MACsec のステータスを表示する

このページでは、Cloud Interconnect 回線の MACsec のステータスを表示する方法について説明します。

次のオプションのいずれかを選択します。

コンソール

  1. Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。

    [物理接続] に移動

  2. 表示する Cloud Interconnect 接続を選択します。

  3. [リンク回路の情報] セクションに、次の情報が表示されます。

    1. Google 回路 ID: リンク回路の名前。

    2. リンク状態: リンクの物理的な状態(次のいずれか)。

      • アクティブ)。LACP メンバーリンクが稼働していることを示します。

      • LACP 接続解除)。LACP メンバーリンクが停止していることを示します。

    3. MACsec キー名: リンクの MACsec ステータスと、接続の保護に使用される MACsec キー。ステータスには次のいずれかが表示されます。

      • : MACsec が動作していて、リンクが暗号化されています。

      • : MACsec は停止しており、リンクは暗号化されていません。

    4. 受信光強度: ステータス インジケーターと、物理インターフェースがリモート送信機から検出した光強度レベル(dBm 単位)。

    5. 送信光強度: ステータス インジケーターと、物理インターフェースがリモート受信機に送信している光強度レベル(dBm 単位)。

    6. Google 境界 ID: Google がリンク回路に割り当てる一意の ID。

  4. [MACsec] タブをクリックします。[MACsec 構成] には、MACsec 構成について、次のいずれかが表示されます。

    1. 有効、フェイル オープン: リンクで MACsec 暗号化が有効になっています。両端の間で MACsec 暗号化が確立されていない場合、リンクは暗号化なしで動作します。

    2. 有効、フェイル クローズ: リンクで MACsec 暗号化が有効になっています。両端の間で MACsec 暗号化が確立されていない場合、リンクは失敗します。

    3. 無効: リンクで MACsec 暗号化が無効になっています。

gcloud

回線のステータスを表示するには、次のコマンドを使用します。

gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

INTERCONNECT_CONNECTION_NAME は、Cloud Interconnect 接続の名前に置き換えます。

出力は次のようになります。bundleOperationalStatusBUNDLE_OPERATIONAL_STATUS_UP に設定され、circuitId lacpStatus stateACTIVE に設定され、operationalStatusLINK_OPERATIONAL_STATUS_UP に設定されていることを確認します。

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

この例では、MACsec が有効で、回線上で動作しています。

回線のステータスは次のとおりです。

  • bundleOperationalStatus: 回線のバンドルのステータス。次のいずれかです。

    • BUNDLE_OPERATIONAL_STATUS_UP: 回線のバンドルが動作しています。

    • BUNDLE_OPERATIONAL_STATUS_DOWN: 回線のバンドルが動作していません。

  • links.lacpStatus.state: 回線のリンク アグリゲーション制御プロトコル(LACP)の状態。次のいずれかになります。

    • ACTIVE: LACP はアクティブです。

    • DETACHED: LACP は非アクティブです。

  • links.macsec.CKN: Cloud Interconnect の MACsec がこの接続に対してアクティブに使用している Connectivity Association Key Name (CKN)。

    gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME を使用すると、Cloud Interconnect 接続用に構成されたすべての鍵を表示できます。詳細については、MACsec 鍵を取得するをご覧ください。

    複数の鍵を構成している場合は、最新の開始時刻を指定した鍵がアクティブな鍵として選択されます。Google のエッジルーターでは、古いキーの使用を試みる新しい MACsec セッションが拒否されます。

  • links.macsec.operational: 回線の MACsec ステータス。次のいずれかです。

    • true: この回線で MACsec が動作しています。

    • false: この回線では MACsec が動作していません。

  • links.operationalStatus: リンクの MACsec ステータス。次のいずれかです。

    • LINK_OPERATIONAL_STATUS_UP: Cloud Interconnect 接続が動作しています。

    • LINK_OPERATIONAL_STATUS_DOWN: Cloud Interconnect 接続が動作していません。

以降のセクションでは、Cloud Interconnect の状態の MACsec の例と、Google Cloud CLI および Google Cloud コンソールの出力での状態について説明します。

MACsec が有効で動作している

次のオプションのいずれかを選択します。

コンソール

  1. Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。

    [物理接続] に移動

  2. 表示する Cloud Interconnect 接続を選択します。次の項目は、MACsec が有効で動作していることを示します。トラフィックはリンクを通過しています。

    • リンク状態: すべてのリンクで アクティブ)と表示されます。

    • MACsec キー名: すべてのリンクに対して が表示されます。MACsec キー名は各接続の後に表示されます。

  3. [MACsec] タブをクリックします。次の項目は、MACsec が構成され、動作していることを示します。

    • MACsec 構成:有効、フェイル オープン」または「有効、フェイル クローズ」のいずれかが表示されます。

    • 事前共有キー: 少なくとも 1 つのキーのステータスが「有効、使用中」と表示されます。

gcloud

出力は次のようになります。bundleOperationalStatusBUNDLE_OPERATIONAL_STATUS_UP に設定され、circuitId lacpStatus stateACTIVE に設定され、operationalStatusLINK_OPERATIONAL_STATUS_UP に設定されていることを確認します。

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

この例において、次の項目は MACsec が有効かつ動作中であることを示しています。トラフィックがリンクを通過している:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.lacpStatus.state: ACTIVE
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: true
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

MACsec が有効で動作していない、フェイルオープンがオフ

次のオプションのいずれかを選択します。

コンソール

  1. Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。

    [物理接続] に移動

  2. 表示する Cloud Interconnect 接続を選択します。次の項目は、MACsec が無効で動作していないことを示します。トラフィックはリンクを通過していません。

    • リンク状態: すべてのリンクに LACP 接続解除)が表示されます。

    • MACsec キー名: すべてのリンクに対して が表示されます。MACsec キー名は各接続の後に表示されます。

  3. [MACsec] タブをクリックします。次の項目は、MACsec が構成されているが、動作していないことを示します。

    • MACsec 構成:停止」と表示されます。

    • 事前共有キー: 少なくとも 1 つのキーのステータスが「有効、使用中」と表示されます。

gcloud

出力は次のようになります。bundleOperationalStatusBUNDLE_OPERATIONAL_STATUS_DOWN に設定され、circuitId lacpStatus stateDETACHED に設定され、operationalStatusLINK_OPERATIONAL_STATUS_UP に設定されていることを確認します。

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

この例で、links.macsec は MACsec が有効であることを示します。次の項目は、MACsec が動作しておらず、トラフィックがリンクを通過していないことを示します。

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  • links.lacpStatus.state: DETACHED
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: false
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

この場合、Google は MACsec セッションを確立できません。したがって、links.macsec.operationalfalse です。MACsec は下位レベルのレイヤ 2 セキュリティ プロトコルであるため、LACP を含む上位レベルのプロトコルのすべてのパケットは破棄されます。これにより、bundleOperationalStatusBUNDLE_OPERATIONAL_STATUS_DOWN に、links.lacpStatus.stateDETACHED に設定されます。

ただし、MACsec は物理リンクのステータスには影響しません。したがって、物理レイヤが動作している限り、MACsec が停止しても links.operationalStatusLINK_OPERATIONAL_STATUS_UP のままになります。

MACsec が有効で一部のリンクが動作中、フェイルオープンがオフ

次のオプションのいずれかを選択します。

コンソール

  1. Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。

    [物理接続] に移動

  2. 表示する Cloud Interconnect 接続を選択します。次の項目は、MACsec が有効であるが、すべてのリンクが動作しているわけではなく、一部のリンクでトラフィックが通過していることを示しています。

    • リンク状態: 1 つ以上のリンクに LACP 接続解除)が表示され、少なくとも 1 つのリンクに アクティブ)が表示されます。

    • MACsec キー名: 1 つ以上のリンクで このリンクの MACsec がダウンしています)が表示され、少なくとも 1 つのリンクで このリンクの MACsec が稼働中です)が表示されます。MACsec キー名は各接続の後に表示されます。

  3. [MACsec] タブをクリックします。次の項目は、MACsec が構成されているが、動作していないことを示します。

    • MACsec 構成: 「有効、フェイル クローズ」と表示されます。

    • 事前共有キー: 少なくとも 1 つのキーのステータスが「有効、使用中」と表示されます。

gcloud

出力は次のようになります。bundleOperationalStatusBUNDLE_OPERATIONAL_STATUS_UPcircuitId lacpStatus stateACTIVEoperationalStatusLINK_OPERATIONAL_STATUS_UPcircuitId lacpStatus stateDETACHEDoperationalStatusLINK_OPERATIONAL_STATUS_UP にそれぞれ設定されていることを確認します。

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  - circuitId: LOOP-1
    googleDemarc: fake-local-demarc-1
    lacpStatus:
      googleSystemId: '00:11:22:33:44:66'
      neighborSystemId: '66:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

この例において、次の項目は MACsec が有効かつ動作中であることを示しています。トラフィックが回路を通過していますが、2 つのリンクのどちらかしか表示されていません。

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-0:
    • links.lacpStatus.state: ACTIVE
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: true
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-1:
    • links.lacpStatus.state: DETACHED
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: false
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

この場合、bundleOperationalStatusBUNDLE_OPERATIONAL_STATUS_UP です。links.circuitId: LOOP-0 は、links.lacpStatus.stateACTIVE であり、links.macsec.operationaltrue であることを示しています。最初のリンクは想定どおりに機能しており、トラフィックが通過しています。

ただし、links.circuitId: LOOP-1 には links.lacpStatus.stateDETACHED であり、links.macsec.operationalfalse であることが示されます。2 番目のリンクは期待どおりに機能していません。また、トラフィックは通過していません。

ただし、MACsec はいずれの物理リンクのステータスにも影響しません。したがって、両方のリンクで links.operationalStatusLINK_OPERATIONAL_STATUS_UP として表示されます。この状態は、いずれかのリンクで MACsec が停止しても、物理レイヤが動作している限り維持されます。

MACsec が有効で動作していない、フェイルオープンがオン

次のオプションのいずれかを選択します。

コンソール

  1. Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。

    [物理接続] に移動

  2. 表示する Cloud Interconnect 接続を選択します。次の項目は、MACsec が有効であるが、動作していないことを示します。トラフィックはリンクを通過しています。

    • リンク状態: すべてのリンクで アクティブ)と表示されます。

    • MACsec キー名: すべてのリンクに対して 警告)が表示されます。MACsec キー名は各接続の後に表示されます。

  3. [MACsec] タブをクリックします。次の項目は、MACsec が構成されているが、動作していないことを示します。

    • MACsec 構成:有効、フェイルオープン」と表示されます。

    • 事前共有キー: 少なくとも 1 つのキーのステータスが「アクティブ」と表示されます。

gcloud

出力は次のようになります。

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

この例では、次のようになります。

  • links.macsec 値は MACsec が有効であることを示します。
  • bundleOperationalStatusBUNDLE_OPERATIONAL_STATUS_UP になります。これは、Cloud Interconnect 接続が動作可能であることを示します。
  • macsec.operationalfalse になります。これは、MACsec が動作していないことを示します。

Cloud Interconnect 接続がフェイルオープンに設定されていることを確認するには、次のコマンドを実行します。

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

リンクがフェイルオープンに設定されている場合、出力は次のようになります。macsec セクションで macsecEnabledtrue に設定されています。

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: true
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

MACsec が無効

次のオプションのいずれかを選択します。

コンソール

  1. Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。

[物理接続] に移動

  1. 表示する Cloud Interconnect 接続を選択します。次の項目は、MACsec が無効になっていることを示します。トラフィックはリンクを通過していません。

    • リンク状態: すべてのリンクで アクティブ)と表示されます。

    • MACsec キー名: すべてのリンクについて、空のテキストが表示され、ステータスは表示されません。

  2. [MACsec] タブをクリックします。次の項目は、MACsec が構成されているが、動作していないことを示します。

    • MACsec 構成:無効」と表示されます。

    • 事前共有キー: 少なくとも 1 つのキーのステータスが「アクティブ」と表示されます。

gcloud

出力は次のようになります。bundleOperationalStatusBUNDLE_OPERATIONAL_STATUS_UP に設定され、circuitId lacpStatus stateACTIVE に設定され、operationalStatusLINK_OPERATIONAL_STATUS_UP に設定されていることを確認します。

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

この例では、出力に links.macsec がありません。これは、MACsec が無効で動作していないことを示します。暗号化されていないトラフィックはリンクを通過しています。

MACsec が無効であるため、links.macsec.cknlinks.macsec.operational にはどちらも値が表示されていません。

次のステップ