Visualizza lo stato MACsec

Questa pagina descrive come visualizzare lo stato dei circuiti MACsec per Cloud Interconnect.

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Google Cloud, vai alla scheda Collegamenti fisici di Cloud Interconnect.

    Vai a Connessioni fisiche

  2. Seleziona la connessione Cloud Interconnect che vuoi visualizzare.

  3. La sezione Informazioni sul circuito del link mostra le seguenti informazioni:

    1. ID circuito Google: il nome del circuito del link.

    2. Stato del collegamento:lo stato fisico del collegamento, uno dei seguenti:

      • Attivo per indicare che il link dei membri LACP è attivo.

      • LACP Disconnesso per indicare che il link del membro LACP non è attivo.

    3. Nome chiave MACsec:lo stato MACsec del link e la chiave MACsec utilizzata. per proteggere la connessione. Lo stato mostra uno dei seguenti stati:

      • : MACsec è operativo e il link è criptato.

      • : MACsec è inattivo dal punto di vista operativo e il link non è criptato.

    4. Potenza ottica ricevente: un indicatore di stato e il livello di illuminazione ottica rilevato dall'interfaccia fisica dal trasmettitore remoto in dBm.

    5. Potenza ottica di trasmissione:un indicatore di stato e la livello di luce ottica che l'interfaccia fisica sta trasmettendo ai ricevitore remoto in dBm.

    6. ID demarc di Google:l'ID univoco assegnato da Google per il collegamento un circuito integrato.

  4. Fai clic sulla scheda MACsec. La configurazione MACsec mostra uno dei seguenti elementi per la configurazione MACsec:

    1. Abilitata, fail open: la crittografia MACsec è abilitata nella . Se la crittografia MACsec non è stabilita tra entrambe le estremità, il link funziona senza crittografia.

    2. Attivata, chiusura non riuscita:la crittografia MACsec è abilitata nella . Se la crittografia MACsec non viene stabilita tra entrambe le estremità, il collegamento non va a buon fine.

    3. Disattivata: la crittografia MACsec è disattivata sul link.

gcloud

Per visualizzare lo stato dei tuoi circuiti, utilizza il seguente comando:

gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

Sostituisci INTERCONNECT_CONNECTION_NAME con il nome del tuo Connessione Cloud Interconnect.

L'output è simile al seguente. Cerca bundleOperationalStatus impostato su BUNDLE_OPERATIONAL_STATUS_UP, circuitId lacpStatus state impostato su ACTIVE e operationalStatus impostato su LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

In questo esempio, MACsec è abilitato e operativo sul circuito.

I seguenti elementi indicano lo stato di un circuito:

  • bundleOperationalStatus: lo stato del bundle di circuiti, che è uno tra le seguenti:

    • BUNDLE_OPERATIONAL_STATUS_UP: il pacchetto di circuiti è attivo.

    • BUNDLE_OPERATIONAL_STATUS_DOWN: il pacchetto di circuiti non è attivo.

  • links.lacpStatus.state: lo stato del protocollo LACP (Link Aggregation Control Protocol) del circuito, che può essere uno dei seguenti:

    • ACTIVE: LACP è attivo.

    • DETACHED: LACP non è attiva.

  • links.macsec.CKN: il nome della chiave di associazione della connettività (CKN) che MACsec per Cloud Interconnect è utilizzato attivamente per questa connessione.

    Puoi utilizzare gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME per visualizzare tutte le chiavi configurate per la connessione Cloud Interconnect. Per maggiori informazioni consulta la sezione Ottenere MACsec chiave.

    Se hai configurato più chiavi, la chiave con l'ora di inizio più recente viene selezionata come chiave attiva. I router di confine di Google rifiutano tutte le nuove sessioni MACsec che tentano di utilizzare le chiavi precedenti.

  • links.macsec.operational: lo stato MACsec dei circuiti, che è uno dei seguenti:

    • true: MACsec è operativo su questo circuito.

    • false: MACsec non è operativo su questo circuito.

  • links.operationalStatus: lo stato MACsec del link, che è uno di le seguenti:

    • LINK_OPERATIONAL_STATUS_UP: la connessione Cloud Interconnect è operativa.

    • LINK_OPERATIONAL_STATUS_DOWN: la connessione Cloud Interconnect è operativamente non disponibile.

Le sezioni seguenti mostrano esempi di stati MACsec per Cloud Interconnect e il loro aspetto nell'output di Google Cloud CLI e della console Google Cloud.

MACsec abilitato e operativo

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Google Cloud, vai a Cloud Interconnect Fisica connessione.

    Vai a Connessioni fisiche

  2. Seleziona la connessione Cloud Interconnect che vuoi visualizzare. I seguenti elementi indicano che MACsec è abilitato e operativo. I link stanno inoltrando il traffico:

    • Stato del collegamento: viene visualizzato Attivo per tutti i collegamenti.

    • Nome chiave MACsec: viene visualizzato per tutti i link. Il nome della chiave MACsec è elencato dopo ogni connessione.

  3. Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e operativo:

    • Configurazione MACsec: viene visualizzato uno dei valori Attivata, impossibile aprire o Attivata, impossibile chiudere.

    • Chiavi precondivise: mostra lo stato Attive, in uso per almeno una Stato della chiave.

gcloud

L'output è simile al seguente: cerca il bundleOperationalStatus impostata su BUNDLE_OPERATIONAL_STATUS_UP, circuitId lacpStatus state impostato su ACTIVE e operationalStatus impostato su LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Nell'esempio, i seguenti elementi indicano che MACsec è attivo e operativo. Il link sta inoltrando il traffico:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.lacpStatus.state: ACTIVE
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: true
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

MACsec abilitato, non operativo e fail-open disattivato

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Google Cloud, vai a Cloud Interconnect Fisica connessione.

    Vai a Connessioni fisiche

  2. Seleziona la connessione Cloud Interconnect che vuoi visualizzare. I seguenti elementi indicano che MACsec è disabilitato e non operativo. I link non trasmettono traffico:

    • Stato del collegamento: mostra LACP scollegato per tutti i link.

    • Nome della chiave MACsec: viene visualizzato per tutti i link. Il nome della chiave MACsec è elencato dopo ogni connessione.

  3. Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e non operativo:

    • Configurazione MACsec: viene visualizzato Down.

    • Chiavi precondivise: mostra lo stato Attive, in uso per almeno una Stato della chiave.

gcloud

L'output è simile al seguente: cerca il bundleOperationalStatus impostato su BUNDLE_OPERATIONAL_STATUS_DOWN, il circuitId lacpStatus state impostato su DETACHED e operationalStatus impostato su LINK_OPERATIONAL_STATUS_UP::

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Nell'esempio, links.macsec indica che MACsec è abilitato. I seguenti elementi indicano che MACsec non è operativo e che il link non sta passando traffico:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  • links.lacpStatus.state: DETACHED
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: false
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

In questo caso, Google non può stabilire una sessione MACsec. Pertanto, links.macsec.operational è false. Poiché MACsec è un livello 2 di livello inferiore protocollo di sicurezza, tutti i pacchetti dei protocolli di livello superiore vengono omessi, incluso LACP. Di conseguenza, bundleOperationalStatus viene impostato su BUNDLE_OPERATIONAL_STATUS_DOWN e links.lacpStatus.state su DETACHED.

Tuttavia, MACsec non influisce sullo stato del collegamento fisico. pertanto links.operationalStatus rimane LINK_OPERATIONAL_STATUS_UP quando MACsec è finché il livello fisico è operativo.

MACsec abilitato, non tutti i link operativi e fail-open disattivato

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Google Cloud, vai a Cloud Interconnect Fisica connessione.

    Vai a Connessioni fisiche

  2. Seleziona la connessione Cloud Interconnect che vuoi visualizzare. I seguenti elementi indicano che MACsec è abilitato, ma non tutti i link sono operativo e che alcuni link passano traffico:

    • Stato del collegamento: mostra LACP scollegato per uno o più e Attivo per almeno .

    • Nome chiave MACsec: mostra MACsec in questo link non è attivo per uno o più link e MACsec su questo link è attivo per almeno un link. Il nome della chiave MACsec è elencato dopo ogni connessione.

  3. Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e non operativo:

    • Configurazione MACsec: mostra Abilitata, chiusura non riuscita.

    • Chiavi precondivise: mostra lo stato Attive, in uso per almeno una Stato della chiave.

gcloud

L'output è simile al seguente. Cerca bundleOperationalStatus impostato su BUNDLE_OPERATIONAL_STATUS_UP, circuitId lacpStatus state impostato su ACTIVE, operationalStatus impostato su LINK_OPERATIONAL_STATUS_UP, circuitId lacpStatus state impostato su DETACHED e operationalStatus impostato su LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  - circuitId: LOOP-1
    googleDemarc: fake-local-demarc-1
    lacpStatus:
      googleSystemId: '00:11:22:33:44:66'
      neighborSystemId: '66:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Nell'esempio, i seguenti elementi indicano che MACsec è attivo e operativo. Il circuito passa il traffico, ma solo su uno dei due link visualizzato:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-0:
    • links.lacpStatus.state: ACTIVE
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: true
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-1:
    • links.lacpStatus.state: DETACHED
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: false
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

In questo caso, bundleOperationalStatus è BUNDLE_OPERATIONAL_STATUS_UP. Nota che links.circuitId: LOOP-0 mostra che links.lacpStatus.state è ACTIVE e links.macsec.operational è true. Il primo link funziona come previsto e trasmette traffico.

Tuttavia, tieni presente che links.circuitId: LOOP-1 mostra che links.lacpStatus.state è DETACHED e links.macsec.operational è false. Il secondo link non funziona come previsto e non trasmette traffico.

Tuttavia, MACsec non influisce sullo stato di nessuno dei collegamenti fisici. Pertanto, entrambi i collegamenti mostrano links.operationalStatus come LINK_OPERATIONAL_STATUS_UP. Questo stato rimane anche quando MACsec è inattivo per uno dei link, purché il livello fisico è operativo.

MACsec abilitato, non operativo e fail-open on

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Google Cloud, vai a Cloud Interconnect Fisica connessione.

    Vai a Connessioni fisiche

  2. Seleziona la connessione Cloud Interconnect che vuoi visualizzare. I seguenti elementi indicano che MACsec è abilitato e non operativo. I link trasferiscono traffico:

    • Stato del collegamento: mostra Attivo per tutti i collegamenti.

    • Nome della chiave MACsec: viene visualizzato un avviso per tutti i link. Il nome della chiave MACsec è elencato dopo ogni connessione.

  3. Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e non operativo:

    • Configurazione MACsec: mostra Abilitata, apertura non riuscita.

    • Chiavi precondivise: mostra lo stato Attivo per almeno una chiave Stato della chiave.

gcloud

L'output è simile al seguente:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

In questo esempio:

  • I valori links.macsec indicano che MACsec è abilitato.
  • bundleOperationalStatus mostra BUNDLE_OPERATIONAL_STATUS_UP, che indica che la connessione Cloud Interconnect è operativa.
  • macsec.operational mostra false, a indicare che MACsec non è operativo.

Per verificare che la connessione Cloud Interconnect sia impostata su fail-open, esegui il seguente comando:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

L'output è simile al seguente per un link impostato su fail-open: cerca la sezione macsec in cui macsecEnabled è impostato su true:

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: true
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

MACsec disattivato

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Google Cloud, vai a Cloud Interconnect Scheda Connessioni fisiche.

Vai a Connessioni fisiche

  1. Seleziona la connessione Cloud Interconnect che vuoi visualizzare. I seguenti elementi indicano che MACsec è disabilitato. I link non portano traffico:

    • Stato del collegamento: mostra Attivo per tutti i collegamenti.

    • Nome chiave MACsec: mostra un testo vuoto e nessuno stato per tutte .

  2. Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e non operativo:

    • Configurazione MACsec: mostra Disabilitato.

    • Chiavi precondivise: viene visualizzato Attivo per lo stato della chiave di almeno una chiave.

gcloud

L'output è simile al seguente. Cerca bundleOperationalStatus impostato su BUNDLE_OPERATIONAL_STATUS_UP, circuitId lacpStatus state impostato su ACTIVE e operationalStatus impostato su LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Nell'esempio, il fatto che links.macsec non sia presente nell'output indica che MACsec è disabilitato e non operativo. Il link consente di trasmettere traffico non criptato.

Poiché MACsec è disabilitato, links.macsec.ckn e links.macsec.operational non visualizzano un valore.

Passaggi successivi