Questa pagina descrive come risolvere i problemi relativi a MACsec per Cloud Interconnect.
Cloud Interconnect visualizza un errore quando provo a creare una nuova chiave
Se hai una chiave MACsec esistente senza ora di inizio e cerchi di crei una nuova chiave, Cloud Interconnect visualizza un errore. Per risolvere l'errore, aggiorna l'ora di inizio della chiave esistente.
MACsec è operativamente inattivo sulla mia connessione Cloud Interconnect
Hai attivato MACsec sulla connessione Cloud Interconnect e sul tuo router on-premise, ma la sessione MACsec indica che non è operativa sui link di connessione Cloud Interconnect. Il problema potrebbe essere causato da uno dei seguenti fattori:
- Le chiavi attive sul router on-premise e sui router perimetrali di Google non corrispondono.
- Esiste una mancata corrispondenza del protocollo MACsec tra il router on-premise e router perimetrale di Google.
Per risolvere lo stato MACsec, segui questi passaggi:
Per verificare che MACsec sia abilitato sulla connessione Cloud Interconnect, seleziona una delle seguenti opzioni:
Console
Nella console Google Cloud, vai a Cloud Interconnect Scheda Connessioni fisiche.
Seleziona la connessione Cloud Interconnect che vuoi vista.
Nella scheda MACsec, verifica che la configurazione di MACsec mostra una delle seguenti opzioni:
Abilitata, fail open: la crittografia MACsec è abilitata sul link. Se la crittografia MACsec non è stabilita tra entrambe le estremità, il link funziona senza crittografia.
Attivata, impossibile chiudere: la crittografia MACsec è abilitata sul collegamento. Se la crittografia MACsec non viene stabilita tra le due estremità, il collegamento non va a buon fine.
gcloud
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAMESostituisci
INTERCONNECT_CONNECTION_NAMEcon il nome di la connessione Cloud Interconnect.L'output è simile al seguente. Verifica che
macsecEnabled: trueè visualizzato:adminEnabled: true availableFeatures: - IF_MACSEC circuitInfos: - customerDemarcId: fake-peer-demarc-0 googleCircuitId: LOOP-0 googleDemarcId: fake-local-demarc-0 creationTimestamp: '2021-10-05T03:39:33.888-07:00' customerName: Fake Company description: something important googleReferenceId: '123456789' id: '12345678987654321' interconnectAttachments: - https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0 interconnectType: IT_PRIVATE kind: compute#interconnect labelFingerprint: 12H17262736_ linkType: LINK_TYPE_ETHERNET_10G_LR location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012 macsec: failOpen: false preSharedKeys: - name: key1 startTime: 2023-07-01T21:00:01.000Z macsecEnabled: true name: INTERCONNECT_CONNECTION_NAME operationalStatus: OS_ACTIVE provisionedLinkCount: 1 requestedFeatures: - IF_MACSEC requestedLinkCount: 1 selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321 state: ACTIVEPer controllare lo stato della porta di Cloud Interconnect, MACsec operativo e il nome della chiave attiva, utilizza una delle seguenti opzioni:
Console
Nella console Google Cloud, vai a Cloud Interconnect Scheda Connessioni fisiche.
Seleziona la connessione Cloud Interconnect che vuoi visualizzare.
In Informazioni sui circuiti di collegamento, verifica che lo Stato del collegamento mostri Attivo per tutti i collegamenti.
Verifica che il nome della chiave MACsec mostri un nome della chiave per tutti i link, e che ogni nome di chiave mostri MACsec in questo link è attivo oppure MACsec su questo link non attivo.
gcloud
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME \ --project=PROJECT_NAMESostituisci
PROJECT_NAMEcon il nome del tuo progetto Google Cloud.L'output è simile al seguente. Verifica che
links.lacpStatus.statemostriACTIVE, chelinks.macsec.cknmostri un valore e chelinks.operationalStatusmostriLINK_OPERATIONAL_STATUS_UP:bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP links: - circuitId: LOOP-0 googleDemarc: fake-local-demarc-0 lacpStatus: googleSystemId: '00:11:22:33:44:55' neighborSystemId: '55:44:33:22:11:00' state: ACTIVE macsec: ckn: 0101010189abcdef...0123456789abcdef operational: false operationalStatus: LINK_OPERATIONAL_STATUS_UP receivingOpticalPower: state: OK value: -2.49 transmittingOpticalPower: state: OK value: -0.88 macAddress: 00:11:22:33:44:55Se non viene visualizzato un valore per
links.macsec.ckn, contatta Assistenza Google Cloud per ricevere aiuto.Per verificare i valori CAK e CKN della chiave attiva e la relativa ora di inizio, seleziona una delle seguenti opzioni:
Console
Nella scheda MACsec, vai alla sezione Chiavi precondivise, quindi Fai clic su Visualizza accanto alla chiave attiva. Se un valore CKN non è visualizzato, contatta l'assistenza Google Cloud per ricevere aiuto.
Nella sezione Chiavi pre-condivise, verifica che l'ora di inizio indicata per la chiave attiva corrisponda a quella sul router on-premise. Esegui una di queste operazioni:
Se i valori non corrispondono, consulta il manuale del router per aggiornarne i valori, quindi verifica se è possibile stabilire una sessione MACsec.
Se i valori corrispondono, ma la sessione MACsec è ancora operativamente verso il basso sul link, quindi vai al passaggio successivo.
gcloud
Esegui il comando
gcloud compute interconnects get-diagnosticsper visualizza il valore CKN della chiave attiva.Se hai configurato più di una chiave, quella con il valore come chiave attiva viene selezionata un'ora di inizio non futura. I router di confine di Google rifiutano le nuove sessioni MACsec che tentano di utilizzare chiavi vecchie.
Ottieni la configurazione MACsec, quindi prendi nota del valore CAK e dell'ora di inizio della chiave corrispondenti al valore CKN visualizzato in precedenza:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAMESostituisci
INTERCONNECT_CONNECTION_NAMEcon il nome della connessione Cloud Interconnect.L'output è simile al seguente; cerca
ckn:preSharedKeys: - name: key1 ckn: 0101010189abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-07-01T12:12:12Z - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12ZVerifica che il CKN, il CAK e le ore di inizio attivi sul router on-premise corrispondano ai valori visualizzati da MACsec per Cloud Interconnect. Esegui una di queste operazioni:
Se i valori non corrispondono, consulta il manuale del router per aggiornarne i valori, quindi verifica se è possibile stabilire una sessione MACsec.
Se i valori corrispondono, ma la sessione MACsec è ancora operativa sul link e vai al passaggio successivo.
Visualizza le metriche per determinare se i pacchetti vengono persi in entrata o in uscita della connessione Cloud Interconnect. Per informazioni sulla visualizzazione delle metriche, consulta Monitorare le connessioni.
Per determinare i passaggi successivi:
Se
network/interconnect/link/macsec/received_errors_countè in aumento, significa che i pacchetti vengono eliminati alla connessione Cloud Interconnect in ingresso a causa di errori. Ciò indica che esiste una mancata corrispondenza del protocollo tra il router on-premise e i router perimetrali di Google. Controlla i log del router on-premise per risolvere i problemi.Se uno dei seguenti contatori è in aumento, contatta l'assistenza Google Cloud per ulteriore supporto:
network/interconnect/link/macsec/received_dropped_packets_countnetwork/interconnect/link/macsec/send_errors_countnetwork/interconnect/link/macsec/send_dropped_packets_count
Se nessuno dei seguenti contatori sta incrementando, indica che i pacchetti arrivano nel traffico in uscita dei server on-premise o eseguire il provisioning di un router. Controlla i log del router on-premise per risolvere i problemi.
network/interconnect/receive_errors_countnetwork/interconnect/received_unicast_packets_countnetwork/interconnect/link/macsec/received_control_packets_countnetwork/interconnect/link/macsec/received_data_packets_countnetwork/interconnect/link/macsec/received_errors_countnetwork/interconnect/link/macsec/received_dropped_packets_count
MACsec è operativo e sta riscontrando la perdita di pacchetti
Hai abilitato correttamente MACsec per Cloud Interconnect e MACsec è operativo, ma stai riscontrando la perdita di pacchetti.
Se la connessione MACsec è operativa, ma lo stato del protocollo LACP (Link Aggregation Control Protocol) di Cloud Interconnect è Detached, verifica che l'identificatore canale sicuro (SCI) sia abilitato sul router on-premise. Per ulteriori informazioni, consulta Configurare il router on-premise.
Visualizza le metriche per determinare se i pacchetti sono in entrata o in uscita la connessione Cloud Interconnect. Per informazioni sulla visualizzazione consulta Monitorare le connessioni. Se la connessione Cloud Interconnect non mostra errori o perdite di pacchetti, procedi controllando i router MACsec:
Se
network/interconnect/link/macsec/received_errors_countè in aumento, significa che i pacchetti vengono eliminati nella connessione Cloud Interconnect in entrata a causa di errori. Ciò indica che esiste una mancata corrispondenza del protocollo tra il router on-premise e i router di confine di Google. Controlla i log del router on-premise per risolvere il problema.Se uno dei seguenti contatori sta incrementando, contatta Google Cloud Supporto per ulteriore assistenza:
network/interconnect/link/macsec/received_dropped_packets_countnetwork/interconnect/link/macsec/send_errors_countnetwork/interconnect/link/macsec/send_dropped_packets_count
Se nessuno dei seguenti contatori è in aumento, significa che i pacchetti vengono persi all'uscita del router on-premise. Controlla i log del router on-premise per risolvere i problemi.
network/interconnect/receive_errors_countnetwork/interconnect/received_unicast_packets_countnetwork/interconnect/link/macsec/received_control_packets_countnetwork/interconnect/link/macsec/received_data_packets_countnetwork/interconnect/link/macsec/received_errors_countnetwork/interconnect/link/macsec/received_dropped_packets_count
Risolvi i problemi di MACsec quando è abilitato il comportamento di fail-open
Se attivi MACsec per Cloud Interconnect con il comportamento fail-open, la connessione Cloud Interconnect continua a inoltrare il traffico anche se non è possibile stabilire una sessione MACsec. Ti consigliamo vivamente di evitare di utilizzare il comportamento di fail-open su Cloud Interconnect di produzione per evitare di trasmettere i pacchetti in chiaro.
Per determinare la configurazione e lo stato della connessione MACsec:
Per verificare lo stato della connessione Cloud Interconnect, seleziona una delle seguenti opzioni:
Console
Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.
Seleziona la connessione Cloud Interconnect che vuoi visualizzare.
Nella scheda MACsec, verifica che sia visualizzata la configurazione MACsec Abilitata, impossibile aprire.
gcloud
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAMESostituisci
INTERCONNECT_CONNECTION_NAMEcon il nome della connessione Cloud Interconnect.L'output è simile al seguente: cerca
macsec failOpenimpostata sutrueemacsecEnabledimpostata sutrue:availableFeatures: - IF_MACSEC adminEnabled: true circuitInfos: - customerDemarcId: fake-peer-demarc-0 googleCircuitId: LOOP-0 googleDemarcId: fake-local-demarc-0 creationTimestamp: '2021-10-05T03:39:33.888-07:00' customerName: Fake Customer description: <something> googleReferenceId: '123456789' id: '12345678987654321' interconnectAttachments: - https://www.googleapis.com/compute/prod/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-123456789-0 interconnectType: IT_PRIVATE kind: compute#interconnect labelFingerprint: 42WmSpB8rSM= linkType: LINK_TYPE_ETHERNET_10G_LR location: https://www.googleapis.com/compute/prod/projects/my-project1/global/interconnectLocations/cbf-zone2-65012 macsec: failOpen: true preSharedKeys: - name: key3 startTime: '2023-07-01T21:00:01.000Z' macsecEnabled: true name: INTERCONNECT_CONNECTION_NAME operationalStatus: OS_ACTIVE provisionedLinkCount: 1 requestedFeatures: - IF_MACSEC requestedLinkCount: 1 selfLink: https://www.googleapis.com/compute/prod/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME selfLinkWithId: https://www.googleapis.com/compute/prod/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME/12345678987654321 state: ACTIVEIn questo esempio,
macsec.failopenmostratrueemacsecEnabledmostratrue.Per controllare lo stato della porta della connessione Cloud Interconnect, MACsec operativo e il nome della chiave attiva, seleziona una delle seguenti opzioni: opzioni:
Console
Nella console Google Cloud, vai a Cloud Interconnect Scheda Connessioni fisiche.
Seleziona la connessione Cloud Interconnect che vuoi visualizzare.
In Informazioni sui circuiti di collegamento, verifica che lo Stato del collegamento mostri Attivo per tutti i collegamenti.
Verifica che il nome della chiave MACsec mostri un nome della chiave per tutti i link, e che ogni nome di chiave mostri MACsec in questo link è attivo oppure MACsec su questo link non attivo.
gcloud
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME \ --project=PROJECT_NAMESostituisci
PROJECT_NAMEcon il nome del tuo progetto Google Cloud.L'output è simile al seguente: cerca il
bundleOperationalStatusimpostata suBUNDLE_OPERATIONAL_STATUS_UP,stateimpostato suACTIVEemacseccknoperationalimpostato sufalse:bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP links: - circuitId: LOOP-0 googleDemarc: fake-local-demarc-0 lacpStatus: googleSystemId: '00:11:22:33:44:55' neighborSystemId: '55:44:33:22:11:00' state: ACTIVE macsec: ckn: 0101010189abcdef...0123456789abcdef operational: false operationalStatus: LINK_OPERATIONAL_STATUS_UP receivingOpticalPower: state: OK value: -2.49 transmittingOpticalPower: state: OK value: -0.88 macAddress: 00:11:22:33:44:55In questo esempio:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UPindica che il bundle è operativo.links.lacpStatus.state: ACTIVEindica che il membro LACP è attiva.links.macsec.operational: falseindica che MACsec non è attivo.
In questo caso, poiché il comportamento di fail open è abilitato, il controllo LACP e non verranno eliminati.
Se non viene visualizzato un valore per
links.macsec.ckn, contatta Assistenza Google Cloud per ricevere aiuto.Il comando
gcloud compute interconnects get-diagnosticsmostra il valore CKN della chiave attiva. Se hai configurato più di una chiave, la chiave con l'ora di inizio più recente viene selezionata come chiave attiva. di Google i router perimetrali rifiutano le nuove sessioni MACsec che tentano di utilizzare la vecchia chiave.Per ottenere la configurazione MACsec, prendi nota del valore CAK e della chiave un'ora di inizio corrispondente al valore CKN visualizzato in precedenza, seleziona un'opzione una delle seguenti opzioni:
Console
Nella scheda MACsec, vai alla sezione Chiavi precondivise e poi fai clic su Visualizza accanto alla chiave attiva. Se i valori CAK e CKN della chiave non vengono visualizzati, contatta l'assistenza Google Cloud per ricevere aiuto.
Nella sezione Chiavi precondivise, verifica che l'ora di inizio indicata affinché la chiave attiva corrisponda alle ore di inizio o eseguire il provisioning di un router.
gcloud
Esegui questo comando:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAMEL'output è simile al seguente. Cerca
preSharedKeysnameckn:preSharedKeys: - name: key1 ckn: 0101010189abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-07-01T12:12:12Z - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12ZVerifica che CKN, CAK e le ore di inizio attivi on-premise router e i valori di MACsec per Cloud Interconnect vengono visualizzati i video.
Esegui una di queste operazioni:
Se i valori non corrispondono, consulta il manuale del router per aggiornarli e poi verifica se ora è possibile stabilire un protocollo MACsec.
Se i valori corrispondono, ma la sessione MACsec è ancora inattiva sul link, vai al passaggio successivo.
Visualizza le metriche per osservare i contatori di pacchetti per Cloud Interconnect connessione. Per ulteriori informazioni sulla visualizzazione delle metriche, consulta Monitorare di sicurezza.
Quando il comportamento fail-open di MACsec è attivato, i seguenti contatori aumentano:
network/interconnect/sent_unicast_packets_countnetwork/interconnect/received_unicast_packets_count
Quando il comportamento di fail-open MACsec è abilitato, i seguenti contatori non vengono incrementati:
network/interconnect/link/macsec/received_control_packets_countnetwork/interconnect/link/macsec/received_data_packets_countnetwork/interconnect/link/macsec/sent_control_packets_countnetwork/interconnect/link/macsec/sent_data_packets_count
Per determinare i passaggi successivi:
Se
network/interconnect/link/macsec/received_errors_countè in aumento, significa che i pacchetti vengono eliminati alla connessione Cloud Interconnect in ingresso a causa di errori. Ciò indica che esiste una mancata corrispondenza del protocollo tra il router on-premise e i router perimetrali di Google. Controlla i log del router on-premise per risolvere i problemi.Se uno dei seguenti contatori sta incrementando, contatta Assistenza Google Cloud per ulteriore supporto:
network/interconnect/link/macsec/received_dropped_packets_countnetwork/interconnect/link/macsec/send_errors_countnetwork/interconnect/link/macsec/send_dropped_packets_count
Se nessuno dei seguenti contatori sta incrementando, può indicano che i pacchetti arrivano nel traffico on-premise o eseguire il provisioning di un router. Controlla i log del router on-premise per risolvere i problemi.
network/interconnect/receive_errors_countnetwork/interconnect/received_unicast_packets_countnetwork/interconnect/link/macsec/received_errors_countnetwork/interconnect/link/macsec/received_dropped_packets_count
Passaggi successivi
- Ruotare le chiavi MACsec
- Visualizza lo stato di MACsec
- Modifica fail-open comportamento dell'utente
- Recuperare le chiavi MACsec