Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第14章 ネットワーク

libnftnl および nftables パッケージのサポート

以前はテクノロジープレビューとして利用可能であった nftables および libnftl パッケージがサポートされるようになりました。
nftables パッケージでは、パケットフィルタリングツールが提供され、従来のパケットフィルタリングツールに比べ、利便性、機能、および性能が数多く改善されました。これは、iptables ユーティリティー、ip6tables ユーティリティー、arptables ユーティリティー、および ebtables ユーティリティーの後継として指定されます。
libnftnl パッケージは、libmnl ライブラリーを介した、nftable Netlink API との低レベルの対話のためにライブラリーを提供します。(BZ#1332585)

ECMP fib_multipath_hash_policy サポートが IPv4 パケットのカーネルに追加されました

この更新では、マルチパスルートに使用するハッシュポリシーを制御する新しい sysctl 設定である fib_multipath_hash_policy を使用した等コストマルチパスルーティング (ECMP) ハッシュポリシー選択のサポートが追加されています。fib_multipath_hash_policy1 に設定されている場合、カーネルは L4 hash を実行します。これは、5-tuple (送信元 IP、送信元ポート、宛先 IP、宛先ポート、IP プロトコルタイプ) の値セットに従った IPv4 パケットのマルチパスハッシュです。fib_multipath_hash_policy0 (デフォルト) に設定されている場合、L3 hash のみが使用されます (送信元および宛先 IP アドレス)。
fib_multipath_hash_policy を有効にした場合、インターネット制御メッセージプロトコル (ICMP) エラーパケットは内部パケットヘッダーに従ってハッシュされないことに注意してください。ICMP パケットが間違ったホストに配信される可能性があるため、これはエニーキャストサービスにとって問題となります。(BZ#1511351)

VLAN インターフェイスでのハードウェアタイムスタンプのサポート

この更新により、VLAN インターフェイスにハードウェアタイムスタンプが追加されます (ドライバー dp83640 は除外されます)。これにより、linuxptp などのアプリケーションでハードウェアのタイムスタンプを有効にすることができます。(BZ#1520356)

802-3-ethernet.auto-negotiation が有効な場合の speedduplex 802-3-ethernet プロパティーの指定のサポート

以前は、イーサネット接続で 802-3-ethernet.auto-negotiation が有効になっている場合、ネットワークインターフェイスカード (NIC) でサポートされているすべての speed および duplex モードがアドバタイズされていました。特定の speedduplex モードを強制する唯一のオプションは、802-3-ethernet.auto-negotiation を無効にし、802-3-ethernet.speed プロパティーと 802-3-ethernet.duplex プロパティーを設定することでした。1000BASE-T および 10GBASE-T イーサネット標準では auto-negotiation を常に有効にする必要があるため、これは誤りでした。この更新により、auto-negotiation が有効な場合に特定の speedduplex を有効にすることができます。(BZ#1487477)

IPv6 DHCP 接続の DUID 変更のサポート

この更新により、ユーザーは NetworkManager で DHCP Unique Identifier (DUID) を設定し、Dynamic Host Configuration Protocol (DHCP) サーバーから IPv6 アドレスを取得できるようになります。その結果、ユーザーは新しいプロパティー ipv6.dhcp-duid を使用して DHCPv6 接続の DUID を指定できるようになりました。ipv6.dhcp-duid に設定される値の詳細については、nm-settings (5)の man ページを参照してください。(BZ#1414093)

ipset が Linux カーネルバージョン 4.17 にリベースされました。

ipset カーネルコンポーネントは、アップストリームの Linux カーネルバージョン 4.17 にアップグレードされ、以前のバージョンに比べて多くの機能強化とバグ修正が行われました。主な変更点は、以下のとおりです。
  • 次の ipset タイプがサポートされるようになりました。
  • hash:net,net
  • hash:net,port,net
  • hash:ip,mark
  • hash:mac
  • hash:ip,mac (BZ#1557599)

ipset (ユーザー空間) がバージョン 6.38 にリベースされました

ipset (userspace) パッケージがアップストリームバージョン 6.38 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。主な変更点は、以下のとおりです。
  • ユーザー空間の ipset は、サポートされる ipset タイプに関して Red Hat Enterprise Linux (RHEL) カーネルの ipset 実装に合わせられるようになりました。
  • 新しいタイプのセット hash:ipmac がサポートされるようになりました (BZ# 1557600)

firewalld がバージョン 0.5.3 にリベース

firewalld サービスデーモンはアップストリームバージョン 0.5.3 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と拡張機能が提供されています。主な変更点は、以下のとおりです。
  • 設定ファイルの健全性を検証するための --check-config オプションを追加しました。
  • docker0 などの生成されたインターフェイスは、firewalld の再起動後にゾーンに正しく再追加されるようになりました。
  • 新しい IP セットタイプ hash:mac がサポートされるようになりました。(BZ#1554993)

ipset comment 拡張がサポートされるようになりました

今回の更新では、ipset comment 拡張機能が追加されました。これにより、コメント付きのエントリーを追加できます。詳細は、ipset(8) の man ページを参照してください。(BZ#1496859)

radvd がバージョン 2.17 にリベースされました

router advertisement daemon (radvd) がバージョン 2.17 にアップグレードされました。最も注目すべき変更点は、radvd がルーターアドバタイズメントのソースアドレスの選択をサポートするようになったことです。その結果、ルーターのアドレスがホストまたはファイアウォール間で移動されたときに接続追跡が失敗することがなくなりました。(BZ#1475983)

SMB のデフォルトバージョンは、サポートされている最も高いバージョンである SMB2 または SMB3 に自動ネゴシエートされるようになりました。

この更新により、サーバーメッセージブロック (SMB) プロトコルのデフォルトバージョンが SMB1 から自動ネゴシエートされるように変更され、サポートされている最も高いバージョンの SMB2 または SMB3 に変更されました。ユーザーは、Common Internet File System (CIFS) マウントに vers=1.0 オプションを追加することで、安全性の低い SMB1 ダイアレクト (古いサーバーの場合) を使用して明示的にマウントすることを引き続き選択できます。
SMB2 または SMB3 は Unix 拡張機能をサポートしていないことに注意してください。Unix 拡張に依存するユーザーは、マウントオプションを確認し、vers=1.0 が使用されていることを確認する必要があります。(BZ#1471950)

nftables の追加または挿入ルール内の positionhandleindex に置き換えられます

nftables パッケージの今回の更新により、追加または挿入ルールの position パラメーターは非推奨となり、handle 引数と index 引数に置き換えられました。この構文は、replace および delete コマンドとより一貫性があります。(BZ#1571968)

net-snmp の新機能

Red Hat Enterprise Linux 7 の net-snmp パッケージは、次の新機能で拡張されました。
  • net-snmp は、ZFS ファイルシステムのディスクの監視をサポートするようになりました。
  • net-snmp は、ASM Cluster (AC) ファイルシステムのディスクのモニタリングをサポートするようになりました。(BZ#1533943、BZ#1564400)

firewalld-cmd --check-config は XML 設定ファイルの有効性をチェックするようになりました。

この更新では、firewall-cmd コマンド、および firewall-offline-cmd コマンドに --check-config オプションが導入されました。新しいオプションは、XML ファイル内の firewalld デーモンのユーザー設定をチェックします。検証スクリプトは、カスタムルール定義に構文エラーがある場合はそれを報告します。(BZ#1477771)

各 IP セットは個別のファイルに保存され、復元されます。

この更新により、ipset `systemd` サービスが使用されると、各 IP セットは /etc/sysconfig/ipset.d/ ディレクトリー内の独自のファイルに保存されます。ipset サービスが ipset 設定をロードすると、これらのファイルも対応する各セットから復元されます。この機能により、単一セットのメンテナンスと設定が容易になります。
/etc/sysconfig/ipset 内のすべての設定済みセットを含む 1 つのファイルを使用することも可能であることに注意してください。ただし、ipset サービスが stop アクションでファイルを保存するように設定されている場合、または save 操作が明示的に呼び出された場合、このレガシーファイルは削除され、設定されているすべてのセットの内容は /etc/sysconfig/ipset.d/ 内の異なるファイルに分割されます。(BZ#1440741)