ブライアン・R・スミス著
長い道のりを歩いたその突き当たりには「E-ビジネスへようこそ！」という標識がありました。ようやくあなたは信頼できる iSeries でこの目的地に到達できたことを理解するのにさほど時間はかからないでしょう。コア・アプリケーションには手をつけず、（途中で画面上のバグを追い払いながら）イントラネットやインターネットにそれらアプリケーションを機能拡張しました。これでようやく、iSeries が提供するすべてのネットワーク・サービスを最大限に利用できる準備が整いました。これ以上良いタイミングはありません。OS/400 V5R1 に便利な新型ネットワーク・ハードウェア群と TCP/IP 機能が追加されたのです。

iSeries でE-ビジネスを成功させるのに TCP/IP プロトコル群は不可欠です。またiSeries の設計担当者も TCP/IP とその関連機能に画期的な機能強化を行いました。これらについて、新型 V5R1 ハードウェアから説明しましょう。

V5R1 ネットワーク・ハードウェア・アップデート

OS/400 V5R1 ではさらに幅広い物理ネットワークに接続するために、以下に示す 4 個の新型通信アダプターがサポートされています。

V.90 モデム統合アダプター（製品番号： 2772） - ポート (RJ11) を 2 個装備し、内部モデム経由で最大データ転送速度が 14.4 K で V.90 56 K 非同期 PPP とファックス・アプリケーションをサポートする 2 回線の WAN アダプターです。
PCI 155 Mbps マルチモード・ファイバー (MMF) 非同期転送モード (ATM) アダプター (製品番号： 2817) - IBM の旧型 4816 アダプターに代わるアダプターです。2817 ATM アダプターはノンアシスト型入出力プロセッサー (IOP) で、フラグメント化の再組み立て、アドレス検査、IP フィルター操作、チェックサムの世代検査といった機能を iSeries のメイン CPU で処理します。iSeries ハンドブック (GA19-5486-21) に記載されているとおりこの機能により、カードはデータをより高速に処理し、TCP/IP のトランザクション・パフォーマンスを向上させます。研究所では、メイン PowerPC プロセッサーの性能が向上するにしたがって非対称多重処理の必要性が薄れていくため、こうしたノンアシスト型 IOP がさらに増えるだろうともっぱらの噂です。しかし非対称多重処理がなくなるわけではありません (暗号化コプロセッサーについては後に述べます)。

PCI 1 Gbps/100 Mbps/10 Mbps イーサネット対より線（シールドなし） (UTP) IOA アダプター（製品番号： 2760） - これもノンアシスト型 IOP の 1 つです。
暗号化コプロセッサー・アダプター（製品番号： 4758） -OS/400 の Secure Sockets Layer (SSL) 機能とあわせて使用することで SSL 暗号化処理を劇的にオフロードし、その結果システム・プロセッサーは安全性の高いより多くの Web サーバー・セッションを自由に扱うことができます。 TCP/IP の設定変更

V5R1 で最も目立つ機能強化に、TCP/IP 設定とモニター・ツールへの集中アクセスがあります。iSeries TCP/IP 群の設定および管理に必要なものはすべて、オペレーション・ナビゲーター (OpsNav) の [ネットワーク] フォルダー（図 1）にあります。

ネットワーク・フォルダー内の [TCP/IP 設定] フォルダーには、TCP/IP インターフェースの管理および設定、経路と接続の状況のモニター、物理インターフェースのアクティビティーのモニターを制御する機能が含まれています。ツリー表示で [TCP/IP 設定] を選択すると、以下のような新規フォルダーが表示されます。

[インターフェース] - これは TCP/IP 設定の「銀河系の中心」の 1 つです（ほとんどのインターフェース設定はこのフォルダーで適用されます）。[インターフェース] フォルダーから、 TCP/IP インターフェースの開始、停止、削除、作成および設定ができます。つまり関連経路を表示し、IP フィルター規則といった IP ポリシーで適用されたパケット・ルールを表示します。この方法は、ユーザーがシステムにアクセスできない場合に、問題から解決方法へと逆方向に作業する場合に優れています。
インターフェースで右クリックすれば、アドレス解決プロトコル (ARP) キャッシュをクリアすることもできます。V5R1 起動前にキャッシュをクリアする唯一の方法は物理回線をオフに設定変更することです。この新機能は OpsNav 経由でのみ利用できます。これは、ルーターのような新規デバイスを追加する場合にネットワーク・コンバージェンスの速度を上げるのに役立ちます。ARP キャッシュをクリアしないと、ARP エントリがタイムアウトするのを待たなければなりません。10 分ほど待ちます。
インターフェースで右クリックし、[プロパティー] を選択します。インターフェースがアクティブだと、ポップアップ・メニューに残りのフォルダーとプロパティ（回線が非アクティブの場合は、プロパティをクリックして変更できます）が表示されます。
[経路] - TCP/IP Network Status (NETSTAT) オプション 2 で [ワーク] と同様な経路の状況をモニターできます。さらに非アクティブ経路を削除できます（右クリックして、[削除] を選択）。
[接続] - 接続状況のモニター、接続の終了、関連ジョブの表示（個別 JOBLOG エントリーへのドリルダウン）、接続のデバッグを行うことができます。
[物理インターフェース・アクティビティー] - TCP/IP に使用した回線の詳細情報を表示できます。特定回線の情報は回線を右クリックし、[プロパティー] を選択して表示できます。
[TCP/IP 設定ユーティリティー] - name.domain または IP アドレスを使用して iSeries からリモート・ホストに簡単な（緑色画面の PING コマンドが提供するオプションは指定せずに） PINGを実行して、ユーザーのサイトと（図 1 で選択した）指定ホスト間の経路をトレースします。これはネットワーク障害が発生したポイントを特定する非常に強力なネットワーク・デバッグ・ツール（CL コマンドの Trace TCP/IP Route または TRACEROUTE としても利用可）で、ホスト名または IP アドレスを検索します。CL コマンドの Start DNS Query (NSLOOKUP) を使用するとより機能性は高まりますが、単純な日単位のマッピングならばこの OpsNav ユーティリティーで十分リソースを提供できます。

アクティブでないインターフェースを右クリックし、[プロパティー] を選択して動的経路を使用可能にしたり、インターフェース関連の新しい静的経路を追加できます。[一般] タブで [経路] をクリックし、Routing Information Protocol (RIP) 経路で静的経路を追加したり、動的経路指定を有効にするよう選択します。非アクティブ・インターフェースではこれは動作しませんが、Add TCP/IP Route (ADDTCPRTE) コマンドで緑色の画面からアクティブ経路を追加できます。

その他の TCP/IP 変更内容

以下に V5R1 OS/400 に追加されたマイナーな TCP/IP 関連機能のリストを示します。

Change IPL Attributes (CHGIPLA) に含まれた STRTCP（*YES か *NO を選択する） - QSTRUP アプリケーションからそのプログラミングを削除できます。
インターフェースが起動すると、iSeries は重複 IP アドレスを検出し、それらを QTCP メッセージ・キューに記録します。
新しい TCP/IP 属性により iSeries は自動的にデッド・ゲートウェイを検出しなくなります。ファイアウォールが設定されている場合は、（サービス妨害攻撃やその他の攻撃などを避けるために）通常デッド・ゲートウェイのチェックに使用する ICMP エコー要求 (PING)へのファイアウォールの応答機能を活動停止にしたときに、iSeries がデッド・ファイアウォール（およびインターネットへの経路）を誤って宣言しないようにこの機能を無効にしたい場合があります。
Start TCP/IP Server (STRTCPSVR) には SERVER(*AUTO START) パラメーターが入っています。このパラメーターは、自動始動するよう事前に設定したサーバーだけを起動する場合に非常に便利です。これにより IPL で開始するように TCP/IP の開始をシミュレートできます。
Point-to-Point Protocol (PPP)

V5R1 では PPP 設定が大幅に変更されています。

[ネットワーク] 表示で見ると、[Point-to-Point] フォルダーは [リモート・アクセス・サービス] という名前になっています。
新しい [グループ・アクセス・ポリシー] フォルダーにより個々の Receiver Connection Profiles 関連の設定をオーバーライドできます。
非同期回線プロファイル上のシリアル・ライン・インターネット・プロトコル (SLIP) はサポートされていません。SLIP は OpsNav 経由で *PPP 回線記述上でだけサポートされています。プロファイルは削除されません。プロファイルは Print Point-to-Point Profile (PRTTCPPTP) 経由で表示できます。OpsNav には、プロファイルを PPP 回線または PPP プロファイルに移行できるオプションがあります。
V4R5 以前のバージョンでは、PPP プロファイルの設定には OpsNav が必要でした。OpsNav 接続ができない場合は、PPP 接続もできませんでした。V5R1 ではアドミニストレーターが緑色の画面で PPP を制御できる 3 つの CL コマンドが用意されています。これらのコマンドは Point-to-Point TCP/IP (WRKTCPPTP) 画面の [ワーク] でオプションを選択して実行できます。
IP アドレスが自動で Receiver Connection Profile に割り当てるという新しい方法は PPP の機能強化であり、iSeries の設計担当者による IP ネットワークの自己管理促進の思想を反映しています。

iSeries サーバーは、リモート・アクセス・ダイヤルイン・ユーザーやレイヤー 2 トンネリング・プロトコル (L2TP) トンネル・ユーザーの動的ホスト設定プロトコル (DHCP) WAN クライアントとして動作します。この機能により WAN リモート・アクセス・ユーザーは、LAN接続したネットワーク DHCP クライアントと同じ IP アドレスを取得できます。DHCP WAN クライアントはその要求を DHCP サーバーまたは DHCP リレー・エージェントに送信します。この機能によりインターネット・アドレスを動的に割り当てるケーブル・モデムおよび DSL 接続で AS/400 を機能させることができます。
リモート・アクセス・サービスを右クリックして [プロパティー] を選択し、DHCP WAN クライアントを有効にします。DHCP WAN クライアントが起動し、DHCP サーバーまたは DHCP リレー・エージェントを接続するローカル・インターフェースの IP アドレスを使用できるダイアログボックスが有効になります。DHCP サーバーもリレー・エージェントも動作していない場合は、GUI コードがリレー・エージェントを設定できるダイアログボックスを起動します。
図 2 で示すように、[PPP プロファイル・プロパティー] 表示の [TCP/IP 設定] タブを選択し、リモート IPアドレスを DHCP と指定して DHCP を使用できるように PPP Receiver Connection Profile を設定できます。
Remote Authentication Dial-In User Service (RADIUS) ネットワーク・アクセス・サーバー (NAS) が iSeries サーバーで設定できます。RADIUS は本来、リモート PPP クライアントに対してセキュア・アクセスを集中制御するために使用するユーザー認証、許可、アカウンティングの業界標準です。NAS は RADIUS サーバーに指定した情報をユーザーに渡し、応答にしたがって動作します。つまり iSeries は、リモート・クライアントが PPP 経由で接続するネットワークの端にあるシステムなのです。
リモート・アクセス・サービスを右クリックして [プロパティー] を選択し、iSeries でRADIUS NAS サポートを有効にします。RADIUS 関数をいくつか、またはすべて有効にするかどうか選択します。RADIUS NAS サーバーが設定されていない場合は、Enable RADIUS ネットワーク・アクセス・サーバー接続を選択すると、設定ウィザードが開始します。
RFC 1990 に準拠する PPP 多重リンク・プロトコル (MP) によりアドミニストレーターは、複数の PPP リンクをグループ化し、単一の仮想リンクまたはバンドルを形成できます。バンドルを形成するリンクは同じ型でなければなりません（たとえばすべての L2TP 回線、PPP アナログ専用回線、PPP ISDN 交換回線など）。交換回線接続の場合アドミニストレーターは 1 本の接続に多重リンクを使用するよう PPP 接続を設定できます。MP では MP サポートを PPP リンクの両端にインプリメントする必要があります。MP は両方の iSeries Originator and Receiver Connection Profile にインプリメントする必要があります。MP の利点として、有効な合計帯域幅を増やすことでシステム間のデータ転送待ち時間を減らしたり、多重回線の使用による信頼性の向上（ある回線に障害が発生した場合でも、MP バンドルにある回線が 1 つでも操作できる状態ならばリンクは維持されます）、必要に応じて帯域幅を提供するため、バンドルから動的に回線を追加および削除できることによる帯域幅の可用性の向上があります。

仮想プライベート・ネットワーク (VPN)

企業は、従来の IT システムに存在するビジネスを左右するようなアプリケーションおよびデータに簡単にアクセスするために、インターネットのグローバル性を活用しています。企業は現在、セキュアな VPN ソリューションにより安全に、かつ費用対効果が得られるようにアプリケーションやデータを機能拡張できます。

OS/400 の VPN 機能は強化され、その設定も簡単になりました。V5R1 での主な変更点を以下に示します。

[IP ポリシー] フォルダーには 3 つの項目があります。仮想プライベート・ネットワーキング (VPN)、パケット・ルールとサービス品質 (QoS) です。VPN オブジェクトは、個々の GUI ではなく、OpsNav ウィンドウ自体に表示されます。TCP/IP サーバー・ディスプレイから VPN サーバーを起動および停止できます。
V5R1 へのアップグレード時に VPN オブジェクトと設定は自動的に移行されます。
アドミニストレーターは新しい 2 つの L2TP 設定シナリオから選択できます。これにより自分のネットワークに合った iSeries VPN ソリューションを見つける確率が上がります。

IP ペイロード圧縮プロトコル、または IPComp (RFC 2393) はネットワーク輻輳を軽減し、スループットを向上させます。iSeries サーバーは現在 DEFLATE だけをサポートしています。
アドミニストレーターはウィザードを使用してフィルター規則を作成できます。

直接 VPN に関係ありませんが、（ディジタル証明書マネージャーまたは DCM で処理される）ディジタル証明書設定がアップデートされ、使いやすくなっています。DCM は（5722-DG1 HTTP サーバーが必要な） HTTP 管理サーバーでアクセスされます。DCM を使用して、HTTP、FTP、VPN などのすべてのサーバー・アプリケーションとクライアント・アプリケーションに対して iSeries サーバーでディジタル証明書を要求、作成、削除および管理できます。

動的 DNS と動的 DHCP

DHCP とDNS は V4R2 からサポートされていますが、この両サーバーは従来、スタンドアロンでそれぞれの関数を実行していました。DHCP サーバーがホストに IP アドレスを割り当てる場合、ネットワーク上の他のホストがホスト名でそのホストを識別するには、アドミニストレーターが手動で DNS サーバーをアップデートするしか方法がありません。

動的 DNS (DDNS) は、DHCP サーバーが DNS サーバーに自動的に DNS 情報のアップデートを通知するメカニズムを備えています（繰り返しますが、ネットワークの自己管理を促進するわけです）。DDNS はインターネット標準プロトコルなので、どの DDNS 可能な DNS サーバーでも動作します。ただ、OS/400 の DNS サーバーでは動作しません。

DHCP サーバーを DDNS に設定するには、[グローバル]、[サブネット]、[クラス]、[クライアント] レベルのいずれかを右クリックして [プロパティー] を選択します。プロパティー・パネルの新しい [動的 DNS] タブにより、DNS サーバーをアップデートするよう DHCP サーバーを設定できます。

アドレス (A) レコードはマシンのホスト名をその IP アドレスにマップします。ポインター (PTR) レコードは逆引き関数を提供します。これはマシンの IP アドレスをそのホスト名にマップします。DHCP クライアントの代わりに、逆引き参照 PTR レコードまたは、A レコードと PTR レコード両方の参照をアップデートするように DHCP を設定できます。DHCP クライアントの IP アドレスが変更された場合、iSeries DHCP は、ネットワークの他のホストが名前でクライアントを探し出せるように、DNS サーバーへのアップデート内容を自動的に送信します。動的にアップデートされた各レコードについては、関連する Text (TXT) レコードが DHCP で書かれたことを確認するように書かれます。TXT レコードは、DHCP サーバーで送信された DDNS 要求をデバッグするときに役立ちます。

PTR レコードだけをアップデートするように DHCP を設定する場合、各 DHCP クライアントが自らの A レコードをアップデートできるようクライアントからのアップデートを有効にするように DNS を設定する必要があります。すべての DHCP クライアントが自分の A レコードのアップデート要求をサポートしているわけではありません。

DDNS は DHCP サーバーがアップデートを受信する許可ソースのリストに対するアップデート要求をチェックしてセキュリティーを維持します。個々の IP アドレス、サブネット全体、トランザクション・シグニチャー (TSIG) と呼ばれる共有秘密鍵で署名したパケット、あるいはそれらの方法を組み合わせて許可ソースを定義できます。DNS サーバーはライブ DNS リソース・レコードをアップデートする前に、着信要求パケットが許可ソースから来ること検証します。

iSeries の新型 DDNS については、開発者は拡張対話式エグゼクティブ (AIX) ほど深く調べる必要がなかったことに注意してください。拡張対話式エグゼクティブ (AIX) では開発者は、魔法のようなポータブル・アプリケーション・ソリューション環境または PASE（OS/ 400 オプション 33）により最新の DNS BIND バージョン 8.2.3 を見つけ、iSeries に送信しました。PASE には多少のライセンス・フィーが必要で、旧型の AS/400 ハードウェアでは動作しません（基本的にすべての iSeries および AS/400e システムは PASE をサポートしていますが、完全なリストについては http://www.as400.ibm.com/developer/factory/pase/ehardware.html　（英文） を参照してください）。PASE がインストールされ動作しているかどうかは CALL QDNS/QTOBPCHK で簡単にテストできます。単純にコマンドが戻ったら大丈夫です。または、エラー・メッセージをチェックして問題を判別してください。

またいったん新しい DDNS のソフトウェア前提条件を満たしたら、古い BIND 4.x 構成ファイルを変換するかどうか選択できます。

これで DNS サーバーを無制限に iSeries に設置でき、（分割 DNS に 2 台以上必要かどうかは疑わしいと思いますが）それぞれの DNS サーバーには固有の IP アドレスが割り当てられます。この機能により最終的に、（たとえばプライベート・エンタープライズ LANとパブリック・インターネット両方の DNS を保守するために）エンタープライズ・ネットワークのコアとして iSeries サーバーを使用できます。設定は簡単です。OpsNav ウィザードで新しい DDNS サーバーを作成し、他のウィザードとパネルを使用してゾーンを設定します。ここで、静的アップデートか動的アップデートかを（動的アップデートを選択した場合は、アップデート権のある認証ユーザーも）指定します。

サービス品質 (QoS)

サービス品質 (QoS) は、TCP/IP アプリケーション・プログラムにどの種類のネットワーク優先順位または帯域幅を割り当てるか定義できる関数の集合です。OS/400 QoS 関数は既存の IEEE および Internet Engineering Task Force (IETF) 標準に準拠します。これは大切な事項です。サービス品質はネットワーク・サーバーにあるすべてのデバイス、クライアント、スイッチ、ルーターが協力して制御するためです。イントラネットやインターネットのトラフィックが増加するにつれ、QoS はシステム・トラフィックの優先順位を付ける方法を提供します。iSeries サーバーでは一般的な多重負荷環境では QoS は重要な構成要素ですが、OS/400 QoS をアクティブにする前に、ネットワークの他のコンポーネントに対して QoS が有効かどうか確認する必要があります。

OS/400 は2 種類の QoS を定義します。統合サービスと差異化サービス（それぞれ IntServ と DiffServ）です。IntServ はエンドツーエンド・サービスで、サーバーとクライアント間の帯域幅を予約します（また RFC 1633、2205、2210、2211、2212、2215 に準拠）。Resource Reservation Protocol (RSVP) はエンドツーエンド QoS をサポートする IETF 標準です。RSVP はホップごとに信号を使用してエンドツーエンド IP トラフィックの帯域幅を予約するメカニズムを提供します。要領としては、IntServ はコネクションの両端でクライアント・アプリケーションとサーバー・アプリケーションを要求し、品質コネクションの要件を通信してそれに合意するわけです。

DiffServ はアプリケーションに対して透過的です（また IETF が提案したドラフトだけでなく RFC 2474、2475、2597、2598 に準拠）。したがって、アプリケーションを変更せずにアプリケーションの QoS を有効にする簡単なメカニズムを提供し、ネットワーク・アドミニストレーターはさまざまなアプリケーションで消費されるネットワーク・リソースを制御できます。DiffServ がより一般的になることを期待しています。インプリメントが簡単だからです。DiffServ は単純に、あるパケットと他のパケットを区別するために、QoS 指向のルーターまたはレイヤー 3 ・スイッチが使用できる IP ヘッダー（古い Type of Service または TOS バイトが QoS に再利用中）にビットをいくつかセットします。次にルーターはトラフィックに優先順位を付け、特定のアプリケーションは利用可能なネットワーク帯域幅の比較的大きな部分を獲得します。

DiffServ はまた、QoS DiffServ ポリシーを作成することで iSeries でトラフィック・シェーピングをトリガーします。IP アドレス、ポート、プロトコル、その日の時間によって iSeries アプリケーションからのデータ転送速度を制御します。図 3 に iSeries アプリケーションを 1 Mbps に制限するために DiffServ ポリシーのサービス・クラスを定義する方法を示します。

iSeries サーバーは V5R1 以前のバージョンでは QoS 指向の IP ルーターではないことに注意してください。したがってインターフェース間の OS/400 パケット転送では QoS 設定を考慮する必要はありません。QoS における iSeries サーバーの役割は（クライアントおよびサーバー・）アプリケーションのエンドポイントです。

ブライアン・スミスは ITSO ロチェスター・センターの上級コンサルティング IT スペシャリストで、OS/400 の開発当初から関わっています。