停用 MACsec

本頁說明如何停用 Cloud Interconnect 的 MACsec。

您可以停用 MACsec,這在排解連線問題時很有用。

停用 Cloud Interconnect 適用的 MACsec

選取下列選項之一:

控制台

  1. 前往 Google Cloud 控制台的 Cloud Interconnect「實體連線」分頁。

    前往「實體連線」

  2. 選取要修改的連結。

  3. 在「MACsec」分頁中,按一下「停用」

    在確認對話方塊中閱讀訊息,然後按一下確認確認要停用 MACsec,或按一下取消取消。

gcloud

如要停用 Cloud Interconnect 的 MACsec,請執行下列指令:

gcloud compute interconnects macsec update INTERCONNECT_CONNECTION_NAME \
    --no-enabled

INTERCONNECT_CONNECTION_NAME 改成 Cloud Interconnect 連線的名稱。

驗證 MACsec 設定

選取下列選項之一:

控制台

  1. 前往 Google Cloud 控制台的 Cloud Interconnect「實體連線」分頁。

    前往「實體連線」

  2. 選取要查看的連線。

  3. 「Link circuit info」(連結電路資訊) 部分會顯示下列資訊:

    • Google 電路 ID:連結電路的名稱。

    • 連結狀態:LACP 成員連結的實體狀態會顯示「檢查」和「啟用」,表示 LACP 成員連結已啟動。

    • MACsec 金鑰名稱:停用 MACsec 時,這個欄位會空白。

    • 接收光功率:勾號表示連線正常。實體介面從遠端發射器偵測到的光訊號強度會以 dBm 為單位顯示。

    • 傳輸光功率:勾選表示連線可接受,且實體介面傳輸至遠端接收器的光訊號強度會以 dBm 為單位顯示。

  4. 「MACsec configuration」會顯示「Disabled」,表示連結已停用 MACsec 加密功能。

gcloud

如要驗證 Cloud Interconnect MACsec 設定,請執行下列指令:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

輸出結果會與下列內容相似:

adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
  failOpen: false
  preSharedKeys:
  - name: key1
    startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: false
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

下列項目會指定 MACsec 連線的設定:

  • macsec.failOpen如果 Cloud Interconnect 無法與路由器建立 MKA 工作階段,連線的行為。這個值可以是下列任一項目:

    • false如果無法建立 MKA 會期,Cloud Interconnect 會捨棄所有流量。

    • true如果無法建立 MKA 會期,Cloud Interconnect 會傳遞未加密的流量。

  • macsec.preSharedKeys.name這個連結會列出為 Cloud Interconnect 設定的所有預先共用金鑰。

  • macsec.preSharedKeys.startTime目前預先共用金鑰生效的時間。所有金鑰的效期皆為無限。

  • macsecEnabled: 連結中 Cloud Interconnect 的 MACsec 狀態。這個值可以是下列任一項目:

    • false: Cloud Interconnect 適用的 MACsec 已關閉。

    • true: Cloud Interconnect 適用的 MACsec 已開啟。

這個指令不會顯示 MACsec 運作狀態。

後續步驟