ローカル動的 VPN ポリシーが必要なのは、ipsec コマンドでコマンド行からの活動化により IPSec ネゴシエーションを開始する場合、またはローカル動的 VPN ポリシーの更新が原因で自動活動化により IPSec ネゴシエーションが開始される場合のみです。IPSec ネゴシエーションは、以下に示す 4 とおりの方法のいずれかで開始することがで きます。
アウトバウンド IP パケットが、ipsec アクションを伴うフィルター規則に一致すると、ネゴシエーションが開始されます。
リモート・ピアが要求を開始し、ローカル IKE デーモンがそれに応答します。
ipsec コマンドを使用して、手動で IPSec ネゴシエーションを開始することができます。(手動トンネルと混同しないでください。手動トンネルは IKE デーモンをまったく使用しません。)
スタックまたは IKE デーモンが初期化され、その両方がアクティブであるとき、またはローカル動的 VPN ポリシーが更新されたときに、ネゴシエーションが開始されます。
ローカル動的 VPN ポリシーが必要なのは、最後の 2 つの場合のみです。
ローカル動的 VPN ポリシーは、ローカル動的 VPN 規則のソートされていないリストから成っています。フェーズ 2 セキュリティー・アソシエーションについてのネゴシエーションで必要とされるのは、互いに通信する 2 つのホストが、セキュリティー・アソシエーションで規定された 2 つのデータ・エンドポイント、セキュリティー・アソシエーションで規定されたプロトコル、およびセキュリティー・アソシエーションで規定されたポートに関して、合意に達することです。この情報はフェーズ 2 セキュリティー・アソシエーションに保管されます。次いでこの情報は、関連の IPSec トラフィックのカプセル化またはカプセル化解除が必要になるたびに、調べられます。ローカル動的 VPN 規則の目的は、構成するそれぞれのセキュリティー・アソシエーションについて、これらの要件を定義することです。
以下の LocalDynVpnRule ステートメント例では、サーバー (9.1.1.1) とクライアント (9.4.4.100) 間の TN3270E Telnet サーバー・トラフィックについて、フェーズ 2 セキュリティー・アソシエーションのネゴシエーションを行うためのパラメーターを定義しています。サンプルの後で、それぞれの行について説明します。
1 LocalDynVpnRule TelnetSA
2 {
3 LocalIP 9.1.1.1
4 RemoteIP 9.4.4.100
5 LocalDataPort 23
6 RemoteDataPort 0
7 Protocol tcp
8 Autoactivate yes
9 }
オンデマンド・セキュリティー・アソシエーションには、ローカル動的 VPN 規則定義は不要です。オンデマンドのフェーズ 2 セキュリティー・アソシエーションのネゴシエーションに使用するすべてのパラメーターは、2 つの場所のいずれかからの推論により決定できます。それは、オンデマンドの活動化を開始したパケットか、あるいはパケットが一致したフィルター規則です。パケットは、アドレス、プロトコル、ポート、タイプ、およびコードについて、常に単一の値を提供します。しかし、フィルター規則は、IP アドレス、プロトコル、ポート、タイプ、またはコードについて、値の範囲を許可することがあります。 パケットまたは一致するフィルター規則のどちらから情報がとられるかは、IpLocalStartAction ステートメントの細分性の設定によって決まります。IpLocalStartAction ステートメントについての詳細は、「z/OS Communications Server: IP 構成解説書」を参照してください。
セキュリティー・アソシエーションは、IP アドレスの観点またはポートとプロトコルの観点から見て、「広い」または「狭い」と定義することができます。セキュリティー・アソシエーションが IP アドレスの観点から見て「広い」場合は、同じセキュリティー・アソシエーションを使用して複数のエンドポイント間のデータを保護します。セキュリティー・アソシエーションがポートとプロトコルの観点から見て「広い」場合は、同じセキュリティー・アソシエーションを使用して複数のトラフィック・タイプを保護します。逆に、「狭い」意味で定義されたセキュリティー・アソシエーションは、特定のデータ・エンドポイント (IP アドレスに基づく)、または特定のトラフィック・タイプ (ネットワーク・サービス用に一般的に使われるポートとプロトコルに基づく) を保護するために使用することができます。 IKEv2 とネゴシエーションを行ったセキュリティー・アソシエーションもまた、タイプおよびコードに関しては「狭い」ということができます。