Habilita MACsec

En esta página, se describe cómo habilitar MACsec para Cloud Interconnect.

Después de generar claves precompartidas y configurar tu router local para usarlas, debes habilitar MACsec para Cloud Interconnect. Después de habilitar MACsec para Cloud Interconnect, verifica que tu configuración de Cloud Interconnect esté configurada de forma correcta y uses MACsec para proteger tus datos.

Antes de comenzar

Si no completaste la configuración, configura MACsec antes de habilitar MACsec para Cloud Interconnect.

Habilita MACsec para Cloud Interconnect

Selecciona una de las opciones siguientes:

Console

  1. En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.

    Ir a Conexiones físicas

  2. Selecciona la conexión que deseas modificar.

  3. En la pestaña MACsec, haz clic en Habilitar.

    Aparecerá una ventana de confirmación. Lee el mensaje y, luego, haz clic en Confirmar a fin de confirmar que deseas habilitar MACsec, o Cancelar para cancelar.

gcloud

Habilita MACsec para Cloud Interconnect con la configuración predeterminada mediante la ejecución del siguiente comando:

gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --enabled

Reemplaza INTERCONNECT_CONNECTION_NAME por el nombre de tu conexión de Cloud Interconnect.

Verifica la configuración de MACsec

Selecciona una de las opciones siguientes:

Console

  1. En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.

    Ir a Conexiones físicas

  2. Selecciona la conexión que deseas ver.

  3. En la sección Información del circuito de los vínculos, se muestra la siguiente información:

    • ID de circuito de Google: el nombre del circuito de vínculo.

    • Estado del vínculo: El estado físico del vínculo del miembro de LACP muestra un mensaje Verificar y Activo para indicar que el vínculo del miembro del LACP está funcionando.

    • Nombre de la clave de MACsec: Muestra una Verificación y el nombre de la clave de MACsec para indicar que MACsec está activo en el vínculo.

    • Recibie potencia óptica: Una verificación indica una conexión aceptable. El nivel de luz óptica que la interfaz física detecta en el transmisor remoto se muestra en dBm.

    • Transmisión de potencia óptica: una Verificación indica una conexión aceptable y el nivel de luz óptica que transmite la interfaz física al receptor remoto se muestra en dBm.

    • ID de demarcación de Google: Es el ID único asignado por Google para el circuito de vínculo.

  4. Haz clic en la pestaña MACsec. La configuración MACsec muestra uno de los siguientes para tu configuración de MACsec:

    • Habilitada, apertura ante fallas: La encriptación de MACsec está habilitada en el vínculo. Si la encriptación MACsec no se establece entre ambos extremos, el vínculo funciona sin encriptación.

    • Habilitada, cierre ante fallas: La encriptación MACsec está habilitada en el vínculo. Si la encriptación MACsec no se establece entre ambos extremos, el vínculo falla.

gcloud

Ejecuta el siguiente comando:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

El resultado es similar al siguiente ejemplo de 10 GB de Cloud Interconnect. Busca availableFeatures configurado como IF_MACSEC y la sección macsec:

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: false
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

Los siguientes elementos especifican la configuración de MACsec de la conexión de Cloud Interconnect:

  • availableFeatures: Función MACsec en la conexión de Cloud Interconnect. Este parámetro solo se muestra para conexiones de Cloud Interconnect de 10 GB, ya que todas las conexiones de Cloud Interconnect de 100 GB tienen capacidad MACsec de forma predeterminada.

  • macsec.failOpen: es el comportamiento de la conexión si Cloud Interconnect no puede establecer una sesión de MKA con tu router. El valor es cualquiera de los siguientes:

    • false: Si no se puede establecer una sesión de MKA, Cloud Interconnect descarta todo el tráfico.

    • true: Si no se puede establecer una sesión de MKA, Cloud Interconnect pasa el tráfico no encriptado.

  • macsec.preSharedKeys.name: la lista de todas las claves precompartidas configuradas para Cloud Interconnect en este vínculo.

  • macsec.preSharedKeys.startTime: la hora de inicio a la que la clave precompartida actual se considera válida. Todas las claves tienen una validez infinita.

  • macsecEnabled: Es el estado de MACsec para Cloud Interconnect en este vínculo. El valor es cualquiera de los siguientes:

    • false: MACsec para Cloud Interconnect está desactivado.
    • true: MACsec para Cloud Interconnect está activado.

Este comando no muestra el estado operativo MACsec.

Habilita MACsec en tu router local

Consulta la documentación de tu proveedor de routers para habilitar MACsec en tu router local.

Desvía tu conexión de Cloud Interconnect

Si desviaste antes tu conexión de Cloud Interconnect, habilita los adjuntos de VLAN.

¿Qué sigue?