<div>Hi Andreas, </div>
<div> </div>
<div>Thank you for you swift response !</div>
<div> </div>
<div>I have reviewed these two scenarios and found that: </div>
<div> </div>
<div>in these two scenarios, one CHILD_SA is always under one different IKE_SA. </div>
<div> </div>
<div>and I check some standard documents, it provides two application scenarios:</div>
<div>1) multiple IKE_SA was built with identical traffic selectors or different traffic selectors, and only one IKE_SA is under one IKE_SA;</div>
<div> </div>
<div><strong>2) one IKE_SA was built  and multiple CHILD_SA is under this IKE_SA.</strong></div>
<div> </div>
<div>so I still want to know if 2) can be supported by StrongSwan. Thanks a lot!</div>
<div> </div>
<div>Best wishes,</div>
<div>David Morris<br><br></div>
<div class="gmail_quote">2011/1/5 Andreas Steffen <span dir="ltr"><<a href="mailto:andreas.steffen@strongswan.org">andreas.steffen@strongswan.org</a>></span><br>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">Hello David,<br><br>by Multiple ESP SAs do you mean multiple instances of a CHILD_SA<br>with identical traffic selectors?<br>
<br>If yes, then this can be done using XFRM marks as in the following<br>scenario:<br><br><a href="http://www.strongswan.org/uml/testresults/ikev2/net2net-psk-dscp/" target="_blank">http://www.strongswan.org/uml/testresults/ikev2/net2net-psk-dscp/</a><br>
<br>For this to work you need at least strongswan-4.4.1 and a Linux 2.6.34<br>kernel.<br><br>On the other hand i you want to set up multiple CHILD_SAs with different<br>traffic selectors then you can have a look at the following scenario:<br>
<br><a href="http://www.strongswan.org/uml/testresults/ikev2/multi-level-ca-strict/" target="_blank">http://www.strongswan.org/uml/testresults/ikev2/multi-level-ca-strict/</a><br><br>This is supported by all strongSwan versions and all Linux kernels.<br>
<br>Regards<br><br>Andreas 
<div>
<div></div>
<div class="h5"><br><br><br>On 01/05/2011 03:36 AM, David Deng wrote:<br>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">Hi Martin, Hi Andreas, Hi All,<br>Happy New Year! I have one question about the Multiple IPsec SA support.<br>
Before I send this email, I initiated some testing and found that:<br>StrongSwan can actually support the scenario: "Multiple IKE SA, one ESP<br>SA per IKE SA".<br>But I don't sure that the another scenario: "One IKE SA, Multiple ESP<br>
SA per IKE SA" can be supported by the strongswan (version: 4.3.4).<br>If strongswan can support the second scenario, can you give me some<br>configuration sample or some instructures?<br>Thanks in advance!<br>David Morris<br>
</blockquote><br></div></div>======================================================================<br><font color="#888888">Andreas Steffen                         <a href="mailto:andreas.steffen@strongswan.org" target="_blank">andreas.steffen@strongswan.org</a><br>
strongSwan - the Linux VPN Solution!                <a href="http://www.strongswan.org/" target="_blank">www.strongswan.org</a><br>Institute for Internet Technologies and Applications<br>University of Applied Sciences Rapperswil<br>
CH-8640 Rapperswil (Switzerland)<br>===========================================================[ITA-HSR]==<br></font></blockquote></div><br>