monqy blog

2017/11/18

Passed 300-115

ciscoの試験は今後は英語で受けることにする。

仕事で調べるときにも英語の情報しかないことは多く、
翻訳された汚い日本語よりも英語の方がわかりやすいと思うことはあっても、
やっぱり試験を英語で受けるというのは不安があった。

しかし、いざ受けてみたら意味の分からない文章や単語はほとんどなかった。

そして、300-115の２回目の受験にあたっては、いつも利用しているWEBでできる問題集を一切見なかった。

ciscoの公式ガイドの簡単な問題を一通り解いたのみ。

あとは、ヤフオクでcatalystを４台買って、自宅にラボを作って演習した。

自宅にラボを作るのが大事だ。職場にcatalystはイヤというほどあって、そこでも多少勉強はできるのだが、やっぱり自宅でやるのが一番。思う存分とことんやりたいことができ、疑問も解消できる。

おかげで前回と違って、ほとんどの問題に確信をもって答えられた。

シミュレーションを含めて。

英語で受けると試験時間が３０分プラスされ、１７０分になったので、
落ち着いて何度も確認しながらすすめていくことができ、確か５０分くらい時間を余した。

そして、単に問題集を覚えるだけでなく、実習によって知識を身に着けたという手ごたえがある。

CCNAに受かったのは2003年。

CCNPになることはそれほど大変ではないが、2回も更新したのは自分でもなかなかできることではないと思う。

受験料もバカにならないし、試験は年々難しくなっている。

さて、今回苦手意識のあるSwitchを克服したところで、絶対無理だと思っていたCCIEも視野に入ってきた。

2017/11/04

300-115J SWITCH受験記

Fail

試験が終了した後、合否の画面が表示されずにログインプロンプトになった。

自信があまりなかったが、なんとか受かっていてくれと祈っていたがイヤな予感がした。

受付に戻り結果を見ると不合格だった。

試験が始まって選択問題を１０個くらい解いて、マズいと思った。

最初に、３８問で７９０点が合格点だから、
１０００点満点で一問あたり２５点くらいだと計算する。

２１０点落とせるということは、１０問落とせないことになる。

配点が高いと思われるシミュレーションを間違えようものなら
おしまいだ。

試験時間は１２０分で、問題数で割ると１問あたり約３分。

シミュレーションなどは時間がかかる。

選択問題は迷っているヒマはない。

が、最初の１０問ぐらいを解いて、絶対あっていると確信できる問題がほとんどない。

そして、問題文と選択肢が、何を言っているのかわからないレベルの悪文。

よく言われることだが、これほどだったかと呆れた。

緊張していたせいもあっただろうか。

最初のシミュレーションは予想していたより複雑で面食らったがなんとかこなす。

が、後で知ったのだが事前事後の確認まで採点されるらしい。

ろくに確認せずにとりあえず要件通りに設定して終わってしまった。

そして、３個目のシミュレーションが終わったら、選択問題が急に簡単になった。

もしかしてもう不合格が確定したので難しい問題を出す意味がないと簡単にしたのか？

と不安になりながらサクサクと答えを選んでいき、試験を終了した。

Failの結果を受け取って愕然とする。

結構入念に準備して自信はあったのだが。

三連休の出鼻をくじかれた。

近くのファミレスへ行って、出題された問題を思い出そうとするがなかなか思い出せない。

だんだん、落ち着いてきて、反省と今後の対応を考えた。

前回、3年前のrouteのときも1回落ちて再受験して失効期限日に点数もギリギリで合格した。

初めて受ける試験ではないからと、テキストも買わずWEBでできる問題集を解いただけだったのが甘かった。

新試験になっているのに試験範囲もろくに確認しなかった。

今までは中古の実機を買って自宅で動作を確認していたのだが、

仕事で毎日catalystを触っているからとそれも怠った。

さっそくヤフオクでcatalystを買う。

４台買うつもりだ。3560なら１万円くらいで買えそうだ。

以前3550を３万で買ったことがある。

そして、英語で受けてみようと思う。

まだ失効まで３か月以上ある。

的中率の高い問題集を買えば受かるだろうが、

以前それをやって結局この有様だ。

私にはL2の知識が欠けている。

全般的に大した知識はないが、特にL2は苦手だ。

根本的に何か誤解しているか、知らないのだろう。

この悔しい経験をいい機会として、

今は仕事もそれほど忙しくないので、

３か月みっちり勉強する。

そして英語で受ける。

あの日本語はもう二度と見たくない。

英語はまあまあ得意だし。

あと、英語で受けると時間が３０分プラスされるそうだ。

今回は惨敗したのだがあせりすぎて１時間近く時間があまった。

じっくり行こう、今度は。

38880円は授業料だな.....

2017/11/02

vtp version 2 と version 3

version 2でサポートされる機能

・トークンリングサポート
・認識不能な Type-Length-Value（TLV）のサポート
・バージョン依存型トランスペアレントモード
・整合性検査

トークンリングなんて若い人は知らないだろう。
私は使ったことがある。
もう20年くらい前のことだ。

version 3でサポートされる機能

・拡張認証
・拡張範囲 VLAN データベース伝播のサポート（つまりvlan 1006~4094まで）

・・・と言っても、VTPなんか使ったことない。
STPどころじゃない。

この仕事をしていて、誰かが「ヴィティーピー」と発声したのを聞いたことがない。

bpdufilterとbpduguardとloopguardとrootguard

(global mode)

spanning-tree portfast bpdufilter default

spanning-tree portfast bpduguard default

spanning-tree loopguard default

ルートガードはグローバルで指定できない。

(interface mode)

spanning-tree bpdufilter enable

spanning-tree bpduguard enable

spanning-tree guard loop

spanning-tree guard root

これも覚えられない。

globalで設定するときは、「default」で有効になる。

globalということは複数のインタフェースが対象になるから、

「ループガードが有効なのがデフォルト設定」ということだろう。

bpduフィルタとガードは、portfastが設定されているポートが対象になる。

spanning-tree bpduguard default

とは設定できない。

portfastというのは「部分的なSTP無効化」に等しい。

portfastが設定されたポートにブリッジが接続されるとSTPが働かないので、ループを防ぐことができない。

本来はそういうことのないポートにportfastを設定するべきなのだが、

bpdufilter, guardは万が一のための防御策である。

インタフェースモードの設定では、「enable」にする。

個別設定なので、有効／無効にするわけだ。

しかし、ループガード、ルートガードについては設定方法が異なる。

spanning-tree loopguard enable

spanning-tree rootguard enable

とすれば覚えやすいのにね。

2017/10/09

CCNP更新

300-115J SWITCH

を受ける。

準備はいつものようにping-tで。

もう3年経ったのか・・・。

前回の更新はrouteでやったが、１回落ちたり、
新試験になることを知らなかったりとゴタゴタしたので

今回は早めに受けることにした。

BCMSNは2007年に一度落ちて翌年passした。

2012年にswitchを受かった。

それからもう5年経つ。

最近は仕事でciscoをいやというほど触っており、

明らかにスキルアップしているのを感じる。

5年も経っているから試験内容はかなり変わって難しくなっているだろう。

油断は禁物だ。

受験料が 38880円になっている・・・。ふざけやがって・・・・。

絶対失敗できないな、これは。

2017/05/21

bind@centos6@さくらのVPS　キャッシュサーバとして

DNSサーバを自前で建ててみた。

VPSで使っている自分のドメインのネームサーバはさくらインターネットのサービスを利用しており、なんの不都合もないのだが、
DNSサーバってどうやって動いてるのか知りたかったので。

まだちゃんと動いていないのだが、
起動させるだけでけっこう苦労したので
とりあえずそこまでの記録。

インストールしようとしたら、すでに入っていた。

# yum install bind bind-chroot
読み込んだプラグイン:fastestmirror, refresh-packagekit, security
インストール処理の設定をしています
（略）
パッケージ 32:bind-9.8.2-0.62.rc1.el6_9.2.x86_64 はインストール済みか最新バージョンです
パッケージ 32:bind-chroot-9.8.2-0.62.rc1.el6_9.2.x86_64 はインストール済みか最新バージョンです

設定ファイルはnamed.confということはすぐわかったが、

/etc/named.conf
/var/named/chroot/etc/named.conf

の二つがある。

「chroot環境」というものがあり、よくわからないがそっちの方がよいらしく、
すでにそれになっていた。

/etc/sysconfig/named

というファイルもある。書いてあるのは

ROOTDIR=/var/named/chroot

だけである。

WEBの情報をたよりに named.confを設定して起動してみると、エラーが出た。

/etc/named.conf:20: both "recursion no;" and "allow-recursion" active for view external

とりあえず recursion yesにした。

次のエラーは、ファイルが見つからないというものだ。

zone example.com/IN: loading from master file example.com.lan failed: file not found
zone example.com/IN: not loaded due to errors.

これはnamed.confのzoneの部分に書いたファイル名だ。

zone "." IN {
type hint;
file "named.ca";
};

zone "example.com" IN {
type master;
file "example.com.lan";
allow-update { none; };
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

};

view "external" {
match-clients { any; };
match-destinations { any; };

allow-query { any; };
recursion yes;

zone "example.com" IN {
type master;
file "example.com.wan";
allow-update { none; };
};

};

これの置いてある場所が正しくないようだ。

結論から言うと置くべき場所はデフォルト設定のままであれば下記だ。

/var/named/chroot/var/named/

/var/namedが二回も出てきて気持ち悪いが。

どうしてこうなるかというと、

まず/etc/sysconfig/named に書かれている ROOTDIRがあって、

ROOTDIR=/var/named/chroot

そこを起点として、

/var/named/chroot/etc/named.conf に書かれている

directory "/var/named";

これがくっつくので、

/var/named/chroot/var/named/ となる

/var/named/chroot/etc/named.conf に2行のinclude文がある。

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

これらのファイルは、/var/named/chroot/etc にある。

named.rfc1912.zonesの中身

# cat named.rfc1912.zones
zone "localhost.localdomain" IN {
type master;
file "named.localhost";
allow-update { none; };
};

zone "localhost" IN {
type master;
file "named.localhost";
allow-update { none; };
};

zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "named.loopback";
allow-update { none; };
};

zone "1.0.0.127.in-addr.arpa" IN {
type master;
file "named.loopback";
allow-update { none; };
};

zone "0.in-addr.arpa" IN {
type master;
file "named.empty";
allow-update { none; };
};

ここにもzone情報があって、

named.localhost
named.loopback
named.empty

というファイル名が書いてある。

これらのファイルも、

/var/named/chroot/var/named/

にある。

これらのファイルをそろえて、中身についてはさがせば情報があるので
それを書けばとりあえず起動する。

dig yahoo.co.jp @ns.example.com

VPSで引けたので、一応動いている。

自分のパソコンからVPSのサーバーを指定してnslookupしてみるとtimeoutする。

iptablesで開けたはずなのにと思ってみたら tcp 53になっていたので udpにする。

今度は Query refused となる。

/var/named/chroot/etc/named.conf

のallow-なんとかに、自分のIPアドレス（「確認君」で出るやつ）を書いてやると
引けるようになった。

options {
.......
allow-query { localhost; localnets; xx.xx.xx.xx; };
allow-recursion { localhost; localnets; xx.xx.xx.xx; };
allow-query-cache { localhost; localnets; xx.xx.xx.xx; };
forwarders{ 8.8.8.8; 8.8.4.4; };
recursion yes;
.........
};

私がやりたかったのはこれである。
こういう機能をするDNSサーバは「キャッシュサーバ」と言う。
パソコンとかで設定するDNSサーバとはキャッシュサーバのことだ。

でも、ISPとかのDNSサーバのように、だれでもクエリを許可するにはどうすればよいのだろうか？
また、そうすることの危険性ってないのだろうか？

自分のドメインのゾーン設定についてはあらためて。

2016/12/24

spamassassinに学習させる

spamassassinはほぼ完ぺきにspamを駆除していたが、

数か月たつとすり抜けるメールが増えてきたので、
学習させることにした。

#spamを学習
/usr/bin/sa-learn --spam /home/*/Maildir/.INBOX.spam/cur

#spamでないメールを学習
/usr/bin/sa-learn --ham /home/*/Maildir/cur

当然、学習させるspamメールは手動でフォルダに移動させねばならない。

私はspamassassinでspam判定したメールはspamフォルダに移動したりせず
いきなり消している。

誤判定をチェックできないがまあ、ほとんど試験的なアカウントなので。

普通はspamフォルダを作ってそこに移動させると思うが、
そのフォルダを作るには

maildirmake というコマンドを使うらしいが、そんなコマンドがない。

makedirで作ればいいのだろうがわざわざコマンド（スクリプトらしい）を使うくらいだから、
複数作ったり何か規則があったりするのだろう。

面倒くさいのでthunderbirdでspamフォルダを作った。

INBOXのしたに「spam」というフォルダを作った場合、
下記のように指定する。

/home/hoge/Maildir/.INBOX.spam/cur

これを毎日cronで動かすようにする。

0 3 * * * root /home/hoge/spamlearn.sh

中身

------------------------------------------

#! /bin/sh

# スパムメールの学習
/usr/bin/sa-learn --spam /home/*/Maildir/.INBOX.spam/cur

# 通常のメールを学習
/usr/bin/sa-learn --ham /home/*/Maildir/cur

echo done:`date`>> /home/hoge/log.txt

--------------------------------------

最後のechoは実行したかどうかわかるようにするためのもの。

コマンドをバッククォートで囲むと実行結果をechoできる。

最初 ./log.txt としたら書かれなかったのでフルパスを指定した。

このブログを検索