停用 MACsec

本页面介绍如何停用 MACsec for Cloud Interconnect。

您可以停用 MACsec,这在排查连接问题时很有用。

停用 MACsec for Cloud Interconnect

从下列选项中选择一项:

控制台

  1. 在 Google Cloud 控制台中,进入 Cloud Interconnect 物理连接标签页。

    转到物理连接

  2. 选择您要修改的连接。

  3. MACsec 标签页上,点击停用

    在确认对话框中,阅读该消息,然后点击确认以确认您要停用 MACsec,或点击取消进行取消。

gcloud

如需停用 MACsec for Cloud Interconnect,请运行以下命令:

gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --no-enabled

INTERCONNECT_CONNECTION_NAME 替换为 Cloud Interconnect 连接的名称。

验证 MACsec 配置

从下列选项中选择一项:

控制台

  1. 在 Google Cloud 控制台中,进入 Cloud Interconnect 物理连接标签页。

    转到物理连接

  2. 选择您要查看的连接。

  3. 链路线路信息部分显示以下信息:

    • Google 线路 ID:链路线路的名称。

    • 链接状态:LACP 成员链接的物理状态显示 对勾活跃,指示 LACP 成员链接已启动。

    • MACsec 密钥名称:停用 MACsec 时字段为空。

    • 接收光功率 对勾指示可接受的连接。物理接口从远程发射器检测到的光信号强度以 dBm 为单位显示。

    • 发射光功率 对勾指示可接受的连接,并且物理接口发射到远程接收器的光信号强度以 dBm 为单位显示。

  4. MACsec 配置 显示已停用,指示链接已停用 MACsec 加密。

gcloud

如需验证 Cloud Interconnect MACsec 配置,请运行以下命令:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

输出类似于以下内容:

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: false
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: false
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

以下各项指定 MACsec 连接的配置:

  • macsec.failOpen:如果 Cloud Interconnect 无法与您的路由器建立 MKA 会话,则为此连接的行为。此值为以下任一项:

    • false:如果无法建立 MKA 会话,则 Cloud Interconnect 会丢弃所有流量。

    • true:如果无法建立 MKA 会话,则 Cloud Interconnect 会传递未加密的流量。

  • macsec.preSharedKeys.name:通过此链路针对 Cloud Interconnect 配置的所有预共享密钥的列表。

  • macsec.preSharedKeys.startTime:当前预共享密钥的生效时间。所有密钥都具有无限的有效性。

  • macsecEnabled:此链路上的 MACsec for Cloud Interconnect 状态。此值为以下任一项:

    • false:MACsec for Cloud Interconnect 已关闭。

    • true:MACsec for Cloud Interconnect 已开启。

此命令不会显示 MACsec 运行状态。

后续步骤