11.6. 网络

/etc/iproute2/ 中的自定义 iproute2 设置可以正常工作

在以前的版本中，如果您已更新至 RHEL 10.0，iproute2 软件包会将默认配置存储在 /usr/share/iproute2/ 目录中。另外，如果您在 /etc/iproute2/ 中有自定义配置，则更新会重命名这些文件并附加 .rpmsave 后缀。因此，自定义设置不再会被应用。如果您更新到 iproute2 软件包的 RHEL 10.1 版本，则软件包中的安装脚本将不再重命名自定义配置文件，如果它在 /etc/iproute2/ 中找到带有 .rpmsave 后缀的文件，则脚本会删除此后缀。因此，自定义设置可以按预期工作。

如果您在运行时减少 SR-IOV VF 的数量，内核不再 panic

在以前的版本中，如果应用了以下所有条件，Linux 内核可能会 panic：

NAT 引擎现在在回复方向中检查地址冲突

在此次更新之前，网络地址转换(NAT)引擎不会检查回复方向中的地址冲突。当新传入的连接使用与现有连接相同的源地址和源端口时，这会导致连接失败。在这个版本中，NAT 引擎会检查回复方向，并检测到冲突，新连接的源端口会在内部重新映射到新的可用端口号。因此，连接会如预期进行。

nft_fib 表达式现在为 VRF 域中的 IPv4 和 IPv6 返回一致的结果

在此次更新之前，如果设备是虚拟路由和转发(VRF)域的一部分，Netfilter "nft_fib" 表达式会返回 单播，而不是 local。另外，fib daddr . iif 表达式的行为与支持 VRF 接口的 IPv4 和 IPv6 数据包不同。对于传入的 IPv6 数据包，它错误地返回底层物理接口的名称，而对于 IPv4 数据包，它可以正确地返回 VRF 设备本身的名称。在这个版本中，当设备是 VRF 域的一部分时，nft_fib 表达式现在为 IPv4 和 IPv6 提供一致的结果。

修复了使用带有 wpa_supplicant 的 PKCS installation 的网络验证方法

在 RHEL 10 中，与联邦信息处理标准(FIPS)不兼容的引擎已被删除。因此，依赖 wpa_supplicant 服务无法加载存储在 PKCS modprobe URI 格式的 X.509 证书和密钥。这导致任何使用 PKCS1.10.1 的 EAP-TLS 验证方法和变体没有连接到相关网络。要解决这个问题，wpa_supplicant 现在依赖于 pkcs11-provider 软件包，并使用同名的库从 PKCS modprobe 存储加载 X.509 证书和密钥。因此，使用 PKCSjee 的网络验证方法可以正常工作。