Abilita MACsec

Questa pagina descrive come abilitare MACsec per Cloud Interconnect.

Dopo aver generato le chiavi precondivise e configurato il tuo router on-premise per utilizzarle, devi abilitare MACsec per Cloud Interconnect. Dopo aver abilitato MACsec per Cloud Interconnect, verificherai che la configurazione di Cloud Interconnect sia configurata correttamente e utilizzi MACsec per proteggere i tuoi dati.

Prima di iniziare

Se non hai completato la configurazione, configura MACsec prima di abilitare MACsec per Cloud Interconnect.

Abilita MACsec per Cloud Interconnect

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.

    Vai a Connessioni fisiche

  2. Seleziona la connessione che vuoi modificare.

  3. Nella scheda MACsec, fai clic su Abilita.

    Viene visualizzata una finestra di conferma. Leggi il messaggio, quindi fai clic su Conferma per confermare di voler attivare MACsec oppure su Annulla per annullare.

gcloud

Per abilitare MACsec per Cloud Interconnect con le impostazioni predefinite, esegui questo comando:

gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --enabled

Sostituisci INTERCONNECT_CONNECTION_NAME con il nome della tua connessione Cloud Interconnect.

Verifica la configurazione MACsec

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.

    Vai a Connessioni fisiche

  2. Seleziona la connessione che vuoi visualizzare.

  3. La sezione Informazioni sul circuito di collegamento mostra le seguenti informazioni:

    • ID circuito Google: il nome del circuito di collegamento.

    • Stato del collegamento: lo stato fisico del link del membro LACP mostra Check e Active (Attivo) per indicare che il link per il membro LACP è attivo.

    • Nome chiave MACsec: mostra un controllo e il nome della chiave MACsec per indicare che MACsec è attivo sul link.

    • Ricezione potenza ottica: un controllo indica una connessione accettabile. Il livello di luce ottica che l'interfaccia fisica rileva dal trasmettitore remoto viene visualizzato in dBm.

    • Trasmissione di potenza ottica:un controllo indica una connessione accettabile e il livello di luce ottica che l'interfaccia fisica sta trasmettendo al ricevitore remoto viene visualizzato in dBm.

    • ID demarcazione Google: l'ID univoco assegnato da Google per il circuito di collegamento.

  4. Fai clic sulla scheda MACsec. La configurazione MACsec mostra una delle seguenti opzioni per la configurazione MACsec:

    • Abilitata, impossibile aprire: la crittografia MACsec è attivata per il link. Se la crittografia MACsec non viene stabilita tra entrambe le estremità, il link opera senza crittografia.

    • Abilitata, chiusura non riuscita: la crittografia MACsec è attivata per il link. Se la crittografia MACsec non viene stabilita tra entrambe le estremità, il collegamento non riesce.

gcloud

Esegui questo comando:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

L'output è simile al seguente esempio di Cloud Interconnect da 10 GB:

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: false
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

I seguenti elementi specificano la configurazione MACsec della connessione Cloud Interconnect:

  • availableFeatures: funzionalità MACsec sulla connessione Cloud Interconnect. Questo parametro viene mostrato solo per le connessioni Cloud Interconnect da 10 GB, perché tutte le connessioni Cloud Interconnect da 100 GB supportano MACsec per impostazione predefinita.

  • macsec.failOpen: il comportamento della connessione se Cloud Interconnect non può stabilire una sessione MKA con il router. Il valore può essere uno dei seguenti:

    • false: se non è possibile stabilire una sessione MKA, Cloud Interconnect elimina tutto il traffico.

    • true: se non è possibile stabilire una sessione MKA, Cloud Interconnect passa il traffico non criptato.

  • macsec.preSharedKeys.name: l'elenco di tutte le chiavi precondivise configurate per Cloud Interconnect su questo link.

  • macsec.preSharedKeys.startTime: l'ora di inizio in cui la chiave precondivisa corrente viene considerata valida. Tutte le chiavi hanno una validità infinita.

  • macsecEnabled: stato MACsec per Cloud Interconnect in questo link. Il valore può essere uno dei seguenti:

    • false: MACsec per Cloud Interconnect è disattivato.
    • true: MACsec per Cloud Interconnect è attivo.

Questo comando non mostra lo stato operativo di MACsec.

Abilita MACsec sul router on-premise

Consulta la documentazione del fornitore del router per abilitare MACsec sul tuo router on-premise.

Annulla il download della connessione Cloud Interconnect

Se hai già svuotato la connessione Cloud Interconnect, attiva i collegamenti VLAN.

Che cosa succede dopo?