VMware Aria Operations for Networks unterstützt die folgenden Absichtstypen.
Gruppe (Kategorie) | Absichtstyp | Name | Benutzeroberflächenname | Schweregrad | Virtuell/Physisch | Beschreibung |
---|---|---|---|---|---|---|
STIG | Kontokennwortschutz | Konto nicht kennwortgeschützt | Der Zugriff auf das Administratorkonto ist auf den folgenden Geräten nicht kennwortgeschützt. | Hoch | Physisch | Das Netzwerkgerät muss für den Administratorzugriff kennwortgeschützt sein. |
Kennwortschutz bei Konsolenzugriff | Konsolenzugriff nicht kennwortgeschützt | Der Zugriff auf den Konsolenport ist auf den folgenden Geräten nicht kennwortgeschützt. | Hoch | Physisch | Das Netzwerkgerät muss für den Konsolenzugriff eine Authentifizierung erfordern. | |
Vorhandensein eines Standardkennworts | Vorhandensein eines Standardkennworts | Das standardmäßige Herstellerkennwort wird auf den folgenden Geräten verwendet. | Hoch | Physisch | Das Netzwerkgerät darf keine vom Hersteller festgelegten Standardkennwörter aufweisen. | |
Kennwortschutz der Verwaltungsverbindung | Verwaltungsverbindung nicht kennwortgeschützt | Der Zugriff auf den Verwaltungsport ist auf den folgenden Geräten nicht kennwortgeschützt. | Hoch | Physisch | Das Netzwerkgerät muss vor dem Einrichten einer Verwaltungsverbindung für den Administratorzugriff eine Authentifizierung erfordern. | |
Sichtbarkeit des Klartextkennworts | Sichtbarkeit des Klartextkennworts | Klartextkennwörter sind auf den folgenden Geräten sichtbar. | Hoch | Physisch | Das Netzwerkgerät darf keine Klartextkennwörter aufweisen. | |
Netzwerkintegrität | Duplex-Nichtübereinstimmung | Duplex-Nichtübereinstimmung | Die Duplexkonfiguration stimmt für die folgenden Ports nicht überein. | Kritisch | Physisch, Virtuell | Die Port-Duplexkonfiguration der Ports auf jedem Link muss übereinstimmen. |
Doppelte IP-Adresse | Doppelte IP-Adresse | Für die folgenden Schnittstellen wurde eine doppelte IP-Adresse konfiguriert. | Kritisch | Physisch | Doppelte IP-Adresse sollte nicht an mehreren Ports konfiguriert werden. | |
Doppelte MAC-Adresse | Doppelte MAC-Adresse | Für die folgenden Schnittstellen wurde eine doppelte MAC-Adresse konfiguriert. | Kritisch | Physisch | Doppelte MAC-Adresse sollte nicht an mehreren Ports konfiguriert werden. | |
HSRP/VRRP-Konfigurationsfehler | HSRP/VRRP-Konfigurationsfehler | Die HSRP-Konfiguration enthält den folgenden Fehler. | Kritisch | Physisch | Prüfen Sie, ob es in der HSRP-/VRRP-Konfiguration eine fehlende Übereinstimmung zwischen „Aktiv“ und „Standby“ gibt. | |
Schleifenerkennung | Schleifenerkennung | Das Netzwerk enthält die folgende Schleife. | Kritisch | Physisch, Virtuell | Das Netzwerk muss schleifenfrei sein. | |
Nichtübereinstimmung bei nativem VLAN | Nichtübereinstimmung bei nativem VLAN | Die Konfiguration des nativen VLAN stimmt für die folgenden Ports nicht überein. | Kritisch | Physisch | Die Konfiguration des nativen VLAN der Ports auf jedem Link muss übereinstimmen. | |
Nichtübereinstimmung bei Tagging von nativem VLAN | Nichtübereinstimmung bei Tagging von nativem VLAN | Das Tagging des nativen VLAN stimmt für die folgenden Ports nicht überein. | Kritisch | Physisch | Das Tagging des nativen VLAN der Ports auf jedem Link muss übereinstimmen. | |
Nichtübereinstimmung bei Portkanalelement | Nichtübereinstimmung bei Portkanalelement | Ports für Portkanalelement sollten nicht mit Nicht-Portkanalelement-Ports auf verknüpften Geräten verbunden werden. | Kritisch | Physisch | Ports für Portkanalelement sollten nicht mit Nicht-Portkanalelement-Ports auf verknüpften Geräten verbunden werden. | |
Nichtübereinstimmung bei Portmodus | Nichtübereinstimmung bei Portmodus | Die Konfiguration des Portmodus stimmt für die folgenden Ports nicht überein. | Kritisch | Physisch | Die Portmoduskonfiguration muss an den Ports jedes Links übereinstimmen. | |
Erreichbarkeit | Erreichbarkeitsfehler | Netzwerk-Endpoints müssen erreichbar sein. | Kritisch | Physisch, Virtuell | Netzwerk-Endpoints müssen erreichbar sein. | |
Inkonsistenz bei STP-Pathcost-Methode | Inkonsistenz bei STP-Pathcost-Methode | Für die folgenden Switches wurden inkonsistente STP-Pathcost-Methoden konfiguriert. | Moderat | Physisch | Die STP-Pathcost-Berechnungsmethoden müssen zwischen Switches konsistent sein. | |
Segmentierung | Segmentierungsfehler | Netzwerk-Endpoints müssen segmentiert werden. | Kritisch | Physisch, Virtuell | Netzwerk-Endpoints müssen segmentiert werden.
Hinweis: Mit der Segmentierungsabsicht wird sichergestellt, dass eine bestimmte Quelle selbst unter Verwendung gefälschter Quell-IP-Adressen nicht mit dem Ziel kommunizieren kann.
|
|
Trunk-VLAN-Nichtübereinstimmung | Trunk-VLAN-Nichtübereinstimmung | Die Konfiguration der zulässigen VLANs stimmt für die folgenden Trunk-Ports nicht überein. | Kritisch | Physisch, Virtuell | Die Konfiguration der zulässigen VLANs muss an den Ports jedes Trunk-Links übereinstimmen. | |
Gerätezustand | Gemeinsame Bereitstellung von HSRP/VRRP Active und STP-Root | Gemeinsame Bereitstellung von HSRP/VRRP Active und STP-Root | HSRP/VRRP Active sollte mit STP-Root gemeinsam bereitgestellt werden, wenn beide Protokolle aktiviert sind. | Moderat | Physisch | HSRP/VRRP Active wird nicht mit der folgenden STP-Root gemeinsam bereitgestellt. |
Nichtübereinstimmung bei MTU | Nichtübereinstimmung bei MTU | Die MTU-Konfiguration der Ports auf jedem Link muss übereinstimmen. | Moderat | Physisch, Virtuell | Die MTU-Konfiguration der Ports auf jedem Link muss übereinstimmen. |
Hinweis:
- STIG-Absichten werden nur für die folgenden Geräte unterstützt:
- Cisco ASA, Cisco ASR 1000, Cisco Catalyst, Cisco ISR 4000 und Cisco Nexus
- Palo Alto
- Die Absicht „Inkonsistenz bei STP-Pathcost-Methode“ wird nur für Cisco Catalyst- und Cisco Nexus-Geräte unterstützt.
- Wenn ein Gerät mit Portkanal-Teilschnittstellen (die verschiedenen VLANs zugeordnet sind) oder im Portmodus mit zulässigen VLANs, die auf Portkanalebene konfiguriert sind, konfiguriert ist, werden solche Konfigurationen bei der Durchführung der Absichtsanalyse nur für die folgenden Geräte berücksichtigt:
- Arista-Switches
- Dell EMC PowerSwitch S5200 (ausgeführt unter OS10)