vRealize Network Insight admite los siguientes tipos de intención.
Grupo (categoría) | Tipo de intención | Nombre | Nombre de IU | Gravedad | Virtual/Física | Descripción |
---|---|---|---|---|---|---|
STIG | Protección con contraseña de la cuenta | La cuenta no está protegida con contraseña | El acceso a la cuenta administrativa no está protegido con contraseña en los siguientes dispositivos. | Alto | Física | El dispositivo de red debe estar protegido con contraseña para el acceso administrativo. |
Protección con contraseña de acceso a la consola | El acceso a la consola no está protegido con contraseña | El acceso al puerto de consola no está protegido con contraseña en los siguientes dispositivos. | Alto | Física | El dispositivo de red debe requerir autenticación para acceder a la consola. | |
Existencia de contraseña predeterminada | Existencia de contraseña predeterminada | La contraseña predeterminada del fabricante se utiliza en los siguientes dispositivos. | Alto | Física | El dispositivo de red no debe tener contraseñas predeterminadas del fabricante. | |
Protección con contraseña de la conexión de administración | La conexión de administración no está protegida con contraseña | El acceso al puerto de administración no está protegido con contraseña en los siguientes dispositivos. | Alto | Física | El dispositivo de red debe requerir autenticación antes de establecer una conexión de administración para el acceso administrativo. | |
Visibilidad de contraseña de texto sin formato | Visibilidad de contraseña de texto sin formato | Las contraseñas de texto sin formato pueden verse en los siguientes dispositivos. | Alto | Física | El dispositivo de red no debe tener contraseñas de texto sin formato. | |
Estado de la red | Segmentación | Error de segmentación | Los endpoints de red deben estar segmentados. | Crítica | Física, Virtual | Los endpoints de red deben estar segmentados.
Nota: La intención de segmentación verifica que el origen especificado no pueda comunicarse con el destino, ni siquiera utilizando direcciones IP de origen falsificadas.
|
Accesibilidad | Error de accesibilidad | Se debe poder acceder a los endpoints de red. | Crítica | Física, Virtual | Se debe poder acceder a los endpoints de red. | |
Dirección IP duplicada | Dirección IP duplicada | Se configuró una dirección IP duplicada en las siguientes interfaces. | Crítica | Física | La dirección IP duplicada no se debe configurar en varias interfaces. | |
Dirección MAC duplicada | Dirección MAC duplicada | Se configuró una dirección MAC duplicada en las siguientes interfaces. | Crítica | Física | La dirección MAC duplicada no se debe configurar en varias interfaces. | |
Falta de coincidencia del dúplex | Falta de coincidencia del dúplex | La configuración de dúplex no coincide en los siguientes puertos. | Crítica | Física, Virtual | La configuración de dúplex de puerto de los puertos de cada vínculo debe coincidir. | |
Detección de bucles | Detección de bucles | La red contiene el siguiente bucle. | Crítica | Física, Virtual | La red debe estar libre de bucles. | |
Incoherencia de método del coste de la ruta de STP | Incoherencia de método del coste de la ruta de STP | Se configuraron métodos de coste de la ruta de STP incoherentes en los siguientes conmutadores. | Moderada | Física | Los métodos de cálculo del coste de la ruta de STP deben ser coherentes entre los conmutadores. | |
Falta de coincidencia de VLAN de tronco | Falta de coincidencia de VLAN de tronco | La configuración de las VLAN permitidas no coincide en los siguientes puertos de tronco. | Crítica | Física, Virtual | La configuración de VLAN permitidas debe coincidir en los puertos de cada vínculo de tronco. | |
Falta de coincidencia de modo de puerto | Falta de coincidencia de modo de puerto | La configuración del modo de puerto no coincide en los siguientes puertos. | Crítica | Física, Virtual | La configuración del modo de puerto debe coincidir en los puertos de cada vínculo. | |
Falta de coincidencia de miembro de canal de puerto | Falta de coincidencia de miembro de canal de puerto | Los puertos de miembro de canal de puerto no deben conectarse a puertos no miembros en dispositivos vinculados. | Crítica | Física | Los puertos de miembro de canal de puerto no deben conectarse a puertos no miembros en dispositivos vinculados. | |
Falta de coincidencia de VLAN nativa | Falta de coincidencia de VLAN nativa | La configuración de VLAN nativa no coincide en los siguientes puertos. | Crítica | Física | La configuración de VLAN nativa de los puertos de cada vínculo debe coincidir. | |
Falta de coincidencia de etiquetado de VLAN nativa | Falta de coincidencia de etiquetado de VLAN nativa | El etiquetado de la VLAN nativa no coincide en los siguientes puertos. | Crítica | Física | El etiquetado de la VLAN nativa de los puertos de cada vínculo debe coincidir. | |
Error de configuración de HSRP/VRRP | Error de configuración de HSRP/VRRP | La configuración de HSRP contiene el siguiente error. | Crítica | Física | Compruebe si la configuración de HSRP/VRRP no coincide entre Activo y En espera. | |
Estado del dispositivo | Falta de coincidencia de MTU de vínculo | Falta de coincidencia de MTU de vínculo | La configuración de MTU de los puertos de cada vínculo debe coincidir. | Moderada | Física, Virtual | La configuración de MTU de los puertos de cada vínculo debe coincidir. |
Ubicación compartida del elemento principal de HSRP/VRRP y STP raíz | Ubicación compartida del elemento principal de HSRP/VRRP y STP raíz | El elemento principal de HSRP/VRRP y la raíz de STP deben colocarse en la misma ubicación (si ambos protocolos están habilitados). | Moderada | Física | El HSRP/VRRP maestro no coexiste con la siguiente raíz de STP. |
Nota:
- Las intenciones de STIG solo son compatibles con los siguientes dispositivos:
- Cisco ASA, Cisco Catalyst, Cisco Nexus
- Juniper EX y QFX, Palo Alto
- Si un dispositivo está configurado con subinterfaces de canal de puerto (que están asociadas con diferentes VLAN), al realizar un análisis de intenciones estas configuraciones solo se tienen en cuenta para los siguientes dispositivos:
- Conmutadores de Arista
- Dell EMC PowerSwitch S5200 (con OS10)