A continuación, puede consultar más información sobre el significado del informe de estado de cumplimiento.
Código | Descripción | Origen del estado de cumplimiento | Corrección |
---|---|---|---|
72001 | El cifrado está desactivado. | Este estado se indica si una configuración de perfil de IPSec de VPN contiene los algoritmos de cifrado NO_ENCRYPTION , NO_ENCRYPTION_AUTH_AES_GMAC_128 , NO_ENCRYPTION_AUTH_AES_GMAC_192 o NO_ENCRYPTION_AUTH_AES_GMAC_256 .Este estado afecta a las configuraciones de sesión de VPN de IPSec que utilizan las configuraciones de no cumplimiento indicadas. |
Para corregir este estado, agregue un perfil de IPSec de VPN que use algoritmos de cifrado en cumplimiento y utilícelo en todas las configuraciones de VPN. Consulte Agregar perfiles de IPSec. |
72011 | Los mensajes vecinos BGP omiten la comprobación de integridad. No se ha definido ninguna autenticación de mensajes. | Este estado se indica si no se configuró ninguna contraseña para los vecinos BGP. Este estado afecta a la configuración de vecinos BGP. |
Para corregir este estado, configure una contraseña en el vecino BGP y actualice la configuración de la puerta de enlace de nivel 0 para que utilice la contraseña. Consulte Configurar BGP. |
72012 | La comunicación con vecinos BGP utiliza una comprobación de integridad débil. MD5 se utiliza para la autenticación de mensajes. | Este estado se indica si se utiliza la autenticación MD5 para la contraseña del vecino BGP. Este estado afecta a la configuración de vecinos BGP. |
No hay ninguna corrección disponible, ya que NSX solo admite la autenticación MD5 para BGP. |
72021 | Se utilizó SSL 3 para establecer la conexión segura del socket. Se recomienda utilizar TLS 1.1 o una versión posterior, y desactivar SSL 3 por completo, ya que tiene vulnerabilidades de protocolo. | Este estado se indica si SSL 3 está configurado en el perfil SSL del cliente del equilibrador de carga, el perfil SSL del servidor del equilibrador de carga o el monitor HTTPS del equilibrador de carga.
Este estado afecta a las siguientes configuraciones:
|
Para corregir este estado, configure un perfil SSL para que use TLS 1.1 o una versión posterior, y utilice este perfil en todas las configuraciones del equilibrador de carga. Consulte Agregar un perfil de SSL. |
72022 | Se utilizó TLS 1.0 utilizado para establecer la conexión segura del socket. Se recomienda utilizar TLS 1.1 o una versión posterior, y desactivar TLS 1.0 por completo, ya que tiene vulnerabilidades de protocolo. | Este estado se indica si TLS 1.0 está configurado en el perfil SSL del cliente del equilibrador de carga, el perfil SSL del servidor del equilibrador de carga o el monitor HTTPS del equilibrador de carga.
Este estado afecta a las siguientes configuraciones:
|
Para corregir este estado, configure un perfil SSL para que use TLS 1.1 o una versión posterior, y utilice este perfil en todas las configuraciones del equilibrador de carga. Consulte Agregar un perfil de SSL. |
72023 | Se utiliza un grupo Diffie-Hellman débil. | Este error se indica si una configuración de perfil de IPSec o IKE de VPN incluye los siguientes grupos Diffie-Hellman: 2, 5, 14, 15 o 16. Los grupos 2 y 5 son grupos Diffie-Hellman débiles. Los grupos 14, 15 y 16 no son grupos débiles, pero no son compatibles con FIPS. Este estado afecta a las configuraciones de sesión de VPN de IPSec que utilizan las configuraciones de no cumplimiento indicadas. |
Para corregir este estado, configure los perfiles de VPN para utilizar el grupo Diffie-Hellman 19, 20 o 21. Consulte Agregar perfiles. |
72024 | La configuración global de FIPS del equilibrador de carga está desactivada. | Se indica este error si la configuración global de FIPS del equilibrador de carga está desactivada. Este estado afecta a todos los servicios del equilibrador de carga. |
Para corregir este estado, habilite FIPS para el equilibrador de carga. Consulte Configurar el modo de cumplimiento global de FIPS para el equilibrador de carga. |
72025 | Quick Assist Technologies (QAT) que se ejecuta en el nodo de Edge no es compatible con FIPS. | QAT es un conjunto de servicios acelerados por hardware proporcionados por Intel para criptografía y compresión. | Para desactivar el uso de QAT, utilice la CLI de NSX. Para obtener más información, consulte "Compatibilidad de Intel QAT con la criptografía en masa de VPN de IPsec" en la Guía de instalación de NSX. |
72200 | No hay suficiente entropía real disponible. | Este estado se indica cuando se utiliza un generador de números pseudoaleatorios para generar entropía en lugar de confiar en entropía generada por hardware. No se usa entropía generada por hardware porque el nodo de NSX Manager no dispone de la compatibilidad de aceleración de hardware necesaria para crear suficiente entropía real. |
Para corregir este estado, es posible que deba utilizar hardware más reciente para ejecutar el nodo de NSX Manager. El hardware más reciente admite esta función.
Nota: Si la infraestructura subyacente es virtual, no se obtendrá una entropía real.
|
72201 | Origen de entropía desconocido. | Este estado se indica cuando no hay ningún estado de entropía disponible para el nodo indicado. | Para corregir este estado, compruebe que el nodo indicado funciona correctamente. |
72301 | El certificado no está firmado por una entidad de certificación. | Este estado se indica cuando uno de los certificados de NSX Manager no está firmado por una entidad de certificación. NSX Manager utiliza los siguientes certificados:
|
Para corregir este estado, instale certificados firmados por una entidad de certificación. Consulte Certificados. |