NNTのキャリア 1987年夏より...

サーバ

NNTのキャリア形成の軌跡

スポンサーサイト 

スポンサー広告

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

▲PageTop

Bonding 

サーバ

今日の話題はボンディング
ボインじゃないよ、ボンディングだよ あーツマンネ

ボンディングって何!?
イーサチャネルのサーバ版みたいな機能です。
つまり、冗長化と、負荷分散を一緒にやっちゃおうっていう、すごい機能なわけです。
2012-3-21-HSRP

昨日描いた構成図の、黄色いところですね

SW1に設定するのは、結構簡単、というかCCNP SWITCHお範囲なので、まぁできるわけですが
問題はサーバ側ですよね、こい津につながれている二本の線を、一本に見せるのがボンディングです
ボインじゃないよ

まぁ詳しくはこちらを見てください
わざわざ、他のページで紹介されているのを、書く必要もないし、別に詰まっても無いので
まぁこういうのがあるよって言いたかっただけです

ただ、実際に設定してみて思ったんですが
本当に負荷分散されているか、確認する方法がわからなかった
traceroute打っても、おそらくファイアウォールで弾かれてるのか
? ? ?って出てくるんですよね あぁ落とせばいいだけやん。


それからCODAへ solatorobo 三谷朋世
スポンサーサイト

▲PageTop

BINDのファイル一覧 

サーバ

動かす前に、/etc/resolv.confを127.0.0.1にする必要あり


[root@ap01 named]# cat /etc/named.conf
# Use with the following in named.conf, adjusting the allow list as needed:
key "rndc-key" {
algorithm hmac-md5;
secret "SCFaXiMhuEFZ/XofJx852Q==";
};

controls {
inet 127.0.0.1 port 953
allow-query { localhost; localnets; };
allow-query-cache { localhost; localnets; };
};
# End of named.conf

options {
directory "/var/named/";
pid-file "/var/run/named/named.pid";
allow-query { any; };
};

zone "localhost" {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" {
type master;
file "0.0.127.in-addr.arpa";
};

zone "local.abc.com" {
type master;
file "local.abc.com";
};

zone "11.168.192.in-addr.arpa" {
type master;
file "11.168.192.in-addr.arpa";
};


[root@ap01 named]# cat 11.168.192.in-addr.arpa
$TTL 1D

11.168.192.in-addr.arpa. IN SOA ap01.local.abc.com. root.local.abc.com. (
2003072501
3H
1H
1W
1D )

11.168.192.in-addr.arpa. IN NS ap01.local.abc.com.
111.11.168.192.in-addr.arpa. IN PTR ap01.local.abc.com.


[root@ap01 named]# cat /var/named/local.abc.com
$TTL 1D

local.abc.com. IN SOA ap01.local.abc.com. root.local.abc.com. (
2003072501
3H
1H
1W
1D )

ap01.local.abc.com. IN A 192.168.11.111
local.abc.com. IN NS ap01.local.abc.com.
local.abc.com. IN MX 10 ap01.local.abc.com.



[root@ap01 named]# cat localhost.zone
$TTL 1D

@ IN SOA ap01.local.abc.com. root.local.abc.com. (
2003072501
3H
1H
1W
1D )

IN NS ap01.local.abc.com.
localhost. IN A 127.0.0.1



[root@ap01 named]# cat 0.0.127.in-addr.arpa
$TTL 1D

@ IN SOA ap01.local.abc.com. root.local.abc.com. (
2003072501
3H
1H
1W
1D )

IN NS ap01.local.abc.com.
127.0.0.1 IN PTR localhost.

一応ここまでで、自ホスト向けの名前解決はできてるけど、ローカル内の他のホストからnslookupしても
pingは通るけど、名前解決はできないです。

これには正直手詰まりです、おそらく家で使ってるバッファローのルータが外部DNSを向いちゃってるからだと思うんですが、、、
ただ、一応dns設定をローカルのDNSに向けて設定したホストからnslookupを打っているので、、、 うーむなんとも言えないね
それともVM上でやってるからか?

▲PageTop

Postfix インストールまで 

サーバ

postfix ソースからのインストール

途中まで

wget http://mirror.postfix.jp/postfix-release/official/postfix-2.9.1.tar.gz
tar -xzvf postfix-2.9.1.tar.gz
cd postfix-2.9.1
make

エラーを吐きました
No include file found.
Install the appropriate db*-devel package first.
See the RELEASE_NOTES file for more information.
make: *** [Makefiles] エラー 1
make: *** [Makefiles] エラー 2

調べてみるとpostfixはDBをサポートしていて通常はBakery DBを入れるみたいです
yum install db4-devel でBakery DBのV4を入れます,現在の最新版はOracleで入手できますが
アカウント作成が必要なため、まぁ4でいいかなと
http://pkgs.org/centos-5-rhel-5/centos-rhel-x86_64/db4-devel-4.3.29-10.el5_5.2.x86_64.rpm.html

make
make install

全部エンター

groupadd postfix
groupadd postdrop
useradd -d /var/postfix/ -g postfix -s /sbin/false postfix

起動確認
postfix start
ps -ef | grep post
netstat -tanpl | grep 25

そういえば、新しい案件を紹介されました
携帯電話のテスター、、、w 泣けてくる、、、w

▲PageTop

BIND ソースからインストール 再び 

サーバ

現在、課題でバインドをソースからインストールしている
以前、一年くらい前か、そんな記事を僕が書いた覚えがあるが
はっきり言ってあんまり、自分でも参考にならず、出来なかったので

いま、さくらのインストールで検証しながら、再度入れていくようすを
順を追って書いていこうと思う。

■はじめにopensslを入れる、BINDは9からopensslを入れないといけないようです
もちろん最小構成のため、opensslからインストールする必要がある。

cd /usr/local/src/
wget http://www.openssl.org/source/openssl-1.0.0g.tar.gz #ソースの入手
tar -xzvf openssl-1.0.0g.tar.gz #解凍
cd openssl-1.0.0g #解凍先へ移動
./config --prefix=/usr/local/openssl #/usr/local/opensslへビルド
make #コンパイル
make install #インストール

■次にBind
cd /usr/local/src/
wget ftp://ftp.isc.org/isc/bind9/9.9.0/bind-9.9.0.tar.gz #ソースの入手
tar -xzvf bind-9.9.0.tar.gz #解凍
cd bind-9.9.0 #解凍先へ移動
./configure --prefix=/usr/local/named --with-openssl=/usr/local/openssl --sysconfdir=/etc
#/usr/local/namedへビルドopensslの場所は/usr/local/openssl/ confの場所は/etc/
make #コンパイル
make all install #インストール

以上で、インストールは終了。

■つぎにBindを起動するユーザを作成します。
useradd -d /var/named -s /bin/false named
#namedユーザを作成し、ホームディレクトリの場所を指定し
/bin/falseで リモートからのnamedユーザのログインを禁止しています。
cat /etc/passwd | grep named #ユーザが作成されているか確認しています。

chown -R named.named /var/named/
#所有者とグループをnamedに変更
chmod 700 /var/named/
#アクセス権をnamedのみに変更

■次はRNDC(remote name server daemon control)の設定に入ります。
リモート環境からBINDの設定を触ったりできるようなコントローラみたいです。
ここでは、セキュリティのため認証が当然必要になります。
したがって、まずは鍵から作っていきます。

cd /var/named/ #namedユーザのホームヘ移動します

まず/usr/local/named/sbin/dnssec-keygen -hで必要なコマンドを確認しましょう
コピペしてるだけじゃ、成長しません、はい、自分のことです・・・w

/usr/local/named/sbin/dnssec-keygen -a hmac-md5 -r /dev/urandom -b 128 -n user rndc
#keygenerateを使って、秘密鍵を生成します。生成方式はmd5でmac-addressを利用したもの、鍵のサイズは128bit、ネームタイプはrndcとします(ここはよくわからない)
いったそばからこれですw
/var/namedに鍵ができていることを確認します
ls -al
total 8
-rw------- 1 root root 46 Mar 7 21:44 Krndc.+157+55509.key #公開鍵
-rw------- 1 root root 165 Mar 7 21:44 Krndc.+157+55509.private #秘密鍵

/usr/local/named/sbin/rndc-confgen > /etc/rndc.conf
さて、ここでなかなかプロンプトが帰ってこねーなー、遅いなー、エラーかなーと思ったあなた。僕も思いました。 が、実際にはせっせと鍵を生成しているようです。
ただ、結構大きい数字のようで、かなり時間がかかるみたいです。

/usr/local/named/sbin/rndc-confgen -a -r keyboard
start typing: #ここからキーボードを適当に打ち続けます
...............................
...........................
...........................
...........................
...........................
...........................
...........................
...........................
stop typing. 
wrote key file "/usr/local/named/etc/rndc.key"
#30秒くらい打っていると、keyが生成されました。

cat /usr/local/named/etc/rndc.key #生成されたキーを確認します
key "rndc-key" {
algorithm hmac-md5;
secret "33A+QssQ95************"; #隠してます
};


※ただし後者の方法で生成すると、前者の方法で生成されるはずの部分が足りなくなりますので、時間がかかっても、前者を選ぶ方が得策です。
後者だと、下のコメントアウト部分(named.confの雛形)が生成されない。

# Start of rndc.conf
key "rndc-key" {
algorithm hmac-md5;
secret "0/4Jy6PtIsHAkaT3qS2fFQ==";
};

options {
default-key "rndc-key";
default-server 127.0.0.1;
default-port 953;
};
# End of rndc.conf

# Use with the following in named.conf, adjusting the allow list as needed:
# key "rndc-key" {
# algorithm hmac-md5;
# secret "0/4Jy6PtIsHAkaT3qS2fFQ==";
# };
#
# controls {
# inet 127.0.0.1 port 953
# allow { 127.0.0.1; } keys { "rndc-key"; };
# };
# End of named.conf

rndc.confへ公開鍵Krndc.+157+55509.keyを投入します

secret "sif1pGm4NPrrUXpxlmdLjg==";

■named.confの作成
直前で生成れたnamed.confの雛形を利用して/etc/named.confを作成します

vi /etc/named.conf
key "rndc-key" {
algorithm hmac-md5;
secret "0/4Jy6PtIsHAkaT3qS2fFQ==";
};

controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};

秘密鍵Krndc.+157+55509.privateをnamed.confに投入

末文に以下を投入

options {
directory "/var/named/";
pid-file "/var/run/named/named.pid";
};

以上で動きます。まぁ飛ばしてもいいところはありますが

/usr/local/named/sbin/named -u named -c /etc/named.conf #起動
/usr/local/named/sbin/rndc stop #停止

今後の課題 ###############################################################3###

/usr/local/named以下は特に重要なファイルはないのでパーミッションは設定必要ない?/etc/named.confと/etc/rndc.confのパーミッションも変えたほうがいいかもしれない
named.confの理解

▲PageTop

BIND rsolv.conf 

サーバ

BIND 名前解決の仕組み の最後に

>ただ、なぜかnslookup linux でも成功してしまいます、これについては
>ちょっとよくわかりません

>順次named.confの読み込みをしているのであれば、linuxという文字列のないファイルから
>どうやってmiloweb.netファイルを読み込んでいるんでしょうか

>もしかしたらBINDか起動された段階で、named.confがメモリに読みだされ
>既にmiloweb.netと11.168.192.in-addr.arpaのレコードが展開されていて
>そこからAレコードの名前解決を行っているかもしれません 完全に想像ですが

/etc/resolv.conf
のsearch行が原因だったようです

ホストネームのみでアクセスしようとした場合 search行で補完されるようです
search miloweb.net


▲PageTop

Menu

最新記事一覧

プロフィール

Author:NNTer
年齢 25 性別 男

職業:ネットワークエンジニア

取得資格
2011/3/17 CCNA
2011/5/29 LPIC lv1
2011/8/9 CCNP SWITCH
2011/9/11 TOEIC 695
2012/2/25 CCNP ROUTE
2012/3/31 CCNP T-SHOOT

最新記事

検索フォーム

ブロとも申請フォーム

QRコード

QR

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。