Ver el estado de MACsec

En esta página se describe cómo ver el estado de los circuitos MACsec para Cloud Interconnect.

Selecciona una de las opciones siguientes:

Consola

  1. En la Google Cloud consola, ve a la pestaña Conexiones físicas de Cloud Interconnect.

    Ve a Conexiones físicas.

  2. Selecciona la conexión de Cloud Interconnect que quieras ver.

  3. En la sección Información del circuito de enlace se muestra la siguiente información:

    1. ID de circuito de Google: nombre del circuito de enlace.

    2. Estado del enlace: estado físico del enlace, que puede ser uno de los siguientes:

      • Activo para indicar que el enlace miembro de LACP está activo.

      • LACP Desconectado para indicar que el enlace de miembro de LACP no funciona.

    3. Nombre de la clave MACsec: el estado de MACsec del enlace y la clave MACsec utilizada para proteger la conexión. El estado muestra una de las siguientes opciones:

      • : MACsec está operativo y el enlace está cifrado.

      • : MACsec no funciona y el enlace no está cifrado.

    4. Potencia óptica receptora: un indicador de estado y el nivel de luz óptica que la interfaz física detecta del transmisor remoto en dBm.

    5. Potencia óptica transmisora: un indicador de estado y el nivel de luz óptica que la interfaz física transmite al receptor remoto en dBm.

    6. ID de demarcación de Google: el ID único asignado por Google a la conexión.

  4. Haz clic en la pestaña MACsec. En la configuración de MACsec se muestra una de las siguientes opciones:

    1. Habilitado, fail open: el cifrado MACsec está habilitado en el enlace. Si no se establece el cifrado MACsec entre ambos extremos, el enlace funcionará sin cifrado.

    2. Habilitado, error cerrado: el cifrado MACsec está habilitado en el enlace. Si no se establece el cifrado MACsec entre ambos extremos, el enlace fallará.

    3. Inhabilitado: el cifrado MACsec está inhabilitado en el enlace.

gcloud

Para ver el estado de tus circuitos, usa el siguiente comando:

gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

Sustituye INTERCONNECT_CONNECTION_NAME por el nombre de tu conexión de Cloud Interconnect.

La salida será similar a la siguiente. Busca el valor bundleOperationalStatus asignado a BUNDLE_OPERATIONAL_STATUS_UP, el valor circuitId lacpStatus state asignado a ACTIVE y el valor operationalStatus asignado a LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

En este ejemplo, MACsec está habilitado y operativo en el circuito.

Los siguientes elementos indican el estado de un circuito:

  • bundleOperationalStatus: el estado del paquete de circuitos, que es uno de los siguientes:

    • BUNDLE_OPERATIONAL_STATUS_UP: el paquete de circuitos está disponible.

    • BUNDLE_OPERATIONAL_STATUS_DOWN: el paquete de circuitos no funciona.

  • links.lacpStatus.state: el estado del protocolo de control de agregación de enlaces (LACP) del circuito, que es uno de los siguientes:

    • ACTIVE: LACP está activo.

    • DETACHED: LACP está inactivo.

  • links.macsec.CKN: el nombre de la clave de asociación de conectividad (CKN) que MACsec para Cloud Interconnect está usando activamente en esta conexión.

    Puedes usar gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME para mostrar todas las claves configuradas para tu conexión de Cloud Interconnect. Para obtener más información, consulta Obtener claves MACsec.

    Si tienes configurada más de una clave, se seleccionará como clave activa la que tenga la hora de inicio más reciente. Los routers perimetrales de Google rechazan cualquier sesión MACsec nueva que intente usar las claves antiguas.

  • links.macsec.operational: el estado de MACsec de los circuitos, que es uno de los siguientes:

    • true: MACsec está operativo en este circuito.

    • false: MACsec no funciona en este circuito.

  • links.operationalStatus: el estado de MACsec del enlace, que es uno de los siguientes:

    • LINK_OPERATIONAL_STATUS_UP: la conexión de Cloud Interconnect está operativa.

    • LINK_OPERATIONAL_STATUS_DOWN: la conexión de Cloud Interconnect no funciona.

En las siguientes secciones se muestran ejemplos de estados de MACsec para Cloud Interconnect y cómo se ven en el resultado de la CLI de Google Cloud y la consola de Google Cloud .

MACsec habilitado y operativo

Selecciona una de las opciones siguientes:

Consola

  1. En la Google Cloud consola, ve a la pestaña Conexiones físicas de Cloud Interconnect.

    Ve a Conexiones físicas.

  2. Selecciona la conexión de Cloud Interconnect que quieras ver. Los siguientes elementos indican que MACsec está habilitado y operativo. Los enlaces están transfiriendo tráfico:

    • Estado de la vinculación: muestra Activa en todas las vinculaciones.

    • Nombre de la clave MACsec: muestra en todos los enlaces. El nombre de la clave MACsec se indica después de cada conexión.

  3. Haz clic en la pestaña MACsec. Los siguientes elementos indican que MACsec está configurado y operativo:

    • Configuración de MACsec: muestra uno de los siguientes valores: Habilitado, error abierto o Habilitado, error cerrado.

    • Claves precompartidas: muestra el estado Activa, en uso de al menos una clave en Estado de la clave.

gcloud

La salida será similar a la siguiente. Busca el valor bundleOperationalStatus, que debe ser BUNDLE_OPERATIONAL_STATUS_UP, el valor circuitId lacpStatus state, que debe ser ACTIVE, y el valor operationalStatus, que debe ser LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

En el ejemplo, los siguientes elementos indican que MACsec está habilitado y operativo. El enlace está transfiriendo tráfico:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.lacpStatus.state: ACTIVE
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: true
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

MACsec habilitado, no operativo y fail-open desactivado

Selecciona una de las opciones siguientes:

Consola

  1. En la Google Cloud consola, ve a la pestaña Conexiones físicas de Cloud Interconnect.

    Ve a Conexiones físicas.

  2. Selecciona la conexión de Cloud Interconnect que quieras ver. Los siguientes elementos indican que MACsec está inhabilitado y no funciona. Los enlaces no transfieren tráfico:

    • Estado del enlace: muestra LACP Desconectado en todos los enlaces.

    • Nombre de la clave MACsec: muestra en todos los enlaces. El nombre de la clave MACsec se indica después de cada conexión.

  3. Haz clic en la pestaña MACsec. Los siguientes elementos indican que MACsec está configurado, pero no operativo:

    • Configuración de MACsec: muestra Inactivo.

    • Claves precompartidas: muestra el estado Activa, en uso de al menos una clave en Estado de la clave.

gcloud

El resultado será similar al siguiente. Busca el valor bundleOperationalStatus asignado a BUNDLE_OPERATIONAL_STATUS_DOWN, el valor circuitId lacpStatus state asignado a DETACHED y el valor operationalStatus asignado a LINK_OPERATIONAL_STATUS_UP::

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

En el ejemplo, links.macsec indica que MACsec está habilitado. Los siguientes elementos indican que MACsec no funciona y que el enlace no transmite tráfico:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  • links.lacpStatus.state: DETACHED
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: false
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

En este caso, Google no puede establecer una sesión MACsec. Por lo tanto, links.macsec.operational es false. Como MACsec es un protocolo de seguridad de nivel 2 de nivel inferior, se descartan todos los paquetes de protocolos de nivel superior, incluido LACP. Esto hace que bundleOperationalStatus se asigne a BUNDLE_OPERATIONAL_STATUS_DOWN y que links.lacpStatus.state se asigne a DETACHED.

Sin embargo, MACsec no afecta al estado de la vinculación física. Por lo tanto, links.operationalStatus sigue siendo LINK_OPERATIONAL_STATUS_UP cuando MACsec está inactivo, siempre que la capa física esté operativa.

MACsec habilitado, no todos los enlaces operativos y fail-open desactivado

Selecciona una de las opciones siguientes:

Consola

  1. En la Google Cloud consola, ve a la pestaña Conexiones físicas de Cloud Interconnect.

    Ve a Conexiones físicas.

  2. Selecciona la conexión de Cloud Interconnect que quieras ver. Los siguientes elementos indican que MACsec está habilitado, que no todos los enlaces están operativos y que algunos enlaces están transfiriendo tráfico:

    • Estado del enlace: muestra LACP Desconectado en uno o varios enlaces y Activo en al menos un enlace.

    • Nombre de la clave MACsec: muestra MACsec en este enlace está inactivo en uno o varios enlaces, y MACsec en este enlace está activo en al menos un enlace. El nombre de la clave MACsec se indica después de cada conexión.

  3. Haz clic en la pestaña MACsec. Los siguientes elementos indican que MACsec está configurado, pero no operativo:

    • Configuración de MACsec: muestra Habilitado, error cerrado.

    • Claves precompartidas: muestra el estado Activa, en uso de al menos una clave en Estado de la clave.

gcloud

El resultado es similar al siguiente. Busca bundleOperationalStatus definido como BUNDLE_OPERATIONAL_STATUS_UP, circuitId lacpStatus state definido como ACTIVE, operationalStatus definido como LINK_OPERATIONAL_STATUS_UP, circuitId lacpStatus state definido como DETACHED y operationalStatus definido como LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  - circuitId: LOOP-1
    googleDemarc: fake-local-demarc-1
    lacpStatus:
      googleSystemId: '00:11:22:33:44:66'
      neighborSystemId: '66:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

En el ejemplo, los siguientes elementos indican que MACsec está habilitado y operativo. El circuito está transfiriendo tráfico, pero solo en uno de los dos enlaces mostrados:

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-0:
    • links.lacpStatus.state: ACTIVE
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: true
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-1:
    • links.lacpStatus.state: DETACHED
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: false
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

En este caso, bundleOperationalStatus es BUNDLE_OPERATIONAL_STATUS_UP. Observe que links.circuitId: LOOP-0 muestra que links.lacpStatus.state es ACTIVE y links.macsec.operational es true. El primer enlace funciona correctamente y transfiere tráfico.

Sin embargo, observe que links.circuitId: LOOP-1 muestra que links.lacpStatus.state es DETACHED y que links.macsec.operational es false. El segundo enlace no funciona como debería y no transfiere tráfico.

Sin embargo, MACsec no afecta al estado de ninguno de los enlaces físicos. Por lo tanto, ambos enlaces muestran links.operationalStatus como LINK_OPERATIONAL_STATUS_UP. Este estado se mantiene incluso cuando MACsec no funciona en uno de los enlaces, siempre que la capa física esté operativa.

MACsec habilitado, no operativo y fail-open activado

Selecciona una de las opciones siguientes:

Consola

  1. En la Google Cloud consola, ve a la pestaña Conexiones físicas de Cloud Interconnect.

    Ve a Conexiones físicas.

  2. Selecciona la conexión de Cloud Interconnect que quieras ver. Los siguientes elementos indican que MACsec está habilitado, pero no funciona. Los enlaces están transfiriendo tráfico:

    • Estado de la vinculación: muestra el estado Activo en todas las vinculaciones.

    • Nombre de la clave MACsec: muestra una advertencia en todos los enlaces. El nombre de la clave MACsec se muestra después de cada conexión.

  3. Haz clic en la pestaña MACsec. Los siguientes elementos indican que MACsec está configurado, pero no operativo:

    • Configuración de MACsec: muestra Habilitado, error abierto.

    • Claves precompartidas: muestra el estado Activa de al menos una clave en Estado de la clave.

gcloud

El resultado debería ser similar al siguiente:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

En este ejemplo:

  • Los valores links.macsec indican que MACsec está habilitado.
  • bundleOperationalStatus muestra BUNDLE_OPERATIONAL_STATUS_UP, lo que indica que la conexión de Cloud Interconnect está operativa.
  • macsec.operational muestra false, lo que indica que MACsec no está operativo.

Para verificar que la conexión de Cloud Interconnect está configurada para que se abra en caso de fallo, ejecuta el siguiente comando:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

El resultado es similar al siguiente en el caso de un enlace configurado para que se abra en caso de fallo. Busca la sección macsec, donde macsecEnabled está configurado como true:

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: true
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

MACsec inhabilitado

Selecciona una de las opciones siguientes:

Consola

  1. En la Google Cloud consola, ve a la pestaña Cloud Interconnect > Conexiones físicas.

Ve a Conexiones físicas.

  1. Selecciona la conexión de Cloud Interconnect que quieras ver. Los siguientes elementos indican que MACsec está inhabilitado. Los enlaces no transfieren tráfico:

    • Estado de la vinculación: muestra el estado Activo en todas las vinculaciones.

    • Nombre de la clave MACsec: muestra un texto vacío y ningún estado para todos los enlaces.

  2. Haz clic en la pestaña MACsec. Los siguientes elementos indican que MACsec está configurado, pero no operativo:

    • En Configuración de MACsec se muestra Inhabilitado.

    • Claves precompartidas: muestra el estado Activa de al menos una clave en Estado de la clave.

gcloud

La salida será similar a la siguiente. Busca el valor bundleOperationalStatus asignado a BUNDLE_OPERATIONAL_STATUS_UP, el valor circuitId lacpStatus state asignado a ACTIVE y el valor operationalStatus asignado a LINK_OPERATIONAL_STATUS_UP:

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

En el ejemplo, el hecho de que falte links.macsec en la salida indica que MACsec está inhabilitado y no operativo. El enlace está transfiriendo tráfico sin cifrar.

Como MACsec está inhabilitado, ni links.macsec.ckn ni links.macsec.operational muestran ningún valor.

Siguientes pasos