您可以找到有關符合性狀態報告之意義的詳細資訊。

表 1. 合規性報告代碼
代碼 說明 合規性狀態來源 修復
72001 加密已停用。 如果 VPN IPSec 設定檔組態包含 NO_ENCRYPTIONNO_ENCRYPTION_AUTH_AES_GMAC_128NO_ENCRYPTION_AUTH_AES_GMAC_192NO_ENCRYPTION_AUTH_AES_GMAC_256 encryption_algorithms,則會報告此狀態。

此狀態會影響使用所報告不相容組態的 IPSec VPN 工作階段組態。

若要修復此狀態,請新增使用相容加密演算法的 VPN IPSec 設定檔,並在所有 VPN 組態中使用該設定檔。請參閱新增 IPSec 設定檔
72011 具有芳鄰略過完整性檢查的 BGP 訊息。未定義訊息驗證。 如果未對 BGP 芳鄰設定密碼,則會報告此狀態。

此狀態會影響 BGP 芳鄰組態。

若要修復此狀態,請在 BGP 芳鄰上設定密碼,並將第 0 層閘道組態更新為使用該密碼。請參閱設定 BGP
72012 與 BGP 芳鄰的通訊使用弱式完整性檢查。MD5 用於訊息驗證。 如果對 BGP 芳鄰密碼使用 MD5 驗證,則會報告此狀態。

此狀態會影響 BGP 芳鄰組態。

沒有可用的修復,因為 NSX-T Data Center 僅支援 BGP 的 MD5 驗證。
72021 使用了 SSL 第 3 版來建立安全通訊端連線。建議 TLS 1.1 版或更高版本,並完全停用具有通訊協定弱點的 SSLv3。 如果已在負載平衡器用戶端 SSL 設定檔、負載平衡器伺服器 SSL 設定檔,或負載平衡器 HTTPS 監視器中設定 SSL 第 3 版,則會報告此狀態。
此狀態會影響下列組態:
  • 與 HTTPS 監視器相關聯的負載平衡器集區。
  • 與負載平衡器用戶端 SSL 設定檔或伺服器 SSL 設定檔相關聯的負載平衡器虛擬伺服器。
若要修復此狀態,請設定使用 TLS 1.1 或更新版本的 SSL 設定檔,並在所有負載平衡器組態中使用此設定檔。請參閱新增 SSL 設定檔
72022 使用了 TLS 1.0 版來建立安全通訊端連線。建議 TLS 1.1 版或更高版本,並完全停用具有通訊協定弱點的 TLS 1.0 版。 如果已在負載平衡器用戶端 SSL 設定檔、負載平衡器伺服器 SSL 設定檔,或負載平衡器 HTTPS 監視器中設定 TLS 1.0 版,則會報告此狀態。
此狀態會影響下列組態:
  • 與 HTTPS 監視器相關聯的負載平衡器集區。
  • 與負載平衡器用戶端 SSL 設定檔或伺服器 SSL 設定檔相關聯的負載平衡器虛擬伺服器。
若要修復此狀態,請設定使用 TLS 1.1 或更新版本的 SSL 設定檔,並在所有負載平衡器組態中使用此設定檔。請參閱新增 SSL 設定檔
72023 使用了弱式 Diffie-Hellman 群組。 如果 VPN IPSec 設定檔或 VPN IKE 設定檔組態包含下列 Diffie-Hellman 群組:2、5、14、15 或 16,則會報告此錯誤。群組 2 和 5 是弱式 Diffie-Hellman 群組。群組 14、15 和 16 不是弱式群組,但並非 FIPS 相容。

此狀態會影響使用所報告不相容組態的 IPSec VPN 工作階段組態。

若要修復此狀態,請將 VPN 設定檔設定為使用 Diffie-Hellman 群組 19、20 或 21。請參閱新增設定檔
72024 負載平衡器 FIPS 全域設定已停用。 如果已停用負載平衡器 FIPS 全域設定,則會報告此錯誤。

此狀態會影響所有負載平衡器服務。

若要修復此狀態,請針對負載平衡器啟用 FIPS。請參閱設定負載平衡器的全域 FIPS 符合性模式
72025 在 Edge 節點上執行的 Quick Assist Technologies (QAT) 不符合 FIPS 標準。 QAT 是 Intel 提供的一組硬體加速服務,用於密碼編譯和壓縮。 若要停止使用 QAT,請使用 NSX CLI。如需詳細資料,請參閱《NSX-T Data Center 安裝指南》中的〈Intel QAT 支援 IPSec VPN 大量密碼編譯〉。
72200 沒有足夠的真實熵可用。 使用偽隨機數字產生器來產生熵,而非依賴硬體產生的熵時,會報告此狀態。

不使用硬體產生的熵,因為 NSX Manager 節點沒有所需的硬體加速支援,無法建立足夠的真實熵。

若要修復此狀態,您可能需要使用較新的硬體來執行 NSX Manager 節點。最新的硬體支援此功能。
備註: 如果基礎結構是虛擬的,您將無法取得真實熵。
72201 熵來源未知。 當沒有任何熵狀態可用於指示的節點時,會報告此狀態。 若要修復此狀態,請確認指示的節點正確運作。
72301 憑證未經過 CA 簽署。 當其中一個 NSX Manager 憑證未經過 CA 簽署時,會報告此狀態。NSX Manager 使用下列憑證:
  • Syslog 憑證。
  • 個別 NSX Manager 節點的 API 憑證。
  • NSX Manager VIP。
若要修復此狀態,請安裝 CA 簽署的憑證。請參閱憑證