En esta página se describe cómo habilitar MACsec para Cloud Interconnect.
Una vez que hayas generado las claves precompartidas y configurado tu router local para usarlas, debes habilitar MACsec para Cloud Interconnect. Una vez que hayas habilitado MACsec para Cloud Interconnect, verifica que tu configuración de Cloud Interconnect sea correcta y que utilice MACsec para proteger tus datos.
Antes de empezar
Si no has completado la configuración, configura MACsec antes de habilitarlo para Cloud Interconnect.
Habilitar MACsec para Cloud Interconnect
Selecciona una de las opciones siguientes:
Consola
En la Google Cloud consola, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Selecciona la conexión que quieras modificar.
En la pestaña MACsec, haz clic en Habilitar.
Aparecerá una ventana de confirmación. Lee el mensaje y haz clic en Confirm (Confirmar) para habilitar MACsec o en Cancel (Cancelar) para cancelar la acción.
gcloud
Para habilitar MACsec para Cloud Interconnect con la configuración predeterminada, ejecuta el siguiente comando:
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled
Sustituye INTERCONNECT_CONNECTION_NAME por el nombre de tu conexión de Cloud Interconnect.
Verificar la configuración de MACsec
Selecciona una de las opciones siguientes:
Consola
En la Google Cloud consola, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Selecciona la conexión que quieras ver.
En la sección Información del circuito de enlace se muestra la siguiente información:
ID de circuito de Google: nombre del circuito de enlace.
Estado del enlace: el estado físico del enlace miembro de LACP muestra una marca de verificación y el estado Activo para indicar que el enlace miembro de LACP está activo.
Nombre de la clave MACsec: muestra una marca de verificación y el nombre de la clave MACsec para indicar que MACsec está activo en el enlace.
Potencia óptica receptora: una marca de verificación indica que la conexión es aceptable. El nivel de luz óptica que detecta la interfaz física del transmisor del mando a distancia se muestra en dBm.
Potencia óptica transmisora: una marca de verificación indica que la conexión es aceptable y el nivel de luz óptica que la interfaz física transmite al receptor remoto se muestra en dBm.
ID de demarcación de Google: el ID único asignado por Google a la conexión.
Haz clic en la pestaña MACsec. La configuración de MACsec muestra una de las siguientes opciones:
Habilitado, fail open: el cifrado MACsec está habilitado en el enlace. Si no se establece el cifrado MACsec entre ambos extremos, el enlace funcionará sin cifrado.
Habilitado, error cerrado: el cifrado MACsec está habilitado en el enlace. Si no se establece el cifrado MACsec entre ambos extremos, el enlace fallará.
gcloud
Ejecuta el siguiente comando:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
El resultado es similar al siguiente ejemplo de Cloud Interconnect de 10 GB. Busca el valor availableFeatures definido como IF_MACSEC y la sección macsec:
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: false
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
Los siguientes elementos especifican la configuración de MACsec de la conexión de Cloud Interconnect:
availableFeatures: capacidad de MACsec en la conexión de Cloud Interconnect. Este parámetro solo se muestra en las conexiones de Cloud Interconnect de 10 GB, ya que todas las conexiones de Cloud Interconnect de 100 GB son compatibles con MACsec de forma predeterminada.macsec.failOpen: el comportamiento de la conexión si Cloud Interconnect no puede establecer una sesión de MKA con tu router. El valor puede ser uno de los siguientes:false: si no se puede establecer una sesión de MKA, Cloud Interconnect descartará todo el tráfico.true: Si no se puede establecer una sesión de MKA, Cloud Interconnect transfiere tráfico sin cifrar.
macsec.preSharedKeys.name: la lista de todas las claves precompartidas configuradas para Cloud Interconnect en este enlace.macsec.preSharedKeys.startTime: hora de inicio en la que se considera válida la clave precompartida actual. Todas las claves tienen validez infinita.macsecEnabled: estado de MACsec de Cloud Interconnect en este enlace. El valor puede ser uno de los siguientes:false: MACsec para Cloud Interconnect está desactivado.true: MACsec para Cloud Interconnect está activado.
Este comando no muestra el estado operativo de MACsec.
Habilitar MACsec en un router local
Consulta la documentación del proveedor del router para habilitar MACsec en tu router local.
Desagotar una conexión de Cloud Interconnect
Si has agotado tu conexión de Cloud Interconnect, habilita las vinculaciones de VLAN.
Siguientes pasos
- Solucionar problemas de MACsec
- Ver el estado de MACsec
- Inhabilitar MACsec
- Obtener claves MACsec
- Rotar las claves de MACsec