En esta página, se describe cómo habilitar MACsec para Cloud Interconnect.
Después de generar claves precompartidas y configurar tu router local para usarlas, debes habilitar MACsec para Cloud Interconnect. Después de habilitar MACsec para Cloud Interconnect, verifica que tu configuración de Cloud Interconnect esté configurada de forma correcta y uses MACsec para proteger tus datos.
Antes de comenzar
Si no completaste la configuración, configura MACsec antes de habilitar MACsec para Cloud Interconnect.
Habilita MACsec para Cloud Interconnect
Selecciona una de las opciones siguientes:
Console
En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Selecciona la conexión que deseas modificar.
En la pestaña MACsec, haz clic en Habilitar.
Aparecerá una ventana de confirmación. Lee el mensaje y, luego, haz clic en Confirmar a fin de confirmar que deseas habilitar MACsec, o Cancelar para cancelar.
gcloud
Habilita MACsec para Cloud Interconnect con la configuración predeterminada mediante la ejecución del siguiente comando:
gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
--enabled
Reemplaza INTERCONNECT_CONNECTION_NAME
por el nombre de tu conexión de Cloud Interconnect.
Verifica la configuración de MACsec
Selecciona una de las opciones siguientes:
Console
En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Selecciona la conexión que deseas ver.
En la sección Información del circuito de los vínculos, se muestra la siguiente información:
ID de circuito de Google: el nombre del circuito de vínculo.
Estado del vínculo: El estado físico del vínculo del miembro de LACP muestra un mensaje Verificar y Activo
para indicar que el vínculo del miembro del LACP está funcionando.Nombre de la clave de MACsec: Muestra una Verificación
y el nombre de la clave de MACsec para indicar que MACsec está activo en el vínculo.Recibie potencia óptica: Una verificación dBm.
indica una conexión aceptable. El nivel de luz óptica que la interfaz física detecta en el transmisor remoto se muestra enTransmisión de potencia óptica: una Verificación
indica una conexión aceptable y el nivel de luz óptica que transmite la interfaz física al receptor remoto se muestra en dBm.ID de demarcación de Google: Es el ID único asignado por Google para el circuito de vínculo.
Haz clic en la pestaña MACsec. La configuración MACsec muestra uno de los siguientes para tu configuración de MACsec:
Habilitada, apertura ante fallas: La encriptación de MACsec está habilitada en el vínculo. Si la encriptación MACsec no se establece entre ambos extremos, el vínculo funciona sin encriptación.
Habilitada, cierre ante fallas: La encriptación MACsec está habilitada en el vínculo. Si la encriptación MACsec no se establece entre ambos extremos, el vínculo falla.
gcloud
Ejecuta el siguiente comando:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
El resultado es similar al siguiente ejemplo de 10 GB de Cloud Interconnect. Busca availableFeatures
configurado como IF_MACSEC
y la sección macsec
:
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: false
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
Los siguientes elementos especifican la configuración de MACsec de la conexión de Cloud Interconnect:
availableFeatures
: Función MACsec en la conexión de Cloud Interconnect. Este parámetro solo se muestra para conexiones de Cloud Interconnect de 10 GB, ya que todas las conexiones de Cloud Interconnect de 100 GB tienen capacidad MACsec de forma predeterminada.macsec.failOpen
: es el comportamiento de la conexión si Cloud Interconnect no puede establecer una sesión de MKA con tu router. El valor es cualquiera de los siguientes:false
: Si no se puede establecer una sesión de MKA, Cloud Interconnect descarta todo el tráfico.true
: Si no se puede establecer una sesión de MKA, Cloud Interconnect pasa el tráfico no encriptado.
macsec.preSharedKeys.name
: la lista de todas las claves precompartidas configuradas para Cloud Interconnect en este vínculo.macsec.preSharedKeys.startTime
: la hora de inicio a la que la clave precompartida actual se considera válida. Todas las claves tienen una validez infinita.macsecEnabled
: Es el estado de MACsec para Cloud Interconnect en este vínculo. El valor es cualquiera de los siguientes:false
: MACsec para Cloud Interconnect está desactivado.true
: MACsec para Cloud Interconnect está activado.
Este comando no muestra el estado operativo MACsec.
Habilita MACsec en tu router local
Consulta la documentación de tu proveedor de routers para habilitar MACsec en tu router local.
Desvía tu conexión de Cloud Interconnect
Si desviaste antes tu conexión de Cloud Interconnect, habilita los adjuntos de VLAN.
¿Qué sigue?
- Solucionar problemas de MACsec
- Ver el estado de MACsec
- Inhabilitar MACsec
- Obtener las claves de MACsec
- Rotar las claves de MACsec