Red Hat Summit5.5. 네트워킹
lldpad 종료 후에도 네트워킹 인터페이스 구성이 유지됨
이번 업데이트 이전에는 systemd 또는 수동으로 Link Layer Discovery Protocol Agent Daemon(lldpad)이 종료될 때 네트워킹 인터페이스 구성이 제거되었습니다. 이번 업데이트에서는 종료 후 서비스가 인터페이스 구성을 재설정하지 않도록 lldpad 소스 코드가 수정되었습니다.
RHEL은 512개의 CPU 시스템에 올바른 CPU 수를 표시합니다.
rps_default_mask 구성 설정은 들어오는 네트워크 패킷을 특정 CPU로 지시하는 기본 Receive Packet Steering(rps) 메커니즘을 제어합니다. flow_limit_cpu_bitmap 매개변수는 CPU당 흐름 제어를 활성화하거나 비활성화합니다. 이번 수정을 통해 RHEL은 콘솔의 매개변수 값과 함께 총 CPU를 올바르게 표시합니다.
netdev 장치 속성은 ethtool 출력에서 제거됩니다.
커널에 저장된 네트워크 장치 기능 플래그의 변경으로 인해 ethtool -k 명령의 출력에 다음 기능이 더 이상 표시되지 않습니다.
-
tx-lockless -
netns-local -
fcoe-mtu
이러한 플래그는 기능이 아니라 드라이버에서 ethtool -K 명령을 사용하여 변경할 수 없는 장치 속성 또는 속성입니다.
Jira:RHEL-59091[1]
NetworkManager는 VPN 연결 프로필에서 CVE-2024-3661(TunnelVision)의 영향을 완화할 수 있습니다.
VPN 연결은 경로를 사용하여 터널을 통해 트래픽을 리디렉션합니다. 그러나 DHCP 서버에서 클래스리스 정적 경로 옵션(121)을 사용하여 클라이언트의 라우팅 테이블에 경로를 추가하고 DHCP 서버에서 전파하는 경로가 VPN과 겹치는 경우 VPN 대신 물리적 인터페이스를 통해 트래픽을 전송할 수 있습니다. CVE-2024-3661은 tunnelVision이라고도 하는 이 취약점을 설명합니다. 결과적으로 공격자는 사용자가 VPN에 의해 보호될 것으로 예상되는 트래픽에 액세스할 수 있습니다.
RHEL에서 이 문제는 LibreSwan IPSec 및 WireGuard VPN 연결에 영향을 미칩니다. ipsec-interface 및 vt-interface 속성이 모두 정의되지 않았거나 no 로 설정된 프로필과 LibreSwan IPSec 연결만 영향을 받지 않습니다.
CVE-2024-3661 문서에서는 VPN 연결 프로필을 설정하여 우선 순위가 높은 전용 라우팅 테이블에 VPN 경로를 배치하여 tunnelVision의 영향을 완화하는 단계를 설명합니다. 이 단계는 LibreSwan IPSec 및 WireGuard 연결 모두에서 작동합니다.
이제 xdp-loader 기능 명령이 예상대로 작동합니다.
xdp-loader 유틸리티는 이전 버전의 libbpf 에 대해 컴파일되었습니다. 그 결과 xdp-loader 기능이 오류와 함께 실패했습니다.
Cannot display features, because xdp-loader was compiled against an old version of libbpf without support for querying features.
Cannot display features, because xdp-loader was compiled against an old version of libbpf without support for querying features.
이제 유틸리티가 올바른 libbpf 버전에 대해 컴파일됩니다. 결과적으로 이제 명령이 예상대로 작동합니다.
DMFS 모드에서 Mellanox ConnectX-5 어댑터 작동
이전 버전에서는 이더넷 스위치 장치 드라이버 모델(switchdev) 모드를 사용하는 동안 ConnectX-5 어댑터의DMFS(Device managed flow steering) 모드에서 mlx5 드라이버가 실패했습니다. 결과적으로 다음 오류 메시지가 표시되었습니다.
mlx5_core 0000:5e:00.0: mlx5_cmd_out_err:780:(pid 980895): DELETE_FLOW_TABLE_ENTRY(0x938) op_mod(0x0) failed, status bad resource(0x5), syndrome (0xabe70a), err(-22)
mlx5_core 0000:5e:00.0: mlx5_cmd_out_err:780:(pid 980895): DELETE_FLOW_TABLE_ENTRY(0x938) op_mod(0x0) failed, status bad resource(0x5), syndrome (0xabe70a), err(-22)
결과적으로 ConnectX-5 어댑터의 펌웨어 버전을 16.35.3006 이상으로 업데이트하면 오류 메시지가 표시되지 않습니다.
Jira:RHEL-9897[1]
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}