MACsec-Fehlerbehebung

Auf dieser Seite wird beschrieben, wie Sie MACsec für Cloud Interconnect beheben können.

Cloud Interconnect zeigt eine Fehlermeldung an, wenn ich versuche, einen neuen Schlüssel zu erstellen

Wenn Sie bereits einen MACsec-Schlüssel ohne Startzeit haben und versuchen, einen neuen Schlüssel zu erstellen, zeigt Cloud Interconnect einen Fehler an. Aktualisieren Sie die Startzeit des vorhandenen Schlüssels, um den Fehler zu beheben.

MACsec ist über meine Cloud Interconnect-Verbindung nicht betriebsbereit

Sie haben MACsec für Ihre Cloud Interconnect-Verbindung und auf Ihrem lokalen Router aktiviert, aber in der MACsec-Sitzung wird angezeigt, dass sie auf den Cloud Interconnect-Verbindungslinks nicht betriebsbereit ist. Das Problem könnte eine der folgenden Ursachen haben:

• Die aktiven Schlüssel auf Ihrem lokalen Router und den Edge-Routern von Google nicht übereinstimmen.
• Zwischen Ihrem lokalen Router und dem Edge-Router von Google besteht eine Abweichung des MACsec-Protokolls.

So lösen Sie den MACsec-Status auf:

1. Wählen Sie eine der folgenden Optionen aus, um zu prüfen, ob MACsec für Ihre Cloud Interconnect-Verbindung aktiviert ist:

   Console

   1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

      Zu „Physische Verbindungen“

   2. Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten.

   3. Prüfen Sie auf dem Tab MACsec, ob in der MACsec-MACsec eine der folgenden Optionen angezeigt wird:

      • Aktiviert, Fail-Open: Die MACsec-Verschlüsselung ist für den Link aktiviert. Wenn die MACsec-Verschlüsselung zwischen beiden Enden nicht eingerichtet ist, funktioniert der Link ohne Verschlüsselung.

      • Aktiviert, Fail Closed: Die MACsec-Verschlüsselung ist für den Link aktiviert. Wenn die MACsec-Verschlüsselung zwischen beiden Enden nicht eingerichtet ist, schlägt der Link fehl.

   gcloud

   gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
   

   Ersetzen Sie INTERCONNECT_CONNECTION_NAME durch den Namen Ihrer Cloud Interconnect-Verbindung.

   Die entsprechende Ausgabe sieht etwa so aus: Prüfen Sie, ob macsecEnabled: true angezeigt wird:

   adminEnabled: true
   availableFeatures:
   - IF_MACSEC
   circuitInfos:
   - customerDemarcId: fake-peer-demarc-0
     googleCircuitId: LOOP-0
     googleDemarcId: fake-local-demarc-0
   creationTimestamp: '2021-10-05T03:39:33.888-07:00'
   customerName: Fake Company
   description: something important
   googleReferenceId: '123456789'
   id: '12345678987654321'
   interconnectAttachments:
   - https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
   interconnectType: IT_PRIVATE
   kind: compute#interconnect
   labelFingerprint: 12H17262736_
   linkType: LINK_TYPE_ETHERNET_10G_LR
   location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
   macsec:
     failOpen: false
     preSharedKeys:
     - name: key1
       startTime: 2023-07-01T21:00:01.000Z
   macsecEnabled: true
   name: INTERCONNECT_CONNECTION_NAME
   operationalStatus: OS_ACTIVE
   provisionedLinkCount: 1
   requestedFeatures:
   - IF_MACSEC
   requestedLinkCount: 1
   selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
   selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
   state: ACTIVE
   

2. Verwenden Sie eine der folgenden Optionen, um den Port-Status von Cloud Interconnect, den Betriebsstatus von MACsec und den Namen des aktiven Schlüssels zu prüfen:

   Console

   1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

      Zu „Physische Verbindungen“

   2. Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten.

   3. Prüfen Sie unter Informationen zur Verknüpfungsschaltung, ob unter Linkstatus für alle Links check_circleAktiv angezeigt wird.

   4. Prüfen Sie, ob im MACsec-Schlüsselnamen für alle Links ein Schlüsselname angezeigt wird und prüfen Sie, dass für jeden Schlüsselnamen check_circleMACsec ist für diesen Link aktiviert oder warningMACsec ist für diesen Link nicht verfügbar angezeigt wird.

   gcloud

   gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME \
       --project=PROJECT_NAME
   

   Ersetzen Sie PROJECT_NAME durch den Namen Ihres Google Cloud-Projekts.

   Die entsprechende Ausgabe sieht etwa so aus: Prüfen Sie, ob links.lacpStatus.state ACTIVE, links.macsec.ckn einen Wert und links.operationalStatus LINK_OPERATIONAL_STATUS_UP anzeigt:

   bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
   bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
   links:
   - circuitId: LOOP-0
     googleDemarc: fake-local-demarc-0
     lacpStatus:
       googleSystemId: '00:11:22:33:44:55'
       neighborSystemId: '55:44:33:22:11:00'
       state: ACTIVE
     macsec:
       ckn: 0101010189abcdef...0123456789abcdef
       operational: false
     operationalStatus: LINK_OPERATIONAL_STATUS_UP
     receivingOpticalPower:
       state: OK
       value: -2.49
     transmittingOpticalPower:
       state: OK
       value: -0.88
   macAddress: 00:11:22:33:44:55
   

   Wenn für links.macsec.ckn kein Wert angezeigt wird, wenden Sie sich an den Google Cloud-Support.

3. Wählen Sie eine der folgenden Optionen aus, um die CAK- und CKN-Werte des aktiven Schlüssels und die Startzeit des Schlüssels zu prüfen:

   Console

   1. Wechseln Sie auf dem Tab MACsec zum Abschnitt MACsec und klicken Sie neben dem aktiven Schlüssel auf MACsec. Wenn ein CKN-Wert nicht angezeigt wird, wenden Sie sich an den Google Cloud-Support.

   2. Überprüfen Sie im Abschnitt Vorinstallierte Schlüssel, ob die Startzeit des aktiven Schlüssels mit der Startzeit auf dem lokalen Router übereinstimmt. Führen Sie einen der folgenden Schritte aus:

      • Wenn die Werte nicht übereinstimmen, lesen Sie das Handbuch Ihres Routers, um die Werte auf Ihrem Router zu aktualisieren, und prüfen Sie, ob eine MACsec-Sitzung eingerichtet werden kann.

      • Wenn die Werte übereinstimmen, die MACsec-Sitzung jedoch weiterhin über den Link nicht erreichbar ist, fahren Sie mit dem nächsten Schritt fort.

   gcloud

   1. Führen Sie den Befehl gcloud compute interconnects get-diagnostics aus, um den CKN-Wert des aktiven Schlüssels anzuzeigen.

      Wenn Sie mehr als einen Schlüssel konfiguriert haben, wird der Schlüssel mit der letzten Startzeit die nicht in der Zukunft liegt als aktiver Schlüssel gewählt. Die Edge-Router von Google lehnen alle neuen MACsec-Sitzungen ab, die versuchen, alte Schlüssel zu verwenden.

   2. Rufen Sie die MACsec-Konfiguration ab und notieren Sie den CAK-Wert und die Startzeit des Schlüssels, die dem zuvor angezeigten CKN-Wert entsprechen:

      gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
      

      Ersetzen Sie INTERCONNECT_CONNECTION_NAME durch den Namen Ihrer Cloud Interconnect-Verbindung.

      Die Ausgabe sieht etwa so aus: Suchen Sie nach dem ckn:

      preSharedKeys:
      - name: key1
        ckn: 0101010189abcdef...0123456789abcdef
        cak: 0123456789abcdef...0123456789abcdef
        startTime: 2023-07-01T12:12:12Z
      - name: key2
        ckn: 0202020289abcdef...0123456789abcdef
        cak: 0123456789abcdef...0123456789abcdef
        startTime: 2023-08-01T12:12:12Z
      

   3. Prüfen Sie, ob die aktive CKN-, CAK- und Startzeiten auf Ihrem lokalen Router mit den Werten übereinstimmen, die MACsec für Cloud Interconnect anzeigt. Führen Sie einen der folgenden Schritte aus:

      • Wenn die Werte nicht übereinstimmen, lesen Sie das Handbuch Ihres Routers, um die Werte auf Ihrem Router zu aktualisieren, und prüfen Sie, ob eine MACsec-Sitzung eingerichtet werden kann.

      • Wenn die Werte übereinstimmen, die MACsec-Sitzung jedoch weiterhin über den Link nicht betriebsbereit ist, fahren Sie mit dem nächsten Schritt fort.

4. Prüfen Sie die Messwerte, um festzustellen, ob Pakete beim eingehenden oder ausgehenden Traffic der Cloud Interconnect-Verbindung verworfen werden. Informationen zum Anzeigen von Messwerten finden Sie unter Verbindungen überwachen.

   So ermitteln Sie die nächsten Schritte:

   • Wenn network/interconnect/link/macsec/received_errors_count erhöht wird, werden die Pakete bei der eingehenden Cloud Interconnect-Verbindung aufgrund von Fehlern verworfen. Dies weist darauf hin, dass zwischen Ihrem lokalen Router und den Edge-Routern von Google keine Übereinstimmung der Protokolle besteht. Prüfen Sie die Logs Ihres lokalen Routers, um das Problem zu beheben.

   • Wenn einer der folgenden Zähler erhöht wird, wenden Sie sich an den Google Cloud-Support, um weitere Unterstützung zu erhalten:

     • network/interconnect/link/macsec/received_dropped_packets_count
     • network/interconnect/link/macsec/send_errors_count
     • network/interconnect/link/macsec/send_dropped_packets_count

   • Wenn keiner der folgenden Zähler erhöht wird, bedeutet dies, dass Pakete beim ausgehenden Traffic Ihres lokalen Routers verworfen werden. Prüfen Sie die Logs Ihres lokalen Routers, um das Problem zu beheben.

     • network/interconnect/receive_errors_count
     • network/interconnect/received_unicast_packets_count
     • network/interconnect/link/macsec/received_control_packets_count
     • network/interconnect/link/macsec/received_data_packets_count
     • network/interconnect/link/macsec/received_errors_count
     • network/interconnect/link/macsec/received_dropped_packets_count

MACsec ist betriebsbereit und erlebt Paketverluste

Sie haben MACsec für Cloud Interconnect erfolgreich aktiviert und MACsec ist betriebsbereit, es ist jedoch ein Paketverlust aufgetreten.

Wenn Ihre MACsec-Verbindung betriebsbereit ist, der Status des LACP-Protokolls (Link Aggregation Control Protocol, LACP) aber Detached ist, prüfen Sie, ob Secure Channel Identifier (SCI) auf Ihrem lokalen Router aktiviert ist. Weitere Informationen finden Sie unter Lokalen Router konfigurieren.

Prüfen Sie die Messwerte, um festzustellen, ob Pakete beim eingehenden oder ausgehenden Traffic der Cloud Interconnect-Verbindung verworfen werden. Informationen zum Anzeigen von Messwerten finden Sie unter Verbindungen überwachen. Wenn in der Cloud Interconnect-Verbindung keine Paketfehler oder -verluste angezeigt werden, fahren Sie mit der Überprüfung der MACsec-Router fort:

• Wenn network/interconnect/link/macsec/received_errors_count erhöht wird, werden die Pakete bei der eingehenden Cloud Interconnect-Verbindung aufgrund von Fehlern verworfen. Dies weist darauf hin, dass zwischen Ihrem lokalen Router und den Edge-Routern von Google keine Übereinstimmung der Protokolle besteht. Prüfen Sie die Logs Ihres lokalen Routers, um das Problem zu beheben.

• Wenn einer der folgenden Zähler erhöht wird, wenden Sie sich an den Google Cloud-Support, um weitere Unterstützung zu erhalten:

  • network/interconnect/link/macsec/received_dropped_packets_count
  • network/interconnect/link/macsec/send_errors_count
  • network/interconnect/link/macsec/send_dropped_packets_count

• Wenn keiner der folgenden Zähler erhöht wird, bedeutet dies, dass Pakete beim ausgehenden Traffic Ihres lokalen Routers verworfen werden. Prüfen Sie die Logs Ihres lokalen Routers, um das Problem zu beheben.

  • network/interconnect/receive_errors_count
  • network/interconnect/received_unicast_packets_count
  • network/interconnect/link/macsec/received_control_packets_count
  • network/interconnect/link/macsec/received_data_packets_count
  • network/interconnect/link/macsec/received_errors_count
  • network/interconnect/link/macsec/received_dropped_packets_count

MACsec-Probleme bei aktiviertem Fail-Open-Verhalten beheben

Wenn Sie MACsec für Cloud Interconnect mit Fail-Open-Verhalten aktivieren, leitet Ihre Cloud Interconnect-Verbindung weiterhin Traffic weiter, auch wenn keine MACsec-Sitzung erfolgreich eingerichtet werden kann. Wir empfehlen dringend, das Fail-Open-Verhalten bei Cloud Interconnect-Produktionsverbindungen zu vermeiden, um die Übertragung von Paketen als Klartext zu vermeiden.

So ermitteln Sie die Konfiguration und geben den Status Ihrer MACsec-Verbindung an:

1. Wählen Sie eine der folgenden Optionen aus, um den Status Ihrer Cloud Interconnect-Verbindung zu prüfen:

   Console

   1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

      Zu „Physische Verbindungen“

   2. Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten.

   3. Prüfen Sie auf dem Tab MACsec, ob in der MACsec die Option MACsec angezeigt wird.

   gcloud

   gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
   

   Ersetzen Sie INTERCONNECT_CONNECTION_NAME durch den Namen Ihrer Cloud Interconnect-Verbindung.

   Die Ausgabe sieht etwa so aus: Suchen Sie nach macsec failOpen, das auf true gesetzt ist, und macsecEnableddas auf true gesetzt ist:

   availableFeatures:
   - IF_MACSEC
   adminEnabled: true
   circuitInfos:
   - customerDemarcId: fake-peer-demarc-0
     googleCircuitId: LOOP-0
     googleDemarcId: fake-local-demarc-0
   creationTimestamp: '2021-10-05T03:39:33.888-07:00'
   customerName: Fake Customer
   description: <something>
   googleReferenceId: '123456789'
   id: '12345678987654321'
   interconnectAttachments:
   - https://www.googleapis.com/compute/prod/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-123456789-0
   interconnectType: IT_PRIVATE
   kind: compute#interconnect
   labelFingerprint: 42WmSpB8rSM=
   linkType: LINK_TYPE_ETHERNET_10G_LR
   location: https://www.googleapis.com/compute/prod/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
   macsec:
     failOpen: true
     preSharedKeys:
     - name: key3
       startTime: '2023-07-01T21:00:01.000Z'
   macsecEnabled: true
   name: INTERCONNECT_CONNECTION_NAME
   operationalStatus: OS_ACTIVE
   provisionedLinkCount: 1
   requestedFeatures:
   - IF_MACSEC
   requestedLinkCount: 1
   selfLink: https://www.googleapis.com/compute/prod/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
   selfLinkWithId: https://www.googleapis.com/compute/prod/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME/12345678987654321
   state: ACTIVE
   

   In diesem Beispiel ist macsec.failopen auf true und macsecEnabled auf true gesetzt.

2. Wählen Sie eine der folgenden Optionen aus, um den Portstatus der Cloud Interconnect-Verbindung, den Betriebsstatus von MACsec und den Namen des aktiven Schlüssels zu prüfen:

   Console

   1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

      Zu „Physische Verbindungen“

   2. Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten.

   3. Prüfen Sie unter Informationen zur Verknüpfungsschaltung, ob unter Linkstatus für alle Links check_circleAktiv angezeigt wird.

   4. Prüfen Sie, ob im MACsec-Schlüsselnamen für alle Links ein Schlüsselname angezeigt wird und prüfen Sie, dass für jeden Schlüsselnamen check_circleMACsec ist für diesen Link aktiviert oder warningMACsec ist für diesen Link nicht verfügbar angezeigt wird.

   gcloud

   gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME \
       --project=PROJECT_NAME
   

   Ersetzen Sie PROJECT_NAME durch den Namen Ihres Google Cloud-Projekts.

   Die Ausgabe sieht etwa so aus: Suchen Sie nach bundleOperationalStatus mit dem Wert BUNDLE_OPERATIONAL_STATUS_UP, state mit dem Wert ACTIVE und macsec ckn operational mit dem Wert false:

     bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
     bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
     links:
     - circuitId: LOOP-0
       googleDemarc: fake-local-demarc-0
       lacpStatus:
         googleSystemId: '00:11:22:33:44:55'
         neighborSystemId: '55:44:33:22:11:00'
         state: ACTIVE
       macsec:
         ckn: 0101010189abcdef...0123456789abcdef
         operational: false
       operationalStatus: LINK_OPERATIONAL_STATUS_UP
       receivingOpticalPower:
         state: OK
         value: -2.49
       transmittingOpticalPower:
         state: OK
         value: -0.88
     macAddress: 00:11:22:33:44:55
   

   In diesem Fall gilt Folgendes:

   • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP zeigt an, dass das Bundle betriebsbereit ist.
   • links.lacpStatus.state: ACTIVE gibt an, dass der LACP-Mitgliedslink aktiv ist.
   • links.macsec.operational: false gibt an, dass MACsec nicht betriebsbereit ist.

   Da das Fail-Open-Verhalten aktiviert ist, werden die LACP-Kontrollpakete in diesem Fall nicht verworfen.

   Wenn für links.macsec.ckn kein Wert angezeigt wird, wenden Sie sich an den Google Cloud-Support.

   Mit dem Befehl gcloud compute interconnects get-diagnostics wird der CKN-Wert des aktiven Schlüssels angezeigt. Wenn Sie mehr als einen Schlüssel konfiguriert haben, wird der Schlüssel mit der letzten Startzeit als aktiver Schlüssel gewählt. Die Edge-Router von Google lehnen alle neuen MACsec-Sitzungen ab, die versuchen, ältere Schlüssel zu verwenden.

3. Wählen Sie eine der folgenden Optionen aus, um die MACsec-Konfiguration abzurufen, und notieren Sie sich den CAK-Wert und die Startzeit des Schlüssels, die dem zuvor angezeigten CKN-Wert entsprechen:

   Console

   1. Wechseln Sie auf dem Tab MACsec zum Abschnitt MACsec und klicken Sie neben dem aktiven Schlüssel auf MACsec. Wenn die CAK- und CKN-Werte des Schlüssels nicht angezeigt werden, wenden Sie sich an den Google Cloud-Support.

   2. Überprüfen Sie im Abschnitt Vorinstallierte Schlüssel, ob die Startzeit des aktiven Schlüssels mit den Startzeiten auf Ihrem lokalen Router übereinstimmt.

   gcloud

   1. Führen Sie dazu diesen Befehl aus:

      gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
      

      Die Ausgabe sieht etwa so aus: Suchen Sie nach dem preSharedKeys name ckn:

      preSharedKeys:
      - name: key1
        ckn: 0101010189abcdef...0123456789abcdef
        cak: 0123456789abcdef...0123456789abcdef
        startTime: 2023-07-01T12:12:12Z
      - name: key2
        ckn: 0202020289abcdef...0123456789abcdef
        cak: 0123456789abcdef...0123456789abcdef
        startTime: 2023-08-01T12:12:12Z
      

   2. Prüfen Sie, ob die aktive CKN-, CAK- und Startzeiten auf Ihrem lokalen Router mit den Werten übereinstimmen, die MACsec für Cloud Interconnect anzeigt.

   3. Führen Sie einen der folgenden Schritte aus:

      • Wenn die Werte nicht übereinstimmen, lesen Sie das Handbuch Ihres Routers, um die Werte auf Ihrem Router zu aktualisieren, und prüfen Sie, ob eine MACsec-Sitzung jetzt eingerichtet werden kann.

      • Wenn die Werte übereinstimmen, die MACsec-Sitzung jedoch weiterhin über den Link nicht betriebsbereit ist, fahren Sie mit dem nächsten Schritt fort.

4. Zeigen Sie Messwerte an, um Paketzähler für Ihre Cloud Interconnect-Verbindung zu beobachten. Weitere Informationen zum Anzeigen von Messwerten finden Sie unter Verbindungen überwachen.

   Wenn das MACsec-Fail-Open-Verhalten aktiviert ist, werden die folgenden Zähler erhöht:

   • network/interconnect/sent_unicast_packets_count
   • network/interconnect/received_unicast_packets_count

   Wenn das MACsec-Fail-Open-Verhalten aktiviert ist, werden die folgenden Zähler nicht erhöht:

   • network/interconnect/link/macsec/received_control_packets_count
   • network/interconnect/link/macsec/received_data_packets_count
   • network/interconnect/link/macsec/sent_control_packets_count
   • network/interconnect/link/macsec/sent_data_packets_count

   So ermitteln Sie die nächsten Schritte:

   • Wenn network/interconnect/link/macsec/received_errors_count erhöht wird, werden die Pakete bei der eingehenden Cloud Interconnect-Verbindung aufgrund von Fehlern verworfen. Dies weist darauf hin, dass zwischen Ihrem lokalen Router und den Edge-Routern von Google keine Übereinstimmung der Protokolle besteht. Prüfen Sie die Logs Ihres lokalen Routers, um das Problem zu beheben.

   • Wenn einer der folgenden Zähler erhöht wird, wenden Sie sich an den Google Cloud-Support, um weitere Unterstützung zu erhalten:

     • network/interconnect/link/macsec/received_dropped_packets_count
     • network/interconnect/link/macsec/send_errors_count
     • network/interconnect/link/macsec/send_dropped_packets_count

   • Wenn keiner der folgenden Zähler erhöht wird, kann dies bedeuten, dass Pakete beim ausgehenden Traffic Ihres lokalen Routers verworfen werden. Prüfen Sie die Logs Ihres lokalen Routers, um das Problem zu beheben.

     • network/interconnect/receive_errors_count
     • network/interconnect/received_unicast_packets_count
     • network/interconnect/link/macsec/received_errors_count
     • network/interconnect/link/macsec/received_dropped_packets_count

Nächste Schritte

• MACsec-Schlüssel rotieren
• MACsec-Status anzeigen
• Fail-Open-Verhalten ändern
• MACsec-Schlüssel abrufen