Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第 14 章 网络
支持 libnftnl 和 nftables 软件包
现在支持 nftables 和 libnftl 软件包(以前作为技术预览提供)。
nftables 软件包提供了一个数据包过滤工具,它比之前数据包过滤工具提供了大量改进。它是
iptables、ip6tables、arptables 和 ebtables 工具的指定成功者。
libnftnl 软件包提供了一个库,用于通过
libmnl 库与 nftables Netlink API 进行低级交互。(BZ#1332585)
ECMP fib_multipath_hash_policy 支持添加到内核中用于 IPv4 数据包
在这个版本中,增加了对使用
fib_multipath_hash_policy 选择的 Equal-cost 多路径路由(ECMP)哈希策略选择的支持,它控制多路径路由要使用的哈希策略。fib_multipath_hash_policy 设置为 1 时,内核会执行 L4 哈希,它是根据 5 元组 (源 IP、源 IP、目标 IP、目标 IP、目标端口、IP 协议类型)集的 IPv4 数据包的多路径哈希。当将 fib_multipath_hash_policy 设置为 0 (默认),则只使用 L3 哈希 (源和目标 IP 地址)。
请注意,如果您启用
fib_multipath_hash_policy,则互联网控制消息协议(ICMP)错误数据包不会根据内部数据包标头进行哈希处理。这是 anycast 服务的问题,因为 ICMP 数据包可以传送到不正确的主机。(BZ#1511351)
支持 VLAN 接口的硬件时间戳
在这个版本中,在 VLAN 接口上添加了硬件时间戳(包括驱动程序 dp83640)。这允许应用程序(如
linuxptp )启用硬件时间戳。(BZ#1520356)
支持在启用了 802-3-ethernet .auto-协商时指定 速度和 双工 802-3-ethernet 属性
速度和 双工 802-3-ethernet
在以前的版本中,当在以太网连接上启用了
802-3-ethernet.auto- 协商 时,网络接口卡(NIC)支持的所有 速度和 双工模式 都会被公告。强制特定 速度和 双工模式的唯一选项是禁用 802-3-ethernet.auto- 协商 并设置 802-3-ethernet. speed 和 802-3-ethernet.duplex 属性。这不正确,因为 1000BASE-T 和 10GBASE-T 以太网标准需要始终 启用自动协商。在这个版本中,您可以在 启用自动协商 时启用特定的 速度和 双工。(BZ#1487477)
支持更改 IPv6 DHCP 连接的 DUID
在这个版本中,用户可以在
NetworkManager 中配置 DHCP 唯一标识符(DUID),以从动态主机配置协议(DHCP)服务器获取 IPv6 地址。现在,用户可以使用新属性 ipv6.dhcp-duid 为 DHCPv6 连接指定 DUID。有关为 ipv6.dhcp-duid 设置的值的详情,请查看 nm-settings (5) 手册页。(BZ#1414093)
ipset rebase 到 Linux 内核版本 4.17
ipset 内核组件已升级到上游 Linux 内核版本 4.17,它比之前的版本提供了很多改进和程序错误修复。主要变更包括:
- 现在支持以下
ipset类型: - hash:net,net
- hash:net,port,net
- hash:ip,mark
- hash:mac
- hash:ip,mac (BZ#1557599)
ipset (用户空间) rebase 到版本 6.38
ipset (用户空间)软件包升级至上游版本 6.38,它提供很多程序错误修复和增强。主要变更包括:
- 现在,在支持的 ipset 类型方面,用户空间 ipset 与 Red Hat Enterprise Linux (RHEL)内核 ipset 的实现一致
- 现在支持一个新的集合
hash:ipmac:ipmac。https://bugzilla.redhat.com/show_bug.cgi?id=1557600
firewalld rebase 到版本 0.5.3
firewalld 服务守护进程已升级到上游版本 0.5.3,它提供很多程序错误修复和增强。主要变更包括:
- 添加了 --check-config 选项以验证配置文件的健全性。
- 现在,在
firewalld重启后,生成的接口(如docker0)可以正确地重新添加到区。 - 现在支持一个新的 IP 集类型 hash:mac。(BZ#1554993)
现在支持 ipset 注释 扩展
radvd rebase 到版本 2.17
路由器广告守护进程(radvd) 已升级至 2.17 版本。最显著的变化是 radvd 支持选择路由器广告源地址。因此,当在主机或防火墙间移动路由器地址时,连接跟踪不再会失败。(BZ#1475983)
SMB 的默认版本现在自动协商到最高支持版本 SMB2 或 SMB3
在这个版本中,服务器消息块(SMB)协议的默认版本已从 SMB1 改为自动协商到最高支持的 SMB2 或 SMB3 版本。用户仍可选择通过在通用 Internet 文件系统(CIFS)挂载中添加 vers=1.0 选项来使用不太安全的 SMB1 dialect (旧服务器)显式挂载。
请注意,SMB2 或 SMB3 不支持 Unix 扩展。依赖于 Unix 扩展的用户需要查看挂载选项并确保使用 vers=1.0。(BZ#1471950)
nftables 添加或插入规则 中的位置 被 句柄 和 索引替换
在这个版本中,添加或插入规则中的 location 参数已弃用,并被
handle 和 index 参数替代。新功能 net-snmp
Red Hat Enterprise Linux 7 中的 net-snmp 软件包已使用以下新功能扩展:
- net-snmp 现在支持监控 ZFS 文件系统的磁盘。
- net-snmp 现在支持监控 ASM 集群(AC)文件系统的磁盘。(BZ#1533943, BZ#1564400)
firewalld-cmd --check-config 现在检查 XML 配置文件的有效性
这个更新为 firewall-cmd 和 firewall-offline-cmd 命令引入了 --check-config 选项。新选项检查 XML 文件中
firewalld 守护进程的用户配置。验证脚本会报告自定义规则定义中的语法错误(若有)。(BZ#1477771)
每个 IP 集都会从单个文件中保存和恢复
在这个版本中,当使用
ipset 'systemd' 服务时,每个 IP 集都会保存在 /etc/sysconfig/ipset.d/ 目录中的其自己的文件中。当 ipset 服务加载 ipset 配置时,这些文件也会从每个对应的集合中恢复。此功能可以更轻松地维护和配置单个集合。
请注意,使用包含
/etc/sysconfig/ipset 中所有集合的单个文件仍然有可能。但是,如果 ipset 服务被配置为在 stop 操作中保存文件,或者在明确调用 保存 操作时,会删除此旧文件,并且所有配置的集合的内容将分成 /etc/sysconfig/ipset.d/ 中的不同文件。(BZ#1440741)
