IPSEC SAとCHILD SA

これは、おそらくセキュリティstackexchangeに移動する必要がありますが、特定のセキュリティ製品に固有のものではなく、特定のセキュリティプロトコルに固有のものです。

しかし、私はとにかく質問に対処しようとします。

始める前に、IKEとIPSecがどのように連携するかを説明する必要があります。これはTLSとは異なります（すべてを保護する論理キーのセットが1つあります）。代わりに（RFCの言語を使用して）、この1つのトンネル内に3つのセキュリティアソシエーションがあります。

• Linux1とLinux2間のネゴシエーショントラフィック（トラフィックSAのネゴシエーションなど）を保護するために使用されるIKE SAがあります。
• Linux1からLinux2へのデータトラフィックを保護するために使用されるIPSec SAがあります。
• Linux2からLinux1へのデータトラフィックを保護するために使用されるIPSec SAがあります。

さて、あなたの質問のために：

CHILD SAとは何ですか？

子SAは、IKE SAを介してネゴシエートされた任意のSAです。IKESAは、トラフィックを保護するためのSA（IPSec SA）、または別のIKE SAを作成するために使用できます。表示されているコンテキストでは、それはIPSec SAの同義語である可能性が高いです。

Ikelifetimeとipseclifetimeの違いは何ですか

いいえSAは永遠です;それらはすべて賞味期限があります;そしてそれが期限切れになると、彼らは消えます（そしてうまくいけば、実際にトンネルを終えない限り、交換SAも交渉されます） 。ikelifetimeはIKE SAのライフタイムであり、ipseclifetimeはIPSec SAのライフタイムです。