您可以找到有关合规性状态报告含义的更多信息。
代码 | 描述 | 合规性状态源 | 修复 |
---|---|---|---|
72001 | 加密已停用。 | 如果 VPN IPSec 配置文件配置包含 NO_ENCRYPTION 、NO_ENCRYPTION_AUTH_AES_GMAC_128 、NO_ENCRYPTION_AUTH_AES_GMAC_192 或 NO_ENCRYPTION_AUTH_AES_GMAC_256 encryption_algorithms,则会报告此状态。此状态将影响使用所报告的不合规配置的 IPSec VPN 会话配置。 |
要修复此状态,请添加使用合规加密算法的 VPN IPSec 配置文件,并在所有 VPN 配置中使用该配置文件。请参见添加 IPSec 配置文件。 |
72011 | 包含邻居绕过完整性检查的 BGP 消息。未定义消息身份验证。 | 如果没有为 BGP 邻居配置任何密码,则会报告此状态。 此状态将影响 BGP 邻居配置。 |
要修复此状态,请在 BGP 邻居上配置密码,然后更新 Tier-0 网关配置以使用该密码。请参见配置 BGP。 |
72012 | 与 BGP 邻居的通信使用弱完整性检查。使用 MD5 进行消息身份验证。 | 如果将 MD5 身份验证用于 BGP 邻居密码,则会报告此状态。 此状态将影响 BGP 邻居配置。 |
尚无可用的修复措施,因为 NSX 仅支持对 BGP 进行 MD5 身份验证。 |
72021 | 使用 SSL 版本 3 建立安全套接字连接。建议运行 TLS v1.1 或更高版本,并完全停用具有协议漏洞的 SSLv3。 | 如果在负载均衡器客户端 SSL 配置文件、负载均衡器服务器 SSL 配置文件或负载均衡器 HTTPS 监控器中配置了 SSL 版本 3,则会报告此状态。
此状态将影响以下配置:
|
要修复此状态,请将 SSL 配置文件配置为使用 TLS 1.1 或更高版本,并在所有负载均衡器配置中使用此配置文件。请参见添加 SSL 配置文件。 |
72022 | 使用 TLS 版本 1.0 建立安全套接字连接。建议运行 TLS v1.1 或更高版本,并完全停用具有协议漏洞的 TLS v1.0。 | 如果在负载均衡器客户端 SSL 配置文件、负载均衡器服务器 SSL 配置文件或负载均衡器 HTTPS 监控器中配置了 TLS v1.0,则会报告此状态。
此状态将影响以下配置:
|
要修复此状态,请将 SSL 配置文件配置为使用 TLS 1.1 或更高版本,并在所有负载均衡器配置中使用此配置文件。请参见添加 SSL 配置文件。 |
72023 | 使用弱 Diffie-Hellman 组。 | 如果 VPN IPSec 配置文件或 VPN IKE 配置文件配置包含以下 Diffie-Hellman 组,则会报告此错误:2、5、14、15 或 16。组 2 和 5 是弱 Diffie-Hellman 组。组 14、15 和 16 不是弱组,但不符合 FIPS 标准。 此状态将影响使用所报告的不合规配置的 IPSec VPN 会话配置。 |
要修复该状态,请将 VPN 配置文件配置为使用 Diffie-Hellman 组 19、20 或 21。请参见添加配置文件。 |
72024 | 负载均衡器 FIPS 全局设置已停用。 | 如果已停用负载均衡器 FIPS 全局设置,则会报告此错误。 此状态将影响所有负载均衡器服务。 |
要修复此状态,请为负载均衡器启用 FIPS。请参见为负载均衡器配置全局 FIPS 合规性模式。 |
72025 | 在 Edge 节点上运行的 Quick Assist Technologies (QAT) 不兼容 FIPS。 | QAT 是 Intel 提供的一组硬件加速服务,用于加密和压缩。 | 要停止使用 QAT,请使用 NSX CLI。有关详细信息,请参见NSX 安装指南中的“对 IPSec VPN 批量加密的 Intel QAT 支持”。 |
72200 | 可用的真实熵不足。 | 当使用伪随机数生成器生成熵,而不是依赖于硬件生成的熵时,会报告此状态。 没有使用硬件生成的熵,因为 NSX Manager 节点没有创建足够的真实熵所需的硬件加速支持。 |
要修复此状态,您可能需要使用较新的硬件来运行 NSX Manager 节点。最新的硬件支持此功能。
注: 如果底层基础架构是虚拟的,那么您将无法获得真实熵。
|
72201 | 熵源未知。 | 当指定的节点没有可用的熵状态时,会报告此状态。 | 要修复此状态,请确认指定的节点正常运行。 |
72301 | 证书为非 CA 签名证书。 | 如果其中一个 NSX Manager 证书为非 CA 签名证书,则会报告此状态。NSX Manager 使用以下证书:
|
要修复此状态,请安装 CA 签名证书。请参见证书。 |