您可以找到有關符合性狀態報告之意義的詳細資訊。
| 代碼 | 說明 | 合規性狀態來源 | 修復 |
|---|---|---|---|
| 72001 | 加密已停用。 | 如果 VPN IPSec 設定檔組態包含 NO_ENCRYPTION、NO_ENCRYPTION_AUTH_AES_GMAC_128、NO_ENCRYPTION_AUTH_AES_GMAC_192 或 NO_ENCRYPTION_AUTH_AES_GMAC_256 encryption_algorithms,則會報告此狀態。此狀態會影響使用所報告不相容組態的 IPSec VPN 工作階段組態。 |
若要修復此狀態,請新增使用相容加密演算法的 VPN IPSec 設定檔,並在所有 VPN 組態中使用該設定檔。請參閱新增 IPSec 設定檔。 |
| 72011 | 具有芳鄰略過完整性檢查的 BGP 訊息。未定義訊息驗證。 | 如果未對 BGP 芳鄰設定密碼,則會報告此狀態。 此狀態會影響 BGP 芳鄰組態。 |
若要修復此狀態,請在 BGP 芳鄰上設定密碼,並將第 0 層閘道組態更新為使用該密碼。請參閱設定 BGP。 |
| 72012 | 與 BGP 芳鄰的通訊使用弱式完整性檢查。MD5 用於訊息驗證。 | 如果對 BGP 芳鄰密碼使用 MD5 驗證,則會報告此狀態。 此狀態會影響 BGP 芳鄰組態。 |
沒有可用的修復,因為 NSX 僅支援 BGP 的 MD5 驗證。 |
| 72021 | 使用了 SSL 第 3 版來建立安全通訊端連線。建議 TLS 1.1 版或更高版本,並完全停用具有通訊協定弱點的 SSLv3。 | 如果已在負載平衡器用戶端 SSL 設定檔、負載平衡器伺服器 SSL 設定檔,或負載平衡器 HTTPS 監視器中設定 SSL 第 3 版,則會報告此狀態。
此狀態會影響下列組態:
|
若要修復此狀態,請設定使用 TLS 1.1 或更新版本的 SSL 設定檔,並在所有負載平衡器組態中使用此設定檔。請參閱新增 SSL 設定檔。 |
| 72022 | 使用了 TLS 1.0 版來建立安全通訊端連線。建議 TLS 1.1 版或更高版本,並完全停用具有通訊協定弱點的 TLS 1.0 版。 | 如果已在負載平衡器用戶端 SSL 設定檔、負載平衡器伺服器 SSL 設定檔,或負載平衡器 HTTPS 監視器中設定 TLS 1.0 版,則會報告此狀態。
此狀態會影響下列組態:
|
若要修復此狀態,請設定使用 TLS 1.1 或更新版本的 SSL 設定檔,並在所有負載平衡器組態中使用此設定檔。請參閱新增 SSL 設定檔。 |
| 72023 | 使用了弱式 Diffie-Hellman 群組。 | 如果 VPN IPSec 設定檔或 VPN IKE 設定檔組態包含下列 Diffie-Hellman 群組:2、5、14、15 或 16,則會報告此錯誤。群組 2 和 5 是弱式 Diffie-Hellman 群組。群組 14、15 和 16 不是弱式群組,但並非 FIPS 相容。 此狀態會影響使用所報告不相容組態的 IPSec VPN 工作階段組態。 |
若要修復此狀態,請將 VPN 設定檔設定為使用 Diffie-Hellman 群組 19、20 或 21。請參閱新增設定檔。 |
| 72024 | 負載平衡器 FIPS 全域設定已停用。 | 如果已停用負載平衡器 FIPS 全域設定,則會報告此錯誤。 此狀態會影響所有負載平衡器服務。 |
若要修復此狀態,請針對負載平衡器啟用 FIPS。請參閱設定負載平衡器的全域 FIPS 符合性模式。 |
| 72025 | 在 Edge 節點上執行的 Quick Assist Technologies (QAT) 不符合 FIPS 標準。 | QAT 是 Intel 提供的一組硬體加速服務,用於密碼編譯和壓縮。 | 若要停止使用 QAT,請使用 NSX CLI。如需詳細資料,請參閱《NSX 安裝指南》中的〈Intel QAT 支援 IPSec VPN 大量密碼編譯〉。 |
| 72200 | 沒有足夠的真實熵可用。 | 使用偽隨機數字產生器來產生熵,而非依賴硬體產生的熵時,會報告此狀態。 不使用硬體產生的熵,因為 NSX Manager 節點沒有所需的硬體加速支援,無法建立足夠的真實熵。 |
若要修復此狀態,您可能需要使用較新的硬體來執行 NSX Manager 節點。最新的硬體支援此功能。
備註: 如果基礎結構是虛擬的,您將無法取得真實熵。
|
| 72201 | 熵來源未知。 | 當沒有任何熵狀態可用於指示的節點時,會報告此狀態。 | 若要修復此狀態,請確認指示的節點正確運作。 |
| 72301 | 憑證未經過 CA 簽署。 | 當其中一個 NSX Manager 憑證未經過 CA 簽署時,會報告此狀態。NSX Manager 使用下列憑證:
|
若要修復此狀態,請安裝 CA 簽署的憑證。請參閱憑證。 |
