Red Hat Training
A Red Hat training course is available for RHEL 8
5.5.14. Red
nftables
no soporta tipos de conjuntos IP multidimensionales
El marco de filtrado de paquetes nftables
no admite tipos de conjuntos con concatenaciones e intervalos. En consecuencia, no puede utilizar tipos de conjuntos IP multidimensionales, como hash:net,port
, con nftables
.
Para solucionar este problema, utilice el marco de iptables
con la herramienta ipset
si necesita tipos de conjuntos de IP multidimensionales.
(BZ#1593711)
El objetivo TRACE
en la página man de iptables-extensions(8)
no se refiere a la variante nf_tables
La descripción del objetivo TRACE
en la página man de iptables-extensions(8)
se refiere sólo a la variante compat
, pero Red Hat Enterprise Linux (RHEL) 8.0 utiliza la variante nf_tables
. La utilidad iptables
basada en n
ftables en RHEL utiliza la expresión meta nftrace
internamente. Por lo tanto, el kernel no imprime los eventos TRACE
en el registro del kernel, sino que los envía al espacio de usuario. Sin embargo, la página de manual no hace referencia a la utilidad de línea de comandos xtables-monitor
para mostrar estos eventos.
RHEL 8 muestra el estado de un enlace 802.3ad como "Churned" después de que un conmutador no haya estado disponible durante un largo periodo de tiempo
Actualmente, cuando se configura un enlace de red 802.3ad y el conmutador está fuera de servicio durante un período de tiempo prolongado, Red Hat Enterprise Linux muestra correctamente el estado del enlace como "Churned", incluso después de que la conexión vuelve a un estado de trabajo. Sin embargo, este es el comportamiento previsto, ya que el estado "Churned" tiene como objetivo indicar al administrador que se ha producido una interrupción significativa del enlace. Para borrar este estado, reinicie el enlace de red o reinicie el host.
(BZ#1708807)
El comando ebtables
no admite la tabla broute
El comando ebtables
basado en nftables
en Red Hat Enterprise Linux 8.0 no soporta la tabla broute
. En consecuencia, los usuarios no pueden utilizar esta función.
(BZ#1649790)
El tráfico de red IPsec falla durante la descarga de IPsec cuando GRO está desactivado
No se espera que la descarga de IPsec funcione cuando la descarga de recepción genérica (GRO) está desactivada en el dispositivo. Si la descarga de IPsec está configurada en una interfaz de red y GRO está desactivado en ese dispositivo, el tráfico de red IPsec falla.
Para solucionar este problema, mantenga activado el sistema GRO en el dispositivo.
(BZ#1649647)
NetworkManager utiliza ahora el complemento DHCP interno
por defecto
NetworkManager soporta los plug-ins DHCP interno
y dhclient
. Por defecto, NetworkManager en Red Hat Enterprise Linux (RHEL) 7 utiliza el dhclient
y RHEL 8 el plug-in interno
. En ciertas situaciones, los plug-ins se comportan de manera diferente. Por ejemplo, dhclient
puede utilizar configuraciones adicionales especificadas en el directorio /etc/dhcp/
.
Si actualiza de RHEL 7 a RHEL 8 y NetworkManager se comporta de forma diferente, añada la siguiente configuración a la sección [main]
del archivo /etc/NetworkManager/NetworkManager.conf
para utilizar el complemento dhclient
:
[main] dhcp=dhclient
(BZ#1571655)
Las opciones avanzadas de la VPN basada en IPsec
no se pueden cambiar usando gnome-control-center
Cuando se configura una conexión VPN basada en IP
sec utilizando la aplicación gnome-control-center
, el diálogo Avanzado
sólo mostrará la configuración, pero no permitirá hacer ningún cambio. Como consecuencia, los usuarios no pueden cambiar ninguna opción avanzada de IPsec. Para solucionar este problema, utilice las herramientas nm-connection-editor
o nmcli
para realizar la configuración de las propiedades avanzadas.
Los archivos /etc/hosts.allow y /etc/hosts.deny contienen información inexacta
El paquete tcp_wrappers se elimina en Red Hat Enterprise Linux (RHEL) 8, pero no sus archivos, /etc/hosts.allow y /etc/hosts.deny. Como consecuencia, estos archivos contienen información obsoleta, que no es aplicable para RHEL 8.
Para solucionar este problema, utilice reglas de firewall para filtrar el acceso a los servicios. Para el filtrado basado en nombres de usuario y de host, utilice la configuración específica de la aplicación.
La desfragmentación de IP no puede ser sostenible bajo la sobrecarga de tráfico de la red
En Red Hat Enterprise Linux 8, el hilo del kernel de recolección de basura ha sido eliminado y los fragmentos de IP expiran sólo en el tiempo de espera. Como resultado, el uso de la CPU bajo Denegación de Servicio (DoS) es mucho menor, y la tasa máxima sostenible de caída de fragmentos está limitada por la cantidad de memoria configurada para la unidad de reensamblaje IP. Con la configuración por defecto, las cargas de trabajo que requieren tráfico fragmentado en presencia de caídas de paquetes, reordenamiento de paquetes o muchos flujos fragmentados concurrentes pueden incurrir en una regresión de rendimiento relevante.
En este caso, los usuarios pueden utilizar el ajuste apropiado de la caché de fragmentación IP en el directorio /proc/sys/net/ipv4
estableciendo la variable ipfrag_high_thresh
para limitar la cantidad de memoria y la variable ipfrag_time
para mantener por segundos un fragmento IP en la memoria. Por ejemplo,
echo 419430400 > /proc/sys/net/ipv4/ipfrag_high_thresh echo 1 > /proc/sys/net/ipv4/ipfrag_time
Lo anterior se aplica al tráfico IPv4. Para IPv6 los sintonizables relevantes son: ip6frag_high_thresh
e ip6frag_time
en el directorio /proc/sys/net/ipv6/
.
Ten en cuenta que cualquier carga de trabajo que dependa de un tráfico fragmentado de alta velocidad puede causar problemas de estabilidad y rendimiento, especialmente con las caídas de paquetes, y este tipo de despliegues se desaconsejan en producción.
(BZ#1597671)
Cambios en los nombres de las interfaces de red en RHEL 8
En Red Hat Enterprise Linux 8, se utiliza por defecto el mismo esquema consistente de nomenclatura de dispositivos de red que en RHEL 7. Sin embargo, algunos controladores del kernel, como e1000e
, nfp
, qede
, sfc
, tg3
y bnxt_en
cambiaron su nombre consistente en una instalación fresca de RHEL 8. Sin embargo, los nombres se conservan al actualizar desde RHEL 7.