Questa pagina descrive come risolvere i problemi di MACsec per Cloud Interconnect.
Cloud Interconnect visualizza un errore quando provo a creare una nuova chiave
Se hai una chiave MACsec esistente senza ora di inizio e cerchi di crei una nuova chiave, Cloud Interconnect visualizza un errore. Per risolvere il problema aggiorna l'inizio della chiave esistente volta.
MACsec è operativamente inattivo sulla mia connessione Cloud Interconnect
Hai abilitato MACsec correttamente sulla connessione Cloud Interconnect e su del router on-premise, ma la sessione MACsec indica che a livello operativo sui link di connessione Cloud Interconnect. La potrebbe essere causato da una delle seguenti cause:
- Le chiavi attive sul router on-premise e sui router perimetrali di Google non corrispondono.
- Esiste una mancata corrispondenza del protocollo MACsec tra il router on-premise e router perimetrale di Google.
Per risolvere lo stato MACsec, segui questi passaggi:
Per verificare che MACsec sia abilitato su Cloud Interconnect connessione, seleziona una delle seguenti opzioni:
Console
Nella console Google Cloud, vai a Cloud Interconnect Scheda Connessioni fisiche.
Seleziona la connessione Cloud Interconnect che vuoi vista.
Nella scheda MACsec, verifica che la configurazione di MACsec mostra una delle seguenti opzioni:
Abilitata, fail open: la crittografia MACsec è abilitata sul link. Se la crittografia MACsec non viene stabilita tra le due estremità, il link funziona senza crittografia.
Attivata, chiusura non riuscita:la crittografia MACsec è abilitata nella . Se la crittografia MACsec non viene stabilita tra le due estremità, il collegamento non va a buon fine.
gcloud
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
Sostituisci
INTERCONNECT_CONNECTION_NAME
con il nome di la connessione Cloud Interconnect.L'output è simile al seguente. Verifica che
macsecEnabled: true
è visualizzato:adminEnabled: true availableFeatures: - IF_MACSEC circuitInfos: - customerDemarcId: fake-peer-demarc-0 googleCircuitId: LOOP-0 googleDemarcId: fake-local-demarc-0 creationTimestamp: '2021-10-05T03:39:33.888-07:00' customerName: Fake Company description: something important googleReferenceId: '123456789' id: '12345678987654321' interconnectAttachments: - https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0 interconnectType: IT_PRIVATE kind: compute#interconnect labelFingerprint: 12H17262736_ linkType: LINK_TYPE_ETHERNET_10G_LR location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012 macsec: failOpen: false preSharedKeys: - name: key1 startTime: 2023-07-01T21:00:01.000Z macsecEnabled: true name: INTERCONNECT_CONNECTION_NAME operationalStatus: OS_ACTIVE provisionedLinkCount: 1 requestedFeatures: - IF_MACSEC requestedLinkCount: 1 selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321 state: ACTIVE
Per controllare lo stato della porta di Cloud Interconnect, MACsec operativo e il nome della chiave attiva, utilizza una delle seguenti opzioni:
Console
Nella console Google Cloud, vai a Cloud Interconnect Scheda Connessioni fisiche.
Seleziona la connessione Cloud Interconnect che vuoi vista.
In Informazioni sui circuiti di collegamento, verifica che lo Stato del collegamento mostri
Attivo per tutti i collegamenti.Verifica che il nome della chiave MACsec mostri un nome della chiave per tutti i link, e che ogni nome di chiave mostri
MACsec in questo link è attivo oppure MACsec su questo link non attivo.
gcloud
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME \ --project=PROJECT_NAME
Sostituisci
PROJECT_NAME
con il nome del tuo progetto Google Cloud.L'output è simile al seguente. Verifica che
links.lacpStatus.state
mostraACTIVE
, chelinks.macsec.ckn
visualizza un valore elinks.operationalStatus
mostraLINK_OPERATIONAL_STATUS_UP
:bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP links: - circuitId: LOOP-0 googleDemarc: fake-local-demarc-0 lacpStatus: googleSystemId: '00:11:22:33:44:55' neighborSystemId: '55:44:33:22:11:00' state: ACTIVE macsec: ckn: 0101010189abcdef...0123456789abcdef operational: false operationalStatus: LINK_OPERATIONAL_STATUS_UP receivingOpticalPower: state: OK value: -2.49 transmittingOpticalPower: state: OK value: -0.88 macAddress: 00:11:22:33:44:55
Se non viene visualizzato un valore per
links.macsec.ckn
, contatta Assistenza Google Cloud per ricevere aiuto.Per verificare i valori CAK e CKN della chiave attiva e l'ora di inizio della chiave, seleziona una delle seguenti opzioni:
Console
Nella scheda MACsec, vai alla sezione Chiavi precondivise, quindi Fai clic su Visualizza accanto alla chiave attiva. Se un valore CKN non è visualizzato, contatta l'assistenza Google Cloud per ricevere aiuto.
Nella sezione Chiavi precondivise, verifica che l'ora di inizio indicata che la chiave attiva corrisponda all'ora di inizio on-premise. Esegui una di queste operazioni:
Se i valori non corrispondono, fai riferimento al manuale del router per aggiornare i valori sul router, quindi verifica se un MACsec di Cloud Shell.
Se i valori corrispondono, ma la sessione MACsec è ancora operativamente verso il basso sul link, quindi vai al passaggio successivo.
gcloud
Esegui il comando
gcloud compute interconnects get-diagnostics
per visualizza il valore CKN della chiave attiva.Se hai configurato più di una chiave, quella con il valore come chiave attiva sia selezionata un'ora di inizio non futura. I router perimetrali di Google rifiutano qualsiasi nuova sessione MACsec che tenta di usano chiavi vecchie.
Ottieni la configurazione MACsec e prendi nota del valore CAK e della chiave che corrisponda al valore CKN visualizzato in precedenza:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
Sostituisci
INTERCONNECT_CONNECTION_NAME
con il nome della connessione Cloud Interconnect.L'output è simile al seguente: cerca
ckn
:preSharedKeys: - name: key1 ckn: 0101010189abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-07-01T12:12:12Z - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12Z
Verifica che CKN, CAK e le ore di inizio attivi on-premise router e i valori di MACsec per Cloud Interconnect vengono visualizzati i video. Esegui una di queste operazioni:
Se i valori non corrispondono, fai riferimento al manuale del router per aggiornare i valori sul router, quindi verifica se un MACsec di Cloud Shell.
Se i valori corrispondono, ma la sessione MACsec è ancora operativa sul link e vai al passaggio successivo.
Visualizza le metriche per determinare se i pacchetti arrivano in entrata o dalla connessione Cloud Interconnect. Per informazioni su le metriche di visualizzazione, consulta Monitora le connessioni.
Per determinare i passaggi successivi:
Se
network/interconnect/link/macsec/received_errors_count
è aumenta, i pacchetti passano al punto in entrata Connessione Cloud Interconnect a causa di errori. Ciò indica che esiste una mancata corrispondenza di protocollo tra il router on-premise e Router perimetrali di Google. Controlla i log del router on-premise risolvere i problemi.Se uno dei seguenti contatori sta incrementando, contatta Assistenza Google Cloud per ulteriore supporto:
network/interconnect/link/macsec/received_dropped_packets_count
network/interconnect/link/macsec/send_errors_count
network/interconnect/link/macsec/send_dropped_packets_count
Se nessuno dei seguenti contatori sta incrementando, indica che i pacchetti arrivano nel traffico in uscita dei server on-premise o eseguire il provisioning di un router. Controlla i log del router on-premise per risolvere i problemi.
network/interconnect/receive_errors_count
network/interconnect/received_unicast_packets_count
network/interconnect/link/macsec/received_control_packets_count
network/interconnect/link/macsec/received_data_packets_count
network/interconnect/link/macsec/received_errors_count
network/interconnect/link/macsec/received_dropped_packets_count
MACsec è operativo e sta riscontrando la perdita di pacchetti
Hai abilitato correttamente MACsec per Cloud Interconnect e MACsec è operativo, ma stai riscontrando la perdita di pacchetti.
Se la connessione MACsec è operativa, ma Cloud Interconnect
Lo stato LACP (Link Aggregation Control Protocol) è Detached
; verifica che
Il Secure Channel Identifier (SCI) sia abilitato sul router on-premise. Per maggiori informazioni
per le informazioni, consulta la sezione Configurare
un router on-premise.
Visualizza le metriche per determinare se i pacchetti sono in entrata o in uscita la connessione Cloud Interconnect. Per informazioni sulla visualizzazione consulta Monitorare le connessioni. Se La connessione Cloud Interconnect non mostra errori o perdite di pacchetti, quindi controlla i router MACsec:
Se
network/interconnect/link/macsec/received_errors_count
sta incrementando, i pacchetti vengono inviati al Cloud Interconnect in entrata a causa di errori. Questo indica che esiste una mancata corrispondenza di protocollo tra il router on-premise e i router perimetrali di Google. Controlla dei log del router on-premise per risolvere i problemi.Se uno dei seguenti contatori sta incrementando, contatta Google Cloud Supporto per ulteriore assistenza:
network/interconnect/link/macsec/received_dropped_packets_count
network/interconnect/link/macsec/send_errors_count
network/interconnect/link/macsec/send_dropped_packets_count
Se nessuno dei seguenti contatori sta incrementando, significa che dei pacchetti vengono inviati al traffico in uscita del router on-premise. Controllo del router on-premise per risolvere i problemi.
network/interconnect/receive_errors_count
network/interconnect/received_unicast_packets_count
network/interconnect/link/macsec/received_control_packets_count
network/interconnect/link/macsec/received_data_packets_count
network/interconnect/link/macsec/received_errors_count
network/interconnect/link/macsec/received_dropped_packets_count
Risolvi i problemi di MACsec quando è abilitato il comportamento di fail-open
Se abiliti MACsec per Cloud Interconnect con comportamento di fail-open, la connessione Cloud Interconnect continua a inoltrare il traffico anche se non è possibile stabilire una sessione MACsec. Ti consigliamo vivamente di evitare di utilizzare il comportamento di fail-open su Cloud Interconnect di produzione per evitare di trasmettere i pacchetti in chiaro.
per determinare la configurazione e lo stato di MACsec connessione, procedi nel seguente modo:
Per verificare lo stato della connessione Cloud Interconnect, seleziona una delle seguenti opzioni:
Console
Nella console Google Cloud, vai a Cloud Interconnect Scheda Connessioni fisiche.
Seleziona la connessione Cloud Interconnect che vuoi vista.
Nella scheda MACsec, verifica che sia visualizzata la configurazione MACsec Abilitata, impossibile aprire.
gcloud
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
Sostituisci
INTERCONNECT_CONNECTION_NAME
con il nome di la connessione Cloud Interconnect.L'output è simile al seguente: cerca
macsec failOpen
impostata sutrue
emacsecEnabled
impostata sutrue
:availableFeatures: - IF_MACSEC adminEnabled: true circuitInfos: - customerDemarcId: fake-peer-demarc-0 googleCircuitId: LOOP-0 googleDemarcId: fake-local-demarc-0 creationTimestamp: '2021-10-05T03:39:33.888-07:00' customerName: Fake Customer description: <something> googleReferenceId: '123456789' id: '12345678987654321' interconnectAttachments: - https://www.googleapis.com/compute/prod/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-123456789-0 interconnectType: IT_PRIVATE kind: compute#interconnect labelFingerprint: 42WmSpB8rSM= linkType: LINK_TYPE_ETHERNET_10G_LR location: https://www.googleapis.com/compute/prod/projects/my-project1/global/interconnectLocations/cbf-zone2-65012 macsec: failOpen: true preSharedKeys: - name: key3 startTime: '2023-07-01T21:00:01.000Z' macsecEnabled: true name: INTERCONNECT_CONNECTION_NAME operationalStatus: OS_ACTIVE provisionedLinkCount: 1 requestedFeatures: - IF_MACSEC requestedLinkCount: 1 selfLink: https://www.googleapis.com/compute/prod/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME selfLinkWithId: https://www.googleapis.com/compute/prod/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME/12345678987654321 state: ACTIVE
In questo esempio,
macsec.failopen
mostratrue
emacsecEnabled
mostratrue
.Per controllare lo stato della porta della connessione Cloud Interconnect, MACsec operativo e il nome della chiave attiva, seleziona una delle seguenti opzioni: opzioni:
Console
Nella console Google Cloud, vai a Cloud Interconnect Scheda Connessioni fisiche.
Seleziona la connessione Cloud Interconnect che vuoi vista.
In Informazioni sui circuiti di collegamento, verifica che lo Stato del collegamento mostri
Attivo per tutti i collegamenti.Verifica che il nome della chiave MACsec mostri un nome della chiave per tutti i link, e che ogni nome di chiave mostri
MACsec in questo link è attivo oppure MACsec su questo link non attivo.
gcloud
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME \ --project=PROJECT_NAME
Sostituisci
PROJECT_NAME
con il nome del tuo progetto Google Cloud.L'output è simile al seguente: cerca il
bundleOperationalStatus
impostata suBUNDLE_OPERATIONAL_STATUS_UP
,state
impostato suACTIVE
emacsec
ckn
operational
impostato sufalse
:bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP links: - circuitId: LOOP-0 googleDemarc: fake-local-demarc-0 lacpStatus: googleSystemId: '00:11:22:33:44:55' neighborSystemId: '55:44:33:22:11:00' state: ACTIVE macsec: ckn: 0101010189abcdef...0123456789abcdef operational: false operationalStatus: LINK_OPERATIONAL_STATUS_UP receivingOpticalPower: state: OK value: -2.49 transmittingOpticalPower: state: OK value: -0.88 macAddress: 00:11:22:33:44:55
In questo esempio:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
indica che il bundle è operativo.links.lacpStatus.state: ACTIVE
indica che il membro LACP sia attivo.links.macsec.operational: false
indica che MACsec è operativo.
In questo caso, poiché è abilitato il comportamento di fail open, il controllo LACP e non verranno eliminati.
Se non viene visualizzato un valore per
links.macsec.ckn
, contatta Assistenza Google Cloud per ricevere aiuto.Il comando
gcloud compute interconnects get-diagnostics
mostra il valore CKN della chiave attiva. Se hai configurato più di una chiave, la chiave con l'ora di inizio più recente viene selezionata come chiave attiva. di Google i router perimetrali rifiutano le nuove sessioni MACsec che tentano di utilizzare la vecchia chiave.Per ottenere la configurazione di MACsec, prendi nota del valore CAK e della chiave un'ora di inizio corrispondente al valore CKN visualizzato in precedenza, seleziona un'opzione una delle seguenti opzioni:
Console
Nella scheda MACsec, vai alla sezione Chiavi precondivise, quindi Fai clic su Visualizza accanto alla chiave attiva. Se il valore CAK della chiave I valori CKN non vengono visualizzati. Contatta l'Assistenza Google Cloud per ricevere aiuto.
Nella sezione Chiavi precondivise, verifica che l'ora di inizio indicata affinché la chiave attiva corrisponda alle ore di inizio o eseguire il provisioning di un router.
gcloud
Esegui questo comando:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
L'output è simile al seguente: cerca il
preSharedKeys
ckn
name
:preSharedKeys: - name: key1 ckn: 0101010189abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-07-01T12:12:12Z - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12Z
Verifica che CKN, CAK e le ore di inizio attivi on-premise router e i valori di MACsec per Cloud Interconnect vengono visualizzati i video.
Esegui una di queste operazioni:
Se i valori non corrispondono, fai riferimento al manuale del router per aggiornare i valori sul router, quindi verifica se un MACsec può essere la creazione di un progetto.
Se i valori corrispondono, ma la sessione MACsec è ancora operativa sul link e vai al passaggio successivo.
Visualizza le metriche per osservare i contatori di pacchetti per Cloud Interconnect connessione. Per ulteriori informazioni sulla visualizzazione delle metriche, consulta Monitorare di sicurezza.
Quando il comportamento di fail-open di MACsec è abilitato, i seguenti contatori sono: incremento:
network/interconnect/sent_unicast_packets_count
network/interconnect/received_unicast_packets_count
Quando il comportamento di fail-open di MACsec è abilitato, i seguenti contatori non incremento:
network/interconnect/link/macsec/received_control_packets_count
network/interconnect/link/macsec/received_data_packets_count
network/interconnect/link/macsec/sent_control_packets_count
network/interconnect/link/macsec/sent_data_packets_count
Per determinare i passaggi successivi:
Se
network/interconnect/link/macsec/received_errors_count
è aumenta, i pacchetti passano al punto in entrata Connessione Cloud Interconnect a causa di errori. Ciò indica che esiste una mancata corrispondenza di protocollo tra il router on-premise e Router perimetrali di Google. Controlla i log del router on-premise risolvere i problemi.Se uno dei seguenti contatori sta incrementando, contatta Assistenza Google Cloud per ulteriore supporto:
network/interconnect/link/macsec/received_dropped_packets_count
network/interconnect/link/macsec/send_errors_count
network/interconnect/link/macsec/send_dropped_packets_count
Se nessuno dei seguenti contatori sta incrementando, può indicano che i pacchetti arrivano nel traffico on-premise o eseguire il provisioning di un router. Controlla i log del router on-premise per risolvere i problemi.
network/interconnect/receive_errors_count
network/interconnect/received_unicast_packets_count
network/interconnect/link/macsec/received_errors_count
network/interconnect/link/macsec/received_dropped_packets_count
Passaggi successivi
- Ruotare le chiavi MACsec
- Visualizza lo stato di MACsec
- Modifica fail-open comportamento dell'utente
- Recuperare le chiavi MACsec