A continuación, puede consultar más información sobre el significado del informe de estado de cumplimiento.
| Código | Descripción | Origen del estado de cumplimiento | Corrección |
|---|---|---|---|
| 72001 | El cifrado está deshabilitado. | Este estado se indica si una configuración de perfil de IPSec de VPN contiene los algoritmos de cifrado NO_ENCRYPTION, NO_ENCRYPTION_AUTH_AES_GMAC_128, NO_ENCRYPTION_AUTH_AES_GMAC_192 o NO_ENCRYPTION_AUTH_AES_GMAC_256.Este estado afecta a las configuraciones de sesión de VPN de IPSec que utilizan las configuraciones de no cumplimiento indicadas. |
Para corregir este estado, agregue un perfil de IPSec de VPN que use algoritmos de cifrado en cumplimiento y utilícelo en todas las configuraciones de VPN. Consulte Agregar perfiles de IPSec. |
| 72011 | Los mensajes vecinos BGP omiten la comprobación de integridad. No se ha definido ninguna autenticación de mensajes. | Este estado se indica si no se configuró ninguna contraseña para los vecinos BGP. Este estado afecta a la configuración de vecinos BGP. |
Para corregir este estado, configure una contraseña en el vecino BGP y actualice la configuración de la puerta de enlace de nivel 0 para que utilice la contraseña. Consulte Configurar BGP. |
| 72012 | La comunicación con vecinos BGP utiliza una comprobación de integridad débil. MD5 se utiliza para la autenticación de mensajes. | Este estado se indica si se utiliza la autenticación MD5 para la contraseña del vecino BGP. Este estado afecta a la configuración de vecinos BGP. |
No hay ninguna corrección disponible, ya que NSX-T Data Center solo admite la autenticación MD5 para BGP. |
| 72021 | Se utilizó SSL 3 para establecer la conexión segura del socket. Se recomienda utilizar TLS 1.1 o una versión posterior, y deshabilitar SSL 3 por completo, ya que tiene vulnerabilidades de protocolo. | Este estado se indica si SSL 3 está configurado en el perfil SSL del cliente del equilibrador de carga, el perfil SSL del servidor del equilibrador de carga o el monitor HTTPS del equilibrador de carga.
Este estado afecta a las siguientes configuraciones:
|
Para corregir este estado, configure un perfil SSL para que use TLS 1.1 o una versión posterior, y utilice este perfil en todas las configuraciones del equilibrador de carga. Consulte Agregar un perfil de SSL. |
| 72022 | Se utilizó TLS 1.0 utilizado para establecer la conexión segura del socket. Se recomienda utilizar TLS 1.1 o una versión posterior, y deshabilitar TLS 1.0 por completo, ya que tiene vulnerabilidades de protocolo. | Este estado se indica si TLS 1.0 está configurado en el perfil SSL del cliente del equilibrador de carga, el perfil SSL del servidor del equilibrador de carga o el monitor HTTPS del equilibrador de carga.
Este estado afecta a las siguientes configuraciones:
|
Para corregir este estado, configure un perfil SSL para que use TLS 1.1 o una versión posterior, y utilice este perfil en todas las configuraciones del equilibrador de carga. Consulte Agregar un perfil de SSL. |
| 72023 | Se utiliza un grupo Diffie-Hellman débil. | Este error se indica si una configuración de perfil de IPSec o IKE de VPN incluye los siguientes grupos Diffie-Hellman: 2, 5, 14, 15 o 16. Los grupos 2 y 5 son grupos Diffie-Hellman débiles. Los grupos 14, 15 y 16 no son grupos débiles, pero no son compatibles con FIPS. Este estado afecta a las configuraciones de sesión de VPN de IPSec que utilizan las configuraciones indicadas como fuera de cumplimiento. |
Para corregir este estado, configure los perfiles de VPN para utilizar el grupo Diffie-Hellman 19, 20 o 21. Consulte Agregar perfiles. |
| 72024 | La configuración global de FIPS del equilibrador de carga está deshabilitada. | Se indica este error si la configuración global de FIPS del equilibrador de carga está deshabilitada. Este estado afecta a todos los servicios del equilibrador de carga. |
Para corregir este estado, habilite FIPS para el equilibrador de carga. Consulte Configurar el modo de cumplimiento global de FIPS para el equilibrador de carga. |
| 72200 | No hay suficiente entropía real disponible. | Este estado se indica cuando se utiliza un generador de números pseudoaleatorios para generar entropía en lugar de confiar en entropía generada por hardware. No se usa entropía generada por hardware porque el nodo de NSX Manager no dispone de la compatibilidad de aceleración de hardware necesaria para crear suficiente entropía real. |
Para corregir este estado, es posible que deba utilizar hardware más reciente para ejecutar el nodo de NSX Manager. El hardware más reciente admite esta función.
Nota: Si la infraestructura subyacente es virtual, no se obtendrá una entropía real.
|
| 72201 | Origen de entropía desconocido. | Este estado se indica cuando no hay ningún estado de entropía disponible para el nodo indicado. | Para corregir este estado, compruebe que el nodo indicado funciona correctamente. |
| 72301 | El certificado no está firmado por una entidad de certificación. | Este estado se indica cuando uno de los certificados de NSX Manager no está firmado por una entidad de certificación. NSX Manager utiliza los siguientes certificados:
|
Para corregir este estado, instale certificados firmados por una entidad de certificación. Consulte Certificados. |
