シスプレックス分散 DVIPA エンドポイントのある IPSec SA によって保護された TCP トラフィックは、ターゲット・ホストに配布可能です。インバウンド・トラフィック用の IPSec 暗号化は、可能な場合、ターゲット・ホスト上で実行されます。可能でない場合、 ディストリビューターが、パケットをターゲット・スタックに転送する以前に、 暗号化を実行します。アウトバウンド・トラフィック用の IPSec 暗号化は、 ターゲット・ホスト上で実行され、ディストリビューターを通してルートされることなく、 直接ネットワークに送られます。図 1 には、インバウンドおよびアウトバウンド・トラフィック用に暗号化を実行するターゲット・スタックが表示されています。
図 1. SWSA によるシスプレックス・ディストリビューター
ディストリビューター TCP スタック (DVIPA 所有者) の代わりに実行している IKE は、すべての IKE SA ネゴシエーションの責任があります。ディストリビューター・スタックは、DVIPA に関連する SA のマスター・コピーを保持します。新しい SA がネゴシエーションされるかまたはリフレッシュされ、ディストリビューター・スタックにその SA がインストールされる 場合は、IPSec 暗号化を実行するのに必要な情報を含む SA のコピー (シャドー) が、シスプレックス内でターゲット・ホストに送られます。シャドー SA は、 ターゲット・スタックへの暗号化の配布を可能にします。カップリング・ファシリティーは、 アウトバウンド操作で使用される SA 再生保護シーケンス番号の中央リポジトリー として、使用されます。SA ライフサイズ (SA を介して送信および受信したバイト数) は、 マスター SA で保守されます。