DVIPA が DVIPA テークオーバー中に移動された場合 (計画的であってもなくても)、以前にその DVIPA を所有していたホストに存在したセキュリティー・アソシエーション (SA) と同じセキュリティー・サービス特性を使って、新規のシスプレックス・ワイド・セキュリティー・アソシエーション (SWSA) が自動的に再構築されます。 IKEv1 の使用時に SA が再構築される場合、そのプロセスは、SA のもう一方の終端を所有するクライアントに対して透過的です。 SA のネゴシエーションで IKEv1 が使用される場合、そのプロセスは通常の SA のリフレッシュのように見えます。 IKEv2 の使用時には、SA の再構築は新規の SA のように見えます。図 1 は、バックアップ・ホストに引き継がれる DVIPA 192.168.253.4 を示しています。SA は、クライアントとバックアップ・ホストの間で透過的に再構築されます。
DVIPA 所有者のディストリビューター TCP スタックの代わりに実行している IKE は、IKE SA ネゴシエーションの責任があります。DVIPA を所有している TCP スタックは、DVIPA テークオーバーの際、 SA の再構築のために必要な情報で、カップリング・ファシリティーを更新し続ける責任 があります。テークオーバーが起こった場合、バックアップ・ホストの IKE は、 新しい DVIPA の所有者の TCP スタックによって、カップリング・ファシリティー から読み取られた情報に基づいて、新しい SA を再ネゴシエーションする責任を引き受けます。
IKEv2 プロトコルを使用して SA が再構築されると、それは新規の SA のように見えます。 クライアント・システム上の古い SA は、即時に削除されないことがあります。 通常それが起きるのは、フェーズ 1 SA が、再構築されようとしている SA を保護しているフェーズ 1 SA と同じローカルおよびリモートの ID を持つバックアップ・システム上に存在する場合です。 そのようなシナリオが発生した場合、クライアント上の古い SA は、活性チェックによって削除されるまでアクティブのままになります。これについては、RFC 5996 に説明されています。 z/OS® プラットフォームに実装されている活性チェックについて詳しくは、「z/OS Communications Server: IP 構成解説書」の『 KeyExchangePolicy ステートメント』の『LivenessInterval パラメーター』を 参照してください。IKEv1 および IKEv2 プロトコルについて詳しくは、 「z/OS Communications Server: IP Diagnosis Guide」の付録『IKE protocol details』を参照してください。