Visualizza lo stato di MACsec

Questa pagina descrive come visualizzare lo stato dei circuiti MACsec per Cloud Interconnect.

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Cloud de Confiance , vai alla scheda Connessioni fisiche di Cloud Interconnect.

    Vai a Connessioni fisiche

  2. Seleziona la connessione Cloud Interconnect che vuoi visualizzare.

  3. La sezione Informazioni sul circuito di collegamento mostra le seguenti informazioni:

    1. ID circuito Google:il nome del circuito di collegamento.

    2. Stato del link:lo stato fisico del link, uno dei seguenti:

      • Active per indicare che il link membro LACP è attivo.

      • LACP Detached per indicare che il link membro LACP non è attivo.

    3. Nome chiave MACsec:lo stato MACsec del link e la chiave MACsec utilizzata per proteggere la connessione. Lo stato mostra uno dei seguenti valori:

      • : MACsec è operativamente attivo e il link è criptato.

      • : MACsec non è attivo e il link non è criptato.

    4. Potenza ottica ricevuta:un indicatore di stato e il livello di luce ottica che l'interfaccia fisica rileva dal trasmettitore remoto in dBm.

    5. Potenza ottica di trasmissione: un indicatore di stato e il livello di luce ottica che l'interfaccia fisica trasmette al ricevitore remoto in dBm.

    6. ID demarcazione Google:l'ID univoco assegnato da Google per il circuito di collegamento.

  4. Fai clic sulla scheda MACsec. La configurazione MACsec mostra una delle seguenti opzioni per la configurazione MACsec:

    1. Abilitata, fail open: la crittografia MACsec è abilitata sul link. Se la crittografia MACsec non viene stabilita tra le due estremità, il link funziona senza crittografia.

    2. Abilitata, impossibile chiudere: la crittografia MACsec è abilitata sul link. Se la crittografia MACsec non viene stabilita tra le due estremità, il collegamento non funziona.

    3. Disabilitato: la crittografia MACsec è disabilitata sul link.

gcloud

Per visualizzare lo stato dei tuoi circuiti, utilizza il seguente comando:

gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

Sostituisci INTERCONNECT_CONNECTION_NAME con il nome della tua connessione Cloud Interconnect.

L'output è simile al seguente. Cerca bundleOperationalStatus impostato su BUNDLE_OPERATIONAL_STATUS_UP, circuitId lacpStatus state impostato su ACTIVE e operationalStatus impostato su LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

In questo esempio, MACsec è abilitato e operativo sul circuito.

I seguenti elementi indicano lo stato di un circuito:

  • bundleOperationalStatus: lo stato del bundle di circuiti, che è uno dei seguenti:

    • BUNDLE_OPERATIONAL_STATUS_UP: il bundle di circuiti è attivo.

    • BUNDLE_OPERATIONAL_STATUS_DOWN: il bundle di circuiti non è attivo.

  • links.lacpStatus.state: lo stato del protocollo di controllo dell'aggregazione dei link (LACP) del circuito, che è uno dei seguenti:

    • ACTIVE: LACP è attivo.

    • DETACHED: LACP è inattivo.

  • links.macsec.CKN: il nome della chiave di associazione della connettività (CKN) che MACsec per Cloud Interconnect utilizza attivamente per questa connessione.

    Puoi utilizzare gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME per visualizzare tutte le chiavi configurate per la tua connessione Cloud Interconnect. Per saperne di più, consulta Recuperare le chiavi MACsec.

    Se hai configurato più di una chiave, viene selezionata come chiave attiva quella con l'ora di inizio più recente. I router edge di Google rifiutano tutte le nuove sessioni MACsec che tentano di utilizzare le chiavi precedenti.

  • links.macsec.operational: lo stato MACsec dei circuiti, che è uno dei seguenti:

    • true: MACsec è operativo su questo circuito.

    • false: MACsec non è operativo su questo circuito.

  • links.operationalStatus: lo stato MACsec del link, che è uno dei seguenti:

    • LINK_OPERATIONAL_STATUS_UP: la connessione Cloud Interconnect è operativa.

    • LINK_OPERATIONAL_STATUS_DOWN: la connessione Cloud Interconnect non è operativa.

Le sezioni seguenti mostrano esempi di MACsec per gli stati di Cloud Interconnect e il loro aspetto nell'output di Google Cloud CLI e della console Cloud de Confiance .

MACsec abilitato e operativo

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Cloud de Confiance , vai alla scheda Connessioni fisiche di Cloud Interconnect.

    Vai a Connessioni fisiche

  2. Seleziona la connessione Cloud Interconnect che vuoi visualizzare. I seguenti elementi indicano che MACsec è abilitato e operativo. I link generano traffico:

    • Stato collegamento:mostra Attivo per tutti i link.

    • Nome chiave MACsec:viene visualizzato per tutti i link. Il nome della chiave MACsec è elencato dopo ogni connessione.

  3. Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e operativo:

    • Configurazione MACsec:mostra Abilitata, impossibile aprire o Abilitata, impossibile chiudere.

    • Chiavi precondivise:mostra Attiva, in uso per almeno una chiave in Stato chiave.

gcloud

L'output è simile al seguente. Cerca bundleOperationalStatus impostato su BUNDLE_OPERATIONAL_STATUS_UP, il circuitId lacpStatus state impostato su ACTIVE e operationalStatus impostato su LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Nell'esempio, i seguenti elementi indicano che MACsec è abilitato e funziona. Il link sta passando traffico:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.lacpStatus.state: ACTIVE
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: true
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

MACsec abilitato, non operativo e fail-open disattivato

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Cloud de Confiance , vai alla scheda Connessioni fisiche di Cloud Interconnect.

    Vai a Connessioni fisiche

  2. Seleziona la connessione Cloud Interconnect che vuoi visualizzare. I seguenti elementi indicano che MACsec è disabilitato e non operativo. I link non trasmettono traffico:

    • Stato del link:viene visualizzato LACP scollegato per tutti i link.

    • Nome chiave MACsec:viene visualizzato per tutti i link. Il nome della chiave MACsec è elencato dopo ogni connessione.

  3. Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e non operativo:

    • Configurazione MACsec mostra Inattivo.

    • Chiavi precondivise:mostra Attiva, in uso per almeno una chiave in Stato chiave.

gcloud

L'output è simile al seguente; cerca bundleOperationalStatus impostato su BUNDLE_OPERATIONAL_STATUS_DOWN, circuitId lacpStatus state impostato su DETACHED e operationalStatus impostato su LINK_OPERATIONAL_STATUS_UP::

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Nell'esempio, links.macsec indica che MACsec è abilitato. I seguenti elementi indicano che MACsec non è operativo e che il link non trasmette traffico:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  • links.lacpStatus.state: DETACHED
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: false
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

In questo caso, Google non può stabilire una sessione MACsec. Pertanto, links.macsec.operational è false. Poiché MACsec è un protocollo di sicurezza di livello 2 di livello inferiore, tutti i pacchetti per i protocolli di livello superiore vengono eliminati, incluso LACP. Di conseguenza, bundleOperationalStatus viene impostato su BUNDLE_OPERATIONAL_STATUS_DOWN e links.lacpStatus.state su DETACHED.

Tuttavia, MACsec non influisce sullo stato del link fisico, pertanto links.operationalStatus rimane LINK_OPERATIONAL_STATUS_UP quando MACsec non è attivo, purché il livello fisico sia operativo.

MACsec abilitato, non tutti i link operativi e fail-open disattivato

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Cloud de Confiance , vai alla scheda Connessioni fisiche di Cloud Interconnect.

    Vai a Connessioni fisiche

  2. Seleziona la connessione Cloud Interconnect che vuoi visualizzare. I seguenti elementi indicano che MACsec è abilitato, non tutti i link sono operativi e alcuni link trasmettono traffico:

    • Stato del collegamento:mostra LACP scollegato per uno o più collegamenti e Attivo per almeno un collegamento.

    • Nome chiave MACsec mostra MACsec in questo link non è attivo per uno o più link e MACsec in questo link è attivo per almeno un link. Il nome della chiave MACsec è elencato dopo ogni connessione.

  3. Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e non operativo:

    • Configurazione MACsec mostra Abilitata, impossibile chiudere.

    • Chiavi precondivise:mostra Attiva, in uso per almeno una chiave in Stato chiave.

gcloud

L'output è simile al seguente. Cerca bundleOperationalStatus impostato su BUNDLE_OPERATIONAL_STATUS_UP, circuitId lacpStatus state impostato su ACTIVE, operationalStatus impostato su LINK_OPERATIONAL_STATUS_UP, circuitId lacpStatus state impostato su DETACHED e operationalStatus impostato su LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  - circuitId: LOOP-1
    googleDemarc: fake-local-demarc-1
    lacpStatus:
      googleSystemId: '00:11:22:33:44:66'
      neighborSystemId: '66:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Nell'esempio, i seguenti elementi indicano che MACsec è abilitato e funziona. Il circuito sta trasmettendo traffico, ma solo su uno dei due link visualizzati:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-0:
    • links.lacpStatus.state: ACTIVE
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: true
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-1:
    • links.lacpStatus.state: DETACHED
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: false
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

In questo caso, bundleOperationalStatus è BUNDLE_OPERATIONAL_STATUS_UP. Nota che links.circuitId: LOOP-0 mostra che links.lacpStatus.state è ACTIVE e links.macsec.operational è true. Il primo link funziona come previsto e trasmette il traffico.

Tuttavia, nota che links.circuitId: LOOP-1 mostra che links.lacpStatus.state è DETACHED e links.macsec.operational è false. Il secondo link non funziona come previsto e non trasmette traffico.

Tuttavia, MACsec non influisce sullo stato di nessuno dei due link fisici, pertanto entrambi i link mostrano links.operationalStatus come LINK_OPERATIONAL_STATUS_UP. Questo stato rimane anche quando MACsec non è attivo per uno dei link, purché il livello fisico sia operativo.

MACsec abilitato, non operativo e fail-open attivo

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Cloud de Confiance , vai alla scheda Connessioni fisiche di Cloud Interconnect.

    Vai a Connessioni fisiche

  2. Seleziona la connessione Cloud Interconnect che vuoi visualizzare. I seguenti elementi indicano che MACsec è abilitato e non operativo. I link generano traffico:

    • Stato del collegamento:mostra Attivo per tutti i collegamenti.

    • Nome chiave MACsec:mostra un avviso per tutti i link. Il nome della chiave MACsec è elencato dopo ogni connessione.

  3. Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e non operativo:

    • Configurazione MACsec:viene visualizzato il messaggio Abilitata, impossibile aprire.

    • Chiavi precondivise:mostra Attivo per almeno una chiave Stato chiave.

gcloud

L'output è simile al seguente:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

In questo esempio:

  • I valori links.macsec indicano che MACsec è abilitato.
  • bundleOperationalStatus mostra BUNDLE_OPERATIONAL_STATUS_UP, che indica che la connessione Cloud Interconnect è operativa.
  • macsec.operational mostra false, che indica che MACsec non è operativo.

Per verificare che la connessione Cloud Interconnect sia impostata su fail-open, esegui questo comando:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

L'output è simile al seguente per un link impostato per l'apertura in caso di errore; cerca la sezione macsec in cui macsecEnabled è impostato su true:

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: true
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

MACsec disattivato

Seleziona una delle seguenti opzioni:

Console

  1. Nella console Cloud de Confiance , vai alla scheda Connessioni fisiche di Cloud Interconnect.

Vai a Connessioni fisiche

  1. Seleziona la connessione Cloud Interconnect che vuoi visualizzare. I seguenti elementi indicano che MACsec è disabilitato. I link non indirizzano traffico:

    • Stato del collegamento:mostra Attivo per tutti i collegamenti.

    • Nome chiave MACsec:mostra un testo vuoto e nessun stato per tutti i link.

  2. Fai clic sulla scheda MACsec. I seguenti elementi indicano che MACsec è configurato e non operativo:

    • Configurazione MACsec mostra Disattivato.

    • Chiavi precondivise:mostra Attivo per almeno una chiave in Stato chiave.

gcloud

L'output è simile al seguente. Cerca bundleOperationalStatus impostato su BUNDLE_OPERATIONAL_STATUS_UP, circuitId lacpStatus state impostato su ACTIVE e operationalStatus impostato su LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Nell'esempio, il fatto che links.macsec non sia presente nell'output indica che MACsec è disattivato e non operativo. Il link trasmette traffico non criptato.

Poiché MACsec è disabilitato, sia links.macsec.ckn che links.macsec.operational non mostrano un valore.

Passaggi successivi