Привет, Хабр!

Близится к концу 2023 год и ожидаемо, что руководство, сетевики, ИБешники, сисадмины и другие категории специалистов ИТ интересуются количеством принятого и отправленного трафика или с них требуют отчёт использованного трафика.

Шлюзы ZYXEL USG Flex и ATP поддерживают два механизма ведения отчётности. Чем отличаются, как реализованы и настраиваются - об этом подробно рассказывается в статье.

Первый механизм

Первый механизм ведения отчётности компактен и прост. Реализован в веб-интерфейсе (рис.1) и в консольном режиме show report lan1 ip (рис.3). Бесплатны, лицензии и регистрации не требуются. Необходимо включить только одну галочку "Сбор статистики" (зелёная стрелка на рис.1) или configure terminal > report (рис.2), чтобы шлюз начал считать трафик.

Рис.1 - Статистика сетевого-трафика.
Рис.1 - Статистика сетевого-трафика.
Рис.2 - Включение сбора статистики в консоли.
Рис.2 - Включение сбора статистики в консоли.
Рис.3 - Статистика сетевого-трафика в консоли.
Рис.3 - Статистика сетевого-трафика в консоли.

Трафик считает без задержек, т.к. хранит только в своей памяти и в интернет, на облако не отправляет. Графики в веб-интерфейсе сами не обновляются, нужно нажимать кнопку "Обновить" для обновления значений (рис.4).

Рис.4 - Обновление значений статистики.
Рис.4 - Обновление значений статистики.
Лайфхак 1

Для вычисления активно качающих пользователей, можно очистить статистику (кнопка "Очистить"), подождать несколько секунд и "Обновить" статистику. В ней отобразится ТОП 20 IP пользователей или ресурсов, выкачавших или отправивших больше всего трафика. По умолчанию сортировка производится по убыванию трафика.

Tx To - отправлено от интерфейса (порта) шлюза к IP (шлюз -> IP)

Rx From - интерфейс (порт) шлюза принял с IP (шлюз <- IP).

Аналогичная картина с ТОП 20 сервисов/портов, веб-сайтов и стран.

В веб-интерфейсе и в консоли отображается не более ТОП 20 адресов. Сохранить отчёт в pdf нет возможности и вся статистика обнуляется при перезагрузке шлюза или при потере электропитания. Также не получится просмотреть статистику выбранного дня, недели в прошлом или позапрошлом месяце.

Возможно, эти ограничения сделаны для экономии аппаратных ресурсов железки в пользу производительности.

Лайфак 2

Если настроено логирование на лог-сервер, флешку или почту, то статистику трафика можно узнать по сессиям в логам за конкретный период: в какое время и какой IP, мак-адрес и учётка посещали узлы в интернете или кто подключался к WAN порту шлюза.

Не расстраивайтесь, ведение отчётности трафика без ограничений есть и ПОДРОБЕН во втором механизме ведения отчётности с названием "SecuReporter" (далее просто SR).

Второй механизм "SecuReporter"


Слово "SecuReporter" - это фирменное название функционала на шлюзах ATP / USG Flex и является облачным. Статистика трафика хранится в облаке и все дальнейшие работы с отчётами и статистикой ведутся в облаке на ресурсе https://secureporter.cloudcnm.zyxel.com (авторизуется через головной ресурс portal.myzyxel.com).

В SecuReporter, кроме отчётов и статистики по трафику, параллельно мониторятся:

  • события индикаторов безопасности ADP, IP Reputation, IPS, DNS Threat Filter, URL Threat Filter, Antivirus / Malware, Sandboxing, Mail Protection (если лицензии сервисов безопасности активны);

  • события сетевой активности DNS Content Filter, App Patrol, Web Content Filter (если лицензии активны);

  • графики использования CPU, памяти, сессий, физических интерфейсов;

  • системные события, происходящие в шлюзе.

SC на шлюзе бесплатен первые 30 дней, далее нужно активировать приобретением подписки по артикулу у дистрибьюторов или в онлайн-магазинах.

Артикул к конкретной модели можно узнать тут, выбрав в "Service Name -> SecuReporter" .

После приобретения вам пришлют подписку в электронном виде в виде ключа из различных букв и цифр, который вводится в личном кабинете, затем привязывается к шлюзу (если он ранее был зарегистрирован в личном кабинете). Подробнее тут или на этом видеоролике.
Если шлюз сломался или поменяли на другой, лицензию с него можно "перенести" на другой запасной шлюз в этом же личном кабинете.

На самом шлюзе ключ не нужно вводить. Шлюз через интернет синхронизируется с portal.myzyxel.com и автоматически активирует функционал SecuReporter.

После того, как на шлюзе подписка SecuReporter активируется (рис.5), нужно расставить галочки как на рисунках 6 и 7 для того, чтобы статистика, оповещения, события со шлюза передавались в SecuReporter.

Рис.5 - Статус сервиса SecuReporter.5Рис.5 - Включение SecuReporter.
Рис.5 - Статус сервиса SecuReporter.
Рис.6 - Включение SecuReporter.
Рис.6 - Включение SecuReporter.
Рис.7 - Включение анализа устройств для SecuReporter.
Рис.7 - Включение анализа устройств для SecuReporter.

ЧаВо SecuReporter

  • SR - это облачный ресурс, программных и автономных версий нет. Поэтому значения обновляются с задержкой;

  • сервер и хостинг не нужен;

  • просмотр только в режиме веб-страницы;

  • со шлюза нельзя выгрузить pdf. Выгрузить можно только из облака, также отправлять на почту ежесуточно/еженедельно/ежемесячно;

  • веб-сайт и отчёты только на единственном английском яызке;

  • к облаку (secureporter.cloudcnm.zyxel.com) можно подключиться из любой точки мира, где есть интернет;

  • доступ к secureporter.cloudcnm.zyxel.com только по паролю, зарегистрированного на ресурсе portal.myzyxel.com.

  • платный. Пробный период 30 дней;

  • артикул выбирается тут;

  • приобретается у дистрибьюторов или в онлайн-магазинах;

  • активируется ключом только на portal.myzyxel.com в личном кабинете;

  • можно переносить на другие устройства, зарегистрированные в ОДНОМ личном кабинете;

  • приостанавливать срок действия ключа нельзя;

  • поддерживает модели ATP / USG Flex. Также EOL модели ZyWALL / USG (рис.8 или стр.6-7 руководства пользователя SecuReporter).

Рис.8 - Перечень поддерживаемых устройств SecuReporter'ом.
Рис.8 - Перечень поддерживаемых устройств SecuReporter'ом.
  • сроки хранения статистики, отчётов, логов и графиков перечислены ниже в таблице и в конце статьи на рисунке 10 отмечены красным цветом.

Категория

Срок хранения

Графики, счётчики оповещения и т.д.

30 суток

Сессии трафика

7 суток

Суточные логи

1 год

Сохранённые отчёты

1 год

  • данные в SecuReporter можно делать анонимными (рис.9) (у демостенда недоступно).

Рис.10 - Выбор режима анонимности.
Рис.9 - Выбор режима анонимности.

Знакомство вживую

Веб-страница SecuReporter довольно объёмная, парой скриншотов и видеороликов не обойтись для ознакомления, поэтому сразу представляю вашему вниманию схему-навигацию по SecuReporter'у (рис.10), а после схемы размещена ссылка на SecuReporter в режиме демостенда.

Рис.10 - Навигация в SecuReporter.
Рис.10 - Навигация в SecuReporter.

Демостенд SecuReporter (сначала кнопка "Sign In, потом Try Demo").

Об авторе

Кто я? Меня зовут Александр. 17 лет профессионально занимаюсь СКС и сетевым оборудованием. Получил много опыта работы с сетевым оборудованием различных вендоров. Приветствую простоту и дружелюбность конфигурирования/мониторинга сетевого оборудования, ответственность вендора за качество выпускаемой продукции и готовность исправлять недостатки, чтобы не тормозили сдачу новых проектов в назначенные сроки. Меня можно встретить и лично пообщаться в Телеграме - @NSanchez13, так что, если будут вопросы, комментарии, мнения – милости прошу.

Мои предыдущие статьи:
Полезные ссылки:

Комментарии (0)