本頁說明如何查看 Cloud Interconnect 電路的 MACsec 狀態。
選取下列選項之一:
控制台
前往 Google Cloud 控制台的 Cloud Interconnect「實體連線」分頁。
選取要查看的 Cloud Interconnect 連線。
「Link circuit info」(連結電路資訊) 部分會顯示下列資訊:
Google 電路 ID:連結電路的名稱。
連結狀態:連結的實體狀態,可能是下列其中一種:
有效 表示 LACP 成員連結已啟動。
LACP 已卸離,表示 LACP 成員連結已停止運作。
MACsec 金鑰名稱:連結的 MACsec 狀態和用於保護連線的 MACsec 金鑰。狀態會顯示下列其中一種:
:MACsec 運作正常,且連結已加密。
: MACsec 運作中斷,連結未加密。
接收光功率:狀態指標,以及實體介面從遠端傳輸器偵測到的光訊號強度,單位為 dBm。
傳輸光功率:狀態指標,以及實體介面傳輸至遠端接收器的光訊號強度,單位為 dBm。
Google 責任分界點 ID:Google 為連結電路指派的不重複 ID。
按一下「MACsec」MACsec分頁標籤。「MACsec 設定」會顯示下列其中一項 MACsec 設定:
已啟用 (無法開啟):連結已啟用 MACsec 加密功能。如果兩端之間未建立 MACsec 加密,則連結會在沒有加密的情況下運作。
已啟用 (無法關閉):連結已啟用 MACsec 加密功能。如果兩端之間未建立 MACsec 加密,連結就會失敗。
已停用:連結已停用 MACsec 加密。
gcloud
如要查看電路狀態,請使用下列指令:
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME
將 INTERCONNECT_CONNECTION_NAME 改成 Cloud Interconnect 連線的名稱。
輸出內容應如下所示;請尋找設為 BUNDLE_OPERATIONAL_STATUS_UP 的 bundleOperationalStatus、設為 ACTIVE 的 circuitId lacpStatus state,以及設為 LINK_OPERATIONAL_STATUS_UP 的 operationalStatus:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
在這個範例中,電路已啟用 MACsec 並正常運作。
以下項目會指出電路的狀態:
bundleOperationalStatus:電路組合的狀態,可以是下列其中一種:BUNDLE_OPERATIONAL_STATUS_UP:電路組合已啟動。BUNDLE_OPERATIONAL_STATUS_DOWN:電路組合已停機。
links.lacpStatus.state:電路的連結聚合控制通訊協定 (LACP) 狀態,可以是下列其中一種:ACTIVE:LACP 已啟用。DETACHED:LACP 未啟用。
links.macsec.CKN:連線關聯鍵名稱 (CKN),Cloud Interconnect 適用的 MACsec 目前正使用此名稱建立連線。您可以使用
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME顯示為 Cloud Interconnect 連線設定的所有金鑰。詳情請參閱「取得 MACsec 金鑰」。如果設定了多個金鑰,系統會選取啟動時間最新的金鑰做為有效金鑰。Google 的邊緣路由器會拒絕任何嘗試使用舊金鑰的新 MACsec 工作階段。
links.macsec.operational:電路的 MACsec 狀態,可以是下列其中一種:true:這個電路上的 MACsec 正常運作。false:這個電路上的 MACsec 無法運作。
links.operationalStatus:連結的 MACsec 狀態,可以是下列其中一種:LINK_OPERATIONAL_STATUS_UP:Cloud Interconnect 連線運作正常。LINK_OPERATIONAL_STATUS_DOWN:Cloud Interconnect 連線已停止運作。
以下各節將示範 Cloud Interconnect 狀態的 MACsec 範例,以及 Google Cloud CLI 和 Google Cloud 控制台輸出內容的顯示方式。
MACsec 已啟用並運作中
選取下列選項之一:
控制台
前往 Google Cloud 控制台的 Cloud Interconnect「實體連線」分頁。
選取要查看的 Cloud Interconnect 連線。 下列項目表示 MACsec 已啟用並正常運作。連結正在傳輸流量:
連結狀態:顯示所有連結的「有效」。
MACsec 金鑰名稱:顯示所有連結的 。每個連線後方都會列出 MACsec 金鑰名稱。
按一下「MACsec」MACsec分頁標籤。下列項目表示 MACsec 已設定並運作中:
MACsec 設定:顯示「已啟用 (無法開啟)」或「已啟用 (無法關閉)」。
預先共用金鑰:至少一個金鑰的「金鑰狀態」會顯示「有效,使用中」。
gcloud
輸出內容應如下所示;請尋找設為 BUNDLE_OPERATIONAL_STATUS_UP 的 bundleOperationalStatus、設為 ACTIVE 的 circuitId lacpStatus state,以及設為 LINK_OPERATIONAL_STATUS_UP 的 operationalStatus:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
在範例中,下列項目表示 MACsec 已啟用並正常運作。連結正在傳輸流量:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UPlinks.lacpStatus.state: ACTIVElinks.macsec.ckn: 0101010189abcdef...0123456789abcdeflinks.macsec.operational: truelinks.operationalStatus: LINK_OPERATIONAL_STATUS_UP
已啟用 MACsec,但未運作,且未開啟容錯開放
選取下列選項之一:
控制台
前往 Google Cloud 控制台的 Cloud Interconnect「實體連線」分頁。
選取要查看的 Cloud Interconnect 連線。 下列項目表示 MACsec 已停用且無法運作。 連結未傳送流量:
連結狀態:所有連結都會顯示「LACP Detached」(LACP 已分離) 。
MACsec 金鑰名稱:顯示所有連結的 。每個連線後方都會列出 MACsec 金鑰名稱。
按一下「MACsec」MACsec分頁標籤。下列項目表示 MACsec 已設定但無法運作:
MACsec 設定:顯示「關閉」。
預先共用金鑰:至少一個金鑰的「金鑰狀態」會顯示「有效,使用中」。
gcloud
輸出內容會與下列內容相似;請尋找設為 BUNDLE_OPERATIONAL_STATUS_DOWN 的 bundleOperationalStatus、設為 DETACHED 的 circuitId lacpStatus state,以及設為 LINK_OPERATIONAL_STATUS_UP:: 的 operationalStatus:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWN
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: DETACHED
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
在本例中,links.macsec 表示已啟用 MACsec。下列項目表示 MACsec 無法運作,且連結未傳輸流量:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_DOWNlinks.lacpStatus.state: DETACHEDlinks.macsec.ckn: 0101010189abcdef...0123456789abcdeflinks.macsec.operational: falselinks.operationalStatus: LINK_OPERATIONAL_STATUS_UP
在這種情況下,Google 無法建立 MACsec 工作階段。因此 links.macsec.operational 為 false。由於 MACsec 是較低層級的第 2 層安全通訊協定,因此會捨棄較高層級通訊協定的所有封包,包括 LACP。這會導致 bundleOperationalStatus 設為 BUNDLE_OPERATIONAL_STATUS_DOWN,而 links.lacpStatus.state 設為 DETACHED。
不過,MACsec 不會影響實體連結的狀態,因此只要實體層運作正常,即使 MACsec 停止運作,links.operationalStatus 仍會維持 LINK_OPERATIONAL_STATUS_UP 狀態。
已啟用 MACsec,但並非所有連結都能運作,且未開啟故障開放
選取下列選項之一:
控制台
前往 Google Cloud 控制台的 Cloud Interconnect「實體連線」分頁。
選取要查看的 Cloud Interconnect 連線。 下列項目表示已啟用 MACsec,但並非所有連結都正常運作,且部分連結正在傳輸流量:
連結狀態:顯示一或多個連結的 「LACP 已分離」,以及至少一個連結的 「有效」。
MACsec 金鑰名稱:顯示一或多個連結的「這個連結的 MACsec 已停止運作」,以及至少一個連結的「這個連結的 MACsec 已開始運作」。每個連線後方都會列出 MACsec 金鑰名稱。
按一下「MACsec」MACsec分頁標籤。下列項目表示 MACsec 已設定但無法運作:
MACsec 設定:顯示「已啟用 (無法關閉)」。
預先共用金鑰:至少一個金鑰的「金鑰狀態」會顯示「有效,使用中」。
gcloud
輸出內容應如下所示;請尋找設為 BUNDLE_OPERATIONAL_STATUS_UP 的 bundleOperationalStatus、設為 ACTIVE 的 circuitId lacpStatus state、設為 LINK_OPERATIONAL_STATUS_UP 的 operationalStatus、設為 DETACHED 的 circuitId lacpStatus state,以及設為 LINK_OPERATIONAL_STATUS_UP 的 operationalStatus:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: true
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
- circuitId: LOOP-1
googleDemarc: fake-local-demarc-1
lacpStatus:
googleSystemId: '00:11:22:33:44:66'
neighborSystemId: '66:44:33:22:11:00'
state: DETACHED
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
在範例中,下列項目表示 MACsec 已啟用並正常運作。電路正在傳輸流量,但只透過顯示的其中一個連結:
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UPlinks.circuitId: LOOP-0:links.lacpStatus.state: ACTIVElinks.macsec.ckn: 0101010189abcdef...0123456789abcdeflinks.macsec.operational: truelinks.operationalStatus: LINK_OPERATIONAL_STATUS_UP
links.circuitId: LOOP-1:links.lacpStatus.state: DETACHEDlinks.macsec.ckn: 0101010189abcdef...0123456789abcdeflinks.macsec.operational: falselinks.operationalStatus: LINK_OPERATIONAL_STATUS_UP
在本例中,bundleOperationalStatus 為 BUNDLE_OPERATIONAL_STATUS_UP。請注意,links.circuitId: LOOP-0 會顯示 links.lacpStatus.state 為 ACTIVE,而 links.macsec.operational 為 true。第一個連結運作正常,且可傳輸流量。
不過請注意,links.circuitId: LOOP-1 會顯示 links.lacpStatus.state 為 DETACHED,而 links.macsec.operational 為 false。第二個連結無法正常運作,且不會傳送流量。
不過,MACsec 不會影響任一實體連結的狀態,因此兩個連結都會顯示 links.operationalStatus 為 LINK_OPERATIONAL_STATUS_UP。即使其中一個連結的 MACsec 停止運作,只要實體層運作正常,這個狀態就會維持不變。
已啟用 MACsec,但未運作,且已開啟故障開放
選取下列選項之一:
控制台
前往 Google Cloud 控制台的 Cloud Interconnect「實體連線」分頁。
選取要查看的 Cloud Interconnect 連線。 下列項目表示 MACsec 已啟用但無法運作。 連結正在傳送流量:
連結狀態:所有連結都會顯示「有效」。
MACsec 金鑰名稱:顯示所有連結的警告。每個連線後方都會列出 MACsec 金鑰名稱。
按一下「MACsec」MACsec分頁標籤。下列項目表示 MACsec 已設定但無法運作:
MACsec 設定:顯示「已啟用 (無法開啟)」。
預先共用金鑰:至少一個金鑰的「金鑰狀態」顯示為「有效」。
gcloud
輸出結果會與下列內容相似:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_LACP
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
macsec:
ckn: 0101010189abcdef...0123456789abcdef
operational: false
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
在這個例子中:
links.macsec值表示已啟用 MACsec。bundleOperationalStatus會顯示BUNDLE_OPERATIONAL_STATUS_UP,表示 Cloud Interconnect 連線正常運作。macsec.operational會顯示false,表示 MACsec 無法運作。
如要確認 Cloud Interconnect 連線已設為容錯開放,請執行下列指令:
gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME
如果連結設為失敗時開啟,輸出內容會類似以下內容;請尋找 macsec 區段,其中 macsecEnabled 設為 true:
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
googleCircuitId: LOOP-0
googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsec:
failOpen: true
preSharedKeys:
- name: key1
startTime: 2023-07-01T21:00:01.000Z
macsecEnabled: true
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedFeatures:
- IF_MACSEC
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE
MACsec 已停用
選取下列選項之一:
控制台
- 前往 Google Cloud 控制台的 Cloud Interconnect「實體連線」分頁。
選取要查看的 Cloud Interconnect 連線。 如果看到下列項目,表示 MACsec 已停用。連結未傳送流量:
連結狀態:所有連結都會顯示「有效」。
MACsec 金鑰名稱:所有連結都會顯示空白文字,且沒有狀態。
按一下「MACsec」MACsec分頁標籤。下列項目表示 MACsec 已設定但無法運作:
MACsec 設定:顯示「已停用」。
預先共用金鑰:至少一個金鑰的「金鑰狀態」顯示「有效」。
gcloud
輸出內容應如下所示;請尋找設為 BUNDLE_OPERATIONAL_STATUS_UP 的 bundleOperationalStatus、設為 ACTIVE 的 circuitId lacpStatus state,以及設為 LINK_OPERATIONAL_STATUS_UP 的 operationalStatus:
bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
googleDemarc: fake-local-demarc-0
lacpStatus:
googleSystemId: '00:11:22:33:44:55'
neighborSystemId: '55:44:33:22:11:00'
state: ACTIVE
operationalStatus: LINK_OPERATIONAL_STATUS_UP
receivingOpticalPower:
state: OK
value: -2.49
transmittingOpticalPower:
state: OK
value: -0.88
macAddress: 00:11:22:33:44:55
在範例中,輸出內容缺少 links.macsec 表示 MACsec 已停用且無法運作。連結傳送的流量未加密。
由於 MACsec 已停用,因此 links.macsec.ckn 和 links.macsec.operational 都不會顯示值。