このページでは、Cloud Interconnect 回線の MACsec のステータスを表示する方法について説明します。
次のオプションのいずれかを選択します。
コンソール
Cloud de Confiance コンソールで、Cloud Interconnect の [物理接続] タブに移動します。
表示する Cloud Interconnect 接続を選択します。
[リンク回路の情報] セクションに、次の情報が表示されます。
Google 回路 ID: リンク回路の名前。
リンク状態: リンクの物理的な状態(次のいずれか)。
(アクティブ)。LACP メンバーリンクが稼働していることを示します。
(LACP 接続解除)。LACP メンバーリンクが停止していることを示します。
MACsec キー名: リンクの MACsec ステータスと、接続の保護に使用される MACsec キー。ステータスには次のいずれかが表示されます。
: MACsec が動作していて、リンクが暗号化されています。
: MACsec は停止しており、リンクは暗号化されていません。
受信光強度: ステータス インジケーターと、物理インターフェースがリモート送信機から検出した光強度レベル(dBm 単位)。
送信光強度: ステータス インジケーターと、物理インターフェースがリモート受信機に送信している光強度レベル(dBm 単位)。
Google 境界 ID: Google がリンク回路に割り当てる一意の ID。
[MACsec] タブをクリックします。[MACsec 構成] には、MACsec 構成について、次のいずれかが表示されます。
有効、フェイル オープン: リンクで MACsec 暗号化が有効になっています。両端の間で MACsec 暗号化が確立されていない場合、リンクは暗号化なしで動作します。
有効、フェイル クローズ: リンクで MACsec 暗号化が有効になっています。両端の間で MACsec 暗号化が確立されていない場合、リンクは失敗します。
無効: リンクで MACsec 暗号化が無効になっています。
gcloud
回線のステータスを表示するには、次のコマンドを使用します。
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME
INTERCONNECT_CONNECTION_NAME は、Cloud Interconnect 接続の名前に置き換えます。
出力は次のようになります。bundleOperationalStatus が BUNDLE_OPERATIONAL_STATUS_UP に設定され、circuitId lacpStatus state が ACTIVE に設定され、operationalStatus が LINK_OPERATIONAL_STATUS_UP に設定されていることを確認します。
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
この例では、MACsec が有効で、回線上で動作しています。
回線のステータスは次のとおりです。
bundleOperationalStatus: 回線のバンドルのステータス。次のいずれかです。BUNDLE_OPERATIONAL_STATUS_UP: 回線のバンドルが動作しています。BUNDLE_OPERATIONAL_STATUS_DOWN: 回線のバンドルが動作していません。
links.lacpStatus.state: 回線のリンク アグリゲーション制御プロトコル(LACP)の状態。次のいずれかになります。ACTIVE: LACP はアクティブです。DETACHED: LACP は非アクティブです。
links.macsec.CKN: Cloud Interconnect の MACsec がこの接続に対してアクティブに使用している Connectivity Association Key Name (CKN)。gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAMEを使用すると、Cloud Interconnect 接続用に構成されたすべての鍵を表示できます。詳細については、MACsec 鍵を取得するをご覧ください。複数の鍵を構成している場合は、最新の開始時刻を指定した鍵がアクティブな鍵として選択されます。Google のエッジルーターでは、古いキーの使用を試みる新しい MACsec セッションが拒否されます。
links.macsec.operational: 回線の MACsec ステータス。次のいずれかです。true: この回線で MACsec が動作しています。false: この回線では MACsec が動作していません。
links.operationalStatus: リンクの MACsec ステータス。次のいずれかです。LINK_OPERATIONAL_STATUS_UP: Cloud Interconnect 接続が動作しています。LINK_OPERATIONAL_STATUS_DOWN: Cloud Interconnect 接続が動作していません。
以降のセクションでは、Cloud Interconnect の状態の MACsec の例と、Google Cloud CLI の出力および Cloud de Confiance コンソールでの状態について説明します。
MACsec が有効で動作している
次のオプションのいずれかを選択します。
コンソール
Cloud de Confiance コンソールで、Cloud Interconnect の [物理接続] タブに移動します。
表示する Cloud Interconnect 接続を選択します。次の項目は、MACsec が有効で動作していることを示します。トラフィックはリンクを通過しています。
リンク状態: すべてのリンクで (アクティブ)と表示されます。
MACsec キー名: すべてのリンクに対して が表示されます。MACsec キー名は各接続の後に表示されます。
[MACsec] タブをクリックします。次の項目は、MACsec が構成され、動作していることを示します。
MACsec 構成: 「有効、フェイル オープン」または「有効、フェイル クローズ」のいずれかが表示されます。
事前共有キー: 少なくとも 1 つのキーのステータスが「有効、使用中」と表示されます。
gcloud
出力は次のようになります。bundleOperationalStatus が BUNDLE_OPERATIONAL_STATUS_UP に設定され、circuitId lacpStatus state が ACTIVE に設定され、operationalStatus が LINK_OPERATIONAL_STATUS_UP に設定されていることを確認します。
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
この例において、次の項目は MACsec が有効かつ動作中であることを示しています。トラフィックがリンクを通過している:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UPlinks.lacpStatus.state: ACTIVElinks.macsec.ckn: 0101010189abcdef...0123456789abcdeflinks.macsec.operational: truelinks.operationalStatus: LINK_OPERATIONAL_STATUS_UP
MACsec が有効で動作していない、フェイルオープンがオフ
次のオプションのいずれかを選択します。
コンソール
Cloud de Confiance コンソールで、Cloud Interconnect の [物理接続] タブに移動します。
表示する Cloud Interconnect 接続を選択します。次の項目は、MACsec が無効で動作していないことを示します。トラフィックはリンクを通過していません。
リンク状態: すべてのリンクに (LACP 接続解除)が表示されます。
MACsec キー名: すべてのリンクに対して が表示されます。MACsec キー名は各接続の後に表示されます。
[MACsec] タブをクリックします。次の項目は、MACsec が構成されているが、動作していないことを示します。
MACsec 構成: 「停止」と表示されます。
事前共有キー: 少なくとも 1 つのキーのステータスが「有効、使用中」と表示されます。
gcloud
出力は次のようになります。bundleOperationalStatus が BUNDLE_OPERATIONAL_STATUS_DOWN に設定され、circuitId lacpStatus state が DETACHED に設定され、operationalStatus が LINK_OPERATIONAL_STATUS_UP に設定されていることを確認します。
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: DETACHED
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
この例で、links.macsec は MACsec が有効であることを示します。次の項目は、MACsec が動作しておらず、トラフィックがリンクを通過していないことを示します。
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWNlinks.lacpStatus.state: DETACHEDlinks.macsec.ckn: 0101010189abcdef...0123456789abcdeflinks.macsec.operational: falselinks.operationalStatus: LINK_OPERATIONAL_STATUS_UP
この場合、Google は MACsec セッションを確立できません。したがって、links.macsec.operational は false です。MACsec は下位レベルのレイヤ 2 セキュリティ プロトコルであるため、LACP を含む上位レベルのプロトコルのすべてのパケットは破棄されます。これにより、bundleOperationalStatus が BUNDLE_OPERATIONAL_STATUS_DOWN に、links.lacpStatus.state が DETACHED に設定されます。
ただし、MACsec は物理リンクのステータスには影響しません。したがって、物理レイヤが動作している限り、MACsec が停止しても links.operationalStatus は LINK_OPERATIONAL_STATUS_UP のままになります。
MACsec が有効で一部のリンクが動作中、フェイルオープンがオフ
次のオプションのいずれかを選択します。
コンソール
Cloud de Confiance コンソールで、Cloud Interconnect の [物理接続] タブに移動します。
表示する Cloud Interconnect 接続を選択します。次の項目は、MACsec が有効であるが、すべてのリンクが動作しているわけではなく、一部のリンクでトラフィックが通過していることを示しています。
リンク状態: 1 つ以上のリンクに (LACP 接続解除)が表示され、少なくとも 1 つのリンクに (アクティブ)が表示されます。
MACsec キー名: 1 つ以上のリンクで (このリンクの MACsec がダウンしています)が表示され、少なくとも 1 つのリンクで (このリンクの MACsec が稼働中です)が表示されます。MACsec キー名は各接続の後に表示されます。
[MACsec] タブをクリックします。次の項目は、MACsec が構成されているが、動作していないことを示します。
MACsec 構成: 「有効、フェイル クローズ」と表示されます。
事前共有キー: 少なくとも 1 つのキーのステータスが「有効、使用中」と表示されます。
gcloud
出力は次のようになります。bundleOperationalStatus が BUNDLE_OPERATIONAL_STATUS_UP、circuitId lacpStatus state が ACTIVE、operationalStatus が LINK_OPERATIONAL_STATUS_UP、circuitId lacpStatus state が DETACHED、operationalStatus が LINK_OPERATIONAL_STATUS_UP にそれぞれ設定されていることを確認します。
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
- circuitId: LOOP-1
googleDemarc: fake-local-demarc-1
lacpStatus:
googleSystemId: '00:11:22:33:44:66'
neighborSystemId: '66:44:33:22:11:00'
state: DETACHED
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
この例において、次の項目は MACsec が有効かつ動作中であることを示しています。トラフィックが回路を通過していますが、2 つのリンクのどちらかしか表示されていません。
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UPlinks.circuitId: LOOP-0:links.lacpStatus.state: ACTIVElinks.macsec.ckn: 0101010189abcdef...0123456789abcdeflinks.macsec.operational: truelinks.operationalStatus: LINK_OPERATIONAL_STATUS_UP
links.circuitId: LOOP-1:links.lacpStatus.state: DETACHEDlinks.macsec.ckn: 0101010189abcdef...0123456789abcdeflinks.macsec.operational: falselinks.operationalStatus: LINK_OPERATIONAL_STATUS_UP
この場合、bundleOperationalStatus は BUNDLE_OPERATIONAL_STATUS_UP です。links.circuitId: LOOP-0 は、links.lacpStatus.state が ACTIVE であり、links.macsec.operational が true であることを示しています。最初のリンクは想定どおりに機能しており、トラフィックが通過しています。
ただし、links.circuitId: LOOP-1 には links.lacpStatus.state が DETACHED であり、links.macsec.operational が false であることが示されます。2 番目のリンクは期待どおりに機能していません。また、トラフィックは通過していません。
ただし、MACsec はいずれの物理リンクのステータスにも影響しません。したがって、両方のリンクで links.operationalStatus が LINK_OPERATIONAL_STATUS_UP として表示されます。この状態は、いずれかのリンクで MACsec が停止しても、物理レイヤが動作している限り維持されます。
MACsec が有効で動作していない、フェイルオープンがオン
次のオプションのいずれかを選択します。
コンソール
Cloud de Confiance コンソールで、Cloud Interconnect の [物理接続] タブに移動します。
表示する Cloud Interconnect 接続を選択します。次の項目は、MACsec が有効であるが、動作していないことを示します。トラフィックはリンクを通過しています。
リンク状態: すべてのリンクで (アクティブ)と表示されます。
MACsec キー名: すべてのリンクに対して (警告)が表示されます。MACsec キー名は各接続の後に表示されます。
[MACsec] タブをクリックします。次の項目は、MACsec が構成されているが、動作していないことを示します。
MACsec 構成: 「有効、フェイルオープン」と表示されます。
事前共有キー: 少なくとも 1 つのキーのステータスが「アクティブ」と表示されます。
gcloud
出力は次のようになります。
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
この例では、次のようになります。
links.macsec値は MACsec が有効であることを示します。bundleOperationalStatusはBUNDLE_OPERATIONAL_STATUS_UPになります。これは、Cloud Interconnect 接続が動作可能であることを示します。macsec.operationalはfalseになります。これは、MACsec が動作していないことを示します。
Cloud Interconnect 接続がフェイルオープンに設定されていることを確認するには、次のコマンドを実行します。
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
リンクがフェイルオープンに設定されている場合、出力は次のようになります。macsec セクションで macsecEnabled が true に設定されています。
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: true
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
MACsec が無効
次のオプションのいずれかを選択します。
コンソール
- Cloud de Confiance コンソールで、Cloud Interconnect の [物理接続] タブに移動します。
表示する Cloud Interconnect 接続を選択します。次の項目は、MACsec が無効になっていることを示します。トラフィックはリンクを通過していません。
リンク状態: すべてのリンクで (アクティブ)と表示されます。
MACsec キー名: すべてのリンクについて、空のテキストが表示され、ステータスは表示されません。
[MACsec] タブをクリックします。次の項目は、MACsec が構成されているが、動作していないことを示します。
MACsec 構成: 「無効」と表示されます。
事前共有キー: 少なくとも 1 つのキーのステータスが「アクティブ」と表示されます。
gcloud
出力は次のようになります。bundleOperationalStatus が BUNDLE_OPERATIONAL_STATUS_UP に設定され、circuitId lacpStatus state が ACTIVE に設定され、operationalStatus が LINK_OPERATIONAL_STATUS_UP に設定されていることを確認します。
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
この例では、出力に links.macsec がありません。これは、MACsec が無効で動作していないことを示します。暗号化されていないトラフィックはリンクを通過しています。
MACsec が無効であるため、links.macsec.ckn と links.macsec.operational にはどちらも値が表示されていません。