4.8. 网络
添加了 act_ctinfo 内核模块
在这个版本中,在 RHEL 中添加 act_ctinfo 内核模块。使用 tc 工具程序的 ctinfo 操作,管理员可以将 conntrack 标记或将网络数据包区分服务代码点 (DSCP) 的值复制到套接字缓冲区的 mark metadata 字段。因此,您可以根据 conntrack 标记或 DSCP 值过滤流量来使用条件。详情请查看 tc-ctinfo (8) man page。
(BZ#2027894)
cloud-init 每次在 Microsoft Azure 上引导时都更新网络配置
当管理员在虚拟机离线期间更新网络接口配置时,Microsoft Azure 不会更改实例 ID。有了这个增强,cloud-init 服务总会在虚拟机引导时更新网络配置,以确保 Microsoft Azure 上的 RHEL 使用最新的网络设置。
因此,如果您对接口手动配置设置,如额外的搜索域,cloud-init 可能会在重启虚拟机时覆盖它们。有关详情和临时解决方法,请参阅 在每次引导时 cloud-init-22.1-5 都会更新网络配置 解决方案。
PTP 驱动程序现在支持虚拟时钟和时间戳
在这个版本中,PTP 驱动程序可在空闲的 PHCs 之上创建虚拟 PTP 硬件 Clocks (PHCs),方法是写入 /sys/class/ptp/ptp/ptp*/n_vclocks。因此,用户可以在一个接口上运行多个域同步与硬件时间戳。
(BZ#2066451)
firewalld 被更新到版本 1.1.1
firewalld 软件包已升级到 1.1.1 版本。与之前的版本相比,这个版本提供多个程序错误修复和增强:
新特性:
-
富规则支持用户空间日志记录的 NetFilter-log (NFLOG)目标。请注意,RHEL 中没有 NFLOG 能够记录守护进程。但是,您可以使用
tcpdump -i nflog命令来收集您需要的日志。 -
支持使用
ingress-zones=HOST和egress-zones={ANY, source based zone}中的端口转发。
其他显著变化包括:
-
支持
afp、http3、jellyfin、netbios-ns、ws-discovery、ws-discovery-client服务 -
Z Shell 中的 tab-completion 和 sub-options 用于
policy选项
NetworkManager 现在支持 advmss、rto_min 和 quickack 路由属性
在这个版本中,管理员可以使用以下属性配置 ipv4.routes 设置:
-
rto_min(TIME) - 在与路由目的地通信时以毫秒为单位配置最小 TCP 重新传输超时。 -
quickack(BOOL)- 一个每个路由设置来启用或禁用 TCP 快速 ACK -
advms(NUMBER)- 在建立 TCP 连接时,将最大片段大小 (MSS) 公告至路由目的地。如果未指定,Linux 将使用从第一个跃点设备的最大传输单元 (MTU) 计算的默认值
使用上述属性实施 ipv4.routes 的新功能是不需要运行 dispatcher 脚本。
请注意,当您激活了上述路由属性的连接后,会在内核中设置此类更改。
(BZ#2068525)
支持 nmstate中的 802.ad vlan-protocol 选项
nmstate API 现在支持使用 802.ad vlan-protocol 选项创建 linux-bridge 接口。此功能支持配置 Service-Tag VLAN。以下示例演示了在 yaml 配置文件中使用此功能。
---
interfaces:
- name: br0
type: linux-bridge
state: up
bridge:
options:
vlan-protocol: 802.1ad
port:
- name: eth1
vlan:
mode: trunk
trunk-tags:
- id: 500firewalld 服务可以将源自本地主机的 NAT 数据包转发到不同主机和端口
您可以将运行 firewalld 服务的 localhost 发送的数据包转发到不同的目标端口和 IP 地址。该功能很有用,例如要将 loopback 设备上的端口转发到容器或虚拟机。在更改之前,firewalld 只能在收到源自于其他主机的数据包转发端口。如需了解更多详情以及说明性配置,请参阅 使用 DNAT 将 HTTPS 流量转发到其他主机。
NetworkManager 现在支持从 ifcfg-rh 迁移到密钥文件
用户可以将现有连接配置集文件从 ifcfg-rh 格式迁移到密钥文件格式。这样,所有连接配置集都将是一个位置,采用首选格式。密钥文件格式有以下优点:
- 这与 NetworkManager 如何表达网络配置的方式类似
- 保证与将来的 RHEL 版本兼容
- 更易于阅读
- 支持所有连接配置集
要迁移连接,请运行:
# nmcli connection migrate
请注意,在 RHEL 9 生命周期中,ifcfg-rh 文件将可以正常工作。但是,将配置迁移到关键文件格式可保证 RHEL 9 之外的兼容性。
详情请查看 nmcli (1)、nm-settings-keyfile (5) 和 nm-settings-ifcfg-rh (5)手册页。
在 nmstate API 中添加更多 DHCP 和 IPv6 自动配置属性
在这个版本中,在 nmstate API 中添加了对以下属性的支持:
-
DHCP-client-id用于 DHCPv4 连接,如 RFC 2132 和 4361 所述。 -
DHCP-duid用于 DHCPv6 连接,如 RFC 8415 中所述。 用于 IPv6 自动配置的
addr-gen-mode。您可以将此属性设置为:-
eui64,如 RFC 4862 所述 -
stable-privacy,如 RFC 7217 所述
-
NetworkManager 现在明确表示 RHEL 9 不提供 WEP 支持
RHEL 9.0 中的 wpa_supplicant 软件包不再包含已弃用的和不安全的 Wiquivalent Privacy (WEP) 安全算法。此增强更新了 NetworkManager 以反应这些更改。例如,nmcli device wifi list 命令现在以灰色在列表的末尾返回 WEP 访问点,连接到 WEP-protected 网络会返回有意义的错误消息。
对于安全加密,只使用带有 Wi-Fi Protected Access 2 (WPA2) 和 WPA3 身份验证的 wifi 网络。
MPTCP 代码已更新
内核中的 MultiPath TCP (MPTCP) 代码已更新,上游 Linux 5.19。与之前的版本相比,这个更新提供了很多程序错误修复和增强:
-
添加了
FASTCLOSE选项以关闭 MPTCP 连接,而无需完整的三向握手。 -
现在,添加了
MP_FAIL选项,以便在初始握手后启用回退到 TCP。 - 通过添加额外的管理信息基础 (MIB) 计数器,改进了监控功能。
-
添加了对 MPTCP 侦听器套接字的监控支持。使用
ss实用程序监控套接字。
(BZ#2079368)
