MACsec for Cloud Interconnect 概览

MACsec for Cloud Interconnect 可帮助您保护 Cloud Interconnect 连接上的流量,尤其是本地路由器和 Google 边缘路由器之间的流量。MACsec for Cloud Interconnect 使用 IEEE 标准 802.1AE 媒体访问控制安全 (MACsec) 来加密本地路由器和 Google 边缘路由器之间的流量。

MACsec for Cloud Interconnect 不会在 Google 内部提供传输加密。为了提高安全性,我们建议您将 MACsec 与其他网络安全协议(例如 IP 安全 (IPsec) 和传输层安全协议 (TLS))搭配使用。如需详细了解如何使用 IPsec 保护传入 Google Cloud 的网络流量,请参阅通过 Cloud Interconnect 的高可用性 VPN 概览

MACsec for Cloud Interconnect 适用于 10 Gbps 和 100 Gbps 线路。不过,如需为 10-Gbps 线路订购 MACsec for Cloud Interconnect,您必须与客户经理联系。

MACsec for Cloud Interconnect 支持所有 VLAN 连接功能,包括 IPv4、IPv6 和 IPsec。

下图展示了 MACsec 如何加密流量。图 1 演示了 MACsec 加密专用互连上的流量。图 2 演示了 MACsec 加密合作伙伴互连上的流量。

图 1. MACsec 会对 Google 的对等互连边缘路由器和本地路由器之间的专用互连上的流量进行加密。
图 1. MACsec 会加密 Google 对等互连边缘路由器与本地路由器之间的专用互连上的流量(点击可放大)。


图 2. MACsec 会对 Google 的对等互连边缘路由器和服务提供商的对等互连边缘路由器之间的合作伙伴互连流量进行加密。
图 2. MACsec 会对 Google 的对等互连边缘路由器与服务提供商的对等互连边缘路由器之间的流量进行加密(点击可放大)。

如需在合作伙伴互连上使用 MACsec,请与您的服务提供商合作,确保网络流量通过提供商的网络进行加密。

MACsec for Cloud Interconnect 的工作原理

MACsec for Cloud Interconnect 有助于保护本地路由器与 Google 的对等互连边缘路由器之间的流量。您可以使用 Google Cloud CLI (gcloud CLI) 或 Google Cloud 控制台生成 GCM-AES-256 连接关联密钥 (CAK) 和连接关联密钥名称 (CKN) 值。将路由器配置为使用 CAK 和 CKN 值以配置 MACsec。在路由器和 Cloud Interconnect 中启用 MACsec 后,MACsec 会加密本地路由器和 Google 的对等互连边缘路由器之间的流量。

支持的本地路由器

您可以将本地路由器用于 MACsec for Cloud Interconnect,这些路由器支持下表中列出的 MACsec 规范。

设置
MACsec 加密套件
  • GCM-AES-256-XPN
  • GCM-AES-256
CAK 加密算法 AES_256_CMAC
密钥服务器优先级 15
安全关联密钥 (SAK) 密钥更新间隔 28800 秒
MACsec 机密性偏移量 0
窗口大小 64
完整性检查值 (ICV) 指示符
安全信道标识符 (SCI) 已启用

MACsec for Cloud Interconnect 支持最多五个密钥的无中断密钥轮替。

Cisco、Juniper 和 Arista 制造的多种路由器符合规范。我们无法推荐特定路由器。我们建议您咨询您的路由器供应商,以确定哪个模型最符合您的需求。

MACsec for Cloud Interconnect 使用准备工作

确保您满足以下要求:

  • 了解基本网络互连,以便订购和配置网络线路。

  • 了解专用互连合作伙伴互连之间的区别和要求。

  • 拥有本地边缘路由器的管理员访问权限。

  • 检查对接网点是否提供 MACsec。

MACsec for Cloud Interconnect 设置步骤

验证 MACsec for Cloud Interconnect 可以在对接网点处使用后,检查您是否已具有支持 MACsec 的 Cloud Interconnect 连接。否则,请订购支持 MACsec 的 Cloud Interconnect 连接。

在您的 Cloud Interconnect 连接完成测试并可供使用后,您可以通过创建 MACsec 预共享密钥并配置本地路由器来设置 MACsec。然后,您可以启用 MACsec 并验证它是否已为您的链路启用且可正常运行。最后,您可以监控 MACsec 连接以确保它正常运行。

MACsec 可用性

无论位置如何,所有 Cloud Interconnect 100-Gbps 连接都支持 MACsec for Cloud Interconnect。

MACsec for Cloud Interconnect 仅在 10-Gbps 线路的所有对接网点可用。如需详细了解对接网点提供的功能,请参阅位置表

如需了解哪些具有 10-Gbps 线路的对接网点支持 MACsec for Cloud Interconnect,请执行以下操作。 系统仅会针对列入许可名单的项目显示 10-Gbps 线路的 MACsec 可用性。如需为 10-Gbps 线路订购 MACsec for Cloud Interconnect,您必须与客户经理联系。

控制台

  1. 在 Google Cloud 控制台中,进入 Cloud Interconnect 物理连接标签页。

    转到物理连接

  2. 点击设置物理连接

  3. 选择专用互连,然后点击继续

  4. 选择订购新的专用互连,然后点击继续

  5. Google Cloud 位置字段中,点击选择

  6. 选择对接网点窗格中,找到要在其中建立 Cloud Interconnect 连接的城市。在地理位置字段中,选择一个地理区域。针对当前项目的 MACsec 支持列显示了适用于 MACsec for Cloud Interconnect 的线路大小。

gcloud

  1. 向 Google Cloud CLI 进行身份验证:

    gcloud auth login
    
  2. 如需了解对接网点是否支持 MACsec for Cloud Interconnect,请执行以下操作之一:

    • 验证特定对接网点是否支持 MACsec for Cloud Interconnect:

      gcloud compute interconnects locations describe COLOCATION_FACILITY
      

      COLOCATION_FACILITY 替换为位置表中列出的对接网点名称。

      输出内容类似以下示例。记下 availableFeatures 部分。支持 MACsec 的连接会显示以下内容:

      • 对于 10-Gbps 链路:linkType: LINK_TYPE_ETHERNET_10G_LRavailableFeatures: IF_MACSEC
      • 对于 100 Gbps 链路:linkType: LINK_TYPE_ETHERNET_100G_LR;所有 100 Gbps 链路都支持 MACsec
      address: |-
        Equinix
        47 Bourke Road
        Alexandria
        Sydney, New South Wales 2015
        Australia
      availabilityZone: zone1
      availableFeatures:
      - IF_MACSEC
      availableLinkTypes:
      - LINK_TYPE_ETHERNET_10G_LR
      - LINK_TYPE_ETHERNET_100G_LR
      city: Sydney
      continent: C_ASIA_PAC
      creationTimestamp: '2019-12-05T12:56:15.000-08:00'
      description: Equinix Sydney (SY3)
      facilityProvider: Equinix
      facilityProviderFacilityId: SY3
      id: '1173'
      kind: compute#interconnectLocation
      name: syd-zone1-1605
      peeringdbFacilityId: '1605'
      regionInfos:
      - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1
      - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2
      - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7
      selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605
      status: AVAILABLE
      
    • 列出 10-Gbps 线路上支持 MACsec for Cloud Interconnect 的所有对接网点:

      gcloud compute interconnects locations list \
          --filter "availableFeatures: (IF_MACSEC)"
      

      输出类似于以下内容:

      NAME                  DESCRIPTION              FACILITY_PROVIDER
      ... <stripped>
      syd-zone1-1605        Equinix Sydney (SY3)     Equinix
      ... <stripped>
      
    • 列出具有 100-Gbps 链路的所有对接网点,因此默认提供 MACsec:

      gcloud compute interconnects locations list \
          --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"
      

      输出类似于以下内容:

      NAME                  DESCRIPTION              FACILITY_PROVIDER
      ... <stripped>
      syd-zone1-1605        Equinix Sydney (SY3)     Equinix
      ... <stripped>
      

现有 Cloud Interconnect 连接的 MACsec 支持

现有的 100-Gbps Cloud Interconnect 连接支持 MACsec for Cloud Interconnect。

如果您的连接速度为 10 Gbps,请在对接网点检查 MACsec 可用性。如果对接网点提供 MACsec 支持,请验证 Cloud Interconnect 是否支持 MACsec

如果现有 Cloud Interconnect 连接不支持 MACsec,我可以启用它吗?

如果您的对接网点不支持 MACsec,您可以执行以下操作之一:

  • 请求新的 Cloud Interconnect 连接并将 MACsec 请求为必需功能。

  • 请联系您的 Google Cloud 客户经理,以安排将现有 Cloud Interconnect 连接迁移到支持 MACsec 的端口。

由于计划限制,物理迁移连接可能需要几周才能完成。迁移需要一个维护期,要求您的 Cloud Interconnect 连接没有任何生产流量。

后续步骤