Visualizza stato MACsec

Questa pagina descrive come visualizzare lo stato di MACsec per i circuiti Cloud Interconnect.

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.

    Vai a Connessioni fisiche

  2. Seleziona la connessione Cloud Interconnect che vuoi visualizzare.

  3. La sezione Informazioni sul circuito di collegamento mostra le seguenti informazioni:

    1. ID circuito Google: il nome del circuito di collegamento.

    2. Stato collegamento: lo stato fisico del collegamento, uno dei seguenti.

      • Attivo per indicare che il link per i membri LACP è attivo.

      • LACP Scollegato per indicare che il link per membri LACP non è attivo.

    3. Nome chiave MACsec: lo stato MACsec del link e la chiave MACsec utilizzata per proteggere la connessione. Lo stato sarà uno dei seguenti:

      • : MACsec è operativo e il link è criptato.

      • : MACsec è operativo e il link non è criptato.

    4. Alimentazione ottica di ricezione: un indicatore di stato e il livello di luce ottica rilevati dall'interfaccia fisica dal trasmettitore remoto in dBm.

    5. Alimentazione ottica di trasmissione: un indicatore di stato e il livello di luce ottica che l'interfaccia fisica sta trasmettendo al ricevitore remoto in dBm.

    6. ID demarcazione Google: l'ID univoco assegnato da Google per il circuito di collegamento.

  4. Fai clic sulla scheda MACsec. La configurazione di MACsec mostra una delle seguenti opzioni per la configurazione MACsec:

    1. Abilitata, impossibile aprire: la crittografia MACsec è attivata per il link. Se la crittografia MACsec non viene stabilita tra entrambe le estremità, il link opera senza crittografia.

    2. Abilitata, chiusura non riuscita: la crittografia MACsec è attivata per il link. Se la crittografia MACsec non viene stabilita tra entrambe le estremità, il collegamento non riesce.

    3. Disattivata: la crittografia MACsec è disattivata per il link.

gcloud

Per visualizzare lo stato dei circuiti, utilizza il seguente comando:

gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

Sostituisci INTERCONNECT_CONNECTION_NAME con il nome della tua connessione Cloud Interconnect.

L'output è simile al seguente:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

In questo esempio, MACsec è abilitato e operativo sul circuito.

I seguenti elementi indicano lo stato di un circuito:

  • bundleOperationalStatus: lo stato del bundle di circuito, che è uno dei seguenti:

    • BUNDLE_OPERATIONAL_STATUS_UP: il bundle di circuiti è attivo.

    • BUNDLE_OPERATIONAL_STATUS_DOWN: il bundle di circuiti non è attivo.

  • links.lacpStatus.state: lo stato del protocollo di controllo di aggregazione di link (LACP) del circuito, che è uno dei seguenti:

    • ACTIVE: LACP è attivo.

    • DETACHED: LACP non è attivo.

  • links.macsec.CKN: il nome della chiave di associazione della connettività (CKN) che MACsec per Cloud Interconnect sta utilizzando attivamente per questa connessione.

    Puoi utilizzare gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME per visualizzare tutte le chiavi configurate per la connessione Cloud Interconnect. Per ulteriori informazioni, consulta Ottenere le chiavi MACsec.

    Se hai configurato più di una chiave, quella con l'ora di inizio più recente viene selezionata come chiave attiva. I router perimetrali di Google rifiutano qualsiasi nuova sessione MACsec che tenta di utilizzare le chiavi meno recenti.

  • links.macsec.operational: lo stato MACsec dei circuiti, che è uno dei seguenti:

    • true: MACsec è operativo su questo circuito.

    • false: MACsec non è operativo su questo circuito.

  • links.operationalStatus: lo stato MACsec del link, che è uno dei seguenti:

    • LINK_OPERATIONAL_STATUS_UP: la connessione Cloud Interconnect è operativa.

    • LINK_OPERATIONAL_STATUS_DOWN: la connessione Cloud Interconnect è disattivata a livello operativo.

Le seguenti sezioni mostrano esempi di MACsec per gli stati di Cloud Interconnect e il loro aspetto nell'output per Google Cloud CLI e la console Google Cloud.

MACsec abilitato e operativo

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.

    Vai a Connessioni fisiche

  2. Seleziona la connessione Cloud Interconnect che vuoi visualizzare. Le voci seguenti indicano che MACsec è abilitato e operativo. I link trasmettono il traffico:

    • Stato link: mostra Attivo per tutti i link.

    • Nome chiave MACsec: visualizza per tutti i link. Il nome della chiave MACsec è indicato dopo ogni connessione.

  3. Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e operativo:

    • Configurazione MACsec: mostra uno dei seguenti valori: Abilitata, apertura non riuscita o Abilitata, chiusura non riuscita.

    • Chiavi precondivise: mostra Attiva, in uso per lo stato della chiave di almeno una chiave.

gcloud

L'output è simile al seguente:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Nell'esempio, gli elementi seguenti indicano che MACsec è abilitato e operativo. Il link trasmette traffico:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.lacpStatus.state: ACTIVE
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: true
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

MACsec abilitato, non operativo e disabilitato

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.

    Vai a Connessioni fisiche

  2. Seleziona la connessione Cloud Interconnect che vuoi visualizzare. I seguenti elementi indicano che MACsec è disabilitato e non è operativo. I link non trasmettono traffico:

    • Stato link: mostra LACP scollegato per tutti i link.

    • Nome chiave MACsec: visualizza per tutti i link. Il nome della chiave MACsec è indicato dopo ogni connessione.

  3. Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e non operativo:

    • Configurazione MACsec: mostra la dicitura Giù.

    • Chiavi precondivise: mostra Attiva, in uso per lo stato della chiave di almeno una chiave.

gcloud

L'output è simile al seguente:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Nell'esempio, links.macsec indica che MACsec è attivo. Gli elementi riportati di seguito indicano che MACsec non è operativo e che il link non trasmette traffico:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  • links.lacpStatus.state: DETACHED
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: false
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

In questo caso, Google non può stabilire una sessione MACsec. Pertanto links.macsec.operational è false. Poiché MACsec è un protocollo di sicurezza di livello 2 di livello inferiore, tutti i pacchetti per i protocolli di livello superiore vengono ignorati, incluso LACP. Di conseguenza, bundleOperationalStatus viene impostato su BUNDLE_OPERATIONAL_STATUS_DOWN e links.lacpStatus.state su DETACHED.

Tuttavia, MACsec non influisce sullo stato del collegamento fisico; pertanto, links.operationalStatus rimane LINK_OPERATIONAL_STATUS_UP quando MACsec è inattivo finché il livello fisico è operativo.

MACsec abilitato, non tutti i link sono operativi e con errori di apertura

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.

    Vai a Connessioni fisiche

  2. Seleziona la connessione Cloud Interconnect che vuoi visualizzare. Gli elementi seguenti indicano che MACsec è abilitato, non tutti i link sono operativi e che alcuni link trasmettono traffico:

    • Stato collegamento: mostra LACP scollegato per uno o più link e Attivo per almeno un link.

    • Nome chiave MACsec: mostra MACsec in questo link non attivo per uno o più link e MACsec in questo link è attivo per almeno un link. Il nome della chiave MACsec è elencato dopo ogni connessione.

  3. Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e non operativo:

    • Configurazione MACsec: mostra Abilitata, chiusura non riuscita.

    • Chiavi precondivise: mostra Attiva, in uso per lo stato della chiave di almeno una chiave.

gcloud

L'output è simile al seguente:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  - circuitId: LOOP-1
    googleDemarc: fake-local-demarc-1
    lacpStatus:
      googleSystemId: '00:11:22:33:44:66'
      neighborSystemId: '66:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Nell'esempio, gli elementi seguenti indicano che MACsec è abilitato e operativo. Il circuito passa traffico, ma solo su uno dei due link visualizzati:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-0:
    • links.lacpStatus.state: ACTIVE
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: true
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-1:
    • links.lacpStatus.state: DETACHED
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: false
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

In questo caso, bundleOperationalStatus è BUNDLE_OPERATIONAL_STATUS_UP. Tieni presente che links.circuitId: LOOP-0 indica che links.lacpStatus.state è ACTIVE e links.macsec.operational è true. Il primo link funziona come previsto e trasmette traffico.

Tuttavia, tieni presente che links.circuitId: LOOP-1 indica che links.lacpStatus.state è DETACHED e links.macsec.operational è false. Il secondo link non funziona come previsto e non trasmette traffico.

Tuttavia, MACsec non influisce sullo stato di nessuno dei due link fisici, pertanto entrambi i link visualizzano links.operationalStatus come LINK_OPERATIONAL_STATUS_UP. Questo stato rimane anche quando MACsec non è attivo per uno dei link, purché il livello fisico sia operativo.

MACsec abilitato, non operativo e con mancata apertura su

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.

    Vai a Connessioni fisiche

  2. Seleziona la connessione Cloud Interconnect che vuoi visualizzare. Gli elementi seguenti indicano che MACsec è abilitato e non operativo. I link trasmettono traffico:

    • Stato link: mostra Attivo per tutti i link.

    • Nome chiave MACsec: mostra un avviso per tutti i link. Il nome della chiave MACsec è elencato dopo ogni connessione.

  3. Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e non operativo:

    • Configurazione MACsec: mostra Abilitata, apertura non riuscita.

    • Chiavi precondivise: mostra Attiva per lo stato della chiave di almeno una chiave.

gcloud

L'output è simile al seguente:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

In questo esempio:

  • I valori links.macsec indicano che MACsec è abilitato.
  • bundleOperationalStatus mostra BUNDLE_OPERATIONAL_STATUS_UP, che indica che la connessione Cloud Interconnect è operativa.
  • macsec.operational mostra false, a indicare che MACsec non è operativo.

Per verificare che la connessione Cloud Interconnect sia impostata per l'apertura non riuscita, esegui questo comando:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

L'output è simile al seguente per un link impostato per l'apertura non riuscita:

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: true
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

MACsec disabilitato

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.

Vai a Connessioni fisiche

  1. Seleziona la connessione Cloud Interconnect che vuoi visualizzare. I seguenti elementi indicano che MACsec è disabilitato. I link non trasmettono traffico:

    • Stato link: mostra Attivo per tutti i link.

    • Nome chiave MACsec: mostra un testo vuoto e nessuno stato per tutti i link.

  2. Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e non operativo:

    • Configurazione MACsec: mostra Disabilitata.

    • Chiavi precondivise: mostra Attivo per almeno uno stato della chiave.

gcloud

L'output è simile al seguente:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Nell'esempio, il fatto che links.macsec non sia presente nell'output indica che MACsec è disabilitato e non operativo. Il link passa traffico non criptato.

Poiché MACsec è disabilitato, sia links.macsec.ckn sia links.macsec.operational non mostrano un valore.

Che cosa succede dopo?