Visualizar status MACsec

Nesta página, descrevemos como visualizar o status dos MACsec para circuitos do Cloud Interconnect.

Selecione uma das seguintes opções:

Console

  1. No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.

    Acessar Conexões físicas

  2. Selecione a conexão do Cloud Interconnect que você quer visualizar.

  3. A seção Link circuit info mostra as seguintes informações:

    1. ID do circuito do Google: o nome do circuito de link.

    2. Estado do link: o estado físico do link, que pode ser:

      • Ativo, para indicar que o link de membro do LACP está ativo.

      • LACP desanexado para indicar que o link de membro do LACP está inativo.

    3. Nome da chave MACsec: o status MACsec do link e a chave MACsec usada para proteger a conexão. O status exibe um dos seguintes:

      • : o MACsec está operacionalmente e o link está criptografado.

      • : o MACsec está operacionalmente desativado e o link não está criptografado.

    4. Potência óptica recebida: um indicador de status e o nível de luz óptica que a interface física detecta no transmissor remoto em dBm.

    5. Potência óptica de transmissão: um indicador de status e o nível de luz óptica que a interface física está transmitindo ao receptor remoto em dBm.

    6. ID de demarcador do Google: o ID exclusivo atribuído pelo Google para o circuito de link.

  4. Clique na guia MACsec. A configuração do MACsec exibe uma das seguintes opções para sua configuração do MACsec:

    1. Ativado, falha ao abrir: a criptografia MACsec está ativada no link. Se a criptografia MACsec não for estabelecida entre as duas extremidades, o link funcionará sem criptografia.

    2. Ativado, falha fechado: a criptografia MACsec está ativada no link. Se a criptografia MACsec não for estabelecida entre as duas extremidades, o link falhará.

    3. Desativado: a criptografia MACsec está desativada no link.

gcloud

Para ver o status dos circuitos, use o seguinte comando:

gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

Substitua INTERCONNECT_CONNECTION_NAME pelo nome da sua conexão do Cloud Interconnect.

A resposta será semelhante a esta: procure o bundleOperationalStatus definido como BUNDLE_OPERATIONAL_STATUS_UP, circuitId, lacpStatus state definidos como ACTIVE, e operationalStatus definido como LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Neste exemplo, o MACsec está ativado e em operação no circuito.

Os itens a seguir indicam o status de um circuito:

  • bundleOperationalStatus: o status do pacote de circuito, que é um dos seguintes:

    • BUNDLE_OPERATIONAL_STATUS_UP: o pacote de circuitos está ativo.

    • BUNDLE_OPERATIONAL_STATUS_DOWN: o pacote de circuitos está desativado.

  • links.lacpStatus.state: o estado do protocolo de controle de agregação de links (LACP, na sigla em inglês) do circuito, que é um dos seguintes:

    • ACTIVE: o LACP está ativo.

    • DETACHED: o LACP está inativo.

  • links.macsec.CKN: o nome da chave de associação de conectividade (CKN, na sigla em inglês) que o MACsec para o Cloud Interconnect está usando ativamente para essa conexão.

    É possível usar gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME para exibir todas as chaves configuradas para sua conexão do Cloud Interconnect. Para mais informações, consulte Receber chaves MACsec.

    Se você tiver mais de uma chave configurada, a chave com o horário de início mais recente será selecionada como a chave ativa. Os roteadores de borda do Google rejeitam todas as novas sessões MACsec que tentam usar as chaves mais antigas.

  • links.macsec.operational: o status MACsec dos circuitos, que é um dos seguintes:

    • true: o MACsec está operando neste circuito.

    • false: o MACsec não está operacional neste circuito.

  • links.operationalStatus: o status MACsec do link, que é um dos seguintes:

    • LINK_OPERATIONAL_STATUS_UP: a conexão do Cloud Interconnect está operacional.

    • LINK_OPERATIONAL_STATUS_DOWN: a conexão do Cloud Interconnect não está operacional.

As seções a seguir demonstram exemplos de MACsec para estados do Cloud Interconnect e como eles aparecem na saída da Google Cloud CLI e do console do Google Cloud.

MACsec ativado e operacional

Selecione uma das seguintes opções:

Console

  1. No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.

    Acessar Conexões físicas

  2. Selecione a conexão do Cloud Interconnect que você quer visualizar. Os itens a seguir indicam que o MACsec está ativado e operacional. Os links estão transmitindo tráfego:

    • Estado do link: mostra Ativo para todas as vinculações.

    • Nome da chave MACsec: exibe para todos os links. O nome da chave MACsec é listado após cada conexão.

  3. Clique na guia MACsec. Os itens a seguir indicam que o MACsec está configurado e operacional:

    • Configuração de MACsec: exibe Enabled, failed open ou Enabled, failed closed.

    • Chaves pré-compartilhadas: exibe Ativas, em uso para o Status da chave de pelo menos uma chave.

gcloud

A resposta será semelhante a esta: procure o bundleOperationalStatus definido como BUNDLE_OPERATIONAL_STATUS_UP, circuitId, lacpStatus, state definidos comoACTIVE, e operationalStatus definido como LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

No exemplo, os itens a seguir indicam que o MACsec está ativado e operacional. O link está transmitindo tráfego:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.lacpStatus.state: ACTIVE
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: true
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

MACsec ativado, não operacional e com fail open desativado

Selecione uma das seguintes opções:

Console

  1. No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.

    Acessar Conexões físicas

  2. Selecione a conexão do Cloud Interconnect que você quer visualizar. Os itens a seguir indicam que o MACsec está desativado e não operacional. Os links não estão transmitindo tráfego:

    • Estado do link: exibe LACP Detached para todos os links.

    • Nome da chave MACsec: exibe para todos os links. O nome da chave MACsec é listado após cada conexão.

  3. Clique na guia MACsec. Os itens a seguir indicam que o MACsec está configurado e não está operacional:

    • Configuração do MACsec: exibe Para baixo.

    • Chaves pré-compartilhadas: exibe Ativas, em uso para o Status da chave de pelo menos uma chave.

gcloud

A resposta será semelhante a esta: procure o bundleOperationalStatus definido como BUNDLE_OPERATIONAL_STATUS_DOWN, circuitId, lacpStatus, state definidos como DETACHED, e operationalStatus definido como LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

No exemplo, links.macsec indica que o MACsec está ativado. Os itens a seguir indicam que o MACsec não está operacional e que o link não está passando tráfego:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  • links.lacpStatus.state: DETACHED
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: false
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

Nesse caso, o Google não pode estabelecer uma sessão MACsec. Portanto, links.macsec.operational é false. Como o MACsec é um protocolo de segurança de camada 2 de nível inferior, todos os pacotes para protocolos de nível superior são descartados, incluindo o LACP. Isso resulta na definição de bundleOperationalStatus como BUNDLE_OPERATIONAL_STATUS_DOWN e de links.lacpStatus.state como DETACHED.

No entanto, o MACsec não afeta o status do link físico. Portanto, links.operationalStatus permanece LINK_OPERATIONAL_STATUS_UP quando a MACsec está inativo, desde que a camada física esteja operacional.

MACsec ativado, nem todos os links em funcionamento e com fail open desativado

Selecione uma das seguintes opções:

Console

  1. No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.

    Acessar Conexões físicas

  2. Selecione a conexão do Cloud Interconnect que você quer visualizar. Os itens a seguir indicam que o MACsec está ativado, nem todos os links estão operacionais e que alguns links estão passando tráfego:

    • Estado do link: exibe LACP Detached para um ou mais links e Active para pelo menos um deles.

    • Nome da chave MACsec: mostra MACsec neste link está inativo para um ou mais links e MACsec neste link está ativo em pelo menos um link. O nome da chave MACsec é listado após cada conexão.

  3. Clique na guia MACsec. Os itens a seguir indicam que o MACsec está configurado e não está operacional:

    • Configuração de MACsec: exibe Enabled, fail closed.

    • Chaves pré-compartilhadas: exibe Ativas, em uso para o Status da chave de pelo menos uma chave.

gcloud

A resposta será semelhante a esta: procure bundleOperationalStatus definido como BUNDLE_OPERATIONAL_STATUS_UP, circuitId lacpStatus state definido como ACTIVE, operationalStatus definido como LINK_OPERATIONAL_STATUS_UP, circuitId lacpStatus state definido como DETACHED e operationalStatus definido como LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  - circuitId: LOOP-1
    googleDemarc: fake-local-demarc-1
    lacpStatus:
      googleSystemId: '00:11:22:33:44:66'
      neighborSystemId: '66:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

No exemplo, os itens a seguir indicam que o MACsec está ativado e operacional. O circuito está passando tráfego, mas apenas em um dos dois links exibidos:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-0:
    • links.lacpStatus.state: ACTIVE
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: true
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-1:
    • links.lacpStatus.state: DETACHED
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: false
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

Nesse caso, bundleOperationalStatus é BUNDLE_OPERATIONAL_STATUS_UP. Observe que links.circuitId: LOOP-0 mostra que links.lacpStatus.state é ACTIVE e links.macsec.operational é true. O primeiro link está funcionando conforme o esperado e está transmitindo tráfego.

No entanto, observe que links.circuitId: LOOP-1 mostra que links.lacpStatus.state é DETACHED e links.macsec.operational é false. O segundo link não está funcionando como esperado e não está transmitindo tráfego.

No entanto, o MACsec não afeta o status dos links físicos. Portanto, ambos os links exibem links.operationalStatus como LINK_OPERATIONAL_STATUS_UP. Esse estado permanece mesmo quando o MACsec está inativo para um dos links, desde que a camada física esteja operacional.

MACsec ativado, não operacional e com fail open ativado

Selecione uma das seguintes opções:

Console

  1. No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.

    Acessar Conexões físicas

  2. Selecione a conexão do Cloud Interconnect que você quer visualizar. Os itens a seguir indicam que o MACsec está ativado e não operacional. Os links estão transmitindo tráfego:

    • Estado do link: mostra Ativo para todas as vinculações.

    • Nome da chave MACsec: exibe um aviso para todos os links. O nome da chave MACsec é listado após cada conexão.

  3. Clique na guia MACsec. Os itens a seguir indicam que o MACsec está configurado e não está operacional:

    • Configuração do MACsec: mostra Enabled, failed open.

    • Chaves pré-compartilhadas: exibe o Ativo para o Status da chave de pelo menos uma chave.

gcloud

O resultado será assim:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Neste exemplo:

  • Os valores de links.macsec indicam que o MACsec está ativado.
  • bundleOperationalStatus exibe BUNDLE_OPERATIONAL_STATUS_UP, o que indica que a conexão do Cloud Interconnect está operacional.
  • macsec.operational exibe false, o que indica que o MACsec não está operacional.

Para verificar se a conexão do Cloud Interconnect está definida para fail-open, execute o seguinte comando:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

A saída é semelhante à seguinte para um link definido como fail-open. Procure a seção macsec em que macsecEnabled é definido como true:

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: true
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

MACsec desativado

Selecione uma das seguintes opções:

Console

  1. No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.

Acessar Conexões físicas

  1. Selecione a conexão do Cloud Interconnect que você quer visualizar. Os itens a seguir indicam que o MACsec está desativado. Os links não estão passando tráfego:

    • Estado do link: mostra Ativo para todas as vinculações.

    • Nome da chave MACsec: exibe um texto vazio e nenhum status para todos os links.

  2. Clique na guia MACsec. Os itens a seguir indicam que o MACsec está configurado e não está operacional:

    • Configuração do MACsec: exibe Desativado.

    • Chaves pré-compartilhadas: exibe Ativas para o Status da chave de pelo menos uma chave.

gcloud

A resposta será semelhante a esta: procure o bundleOperationalStatus definido como BUNDLE_OPERATIONAL_STATUS_UP, circuitId, lacpStatus state definidos como ACTIVE, e operationalStatus definido como LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

No exemplo, o fato de links.macsec não aparecer na saída indica que o MACsec está desativado e não operacional. O link está passando tráfego não criptografado.

Como o MACsec está desativado, links.macsec.ckn e links.macsec.operational não exibem um valor.

A seguir