Nesta página, descrevemos como visualizar o status dos MACsec para circuitos do Cloud Interconnect.
Selecione uma das seguintes opções:
Console
No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.
Selecione a conexão do Cloud Interconnect que você quer visualizar.
A seção Link circuit info mostra as seguintes informações:
ID do circuito do Google: o nome do circuito de link.
Estado do link: o estado físico do link, que pode ser:
Ativo, para indicar que o link de membro do LACP está ativo.
LACP desanexado para indicar que o link de membro do LACP está inativo.
Nome da chave MACsec: o status MACsec do link e a chave MACsec usada para proteger a conexão. O status exibe um dos seguintes:
: o MACsec está operacionalmente e o link está criptografado.
: o MACsec está operacionalmente desativado e o link não está criptografado.
Potência óptica recebida: um indicador de status e o nível de luz óptica que a interface física detecta no transmissor remoto em dBm.
Potência óptica de transmissão: um indicador de status e o nível de luz óptica que a interface física está transmitindo ao receptor remoto em dBm.
ID de demarcador do Google: o ID exclusivo atribuído pelo Google para o circuito de link.
Clique na guia MACsec. A configuração do MACsec exibe uma das seguintes opções para sua configuração do MACsec:
Ativado, falha ao abrir: a criptografia MACsec está ativada no link. Se a criptografia MACsec não for estabelecida entre as duas extremidades, o link funcionará sem criptografia.
Ativado, falha fechado: a criptografia MACsec está ativada no link. Se a criptografia MACsec não for estabelecida entre as duas extremidades, o link falhará.
Desativado: a criptografia MACsec está desativada no link.
gcloud
Para ver o status dos circuitos, use o seguinte comando:
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME
Substitua INTERCONNECT_CONNECTION_NAME
pelo nome da sua conexão do Cloud Interconnect.
O resultado será assim:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
Neste exemplo, o MACsec está ativado e em operação no circuito.
Os itens a seguir indicam o status de um circuito:
bundleOperationalStatus
: o status do pacote de circuito, que é um dos seguintes:BUNDLE_OPERATIONAL_STATUS_UP
: o pacote de circuitos está ativo.BUNDLE_OPERATIONAL_STATUS_DOWN
: o pacote de circuitos está desativado.
links.lacpStatus.state
: o estado do protocolo de controle de agregação de links (LACP, na sigla em inglês) do circuito, que é um dos seguintes:ACTIVE
: o LACP está ativo.DETACHED
: o LACP está inativo.
links.macsec.CKN
: o nome da chave de associação de conectividade (CKN, na sigla em inglês) que o MACsec para o Cloud Interconnect está usando ativamente para essa conexão.É possível usar
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
para exibir todas as chaves configuradas para sua conexão do Cloud Interconnect. Para mais informações, consulte Receber chaves MACsec.Se você tiver mais de uma chave configurada, a chave com o horário de início mais recente será selecionada como a chave ativa. Os roteadores de borda do Google rejeitam todas as novas sessões MACsec que tentam usar as chaves mais antigas.
links.macsec.operational
: o status MACsec dos circuitos, que é um dos seguintes:true
: o MACsec está operando neste circuito.false
: o MACsec não está operacional neste circuito.
links.operationalStatus
: o status MACsec do link, que é um dos seguintes:LINK_OPERATIONAL_STATUS_UP
: a conexão do Cloud Interconnect está operacional.LINK_OPERATIONAL_STATUS_DOWN
: a conexão do Cloud Interconnect não está operacional.
As seções a seguir demonstram exemplos de MACsec para estados do Cloud Interconnect e como eles aparecem na saída da Google Cloud CLI e do console do Google Cloud.
MACsec ativado e operacional
Selecione uma das seguintes opções:
Console
No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.
Selecione a conexão do Cloud Interconnect que você quer visualizar. Os itens a seguir indicam que o MACsec está ativado e operacional. Os links estão transmitindo tráfego:
Estado do link: mostra
Ativo para todas as vinculações.Nome da chave MACsec: exibe
para todos os links. O nome da chave MACsec é listado após cada conexão.
Clique na guia MACsec. Os itens a seguir indicam que o MACsec está configurado e operacional:
Configuração de MACsec: exibe Enabled, failed open ou Enabled, failed closed.
Chaves pré-compartilhadas: exibe Ativas, em uso para o Status da chave de pelo menos uma chave.
gcloud
O resultado será assim:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
No exemplo, os itens a seguir indicam que o MACsec está ativado e operacional. O link está transmitindo tráfego:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links.lacpStatus.state: ACTIVE
links.macsec.ckn: 0101010189abcdef...0123456789abcdef
links.macsec.operational: true
links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
MACsec ativado, não operacional e com fail open desativado
Selecione uma das seguintes opções:
Console
No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.
Selecione a conexão do Cloud Interconnect que você quer visualizar. Os itens a seguir indicam que o MACsec está desativado e não operacional. Os links não estão transmitindo tráfego:
Estado do link: exibe
LACP Detached para todos os links.Nome da chave MACsec: exibe
para todos os links. O nome da chave MACsec é listado após cada conexão.
Clique na guia MACsec. Os itens a seguir indicam que o MACsec está configurado e não está operacional:
Configuração do MACsec: exibe Para baixo.
Chaves pré-compartilhadas: exibe Ativas, em uso para o Status da chave de pelo menos uma chave.
gcloud
O resultado será assim:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: DETACHED
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
No exemplo, links.macsec indica que o MACsec está ativado. Os itens a seguir indicam que o MACsec não está operacional e que o link não está passando tráfego:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
links.lacpStatus.state: DETACHED
links.macsec.ckn: 0101010189abcdef...0123456789abcdef
links.macsec.operational: false
links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
Nesse caso, o Google não pode estabelecer uma sessão MACsec. Portanto, links.macsec.operational
é false
. Como o MACsec é um protocolo de segurança de camada 2 de nível inferior, todos os pacotes para protocolos de nível superior são descartados, incluindo o LACP. Isso resulta na definição de bundleOperationalStatus
como BUNDLE_OPERATIONAL_STATUS_DOWN
e de links.lacpStatus.state
como DETACHED
.
No entanto, o MACsec não afeta o status do link físico. Portanto, links.operationalStatus
permanece LINK_OPERATIONAL_STATUS_UP
quando a MACsec está inativo, desde que a camada física esteja operacional.
MACsec ativado, nem todos os links em funcionamento e com fail open desativado
Selecione uma das seguintes opções:
Console
No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.
Selecione a conexão do Cloud Interconnect que você quer visualizar. Os itens a seguir indicam que o MACsec está ativado, nem todos os links estão operacionais e que alguns links estão passando tráfego:
Estado do link: exibe
LACP Detached para um ou mais links e Active para pelo menos um deles.Nome da chave MACsec: mostra
MACsec neste link está inativo para um ou mais links e MACsec neste link está ativo em pelo menos um link. O nome da chave MACsec é listado após cada conexão.
Clique na guia MACsec. Os itens a seguir indicam que o MACsec está configurado e não está operacional:
Configuração de MACsec: exibe Enabled, fail closed.
Chaves pré-compartilhadas: exibe Ativas, em uso para o Status da chave de pelo menos uma chave.
gcloud
O resultado será assim:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
- circuitId: LOOP-1
googleDemarc: fake-local-demarc-1
lacpStatus:
googleSystemId: '00:11:22:33:44:66'
neighborSystemId: '66:44:33:22:11:00'
state: DETACHED
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
No exemplo, os itens a seguir indicam que o MACsec está ativado e operacional. O circuito está passando tráfego, mas apenas em um dos dois links exibidos:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links.circuitId: LOOP-0:
links.lacpStatus.state: ACTIVE
links.macsec.ckn: 0101010189abcdef...0123456789abcdef
links.macsec.operational: true
links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
links.circuitId: LOOP-1:
links.lacpStatus.state: DETACHED
links.macsec.ckn: 0101010189abcdef...0123456789abcdef
links.macsec.operational: false
links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
Nesse caso, bundleOperationalStatus
é BUNDLE_OPERATIONAL_STATUS_UP
.
Observe que links.circuitId: LOOP-0
mostra que links.lacpStatus.state
é ACTIVE
e links.macsec.operational
é true
. O primeiro link está funcionando conforme o esperado e está transmitindo tráfego.
No entanto, observe que links.circuitId: LOOP-1
mostra que links.lacpStatus.state
é DETACHED
e links.macsec.operational
é false
. O segundo link não está funcionando como esperado e não está transmitindo tráfego.
No entanto, o MACsec não afeta o status dos links físicos. Portanto, ambos os links exibem links.operationalStatus
como LINK_OPERATIONAL_STATUS_UP
.
Esse estado permanece mesmo quando o MACsec está inativo para um dos links, desde que a camada física esteja operacional.
MACsec ativado, não operacional e com fail open ativado
Selecione uma das seguintes opções:
Console
No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.
Selecione a conexão do Cloud Interconnect que você quer visualizar. Os itens a seguir indicam que o MACsec está ativado e não operacional. Os links estão transmitindo tráfego:
Estado do link: mostra
Ativo para todas as vinculações.Nome da chave MACsec: exibe um
aviso para todos os links. O nome da chave MACsec é listado após cada conexão.
Clique na guia MACsec. Os itens a seguir indicam que o MACsec está configurado e não está operacional:
Configuração do MACsec: mostra Enabled, failed open.
Chaves pré-compartilhadas: exibe o Ativo para o Status da chave de pelo menos uma chave.
gcloud
O resultado será assim:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
Neste exemplo:
- Os valores de
links.macsec
indicam que o MACsec está ativado. bundleOperationalStatus
exibeBUNDLE_OPERATIONAL_STATUS_UP
, o que indica que a conexão do Cloud Interconnect está operacional.macsec.operational
exibefalse
, o que indica que o MACsec não está operacional.
Para verificar se a conexão do Cloud Interconnect está definida para fail-open, execute o seguinte comando:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
A saída é semelhante à seguinte para um link definido como fail-open:
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: true
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
MACsec desativado
Selecione uma das seguintes opções:
Console
- No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.
Selecione a conexão do Cloud Interconnect que você quer visualizar. Os itens a seguir indicam que o MACsec está desativado. Os links não estão passando tráfego:
Estado do link: mostra
Ativo para todas as vinculações.Nome da chave MACsec: exibe um texto vazio e nenhum status para todos os links.
Clique na guia MACsec. Os itens a seguir indicam que o MACsec está configurado e não está operacional:
Configuração do MACsec: exibe Desativado.
Chaves pré-compartilhadas: exibe Ativas para o Status da chave de pelo menos uma chave.
gcloud
O resultado será assim:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
No exemplo, o fato de links.macsec
não aparecer na saída indica que o MACsec está desativado e não operacional. O link está passando tráfego não criptografado.
Como o MACsec está desativado, links.macsec.ckn
e links.macsec.operational
não exibem um valor.