Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP3779914B2 - Gateway apparatus and access method using the apparatus - Google Patents
[go: Go Back, main page]

JP3779914B2 - Gateway apparatus and access method using the apparatus - Google Patents

Gateway apparatus and access method using the apparatus Download PDF

Info

Publication number
JP3779914B2
JP3779914B2 JP2001357847A JP2001357847A JP3779914B2 JP 3779914 B2 JP3779914 B2 JP 3779914B2 JP 2001357847 A JP2001357847 A JP 2001357847A JP 2001357847 A JP2001357847 A JP 2001357847A JP 3779914 B2 JP3779914 B2 JP 3779914B2
Authority
JP
Japan
Prior art keywords
vpn
network
san
access
customer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001357847A
Other languages
Japanese (ja)
Other versions
JP2003158538A (en
Inventor
東山  満
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anritsu Corp
Original Assignee
Anritsu Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anritsu Corp filed Critical Anritsu Corp
Priority to JP2001357847A priority Critical patent/JP3779914B2/en
Publication of JP2003158538A publication Critical patent/JP2003158538A/en
Application granted granted Critical
Publication of JP3779914B2 publication Critical patent/JP3779914B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、LAN(Local Area Network)やWAN(Wide Area Network) で構築されるIPネットワークにVPNを介して接続され、IPネットワークと、複数のストレイジがグループ分けされて接続されたSAN(Storage Area Network)との間のデータアクセス制御を行うゲートウェイ装置及び該装置を用いたアクセス方法に関する。
【0002】
【従来の技術】
従来、2000年頃までは、インターネットのデータセンタにおけるLAN(WAN)とSANとが全く独自のネットワークとなっており、それぞれが分離されていた。このため、インターネット経由でのクライアントアクセスは、データセンタのLANを経由して、サーバのNIC(Network Interface Card)からサーバにファイルアクセスされる。そして、サーバは、ファイルアクセスを受け付けると、ハードディスクにSANを介してアクセスを行っていた(図7)。
【0003】
2000年後半からはSANとLAN(WAN)を接続しようという動きが始まった。一つは、場所が離れた複数のSANをLAN,WANを使って接続する方式(図8)であり、長距離伝送が可能な高速シリアルインタフェースであるファイバ・チャネルを用いたFCIP(Fibre Chanel over IP)というプロトコルが開発中である。もう一つは、ストレイジ自体をLAN,WANに接続し、クライアントPC(Personal Computer) から直接SCSI over IPでアクセスする方式(図9)のiSCSIというプロトコルが開発中である。
【0004】
また、iSCSIの登場に伴い、図10に示すように、LAN/WANからのiSCSIアクセスと従来の既設のSANを接続するためのiSCSIゲートウェイ(Storage Routerと呼ぶベンダもいる)が商品化されている。
【0005】
【発明が解決しようとする課題】
今、図10に示すようなネットワーク構成において、データセンタ上にあるストレイジ(ハードディスク:HD)をiSCSIによりリモートアクセスでアクセスする場合を考える。このようなネットワーク構成では、従来、自社の敷地内においていたストレイジをデータセンタなどの共有施設に置くことになるため、セキュリティが問題となる。
【0006】
このセキュリティの問題の対策として、例えばパスワードを用いる方法、特定のストレイジグループへのアクセスを予め指定されたクライアントPCのIPアドレスの組み合わせにのみ許す方法が考えられている。
【0007】
ここで、上記ストレイジグループは、ファイバ・チャネルのゾーニング機能によりグループ分けされる。このゾーニング機能は、一つのSAN構成に異機種OSの混在している環境、多数ノードが構成されている環境において特定のサーバとストレイジのアクセスを制限したい場合に有効な機能である。
【0008】
ゾーニングは、SANをゾーンという単位でグループ化し、仮想的に複数のSANであるかのように構成するものである。ゾーンの設定は、サーバのファイバ・チャネルインタフェース、ストレイジデバイスのファイバ・チャネルインタフェースのWWN(World Wide Node) 、またはFC(Fibre Channel) スイッチのポート番号を指定して行われる。図11はゾーニングの設定例を示している。図11の例では、6つのCPUサーバと7つのストレージデバイスと1つのテープライブラリがZONE−A,ZONE−B,ZONE−C,ZONE−Dの4つのゾーンにグループ分けされている。
【0009】
しかしながら、上述したパスワードを用いた方法では、複数の数字や記号の組み合わせなので、そのセキュリティ度が低いという問題がある。また、特定のストレイジグループへのアクセスを予め指定されたクライアントPCのIPアドレスの組み合わせにのみ許す方法では、第三者が指定されたIPアドレスの組み合わせに設定されたクライアントPCから本来の使用者に成り済まして使用できるため、セキュリティ性に欠けるという問題がある。
【0010】
このように、上述した方法では、SAN内のサーバやストレイジに対するアクセスのセキュリティを十分に守ることができないという課題があった。
【0011】
そこで、本発明は、上記課題に鑑みてなされたものであり、LAN/WANで構築されるIPネットワークとSANを接続するにあたって、SAN内のサーバやストレイジに対するアクセスのセキュリティを向上することができるゲートウェイ装置及び該装置を用いたアクセス方法を提供することを目的としている。
【0012】
【課題を解決するための手段】
上記目的を達成するため、本発明に係る請求項1の発明は、LANやWANで構築されるIPネットワーク2にVPNを介して接続され、前記IPネットワークと、複数のストレイジやサーバがグループ分けされて接続されたSAN3との間のデータのアクセスを制御するゲートウェイ装置1において、
前記VPNのカスタマと前記SANのストレイジグループとを対応付けるテーブル4を有し、前記IPネットワークからのパケット内のVPNのカスタマが前記テーブルのカスタマと一致したときに、該カスタマに対応するSANのストレイジグループへのアクセスを許可する機能を備えたことを特徴とする。
【0013】
請求項2の発明は、請求項1のゲートウェイ装置において、
前記VPNがMPLS−VPNからなり、前記テーブル4のIPネットワークのVPNのカスタマと対応付けされるSANのストレイジグループがファイバ・チャネルのゾーン名、Infini−Bandのパーティション番号、VIDの何れかであることを特徴とする。
【0014】
請求項3の発明は、LANやWANで構築されるIPネットワーク2にVPNを介して接続され、前記IPネットワークと、複数のストレイジやサーバがグループ分けされて接続されたSAN3との間のデータのアクセスを制御するゲートウェイ装置1を用いたアクセス方法において、
前記IPネットワークからのパケット内のVPNのカスタマが、前記IPネットワークのVPNのカスタマとSANのストレイジグループとを対応付けるテーブル4のカスタマと一致したときに、該カスタマに対応するSANのストレイジグループへのアクセスを許可することを特徴とする。
【0015】
請求項4の発明は、請求項3のゲートウェイ装置を用いたアクセス方法において、
前記VPNがMPLS−VPNからなり、前記テーブル4のIPネットワークのVPNのカスタマと対応付けされるSANのストレイジグループがファイバ・チャネルのゾーン名、Infini−Bandのパーティション番号、VIDの何れかであることを特徴とする。
【0016】
【発明の実施の形態】
図1は本発明によるゲートウェイ装置を含むMPLS(MultiProtocol Label Switching) −VPN技術を利用したネットワーク構成の一例を示す図、図2(a)〜(c)はパケットのユーザ識別ラベルと比較照合するためのストレイジマッピングテーブルの一例を示す図、図3はMPLSフレームフォーマットを示す図、図4はMPLS−VPNの処理手順を示すフローチャート、図5は本発明のゲートウェイ装置を含むL2TP(Layer two Tunneling Protocol)によるVPN技術を利用したネットワーク構成の一例を示す図、図6(a),(b)はL2TPフレームフォーマットを示す図である。
【0017】
本発明に係るゲートウェイ装置は、LANやWANで構築されるIPネットワークにVPNを介して接続され、IPネットワークと、複数のCPUサーバやストレイジ(ハードディスク:HD)がグループ分けされて接続されたSANとの間のデータのアクセスを制御している。
【0018】
図1や図5に示すように、本例のゲートウェイ装置1は、VPN(Virtual Private Network) 技術を利用してIPネットワーク2のクライアントPCからSAN3のストレイジやサーバへのアクセス制御を行うべく、LAN/WANインタフェースとファイバ・チャネル又はInfini−Bandのインタフェースを持ち、LAN/WANで構築されるIPネットワーク2(クライアントPC)からのSCSIコマンドをSAN側へゲートウェイする機能を有している。
【0019】
そして、本例のゲートウェイ装置1は、VPNとSAN3のグルーピングを結びつけることにより、SAN3のストレイジグループ(ストレイジやサーバ)をあたかもプライベート網に存在するかのようにアクセス制御している。
【0020】
さらに説明すると、本例のゲートウェイ装置1は、IPネットワーク2のVPNのカスタマとSAN3のストレイジグループとを対応付けるストレイジマッピングテーブル(以下、テーブルと略称する)4を有している。このテーブル4は、アクセスを許可するSAN3のストレイジグループを示す情報からなる。
【0021】
ストレイジグループとしては、ストレイジの一覧又はストレイジ一覧への識別番号で実現する方法、ファイバ・チャネルのゾーン名で管理する方法、Infini−Bandのパーティション番号で管理する方法がある。
【0022】
そこで、上記テーブル4は、図2(a)に示すような文字列からなるファイバ・チャネルのゾーン名、図2(b)に示すような数字例からなるInfini−Bandのパーティション番号、図2(c)に示すような数字列からなるVLAN(Virtual Local Area Network)−ID(VID)の何れかの情報として与えられ、各情報(ファイバ・チャネルのゾーン名、Infini−Bandのパーティション番号、VID)が各ユーザ識別ラベルと対応している。
【0023】
本例のゲートウェイ装置1は、IPネットワーク2のクライアントPCからのパケット内のVPNのカスタマがテーブル4のカスタマと一致したときに、そのカスタマに対応するSAN3のストレイジグループへのアクセスを許可する機能を有している。これにより、ユーザアクセスに対してユーザを特定し、許可されたストレイジグループにのみアクセスが許される。
【0024】
なお、図2(a)〜(c)に示すテーブル4は、ユーザ識別ラベルとストレージグループが1対1になっている。しかし、ユーザがアクセスを許されるストレージグループは、0個、1個、または複数個の場合がある。例えば1つのユーザが複数のストレージにアクセスする事も可能である。図2(d)は1つのユーザが2つのストレージにアクセスする場合のテーブル4の内容の一例を示している。また、複数のユーザが1つのストレージグループに同時にアクセスすることも可能である。
【0025】
ところで、VPN自体様々な実現方法があるが、本例のゲートウェイ装置1は、図1に示すMPLS−VPNと、図5に示すL2TPによるVPNに対応している。
【0026】
MPLSは、カットスルー方式のパケット転送技術であり、IPネットワークのようなコネクションレス型ネットワーク上で、コネクション制御を実現するための仕組みである。このMPLSでは、IPパケット内にユーザ識別ラベルという識別子を設け、MPLS対応ノードがIPネットワーク上で複数の経路を管理している。
【0027】
図1に示すネットワーク構成において、MPLS−VPNは、MPLSのラベルスタッキングという方式により、ユーザ識別ラベルがパケットに付加されてゲートウェイ装置1に運ばれてくる。このパケットのMPLSフレームフォーマットは、図3に示すように、L2(Layer2)ヘッダ、パケット搬送用ラベルとユーザ識別ラベルからなるMPLSヘッダ、IPヘッダ、TCPヘッダ、iSCSIデータを有して構成される。
【0028】
そして、本例のゲートウェイ装置1では、上記MPLSフレームフォーマットにおけるユーザ識別ラベルと、自身のテーブル(図2(a)〜(c)に示す何れかのテーブル)4の情報とを比較照合し、運ばれてきたパケットのSCSIをアクセス対象となるストレイジに送出して良いか否かを判断している。
【0029】
次に、上記MPLS−VPNを利用したネットワーク構成において、クライアントPCからパケットが運ばれてきたときの本例のゲートウェイ装置1の動作について図4を参照しながら説明する。
【0030】
クライアントPCからMPLS−VPNによりパケットが運ばれてくると、そのパケットからユーザ識別ラベルUを取り出す(ST1)。次に、ユーザ識別ラベルUを自身のテーブル(図2(a)〜(c)に示す何れかのテーブル)4でサーチする(ST2)。そして、ユーザ識別ラベルUがテーブル4にあるか否かを判別する(ST3)。
【0031】
ユーザ識別ラベルUがテーブル4にあれば(ST3−Yes)、ストレイジグループをゾーン名Zに格納する(ST4)。続いて、元のパケット(iSCSIデータ)からSCSIコマンドを取り出す(ST5)。その後、iSCSIにより指定されたゾーンZ内のストレイジ(ターゲット)にSCSIコマンドを送信する(ST6)。
【0032】
これに対し、ユーザ識別ラベルUがテーブル4になければ(ST3−No)、元のパケット(iSCSIデータ)からSCSIコマンドを取り出す(ST7)。その後、iSCSIにより指定されたストレイジ(ターゲット)にゾーン指定なしでSCSIコマンドを送信する(ST8)。
【0033】
次に、L2TPによるVPN技術を利用した本例のゲートウェイ装置1について説明する。
【0034】
L2TPは、データリンク層(PPP:Point to Point Protocol)をトンネリングしてサイト間(LAN間)接続VPNを構築するためのコネクション型のトンネリング・プロトコルである。このL2TPでは、LAC(L2TP Access Concentrator)とLNS(L2TP Network Sever)との間のPPPセッションをトンネリングする手順を規定している。
【0035】
図5に示すネットワーク構成において、L2TPは、図6(a)に示すように、IPヘッダ、UDPヘッダ、L2TPヘッダ、PPP(BCP)ヘッダ、IPヘッダ、TCPヘッダ、iSCSIデータからなるフォーマットが用いられる。また、図6(a)におけるiSCSIデータは、図6(b)に示すようなフォーマット構成となっている。なお、iSCSIコマンドは、ホスト(クライアントPC)からターゲット(サーバやストレイジ)へ発行するコマンドのフォーマットである。このL2TP環境のフレームは、UDP上のデータとして交換が行われる。
【0036】
L2TPでは、ユーザー・セッションのデータ通信(PPP通信)を開始する前に、L2TPトンネル(制御コネクション)を確立する。このL2TPトンネル確立時には、不正な相手がトンネルの確立要求を出して、不正なトンネルの確立を行わせないように、相手を認証することができる。
【0037】
L2TPにおける制御コネクションの確立は、L2TPメッセージである、(1)SCCRQ(Start-Control-Connection-Request 、コネクション確立要求)、(2)SCCRP(Start-Control-Connection-Reply 、コネクション確立応答)、(3)SCCCN(Start-Control-Connection-Connected 、コネクションの接続確立)を交換、すなわち3ウェイ・ハンドシェーク(3つのメッセージを交換して制御コネクションを確立することにより行われる。
【0038】
上記制御コネクションが確立されると、ユーザー・セッションをその上に乗せることができるようになっている。このユーザー・セッションの確立は、(1)ICRQ(Incoming-Call-Request、着呼要求)、(2)ICRP(Incoming-Call-Reply、着呼応答)、(3)ICCN(Incoming-Call-Connected、着呼接続)を交換する、3ウェイ・ハンドシェークで行われる。
【0039】
そして、上記ユーザー・セッションが確立状態に達すると、PPPフレームがトンネル上でやり取りされることになる。
【0040】
なお、L2TPトンネル中において、特定のセッションを切断する場合には、切断したいセッションのコールID(呼ID)を含めたCDN(Call-Disconnect-Notify 、呼切断通知)を相手に送信する。CDNの受信側では、指定されたコールIDのセッションが使用していたリソースを開放する。また、トンネルそのものを解除する場合には、解除したいトンネルIDを含めたStopCCN(Stop-Control-Connection-Notification 、制御コネクション終了通知)を、トンネルのエンド・ポイントに送信する。
【0041】
本例のゲートウェイ装置1は、L2TPによるVPNで最初のPPP接続時にユーザ名が識別されるので、アクセスを許可するユーザ名とストレイジグループとの対応を示すテーブルを有している。
【0042】
図示はしないが、テーブルは、MPLS−VPNと同様に、文字列からなるファイバ・チャネルのゾーン名、数字例からなるInfini−Bandのパーティション番号、数字列からなるVIDの何れかの情報で与えられ、各情報が各ユーザ名と対応している。
【0043】
そして、本例のゲートウェイ装置1は、クライアントPCからのiSCSIアクセス時に識別されるユーザ名を上述したテーブルと比較照合し、アクセスを許可してiSCSIコマンドを対象となるストレイジに送るか否かを制御している。
【0044】
さらに説明すると、図5のネットワーク構成の場合、クライアントPCは、ダイヤル回線によりLAC(L2TP Access Concentrator)にPPP接続する。PPPセッションは、LACによりL2TPフレームにカプセル化され、ゲートウェイ装置(LNS)1に送られる。LACとLNSとの間には論理的なL2TPトンネルセッションが張られており、暗号によりセキュリティがとられている。
【0045】
PPPセッションをつなぐ時、PCからPAP(Password Authentication Protocol)/CHAP(Challenge Handshake Authentication Protocol) によりユーザ名が送られ、ゲートウェイ装置1まで届く。
【0046】
ゲートウェイ装置1は、PPPセッションにより届いたユーザ名を上述したテーブルでサーチし、ユーザ名がテーブルにあるか否か判別する。そして、ユーザ名がテーブルにあれば、iSCSIにより指定されたゾーン内のストレイジ(ターゲット)にSCSIコマンドを送信する。これに対し、ユーザ名がテーブルになければ、iSCSIにより指定されたストレイジ(ターゲット)にゾーン指定なしでSCSIコマンドを送信する。
【0047】
このように、本例のゲートウェイ装置及び該装置を用いたアクセス方法では、クライアントPCからのパケット内のVPNのカスタマがテーブルのカスタマと一致したときに、そのカスタマに対応するSANのストレイジグループへのアクセスを許可している。これにより、ユーザアクセスに対してユーザを特定し、許可されたストレイジグループにのみアクセスが許されるので、ストレイジに対するセキュリティを守ることができる。しかも、プライベートアドレスをそのまま使うことができる。さらに、MPLS−VPNを利用したネットワーク構成に適用した場合には、プライベートアドレスをそのまま使用しても、暗号化・解読などの処理を施すことなく、処理の手間を省いてデータアクセス制御を行うことができる。
【0048】
【発明の効果】
以上の説明で明らかなように、本発明によれば、VPNのカスタマとSANのストレイジグループとを対応付けるテーブルを有し、クライアントからのパケット内のVPNのカスタマがテーブルのカスタマと一致したときに、そのカスタマに対応するSANのストレイジグループへのアクセスを許可するので、LAN/WANとSANを接続するにあたって、SAN内のサーバやストレイジに対するアクセスのセキュリティを十分に確保することができる。しかも、プライベートアドレスをそのまま用いることができる。また、MPLS−VPNを利用したネットワーク構成では、プライベートアドレスをそのまま使用しても、暗号化・解読などの処理を施すことなくデータアクセス制御を行うことができる。
【図面の簡単な説明】
【図1】本発明によるゲートウェイ装置を含むMPLS−VPN技術を利用したネットワーク構成の一例を示す図
【図2】(a)〜(d) パケットのユーザ識別ラベルと比較照合するためのストレイジマッピングテーブルの一例を示す図
【図3】MPLSフレームフォーマットを示す図
【図4】MPLS−VPNの処理手順を示すフローチャート
【図5】本発明のゲートウェイ装置を含むL2TPによるVPN技術を利用したネットワーク構成の一例を示す図
【図6】(a),(b) L2TPフレームフォーマットを示す図
【図7】LAN(WAN)とSANとが分離されたネットワーク構成におけるデータアクセスの概要図
【図8】FCIP方式によるLAN(WAN)とSANの接続構成を示す概要図
【図9】iSCSI方式によるLAN(WAN)とSANの接続構成を示す概要図
【図10】LAN(WAN)からのiSCSIアクセスと既設のSANを接続するためのネットワーク構成の概要図
【図11】ゾーニングによりグループ分けされたSANの一例を示す図
【符号の説明】
1…ゲートウェイ装置、2…IPネットワーク、3…SAN、4…テーブル、HD…ハードディスク(ストレイジ)。
[0001]
BACKGROUND OF THE INVENTION
The present invention is connected to an IP network constructed by a LAN (Local Area Network) or a WAN (Wide Area Network) via a VPN, and a SAN (Storage Area) in which an IP network and a plurality of storages are grouped and connected. The present invention relates to a gateway apparatus that performs data access control with respect to a network and an access method using the apparatus.
[0002]
[Prior art]
Conventionally, until around 2000, the LAN (WAN) and the SAN in the Internet data center were completely independent networks, which were separated from each other. For this reason, client access via the Internet is file access from the server NIC (Network Interface Card) to the server via the LAN of the data center. When the server accepts file access, the server accesses the hard disk via the SAN (FIG. 7).
[0003]
In the second half of 2000, a movement to connect SAN and LAN (WAN) began. One is a method of connecting a plurality of remote SANs using LAN and WAN (FIG. 8), and FCIP (Fibre Channel over fiber channel) which is a high-speed serial interface capable of long-distance transmission. A protocol called IP) is under development. The other is a protocol called iSCSI, which is a system (FIG. 9) in which the storage itself is connected to a LAN or WAN, and is accessed directly from a client PC (Personal Computer) using SCSI over IP.
[0004]
In addition, with the advent of iSCSI, as shown in FIG. 10, iSCSI gateways (also known as storage routers) for connecting iSCSI access from LAN / WAN and existing SANs are commercialized. .
[0005]
[Problems to be solved by the invention]
Consider a case where storage (hard disk: HD) on a data center is accessed by iSCSI remote access in a network configuration as shown in FIG. In such a network configuration, since storage in the company's premises has been placed in a shared facility such as a data center, security becomes a problem.
[0006]
As countermeasures for this security problem, for example, a method using a password or a method allowing access to a specific storage group only to a combination of IP addresses of client PCs designated in advance is considered.
[0007]
Here, the storage groups are grouped by a fiber channel zoning function. This zoning function is effective when it is desired to restrict access to a specific server and storage in an environment where heterogeneous OSs are mixed in a single SAN configuration or an environment where a large number of nodes are configured.
[0008]
In zoning, SANs are grouped in units called zones and are configured as if they are virtually a plurality of SANs. The zone is set by specifying the port number of the WWN (World Wide Node) or FC (Fibre Channel) switch of the fiber channel interface of the server, the fiber channel interface of the storage device. FIG. 11 shows a setting example of zoning. In the example of FIG. 11, six CPU servers, seven storage devices, and one tape library are grouped into four zones, ZONE-A, ZONE-B, ZONE-C, and ZONE-D.
[0009]
However, the above-described method using a password has a problem of low security because it is a combination of a plurality of numbers and symbols. In addition, in the method of permitting access to a specific storage group only by a combination of IP addresses of client PCs specified in advance, a third party can change from the client PC set to the combination of IP addresses specified to the original user. There is a problem of lack of security because it can be used after impersonation.
[0010]
As described above, the above-described method has a problem in that access security for servers and storage in the SAN cannot be sufficiently protected.
[0011]
Therefore, the present invention has been made in view of the above problems, and a gateway capable of improving the security of access to servers and storage in the SAN when connecting the SAN to the IP network constructed by LAN / WAN. An object is to provide an apparatus and an access method using the apparatus.
[0012]
[Means for Solving the Problems]
In order to achieve the above object, the invention of claim 1 according to the present invention is connected to an IP network 2 constructed by a LAN or WAN via a VPN, and the IP network and a plurality of storages and servers are grouped. In the gateway device 1 that controls access to data between the connected SANs 3,
A table 4 for associating the VPN customer with the SAN storage group, and when the VPN customer in the packet from the IP network matches the customer of the table, the SAN storage group corresponding to the customer It is characterized by having a function of permitting access to.
[0013]
The invention of claim 2 is the gateway device of claim 1,
The VPN is composed of MPLS-VPN, and the SAN storage group associated with the VPN customer of the IP network in Table 4 is any one of Fiber Channel zone name, Infini-Band partition number, and VID. It is characterized by.
[0014]
The invention of claim 3 is connected to an IP network 2 constructed by a LAN or WAN via a VPN, and data between the IP network and the SAN 3 to which a plurality of storages and servers are connected in groups. In the access method using the gateway device 1 for controlling access,
When a VPN customer in a packet from the IP network matches a customer in Table 4 that associates a VPN customer of the IP network with a SAN storage group, access to the SAN storage group corresponding to the customer It is characterized by permitting.
[0015]
The invention of claim 4 is an access method using the gateway device of claim 3,
The VPN is composed of MPLS-VPN, and the SAN storage group associated with the VPN customer of the IP network in Table 4 is any one of Fiber Channel zone name, Infini-Band partition number, and VID. It is characterized by.
[0016]
DETAILED DESCRIPTION OF THE INVENTION
FIG. 1 is a diagram showing an example of a network configuration using MPLS (MultiProtocol Label Switching) -VPN technology including a gateway device according to the present invention, and FIGS. 2A to 2C are for comparison with a user identification label of a packet. FIG. 3 is a diagram showing an MPLS frame format, FIG. 4 is a flowchart showing an MPLS-VPN processing procedure, and FIG. 5 is an L2TP (Layer two Tunneling Protocol) including the gateway device of the present invention. FIGS. 6A and 6B are diagrams showing an example of a network configuration using the VPN technology according to FIG. 6, and FIGS. 6A and 6B are diagrams showing an L2TP frame format.
[0017]
The gateway device according to the present invention is connected to an IP network constructed by a LAN or a WAN via a VPN, and an IP network and a SAN to which a plurality of CPU servers and storage (hard disk: HD) are connected in groups. Controls access to data between.
[0018]
As shown in FIGS. 1 and 5, the gateway device 1 of this example uses a VPN (Virtual Private Network) technology to perform access control from the client PC of the IP network 2 to the storage and server of the SAN 3. It has a / WAN interface and a fiber channel or Infini-Band interface, and has a function of gatewaying a SCSI command from the IP network 2 (client PC) constructed by LAN / WAN to the SAN side.
[0019]
The gateway device 1 in this example performs access control as if the storage group (storage or server) of the SAN 3 exists in the private network by connecting the grouping of the VPN and the SAN 3.
[0020]
More specifically, the gateway device 1 of this example has a storage mapping table (hereinafter abbreviated as a table) 4 for associating VPN customers of the IP network 2 with storage groups of the SAN 3. The table 4 includes information indicating storage groups of the SAN 3 that are permitted to access.
[0021]
Storage groups include a storage list or a storage list identification number, a fiber channel zone name management method, and an Infini-Band partition number management method.
[0022]
Therefore, the table 4 includes a Fiber Channel zone name composed of a character string as shown in FIG. 2A, an Infini-Band partition number composed of a numerical example as shown in FIG. c) is given as any information of a VLAN (Virtual Local Area Network) -ID (VID) consisting of a numeric string as shown in FIG. 5 and each information (Fibre Channel zone name, Infini-Band partition number, VID) Corresponds to each user identification label.
[0023]
The gateway device 1 of this example has a function of permitting access to the storage group of the SAN 3 corresponding to the customer of the VPN in the packet from the client PC of the IP network 2 when the customer of the table 4 matches. Have. As a result, the user is specified for user access, and access is permitted only to the permitted storage group.
[0024]
In the table 4 shown in FIGS. 2A to 2C, the user identification label and the storage group are in a one-to-one relationship. However, there may be zero, one, or a plurality of storage groups that the user is allowed to access. For example, one user can access a plurality of storages. FIG. 2D shows an example of the contents of the table 4 when one user accesses two storages. It is also possible for a plurality of users to access one storage group at the same time.
[0025]
By the way, there are various implementation methods for the VPN itself, but the gateway device 1 of this example corresponds to the MPLS-VPN shown in FIG. 1 and the VPN using L2TP shown in FIG.
[0026]
MPLS is a cut-through packet transfer technology and is a mechanism for realizing connection control on a connectionless network such as an IP network. In this MPLS, an identifier called a user identification label is provided in an IP packet, and an MPLS-compatible node manages a plurality of routes on the IP network.
[0027]
In the network configuration shown in FIG. 1, the MPLS-VPN is carried to the gateway device 1 with a user identification label added to the packet by a method called MPLS label stacking. As shown in FIG. 3, the MPLS frame format of this packet includes an L2 (Layer 2) header, an MPLS header composed of a packet transport label and a user identification label, an IP header, a TCP header, and iSCSI data.
[0028]
Then, the gateway device 1 of this example compares and collates the user identification label in the MPLS frame format with the information of its own table 4 (any one of the tables shown in FIGS. 2A to 2C). It is determined whether the SCSI of the received packet can be sent to the storage to be accessed.
[0029]
Next, the operation of the gateway apparatus 1 of this example when a packet is carried from a client PC in the network configuration using the MPLS-VPN will be described with reference to FIG.
[0030]
When a packet is carried from the client PC by MPLS-VPN, the user identification label U is extracted from the packet (ST1). Next, the user identification label U is searched in its own table (any one of the tables shown in FIGS. 2A to 2C) 4 (ST2). And it is discriminate | determined whether the user identification label U exists in the table 4 (ST3).
[0031]
If the user identification label U is in the table 4 (ST3-Yes), the storage group is stored in the zone name Z (ST4). Subsequently, a SCSI command is extracted from the original packet (iSCSI data) (ST5). Thereafter, a SCSI command is transmitted to the storage (target) in the zone Z designated by iSCSI (ST6).
[0032]
On the other hand, if the user identification label U is not in the table 4 (ST3-No), the SCSI command is extracted from the original packet (iSCSI data) (ST7). Thereafter, the SCSI command is transmitted to the storage (target) designated by iSCSI without zone designation (ST8).
[0033]
Next, the gateway device 1 of this example using the VPN technology based on L2TP will be described.
[0034]
L2TP is a connection-type tunneling protocol for building a site-to-site (inter-LAN) connection VPN by tunneling a data link layer (PPP: Point to Point Protocol). In this L2TP, a procedure for tunneling a PPP session between an LAC (L2TP Access Concentrator) and an LNS (L2TP Network Sever) is defined.
[0035]
In the network configuration shown in FIG. 5, as shown in FIG. 6A, L2TP uses a format including an IP header, a UDP header, an L2TP header, a PPP (BCP) header, an IP header, a TCP header, and iSCSI data. . The iSCSI data in FIG. 6A has a format configuration as shown in FIG. The iSCSI command is a format of a command issued from the host (client PC) to the target (server or storage). This frame in the L2TP environment is exchanged as data on UDP.
[0036]
In L2TP, an L2TP tunnel (control connection) is established before starting user session data communication (PPP communication). When this L2TP tunnel is established, it is possible to authenticate the other party so that the unauthorized party issues a tunnel establishment request and does not establish the unauthorized tunnel.
[0037]
The establishment of a control connection in L2TP is an L2TP message: (1) SCRQ (Start-Control-Connection-Request, connection establishment request), (2) SCCCRP (Start-Control-Connection-Reply, connection establishment response), ( 3) SCCCN (Start-Control-Connection-Connected) is exchanged, that is, three-way handshake (three messages are exchanged to establish a control connection).
[0038]
Once the control connection is established, a user session can be placed on top of it. The user session is established by (1) ICRQ (Incoming-Call-Request), (2) ICRP (Incoming-Call-Reply), (3) ICCN (Incoming-Call-Connected). , Incoming call connection), and a three-way handshake.
[0039]
When the user session reaches an established state, PPP frames are exchanged over the tunnel.
[0040]
When a specific session is disconnected in the L2TP tunnel, a CDN (Call-Disconnect-Notify) including the call ID (call ID) of the session to be disconnected is transmitted to the other party. The CDN receiving side releases the resources used by the session with the specified call ID. Further, when canceling the tunnel itself, StopCCN (Stop-Control-Connection-Notification) including the tunnel ID to be canceled is transmitted to the end point of the tunnel.
[0041]
The gateway device 1 of this example has a table indicating correspondence between user names permitted to access and storage groups because user names are identified at the time of the first PPP connection by VPN using L2TP.
[0042]
Although not shown in the figure, the table is given by one of information of a fiber channel zone name consisting of a character string, an Infini-Band partition number consisting of a numerical example, and a VID consisting of a numerical string, as in MPLS-VPN. Each information corresponds to each user name.
[0043]
Then, the gateway device 1 of this example compares the user name identified at the time of iSCSI access from the client PC with the above-described table, and controls whether to permit access and send the iSCSI command to the target storage. is doing.
[0044]
More specifically, in the case of the network configuration of FIG. 5, the client PC makes a PPP connection to a LAC (L2TP Access Concentrator) via a dial line. The PPP session is encapsulated in an L2TP frame by the LAC and sent to the gateway device (LNS) 1. A logical L2TP tunnel session is established between the LAC and the LNS, and security is secured by encryption.
[0045]
When connecting a PPP session, the user name is sent from the PC by PAP (Password Authentication Protocol) / CHAP (Challenge Handshake Authentication Protocol) and reaches the gateway device 1.
[0046]
The gateway apparatus 1 searches the above-mentioned table for the user name received by the PPP session, and determines whether the user name is in the table. If the user name is in the table, the SCSI command is transmitted to the storage (target) in the zone designated by iSCSI. On the other hand, if the user name is not in the table, the SCSI command is transmitted to the storage (target) designated by iSCSI without zone designation.
[0047]
As described above, in the gateway apparatus of this example and the access method using the apparatus, when the VPN customer in the packet from the client PC matches the customer of the table, the access to the SAN storage group corresponding to the customer is performed. Allow access. As a result, the user is specified for the user access, and access is permitted only to the permitted storage group, so the security for the storage can be protected. Moreover, private addresses can be used as they are. Furthermore, when applied to a network configuration using MPLS-VPN, even if the private address is used as it is, it is possible to perform data access control without performing processing such as encryption / decryption and the like. Can do.
[0048]
【The invention's effect】
As is apparent from the above description, according to the present invention, there is a table associating VPN customers with SAN storage groups, and when the VPN customer in the packet from the client matches the table customer, Since access to the storage group of the SAN corresponding to the customer is permitted, sufficient security of access to the servers and storage in the SAN can be ensured when connecting the LAN / WAN and the SAN. Moreover, the private address can be used as it is. In a network configuration using MPLS-VPN, data access control can be performed without performing processing such as encryption / decryption even if the private address is used as it is.
[Brief description of the drawings]
FIG. 1 is a diagram showing an example of a network configuration using MPLS-VPN technology including a gateway device according to the present invention. FIG. 2 (a) to (d) A storage mapping table for comparison with a user identification label of a packet. FIG. 3 is a diagram showing an MPLS frame format. FIG. 4 is a flowchart showing MPLS-VPN processing procedures. FIG. 5 is an example of a network configuration using VPN technology based on L2TP including a gateway device of the present invention. [Fig. 6] (a), (b) Diagram showing L2TP frame format. [Fig. 7] Schematic diagram of data access in a network configuration in which LAN (WAN) and SAN are separated. [Fig. FIG. 9 is a schematic diagram showing a connection configuration between a LAN (WAN) and a SAN. Schematic diagram showing the connection configuration of N (WAN) and SAN [FIG. 10] Schematic diagram of the network configuration for connecting iSCSI access from LAN (WAN) and existing SAN [FIG. 11] SAN grouped by zoning Figure showing an example
DESCRIPTION OF SYMBOLS 1 ... Gateway apparatus, 2 ... IP network, 3 ... SAN, 4 ... Table, HD ... Hard disk (storage).

Claims (4)

LANやWANで構築されるIPネットワーク(2)にVPNを介して接続され、前記IPネットワークと、複数のストレイジやサーバがグループ分けされて接続されたSAN(3)との間のデータのアクセスを制御するゲートウェイ装置(1)において、
前記VPNのカスタマと前記SANのストレイジグループとを対応付けるテーブル(4)を有し、前記IPネットワークからのパケット内のVPNのカスタマが前記テーブルのカスタマと一致したときに、該カスタマに対応するSANのストレイジグループへのアクセスを許可する機能を備えたことを特徴とするゲートウェイ装置。
Connected to an IP network (2) constructed by a LAN or WAN via a VPN, and accesses data between the IP network and the SAN (3) to which a plurality of storages and servers are connected in groups. In the gateway device (1) to be controlled,
A table (4) for associating the VPN customer with the SAN storage group, and when the VPN customer in the packet from the IP network matches the customer of the table, the SAN A gateway device having a function of permitting access to a storage group.
前記VPNがMPLS−VPNからなり、前記テーブル(4)のIPネットワークのVPNのカスタマと対応付けされるSANのストレイジグループがファイバ・チャネルのゾーン名、Infini−Bandのパーティション番号、VIDの何れかであることを特徴とする請求項1記載のゲートウェイ装置。The VPN consists of MPLS-VPN, and the SAN storage group associated with the VPN customer of the IP network in the table (4) is either a Fiber Channel zone name, Infini-Band partition number, or VID. The gateway apparatus according to claim 1, wherein the gateway apparatus is provided. LANやWANで構築されるIPネットワーク(2)にVPNを介して接続され、前記IPネットワークと、複数のストレイジやサーバがグループ分けされて接続されたSAN(3)との間のデータのアクセスを制御するゲートウェイ装置(1)を用いたアクセス方法において、
前記IPネットワークからのパケット内のVPNのカスタマが、前記IPネットワークのVPNのカスタマとSANのストレイジグループとを対応付けるテーブル(4)のカスタマと一致したときに、該カスタマに対応するSANのストレイジグループへのアクセスを許可することを特徴とするゲートウェイ装置を用いたアクセス方法。
Connected to an IP network (2) constructed by a LAN or WAN via a VPN, and accesses data between the IP network and the SAN (3) to which a plurality of storages and servers are connected in groups. In the access method using the gateway device (1) to be controlled,
When the VPN customer in the packet from the IP network matches the customer in the table (4) associating the VPN customer of the IP network with the storage group of the SAN, to the storage group of the SAN corresponding to the customer An access method using a gateway device, characterized by permitting access to the network.
前記VPNがMPLS−VPNからなり、前記テーブル(4)のIPネットワークのVPNのカスタマと対応付けされるSANのストレイジグループがファイバ・チャネルのゾーン名、Infini−Bandのパーティション番号、VIDの何れかであることを特徴とする請求項3記載のゲートウェイ装置を用いたアクセス方法。The VPN is composed of MPLS-VPN, and the SAN storage group associated with the VPN customer of the IP network in the table (4) is a fiber channel zone name, Infini-Band partition number, or VID. The access method using the gateway device according to claim 3, wherein:
JP2001357847A 2001-11-22 2001-11-22 Gateway apparatus and access method using the apparatus Expired - Fee Related JP3779914B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001357847A JP3779914B2 (en) 2001-11-22 2001-11-22 Gateway apparatus and access method using the apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001357847A JP3779914B2 (en) 2001-11-22 2001-11-22 Gateway apparatus and access method using the apparatus

Publications (2)

Publication Number Publication Date
JP2003158538A JP2003158538A (en) 2003-05-30
JP3779914B2 true JP3779914B2 (en) 2006-05-31

Family

ID=19169129

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001357847A Expired - Fee Related JP3779914B2 (en) 2001-11-22 2001-11-22 Gateway apparatus and access method using the apparatus

Country Status (1)

Country Link
JP (1) JP3779914B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4550557B2 (en) * 2004-11-24 2010-09-22 株式会社日立製作所 Filter definition management method, filter definition management device, and storage area network
JP5031195B2 (en) * 2005-03-17 2012-09-19 株式会社日立製作所 Storage management software and grouping method
CN100385860C (en) * 2005-04-29 2008-04-30 北京邦诺存储科技有限公司 A method and device for ensuring the security of storage network data
US20100332516A1 (en) * 2009-06-30 2010-12-30 Alcatel-Lucent Usa Inc. Linking inner and outer mpls labels
EP2991302A1 (en) * 2014-08-26 2016-03-02 Alcatel Lucent Network system

Also Published As

Publication number Publication date
JP2003158538A (en) 2003-05-30

Similar Documents

Publication Publication Date Title
JP6619894B2 (en) Access control
US8321908B2 (en) Apparatus and method for applying network policy at a network device
US6934754B2 (en) Methods and apparatus for processing network data transmissions
US7500069B2 (en) System and method for providing secure access to network logical storage partitions
CA2421665C (en) Wireless provisioning device
US8189600B2 (en) Method for IP routing when using dynamic VLANs with web based authentication
US20140230044A1 (en) Method and Related Apparatus for Authenticating Access of Virtual Private Cloud
JP2003060675A (en) Communication method, communication system, user terminal device, and communication connection program
WO2007140671A1 (en) A internet access server for isolating the internal network from the external network and a process method thereof
CN1333617A (en) MAC address based telecommunication limiting method
JP2003204348A (en) Storage device that supports VLAN (Virtual LAN)
JP2005316629A (en) Network protocol processor
WO2009143729A1 (en) Method, system and apparatus for realizing dhcp user service wholesale
WO2008037210A1 (en) Method and device for transferring message in virtual private lan
CN102437966B (en) Based on two layers of DHCP SNOOPING L3 Switching system and method
Monia et al. iFCP-a protocol for internet fibre channel storage networking
JP3779914B2 (en) Gateway apparatus and access method using the apparatus
CN1518289B (en) A Security Filtering Method Based on Ethernet Switch
EP1413095B1 (en) System and method for providing services in virtual private networks
CN112769670B (en) VPN data security access control method and system
CN104113462A (en) PPPOE protocol multi-operator access shared link method
JP2006005443A (en) Communication control apparatus, frame transfer control method and program thereof
Huawei Technologies Co., Ltd. WAN Fundamentals
JP2004080272A (en) Communication network system, service processing control method, provider server and service processing apparatus
CN120416364A (en) Data forwarding enhancement method, device, network equipment, medium and program product

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20031209

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050609

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050705

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050726

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060221

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060303

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090310

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100310

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees