JP2014011674A - ストレージシステム管理プログラム及びストレージシステム管理装置 - Google Patents

ストレージシステム管理プログラム及びストレージシステム管理装置 Download PDF

Info

Publication number
JP2014011674A
JP2014011674A JP2012147630A JP2012147630A JP2014011674A JP 2014011674 A JP2014011674 A JP 2014011674A JP 2012147630 A JP2012147630 A JP 2012147630A JP 2012147630 A JP2012147630 A JP 2012147630A JP 2014011674 A JP2014011674 A JP 2014011674A
Authority
JP
Japan
Prior art keywords
port
storage
information processing
server
predetermined information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012147630A
Other languages
English (en)
Other versions
JP5928197B2 (ja
Inventor
Ichiro Goto
一郎 後藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2012147630A priority Critical patent/JP5928197B2/ja
Priority to US13/864,408 priority patent/US20140006573A1/en
Priority to EP13165084.8A priority patent/EP2680141A1/en
Publication of JP2014011674A publication Critical patent/JP2014011674A/ja
Application granted granted Critical
Publication of JP5928197B2 publication Critical patent/JP5928197B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45579I/O management, e.g. providing access to device drivers or storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】異なるサーバやユーザといった異なるアクセスグループからのアクセスに対するセキュリティを容易に確保するストレージシステム管理プログラム及びストレージシステム管理装置を提供する。
【解決手段】LANスイッチ32、34を介して仮想サーバ111とパケットの送受信を行うストレージ4に隣接するLANスイッチ34のストレージ4に接続するストレージ接続ポート341を特定し、仮想サーバ111に隣接するLANスイッチ32の仮想サーバ111に接続するサーバ接続ポート321を特定し、ストレージ接続ポート341及びサーバ接続ポート321に対して、仮想サーバ111とストレージ4との間のパケットの送受信に対する許可設定を行う。
【選択図】図2

Description

本発明は、ストレージシステム管理プログラム及びストレージシステム管理装置に関する。
使用するサーバの台数の増加やサーバの仮想化技術が発達するに伴い、共有ストレージを用いた環境が増加してきている。このような共有ストレージを用いたシステムの技術として、SAN(Storage Area Network)がある。そして、近年SANの技術として、FC(Fibre Channel)−SANとIP(Internet Protocol)−SANが提案されている。
FC−SANは、ファイバチャンネルプロトコルを用いてストレージとサーバとの間を接続する。これに対して、IP−SANは、既存のIPネットワークを利用して、インターネットプロトコルを用いてストレージとサーバ間を接続する。IP−SANで用いられる通信規格としては、iSCSI(internet Small Computer System Interface)などがある。また、IP−SANでは、NAS(Network Attached Storage)が用いられる場合もある。
近年、IP−SANの利用が拡大するにしたがい、IP−SANを利用したシステムにおいて、ストレージに格納されたデータへの異なるサーバからのアクセスに対するセキュリティを確保することへの要望が高まってきている。例えば、サーバAとサーバBとを異なるユーザが使用する環境で、IP−SANでは、サーバAとサーバBとは同一のネットワークを共有することが一般的である。この場合、サーバAもサーバBも、ストレージのNIC(Network Interface Card)に対して同じネットワークに属する形態となる。そのため、サーバAとサーバBとの間には、意図しないデータの漏洩や盗聴のリスクが存在することになる。
なお、このようなIP−SANに対して、IPアドレス、ポート番号及びMACアドレスを関連付けて管理する従来技術がある。また、クライアントから送信されるパケットに含まれる発信元のIPアドレスとポートのMACアドレスとの組合せが記憶している組合せと異なる場合、そのパケットをルータへ送信しないようにフィルタリングする従来技術がある。
特開2006−146767号公報 特開2001−36561号公報
ここで、意図しないデータの漏洩や盗聴のリスクを回避する方法としては、例えば、サーバ毎もしくはサーバを管理するユーザ毎などのアクセス管理の対象となるグループ(以下では、「アクセスグループ」という。)毎にネットワークを分離する方法が考えられる。しかし、IP−SANの環境では、ストレージとサーバとを接続するストレージネットワークは、TCP(Transmission Control Protocol)/IPのネットワークを利用するため、ネットワーク的に各サーバを分離することは困難である。
具体的には、ストレージネットワークを分離した場合、複数のアクセスグループによって共有されるストレージのNICは複数のストレージネットワークに属することになる。そのため、IP−SANを用いたシステムにおいてストレージネットワークを分離するには、ストレージ側でVLAN(Virtual Local Area Network)への対応などが必要となる。しかし、現状ではVLANに対応したストレージはそれほど普及していない。そのため、ストレージネットワークを分離させることで、複数のアクセスグループからのアクセスに対するセキュリティを確保することは困難である。
例えば、ネットワークの分離の方法としてFC−SANではアクセスパスを自動的に設定する自動ゾーニング設定を行うことができる。しかし、IP−SANにおいてはこのような自動ゾーニング設定を行うことは困難である。
また、IPアドレスやポート番号を関連付けて管理する従来技術を用いても、異なるアクセスグループからのアクセスに対するセキュリティを確保することは困難である。また、IPアドレスとポートのMACアドレスの組合せによってフィルタリングを行う従来技術では、あるサーバからの間違ったアクセスを制限することはできるが、異なるアクセスグループからのアクセスに対するセキュリティを確保することは困難である。
1つの側面では、本発明は、異なるサーバやユーザといった異なるアクセスグループからのアクセスに対するセキュリティを容易に確保するストレージシステム管理プログラム及びストレージシステム管理装置を提供することを目的とする。
一態様のストレージシステム管理プログラム及びストレージシステム管理装置は、データ伝送装置を介して複数の情報処理装置とパケットの送受信を行うストレージ装置に隣接するデータ伝送装置の前記ストレージ装置に接続する第一ポートを特定し、前記複数の情報処理装置の中の所定の情報処理装置に隣接するデータ伝送装置の前記所定の情報処理装置に接続する第二ポートを特定し、前記第一ポート及び前記第二ポートに対して、前記所定の情報処理装置と前記ストレージ装置との間のパケットの送受信に対する許可設定を行う処理をコンピュータに実行させる。
一態様によれば、異なるサーバやユーザといった異なるアクセスグループからのアクセスに対するセキュリティを容易に確保することができるという効果を奏する。
図1は、IP−SANのブロック図である。 図2は、実施例1に係る運用管理サーバの詳細を表すブロック図である。 図3は、管理用テーブルの一例の図である。 図4は、ネットワーク設定から運用までの全体の処理のフローチャートである。 図5は、セキュリティの自動設定の処理のフローチャートである。 図6は、実施例2に係る運用管理サーバ及びLANスイッチの詳細を表すブロック図である。 図7は、MACアドレステーブルの一例の図である。 図8は、実施例2におけるポート特定の処理のフローチャートである。 図9は、運用管理サーバのハードウェア構成図である。
以下に、本願の開示するストレージシステム管理プログラム及びストレージシステム管理装置の実施例を図面に基づいて詳細に説明する。なお、以下の実施例により本願の開示するストレージシステム管理プログラム及びストレージシステム管理装置が限定されるものではない。
図1は、ストレージシステムのブロック図である。図1に示すように、サーバ11〜13、運用管理サーバ2、LAN(Local Area Network)スイッチ31〜35及びストレージ4を有している。本実施例では、各機器はLLDP(Link Layer Discovery Protocol)に対応している。LLDPは、自装置情報を広報することにより隣接装置の把握や接続状態の確認などを行うことを目的とした隣接探索プロトコルである。
本実施例では、仮想サーバ111がストレージ4を使用しており、仮想サーバ112及び113は使用してない場合で説明する。また、サーバ12がストレージ4を使用しており、サーバ13はストレージ4を使用していない場合で説明する。
本実施例に係るストレージシステムは、サーバ11〜13とストレージ4とがLANスイッチ32〜34を介して接続されている。また、運用管理サーバ2とサーバ11とは、スイッチ31を介してパケットの送受信を行う。さらに、運用管理サーバ2とストレージ4とは、スイッチ31、33及び34を介してパケットの送受信を行う。ここで、図1では、3台のサーバを記載しているが、ネットワーク上に配置されているサーバの台数に特に制限は無い。また、サーバが接続されるLANスイッチにも特に制限は無い。また、図1では1台のストレージ4のみを記載しているが、ストレージも複数台配置されていてもよい。以下では、ある機器が、LANスイッチなどの他の機器を介さずに特定の機器に接続されている場合、「ある機器は特定の機器に隣接している」という。また、ある機器に隣接している機器及び他の機器を介してある機器に接続されている機器をあわせて、「ある機器に接続されている機器」という。すなわち、サーバ11〜13は、LANスイッチ32に隣接しており、また、LANスイッチ31〜34及びストレージ4と接続されているといえる。
サーバ11は、仮想サーバ111〜113を有している。仮想サーバ111〜113は、各々が仮想ネットワークカードを持ち、仮想ネットワークカードにはそれぞれ異なるMACアドレスが振られている。そして、仮想サーバ111〜113は、サーバ11に搭載されたネットワークカードを用いてLANスイッチ32〜34を介してストレージ4と通信することができる。仮想サーバ111〜113についても、説明の便宜上、サーバ11に隣接されているLANスイッチ31に隣接しているという。また、仮想サーバ111〜113は、LANスイッチ31〜34及びストレージ4と接続されているという。また、サーバ11は、LANスイッチ32に接続するネットワークカードとは別にLANスイッチ31に接続するネットワークカードを有している。仮想サーバ111〜113及びサーバ11〜13が、「情報処理装置」の一例にあたる。
運用管理サーバ2は、管理ソフトを実行し、ストレージシステムの管理を行う。運用管理サーバ2の機能については、後で詳細に説明する。運用管理サーバ2は、本実施例では、サーバ11に対する運用管理用のネットワークをストレージネットワークと分けているが、ストレージネットワークと同じネットワークを用いてサーバ11を管理することも可能である。運用管理サーバ2が、ストレージシステム管理装置の一例にあたる。また、運用管理サーバ2が実行する管理ソフトが、ここで、管理ソフトとは、本実施例に係るストレージシステム管理プログラムの機能を含むソフトウェアの一例に当たる。
LANスイッチ31〜34は、L2(Layer 2)スイッチである。LANスイッチ31〜34は、iSCSI規格などに準拠したプロトコルを用いて通信を行う。
LANスイッチ32〜34は、LLDP情報を保持している。LANスイッチ32〜34は、LLDPに対応している。そこで、LANスイッチ32〜34は、隣接する機器からLLDB情報を取得する。LLDP情報とは、自装置に隣接している機器のMACアドレスとその機器が接続しているポートとの対応を示す情報を含む。LANスイッチ31〜34が、「データ管理装置」の一例にあたる。
図2は、実施例1に係る運用管理サーバの詳細を表すブロック図である。図2に示すように、本実施例に係る運用管理サーバ2は、MACアドレス管理部21、ポート特定部22、サーバ接続ポート設定部23及びストレージ接続ポート設定部24を有している。図2では、説明の便宜上、仮想サーバ111、LANスイッチ32及びLANスイッチ34、並びに、ストレージ4のみを表示している。
MACアドレス管理部21は、システム管理者などの操作者(以下、単に「操作者」という。)から管理対象の管理用IPアドレスの登録を受ける。管理対象とは、例えば、本実施例では、サーバ11〜13、仮想サーバ111〜113、LANスイッチ32〜34及びストレージ4などである。そして、MACアドレス管理部21は、管理用IPアドレスを有する機器がストレージネットワークで用いるネットワークカードの識別情報及びそのネットワークカードのMACアドレスを取得する。例えば、MACアドレス管理部21は、SNMP(Simple Network Management Protocol)やTELNET(Telecommunication Network)を用いることで各種情報を管理用IPアドレスを有する機器から取得する。また、MACアドレス管理部21が情報を取得するネットワークカードとしては、仮想ネットワークカードも含む。そして、MACアドレス管理部21は、取得した情報を用いて各ネットワークカードに対応するMACアドレスを表す管理用テーブルを作成する。図3は、管理用テーブルの一例の図である。管理用テーブル200には、例えば、図3に示すように、仮想ネットワークカードを含むネットワークカードの識別情報と対応させて各ネットワークカードにおけるMACアドレスが記載されている。
ポート特定部22は、システム管理者などの操作者からストレージ4と仮想サーバ111との間のセキュリティを設定する指示を受ける。この時、ポート特定部22は、仮想サーバ111がストレージ4へのアクセスに使用する仮想ネットワークカードの識別情報の入力を操作者から受ける。この識別情報は、例えば、仮想サーバの仮想ネットワークカードに振られたIPアドレスや名前などである。これに対して、セキュリティを設定する対象が、仮想サーバでないサーバの場合には、ポート特定部22は、ネットワークカードの識別子を取得する。また、ポート特定部22は、ストレージ4が仮想サーバ111からのアクセスに使用されるネットワークカードの識別子の入力を操作者から受ける。この識別情報は、例えば、ストレージのネットワークカードに振られたIPアドレスや名前などである。
そして、ポート特定部22は、MACアドレス管理部21が有する管理テーブルから、仮想サーバ111の仮想ネットワークカードの識別情報に対応するMACアドレスを取得する。また、ポート特定部22は、MACアドレス管理部21が有する管理テーブルから、ストレージ4のネットワークカードの識別情報に対応するMACアドレスを取得する。
さらに、ポート特定部22は、LANスイッチ32〜34が保持しているLLDP情報を取得する。そして、ポート特定部22は、管理対象として指定された機器のMACアドレスを用いて、取得したLLDP情報から指定された機器に隣接するLANスイッチ及び指定された機器が接続するポートを特定する。本実施例では、ポート特定部22は、LANスイッチ32を仮想サーバ111に隣接するLANスイッチとして特定し、さらにLANスイッチ32のポートの中で仮想サーバ111に接続されているポート321を特定する。また、ポート特定部22は、LANスイッチ34をストレージ4に隣接するLANスイッチとして特定し、さらにLANスイッチ34のポートの中でストレージ4に接続されているポート341を特定する。以下では、仮想サーバ111に隣接するLANスイッチ32のポートの中で仮想サーバ111に接続するポート321を「サーバ接続ポート321」という。このサーバ接続ポート321が、「第二ポート」の一例にあたる。また、ストレージ4に隣接するLANスイッチ34のポートの中でストレージ4に接続するポート341を「ストレージ接続ポート341」という。このストレージ接続ポート341が、「第一ポート」の一例にあたる。
次に、ポート特定部22は、LANスイッチ32のサーバ接続ポート321の識別情報をサーバ接続ポート設定部23に通知する。さらに、ポート特定部22は、LANスイッチ34のストレージ接続ポート341の識別情報をストレージ接続ポート設定部24に通知する。
サーバ接続ポート設定部23は、LANスイッチ32のサーバ接続ポート321の識別情報をポート特定部22から受信する。そして、サーバ接続ポート設定部23は、LANスイッチ32のサーバ接続ポート321に対して、仮想サーバ111の仮想のネットワークカードのMACアドレスからのデータのみの受信を許可する設定を行う。具体的には、サーバ接続ポート設定部23は、LANスイッチ32が有するACL(Access Control List)に、サーバ接続ポート321に対してどのような操作を許可するかを登録することで、サーバ接続ポート321に対する設定を行う。
さらに、サーバ接続ポート設定部23は、仮想サーバ111の仮想のネットワークカードのMACアドレスのみをサーバ接続ポート321からのデータの送信先として許可する設定を行う。この設定においても、サーバ接続ポート設定部23は、LANスイッチ32が有するACLに、サーバ接続ポート321に対してどのような操作を許可するかを登録することで、サーバ接続ポート321に対する設定を行う。
ここで、本実施例では、受信を許可するMACアドレスや送信先として許可するMACアドレスを指定したが、アクセス制御の内容はこれに限らず、ポートにおいてアクセスを制御できる情報であれば他の情報を用いてアクセス制御を行ってもよい。例えば、サーバ接続ポート設定部23は、LANスイッチ32のサーバ接続ポート321に対して、仮想サーバ111へ送信するデータとしてストレージ4のネットワークカードのMACアドレスからのデータのみを許可する設定を行ってもよい。
ここで、サーバ接続ポート設定部23は、サーバ接続ポート321のデータの受信元の制限及びサーバ接続ポート321からデータを送信する場合の送信先の制限を行っている。ただし、求められるセキュリティの強さに応じて制限内容を変更してもよい。例えば、サーバ接続ポート設定部23は、サーバ接続ポート321のデータの受信元の制限だけを行ってもよい。また、サーバ接続ポート設定部23は、サーバ接続ポート321からデータを送信する場合の送信先の制限だけを行ってもよい。
さらに、上述したように、他のアクセス制御として、サーバ接続ポート321から仮想サーバ111へ送信するデータの送信元の制限などの他の制限を用いている場合、それらの他の制限との組合せで制限内容を変更してもよい。
ストレージ接続ポート設定部24は、LANスイッチ34のストレージ接続ポート341の識別情報をポート特定部22から受信する。そして、ストレージ接続ポート設定部24は、LANスイッチ34のストレージ接続ポート341に対して、ストレージ4のネットワークカードのMACアドレスからのデータのみの受信を許可する設定を行う。具体的には、ストレージ接続ポート設定部24は、LANスイッチ34が有するACLに、ストレージ接続ポート341に対してどのような操作を許可するかを登録することで、ストレージ接続ポート341に対する設定を行う。
さらに、ストレージ接続ポート設定部24は、LANスイッチ34のストレージ接続ポート341に対して、ストレージ4へ送信するデータとしてストレージ4を使用する全てのサーバのMACアドレスからのデータを許可する設定を行う。本実施例では、ストレージ接続ポート設定部24は、仮想サーバ111、仮想サーバ112及びサーバ12のネットワークカードのMACアドレスからのデータを許可する設定を、LANスイッチ34のストレージ接続ポート341に対して行う。さらに、ストレージ接続ポート設定部24は、ストレージ4のMACアドレスのみをストレージ接続ポート341からのデータの送信先として許可する設定を行う。これらの設定も同様に、ストレージ接続ポート設定部24は、LANスイッチ34が有するACLに、ストレージ接続ポート341に対してどのような操作を許可するかを登録することで、ストレージ接続ポート341に対する設定を行う。
ストレージ接続ポート設定部24は、ストレージ接続ポート341のデータの受信元の制限、ストレージ接続ポート341からストレージ4へ送信するデータの送信元の制限、及びストレージ接続ポート341からデータを送信する場合の送信先の制限を行っている。ただし、セキュリティの強さの要望に応じて制限を変更してもよい。例えば、ストレージ接続ポート設定部24は、ストレージ接続ポート341のデータの受信元の制限だけを行ってもよい。また、ストレージ接続ポート設定部24は、ストレージ接続ポートのデータの受信元の制限及びストレージ接続ポート341から仮想サーバ111へ送信するデータの送信元の制限を行ってもよい。さらに、ストレージ接続ポート設定部24は、ストレージ接続ポート341のデータの受信元の制限及びストレージ接続ポート341からデータを送信する場合の送信先の制限を行ってもよい。
以上により、運用管理サーバ2による仮想サーバ111とストレージ4との間のセキュリティの設定は完了する。この後、仮想サーバ111とストレージ4とは、LANスイッチ32及び34のACLの設定にしたがって通信を行う。
そして、サーバ接続ポート321のデータの受信元を仮想サーバ111のみに制限することで、仮想サーバ112や113からのデータがサーバ接続ポート321から出力されないようになる。したがって、不必要なデータの出力を防止できセキュリティを強化できる。さらに、サーバ接続ポート321からデータを送信する場合の送信先を仮想サーバ111のみに制限することで、他のサーバからのデータを不正に受信することを防止できる。また、ストレージ接続ポート341におけるストレージ4に対するセキュリティにおいても同様の効果を奏する。
また、その他の制限として上述したように、サーバ接続ポート321から仮想サーバ111へ送信するデータの送信元をストレージ4のみに制限することも考えられる。こうすることで、LANスイッチ32に接続している他の機器からのデータが、仮想サーバ111に送られることを防止できる。これにより、例えば、LANスイッチ32に接続している他の機器の情報を仮想サーバ111で不正に受信することを防止できる。
次に、図4を参照して、本実施例に係るストレージシステムにおけるネットワーク設定から運用までの全体の処理の流れについて説明する。図4は、ネットワーク設定から運用までの全体の処理のフローチャートである。
操作者は、ストレージ4、LANスイッチ31〜34及びサーバ11〜13を使用するためのネットワーク設定などを行う(ステップS101)。例えば、操作者は、仮想サーバ111〜113の設定や、サーバ11〜13、LANスイッチ32〜34、及び仮想サーバ111〜113に対してIPアドレスや管理用IPアドレスの割り当てなどを行う。
次に、操作者は、運用管理サーバ2で実行される管理ソフトに管理対象の機器を登録する(ステップS102)。本実施例では、操作者は、例えば、仮想サーバ111、112、サーバ13、LANスイッチ32〜34及びストレージ4などの管理用IPアドレスを管理ソフトに登録する。
そして、操作者は、どのサーバとどのストレージとの間のセキュリティを設定するかのセキュリティ設定を運用管理サーバ2の管理ソフトに指示する(ステップS103)。本実施例では、操作者は、仮想サーバ111とストレージ4との間のセキュリティ設定を指示する。
運用管理サーバ2は、仮想サーバ111とストレージ4との間のセキュリティ設定を実行する(ステップS104)。このセキュリティ設定の処理については、次に詳細に説明する。
セキュリティ設定完了後、操作者は、IP−SANを用いてストレージ4の資源を仮想サーバ111で使用する運用を開始する(ステップS105)。
次に、図5を参照して、運用管理サーバ2によるセキュリティの自動設定の処理の流れについて説明する。図5は、セキュリティの自動設定の処理のフローチャートである。
ポート特定部22は、MACアドレス管理部21が保持する管理テーブルから管理対象として指定されたストレージ4のネットワークカードのMACアドレスを取得する。そして、ポート特定部22は、各LANスイッチ32〜34が保持しているLLDP情報を取得する。そして、ポート特定部22は、ストレージ4のネットワークカードのMACアドレスを用いて、取得したLLDP情報からストレージ4に隣接するLANスイッチ34及びLANスイッチ34のストレージ接続ポート341を検出する(ステップS201)。そして、ポート特定部22は、検出したLANスイッチ34のストレージ接続ポート341の識別情報をストレージ接続ポート設定部24に通知する。
さらに、ポート特定部22は、MACアドレス管理部21が保持する管理テーブルから管理対象として指定された仮想サーバ111の仮想ネットワークカードのMACアドレスを取得する。そして、ポート特定部22は、仮想サーバ111の仮想ネットワークカードのMACアドレスを用いて、取得したLLDP情報から仮想サーバ111に隣接するLANスイッチ32及びLANスイッチ32のサーバ接続ポート321を検出する(ステップS202)。そして、ポート特定部22は、検出したLANスイッチ32のサーバ接続ポート321の識別情報をサーバ接続ポート設定部23に通知する。
そして、サーバ接続ポート設定部23及びストレージ接続ポート設定部24は、ストレージ接続ポート341及びサーバ接続ポート321に対するセキュリティの設定を実施する(ステップS203)。例えば、ストレージ接続ポート設定部24は、ストレージ接続ポート341に対して、ストレージ接続ポート341のデータの受信元をストレージ4のみに制限する。また、ストレージ接続ポート設定部24は、ストレージ接続ポート341に対して、ストレージ接続ポート341からデータを送信する場合の送信先をストレージ4のみに制限する。サーバ接続ポート設定部23は、サーバ接続ポート321に対して、サーバ接続ポート321のデータの受信元を仮想サーバ111のみに制限する。また、サーバ接続ポート設定部23は、サーバ接続ポート321に対して、サーバ接続ポート321からデータを送信する場合の送信先を仮想サーバ111のみに制限する。
ここで、図5では、説明の便宜上、ステップS201でストレージ接続ポートを検出し、ステップS202でサーバ接続ポートを検出するとしたが、この順番はどちらでもよく、また並行して処理が行われてもよい。
運用管理サーバ2は、図5で示すような処理を実行するストレージシステム管理プログラムを有している。このストレージシステム管理プログラムは、運用管理サーバ2が有する記憶装置に格納されてもよい。また、その他にも、ストレージシステム管理プログラムをCD(Compact Disk)やDVD(Digital Versatile Disk)などに格納しておき、運用管理サーバ2がCDやDVDに格納されたストレージシステム管理プログラムを読み出して実行してもよい。
以上に説明したように、本実施例に係るストレージシステム管理プログラム及びストレージシステム管理装置は、IP−SAN環境においてストレージとそのストレージを使用するサーバに隣接するLANスイッチのストレージ接続ポート及びサーバ接続ポートにセキュリティを設定する。これにより、異なるサーバやユーザといった異なるアクセスグループとストレージとの間の通信に対するセキュリティを容易に確保することができる。これにより、iSCSI/NASなどを使用したIP−SAN環境でのサーバとストレージのペアに対するアクセスパスにおいて、FC/FCoE(Fiber Channel over Ethernet(登録商標))でのゾーニング相当のセキュリティ設定を行うことができる。そして、このようなセキュリティ設定を行うことで、アクセスグループ間のセキュリティが確保されるので、データの漏洩や盗聴のリスクを抑えることができる。
次に実施例2について説明する。本実施例に係るストレージシステム管理プログラム及びストレージシステム管理装置は、LLDPに対応していないシステムであることが実施例1の場合と異なるものである。本実施例に係るストレージシステムは、図1の構成と同様の構成を有している。そして、本実施例においても、仮想サーバ111とストレージ4との通信におけるセキュリティの設定を行うことが操作者から指定された場合で説明する。また、図6は、実施例2に係る運用管理サーバ及びLANスイッチの詳細を表すブロック図である。以下では、実施例1と同様の機能を有する各部については説明を省略する。
LLDPに対応していない場合、LANスイッチ32〜34がLLDP情報を保持しないため、ポート特定部22は、LLDP情報を用いて仮想サーバ111及びストレージ4に隣接するLANスイッチを特定することができない。そこで、ポート特定部22は、実施例1とは異なる方法で仮想サーバ111及びストレージ4に隣接するLANスイッチを特定し、サーバ接続ポート及びストレージ接続ポートを特定することになる。
LANスイッチ32〜34は、各ポートに接続されている機器及び繋がっている機器のMACアドレスを、それらの機器との通信を行うことで取得し、どのポートにどの機器が接続されているかを学習する。そして、LANスイッチ32〜34は、学習した情報を各ポートとそのポートに接続されている機器との対応を表すMACアドレステーブルに登録する。例えば、本実施例では、図6に示すように、LANスイッチ32は、MACアドレステーブル322を有しており、LANスイッチ34は、MACアドレステーブル342を有している。ここでは、LANスイッチ32及び34しか図示していないが、他のLANスイッチも同様にMACアドレステーブルを有している。
図7は、MACアドレステーブルの一例の図である。MACアドレステーブル300には、LANスイッチが有する各ポートに接続されている機器のMACアドレスが各ポートの識別情報に対応させて登録されている。
ポート特定部22は、セキュリティの設定の実施の指示を受けると、LANスイッチ32〜34の各々が有するMACアドレステーブルの情報を取得する。例えば、図6では、ポート特定部22は、LANスイッチ32からMACアドレステーブル322の情報を取得する。また、ポート特定部22は、LANスイッチ34からMACアドレステーブル342の情報を取得する。
そして、ポート特定部22は、取得した各MACアドレステーブルに登録されている情報をまとめて自己の記憶領域に格納する。
そして、ポート特定部22は、管理対象として指定された仮想サーバ111の仮想ネットワークカードの識別情報に対応するMACアドレスを、MACアドレス管理部21が有する管理テーブルから取得する。また、ポート特定部22は、管理対象として指定されたストレージ4のネットワークカードの識別情報に対応するMACアドレスを、MACアドレス管理部21が有する管理テーブルから取得する。
そして、ポート特定部22は、LANスイッチ32〜34のMACアドレステーブルに登録されている情報を用いて、仮想サーバ111の仮想ネットワークカードのMACアドレスを保持しているLANスイッチのポートのリストを作成する。
ポート特定部22は、作成したリストに含まれるポートが1つの場合には、そのポートが仮想サーバ111に隣接するLANスイッチのサーバ接続ポートであると特定する。
これに対して、作成したリストに含まれるポートが2つ以上の場合、ポート特定部22は、リストの各ポートに学習されているMACアドレスの個数を比較する。そして、ポート特定部22は、学習されているMACアドレスの個数が最小のポートが1つの場合、そのポートが仮想サーバ111に隣接するLANスイッチのサーバ接続ポートであると特定する。
これは、ある機器から離れるにしたがい、その機器に接続しているポートに他の機器からの接続が増えていくと考えられるからである。例えば、図1では、LANスイッチ32における仮想サーバ111に接続しているポートは、仮想サーバ111〜113の3つのMACアドレスを学習している。LANスイッチ33及び34における仮想サーバ111に接続しているポートは、仮想サーバ111〜113の3つのMACアドレスに加えて、サーバ12及びサーバ13のMACアドレスを学習している。このように、仮想サーバ111に隣接するLANスイッチ32における仮想サーバ111に接続するポートは、他のLANスイッチにおける仮想サーバ111に接続するポートに比べて学習しているMACアドレスが少なくなる。そのため、この場合、ポート特定部22は、LANスイッチ32は仮想サーバ111に隣接していると判断でき、サーバ接続ポートを特定できる。
一方、学習されているMACアドレスの個数が最小のポート(以下では、「最小ポート」という。)が複数ある場合、ポート特定部22は、各最小ポートに対してLANスイッチ間で行う通信の設定がなされているか否かを判定する。そして、ポート特定部22は、LANスイッチ間で行う通信の設定がなされていない最小ポートを仮想サーバ111に隣接するLANスイッチのサーバ接続ポートであると特定する。
データ伝送装置間で行う通信の設定がなされたポートとは、例えば以下のようなポートである。すなわち、パケットを全て通過させる設定がなされたトランクポート。ループ構成を回避するための通信プロトコルであるSTP(Spanning Tree Protocol)の対象ポート。LANスイッチとLANスイッチとを複数の通信線で結んで帯域を広くするための設定であるリンクアグリゲーションに使用されるポート。LLDPの機能を有するポートに対向するポート。このような条件を用いた理由は、これらの条件はLANスイッチ間の通信で用いられる可能性が高いので、これらの条件に当てはまるポートは、LANスイッチ間を接続するポートである可能性が高いからである。ポート特定部22は、最小ポートのうちこれらの条件に当てはまらないポートを、仮想サーバ111に隣接するLANスイッチのサーバ接続ポートであると特定する。ここで、本実施例では、LANスイッチ間で行う通信の設定として、トランクポート、STPの対象ポート、リンクアグリゲーションに使用されるポート及びLLDPの対向ポートという条件を用いたが、この中から条件を選んで使用してもよい。また、機器に隣接するLANスイッチのサーバ接続ポートを特定するための条件であれば、これら以外の条件を用いてもよい。
また、ポート特定部22は、LANスイッチ32〜34のMACアドレステーブルに登録されている情報を用いて、ストレージ4に隣接するLANスイッチ34のストレージ接続ポートを特定する。ここで、ポート特定部22は、上述したサーバ接続ポートの特定と同様の手順でストレージ接続ポートの特定を行う。
そして、ポート特定部22は、仮想サーバ111に隣接するLANスイッチ32のサーバ接続ポートの情報をサーバ接続ポート設定部23に送信する。また、ポート特定部22は、ストレージ4に隣接するLANスイッチ34のストレージ接続ポートの情報をストレージ接続ポート設定部24に送信する。
次に、図8を参照して本実施例に係るポート特定の処理の流れについて説明する。図8は、実施例2におけるポート特定の処理のフローチャートである。図8は、ストレージ4を使用するサーバに隣接するLANスイッチのサーバ接続ポートを特定する場合の処理を示している。ここでは、サーバを特定せずに説明する。
ポート特定部22は、セキュリティを設定するサーバのネットワークカードの識別情報を取得する。そして、ポート特定部22は、MACアドレス管理部21が有する管理テーブルを用いて、サーバがストレージ4へのアクセスに使用するネットワークカードのMACアドレスを特定する(ステップS301)。以下では、サーバがストレージ4へのアクセスに使用するネットワークカードのMACアドレスを、単に「サーバのMACアドレス」という。
また、ポート特定部22は、LANスイッチ32〜34からそれぞれが有するMACアドレステーブルに記載された情報を取得する。そして、ポート特定部22は、各MACアドレステーブルに記載された情報を用いて、サーバのMACアドレスを保持するポートのリストを作成する(ステップS302)。
次に、ポート特定部22は、作成したリストに含まれるポートが1つか否かを判定する(ステップS303)。1つの場合(ステップS303:肯定)、ポート特定部22は、リストに記載されたポートをサーバ接続ポートとして検出する(ステップS304)。
これに対して、リストに含まれるポートが2つ以上の場合(ステップS303:否定)、ポート特定部22は、保持するMACアドレスの個数が最小のポートをリストから特定する(ステップS305)。
次に、ポート特定部22は、保持するMACアドレスの個数が最小のポートが1つか否かを判定する(ステップS306)。保持するMACアドレスの個数が最小のポートが1つの場合(ステップS306:肯定)、ポート特定部22は、特定したポートをサーバ接続ポートとして検出する(ステップS307)。
これに対して、保持するMACアドレスの個数が最小のポートが複数の場合(ステップS306:否定)、ポート特定部22は、特定した各ポートのうちLANスイッチ間の通信の設定が行われていないポートをサーバ接続ポートとして検出する(ステップS308)。
以上に説明したように、本実施例に係るストレージシステム管理プログラム及びストレージシステム管理装置は、LLDPに対応していないストレージシステムであっても、隣接するデータ伝送装置を特定することができ、機器に直接繋がっているポートを特定することができる。これにより、LLDPに対応していないIP−SANを用いてストレージシステムであっても、異なるサーバやユーザといった異なるアクセスグループとストレージとの間の通信に対するセキュリティを容易に確保することができる。
(ハードウェア構成)
図9は、運用管理サーバのハードウェア構成図である。上述した各実施例に係る運用管理サーバ2は、図9に示すハードウェア構成を有する。
運用管理サーバ2は、メモリ901、HDD(Hard Disk Drive)902、ドライブ装置903、CPU(Central Processing Unit)904、表示制御部905、入力装置906、通信制御部907及び表示装置908を有している。
メモリ901、HDD902、ドライブ装置903、表示制御部905、入力装置906及び通信制御部907は、CPU904とバスで接続されている。
各実施例に係るストレージシステム管理プログラムは、HDD902に格納されていてもよいし、CDやDVDに格納されているストレージ管理プログラムをドライブ装置903で読み込んでもよい。ここでは、ストレージシステム管理プログラムは、HDD902に格納されているものとする。
表示制御部905は、CPU904からの命令を受けて、モニタなどの表示装置908にデータを表示させる。例えば、表示制御部905は、管理ソフトの入力画面などを表示装置908に表示させる。
入力装置906は、例えばキーボードなどであり、操作者は入力装置906を使用して運用管理サーバ2に対して入力を行う。
通信制御部907は、LANスイッチなどと繋がるネットワークに接続されている。そして、通信制御部907は、ストレージ4との間で通信を行う。
CPU904及びメモリ901は、図2に示したMACアドレス管理部21、ポート特定部22、サーバ接続ポート設定部23及びストレージ接続ポート設定部24などの機能を実現する。具体的には、CPU904は、図2に示したMACアドレス管理部21、ポート特定部22、サーバ接続ポート設定部23及びストレージ接続ポート設定部24などの機能を実現するストレージシステム管理プログラムをHDD902から読み込む。そして、CPU904は、メモリ901上に上述した各種機能を実現するプロセスを展開し、実行する。
2 運用管理サーバ
4 ストレージ
11〜13 サーバ
21 MACアドレス管理部
22 ポート特定部
23 サーバ接続ポート設定部
24 ストレージ接続ポート設定部
31〜34 LANスイッチ
111〜113 仮想サーバ
321 サーバ接続ポート
341 ストレージ接続ポート

Claims (8)

  1. データ伝送装置を介して複数の情報処理装置とパケットの送受信を行うストレージ装置に隣接するデータ伝送装置の前記ストレージ装置に接続する第一ポートを特定し、
    前記複数の情報処理装置の中の所定の情報処理装置に隣接するデータ伝送装置の前記所定の情報処理装置に接続する第二ポートを特定し、
    前記第一ポート及び前記第二ポートに対して、前記所定の情報処理装置と前記ストレージ装置との間のパケットの送受信に対する許可設定を行う
    処理をコンピュータに実行させることを特徴とするストレージシステム管理プログラム。
  2. 前記所定の情報処理装置と前記ストレージ装置との間のパケットの送受信に対するセキュリティ設定として、
    前記ストレージ装置のMACアドレスを送信元とするパケットのみの受信を許可する設定を前記第一ポートに対して行い、
    前記所定の情報処理装置のMACアドレスを送信元とするパケットの受信を許可する設定を前記第二ポートに対して行う
    処理をコンピュータに実行させることを特徴とする請求項1に記載のストレージシステム管理プログラム。
  3. 前記所定の情報処理装置と前記ストレージ装置との間のパケットの送受信に対する許可設定として、
    前記複数の情報処理装置のMACアドレスを送信元とするパケットのみの前記ストレージ装置への送信を許可する設定を前記第一ポートに対して行い、
    前記ストレージ装置のMACアドレスを送信元とするパケットのみの前記所定の情報処理装置への送信を許可する設定を前記第二ポートに対して行う
    処理をコンピュータに実行させることを特徴とする請求項1又は請求項2に記載のストレージシステム管理プログラム。
  4. 前記所定の情報処理装置と前記ストレージ装置との間のパケットの送受信に対する許可設定として、
    前記ストレージ装置へのパケットの送信のみを許可する設定を前記第一ポートに対して行い、
    前記所定の情報処理装置へのパケットの送信のみを許可する設定を前記第二ポートに対して行う
    処理をコンピュータに実行させることを特徴とする請求項1〜3のいずれか一つに記載のストレージシステム管理プログラム。
  5. 前記所定の情報処理装置は仮想サーバであり、
    前記第二ポートは、前記所定の情報処理装置を含む複数の仮想サーバによって共有されており
    前記所定の情報処理装置である仮想サーバに割り当てられたMACアドレスを送信元とするパケットのみの受信を許可する設定を前記第二ポートに対して行う
    ことを特徴とする請求項1〜4のいずれか一つに記載のストレージシステム管理プログラム。
  6. 前記データ伝送装置は複数あり、且つ各前記データ伝送装置は自装置が有する各ポートに接続している前記情報処理装置及び前記ストレージ装置のMACアドレスを記憶しており、
    前記所定の情報処理装置のMACアドレスを記憶している前記データ伝送装置を抽出し、抽出したデータ伝送装置の中で記憶しているMACアドレスの数が最小のデータ伝送装置の前記所定の情報処理装置と接続しているポートを前記第二ポートとして特定する
    ことを特徴とする請求項1〜5のいずれか一つに記載のストレージシステム管理プログラム。
  7. 記憶しているMACアドレスの数が最小のデータ伝送装置が複数ある場合、記憶しているMACアドレスの数が最小の各データ伝送装置の前記所定の情報処理装置のMACアドレスに接続されたそれぞれポートにおいてデータ伝送装置間で行う通信の設定が行われているか否かを判定し、データ伝送装置間で行う通信の設定が行われていないポートを前記第二ポートとして特定する
    ことを特徴とする請求項6に記載のストレージシステム管理プログラム。
  8. データ伝送装置を介して複数の情報処理装置とパケットの送受信を行うストレージ装置に隣接するデータ伝送装置の前記ストレージ装置に接続する第一ポート、及び前記複数の情報処理装置の中の所定の情報処理装置に隣接するデータ伝送装置の前記所定の情報処理装置に接続する第二ポートを特定するポート特定部と、
    前記第一ポートに対して、前記所定の情報処理装置と前記ストレージ装置との間のパケットの送受信に対する許可設定を行う第1セキュリティ設定部と、
    前記第二ポートに対して、前記所定の情報処理装置と前記ストレージ装置との間のパケットの送受信に対する許可設定を行う第2セキュリティ設定部と
    を備えたことを特徴とするストレージシステム管理装置。
JP2012147630A 2012-06-29 2012-06-29 ストレージシステム管理プログラム及びストレージシステム管理装置 Expired - Fee Related JP5928197B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2012147630A JP5928197B2 (ja) 2012-06-29 2012-06-29 ストレージシステム管理プログラム及びストレージシステム管理装置
US13/864,408 US20140006573A1 (en) 2012-06-29 2013-04-17 Storage system management device and method of managing storage system
EP13165084.8A EP2680141A1 (en) 2012-06-29 2013-04-24 Security for TCP/IP-based access from a virtual machine to network attached storage by creating dedicated networks, MAC address authentification and data direction control

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012147630A JP5928197B2 (ja) 2012-06-29 2012-06-29 ストレージシステム管理プログラム及びストレージシステム管理装置

Publications (2)

Publication Number Publication Date
JP2014011674A true JP2014011674A (ja) 2014-01-20
JP5928197B2 JP5928197B2 (ja) 2016-06-01

Family

ID=48193106

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012147630A Expired - Fee Related JP5928197B2 (ja) 2012-06-29 2012-06-29 ストレージシステム管理プログラム及びストレージシステム管理装置

Country Status (3)

Country Link
US (1) US20140006573A1 (ja)
EP (1) EP2680141A1 (ja)
JP (1) JP5928197B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020099058A (ja) * 2015-09-15 2020-06-25 グーグル エルエルシー コンピュータネットワークにおいてパケットを処理するためのシステムおよび方法
JP2022525205A (ja) * 2019-03-20 2022-05-11 新華三技術有限公司 異常ホストのモニタニング

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9647894B2 (en) * 2014-07-30 2017-05-09 International Business Machines Corporation Mapping relationships among virtual elements across a system
US10331027B2 (en) * 2014-09-12 2019-06-25 Canon Kabushiki Kaisha Imprint apparatus, imprint system, and method of manufacturing article
JP6753412B2 (ja) * 2015-10-22 2020-09-09 日本電気株式会社 コンピュータ、デバイス割当管理方法及びプログラム
US10333104B2 (en) * 2016-11-06 2019-06-25 Orbotech LT Solar, LLC. Method and apparatus for encapsulation of an organic light emitting diode
CN115185759B (zh) * 2022-09-05 2023-09-29 平安银行股份有限公司 基于lldp实现的服务器接线校验方法、装置及***
CN117376282B (zh) * 2023-12-05 2024-03-26 深圳万物安全科技有限公司 交换机视图显示方法、设备及计算机可读存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006146767A (ja) * 2004-11-24 2006-06-08 Hitachi Ltd Ip−sanネットワークフィルタ定義作成方法およびフィルタ定義設定方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001036561A (ja) 1999-07-15 2001-02-09 Shin Maruyama Tcp/ipネットワークシステム
JP4123088B2 (ja) * 2003-08-06 2008-07-23 株式会社日立製作所 ストレージネットワーク管理装置及び方法
US7936670B2 (en) * 2007-04-11 2011-05-03 International Business Machines Corporation System, method and program to control access to virtual LAN via a switch
US8644149B2 (en) * 2011-11-22 2014-02-04 Telefonaktiebolaget L M Ericsson (Publ) Mechanism for packet forwarding using switch pools in flow-based, split-architecture networks

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006146767A (ja) * 2004-11-24 2006-06-08 Hitachi Ltd Ip−sanネットワークフィルタ定義作成方法およびフィルタ定義設定方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020099058A (ja) * 2015-09-15 2020-06-25 グーグル エルエルシー コンピュータネットワークにおいてパケットを処理するためのシステムおよび方法
JP2022525205A (ja) * 2019-03-20 2022-05-11 新華三技術有限公司 異常ホストのモニタニング
JP7228712B2 (ja) 2019-03-20 2023-02-24 新華三技術有限公司 異常ホストのモニタニング

Also Published As

Publication number Publication date
US20140006573A1 (en) 2014-01-02
JP5928197B2 (ja) 2016-06-01
EP2680141A1 (en) 2014-01-01

Similar Documents

Publication Publication Date Title
CN115699698B (zh) 虚拟l2网络中的环路防止
JP5928197B2 (ja) ストレージシステム管理プログラム及びストレージシステム管理装置
US20210344692A1 (en) Providing a virtual security appliance architecture to a virtual cloud infrastructure
US11765057B2 (en) Systems and methods for performing end-to-end link-layer and IP-layer health checks between a host machine and a network virtualization device
US9584477B2 (en) Packet processing in a multi-tenant software defined network (SDN)
US8789164B2 (en) Scalable virtual appliance cloud (SVAC) and devices usable in an SVAC
EP2525532A1 (en) Method and apparatus of connectivity discovery between network switch and server based on vlan identifiers
JP2016502795A (ja) データフロー処理の方法および装置
US11968080B2 (en) Synchronizing communication channel state information for high flow availability
US9935834B1 (en) Automated configuration of virtual port channels
US10103995B1 (en) System and method for automated policy-based routing
US11444883B2 (en) Signature based management of packets in a software defined networking environment
US20230109231A1 (en) Customizable network virtualization devices using multiple personalities
US20220417138A1 (en) Routing policies for graphical processing units
WO2019165274A1 (en) Systems and methods for preventing malicious network traffic from accessing trusted network resources
CN118176697A (zh) 私有网络之间的安全双向网络连接性***
WO2013069133A1 (ja) フレーム中継装置、通信システム、および、データ転送方法
US20240223440A1 (en) Synchronizing communication channel state information for high flow availability
US20240214416A1 (en) Virtual network distributed denial-of-service scrubber
WO2024137676A1 (en) Virtual network distributed denial-of-service scrubber
CN116746136A (zh) 同步通信信道状态信息以实现高流量可用性
Tulloch et al. Optimizing and Troubleshooting Hyper-V Networking
Aderholdt et al. Multi-tenant isolation via reconfigurable networks
KR20240100378A (ko) 사설 네트워크들 사이의 외부 엔드포인트들의 투명 마운팅
WO2023097155A1 (en) Cloud based cross domain system – virtual data diode

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150319

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151109

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160329

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160411

R150 Certificate of patent or registration of utility model

Ref document number: 5928197

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees