z/OS® IP セキュリティーは、シスプレックス・ワイド・セキュリティー・アソシエーション (SWSA) をサポートしています。 シスプレックス環境では、SWSA は、分散 DVIPA のターゲット・スタックへ IPSec セキュリティー・アソシエーション (SA) を分散します。IPv4 DVIPA に対してこのサポートを使用可能にするには、TCP/IP プロファイル内の IPCONFIG IPSECURITY と、IPSEC ブロック内の DVIPSEC をコーディングする必要があります。 IPv6 DVIPA に対してこのサポートを使用可能にするには、IPCONFIG IPSECURITY および DVIPSEC に加え、IPCONFIG6 IPSECURITY をコーディングする必要があります。
シスプレックス環境では、IKE デーモンは、IP セキュリティー・スタックへの (またはそこからの) DVIPA の移動を検出することができます。 DVIPA のセキュリティー・アソシエーションを再確立するには、DVIPA の移動元のスタックの TCP/IP プロファイルと、DVIPA の移動先のスタックの TCP/IP プロファイルに、DVIPSEC パラメーターを指定する必要があります。 この移動についての詳細は、シスプレックス・ワイド・セキュリティー・アソシエーションを参照してください。このサポートを構成するために TCP/IP プロファイルに追加する必要がある IPCONFIG、IPCONFIG6、および IPSEC ステートメントについては、「z/OS Communications Server: IP 構成解説書」を参照してください。
シスプレックス内のある IP セキュリティー・スタックから別 IP セキュリティー・スタックに DVIPA を移動する場合で、両スタックに DVIPSEC オプションが指定されている場合は、バックアップ・スタック上でセキュリティー・アソシエーションの自動再確立の試みが行われます。DVIPA の制御を受け持つシステムの IKE デーモンは、新規のセキュリティー・アソシエーションを再ネゴシエーションして、前にその DVIPA を所有していたシステム上にあったセキュリティー・アソシエーションと置き換えようとします。構成エラーまたは接続エラーが原因でこれらの試みが失敗した場合は、手操作による介入が必要になることがあります。DVIPA の移動時に進行中だったフェーズ 1 セキュリティー・アソシエーションまたはフェーズ 2 セキュリティー・アソシエーションのネゴシエーションは、失われます。 ただし、これらのネゴシエーションがリフレッシュを目的としていた場合は、DVIPA の制御を引き受けるプロセスの中で、新規ネゴシエーションが開始されます。
シスプレックス内のある IP セキュリティー・スタックから別 IP セキュリティー・スタックに DVIPA を移動時に、その一方または両方のスタックで DVIPSEC オプションが無指定の場合は、その DVIPA に関連したセキュリティー・アソシエーションは、ipsec コマンドの発行、オンデマンド活動化、またはピア開始によって再確立する必要があります。