本页面介绍如何查看 MACsec for Cloud Interconnect 线路的状态。
从下列选项中选择一项:
控制台
在 Google Cloud 控制台中,进入 Cloud Interconnect 物理连接标签页。
选择要查看的 Cloud Interconnect 连接。
链路线路信息部分显示以下信息:
Google 线路 ID:链路线路的名称。
链路状态:链路的物理状态,可以是以下状态之一:
活跃,表示 LACP 成员链路已启动。
LACP 已分离,表示 LACP 成员链路已关闭。
MACsec 密钥名称:链路的 MACsec 状态和用于保护连接的 MACsec 密钥。状态显示以下内容之一:
:MACsec 已启动且链路已加密。
:MACsec 已关闭且链路未加密。
接收光功率:一种状态指标,表示物理接口从远程发射器检测到的光信号强度 (dBm)。
发射光功率:一种状态指标,表示物理接口发射到远程接收器的光信号强度 (dBm)。
Google 分界点(线)ID:Google 为链路线路分配的唯一 ID。
点击 MACsec 标签页。对于 MACsec 配置,MACsec 配置会显示以下其中一项:
已启用,应急开启:链路上已启用 MACsec 加密。如果两端之间未建立 MACsec 加密,则链路无需加密即可运行。
已启用,应急关闭:链路上已启用 MACsec 加密。如果两端之间未建立 MACsec 加密,则链路将失败。
已停用:链路上已停用 MACsec 加密。
gcloud
如需查看线路的状态,请使用以下命令:
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME
将 INTERCONNECT_CONNECTION_NAME 替换为 Cloud Interconnect 连接的名称。
输出类似于以下内容:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
在此示例中,MACsec 已启用并在线路上正常运行。
以下各项指示线路的状态:
bundleOperationalStatus:线路包的状态,可以是以下状态之一:BUNDLE_OPERATIONAL_STATUS_UP:线路包已启动。BUNDLE_OPERATIONAL_STATUS_DOWN:线路包已关闭。
links.lacpStatus.state:线路的链路聚合控制协议 (LACP) 状态,可以是以下状态之一:ACTIVE:LACP 处于有效状态。DETACHED:LACP 处于无效状态。
links.macsec.CKN:MACsec for Cloud Interconnect 主动用于此连接的连接关联密钥名称 (CKN)。您可以使用
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME显示为 Cloud Interconnect 连接配置的所有密钥。如需了解详情,请参阅获取 MACsec 密钥。如果您配置了多个密钥,则系统会选择开始时间最新的密钥作为活跃密钥。Google 的边缘路由器会拒绝任何尝试使用旧密钥的新 MACsec 会话。
links.macsec.operational:线路的 MACsec 状态,可以是以下状态之一:true:MACsec 在此线路上正常运行。false:MACsec 在此线路上无法正常运行。
links.operationalStatus:链路的 MACsec 状态,可以是以下状态之一:LINK_OPERATIONAL_STATUS_UP:Cloud Interconnect 连接正常启动。LINK_OPERATIONAL_STATUS_DOWN:Cloud Interconnect 连接正常关闭。
以下部分演示了 MACsec for Cloud Interconnect 状态的示例以及它们在 Google Cloud CLI 和 Google Cloud 控制台的输出中如何显示。
MACsec 已启用且可正常运行
从下列选项中选择一项:
控制台
在 Google Cloud 控制台中,进入 Cloud Interconnect 物理连接标签页。
选择要查看的 Cloud Interconnect 连接。以下项表示 MACsec 已启用且可正常运行。链路正在传输流量:
链路状态:对于所有链路显示 活跃。
MACsec 密钥名称:对所有链路显示 。MACsec 密钥名称会在每次连接后列出。
点击 MACsec 标签页。以下项表示 MACsec 已配置且可正常运行:
MACsec 配置:显示已启用,应急开启或已启用,应急关闭中的一个。
预共享密钥:对于至少一个密钥的密钥状态显示有效,正在使用中。
gcloud
输出类似于以下内容:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
在此示例中,以下项表明 MACsec 已启用且正常运行。链路正在传输流量:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UPlinks.lacpStatus.state: ACTIVElinks.macsec.ckn: 0101010189abcdef...0123456789abcdeflinks.macsec.operational: truelinks.operationalStatus: LINK_OPERATIONAL_STATUS_UP
MACsec 已启用、无法正常运行且应急开启功能已关闭
从下列选项中选择一项:
控制台
在 Google Cloud 控制台中,进入 Cloud Interconnect 物理连接标签页。
选择要查看的 Cloud Interconnect 连接。以下项表明 MACsec 已停用且无法正常运行。 链路不传递流量:
链路状态:对所有链路显示 LACP 已分离。
MACsec 密钥名称:对所有链路显示 。MACsec 密钥名称会在每次连接后列出。
点击 MACsec 标签页。以下项表示 MACsec 已配置,但无法正常运行:
MACsec 配置:显示关闭。
预共享密钥:对于至少一个密钥的密钥状态显示有效,正在使用中。
gcloud
输出类似于以下内容:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: DETACHED
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
在此示例中,links.macsec 表示 MACsec 已启用。以下各项表明 MACsec 无法正常运行,且链路未传递流量:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWNlinks.lacpStatus.state: DETACHEDlinks.macsec.ckn: 0101010189abcdef...0123456789abcdeflinks.macsec.operational: falselinks.operationalStatus: LINK_OPERATIONAL_STATUS_UP
在这种情况下,Google 无法建立 MACsec 会话。因此,links.macsec.operational 为 false。由于 MACsec 是较低级别的第 2 层安全协议,因此更高级别的协议的所有数据包都会被丢弃,包括 LACP。这会导致 bundleOperationalStatus 设置为 BUNDLE_OPERATIONAL_STATUS_DOWN 并将 links.lacpStatus.state 设置为 DETACHED。
但是,MACsec 不会影响物理链路的状态。因此,只要物理层处于正常运行状态,则当 MACsec 关闭时,links.operationalStatus 仍会保持 LINK_OPERATIONAL_STATUS_UP。
MACsec 已启用、并非所有链路都可以正常运行且应急开启功能已关闭
从下列选项中选择一项:
控制台
在 Google Cloud 控制台中,进入 Cloud Interconnect 物理连接标签页。
选择要查看的 Cloud Interconnect 连接。以下各项表明 MACsec 已启用,但并非所有链路都可正常工作,并且某些链路正在传输流量:
链路状态:对一个或多个链路显示 LACP 已分离,对至少一个链路显示 活跃。
MACsec 密钥名称:对一个或多个链路显示 此链路上的 MACsec 已关闭,对至少一个链路显示 此链路上的 MACsec 已启动。MACsec 密钥名称会在每次连接后列出。
点击 MACsec 标签页。以下项表示 MACsec 已配置,但无法正常运行:
MACsec 配置:显示已启用,应急关闭。
预共享密钥:对于至少一个密钥的密钥状态显示有效,正在使用中。
gcloud
输出类似于以下内容:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
- circuitId: LOOP-1
googleDemarc: fake-local-demarc-1
lacpStatus:
googleSystemId: '00:11:22:33:44:66'
neighborSystemId: '66:44:33:22:11:00'
state: DETACHED
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
在此示例中,以下项表明 MACsec 已启用且正常运行。该链路正在传递流量,但仅在显示的两个链路之一上传递:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UPlinks.circuitId: LOOP-0:links.lacpStatus.state: ACTIVElinks.macsec.ckn: 0101010189abcdef...0123456789abcdeflinks.macsec.operational: truelinks.operationalStatus: LINK_OPERATIONAL_STATUS_UP
links.circuitId: LOOP-1:links.lacpStatus.state: DETACHEDlinks.macsec.ckn: 0101010189abcdef...0123456789abcdeflinks.macsec.operational: falselinks.operationalStatus: LINK_OPERATIONAL_STATUS_UP
在本例中,bundleOperationalStatus 为 BUNDLE_OPERATIONAL_STATUS_UP。请注意,links.circuitId: LOOP-0 显示 links.lacpStatus.state 为 ACTIVE 以及 links.macsec.operational 为 true。第一个链路按预期正常运行,并且正在传递流量。
不过请注意,links.circuitId: LOOP-1 显示 links.lacpStatus.state 为 DETACHED 以及 links.macsec.operational 为 false。第二个链路未按预期运行,且未传递流量。
但是,MACsec 不会影响任一物理链路的状态:因此,两个链路都将 links.operationalStatus 显示为 LINK_OPERATIONAL_STATUS_UP。即使物理链路正常运行,即使其中一个链路 MACsec 关闭,此状态仍会保留。
MACsec 已启用、无法正常运行且应急开启功能已开启
从下列选项中选择一项:
控制台
在 Google Cloud 控制台中,进入 Cloud Interconnect 物理连接标签页。
选择要查看的 Cloud Interconnect 连接。以下各项表明 MACsec 已启用且无法正常运行。链路正在传输流量:
链路状态:对于所有链路显示 活跃。
MACsec 密钥名称:对所有链路显示 警告。MACsec 密钥名称会在每次连接后列出。
点击 MACsec 标签页。以下项表示 MACsec 已配置,但无法正常运行:
MACsec 配置:显示已启用,应急开启。
预共享密钥:对至少一个密钥的密钥状态显示有效。
gcloud
输出类似于以下内容:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
在此示例中:
links.macsec值表示 MACsec 已启用。bundleOperationalStatus会显示BUNDLE_OPERATIONAL_STATUS_UP,表示 Cloud Interconnect 连接正常运行。macsec.operational会显示false,表示 MACsec 无法正常运行。
如需验证 Cloud Interconnect 连接是否已设置为应急开启,请运行以下命令:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
对于设置为应急开启的链路,输出类似于以下内容:
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: true
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
MACsec 已停用
从下列选项中选择一项:
控制台
- 在 Google Cloud 控制台中,前往 Cloud Interconnect 物理连接标签页。
选择要查看的 Cloud Interconnect 连接。以下项表示 MACsec 已停用。链路不会传递流量:
链路状态:对于所有链路显示 活跃。
MACsec 密钥名称:对所有链路显示空文本和无状态。
点击 MACsec 标签页。以下项表示 MACsec 已配置,但无法正常运行:
MACsec 配置:显示已停用。
预共享密钥:对至少一个密钥的密钥状态显示有效。
gcloud
输出类似于以下内容:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
在该示例中,输出中缺少 links.macsec,表示 MACsec 已停用且无法正常运行。该链路正在传递未加密的流量。
由于 MACsec 已停用,因此 links.macsec.ckn 和 links.macsec.operational 均不会显示值。