Configurar MACsec

Consola

1. En la Google Cloud consola, ve a la pestaña Conexiones físicas de Cloud Interconnect.

   Ve a Conexiones físicas.

2. Haga clic en el nombre de la conexión que quiera inspeccionar.

3. Haz clic en la pestaña MACsec.

   Se muestra la información de MACsec. Si tu conexión de Cloud Interconnect admite MACsec y no está configurada, en Configuración de MACsec se mostrará el valor Inhabilitado. Si tu conexión no admite MACsec, el botón Habilitar no se podrá pulsar y, al colocar el cursor sobre él, se mostrará el mensaje "Tu interconexión no admite MACsec. Necesitas un puerto compatible con MACsec."

gcloud

Ejecuta el siguiente comando:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

Sustituye INTERCONNECT_CONNECTION_NAME por el nombre de tu conexión de Cloud Interconnect.

La salida es similar a la del siguiente ejemplo. Las conexiones compatibles con MACsec muestran lo siguiente:

• Para enlaces de 10 GB: linkType: LINK_TYPE_ETHERNET_10G_LR y availableFeatures: IF_MACSEC
• Para enlaces de 100 GB: linkType: LINK_TYPE_ETHERNET_100G_LR; todos los enlaces de 100 GB son compatibles con MACsec

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

Los siguientes elementos especifican la configuración de MACsec de la conexión de Cloud Interconnect:

• availableFeatures: capacidad de MACsec en la conexión de Cloud Interconnect. Este parámetro solo se muestra en las conexiones de Cloud Interconnect de 10 GB, ya que las conexiones de Cloud Interconnect de 100 GB son compatibles con MACsec de forma predeterminada.

• macsecEnabled: estado de MACsec de Cloud Interconnect en este enlace. El valor será "false" hasta que habilites MACsec en la interconexión.

Consola

1. En la Google Cloud consola, ve a la pestaña Conexiones físicas de Cloud Interconnect.

   Ve a Conexiones físicas.

2. Haz clic en Configurar conexión física.

3. Selecciona Interconexión dedicada y, a continuación, haz clic en Continuar.

4. Selecciona Pedir una nueva interconexión dedicada y, a continuación, haz clic en Continuar.

5. Especifica los detalles de la conexión:

   • Nombre: el nombre de la conexión. Este nombre se muestra en la consola y la CLI de Google Cloud lo usa para hacer referencia a la conexión, como my-interconnect. Google Cloud

   • Ubicación de Google Cloud: la ubicación física donde se crea la conexión. Tu red local debe cumplir los requisitos de la red deGoogle Clouden esta ubicación. Puede limitar la lista de ubicaciones disponibles por zona geográfica en el menú desplegable Ubicación geográfica.

   • En la columna Compatibilidad con MACsec del proyecto actual se muestran los tamaños de circuito disponibles para MACsec para Cloud Interconnect.

   • Capacidad: la capacidad total de tu conexión, que se determina en función del número y el tamaño de los circuitos que pidas.

     Selecciona una de las opciones que se muestran.

   • Solicita un puerto compatible con MACsec: si vas a solicitar un enlace físico de 10 Gbps, debes seleccionar esta opción al solicitar tu conexión de Cloud Interconnect para conexiones compatibles con MACsec. Si pides un enlace físico de 100 Gbps, se seleccionará automáticamente un puerto compatible con MACsec y no podrás anular la selección.

     Puede proporcionar una descripción opcional de la conexión en el campo Descripción. Esta descripción es para tu uso.

6. Haz clic en Siguiente.

7. Si necesitas redundancia, especifica los detalles de tu conexión duplicada y haz clic en Siguiente.

8. Especifica tu información de contacto:

   • Nombre de la empresa: el nombre de su organización que se incluirá en la carta de autorización como la parte autorizada para solicitar una conexión.

   • Contacto técnico: dirección de correo a la que se envían las notificaciones sobre esta conexión. No es necesario que introduzcas tu dirección, ya que se te incluirá en todas las notificaciones. Solo puedes especificar una dirección.

     Si creas una conexión mediante la federación de identidades para el trabajo, debes especificar un contacto técnico. La federación de identidades de los trabajadores está en vista previa.

9. Revisa tu pedido. Comprueba que los detalles de tu conexión Interconnect dedicada y tu información de contacto sean correctos. Si todo es correcto, haz clic en Hacer pedido. Si no es así, vuelve y edita los detalles de la conexión.

10. En la página de confirmación del pedido, consulta los pasos siguientes y haz clic en Hecho.

gcloud

El siguiente comando muestra cómo solicitar una conexión de Cloud Interconnect compatible con MACsec en un enlace de 10 GB. Se admite MACsec en conexiones de 10 GB, pero debes ponerte en contacto con tuGoogle Cloud equipo de cuentas para habilitar tus Google Cloud proyectos y crear una conexión compatible con MACsec en enlaces de 10 GB.

gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
    --customer-name=CUSTOMER_NAME \
    --interconnect-type=DEDICATED \
    --link-type=LINK_TYPE_ETHERNET_10G_LR \
    --location="INTERCONNECT_CONNECTION_LOCATION" \
    --requested-link-count=LINK_COUNT \
    --requested-features=MACSEC

Haz los cambios siguientes:

• INTERCONNECT_CONNECTION_NAME: un nombre para tu conexión de Cloud Interconnect

• CUSTOMER_NAME: el nombre del cliente que figura en la carta de autorización que emitimos para esta conexión

• INTERCONNECT_CONNECTION_LOCATION: una ubicación de conexión de Cloud Interconnect que aparece en la tabla de ubicaciones

• LINK_COUNT: el número de conexiones de Cloud Interconnect que quieras

Consola

1. En la Google Cloud consola, ve a la pestaña Conexiones físicas de Cloud Interconnect.

   Ve a Conexiones físicas.

2. Selecciona la conexión que quieras modificar.

3. En la pestaña MACsec, vaya a la sección Claves precompartidas y, a continuación, haga clic en Claves precompartidas gestionadas.

4. Especifica los detalles de la clave precompartida:

   • Nombre de la clave 1: el nombre de la clave. Este nombre se muestra en la consola y lo usa la CLI de gcloud para hacer referencia a la clave, como psk-1. Google Cloud

   • Hora de inicio 1: la hora a partir de la cual es válida la clave.

5. Para añadir más claves precompartidas, haz clic en Añadir clave. Las claves precompartidas consecutivas deben tener horas de inicio con una diferencia de al menos seis horas.

6. Haz clic en Enviar.

gcloud

gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
     --key-name=KEY_NAME --start-time="START_TIME"

Haz los cambios siguientes:

• KEY_NAME: nombre de la clave
• START_TIME: hora a partir de la que esta clave es válida en formato ISO 8601. Por ejemplo, 2023-07-01T21:00:01.000Z.

Consola

1. En la Google Cloud consola, ve a la pestaña Conexiones físicas de Cloud Interconnect.

   Ve a Conexiones físicas.

2. Selecciona la conexión que quieras ver.

3. En la pestaña MACsec, vaya a la sección Claves precompartidas, busque el nombre de la clave precompartida y, a continuación, haga clic en Ver. En una ventana se muestra la clave de asociación de conectividad (CAK) y el nombre de la clave de asociación de conectividad (CKN). Haz clic en Copiar junto a cualquiera de los valores para copiarlo en el portapapeles de tu ordenador.

4. Haz clic en Cerrar.

gcloud

Ejecuta el siguiente comando:

gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

El resultado debería ser similar al siguiente:

preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
  ckn: 0101016789abcdef...0123456789abcdef
  name: key1
  startTime: 2023-07-01T21:00:01.000Z

Anota la clave de asociación de conectividad (CAK) y el nombre de la clave de asociación de conectividad (CKN) de la configuración de tu router.

Si recibes un error de permisos denegados, comprueba que tienes los permisos correctos. Para obtener más información, consulta la sección Antes de empezar.