Melihat status MACsec

Halaman ini menjelaskan cara melihat status MACsec untuk sirkuit Cloud Interconnect.

Pilih salah satu opsi berikut:

Konsol

  1. Di konsol Google Cloud, buka tab Koneksi fisik Cloud Interconnect.

    Buka Koneksi fisik

  2. Pilih koneksi Cloud Interconnect yang ingin Anda lihat.

  3. Bagian Info sirkuit Link menampilkan informasi berikut:

    1. ID sirkuit Google: nama sirkuit link.

    2. Status link: Status fisik link, dengan salah satu status berikut:

      • Aktif untuk menunjukkan bahwa link anggota LACP aktif.

      • LACP Dilepas untuk menunjukkan bahwa link anggota LACP sedang tidak aktif.

    3. Nama kunci MACsec: status MACsec link dan kunci MACsec yang digunakan untuk mengamankan koneksi. Status menampilkan salah satu dari yang berikut:

      • : MACsec secara operasional aktif dan link dienkripsi.

      • : MACsec secara operasional tidak aktif dan link tidak dienkripsi.

    4. Menerima daya optik: indikator status dan level cahaya optik yang dideteksi antarmuka fisik dari pemancar jarak jauh dalam dBm.

    5. Mengirimkan daya optik: indikator status dan tingkat cahaya optik yang ditransmisikan oleh antarmuka fisik ke penerima jarak jauh dalam dBm.

    6. ID demarkasi Google: ID unik yang ditetapkan Google untuk sirkuit link.

  4. Klik tab MACsec. Konfigurasi MACsec menampilkan salah satu dari berikut ini untuk konfigurasi MACsec Anda:

    1. Diaktifkan, gagal dibuka: Enkripsi MACsec diaktifkan di link. Jika enkripsi MACsec tidak dibuat di antara kedua ujung tersebut, maka link akan beroperasi tanpa enkripsi.

    2. Diaktifkan, gagal ditutup: Enkripsi MACsec diaktifkan di link. Jika enkripsi MACsec tidak dibuat di antara kedua ujung tersebut, maka link akan gagal.

    3. Nonaktif: Enkripsi MACsec dinonaktifkan di link.

gcloud

Untuk melihat status sirkuit Anda, gunakan perintah berikut:

gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

Ganti INTERCONNECT_CONNECTION_NAME dengan nama koneksi Cloud Interconnect Anda.

Outputnya mirip dengan hal berikut ini:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Dalam contoh ini, MACsec diaktifkan dan beroperasi di sirkuit.

Item berikut menunjukkan status sirkuit:

  • bundleOperationalStatus: status paket sirkuit, yang merupakan salah satu dari berikut:

    • BUNDLE_OPERATIONAL_STATUS_UP: paket sirkuit aktif.

    • BUNDLE_OPERATIONAL_STATUS_DOWN: paket sirkuit tidak aktif.

  • links.lacpStatus.state: status protokol kontrol agregasi link (LACP) sirkuit, yang merupakan salah satu dari hal berikut:

    • ACTIVE: LACP aktif.

    • DETACHED: LACP tidak aktif.

  • links.macsec.CKN: nama kunci asosiasi konektivitas (CKN) yang digunakan secara aktif oleh MACsec untuk Cloud Interconnect untuk koneksi ini.

    Anda dapat menggunakan gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME untuk menampilkan semua kunci yang dikonfigurasi untuk koneksi Cloud Interconnect. Untuk mengetahui informasi selengkapnya, lihat Mendapatkan kunci MACsec.

    Jika Anda memiliki lebih dari satu kunci yang dikonfigurasi, maka kunci dengan waktu mulai terbaru akan dipilih sebagai kunci aktif. Router edge Google menolak sesi MACsec baru yang mencoba menggunakan kunci lama.

  • links.macsec.operational: status MACsec dari sirkuit, yang merupakan salah satu dari berikut ini:

    • true: MACsec beroperasi di sirkuit ini.

    • false: MACsec tidak beroperasi di sirkuit ini.

  • links.operationalStatus: status MACsec link, yang merupakan salah satu dari berikut:

    • LINK_OPERATIONAL_STATUS_UP: koneksi Cloud Interconnect secara operasional aktif.

    • LINK_OPERATIONAL_STATUS_DOWN: koneksi Cloud Interconnect secara operasional tidak aktif.

Bagian berikut menunjukkan contoh MACsec untuk status Cloud Interconnect dan tampilannya dalam output untuk Google Cloud CLI dan Google Cloud Console.

MACsec telah diaktifkan dan beroperasi

Pilih salah satu opsi berikut:

Konsol

  1. Di konsol Google Cloud, buka tab Koneksi fisik Cloud Interconnect.

    Buka Koneksi fisik

  2. Pilih koneksi Cloud Interconnect yang ingin Anda lihat. Item berikut menunjukkan bahwa MACsec telah diaktifkan dan beroperasi. Link ini meneruskan traffic:

    • Status link: menampilkan Active untuk semua link.

    • MACsec key name: menampilkan untuk semua link. Nama kunci MACsec dicantumkan setelah setiap koneksi.

  3. Klik tab MACsec. Item berikut menunjukkan bahwa MACsec telah dikonfigurasi dan beroperasi:

    • MACsec configuration: menampilkan salah satu dari Diaktifkan, gagal dibuka atau Diaktifkan, gagal ditutup.

    • Pre-shared keys: menampilkan Active, sedang digunakan untuk minimal satu status kunci.

gcloud

Outputnya mirip dengan hal berikut ini:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Dalam contoh, item berikut menunjukkan bahwa MACsec diaktifkan dan beroperasi. Link ini meneruskan lalu lintas:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.lacpStatus.state: ACTIVE
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: true
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

MACsec diaktifkan, tidak beroperasi, dan gagal dibuka

Pilih salah satu opsi berikut:

Konsol

  1. Di konsol Google Cloud, buka tab Koneksi fisik Cloud Interconnect.

    Buka Koneksi fisik

  2. Pilih koneksi Cloud Interconnect yang ingin Anda lihat. Item berikut menunjukkan bahwa MACsec dinonaktifkan dan tidak beroperasi. Link tidak meneruskan lalu lintas:

    • Status link: menampilkan LACP Dilepas untuk semua link.

    • MACsec key name: menampilkan untuk semua link. Nama kunci MACsec dicantumkan setelah setiap koneksi.

  3. Klik tab MACsec. Item berikut menunjukkan bahwa MACsec dikonfigurasi dan tidak beroperasi:

    • MACsec configuration: menampilkan Nonaktif.

    • Pre-shared keys: menampilkan Active, sedang digunakan untuk minimal satu status kunci.

gcloud

Output-nya mirip dengan yang berikut ini:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Dalam contoh, links.macsec menunjukkan bahwa MACsec diaktifkan. Item berikut menunjukkan bahwa MACsec tidak beroperasi dan bahwa link tersebut tidak meneruskan traffic:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  • links.lacpStatus.state: DETACHED
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: false
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

Dalam hal ini, Google tidak dapat membuat sesi MACsec. Oleh karena itu, links.macsec.operational adalah false. Karena MACsec adalah protokol keamanan Lapisan 2 dengan tingkat yang lebih rendah, semua paket untuk protokol tingkat yang lebih tinggi akan dibuang, termasuk LACP. Hal ini menyebabkan bundleOperationalStatus ditetapkan ke BUNDLE_OPERATIONAL_STATUS_DOWN dan links.lacpStatus.state ditetapkan ke DETACHED.

Namun, MACsec tidak mempengaruhi status link fisik; oleh karena itu, links.operationalStatus tetap LINK_OPERATIONAL_STATUS_UP saat MACsec tidak aktif selama lapisan fisik beroperasi.

MACsec diaktifkan, tidak semua link dapat beroperasi, dan gagal dibuka tidak aktif

Pilih salah satu opsi berikut:

Konsol

  1. Di konsol Google Cloud, buka tab Koneksi fisik Cloud Interconnect.

    Buka Koneksi fisik

  2. Pilih koneksi Cloud Interconnect yang ingin Anda lihat. Item berikut menunjukkan bahwa MACsec diaktifkan, tidak semua link beroperasi, dan bahwa beberapa link meneruskan traffic:

    • Status link: menampilkan LACP Dilepas untuk satu atau beberapa link, dan Active untuk minimal satu link.

    • Nama kunci MACsec: menampilkan MACsec pada link ini sedang tidak aktif untuk satu atau beberapa link, dan MACsec pada link ini aktif untuk setidaknya satu link. Nama kunci MACsec dicantumkan setelah setiap koneksi.

  3. Klik tab MACsec. Item berikut menunjukkan bahwa MACsec dikonfigurasi dan tidak beroperasi:

    • MACsec configuration: menampilkan Diaktifkan, gagal ditutup.

    • Pre-shared keys: menampilkan Active, sedang digunakan untuk minimal satu status kunci.

gcloud

Outputnya mirip dengan hal berikut ini:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  - circuitId: LOOP-1
    googleDemarc: fake-local-demarc-1
    lacpStatus:
      googleSystemId: '00:11:22:33:44:66'
      neighborSystemId: '66:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Dalam contoh, item berikut menunjukkan bahwa MACsec diaktifkan dan beroperasi. Sirkuit meneruskan traffic, tetapi hanya pada salah satu dari dua link yang ditampilkan:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-0:
    • links.lacpStatus.state: ACTIVE
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: true
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-1:
    • links.lacpStatus.state: DETACHED
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: false
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

Dalam hal ini, bundleOperationalStatus adalah BUNDLE_OPERATIONAL_STATUS_UP. Perhatikan bahwa links.circuitId: LOOP-0 menampilkan bahwa links.lacpStatus.state adalah ACTIVE dan links.macsec.operational adalah true. Link pertama berfungsi seperti yang diharapkan dan meneruskan traffic.

Namun, perhatikan bahwa links.circuitId: LOOP-1 menunjukkan bahwa links.lacpStatus.state adalah DETACHED dan links.macsec.operational adalah false. Link kedua tidak berfungsi seperti yang diharapkan dan tidak meneruskan traffic.

Namun, MACsec tidak mempengaruhi status link fisik tersebut; oleh karena itu, kedua link menampilkan links.operationalStatus sebagai LINK_OPERATIONAL_STATUS_UP. Status ini tetap ada meskipun MACsec nonaktif untuk salah satu link, selama lapisan fisik tersebut beroperasi.

MACsec diaktifkan, tidak beroperasi, dan gagal dibuka aktif

Pilih salah satu opsi berikut:

Konsol

  1. Di konsol Google Cloud, buka tab Koneksi fisik Cloud Interconnect.

    Buka Koneksi fisik

  2. Pilih koneksi Cloud Interconnect yang ingin Anda lihat. Item berikut menunjukkan bahwa MACsec diaktifkan dan tidak beroperasi. Link ini meneruskan lalu lintas:

    • Status link: menampilkan Active untuk semua link.

    • Nama kunci MACsec: menampilkan Peringatan untuk semua link. Nama kunci MACsec dicantumkan setelah setiap koneksi.

  3. Klik tab MACsec. Item berikut menunjukkan bahwa MACsec dikonfigurasi dan tidak beroperasi:

    • MACsec configuration: menampilkan Diaktifkan, gagal dibuka.

    • Pre-shared keys: menampilkan Active untuk minimal satu Status kunci.

gcloud

Outputnya mirip dengan hal berikut ini:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Dalam contoh ini:

  • Nilai links.macsec menunjukkan bahwa MACsec diaktifkan.
  • bundleOperationalStatus menampilkan BUNDLE_OPERATIONAL_STATUS_UP, yang menunjukkan bahwa koneksi Cloud Interconnect sedang beroperasi.
  • macsec.operational menampilkan false, yang menunjukkan bahwa MACsec tidak beroperasi.

Untuk memverifikasi bahwa koneksi Cloud Interconnect ditetapkan ke gagal-dibuka, jalankan perintah berikut:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

Outputnya mirip dengan berikut ini untuk link yang disetel ke gagal-dibuka:

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: true
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

MACsec dinonaktifkan

Pilih salah satu opsi berikut:

Konsol

  1. Di Google Cloud Console, buka tab Physical connections Cloud Interconnect.

Buka Koneksi fisik

  1. Pilih koneksi Cloud Interconnect yang ingin Anda lihat. Item berikut menunjukkan bahwa MACsec dinonaktifkan. Link tidak meneruskan traffic:

    • Status link: menampilkan Active untuk semua link.

    • MACsec key name: menampilkan teks kosong dan tidak ada status untuk semua links.

  2. Klik tab MACsec. Item berikut menunjukkan bahwa MACsec dikonfigurasi dan tidak beroperasi:

    • Konfigurasi MACsec: menampilkan Dinonaktifkan.

    • Pre-shared keys: menampilkan Active untuk setidaknya satu Status kunci milik suatu kunci.

gcloud

Outputnya mirip dengan hal berikut ini:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Dalam contoh ini, fakta bahwa links.macsec tidak ada dalam output menunjukkan bahwa MACsec dinonaktifkan dan tidak beroperasi. Link ini meneruskan traffic yang tidak dienkripsi.

Karena MACsec dinonaktifkan, baik links.macsec.ckn maupun links.macsec.operational tidak menampilkan nilai.

Apa langkah selanjutnya?