IP セキュリティーが有効である場合にルーティングされたトラフィックの転送を QDIO アクセラレーターに許可するためのステップ

始める前に

使用するフィルター・ポリシーおよび条件付きフィルターへのすべての変更について、セキュリティー管理者と検討します。 ネットワーク・セキュリティー・ポリシーがすべてのルーティングされたトラフィックを許可すると指定していることをまず確認するまでは、すべてのルーティングされたトラフィックを許可しないでください。

手順

IP セキュリティーが有効になっており、ルーティングされたトラフィックを QDIO アクセラレーターに転送することを許可する場合は、以下のステップを実行します。

  1. ネットワーク・セキュリティー・ポリシーを調べて、ルーティングされたトラフィックを TCP/IP が処理する方法を判別します。 以下のいずれかの条件が当てはまる場合は、ルーティングされたトラフィックに QDIO アクセラレーターを使用することはできません。
    • 一部のルーティングされたトラフィックを IP フィルター・ポリシーで拒否する必要がある。
    • 一部のルーティングされたトラフィックを IP フィルター・ポリシーで IPsec によって保護する必要がある。
    • 一部のルーティングされたトラフィックを TRMD を使用してログに記録する必要がある。

    これらの条件のいずれかが当てはまる場合、QDIO アクセラレーターはシスプレックス・ディストリビューター・トラフィックのみを転送します。

  2. TCP/IP がメッセージ EZD2020A を発行し、ネットワーク・セキュリティー・ポリシーがすべてのルーティングされたトラフィックを許可すると指定している場合は、以下のようにして、ログ記録なしですべてのルーティングされたトラフィックを許可するように TCP/IP プロファイルを構成します。
    1. ルーティング値 Routed または Either が指定された最初の IPv4 IPSECRULE ステートメントで、すべての IPv4 アドレス、すべてのプロトコル、およびすべてのセキュリティー・クラスを許可するようにします。
      ヒント: 規則にルーティング値として Either が指定されている場合、その規則はローカル・トラフィックおよびルーティングされたトラフィックの両方に適用されます。 ご使用のセキュリティー・ポリシーでは一部のローカル・トラフィックしか許可することができない場合は、この規則を 2 つの規則に分割し、1 つにはルーティング値 Routed、およびもう 1 つにはルーティング値 Local を指定します。
    2. 最初の IPv4 IPSECRULE ステートメントで、フィルター・ロギングを使用可能にするために LOG を指定しないようにします。
  3. TCP/IP がメッセージ EZD2021A を発行し、ネットワーク・セキュリティー・ポリシーがすべてのルーティングされたトラフィックを許可すると指定している場合は、以下のようにして、ログ記録なしですべてのルーティングされたトラフィックを許可するようにポリシー・フィルター規則を構成します。
    1. IBM® Configuration Assistant for z/OS® Communications Server を使用して IPSec ポリシーを構成する場合は、以下の設定を使用します。
      1. ルーティングされた IPv4 トラフィックに適用される最初の接続規則が、フィルタリングのトポロジーのみを指定し、すべての IPv4 アドレスに適用され、すべての IP プロトコルとすべてのセキュリティー・クラスを Permit セキュリティー・レベルにマップする要件マップを使用するようにします。
        ヒント: 接続規則は、ローカル・トラフィックとルーティングされたトラフィックの両方に適用することができます。 ご使用のセキュリティー・ポリシーでは一部のローカル・トラフィックしか許可することができない場合は、この規則を 2 つの規則に分割し、1 つをルーティングされたトラフィックのフィルタリングに適用する規則、もう 1 つをローカル・トラフィックのフィルタリングに適用する規則にします。
      2. 最初の接続規則では、フィルター一致をログに記録しないように指定します。
    2. IPSec ポリシーを手動で構成する場合は、以下の設定を使用します。
      1. 最初の IpFilterRule ステートメントの、関連する IpService ステートメントが、ルーティング値 Routed または Either を持ち、すべての IPv4 アドレス、すべてのプロトコル、およびすべてのセキュリティー・クラスを許可し、方向値 Bidirectional を持つようにします。
        ヒント: 規則にルーティング値として Either が指定されている場合、その規則はローカル・トラフィックおよびルーティングされたトラフィックの両方に適用されます。 ご使用のセキュリティー・ポリシーでは一部のローカル・トラフィックしか許可することができない場合は、このフィルター規則を 2 つのフィルター規則に分割し、1 つにはルーティング値 Routed、およびもう 1 つにはルーティング値 Local を指定します。
      2. 最初の IpFilterRule ステートメントの、関連する IpGenericFilterAction ステートメントでは、IpFilterLogging 設定を No に指定して、フィルター・ロギングを使用不可にします。
  4. TCP/IP がメッセージ EZD2022A を発行し、ネットワーク・セキュリティー・ポリシーがすべてのルーティングされたトラフィックを許可すると指定している場合は、以下のようにしてルーティングされたトラフィックを条件付きフィルターが許可するようにします。
    1. ipsec -F display コマンドを発行して、条件付きフィルターを表示します。
    2. ルーティングされたトラフィックに適用されるフィルターがリストされる場合には、以下のオプションを選択できます。
      • 条件付きフィルターは、一時的な条件に対応するように設計されている一時フィルターであるので、それらのフィルターは有効期限が切れるのを待つことができます。 フィルターの有効期限が切れた後に、QDIO アクセラレーターはルーティングされたトラフィックの転送を再開できます。
      • ユーザーおよびセキュリティー管理者がその条件付きフィルターが不要になったと判断する場合、セキュリティー管理者は ipsec -F delete コマンドを発行して、QDIO アクセラレーターがルーティングされたトラフィックの転送を再開できるように、それらのフィルターを削除できます。
    ipsec コマンドについて詳しくは、「z/OS Communications Server: IP システム管理者のコマンド」を参照してください。
親トピック: QDIO アクセラレーター