(ステップ5301)。パス定義情報313の取得は例えばSNMP Trap等の既存技術にて実現することが可能である。
カウンタn(nは自然数)を1に設定する(ステップ5302)。
フィルタ定義作成プログラム508−3は、取得したパス定義情報313のn行目のレコードについて、送信元IPアドレス511bをiSCSIイニシエータのIPアドレス、送信先IPアドレス511dをiSCSIターゲットのIPアドレス、送信先ポート511eをTCP/UDPポート番号とするフィルタ定義を作成し、フィルタ定義テーブル511に追加する(ステップ5303)。なお、ステップ5203において作成するフィルタ定義において、送信元ポート511cは、特に限定されないため、anyが設定される。
ここでは、パス定義情報313の、1行目のレコードを用い、Initiatorを示すフィールドのPortal IP Addressを送信元、Targetを示すフィールドのPortal IP AddressとPortal TCP/UDP Portを送信先とした、フィルタ定義テーブル511を作成する。この場合に作成されるフィルタ定義テーブルの例を図16に示す。
次に、フィルタ定義作成プログラム508−3は、nの値に1を加え、nがパス定義情報313のレコード数を超過するかをチェックする(ステップ5304)。超過しない場合、ステップ5303に戻り、先に述べた処理を繰り返す。
超過した場合、管理サーバ500は、フィルタ定義作成プログラム508−3を終了する。
以上の処理により、フィルタ定義作成プログラム508−3は、フィルタ定義テーブル511を作成する。ここで作成されるフィルタ定義テーブル511は、第一の実施形態の図12に示すものと同様である。
管理サーバ500は、以上の手順でフィルタ定義テーブル511を作成すると、フィルタ定義設定プログラム509により、対象の通信装置に対して、Config情報を設定する。
フィルタ定義設定プログラム509による処理は、第一の実施形態と同様である。ここで作成されるConfig情報209、229は、それぞれ、第一の実施形態の図21、図22に示すものと同様である。これらは、それぞれ、対象の通信装置である200、220に設定される。
以上の手順にて、本実施形態によれば、iSNSサーバなしに、iSCSI通信特有の制限を反映したフィルタ設定をIPネットワーク上で実現する。これによりiSCSIノード間で許可されていない通信をIPレイヤレベルで制限することができ、IP-SANのセキュリティレベルを向上することができる。
なお、本実施形態では、ストレージ装置300が、パス定義情報313を持つ構成を例にあげて説明したが、これに限られない。管理サーバ500、ホスト100、110がパス定義情報313を持つ構成であっても、同様に実現することができる。なお、ホスト100、110がパス定義情報313を持つ場合、ホストに、それぞれ自装置に係るパス定義情報のみを有する。
また、本実施形態では、フィルタ定義作成プログラム508−3及びフィルタ定義設定プログラム509を、管理サーバ500が持つ構成を例にあげて説明したが、これに限られない。例えば、ホスト100、110やストレージ装置300、通信装置200、220が、これらのプログラムを持つ構成であってもよい。
なお、通信装置200、220がフィルタ定義作成プログラム508−3及びフィルタ定義設定プログラム509を持つ場合、フィルタ定義設定プログラム509の処理において、自通信装置が保持するインタフェースに関わるフィルタ定義のみを、自通信装置に対して設定するよう構成する。
図1は、第一の実施形態のシステム構成図である。 図2は、第一の実施形態のホストの構成図である。 図3は、第一の実施形態のストレージ装置の構成図である。 図4は、第一の実施形態のiSNSサーバの構成図である。 図5は、第一の実施形態のDD情報の一例を示す図である。 図6は、第一の実施形態の通信装置の構成図である。 図7は、第一の実施形態の通信装置に格納されるMACテーブルの一例を示す図である。 図8は、第一の実施形態の通信装置に格納されるMACテーブルの一例を示す図である。 図9は、第一の実施形態の通信装置が保持するConfig情報の一例を示す図である。 図10は、第一の実施形態の通信装置が保持するConfig情報の一例を示す図である。 図11は、第一の実施形態の管理サーバの構成図である。 図12は、第一の実施形態のフィルタ定義テーブルの一例を示す図である。 図13は、第一の実施形態のフィルタ定義ログ情報の一例を示す図である。 図14は、第一の実施形態のフィルタ定義作成プログラムによる処理のフローである。 図15は、第一の実施形態のフィルタ定義仮テーブルの一例を示す図である。 図16は、第一の実施形態のフィルタ定義作成プログラム実行中に作成されるフィルタ定義テーブルの一例である。 図17は、第一の実施形態のフィルタ定義仮テーブルの一例を示す図である。 図18は、第一の実施形態のフィルタ定義設定プログラムによる処理のフローである。 図19は、第一の実施形態のフィルタ定義作成処理Aの処理のフローである。 図20は、第一の実施形態のフィルタ定義作成処理Bの処理のフローである。 図21は、第一の実施形態のConfig情報の一例を示す図である。 図22は、第一の実施形態のConfig情報の一例を示す図である。 図23は、第二の実施形態のフィルタ定義作成プログラムによる処理のフローである。 図24は、第二の実施形態のフィルタ定義テーブルの一例を示す図である。 図25は、第二の実施形態のConfig情報の一例を示す図である。 図26は、第二の実施形態のConfig情報の一例を示す図である。 図27は、第三の実施形態のシステム構成図である。 図28は、第三の実施形態のパス定義情報の一例を示す図である。 図29は、第三の実施形態のフィルタ定義作成プログラムによる処理のフローである。
符号の説明
100:ホスト、 101:処理部、 102:記憶部、 103:ネットワーク通信装置、 104:入力装置、 105:出力装置、 106:バス、 107:OSプログラム、 108:通信制御プログラム、 110:ホスト、 200:通信装置、 201:処理部、 202:記憶部、 203〜206:ネットワーク通信装置、 207:バス、 208:パケット転送制御プログラム、 209:Config情報、 210:MACテーブル、 220:通信装置、 229:Config情報、 230:MACテーブル、 300:ストレージ装置、 301:ストレージ制御装置、 302:処理部、 303:記憶部、 304〜305:ネットワーク通信装置、 306:ストレージ接続装置、 307:バス、 308:物理ディスク群、 309:バス、 310〜311:ボリューム、 312:ストレージ制御プログラム、 313:パス定義情報、 400:iSNSサーバ、 401:処理部、 402:記憶部、 403:ネットワーク通信装置、 404:入力装置、 405:出力装置、 406:バス、 407:OSプログラム、 408:iSNSプログラム、 409:DD情報、 500:管理サーバ、 501:処理部、 502:記憶部、 503:ネットワーク通信装置、 504:入力装置、 505:出力装置、 506:バス、 507:OSプログラム、 508:フィルタ定義作成プログラム、 509:フィルタ定義設定プログラム、 510:フィルタ定義ログ情報、 511:フィルタ定義テーブル、 5111:フィルタ定義仮テーブル、

Claims (5)

  1. それぞれ通信装置を介してIPネットワークに接続し、互いにiSCSI(Internet Small Computer Interface)通信を行うiSCSIノード群を備えるストレージエリアネットワークであって、前記iSCSI通信が許可されるiSCSIノードの組み合わせが予め定められているストレージエリアネットワークにおける、各iSCSIノード間で送受信されるIPパケットを、前記各通信装置内でフィルタリングするフィルタ定義の作成および設定を行うフィルタ定義管理方法であって、
    前記iSCSI通信が許可されるiSCSIノードの組み合わせそれぞれの、iSCSIイニシエータ側のiSCSIノードに割り当てられたIPアドレスと、iSCSIターゲット側のiSCSIノードに割り当てられたIPアドレスとポート番号とを対応づけて管理する管理情報を、iSCSIターゲットとなるストレージ装置から取得する管理情報取得ステップと、
    前記組み合わせ毎に、前記iSCSIイニシエータ側に割り当てられた前記IPアドレスを送信元IPアドレスとし、前記iSCSIターゲット側に割り当てられた前記IPアドレスおよび前記ポート番号を、送信先IPアドレスおよびポート番号とするフィルタ定義を作成するフィルタ定義作成ステップと、
    前記送信元IPアドレスをインタフェースに有する通信装置と、前記送信先IPアドレスをインタフェースに有する通信装置のそれぞれに対して、作成された前記フィルタ定義に基づくフィルタリングを行うフィルタ定義設定ステップと、を備えること
    を特徴とするフィルタ定義管理方法。
  2. 請求項1に記載のフィルタ定義管理方法であって、
    前記フィルタ定義設定ステップでは、
    前記送信元IPアドレスをMAC(Media Access Control)アドレスと対応づけて管理している通信装置であって当該送信元IPアドレスが割り当てられている前記iSCSIノードに論理構成上最も近い前記通信装置に、前記作成したフィルタ定義を設定し、前記送信先IPアドレスをMAC(Media Access Control)アドレスと対応づけて管理している通信装置であって当該送信先IPアドレスが割り当てられている前記iSCSIノードに論理構成上最も近い前記通信装置に、前記作成したフィルタ定義の送信先と送信元とを逆にしたフィルタ定義を設定すること
    を特徴とするフィルタ定義管理方法。
  3. それぞれ通信装置を介してIPネットワークに接続し、互いにiSCSI(Internet Small Computer Interface)通信を行うiSCSIノード群を備えるストレージエリアネットワークであって、前記iSCSI通信が許可されるiSCSIノードの組み合わせが予め定められているストレージエリアネットワークにおける、各iSCSIノード間で送受信されるIPパケットを、前記各通信装置内でフィルタリングするフィルタ定義の作成および設定を行うフィルタ定義管理装置であって、
    前記iSCSI通信が許可されるiSCSIノードの組み合わせそれぞれの、iSCSIイニシエータ側のiSCSIノードに割り当てられたIPアドレスと、iSCSIターゲット側のiSCSIノードに割り当てられたIPアドレスとポート番号とを対応づけて管理する管理情報を、iSCSIターゲットとなるストレージ装置から取得する管理情報取得手段と、
    前記組み合わせ毎に、前記iSCSIイニシエータ側に割り当てられた前記IPアドレスを送信元IPアドレスとし、前記iSCSIターゲット側に割り当てられた前記IPアドレスおよび前記ポート番号を、送信先IPアドレスおよびポート番号とするフィルタ定義を作成するフィルタ定義作成手段と、
    前記送信元IPアドレスをインタフェースに有する通信装置と、前記送信先IPアドレスをインタフェースに有する通信装置のそれぞれに対して、作成された前記フィルタ定義に基づくフィルタリングを行うフィルタ定義設定手段と、を備えること
    を特徴とするフィルタ定義管理装置。
  4. 請求項3に記載のフィルタ定義管理装置であって、
    前記フィルタ定義設定手段は、
    前記送信元IPアドレスをMAC(Media Access Control)アドレスと対応づけて管理している通信装置であって当該送信元IPアドレスが割り当てられている前記iSCSIノードに論理構成上最も近い前記通信装置に、前記作成したフィルタ定義を設定し、前記送信先IPアドレスをMAC(Media Access Control)アドレスと対応づけて管理している通信装置であって当該送信先IPアドレスが割り当てられている前記iSCSIノードに論理構成上最も近い前記通信装置に、前記作成したフィルタ定義の送信先と送信元とを逆にしたフィルタ定義を設定すること
    を特徴とするフィルタ定義管理装置。
  5. iSCSIイニシエータとなるホストと、iSCSIターゲットとなるストレージ装置と、管理サーバと、前記ホストに接続される第一の通信装置と、前記ストレージ装置に接続される第二の通信装置とを備え、それぞれがIPネットワークで接続されるストレージエリアネットワークであって、
    前記ホストは前記第一の通信装置および前記第二の通信装置を介して前記ストレージ装置にアクセスし、
    前記管理サーバは、
    前記iSCSI通信が許可されるiSCSIノードの組み合わせそれぞれの、iSCSIイニシエータ側のiSCSIノードに割り当てられたIPアドレスと、iSCSIターゲット側のiSCSIノードに割り当てられたIPアドレスとポート番号とを対応づけて管理する管理情報を、iSCSIターゲットとなるストレージ装置から取得する管理情報取得手段と、
    前記組み合わせ毎に、前記iSCSIイニシエータ側に割り当てられた前記IPアドレスを送信元IPアドレスとし、前記iSCSIターゲット側に割り当てられた前記IPアドレスおよび前記ポート番号を、送信先IPアドレスおよびポート番号とするフィルタ定義を作成するフィルタ定義作成手段と、
    前記第一の通信装置または前記第二の通信装置のいずれかの通信装置であって、前記送信元IPアドレスをMAC(Media Access Control)アドレスと対応づけて管理している通信装置であって当該送信元IPアドレスが割り当てられている前記iSCSIノードに論理構成上最も近い前記通信装置に、前記作成したフィルタ定義を設定し、前記送信先IPアドレスをMAC(Media Access Control)アドレスと対応づけて管理している通信装置であって当該送信先IPアドレスが割り当てられている前記iSCSIノードに論理構成上最も近い前記通信装置に、前記作成したフィルタ定義の送信先と送信元とを逆にしたフィルタ定義を設定するフィルタ定義設定手段と、を備えること
    を特徴とするストレージエリアネットワーク。
JP2004338673A 2004-11-24 2004-11-24 フィルタ定義管理方法、フィルタ定義管理装置、および、ストレージエリアネットワーク Expired - Fee Related JP4550557B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004338673A JP4550557B2 (ja) 2004-11-24 2004-11-24 フィルタ定義管理方法、フィルタ定義管理装置、および、ストレージエリアネットワーク
US11/049,405 US20060109850A1 (en) 2004-11-24 2005-02-01 IP-SAN network access control list generating method and access control list setup method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004338673A JP4550557B2 (ja) 2004-11-24 2004-11-24 フィルタ定義管理方法、フィルタ定義管理装置、および、ストレージエリアネットワーク

Publications (2)

Publication Number Publication Date
JP2006146767A JP2006146767A (ja) 2006-06-08
JP4550557B2 true JP4550557B2 (ja) 2010-09-22

Family

ID=36460870

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004338673A Expired - Fee Related JP4550557B2 (ja) 2004-11-24 2004-11-24 フィルタ定義管理方法、フィルタ定義管理装置、および、ストレージエリアネットワーク

Country Status (2)

Country Link
US (1) US20060109850A1 (ja)
JP (1) JP4550557B2 (ja)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8594083B2 (en) * 2005-04-01 2013-11-26 Cisco Technology, Inc. iSCSI and fibre channel authentication
JP4161980B2 (ja) * 2005-05-31 2008-10-08 ブラザー工業株式会社 通信装置、管理システム、情報処理装置、及び、プログラム
US7882086B1 (en) * 2005-12-21 2011-02-01 Network Appliance, Inc. Method and system for portset data management
JP2007265116A (ja) * 2006-03-29 2007-10-11 Hitachi Ltd ストレージシステム、管理ホスト、ストレージアクセス制限方法、管理ホストによるアクセス制限方法およびアクセス制限方法プログラム
KR101319491B1 (ko) * 2006-09-21 2013-10-17 삼성전자주식회사 도메인 정보를 설정하기 위한 장치 및 방법
US20080170576A1 (en) * 2007-01-17 2008-07-17 International Business Machines Corporation Method, computer program product, and apparatus for optimally deploying iscsi sessions automatically
US8321908B2 (en) * 2007-06-15 2012-11-27 Cisco Technology, Inc. Apparatus and method for applying network policy at a network device
JP2009048530A (ja) * 2007-08-22 2009-03-05 Nippon Telegr & Teleph Corp <Ntt> iSCSI接続管理システム,iSCSI接続管理方法
WO2012173172A1 (ja) * 2011-06-16 2012-12-20 日本電気株式会社 通信システム、コントローラ、スイッチ、ストレージ管理装置、及び通信方法
JP5928197B2 (ja) * 2012-06-29 2016-06-01 富士通株式会社 ストレージシステム管理プログラム及びストレージシステム管理装置
US10841375B2 (en) 2013-11-01 2020-11-17 Hewlett Packard Enterprise Development Lp Protocol agnostic storage access in a software defined network topology
US9462001B2 (en) * 2014-01-15 2016-10-04 Cisco Technology, Inc. Computer network access control
CN104796387B (zh) * 2014-01-21 2018-01-19 腾讯科技(深圳)有限公司 一种网络长连接的通信方法及装置
US10630690B2 (en) * 2014-10-31 2020-04-21 Hewlett Packard Enterprise Development Lp Group zoning and access control over a network
CN107078974B (zh) 2014-12-19 2020-12-25 慧与发展有限责任合伙企业 网络交换机、由网络交换机执行的方法以及存储器资源
WO2017183089A1 (ja) * 2016-04-19 2017-10-26 株式会社日立製作所 計算機、計算機システム、およびプログラム
CN108366087B (zh) * 2017-12-26 2021-03-05 深圳创新科技术有限公司 一种基于分布式文件系统的iscsi服务实现方法和装置
CN112019361A (zh) * 2019-05-30 2020-12-01 阿里巴巴集团控股有限公司 访问控制列表的迁移方法及装置,存储介质和电子设备
CN111695150B (zh) * 2020-05-15 2023-07-28 浙江信网真科技股份有限公司 一种动态粒度自聚合的安全过滤方法及装置
CN112532639B (zh) * 2020-12-03 2023-03-14 中盈优创资讯科技有限公司 一种地址开放端口核查方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002318725A (ja) * 2001-04-20 2002-10-31 Hitachi Ltd ディスクアレイシステム
JP2003030053A (ja) * 2001-07-13 2003-01-31 Hitachi Ltd 論理ユニット毎のセキュリティ機能を備えた記憶サブシステム
JP2003158538A (ja) * 2001-11-22 2003-05-30 Anritsu Corp ゲートウェイ装置及び該装置を用いたアクセス方法
JP2004192305A (ja) * 2002-12-11 2004-07-08 Hitachi Ltd iSCSIストレージ管理方法及び管理システム
WO2004059943A1 (en) * 2002-12-31 2004-07-15 International Business Machines (Schweiz) Quality of service for iscsi

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6701432B1 (en) * 1999-04-01 2004-03-02 Netscreen Technologies, Inc. Firewall including local bus
US7107612B1 (en) * 1999-04-01 2006-09-12 Juniper Networks, Inc. Method, apparatus and computer program product for a network firewall
US6651096B1 (en) * 1999-04-20 2003-11-18 Cisco Technology, Inc. Method and apparatus for organizing, storing and evaluating access control lists
US7120931B1 (en) * 2000-08-31 2006-10-10 Cisco Technology, Inc. System and method for generating filters based on analyzed flow data
EP1435049B1 (en) * 2001-07-09 2013-06-19 Savvis, Inc. Methods and systems for shared storage virtualization
US7054944B2 (en) * 2001-12-19 2006-05-30 Intel Corporation Access control management system utilizing network and application layer access control lists
US7219189B1 (en) * 2002-05-31 2007-05-15 Veritas Operating Corporation Automatic operating system handle creation in response to access control changes
US20030229689A1 (en) * 2002-06-06 2003-12-11 Microsoft Corporation Method and system for managing stored data on a computer network
US8520520B2 (en) * 2002-11-06 2013-08-27 Avaya, Inc. System and method for per flow guaranteed throughput, multiple TCP flow bandwidth provisioning, and elimination of packet drops for transmission control protocol (TCP) and TCP-friendly protocols
US20040193906A1 (en) * 2003-03-24 2004-09-30 Shual Dar Network service security
US7353260B1 (en) * 2003-06-13 2008-04-01 Cisco Technology, Inc. System and method for access control on a storage router
US7623518B2 (en) * 2004-04-08 2009-11-24 Hewlett-Packard Development Company, L.P. Dynamic access control lists

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002318725A (ja) * 2001-04-20 2002-10-31 Hitachi Ltd ディスクアレイシステム
JP2003030053A (ja) * 2001-07-13 2003-01-31 Hitachi Ltd 論理ユニット毎のセキュリティ機能を備えた記憶サブシステム
JP2003158538A (ja) * 2001-11-22 2003-05-30 Anritsu Corp ゲートウェイ装置及び該装置を用いたアクセス方法
JP2004192305A (ja) * 2002-12-11 2004-07-08 Hitachi Ltd iSCSIストレージ管理方法及び管理システム
WO2004059943A1 (en) * 2002-12-31 2004-07-15 International Business Machines (Schweiz) Quality of service for iscsi

Also Published As

Publication number Publication date
JP2006146767A (ja) 2006-06-08
US20060109850A1 (en) 2006-05-25

Similar Documents

Publication Publication Date Title
JP4550557B2 (ja) フィルタ定義管理方法、フィルタ定義管理装置、および、ストレージエリアネットワーク
JP4311637B2 (ja) 記憶制御装置
JP4512179B2 (ja) ストレージ装置及びそのアクセス管理方法
JP4609996B2 (ja) 非トラステッド・サーバ環境におけるsan管理のためのセキュア・システムおよび方法
US7471684B2 (en) Preventing asynchronous ARP cache poisoning of multiple hosts
JP3976324B2 (ja) セキュリティレベルに応じて記憶領域を計算機に割り当てるシステム
JP2004192305A (ja) iSCSIストレージ管理方法及び管理システム
US20050160275A1 (en) Access control appartus and access control method
JP2004266305A (ja) 動的ipアドレス割当てを受けた機器を管理する方法およびシステム
JP2005318584A (ja) デバイスのセキュリティ状況に基づいたネットワーク・セキュリティのための方法および装置
CN101707617A (zh) 报文过滤方法、装置及网络设备
WO2016202007A1 (zh) 一种设备运维方法及系统
US8359379B1 (en) Method of implementing IP-based proxy server for ISCSI services
JP4082613B2 (ja) 通信サービスを制限するための装置
JP2007087059A (ja) 記憶制御システム
US11444883B2 (en) Signature based management of packets in a software defined networking environment
JP2007102761A (ja) ストレージ装置へのアクセスを制限するためのシステムと方法
CN108632221A (zh) 定位内网中的受控主机的方法、设备及系统
US7428594B2 (en) File server system
JP4824100B2 (ja) 機器の種類に基づいたネットワーク管理方法、ネットワーク管理装置、プログラム
US7353260B1 (en) System and method for access control on a storage router
US20050251684A1 (en) Storage control system and storage control method
JP4485875B2 (ja) ストレージ接続変更方法、ストレージ管理システム及びプログラム
US20060075470A1 (en) Storage network system and access control method
TWI852130B (zh) 自動代理系統及自動代理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061101

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091009

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091020

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100601

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100609

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100629

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100708

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130716

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees