6.6. 网络

NetworkManager 和 Nmstate 支持为每个接口配置 IPv4 转发

在这个版本中，NetworkManager 可以为每个网络接口启用和禁用 IPv4 转发。这可直接在 NetworkManager 连接配置集中启用精细的控制，不再需要更新 sysctl 内核设置。如果您在配置集中启用 ipv4.forwarding 参数，则对应的接口充当路由器并转发 IPv4 数据包。使用默认值 auto，NetworkManager 会在任何共享连接处于活跃状态时启用 IPv4 转发，在其他情况下，它使用内核默认值。

KTLS 现在支持为 TLS 1.3 重新密钥

内核传输层安全(KTLS)是 RHEL 中不支持的技术预览，现在支持 TLS 1.3 的内核重新密钥。在以前的版本中，无法进行带有大型数据传输的长期会话，因为初始密钥只能发送有限数量的字节数。在这个版本中，更新会在活跃会话中无缝进行，支持传输大量数据，而无需重启连接。请注意，要使用这个功能，用户空间库（如 OpenSSL 和 GnuTLS）还必须支持 KTLS 重新密钥功能。

nmstate 现在支持 mtu 和 quickack 路由选项

在这个版本中，您可以使用 Nmstate 设置 mtu 和 quickack 路由选项。如果最大传输单元与默认值和调整 TCP 确认行为不同，这些设置对于优化网络性能非常重要。现在，您可以更加精确地控制网络流量行为。

nmstate 现在支持为网络接口配置 FEC 设置

在这个版本中，您可以使用 Nmstate 应用 Forward Error Correction (FEC)模式，如 RS-FEC、Base-R 和 Disabled 到接口。这些设置对于在不重新传输的情况下检测和更正错误来提高数据传输可靠性至关重要。现在，您可以使用 Nmstate 应用 FEC 设置，而不是手动配置它们或使用特定于平台的工具。

NBFT 解析器添加到 nm-initrd-generator

NVMe Boot Firmware Table (NBFT)是使用 ACPI 表将网络引导和存储配置到操作系统的标准方法。nm-initrd-generator 程序现在使用这个解析器来自动检测并应用此配置，并在没有手动设置的情况下创建必要的连接。这个实现替换了 dracut 中的 95nvmf 模块，它依赖于 systemd 自动化来实现更精简且可靠的引导序列。

NetworkManager 现在在使用 IPv6 前缀长度时支持下游接口的固定子网 ID

在这个版本中，在使用 IPv6 前缀长度时，您可以在 NetworkManager 中为下游接口指定固定子网 ID。在以前的版本中，当重启系统时，这些接口的子网 ID 可能会改变。使用固定子网 ID 时，在重启 RHEL 主机时，分配给下游网络中设备的 IPv6 地址不会改变。

nmstate 现在支持使用 MAC 地址而不是接口名称配置路由

使用 Nmstate 时，您可以通过为其分配接口的 MAC 地址来创建网络连接。在这个版本中，您可以在路由配置中的 next-hop-interface 参数中使用配置集名称而不是接口名称。使用此功能，您可以在不了解接口名称的情况下创建静态路由。

nmstate 可以根据 PCI 地址为网络接口分配设置

在这个版本中，您可以使用 Nmstate 根据其 PCI 地址而不是设备名称设置网络接口。使用此功能来确保集群中跨节点的一致性配置。详情请查看 使用带有设备路径的 nmstatectl 配置带有动态 IP 地址 的以太网连接，以及使用设备路径的 nmstatectl 配置以太网连接。

nmstate 现在支持 VLAN 接口的出口和入口优先级映射

NetworkManager 已经支持为 VLAN 接口配置流量优先级映射。在这个版本中，Nmstate 库也可以处理出口和入口优先级服务质量(QoS)映射规则。因此，您可以使用 Nmstate 创建 VLAN 并定义双向优先级映射，以帮助更精确地管理流量。

nmtui 现在支持配置 loopback 接口

NetworkManager 已支持使用 nmcli 工具配置 loopback 接口。此功能增强为 nmtui 应用程序添加了相同的功能。因此，您可以在回环接口上配置 IP 地址和路由。

NetworkManager-libreswan 插件支持使用 Libreswan 默认值

在这个版本中，您可以将 Libreswan VPN 连接配置集中的 no-nm-default 属性设置为 true 来使用 Libreswan 而不是 NetworkManager 的默认值。这样可确保与为原生 Libreswan 定义的配置兼容。现在，您可以配置 subnet-to-subnet 隧道。

Nmstate 中的绑定配置支持优化设置

在这个版本中，Nmstate API 支持以下绑定选项：

iproute rebase 到版本 6.14.0

iproute 软件包已更新至版本 6.14.0。

新的网络数据包丢弃原因和 MIB 计数器

现在，内核的网络堆栈在丢弃网络数据包时提供了更详细的原因。此功能增强还添加了两个新的管理信息基础(MIB)计数器： LINUX_MIB_PAWS_TW_REJECTED 和 LINUX_MIB_PAWS_OLD_ACK。因此，调试和诊断网络问题现在更为容易。

nft monitor trace 命令现在显示连接跟踪信息

现在，您可以使用 nft monitor trace 命令显示连接跟踪的详情。此功能简化了调试连接，有助于更好地了解连接状态。

fwctl 子系统已添加到内核中

如果启用了内核锁定功能，则内核不允许访问 /sys/ 目录和 PCI 配置空间中的 resource0 文件。fwctl 内核子系统管理与软件定义设备中固件的通信，如 mlx5 网络接口控制器。这个子系统建立了一个标准化且安全的远程过程调用(RPC)接口，它允许用户空间应用程序与设备固件交互以进行诊断、配置和更新。除了新的子系统外，mstflint 工具现在也使用 fwctl 子系统，在这些安全环境中完全使用实用程序功能。

ice 驱动程序现在支持减少 PF 的 MSI-X 向量使用情况，以释放相关 VF 的向量

有了这个增强，您可以减少分配给物理功能(PF)的 Message Signaled Interrupts eXtended (MSI-X)向量，以确保有足够数量的向量可用于关联的虚拟功能(VF)。详情请查看 物理功能 的 MSI-X 向量使用情况来释放相关虚拟功能的向量。

named 和 dnssec 工具现在支持硬件令牌的 OpenSSL 供应商

在此次更新之前，在删除 OpenSSL ENGINE 后，无法使用硬件安全令牌为 DNSSEC 区域签名存储私钥。直接使用具有 named 服务的硬件令牌和 ipa-server-dns 软件包中的 DNSSEC 功能时，需要此功能。

NetworkManager 和 Nmstate 支持为每个接口配置 IPv4 转发

在这个版本中，NetworkManager 可以为每个网络接口启用和禁用 IPv4 转发。这可直接在 NetworkManager 连接配置集中启用精细的控制，不再需要更新 sysctl 内核设置。如果您在配置集中启用 ipv4.forwarding 参数，则对应的接口充当路由器并转发 IPv4 数据包。使用默认值 auto，NetworkManager 会在任何共享连接处于活跃状态时启用 IPv4 转发，在其他情况下，它使用内核默认值。