Cette page explique comment résoudre les problèmes liés à MACsec pour Cloud Interconnect.
Cloud Interconnect affiche une erreur lorsque j'essaie de créer une clé
Si vous disposez d'une clé MACsec existante sans heure de début et que vous essayez de créer une clé, Cloud Interconnect affiche une erreur. Pour résoudre l'erreur, mettez à jour l'heure de début de la clé existante.
MACsec n'est pas opérationnel sur ma connexion Cloud Interconnect
Vous avez activé MACsec sur votre connexion Cloud Interconnect et sur votre routeur sur site, mais la session MACsec indique qu'elle n'est pas opérationnelle sur vos liens de connexion Cloud Interconnect. L'une des causes suivantes peut être à l'origine du problème :
- Les clés actives de votre routeur sur site et de vos routeurs périphériques Google ne correspondent pas.
- Une incohérence de protocole MACsec existe entre votre routeur sur site et le routeur périphérique de Google.
Pour résoudre l'état MACsec, procédez comme suit :
Pour vérifier que MACsec est activé sur votre connexion Cloud Interconnect, sélectionnez l'une des options suivantes:
Console
Dans la console Google Cloud, accédez à l'onglet Connexions physiques de Cloud Interconnect.
Sélectionnez la connexion Cloud Interconnect à afficher.
Dans l'onglet MACsec, vérifiez que la configuration MACsec affiche l'un des éléments suivants:
Activé, configuration ouverte ("fail open"):le chiffrement MACsec est activé sur le lien. Si le chiffrement MACsec n'est pas établi entre les deux extrémités, le lien fonctionne sans chiffrement.
Activé, configuration fermée ("fail closed") : le chiffrement MACsec est activé sur le lien. Si le chiffrement MACsec n'est pas établi entre les deux extrémités, le lien échoue.
gcloud
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
Remplacez
INTERCONNECT_CONNECTION_NAME
par le nom de votre connexion Cloud Interconnect.Le résultat renvoyé ressemble à ceci : Vérifiez que
macsecEnabled: true
s'affiche :adminEnabled: true availableFeatures: - IF_MACSEC circuitInfos: - customerDemarcId: fake-peer-demarc-0 googleCircuitId: LOOP-0 googleDemarcId: fake-local-demarc-0 creationTimestamp: '2021-10-05T03:39:33.888-07:00' customerName: Fake Company description: something important googleReferenceId: '123456789' id: '12345678987654321' interconnectAttachments: - https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0 interconnectType: IT_PRIVATE kind: compute#interconnect labelFingerprint: 12H17262736_ linkType: LINK_TYPE_ETHERNET_10G_LR location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012 macsec: failOpen: false preSharedKeys: - name: key1 startTime: 2023-07-01T21:00:01.000Z macsecEnabled: true name: INTERCONNECT_CONNECTION_NAME operationalStatus: OS_ACTIVE provisionedLinkCount: 1 requestedFeatures: - IF_MACSEC requestedLinkCount: 1 selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321 state: ACTIVE
Pour vérifier l'état du port Cloud Interconnect, l'état opérationnel MACsec et le nom de la clé active, utilisez l'une des options suivantes:
Console
Dans la console Google Cloud, accédez à l'onglet Connexions physiques de Cloud Interconnect.
Sélectionnez la connexion Cloud Interconnect à afficher.
Dans Informations sur les circuits de liaison, vérifiez que l'État de la liaison affiche
Actif pour toutes les liaisons.Vérifiez que le nom de la clé MACsec affiche un nom de clé pour tous les liens et que chaque nom de clé affiche
MACsec sur ce lien est activé ou MACsec sur ce lien est indisponible.
gcloud
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME \ --project=PROJECT_NAME
Remplacez
PROJECT_NAME
par le nom de votre projet Google Cloud.Le résultat renvoyé ressemble à ceci : Vérifiez que
links.lacpStatus.state
afficheACTIVE
, quelinks.macsec.ckn
affiche une valeur et quelinks.operationalStatus
afficheLINK_OPERATIONAL_STATUS_UP
:bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP links: - circuitId: LOOP-0 googleDemarc: fake-local-demarc-0 lacpStatus: googleSystemId: '00:11:22:33:44:55' neighborSystemId: '55:44:33:22:11:00' state: ACTIVE macsec: ckn: 0101010189abcdef...0123456789abcdef operational: false operationalStatus: LINK_OPERATIONAL_STATUS_UP receivingOpticalPower: state: OK value: -2.49 transmittingOpticalPower: state: OK value: -0.88 macAddress: 00:11:22:33:44:55
Si aucune valeur n'est affichée pour
links.macsec.ckn
, contactez l'assistance Google Cloud pour obtenir de l'aide.Pour vérifier les valeurs CAK et CKN de la clé active, ainsi que l'heure de début de la clé, sélectionnez l'une des options suivantes:
Console
Dans l'onglet MACsec, accédez à la section Pre-shared keys (Clés prépartagées), puis cliquez sur View (Afficher) à côté de la clé active. Si aucune valeur CKN ne s'affiche, contactez l'assistance Google Cloud pour obtenir de l'aide.
Dans la section Clés prépartagées, vérifiez que l'heure de début indiquée pour la clé active correspond à l'heure de début de votre routeur sur site. Effectuez l'une des opérations suivantes :
Si les valeurs ne correspondent pas, consultez le manuel de votre routeur pour mettre à jour les valeurs de votre routeur, puis vérifiez si une session MACsec peut être établie.
Si les valeurs correspondent, mais que la session MACsec n'est toujours pas opérationnelle sur le lien, passez à l'étape suivante.
gcloud
Exécutez la commande
gcloud compute interconnects get-diagnostics
pour afficher la valeur CKN de la clé active.Si plusieurs clés sont configurées, alors la clé avec la dernière heure de début qui n'est pas dans le futur est sélectionnée en tant que clé active. Les routeurs périphériques de Google rejettent toutes les nouvelles sessions MACsec qui tentent d'utiliser d'anciennes clés.
Obtenez la configuration MACsec, puis notez la valeur CAK et l'heure de début de la clé correspondant à la valeur CKN précédemment affichée :
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
Remplacez
INTERCONNECT_CONNECTION_NAME
par le nom de votre connexion Cloud Interconnect.Le résultat ressemble à ce qui suit. Recherchez
ckn
:preSharedKeys: - name: key1 ckn: 0101010189abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-07-01T12:12:12Z - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12Z
Vérifiez que les heures CKN, CAK et de démarrage actives de votre routeur sur site correspondent aux valeurs MACsec pour Cloud Interconnect. Effectuez l'une des opérations suivantes :
Si les valeurs ne correspondent pas, consultez le manuel de votre routeur pour mettre à jour les valeurs de votre routeur, puis vérifiez si une session MACsec peut être établie.
Si les valeurs correspondent, mais que la session MACsec n'est toujours pas opérationnelle sur le lien, passez à l'étape suivante.
Affichez les métriques pour déterminer si les paquets sont supprimés au niveau de l'entrée ou de la sortie de la connexion Cloud Interconnect. Pour en savoir plus sur l'affichage des métriques, consultez la page Surveiller les connexions.
Pour déterminer les étapes suivantes, procédez comme suit :
Si
network/interconnect/link/macsec/received_errors_count
est incrémenté, les paquets sont perdus au niveau de la connexion Cloud Interconnect d'entrée en raison d'erreurs. Cela indique qu'il existe une incohérence de protocole entre votre routeur sur site et les routeurs périphériques de Google. Consultez les journaux de votre routeur sur site pour résoudre les problèmes.Si l'un des compteurs suivants est incrémenté, contactez l'assistance Google Cloud pour obtenir de l'aide :
network/interconnect/link/macsec/received_dropped_packets_count
network/interconnect/link/macsec/send_errors_count
network/interconnect/link/macsec/send_dropped_packets_count
Si aucun des compteurs suivants n'est incrémenté, cela signifie que les paquets sont perdus au niveau de la sortie de votre routeur sur site. Consultez les journaux de votre routeur sur site pour résoudre les problèmes.
network/interconnect/receive_errors_count
network/interconnect/received_unicast_packets_count
network/interconnect/link/macsec/received_control_packets_count
network/interconnect/link/macsec/received_data_packets_count
network/interconnect/link/macsec/received_errors_count
network/interconnect/link/macsec/received_dropped_packets_count
MACsec est opérationnel et subit des pertes de paquets
MACsec a bien été activé pour Cloud Interconnect et MACsec est opérationnel, mais vous subissez des pertes de paquets.
Si votre connexion MACsec est opérationnelle, mais que l'état du protocole LACP (Link Aggregation Control Protocol) de Cloud Interconnect est Detached
, vérifiez que l'identifiant de canal sécurisé (SCI) est activé sur votre routeur sur site. Pour en savoir plus, consultez la section Configurer un routeur sur site.
Affichez les métriques pour déterminer si les paquets sont supprimés au niveau de l'entrée ou de la sortie de la connexion Cloud Interconnect. Pour en savoir plus sur l'affichage des métriques, consultez la page Surveiller les connexions. Si la connexion Cloud Interconnect n'affiche aucune erreur ni perte de paquet, passez à la vérification des routeurs MACsec :
Si
network/interconnect/link/macsec/received_errors_count
est incrémenté, les paquets sont perdus au niveau de la connexion Cloud Interconnect d'entrée en raison d'erreurs. Cela indique qu'il existe une incohérence de protocole entre votre routeur sur site et les routeurs périphériques de Google. Consultez les journaux de votre routeur sur site pour résoudre les problèmes.Si l'un des compteurs suivants est incrémenté, contactez l'assistance Google Cloud pour obtenir de l'aide :
network/interconnect/link/macsec/received_dropped_packets_count
network/interconnect/link/macsec/send_errors_count
network/interconnect/link/macsec/send_dropped_packets_count
Si aucun des compteurs suivants n'est incrémenté, cela signifie que les paquets sont perdus au niveau de la sortie de votre routeur sur site. Consultez les journaux de votre routeur sur site pour résoudre les problèmes.
network/interconnect/receive_errors_count
network/interconnect/received_unicast_packets_count
network/interconnect/link/macsec/received_control_packets_count
network/interconnect/link/macsec/received_data_packets_count
network/interconnect/link/macsec/received_errors_count
network/interconnect/link/macsec/received_dropped_packets_count
Résoudre les problèmes MACsec lorsque le comportement de configuration ouverte est activé
Si vous activez MACsec pour Cloud Interconnect avec le comportement de configuration ouverte activé, alors votre connexion Cloud Interconnect continue de transférer le trafic même si une session MACsec ne peut pas être établie. Nous vous recommandons vivement d'éviter d'utiliser le comportement de configuration ouverte sur les connexions Cloud Interconnect de production pour éviter de transmettre des paquets sous forme de texte clair.
Pour déterminer la configuration et indiquer votre connexion MACsec, procédez comme suit :
Pour vérifier l'état de votre connexion Cloud Interconnect, sélectionnez l'une des options suivantes:
Console
Dans la console Google Cloud, accédez à l'onglet Connexions physiques de Cloud Interconnect.
Sélectionnez la connexion Cloud Interconnect à afficher.
Dans l'onglet MACsec, vérifiez que la configuration MACsec affiche Activé, échec de l'ouverture.
gcloud
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
Remplacez
INTERCONNECT_CONNECTION_NAME
par le nom de votre connexion Cloud Interconnect.Le résultat ressemble à ce qui suit : recherchez
macsec failOpen
défini surtrue
etmacsecEnabled
défini surtrue
:availableFeatures: - IF_MACSEC adminEnabled: true circuitInfos: - customerDemarcId: fake-peer-demarc-0 googleCircuitId: LOOP-0 googleDemarcId: fake-local-demarc-0 creationTimestamp: '2021-10-05T03:39:33.888-07:00' customerName: Fake Customer description: <something> googleReferenceId: '123456789' id: '12345678987654321' interconnectAttachments: - https://www.googleapis.com/compute/prod/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-123456789-0 interconnectType: IT_PRIVATE kind: compute#interconnect labelFingerprint: 42WmSpB8rSM= linkType: LINK_TYPE_ETHERNET_10G_LR location: https://www.googleapis.com/compute/prod/projects/my-project1/global/interconnectLocations/cbf-zone2-65012 macsec: failOpen: true preSharedKeys: - name: key3 startTime: '2023-07-01T21:00:01.000Z' macsecEnabled: true name: INTERCONNECT_CONNECTION_NAME operationalStatus: OS_ACTIVE provisionedLinkCount: 1 requestedFeatures: - IF_MACSEC requestedLinkCount: 1 selfLink: https://www.googleapis.com/compute/prod/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME selfLinkWithId: https://www.googleapis.com/compute/prod/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME/12345678987654321 state: ACTIVE
Dans cet exemple,
macsec.failopen
affichetrue
etmacsecEnabled
affichetrue
.Pour vérifier l'état du port de la connexion Cloud Interconnect, l'état opérationnel MACsec et le nom de la clé active, sélectionnez l'une des options suivantes:
Console
Dans la console Google Cloud, accédez à l'onglet Connexions physiques de Cloud Interconnect.
Sélectionnez la connexion Cloud Interconnect à afficher.
Dans Informations sur les circuits de liaison, vérifiez que l'État de la liaison affiche
Actif pour toutes les liaisons.Vérifiez que le nom de la clé MACsec affiche un nom de clé pour tous les liens et que chaque nom de clé affiche
MACsec sur ce lien est activé ou MACsec sur ce lien est indisponible.
gcloud
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME \ --project=PROJECT_NAME
Remplacez
PROJECT_NAME
par le nom de votre projet Google Cloud.Le résultat ressemble à ce qui suit : recherchez le paramètre
bundleOperationalStatus
défini surBUNDLE_OPERATIONAL_STATUS_UP
, le paramètrestate
défini surACTIVE
et le paramètremacsec
ckn
operational
défini surfalse
:bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP links: - circuitId: LOOP-0 googleDemarc: fake-local-demarc-0 lacpStatus: googleSystemId: '00:11:22:33:44:55' neighborSystemId: '55:44:33:22:11:00' state: ACTIVE macsec: ckn: 0101010189abcdef...0123456789abcdef operational: false operationalStatus: LINK_OPERATIONAL_STATUS_UP receivingOpticalPower: state: OK value: -2.49 transmittingOpticalPower: state: OK value: -0.88 macAddress: 00:11:22:33:44:55
Dans cet exemple :
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
indique que le groupe est opérationnel.links.lacpStatus.state: ACTIVE
indique que le lien de membre LACP est actif.links.macsec.operational: false
indique que MACsec est opérationnel.
Dans ce cas, comme le comportement de configuration ouverte est activé, les paquets de contrôle LACP ne sont pas perdus.
Si aucune valeur n'est affichée pour
links.macsec.ckn
, contactez l'assistance Google Cloud pour obtenir de l'aide.La commande
gcloud compute interconnects get-diagnostics
affiche la valeur CKN de la clé active. Si plusieurs clés sont configurées, la clé avec la dernière heure de début est sélectionnée comme clé active. Les routeurs périphériques de Google rejettent toutes les nouvelles sessions MACsec qui tentent d'utiliser les anciennes clés.Pour obtenir la configuration MACsec, puis noter la valeur CAK et l'heure de début de la clé correspondant à la valeur CKN précédemment affichée, sélectionnez l'une des options suivantes:
Console
Dans l'onglet MACsec, accédez à la section Pre-shared keys (Clés prépartagées), puis cliquez sur View (Afficher) à côté de la clé active. Si les valeurs CAK et CKN de la clé ne s'affichent pas, contactez l'assistance Google Cloud pour obtenir de l'aide.
Dans la section Clés prépartagées, vérifiez que l'heure de début indiquée pour la clé active correspond à l'heure de début de votre routeur sur site.
gcloud
Exécutez la commande suivante :
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
Le résultat ressemble à ce qui suit. Recherchez
preSharedKeys
name
ckn
:preSharedKeys: - name: key1 ckn: 0101010189abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-07-01T12:12:12Z - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12Z
Vérifiez que les heures CKN, CAK et de démarrage actives de votre routeur sur site correspondent aux valeurs MACsec pour Cloud Interconnect.
Effectuez l'une des opérations suivantes :
Si les valeurs ne correspondent pas, consultez le manuel de votre routeur pour mettre à jour les valeurs de votre routeur, puis vérifiez si une session MACsec peut maintenant être établie.
Si les valeurs correspondent, mais que la session MACsec n'est toujours pas opérationnelle sur le lien, passez à l'étape suivante.
Affichez les métriques pour observer les compteurs de paquets pour votre connexion Cloud Interconnect. Pour en savoir plus sur l'affichage des métriques, consultez la page Surveiller les connexions.
Lorsque le comportement de configuration ouverte MACsec est activé, les compteurs suivants sont incrémentés :
network/interconnect/sent_unicast_packets_count
network/interconnect/received_unicast_packets_count
Lorsque le comportement de configuration ouverte MACsec est activé, les compteurs suivants ne sont pas incrémentés :
network/interconnect/link/macsec/received_control_packets_count
network/interconnect/link/macsec/received_data_packets_count
network/interconnect/link/macsec/sent_control_packets_count
network/interconnect/link/macsec/sent_data_packets_count
Pour déterminer les étapes suivantes, procédez comme suit :
Si
network/interconnect/link/macsec/received_errors_count
est incrémenté, les paquets sont perdus au niveau de la connexion Cloud Interconnect d'entrée en raison d'erreurs. Cela indique qu'il existe une incohérence de protocole entre votre routeur sur site et les routeurs périphériques de Google. Consultez les journaux de votre routeur sur site pour résoudre les problèmes.Si l'un des compteurs suivants est incrémenté, contactez l'assistance Google Cloud pour obtenir de l'aide :
network/interconnect/link/macsec/received_dropped_packets_count
network/interconnect/link/macsec/send_errors_count
network/interconnect/link/macsec/send_dropped_packets_count
Si aucun des compteurs suivants n'est incrémenté, cela peut signifier que les paquets sont perdus au niveau de la sortie de votre routeur sur site. Consultez les journaux de votre routeur sur site pour résoudre les problèmes.
network/interconnect/receive_errors_count
network/interconnect/received_unicast_packets_count
network/interconnect/link/macsec/received_errors_count
network/interconnect/link/macsec/received_dropped_packets_count
Étape suivante
- Effectuer une rotation des clés MACsec
- Afficher l'état MACsec
- Modifier le comportement de configuration ouverte
- Obtenir des clés MACsec