本頁面說明如何查看 Cloud Interconnect 電路的 MACsec 狀態。
選取下列選項之一:
主控台
在 Google Cloud 控制台中,前往 Cloud Interconnect「Physical connections」(實體連線) 分頁。
選取要查看的 Cloud Interconnect 連線。
「Link circuit info」部分會顯示以下資訊:
Google 電路 ID:連結電路的名稱。
連結狀態:連結的實體狀態,可能是下列其中一種:
Active,表示 LACP 成員連結已啟用。
LACP 已卸離,表示 LACP 成員連結已中斷。
MACsec 金鑰名稱:連結的 MACsec 狀態,以及用於保護連線的 MACsec 金鑰。狀態會顯示下列其中一種:
:MACsec 已開始運作,且連結已加密。
:MACsec 已停止運作,且連結未加密。
接收光功率:狀態指標,以及實體介面從遠端發射器偵測到的光訊號強度,單位為 dBm。
傳輸光功率:狀態指標,以及物理介面傳輸至遠端接收器的光訊號強度 (以 dBm 為單位)。
Google 責任分界點 ID:Google 為連結電路指定的不重複 ID。
按一下「MACsec」MACsec分頁標籤。「MACsec 設定」會針對 MACsec 設定顯示下列任一項目:
已啟用 (無法開啟):連結已啟用 MACsec 加密功能。如果兩端之間未建立 MACsec 加密,連結就會在未加密的情況下運作。
已啟用 (無法關閉):連結已啟用 MACsec 加密功能。如果兩端未建立 MACsec 加密,連結就會失敗。
已停用:連結已停用 MACsec 加密。
gcloud
如要查看電路狀態,請使用下列指令:
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME
將 INTERCONNECT_CONNECTION_NAME 替換為 Cloud Interconnect 連線的名稱。
輸出結果會類似以下內容,請找出將 bundleOperationalStatus 設為 BUNDLE_OPERATIONAL_STATUS_UP、將 circuitId lacpStatus state 設為 ACTIVE,以及將 operationalStatus 設為 LINK_OPERATIONAL_STATUS_UP 的部分:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
在這個範例中,MACsec 已啟用並在電路中運作。
下列項目會顯示電路的狀態:
bundleOperationalStatus:電路組合的狀態,可為下列其中一種:BUNDLE_OPERATIONAL_STATUS_UP:電路組合已啟用。BUNDLE_OPERATIONAL_STATUS_DOWN:電路組合無法運作。
links.lacpStatus.state:電路的連結匯集控制通訊協定 (LACP) 狀態,可為下列其中一種:ACTIVE:LACP 已啟用。DETACHED:LACP 未啟用。
links.macsec.CKN:Cloud Interconnect 適用的 MACsec 目前為此連線使用的連線關聯鍵名稱 (CKN)。您可以使用
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME顯示為 Cloud Interconnect 連線設定的所有鍵。詳情請參閱「取得 MACsec 金鑰」。如果您設定了多個鍵,系統會選取最晚開始時間的鍵做為有效鍵。Google 邊緣路由器會拒絕任何嘗試使用舊金鑰的新 MACsec 工作階段。
links.macsec.operational:電路的 MACsec 狀態,可為下列其中一種:true:這個電路的 MACsec 運作正常。false:這個電路無法運作 MACsec。
links.operationalStatus:連結的 MACsec 狀態,可為下列其中一種:LINK_OPERATIONAL_STATUS_UP:Cloud Interconnect 連線已啟用。LINK_OPERATIONAL_STATUS_DOWN:Cloud Interconnect 連線已關閉。
以下各節將示範 Cloud Interconnect 狀態的 MACsec 範例,以及 Google Cloud CLI 和 Google Cloud 控制台的輸出內容。
已啟用並運作 MACsec
選取下列選項之一:
主控台
在 Google Cloud 控制台中,前往 Cloud Interconnect「Physical connections」(實體連線) 分頁。
選取要查看的 Cloud Interconnect 連線。以下項目表示 MACsec 已啟用且可運作。連結會傳遞流量:
連結狀態:顯示所有連結的有效狀態。
MACsec 鍵名:會為所有連結顯示 。每個連線後面都會列出 MACsec 金鑰名稱。
按一下「MACsec」MACsec分頁標籤。以下項目表示 MACsec 已設定且可運作:
MACsec 設定:會顯示「已啟用 (無法開啟)」或「已啟用 (無法關閉)」。
預先共用金鑰:至少有一組金鑰的「金鑰狀態」會顯示「有效,正在使用中」。
gcloud
輸出內容會類似以下內容:請找出 bundleOperationalStatus 是否設為 BUNDLE_OPERATIONAL_STATUS_UP、circuitId lacpStatus state 是否設為 ACTIVE,以及 operationalStatus 是否設為 LINK_OPERATIONAL_STATUS_UP:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
在這個範例中,下列項目表示 MACsec 已啟用且可運作。連結傳送流量:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UPlinks.lacpStatus.state: ACTIVElinks.macsec.ckn: 0101010189abcdef...0123456789abcdeflinks.macsec.operational: truelinks.operationalStatus: LINK_OPERATIONAL_STATUS_UP
已啟用 MACsec,但無法運作,且開啟失敗
選取下列選項之一:
主控台
在 Google Cloud 控制台中,前往 Cloud Interconnect「Physical connections」(實體連線) 分頁。
選取要查看的 Cloud Interconnect 連線。以下項目表示 MACsec 已停用且無法運作。連結未傳送流量:
連結狀態:顯示所有連結的 LACP 已解除連結。
MACsec 鍵名:會為所有連結顯示 。每個連線後面都會列出 MACsec 金鑰名稱。
按一下「MACsec」MACsec分頁標籤。以下項目表示 MACsec 已設定但無法運作:
MACsec 設定:顯示「Down」。
預先共用金鑰:至少有一組金鑰的「金鑰狀態」會顯示「有效,正在使用中」。
gcloud
輸出內容會類似以下內容,請找出將 bundleOperationalStatus 設為 BUNDLE_OPERATIONAL_STATUS_DOWN、將 circuitId lacpStatus state 設為 DETACHED,以及將 operationalStatus 設為 LINK_OPERATIONAL_STATUS_UP 的部分:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: DETACHED
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
在本例中,links.macsec 表示已啟用 MACsec。以下項目表示 MACsec 無法運作,且連結未傳輸流量:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWNlinks.lacpStatus.state: DETACHEDlinks.macsec.ckn: 0101010189abcdef...0123456789abcdeflinks.macsec.operational: falselinks.operationalStatus: LINK_OPERATIONAL_STATUS_UP
在這種情況下,Google 無法建立 MACsec 工作階段。因此 links.macsec.operational 為 false。由於 MACsec 是較低層級的 Layer 2 安全性通訊協定,因此會捨棄所有較高層級通訊協定的封包,包括 LACP。這會導致 bundleOperationalStatus 設為 BUNDLE_OPERATIONAL_STATUS_DOWN,而 links.lacpStatus.state 設為 DETACHED。
不過,MACsec 不會影響實體連結的狀態;因此,只要實體層運作正常,links.operationalStatus 在 MACsec 停用時仍會維持 LINK_OPERATIONAL_STATUS_UP。
已啟用 MACsec,但並非所有連結都運作,且失敗時會開啟
選取下列選項之一:
主控台
在 Google Cloud 控制台中,前往 Cloud Interconnect「Physical connections」(實體連線) 分頁。
選取要查看的 Cloud Interconnect 連線。下列項目表示已啟用 MACsec,但並非所有連結都運作,且部分連結正在傳遞流量:
連結狀態:針對一或多個連結顯示 LACP 已解除連結,以及針對至少一個連結顯示 已啟用。
MACsec 鍵名稱:如果有一個或多個連結,就會顯示 這個連結的 MACsec 已停止運作;如果有至少一個連結,就會顯示 這個連結的 MACsec 已開始運作。每個連線後面都會列出 MACsec 金鑰名稱。
按一下「MACsec」MACsec分頁標籤。以下項目表示 MACsec 已設定但無法運作:
MACsec 設定:顯示「已啟用 (無法關閉)」。
預先共用金鑰:至少有一組金鑰的「金鑰狀態」會顯示「有效,正在使用中」。
gcloud
輸出結果會與下列內容相似,請找出 bundleOperationalStatus 設為 BUNDLE_OPERATIONAL_STATUS_UP、circuitId lacpStatus state 設為 ACTIVE、operationalStatus 設為 LINK_OPERATIONAL_STATUS_UP、circuitId lacpStatus state 設為 DETACHED,以及 operationalStatus 設為 LINK_OPERATIONAL_STATUS_UP:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
- circuitId: LOOP-1
googleDemarc: fake-local-demarc-1
lacpStatus:
googleSystemId: '00:11:22:33:44:66'
neighborSystemId: '66:44:33:22:11:00'
state: DETACHED
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
在這個範例中,下列項目表示 MACsec 已啟用且可運作。迴路會傳送流量,但只會傳送至所顯示的兩個連結之一:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UPlinks.circuitId: LOOP-0:links.lacpStatus.state: ACTIVElinks.macsec.ckn: 0101010189abcdef...0123456789abcdeflinks.macsec.operational: truelinks.operationalStatus: LINK_OPERATIONAL_STATUS_UP
links.circuitId: LOOP-1:links.lacpStatus.state: DETACHEDlinks.macsec.ckn: 0101010189abcdef...0123456789abcdeflinks.macsec.operational: falselinks.operationalStatus: LINK_OPERATIONAL_STATUS_UP
在這種情況下,bundleOperationalStatus 為 BUNDLE_OPERATIONAL_STATUS_UP。請注意,links.circuitId: LOOP-0 會顯示 links.lacpStatus.state 為 ACTIVE,而 links.macsec.operational 為 true。第一個連結運作正常,且可傳遞流量。
不過,請注意,links.circuitId: LOOP-1 會顯示 links.lacpStatus.state 為 DETACHED,而 links.macsec.operational 為 false。第二個連結無法正常運作,且未傳送流量。
不過,MACsec 不會影響任何實體連結的狀態;因此,兩個連結都會將 links.operationalStatus 顯示為 LINK_OPERATIONAL_STATUS_UP。即使其中一個連結的 MACsec 已停止運作,只要實體層仍可運作,這個狀態就會維持不變。
已啟用 MACsec、無法運作且開啟失敗時會啟用
選取下列選項之一:
主控台
在 Google Cloud 控制台中,前往 Cloud Interconnect「Physical connections」(實體連線) 分頁。
選取要查看的 Cloud Interconnect 連線。以下項目表示 MACsec 已啟用且無法運作。連結會傳遞流量:
連結狀態:會顯示所有連結的 「有效」。
MACsec 金鑰名稱:會為所有連結顯示 警告。每個連線後面都會列出 MACsec 金鑰名稱。
按一下「MACsec」MACsec分頁標籤。以下項目表示 MACsec 已設定但無法運作:
MACsec 設定:顯示「已啟用 (無法開啟)」。
預先共用金鑰:至少有一組金鑰的金鑰狀態會顯示「有效」。
gcloud
輸出結果會與下列內容相似:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
在這個例子中:
links.macsec值表示已啟用 MACsec。bundleOperationalStatus會顯示BUNDLE_OPERATIONAL_STATUS_UP,表示 Cloud Interconnect 連線可正常運作。macsec.operational會顯示false,表示 MACsec 無法運作。
如要確認 Cloud Interconnect 連線是否設為失敗時開啟,請執行下列指令:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
如果連結設為失敗時開啟,輸出內容會類似以下內容;請找出 macsec 部分,其中 macsecEnabled 設為 true:
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: true
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
MACsec 已停用
選取下列選項之一:
主控台
- 在 Google Cloud 控制台中,前往 Cloud Interconnect「Physical connections」分頁。
前往「Physical connections」(實體連線)
選取要查看的 Cloud Interconnect 連線。下列項目表示 MACsec 已停用。連結未傳遞流量:
連結狀態:會顯示所有連結的 「有效」。
MACsec 金鑰名稱:顯示空白文字,且所有連結都沒有狀態。
按一下「MACsec」MACsec分頁標籤。以下項目表示 MACsec 已設定但無法運作:
「MACsec 設定」:顯示「已停用」。
預先共用金鑰:至少一個金鑰的金鑰狀態會顯示「有效」。
gcloud
輸出內容會類似以下內容,請找出將 bundleOperationalStatus 設為 BUNDLE_OPERATIONAL_STATUS_UP、將 circuitId lacpStatus state 設為 ACTIVE,以及將 operationalStatus 設為 LINK_OPERATIONAL_STATUS_UP 的部分:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
在這個範例中,輸出內容缺少 links.macsec,表示 MACsec 已停用且無法運作。連結會傳送未加密的流量。
由於 MACsec 已停用,因此 links.macsec.ckn 和 links.macsec.operational 都不會顯示值。