צפייה בסטטוס של MACsec

בדף הזה מוסבר איך לראות את הסטטוס של MACsec עבור מעגלים של Cloud Interconnect.

בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. במסוף Cloud de Confiance , עוברים לכרטיסייה Physical connections של Cloud Interconnect.

    כניסה אל Physical connections

  2. בוחרים את חיבור Cloud Interconnect שרוצים להציג.

  3. בקטע Link circuit info מוצגים הפרטים הבאים:

    1. Google circuit ID: השם של מעגל הקישור.

    2. מצב הקישור: המצב הפיזי של הקישור, אחת מהאפשרויות הבאות:

      • Active כדי לציין שהקישור של חבר LACP פעיל.

      • LACP Detatched כדי לציין שהקישור של חבר LACP מושבת.

    3. שם מפתח MACsec: סטטוס ה-MACsec של הקישור ומפתח ה-MACsec שמשמש לאבטחת החיבור. הסטטוס יציג אחת מהאפשרויות הבאות:

      • : MACsec פועל והקישור מוצפן.

      • : MACsec לא פועל והקישור לא מוצפן.

    4. קבלת עוצמה אופטית: מחוון סטטוס ורמת האור האופטי שהממשק הפיזי מזהה מהמשדר המרוחק ב-dBm.

    5. הספק אופטי של השידור: אינדיקטור סטטוס ורמת האור האופטי שהממשק הפיזי משדר למקלט המרוחק ב-dBm.

    6. מזהה תיחום של Google: המזהה הייחודי שהוקצה על ידי Google למעגל הקישור.

  4. לוחצים על הכרטיסייה MACsec. בהגדרת MACsec מוצגת אחת מהאפשרויות הבאות לגבי הגדרת MACsec:

    1. מופעלת, נכשלת בפתיחה: ההצפנה של MACsec מופעלת בקישור. אם הצפנת MACsec לא מוגדרת בשני הצדדים, הקישור פועל ללא הצפנה.

    2. מופעלת, נכשלת ונסגרת: ההצפנה של MACsec מופעלת בקישור. אם לא נוצרת הצפנת MACsec בין שני הקצוות, הקישור נכשל.

    3. מושבת: ההצפנה של MACsec מושבתת בקישור.

gcloud

כדי לראות את הסטטוס של המעגלים, משתמשים בפקודה הבאה:

gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

מחליפים את INTERCONNECT_CONNECTION_NAME בשם של חיבור Cloud Interconnect.

הפלט אמור להיראות כך: מחפשים את הערך bundleOperationalStatus שמוגדר ל-BUNDLE_OPERATIONAL_STATUS_UP, את הערך circuitId lacpStatus state שמוגדר ל-ACTIVE ואת הערך operationalStatus שמוגדר ל-LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

בדוגמה הזו, MACsec מופעל ופועל במעגל.

הפריטים הבאים מציינים את הסטטוס של המעגל:

  • bundleOperationalStatus: הסטטוס של חבילת המעגלים, שהוא אחד מהערכים הבאים:

    • BUNDLE_OPERATIONAL_STATUS_UP: חבילת המעגלים פעילה.

    • BUNDLE_OPERATIONAL_STATUS_DOWN: חבילת המעגלים מושבתת.

  • links.lacpStatus.state: מצב פרוטוקול בקרת צבירת הקישורים (LACP) של המעגל, שהוא אחד מהבאים:

    • ACTIVE: LACP פעיל.

    • DETACHED: פרוטוקול LACP לא פעיל.

  • links.macsec.CKN: השם של מפתח שיוך הקישוריות (CKN) ש-MACsec ל-Cloud Interconnect משתמש בו באופן פעיל לחיבור הזה.

    אפשר להשתמש ב-gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME כדי להציג את כל המפתחות שהוגדרו לחיבור Cloud Interconnect. מידע נוסף זמין במאמר בנושא קבלת מפתחות MACsec.

    אם הגדרתם יותר ממפתח אחד, המפתח עם זמן ההתחלה האחרון ייבחר כמפתח הפעיל. נתבי הקצה של Google דוחים כל סשן חדש של MACsec שמנסה להשתמש במפתחות הישנים.

  • links.macsec.operational: סטטוס ה-MACsec של המעגלים, שהוא אחד מהבאים:

    • true: ‏MACsec פועל במעגל הזה.

    • false: MACsec לא פועל במעגל הזה.

  • links.operationalStatus: סטטוס MACsec של הקישור, שהוא אחד מהבאים:

    • LINK_OPERATIONAL_STATUS_UP: חיבור Cloud Interconnect פועל.

    • LINK_OPERATIONAL_STATUS_DOWN: החיבור של Cloud Interconnect לא פעיל.

בקטעים הבאים מוצגות דוגמאות ל-MACsec למצבים של Cloud Interconnect, ואיך הם נראים בפלט של Google Cloud CLI ושל Cloud de Confiance המסוף.

הפרוטוקול MACsec מופעל ופועל

בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. במסוף Cloud de Confiance , עוברים לכרטיסייה Physical connections של Cloud Interconnect.

    כניסה אל Physical connections

  2. בוחרים את חיבור Cloud Interconnect שרוצים להציג. הפריטים הבאים מציינים ש-MACsec מופעל ופועל. הקישורים מעבירים תנועה:

    • מצב הקישור: מוצג פעיל לכל הקישורים.

    • שם מפתח MACsec: מוצג לכל הקישורים. שם מפתח ה-MACsec מופיע אחרי כל חיבור.

  3. לוחצים על הכרטיסייה MACsec. הפריטים הבאים מצביעים על כך ש-MACsec מוגדר ופועל:

    • הגדרת MACsec: מוצג אחד מהערכים Enabled, fail opened או Enabled, fail closed.

    • מפתחות ששותפו מראש: מוצג פעיל, בשימוש לפחות עבור סטטוס המפתח של מפתח אחד.

gcloud

הפלט אמור להיראות כך. מחפשים את bundleOperationalStatus שמוגדר ל-BUNDLE_OPERATIONAL_STATUS_UP, את circuitId lacpStatus state שמוגדר ל-ACTIVE ואת operationalStatus שמוגדר ל-LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

בדוגמה, הפריטים הבאים מציינים ש-MACsec מופעל ופועל. הקישור מעביר תנועה:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.lacpStatus.state: ACTIVE
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: true
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

התכונה MACsec מופעלת, לא פועלת והתכונה fail-open מושבתת

בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. במסוף Cloud de Confiance , עוברים לכרטיסייה Physical connections של Cloud Interconnect.

    כניסה אל Physical connections

  2. בוחרים את חיבור Cloud Interconnect שרוצים להציג. הפריטים הבאים מציינים ש-MACsec מושבת ולא פועל. הקישורים לא מעבירים תנועה:

    • מצב הקישור: מוצג LACP Detached לכל הקישורים.

    • שם מפתח MACsec: מוצג לכל הקישורים. שם מפתח ה-MACsec מופיע אחרי כל חיבור.

  3. לוחצים על הכרטיסייה MACsec. הפריטים הבאים מציינים ש-MACsec מוגדר אבל לא פועל:

    • הגדרת MACsec: מוצג Down.

    • מפתחות ששותפו מראש: מוצג פעיל, בשימוש לפחות עבור סטטוס המפתח של מפתח אחד.

gcloud

הפלט אמור להיראות כך. מחפשים את הערך bundleOperationalStatus שמוגדר ל-BUNDLE_OPERATIONAL_STATUS_DOWN, את הערך circuitId lacpStatus state שמוגדר ל-DETACHED ואת הערך operationalStatus שמוגדר ל-LINK_OPERATIONAL_STATUS_UP::

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

בדוגמה, links.macsec מציין ש-MACsec מופעל. הפריטים הבאים מצביעים על כך ש-MACsec לא פועל ושהקישור לא מעביר תנועה:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  • links.lacpStatus.state: DETACHED
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: false
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

במקרה כזה, Google לא יכולה ליצור סשן MACsec. לכן links.macsec.operational הוא false. ‫MACsec הוא פרוטוקול אבטחה ברמה נמוכה יותר (שכבה 2), ולכן כל החבילות של פרוטוקולים ברמה גבוהה יותר מושמטות, כולל LACP. כתוצאה מכך, הערך של bundleOperationalStatus מוגדר ל-BUNDLE_OPERATIONAL_STATUS_DOWN והערך של links.lacpStatus.state מוגדר ל-DETACHED.

עם זאת, MACsec לא משפיע על הסטטוס של הקישור הפיזי. לכן, links.operationalStatus נשאר LINK_OPERATIONAL_STATUS_UP כש-MACsec מושבת, כל עוד השכבה הפיזית פועלת.

‫MACsec מופעל, לא כל הקישורים פועלים, והאפשרות fail-open מושבתת

בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. במסוף Cloud de Confiance , עוברים לכרטיסייה Physical connections של Cloud Interconnect.

    כניסה אל Physical connections

  2. בוחרים את חיבור Cloud Interconnect שרוצים להציג. הפריטים הבאים מציינים שהפרוטוקול MACsec מופעל, לא כל הקישורים פועלים וחלק מהקישורים מעבירים תנועה:

    • מצב הקישור: מוצג LACP Detached לקישור אחד או יותר, ו-Active לקישור אחד לפחות.

    • שם מפתח MACsec: מוצג MACsec on this link is down עבור קישור אחד או יותר, ו-MACsec on this link is up עבור קישור אחד לפחות. שם מפתח ה-MACsec מופיע אחרי כל חיבור.

  3. לוחצים על הכרטיסייה MACsec. הפריטים הבאים מציינים ש-MACsec מוגדר אבל לא פועל:

    • הגדרת MACsec: מוצג Enabled, fail closed.

    • מפתחות ששותפו מראש: מוצג פעיל, בשימוש לפחות עבור סטטוס המפתח של מפתח אחד.

gcloud

הפלט אמור להיראות כך. מחפשים את הערכים הבאים: bundleOperationalStatus set to BUNDLE_OPERATIONAL_STATUS_UP,‏ circuitId lacpStatus state set to ACTIVE,‏ operationalStatus set to LINK_OPERATIONAL_STATUS_UP,‏ circuitId lacpStatus state set to DETACHED ו-operationalStatus set to LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  - circuitId: LOOP-1
    googleDemarc: fake-local-demarc-1
    lacpStatus:
      googleSystemId: '00:11:22:33:44:66'
      neighborSystemId: '66:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

בדוגמה, הפריטים הבאים מציינים ש-MACsec מופעל ופועל. המעגל מעביר תנועה, אבל רק באחד משני הקישורים שמוצגים:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-0:
    • links.lacpStatus.state: ACTIVE
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: true
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-1:
    • links.lacpStatus.state: DETACHED
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: false
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

במקרה הזה, bundleOperationalStatus הוא BUNDLE_OPERATIONAL_STATUS_UP. שימו לב שבשדה links.circuitId: LOOP-0 מוצג ש-links.lacpStatus.state הוא ACTIVE ו-links.macsec.operational הוא true. הקישור הראשון פועל כצפוי ומעביר תנועה.

עם זאת, שימו לב שב-links.circuitId: LOOP-1 מוצג ש-links.lacpStatus.state הוא DETACHED ו-links.macsec.operational הוא false. הקישור השני לא פועל כמצופה ולא מעביר תנועה.

עם זאת, MACsec לא משפיע על הסטטוס של אף אחד מהקישורים הפיזיים. לכן, שני הקישורים מוצגים links.operationalStatus כ-LINK_OPERATIONAL_STATUS_UP. המצב הזה נשאר גם כש-MACsec מושבת באחד מהקישורים, כל עוד השכבה הפיזית פועלת.

התכונה MACsec מופעלת, לא פועלת וההגדרה fail-open מופעלת

בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. במסוף Cloud de Confiance , עוברים לכרטיסייה Physical connections של Cloud Interconnect.

    כניסה אל Physical connections

  2. בוחרים את חיבור Cloud Interconnect שרוצים להציג. הפריטים הבאים מציינים ש-MACsec מופעל אבל לא פועל. הקישורים מעבירים תנועה:

    • מצב הקישור: מוצג פעיל לכל הקישורים.

    • שם מפתח MACsec: מוצגת אזהרה לכל הקישורים. שם מפתח ה-MACsec מופיע אחרי כל חיבור.

  3. לוחצים על הכרטיסייה MACsec. הפריטים הבאים מציינים ש-MACsec מוגדר אבל לא פועל:

    • הגדרת MACsec: מוצג Enabled, fail opened (מופעל, נפתח במקרה של כשל).

    • מפתחות ששותפו מראש: מוצג פעיל לפחות עבור סטטוס המפתח של מפתח אחד.

gcloud

הפלט אמור להיראות כך:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

בדוגמה הזו:

  • הערכים links.macsec מציינים ש-MACsec מופעל.
  • bundleOperationalStatus מוצג BUNDLE_OPERATIONAL_STATUS_UP, שמציין שהחיבור של Cloud Interconnect פועל.
  • macsec.operational מוצג false, שמציין ש-MACsec לא פועל.

כדי לוודא שחיבור Cloud Interconnect מוגדר למעבר אוטומטי לגיבוי, מריצים את הפקודה הבאה:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

הפלט אמור להיראות כך עבור קישור שמוגדר לפתיחה במקרה של כשל. מחפשים את הקטע macsec שבו macsecEnabled מוגדר כ-true:

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: true
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

‫MACsec מושבת

בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. במסוף Cloud de Confiance , עוברים לכרטיסייה Cloud Interconnect Physical connections.

כניסה אל Physical connections

  1. בוחרים את חיבור Cloud Interconnect שרוצים להציג. הפריטים הבאים מציינים ש-MACsec מושבת. הקישורים לא מעבירים תנועה:

    • מצב הקישור: מוצג פעיל לכל הקישורים.

    • שם מפתח MACsec: מוצג טקסט ריק ואין סטטוס לכל הקישורים.

  2. לוחצים על הכרטיסייה MACsec. הפריטים הבאים מציינים ש-MACsec מוגדר אבל לא פועל:

    • הגדרת MACsec: מוצג מושבת.

    • מפתחות ששותפו מראש: מוצג פעיל אם לפחות אחד מהמפתחות פעיל.

gcloud

הפלט אמור להיראות כך: מחפשים את הערך bundleOperationalStatus שמוגדר ל-BUNDLE_OPERATIONAL_STATUS_UP, את הערך circuitId lacpStatus state שמוגדר ל-ACTIVE ואת הערך operationalStatus שמוגדר ל-LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

בדוגמה, העובדה שהערך links.macsec חסר בפלט מציינת ש-MACsec מושבת ולא פועל. הקישור מעביר תנועה לא מוצפנת.

מכיוון ש-MACsec מושבת, לא מוצג ערך בשדות links.macsec.ckn ו-links.macsec.operational.

מה השלב הבא?