Auf dieser Seite wird beschrieben, wie Sie MACsec für Cloud Interconnect beheben können.
Cloud Interconnect zeigt eine Fehlermeldung an, wenn ich versuche, einen neuen Schlüssel zu erstellen
Wenn Sie bereits einen MACsec-Schlüssel ohne Startzeit haben und versuchen, einen neuen Schlüssel zu erstellen, zeigt Cloud Interconnect einen Fehler an. Aktualisieren Sie die Startzeit des vorhandenen Schlüssels, um den Fehler zu beheben.
MACsec ist über meine Cloud Interconnect-Verbindung nicht betriebsbereit
Sie haben MACsec für Ihre Cloud Interconnect-Verbindung und auf Ihrem lokalen Router aktiviert, aber in der MACsec-Sitzung wird angezeigt, dass sie auf den Cloud Interconnect-Verbindungslinks nicht betriebsbereit ist. Das Problem könnte eine der folgenden Ursachen haben:
- Die aktiven Schlüssel auf Ihrem lokalen Router und den Edge-Routern von Google nicht übereinstimmen.
- Zwischen Ihrem lokalen Router und dem Edge-Router von Google besteht eine Abweichung des MACsec-Protokolls.
So lösen Sie den MACsec-Status auf:
Wählen Sie eine der folgenden Optionen aus, um zu prüfen, ob MACsec für Ihre Cloud Interconnect-Verbindung aktiviert ist:
Console
Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.
Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten.
Prüfen Sie auf dem Tab MACsec, ob in der MACsec-MACsec eine der folgenden Optionen angezeigt wird:
Aktiviert, Fail-Open: Die MACsec-Verschlüsselung ist für den Link aktiviert. Wenn die MACsec-Verschlüsselung zwischen beiden Enden nicht eingerichtet ist, funktioniert der Link ohne Verschlüsselung.
Aktiviert, Fail Closed: Die MACsec-Verschlüsselung ist für den Link aktiviert. Wenn die MACsec-Verschlüsselung zwischen beiden Enden nicht eingerichtet ist, schlägt der Link fehl.
gcloud
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
Ersetzen Sie
INTERCONNECT_CONNECTION_NAME
durch den Namen Ihrer Cloud Interconnect-Verbindung.Die entsprechende Ausgabe sieht etwa so aus: Prüfen Sie, ob
macsecEnabled: true
angezeigt wird:adminEnabled: true availableFeatures: - IF_MACSEC circuitInfos: - customerDemarcId: fake-peer-demarc-0 googleCircuitId: LOOP-0 googleDemarcId: fake-local-demarc-0 creationTimestamp: '2021-10-05T03:39:33.888-07:00' customerName: Fake Company description: something important googleReferenceId: '123456789' id: '12345678987654321' interconnectAttachments: - https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0 interconnectType: IT_PRIVATE kind: compute#interconnect labelFingerprint: 12H17262736_ linkType: LINK_TYPE_ETHERNET_10G_LR location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012 macsec: failOpen: false preSharedKeys: - name: key1 startTime: 2023-07-01T21:00:01.000Z macsecEnabled: true name: INTERCONNECT_CONNECTION_NAME operationalStatus: OS_ACTIVE provisionedLinkCount: 1 requestedFeatures: - IF_MACSEC requestedLinkCount: 1 selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321 state: ACTIVE
Verwenden Sie eine der folgenden Optionen, um den Port-Status von Cloud Interconnect, den Betriebsstatus von MACsec und den Namen des aktiven Schlüssels zu prüfen:
Console
Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.
Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten.
Prüfen Sie unter Informationen zur Verknüpfungsschaltung, ob unter Linkstatus für alle Links
Aktiv angezeigt wird.Prüfen Sie, ob im MACsec-Schlüsselnamen für alle Links ein Schlüsselname angezeigt wird und prüfen Sie, dass für jeden Schlüsselnamen
MACsec ist für diesen Link aktiviert oder MACsec ist für diesen Link nicht verfügbar angezeigt wird.
gcloud
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME \ --project=PROJECT_NAME
Ersetzen Sie
PROJECT_NAME
durch den Namen Ihres Google Cloud-Projekts.Die entsprechende Ausgabe sieht etwa so aus: Prüfen Sie, ob
links.lacpStatus.state
ACTIVE
,links.macsec.ckn
einen Wert undlinks.operationalStatus
LINK_OPERATIONAL_STATUS_UP
anzeigt:bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP links: - circuitId: LOOP-0 googleDemarc: fake-local-demarc-0 lacpStatus: googleSystemId: '00:11:22:33:44:55' neighborSystemId: '55:44:33:22:11:00' state: ACTIVE macsec: ckn: 0101010189abcdef...0123456789abcdef operational: false operationalStatus: LINK_OPERATIONAL_STATUS_UP receivingOpticalPower: state: OK value: -2.49 transmittingOpticalPower: state: OK value: -0.88 macAddress: 00:11:22:33:44:55
Wenn für
links.macsec.ckn
kein Wert angezeigt wird, wenden Sie sich an den Google Cloud-Support.Wählen Sie eine der folgenden Optionen aus, um die CAK- und CKN-Werte des aktiven Schlüssels und die Startzeit des Schlüssels zu prüfen:
Console
Wechseln Sie auf dem Tab MACsec zum Abschnitt MACsec und klicken Sie neben dem aktiven Schlüssel auf MACsec. Wenn ein CKN-Wert nicht angezeigt wird, wenden Sie sich an den Google Cloud-Support.
Überprüfen Sie im Abschnitt Vorinstallierte Schlüssel, ob die Startzeit des aktiven Schlüssels mit der Startzeit auf dem lokalen Router übereinstimmt. Führen Sie einen der folgenden Schritte aus:
Wenn die Werte nicht übereinstimmen, lesen Sie das Handbuch Ihres Routers, um die Werte auf Ihrem Router zu aktualisieren, und prüfen Sie, ob eine MACsec-Sitzung eingerichtet werden kann.
Wenn die Werte übereinstimmen, die MACsec-Sitzung jedoch weiterhin über den Link nicht erreichbar ist, fahren Sie mit dem nächsten Schritt fort.
gcloud
Führen Sie den Befehl
gcloud compute interconnects get-diagnostics
aus, um den CKN-Wert des aktiven Schlüssels anzuzeigen.Wenn Sie mehr als einen Schlüssel konfiguriert haben, wird der Schlüssel mit der letzten Startzeit die nicht in der Zukunft liegt als aktiver Schlüssel gewählt. Die Edge-Router von Google lehnen alle neuen MACsec-Sitzungen ab, die versuchen, alte Schlüssel zu verwenden.
Rufen Sie die MACsec-Konfiguration ab und notieren Sie den CAK-Wert und die Startzeit des Schlüssels, die dem zuvor angezeigten CKN-Wert entsprechen:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
Ersetzen Sie
INTERCONNECT_CONNECTION_NAME
durch den Namen Ihrer Cloud Interconnect-Verbindung.Die Ausgabe sieht in etwa so aus: Suchen Sie nach
ckn
.preSharedKeys: - name: key1 ckn: 0101010189abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-07-01T12:12:12Z - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12Z
Prüfen Sie, ob die aktive CKN-, CAK- und Startzeiten auf Ihrem lokalen Router mit den Werten übereinstimmen, die MACsec für Cloud Interconnect anzeigt. Führen Sie einen der folgenden Schritte aus:
Wenn die Werte nicht übereinstimmen, lesen Sie das Handbuch Ihres Routers, um die Werte auf Ihrem Router zu aktualisieren, und prüfen Sie, ob eine MACsec-Sitzung eingerichtet werden kann.
Wenn die Werte übereinstimmen, die MACsec-Sitzung jedoch weiterhin über den Link nicht betriebsbereit ist, fahren Sie mit dem nächsten Schritt fort.
Prüfen Sie die Messwerte, um festzustellen, ob Pakete beim eingehenden oder ausgehenden Traffic der Cloud Interconnect-Verbindung verworfen werden. Informationen zum Anzeigen von Messwerten finden Sie unter Verbindungen überwachen.
So gehen Sie vor:
Wenn
network/interconnect/link/macsec/received_errors_count
erhöht wird, werden die Pakete bei der eingehenden Cloud Interconnect-Verbindung aufgrund von Fehlern verworfen. Dies weist darauf hin, dass zwischen Ihrem lokalen Router und den Edge-Routern von Google keine Übereinstimmung der Protokolle besteht. Prüfen Sie die Logs Ihres lokalen Routers, um das Problem zu beheben.Wenn einer der folgenden Zähler erhöht wird, wenden Sie sich an den Google Cloud-Support, um weitere Unterstützung zu erhalten:
network/interconnect/link/macsec/received_dropped_packets_count
network/interconnect/link/macsec/send_errors_count
network/interconnect/link/macsec/send_dropped_packets_count
Wenn keiner der folgenden Zähler erhöht wird, bedeutet dies, dass Pakete beim ausgehenden Traffic Ihres lokalen Routers verworfen werden. Prüfen Sie die Logs Ihres lokalen Routers, um das Problem zu beheben.
network/interconnect/receive_errors_count
network/interconnect/received_unicast_packets_count
network/interconnect/link/macsec/received_control_packets_count
network/interconnect/link/macsec/received_data_packets_count
network/interconnect/link/macsec/received_errors_count
network/interconnect/link/macsec/received_dropped_packets_count
MACsec ist betriebsbereit und erlebt Paketverluste
Sie haben MACsec für Cloud Interconnect erfolgreich aktiviert und MACsec ist betriebsbereit, es ist jedoch ein Paketverlust aufgetreten.
Wenn Ihre MACsec-Verbindung betriebsbereit ist, der Status des LACP-Protokolls (Link Aggregation Control Protocol, LACP) aber Detached
ist, prüfen Sie, ob Secure Channel Identifier (SCI) auf Ihrem lokalen Router aktiviert ist. Weitere Informationen finden Sie unter Lokalen Router konfigurieren.
Prüfen Sie die Messwerte, um festzustellen, ob Pakete beim eingehenden oder ausgehenden Traffic der Cloud Interconnect-Verbindung verworfen werden. Informationen zum Anzeigen von Messwerten finden Sie unter Verbindungen überwachen. Wenn in der Cloud Interconnect-Verbindung keine Paketfehler oder -verluste angezeigt werden, fahren Sie mit der Überprüfung der MACsec-Router fort:
Wenn
network/interconnect/link/macsec/received_errors_count
erhöht wird, werden die Pakete bei der eingehenden Cloud Interconnect-Verbindung aufgrund von Fehlern verworfen. Dies weist darauf hin, dass zwischen Ihrem lokalen Router und den Edge-Routern von Google keine Übereinstimmung der Protokolle besteht. Prüfen Sie die Logs Ihres lokalen Routers, um das Problem zu beheben.Wenn einer der folgenden Zähler erhöht wird, wenden Sie sich an den Google Cloud-Support, um weitere Unterstützung zu erhalten:
network/interconnect/link/macsec/received_dropped_packets_count
network/interconnect/link/macsec/send_errors_count
network/interconnect/link/macsec/send_dropped_packets_count
Wenn keiner der folgenden Zähler erhöht wird, bedeutet dies, dass Pakete beim ausgehenden Traffic Ihres lokalen Routers verworfen werden. Prüfen Sie die Logs Ihres lokalen Routers, um das Problem zu beheben.
network/interconnect/receive_errors_count
network/interconnect/received_unicast_packets_count
network/interconnect/link/macsec/received_control_packets_count
network/interconnect/link/macsec/received_data_packets_count
network/interconnect/link/macsec/received_errors_count
network/interconnect/link/macsec/received_dropped_packets_count
MACsec-Probleme bei aktiviertem Fail-Open-Verhalten beheben
Wenn Sie MACsec für Cloud Interconnect mit Fail-Open-Verhalten aktivieren, leitet Ihre Cloud Interconnect-Verbindung weiterhin Traffic weiter, auch wenn keine MACsec-Sitzung erfolgreich eingerichtet werden kann. Wir empfehlen dringend, das Fail-Open-Verhalten bei Cloud Interconnect-Produktionsverbindungen zu vermeiden, um die Übertragung von Paketen als Klartext zu vermeiden.
So ermitteln Sie die Konfiguration und geben den Status Ihrer MACsec-Verbindung an:
Wählen Sie eine der folgenden Optionen aus, um den Status Ihrer Cloud Interconnect-Verbindung zu prüfen:
Console
Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.
Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten.
Prüfen Sie auf dem Tab MACsec, ob in der MACsec-Konfiguration die Option Aktiviert, Fail Open angezeigt wird.
gcloud
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
Ersetzen Sie
INTERCONNECT_CONNECTION_NAME
durch den Namen Ihrer Cloud Interconnect-Verbindung.Die Ausgabe sieht etwa so aus: Suchen Sie nach
macsec failOpen
, das auftrue
gesetzt ist, undmacsecEnabled
das auftrue
gesetzt ist:availableFeatures: - IF_MACSEC adminEnabled: true circuitInfos: - customerDemarcId: fake-peer-demarc-0 googleCircuitId: LOOP-0 googleDemarcId: fake-local-demarc-0 creationTimestamp: '2021-10-05T03:39:33.888-07:00' customerName: Fake Customer description: <something> googleReferenceId: '123456789' id: '12345678987654321' interconnectAttachments: - https://www.googleapis.com/compute/prod/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-123456789-0 interconnectType: IT_PRIVATE kind: compute#interconnect labelFingerprint: 42WmSpB8rSM= linkType: LINK_TYPE_ETHERNET_10G_LR location: https://www.googleapis.com/compute/prod/projects/my-project1/global/interconnectLocations/cbf-zone2-65012 macsec: failOpen: true preSharedKeys: - name: key3 startTime: '2023-07-01T21:00:01.000Z' macsecEnabled: true name: INTERCONNECT_CONNECTION_NAME operationalStatus: OS_ACTIVE provisionedLinkCount: 1 requestedFeatures: - IF_MACSEC requestedLinkCount: 1 selfLink: https://www.googleapis.com/compute/prod/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME selfLinkWithId: https://www.googleapis.com/compute/prod/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME/12345678987654321 state: ACTIVE
In diesem Beispiel ist
macsec.failopen
auftrue
undmacsecEnabled
auftrue
gesetzt.Wählen Sie eine der folgenden Optionen aus, um den Portstatus der Cloud Interconnect-Verbindung, den Betriebsstatus von MACsec und den Namen des aktiven Schlüssels zu prüfen:
Console
Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.
Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten.
Prüfen Sie unter Informationen zur Verknüpfungsschaltung, ob unter Linkstatus für alle Links
Aktiv angezeigt wird.Prüfen Sie, ob im MACsec-Schlüsselnamen für alle Links ein Schlüsselname angezeigt wird und prüfen Sie, dass für jeden Schlüsselnamen
MACsec ist für diesen Link aktiviert oder MACsec ist für diesen Link nicht verfügbar angezeigt wird.
gcloud
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME \ --project=PROJECT_NAME
Ersetzen Sie
PROJECT_NAME
durch den Namen Ihres Google Cloud-Projekts.Die Ausgabe sieht etwa so aus: Suchen Sie nach
bundleOperationalStatus
mit dem WertBUNDLE_OPERATIONAL_STATUS_UP
,state
mit dem WertACTIVE
undmacsec
ckn
operational
mit dem Wertfalse
:bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP links: - circuitId: LOOP-0 googleDemarc: fake-local-demarc-0 lacpStatus: googleSystemId: '00:11:22:33:44:55' neighborSystemId: '55:44:33:22:11:00' state: ACTIVE macsec: ckn: 0101010189abcdef...0123456789abcdef operational: false operationalStatus: LINK_OPERATIONAL_STATUS_UP receivingOpticalPower: state: OK value: -2.49 transmittingOpticalPower: state: OK value: -0.88 macAddress: 00:11:22:33:44:55
In diesem Fall gilt Folgendes:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
zeigt an, dass das Bundle betriebsbereit ist.links.lacpStatus.state: ACTIVE
gibt an, dass der LACP-Mitgliedslink aktiv ist.links.macsec.operational: false
gibt an, dass MACsec nicht betriebsbereit ist.
Da das Fail-Open-Verhalten aktiviert ist, werden die LACP-Kontrollpakete in diesem Fall nicht verworfen.
Wenn für
links.macsec.ckn
kein Wert angezeigt wird, wenden Sie sich an den Google Cloud-Support.Mit dem Befehl
gcloud compute interconnects get-diagnostics
wird der CKN-Wert des aktiven Schlüssels angezeigt. Wenn Sie mehr als einen Schlüssel konfiguriert haben, wird der Schlüssel mit der letzten Startzeit als aktiver Schlüssel gewählt. Die Edge-Router von Google lehnen alle neuen MACsec-Sitzungen ab, die versuchen, ältere Schlüssel zu verwenden.Wählen Sie eine der folgenden Optionen aus, um die MACsec-Konfiguration abzurufen, und notieren Sie sich den CAK-Wert und die Startzeit des Schlüssels, die dem zuvor angezeigten CKN-Wert entsprechen:
Console
Wechseln Sie auf dem Tab MACsec zum Abschnitt MACsec und klicken Sie neben dem aktiven Schlüssel auf MACsec. Wenn die CAK- und CKN-Werte des Schlüssels nicht angezeigt werden, wenden Sie sich an den Google Cloud-Support.
Überprüfen Sie im Abschnitt Vorinstallierte Schlüssel, ob die Startzeit des aktiven Schlüssels mit den Startzeiten auf Ihrem lokalen Router übereinstimmt.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
Die Ausgabe sieht in etwa so aus: Suchen Sie nach
preSharedKeys
name
ckn
:preSharedKeys: - name: key1 ckn: 0101010189abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-07-01T12:12:12Z - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12Z
Prüfen Sie, ob die aktive CKN-, CAK- und Startzeiten auf Ihrem lokalen Router mit den Werten übereinstimmen, die MACsec für Cloud Interconnect anzeigt.
Führen Sie einen der folgenden Schritte aus:
Wenn die Werte nicht übereinstimmen, lesen Sie das Handbuch Ihres Routers, um die Werte auf Ihrem Router zu aktualisieren, und prüfen Sie, ob eine MACsec-Sitzung jetzt eingerichtet werden kann.
Wenn die Werte übereinstimmen, die MACsec-Sitzung jedoch weiterhin über den Link nicht betriebsbereit ist, fahren Sie mit dem nächsten Schritt fort.
Zeigen Sie Messwerte an, um Paketzähler für Ihre Cloud Interconnect-Verbindung zu beobachten. Weitere Informationen zum Anzeigen von Messwerten finden Sie unter Verbindungen überwachen.
Wenn das MACsec-Fail-Open-Verhalten aktiviert ist, werden die folgenden Zähler erhöht:
network/interconnect/sent_unicast_packets_count
network/interconnect/received_unicast_packets_count
Wenn das MACsec-Fail-Open-Verhalten aktiviert ist, werden die folgenden Zähler nicht erhöht:
network/interconnect/link/macsec/received_control_packets_count
network/interconnect/link/macsec/received_data_packets_count
network/interconnect/link/macsec/sent_control_packets_count
network/interconnect/link/macsec/sent_data_packets_count
So gehen Sie vor:
Wenn
network/interconnect/link/macsec/received_errors_count
erhöht wird, werden die Pakete bei der eingehenden Cloud Interconnect-Verbindung aufgrund von Fehlern verworfen. Dies weist darauf hin, dass zwischen Ihrem lokalen Router und den Edge-Routern von Google keine Übereinstimmung der Protokolle besteht. Prüfen Sie die Logs Ihres lokalen Routers, um das Problem zu beheben.Wenn einer der folgenden Zähler erhöht wird, wenden Sie sich an den Google Cloud-Support, um weitere Unterstützung zu erhalten:
network/interconnect/link/macsec/received_dropped_packets_count
network/interconnect/link/macsec/send_errors_count
network/interconnect/link/macsec/send_dropped_packets_count
Wenn keiner der folgenden Zähler erhöht wird, kann dies bedeuten, dass Pakete beim ausgehenden Traffic Ihres lokalen Routers verworfen werden. Prüfen Sie die Logs Ihres lokalen Routers, um das Problem zu beheben.
network/interconnect/receive_errors_count
network/interconnect/received_unicast_packets_count
network/interconnect/link/macsec/received_errors_count
network/interconnect/link/macsec/received_dropped_packets_count
Nächste Schritte
- MACsec-Schlüssel rotieren
- MACsec-Status anzeigen
- Fail-Open-Verhalten ändern
- MACsec-Schlüssel abrufen