En esta página, se describe cómo ver el estado de tu MACsec para los circuitos de Cloud Interconnect.
Selecciona una de las opciones siguientes:
Consola
En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Selecciona la conexión de Cloud Interconnect que deseas ver.
En la sección Información del circuito de los vínculos, se muestra la siguiente información:
ID de circuito de Google: el nombre del circuito de vínculo.
Estado del vínculo: el estado físico del vínculo; uno de los siguientes:
Activo para indicar que el vínculo de miembro de LACP está activo.
LACP desconectado para indicar que el vínculo del miembro de LACP está inactivo.
Nombre de la clave MACsec: el estado MACsec del vínculo y la clave MACsec que se usa para proteger la conexión. El estado muestra uno de los siguientes valores:
: MACsec está activa y el vínculo está encriptado.
: MACsec está inactiva de forma operativa y el vínculo no está encriptado.
Recibe potencia óptica: un indicador de estado y el nivel de luz óptica que la interfaz física detecta del transmisor remoto en dBm.
Transmite potencia óptica: un indicador de estado y el nivel de luz óptica que la interfaz física transmite al receptor remoto en dBm.
ID de demarcación de Google: Es el ID único asignado por Google para el circuito de vínculo.
Haz clic en la pestaña MACsec. La configuración MACsec muestra uno de los siguientes para tu configuración de MACsec:
Habilitada, apertura ante fallas: La encriptación de MACsec está habilitada en el vínculo. Si la encriptación MACsec no se establece entre ambos extremos, el vínculo funciona sin encriptación.
Habilitada, cierre ante fallas: La encriptación MACsec está habilitada en el vínculo. Si la encriptación MACsec no se establece entre ambos extremos, el vínculo falla.
Inhabilitada: La encriptación de MACsec está inhabilitada en el vínculo.
gcloud
Para ver el estado de tus circuitos, usa el siguiente comando:
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME
Reemplaza INTERCONNECT_CONNECTION_NAME
por el nombre de tu conexión de Cloud Interconnect.
El resultado es similar a este:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
En este ejemplo, MACsec está habilitado y operativo en el circuito.
Los siguientes elementos indican el estado de un circuito:
bundleOperationalStatus
: es el estado del paquete de circuitos, que es uno de los siguientes:BUNDLE_OPERATIONAL_STATUS_UP
: el paquete de circuitos está activo.BUNDLE_OPERATIONAL_STATUS_DOWN
: el paquete de circuitos está inactivo.
links.lacpStatus.state
: el estado del protocolo de control de agregación de vínculos (LACP) del circuito, que es uno de los siguientes:ACTIVE
: el LACP está activo.DETACHED
: LACP está inactivo.
links.macsec.CKN
: es el nombre de la clave de la asociación de conectividad (CKN) que MACsec para Cloud Interconnect usa de forma activa en esta conexión.Puedes usar
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
y así mostrar todas las claves configuradas para tu conexión de Cloud Interconnect. Para obtener más información, consulta Obtén las claves de MACsec.Si tienes más de una clave configurada, se selecciona la clave con la hora de inicio más reciente como clave activa. Los routers de conexión de integración de Google rechazan cualquier sesión MACsec nueva que intente usar las claves más antiguas.
links.macsec.operational
: es el estado MACsec de los circuitos, que es uno de los siguientes:true
: MACsec está operativo en este circuito.false
: MACsec no funciona en este circuito.
links.operationalStatus
: es el estado MACsec del vínculo, que es uno de los siguientes:LINK_OPERATIONAL_STATUS_UP
: la conexión de Cloud Interconnect está en funcionamiento.LINK_OPERATIONAL_STATUS_DOWN
: La conexión de Cloud Interconnect está inactiva.
En las siguientes secciones, se muestran ejemplos de estados de MACsec para Cloud Interconnect y cómo se ven en el resultado de Google Cloud CLI y la consola de Google Cloud.
MACsec habilitado y operativo
Selecciona una de las opciones siguientes:
Consola
En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Selecciona la conexión de Cloud Interconnect que deseas ver. Los siguientes elementos indican que MACsec está habilitada y operativa. Los vínculos pasan el tráfico:
Estado del vínculo: Muestra
Activo para todos los vínculos.Nombre de la clave MACsec: muestra
para todos los vínculos. El nombre de la clave MACsec se muestra después de cada conexión.
Haz clic en la pestaña MACsec. En los siguientes elementos, se indica que MACsec está configurado y operativo:
Configuración de MACsec muestra una de las opciones Habilitada, apertura ante fallas o Habilitada, cierre ante fallas.
Claves precompartidas: muestra Activa, en uso para el estado de clave de al menos una clave.
gcloud
El resultado es similar a este:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
En el ejemplo, los siguientes elementos indican que MACsec está habilitado y operativo. El vínculo pasa tráfico:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links.lacpStatus.state: ACTIVE
links.macsec.ckn: 0101010189abcdef...0123456789abcdef
links.macsec.operational: true
links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
MACsec habilitado, no operativo y fail-open desactivado
Selecciona una de las opciones siguientes:
Consola
En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Selecciona la conexión de Cloud Interconnect que deseas ver. Los siguientes elementos indican que MACsec está inhabilitada y no está operativa. Los vínculos no pasan tráfico:
Estado del vínculo: Muestra
LACP separado para todos los vínculosNombre de la clave MACsec: muestra
para todos los vínculos. El nombre de la clave MACsec se muestra después de cada conexión.
Haz clic en la pestaña MACsec. En los siguientes elementos, se indica que MACsec está configurada y operativa:
Configuración de MACsec: muestra Abajo.
Claves precompartidas: muestra Activa, en uso para el estado de clave de al menos una clave.
gcloud
El resultado es similar a este:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: DETACHED
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
En el ejemplo, links.macsec indica que MACsec está habilitado. En los siguientes elementos, se indica que MACsec no es operativo y que el vínculo no pasa tráfico:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
links.lacpStatus.state: DETACHED
links.macsec.ckn: 0101010189abcdef...0123456789abcdef
links.macsec.operational: false
links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
En este caso, Google no puede establecer una sesión de MACsec. Por lo tanto, links.macsec.operational
es false
. Debido a que MACsec es un protocolo de seguridad de capa 2 de nivel inferior, todos los paquetes para los protocolos de nivel superior se descartan, incluido LACP. Esto hace que bundleOperationalStatus
se establezca en BUNDLE_OPERATIONAL_STATUS_DOWN
y links.lacpStatus.state
en DETACHED
.
Sin embargo, MACsec no afecta el estado del vínculo físico, por lo tanto, links.operationalStatus
permanece LINK_OPERATIONAL_STATUS_UP
cuando MACsec está inactivo, siempre que la capa física esté operativa.
MACsec habilitado, no todos los vínculos funcionan, y fail-open desactivado
Selecciona una de las opciones siguientes:
Consola
En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Selecciona la conexión de Cloud Interconnect que deseas ver. En los siguientes elementos, se indica que MACsec está habilitada, no todos los vínculos están operativos y que algunos vínculos pasan el tráfico:
Estado del vínculo: muestra
LACP separado por uno o más vínculos, y Activo para al menos uno vínculo.Nombre de clave MACsec: muestra
MACsec en este vínculo está inactivo para uno o más vínculos, y MACsec en este vínculo está activo para al menos un vínculo. El nombre de la clave MACsec se muestra después de cada conexión.
Haz clic en la pestaña MACsec. En los siguientes elementos, se indica que MACsec está configurada y operativa:
Configuración de MACsec:Muestra Habilitada, cierre ante errores.
Claves precompartidas: muestra Activa, en uso para el estado de clave de al menos una clave.
gcloud
El resultado es similar a este:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
- circuitId: LOOP-1
googleDemarc: fake-local-demarc-1
lacpStatus:
googleSystemId: '00:11:22:33:44:66'
neighborSystemId: '66:44:33:22:11:00'
state: DETACHED
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
En el ejemplo, los siguientes elementos indican que MACsec está habilitado y operativo. El circuito pasa tráfico, pero solo en uno de los dos vínculos que se muestran:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links.circuitId: LOOP-0:
links.lacpStatus.state: ACTIVE
links.macsec.ckn: 0101010189abcdef...0123456789abcdef
links.macsec.operational: true
links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
links.circuitId: LOOP-1:
links.lacpStatus.state: DETACHED
links.macsec.ckn: 0101010189abcdef...0123456789abcdef
links.macsec.operational: false
links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
En este caso, bundleOperationalStatus
es BUNDLE_OPERATIONAL_STATUS_UP
.
Ten en cuenta que links.circuitId: LOOP-0
muestra que links.lacpStatus.state
es ACTIVE
y links.macsec.operational
es true
. El primer vínculo funciona como se espera y pasa el tráfico.
Sin embargo, ten en cuenta que links.circuitId: LOOP-1
muestra que links.lacpStatus.state
es DETACHED
y links.macsec.operational
es false
. El segundo vínculo no funciona como se espera y no pasa el tráfico.
Sin embargo, MACsec no afecta el estado de ningún vínculo físico, por lo tanto, ambos vínculos muestran links.operationalStatus
como LINK_OPERATIONAL_STATUS_UP
.
Este estado permanece incluso cuando MACsec está inactivo para uno de los vínculos, siempre que la capa física esté operativa.
MACsec habilitado, no operativo y fail-open activado
Selecciona una de las opciones siguientes:
Consola
En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Selecciona la conexión de Cloud Interconnect que deseas ver. Los siguientes elementos indican que MACsec está habilitada y no está operativa. Los vínculos pasan el tráfico:
Estado del vínculo: muestra
Activo para todos los vínculos.Nombre de clave de MACsec: muestra una
advertencia para todos los vínculos. El nombre de la clave MACsec se muestra después de cada conexión.
Haz clic en la pestaña MACsec. En los siguientes elementos, se indica que MACsec está configurada y operativa:
Configuración de MACsec: muestra Habilitada, apertura ante errores.
Claves precompartidas: muestra Activa para el estado de clave de al menos una clave.
gcloud
El resultado es similar a este:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
En este ejemplo:
- Los valores
links.macsec
indican que MACsec está habilitado. bundleOperationalStatus
muestraBUNDLE_OPERATIONAL_STATUS_UP
, que indica que la conexión de Cloud Interconnect está operativa.macsec.operational
muestrafalse
, que indica que MACsec no está operativo.
Para verificar que la conexión de Cloud Interconnect esté configurada como fail-open, ejecuta el siguiente comando:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
El resultado es similar al siguiente para un vínculo configurado como fail-open:
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: true
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
MACsec inhabilitado
Selecciona una de las opciones siguientes:
Consola
- En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Selecciona la conexión de Cloud Interconnect que deseas ver. Los siguientes elementos indican que MACsec está inhabilitada. Los vínculos no pasan tráfico:
Estado del vínculo: muestra
Activo para todos los vínculos.Nombre de clave de MACsec: muestra un texto vacío y ningún estado para todos los vínculos.
Haz clic en la pestaña MACsec. En los siguientes elementos, se indica que MACsec está configurada y operativa:
Configuración de MACsec: muestra Inhabilitada.
Claves precompartidas: muestra Activa para el estado de clave de al menos una clave.
gcloud
El resultado es similar a este:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
En el ejemplo, el hecho de que falte links.macsec
en el resultado indica que MACsec está inhabilitado y no está operativo. El vínculo pasa el tráfico no encriptado.
Debido a que MACsec está inhabilitado, links.macsec.ckn
y links.macsec.operational
no muestran un valor.