uptime命令

#uptime
00:59:34 up 20 days, 14:00, 2 user, load average: 0.55, 0.57, 0.84

上面命令显示示最近1 分钟内系统的平均负载是0.55，在最近5分钟内系统的平均负载是0.57，在最近的15 分钟内系统的平均负载是0.84。一共两个用户。

cat /proc/loadavg命令
#cat /proc/loadavg
1.54 1.03 0.94 1/285 28156

返回数据的含义是：
1秒钟平均负载；5秒钟平均负载；15秒钟平均负载；总作业数；正在运行的作业总数。

cat /proc/stat命令

#cat /proc/loadavg
cpu 119560393 366 75934979 491196419 22949796 273570 1653811 0
cpu0 24181069 1 18320054 132965211 2407486 3 18623 0
cpu1 27984558 11 21594016 126044599 2248274 0 20895 0
cpu2 27843845 349 21307705 116391192 12214581 35726 98960 0
cpu3 39550920 3 14713203 115795416 6079453 237839 1515332 0
intr 2741402899 1779118189 2 0 0 2 0 3 0 1 1 0 0
ctxt 7985896352
btime 1217386758
processes 1161591
procs_running 1
procs_blocked 0

返回的数据的含义如下：

前五行是CPU时间=user+system+nice+idle+iowait+irq+softirq（具体可以查看后面提供的备注）
“intr”这行给出中断的信息，第一个为自系统启动以来，发生的所有的中断的次数；然后每个数对应一个特定的中断自系统启动以来所发生的次数。
“ctxt”给出了自系统启动以来CPU发生的上下文交换的次数。
“btime”给出了从系统启动到现在为止的时间，单位为秒。
“processes (total_forks) 自系统启动以来所创建的任务的个数目。
“procs_running”：当前运行队列的任务的数目。
“procs_blocked”：当前被阻塞的任务的数目。

备注
user+system+nice+idle+iowait+irq+softirq的含义是：
user 从系统启动开始累计到当前时刻，用户态的CPU时间（单位：jiffies） ，不包含 nice值为负进程。1 jiffies=0.01秒
nice 从系统启动开始累计到当前时刻，nice值为负的进程所占用的CPU时间（单位：jiffies）
system 从系统启动开始累计到当前时刻，核心时间（单位：jiffies）
idle 从系统启动开始累计到当前时刻，除硬盘IO等待时间以外其它等待时间（单位：jiffies）
iowait 从系统启动开始累计到当前时刻，硬盘IO等待时间（单位：jiffies）
irq 从系统启动开始累计到当前时刻，硬中断时间（单位：jiffies）
softirq 从系统启动开始累计到当前时刻，软中断时间（单位：jiffies）

http://www.ccvita.com/334.html

虽然rpm或者yum很容易，但是还是喜欢编译安装...

首先升级下ssl。如果用--prefix=installdir指定了openssl的安装目录的话，那么BIND的编译：

./configure --with-openssl=/usr/local/openssl/ --prefix=/usr/local/bind

接下来生成rndc，并根据rndc生成named.conf的rndc部分：

sbin/rndc-confgen > /etc/rndc.conf
tail -10 rndc.conf | head -9 | sed s/#\ //g > named.conf

下面就是配置named.conf了。

具体以后再补充。

启动bind

/usr/local/bind/sbin/named

重启貌似需要kill然后再运行。

服务器端的https登陆设置请看
http://baalchina.nau.edu.cn/2008/08/nginx-https-rewrite/

大概了解下用到的模板，包括header.htm，footer.htm，以及logging.htm。另外，登陆成功/失败使用的是showmessage.htm模板。

首先，以header.htm和footer.htm为基础，新建header_ssl.htm以及footer.htm，在logging.php中将相应引用模板的位置修改为引用新建的ssl模板。

接下来修改对应模板。这个稍有点复杂，需要一点点调试。去掉所有的外联的图片、外联的css以及js---通过将他们修改为文件内部引用。

其中：
common.js不需要。可以去掉。
css中，注意这个：

.mainbox

他引用了一个

{HEADERBGCODE};

变量。这个其实就是一个background的图片。所以需要把这个删除。否则还是会提示“存在不安全的内容”

其他的就不多说了。包括footer中的连接等。很多，需要自己一个个去调试。

另外是showmessage模板。这个用于登陆成功、失败之后的跳转页面。

首先修改global.func.php，找到showmessage这个函数，然后复制，将函数名改成showmessagessl，或者随便其他什么名字。

将函数中用到的模板修改为showmessgae_ssl

修改logging.php，将所有的showmessage修改为showmessagessl。

修改showmessage_ssl模板，将header和footer用前面的header_ssl和footer_ssl代替。

基本搞定。

现在还是有一个提示，这个提示是登陆成功、失败之后访问/uc/api.php造成的。这个问题还需要考虑下怎么做。感觉在服务器上处理比较方便。

首先是lame server错误

Aug 26 10:49:45 cernetdns2 named[24876]: lame server resolving 'kcds.net' (in 'kcds.net'?): 216.138.0.11#
53

基本上可以理解为，我的dns向对方请求某域名解析，但是由于对方的设置错误，无法解析到。所以产生了这个"瘸腿"错误。所以问题不是很大。我们不需要这个日志。

named.conf增加：

logging {
category lame-servers { null; };
};

参考：
http://linux.vbird.org/linux_server/0350dns.php#Lame_server
http://bbs.chinaunix.net/viewthread.php?tid=328597

接下来看disabling EDNS错误。

Aug 26 10:50:12 cernetdns2 named[24876]: too many timeouts resolving '3.xiaoyouxi.com/A' (in 'xiaoyouxi.c
om'?): disabling EDNS

这个据说是bug?由于错误的EDNS请求造成的。

在log部分关闭掉他：

logging {
category edns-disabled { null; };
};

参考：
http://bbs.chinaunix.net/viewthread.php?tid=1254909
http://groups.google.com/group/comp.protocols.dns.bind/browse_thread/thread/732e104148f762e3
http://www.isc.org/index.pl?/sw/bind/view/?release=9.5.0a6

还有FORMERR resolving 错误

Aug 26 10:51:31 cernetdns2 named[24876]: FORMERR resolving 'minisite.qq.com/AAAA/IN': 61.152.100.218#53

这个就有点奇怪了，有人说是IPv6的AAAA记录，但是没有打开ipv6啊。虽然AAAA确实是Ipv6的特性。
http://www.kholix.com/wiki/index.php/FORMERR_resolving

另外有人说是recursive queries造成的。尝试关闭recursive queries试试看。

named.conf增加：

allow-recursion { localhost; };

http://www.webhostingtalk.com/showthread.php?t=531585

ps,FORMERR应该是Format Error，格式错误的意思。

'./A/IN' denied错误

Aug 26 19:04:49 cernetdns2 named[32713]: client 219.133.104.90#59054: view chinanet-in: query (cache) './A/IN' denied
Aug 26 19:04:55 cernetdns2 named[32713]: client 219.133.104.90#60509: view chinanet-in: query (cache) './A/IN' denied
Aug 26 19:04:56 cernetdns2 named[32713]: client 119.60.56.129#1886: view chinanet-in: query (cache) 'xl.339xz.com/A/IN' denied
Aug 26 19:04:56 cernetdns2 named[32713]: client 119.60.56.129#1886: view chinanet-in: query (cache) 'xl.339xz.com/A/IN' denied
 

See This:http://bbs.chinaunix.net/thread-973203-1-1.html

view cernet-in: RFC 1918 response from Internet for 63.0.29.172.in-addr.arpa

Q: What does "RFC 1918 response from Internet for 0.0.0.10.IN-ADDR.ARPA" mean?

A: If the IN-ADDR.ARPA name covered refers to a internal address space you are using then you have failed to follow RFC 1918 usage rules and are leaking queries to the Internet. You should establish your own zones for these addresses to prevent you querying the Internet's name servers for these addresses. Please see http://as112.net/ for details of the problems you are causing and the counter measures that have had to be deployed.

If you are not using these private addresses then a client has queried for them. You can just ignore the messages, get the offending client to stop sending you these messages as they are most probably leaking them or setup your own zones empty zones to serve answers to these queries.

zone "10.IN-ADDR.ARPA" {
type master;
file "empty";
};

zone "16.172.IN-ADDR.ARPA" {
type master;
file "empty";
};

...

zone "31.172.IN-ADDR.ARPA" {
type master;
file "empty";
};

zone "168.192.IN-ADDR.ARPA" {
type master;
file "empty";
};

empty:
@ 10800 IN SOA <name-of-server>. <contact-email>. (
1 3600 1200 604800 10800 )
@ 10800 IN NS <name-of-server>.

 

http://www.isc.org/index.pl?/sw/bind/FAQ.php

RFC1918的私网地址不应当泄漏到公网上。

Jan 9 14:36:16 cernetdns2 named[21627]: dns_master_load: /var/named/nauchinanet.host:120: net.nau.edu.cn: multiple RRs of singleton type
Jan 9 14:36:16 cernetdns2 named[21627]: zone nau.edu.cn/IN/chinanet-in: loading from master file /var/named/nauchinanet.host failed: multiple RRs of singleton type
Jan 9 14:36:16 cernetdns2 named[21627]: zone nauzone.net/IN/chinanet-in: loaded serial 2007051102
Jan 9 14:36:16 cernetdns2 named[21627]: running

这个是因为存在两个相同的cname记录。参见第一行。因此在外网无法解析。

ps，dns的日志在/var/log/message里面。

查看当前时区：

# vi /etc/sysconfig/clock

修改设置时区

# tzselect

定时校正

# yum install ntp
# crontab –e
*/15 * * * * /usr/sbin/ntpdate 210.72.145.44

修改CentOS-Base.repo

cd /etc/yum.repos.d
mv CentOS-Base.repo  CentOS-Base.repo.save
wget http://centos.ustc.edu.cn/CentOS-Base.repo.5
mv CentOS-Base.repo.5 CentOS-Base.repo

就可以方便的yum了。

第一次用好像会提示你导入一个key。

参考：
http://centos.ustc.edu.cn/

OSPF的LSA类型

1. Type 1（Router，路由器）：每个路由器一条，列出RID和所有接口的IP地址。也用来表示桩网络（stub network）。
2. Type 2（Network，网络）：每个过境网络一条，由子网中的DR创建，用来表示子网以及连到该子网的路由器接口。
3. Type 3（Network Summary，网络汇总）：由ABR创建，当从一个区域广播到其他区域时，用来表示该区域的类型1和2的LSA。定义了源区域的链路（子网）和开销，但没有拓扑数据。
4. Type 4（ASBR Summary）：类似于LSA类型3，只是它广播的是可达ASBR的路由
5. Type 5（AS External）：由ASBR创建，用于表示外部注入OSPF的路由。
6. Type 6（Group Membership）：为MOSPF定义，Cisco并不支持。
7. Type 7（NSSA External）：由ASBR在NSSA区域内创建，作用与LSA Type 5相似。
8. Type 8（External）：Cisco未实现。
9. Type 9-11：OSPF未来扩展所用。例如，类型10用于MPLS的流量工程。

比较详细的解释

1. LSA 1和LSA 2分别代表了Router和网络。Type1描述路由器、接口（区域内）以及每个接口上的邻接路由器列表。Type列出了Transit Area。Type2由DR产生，如果不存在DR的网络不会有Type2。两者都在Area内活动。
2. 牵涉到区域，引入了Type 3 LSA。Type3将1和2汇总。计算到达Type 3列出的子网的距离：首先计算到达宣告Type3 Router的距离，然后再加上Type3中的距离。就是最终距离。
3. Type 4以及Type 5。牵涉到了ASBR--不同AS。都是AS外的路由。
   1. Type4,E1,仅考虑外部的Metric。
   2. Type5,E2,同时需要考虑内部+外部的Metric。
   3. 当从AS外部注入E2路由时，创建LSA5，其他路由器直接使用就可以了。
   4. 当从AS外部注入E1路由是，创建的也是LSA5。但是当ABR在区域内泛洪时再创建了LSA4，其中列出了ABR到达ASBR的开销。此时到达外部路由的Cost=到达ABR的Cost+LSA4列出的Cost+LSA5的Cost。
   5. 如下图：

OSPF的区域类型

Stub Area。有说=末梢区域的，有说=桩区域的...

1. Stub的好处就是ABR不再广播LSA5到区域内，而只是广播一个默认路由。这样就会减少LSDB。
2. Stub一般工作与单一ABR的情况。如果多个ABR，虽然会工作，但是会存在次优路由。
3. 根据特定情况，某些Stub区域也会阻止LSA3。

1. Stub,屏蔽5，不屏蔽3。最基本的Stub。
2. Totally Stubby，屏蔽5以及3。
3. Not-So-Stubby-Area,NSSA，屏蔽5但是不屏蔽3.同时支持创建LSA7。
4. Totally NSSA，屏蔽5以及3的同时支持创建LSA7.

NSSA,#area area-id nssa
Totally NSSA, #area area-id nssa no-summary
Stub, #area area-id stub
Totally Stubby, #area area-id stub no-summary

也就是Totally的话那就加上no-summary

参考：
http://riser.blog.51cto.com/252482/57590

其实很早就发现我们的核心设备上有些路由是两条。比如这个：

O 172.26.8.0/30 [110/20] via 172.26.8.5, Vlan 702
via 172.26.8.85, Vlan 723

一开始以为是bug，后来以为是OSPF自动的负载均衡，现在看来不是。

比如以上面为例。

172.26.8.0/30的两个地址：
172.26.8.1/30以及172.26.8.2/30。

n7-04-b2-1.3f.pk(rw)->Router1>traceroute 172.26.8.1
Traceroute to 172.26.8.1, 30 hops max, 40 byte packets
1 10.00 ms <1 ms <1 ms 172.26.8.1 []
TraceRoute Complete

n7-04-b2-1.3f.pk(rw)->Router1>traceroute 172.26.8.2
Traceroute to 172.26.8.2, 30 hops max, 40 byte packets
1 <1 ms <1 ms <1 ms 172.26.8.85 []
2 <1 ms <1 ms <1 ms 172.26.8.86 []
3 <1 ms <1 ms <1 ms 172.26.8.85 []
4 <1 ms <1 ms <1 ms 172.26.8.86 []
5 <1 ms <1 ms <1 ms 172.26.8.85 []
6 <1 ms <1 ms <1 ms 172.26.8.86 []
Control Exit from TraceRoute

发现问题了吧。172.26.8.1是存在的，172.26.8.2这个地址不存在。
注意ping它：

n7-04-b2-1.3f.pk(rw)->Router1>ping 172.26.8.2
Destination host unreachable.
Destination host unreachable.
Destination host unreachable.

------ PING 172.26.8.2 : Statistics ------
3 packets transmitted, 0 packets received, 100% packet loss

注意是目标不可达。

n7-04-b2-1.3f.pk(rw)->Router1>ping 172.17.13.11
Request timed out.
Request timed out.

------ PING 172.17.13.11 : Statistics ------
2 packets transmitted, 0 packets received, 100% packet loss

目前原因我还没有想通...我估计尝试着把172.26.8.2这个地址配置上去，就不会出现这个问题了。

但是奇怪的，发现

O 172.26.8.8/30 [110/20] via 172.26.8.13, Vlan 704
via 172.26.8.85, Vlan 723

这一段，两个地址都可以ping通，但是172.26.8.9/30无法telnet，也就是不存在的。#show ip arp也看不到mac。那这个到底是什么？

HSRP，Hot Standby Router Protocol,
VRRP，Virtual Router Redundancy Protocol

可以使多个路由器共享同一个IP以及MAC地址。

1. VRRP
2. 使用虚拟的MAC：0000.5e00.01xx,xx为VRRP的组ID。
3. 不支持Interface Track

HSRP配置

#standby 21 ip 10.1.1.21
#standby 21 priority 105
#standby 21 preempt
#standby 21 track serial0/0.1
#standby 22 ip 10.1.1.22
#standby 22 track serial0/0.1

另一台设备上：

#standby 21 ip 10.1.1.21
#standby 21 preempt
#standby 21 track serial0/0.1

配置也就是HSRP组21，它的虚拟IP是10.1.1.21.
第一台设备指定了priority=105，大于第二台默认的100，所以第一台是Active设备。

HSRP以及VRRP的状态

HSRP的状态包括Init,Speak,Standby,Active
VRRP的状态包括Master,Backup

HSRP的preempt以及trackback

#standby 1 preempt
#standby 1 track serial 0

preempt的作用是，如果有一个新的高优先级的HSRP Router加入，会立刻成为Active Router。
track的作用是监控某个端口，如果这个端口down(protocol或者physical)，那么自动降低HSRP的priority。如果这时候另一台Router配置了preempt，那么它将成为Active。
参考：
http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tech_note09186a0080094e8c.shtml

首先是sql表的建立，以2008为例

1
2
3
4
5
6
7
8
9

CREATE TABLE `cdb_students_2008` (
  `id` mediumint(8) unsigned NOT NULL auto_increment,
  `zkzhm` varchar(20) NOT NULL,
  `xm` varchar(20) NOT NULL default '',
  `sfzhm` varchar(20) NOT NULL default '',
  `used` varchar(5) NOT NULL default '0',
  `nianji` varchar(4) NOT NULL default '2008',
  PRIMARY KEY  (`id`)
) ENGINE=MyISAM  DEFAULT CHARSET=gbk COMMENT='2008' AUTO_INCREMENT=4932 ;

然后是数据导入，多多利用excel以及ultraedit

1
2

INSERT INTO `cdb_students_2007` (`id`, `zkzhm`, `xm`, `sfzhm`, `used`, `nianji`) VALUES 
(2, '07110101153058', '闫祎', '110101198903014010', '0', '2007');