この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、VPN Acceleration Module 2+(SA-VAM2+)を設定する際に必要な情報および手順を示します。この章で説明する内容は、次のとおりです。
• 「概要」
• 「設定作業」
• 「設定例」
SA-VAM2+ は、NPE-225、NPE-400、NPE-G1 または NPE-G2 プロセッサを搭載した Cisco 7301 ルータおよび Cisco 7200VXR シリーズ ルータのインターフェイスに暗号化サービスを提供します。IP Security Protocol(IPSec)が設定済みのルータに SA-VAM2+ を搭載すると、SA-VAM2+ は暗号化サービスを自動的に実行します。2 つめの SA-VAM2+ を搭載すると、両方の SA-VAM2+ が自動的にイネーブルになります。
(注) Cisco 7301 ルータは、SA-VAM2+ を 1 つしかサポートしません。
Cisco 7200VXR シリーズ ルータに SA-VAM2+ を 2 つ搭載した場合、パケット単位のロードバランシングがサポートされません。2 つの SA-VAM2+ を搭載した場合はパケット単位でなく、IPSec トンネル単位でロードバランスが行われます。
SA-VAM2+ 上には設定するインターフェイスはありません。
ここでは、暗号化および IPSec トンネリング サービスを実施するための基本的な設定に限定して説明します。IPSec、Internet Key Exchange(IKE)、および Certification Authority(CA)の設定の詳細については、『Security Configuration Guide』の「IP Security and Encryption」の章、および『Security Command Reference』を参照してください。
起動時に ENABLED LEDが点灯した場合、SA-VAM2+ はすべて動作しており、コンフィギュレーション コマンドは不要です。ただし、SA-VAM2+ で暗号化サービスを提供する場合には、ここで説明する手順を行う必要があります。
• 「EXEC コマンド インタープリタの使用」(必須)
• 「SA-VAM2+ のイネーブル化」(必須)
• 「IKE ポリシーの設定」(必須)
• 「トランスフォーム セットの設定」(必須)
• 「IPSec の設定」(必須)
• 「圧縮の設定」(任意)
• 「IPSec の設定例」(任意)
• 「IKE および IPSec の設定の確認」(任意)
(注) スタティック クリプト マップの設定、ダイナミック クリプト マップの作成、ダイナミック クリプト マップのスタティック クリプト マップへの追加ができます。オンライン マニュアル『Configuring the VPN Acceleration Module』
(http://www.cisco.com/univercd/cc/td/doc/product/core/7100/7100pacn/vam1/vamconf.htm)を参照してください。
任意で、CA インターオペラビリティを設定できます(『Security Configuration Guide』の「Configuring Certification Authority Interoperability」の章を参照)。
EXEC(別名イネーブル モード)というソフトウェア コマンド インタープリタを使用して、ルータのコンフィギュレーションを変更します。configure コマンドを使用して新しいインターフェイスを設定する、またはインターフェイスの従来の設定を変更するには、その前に enable コマンドで EXEC コマンド インタープリタのイネーブル レベルを開始する必要があります。パスワードが設定されている場合は、パスワードを要求するプロンプトが表示されます。
イネーブル レベルのシステム プロンプトは、かぎカッコ(>)ではなくポンド記号(#)で終わります。コンソール端末から、次の手順でイネーブル レベルを開始します。
ステップ 1 ユーザ レベルの EXEC プロンプトから、 enable コマンドを入力します。次のように、イネーブル パスワードが要求されます。
ステップ 2 パスワードを入力します。パスワードでは大文字と小文字が区別されます。機密保護のために、パスワードは表示されません。
有効なパスワードを入力すると、イネーブル レベルのシステム プロンプト(#)が表示されます。
SA-VAM2+ をディセーブルにするには、グローバル コンフィギュレーション モードから始めて次のコマンドを使用します。
|
|
|
---|---|---|
Online Insertion and Removal(OIR; ホットスワップ)をディセーブルおよびイネーブルにする手順は、これで完了です。
パラメータ値を指定しない場合は、デフォルト値が使用されます。デフォルト値については、『Security Command Reference』の「IP Security and Encryption」の章を参照してください。
IKE ポリシーを設定するには、グローバル コンフィギュレーション モードから始めて次のコマンドを使用します。
IKE ポリシー作成の詳細については、『Security Configuration Guide』の「Configuring Internet Key Exchange Security Protocol」の章を参照してください。
トランスフォーム セット設定の詳細については、『 Advanced Encryption Standard (AES) 』フィーチャ モジュールを参照してください。
• クリプト トランスフォーム コンフィギュレーション モード
トランスフォーム セットは、IPSec で保護するトラフィックに対して適用する設定(セキュリティ プロトコル、アルゴリズムなど)の適切な組み合わせです。IPSec SA のネゴシエーションを行うとき、特定のデータ フローを保護するために特定のトランスフォーム セットを使用することがピア間で合意されます。
トランスフォーム セットは、セキュリティ プロトコルとアルゴリズムの組み合わせです。IPSec SA のネゴシエーションを行うとき、特定のデータ フローを保護するために特定のトランスフォーム セットを使用することがピア間で合意されます。
トランスフォーム セットを定義するには、グローバル コンフィギュレーション モードから始めて次のコマンドを使用します。
|
|
|
---|---|---|
Router(config)# crypto ipsec transform-set transform-set-name transform1 [ transform2 [ transform3 ]] |
トランスフォーム セットを定義し、クリプト トランスフォーム コンフィギュレーション モードを開始します。 • transform-set-name ― 作成(または変更)するトランスフォーム セットの名前を指定します。 • transform1 [ transform2 [ transform3 ] [ transform4 ]] ― IPSec セキュリティ プロトコルおよびアルゴリズムを定義します。指定できるトランスフォーム値については、 表4-1 を参照してください。 |
|
(任意)トランスフォーム セットに関連付けるモードを変更します。このモード設定は、送信元/宛先アドレスが IPSec ピア アドレスであるトラフィックだけに適用され、その他のトラフィックについては無視されます(他のトラフィックはすべて、トンネル モードのみです)。 |
||
既存の IPSec SA を解消し、今後確立される SA でトランスフォーム セットの変更が有効になるようにします(手動で設定した SA は、ただちに再確立されます)。 パラメータを指定せずに clear crypto sa コマンドを実行すると、SA データベースの全内容が消去されるので、アクティブなセキュリティ セッションも消去されます。SA データベースのサブセットだけを消去するには、 peer 、 map 、または entry キーワードを指定します。 |
表4-1 に、Authentication Header(AH)および Encapsulating Security Protocol(ESP)の有効なトランスフォームの組み合わせを示します。
• ah-sha-hmac 、 esp-des 、および esp-sha-hmac
無効な組み合わせを入力すると、解析プログラムによって拒否されます。たとえば、特定の AH トランスフォームを指定した場合、現在のトランスフォーム セットに別の AH トランスフォーム を指定することはできません。
AH プロトコルおよび ESP プロトコルは、IPSec にセキュリティ サービスを実装します。
AH は、データ認証および抗リプレー サービスを提供します。
ESP は、パケットの暗号化のほかに、任意選択でデータ認証および抗リプレー サービスを提供します。
ESP は保護対象のデータ(完全な IP データグラムまたはペイロードのみ)を、ESP ヘッダーおよび ESP トレーラーでカプセル化します。AH は保護対象のデータに埋め込まれる形になり、外側の IP ヘッダーの直後、および内側の IP データグラムまたはペイロードの直前に AH ヘッダーを挿入します。IPSec ピア間で送受信されるトラフィックは、トンネル モードまたはトランスポート モードのいずれかで送信できます。その他のトラフィックはすべてトンネル モードで送信されます。トンネル モードは IP データグラム全体をカプセル化して保護するのに対し、トランスポート モードは IP データグラムのペイロードをカプセル化して保護します。モードについての詳細は、 mode(IPSec) コマンドの説明を参照してください。
状況に適したトランスフォームを選択するには、次のヒントを参考にしてください。
• データの機密保護を提供するには、ESP 暗号化トランスフォームを使用します。
• データのほかに外側の IP ヘッダーについてもデータ認証が必要な場合は、AH トランスフォームを含めます(IP ヘッダー データの完全性には、あまり利点がないとする見方もあります)。
• ESP 暗号化トランスフォームを使用する場合は、トランスフォーム セットに認証サービスを提供するために、ESP 認証トランスフォームまたは AH トランスフォームを使用することも検討してください。
• (ESP または AH による)データ認証を希望する場合、MD5 または SHA(HMAC キー ハッシュ バリアント)認証アルゴリズムのいずれかを選択できます。SHA アルゴリズムは一般に MD5 よりも強力と考えられますが、やや低速になります。
• IPSec ピアによっては、一部のトランスフォームがサポートされない場合があります。
(注) ハードウェア(IPSec ピア)がサポートしていない IPSec トランスフォームを入力すると、crypto ipsec transform-set コマンドを入力した直後に警告メッセージが表示されます。
• 暗号化トランスフォームを指定する必要があっても、実際にはパケットを暗号化しない場合、 esp-null トランスフォームを使用できます。
crypto ipsec transform-set コマンドを入力すると、クリプト トランスフォーム コンフィギュレーション モードが開始されます。このモードでは、モードをトンネルまたはトランスポートに変更できます(これらの変更は任意選択です)。これらの変更を行ったあと、グローバル コンフィギュレーション モードに戻るには exit を使用します。これらの任意選択の変更についての詳細は、 match address (IPSec) および mode (IPSec)コマンドの説明を参照してください。
既存のトランスフォーム セットに関して crypto ipsec transform-set コマンドで 1 つまたは複数のトランスフォームを指定すると、そのトランスフォーム セットの既存のトランスフォームが、指定したトランスフォームに置き換えられます。
トランスフォーム セットの定義を変更した場合、そのトランスフォーム セットを参照するクリプト マップ エントリに対してのみ変更が適用されます。変更は既存の SA には適用されませんが、新しい SA を確立する今後のネゴシエーションで使用されます。新しい設定をすぐに有効にするには、 clear crypto sa コマンドを使用して SA データベースの全体または一部を消去します。
次の例では、2 つのトランスフォーム セットを定義しています。最初のトランスフォーム セットは、新しい ESP プロトコルおよび AH プロトコルをサポートする IPSec ピアで使用されます。2 番めのトランスフォーム セットは、従来のトランスフォームだけをサポートする IPSec ピアで使用されます。
• アクセス リストと IPSec の互換性の確保 (必須)
• IPSec SA のグローバル ライフタイムの設定 (必須)
• クリプト アクセス リストの作成 (必須)
• クリプト マップ エントリの作成 (必須)
• ダイナミック クリプト マップの作成 (必須)
• クリプト マップ セットのインターフェイスへの適用 (必須)
• 設定の確認 (任意)
IPSec の設定例は、「IPSec の設定例」を参照してください。
IPSec の設定についての詳細は、『 Cisco IOS Security Configuration Guide 』の「Configuring IPSec Network Security」の章を参照してください。
IKE は、UDP ポート 500 を使用します。IPSec の ESP および AH プロトコルは、プロトコル番号 50 および 51 を使用します。プロトコル番号 50、51、および UDP ポート 500 のトラフィックが、IPSec を適用するインターフェイス上で阻止されないように、インターフェイスのアクセス リストを設定してください。状況によっては、これらのトラフィックを明示的に許可するステートメントを、アクセス リストに追加する必要があります。
新しい IPSec SA をネゴシエートするときに使用されるグローバル ライフタイム値を変更できます(特定のクリプト マップ エントリについて、これらのグローバル ライフタイム値を上書きできます)。
これらのライフタイムが適用されるのは、IKE で確立する SA だけです。手動で確立する SA には、期限がありません。
IPSec SA のグローバル ライフタイムを変更するには、グローバル コンフィギュレーション モードで次のうちの 1 つ、または複数のコマンドを使用します。
クリプト アクセス リストでは、暗号化によって保護する IP トラフィックを定義します(これらのアクセス リストは、インターフェイスで転送またはブロックすべきトラフィックを指定する通常のアクセス リストとは 異なります )。たとえば、サブネット A とサブネット Y の間の IP トラフィックをすべて保護するアクセス リストや、ホスト A とホスト B の間の Telnet トラフィックをすべて保護するアクセス リストを作成できます。
クリプト アクセス リストを作成するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
---|---|---|
Router(config)# access-list access-list-number { deny | permit } protocol source source-wildcard destination destination-wildcard [ log ] |
保護する IP パケットを判別するための条件を指定します 1 (これらの条件に適合するトラフィックに対して、暗号化をイネーブルまたはディセーブルにします)。 IPSec には「ミラー イメージ」のクリプト アクセス リストを設定し、 any キーワードは使用しないことを推奨します。 |
|
1.条件を設定するには、対応する IP アクセス リストの番号または名前を指定します。access-list コマンドには、拡張アクセス リストの番号を指定します。ip access-list extended コマンドには、アクセス リストの名前を指定します。 |
アクセス リストの設定の詳細については、『 Security Configuration Guide 』の「Configuring IPSec Network Security」の章を参照してください。
クリプト マップ セットは、1 つのインターフェイスに対して 1 つのみ適用できます。クリプト マップ セットには、IPSec/IKE エントリおよび IPSec/手動エントリの組み合わせを含めることができます。複数のインターフェイスで同じクリプト マップ セットを共有させ、複数のインターフェイスに同じポリシーを適用できます。
IKE を使用して SA を確立するクリプト マップ エントリを作成するには、グローバル コンフィギュレーション モードから始めて次のコマンドを使用します。
IKE を使用して SA を確立するクリプト マップ エントリを作成するには、グローバル コンフィギュレーション モードから始めて次のコマンドを使用します。
ダイナミック クリプト マップ エントリは、一部のパラメータが設定されていないクリプト マップ エントリです。設定されていないパラメータは(IPSec ネゴシエーションの結果)動的に設定されます。ダイナミック クリプト マップは IKE でのみ使用可能です。
ダイナミック クリプト マップ エントリは、セットにまとめられます。セットとは、 dynamic-map-name が同じで、 dynamic-seq-num がそれぞれ異なるダイナミック クリプト マップ エントリのグループです。
ダイナミック クリプト マップ エントリを設定するには、グローバル コンフィギュレーション モードから始めて次のコマンドを使用します。
クリプト マップ セットにダイナミック クリプト マップ セットを追加するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
---|---|
Router(config)# crypto map map-name seq-num ipsec-isakmp dynamic dynamic-map-name |
IPSec トラフィックが流れるインターフェイスごとに、クリプト マップ セットを適用します。接続または SA ネゴシエーションが行われるとき、ルータはインターフェイス トラフィックをクリプト マップ セットに照らし合わせて評価し、保護対象のトラフィックに指定されたポリシーを使用します。
クリプト マップ セットをインターフェイスに適用するには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。
|
|
---|---|
冗長インターフェイスを指定し、識別するインターフェイスに名前を付けるには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
---|---|
Router(config)# crypto map map-name local-address interface-id |
• IKE ポリシーの設定 (必須)
• IKE 事前共有鍵の設定 (必須)
• IPSec トランスフォーム セットの設定 (必須)
• アクセス リストの設定 (必須)
• クリプト マップの設定 (必須)
• クリプト マップのインターフェイスへの適用 (必須)
IPSec の設定例は、「圧縮の設定例」を参照してください。
IPSec の設定についての詳細は、『 Cisco IOS Security Configuration Guide 』の「Configuring IPSec Network Security」の章を参照してください。
IKE ポリシーを設定するには、 「IKE ポリシーの設定」 の手順に従い、グローバル コンフィギュレーション モードのコマンドを使用します。
ピア側で事前共有鍵を指定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
トランスフォーム セット(セキュリティ プロトコルとアルゴリズムの可能な組み合わせ)を定義するには、crypto ipsec transform-set グローバル コンフィギュレーション コマンドを使用します。トランスフォーム セットを削除するには、このコマンドの no 形式を使用します。
MAC(メディア アクセス制御)アドレス アクセス リストを設定するには、access-list グローバル コンフィギュレーション コマンドを使用します。特定のアクセス リスト エントリを削除するには、このコマンドの no 形式を使用します。
IKE を使用して SA を確立するクリプト マップ エントリを作成するには、グローバル コンフィギュレーション モードから始めて次のコマンドを使用します。
クリプト マップ セットをインターフェイスに適用するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
---|---|---|
IPSec SA を消去(再初期化)するには、グローバル コンフィギュレーション モードで次のいずれかのコマンドを使用します。
IPSec の設定に関する情報を表示するには、EXEC モードで次のいずれかのコマンドを使用します。
|
|
---|---|
Router# show crypto map [ interface interface | tag map-name ] |
|
Router# show crypto ipsec sa [ map map-name | address | identity ] [ detail ] |
|
次に、IKE によって SA が確立される最小限の IPSec の設定例を示します。IKE の詳細については、『Security Configuration Guide』の「Configuring Internet Key Exchange Security Protocol」の章を参照してください。
IPSec アクセス リストで、保護するトラフィックを定義します。
トランスフォーム セットで、トラフィックの保護方法を定義します。この例では、トランスフォーム セット [myset1] で DES 暗号化および SHA を使用して、データ パケットを認証します。
次のトランスフォーム セットの例 [myset2] では、3DES 暗号化および MD5(HMAC バリアント)を使用して、データ パケットを認証します。
クリプト マップは IPSec アクセス リストとトランスフォーム セットを結合し、保護するトラフィックの送信先(リモート IPSec ピア)を指定します。
(注) この例では、IKE をイネーブルにする必要があります。
IPSec の設定に関する情報を表示するには、 show crypto ipsec transform-set EXEC コマンドを使用します。
(注) ハードウェア(IPSec ピア)がサポートしていない IPSec トランスフォームを入力すると、show crypto ipsec transform-set の出力に警告メッセージが表示されます。
次に示す show crypto ipsec transform-set コマンドの出力例では、ハードウェアがサポートしていない IPSec トランスフォームを設定しようとしたので、警告メッセージが表示されています。
esp-aes 256 within IPSec transform transform-1
IKE の設定に関する情報を表示するには、 show crypto isakmp policy EXEC コマンドを使用します。
(注) ハードウェアがサポートしていない IKE 暗号化方式を入力すると、show crypto isakmp policy の出力に警告メッセージが表示されます。
次に示す show crypto isakmp policy コマンドの出力例では、ハードウェアがサポートしていない IKE 暗号化方式を設定しようとしたので、警告メッセージが表示されています。
設定変更によっては、SA のネゴシエーション後に初めて有効になります。新しい設定値がただちに有効になるようにするには、既存の SA を消去します。
IPSec SA を消去(再初期化)するには、グローバル コンフィギュレーション モードで 表4-2 のいずれかのコマンドを使用します。
|
|
---|---|
パラメータを指定せずに clear crypto sa コマンドを実行すると、SA データベースの全内容が消去されるので、アクティブなセキュリティ セッションも消去されます。SA データベースのサブセットだけを消去するには、 peer 、 map 、または spi キーワードを指定します。 |
ステップ 1 show crypto ipsec transform-set コマンドを入力し、トランスフォーム セットの設定を表示します。
ステップ 2 show crypto map [interface interface | tag map-name] コマンドを入力し、クリプト マップの設定を表示します。
ステップ 3 show crypto ipsec sa [map map-name | address | identity | detail | interface] コマンドを入力し、IPSec SA 情報を表示します。
show コマンドによって表示される情報の詳細については、『Security Command Reference』の「IP Security and Encryption」の章を参照してください。
• 「圧縮の設定例」
次の例では、2 つの IKE ポリシーを作成し、ポリシー 15 に最高のプライオリティ、ポリシー 20 にその次に高いプライオリティを与え、既存のデフォルト プライオリティを最下位のプライオリティにします。さらに、IP アドレス 192.168.224.33 のリモート ピアに対して、ポリシー 20 で使用する事前共有鍵を作成します。
次に、IKE によって SA が確立される最小限の IPSec の設定例を示します。
IPSec アクセス リストで、保護するトラフィックを定義します。
トランスフォーム セットで、トラフィックの保護方法を定義します。この例では、トランスフォーム セット [myset1] で DES 暗号化および SHA を使用して、データ パケットを認証します。
次のトランスフォーム セットの例 [myset2] では、3DES 暗号化および MD5(HMAC バリアント)を使用して、データ パケットを認証します。
クリプト マップは IPSec アクセス リストとトランスフォーム セットを結合し、保護するトラフィックの送信先(リモート IPSec ピア)を指定します。
(注) この例では、IKE をイネーブルにする必要があります。
次に、IKE によって SA が確立される、IPSec の設定例を示します。この例では、アクセス リストを使用して、暗号化/復号化するパケットを制限します。この例では、IP アドレス 10.0.0.2 から IP アドレス 10.2.2.2 へのすべてのパケットが暗号化/復号化され、さらに IP アドレス 10.2.2.2 から IP アドレス 10.0.0.2 へのすべてのパケットが暗号化/復号化されます。IKE ポリシーも 1 つ作成します。
(注) 上記の例では、ポリシー 15 の暗号化 DES は、書き込まれるコンフィギュレーションに含まれません。暗号化アルゴリズム パラメータのデフォルト値だからです。
トランスフォーム セットで、トラフィックの保護方法を定義します。
クリプト マップはトランスフォーム セットと結合し、保護するトラフィックの送信先(リモート IPSec ピア)を指定します。
IPSec アクセス リストで、保護するトラフィックを定義します。
トランスフォーム セットで、トラフィックの保護方法を定義します。
クリプト マップはトランスフォーム セットと結合し、保護するトラフィックの送信先(リモート IPSec ピア)を指定します。
IPSec アクセス リストで、保護するトラフィックを定義します。
Cisco IOS ソフトウェアが SA-VAM2+ を認識しているかどうかを確認するには、show diag コマンドを入力し、出力を調べます。たとえば、ルータのスロット 4 に SA-VAM2+ が搭載されている場合、次のような出力が得られます。
SA-VAM2+ が現在、暗号化パケットを処理しているかどうかを確認するには、show pas vam interface コマンドを入力します。次に、出力例を示します。
SA-VAM2+ がパケットを処理すると、[packets in] および [packets out] カウンタが変化します。[packets out] カウンタは、SA-VAM2+ に送られたパケット数を示します。[packets in] カウンタは、SA-VAM2+ から受信したパケット数を示します。
(注) show pas vam interface コマンドの出力には [compression ratio] が含まれますが、これは圧縮されたパケットと IPSec ヘッダーに対する元のパケットの比率(すなわちトンネル帯域幅の効率性)を示しています。これは圧縮された IPSec ペイロードと圧縮前の IPSec ペイロードとの比率を示しているわけではありません。
この比率は、パケットが小さく圧縮できない場合には 1 以下にまで低下し、暗号化されたパケットと IPSec ヘッダーを加えたものに対する、暗号化されていないパケットの比率になります。
IKE/IPSec パケットが SA-VAM2+ に転送されて IKE ネゴシエーションおよび IPSec 暗号化/復号化が行われているかどうかを調べるには、 show crypto eli コマンドを入力します。次に、Cisco IOS ソフトウェアが SA-VAM2+ にパケットを転送している場合の出力例を示します。
ソフトウェア暗号化エンジンがアクティブな場合、 show crypto eli コマンドを入力しても出力は得られません。
起動時または OIR 時に、Cisco IOS ソフトウェアが SA-VAM2+ に暗号トラフィックを転送することで合意した場合、次のようなメッセージが出力されます。
SA-VAM2+ をディセーブルにするには、次のように、コンフィギュレーション モードで no crypto engine accelerator <slot> コマンドを使用します。
SA-VAM2+ のモニタおよびメンテナンスには、次のコマンドを使用します。
|
|
---|---|