Red Hat Training

A Red Hat training course is available for RHEL 8

5.5.14. 网络

nftables 不支持多组 IP 设置类型

nftables 数据包过滤框架不支持设置具有串联和间隔的类型。因此,您无法使用多组 IP 设置类型,如 hash:net,port, 且带有 nftables

要临时解决这个问题,如果您需要多组 IP 设置类型,请将 iptables 框架与 ipset 工具一起使用。

(BZ#1593711)

iptables-extensions(8)man page 中的 TRACE 目标不参考 the nf_tables 变体

iptables-extensions(8)man page 中 TRACE 目标的描述仅涉及 compat 变体,但 Red Hat Enterprise Linux(RHEL)8.0 使用 the nf_tables 变体。RHEL 中的基于 nftablesiptables 实用程序在内部使用 meta nftrace 表达式。因此,内核不会在内核日志中打印 TRACE 事件,而是将它们发送到用户空间。但是,man page 不引用 xtables-monitor 命令行实用程序来显示这些事件。

(BZ#1658734)

RHEL 8 在交换机在长时间不可用后显示 802.3ad 绑定的状态为"Churned"

目前,当您配置 802.3ad 网络绑定并且交换机长时间停机时,Red Hat Enterprise Linux 会正确地将绑定的状态显示为"Churned",即使连接返回到工作状态后也是如此。但是,这是预期的行为,因为"Churned"状态旨在告知管理员发生了重大链接中断。要清除此状态,请重新启动网络绑定或重新引导主机。

(BZ#1708807)

The ebtables 命令不支持 broute

Red Hat Enterprise Linux 8.0 中的 nftables-based ebtables 命令不支持 broute 表。因此,用户无法使用这个功能。

(BZ#1649790)

当禁用 GRO 时,IPsec 网络流量在 IPsec 卸载过程中失败

当在该设备中禁用通用接收 Offload(GRO)时,IPsec 卸载将不会正常工作。如果在一个网络接口中配置了 IPsec 卸载,且在该设备中禁用 GRO,IPsec 网络流量会失败。

要临时解决这个问题,在该设备中启用 GRO。

(BZ#1649647)

NetworkManager 现在默认使用 内部 DHCP 插件

NetworkManager 支持 internaldhclient DHCP 插件。默认情况下, Red Hat Enterprise Linux(RHEL)7 中的 NetworkManager 使用 dhclient,RHEL 8 使用 internal 插件。在某些情况下,插件的行为不同。例如: dhclient 可以使用在 /etc/dhcp/ 目录里指定的附加设置。

如果您从 RHEL 7 升级到 RHEL 8,且 NetworkManager 的行为不同,请在 /etc/NetworkManager/NetworkManager.conf 文件中的 [main] 部分添加以下设置以使用 the dhclient 插件:

[main]
dhcp=dhclient

(BZ#1571655)

不能使用 gnome-control-center更改 基于 IPsec 的 VPN 高级选项

当使用 gnome-control-center 应用程序配置 基于 IPsec 的 VPN 连接时,高级 对话框将仅显示配置,但不允许进行任何更改。因此,用户无法更改任何高级 IPsec 选项。要临时解决这个问题,请使用 nm-connection-editornmcli 工具来执行高级属性的配置。

(BZ#1697326)

/etc/hosts.allow 和 /etc/hosts.deny 文件包含不准确的信息

在 Red Hat Enterprise Linux(RHEL)8 中删除 tcp_wrappers 软件包,但不删除其文件 /etc/hosts.allow 和 /etc/hosts.deny。因此,这些文件包含过时的信息,不适用于 RHEL 8。

要临时解决这个问题,请使用防火墙规则过滤对服务的访问。要根据用户名和主机名进行过滤,请使用特定于应用程序的配置。

(BZ#1663556)

在网络流量过载下,IP 碎片整理无法持续

在 Red Hat Enterprise Linux 8 中,垃圾回收内核线程已被删除,IP 片段仅在超时后过期。因此,在 Denial of Service(DoS)下的 CPU 使用率低得多,且最大可持续发展片段丢弃率会受到为 IP 回配单元配置的内存量的限制。使用默认设置工作负载需要存在数据包丢弃的碎片流量时,数据包重新排序或多个并发碎片流可能会发生相关的性能回归。

在这种情况下,用户可以在 /proc/sys/net/ipv4 目录设置 ipfrag_high_thresh 变量来限制内存量和 ipfrag_time 变量,从而在内存中保持每秒的 IP 碎片。例如:

echo 419430400 > /proc/sys/net/ipv4/ipfrag_high_thresh echo 1 > /proc/sys/net/ipv4/ipfrag_time

以上命令适用于 IPv4 流量。对于 IPv6,相关的可调项为: /proc/sys/net/ipv6/ 目录中的 ip6frag _thresh 和 ip6frag_time

请注意,任何依赖于高速碎片流量的工作负载都可能导致稳定性和性能问题,特别是在数据包丢弃方面,因此生产环境中强烈建议进行此类部署。

(BZ#1597671)

RHEL 8 中的网络接口名称更改

在 Red Hat Enterprise Linux 8 中,默认使用与 RHEL 7 相同的一致的网络设备命名方案。但是,一些内核驱动程序,如 e1000e,nfp、qedesfctg3bnxt_en 在全新安装 RHEL 8 时更改了其一致名称。但是,名称会在从 RHEL 7 升级时保留。

(BZ#1701968)