第 14 章 网络
支持 libnftnl 和 nftables 软件包
现在支持 nftables 和 libnftl 软件包(以前作为技术预览提供)。
nftables 软件包提供了一个数据包过滤工具,它比之前数据包过滤工具提供了大量改进。它是
iptables
、ip6tables
、arptables
和 ebtables
工具的指定成功者。
libnftnl 软件包提供了一个库,用于通过
libmnl
库与 nftables Netlink API 进行低级交互。(BZ#1332585)
ECMP fib_multipath_hash_policy
支持添加到内核中用于 IPv4 数据包
在这个版本中,增加了对使用
fib_multipath_hash_policy
选择的 Equal-cost 多路径路由(ECMP)哈希策略选择的支持,它控制多路径路由要使用的哈希策略。
当将 fib_multipath_hash_policy
设置为 1
时,内核会执行 L4 哈希
,它是根据 5 元组
(源 IP、源 IP、目标 IP、目标 IP、目标端口、IP 协议类型)集的 IPv4 数据包的多路径哈希。当将 fib_multipath_hash_policy
设置为 0
(默认),则只使用 L3 哈希
(源和目标 IP 地址)。
请注意,如果您启用
fib_multipath_hash_policy
,则互联网控制消息协议(ICMP)错误数据包不会根据内部数据包标头进行哈希处理。这是 anycast 服务的问题,因为 ICMP 数据包可以传送到不正确的主机。(BZ#1511351)
支持 VLAN 接口的硬件时间戳
在这个版本中,在 VLAN 接口上添加了硬件时间戳(包括驱动程序 dp83640)。这允许应用程序(如
linuxptp
)启用硬件时间戳。(BZ#1520356)
支持在启用了 802-3-ethernet .auto-协商时指定 速度和
双工
802-3-ethernet
属性
速度和
双工
802-3-ethernet
在以前的版本中,当在以太网连接上启用了
802-3-ethernet.auto- 协商
时,网络接口卡(NIC)支持的所有 速度和
双工模式
都会被公告。强制特定 速度和
双工模式的唯一选项是禁用 802-3-ethernet.auto- 协商
并设置 802-3-ethernet. speed
和 802-3-ethernet.duplex
属性。这不正确,因为 1000BASE-T
和 10GBASE-T
以太网标准需要始终 启用自动协商
。在这个版本中,您可以在 启用自动协商
时启用特定的 速度和
双工
。(BZ#1487477)
支持更改 IPv6 DHCP 连接的 DUID
在这个版本中,用户可以在
NetworkManager
中配置 DHCP 唯一标识符(DUID),以从动态主机配置协议(DHCP)服务器获取 IPv6 地址。现在,用户可以使用新属性 ipv6.dhcp-duid
为 DHCPv6 连接指定 DUID。有关为 ipv6.dhcp-duid
设置的值的详情,请查看 nm-settings (5)
手册页。(BZ#1414093)
ipset
rebase 到 Linux 内核版本 4.17
ipset
内核组件已升级到上游 Linux 内核版本 4.17,它比之前的版本提供了很多改进和程序错误修复。主要变更包括:
- 现在支持以下
ipset
类型: - hash:net,net
- hash:net,port,net
- hash:ip,mark
- hash:mac
- hash:ip,mac (BZ#1557599)
ipset (用户空间) rebase 到版本 6.38
ipset (用户空间)软件包升级至上游版本 6.38,它提供很多程序错误修复和增强。主要变更包括:
- 现在,在支持的 ipset 类型方面,用户空间 ipset 与 Red Hat Enterprise Linux (RHEL)内核 ipset 的实现一致
- 现在支持一个新的集合
hash:ipmac
:ipmac。https://bugzilla.redhat.com/show_bug.cgi?id=1557600
firewalld
rebase 到版本 0.5.3
firewalld
服务守护进程已升级到上游版本 0.5.3,它提供很多程序错误修复和增强。主要变更包括:
- 添加了 --check-config 选项以验证配置文件的健全性。
- 现在,在
firewalld
重启后,生成的接口(如docker
0)可以正确地重新添加到区。 - 现在支持一个新的 IP 集类型 hash:mac。(BZ#1554993)
现在支持 ipset
注释
扩展
radvd
rebase 到版本 2.17
路由器广告守护进程(radvd)
已升级至 2.17 版本。最显著的变化是 radvd
支持选择路由器广告源地址。因此,当在主机或防火墙间移动路由器地址时,连接跟踪不再会失败。(BZ#1475983)
SMB 的默认版本现在自动协商到最高支持版本 SMB2 或 SMB3
在这个版本中,服务器消息块(SMB)协议的默认版本已从 SMB1 改为自动协商到最高支持的 SMB2 或 SMB3 版本。用户仍可选择通过在通用 Internet 文件系统(CIFS)挂载中添加 vers=1.0 选项来使用不太安全的 SMB1 dialect (旧服务器)显式挂载。
请注意,SMB2 或 SMB3 不支持 Unix 扩展。依赖于 Unix 扩展的用户需要查看挂载选项并确保使用 vers=1.0。(BZ#1471950)
nftables
添加或插入规则 中的位置
被 句柄
和 索引
替换
在这个版本中,添加或插入规则中的 location 参数已弃用,并被
handle
和 index
参数替代。
nftables此语法与 replace 和 delete 命令更加一致。(BZ#1571968)
新功能 net-snmp
Red Hat Enterprise Linux 7 中的 net-snmp 软件包已使用以下新功能扩展:
- net-snmp 现在支持监控 ZFS 文件系统的磁盘。
- net-snmp 现在支持监控 ASM 集群(AC)文件系统的磁盘。(BZ#1533943, BZ#1564400)
firewalld-cmd --check-config 现在检查 XML 配置文件的有效性
这个更新为 firewall-cmd 和 firewall-offline-cmd 命令引入了 --check-config 选项。新选项检查 XML 文件中
firewalld
守护进程的用户配置。验证脚本会报告自定义规则定义中的语法错误(若有)。(BZ#1477771)
每个 IP 集都会从单个文件中保存和恢复
在这个版本中,当使用
ipset
'systemd' 服务时,每个 IP 集都会保存在 /etc/sysconfig/ipset.d/
目录中的其自己的文件中。当 ipset
服务加载 ipset
配置时,这些文件也会从每个对应的集合中恢复。此功能可以更轻松地维护和配置单个集合。
请注意,使用包含
/etc/sysconfig/ipset
中所有集合的单个文件仍然有可能。但是,如果 ipset
服务被配置为在 stop
操作中保存文件,或者在明确调用 保存
操作时,会删除此旧文件,并且所有配置的集合的内容将分成 /etc/sysconfig/ipset.d/
中的不同文件。(BZ#1440741)