您可以找到有关合规性状态报告含义的更多信息。

表 1. 合规性报告代码
代码 描述 合规性状态源 修复
72001 加密已停用。 如果 VPN IPSec 配置文件配置包含 NO_ENCRYPTIONNO_ENCRYPTION_AUTH_AES_GMAC_128NO_ENCRYPTION_AUTH_AES_GMAC_192NO_ENCRYPTION_AUTH_AES_GMAC_256 encryption_algorithms,则会报告此状态。

此状态将影响使用所报告的不合规配置的 IPSec VPN 会话配置。

要修复此状态,请添加使用合规加密算法的 VPN IPSec 配置文件,并在所有 VPN 配置中使用该配置文件。请参见添加 IPSec 配置文件
72011 包含邻居绕过完整性检查的 BGP 消息。未定义消息身份验证。 如果没有为 BGP 邻居配置任何密码,则会报告此状态。

此状态将影响 BGP 邻居配置。

要修复此状态,请在 BGP 邻居上配置密码,然后更新 Tier-0 网关配置以使用该密码。请参见配置 BGP
72012 与 BGP 邻居的通信使用弱完整性检查。使用 MD5 进行消息身份验证。 如果将 MD5 身份验证用于 BGP 邻居密码,则会报告此状态。

此状态将影响 BGP 邻居配置。

尚无可用的修复措施,因为 NSX-T Data Center 仅支持对 BGP 进行 MD5 身份验证。
72021 使用 SSL 版本 3 建立安全套接字连接。建议运行 TLS v1.1 或更高版本,并完全停用具有协议漏洞的 SSLv3。 如果在负载均衡器客户端 SSL 配置文件、负载均衡器服务器 SSL 配置文件或负载均衡器 HTTPS 监控器中配置了 SSL 版本 3,则会报告此状态。
此状态将影响以下配置:
  • 与 HTTPS 监控器关联的负载均衡器池。
  • 与负载均衡器客户端 SSL 配置文件或服务器 SSL 配置文件关联的负载均衡器虚拟服务器。
要修复此状态,请将 SSL 配置文件配置为使用 TLS 1.1 或更高版本,并在所有负载均衡器配置中使用此配置文件。请参见添加 SSL 配置文件
72022 使用 TLS 版本 1.0 建立安全套接字连接。建议运行 TLS v1.1 或更高版本,并完全停用具有协议漏洞的 TLS v1.0。 如果在负载均衡器客户端 SSL 配置文件、负载均衡器服务器 SSL 配置文件或负载均衡器 HTTPS 监控器中配置了 TLS v1.0,则会报告此状态。
此状态将影响以下配置:
  • 与 HTTPS 监控器关联的负载均衡器池。
  • 与负载均衡器客户端 SSL 配置文件或服务器 SSL 配置文件关联的负载均衡器虚拟服务器。
要修复此状态,请将 SSL 配置文件配置为使用 TLS 1.1 或更高版本,并在所有负载均衡器配置中使用此配置文件。请参见添加 SSL 配置文件
72023 使用弱 Diffie-Hellman 组。 如果 VPN IPSec 配置文件或 VPN IKE 配置文件配置包含以下 Diffie-Hellman 组,则会报告此错误:2、5、14、15 或 16。组 2 和 5 是弱 Diffie-Hellman 组。组 14、15 和 16 不是弱组,但不符合 FIPS 标准。

此状态将影响使用所报告的不合规配置的 IPSec VPN 会话配置。

要修复该状态,请将 VPN 配置文件配置为使用 Diffie-Hellman 组 19、20 或 21。请参见添加配置文件
72024 负载均衡器 FIPS 全局设置已停用。 如果已停用负载均衡器 FIPS 全局设置,则会报告此错误。

此状态将影响所有负载均衡器服务。

要修复此状态,请为负载均衡器启用 FIPS。请参见为负载均衡器配置全局 FIPS 合规性模式
72025 在 Edge 节点上运行的 Quick Assist Technologies (QAT) 不兼容 FIPS。 QAT 是 Intel 提供的一组硬件加速服务,用于加密和压缩。 要停止使用 QAT,请使用 NSX CLI。有关详细信息,请参见NSX-T Data Center 安装指南中的“对 IPSec VPN 批量加密的 Intel QAT 支持”。
72200 可用的真实熵不足。 当使用伪随机数生成器生成熵,而不是依赖于硬件生成的熵时,会报告此状态。

没有使用硬件生成的熵,因为 NSX Manager 节点没有创建足够的真实熵所需的硬件加速支持。

要修复此状态,您可能需要使用较新的硬件来运行 NSX Manager 节点。最新的硬件支持此功能。
注: 如果底层基础架构是虚拟的,那么您将无法获得真实熵。
72201 熵源未知。 当指定的节点没有可用的熵状态时,会报告此状态。 要修复此状态,请确认指定的节点正常运行。
72301 证书为非 CA 签名证书。 如果其中一个 NSX Manager 证书为非 CA 签名证书,则会报告此状态。NSX Manager 使用以下证书:
  • Syslog 证书。
  • API 证书(用于各个 NSX Manager 节点)。
  • NSX Manager VIP。
要修复此状态,请安装 CA 签名证书。请参见证书