Probablemente debería ser movido a la pila de intercambio de seguridad, pero no porque sea específico para un producto de seguridad en particular, sino que es específico para un protocolo de seguridad específico.
Sin embargo, intentaré abordar las preguntas de todos modos.
Antes de comenzar, necesito explicar cómo IKE e IPSec trabajan juntos. No es como TLS (donde hay un conjunto de claves lógicas que protegen todo); en su lugar (utilizando el idioma de los RFC), tiene 3 asociaciones de seguridad dentro de este túnel:
- Tiene una IKE SA, que se utiliza para proteger el tráfico de negociación entre Linux1 y Linux2 (como las SA de tráfico de negociación).
- Tiene una SA de IPSec que se utiliza para proteger el tráfico de datos de Linux1 a Linux2
- Tiene una SA de IPSec que se utiliza para proteger el tráfico de datos de Linux2 a Linux1
Ahora, para tus preguntas:
¿Qué es un CHILD SA?
A Child SA es cualquier SA que se negoció a través de IKE SA. Se puede utilizar una SA de IKE para negociar cualquiera de las SA para proteger el tráfico (SA de IPSec), o se puede utilizar para crear otra SA de IKE. En el contexto en el que lo estás viendo, es muy probable que sea un sinónimo de las SA de IPSec.
¿Cuál es la diferencia entre ikelifetime y ipseclifetime
No SA es eterna; todos tienen una fecha de caducidad; y cuando eso expira, desaparecen (y es de esperar que las SA de reemplazo también se negocien, a menos que realmente haya terminado con el túnel). ikelifetime sería la vida útil de IKE SA; ipseclifetime sería la vida útil de las SA de IPSec.