いつもお世話になっています、akroと申します。
nslookupコマンドについてお聞きしたいことがあるのですが、
BBR下にあるDNSサーバーに対して、ローカルPCからnslookupを行い、正引きが正しく
できているのに、外部からドメインでのアクセスができない状態なのですが、
どういった原因なのでしょうか?
最近、プロバイダがbindをアップグレードして、セカンダリの情報をクリアしたので
それでうまくいかなくなったのですが、それでもプライマリで問題ないはずなのですが、、、
そのとき、プロバイダからの設定例だと、
$TTL 86400 ★必ずつけてください
@ IN SOA tegtan1.interlink.or.jp. root.tegtan1.interlink.ad.jp. (
2003072301 ; シリアル ★2147483648(2の31乗)以下の
1d ; リフレッシュ 整数にしないとエラーになります
1h ; リトライ
1w ; 期限切れ
1d ) ; ネガティブキャッシュ ★このパラメータは以前の
バージョンと意味が変わっています
とあり、自分の設定を
$TTL 86400
@ 1D IN SOA linux.xxx.info. root.xxx.info. (
2003090401 ;Serial
10800 ;Refresg after 3 hours
3600 ;Retry after 1 hours
604800 ;Expire after 1 week
86400 ) ;Minimum TTL of 1day
というようにしました。
あと、上と関係ないのですが、aPC(192.168.0.2)-----リピータHUB------bPC(192.168.1.2)
mask(255.255.255.0)
の環境で、ちがうサブネットにしたとき、aからbにたいしてpingを行ってもtimeoutしますよね、
これはネットワークが違うからだと思うのですが、このときb側にpingが届いたときパケットを
破棄してると言うことで良いでしょうか?
(受け取った送信元IPが自分のネットワークと違うから破棄したということでしょうか?)
それと、上記のHUBがブリッジ(レイヤ2スイッチでないただのブリッジ)だった場合は、
ブリッジの処でpingが破棄されると言うことになるのでしょうか?
調べてみると、ブリッジを使用するとコリジョンドメインを分割できるとあったので
(これは線が1本(全二重でない)時の解説でした)、bPCに
は行かないと思うのですが、ブリッジ自体にIPテーブルみたいなのがあるということでしょうか?
(MACアドレスとポートの関係付けテーブルしかないと思うのですが、、、)
⇒あと、ブリッジ自体はポートは二個しかないんですよね?
さらに、レイヤ2HUB(スイッチングHUB)の場合はbPCまでpingが届いて、NICで破棄されるのでしょうか?
ながながと申し訳ありませんが、よろしくお願いします。
2つの話でまず前者から。
http://www.dnsreport.com/ でテストしてみてください。
ダメな場合、ルーター再確認など
こんにちは。
お久しぶりです。元気してます?(どころじゃないですね。)
> いつもお世話になっています、akroと申します。
>
> nslookupコマンドについてお聞きしたいことがあるのですが、
> BBR下にあるDNSサーバーに対して、ローカルPCからnslookupを行い、正引きが正しく
> できているのに、外部からドメインでのアクセスができない状態なのですが、
> どういった原因なのでしょうか?
> 最近、プロバイダがbindをアップグレードして、セカンダリの情報をクリアしたので
> それでうまくいかなくなったのですが、それでもプライマリで問題ないはずなのですが、、、
digとブラウザでみて見ましたが、アドレスではブラウザでみれるので、ネットワーク的には
問題ないです。逆引きはinterlinkからちゃんと帰ってきています。正引きはakuroさんのサーバ
が応答しません。従って、interlinkの設定というより、akuroさん側のBINDの設定(アクセス制限)
かルータのフィルタ・ポートマッピングやフィヤウォール(iptables)でアクセスできなくなっている
可能性が大です。
> あと、上と関係ないのですが、aPC(192.168.0.2)-----リピータHUB------bPC(192.168.1.2)
> mask(255.255.255.0)
> の環境で、ちがうサブネットにしたとき、aからbにたいしてpingを行ってもtimeoutしますよね、
> これはネットワークが違うからだと思うのですが、このときb側にpingが届いたときパケットを
> 破棄してると言うことで良いでしょうか?
> (受け取った送信元IPが自分のネットワークと違うから破棄したということでしょうか?)
そうです。厳密には、通信に先立って行われるARP解決(IPアドレスからMACアドレスを問い合わせる動作)
がサブネットが違うので、これに応答してこないということです。
> それと、上記のHUBがブリッジ(レイヤ2スイッチでないただのブリッジ)だった場合は、
> ブリッジの処でpingが破棄されると言うことになるのでしょうか?
言葉が、混乱していますね。ブリッジとはレイヤ2で通信を制御するもので、HUBのことです。HUBには
2つあり、ただの針金と同じレピータHUB(俗にバカHUB)といわれるものと、中にスイッチ機構がある
スイッチングHUB(レイヤ2スイッチという言い方ならこれ)があります。インテリジェントHUBという言い方
をするときもありますが、これは一般的にはSNMPエージェント付のSW-HUBのことを言います。レイヤ2スイッチと
いう言葉では聞くと、おやじは、CiscoやExtream等の業務用の高機能スイッチを思い浮かべますが・・・。
SW-HUBは、MACアドレスの学習機能で宛先(MACアドレス)が明示されたユニキャストパケットは、MACアドレス
が学習できていればそのポートにしか流さないため、宛先が異なる通信なら同時にできますので、スループット
が低下しません。学習できていなければ、全てのポートに流しますので、その瞬間はバカHUBと同じです。
一方、バカHUBは全てのポートにパケット流してしまうので、同時にはそのHUB配下では一つの通信しかできません。
上記の形態でHUBがどちらでも、ARPパケットが相手側で無視されておしまいになります。
> 調べてみると、ブリッジを使用するとコリジョンドメインを分割できるとあったので
> (これは線が1本(全二重でない)時の解説でした)、bPCに
> は行かないと思うのですが、ブリッジ自体にIPテーブルみたいなのがあるということでしょうか?
> (MACアドレスとポートの関係付けテーブルしかないと思うのですが、、、)
MACアドレス学習テーブル(MACアドレスとポートの関係付けテーブル)があります。レイヤ2(MACレベル)
とレイヤ3(IPレベル)が混乱していますね。レイヤ2と3の関連付けをするのがARP解決です。
> ⇒あと、ブリッジ自体はポートは二個しかないんですよね?
上記のとおりで、そんなことはありません。本でよく原理を説明するところで、10BASE5でコリジョン
等の説明があるので、混乱しているのだと思います。
> さらに、レイヤ2HUB(スイッチングHUB)の場合はbPCまでpingが届いて、NICで破棄されるのでしょうか?
上記のとおりで、SW-HUBでもバカHUBでもARPパケットが相手側で無視されてしまうので、ping以前の段階
で止まってしまいます。止まるのは、NICもしくはドライバ。レイヤ2処理をNICでやっているIntelや3COMの
チップならNIC、カニさんならドライバです。カニさんを使ったPCで、なんかレスポンスが悪いと調べたら、
関係ないパケットがLAN上を流れていて、一生懸命ドライバが捨てていたなんて笑えない話があります。
高いNICは、高いだけのことはあるということでしょうか?
akuroです。
OAKさん、おやじさん返信ありがとうございます。
>OAKさん
>http://www.dnsreport.com/ でテストしてみてください。
最初は、いろいろとリストが出てきたのですが(警告とかもありました)、ルーターを再起動してみたら
エラー画面が出るようになってしまいました。
(ルーターに問題があるのかな、、、)
もう少し様子を見てみます。
>おやじさん
>お久しぶりです。元気してます?(どころじゃないですね。)
お久しぶりです。
一応、元気にしています。
雑誌とかでネットワークの勉強をしたりもしているのですが
結構わかっているつもりでも、細かくみるとでわかってないようです。
>digとブラウザでみて見ましたが、アドレスではブラウザでみれるので、
やはりルーターの設定かBINDの設定みたいですね。
もう少し調べてみたいと思います。
>言葉が、混乱していますね。ブリッジとはレイヤ2で通信を制御するもので、HUBのことです。HUBには
>2つあり、ただの針金と同じレピータHUB(俗にバカHUB)といわれるものと、中にスイッチ機構がある
>スイッチングHUB(レイヤ2スイッチという言い方ならこれ)があります。インテリジェントHUBという言い方
>をするときもありますが、これは一般的にはSNMPエージェント付のSW-HUBのことを言います。レイヤ2スイッチと
>いう言葉では聞くと、おやじは、CiscoやExtream等の業務用の高機能スイッチを思い浮かべますが・・・。
>SW-HUBは、MACアドレスの学習機能で宛先(MACアドレス)が明示されたユニキャストパケットは、MACアドレス
>が学習できていればそのポートにしか流さないため、宛先が異なる通信なら同時にできますので、スループット
>が低下しません。学習できていなければ、全てのポートに流しますので、その瞬間はバカHUBと同じです。
>一方、バカHUBは全てのポートにパケット流してしまうので、同時にはそのHUB配下では一つの通信しかできませ
>ん。
> 上記の形態でHUBがどちらでも、ARPパケットが相手側で無視されておしまいになります。
本によると、
第二層で機能する中継機器で、レイヤ2スイッチが登場する前まで、ネットワークを分割し、コリジョンの発生を
抑える役割をしていた。
ブリッジは二つのネットワークを接続するための機器で、フレーム内のMACアドレスを識別して、一方のネットワーク
から届いたフレームがもう一方のネットワーク宛てかどうかを判断する。
リピータと違い、中継するパケットが選別されるので、コリジョンドメインを分割できる。
ブリッジとハブを組み合わせたのを「レイヤ2スイッチ」という。
さらに、レイヤ2スイッチの別名が、「マルチポート(ポートが3つ以上ある)なブリッジ」とも解釈できる。
とありました。
昔のブリッジはポートが二個しかなかったらしいです(!?)。
>そうです。厳密には、通信に先立って行われるARP解決(IPアドレスからMACアドレスを問い合わせる動作)
>がサブネットが違うので、これに応答してこないということです。
> 上記の形態でHUBがどちらでも、ARPパケットが相手側で無視されておしまいになります。
pingというのは、相手のMACアドレスがわかっていた状態で行うものですよね?
一番最初はARPを全てのPCに送る(ブロードキャスト)するということでしょうか?
それで、ブロードキャスト(あて先が192.168.0.0〜192.168.0.255で自分以外)して、
それをbPCが受け取るが、aPCが送ったあて先の範囲外なので破棄するということでしょうか?
つまり、
一番最初に、PCにARPテーブルがない場合は、あて先のIPのMACアドレスは何かという問いかけを
全てのPC(ネットマスクとか一切関係なく、ルータで区切られている範囲すべて)にばらまき、相手のMACを
取得しますよね?
そのとき、相手PCのIPが自分と同じサブネットなら(普通は同じですよね?)のARPに対して返信
してくれて、違った場合は無視(破棄)されるということで解釈はよいでしょうか?
[補足]
普通、ネットワークはルーターで分けるのでルーター下でサブネットマスクが異なることは
ないと思うのですが(VLANとか考えないで)、今回はひとつのPCのサブネットマスク設定を間違えたということで。
(間違っていたらすみません)
>MACアドレス学習テーブル(MACアドレスとポートの関係付けテーブル)があります。レイヤ2(MACレベル)
>とレイヤ3(IPレベル)が混乱していますね。レイヤ2と3の関連付けをするのがARP解決です。
レイヤ3だと、MACテーブルではなくルーティングテーブルを使用するのですよね?
(MACテーブルだと限界があるからレイヤ3で制御するのですよね?)
すみません、うまくかけなかったのですがよろしくお願いします。
こんにちは。
> 最初は、いろいろとリストが出てきたのですが(警告とかもありました)、ルーターを再起動してみたら
> エラー画面が出るようになってしまいました。
> (ルーターに問題があるのかな、、、)
> もう少し様子を見てみます。
digで確認できました。直ってますね。ルータが調子悪いんじゃないですかね。
> 本によると、
> 第二層で機能する中継機器で、レイヤ2スイッチが登場する前まで、ネットワークを分割し、コリジョンの発生を
> 抑える役割をしていた。
> ブリッジは二つのネットワークを接続するための機器で、フレーム内のMACアドレスを識別して、一方のネットワーク
> から届いたフレームがもう一方のネットワーク宛てかどうかを判断する。
> リピータと違い、中継するパケットが選別されるので、コリジョンドメインを分割できる。
> ブリッジとハブを組み合わせたのを「レイヤ2スイッチ」という。
> さらに、レイヤ2スイッチの別名が、「マルチポート(ポートが3つ以上ある)なブリッジ」とも解釈できる。
>
> とありました。
> 昔のブリッジはポートが二個しかなかったらしいです(!?)。
俗にイエローケーブルと言われる太い同軸ケーブルを使った10BASE5の話をベースに書かれているからです。
今でも、特殊なところ(電磁ノイズの大きいところ)では使われていますが、最近のスイッチはSTP対応になって
きているので、これがなくなるのは時間の問題で、スイッチの対応製品はほとんどなくなってきています。
何しろケーブルが使いにくいですから。おやじの説明で、一般的には通用するはずです。ブリッジという言葉は、
最近では、物というより機能(L2)というイメージで使われています。
> >そうです。厳密には、通信に先立って行われるARP解決(IPアドレスからMACアドレスを問い合わせる動作)
> >がサブネットが違うので、これに応答してこないということです。
> > 上記の形態でHUBがどちらでも、ARPパケットが相手側で無視されておしまいになります。
>
> pingというのは、相手のMACアドレスがわかっていた状態で行うものですよね?
違います。akuroさんはMACを意識してpingは打っていないでしょう。MACを意識するとしたら、トラブルで
パケットを追いかけるときぐらいです。
> 一番最初はARPを全てのPCに送る(ブロードキャスト)するということでしょうか?
上位プロトコルが何であれ、最終的にノード/端末間を流れる通信はMACアドレスで行われます。つまり、
どの相手相手宛かはMACアドレスで指定します。
> それで、ブロードキャスト(あて先が192.168.0.0〜192.168.0.255で自分以外)して、
> それをbPCが受け取るが、aPCが送ったあて先の範囲外なので破棄するということでしょうか?
> つまり、
> 一番最初に、PCにARPテーブルがない場合は、あて先のIPのMACアドレスは何かという問いかけを
> 全てのPC(ネットマスクとか一切関係なく、ルータで区切られている範囲すべて)にばらまき、相手のMACを
> 取得しますよね?
> そのとき、相手PCのIPが自分と同じサブネットなら(普通は同じですよね?)のARPに対して返信
> してくれて、違った場合は無視(破棄)されるということで解釈はよいでしょうか?
そうです。MACアドレスがわからないと通信できないので、ARPで「192.168.1.100/24の端末さんはMACを
教えて」とブロードキャストして、これを受けた192.168.1.100/24の端末だけが、ARP Replyで自分のMACを
通知してきます。そこで、そのMAC宛てにユニキャストで送りたいデータを送るのです。ARP Replyで貰った
MACは一定時間覚えておきます。(これで、問題がでたりもします。試験等で、同じIPの違う端末を付け替えたり
すると、相手がMACを忘れてくれないので、しばらくの間通信できないことがあります。)
> [補足]
> 普通、ネットワークはルーターで分けるのでルーター下でサブネットマスクが異なることは
> ないと思うのですが(VLANとか考えないで)、今回はひとつのPCのサブネットマスク設定を間違えたということで。
> (間違っていたらすみません)
勉強されていますね。VLAN以外ならおっしゃるとおりチョンボぐらいでしょうか。逆手にとって、ローカルでしか
動かさないシステムを、オーバレイするなんてこともできますが、管理が大変でしょうね。
> >MACアドレス学習テーブル(MACアドレスとポートの関係付けテーブル)があります。レイヤ2(MACレベル)
> >とレイヤ3(IPレベル)が混乱していますね。レイヤ2と3の関連付けをするのがARP解決です。
>
> レイヤ3だと、MACテーブルではなくルーティングテーブルを使用するのですよね?
そうです。どこのポートに出すか決定するのまではルーティングテーブルに従い、そのポートからパケットを
出すときに、ARPテーブルに従った(ない場合はARP解決して)中継すべき次のノード/端末のMACアドレス宛てに
パケットを投げます。レイヤ3単独では通信できず、OSIの階層に従い、送信側でレイヤ3->2->1と行って、
受信がわで、レイヤ1->2->3と上がって初めてパケットが到達するので、勘違いしないようにしてください。
> (MACテーブルだと限界があるからレイヤ3で制御するのですよね?)
そうです。ブロードキャストドメインが大きすぎると関係ないところにまでパケットが流れ、回線をまたいで
繋がってでもいたら動かないでしょう。また、L2で怖いのが、ブロードキャストストームといわれるパケットの
ループで、設定を間違えたり、つなげてはいけないスイッチ間をつないでしまったりすると、ブロードキャスト
パケットがぐるぐる回りして、ネットワークが死んでしまうことがあります。
こんにちは、akuroです。
>digで確認できました。直ってますね。ルータが調子悪いんじゃないですかね。
すみません、ルーターの設定でTCPの53番が開放されていませんでした。
開放した所うまくいったみたいです。
(BIND9ではプライマリとセカンダリ間通信でTCP53を使用するとありました)
それでも、例えセカンダリとの通信ができなくてもプライマリと通信できれば問題ないと
思うのですが、それを考えるとほかに原因があったのかもしれません。
(名前解決にTPCの53が使用されている!?)
>最近では、物というより機能(L2)というイメージで使われています。
なるほど、ということはレイヤ2機能とはフレームのMACアドレスを識別する(スイッチ機能)
ということになるのでしょうか?
(リピータHUBはレイヤ1機能ということになると思うので)
>>pingというのは、相手のMACアドレスがわかっていた状態で行うものですよね?
>違います。akuroさんはMACを意識してpingは打っていないでしょう。MACを意識するとしたら、トラブルで
>パケットを追いかけるときぐらいです。
pingを打つ前のARPの時点でbPCに破棄されるのでした。
ということは、aPCのARPテーブルには絶対にbPCのMAC情報が追加されることはないということですよね?
さらに、aPCがping 192.168.12(bPC) を行うたびにAPRブロードキャストで、ルータ下の全てのPCへ
パケットを送信してしまうということになるということでしょうか?
>>レイヤ3だと、MACテーブルではなくルーティングテーブルを使用するのですよね?
> そうです。どこのポートに出すか決定するのまではルーティングテーブルに従い、そのポートからパケットを
>出すときに、ARPテーブルに従った(ない場合はARP解決して)中継すべき次のノード/端末のMACアドレス宛てに
>パケットを投げます。
なるほど、ルーティングテーブルでどこのポートかが分かっても、その先の機器のMACが分からないと
いけないということですか。
ということは、ルーターもARPテーブルを持っているということになるのですね。
さらに、MACが分からない場合は、そのポート先のネットワークに対してAPRブロードキャストするのですね。
>レイヤ3単独では通信できず、OSIの階層に従い、送信側でレイヤ3->2->1と行って、
>受信がわで、レイヤ1->2->3と上がって初めてパケットが到達するので、勘違いしないようにしてください。
そのあたりがちょっとごっちゃになってしまっているかもしれません。
(一つ一つの階層の機能は複雑ではないと思うのですが、階層が変わるとむずかしいですね)
あと、各レイヤの機能を書いてみたのですが、これであっているでしょうか?
レイヤ1=電気信号の中継
レイヤ2=各ネットワークの接続(中継!?)MACアドレスを識別
(ネットワークという言葉を使うのはよくない(!?)⇒コリジョンドメイン!?)
⇒ネットマスクは双方同じ場合(だと思います、、、自分で書いておいて、、、)。
昔はともかく、今は単にMACアドレスの識別で考えたほうがいい(!?)
レイヤ3=(異なる)ネットワークの中継(IPを使用)
あと、MACテーブルでお聞きしたいのですが、
MACアドレスとポート番号はn対1となるのでしょうか?
(ポートにさらにHUBがついてた場合はひとつのポートにいくつものPCが繋がっているので)
>ブロードキャストストームといわれるパケットの
>ループで、設定を間違えたり、つなげてはいけないスイッチ間をつないでしまったりすると、ブロードキャスト
>パケットがぐるぐる回りして、ネットワークが死んでしまうことがあります。
ゆくゆく、家のネットワークをつかっていろいろ試そうとおもっているのですが、
この辺の知識がないとかなり危険ですね。
たぶん今年中にはむりだと思うのですが、Bフレッツにしてプロバイダをインフォスピアにして、固定IP8個で
DNSも両方家に立ててとか結構無謀なことを考えています。
(お金がすごいかかってしまいますが、、、)
よろしくお願いします。
こんにちは。
> >digで確認できました。直ってますね。ルータが調子悪いんじゃないですかね。
> すみません、ルーターの設定でTCPの53番が開放されていませんでした。
> 開放した所うまくいったみたいです。
> (BIND9ではプライマリとセカンダリ間通信でTCP53を使用するとありました)
> それでも、例えセカンダリとの通信ができなくてもプライマリと通信できれば問題ないと
> 思うのですが、それを考えるとほかに原因があったのかもしれません。
> (名前解決にTPCの53が使用されている!?)
通常、UDPの53ですが(何故akuroさんのサーバが応答しなかったのかな?やっぱりルータがおかしい?)、
データ量が512Byteを越える場合(あまりありませんが)もTCPを使うので、DNSはTCP/UDPの53番を使うと
思っておけばいいと思います。
> >最近では、物というより機能(L2)というイメージで使われています。
> なるほど、ということはレイヤ2機能とはフレームのMACアドレスを識別する(スイッチ機能)
> ということになるのでしょうか?
それで、いいと思います。
> pingを打つ前のARPの時点でbPCに破棄されるのでした。
> ということは、aPCのARPテーブルには絶対にbPCのMAC情報が追加されることはないということですよね?
> さらに、aPCがping 192.168.12(bPC) を行うたびにAPRブロードキャストで、ルータ下の全てのPCへ
> パケットを送信してしまうということになるということでしょうか?
そうです。
> >>レイヤ3だと、MACテーブルではなくルーティングテーブルを使用するのですよね?
> > そうです。どこのポートに出すか決定するのまではルーティングテーブルに従い、そのポートからパケットを
> >出すときに、ARPテーブルに従った(ない場合はARP解決して)中継すべき次のノード/端末のMACアドレス宛てに
> >パケットを投げます。
>
> なるほど、ルーティングテーブルでどこのポートかが分かっても、その先の機器のMACが分からないと
> いけないということですか。
> ということは、ルーターもARPテーブルを持っているということになるのですね。
> さらに、MACが分からない場合は、そのポート先のネットワークに対してAPRブロードキャストするのですね。
そうです。
> >レイヤ3単独では通信できず、OSIの階層に従い、送信側でレイヤ3->2->1と行って、
> >受信がわで、レイヤ1->2->3と上がって初めてパケットが到達するので、勘違いしないようにしてください。
> そのあたりがちょっとごっちゃになってしまっているかもしれません。
> (一つ一つの階層の機能は複雑ではないと思うのですが、階層が変わるとむずかしいですね)
>
> あと、各レイヤの機能を書いてみたのですが、これであっているでしょうか?
> レイヤ1=電気信号の中継
> レイヤ2=各ネットワークの接続(中継!?)MACアドレスを識別
> (ネットワークという言葉を使うのはよくない(!?)⇒コリジョンドメイン!?)
> ⇒ネットマスクは双方同じ場合(だと思います、、、自分で書いておいて、、、)。
> 昔はともかく、今は単にMACアドレスの識別で考えたほうがいい(!?)
>
> レイヤ3=(異なる)ネットワークの中継(IPを使用)
細かい話を除けば、これでいいでしょう。
> あと、MACテーブルでお聞きしたいのですが、
> MACアドレスとポート番号はn対1となるのでしょうか?
> (ポートにさらにHUBがついてた場合はひとつのポートにいくつものPCが繋がっているので)
そうです。SW-HUBには最大MAC学習数というのが仕様にあるはずで、CAMと言われる特殊なメモリ(ハッシュを
使って高速にサーチできるメモリ)にMACアドレスとポート番号を対応させてメモっておき、パケットがくるたびに
MACをキーにサーチしてヒットするとポート番号が帰ってくるので、そのポートに中継します。ヒットしないと、
unknownパケットとして、全ポートに中継します。因みに学習するのは、パケットが入ってきたときのソースMAC
ですので、ARPを投げた時点でその端末は学習されます。
> >ブロードキャストストームといわれるパケットの
> >ループで、設定を間違えたり、つなげてはいけないスイッチ間をつないでしまったりすると、ブロードキャスト
> >パケットがぐるぐる回りして、ネットワークが死んでしまうことがあります。
> ゆくゆく、家のネットワークをつかっていろいろ試そうとおもっているのですが、
> この辺の知識がないとかなり危険ですね。
家庭内では、まず発生しないでしょう。企業のように全体が見えないのに勝手にいじる人間がいると危ないです。
これを避けるのため、一般的にSW-HUBでは常時STP(Spaning Tree Protocol)機能をオンにしておいて、誤って物理的
なループができても、論理的にはループしないようにするのが一般的です。
> たぶん今年中にはむりだと思うのですが、Bフレッツにしてプロバイダをインフォスピアにして、固定IP8個で
> DNSも両方家に立ててとか結構無謀なことを考えています。
> (お金がすごいかかってしまいますが、、、)
他のスレッドにも書きましたが、自宅サーバの場合は共通部が多すぎて(というか、ほとんど全て)、セカンダリDNS
を自宅に置く意味は、DNS×2+各サーバ(n=1〜)としても救済できるのはプライマリDNSサーバの障害ぐらいしかない
ので、コストパフォーマンスを考えると他(例えばサーバやルータ)にお金をかけたほうが言いと思いますが。
こんばんはakuroです。
>データ量が512Byteを越える場合(あまりありませんが)もTCPを使うので
なるほど、もしかしたらそれが関係あるのかもしれませんね。
あと、今日会社のPCにて自宅へnslookupで正/逆引きを行ったのですが
うまくいきませんでした。
serverを自宅のIPに設定して直接問い合わせてみたのですが、、、
ブラウザからもドメインではアクセスできませんでした。
自宅のルーターはICMPに対して応答しないのですが一応tracertコマンドで
何ステップいくか試してみたのですが、最初のホストの次でtimeoutしてしまいました。
自宅からもtracert グローバルIP で行ってみたのですが、最初のはBBRのローカルIPでそれから
timeoutしてしまいました。
(一度インターネットにでて、また戻ってくる間に他のホストを経由するとおもうのですが、、、)
これはいったいどういうことなのでしょうか?
(nslookupはICMPを使用している!?)
> 他のスレッドにも書きましたが、自宅サーバの場合は共通部が多すぎて(というか、ほとんど全て)、
>セカンダリDNSを自宅に置く意味は、DNS×2+各サーバ(n=1〜)としても救済できるのはプライマリDNSサーバの障>害ぐらいしかないので、コストパフォーマンスを考えると他(例えばサーバやルータ)にお金をかけたほうが言いと>思いますが。
確かにそうですよね、いろいろとお金がかかるとは思うのですが、いろいろと経験してみたいのですよね、
もうちょっと知識があれば会社にネットワークをつくって勉強兼仕事で一番いいんですが
現在のところ自宅でこつこつ行くしか方法がないので。
あと、以前の内容なのですが、
>カニさんならドライバです。カニさんを使ったPCで、なんかレスポンスが悪いと調べたら、
>関係ないパケットがLAN上を流れていて、一生懸命ドライバが捨てていたなんて笑えない話があります。
カニさんとはなんでしょうか?
(いまさらの質問ですみません)
よろしくお願いします。
>あと、以前の内容なのですが、
>>カニさんならドライバです。カニさんを使ったPCで、なんかレスポンスが悪いと調べたら、
>>関係ないパケットがLAN上を流れていて、一生懸命ドライバが捨てていたなんて笑えない話があります。
>カニさんとはなんでしょうか?
台湾のチップメーカーでRealtek Semiconductorと言う会社のチップが基板上に乗っ
たNIC(LANカード)のことです.
この会社のロゴマークが蟹だからそう呼びます.
具体的には↓このようなマークです.
http://www.peter-rabbit.jp/~peter/cgi-bin/up1/clip/img/6.jpg
性能に関しては色々おっしゃる方も多いですが,私は測定器を使って評価したわけ
でもありませんので真意のほどは判りません.
ただ,初めてLINUXでサーバーを構築されるのであれば無難にIntel社製のIntel
Pro100シリーズを使われた方が安心と思います(3000〜4000円程度で売っています).
あと,おやじさんがNo.1540 でコメントされている中で
>俗にイエローケーブルと言われる太い同軸ケーブルを使った10BASE5の話をベースに書かれているからです。
>今でも、特殊なところ(電磁ノイズの大きいところ)………
とありますが,回路屋から一言発言させて頂くと
電磁ノイズの多いところにこれを使うのはオマジナイ程度と思っておいてください.
おそらく,イエローケーブルをノイズの多い箇所に採用する方は,外皮がメッシュ
(編組線)になっているから,そのシールド効果を期待して敷設していると思うのです
が,LANに使う同ケーブルの場合は芯線と編組線の両方に電流が流れるのでシールド
の効果はありません.
シールド効果を期待するのであればトリアキシャルケーブルを用いて,一番外側の
編組線をガッチリとグランドに落とすことが最善の方法です.
もっとも,今では光りケーブルを敷設しますから過去の話ですが….
> >データ量が512Byteを越える場合(あまりありませんが)もTCPを使うので
> なるほど、もしかしたらそれが関係あるのかもしれませんね。
通常、512Byteを越えるようなケースはほとんどありませんので、これが原因では無いはずです。
> あと、今日会社のPCにて自宅へnslookupで正/逆引きを行ったのですが
> うまくいきませんでした。
何故でしょう?こちらからは、digでもnslookupでもブラウザからでもドメイン名解決できますね。
> serverを自宅のIPに設定して直接問い合わせてみたのですが、、、
これは、どうだったのでしょうか?
> ブラウザからもドメインではアクセスできませんでした。
nslookupで駄目なら無理でしょう。
> 自宅のルーターはICMPに対して応答しないのですが一応tracertコマンドで
> 何ステップいくか試してみたのですが、最初のホストの次でtimeoutしてしまいました。
> 自宅からもtracert グローバルIP で行ってみたのですが、最初のはBBRのローカルIPでそれから
> timeoutしてしまいました。
> (一度インターネットにでて、また戻ってくる間に他のホストを経由するとおもうのですが、、、)
> これはいったいどういうことなのでしょうか?
> (nslookupはICMPを使用している!?)
nslookupはICMPを使用してませんが、tracertした時、終わるまでじっくり待ってみましたか?
「最初のホストの次でtimeout」とは、*になってしまったと言うことだと思いますが、例えakuroさんの
ルータがICMP応答しないまでも、最後まで(Windowsなら30?)*になるケースは、まずないと思いますが。
tracerouteは、簡単に言えばTTLを変えながらpingを打っているようなものです。つまり、まず、宛先を
最終目的地にしたTTL=1のパケットを送信すると、最初に受けたノード(akuroさん宅だと、BBRのLAN側)
がTTLから1を牽くと0になるのでパケットを廃棄し、要求元にタイムアウト(端末が応答がないと判断する
タイムアウトではないので、注意)した旨のメッセージを返します。これを、tracerouteが受けると、
時間とそのノードのアドレスを表示します。
次に、TTL=2と一つ増やすと、次のルータでタイムアウトします。Tracerouteはこれを繰り返し(TTLを+1
しながらpingを打つこと)、最終目的地までの中継ルートを表示しています。TTLは、ルータの最大中継段数
を指定するもので、ルータを経由するごとに1づつ減算され、0になるとパケットは廃棄されます。無駄な
パケットがネットワーク上を流れないようにするものです。
なお、*になるのは、ルータによってはICMPに応答しないように設定されているものがあり、この場合、
Traceroute側でタイムアウトして、*表示して次に進みます。ルータが混んでいても、*になることが
あり、その場合は、何回かやると表示されるので違いが分かります。ICMPへの応答はネットワークポリシー
に依存するので、同一プロバイダ間だと最後まで出ないことも考えられます。
蟹さんは、失礼しました。ああいう言い方はやめるべきですね。なお、おやじはRealtekを否定するもの
ではないことを付け加えて置きます。最近のものは安定してきていますし、第一、BBRを含めたほとんどの
民生機器はこれを使っているので、サーバだけIntelにしてもシステム全体の信頼性はほとんど変わりません
から。但し、サーバはソフトを含めていろいろと問題が出やすいので、少しでも不安要因を減らしたいとか、
負荷を軽減したいとかには、Intelのほうがいいと思いますが。
こんばんはakuroです。
mimiさん、おやじさん返信ありがとうございました。
>mimiさん
>台湾のチップメーカーでRealtek Semiconductorと言う会社のチップが基板上に乗っ
>たNIC(LANカード)のことです.
画像まで準備していただきありがとうございました。
>おやじさん
>通常、512Byteを越えるようなケースはほとんどありませんので、これが原因では無いはずです。
となると、やはりルーターなのですかね?
(ルーター意外な気もするんですが、、、)
>何故でしょう?こちらからは、digでもnslookupでもブラウザからでもドメイン名解決できますね。
会社から家までのどこかにネットワークの穴があるのですかね、、、
>>serverを自宅のIPに設定して直接問い合わせてみたのですが、、、
>これは、どうだったのでしょうか?
すみません、これは会社からのnslookupで
--------------------------------------
C:\nslookup
C:\server xxx.xxx.xxx.xxx(自宅IP)
C:\thunder-gundan.info
とやったといういみでした。
(駄目でした)
>nslookupはICMPを使用してませんが、tracertした時、終わるまでじっくり待ってみましたか?
いま、自宅PCより
C:\tracert thunder-gundan.info
をおこないましたが
最初は
1 <10 ms <10 ms <10 ms router.local.thunder-gundan.info [192.168.1.1]
と出たのですが、残り30まで
2 * * * Request timed out.
、、
、、
、、
30 * * * Request timed out.
Trace complete.
となってしまいました。
>なお、*になるのは、ルータによってはICMPに応答しないように設定されているものがあり、この場合、
>Traceroute側でタイムアウトして、*表示して次に進みます。ルータが混んでいても、*になることが
>あり、その場合は、何回かやると表示されるので違いが分かります。ICMPへの応答はネットワークポリシー
>に依存するので、同一プロバイダ間だと最後まで出ないことも考えられます。
会社のプロバイダはインターリンクで自宅とおなじなのでその可能性があるかもしれません。
でも、
tracert yahoo.co.jp
と打つと、
1 <10 ms <10 ms <10 ms router.local.thunder-gundan.info [192.168.1.1]
2 15 ms 16 ms 16 ms tokyo-dsl-gate.interlink.ad.jp [203.141.142.162]
3 15 ms 16 ms 15 ms tokyo-ntt-gate2.interlink.ad.jp [203.141.142.161]
4 16 ms 15 ms 16 ms tokyo-flets-gate.interlink.ad.jp [203.141.142.177]
5 15 ms 16 ms 15 ms r1-0715.otemachi.net.bbx.ad.jp [218.40.50.121]
6 16 ms 15 ms 16 ms d48i003.bbx.ad.jp [218.40.48.3]
,,
,,
,,
といったかんじで最後までうまくいきました。
途中、インターリンクのホストを通過しているのですが、、、
以前、自宅サーバーにてntpdの話をしましたが、その件となにか関係があったり、、、
(自宅から定期的にインターネットにデータを送信しないと、インターネットから自宅にアクセスできないという内容でした。そこでntpdデーモンを使用し定期的にインターネットにデータを送ることで解決(!?)しました。)
>少しでも不安要因を減らしたいとか、負荷を軽減したいとかには、Intelのほうがいいと思いますが。
NICを買うとき、いつも安いのを買っていましたがやはり高いのはそれなりに高性能ですよね。
4000円くらいならサーバー用に購入してもいいかもしれませんね。
こんばんは。
> --------------------------------------
> C:\nslookup
> C:\server xxx.xxx.xxx.xxx(自宅IP)
> C:\thunder-gundan.info
thunder-gundan.infoは、確かに牽けませんね。BINDの設定を最終的にどうしたのでしょうか?
おやじが牽けるといっているのは、linux.thunder-gundan.infoです。
> >nslookupはICMPを使用してませんが、tracertした時、終わるまでじっくり待ってみましたか?
> いま、自宅PCより
> C:\tracert thunder-gundan.info
> をおこないましたが
>
> 最初は
> 1 <10 ms <10 ms <10 ms router.local.thunder-gundan.info [192.168.1.1]
> と出たのですが、残り30まで
> 2 * * * Request timed out.
> 、、
> 、、
> 、、
> 30 * * * Request timed out.
> Trace complete.
>
> となってしまいました。
内向きDNSでthunder-gundan.infoがどう見えているかですが、サーバのプライベートが返るなら
サーバがICMPに対応していれば、サーバに行って「1」でおしまいになるはずですが。
こんにちは、akuroです。
投稿がおそくなってしまい申しわけありませんでした。
> thunder-gundan.infoは、確かに牽けませんね。BINDの設定を最終的にどうしたのでしょうか?
>おやじが牽けるといっているのは、linux.thunder-gundan.infoです。
今会社なんですが、そこから
> C:\nslookup
> C:\server xxx.xxx.xxx.xxx(自宅IP)
> C:\linux.thunder-gundan.info
と打ってみても
DNS request timed out.
となってしまいました。
BINDの設定は、$TTL を正引きについかしてシリアルを増やしただけなんですが、、、
(ローカル解決の方は特に何もしていません。)
messages.logにも起動時にエラーは無かったです。
> 内向きDNSでthunder-gundan.infoがどう見えているかですが、サーバのプライベートが返るなら
>サーバがICMPに対応していれば、サーバに行って「1」でおしまいになるはずですが。
家からでは、nslookup thunder-gundan.infoでグローバルIPが帰ってきます。
どうやら、インターネットからの名前解決はセカンダリが行っているようです。
(プライマリ⇒セカンダリ転送は出来ているようなんですが、、、)
こんにちは。
> > 内向きDNSでthunder-gundan.infoがどう見えているかですが、サーバのプライベートが返るなら
> >サーバがICMPに対応していれば、サーバに行って「1」でおしまいになるはずですが。
>
> 家からでは、nslookup thunder-gundan.infoでグローバルIPが帰ってきます。
これはおかしいですね。内向きを建てたはずですよね。
他も、おかしいのかもしれませんね。もう一度、よく見直して、全てシリアルだけでも今日の日付にしてはどうですか?
こんばんはakuroです。
> これはおかしいですね。内向きを建てたはずですよね。
> 他も、おかしいのかもしれませんね。もう一度、よく見直して、全てシリアルだけでも今日の日付にしてはどう>ですか?
nslookupを
printer.thunder-gundan.infoとやってみても、うまくいかなかったのですが、
printer.local.thunder-gundan.infoでやってみたらうまくいきました。
これは以前おやじさんにゾーンレコードの設定を
@ 1D IN SOA linux.thunder-gundan.info. root.thunder-gundan.info. (
(linux.local.thunder-gundan.info⇒linux.thunder-gundan.infoとした)
にすることで解決したはずなのですが、なぜかlocalをつけないとうまくいかないようです。
キャッシュのせいかもしれないので、ちょっと様子をみてみます。
こんばんは。
牽けるようになりましたね。内向きも治ったのでしょうか?
こんにちはakuroです。
>こんばんは。
>牽けるようになりましたね。
いま会社から
>nslookup
>server 自宅IP
>thunder-gundan.info
とやってみたのですが、うまくいきませんでした。
(数時間前にやったときはうまくいったような気がしたのですが)
おやじさんの方からは現在も問題ありませんでしょうか?
>内向きも治ったのでしょうか?
家に帰り次第、実行してみます。
こんばんは。
今は、interlinkのセカンダリは牽けますが、akuroさんの方(プライマリ)は全く牽けません。不安定ですね。ルータ?
こんばんは、akuroです。
> 今は、interlinkのセカンダリは牽けますが、akuroさんの方(プライマリ)は全く牽けません。
家では、正引きできるのですが、ローカルの名前解決はやはり
xxx.local.thunder-gundan.info
でないと引けませんでした。
ただ、これは多分自分の設定がおかしいだけだと思います。
>不安定ですね。ルータ?
ルータなんですかね、、、
ただ、一時的とはいえ繋がったことを考えると設定は問題ないですよね。
あとは、回線に問題があるのかもしれないですね、、、
(ADSLやめて光にした方がいいかも、、、)
こんにちはakuroです。
ちょうど、新しいルーターが欲しかったのでこの期にBA8000 Proを購入しようと思います。
こんばんは。
> こんにちはakuroです。
> ちょうど、新しいルーターが欲しかったのでこの期にBA8000 Proを購入しようと思います。
相変わらず牽けませんが、53番はUDP/TCPとも応答があるので、BINDは動いていると思います。
Optionsのallow-transferとかallow-query等でDNSへのアクセス制限がかかってませんかね。
こんばんはakuroです。
> 相変わらず牽けませんが、53番はUDP/TCPとも応答があるので、BINDは動いていると思います。
>Optionsのallow-transferとかallow-query等でDNSへのアクセス制限がかかってませんかね。
named.confを見たところ、
とくに何も設定していないので問題はないようです。
あと、一瞬繋がったことを考えると、制限が原因ではないかもしれません。
そこで、以前購入したPCにRedHat9.0を入れてそっちにフォワードしてみようかな
と思ってインストールしてたら、HDDがぶっ壊れたのか、フォーマットができなくなってしまいました。
(まだつかったことなかったのに、、、)
なんとも苦戦していますが明後日にもHDDをサポートに郵送し、今週末には再度テストサーバーを構築したいと
考えています。
(今度はソースでがんばってみます)
あと、関係ないのですがOpenSSHにて重大なバグが発見されたと聞きました。
外部からアクセスされている方がいましたらRPMパッケージのアップデートを至急した方
がよいようです。