Questa pagina descrive come risolvere i problemi di MACsec per Cloud Interconnect.
Cloud Interconnect visualizza un errore quando provo a creare una nuova chiave
Se hai una chiave MACsec esistente senza ora di inizio e cerchi di crei una nuova chiave, Cloud Interconnect visualizza un errore. Per risolvere il problema aggiorna l'inizio della chiave esistente volta.
MACsec è operativamente inattivo sulla mia connessione Cloud Interconnect
Hai abilitato MACsec correttamente sulla connessione Cloud Interconnect e su del router on-premise, ma la sessione MACsec indica che a livello operativo sui link di connessione Cloud Interconnect. La potrebbe essere causato da una delle seguenti cause:
- Le chiavi attive sul router on-premise e sui router perimetrali di Google non corrispondono.
- Esiste una mancata corrispondenza del protocollo MACsec tra il router on-premise e router perimetrale di Google.
Per risolvere lo stato MACsec, segui questi passaggi:
Per verificare che MACsec sia abilitato su Cloud Interconnect connessione, seleziona una delle seguenti opzioni:
Console
Nella console Google Cloud, vai a Cloud Interconnect Scheda Connessioni fisiche.
Seleziona la connessione Cloud Interconnect che vuoi vista.
Nella scheda MACsec, verifica che la configurazione di MACsec mostra una delle seguenti opzioni:
Abilitata, fail open: la crittografia MACsec è abilitata sul link. Se la crittografia MACsec non viene stabilita tra le due estremità, il link funziona senza crittografia.
Attivata, chiusura non riuscita:la crittografia MACsec è abilitata nella . Se la crittografia MACsec non viene stabilita tra le due estremità, il collegamento non va a buon fine.
gcloud
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAMESostituisci
INTERCONNECT_CONNECTION_NAMEcon il nome di la connessione Cloud Interconnect.L'output è simile al seguente. Verifica che
macsecEnabled: trueè visualizzato:adminEnabled: true availableFeatures: - IF_MACSEC circuitInfos: - customerDemarcId: fake-peer-demarc-0 googleCircuitId: LOOP-0 googleDemarcId: fake-local-demarc-0 creationTimestamp: '2021-10-05T03:39:33.888-07:00' customerName: Fake Company description: something important googleReferenceId: '123456789' id: '12345678987654321' interconnectAttachments: - https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0 interconnectType: IT_PRIVATE kind: compute#interconnect labelFingerprint: 12H17262736_ linkType: LINK_TYPE_ETHERNET_10G_LR location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012 macsec: failOpen: false preSharedKeys: - name: key1 startTime: 2023-07-01T21:00:01.000Z macsecEnabled: true name: INTERCONNECT_CONNECTION_NAME operationalStatus: OS_ACTIVE provisionedLinkCount: 1 requestedFeatures: - IF_MACSEC requestedLinkCount: 1 selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321 state: ACTIVEPer controllare lo stato della porta di Cloud Interconnect, MACsec operativo e il nome della chiave attiva, utilizza una delle seguenti opzioni:
Console
Nella console Google Cloud, vai a Cloud Interconnect Scheda Connessioni fisiche.
Seleziona la connessione Cloud Interconnect che vuoi vista.
In Informazioni sui circuiti di collegamento, verifica che lo Stato del collegamento mostri Attivo per tutti i collegamenti.
Verifica che il nome della chiave MACsec mostri un nome della chiave per tutti i link, e che ogni nome di chiave mostri MACsec in questo link è attivo oppure MACsec su questo link non attivo.
gcloud
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME \ --project=PROJECT_NAMESostituisci
PROJECT_NAMEcon il nome del tuo progetto Google Cloud.L'output è simile al seguente. Verifica che
links.lacpStatus.statemostraACTIVE, chelinks.macsec.cknvisualizza un valore elinks.operationalStatusmostraLINK_OPERATIONAL_STATUS_UP:bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP links: - circuitId: LOOP-0 googleDemarc: fake-local-demarc-0 lacpStatus: googleSystemId: '00:11:22:33:44:55' neighborSystemId: '55:44:33:22:11:00' state: ACTIVE macsec: ckn: 0101010189abcdef...0123456789abcdef operational: false operationalStatus: LINK_OPERATIONAL_STATUS_UP receivingOpticalPower: state: OK value: -2.49 transmittingOpticalPower: state: OK value: -0.88 macAddress: 00:11:22:33:44:55Se non viene visualizzato un valore per
links.macsec.ckn, contatta Assistenza Google Cloud per ricevere aiuto.Per verificare i valori CAK e CKN della chiave attiva e l'ora di inizio della chiave, seleziona una delle seguenti opzioni:
Console
Nella scheda MACsec, vai alla sezione Chiavi precondivise, quindi Fai clic su Visualizza accanto alla chiave attiva. Se un valore CKN non è visualizzato, contatta l'assistenza Google Cloud per ricevere aiuto.
Nella sezione Chiavi precondivise, verifica che l'ora di inizio indicata che la chiave attiva corrisponda all'ora di inizio on-premise. Esegui una di queste operazioni:
Se i valori non corrispondono, fai riferimento al manuale del router per aggiornare i valori sul router, quindi verifica se un MACsec di Cloud Shell.
Se i valori corrispondono, ma la sessione MACsec è ancora operativamente verso il basso sul link, quindi vai al passaggio successivo.
gcloud
Esegui il comando
gcloud compute interconnects get-diagnosticsper visualizza il valore CKN della chiave attiva.Se hai configurato più di una chiave, quella con il valore come chiave attiva sia selezionata un'ora di inizio non futura. I router perimetrali di Google rifiutano qualsiasi nuova sessione MACsec che tenta di usano chiavi vecchie.
Ottieni la configurazione MACsec e prendi nota del valore CAK e della chiave che corrisponda al valore CKN visualizzato in precedenza:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAMESostituisci
INTERCONNECT_CONNECTION_NAMEcon il nome della connessione Cloud Interconnect.L'output è simile al seguente: cerca
ckn:preSharedKeys: - name: key1 ckn: 0101010189abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-07-01T12:12:12Z - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12ZVerifica che CKN, CAK e le ore di inizio attivi on-premise router e i valori di MACsec per Cloud Interconnect vengono visualizzati i video. Esegui una di queste operazioni:
Se i valori non corrispondono, fai riferimento al manuale del router per aggiornare i valori sul router, quindi verifica se un MACsec di Cloud Shell.
Se i valori corrispondono, ma la sessione MACsec è ancora operativa sul link e vai al passaggio successivo.
Visualizza le metriche per determinare se i pacchetti arrivano in entrata o dalla connessione Cloud Interconnect. Per informazioni su le metriche di visualizzazione, consulta Monitora le connessioni.
Per determinare i passaggi successivi:
Se
network/interconnect/link/macsec/received_errors_countè aumenta, i pacchetti passano al punto in entrata Connessione Cloud Interconnect a causa di errori. Ciò indica che esiste una mancata corrispondenza di protocollo tra il router on-premise e Router perimetrali di Google. Controlla i log del router on-premise risolvere i problemi.Se uno dei seguenti contatori sta incrementando, contatta Assistenza Google Cloud per ulteriore supporto:
network/interconnect/link/macsec/received_dropped_packets_countnetwork/interconnect/link/macsec/send_errors_countnetwork/interconnect/link/macsec/send_dropped_packets_count
Se nessuno dei seguenti contatori sta incrementando, indica che i pacchetti arrivano nel traffico in uscita dei server on-premise o eseguire il provisioning di un router. Controlla i log del router on-premise per risolvere i problemi.
network/interconnect/receive_errors_countnetwork/interconnect/received_unicast_packets_countnetwork/interconnect/link/macsec/received_control_packets_countnetwork/interconnect/link/macsec/received_data_packets_countnetwork/interconnect/link/macsec/received_errors_countnetwork/interconnect/link/macsec/received_dropped_packets_count
MACsec è operativo e sta riscontrando la perdita di pacchetti
Hai abilitato correttamente MACsec per Cloud Interconnect e MACsec è operativo, ma stai riscontrando la perdita di pacchetti.
Se la connessione MACsec è operativa, ma Cloud Interconnect
Lo stato LACP (Link Aggregation Control Protocol) è Detached; verifica che
Il Secure Channel Identifier (SCI) sia abilitato sul router on-premise. Per maggiori informazioni
per le informazioni, consulta la sezione Configurare
un router on-premise.
Visualizza le metriche per determinare se i pacchetti sono in entrata o in uscita la connessione Cloud Interconnect. Per informazioni sulla visualizzazione consulta Monitorare le connessioni. Se La connessione Cloud Interconnect non mostra errori o perdite di pacchetti, quindi controlla i router MACsec:
Se
network/interconnect/link/macsec/received_errors_countsta incrementando, i pacchetti vengono inviati al Cloud Interconnect in entrata a causa di errori. Questo indica che esiste una mancata corrispondenza di protocollo tra il router on-premise e i router perimetrali di Google. Controlla dei log del router on-premise per risolvere i problemi.Se uno dei seguenti contatori sta incrementando, contatta Google Cloud Supporto per ulteriore assistenza:
network/interconnect/link/macsec/received_dropped_packets_countnetwork/interconnect/link/macsec/send_errors_countnetwork/interconnect/link/macsec/send_dropped_packets_count
Se nessuno dei seguenti contatori sta incrementando, significa che dei pacchetti vengono inviati al traffico in uscita del router on-premise. Controllo del router on-premise per risolvere i problemi.
network/interconnect/receive_errors_countnetwork/interconnect/received_unicast_packets_countnetwork/interconnect/link/macsec/received_control_packets_countnetwork/interconnect/link/macsec/received_data_packets_countnetwork/interconnect/link/macsec/received_errors_countnetwork/interconnect/link/macsec/received_dropped_packets_count
Risolvi i problemi di MACsec quando è abilitato il comportamento di fail-open
Se abiliti MACsec per Cloud Interconnect con comportamento di fail-open, la connessione Cloud Interconnect continua a inoltrare il traffico anche se non è possibile stabilire una sessione MACsec. Ti consigliamo vivamente di evitare di utilizzare il comportamento di fail-open su Cloud Interconnect di produzione per evitare di trasmettere i pacchetti in chiaro.
per determinare la configurazione e lo stato di MACsec connessione, procedi nel seguente modo:
Per verificare lo stato della connessione Cloud Interconnect, seleziona una delle seguenti opzioni:
Console
Nella console Google Cloud, vai a Cloud Interconnect Scheda Connessioni fisiche.
Seleziona la connessione Cloud Interconnect che vuoi vista.
Nella scheda MACsec, verifica che sia visualizzata la configurazione MACsec Abilitata, impossibile aprire.
gcloud
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAMESostituisci
INTERCONNECT_CONNECTION_NAMEcon il nome di la connessione Cloud Interconnect.L'output è simile al seguente: cerca
macsec failOpenimpostata sutrueemacsecEnabledimpostata sutrue:availableFeatures: - IF_MACSEC adminEnabled: true circuitInfos: - customerDemarcId: fake-peer-demarc-0 googleCircuitId: LOOP-0 googleDemarcId: fake-local-demarc-0 creationTimestamp: '2021-10-05T03:39:33.888-07:00' customerName: Fake Customer description: <something> googleReferenceId: '123456789' id: '12345678987654321' interconnectAttachments: - https://www.googleapis.com/compute/prod/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-123456789-0 interconnectType: IT_PRIVATE kind: compute#interconnect labelFingerprint: 42WmSpB8rSM= linkType: LINK_TYPE_ETHERNET_10G_LR location: https://www.googleapis.com/compute/prod/projects/my-project1/global/interconnectLocations/cbf-zone2-65012 macsec: failOpen: true preSharedKeys: - name: key3 startTime: '2023-07-01T21:00:01.000Z' macsecEnabled: true name: INTERCONNECT_CONNECTION_NAME operationalStatus: OS_ACTIVE provisionedLinkCount: 1 requestedFeatures: - IF_MACSEC requestedLinkCount: 1 selfLink: https://www.googleapis.com/compute/prod/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME selfLinkWithId: https://www.googleapis.com/compute/prod/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME/12345678987654321 state: ACTIVEIn questo esempio,
macsec.failopenmostratrueemacsecEnabledmostratrue.Per controllare lo stato della porta della connessione Cloud Interconnect, MACsec operativo e il nome della chiave attiva, seleziona una delle seguenti opzioni: opzioni:
Console
Nella console Google Cloud, vai a Cloud Interconnect Scheda Connessioni fisiche.
Seleziona la connessione Cloud Interconnect che vuoi vista.
In Informazioni sui circuiti di collegamento, verifica che lo Stato del collegamento mostri Attivo per tutti i collegamenti.
Verifica che il nome della chiave MACsec mostri un nome della chiave per tutti i link, e che ogni nome di chiave mostri MACsec in questo link è attivo oppure MACsec su questo link non attivo.
gcloud
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME \ --project=PROJECT_NAMESostituisci
PROJECT_NAMEcon il nome del tuo progetto Google Cloud.L'output è simile al seguente: cerca il
bundleOperationalStatusimpostata suBUNDLE_OPERATIONAL_STATUS_UP,stateimpostato suACTIVEemacseccknoperationalimpostato sufalse:bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP links: - circuitId: LOOP-0 googleDemarc: fake-local-demarc-0 lacpStatus: googleSystemId: '00:11:22:33:44:55' neighborSystemId: '55:44:33:22:11:00' state: ACTIVE macsec: ckn: 0101010189abcdef...0123456789abcdef operational: false operationalStatus: LINK_OPERATIONAL_STATUS_UP receivingOpticalPower: state: OK value: -2.49 transmittingOpticalPower: state: OK value: -0.88 macAddress: 00:11:22:33:44:55In questo esempio:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UPindica che il bundle è operativo.links.lacpStatus.state: ACTIVEindica che il membro LACP sia attivo.links.macsec.operational: falseindica che MACsec è operativo.
In questo caso, poiché è abilitato il comportamento di fail open, il controllo LACP e non verranno eliminati.
Se non viene visualizzato un valore per
links.macsec.ckn, contatta Assistenza Google Cloud per ricevere aiuto.Il comando
gcloud compute interconnects get-diagnosticsmostra il valore CKN della chiave attiva. Se hai configurato più di una chiave, la chiave con l'ora di inizio più recente viene selezionata come chiave attiva. di Google i router perimetrali rifiutano le nuove sessioni MACsec che tentano di utilizzare la vecchia chiave.Per ottenere la configurazione di MACsec, prendi nota del valore CAK e della chiave un'ora di inizio corrispondente al valore CKN visualizzato in precedenza, seleziona un'opzione una delle seguenti opzioni:
Console
Nella scheda MACsec, vai alla sezione Chiavi precondivise, quindi Fai clic su Visualizza accanto alla chiave attiva. Se il valore CAK della chiave I valori CKN non vengono visualizzati. Contatta l'Assistenza Google Cloud per ricevere aiuto.
Nella sezione Chiavi precondivise, verifica che l'ora di inizio indicata affinché la chiave attiva corrisponda alle ore di inizio o eseguire il provisioning di un router.
gcloud
Esegui questo comando:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAMEL'output è simile al seguente: cerca il
preSharedKeyscknname:preSharedKeys: - name: key1 ckn: 0101010189abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-07-01T12:12:12Z - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12ZVerifica che CKN, CAK e le ore di inizio attivi on-premise router e i valori di MACsec per Cloud Interconnect vengono visualizzati i video.
Esegui una di queste operazioni:
Se i valori non corrispondono, fai riferimento al manuale del router per aggiornare i valori sul router, quindi verifica se un MACsec può essere la creazione di un progetto.
Se i valori corrispondono, ma la sessione MACsec è ancora operativa sul link e vai al passaggio successivo.
Visualizza le metriche per osservare i contatori di pacchetti per Cloud Interconnect connessione. Per ulteriori informazioni sulla visualizzazione delle metriche, consulta Monitorare di sicurezza.
Quando il comportamento di fail-open di MACsec è abilitato, i seguenti contatori sono: incremento:
network/interconnect/sent_unicast_packets_countnetwork/interconnect/received_unicast_packets_count
Quando il comportamento di fail-open di MACsec è abilitato, i seguenti contatori non incremento:
network/interconnect/link/macsec/received_control_packets_countnetwork/interconnect/link/macsec/received_data_packets_countnetwork/interconnect/link/macsec/sent_control_packets_countnetwork/interconnect/link/macsec/sent_data_packets_count
Per determinare i passaggi successivi:
Se
network/interconnect/link/macsec/received_errors_countè aumenta, i pacchetti passano al punto in entrata Connessione Cloud Interconnect a causa di errori. Ciò indica che esiste una mancata corrispondenza di protocollo tra il router on-premise e Router perimetrali di Google. Controlla i log del router on-premise risolvere i problemi.Se uno dei seguenti contatori sta incrementando, contatta Assistenza Google Cloud per ulteriore supporto:
network/interconnect/link/macsec/received_dropped_packets_countnetwork/interconnect/link/macsec/send_errors_countnetwork/interconnect/link/macsec/send_dropped_packets_count
Se nessuno dei seguenti contatori sta incrementando, può indicano che i pacchetti arrivano nel traffico on-premise o eseguire il provisioning di un router. Controlla i log del router on-premise per risolvere i problemi.
network/interconnect/receive_errors_countnetwork/interconnect/received_unicast_packets_countnetwork/interconnect/link/macsec/received_errors_countnetwork/interconnect/link/macsec/received_dropped_packets_count
Passaggi successivi
- Ruotare le chiavi MACsec
- Visualizza lo stato di MACsec
- Modifica fail-open comportamento dell'utente
- Recuperare le chiavi MACsec