Configurer MACsec

Cette page explique comment configurer MACsec pour Cloud Interconnect.

Avant d'activer et d'utiliser MACsec pour Cloud Interconnect, vous devez créer une ou plusieurs clés prépartagées, puis configurer votre routeur sur site pour les utiliser. Votre routeur et le routeur périphérique de Google utilisent les clés prépartagées pour chiffrer le trafic qui transite entre les routeurs.

Avant de commencer

Pour obtenir les autorisations nécessaires pour récupérer les clés MACsec, demandez à votre administrateur de vous accorder le rôle IAM Administrateur réseau Compute (roles/compute.networkAdmin) sur votre projet. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Si vous choisissez d'utiliser des rôles personnalisés, assurez-vous que votre rôle personnalisé pour l'administration de MACsec pour Cloud Interconnect inclut l'autorisation IAM compute.interconnects.getMacsecConfig.

Vérifier que Cloud Interconnect est compatible avec MACsec

Utilisez l'une des options suivantes pour vérifier si une connexion Cloud Interconnect existante est compatible avec MACsec. Si c'est le cas, passez à l'étape Créer des clés prépartagées.

Console

  1. Dans Google Cloud Console, accédez à l'onglet Connexions physiques de Cloud Interconnect.

    Accéder à l'onglet "Connexions physiques"

  2. Cliquez sur le nom de la connexion que vous souhaitez inspecter.

  3. Cliquez sur l'onglet MACsec.

    Les informations MACsec s'affichent. Si votre connexion Cloud Interconnect est compatible avec MACsec et qu'elle n'est pas configurée, la configuration MACsec affiche la valeur Désactivé. Si votre connexion n'est pas compatible avec MACsec, le bouton Activer n'est pas exploitable et lorsque vous passez la souris sur le bouton, le message "Votre interconnexion n'est pas compatible avec MACsec". Vous avez besoin d'un port compatible avec MACsec.

gcloud

Exécutez la commande suivante :

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

Remplacez INTERCONNECT_CONNECTION_NAME par le nom de votre connexion Cloud Interconnect.

Le résultat ressemble à ce qui suit. Les connexions compatibles avec MACsec affichent les éléments suivants :

  • Pour les liaisons de 10 Go : linkType: LINK_TYPE_ETHERNET_10G_LR et availableFeatures: IF_MACSEC
  • Pour les liaisons de 100 Go : linkType: LINK_TYPE_ETHERNET_100G_LR ; toutes les liaisons de 100 Go sont compatibles avec MACsec.
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

Les éléments suivants spécifient la configuration MACsec de la connexion Cloud Interconnect :

  • availableFeatures : capacité MACsec sur la connexion Cloud Interconnect. Ce paramètre n'est affiché que pour les connexions Cloud Interconnect de 10 Go, car les connexions Cloud Interconnect de 100 Go sont compatibles par défaut avec MACsec.

  • macsecEnabled : état MACsec pour Cloud Interconnect sur ce lien. La valeur est définie sur "false" jusqu'à ce que vous activiez MACsec sur l'interconnexion.

Demander une connexion Cloud Interconnect compatible avec MACsec

Une connexion Cloud Interconnect de 100 Go est compatible par défaut avec MACsec. Toutefois, une connexion de 10 Go n'est pas compatible par défaut avec MACsec. Si votre connexion existante n'est pas compatible avec MACsec, vous devez demander une nouvelle connexion avant de continuer.

Sélectionnez l'une des options suivantes :

Console

  1. Dans Google Cloud Console, accédez à l'onglet Connexions physiques de Cloud Interconnect.

    Accéder à l'onglet "Connexions physiques"

  2. Cliquez sur Configurer la connexion physique.

  3. Sélectionnez Interconnexion dédiée, puis cliquez sur Continuer.

  4. Sélectionnez Commander une nouvelle interconnexion dédiée, puis cliquez sur Continuer.

  5. Spécifiez les détails de la connexion :

    • Nom : Nom de la connexion. Ce nom est affiché dans la console Google Cloud et permet à Google Cloud CLI de référencer la connexion, telle que my-interconnect.

    • Emplacement Google Cloud : emplacement physique dans lequel la connexion est créée. Votre réseau sur site doit rencontrer le réseau Google Cloud à cet endroit. Vous pouvez limiter la liste des emplacements disponibles par zone géographique dans le menu déroulant Emplacement géographique.

    • La colonne Compatibilité MACsec pour le projet en cours affiche les tailles de circuits disponibles pour MACsec pour Cloud Interconnect.

    • Capacité : capacité totale de la connexion, qui est déterminée par le nombre et la taille des circuits que vous commandez.

      Sélectionnez l'une des options affichées.

    • Commander un port compatible MACsec : si vous commandez un lien physique de 10 Gbit/s, vous devez sélectionner cette option lorsque vous commandez votre connexion Cloud Interconnect pour les connexions compatibles avec MACsec. Si vous commandez une liaison physique de 100 Gbit/s, un port compatible avec MACsec est automatiquement sélectionné et ne peut pas être désélectionné.

      Vous pouvez fournir une description facultative de la connexion dans le champ Description. Cette description vous est destinée.

  6. Cliquez sur Suivant.

  7. Si vous avez besoin de créer une redondance, saisissez les informations pour votre connexion dupliquée, puis cliquez sur Suivant.

  8. Saisissez vos coordonnées :

    • Nom de l'entreprise : nom de l'organisation à ajouter au mandat en tant que partie autorisée à demander une connexion.

    • Contact technique : adresse e-mail où sont envoyées les notifications relatives à cette connexion. Vous n'avez pas besoin de saisir votre propre adresse. Vous êtes inclus dans toutes les notifications. Vous ne pouvez spécifier qu'une seule adresse.

      Si vous créez une connexion via la fédération des identités des employés, vous devez spécifier un contact technique. La fédération des identités des employés est disponible en version preview.

  9. Vérifiez votre commande. Vérifiez que les informations sur la connexion par interconnexion dédiée et vos coordonnées sont correctes. Si c'est le cas, cliquez sur Commander. Sinon, revenez en arrière et modifiez les informations sur la connexion.

  10. Sur la page de confirmation de commande, passez en revue les étapes suivantes, puis cliquez sur Terminé.

gcloud

La commande suivante montre comment demander une connexion Cloud Interconnect compatible MACsec sur une liaison de 10 Go. MACsec est compatible avec les connexions 10 Go, mais vous devez contacter l'équipe de gestion de votre compte Google Cloud pour activer vos projets Google Cloud et créer une connexion compatible MACsec sur les liaisons 10 Go.

gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
    --customer-name=CUSTOMER_NAME \
    --interconnect-type=DEDICATED \
    --link-type=LINK_TYPE_ETHERNET_10G_LR \
    --location="INTERCONNECT_CONNECTION_LOCATION" \
    --requested-link-count=LINK_COUNT \
    --requested-features=IF_MACSEC

Remplacez les éléments suivants :

  • INTERCONNECT_CONNECTION_NAME : nom de votre connexion Cloud Interconnect.

  • CUSTOMER_NAME : nom du client pour la lettre d'autorisation (LOA) que nous émettons pour cette connexion.

  • INTERCONNECT_CONNECTION_LOCATION : emplacement de connexion Cloud Interconnect répertorié dans le tableau des emplacements

  • LINK_COUNT : nombre de connexions Cloud Interconnect souhaitées.

Une fois que vous avez demandé une connexion Cloud Interconnect compatible MACsec, une connexion Cloud Interconnect est provisionnée pour vous.

Pour en savoir plus sur le provisionnement, consultez la page Présentation du provisionnement de l'interconnexion dédiée ou la page Présentation du provisionnement de l'interconnexion partenaire.

Créer des clés pré-partagées

Une fois votre connexion Cloud Interconnect compatible MACsec provisionnée, créez les clés prépartagées utilisées par MACsec pour chiffrer le trafic qui transite entre les routeurs de périphérie de Google et votre routeur. La création de clés n'a pas pour effet d'activer MACsec. Pour activer MACsec, vous devez configurer votre routeur sur site, puis activer MACsec.

MACsec pour Cloud Interconnect nécessite que vous disposiez d'au moins une clé avec une heure de début antérieure ou égale à l'heure actuelle. Les clés que vous créez pour MACsec pour Cloud Interconnect ont une validité infinie. Vous pouvez utiliser au maximum cinq clés par connexion.

Console

  1. Dans Google Cloud Console, accédez à l'onglet Connexions physiques de Cloud Interconnect.

    Accéder à l'onglet "Connexions physiques"

  2. Sélectionnez la connexion que vous souhaitez modifier.

  3. Dans l'onglet MACsec, accédez à la section Pre-shared keys (Clés prépartagées), puis cliquez sur Managed pré-shared keys (Clés prépartagées gérées).

  4. Spécifiez les détails de la clé pré-partagée :

    • Nom de la clé 1 : nom de la clé. Ce nom est affiché dans la console Google Cloud et permet à la CLI gcloud de référencer la clé, telle que psk-1.

    • Heure de début 1 : heure à partir de laquelle la clé est valide.

  5. Pour ajouter d'autres clés prépartagées, cliquez sur Add key (Ajouter une clé). Les clés prépartagées consécutives doivent avoir des heures de début d'au moins six heures d'intervalle.

  6. Cliquez sur Submit (Envoyer).

gcloud

gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
     --key-name=KEY_NAME --start-time="START_TIME"

Remplacez les éléments suivants :

  • KEY_NAME : nom de la clé
  • START_TIME : heure à partir de laquelle cette clé est valide au format ISO 8601, par exemple 2023-07-01T21:00:01.000Z.

Obtenir des clés prépartagées

Console

  1. Dans Google Cloud Console, accédez à l'onglet Connexions physiques de Cloud Interconnect.

    Accéder à l'onglet "Connexions physiques"

  2. Sélectionnez la connexion que vous souhaitez afficher.

  3. Dans l'onglet MACsec, accédez à la section Pre-shared keys (Clés prépartagées), recherchez le nom de la clé prépartagée, puis cliquez sur View (Afficher). Une fenêtre affiche la clé d'association de connectivité (CAK) et le nom de la clé d'association de connectivité (CKN). Cliquez sur Copier à côté de l'une des valeurs pour copier la valeur dans le presse-papiers de votre ordinateur.

  4. Cliquez sur Fermer.

gcloud

Exécutez la commande suivante :

gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

Le résultat ressemble à ce qui suit :

preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
  ckn: 0101016789abcdef...0123456789abcdef
  name: key1
  startTime: 2023-07-01T21:00:01.000Z

Notez la clé d'association de connectivité (CAK) et le nom de la clé d'association de connectivité (CKN) pour la configuration de votre routeur.

Si vous recevez une erreur d'autorisation refusée, vérifiez que vous disposez des autorisations appropriées. Pour plus d'informations, consultez la section Avant de commencer.

Configurer un routeur sur site

Consultez la documentation de votre fournisseur de routeur pour définir les valeurs suivantes sur votre routeur afin de garantir la compatibilité avec les routeurs Google.

À ce stade, MACsec n'est pas activé du côté Google. Pour éviter une interruption du trafic, n'activez pas MACsec sur votre routeur lors de la définition de ces valeurs.

Paramètre Valeur
Suite de chiffrement MACsec
  • GCM-AES-256-XPN
  • GCM-AES-256
Algorithme de chiffrement CAK AES_256_CMAC
Priorité du serveur de clés 15
Intervalle de renouvellement de clé de la clé d'association sécurisée (SAK) 28800 secondes
Décalage de confidentialité MACsec 0
Taille de fenêtre 64
Indicateur de valeur de vérification d'intégrité (ICV) oui
CAK La valeur que vous avez notée précédemment lorsque vous avez obtenu des clés prépartagées.
CKN La valeur que vous avez notée précédemment lorsque vous avez obtenu des clés prépartagées.
Identifiant de canal sécurisé activé

Étape suivante