在安全协会, 我知道在AUTH交换后会创建一个子SA。但是创建多个子SA的需要是什么,IKE_SA和CHILD_SA之间有什么区别?
答案 0 :(得分:2)
1 /多个子SA
虽然单身儿童SA似乎已经足够,但有些情况下您确实需要多个子SA:
重新加密 - 重新加密的过程定义为建立一个新的SA,然后关闭旧的SA。新旧SA有效的时间段。
针对不同流量的不同SA - 在某些设置下,您可能需要为不同的服务提供不同级别的保护(例如,AH用于某些不重要的流量,ESP具有针对机密流量的强参数)
2 / IKE_SA vs CHILD_SA差异
希望这有点帮助!
免责声明:我已经有一段时间处理此事,所以请确认我的想法