Afficher l'état MACsec

Cette page explique comment afficher l'état de votre MACsec pour les circuits Cloud Interconnect.

Sélectionnez l'une des options suivantes :

Console

  1. Dans Google Cloud Console, accédez à l'onglet Connexions physiques de Cloud Interconnect.

    Accéder à l'onglet "Connexions physiques"

  2. Sélectionnez la connexion Cloud Interconnect à afficher.

  3. La section Informations relatives aux circuits de liaison affiche les informations suivantes:

    1. ID de circuit Google:nom du circuit de liaison.

    2. État du lien:état physique du lien, parmi les suivants:

      • Actif pour indiquer que le lien de membre LACP est actif.

      • LACP Détaché pour indiquer que le lien de membre LACP est indisponible.

    3. Nom de la clé MACsec:état MACsec du lien et clé MACsec utilisée pour sécuriser la connexion. L'état affiche l'un des éléments suivants:

      • : MACsec est opérationnel et le lien est chiffré.

      • : MACsec est opérationnelle et le lien n'est pas chiffré.

    4. Réception de la puissance optique: indicateur d'état et niveau de luminosité optique détectés par l'interface physique à partir du transmetteur distant en dBm.

    5. Transmettre la puissance optique:indicateur d'état et niveau de luminosité optique que l'interface physique transmet au récepteur distant en dBm.

    6. ID de démarcation Google:ID unique attribué par Google pour le circuit de liaison.

  4. Cliquez sur l'onglet MACsec. La configuration MACsec affiche l'un des éléments suivants pour votre configuration MACsec:

    1. Activé, configuration ouverte ("fail open") : le chiffrement MACsec est activé sur le lien. Si le chiffrement MACsec n'est pas établi entre les deux extrémités, le lien fonctionne sans chiffrement.

    2. Activé, configuration fermée ("fail closed") : le chiffrement MACsec est activé sur le lien. Si le chiffrement MACsec n'est pas établi entre les deux extrémités, le lien échoue.

    3. Désactivé:le chiffrement MACsec est désactivé sur le lien.

gcloud

Pour afficher l'état de vos circuits, utilisez la commande suivante :

gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

Remplacez INTERCONNECT_CONNECTION_NAME par le nom de votre connexion Cloud Interconnect.

Le résultat ressemble à ce qui suit : recherchez le paramètre bundleOperationalStatus défini sur BUNDLE_OPERATIONAL_STATUS_UP, le paramètre circuitId lacpStatus state défini sur ACTIVE, et le paramètre operationalStatus défini sur LINK_OPERATIONAL_STATUS_UP :

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Dans cet exemple, MACsec est activé et opérationnel sur le circuit.

Les éléments suivants indiquent l'état d'un circuit :

  • bundleOperationalStatus : état du groupe de circuits, dont la valeur est l'un des éléments suivants :

    • BUNDLE_OPERATIONAL_STATUS_UP : le groupe de circuits est opérationnel.

    • BUNDLE_OPERATIONAL_STATUS_DOWN : le groupe de circuits est indisponible.

  • links.lacpStatus.state : état du protocole de contrôle d'agrégation de liens (LACP) du circuit, dont la valeur est l'une des suivantes :

    • ACTIVE : LACP est actif.

    • DETACHED : LACP est inactif.

  • links.macsec.CKN : nom de clé d'association de connectivité (CKN) utilisé activement par MACsec pour Cloud Interconnect pour cette connexion.

    Vous pouvez utiliser gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME pour afficher toutes les clés configurées pour votre connexion Cloud Interconnect. Pour en savoir plus, consultez la section Obtenir des clés MACsec.

    Si plusieurs clés sont configurées, la clé avec la dernière heure de début est sélectionnée comme clé active. Les routeurs périphériques de Google rejettent toutes les nouvelles sessions MACsec qui tentent d'utiliser les anciennes clés.

  • links.macsec.operational : état MACsec des circuits, dont la valeur est l'une des suivantes :

    • true : MACsec est opérationnel sur ce circuit.

    • false : MACsec n'est pas opérationnel sur ce circuit.

  • links.operationalStatus : état MACsec du lien, dont la valeur est l'une des suivantes :

    • LINK_OPERATIONAL_STATUS_UP : la connexion Cloud Interconnect est opérationnelle.

    • LINK_OPERATIONAL_STATUS_DOWN : la connexion Cloud Interconnect n'est pas opérationnelle.

Les sections suivantes présentent des exemples d'états MACsec pour Cloud Interconnect et leur apparence dans le résultat dans Google Cloud CLI et la console Google Cloud.

MACsec activé et opérationnel

Sélectionnez l'une des options suivantes :

Console

  1. Dans Google Cloud Console, accédez à l'onglet Connexions physiques de Cloud Interconnect.

    Accéder à l'onglet "Connexions physiques"

  2. Sélectionnez la connexion Cloud Interconnect à afficher. Les éléments suivants indiquent que MACsec est activé et opérationnel. Les liens transmettent du trafic:

    • État du lien: affiche Actif pour tous les liens.

    • Nom de la clé MACsec:affiche pour tous les liens. Le nom de la clé MACsec est répertorié après chaque connexion.

  3. Cliquez sur l'onglet MACsec. Les éléments suivants indiquent que MACsec est configuré et opérationnel:

    • Configuration MACsec : affiche l'une des options suivantes : Activé, échec d'ouverture ou Activé, échec de fermeture.

    • Clés prépartagées:affiche Actif, utilisé pour au moins l'état de la clé d'une clé.

gcloud

Le résultat ressemble à ce qui suit : recherchez le paramètre bundleOperationalStatus défini sur BUNDLE_OPERATIONAL_STATUS_UP, le paramètre circuitId lacpStatus state défini sur ACTIVE, et le paramètre operationalStatus défini sur LINK_OPERATIONAL_STATUS_UP :

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Dans l'exemple, les éléments suivants indiquent que MACsec est activé et opérationnel. Le lien transmet du trafic :

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.lacpStatus.state: ACTIVE
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: true
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

MACsec activé et non opérationnel, et configuration ouverte désactivée

Sélectionnez l'une des options suivantes :

Console

  1. Dans Google Cloud Console, accédez à l'onglet Connexions physiques de Cloud Interconnect.

    Accéder à l'onglet "Connexions physiques"

  2. Sélectionnez la connexion Cloud Interconnect à afficher. Les éléments suivants indiquent que MACsec est désactivé et non opérationnel. Les liens ne transmettent pas de trafic:

    • État du lien: affiche LACP détaché pour tous les liens.

    • Nom de la clé MACsec:affiche pour tous les liens. Le nom de la clé MACsec est répertorié après chaque connexion.

  3. Cliquez sur l'onglet MACsec. Les éléments suivants indiquent que MACsec est configuré et non opérationnel:

    • Configuration MACsec:affiche Bas.

    • Clés prépartagées:affiche Actif, utilisé pour au moins l'état de la clé d'une clé.

gcloud

Le résultat ressemble à ce qui suit : Recherchez le paramètre bundleOperationalStatus défini sur BUNDLE_OPERATIONAL_STATUS_DOWN, le paramètre circuitId lacpStatus state défini sur DETACHED, et le paramètre operationalStatus défini sur LINK_OPERATIONAL_STATUS_UP :

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Dans l'exemple, links.macsec indique que MACsec est activé. Les éléments suivants indiquent que MACsec n'est pas opérationnel et que le lien ne transmet pas de trafic :

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
  • links.lacpStatus.state: DETACHED
  • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
  • links.macsec.operational: false
  • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

Dans ce cas, Google ne peut pas établir de session MACsec. Par conséquent, la valeur de links.macsec.operational est false. MACsec étant un protocole de sécurité de couche 2 de niveau inférieur, tous les paquets des protocoles de niveau supérieur sont supprimés, y compris LACP. Par conséquent, bundleOperationalStatus est défini sur BUNDLE_OPERATIONAL_STATUS_DOWN et links.lacpStatus.state est défini sur DETACHED.

Toutefois, MACsec n'affecte pas l'état du lien physique. Par conséquent, links.operationalStatus reste LINK_OPERATIONAL_STATUS_UP lorsque MACsec est indisponible tant que la couche physique est opérationnelle.

MACsec activé, tous les liens ne sont pas opérationnels et configuration ouverte désactivée

Sélectionnez l'une des options suivantes :

Console

  1. Dans Google Cloud Console, accédez à l'onglet Connexions physiques de Cloud Interconnect.

    Accéder à l'onglet "Connexions physiques"

  2. Sélectionnez la connexion Cloud Interconnect à afficher. Les éléments suivants indiquent que MACsec est activé, que tous les liens ne sont pas opérationnels et que certains liens transmettent du trafic:

    • État du lien:affiche LACP détaché pour une ou plusieurs liaisons et Actif pour au moins une.

    • Nom de la clé MACsec:affiche MACsec sur ce lien est indisponible pour un ou plusieurs liens, et MACsec sur ce lien est disponible pour au moins un lien. Le nom de la clé MACsec est répertorié après chaque connexion.

  3. Cliquez sur l'onglet MACsec. Les éléments suivants indiquent que MACsec est configuré et non opérationnel:

    • Configuration MACsec:affiche Activé, échec de fermeture.

    • Clés prépartagées:affiche Actif, utilisé pour au moins l'état de la clé d'une clé.

gcloud

Le résultat ressemble à ce qui suit : recherchez le paramètre bundleOperationalStatus défini sur BUNDLE_OPERATIONAL_STATUS_UP, le paramètre circuitId lacpStatus state défini sur ACTIVE, le paramètre operationalStatus défini sur LINK_OPERATIONAL_STATUS_UP, le paramètre circuitId lacpStatus state défini sur DETACHED et le paramètre operationalStatus défini sur LINK_OPERATIONAL_STATUS_UP :

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: true
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  - circuitId: LOOP-1
    googleDemarc: fake-local-demarc-1
    lacpStatus:
      googleSystemId: '00:11:22:33:44:66'
      neighborSystemId: '66:44:33:22:11:00'
      state: DETACHED
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Dans l'exemple, les éléments suivants indiquent que MACsec est activé et opérationnel. Ce circuit transmet du trafic, mais seulement sur l'un des deux liens affichés :

  • bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-0:
    • links.lacpStatus.state: ACTIVE
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: true
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP
  • links.circuitId: LOOP-1:
    • links.lacpStatus.state: DETACHED
    • links.macsec.ckn: 0101010189abcdef...0123456789abcdef
    • links.macsec.operational: false
    • links.operationalStatus: LINK_OPERATIONAL_STATUS_UP

Dans ce cas, la valeur de bundleOperationalStatus est BUNDLE_OPERATIONAL_STATUS_UP. Notez que links.circuitId: LOOP-0 indique que la valeur de links.lacpStatus.state est ACTIVE et que la valeur de links.macsec.operational est true. Le premier lien fonctionne comme prévu et transmet du trafic.

Notez toutefois que links.circuitId: LOOP-1 affiche que la valeur de links.lacpStatus.state est DETACHED et que la valeur de links.macsec.operational est false. Le deuxième lien ne fonctionne pas comme prévu et ne transmet pas le trafic.

Toutefois, MACsec n'affecte pas l'état des liens physiques. Par conséquent, les deux liens affichent que la valeur de links.operationalStatus est LINK_OPERATIONAL_STATUS_UP. Cet état reste le même, même lorsque MACsec est indisponible pour l'un des liens, tant que la couche physique est opérationnelle.

MACsec activé et non opérationnel, et configuration ouverte activée

Sélectionnez l'une des options suivantes :

Console

  1. Dans Google Cloud Console, accédez à l'onglet Connexions physiques de Cloud Interconnect.

    Accéder à l'onglet "Connexions physiques"

  2. Sélectionnez la connexion Cloud Interconnect à afficher. Les éléments suivants indiquent que MACsec est activé et non opérationnel. Les liens transmettent du trafic:

    • État du lien:affiche Actif pour tous les liens.

    • Nom de la clé MACsec:affiche un avertissement pour tous les liens. Le nom de la clé MACsec est répertorié après chaque connexion.

  3. Cliquez sur l'onglet MACsec. Les éléments suivants indiquent que MACsec est configuré et non opérationnel:

    • Configuration MACsec:affiche Activé, échec d'ouverture.

    • L'option Clés prépartagées:affiche Actif pour au moins l'état de la clé d'une clé.

gcloud

Le résultat ressemble à ce qui suit :

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    macsec:
      ckn: 0101010189abcdef...0123456789abcdef
      operational: false
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Dans cet exemple :

  • Les valeurs links.macsec indiquent que MACsec est activé.
  • bundleOperationalStatus affiche BUNDLE_OPERATIONAL_STATUS_UP, ce qui indique que la connexion Cloud Interconnect est opérationnelle.
  • macsec.operational affiche false, ce qui indique que MACsec n'est pas opérationnel.

Pour vérifier que la connexion Cloud Interconnect est définie sur "fail-open", exécutez la commande suivante :

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

Le résultat ressemble à ce qui suit pour un lien défini sur "fail-open" (Configuration ouverte) : recherchez la section macsecmacsecEnabled est défini sur true :

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: true
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

MACsec désactivé

Sélectionnez l'une des options suivantes :

Console

  1. Dans la console Google Cloud, accédez à l'onglet Connexions physiques de Cloud Interconnect.

Accéder à l'onglet "Connexions physiques"

  1. Sélectionnez la connexion Cloud Interconnect à afficher. Les éléments suivants indiquent que MACsec est désactivé. Les liens ne transmettent pas de trafic:

    • État du lien:affiche Actif pour tous les liens.

    • Nom de la clé MACsec:affiche un texte vide et aucun état pour tous les liens.

  2. Cliquez sur l'onglet MACsec. Les éléments suivants indiquent que MACsec est configuré et non opérationnel:

    • Configuration MACsec:affiche Désactivé.

    • Clés pré-partagées:affiche Actif pour au moins l'état de la clé d'une clé.

gcloud

Le résultat ressemble à ce qui suit : recherchez le paramètre bundleOperationalStatus défini sur BUNDLE_OPERATIONAL_STATUS_UP, le paramètre circuitId lacpStatus state défini sur ACTIVE, et le paramètre operationalStatus défini sur LINK_OPERATIONAL_STATUS_UP :

  bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
  bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
  links:
  - circuitId: LOOP-0
    googleDemarc: fake-local-demarc-0
    lacpStatus:
      googleSystemId: '00:11:22:33:44:55'
      neighborSystemId: '55:44:33:22:11:00'
      state: ACTIVE
    operationalStatus: LINK_OPERATIONAL_STATUS_UP
    receivingOpticalPower:
      state: OK
      value: -2.49
    transmittingOpticalPower:
      state: OK
      value: -0.88
  macAddress: 00:11:22:33:44:55

Dans l'exemple, le fait que links.macsec soit manquant dans la sortie indique que MACsec est désactivé et non opérationnel. Le lien transmet du trafic non chiffré.

Comme MACsec est désactivé, links.macsec.ckn et links.macsec.operational n'affichent pas de valeur.

Étape suivante