Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第14章 ネットワーク
libnftnl および nftables パッケージのサポート
以前はテクノロジープレビューとして利用可能であった nftables および libnftl パッケージがサポートされるようになりました。
nftables パッケージでは、パケットフィルタリングツールが提供され、従来のパケットフィルタリングツールに比べ、利便性、機能、および性能が数多く改善されました。これは、
iptables
ユーティリティー、ip6tables
ユーティリティー、arptables
ユーティリティー、および ebtables
ユーティリティーの後継として指定されます。
libnftnl パッケージは、
libmnl
ライブラリーを介した、nftable Netlink API との低レベルの対話のためにライブラリーを提供します。(BZ#1332585)
ECMP fib_multipath_hash_policy
サポートが IPv4 パケットのカーネルに追加されました
この更新では、マルチパスルートに使用するハッシュポリシーを制御する新しい
sysctl
設定である fib_multipath_hash_policy
を使用した等コストマルチパスルーティング (ECMP) ハッシュポリシー選択のサポートが追加されています。fib_multipath_hash_policy
が 1
に設定されている場合、カーネルは L4 hash
を実行します。これは、5-tuple
(送信元 IP、送信元ポート、宛先 IP、宛先ポート、IP プロトコルタイプ) の値セットに従った IPv4 パケットのマルチパスハッシュです。fib_multipath_hash_policy
が 0
(デフォルト) に設定されている場合、L3 hash
のみが使用されます (送信元および宛先 IP アドレス)。
fib_multipath_hash_policy
を有効にした場合、インターネット制御メッセージプロトコル (ICMP) エラーパケットは内部パケットヘッダーに従ってハッシュされないことに注意してください。ICMP パケットが間違ったホストに配信される可能性があるため、これはエニーキャストサービスにとって問題となります。(BZ#1511351)
VLAN インターフェイスでのハードウェアタイムスタンプのサポート
この更新により、VLAN インターフェイスにハードウェアタイムスタンプが追加されます (ドライバー dp83640 は除外されます)。これにより、
linuxptp
などのアプリケーションでハードウェアのタイムスタンプを有効にすることができます。(BZ#1520356)
802-3-ethernet.auto-negotiation
が有効な場合の speed
と duplex
802-3-ethernet プロパティーの指定のサポート
以前は、イーサネット接続で
802-3-ethernet.auto-negotiation
が有効になっている場合、ネットワークインターフェイスカード (NIC) でサポートされているすべての speed
および duplex
モードがアドバタイズされていました。特定の speed
と duplex
モードを強制する唯一のオプションは、802-3-ethernet.auto-negotiation
を無効にし、802-3-ethernet.speed
プロパティーと 802-3-ethernet.duplex
プロパティーを設定することでした。1000BASE-T
および 10GBASE-T
イーサネット標準では auto-negotiation
を常に有効にする必要があるため、これは誤りでした。この更新により、auto-negotiation
が有効な場合に特定の speed
と duplex
を有効にすることができます。(BZ#1487477)
IPv6 DHCP 接続の DUID 変更のサポート
この更新により、ユーザーは
NetworkManager
で DHCP Unique Identifier (DUID) を設定し、Dynamic Host Configuration Protocol (DHCP) サーバーから IPv6 アドレスを取得できるようになります。その結果、ユーザーは新しいプロパティー ipv6.dhcp-duid
を使用して DHCPv6 接続の DUID を指定できるようになりました。ipv6.dhcp-duid
に設定される値の詳細については、nm-settings (5)
の man ページを参照してください。(BZ#1414093)
ipset
が Linux カーネルバージョン 4.17 にリベースされました。
ipset
カーネルコンポーネントは、アップストリームの Linux カーネルバージョン 4.17 にアップグレードされ、以前のバージョンに比べて多くの機能強化とバグ修正が行われました。主な変更点は、以下のとおりです。
- 次の
ipset
タイプがサポートされるようになりました。 - hash:net,net
- hash:net,port,net
- hash:ip,mark
- hash:mac
- hash:ip,mac (BZ#1557599)
ipset (ユーザー空間) がバージョン 6.38 にリベースされました
ipset (userspace) パッケージがアップストリームバージョン 6.38 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。主な変更点は、以下のとおりです。
- ユーザー空間の ipset は、サポートされる ipset タイプに関して Red Hat Enterprise Linux (RHEL) カーネルの ipset 実装に合わせられるようになりました。
- 新しいタイプのセット
hash:ipmac
がサポートされるようになりました (BZ# 1557600)
firewalld がバージョン 0.5.3 にリベース
firewalld
サービスデーモンはアップストリームバージョン 0.5.3 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と拡張機能が提供されています。主な変更点は、以下のとおりです。
- 設定ファイルの健全性を検証するための --check-config オプションを追加しました。
docker0
などの生成されたインターフェイスは、firewalld
の再起動後にゾーンに正しく再追加されるようになりました。- 新しい IP セットタイプ hash:mac がサポートされるようになりました。(BZ#1554993)
ipset
comment
拡張がサポートされるようになりました
今回の更新では、
ipset
comment
拡張機能が追加されました。これにより、コメント付きのエントリーを追加できます。詳細は、ipset(8)
の man ページを参照してください。(BZ#1496859)
radvd
がバージョン 2.17 にリベースされました
router advertisement daemon (radvd)
がバージョン 2.17 にアップグレードされました。最も注目すべき変更点は、radvd
がルーターアドバタイズメントのソースアドレスの選択をサポートするようになったことです。その結果、ルーターのアドレスがホストまたはファイアウォール間で移動されたときに接続追跡が失敗することがなくなりました。(BZ#1475983)
SMB のデフォルトバージョンは、サポートされている最も高いバージョンである SMB2 または SMB3 に自動ネゴシエートされるようになりました。
この更新により、サーバーメッセージブロック (SMB) プロトコルのデフォルトバージョンが SMB1 から自動ネゴシエートされるように変更され、サポートされている最も高いバージョンの SMB2 または SMB3 に変更されました。ユーザーは、Common Internet File System (CIFS) マウントに vers=1.0 オプションを追加することで、安全性の低い SMB1 ダイアレクト (古いサーバーの場合) を使用して明示的にマウントすることを引き続き選択できます。
SMB2 または SMB3 は Unix 拡張機能をサポートしていないことに注意してください。Unix 拡張に依存するユーザーは、マウントオプションを確認し、vers=1.0 が使用されていることを確認する必要があります。(BZ#1471950)
nftables
の追加または挿入ルール内の position
は handle
と index
に置き換えられます
nftables パッケージの今回の更新により、追加または挿入ルールの
position
パラメーターは非推奨となり、handle
引数と index
引数に置き換えられました。この構文は、replace および delete コマンドとより一貫性があります。(BZ#1571968)
net-snmp の新機能
Red Hat Enterprise Linux 7 の net-snmp パッケージは、次の新機能で拡張されました。
- net-snmp は、ZFS ファイルシステムのディスクの監視をサポートするようになりました。
- net-snmp は、ASM Cluster (AC) ファイルシステムのディスクのモニタリングをサポートするようになりました。(BZ#1533943、BZ#1564400)
firewalld-cmd --check-config は XML 設定ファイルの有効性をチェックするようになりました。
この更新では、firewall-cmd コマンド、および firewall-offline-cmd コマンドに --check-config オプションが導入されました。新しいオプションは、XML ファイル内の
firewalld
デーモンのユーザー設定をチェックします。検証スクリプトは、カスタムルール定義に構文エラーがある場合はそれを報告します。(BZ#1477771)
各 IP セットは個別のファイルに保存され、復元されます。
この更新により、
ipset
`systemd` サービスが使用されると、各 IP セットは /etc/sysconfig/ipset.d/
ディレクトリー内の独自のファイルに保存されます。ipset
サービスが ipset
設定をロードすると、これらのファイルも対応する各セットから復元されます。この機能により、単一セットのメンテナンスと設定が容易になります。
/etc/sysconfig/ipset
内のすべての設定済みセットを含む 1 つのファイルを使用することも可能であることに注意してください。ただし、ipset
サービスが stop
アクションでファイルを保存するように設定されている場合、または save
操作が明示的に呼び出された場合、このレガシーファイルは削除され、設定されているすべてのセットの内容は /etc/sysconfig/ipset.d/
内の異なるファイルに分割されます。(BZ#1440741)