vRealize Network Insight unterstützt die folgenden Absichtstypen.
| Gruppe (Kategorie) | Absichtstyp | Name | Benutzeroberflächenname | Schweregrad | Virtuell/Physisch | Beschreibung |
|---|---|---|---|---|---|---|
| STIG | Kontokennwortschutz | Konto nicht kennwortgeschützt | Der Zugriff auf das Administratorkonto ist auf den folgenden Geräten nicht kennwortgeschützt. | Hoch | Physisch | Das Netzwerkgerät muss für den Administratorzugriff kennwortgeschützt sein. |
| Kennwortschutz bei Konsolenzugriff | Konsolenzugriff nicht kennwortgeschützt | Der Zugriff auf den Konsolenport ist auf den folgenden Geräten nicht kennwortgeschützt. | Hoch | Physisch | Das Netzwerkgerät muss für den Konsolenzugriff eine Authentifizierung erfordern. | |
| Vorhandensein eines Standardkennworts | Vorhandensein eines Standardkennworts | Das standardmäßige Herstellerkennwort wird auf den folgenden Geräten verwendet. | Hoch | Physisch | Das Netzwerkgerät darf keine vom Hersteller festgelegten Standardkennwörter aufweisen. | |
| Kennwortschutz der Verwaltungsverbindung | Verwaltungsverbindung nicht kennwortgeschützt | Der Zugriff auf den Verwaltungsport ist auf den folgenden Geräten nicht kennwortgeschützt. | Hoch | Physisch | Das Netzwerkgerät muss vor dem Einrichten einer Verwaltungsverbindung für den Administratorzugriff eine Authentifizierung erfordern. | |
| Sichtbarkeit des Klartextkennworts | Sichtbarkeit des Klartextkennworts | Klartextkennwörter sind auf den folgenden Geräten sichtbar. | Hoch | Physisch | Das Netzwerkgerät darf keine Klartextkennwörter aufweisen. | |
| Netzwerkintegrität | Segmentierung | Segmentierungsfehler | Netzwerk-Endpoints müssen segmentiert werden. | Kritisch | Physisch, Virtuell | Netzwerk-Endpoints müssen segmentiert werden.
Hinweis: Mit der Segmentierungsabsicht wird sichergestellt, dass eine bestimmte Quelle selbst unter Verwendung gefälschter Quell-IP-Adressen nicht mit dem Ziel kommunizieren kann.
|
| Erreichbarkeit | Erreichbarkeitsfehler | Netzwerk-Endpoints müssen erreichbar sein. | Kritisch | Physisch, Virtuell | Netzwerk-Endpoints müssen erreichbar sein. | |
| Doppelte IP-Adresse | Doppelte IP-Adresse | Für die folgenden Schnittstellen wurde eine doppelte IP-Adresse konfiguriert. | Kritisch | Physisch | Doppelte IP-Adresse sollte nicht an mehreren Ports konfiguriert werden. | |
| Doppelte MAC-Adresse | Doppelte MAC-Adresse | Für die folgenden Schnittstellen wurde eine doppelte MAC-Adresse konfiguriert. | Kritisch | Physisch | Doppelte MAC-Adresse sollte nicht an mehreren Ports konfiguriert werden. | |
| Duplex-Nichtübereinstimmung | Duplex-Nichtübereinstimmung | Die Duplexkonfiguration stimmt für die folgenden Ports nicht überein. | Kritisch | Physisch, Virtuell | Die Port-Duplexkonfiguration der Ports auf jedem Link muss übereinstimmen. | |
| Schleifenerkennung | Schleifenerkennung | Das Netzwerk enthält die folgende Schleife. | Kritisch | Physisch, Virtuell | Das Netzwerk muss schleifenfrei sein. | |
| Inkonsistenz bei STP-Pathcost-Methode | Inkonsistenz bei STP-Pathcost-Methode | Für die folgenden Switches wurden inkonsistente STP-Pathcost-Methoden konfiguriert. | Moderat | Physisch | Die STP-Pathcost-Berechnungsmethoden müssen zwischen Switches konsistent sein. | |
| Trunk-VLAN-Nichtübereinstimmung | Trunk-VLAN-Nichtübereinstimmung | Die Konfiguration der zulässigen VLANs stimmt für die folgenden Trunk-Ports nicht überein. | Kritisch | Physisch, Virtuell | Die Konfiguration der zulässigen VLANs muss an den Ports jedes Trunk-Links übereinstimmen. | |
| Nichtübereinstimmung bei Portmodus | Nichtübereinstimmung bei Portmodus | Die Konfiguration des Portmodus stimmt für die folgenden Ports nicht überein. | Kritisch | Physisch | Die Portmoduskonfiguration muss an den Ports jedes Links übereinstimmen. | |
| Nichtübereinstimmung bei Portkanalelement | Nichtübereinstimmung bei Portkanalelement | Ports für Portkanalelement sollten nicht mit Nicht-Portkanalelement-Ports auf verknüpften Geräten verbunden werden. | Kritisch | Physisch | Ports für Portkanalelement sollten nicht mit Nicht-Portkanalelement-Ports auf verknüpften Geräten verbunden werden. | |
| Nichtübereinstimmung bei nativem VLAN | Nichtübereinstimmung bei nativem VLAN | Die Konfiguration des nativen VLAN stimmt für die folgenden Ports nicht überein. | Kritisch | Physisch | Die Konfiguration des nativen VLAN der Ports auf jedem Link muss übereinstimmen. | |
| Nichtübereinstimmung bei Tagging von nativem VLAN | Nichtübereinstimmung bei Tagging von nativem VLAN | Das Tagging des nativen VLAN stimmt für die folgenden Ports nicht überein. | Kritisch | Physisch | Das Tagging des nativen VLAN der Ports auf jedem Link muss übereinstimmen. | |
| HSRP/VRRP-Konfigurationsfehler | HSRP/VRRP-Konfigurationsfehler | Die HSRP-Konfiguration enthält den folgenden Fehler. | Kritisch | Physisch | Prüfen Sie, ob es in der HSRP-/VRRP-Konfiguration eine fehlende Übereinstimmung zwischen „Aktiv“ und „Standby“ gibt. | |
| Gerätezustand | Link-MTU-Nichtübereinstimmung | Link-MTU-Nichtübereinstimmung | Die MTU-Konfiguration der Ports auf jedem Link muss übereinstimmen. | Moderat | Physisch, Virtuell | Die MTU-Konfiguration der Ports auf jedem Link muss übereinstimmen. |
| Gemeinsame Bereitstellung von HSRP-/VRRP-Master und STP-Root | Gemeinsame Bereitstellung von HSRP-/VRRP-Master und STP-Root | HSRP-/VRRP-Master sollte mit STP-Root gemeinsam bereitgestellt werden, wenn beide Protokolle aktiviert sind. | Moderat | Physisch | Der HSRP-/VRRP-Master wird nicht mit der folgenden STP-Root gemeinsam bereitgestellt. |
Hinweis:
- STIG-Absichten werden nur für die folgenden Geräte unterstützt:
- Cisco ASA, Cisco ASR 1000, Cisco Catalyst, Cisco ISR 4000 und Cisco Nexus
- Juniper EX und QFX, Palo Alto
- Wenn ein Gerät mit Portkanal-Teilschnittstellen (die verschiedenen VLANs zugeordnet sind) oder im Portmodus mit zulässigen VLANs, die auf Portkanalebene konfiguriert sind, konfiguriert ist, werden solche Konfigurationen bei der Durchführung der Absichtsanalyse nur für die folgenden Geräte berücksichtigt:
- Arista-Switches
- Dell EMC PowerSwitch S5200 (ausgeführt unter OS10)
