Questa pagina descrive come visualizzare lo stato di MACsec per i circuiti Cloud Interconnect.
Seleziona una delle seguenti opzioni:
Console
Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.
Seleziona la connessione Cloud Interconnect che vuoi visualizzare.
La sezione Informazioni sul circuito di collegamento mostra le seguenti informazioni:
ID circuito Google: il nome del circuito di collegamento.
Stato collegamento: lo stato fisico del collegamento, uno dei seguenti.
Attivo per indicare che il link per i membri LACP è attivo.
LACP Scollegato per indicare che il link per membri LACP non è attivo.
Nome chiave MACsec: lo stato MACsec del link e la chiave MACsec utilizzata per proteggere la connessione. Lo stato sarà uno dei seguenti:
: MACsec è operativo e il link è criptato.
: MACsec è operativo e il link non è criptato.
Alimentazione ottica di ricezione: un indicatore di stato e il livello di luce ottica rilevati dall'interfaccia fisica dal trasmettitore remoto in dBm.
Alimentazione ottica di trasmissione: un indicatore di stato e il livello di luce ottica che l'interfaccia fisica sta trasmettendo al ricevitore remoto in dBm.
ID demarcazione Google: l'ID univoco assegnato da Google per il circuito di collegamento.
Fai clic sulla scheda MACsec. La configurazione di MACsec mostra una delle seguenti opzioni per la configurazione MACsec:
Abilitata, impossibile aprire: la crittografia MACsec è attivata per il link. Se la crittografia MACsec non viene stabilita tra entrambe le estremità, il link opera senza crittografia.
Abilitata, chiusura non riuscita: la crittografia MACsec è attivata per il link. Se la crittografia MACsec non viene stabilita tra entrambe le estremità, il collegamento non riesce.
Disattivata: la crittografia MACsec è disattivata per il link.
gcloud
Per visualizzare lo stato dei circuiti, utilizza il seguente comando:
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME
Sostituisci INTERCONNECT_CONNECTION_NAME
con il nome della tua connessione Cloud Interconnect.
L'output è simile al seguente:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
In questo esempio, MACsec è abilitato e operativo sul circuito.
I seguenti elementi indicano lo stato di un circuito:
bundleOperationalStatus
: lo stato del bundle di circuito, che è uno dei seguenti:BUNDLE_OPERATIONAL_STATUS_UP
: il bundle di circuiti è attivo.BUNDLE_OPERATIONAL_STATUS_DOWN
: il bundle di circuiti non è attivo.
links.lacpStatus.state
: lo stato del protocollo di controllo di aggregazione di link (LACP) del circuito, che è uno dei seguenti:ACTIVE
: LACP è attivo.DETACHED
: LACP non è attivo.
links.macsec.CKN
: il nome della chiave di associazione della connettività (CKN) che MACsec per Cloud Interconnect sta utilizzando attivamente per questa connessione.Puoi utilizzare
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
per visualizzare tutte le chiavi configurate per la connessione Cloud Interconnect. Per ulteriori informazioni, consulta Ottenere le chiavi MACsec.Se hai configurato più di una chiave, quella con l'ora di inizio più recente viene selezionata come chiave attiva. I router perimetrali di Google rifiutano qualsiasi nuova sessione MACsec che tenta di utilizzare le chiavi meno recenti.
links.macsec.operational
: lo stato MACsec dei circuiti, che è uno dei seguenti:true
: MACsec è operativo su questo circuito.false
: MACsec non è operativo su questo circuito.
links.operationalStatus
: lo stato MACsec del link, che è uno dei seguenti:LINK_OPERATIONAL_STATUS_UP
: la connessione Cloud Interconnect è operativa.LINK_OPERATIONAL_STATUS_DOWN
: la connessione Cloud Interconnect è disattivata a livello operativo.
Le seguenti sezioni mostrano esempi di MACsec per gli stati di Cloud Interconnect e il loro aspetto nell'output per Google Cloud CLI e la console Google Cloud.
MACsec abilitato e operativo
Seleziona una delle seguenti opzioni:
Console
Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.
Seleziona la connessione Cloud Interconnect che vuoi visualizzare. Le voci seguenti indicano che MACsec è abilitato e operativo. I link trasmettono il traffico:
Stato link: mostra
Attivo per tutti i link.Nome chiave MACsec: visualizza
per tutti i link. Il nome della chiave MACsec è indicato dopo ogni connessione.
Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e operativo:
Configurazione MACsec: mostra uno dei seguenti valori: Abilitata, apertura non riuscita o Abilitata, chiusura non riuscita.
Chiavi precondivise: mostra Attiva, in uso per lo stato della chiave di almeno una chiave.
gcloud
L'output è simile al seguente:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
Nell'esempio, gli elementi seguenti indicano che MACsec è abilitato e operativo. Il link trasmette traffico:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links.lacpStatus.state: ACTIVE
links.macsec.ckn: 0101010189abcdef...0123456789abcdef
links.macsec.operational: true
links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
MACsec abilitato, non operativo e disabilitato
Seleziona una delle seguenti opzioni:
Console
Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.
Seleziona la connessione Cloud Interconnect che vuoi visualizzare. I seguenti elementi indicano che MACsec è disabilitato e non è operativo. I link non trasmettono traffico:
Stato link: mostra
LACP scollegato per tutti i link.Nome chiave MACsec: visualizza
per tutti i link. Il nome della chiave MACsec è indicato dopo ogni connessione.
Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e non operativo:
Configurazione MACsec: mostra la dicitura Giù.
Chiavi precondivise: mostra Attiva, in uso per lo stato della chiave di almeno una chiave.
gcloud
L'output è simile al seguente:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: DETACHED
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
Nell'esempio, links.macsec indica che MACsec è attivo. Gli elementi riportati di seguito indicano che MACsec non è operativo e che il link non trasmette traffico:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
links.lacpStatus.state: DETACHED
links.macsec.ckn: 0101010189abcdef...0123456789abcdef
links.macsec.operational: false
links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
In questo caso, Google non può stabilire una sessione MACsec. Pertanto
links.macsec.operational
è false
. Poiché MACsec è un protocollo di sicurezza di livello 2 di livello inferiore, tutti i pacchetti per i protocolli di livello superiore vengono ignorati, incluso LACP. Di conseguenza, bundleOperationalStatus
viene impostato su
BUNDLE_OPERATIONAL_STATUS_DOWN
e links.lacpStatus.state
su
DETACHED
.
Tuttavia, MACsec non influisce sullo stato del collegamento fisico; pertanto, links.operationalStatus
rimane LINK_OPERATIONAL_STATUS_UP
quando MACsec è inattivo finché il livello fisico è operativo.
MACsec abilitato, non tutti i link sono operativi e con errori di apertura
Seleziona una delle seguenti opzioni:
Console
Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.
Seleziona la connessione Cloud Interconnect che vuoi visualizzare. Gli elementi seguenti indicano che MACsec è abilitato, non tutti i link sono operativi e che alcuni link trasmettono traffico:
Stato collegamento: mostra
LACP scollegato per uno o più link e Attivo per almeno un link.Nome chiave MACsec: mostra
MACsec in questo link non attivo per uno o più link e MACsec in questo link è attivo per almeno un link. Il nome della chiave MACsec è elencato dopo ogni connessione.
Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e non operativo:
Configurazione MACsec: mostra Abilitata, chiusura non riuscita.
Chiavi precondivise: mostra Attiva, in uso per lo stato della chiave di almeno una chiave.
gcloud
L'output è simile al seguente:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
- circuitId: LOOP-1
googleDemarc: fake-local-demarc-1
lacpStatus:
googleSystemId: '00:11:22:33:44:66'
neighborSystemId: '66:44:33:22:11:00'
state: DETACHED
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
Nell'esempio, gli elementi seguenti indicano che MACsec è abilitato e operativo. Il circuito passa traffico, ma solo su uno dei due link visualizzati:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links.circuitId: LOOP-0:
links.lacpStatus.state: ACTIVE
links.macsec.ckn: 0101010189abcdef...0123456789abcdef
links.macsec.operational: true
links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
links.circuitId: LOOP-1:
links.lacpStatus.state: DETACHED
links.macsec.ckn: 0101010189abcdef...0123456789abcdef
links.macsec.operational: false
links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
In questo caso, bundleOperationalStatus
è BUNDLE_OPERATIONAL_STATUS_UP
.
Tieni presente che links.circuitId: LOOP-0
indica che links.lacpStatus.state
è ACTIVE
e links.macsec.operational
è true
. Il primo link funziona come previsto e trasmette traffico.
Tuttavia, tieni presente che links.circuitId: LOOP-1
indica che
links.lacpStatus.state
è DETACHED
e links.macsec.operational
è
false
. Il secondo link non funziona come previsto e non trasmette traffico.
Tuttavia, MACsec non influisce sullo stato di nessuno dei due link fisici, pertanto entrambi i link visualizzano links.operationalStatus
come LINK_OPERATIONAL_STATUS_UP
.
Questo stato rimane anche quando MACsec non è attivo per uno dei link, purché il livello fisico sia operativo.
MACsec abilitato, non operativo e con mancata apertura su
Seleziona una delle seguenti opzioni:
Console
Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.
Seleziona la connessione Cloud Interconnect che vuoi visualizzare. Gli elementi seguenti indicano che MACsec è abilitato e non operativo. I link trasmettono traffico:
Stato link: mostra
Attivo per tutti i link.Nome chiave MACsec: mostra un
avviso per tutti i link. Il nome della chiave MACsec è elencato dopo ogni connessione.
Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e non operativo:
Configurazione MACsec: mostra Abilitata, apertura non riuscita.
Chiavi precondivise: mostra Attiva per lo stato della chiave di almeno una chiave.
gcloud
L'output è simile al seguente:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
In questo esempio:
- I valori
links.macsec
indicano che MACsec è abilitato. bundleOperationalStatus
mostraBUNDLE_OPERATIONAL_STATUS_UP
, che indica che la connessione Cloud Interconnect è operativa.macsec.operational
mostrafalse
, a indicare che MACsec non è operativo.
Per verificare che la connessione Cloud Interconnect sia impostata per l'apertura non riuscita, esegui questo comando:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
L'output è simile al seguente per un link impostato per l'apertura non riuscita:
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: true
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
MACsec disabilitato
Seleziona una delle seguenti opzioni:
Console
- Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.
Seleziona la connessione Cloud Interconnect che vuoi visualizzare. I seguenti elementi indicano che MACsec è disabilitato. I link non trasmettono traffico:
Stato link: mostra
Attivo per tutti i link.Nome chiave MACsec: mostra un testo vuoto e nessuno stato per tutti i link.
Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e non operativo:
Configurazione MACsec: mostra Disabilitata.
Chiavi precondivise: mostra Attivo per almeno uno stato della chiave.
gcloud
L'output è simile al seguente:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
Nell'esempio, il fatto che links.macsec
non sia presente nell'output
indica che MACsec è disabilitato e non operativo. Il link passa traffico non criptato.
Poiché MACsec è disabilitato, sia links.macsec.ckn
sia
links.macsec.operational
non mostrano un valore.