2つのネットワークエンティティについて考えてみましょう。
Linux1 (eth0)=============IPSEC=============Linux2(eth0)
192.168.1.1 192.168.1.2
IPSECトンネルはV4 over V4です。 IKE Strongswanを介してこのトンネルを設定した場合、"ipsec statusall"
を実行すると、内部IP間の接続が表示されます。
このセットアップでは1)トンネルは1つだけだと思います。 IPSEC SA
とCHILD SA.
が何なのか混乱しています。Linux1からLinux2へのパケットはESP
カプセル化され(選択されている場合)、パケットはパケットを通過するはずです。 IPSECトンネル。 2)rekeying
があるとします。ikelifetime
とipseclifetime
の違いは何ですか。
これは、おそらくセキュリティstackexchangeに移動する必要がありますが、特定のセキュリティ製品に固有のものではなく、特定のセキュリティプロトコルに固有のものです。
しかし、私はとにかく質問に対処しようとします。
始める前に、IKEとIPSecがどのように連携するかを説明する必要があります。これはTLSとは異なります(すべてを保護する論理キーのセットが1つあります)。代わりに(RFCの言語を使用して)、この1つのトンネル内に3つのセキュリティアソシエーションがあります。
さて、あなたの質問のために:
CHILD SAとは何ですか?
子SAは、IKE SAを介してネゴシエートされた任意のSAです。IKESAは、トラフィックを保護するためのSA(IPSec SA)、または別のIKE SAを作成するために使用できます。表示されているコンテキストでは、それはIPSec SAの同義語である可能性が高いです。
Ikelifetimeとipseclifetimeの違いは何ですか
いいえSAは永遠です;それらはすべて賞味期限があります;そしてそれが期限切れになると、彼らは消えます(そしてうまくいけば、実際にトンネルを終えない限り、交換SAも交渉されます) 。ikelifetimeはIKE SAのライフタイムであり、ipseclifetimeはIPSec SAのライフタイムです。