MACsec aktivieren

Auf dieser Seite wird beschrieben, wie Sie MACsec für Cloud Interconnect aktivieren.

Nachdem Sie vorinstallierte Schlüssel generiert und Ihren lokalen Router für die Verwendung konfiguriert haben, müssen Sie MACsec für Cloud Interconnect aktivieren. Nachdem MACsec für Cloud Interconnect aktiviert wurde, prüfen Sie, ob Ihre Cloud Interconnect-Konfiguration ordnungsgemäß konfiguriert ist und MACsec zum Schutz Ihre Daten verwendet.

Hinweise

Wenn Sie die Einrichtung noch nicht abgeschlossen haben, richten Sie MACsec ein, bevor Sie MACsec für Cloud Interconnect aktivieren.

MACsec für Cloud Interconnect aktivieren

Wählen Sie eine der folgenden Optionen aus:

Console

  1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

    Zu „Physische Verbindungen“

  2. Wählen Sie die Verbindung aus, die Sie ändern möchten.

  3. Klicken Sie auf dem Tab MACsec auf Aktivieren.

    Ein Bestätigungsfenster wird angezeigt. Lesen Sie die Nachricht und klicken Sie dann auf Bestätigen, um zu bestätigen, dass Sie MACsec aktivieren möchten, oder auf Abbrechen, um den Vorgang abzubrechen.

gcloud

Führen Sie folgenden Befehl aus, um MACsec für Cloud Interconnect mit Standardeinstellungen zu aktivieren:

gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --enabled

Ersetzen Sie INTERCONNECT_CONNECTION_NAME durch den Namen Ihrer Cloud Interconnect-Verbindung.

MACsec-Konfiguration verifizieren

Wählen Sie eine der folgenden Optionen aus:

Console

  1. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.

    Zu „Physische Verbindungen“

  2. Wählen Sie die Verbindung aus, die Sie sehen möchten.

  3. Im Bereich Informationen zur Verknüpfungsschaltung werden die folgenden Informationen angezeigt:

    • Google-Schaltungs-ID: der Name der Verknüpfungsschaltung.

    • Linkstatus: Der physische Status des LACP-Mitgliedslinks weist durch ein -Häkchen und Aktiv darauf hin, dass der LACP-Mitgliedslink aktiviert ist.

    • MACsec-Schlüsselname: -Diagnose und der Name des MACsec-Schlüsselnamens geben an, dass MACsec für den Link aktiv ist.

    • Empfangene optische Leistung: Ein -Häkchen weist auf eine akzeptable Verbindung hin. Der optische Lichtpegel, der von der physischen Schnittstelle vom Remote-Sender erkannt wird, wird in dBm angezeigt.

    • Übertragung optischer Leistung: Ein -Häkchen weist auf eine akzeptable Verbindung hin und der optische Lichtpegel, der von der physischen Schnittstelle an den Remote-Empfänger übertragen wird, wird in dBm angezeigt.

    • Google-Abschlusspunkt-ID: Die von Google zugewiesene eindeutige ID für die Verknüpfungsschaltung.

  4. Klicken Sie auf den Tab MACsec. Die MACsec-Konfiguration gibt eine der folgenden Optionen für Ihre MACsec-Konfiguration an:

    • Aktiviert, Fail-Open: Die MACsec-Verschlüsselung ist für den Link aktiviert. Wenn die MACsec-Verschlüsselung zwischen beiden Enden nicht eingerichtet ist, funktioniert der Link ohne Verschlüsselung.

    • Aktiviert, Fail Closed: Die MACsec-Verschlüsselung ist für den Link aktiviert. Wenn die MACsec-Verschlüsselung zwischen beiden Enden nicht eingerichtet ist, schlägt der Link fehl.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

Die Ausgabe sieht etwa so aus wie folgendes Beispiel für eine Cloud Interconnect-Verbindung mit 10 GB. Suchen Sie nach availableFeatures mit dem Wert IF_MACSEC und dem Abschnitt macsec:

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: false
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

Folgende Elemente geben die MACsec-Konfiguration der Cloud Interconnect-Verbindung an:

  • availableFeatures: MACsec-Funktion auf der Cloud Interconnect-Verbindung. Dieser Parameter wird nur für Cloud Interconnect-Verbindungen mit 10 GB angezeigt, da alle Cloud Interconnect-Verbindungen mit 100 GB standardmäßig MACsec-fähig sind.

  • macsec.failOpen: Das Verhalten der Verbindung, wenn Cloud Interconnect keine MKA-Sitzung mit Ihrem Router einrichten kann. Der Wert ist einer der folgenden:

    • false: Wenn keine MKA-Sitzung eingerichtet werden kann, nimmt Cloud Interconnect keinerlei Traffic an.

    • true: Kann keine MKA-Sitzung eingerichtet werden kann, leitet Cloud Interconnect unverschlüsselten Traffic weiter.

  • macsec.preSharedKeys.name: Die Liste aller vorinstallierten Schlüssel, die für Cloud Interconnect über diesen Link konfiguriert wurden.

  • macsec.preSharedKeys.startTime: Die Startzeit, ab der der aktuelle vorinstallierte Schlüssel als gültig gilt. Alle Schlüssel haben eine unbegrenzte Gültigkeit.

  • macsecEnabled: MACsec-Status für Cloud Interconnect über diesen Link. Der Wert ist einer der folgenden:

    • false: MACsec für Cloud Interconnect ist deaktiviert.
    • true: MACsec für Cloud Interconnect ist aktiviert.

Dieser Befehl zeigt nicht den Betriebsstatus von MACsec an.

MACsec auf dem lokalen Router aktivieren

Informationen zum Aktivieren von MACsec in Ihrem lokalen Router finden Sie in der Dokumentation.

Entleeren der Cloud Interconnect-Verbindung rückgängig machen

Wenn Sie Ihre Cloud Interconnect-Verbindung zuvor unterbrochen haben, aktivieren Sie VLAN-Anhänge.

Nächste Schritte