Veja o estado do MACsec

Esta página descreve como ver o estado do MACsec para circuitos do Cloud Interconnect.

Selecione uma das seguintes opções:

Consola

  1. Na Google Cloud consola, aceda ao separador Ligações físicas do Cloud Interconnect.

    Aceda a Ligações físicas

  2. Selecione a ligação do Cloud Interconnect que quer ver.

  3. A secção Informações do circuito de associação apresenta as seguintes informações:

    1. ID do circuito da Google: o nome do circuito de ligação.

    2. Estado do link: o estado físico do link, um dos seguintes:

      • Ativo para indicar que o link membro do LACP está ativo.

      • LACP Detached para indicar que a associação de membros LACP está inativa.

    3. Nome da chave MACsec: o estado do MACsec do link e a chave MACsec usada para proteger a ligação. O estado apresenta uma das seguintes opções:

      • : o MACsec está operacionalmente ativo e o link está encriptado.

      • : O MACsec está operacionalmente inativo e a associação não está encriptada.

    4. Receção de energia ótica: um indicador de estado e o nível de luz ótica que a interface física deteta do transmissor remoto em dBm.

    5. Potência ótica de transmissão: um indicador de estado e o nível de luz ótica que a interface física está a transmitir para o recetor remoto em dBm.

    6. ID de demarcação da Google: o ID exclusivo atribuído pela Google para o circuito de associação.

  4. Clique no separador MACsec. A configuração MACsec apresenta uma das seguintes opções para a sua configuração MACsec:

    1. Ativada, falha aberta: a encriptação MACsec está ativada no link. Se a encriptação MACsec não for estabelecida entre ambas as extremidades, o link funciona sem encriptação.

    2. Ativada, falha fechada: a encriptação MACsec está ativada na ligação. Se a encriptação MACsec não for estabelecida entre ambas as extremidades, a associação falha.

    3. Desativado: a encriptação MACsec está desativada no link.

gcloud

Para ver o estado dos seus circuitos, use o seguinte comando:

gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

Substitua INTERCONNECT_CONNECTION_NAME pelo nome da sua ligação do Cloud Interconnect.

O resultado é semelhante ao seguinte; procure o bundleOperationalStatus definido como BUNDLE_OPERATIONAL_STATUS_UP, o circuitId lacpStatus state definido como ACTIVE e o operationalStatus definido como LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Neste exemplo, o MACsec está ativado e operacional no circuito.

Os seguintes itens indicam o estado de um circuito:

  • bundleOperationalStatus: o estado do pacote de circuitos, que é um dos seguintes:

    • BUNDLE_OPERATIONAL_STATUS_UP: o pacote de circuitos está ativo.

    • BUNDLE_OPERATIONAL_STATUS_DOWN: o pacote de circuitos está indisponível.

  • links.lacpStatus.state: o estado do protocolo de controlo de agregação de links (LACP) do circuito, que é um dos seguintes:

    • ACTIVE: o LACP está ativo.

    • DETACHED: o LACP está inativo.

  • links.macsec.CKN: o nome da chave de associação de conetividade (CKN) que o MACsec para o Cloud Interconnect está a usar ativamente para esta ligação.

    Pode usar gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME para apresentar todas as chaves configuradas para a sua ligação do Cloud Interconnect. Para mais informações, consulte o artigo Obtenha chaves MACsec.

    Se tiver mais do que uma chave configurada, a chave com a hora de início mais recente é selecionada como a chave ativa. Os routers de limite da Google rejeitam quaisquer novas sessões MACsec que tentem usar as chaves mais antigas.

  • links.macsec.operational: o estado do MACsec dos circuitos, que é uma das seguintes opções:

    • true: o MACsec está operacional neste circuito.

    • false: o MACsec não está operacional neste circuito.

  • links.operationalStatus: o estado do MACsec da associação, que é um dos seguintes:

    • LINK_OPERATIONAL_STATUS_UP: a ligação do Cloud Interconnect está operacionalmente ativa.

    • LINK_OPERATIONAL_STATUS_DOWN: a ligação do Cloud Interconnect está operacionalmente inativa.

As secções seguintes demonstram exemplos de estados do MACsec para o Cloud Interconnect e como são apresentados na saída da CLI gcloud e da consola do Google Cloud .

MACsec ativado e operacional

Selecione uma das seguintes opções:

Consola

  1. Na Google Cloud consola, aceda ao separador Ligações físicas do Cloud Interconnect.

    Aceda a Ligações físicas

  2. Selecione a ligação do Cloud Interconnect que quer ver. Os seguintes itens indicam que o MACsec está ativado e operacional. Os links estão a transmitir tráfego:

    • Estado da associação: apresenta Ativa para todas as associações.

    • Nome da chave MACsec: apresenta para todas as associações. O nome da chave MACsec é apresentado após cada ligação.

  3. Clique no separador MACsec. Os seguintes itens indicam que o MACsec está configurado e operacional:

    • Configuração do MACsec: apresenta um dos seguintes valores: Ativado, falha na abertura ou Ativado, falha no fecho.

    • Chaves pré-partilhadas: apresenta Ativa, em utilização para, pelo menos, um Estado da chave.

gcloud

O resultado é semelhante ao seguinte. Procure o elemento bundleOperationalStatus definido como BUNDLE_OPERATIONAL_STATUS_UP, o elemento circuitId lacpStatus state definido como ACTIVE e o elemento operationalStatus definido como LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

No exemplo, os seguintes itens indicam que o MACsec está ativado e operacional. O link está a transmitir tráfego:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.lacpStatus.state: ACTIVE
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: true
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

MACsec ativado, não operacional e fail-open desativado

Selecione uma das seguintes opções:

Consola

  1. Na Google Cloud consola, aceda ao separador Ligações físicas do Cloud Interconnect.

    Aceda a Ligações físicas

  2. Selecione a ligação do Cloud Interconnect que quer ver. Os seguintes itens indicam que o MACsec está desativado e não operacional. Os links não estão a transmitir tráfego:

    • Estado da associação: apresenta LACP Detached para todas as associações.

    • Nome da chave MACsec: apresenta para todas as associações. O nome da chave MACsec é apresentado após cada ligação.

  3. Clique no separador MACsec. Os seguintes itens indicam que o MACsec está configurado e não operacional:

    • Configuração MACsec: apresenta Desativado.

    • Chaves pré-partilhadas: apresenta Ativa, em utilização para, pelo menos, um Estado da chave.

gcloud

O resultado é semelhante ao seguinte; procure bundleOperationalStatus definido como BUNDLE_OPERATIONAL_STATUS_DOWN, circuitId lacpStatus state definido como DETACHED e operationalStatus definido como LINK_OPERATIONAL_STATUS_UP::

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

No exemplo, links.macsec indica que o MACsec está ativado. Os seguintes itens indicam que o MACsec não está operacional e que o link não está a transmitir tráfego:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  • links.lacpStatus.state: DETACHED
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: false
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

Neste caso, a Google não consegue estabelecer uma sessão MACsec. Portanto, links.macsec.operational é false. Uma vez que o MACsec é um protocolo de segurança de camada 2 de nível inferior, todos os pacotes para protocolos de nível superior são ignorados, incluindo o LACP. Isto resulta na definição de bundleOperationalStatus como BUNDLE_OPERATIONAL_STATUS_DOWN e na definição de links.lacpStatus.state como DETACHED.

No entanto, o MACsec não afeta o estado da associação física. Por conseguinte, o estado links.operationalStatus permanece LINK_OPERATIONAL_STATUS_UP quando o MACsec está indisponível, desde que a camada física esteja operacional.

MACsec ativado, nem todos os links operacionais e fail-open desativado

Selecione uma das seguintes opções:

Consola

  1. Na Google Cloud consola, aceda ao separador Ligações físicas do Cloud Interconnect.

    Aceda a Ligações físicas

  2. Selecione a ligação do Cloud Interconnect que quer ver. Os seguintes itens indicam que o MACsec está ativado, nem todos os links estão operacionais e que alguns links estão a transmitir tráfego:

    • Estado do link: apresenta LACP Detached para um ou mais links e Active para, pelo menos, um link.

    • Nome da chave MACsec: apresenta O MACsec neste link está inativo para um ou mais links e O MACsec neste link está ativo para, pelo menos, um link. O nome da chave MACsec é apresentado após cada ligação.

  3. Clique no separador MACsec. Os seguintes itens indicam que o MACsec está configurado e não operacional:

    • Configuração do MACsec: apresenta Ativado, falha fechada.

    • Chaves pré-partilhadas: apresenta Ativa, em utilização para, pelo menos, um Estado da chave.

gcloud

A saída é semelhante à seguinte. Procure bundleOperationalStatus definido como BUNDLE_OPERATIONAL_STATUS_UP, circuitId lacpStatus state definido como ACTIVE, operationalStatus definido como LINK_OPERATIONAL_STATUS_UP, circuitId lacpStatus state definido como DETACHED e operationalStatus definido como LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  - circuitId: LOOP-1
    googleDemarc: fake-local-demarc-1
    lacpStatus:
      googleSystemId: '00:11:22:33:44:66'
      neighborSystemId: '66:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

No exemplo, os seguintes itens indicam que o MACsec está ativado e operacional. O circuito está a passar tráfego, mas apenas num dos dois links apresentados:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-0:
    • links.lacpStatus.state: ACTIVE
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: true
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-1:
    • links.lacpStatus.state: DETACHED
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: false
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

Neste caso, bundleOperationalStatus é BUNDLE_OPERATIONAL_STATUS_UP. Repare que links.circuitId: LOOP-0 apresenta que links.lacpStatus.state é ACTIVE e links.macsec.operational é true. O primeiro link está a funcionar conforme esperado e a transmitir tráfego.

No entanto, repare que links.circuitId: LOOP-1 apresenta que links.lacpStatus.state é DETACHED e links.macsec.operational é false. O segundo link não está a funcionar como esperado e não está a transmitir tráfego.

No entanto, o MACsec não afeta o estado de nenhuma das ligações físicas. Por conseguinte, ambas as ligações apresentam links.operationalStatus como LINK_OPERATIONAL_STATUS_UP. Este estado permanece mesmo quando o MACsec está inativo para um dos links, desde que a camada física esteja operacional.

MACsec ativado, não operacional e fail-open ativado

Selecione uma das seguintes opções:

Consola

  1. Na Google Cloud consola, aceda ao separador Ligações físicas do Cloud Interconnect.

    Aceda a Ligações físicas

  2. Selecione a ligação do Cloud Interconnect que quer ver. Os seguintes itens indicam que o MACsec está ativado e não operacional. Os links estão a transmitir tráfego:

    • Estado da associação: apresenta Ativo para todas as associações.

    • Nome da chave MACsec: apresenta um aviso para todos os links. O nome da chave MACsec é apresentado após cada ligação.

  3. Clique no separador MACsec. Os seguintes itens indicam que o MACsec está configurado e não operacional:

    • Configuração MACsec: apresenta Ativado, falha na abertura.

    • Chaves pré-partilhadas: apresenta Ativo para, pelo menos, uma chave no Estado da chave.

gcloud

O resultado é semelhante ao seguinte:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Neste exemplo:

  • Os valores links.macsec indicam que o MACsec está ativado.
  • bundleOperationalStatus apresenta BUNDLE_OPERATIONAL_STATUS_UP, o que indica que a ligação do Cloud Interconnect está operacional.
  • macsec.operational apresenta false, o que indica que o MACsec não está operacional.

Para verificar se a ligação do Cloud Interconnect está definida para falha aberta, execute o seguinte comando:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

O resultado é semelhante ao seguinte para um link definido para falhar na abertura; procure a secção macsec onde macsecEnabled está definido como true:

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: true
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

MACsec desativado

Selecione uma das seguintes opções:

Consola

  1. Na Google Cloud consola, aceda ao separador Cloud Interconnect Ligações físicas.

Aceda a Ligações físicas

  1. Selecione a ligação do Cloud Interconnect que quer ver. Os seguintes itens indicam que o MACsec está desativado. Os links não estão a transmitir tráfego:

    • Estado da associação: apresenta Ativo para todas as associações.

    • Nome da chave MACsec: apresenta um texto vazio e nenhum estado para todos os links.

  2. Clique no separador MACsec. Os seguintes itens indicam que o MACsec está configurado e não operacional:

    • Configuração MACsec: apresenta Desativado.

    • Chaves pré-partilhadas: apresenta Ativo para o estado da chave de, pelo menos, uma chave.

gcloud

O resultado é semelhante ao seguinte; procure o bundleOperationalStatus definido como BUNDLE_OPERATIONAL_STATUS_UP, o circuitId lacpStatus state definido como ACTIVE e o operationalStatus definido como LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

No exemplo, o facto de links.macsec estar em falta na saída indica que o MACsec está desativado e não operacional. O link está a transmitir tráfego não encriptado.

Uma vez que o MACsec está desativado, links.macsec.ckn e links.macsec.operational não apresentam um valor.

O que se segue?