VMware Aria Operations for Networks prend en charge les types d'intentions suivants.
Groupe (catégorie) | Type d'intention | Nom | Nom de l'interface utilisateur | Gravité | Virtuel/Physique | Description |
---|---|---|---|---|---|---|
STIG | Protection par mot de passe du compte | Compte non protégé par mot de passe | L'accès au compte d'administration n'est pas protégé par mot de passe sur les périphériques suivants. | Élevé | Physique | Le périphérique réseau doit être protégé par mot de passe pour l'accès administratif. |
Protection par mot de passe de l'accès à la console | Accès à la console non protégé par mot de passe | L'accès au port de la console n'est pas protégé par mot de passe sur les périphériques suivants. | Élevé | Physique | Le périphérique réseau doit exiger une authentification pour accéder à la console. | |
Existence d'un mot de passe par défaut | Existence d'un mot de passe par défaut | Le mot de passe du fabricant par défaut est utilisé sur les périphériques suivants. | Élevé | Physique | Le périphérique réseau ne doit disposer d'aucun mot de passe d'usine par défaut. | |
Protection par mot de passe de la connexion de gestion | Connexion de gestion non protégée par mot de passe | L'accès au port de gestion n'est pas protégé par mot de passe sur les périphériques suivants. | Élevé | Physique | Le périphérique réseau doit exiger une authentification avant d'établir une connexion de gestion pour l'accès administratif. | |
Visibilité du mot de passe en texte clair | Visibilité du mot de passe en texte clair | Les mots de passe en texte brut sont visibles sur les périphériques suivants. | Élevé | Physique | Le périphérique réseau ne doit pas disposer de mots de passe en texte brut. | |
Santé du réseau | Incompatibilité de duplex | Incompatibilité de duplex | La configuration du duplex ne correspond pas sur les ports suivants. | Critique | Physique, virtuel | La configuration du duplex de port des ports sur chaque lien doit correspondre. |
Adresse IP en double | Adresse IP en double | Une adresse IP en double a été configurée sur les interfaces suivantes. | Critique | Physique | Une adresse IP en double ne doit pas être configurée sur plusieurs interfaces. | |
Adresse MAC en double | Adresse MAC en double | Une adresse MAC en double a été configurée sur les interfaces suivantes. | Critique | Physique | Une adresse MAC en double ne doit pas être configurée sur plusieurs interfaces. | |
Erreur de configuration HSRP/VRRP | Erreur de configuration HSRP/VRRP | La configuration HSRP contient l'erreur suivante. | Critique | Physique | Recherchez les incompatibilités de configuration HSRP/VRRP entre Actif et En veille. | |
Détection de boucle | Détection de boucle | Le réseau contient la boucle suivante. | Critique | Physique, virtuel | Le réseau doit être disponible en boucle. | |
Incompatibilité de VLAN natif | Incompatibilité de VLAN natif | La configuration de VLAN natif ne correspond pas sur les ports suivants. | Critique | Physique | La configuration de VLAN natif des ports sur chaque lien doit correspondre. | |
Incompatibilité de balisage de VLAN natif | Incompatibilité de balisage de VLAN natif | Le balisage de VLAN natif ne correspond pas sur les ports suivants. | Critique | Physique | Le balisage de VLAN natif des ports sur chaque lien doit correspondre. | |
Incompatibilité de membre de canal de port | Incompatibilité de membre de canal de port | Les ports membres du canal de port ne doivent pas se connecter à des ports non-membres sur des périphériques liés. | Critique | Physique | Les ports membres du canal de port ne doivent pas se connecter à des ports non-membres sur des périphériques liés. | |
Incompatibilité de mode de port | Incompatibilité de mode de port | La configuration du mode de port ne correspond pas sur les ports suivants. | Critique | Physique | La configuration du mode de port doit correspondre sur les ports de chaque lien. | |
Accessibilité | Échec de l'accessibilité | Les points de terminaison réseau doivent être accessibles. | Critique | Physique, virtuel | Les points de terminaison réseau doivent être accessibles. | |
Incohérence de la méthode du coût de chemin d'accès STP | Cohérence de la méthode de coût de chemin d'accès STP | Des méthodes de coût de chemin d'accès STP incohérents ont été configurées sur les commutateurs suivants. | Modéré | Physique | Les méthodes de calcul du coût du chemin d'accès STP doivent être cohérentes entre les commutateurs. | |
Segmentation | Échec de la segmentation | Les points de terminaison réseau doivent être segmentés. | Critique | Physique, virtuel | Les points de terminaison réseau doivent être segmentés.
Note : L'intention de segmentation vérifie que la source spécifiée ne peut pas communiquer avec la destination, même en utilisant des adresses IP source usurpées.
|
|
Incompatibilité de VLAN de jonction | Incompatibilité de VLAN de jonction | La configuration des VLAN autorisés ne correspond pas sur les ports de jonction suivants. | Critique | Physique, virtuel | La configuration des VLAN autorisés doit correspondre sur les ports de chaque lien de jonction. | |
Santé du périphérique | Colocalisation de l'interface active HSRP/VRRP et de la racine STP | Colocalisation de l'interface active HSRP/VRRP et de la racine STP | L'interface active HSRP/VRRP et la racine STP doivent être colocalisées, si les deux protocoles sont activés. | Modéré | Physique | L'interface active HSRP/VRRP n'est pas colocalisée avec la racine STP suivante. |
Incompatibilité de MTU | Incompatibilité de MTU | La configuration MTU des ports sur chaque lien doit correspondre. | Modéré | Physique, virtuel | La configuration MTU des ports sur chaque lien doit correspondre. |
Note :
- Les intentions STIG sont prises en charge uniquement pour les terminaux suivants :
- Cisco ASA, Cisco ASR 1000, Cisco Catalyst, Cisco ISR 4000 et Cisco Nexus
- Palo Alto
- L'intention Incohérence de la méthode de coût de chemin d'accès STP est prise en charge uniquement pour les périphériques Cisco Catalyst et Cisco Nexus.
- Si un périphérique est configuré avec des sous-interfaces de canal de port (associées à différents VLAN) ou configuré avec le mode de port et les VLAN autorisés qui sont configurés au niveau du canal de port, ces configurations sont prises en compte lors de l'exécution d'une analyse d'intention pour les périphériques suivants uniquement :
- Commutateurs Arista
- Dell EMC PowerSwitch S5200 (exécutés sur OS10)