MACsec-Status anzeigen

Auf dieser Seite wird beschrieben, wie Sie den Status Ihres MACsec für Cloud Interconnect-Netzwerkverbindungen aufrufen.

Wählen Sie eine der folgenden Optionen aus:

Console

  1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

    Zu „Physische Verbindungen“

  2. Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten.

  3. Im Bereich Informationen zur Verknüpfungsschaltung werden die folgenden Informationen angezeigt:

    1. Google-Schaltungs-ID: der Name der Verknüpfungsschaltung.

    2. Linkstatus: Der physische Status des Links kann so sein:

      • Aktiv gibt an, dass der LACP-Mitgliedslink aktiv ist.

      • LACP getrennt gibt an, dass der LACP-Mitgliedslink nicht verfügbar ist.

    3. MACsec-Schlüsselname: Der MACsec-Status des Links und der MACsec-Schlüssel, der zum Sichern der Verbindung verwendet wird. Der Status gibt eine der folgenden Optionen an:

      • : MACsec ist betriebsbereit und der Link ist verschlüsselt.

      • : MACsec ist nicht betriebsbereit und der Link ist unverschlüsselt.

    4. Empfangene optische Leistung: Eine Statusanzeige und der optische Lichtpegel, den die physische Schnittstelle vom Remote-Transmitter in dBm erkennt.

    5. Übertragung optischer Leistung: Eine Statusanzeige und der optische Lichtpegel, der von der physischen Schnittstelle an den Remote-Empfänger übertragen wird, wird in dBm angezeigt.

    6. Google-Abschlusspunkt-ID: Die von Google zugewiesene eindeutige ID für die Verknüpfungsschaltung.

  4. Klicken Sie auf den Tab MACsec. Die MACsec-Konfiguration gibt eine der folgenden Optionen für Ihre MACsec-Konfiguration an:

    1. Aktiviert, Fail-Open: Die MACsec-Verschlüsselung ist für den Link aktiviert. Wenn die MACsec-Verschlüsselung zwischen beiden Enden nicht eingerichtet ist, funktioniert der Link ohne Verschlüsselung.

    2. Aktiviert, Fail Closed: Die MACsec-Verschlüsselung ist für den Link aktiviert. Wenn die MACsec-Verschlüsselung zwischen beiden Enden nicht eingerichtet ist, schlägt der Link fehl.

    3. Deaktiviert: Die MACsec-Verschlüsselung ist für den Link deaktiviert.

gcloud

Verwenden Sie folgenden Befehl, um den Status Ihrer Netzwerkverbindungen anzuzeigen:

gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

Ersetzen Sie INTERCONNECT_CONNECTION_NAME durch den Namen Ihrer Cloud Interconnect-Verbindung.

Die Ausgabe sieht etwa so aus: Suchen Sie nach bundleOperationalStatus mit dem Wert BUNDLE_OPERATIONAL_STATUS_UP, circuitId lacpStatus state mit dem Wert ACTIVE und operationalStatus mit dem Wert LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

In diesem Beispiel ist MACsec aktiviert und auf dem Schaltkreis betriebsbereit.

Folgende Elemente geben den Status einer Netzwerkverbindung an:

  • bundleOperationalStatus: Status des Schaltungssets. Ist einer der folgenden Werte:

    • BUNDLE_OPERATIONAL_STATUS_UP: Das Schaltungsset ist aktiv.

    • BUNDLE_OPERATIONAL_STATUS_DOWN: Das Schaltungsset ist ausgefallen.

  • links.lacpStatus.state: Der Status des Protokolls der Link-Aggregationssteuerung (Link Aggregate Control Protocol, LACP) der Schaltung. Ist einer der folgenden Werte:

    • ACTIVE: LACP ist aktiviert.

    • DETACHED: LACP ist inaktiv.

  • links.macsec.CKN: Der Name der Verbindungsverknüpfung (CKN, Connectivity Association Key), den MACsec für Cloud Interconnect für diese Verbindung aktiv verwendet.

    Mit gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME können Sie sich alle Schlüssel anzeigen lassen, die für Ihre Cloud Interconnect-Verbindung konfiguriert sind. Weitere Informationen finden Sie unter MACsec-Schlüssel abrufen.

    Wenn Sie mehr als einen Schlüssel konfiguriert haben, wird der Schlüssel mit der letzten Startzeit als aktiver Schlüssel gewählt. Die Edge-Router von Google lehnen alle neuen MACsec-Sitzungen ab, die versuchen, ältere Schlüssel zu verwenden.

  • links.macsec.operational: MACsec-Status der Schaltungen. Ist einer der folgenden Werte:

    • true: MACsec ist in dieser Schaltung betriebsbereit.

    • false: MACsec ist in dieser Schaltung nicht betriebsbereit.

  • links.operationalStatus: Der MACsec-Status des Links; kann einer der folgenden Werte sein:

    • LINK_OPERATIONAL_STATUS_UP: Die Cloud Interconnect-Verbindung ist betriebsbereit.

    • LINK_OPERATIONAL_STATUS_DOWN: Die Cloud Interconnect-Verbindung ist nicht betriebsbereit.

In den folgenden Abschnitten finden Sie Beispiele für MACsec für Cloud Interconnect-Status und deren Darstellung in der Ausgabe für die Google Cloud CLI und die Google Cloud Console.

MACsec aktiviert und betriebsbereit

Wählen Sie eine der folgenden Optionen aus:

Console

  1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

    Zu „Physische Verbindungen“

  2. Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten. Die folgenden Elemente geben an, dass MACsec aktiviert und betriebsbereit ist. Die Links leiten Traffic weiter:

    • Linkstatus: Gibt für alle Links Aktiv an.

    • MACsec-Schlüsselname: Gibt für alle Links an. Der MACsec-Schlüsselname wird nach jeder Verbindung aufgeführt.

  3. Klicken Sie auf den Tab MACsec. Die folgenden Elemente geben an, dass MACsec konfiguriert und betriebsbereit ist:

    • MACsec-Konfiguration: Gibt Aktiviert, Fail Opened oder Aktiviert, Fail Closed an.

    • Vorinstallierte Schlüssel: Gibt Aktiv, wird verwendet für den Schlüsselstatus mindestens eines Schlüssels an.

gcloud

Die Ausgabe sieht etwa so aus: Suchen Sie nach bundleOperationalStatus mit dem Wert BUNDLE_OPERATIONAL_STATUS_UP, circuitId lacpStatus state mit dem Wert ACTIVE und operationalStatus mit dem Wert LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

In diesem Beispiel geben folgende Elemente an, dass MACsec aktiviert und betriebsbereit ist. Über den Link werden Zugriffe weitergeleitet:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.lacpStatus.state: ACTIVE
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: true
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

MACsec ist aktiviert, nicht betriebsbereit und Fail-Open ist nicht aktiv

Wählen Sie eine der folgenden Optionen aus:

Console

  1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

    Zu „Physische Verbindungen“

  2. Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten. Die folgenden Elemente geben an, dass MACsec deaktiviert und nicht betriebsbereit ist. Die Links leiten keinen Traffic weiter:

    • Linkstatus: Gibt für alle Links LACP getrennt an.

    • MACsec-Schlüsselname: Gibt für alle Links an. Der MACsec-Schlüsselname wird nach jeder Verbindung aufgeführt.

  3. Klicken Sie auf den Tab MACsec. Die folgenden Elemente geben an, dass MACsec konfiguriert und nicht betriebsbereit ist:

    • MACsec-Konfiguration: Gibt den Wert Down an.

    • Vorinstallierte Schlüssel: Gibt Aktiv, wird verwendet für den Schlüsselstatus mindestens eines Schlüssels an.

gcloud

Die Ausgabe sieht etwa so aus: Suchen Sie nach bundleOperationalStatus mit dem Wert BUNDLE_OPERATIONAL_STATUS_DOWN, circuitId lacpStatus state mit dem Wert DETACHED und operationalStatus mit dem Wert LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Im Beispiel gibt links.macsec an, dass MACsec aktiviert ist. Folgende Elemente geben an, dass MACsec nicht betriebsbereit ist und dass der Link keinen Traffic weiterleitet:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  • links.lacpStatus.state: DETACHED
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: false
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

In diesem Fall kann Google keine MACsec-Sitzung einrichten. Daher ist links.macsec.operational false. Da MACsec ein untergeordnetes Layer-2-Sicherheitsprotokoll ist, werden alle Pakete für Protokolle übergeordneter Ebenen verworfen, einschließlich LACP. Dies führt dazu, dass bundleOperationalStatus festgelegt wird auf BUNDLE_OPERATIONAL_STATUS_DOWN und links.lacpStatus.state wird festgelegt auf DETACHED

MACsec hat keinen Einfluss auf den Status des physischen Links; Daher bleibt links.operationalStatus LINK_OPERATIONAL_STATUS_UP wenn MACsec ausgefallen ist, solange die physische Ebene betriebsbereit ist.

MACsec ist aktiviert, nicht alle Links sind funktionsfähig und Fail-Open ist nicht aktiv

Wählen Sie eine der folgenden Optionen aus:

Console

  1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

    Zu „Physische Verbindungen“

  2. Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten. Die folgenden Elemente geben an, dass MACsec aktiviert ist, nicht alle Links sind betriebsbereit und einige Links leiten Traffic weiter:

    • Linkstatus: Gibt LACP getrennt für einen oder mehrere Links und Aktiv für mindestens einen Link an

    • MACsec-Schlüsselname: Gibt MACsec für diesen Link nicht verfügbar für einen oder mehrere Links an und gibt MACsec ist für diesen Link aktiviert für mindestens einen Link an. Der MACsec-Schlüsselname wird nach jeder Verbindung aufgeführt.

  3. Klicken Sie auf den Tab MACsec. Die folgenden Elemente geben an, dass MACsec konfiguriert und nicht betriebsbereit ist:

    • MACsec-Konfiguration: Gibt Aktiviert, Fail Closed an.

    • Vorinstallierte Schlüssel: Gibt Aktiv, wird verwendet für den Schlüsselstatus mindestens eines Schlüssels an.

gcloud

Die Ausgabe sieht etwa so aus: Suchen Sie nach bundleOperationalStatus mit dem Wert BUNDLE_OPERATIONAL_STATUS_UP, circuitId lacpStatus state mit dem Wert ACTIVE, operationalStatus mit dem Wert LINK_OPERATIONAL_STATUS_UP, circuitId lacpStatus state mit dem Wert DETACHED und operationalStatus mit dem Wert LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  - circuitId: LOOP-1
    googleDemarc: fake-local-demarc-1
    lacpStatus:
      googleSystemId: '00:11:22:33:44:66'
      neighborSystemId: '66:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

In diesem Beispiel geben folgende Elemente an, dass MACsec aktiviert und betriebsbereit ist. Die Schaltung leitet den Traffic weiter, aber nur an einem der beiden Links:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-0:
    • links.lacpStatus.state: ACTIVE
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: true
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-1:
    • links.lacpStatus.state: DETACHED
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: false
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

In diesem Fall ist bundleOperationalStatus BUNDLE_OPERATIONAL_STATUS_UP. Beachten Sie, dass in links.circuitId: LOOP-0 Folgendes angezeigt wird: links.lacpStatus.state ist ACTIVE und links.macsec.operational ist true. Der erste Link funktioniert wie erwartet und Traffic wird weitergeleitet.

Beachten Sie jedoch, dass in links.circuitId: LOOP-1 Folgendes angezeigt wird: links.lacpStatus.state ist DETACHED und links.macsec.operational ist false. Der zweite Link funktioniert nicht wie erwartet und Traffic wird nicht übergeben.

MACsec wirkt sich jedoch nicht auf den Status eines der physischen Links aus. Daher wird für beide Links links.operationalStatus als LINK_OPERATIONAL_STATUS_UP angezeigt. Dieser Status bleibt auch dann bestehen, wenn MACsec für einen der Links ausgefallen ist, solange die physische Ebene betriebsbereit ist.

MACsec ist aktiviert, nicht betriebsbereit und Fail-Open ist aktiv

Wählen Sie eine der folgenden Optionen aus:

Console

  1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

    Zu „Physische Verbindungen“

  2. Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten. Die folgenden Elemente geben an, dass MACsec aktiviert und nicht betriebsbereit ist. Die Links leiten Traffic weiter:

    • Linkstatus: Gibt für alle Links Aktiv an.

    • MACsec-Schlüsselname: Gibt eine Warnung für alle Links an. Der MACsec-Schlüsselname wird nach jeder Verbindung aufgeführt.

  3. Klicken Sie auf den Tab MACsec. Die folgenden Elemente geben an, dass MACsec konfiguriert und nicht betriebsbereit ist:

    • MACsec-Konfiguration: Gibt Aktiviert, Fail Opened an.

    • Vorinstallierte Schlüssel: Gibt Aktiv für den Schlüsselstatus mindestens eines Schlüssels an.

gcloud

Die Ausgabe sieht in etwa so aus:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

In diesem Fall gilt Folgendes:

  • Die links.macsec-Werte geben an, dass MACsec aktiviert ist.
  • bundleOperationalStatus zeigt BUNDLE_OPERATIONAL_STATUS_UP an, was angibt, dass die Cloud Interconnect-Verbindung betriebsbereit ist.
  • Bei macsec.operational wird false angezeigt. Das bedeutet, dass MACsec nicht betriebsbereit ist.

Führen Sie folgenden Befehl aus, um zu prüfen, ob die Cloud Interconnect-Verbindung auf Fail-Open gesetzt ist:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

Die Ausgabe für einen Link, der auf „fail-open“ gesetzt ist, sieht in etwa so aus: Suchen Sie nach dem Abschnitt macsec, in dem macsecEnabled auf true gesetzt ist:

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: true
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

MACsec ist deaktiviert

Wählen Sie eine der folgenden Optionen aus:

Console

  1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

Zu „Physische Verbindungen“

  1. Wählen Sie die Cloud Interconnect-Verbindung aus, die Sie aufrufen möchten. Die folgenden Elemente geben an, dass MACsec deaktiviert ist. Die Links leiten keinen Traffic weiter:

    • Linkstatus: Gibt für alle Links Aktiv an.

    • MACsec-Schlüsselname: Zeigt einen leeren Text und keinen Status für alle Links an.

  2. Klicken Sie auf den Tab MACsec. Die folgenden Elemente geben an, dass MACsec konfiguriert und nicht betriebsbereit ist:

    • MACsec-Konfiguration: Gibt Deaktiviert an.

    • Vorinstallierte Schlüssel: Gibt Aktiv für den Schlüsselstatus von mindestens einem Schlüssel an.

gcloud

Die Ausgabe sieht etwa so aus: Suchen Sie nach bundleOperationalStatus mit dem Wert BUNDLE_OPERATIONAL_STATUS_UP, circuitId lacpStatus state mit dem Wert ACTIVE und operationalStatus mit dem Wert LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Im Beispiel weist die Tatsache, dass links.macsec in der Ausgabe fehlt, darauf hin, dass MACsec deaktiviert und nicht betriebsbereit ist. Der Link gibt unverschlüsselten Traffic weiter.

Da MACsec deaktiviert ist, zeigen sowohl links.macsec.ckn als auch links.macsec.operational keine Werte an.

Nächste Schritte