9.8. 网络
使用 negative_advice () 函数的过时的第三方模块可能会导致内核崩溃
核心网络操作 negative_advice () 调用内联 dst_negative_advice () 和 __dst_negative_advice () 函数。RHEL 8.10 中的内核修补了这些内联功能中的安全问题(CVE-2024-36971)。如果在修复前编译了第三方模块,则此模块可能会错误地调用 negative_advice ()。因此,第三方模块可能会使内核崩溃。要解决这个问题,请使用正确调用 negative_advice () 函数的更新模块。
RoCE 接口因为网络接口名称的意外更改而丢失了其 IP 设置
如果两个条件都满足,则 RDMA over Converged Ethernet (RoCE)接口会因为网络接口名称的意外更改而丢失其 IP 设置:
- 用户从 RHEL 8.6 系统或更早的版本升级。
- RoCE 卡按 UID 枚举。
要临时解决这个问题:
使用以下内容创建
/etc/systemd/network/98-rhel87-s390x.link文件:[Match] Architecture=s390x KernelCommandLine=!net.naming-scheme=rhel-8.7 [Link] NamePolicy=kernel database slot path AlternativeNamesPolicy=database slot path MACAddressPolicy=persistent
- 重启系统以使更改生效。
- 升级到 RHEL 8.7 或更高版本。
请注意,按功能 ID (FID)枚举且不是唯一的 RoCE 接口仍然会使用无法预测的接口名称,除非您设置了 net.naming-scheme=rhel-8.7 内核参数。在这种情况下,RoCE 接口将切换到具有 ens 前缀的可预测的名称。
Jira:RHEL-11398[1]
启用了 IPv6_rpfilter 选项的系统的网络吞吐量较低
在 firewalld.conf 文件中启用了 IPv6_rpfilter 选项的系统目前在高流量场景(如 100 Gbps 链接)中遇到次优性能和低网络吞吐量。要临时解决这个问题,请禁用 IPv6_rpfilter 选项。为此,请在 /etc/firewalld/firewalld.conf 文件中添加以下行:
IPv6_rpfilter=no
因此,系统性能更好,但安全性也有所降低。
Bugzilla:1871860[1]
