Auf dieser Seite wird beschrieben, wie Sie den Status Ihres MACsec für Cloud Interconnect-Netzwerkverbindungen aufrufen.
Wählen Sie eine der folgenden Optionen aus:
Console
Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.
Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten.
Im Bereich Informationen zur Verknüpfungsschaltung werden die folgenden Informationen angezeigt:
Google-Schaltungs-ID: der Name der Verknüpfungsschaltung.
Linkstatus: Der physische Status des Links kann so sein:
Aktiv gibt an, dass der LACP-Mitgliedslink aktiv ist.
LACP getrennt gibt an, dass der LACP-Mitgliedslink nicht verfügbar ist.
MACsec-Schlüsselname: Der MACsec-Status des Links und der MACsec-Schlüssel, der zum Sichern der Verbindung verwendet wird. Der Status gibt eine der folgenden Optionen an:
: MACsec ist betriebsbereit und der Link ist verschlüsselt.
: MACsec ist nicht betriebsbereit und der Link ist unverschlüsselt.
Empfangene optische Leistung: Eine Statusanzeige und der optische Lichtpegel, den die physische Schnittstelle vom Remote-Transmitter in dBm erkennt.
Übertragung optischer Leistung: Eine Statusanzeige und der optische Lichtpegel, der von der physischen Schnittstelle an den Remote-Empfänger übertragen wird, wird in dBm angezeigt.
Google-Abschlusspunkt-ID: Die von Google zugewiesene eindeutige ID für die Verknüpfungsschaltung.
Klicken Sie auf den Tab MACsec. Die MACsec-Konfiguration gibt eine der folgenden Optionen für Ihre MACsec-Konfiguration an:
Aktiviert, Fail-Open: Die MACsec-Verschlüsselung ist für den Link aktiviert. Wenn die MACsec-Verschlüsselung zwischen beiden Enden nicht eingerichtet ist, funktioniert der Link ohne Verschlüsselung.
Aktiviert, Fail Closed: Die MACsec-Verschlüsselung ist für den Link aktiviert. Wenn die MACsec-Verschlüsselung zwischen beiden Enden nicht eingerichtet ist, schlägt der Link fehl.
Deaktiviert: Die MACsec-Verschlüsselung ist für den Link deaktiviert.
gcloud
Verwenden Sie folgenden Befehl, um den Status Ihrer Netzwerkverbindungen anzuzeigen:
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME
Ersetzen Sie INTERCONNECT_CONNECTION_NAME
durch den Namen Ihrer Cloud Interconnect-Verbindung.
Die Ausgabe sieht in etwa so aus:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
In diesem Beispiel ist MACsec aktiviert und auf dem Schaltkreis betriebsbereit.
Folgende Elemente geben den Status einer Netzwerkverbindung an:
bundleOperationalStatus
: Status des Schaltungssets. Ist einer der folgenden Werte:BUNDLE_OPERATIONAL_STATUS_UP
: Das Schaltungsset ist aktiv.BUNDLE_OPERATIONAL_STATUS_DOWN
: Das Schaltungsset ist ausgefallen.
links.lacpStatus.state
: Der Status des Protokolls der Link-Aggregationssteuerung (Link Aggregate Control Protocol, LACP) der Schaltung. Ist einer der folgenden Werte:ACTIVE
: LACP ist aktiviert.DETACHED
: LACP ist inaktiv.
links.macsec.CKN
: Der Name der Verbindungsverknüpfung (CKN, Connectivity Association Key), den MACsec für Cloud Interconnect für diese Verbindung aktiv verwendet.Mit
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
können Sie sich alle Schlüssel anzeigen lassen, die für Ihre Cloud Interconnect-Verbindung konfiguriert sind. Weitere Informationen finden Sie unter MACsec-Schlüssel abrufen.Wenn Sie mehr als einen Schlüssel konfiguriert haben, wird der Schlüssel mit der letzten Startzeit als aktiver Schlüssel gewählt. Die Edge-Router von Google lehnen alle neuen MACsec-Sitzungen ab, die versuchen, ältere Schlüssel zu verwenden.
links.macsec.operational
: MACsec-Status der Schaltungen. Ist einer der folgenden Werte:true
: MACsec ist in dieser Schaltung betriebsbereit.false
: MACsec ist in dieser Schaltung nicht betriebsbereit.
links.operationalStatus
: Der MACsec-Status des Links; kann einer der folgenden Werte sein:LINK_OPERATIONAL_STATUS_UP
: Die Cloud Interconnect-Verbindung ist betriebsbereit.LINK_OPERATIONAL_STATUS_DOWN
: Die Cloud Interconnect-Verbindung ist nicht betriebsbereit.
In den folgenden Abschnitten finden Sie Beispiele für MACsec für Cloud Interconnect-Status und deren Darstellung in der Ausgabe für die Google Cloud CLI und die Google Cloud Console.
MACsec aktiviert und betriebsbereit
Wählen Sie eine der folgenden Optionen aus:
Console
Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.
Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten. Die folgenden Elemente geben an, dass MACsec aktiviert und betriebsbereit ist. Die Links leiten Traffic weiter:
Linkstatus: Gibt für alle Links
Aktiv an.MACsec-Schlüsselname: Gibt für alle Links
an. Der MACsec-Schlüsselname wird nach jeder Verbindung aufgeführt.
Klicken Sie auf den Tab MACsec. Die folgenden Elemente geben an, dass MACsec konfiguriert und betriebsbereit ist:
MACsec-Konfiguration: Gibt Aktiviert, Fail Opened oder Aktiviert, Fail Closed an.
Vorinstallierte Schlüssel: Gibt Aktiv, wird verwendet für den Schlüsselstatus mindestens eines Schlüssels an.
gcloud
Die Ausgabe sieht in etwa so aus:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
In diesem Beispiel geben folgende Elemente an, dass MACsec aktiviert und betriebsbereit ist. Über den Link werden Zugriffe weitergeleitet:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links.lacpStatus.state: ACTIVE
links.macsec.ckn: 0101010189abcdef...0123456789abcdef
links.macsec.operational: true
links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
MACsec ist aktiviert, nicht betriebsbereit und Fail-Open ist nicht aktiv
Wählen Sie eine der folgenden Optionen aus:
Console
Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.
Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten. Die folgenden Elemente geben an, dass MACsec deaktiviert und nicht betriebsbereit ist. Die Links leiten keinen Traffic weiter:
Linkstatus: Gibt für alle Links
LACP getrennt an.MACsec-Schlüsselname: Gibt
für alle Links an. Der MACsec-Schlüsselname wird nach jeder Verbindung aufgeführt.
Klicken Sie auf den Tab MACsec. Die folgenden Elemente geben an, dass MACsec konfiguriert und nicht betriebsbereit ist:
MACsec-Konfiguration: Gibt den Wert Down an.
Vorinstallierte Schlüssel: Gibt Aktiv, wird verwendet für den Schlüsselstatus mindestens eines Schlüssels an.
gcloud
Die Ausgabe sieht in etwa so aus:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: DETACHED
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
Im Beispiel gibt links.macsec an, dass MACsec aktiviert ist. Folgende Elemente geben an, dass MACsec nicht betriebsbereit ist und dass der Link keinen Traffic weiterleitet:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
links.lacpStatus.state: DETACHED
links.macsec.ckn: 0101010189abcdef...0123456789abcdef
links.macsec.operational: false
links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
In diesem Fall kann Google keine MACsec-Sitzung einrichten. Daher ist links.macsec.operational
false
. Da MACsec ein untergeordnetes Layer-2-Sicherheitsprotokoll ist, werden alle Pakete für Protokolle übergeordneter Ebenen verworfen, einschließlich LACP. Dies führt dazu, dass bundleOperationalStatus
festgelegt wird auf
BUNDLE_OPERATIONAL_STATUS_DOWN
und links.lacpStatus.state
wird festgelegt auf
DETACHED
MACsec hat keinen Einfluss auf den Status des physischen Links; Daher bleibt links.operationalStatus
LINK_OPERATIONAL_STATUS_UP
wenn MACsec ausgefallen ist, solange die physische Ebene betriebsbereit ist.
MACsec ist aktiviert, nicht alle Links sind funktionsfähig und Fail-Open ist nicht aktiv
Wählen Sie eine der folgenden Optionen aus:
Console
Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.
Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten. Die folgenden Elemente geben an, dass MACsec aktiviert ist, nicht alle Links sind betriebsbereit und einige Links leiten Traffic weiter:
Linkstatus: Gibt
LACP getrennt für einen oder mehrere Links und Aktiv für mindestens einen Link anMACsec-Schlüsselname: Gibt
MACsec für diesen Link nicht verfügbar für einen oder mehrere Links an und gibt MACsec ist für diesen Link aktiviert für mindestens einen Link an. Der MACsec-Schlüsselname wird nach jeder Verbindung aufgeführt.
Klicken Sie auf den Tab MACsec. Die folgenden Elemente geben an, dass MACsec konfiguriert und nicht betriebsbereit ist:
MACsec-Konfiguration: Gibt Aktiviert, Fail Closed an.
Vorinstallierte Schlüssel: Gibt Aktiv, wird verwendet für den Schlüsselstatus mindestens eines Schlüssels an.
gcloud
Die Ausgabe sieht in etwa so aus:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
- circuitId: LOOP-1
googleDemarc: fake-local-demarc-1
lacpStatus:
googleSystemId: '00:11:22:33:44:66'
neighborSystemId: '66:44:33:22:11:00'
state: DETACHED
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
In diesem Beispiel geben folgende Elemente an, dass MACsec aktiviert und betriebsbereit ist. Die Schaltung leitet den Traffic weiter, aber nur an einem der beiden Links:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links.circuitId: LOOP-0:
links.lacpStatus.state: ACTIVE
links.macsec.ckn: 0101010189abcdef...0123456789abcdef
links.macsec.operational: true
links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
links.circuitId: LOOP-1:
links.lacpStatus.state: DETACHED
links.macsec.ckn: 0101010189abcdef...0123456789abcdef
links.macsec.operational: false
links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
In diesem Fall ist bundleOperationalStatus
BUNDLE_OPERATIONAL_STATUS_UP
.
Beachten Sie, dass in links.circuitId: LOOP-0
Folgendes angezeigt wird: links.lacpStatus.state
ist ACTIVE
und links.macsec.operational
ist true
. Der erste Link funktioniert wie erwartet und Traffic wird weitergeleitet.
Beachten Sie jedoch, dass in links.circuitId: LOOP-1
Folgendes angezeigt wird:
links.lacpStatus.state
ist DETACHED
und links.macsec.operational
ist false
. Der zweite Link funktioniert nicht wie erwartet und Traffic wird nicht übergeben.
MACsec wirkt sich jedoch nicht auf den Status eines der physischen Links aus. Daher wird für beide Links links.operationalStatus
als LINK_OPERATIONAL_STATUS_UP
angezeigt.
Dieser Status bleibt auch dann bestehen, wenn MACsec für einen der Links ausgefallen ist, solange die physische Ebene betriebsbereit ist.
MACsec ist aktiviert, nicht betriebsbereit und Fail-Open ist aktiv
Wählen Sie eine der folgenden Optionen aus:
Console
Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.
Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten. Die folgenden Elemente geben an, dass MACsec aktiviert und nicht betriebsbereit ist. Die Links leiten Traffic weiter:
Linkstatus: Gibt für alle Links
Aktiv an.MACsec-Schlüsselname: Gibt eine
Warnung für alle Links an. Der MACsec-Schlüsselname wird nach jeder Verbindung aufgeführt.
Klicken Sie auf den Tab MACsec. Die folgenden Elemente geben an, dass MACsec konfiguriert und nicht betriebsbereit ist:
MACsec-Konfiguration: Gibt Aktiviert, Fail Opened an.
Vorinstallierte Schlüssel: Gibt Aktiv für den Schlüsselstatus mindestens eines Schlüssels an.
gcloud
Die Ausgabe sieht in etwa so aus:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
In diesem Fall gilt Folgendes:
- Die
links.macsec
-Werte geben an, dass MACsec aktiviert ist. bundleOperationalStatus
zeigtBUNDLE_OPERATIONAL_STATUS_UP
an, was angibt, dass die Cloud Interconnect-Verbindung betriebsbereit ist.- Bei
macsec.operational
wirdfalse
angezeigt. Das bedeutet, dass MACsec nicht betriebsbereit ist.
Führen Sie folgenden Befehl aus, um zu prüfen, ob die Cloud Interconnect-Verbindung auf Fail-Open gesetzt ist:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
Die Ausgabe für einen Link, der auf „fail-open“ gesetzt ist, sieht in etwa so aus:
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: true
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
MACsec ist deaktiviert
Wählen Sie eine der folgenden Optionen aus:
Console
- Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.
Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten. Die folgenden Elemente geben an, dass MACsec deaktiviert ist. Die Links leiten keinen Traffic weiter:
Linkstatus: Gibt für alle Links
Aktiv an.MACsec-Schlüsselname: Zeigt einen leeren Text und keinen Status für alle Links an.
Klicken Sie auf den Tab MACsec. Die folgenden Elemente geben an, dass MACsec konfiguriert und nicht betriebsbereit ist:
MACsec-Konfiguration: Gibt Deaktiviert an.
Vorinstallierte Schlüssel: Gibt Aktiv für den Schlüsselstatus von mindestens einem Schlüssel an.
gcloud
Die Ausgabe sieht in etwa so aus:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
Im Beispiel weist die Tatsache, dass links.macsec
in der Ausgabe fehlt, darauf hin, dass MACsec deaktiviert und nicht betriebsbereit ist. Der Link gibt unverschlüsselten Traffic weiter.
Da MACsec deaktiviert ist, zeigen sowohl links.macsec.ckn
als auch links.macsec.operational
keine Werte an.