Thank you very much Martin for clarifying.<br><br>Jordan.<br><br><div class="gmail_quote">On Thu, Nov 8, 2012 at 2:16 AM, Martin Willi <span dir="ltr"><<a href="mailto:martin@strongswan.org" target="_blank">martin@strongswan.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im"><br>
> Is it possible to have multiple CHILD_SA under the same IKE_SA ?<br>
<br>
</div>Yes.<br>
<div class="im"><br>
> Is it possible to have multiple CHILD_SA with different connection<br>
> <NAME> under the same IKE_SA.<br>
<br>
</div>Yes, ipsec.conf connections get merged if the IKE_SA-relevant parts are<br>
equal. This results in a single IKE_SA specific configuration with<br>
multiple CHILD_SA specific configurations attached to it.<br>
<div class="im"><br>
> That is if a CHILD_SA identifier is "n", can I use "ipsec down [n]" to<br>
> delete the associated IKE_SA?<br>
<br>
</div>No, that won't work. CHILD_SA and IKE_SA identifiers are not related at<br>
all. They are often the same because they all start at one, but this is<br>
not true anymore if you have multiple CHILD_SAs per IKE_SA.<br>
<br>
Regards<br>
<span class="HOEnZb"><font color="#888888">Martin<br>
<br>
</font></span></blockquote></div><br>