vRealize Network Insight Cloud unterstützt die folgenden Absichtstypen.
| Gruppe (Kategorie) | Absichtstyp | Name | Benutzeroberflächenname | Schweregrad | Virtuell/Physisch | Beschreibung |
|---|---|---|---|---|---|---|
| STIG | Kontokennwortschutz | Konto nicht kennwortgeschützt | Der Zugriff auf das Administratorkonto ist auf den folgenden Geräten nicht kennwortgeschützt. | Hoch | Physisch | Das Netzwerkgerät muss für den Administratorzugriff kennwortgeschützt sein. |
| Kennwortschutz bei Konsolenzugriff | Konsolenzugriff nicht kennwortgeschützt | Der Zugriff auf den Konsolenport ist auf den folgenden Geräten nicht kennwortgeschützt. | Hoch | Physisch | Das Netzwerkgerät muss für den Konsolenzugriff eine Authentifizierung erfordern. | |
| Vorhandensein eines Standardkennworts | Vorhandensein eines Standardkennworts | Das standardmäßige Herstellerkennwort wird auf den folgenden Geräten verwendet. | Hoch | Physisch | Das Netzwerkgerät darf keine vom Hersteller festgelegten Standardkennwörter aufweisen. | |
| Kennwortschutz der Verwaltungsverbindung | Verwaltungsverbindung nicht kennwortgeschützt | Der Zugriff auf den Verwaltungsport ist auf den folgenden Geräten nicht kennwortgeschützt. | Hoch | Physisch | Das Netzwerkgerät muss vor dem Einrichten einer Verwaltungsverbindung für den Administratorzugriff eine Authentifizierung erfordern. | |
| Sichtbarkeit des Klartextkennworts | Sichtbarkeit des Klartextkennworts | Klartextkennwörter sind auf den folgenden Geräten sichtbar. | Hoch | Physisch | Das Netzwerkgerät darf keine Klartextkennwörter aufweisen. | |
| Netzwerkintegrität | Segmentierung | Segmentierungsfehler | Netzwerk-Endpoints müssen segmentiert werden. | Kritisch | Physisch, Virtuell | Netzwerk-Endpoints müssen segmentiert werden.
Hinweis: Mit der Segmentierungsabsicht wird sichergestellt, dass eine bestimmte Quelle selbst unter Verwendung gefälschter Quell-IP-Adressen nicht mit dem Ziel kommunizieren kann.
|
| Erreichbarkeit | Erreichbarkeitsfehler | Netzwerk-Endpoints müssen erreichbar sein. | Kritisch | Physisch, Virtuell | Netzwerk-Endpoints müssen erreichbar sein. | |
| Doppelte IP-Adresse | Doppelte IP-Adresse | Für die folgenden Schnittstellen wurde eine doppelte IP-Adresse konfiguriert. | Kritisch | Physisch | Doppelte IP-Adresse sollte nicht an mehreren Ports konfiguriert werden. | |
| Doppelte MAC-Adresse | Doppelte MAC-Adresse | Für die folgenden Schnittstellen wurde eine doppelte MAC-Adresse konfiguriert. | Kritisch | Physisch | Doppelte MAC-Adresse sollte nicht an mehreren Ports konfiguriert werden. | |
| Duplex-Nichtübereinstimmung | Duplex-Nichtübereinstimmung | Die Duplexkonfiguration stimmt für die folgenden Ports nicht überein. | Kritisch | Physisch, Virtuell | Die Port-Duplexkonfiguration der Ports auf jedem Link muss übereinstimmen. | |
| Schleifenerkennung | Schleifenerkennung | Das Netzwerk enthält die folgende Schleife. | Kritisch | Physisch, Virtuell | Das Netzwerk muss schleifenfrei sein. | |
| Inkonsistenz bei STP-Pathcost-Methode | Inkonsistenz bei STP-Pathcost-Methode | Für die folgenden Switches wurden inkonsistente STP-Pathcost-Methoden konfiguriert. | Moderat | Physisch | Die STP-Pathcost-Berechnungsmethoden müssen zwischen Switches konsistent sein. | |
| Trunk-VLAN-Nichtübereinstimmung | Trunk-VLAN-Nichtübereinstimmung | Die Konfiguration der zulässigen VLANs stimmt für die folgenden Trunk-Ports nicht überein. | Kritisch | Physisch, Virtuell | Die Konfiguration der zulässigen VLANs muss an den Ports jedes Trunk-Links übereinstimmen. | |
| Nichtübereinstimmung bei Portmodus | Nichtübereinstimmung bei Portmodus | Die Konfiguration des Portmodus stimmt für die folgenden Ports nicht überein. | Kritisch | Physisch, Virtuell | Die Portmoduskonfiguration muss an den Ports jedes Links übereinstimmen. | |
| Nichtübereinstimmung bei Portkanalelement | Nichtübereinstimmung bei Portkanalelement | Ports für Portkanalelement sollten nicht mit Nicht-Portkanalelement-Ports auf verknüpften Geräten verbunden werden. | Kritisch | Physisch | Ports für Portkanalelement sollten nicht mit Nicht-Portkanalelement-Ports auf verknüpften Geräten verbunden werden. | |
| Nichtübereinstimmung bei nativem VLAN | Nichtübereinstimmung bei nativem VLAN | Die Konfiguration des nativen VLAN stimmt für die folgenden Ports nicht überein. | Kritisch | Physisch | Die Konfiguration des nativen VLAN der Ports auf jedem Link muss übereinstimmen. | |
| Nichtübereinstimmung bei Tagging von nativem VLAN | Nichtübereinstimmung bei Tagging von nativem VLAN | Das Tagging des nativen VLAN stimmt für die folgenden Ports nicht überein. | Kritisch | Physisch | Das Tagging des nativen VLAN der Ports auf jedem Link muss übereinstimmen. | |
| HSRP/VRRP-Konfigurationsfehler | HSRP/VRRP-Konfigurationsfehler | Die HSRP-Konfiguration enthält den folgenden Fehler. | Kritisch | Physisch | Prüfen Sie, ob es in der HSRP-/VRRP-Konfiguration eine fehlende Übereinstimmung zwischen „Aktiv“ und „Standby“ gibt. | |
| Gerätezustand | Link-MTU-Nichtübereinstimmung | Link-MTU-Nichtübereinstimmung | Die MTU-Konfiguration der Ports auf jedem Link muss übereinstimmen. | Moderat | Physisch, Virtuell | Die MTU-Konfiguration der Ports auf jedem Link muss übereinstimmen. |
| Gemeinsame Bereitstellung von HSRP-/VRRP-Master und STP-Root | Gemeinsame Bereitstellung von HSRP-/VRRP-Master und STP-Root | HSRP-/VRRP-Master sollte mit STP-Root gemeinsam bereitgestellt werden, wenn beide Protokolle aktiviert sind. | Moderat | Physisch | Der HSRP-/VRRP-Master wird nicht mit der folgenden STP-Root gemeinsam bereitgestellt. |
Hinweis:
- STIG-Absichten werden nur für die folgenden Geräte unterstützt:
- Cisco ASA, Cisco Catalyst, Cisco Nexus
- Juniper EX und QFX, Palo Alto
- Wenn ein Gerät mit Portkanal-Teilschnittstellen konfiguriert ist (die verschiedenen VLANs zugeordnet sind), werden solche Konfigurationen bei der Durchführung der Absichtsanalyse nur für die folgenden Geräte berücksichtigt:
- Arista-Switches
- Dell EMC PowerSwitch S5200 (ausgeführt unter OS10)
