SAの確立状態を維持するかどうかを指定します。
このコマンドを設定した場合、一度確立したSAは確立し続けます。万一、SAが切断した場合は確立するまでリトライし続けます。
always-upの監視間隔は、always-up check-intervalコマンドで指定することができます。
IPsecのAggressiveモードで運用する場合に、Initiator側に設定しておくと効果的です。
センタ側FITELnet-Fシリーズ(固定IP)-----拠点側FITELnet-Fシリーズ(動的IP)
上記の環境では通常センタ側契機のVPNは張れないため、ライフタイム等でSAの消失後はセンタ側から通信が行えません。
このコマンドを使用することで拠点側より常時SAが確立されるため、センタ側からの通信が不能になることはありません。
本設定または、if-state sync-saのどちらか一方の設定が有効であれば、UP/DOWN動作します。
また、両方の設定がない場合は常にIPsecインタフェースはUPの状態となります。
refreshコマンド後に有効になるコマンドです。
IKEv1/IKEv2共通コマンド
Router(config)#crypto map Tokyo 1
Router(config-crypto-map)#set security-association always-up
set security-association always-up
パラメータはありません
確立したSAは、Lifetimeの設定に従い解放します。
VPNセレクタ設定モード