楚汉争霸之Redhat对决Novell

当大家还在把目光聚集在Oracle、IBM、Sun身上的时候，却忽视了IT业内目前还有两大生力军在互相较劲，他们同属Linux血脉，早期或多或少还有点交情。但随着外界或Linux内部的一些因素发生改变之后，这两家公司激烈的战争也渐渐的浮出了水面。

玩过中国象棋的人都知道，棋盘中央有条界，名曰“楚河、汉界”。这条界是怎么来的呢？其实最早的出处便是在秦朝末年，项羽和刘邦争夺天下所引出来的典故。
公元前206年至公元前202年，刘项之间激战5年，相持不下，双方暂时议和，以鸿沟（今河南贾鲁河）为界，河东属于楚，河西属于汉，以保持“中分天下”的局面。
“先入咸阳者为王！”
为了推翻秦朝的统治，刘邦、项羽歃血为盟，并约定：楚、汉两军谁先攻入咸阳即为天下之王！随即，一场旷日持久、波澜壮阔的战争开始了……

阅读全文请点击：楚汉争霸之Redhat对决Novell
http://os.51cto.com/art/200905/123507.htm

CentOS 5.1下 postfix + extmail + dovecot + maildrop 最新版安装笔记

CentOS 5.1下 postfix + extmail + dovecot + maildrop 最新版安装笔记

本文最初发表于 http://hi.baidu.com/delphiss/blog/item/38571c94f7a7d50e7af48052.html
转载请注明出处
作者：wdy

安装环境是 CentOS 5.1，分区的时候 对 /var/spool/postfix 和 /var/vmail 进行了单独分区。

/var/spool/postfix 是postfix存储队列的地方， /var/vmail 是用来存储虚拟账号邮件的。

CentOS提供了很方便的yum在线安装，我的基本原则是非重要、对版本不敏感的模块尽量用yum安装，邮件系统主要模块则用源码编译安装。

首先用yum安装的模块有： mysql mysql-server mysql-devel db4-devel openssl gcc libxml2 libxml2-devel gcc-c++

几个模块都需要用到PCRE, 前面说的 gcc-c++ 是安装PCRE必须的。
下载安装 RCRE：
ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-7.8.tar.gz

先说明一下几个模块的搭配。

MTA 用的是 postfix的最新版本 postfix-2.5.5。

web模块是最先需要确定的，因为它决定了mysql表结构，这里选用国产的extmail，其他的根据extmail的需要倒推来确定。

webmail 使用 extmail-1.0.5 ，web管理模块用 extman-0.2.5

最新版本的extmail对maildrop的自动回复、转发等提供了很好的支持，所以MDA采用最流行的maildrop（2.0.4 ）

这里面简单说一下为什么要用maildrop。

对虚拟用户投递的支持，postfix自带了一个投递代理(MDA)：virtual

virtual投递代理在 master.cf 里描述为：
virtual unix - n n - - virtual

如果我们在main.cf 里 设置 virtual_transport = virtual ，就表示对于包含在 virtual_mailbox_domains 域名里的邮件，都使用virtual进行投递。

postfix自带的virtual只提供了最基本的QUOTA功能，如果想使用更复杂的功能，如自动转发，自动回复，邮件自定义过滤等，就需要换成更高级的MDA。

当然可选择的MDA有很多种，比如 procmail, maildrop 等。我这里选用maildrop，为啥？大家都用这个。。。

用户信息存储方式也有很多可选的，比如mysql,ldap等。这里选mysql，原因是各个模块，包括extmail等对这个支持最好最方便最简单。

maildrop 在投递邮件的时候，需要确定一些数据，比如收件用户的Maildir的路径，保存邮件用的uid，gid，邮箱容量等，这些数据需要maildrop的同门师兄 courier-authlib 来提供，所以要先吧courier-authlib装好。

下面要说的是SMTP 的 SASL认证（这个说来话长，有空补上）。postfix的模块化设计在这里也体现出比qmail高明的地方。

postfix 2.3 以后sasl支持三种模块：
Cyrus SASL version 1
Cyrus SASL version 2
Dovecot protocol version 1

网上大部分的文章都是讲用 Cyrus SASL 2（并用Cyrus IMAP 提供POP3/IMAP服务），本文采用后起新秀 Dovecot 做为 sasl模块，Dovecot同时提供 POP3/IMAP 服务。

Dovecot使用最新的dovecot-1.1.4 。

开始安装！

下载 postfix-2.5.5.tar.gz

postfix安装的是需要指定几个专门的用户和组，先创建

#groupadd -g 2001 postfix
#useradd -g postfix -u 1001 -s /sbin/nologin -M postfix
#groupadd -g 2002 postdrop
#useradd -g postdrop -u 2002 -s /bin/false -M postdrop

编译
#make makefiles CCARGS='-DUSE_SASL_AUTH -DDEF_SERVER_SASL_TYPE=\"dovecot\" \
-DHAS_PCRE -DHAS_MYSQL \
-I/usr/include/ -I/usr/local/include -I/usr/include/mysql/' \
AUXLIBS='-L/usr/local/lib -L/usr/lib/mysql -lmysqlclient -lpcre'
#make
#make install

make install的提问全部回车默认。
注意参数
-DUSE_SASL_AUTH -DDEF_SERVER_SASL_TYPE=\"dovecot\"
表示启用SASL身份认证，并默认使用dovecot。
mysql的几个路径可以根据实际情况做修改，我这里的目录都是yum默认安装的。


先导入mysql表结构和数据。

下载extman-0.2.5.tar.gz
解开后进入 docs目录


建库建表：
#mysql -u root -p < extmail.sql
（注意extmail.sql里配置的数据库，用户名，口令都是extmail)

导入初始数据：
#mysql -u root -p < init.sql
（先吧 init.sql 文件里的 extmail.org 改成你自己的域名）

把目录下 mysql_*.cf 全部拷贝至 /etc/postfix
# cp mysql_*.cf /etc/postfix/

下载 dovecot-1.1.4.tar.gz

#./configure --prefix=/usr/local/dovecot --sysconfdir=/etc/dovecot --with-sql --with-sql-drivers --with-mysql --with-ssl=openssl
#make
#make install

注：dovecot的安装参考了javaeye unixboy的文章，略有改动

配置dovecot.conf
#cd /etc/dovecot
#cp dovecot-example.conf dovecot.conf
#vi dovecot.conf

[Copy to clipboard] [ - ]CODE:
base_dir=/var/run/dovecot
protocols=imap imaps pop3 pop3s
listen=*
disable_plaintext_auth = no
ssl_disable = yes
mail_location = maildir:/var/vmail/%d/%n/Maildir
pop3_uidl_format=%08Xu%08Xv

auth default {
...
mechanisms = plain login digest-md5 cram-md5

# 去掉注释
passdb sql {
args = /etc/dovecot/dovecot-sql.conf
}
...
# 去掉注释
userdb sql {
args = /etc/dovecot/dovecot-sql.conf
}
...
socket listen {
...
client {
path = /var/spool/postfix/private/auth
mode = 0660
user = postfix
group = postfix
}
}
}
配置dovecot-sql.conf
#cp dovecot-sql-example.conf dovecot-sql.conf
#vi dovecot-sql.conf

[Copy to clipboard] [ - ]CODE:
driver = mysql
connect = host=localhost dbname=extmail user=extmail password=extmail
default_pass_scheme = MD5-CRYPT

password_query = SELECT username AS user, password AS password \
FROM mailbox WHERE username = '%u' AND active = '1'

user_query = \
SELECT maildir as home,2001 as uid ,2001 as gid \
FROM mailbox WHERE username='%u' and active='1'
创建符号链接
#ln -s /usr/local/dovecot/sbin/dovecot /usr/bin/dovecot

继续配置 postfix

#mv /etc/aliases /etc/aliases.old
#ln -s /etc/postfix/aliases /etc/aliases
#/usr/bin/newaliases

# vi main.cf

[Copy to clipboard] [ - ]CODE:
myhostname = mail.abc.com
mydomain = abc.com
myorigin = $mydomain
mydestination = $myhostname localhost localhost.$mydomain
mynetworks = 127.0.0.0/8
inet_interfaces = all
home_mailbox = Maildir/

sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
setgid_group = postdrop
html_directory = no
manpage_directory = /usr/local/man
sample_directory = /etc/postfix

#=====================Vritual Mailbox settings=========================
virtual_mailbox_base = /var/vmail/
virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf
virtual_alias_domains =
virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf
virtual_uid_maps = static:2001
virtual_gid_maps = static:2001
virtual_transport = virtual

#====================QUOTA========================
message_size_limit = 52428800
mailbox_size_limit = 209715200
virtual_mailbox_limit = 209715200
virtual_create_maildirsize = yes
virtual_mailbox_extended = yes
virtual_mailbox_limit_maps = mysql:/etc/postfix/mysql_virtual_mailbox_limit_maps.cf
virtual_mailbox_limit_override = yes
virtual_overquota_bounce = yes

#====================SASL ESMTP Authenticat=================
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
#smtpd_sasl_path 注意这个是dovecot的sasl路径，与 dovecot.conf 里的对应
smtpd_sasl_path = private/auth
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_mynetworks,
permit_sasl_authenticated,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_unknown_sender_domain,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_unauth_pipelining,
reject_unauth_destination
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_banner=$myhostname ESMTP


readme_directory = no
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
queue_directory = /var/spool/postfix
mail_owner = postfix
data_directory = /var/lib/postfix
启动服务
dovecot
postfix start

如果出错，看看 /var/log/maillog

未完待续...高清播放机

linux下TC控制流量文档

欢迎转发交流,但请注明原出处信息.powered by KindGeorge. http://kindgeorge.at.3322.org
#!/bin/bash
#脚本文件名: tc2
#########################################
#用TC(Traffic Control)解决ADSL宽带速度瓶颈技术 Ver.1.0 powered by KindGeorge http://kindgeorge.at.3322.org#
########################################
#此脚本经过实验通过，更多的信息请参阅http://lartc.org
#tc+iptables+HTB+SFQ
#
#一.什么是ADSL? ADSL（Asymmetric Digital Subscriber Loop，非对称数字用户环路）
#用最简单的话的讲,就是采用上行和下行不对等带宽的基于ATM的技术.
#举例,我们最快的其中一条ADSL带宽是下行3200Kbit,上行只有320Kbit.带宽通常用bit表示.
#
#1、下行3200K 意味着什么？
#因为 1Byte=8Bit ,一个字节由8个位(bit)组成,一般用大写B表示Byte,小写b表示Bit.
#所以 3200K=3200Kbps=3200K bits/s=400K bytes/s.
#2、 上行320K 意味着什么？
# 320K=320Kbps=320K bits/s=40K bytes/s.
#就是说,个人所能独享的最大下载和上传速度,整条线路在没任何损耗,最理想的时候,
#下载只有400K bytes/s,上传只有最大40K bytes/s的上传网速.
#这些都是理想值,但现实总是残酷的,永远没有理想中那么好.至少也有损耗,何况内部网有几十台
#电脑一起疯狂上网.
#
#3.ADSL上传速度对下载的影响
#(1)TCP/IP协议规定，每一個封包，都需要有acknowledge讯息的回传，也就是说，传输的资料，
#需要有一个收到资料的讯息回复，才能决定后面的传输速度，並决定是否重新传输遗失
#的资料。上行的带宽一部分就是用來传输這些acknowledge(确认)資料模鄙闲懈涸毓?
#大的时候，就会影响acknowledge资料的传送速度，并进而影响到下载速度。这对非对称
#数字环路也就是ADSL这种上行带宽远小于下载带宽的连接来说影响尤为明显。
#(2)试验证明，当上传满载时，下载速度变为原来速度的40％，甚至更低.因为上载文件(包括ftp
#上传,发邮件smtp),如果较大,一个人的通讯量已经令整条adsl变得趋向饱和,那么所有的数据
#包只有按照先进先出的原则进行排队和等待.这就可以解释为什么网内其中有人用ftp上载文件,
#或发送大邮件的时候,整个网速变得很慢的原因。
#
#二.解决ADSL速度之道
#1. 为解决这些速度问题,我们按照数据流和adsl的特点,对经过线路的数据进行了有规则的分流.
#把本来在adsl modem上的瓶颈转移到我们linux路由器上,可以把带宽控制的比adsl modem上的小一点,
#这样我们就可以方便的用tc技术对经过的数据进行分流和控制.
#我们的想象就象马路上的车道一样,有高速道,还有小车道,大车道.需要高速的syn,ack,icmp等走
#高速道,需要大量传输的ftp-data,smtp等走大车道,不能让它堵塞整条马路.各行其道.
#2. linux下的TC(Traffic Control)就有这样的作用.只要控制得当,一定会有明显的效果.
#tc和iptables结合是最好的简单运用的结合方法.
#我们设置过滤器以便用iptables对数据包进行分类,因为iptables更灵活，而且你还可以为每个规则设
#置计数器. iptables用mangle链来mark数据包,告诉了内核，数据包会有一个特定的FWMARK标记值(hanlde x fw)，
#表明它应该送给哪个类( classid x : x),而prio是优先值,表明哪些重要数据应该优先通过哪个通道.
#首先选择队列,cbq和htb是不错的选择,经过实验,htb更为好用,所以以下脚本采用htb来处理
#3. 一般系统默认的是fifo的先进先出队列,就是说数据包按照先来先处理的原则,如果有一个大的数
#据包在前面,#那么后面的包只能等前面的发完后才能接着发了,这样就算后面即使是一个小小的ack包,
#也要等待了,这样上传就影响了下载,就算你有很大的下载带宽也无能为力.
#HTB(Hierarchical Token Bucket, 分层的令牌桶)
#更详细的htb参考 http://luxik.cdi.cz/~devik/qos/htb/
#HTB就象CBQ一样工作，但是并不靠计算闲置时间来整形。它是一个分类的令牌桶过滤器。它只有很少的参数
#他的分层(Hierarchical)能够很好地满足这样一种情况：你有一个固定速率的链路，希望分割给多种不同的
#用途使用,为每种用途做出带宽承诺并实现定量的带宽借用。
#4. 结构简图:
#~~~~~~ |
#~~~~~ __1:__
#~~~~ |~~~~~ |
#~ _ _ _1:1~~~ 1:2_ _ _ _ _ _ _ _
# | ~ ~ | ~ ~ ~ | ~ ~ | ~ ~ | ~ ~ |
#1:11~1:12~~1:21~1:22~1:23~1:24
#优先顺序是1:11 1:12 1:21 1:22 1:23 1:24
#
#--------------------------------------------------------------------------------------------
#5.根据上面的例子,开始脚本
#通常adsl用pppoe连接,的得到的是ppp0,所以公网网卡上绑了ppp0
#关于参数的说明
#(1)rate: 是一个类保证得到的带宽值.如果有不只一个类,请保证所有子类总和是小于或等于父类.
#(2)ceil: ceil是一个类最大能得到的带宽值.
#(3)prio: 是优先权的设置,数值越大,优先权越小.如果是分配剩余带宽,就是数值小的会最优先取得剩余
#的空闲的带宽权.
#具体每个类要分配多少rate,要根据实际使用测试得出结果.
#一般大数据的话,控制在50%-80%左右吧,而ceil最大建议不超过85%,以免某一个会话占用过多的带宽.
#rate可按各类所需分配,
#1:11 是很小而且最重要的数据包通道,当然要分多点.甚至必要时先全部占用,不过一般不会的.所以给全速.
#1:12 是很重要的数据道,给多点,最少给一半,但需要时可以再多一点.
#rate 规划 1:2 = 1:21 + 1:22 + 1:23 + 1:24 一般总数在50%-80%左右
#1:21 http,pop是最常用的啦,为了太多人用,而导致堵塞,我们不能给得太多,也不能太少.
#1:22 我打算给smtp用,优先低于1:21 以防发大的附件大量占用带宽,
#1:23 我打算给ftp-data,和1:22一样,很可能大量上传文件,所以rate不能给得太多,而当其他有剩时可以给大些,ceil设置大些
#1:24 是无所谓通道,就是一般不是我们平时工作上需要的通道了,给小点,防止这些人在妨碍有正常工作需要的人
#上行 uplink 320K,设置稍低于理论值
DEV="ppp0"
UPLINK=300
#下行downlink 3200 k 大概一半左右,以便能够得到更多的并发连接
DOWNLINK=1500
echo "==================== Packetfilter and Traffic Control 流量控制 By 网络技术部 Ver. 1.0===================="
start_routing() {
echo -n "队列设置开始start......"
#1.增加一个根队列，没有进行分类的数据包都走这个1:24是缺省类:
tc qdisc add dev $DEV root handle 1: htb default 24
#1.1增加一个根队下面主干类1: 速率为$UPLINK k
tc class add dev $DEV parent 1: classid 1:1 htb rate ${UPLINK}kbit ceil ${UPLINK}kbit prio 0
#1.1.1 在主干类1下建立第一叶子类,这是一个最高优先权的类.需要高优先和高速的包走这条通道,比如SYN,ACK,ICMP等
tc class add dev $DEV parent 1:1 classid 1:11 htb rate $[$UPLINK]kbit ceil ${UPLINK}kbit prio 1
#1.1.2 在主类1下建立第二叶子类 ,这是一个次高优先权的类。比如我们重要的crm数据.
tc class add dev $DEV parent 1:1 classid 1:12 htb rate $[$UPLINK-150]kbit ceil ${UPLINK-50}kbit prio 2
#1.2 在根类下建立次干类 classid 1:2 。此次干类的下面全部优先权低于主干类,以防重要数据堵塞.
tc class add dev $DEV parent 1: classid 1:2 htb rate $[$UPLINK-150]kbit prio 3
#1.2.1 在次干类下建立第一叶子类,可以跑例如http,pop等.
tc class add dev $DEV parent 1:2 classid 1:21 htb rate 100kbit ceil $[$UPLINK-150]kbit prio 4
#1.2.2 在次干类下建立第二叶子类。不要太高的速度,以防发大的附件大量占用带宽,例如smtp等
tc class add dev $DEV parent 1:2 classid 1:22 htb rate 30kbit ceil $[$UPLINK-160]kbit prio 5
#1.2.3 在次干类下建立第三叶子类。不要太多的带宽,以防大量的数据堵塞网络,例如ftp-data等,
tc class add dev $DEV parent 1:2 classid 1:23 htb rate 15kbit ceil $[$UPLINK-170]kbit prio 6
#1.2.4 在次干类下建立第四叶子类。无所谓的数据通道,无需要太多的带宽,以防无所谓的人在阻碍正务.
tc class add dev $DEV parent 1:2 classid 1:24 htb rate 5kbit ceil $[$UPLINK-250]kbit prio 7
#在每个类下面再附加上另一个队列规定,随机公平队列(SFQ)，不被某个连接不停占用带宽,以保证带宽的平均公平使用：
#SFQ(Stochastic Fairness Queueing，随机公平队列),SFQ的关键词是“会话”(或称作“流”) ，
#主要针对一个TCP会话或者UDP流。流量被分成相当多数量的FIFO队列中，每个队列对应一个会话。
#数据按照简单轮转的方式发送, 每个会话都按顺序得到发送机会。这种方式非常公平，保证了每一
#个会话都不会没其它会话所淹没。SFQ之所以被称为“随机”，是因为它并不是真的为每一个会话创建
#一个队列，而是使用一个散列算法，把所有的会话映射到有限的几个队列中去。
#参数perturb是多少秒后重新配置一次散列算法。默认为10
tc qdisc add dev $DEV parent 1:11 handle 111: sfq perturb 5
tc qdisc add dev $DEV parent 1:12 handle 112: sfq perturb 5
tc qdisc add dev $DEV parent 1:21 handle 121: sfq perturb 10
tc qdisc add dev $DEV parent 1:22 handle 122: sfq perturb 10
tc qdisc add dev $DEV parent 1:23 handle 133: sfq perturb 10
tc qdisc add dev $DEV parent 1:24 handle 124: sfq perturb 10
echo "队列设置成功.done."
echo -n "设置包过滤 Setting up Filters......"
#这里设置过滤器,handle 是iptables作mark的值,让被iptables 在mangle链做了mark的不同的值选择不同的通
#道classid,而prio 是过滤器的优先级别.
tc filter add dev $DEV parent 1:0 protocol ip prio 1 handle 1 fw classid 1:11
tc filter add dev $DEV parent 1:0 protocol ip prio 2 handle 2 fw classid 1:12
tc filter add dev $DEV parent 1:0 protocol ip prio 3 handle 3 fw classid 1:21
tc filter add dev $DEV parent 1:0 protocol ip prio 4 handle 4 fw classid 1:22
tc filter add dev $DEV parent 1:0 protocol ip prio 5 handle 5 fw classid 1:23
tc filter add dev $DEV parent 1:0 protocol ip prio 6 handle 6 fw classid 1:24
echo "设置过滤器成功.done."

########## downlink #################################################
#6. 下行的限制:
#设置入队的规则,是因为把一些经常会造成下载大文件的端口进行控制,不让它们来得太快,导致堵塞.来得太快
#的就直接drop,就不会浪费和占用机器时间和力量去处理了.
#(1). 把下行速率控制在大概1000-1500k左右,因为这个速度已经足够用了,以便能够得到更多的并发下载连接
tc qdisc add dev $DEV handle ffff: ingress
tc filter add dev $DEV parent ffff: protocol ip prio 50 handle 8 fw police rate ${DOWNLINK}kbit burst 10k drop flowid :8
}
#(2).如果内部网数据流不是很疯狂的话,就不用做下载的限制了,用#符号屏蔽上面两行即可.
#(3).如果要对任何进来数据的数据进行限速的话,可以用下面这句:
#tc filter add dev $DEV parent ffff: protocol ip prio 10 u32 match ip src 0.0.0.0/0 police rate ${DOWNLINK}kbit burst 10k drop flowid :1
#################################################
#7. 开始给数据包打标记，往PREROUTING链中添加mangle规则：
start_mangle() {
echo -n "开始给数据包打标记......start mangle mark......"
#(1)把出去的不同类数据包(为dport)给mark上标记1--6.让它走不同的通道
#(2)把进来的数据包(为sport)给mark上标记8,让它受到下行的限制,以免速度太过快而影响全局.
#(3)每条规则下根着return的意思是可以通过RETURN方法避免遍历所有的规则,加快了处理速度
##设置TOS的处理：
#iptables -t mangle -A PREROUTING -m tos --tos Minimize-Delay -j MARK --set-mark 1
#iptables -t mangle -A PREROUTING -m tos --tos Minimize-Delay -j RETURN
#iptables -t mangle -A PREROUTING -m tos --tos Minimize-Cost -j MARK --set-mark 4
#iptables -t mangle -A PREROUTING -m tos --tos Minimize-Cost -j RETURN
#iptables -t mangle -A PREROUTING -m tos --tos Maximize-Throughput -j MARK --set-mark 5
#iptables -t mangle -A PREROUTING -m tos --tos Maximize-Throughput -j RETURN
##提高tcp初始连接(也就是带有SYN的数据包)的优先权是非常明智的：
iptables -t mangle -A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j RETURN
######icmp,想ping有良好的反应,放在第一类吧.
iptables -t mangle -A PREROUTING -p icmp -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p icmp -j RETURN
# small packets (probably just ACKs)长度小于64的小包通常是需要快些的,一般是用来确认tcp的连接的,
#让它跑快些的通道吧.也可以把下面两行屏蔽,因为再下面有更多更明细的端口分类.
#iptables -t mangle -A PREROUTING -p tcp -m length --length :64 -j MARK --set-mark 2
#iptables -t mangle -A PREROUTING -p tcp -m length --length :64 -j RETURN
#ftp放第2类,因为一般是小包, ftp-data放在第5类,因为一般是大量数据的传送.
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport ftp -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport ftp -j RETURN
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport ftp-data -j MARK --set-mark 5
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport ftp-data -j RETURN
iptables -t mangle -A PREROUTING -p tcp -m tcp --sport ftp -j MARK --set-mark 8
iptables -t mangle -A PREROUTING -p tcp -m tcp --sport ftp -j RETURN
iptables -t mangle -A PREROUTING -p tcp -m tcp --sport ftp-data -j MARK --set-mark 8
iptables -t mangle -A PREROUTING -p tcp -m tcp --sport ftp-data -j RETURN
##提高ssh数据包的优先权：放在第1类,要知道ssh是交互式的和重要的,不容待慢哦
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 22 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 22 -j RETURN
#
##smtp邮件：放在第4类,因为有时有人发送很大的邮件,为避免它堵塞,让它跑4道吧
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 25 -j MARK --set-mark 4
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 25 -j RETURN
#iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 25 -j MARK --set-mark 8
#iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 25 -j RETURN
## name-domain server：放在第1类,这样连接带有域名的连接才能快速找到对应的地址,提高速度的一法
iptables -t mangle -A PREROUTING -p udp -m udp --dport 53 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p udp -m udp --dport 53 -j RETURN
#
## http：放在第3类,是最常用的,最多人用的,
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 80 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 80 -j RETURN
iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 80 -j MARK --set-mark 8
iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 80 -j RETURN
##pop邮件：放在第3类
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 110 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 110 -j RETURN
iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 110 -j MARK --set-mark 8
iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 110 -j RETURN
## https：放在第3类
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 443 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 443 -j RETURN
iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 443 -j MARK --set-mark 8
iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 443 -j RETURN
## Microsoft-SQL-Server：放在第2类,我这里认为较重要,一定要保证速度的和优先的.
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 1433 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 1433 -j RETURN
iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 1433 -j MARK --set-mark 8
iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 1433 -j RETURN
## voip用, 提高,语音通道要保持高速,才不会断续.
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 1720 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 1720 -j RETURN
iptables -t mangle -A PREROUTING -p udp -m udp --dport 1720 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p udp -m udp --dport 1720 -j RETURN
## vpn ,用作voip的,也要走高速路,才不会断续.
iptables -t mangle -A PREROUTING -p udp -m udp --dport 7707 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p udp -m udp --dport 7707 -j RETURN
## 放在第1类,因为我觉得它在我心中很重要,优先.
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 7070 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 7070 -j RETURN
## WWW caching service：放在第3类
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 8080 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 8080 -j RETURN
iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 8080 -j MARK --set-mark 8
iptables -t mangle -A PREROUTING -p tcp -m tcp --sport 8080 -j RETURN
##提高本地数据包的优先权：放在第1
iptables -t mangle -A OUTPUT -p tcp -m tcp --dport 22 -j MARK --set-mark 1
iptables -t mangle -A OUTPUT -p tcp -m tcp --dport 22 -j RETURN
iptables -t mangle -A OUTPUT -p icmp -j MARK --set-mark 1
iptables -t mangle -A OUTPUT -p icmp -j RETURN
#本地small packets (probably just ACKs)
iptables -t mangle -A OUTPUT -p tcp -m length --length :64 -j MARK --set-mark 2
iptables -t mangle -A OUTPUT -p tcp -m length --length :64 -j RETURN
#(4). 向PREROUTING中添加完mangle规则后，用这条规则结束PREROUTING表：
##也就是说前面没有打过标记的数据包将交给1:24处理。
##实际上是不必要的，因为1:24是缺省类，但仍然打上标记是为了保持整个设置的协调一致，而且这样
#还能看到规则的包计数。
iptables -t mangle -A PREROUTING -i $DEV -j MARK --set-mark 6
echo "标记完毕! mangle mark done!"
}
#-----------------------------------------------------------------------------------------------------
#8.取消mangle标记用的自定义函数
stop_mangle() {
echo -n "停止数据标记 stop mangle table......"
( iptables -t mangle -F && echo "ok." ) || echo "error."
}
#9.取消队列用的
stop_routing() {
echo -n "(删除所有队列......)"
( tc qdisc del dev $DEV root && tc qdisc del dev $DEV ingress && echo "ok.删除成功!" ) || echo "error."
}
#10.显示状态
status() {
echo "1.show qdisc $DEV (显示上行队列):----------------------------------------------"
tc -s qdisc show dev $DEV
echo "2.show class $DEV (显示上行分类):----------------------------------------------"
tc class show dev $DEV
echo "3. tc -s class show dev $DEV (显示上行队列和分类流量详细信息):------------------"
tc -s class show dev $DEV
echo "说明:设置总队列上行带宽 $UPLINK k."
echo "1. classid 1:11 ssh、dns、和带有SYN标记的数据包。这是最高优先权的类包并最先类 "
echo "2. classid 1:12 重要数据,这是较高优先权的类。"
echo "3. classid 1:21 web,pop 服务 "
echo "4. classid 1:22 smtp服务 "
echo "5. classid 1:23 ftp-data服务 "
echo "6. classid 1:24 其他服务 "
}
#11.显示帮助
usage() {
echo "使用方法(usage): `basename $0` [start | stop | restart | status | mangle ]"
echo "参数作用:"
echo "start 开始流量控制"
echo "stop 停止流量控制"
echo "restart 重启流量控制"
echo "status 显示队列流量"
echo "mangle 显示mark标记"
}
#----------------------------------------------------------------------------------------------
#12. 下面是脚本运行参数的选择的控制
#
kernel=`eval kernelversion`
case "$kernel" in
2.2)
echo " (!) Error: won't do anything with 2.2.x 不支持内核2.2.x"
exit 1
;;
2.4|2.6)
case "$1" in
start)
( start_routing && start_mangle && echo "开始流量控制! TC started!" ) || echo "error."
exit 0
;;
stop)
( stop_routing && stop_mangle && echo "停止流量控制! TC stopped!" ) || echo "error."
exit 0
;;
restart)
stop_routing
stop_mangle
start_routing
start_mangle
echo "流量控制规则重新装载!"
;;
status)
status
;;
mangle)
echo "iptables -t mangle -L (显示目前mangle表表标记详细):"
iptables -t mangle -nL
;;

*) usage
exit 1
;;
esac
;;
*)
echo " (!) Error: Unknown kernel version. check it !"
exit 1
;;
esac
#三.结束语
#1. 如果要支持htb,请到相关网站下载有关补丁.
#此脚本是参考http://lartc.org 和 http://luxik.cdi.cz/~devik/qos/htb/ 和http://www.docum.org/docum.org
#和听取chinaunix.net的C++版主JohnBull的"Linux的高级路由和流量控制北京沙龙讲座录音
#及关于<>,经过不断调试得出的总结结果,在此感谢所有作出贡献的人.
#2. iptables,在http://www.iptables.org/ .iptables v1.2.7a 和tc是Red hat linux 9.0下自带的版本.
#3. 此脚本已经在Red Hat Linux 9.0内核2.4.20上,内网约70台频繁上网机器的环境下运行数月,事实证明良好.
#4. 如果ADSL带宽不同或有变,调节相关rate参数及ceil参数即可.
#5. 还有,如果结合IMQ,IMQ(Intermediate queueing device,中介队列设备)把上行和下行都进行分类控制
#就更理想了,但要支持IMQ,就要重新编译内核.关于补丁和更多的文档请参阅imq网站http://www.linuximq.net/
#6. 欢迎转载,但请保留原出处 powered by KindGeorge. http://kindgeorge.at.3322.org
#7. 除了ADSL外,还可以进行其他宽带的控制.
#8. 如果看谁老是在网内搞鬼,经常占满带宽,就把它列为黑名单,并派到"无所谓的数据通道",以防无所谓的人
#在阻碍正务: iptables -t mangle -I PREROUTING 1 -s 192.168.xxx.xxx -j MARK --set-mark 6
# iptables -t mangle -I PREROUTING 2 -s 192.168.xxx.xxx -j RETURN
#9.使用方法: 整篇文档拷贝后,chmod +x tc2 ,
#执行脚本: ./tc2 start (或其他参数start | stop | restart | status | mangle )即可
#如果想每次在ppp启动时就启动,则在/etc/ppp/ip-up 文件里面加上一句: /路径/tc2 restart
#10.结合web界面的流量监测就更完美了,以下汇总
#用免费流量监控进行流量监测相关例子可以参阅:http://blog.chinaunix.net/article.php?articleId=15921&blogId=4543
echo "script done!"
exit 1
#end----------------------------------------------------------------------------------------

如何能让一个redhat下的程序死掉后自动重启

参照inittab
srv:2345:respawn:/path/to/your/app


id号，见man inittab

真没注意那个srv.. 我只是看到那个respawn，想起这样启动的进程由init来守护，
进程掉了init自动重启进程，不需要其他的什么脚本crontab的，觉得安全又便捷...

用图介绍Linux内核是如何工作的

牛津字典中对"kernel"一词的定义是："较软的、通常是一个坚果可食用的部分。"第二种定义："某个东西核心或者最重要的部分。"对Linux来说，它的Kernel无疑属于第二种解释。
让我们先从一点理论说起。
　　广义地来说kernel就是一个软件，它在硬件和运行在计算机上的应用程序之间提供了一个层。严格点从计算机科学的角度来说，Linux中的Kernel指的是Linus Torvalds在90年代初期写的那点代码。
　　所有的你在Linux各版本中看到的其他东西--Bash shell、KDE窗口管理器、web浏览器、X服务器、Tux Racer以及所有的其他，都不过是运行在Linux上的应用而已，而不是操作系统自身的一部分。为了给大家一个更加直观的感觉，我来举个例子，比如 RHEL5的安装大概要占据2.5GB的硬盘空间(具体多大当然视你的选择安装来定)，在这其中，kernel以及它的各个模块组件，只有47MB，所占比例约为2%。
　　那么kernel到底是如何工作的呢?
如下面的图表。Kernel通过许多的进入端口也就是我们从技术角度所说的系统调用，来使得运行在它上面的应用程序可用。Kernel使用的系统调用比如"读"和"写"来提供你硬件的抽象(abstraction)。



　　从程序员的视角来看，这些看起来只是普通的功能调用，然而实际上系统调用在处理器的操作模式上，从用户空间到Kernel空间有一个明显的切换。

Oracle数据库补丁分类、安装及管理

根据Patch Set Notes中的说明，有一些特殊系统构成需要额外的步骤，本例中由于全部没有涉及到，所以可以按标准步骤执行。

另外，检查“Known issues and alerts affecting 10.1.0.5”文档后，发现10.1.0.5引入的影响最大的一个Bug是执行SELECT MAX（）在某些特定条件下结果不正确。而这一Bug可以通过设置事件（event）关闭FIRST ROW优化而避免。最后的结论是这一BUG不会对本系统有影响，可以安装PSR10.1.0.5.

1. 检查数据库表空间和初始化参数是否需要调整。
System表空间要求有一定未使用空间：初始化参数SHARED_POOL_SIZE 和 JAVA_POOL_SIZE不能低于最小值150MB.
2. 关闭数据库，停止listener和agent等进程。
3. 解压缩下载文件至某一目录，执行oui.

在压缩文件中附带的oui的版本要比已经安装的版本高，应总是使用新版本的oui.在oui窗口中，要求选择本次安装的软件的位置，正确的位置是解压缩目录下的子目录Disk1/stage/， 选中products.xml即可开始文件拷贝。
要注意窗口中会出现本次安装的日志文件的文件路径和文件名。文件的位置是在Oracle的inventory所在目录的子目录logs中，文件名由前缀InstallActions和安装日期时间组成，如： InstallActions2006-08-30-11-32-48AM.log.

正常结束后，退出oui.打开日志文件，检索是否出现error 或“ORA-”的错误信息。本次安装产生的日志文件内，没有任何此类的信息，表明PSR软件安装成功。如果此时再次启动oui，点击“已安装软件”，则可以看到在原有的10.1.0.2软件之下，新出现了10.1.0.5一项，这也证实PSR软件安装成功。

4.更新数据库数据字典
更新数据字典时，必须以特殊的升级方式打开数据库。
$ sqlplus /nolog SQL> CONNECT / AS SYSDBA SQL> STARTUP UPGRADE SQL> SPOOL patch.log SQL> @？/rdbms/admin/catpatch.sql
执行结束后，关闭重定向：
SQL> SPOOL OFF
打开文件patch.log检查是否有错误“ORA-”。（这一文件在启动sqlplus时的当前目录中，当然也可以在“SPOOL patch.log”语句中显式指定文件路径。）如果出现错误要分析原因，在解决问题后，需要再次执行catpatch.sql程序。

更新数据字典时，由于对某些PL/SQL包删除后又重新生成，造成相关PL/SQL包的状态为异常（invalid）。在以后调用这些包时，检测到其状态为非法，会自动执行编译命令，使状态成为正常（valid）。虽然不会出错，但会造成个别处理第一次执行时变慢。显然，与其留到应用系统运行时再一个个编译，不如之前集中一次重编译所有异常包。

SQL> SHUTDOWN SQL> STARTUP SQL> @？/rdbms/admin/utlrp.sql

最后，根据Known Issues中的指示，完成与本系统有关的操作。例如，修改Pro*C的配置文件。这里执行一个修改文件存取权限的“后操作”，以便非同组用户和程序可以存取客户端工具和库函数。
$ cd $ORACLE_HOME/install $ ./ changePerm.sh
如前所述，在发布一个PSR后发现的新BUG，只能把其补丁收入到下一个PSR中。如果对数据库有实质性影响，则这一补丁以个别补丁的形式向用户提供。个别补丁是与某一个特定的PSR关联，是安装在这一PSR之上的。另外，如同其名字表明的，个别补丁只是单一Bug的补丁，不会包含其他个别补丁，即不是累积型的。
在9.2版之前，安装个别补丁的操作完全是手工的。这种手工方式的缺点不仅在于加重DBA的负担，容易造成操作失误，更严重的是无法对已安装的个别补丁进行管理。
为解决手工方式的缺陷，从9.2版开始，Oracle公司设计实现了个别补丁安装管理工具opatch.opatch使用一个称为 inventory的系统数据结构（严格说是与oui共享inventory），集中管理所有已安装的个别补丁；个别补丁的安装和卸载都使用opatch 命令完成，冲突检测也由opatch在安装时自动完成；提供列表命令可以很方便得到已安装个别补丁的信息。
10g（10.1和10.2）版本中，opatch作为一个标准工具，在软件安装时自动安装。（安装在$ORACLE_HOME/OPatch 下。）而对于9.2版，需要从metalink下载opatch.无论数据库是哪一个版本，系统中是否已经安装opatch，在使用之前，应从 metalink下载最新版本的opatch.很遗憾，由于系统实现的问题，10.2使用的opatch与之前版本（10.1和9.2）使用的 opatch不兼容，不能混用，这一点必须注意。
opatch是使用perl编写的脚本程序（其中也使用JAVA API）。编程使用的perl版本是5.6版，虽然在5.6之前的版本中也可运行，但应尽可能安装5.6或以上的版本的perl.对于DBA来说一个好消息是，如果安装9.2版软件时保留了HTTP服务器，则在$ORACLE_HOME/Apache下会自动安装perl.（10g会自动安装配置perl 和opatch.）
opatch命令格式为：
opatch < command > [< command_options >] [ -h[elp] ]
命令有：apply（安装个别补丁）、rollback（卸载个别补丁）、lsinventory（对inventory进行列表）、 query（显示某一个别补丁的详细信息）、version（显示opatch版本信息）。在opatch目录下，有用户使用指南文件（Users_Guide.txt），其中有详细的命令格式和使用示例，读者可以参考。Opatch执行操作时，除在屏幕输出结果外，还生成日志文件。日志文件的路径和文件名格式如下：
$ORACLE_HOME/.patch_storage/< patch_id >/ < action >-< patch_id >_< mm-dd-yyyy_hh-mi-ss >.log
其中“patch_id”是Oracle技术支持部门为个别补丁分配的编号。
沿用安装PSR实例中的环境。在安装PSR10.1.0.5后，检索metalink，发现若干在其之上的个别补丁。选择其中之一安装。
个别补丁Patch 4518443修复BUG4518443，这一BUG的主要问题是TNS LISTENER在注册ONS（Oracle Notification Services）的同时如果创建子进程，那么LISTENER会挂起（HANGUP）。
安装时，首先，从metalink下载补丁的压缩文件p4518443_10105_LINUX.zip.将此文件解压缩至某一目录中。解压缩后，这一补丁的所有文件都在子目录4518443下，目录名就是个别补丁的补丁号，opatch依据目录名获得信息，所以一定不要重命名子目录。
然后，在终端窗口中，执行cd命令移动到4518443子目录中，执行以下命令：
$ $ORACLE_HOME/OPatch/opatch apply 对inventory列表，确认安装操作： $ $ORACLE_HOME/OPatch/opatch lsinventory
执行卸载命令时，也必须使4518443子目录成为当前目录。其中，Rollback命令需要两个参数：-id给出个别补丁号；-ph 给出个别补丁解压缩后的路径。
$ $ORACLE_HOME/OPatch/opatch rollback -id 4518443 -ph /…/4518443
随后再对inventory列表，则会看到这一个别补丁已经被移去。
不需要启动数据库，执行加选项的对inventory的列表命令，可以得到已安装的软件的各个组件的详细版本信息。
$ $ORACLE_HOME/OPatch/opatch lsinventory -detail 一个CPU内包含了对多个安全漏洞的修复，并且也包括相应必需的非安全漏洞的补丁。CPU是累积型的，只要安装最新发布的CPU即可，其中包括之前发布的所有CPU的内容。事实上，在CPU之前的安全漏洞修改除去个别例外也被包括在CPU中。Oracle公司只对处于标准技术支持和延长支持期间的产品提供CPU更新，对处于维持支持范围的产品不提供新的CPU.（对于9.2以前的版本，只对处于ECS和EMS期间的版本提供CPU更新。）一般对当前补丁发行版及前一个版本提供CPU，但也有只限于当前补丁发行版的例外情形。也就是说，一般需要先安装最新PSR后才可能安装CPU.由于是累积型的定期发布，所以对于某一平台的某一版本，如果两次CPU发布期间没有发现新的安全漏洞，则新发布的CPU与前一版本完全相同。
本文出自 “帅小伙的博客” 博客，请务必保留此出处http://zhaizhenxing.blog.51cto.com/643480/134471

RHEL5--DNS智能策略解析

RHEL5--DNS智能策略解析



什么是智能DNS策略解析
　　随着原中国电信集团按南北地域分家，新的中国电信和网通集团随即成立，互联网的骨干网也被一分为二了，北有网通、南有电信。从此，细心的网民可以发现，有些经常访问的网站速度一下子慢了下来，有时候还有访问不到的情况出现。例如北方地区的网络用户访问中国网通的服务器会非常快，而访问中国电信的服务器时，感觉非常慢。这种现象不仅影响了网站的访问量，更严重的是它直接影响了一些经营性网站的经济效益。据分析，产生这个问题的根本原因是中国电信分家之后，电信与网通之间的互连存在问题。虽然信息产业部已经在规划电信网通互联互通计划，但在今后相当长的一段时期内，南北方网互连的问题还会存在。

解决方案
　　智能DNS策略解析很好的解决了上面所述的问题。DNS策略解析最基本的功能是可以智能的判断访问您网站的用户，然后根据不同的访问者把您的域名分别解析成不同的IP地址。如访问者是网通用户，DNS策略解析服务器会把你的域名对应的网通IP地址解析给这个访问者。如果用户是电信用户，DNS策略解析服务器会把您域名对应的电信IP地址解析给这个访问者。
　　智能DNS策略解析还可以实现就近访问机制(即将推出)。有些用户在国外和国内都放置了服务器，使用我们的DNS策略解析服务可以让国外的网络用户访问你国外的服务器，国内的用户访问国内的服务器，从而使国内外的用户都能迅速的访问到你的服务器。
智能DNS策略解析还可以给你的多个主机实现负载均衡，这时来自各地的访问流量会比较平均的分布到你的每一个主机上，主机的数量限制为40个。

　 要使用的智能DNS策略解析服务您要具备下面的条件：
　　1．你的主机已经申请了合法的域名。
　　2．您的主机上配置有电信、网通各一个合法的公网IP地址。
　　3．你在电信机房和网通机房各放置了一台主机。
　　4．要使用多主机负载均衡服务，你需要有多台主机并连接到了互联网上。
注意：第二条和第三条只要有一条满足条件即可。主机所使用的操作系统和这个策略解析服务无关。

试验步骤：

第一步：安装dns服务器软件包

[root@yixia ~]#mount /dev/cdrom /mnt
[root@yixia ~]#cd /mnt/Server
[root@yixia Server]# rpm -ivh bind-9.3.3-7.el5.i386.rpm
[root@yixia Server]# rpm -ivh bind-chroot-9.3.3-7.el5.i386.rpm
[root@yixia Server]# rpm -ivh caching-nameserver-9.3.3-7.el5.i386.rpm

第二步：建立主配置文件，并修改相关选项；

[root@yixia ~]# cp -p /var/named/chroot/etc/named.caching-nameserver.conf named.conf
[root@yixia ~]# vi /var/named/chroot/etc/named.conf
options {
listen-on port 53 { any; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
query-source port 53;
query-source-v6 port 53;
allow-query { any; }; //允许所有客户机请求查询；
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
view localhost_resolver {
match-clients { localhost; };
match-destinations { localhost; };
recursion yes;
include "/etc/named.rfc1912.zones";
};
acl "cnc" { 192.168.1.251/32; }; //定义网通客户端的地址端范围；
acl "tel" { 192.168.1.252/32; }; //定义电信客户端的地址端范围；
view "cnc" in { //定义网通视图；
match-clients { cnc; }; //定义客户端匹配的条件；
recursion yes;
additional-from-auth yes;
additional-from-cache yes;

zone "xxx.com.cn" IN {
type master;
file "xxx.com.cn.db1";
};
};
view "tel" in { //定义电信视图；
match-clients { tel; }; //定义客户端匹配的条件；
recursion yes;
additional-from-auth yes;
additional-from-cache yes;
zone "xxx.com.cn" IN {
type master;
file "xxx.com.cn.db2";
};
};

第三步：建立区域的数据库文件；

[root@yixia ~]# cd /var/named/chroot/var/named
[root@yixia named]# vi xxx.com.cn.db1
$TTL 86400
xxx.com.cn. IN SOA ns.xxx.com.cn. root@xxx.com.cn. (
42 ; serial (d. adams)
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
IN NS ns.xxx.com.cn.
ns IN A 192.168.1.102
www IN A 2.2.2.2

[root@yixia named]# vi xxx.com.cn.db2
$TTL 86400
xxx.com.cn. IN SOA ns.xxx.com.cn. root@xxx.com.cn. (
42 ; serial (d. adams)
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
IN NS ns.xxx.com.cn.
ns IN A 192.168.1.102
www IN A 3.3.3.3

第四步：客户机测试

网通客户机
pc1 ip：192.168.1.251 subnetmask：255.255.255.0 dns：192.168.1.102

电信客户机
pc2 ip：192.168.1.252 subnetmask：255.255.255.0 dns：192.168.1.102

pc1测试结果

C:\>nslookup
>server 192.168.1.102
> www.xxx.com.cnName: www.xxx.com.cnAddress: 2.2.2.2

pc2测试结果
C:\>nslookup
>server 192.168.1.102
> www.xxx.com.cnName: www.xxx.com.cnAddress: 3.3.3.3

结果：同一个域名，在不同的客户机上解析得到不同的ip地址，这就是我们想要的结果。