Vous pouvez trouver plus d'informations sur la signification du rapport d'état de conformité.
| Code | Description | Source de l'état de conformité | Correction |
|---|---|---|---|
| 72001 | Le chiffrement est désactivé. | Cet état est signalé si une configuration de profil VPN IPSec contient les algorithmes de chiffrement NO_ENCRYPTION, NO_ENCRYPTION_AUTH_AES_GMAC_128, NO_ENCRYPTION_AUTH_AES_GMAC_192 ou NO_ENCRYPTION_AUTH_AES_GMAC_256.Cet état affecte les configurations de session IPSec VPN qui utilisent les configurations non conformes signalées. |
Pour corriger cet état, ajoutez un profil VPN IPSec qui utilise des algorithmes de chiffrement conformes et utilisez le profil dans toutes les configurations VPN. Reportez-vous à la section Ajouter des profils IPSec. |
| 72011 | Messages BGP avec contrôle d'intégrité de contournement du voisin. Aucune authentification de message définie. | Cet état est signalé si aucun mot de passe n'est configuré pour les voisins BGP. Cet état affecte la configuration du voisin BGP. |
Pour corriger cet état, configurez un mot de passe sur le voisin BGP et mettez à jour la configuration de la passerelle de niveau 0 pour utiliser le mot de passe. Reportez-vous à la section Configurer BGP. |
| 72012 | La communication avec le voisin BGP utilise un contrôle d'intégrité faible. MD5 est utilisé pour l'authentification des messages. | Cet état est signalé si l'authentification MD5 est utilisée pour le mot de passe du voisin BGP. Cet état affecte la configuration du voisin BGP. |
Aucune correction disponible, car NSX ne prend en charge que l'authentification MD5 pour BGP. |
| 72021 | SSL version 3 utilisé pour établir une connexion de socket sécurisée. Il est recommandé d'exécuter TLS v 1.1 ou version ultérieure et de désactiver entièrement SSLv3 ayant des faiblesses de protocole. | Cet état est signalé si SSL version 3 est configuré dans le profil SSL du client de l'équilibreur de charge, le profil SSL du serveur d'équilibreur de charge ou le moniteur HTTPS de l'équilibreur de charge.
Cet état affecte les configurations suivantes :
|
Pour corriger cet état, configurez un profil SSL pour utiliser TLS 1.1 ou version ultérieure et utilisez ce profil dans toutes les configurations d'équilibreur de charge. Reportez-vous à la section Ajouter un profil SSL. |
| 72022 | TLS version 1.0 est utilisé pour établir une connexion de socket sécurisée. Il est recommandé d'exécuter TLS v 1.1 ou version ultérieure et de désactiver entièrement TLS v1.0 ayant des faiblesses de protocole. | Cet état est signalé si TLS v1.0 est configuré dans le profil SSL du client de l'équilibreur de charge, le profil SSL du serveur d'équilibreur de charge ou le moniteur HTTPS de l'équilibreur de charge.
Cet état affecte les configurations suivantes :
|
Pour corriger cet état, configurez un profil SSL pour utiliser TLS 1.1 ou version ultérieure et utilisez ce profil dans toutes les configurations d'équilibreur de charge. Reportez-vous à la section Ajouter un profil SSL. |
| 72023 | Un groupe Diffie-Hellman faible est utilisé. | Cette erreur est signalée si un profil VPN IPSec ou une configuration de profil VPN IKE inclut les groupes Diffie-Hellman suivants : 2, 5, 14, 15 ou 16. Les groupes 2 et 5 sont des groupes Diffie-Hellman faibles. Les groupes 14, 15 et 16 ne sont pas des groupes faibles, mais ils ne sont pas compatibles avec FIPS. Cet état affecte les configurations de session IPSec VPN qui utilisent les configurations non conformes signalées. |
Pour corriger cet état, configurez les profils VPN pour utiliser le groupe Diffie-Hellman 19, 20 ou 21. Reportez-vous à la section Ajout de profils. |
| 72024 | Le paramètre global FIPS de l'équilibreur de charge est désactivé. | Cette erreur est signalée si le paramètre global FIPS de l'équilibreur de charge est désactivé. Cet état affecte tous les services d'équilibreur de charge. |
Pour corriger cet état, activez FIPS pour l'équilibreur de charge. Reportez-vous à la section Configurer le mode de conformité FIPS global pour l'équilibreur de charge. |
| 72025 | L'exécution de QAT (Quick Assist Technologies) sur le nœud Edge n'est pas conforme à FIPS. | QAT est un ensemble de services à accélération matérielle fournis par Intel pour la cryptographie et la compression. | Pour désactiver l'utilisation de QAT, utilisez l'interface de ligne de commande NSX. Pour plus d'informations, reportez-vous à la section « Prise en charge d'Intel QAT pour la cryptographie en masse de VPN IPSec » dans le Guide d'installation de NSX. |
| 72200 | Entropie réelle insuffisante disponible. | Cet état est signalé lorsqu'un pseudo générateur de nombres aléatoires est utilisé pour générer l'entropie plutôt que de s'appuyer sur une entropie générée par le matériel. L'entropie générée par le matériel n'est pas utilisé, car le nœud NSX Manager ne dispose pas de la prise en charge de l'accélération matérielle requise pour créer une entropie réelle suffisante. |
Pour corriger cet état, vous devrez peut-être utiliser un matériel plus récent pour exécuter le nœud NSX Manager. La plupart des matériels récents prennent en charge cette fonctionnalité.
Note : Si l'infrastructure sous-jacente est virtuelle, vous n'obtiendrez pas d'entropie réelle.
|
| 72201 | Source d'entropie inconnue. | Cet état est signalé lorsqu'aucun état d'entropie n'est disponible pour le nœud indiqué. | Pour corriger cet état, vérifiez que le nœud indiqué fonctionne correctement. |
| 72301 | Le certificat n'est pas signé par une autorité de certification. | Cet état est signalé lorsque l'un des certificats NSX Manager n'est pas signé par une autorité de certification. NSX Manager utilise les certificats suivants .
|
Pour corriger cet état, installez des certificats signés par une autorité de certification. Reportez-vous à la section Certificats. |
