Ver el estado de MACsec

En esta página, se describe cómo ver el estado de tu MACsec para los circuitos de Cloud Interconnect.

Selecciona una de las opciones siguientes:

Consola

  1. En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.

    Ir a Conexiones físicas

  2. Selecciona la conexión de Cloud Interconnect que deseas ver.

  3. En la sección Información del circuito de los vínculos, se muestra la siguiente información:

    1. ID de circuito de Google: el nombre del circuito de vínculo.

    2. Estado del vínculo: el estado físico del vínculo; uno de los siguientes:

      • Activo para indicar que el vínculo de miembro de LACP está activo.

      • LACP desconectado para indicar que el vínculo del miembro de LACP está inactivo.

    3. Nombre de la clave MACsec: el estado MACsec del vínculo y la clave MACsec que se usa para proteger la conexión. El estado muestra uno de los siguientes valores:

      • : MACsec está activa y el vínculo está encriptado.

      • : MACsec está inactiva de forma operativa y el vínculo no está encriptado.

    4. Recibe potencia óptica: un indicador de estado y el nivel de luz óptica que la interfaz física detecta del transmisor remoto en dBm.

    5. Transmite potencia óptica: un indicador de estado y el nivel de luz óptica que la interfaz física transmite al receptor remoto en dBm.

    6. ID de demarcación de Google: Es el ID único asignado por Google para el circuito de vínculo.

  4. Haz clic en la pestaña MACsec. La configuración MACsec muestra uno de los siguientes para tu configuración de MACsec:

    1. Habilitada, apertura ante fallas: La encriptación de MACsec está habilitada en el vínculo. Si la encriptación MACsec no se establece entre ambos extremos, el vínculo funciona sin encriptación.

    2. Habilitada, cierre ante fallas: La encriptación MACsec está habilitada en el vínculo. Si la encriptación MACsec no se establece entre ambos extremos, el vínculo falla.

    3. Inhabilitada: La encriptación de MACsec está inhabilitada en el vínculo.

gcloud

Para ver el estado de tus circuitos, usa el siguiente comando:

gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

Reemplaza INTERCONNECT_CONNECTION_NAME por el nombre de tu conexión de Cloud Interconnect.

El resultado es similar a este:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

En este ejemplo, MACsec está habilitado y operativo en el circuito.

Los siguientes elementos indican el estado de un circuito:

  • bundleOperationalStatus: es el estado del paquete de circuitos, que es uno de los siguientes:

    • BUNDLE_OPERATIONAL_STATUS_UP: el paquete de circuitos está activo.

    • BUNDLE_OPERATIONAL_STATUS_DOWN: el paquete de circuitos está inactivo.

  • links.lacpStatus.state: el estado del protocolo de control de agregación de vínculos (LACP) del circuito, que es uno de los siguientes:

    • ACTIVE: el LACP está activo.

    • DETACHED: LACP está inactivo.

  • links.macsec.CKN: es el nombre de la clave de la asociación de conectividad (CKN) que MACsec para Cloud Interconnect usa de forma activa en esta conexión.

    Puedes usar gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME y así mostrar todas las claves configuradas para tu conexión de Cloud Interconnect. Para obtener más información, consulta Obtén las claves de MACsec.

    Si tienes más de una clave configurada, se selecciona la clave con la hora de inicio más reciente como clave activa. Los routers de conexión de integración de Google rechazan cualquier sesión MACsec nueva que intente usar las claves más antiguas.

  • links.macsec.operational: es el estado MACsec de los circuitos, que es uno de los siguientes:

    • true: MACsec está operativo en este circuito.

    • false: MACsec no funciona en este circuito.

  • links.operationalStatus: es el estado MACsec del vínculo, que es uno de los siguientes:

    • LINK_OPERATIONAL_STATUS_UP: la conexión de Cloud Interconnect está en funcionamiento.

    • LINK_OPERATIONAL_STATUS_DOWN: La conexión de Cloud Interconnect está inactiva.

En las siguientes secciones, se muestran ejemplos de estados de MACsec para Cloud Interconnect y cómo se ven en el resultado de Google Cloud CLI y la consola de Google Cloud.

MACsec habilitado y operativo

Selecciona una de las opciones siguientes:

Consola

  1. En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.

    Ir a Conexiones físicas

  2. Selecciona la conexión de Cloud Interconnect que deseas ver. Los siguientes elementos indican que MACsec está habilitada y operativa. Los vínculos pasan el tráfico:

    • Estado del vínculo: Muestra Activo para todos los vínculos.

    • Nombre de la clave MACsec: muestra para todos los vínculos. El nombre de la clave MACsec se muestra después de cada conexión.

  3. Haz clic en la pestaña MACsec. En los siguientes elementos, se indica que MACsec está configurado y operativo:

    • Configuración de MACsec muestra una de las opciones Habilitada, apertura ante fallas o Habilitada, cierre ante fallas.

    • Claves precompartidas: muestra Activa, en uso para el estado de clave de al menos una clave.

gcloud

El resultado es similar a este:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

En el ejemplo, los siguientes elementos indican que MACsec está habilitado y operativo. El vínculo pasa tráfico:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.lacpStatus.state: ACTIVE
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: true
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

MACsec habilitado, no operativo y fail-open desactivado

Selecciona una de las opciones siguientes:

Consola

  1. En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.

    Ir a Conexiones físicas

  2. Selecciona la conexión de Cloud Interconnect que deseas ver. Los siguientes elementos indican que MACsec está inhabilitada y no está operativa. Los vínculos no pasan tráfico:

    • Estado del vínculo: Muestra LACP separado para todos los vínculos

    • Nombre de la clave MACsec: muestra para todos los vínculos. El nombre de la clave MACsec se muestra después de cada conexión.

  3. Haz clic en la pestaña MACsec. En los siguientes elementos, se indica que MACsec está configurada y operativa:

    • Configuración de MACsec: muestra Abajo.

    • Claves precompartidas: muestra Activa, en uso para el estado de clave de al menos una clave.

gcloud

El resultado es similar a este:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

En el ejemplo, links.macsec indica que MACsec está habilitado. En los siguientes elementos, se indica que MACsec no es operativo y que el vínculo no pasa tráfico:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  • links.lacpStatus.state: DETACHED
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: false
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

En este caso, Google no puede establecer una sesión de MACsec. Por lo tanto, links.macsec.operational es false. Debido a que MACsec es un protocolo de seguridad de capa 2 de nivel inferior, todos los paquetes para los protocolos de nivel superior se descartan, incluido LACP. Esto hace que bundleOperationalStatus se establezca en BUNDLE_OPERATIONAL_STATUS_DOWN y links.lacpStatus.state en DETACHED.

Sin embargo, MACsec no afecta el estado del vínculo físico, por lo tanto, links.operationalStatus permanece LINK_OPERATIONAL_STATUS_UP cuando MACsec está inactivo, siempre que la capa física esté operativa.

MACsec habilitado, no todos los vínculos funcionan, y fail-open desactivado

Selecciona una de las opciones siguientes:

Consola

  1. En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.

    Ir a Conexiones físicas

  2. Selecciona la conexión de Cloud Interconnect que deseas ver. En los siguientes elementos, se indica que MACsec está habilitada, no todos los vínculos están operativos y que algunos vínculos pasan el tráfico:

    • Estado del vínculo: muestra LACP separado por uno o más vínculos, y Activo para al menos uno vínculo.

    • Nombre de clave MACsec: muestra MACsec en este vínculo está inactivo para uno o más vínculos, y MACsec en este vínculo está activo para al menos un vínculo. El nombre de la clave MACsec se muestra después de cada conexión.

  3. Haz clic en la pestaña MACsec. En los siguientes elementos, se indica que MACsec está configurada y operativa:

    • Configuración de MACsec:Muestra Habilitada, cierre ante errores.

    • Claves precompartidas: muestra Activa, en uso para el estado de clave de al menos una clave.

gcloud

El resultado es similar a este:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  - circuitId: LOOP-1
    googleDemarc: fake-local-demarc-1
    lacpStatus:
      googleSystemId: '00:11:22:33:44:66'
      neighborSystemId: '66:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

En el ejemplo, los siguientes elementos indican que MACsec está habilitado y operativo. El circuito pasa tráfico, pero solo en uno de los dos vínculos que se muestran:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-0:
    • links.lacpStatus.state: ACTIVE
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: true
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-1:
    • links.lacpStatus.state: DETACHED
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: false
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

En este caso, bundleOperationalStatus es BUNDLE_OPERATIONAL_STATUS_UP. Ten en cuenta que links.circuitId: LOOP-0 muestra que links.lacpStatus.state es ACTIVE y links.macsec.operational es true. El primer vínculo funciona como se espera y pasa el tráfico.

Sin embargo, ten en cuenta que links.circuitId: LOOP-1 muestra que links.lacpStatus.state es DETACHED y links.macsec.operational es false. El segundo vínculo no funciona como se espera y no pasa el tráfico.

Sin embargo, MACsec no afecta el estado de ningún vínculo físico, por lo tanto, ambos vínculos muestran links.operationalStatus como LINK_OPERATIONAL_STATUS_UP. Este estado permanece incluso cuando MACsec está inactivo para uno de los vínculos, siempre que la capa física esté operativa.

MACsec habilitado, no operativo y fail-open activado

Selecciona una de las opciones siguientes:

Consola

  1. En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.

    Ir a Conexiones físicas

  2. Selecciona la conexión de Cloud Interconnect que deseas ver. Los siguientes elementos indican que MACsec está habilitada y no está operativa. Los vínculos pasan el tráfico:

    • Estado del vínculo: muestra Activo para todos los vínculos.

    • Nombre de clave de MACsec: muestra una advertencia para todos los vínculos. El nombre de la clave MACsec se muestra después de cada conexión.

  3. Haz clic en la pestaña MACsec. En los siguientes elementos, se indica que MACsec está configurada y operativa:

    • Configuración de MACsec: muestra Habilitada, apertura ante errores.

    • Claves precompartidas: muestra Activa para el estado de clave de al menos una clave.

gcloud

El resultado es similar a este:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

En este ejemplo:

  • Los valores links.macsec indican que MACsec está habilitado.
  • bundleOperationalStatus muestra BUNDLE_OPERATIONAL_STATUS_UP, que indica que la conexión de Cloud Interconnect está operativa.
  • macsec.operational muestra false, que indica que MACsec no está operativo.

Para verificar que la conexión de Cloud Interconnect esté configurada como fail-open, ejecuta el siguiente comando:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

El resultado es similar al siguiente para un vínculo configurado como fail-open:

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: true
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

MACsec inhabilitado

Selecciona una de las opciones siguientes:

Consola

  1. En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.

Ir a Conexiones físicas

  1. Selecciona la conexión de Cloud Interconnect que deseas ver. Los siguientes elementos indican que MACsec está inhabilitada. Los vínculos no pasan tráfico:

    • Estado del vínculo: muestra Activo para todos los vínculos.

    • Nombre de clave de MACsec: muestra un texto vacío y ningún estado para todos los vínculos.

  2. Haz clic en la pestaña MACsec. En los siguientes elementos, se indica que MACsec está configurada y operativa:

    • Configuración de MACsec: muestra Inhabilitada.

    • Claves precompartidas: muestra Activa para el estado de clave de al menos una clave.

gcloud

El resultado es similar a este:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

En el ejemplo, el hecho de que falte links.macsec en el resultado indica que MACsec está inhabilitado y no está operativo. El vínculo pasa el tráfico no encriptado.

Debido a que MACsec está inhabilitado, links.macsec.ckn y links.macsec.operational no muestran un valor.

¿Qué sigue?