Mengaktifkan MACsec

Halaman ini menjelaskan cara mengaktifkan MACsec untuk Cloud Interconnect.

Setelah Anda membuat pre-shared key dan mengonfigurasi router lokal untuk menggunakannya, Anda perlu mengaktifkan MACsec untuk Cloud Interconnect. Setelah MACsec untuk Cloud Interconnect diaktifkan, Anda harus memastikan bahwa konfigurasi Cloud Interconnect Anda telah dikonfigurasi dengan benar dan menggunakan MACsec untuk membantu melindungi data Anda.

Sebelum memulai

Jika Anda belum menyelesaikan penyiapan, siapkan MACsec sebelum mengaktifkan MACsec untuk Cloud Interconnect.

Mengaktifkan MACsec untuk Cloud Interconnect

Pilih salah satu opsi berikut:

Konsol

  1. Di konsol Google Cloud, buka tab Koneksi fisik Cloud Interconnect.

    Buka Koneksi fisik

  2. Pilih koneksi yang ingin Anda ubah.

  3. Pada tab MACsec, klik Aktifkan.

    Jendela konfirmasi akan ditampilkan. Baca pesannya, lalu klik Konfirmasi untuk mengonfirmasi bahwa Anda ingin mengaktifkan MACsec, atau Batal untuk membatalkannya.

gcloud

Untuk mengaktifkan MACsec untuk Cloud Interconnect dengan setelan default, jalankan perintah berikut:

gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --enabled

Ganti INTERCONNECT_CONNECTION_NAME dengan nama koneksi Cloud Interconnect Anda.

Memverifikasi konfigurasi MACsec

Pilih salah satu opsi berikut:

Konsol

  1. Di konsol Google Cloud, buka tab Koneksi fisik Cloud Interconnect.

    Buka Koneksi fisik

  2. Pilih koneksi yang ingin Anda lihat.

  3. Bagian Info sirkuit link menampilkan informasi berikut:

    • ID sirkuit Google: nama sirkuit link.

    • Status link: Status fisik link anggota LACP menampilkan Pemeriksaan dan Aktif untuk menunjukkan bahwa link anggota LACP naik.

    • Nama kunci MACsec: menampilkan Pemeriksaan dan nama nama kunci MACsec untuk menunjukkan bahwa MACsec aktif pada link.

    • Menerima daya optik: Pemeriksaan menunjukkan koneksi yang dapat diterima. Tingkat cahaya optik yang dideteksi antarmuka fisik dari pemancar jarak jauh ditampilkan dalam dBm.

    • Mengirimkan daya optik: Pemeriksaan menunjukkan koneksi yang dapat diterima dan level cahaya optik yang ditransmisikan oleh antarmuka fisik ke penerima jarak jauh yang ditampilkan dalam dBm.

    • ID demarkasi Google: ID unik yang ditetapkan Google untuk sirkuit link.

  4. Klik tab MACsec. Konfigurasi MACsec menampilkan salah satu dari berikut ini untuk konfigurasi MACsec Anda:

    • Diaktifkan, gagal dibuka: Enkripsi MACsec diaktifkan di link. Jika enkripsi MACsec tidak dibuat di antara kedua ujung tersebut, maka link akan beroperasi tanpa enkripsi.

    • Diaktifkan, gagal ditutup: Enkripsi MACsec diaktifkan di link. Jika enkripsi MACsec tidak dibuat di antara kedua ujung tersebut, maka link akan gagal.

gcloud

Jalankan perintah berikut:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

Output-nya mirip dengan contoh Cloud Interconnect 10 GB berikut:

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: false
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

Item berikut menentukan konfigurasi MACsec koneksi Cloud Interconnect:

  • availableFeatures: Kemampuan detik MAC pada koneksi Cloud Interconnect. Parameter ini hanya ditampilkan untuk koneksi Cloud Interconnect 10 GB, karena semua koneksi Cloud Interconnect 100 GB mampu menjalankan MACsec secara default.

  • macsec.failOpen: perilaku koneksi jika Cloud Interconnect tidak dapat membuat sesi MKA dengan router Anda. Nilainya adalah salah satu dari berikut ini:

    • false: jika sesi MKA tidak dapat dibuat, maka Cloud Interconnect akan menghapus semua traffic.

    • true: jika sesi MKA tidak dapat dibuat, maka Cloud Interconnect akan meneruskan traffic yang tidak dienkripsi.

  • macsec.preSharedKeys.name: daftar semua pre-shared key yang dikonfigurasi untuk Cloud Interconnect di link ini.

  • macsec.preSharedKeys.startTime: waktu mulai saat pre-shared key saat ini dianggap valid. Semua kunci memiliki validitas tak terbatas.

  • macsecEnabled: Status MACsec untuk Cloud Interconnect di link ini. Nilainya adalah salah satu dari berikut ini:

    • false: MACsec untuk Cloud Interconnect tidak aktif.
    • true: MACsec untuk Cloud Interconnect aktif.

Perintah ini tidak menampilkan status operasional MACsec.

Aktifkan MACsec di router lokal Anda

Lihat dokumentasi vendor router Anda untuk mengaktifkan MACsec di router lokal.

Menguras koneksi Cloud Interconnect Anda

Jika sebelumnya Anda menghabiskan koneksi Cloud Interconnect Anda, aktifkan lampiran VLAN.

Apa langkah selanjutnya?