צפייה בסטטוס של MACsec

בדף הזה מוסבר איך לראות את הסטטוס של MACsec עבור מעגלים של Cloud Interconnect.

בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. במסוף Cloud de Confiance , עוברים לכרטיסייה Physical connections (חיבורים פיזיים) של Cloud Interconnect.

    כניסה אל Physical connections

  2. בוחרים את חיבור Cloud Interconnect שרוצים להציג.

  3. בקטע Link circuit info מוצג המידע הבא:

    1. Google circuit ID: השם של מעגל הקישור.

    2. מצב הקישור: המצב הפיזי של הקישור, אחת מהאפשרויות הבאות:

      • Active כדי לציין שהקישור החבר ב-LACP פעיל.

      • LACP Detatched כדי לציין שהקישור החבר ב-LACP מושבת.

    3. שם מפתח MACsec: הסטטוס של MACsec בקישור ומפתח MACsec שמשמש לאבטחת החיבור. הסטטוס יכול להיות אחד מהערכים הבאים:

      • : MACsec פועל והקישור מוצפן.

      • : הקישור לא מוצפן וה-MACsec לא פועל.

    4. קבלת עוצמה אופטית: מחוון סטטוס ורמת האור האופטי שהממשק הפיזי מזהה מהמשדר המרוחק ב-dBm.

    5. הספק אופטי של השידור: מחוון סטטוס ורמת האור האופטי שהממשק הפיזי משדר למקלט המרוחק ב-dBm.

    6. מזהה התיחום של Google: המזהה הייחודי שהוקצה על ידי Google למעגל הקישור.

  4. לוחצים על הכרטיסייה MACsec. בהגדרת MACsec מוצגת אחת מהאפשרויות הבאות לגבי הגדרת MACsec:

    1. מופעלת, נכשלת בפתיחה: ההצפנה של MACsec מופעלת בקישור. אם הצפנת MACsec לא מוגדרת בשני הקצוות, הקישור פועל ללא הצפנה.

    2. מופעלת, נכשלת ונסגרת: ההצפנה של MACsec מופעלת בקישור. אם לא נוצרת הצפנת MACsec בין שני הקצוות, הקישור נכשל.

    3. מושבת: ההצפנה של MACsec מושבתת בקישור.

gcloud

כדי לראות את הסטטוס של המעגלים, משתמשים בפקודה הבאה:

gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

מחליפים את INTERCONNECT_CONNECTION_NAME בשם של חיבור Cloud Interconnect.

הפלט אמור להיראות כך: מחפשים את הערך bundleOperationalStatus שמוגדר ל-BUNDLE_OPERATIONAL_STATUS_UP, את הערך circuitId lacpStatus state שמוגדר ל-ACTIVE ואת הערך operationalStatus שמוגדר ל-LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

בדוגמה הזו, MACsec מופעל ופועל במעגל.

הפריטים הבאים מציינים את הסטטוס של מעגל:

  • bundleOperationalStatus: הסטטוס של חבילת המעגלים, שהוא אחד מהבאים:

    • BUNDLE_OPERATIONAL_STATUS_UP: חבילת המעגלים פעילה.

    • BUNDLE_OPERATIONAL_STATUS_DOWN: חבילת המעגלים מושבתת.

  • links.lacpStatus.state: מצב פרוטוקול בקרת צבירת הקישורים (LACP) של המעגל, שהוא אחד מהבאים:

    • ACTIVE: פרוטוקול LACP פעיל.

    • DETACHED: פרוטוקול LACP לא פעיל.

  • links.macsec.CKN: השם של מפתח שיוך הקישוריות (CKN) ש-MACsec ל-Cloud Interconnect משתמש בו באופן פעיל לחיבור הזה.

    אפשר להשתמש ב-gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME כדי להציג את כל המפתחות שהוגדרו לחיבור Cloud Interconnect. מידע נוסף זמין במאמר בנושא קבלת מפתחות MACsec.

    אם מוגדרים יותר ממפתח אחד, המפתח עם זמן ההתחלה האחרון נבחר כמפתח הפעיל. נתבי הקצה של Google דוחים כל סשן MACsec חדש שמנסה להשתמש במפתחות הישנים.

  • links.macsec.operational: סטטוס ה-MACsec של המעגלים, שהוא אחד מהבאים:

    • true: MACsec פועל במעגל הזה.

    • false: MACsec לא פועל במעגל הזה.

  • links.operationalStatus: סטטוס MACsec של הקישור, שהוא אחד מהבאים:

    • LINK_OPERATIONAL_STATUS_UP: החיבור של Cloud Interconnect פועל.

    • LINK_OPERATIONAL_STATUS_DOWN: החיבור של Cloud Interconnect לא פעיל.

בקטעים הבאים מוצגות דוגמאות ל-MACsec למצבים של Cloud Interconnect, ואיך הם נראים בפלט של Google Cloud CLI ושל Cloud de Confiance המסוף.

הפעלת MACsec

בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. במסוף Cloud de Confiance , עוברים לכרטיסייה Physical connections (חיבורים פיזיים) של Cloud Interconnect.

    כניסה אל Physical connections

  2. בוחרים את חיבור Cloud Interconnect שרוצים להציג. הפריטים הבאים מציינים ש-MACsec מופעל ופועל. הקישורים מעבירים תנועה:

    • מצב הקישור: מוצג פעיל לכל הקישורים.

    • שם מפתח MACsec: מוצג לכל הקישורים. שם מפתח ה-MACsec מופיע אחרי כל חיבור.

  3. לוחצים על הכרטיסייה MACsec. הפריטים הבאים מצביעים על כך ש-MACsec מוגדר ופועל:

    • הגדרת MACsec: מוצג אחד מהערכים Enabled, fail opened או Enabled, fail closed.

    • מפתחות ששותפו מראש: מוצג פעיל, בשימוש לפחות עבור סטטוס המפתח של מפתח אחד.

gcloud

הפלט אמור להיראות כך. מחפשים את bundleOperationalStatus שמוגדר ל-BUNDLE_OPERATIONAL_STATUS_UP, את circuitId lacpStatus state שמוגדר ל-ACTIVE ואת operationalStatus שמוגדר ל-LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

בדוגמה, הפריטים הבאים מציינים ש-MACsec מופעל ופועל. הקישור מעביר תנועה:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.lacpStatus.state: ACTIVE
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: true
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

התכונה MACsec מופעלת, לא פועלת והתכונה fail-open מושבתת

בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. במסוף Cloud de Confiance , עוברים לכרטיסייה Physical connections (חיבורים פיזיים) של Cloud Interconnect.

    כניסה אל Physical connections

  2. בוחרים את חיבור Cloud Interconnect שרוצים להציג. הפריטים הבאים מציינים ש-MACsec מושבת ולא פועל. הקישורים לא מעבירים תנועה:

    • מצב הקישור: מוצג LACP Detached לכל הקישורים.

    • שם מפתח MACsec: מוצג לכל הקישורים. שם מפתח ה-MACsec מופיע אחרי כל חיבור.

  3. לוחצים על הכרטיסייה MACsec. הפריטים הבאים מציינים שהוגדר MACsec אבל הוא לא פועל:

    • הגדרת MACsec: מוצג Down.

    • מפתחות ששותפו מראש: מוצג פעיל, בשימוש לפחות עבור סטטוס המפתח של מפתח אחד.

gcloud

הפלט אמור להיראות כך. מחפשים את bundleOperationalStatus שמוגדר ל-BUNDLE_OPERATIONAL_STATUS_DOWN, את circuitId lacpStatus state שמוגדר ל-DETACHED ואת operationalStatus שמוגדר ל-LINK_OPERATIONAL_STATUS_UP::

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

בדוגמה, links.macsec מציין ש-MACsec מופעל. הפריטים הבאים מצביעים על כך ש-MACsec לא פועל ושהקישור לא מעביר תנועה:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  • links.lacpStatus.state: DETACHED
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: false
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

במקרה כזה, Google לא יכולה ליצור סשן MACsec. לכן links.macsec.operational הוא false. ‫MACsec הוא פרוטוקול אבטחה ברמה נמוכה יותר (שכבה 2), ולכן כל החבילות של פרוטוקולים ברמה גבוהה יותר מושמטות, כולל LACP. התוצאה היא שהערך של bundleOperationalStatus מוגדר ל-BUNDLE_OPERATIONAL_STATUS_DOWN והערך של links.lacpStatus.state מוגדר ל-DETACHED.

עם זאת, MACsec לא משפיע על הסטטוס של הקישור הפיזי, ולכן links.operationalStatus נשאר LINK_OPERATIONAL_STATUS_UP כש-MACsec מושבת, כל עוד השכבה הפיזית פועלת.

‫MACsec מופעל, לא כל הקישורים פועלים, והאפשרות fail-open מושבתת

בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. במסוף Cloud de Confiance , עוברים לכרטיסייה Physical connections (חיבורים פיזיים) של Cloud Interconnect.

    כניסה אל Physical connections

  2. בוחרים את חיבור Cloud Interconnect שרוצים להציג. הפריטים הבאים מציינים ש-MACsec מופעל, שלא כל הקישורים פועלים ושיש קישורים שמעבירים תנועה:

    • מצב הקישור: מוצג LACP Detached לקישור אחד או יותר, ו-Active לקישור אחד לפחות.

    • שם מפתח MACsec: מוצג MACsec on this link is down עבור קישור אחד או יותר, ו-MACsec on this link is up עבור קישור אחד לפחות. שם מפתח ה-MACsec מופיע אחרי כל חיבור.

  3. לוחצים על הכרטיסייה MACsec. הפריטים הבאים מציינים שהוגדר MACsec אבל הוא לא פועל:

    • הגדרת MACsec: מוצג Enabled, fail closed.

    • מפתחות ששותפו מראש: מוצג פעיל, בשימוש לפחות עבור סטטוס המפתח של מפתח אחד.

gcloud

הפלט אמור להיראות כך. מחפשים את הערכים הבאים: bundleOperationalStatus set to BUNDLE_OPERATIONAL_STATUS_UP,‏ circuitId lacpStatus state set to ACTIVE,‏ operationalStatus set to LINK_OPERATIONAL_STATUS_UP,‏ circuitId lacpStatus state set to DETACHED ו-operationalStatus set to LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  - circuitId: LOOP-1
    googleDemarc: fake-local-demarc-1
    lacpStatus:
      googleSystemId: '00:11:22:33:44:66'
      neighborSystemId: '66:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

בדוגמה, הפריטים הבאים מציינים ש-MACsec מופעל ופועל. המעגל מעביר תנועה, אבל רק באחד משני הקישורים שמוצגים:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-0:
    • links.lacpStatus.state: ACTIVE
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: true
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-1:
    • links.lacpStatus.state: DETACHED
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: false
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

במקרה הזה, bundleOperationalStatus הוא BUNDLE_OPERATIONAL_STATUS_UP. שימו לב שlinks.circuitId: LOOP-0 מציג את הערכים links.lacpStatus.state שהוא ACTIVE ו-links.macsec.operational שהוא true. הקישור הראשון פועל כצפוי ומעביר תנועת גולשים.

עם זאת, שימו לב שב-links.circuitId: LOOP-1 מוצג ש-links.lacpStatus.state הוא DETACHED ו-links.macsec.operational הוא false. הקישור השני לא פועל כמצופה ולא מעביר תנועה.

עם זאת, MACsec לא משפיע על הסטטוס של אף אחד מהקישורים הפיזיים. לכן, שני הקישורים מוצגים עם הסטטוס links.operationalStatus כ-LINK_OPERATIONAL_STATUS_UP. המצב הזה נשאר גם כש-MACsec מושבת באחד מהקישורים, כל עוד השכבה הפיזית פועלת.

‫MACsec מופעל, לא פועל, והאפשרות fail-open מופעלת

בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. במסוף Cloud de Confiance , עוברים לכרטיסייה Physical connections (חיבורים פיזיים) של Cloud Interconnect.

    כניסה אל Physical connections

  2. בוחרים את חיבור Cloud Interconnect שרוצים להציג. הפריטים הבאים מציינים ש-MACsec מופעל אבל לא פועל. הקישורים מעבירים תנועה:

    • מצב הקישור: מוצג פעיל לכל הקישורים.

    • שם מפתח MACsec: מוצגת אזהרה לכל הקישורים. שם מפתח ה-MACsec מופיע אחרי כל חיבור.

  3. לוחצים על הכרטיסייה MACsec. הפריטים הבאים מציינים שהוגדר MACsec אבל הוא לא פועל:

    • הגדרת MACsec: מוצג מופעל, נפתח במקרה של כשל.

    • מפתחות ששותפו מראש: מוצג פעיל בסטטוס המפתח של מפתח אחד לפחות.

gcloud

הפלט אמור להיראות כך:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

בדוגמה הזו:

  • הערכים links.macsec מציינים ש-MACsec מופעל.
  • bundleOperationalStatus מוצג BUNDLE_OPERATIONAL_STATUS_UP, שמציין שחיבור Cloud Interconnect פועל.
  • macsec.operational מוצג false, שמציין ש-MACsec לא פועל.

כדי לוודא שחיבור Cloud Interconnect מוגדר למעבר אוטומטי לגיבוי, מריצים את הפקודה הבאה:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

הפלט אמור להיראות כך עבור קישור שמוגדר לפתיחה במקרה של כשל. מחפשים את הקטע macsec שבו macsecEnabled מוגדר כ-true:

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: true
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

‫MACsec מושבת

בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. במסוף Cloud de Confiance , עוברים לכרטיסייה Physical connections (חיבורים פיזיים) ב-Cloud Interconnect.

כניסה אל Physical connections

  1. בוחרים את חיבור Cloud Interconnect שרוצים להציג. הפריטים הבאים מציינים ש-MACsec מושבת. הקישורים לא מעבירים תנועה:

    • מצב הקישור: מוצג פעיל לכל הקישורים.

    • שם מפתח MACsec: מוצג טקסט ריק ואין סטטוס לכל הקישורים.

  2. לוחצים על הכרטיסייה MACsec. הפריטים הבאים מציינים שהוגדר MACsec אבל הוא לא פועל:

    • הגדרת MACsec: מוצג מושבת.

    • מפתחות ששותפו מראש: מוצג פעיל אם לפחות אחד מהמפתחות פעיל.

gcloud

הפלט אמור להיראות כך: מחפשים את הערך bundleOperationalStatus שמוגדר ל-BUNDLE_OPERATIONAL_STATUS_UP, את הערך circuitId lacpStatus state שמוגדר ל-ACTIVE ואת הערך operationalStatus שמוגדר ל-LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

בדוגמה, העובדה שהערך links.macsec חסר בפלט מציינת ש-MACsec מושבת ולא פועל. הקישור מעביר תנועה לא מוצפנת.

מכיוון ש-MACsec מושבת, לא מוצג ערך בשדות links.macsec.ckn ו-links.macsec.operational.

מה השלב הבא?