Проектирование локальной вычислительной сети "Трастсеть"

Cisco Catalyst 2960-24LT-L

24 Ethernet 10/100 ports (PoE supported on 8 ports) and 2 fixed Ethernet 10/100/1000 uplink ports

Cisco Catalyst 2960-24PC-L

24 Ethernet 10/100 PoE ports and 2 dual-purpose uplink ports

Cisco Catalyst 2960-24TC-L

24 Ethernet 10/100 ports and 2 dual-purpose uplink ports

Cisco Catalyst 2960-8TC-L

(23000 р.)

8 Ethernet 10/100/1000 ports, 1 of which is dual-purpose; compact size with no fan

Cisco Catalyst 2960G-24TC-L

(53000 р.)

24 Ethernet 10/100/1000 ports, 4 of which are dual-purpose

Cisco Catalyst 2960G-48-TC-L

48 Ethernet 10/100/1000 ports, 4 of which are dual-purpose

Серия Cisco Catalyst 2970 - новое направление в модельном ряде коммутаторов Cisco Catalyst 2940, 2950, 3550 и 3750. Данная серия обеспечивает доступ на скоростях Fast Ethernet и Gigabit Ethernet и рассчитана на офисы малых и средних размеров, а также в качестве центрального узла сети. Серия Catalyst 2970 рассчитана на использование с расширенным программным обеспечением ( Enhanced Image IOS® Software ), которое обеспечивает полномасштабный многоуровневый сервис для обеспечения услуг безопасности, качества обслуживания (QoS) и одновременно обеспечивает работу традиционной коммутации L2.

Основные характеристики Серии управляемых коммутаторов Cisco Catalyst 2970:

- Порты Gigabit Ethernet: серия Catalyst 2970 облегчает переход на Gigabit Ethernet,

используя существующую кабельную систему категории 5.

- Высокая безопасность: поддерживаются протокол 802.1x, функциональность Identity-

Based Networking Services (IBNS), Private VLAN Edge, Port Security, аппаратная реализация списков доступа (ACL) на 2, 3 и 4 уровнях. Для обеспечения безопасности

при администрировании поддерживаются протоколы SSH, SNMPv3, а также центра-

лизованная аутентификация на серверах TACACS+ и RADIUS.

- Высокая доступность: для защиты от сбоев внутренних блоков питания коммутаторы

Catalyst 2970 могут быть подключены к системе Cisco Redundant Power System

(RPS) 675. Помимо стандартного протокола Spanning Tree поддерживаются дополни-

тельные функции, оптимизирующие его работу, - UplinkFast, PortFast, BackboneFast

также поддерживаются протоколы 802.1w, 802.1s и др.

- Расширенная поддержка качества обслуживания (QoS): классификация трафика по

полям DSCP или 802.1p (CoS), а также по исходным и конечным MAC, IP адресам

или портам TCP/UDP, приоритетная очередность и очередность SRR, ограничение

полосы пропускания, функция AutoQoS.

- Удобное управление: новая функциональность Express Setup позволяет настраивать

коммутатор через web - интерфейс, что упрощает первоначальную настройку. ПО

Cisco Cluster Management Suite (CMS) позволяет конфигурировать через web - интерфейс одновременно до 16 коммутаторов, предоставляя средства их пошаговой наст-

ройки и оптимизации генерируемой конфигурации под конкретные задачи.

Таблица 14 - Сравнение коммутаторов Cisco Catalyst 2960 1000

Партномер (3044$)	Описание
Catalyst 2970G-24TS-24	Ethernet 10/100/1000 ports and 4 small form-factor pluggable (SFP) ports
Cisco Catalyst 2970G-24T-24	Ethernet 10/100/1000 ports

Серия Сisco Catalyst 2950 представляет собой семейство коммутаторов как с фиксированной конфигурацией, так и стекируемых. Коммутаторы имеют порты Fast Ethernet и Gigabit Ethernet, предназначены для подключения пользователей в сетях небольшого и среднего размеров.

Основные характеристики серии коммутаторов Сisco Catalyst 2950:

- Высокая безопасность: поддерживаются функциональность Сisco Catalyst 2950 Возможность Port Security, Private VLAN Edge, протокол 802.1x, аутентификация пользователей на серверах TACACS+ или RADIUS. Серия Catalyst 2950 с ПО Enhanced Image (EI) также поддерживает фильтрацию трафика с помощью аппаратной реализации параметров управления доступом (ACP) на 2,3 и 4 уровнях, списки доступа, основанные на времени или на значении DSCP.

- Развитые средства качества обслуживания (QoS): серия Catalyst 2950 EI поддерживает классификацию трафика по полям DSCP или 802.1p (CoS), а также по исходным и конечным MAC, IP адресам или портам TCP/UDP, полисинг и аркирование входящих пакетов, приоритетную очередность и очередность WRR для исходящих пакетов, функциональность AutoQoS.

- Высокая доступность: поддержка резервной системы питания Cisco Redundant Power System 300 (RPS 300) или 675 RPS 675), функциональность IGMP snooping, Per-VLAN Spanning Tree Plus, Multicast VLAN Registration (MVR), дополнительная функциональность Spanning-Tree: PortFast, UplinkFast, BackboneFast.

- Отличная управляемость: внедренное в коммутатор ПО Cisco CMS позволяет управлять до 16 коммутаторами с помощью стандартного web-браузера вне зависимости от их физического расположения, функциональность Cisco Express Sеtup, поддержка управления с помощью SNMP-платформ, таких как CiscoWorks for Switched Internetworks, поддержка SNMP и Telnet, RMON, SPAN, NTP, TFTP.

Варианты программного обеспечения для серии коммутаторов Сisco Catalyst 2950:

- Standard Image (SI). Обеспечивает базовую функциональность Cisco IOS для передачи данных, голоса и видео.

- Enhanced Image (EI). Помимо базовой, обеспечивает расширенную функциональность в области качества обслуживания (QoS), безопасности и доступности.

Таблица 15 - Сравнение коммутаторов Cisco Catalyst 2950 10/100

Партномер (1886$)	Описание
WS-C2950-12	Catalyst 2950-12, 12 портов 10/100, Standard Image
WS-C2950-24	Catalyst 2950-24, 24 порта 10/100, Standard Image
WS-C2950C-24	Catalyst 2950C-24, 24 порта 10/100 + 2 порта 100FX, Enhanced Image
WS-C2950T-24	Catalyst 2950T-24, 24 порта 10/100 +2 порта 10/100/1000T, Enhanced Image
WS-C2950T-48-SI	Catalyst 2950T-48-SI, 48 портов 10/100 + 2 порта 10/100/1000T, Standard Image
WS-C2950G-12-EI	Catalyst 2950G-12-EI, 12 портов 10/100 + 2 слота GBIC, Enhanced Image
WS-C2950G-24-EI	Catalyst 2950G-24-EI, 24 порта 10/100 + 2 слота GBIC, Enhanced Image
WS-C2950G-24-EI-DC	Catalyst 2950G-24-EI-DC, 24 порта 10/100 + 2 слота GBIC, Enhanced Image , DC-версия
WS-C2950G-48-EI	Catalyst 2950G-48-EI, 48 портов 10/100 + 2 слота GBIC, Enhanced Image
WS-C2950SX-24	Catalyst 2950SX-24, 24 порта 10/100 + 2 порта 1000SX, Standard Image

Таблица16 - Таблица сравнения серии коммутаторов ProCurve 2510

	J9019B (7684 р.)	J9020A (18246 р.)	J9279A (25407 р.)	J9280A (49961 р.)
Порты	24 порта с автоматическим определением 10/100 (протокол: IEEE 802.3, тип 10Base-T, протокол IEEE 802.3u, тип 100Base-TХ); Дуплексный режим: полно- или полудуплексный; тип носителя: ProCurve Auto-MDIX; 1 последовательная консоль RJ-45; 2 порта двойного назначения - каждый порт может использоваться как порт RJ-45 с автоматическим определением 10/100/1000 (протокол IEEE 802.3, тип 10Base-T;протокол IEEE 802.3u, тип 100Base-TX; протокол IEEE 802.3ab, 1000Base-T Gigabit Ethernet) или как свободный слот mini-GBIC (для использования с трансиверами mini-GBIC)	48 портов RJ-45 с автоопределением 10/100 (IEEE 802.3, тип 10Base-T, IEEE 802.3u, тип 100Base-TХ); Дуплексный режим: полно- или полудуплексный; Тип носителя: Auto-MDIX; 2 порта RJ-45 с автоопределением 10/100/1000 (протокол IEEE 802.3, тип 10Base-T, протокол IEEE 802.3u, тип 100Base-TX, протокол IEEE 802.3ab, тип 1000Base-T); Дуплексный режим: 10Base-T/100Base-TX: полно- или полудуплексный; 1000Base-T: только полнодуплексный; Тип носителя: Auto-MDIX; 2 слота для mini-GBIC (SFP); 1 последовательный порт консоли RJ-45	20 портов 10/100/1000 (IEEE 802.3, тип 10Base-T, IEEE 802.3u, тип 100Base-TX, IEEE 802.3ab, тип 1000Base-T) Дуплексный режим: 10Base-T/100Base-TX: полно- или полудуплексный; 1000Base-T: только полнодуплексный Тип носителя: Auto-MDIX; 1 последовательный порт консоли RJ-45; 4 порта двойного назначения: каждый порт может использоваться как дополнительный RJ-45 с автоматическим определением 10/100/1000 (IEEE 802.3, тип 10Base-T, IEEE 802.3u, тип 100Base-TX, IEEE 802.3ab 1000Base-T Gigabit Ethernet) или как свободный слот под mini-GBIC (для подключения трансиверов mini-GBIC)	44 порта с автоопределением 10/100/1000 (IEEE 802.3, тип 10Base-T, IEEE 802.3u, тип 100Base-TX, IEEE 802.3ab, тип 1000Base-T); Дуплексный режим: 10Base-T/100Base-TX: полно- или полудуплексный; 1000Base-T: только полнодуплексный; Тип носителя: Auto-MDIX; 1 последовательный порт консоли RJ-45; 4 порта двойного назначения: каждый порт может использоваться как дополнительный RJ-45 с автоматическим определением 10/100/1000 (IEEE 802.3, тип 10Base-T, IEEE 802.3u, тип 100Base-TX, IEEE 802.3ab 1000Base-T Gigabit Ethernet) или как свободный слот под mini-GBIC (для подключения трансиверов mini-GBIC)
ОЗУ	Тип и быстродействие процессора: MIPS, 264 МГц; Ёмкость флэш-памяти: 8 Мб; SDRAM: 64 Мб	MIPS 32, 300 МГц, флэш-память 16 Мб, ОЗУ 128 Мб	MIPS 264 МГц, флэш-память 16 Мб, ОЗУ 64 Мб; Размер пакетного буфера: 0,75 Мб	MIPS 264 МГц, флэш-память 16 Мб, ОЗУ 64 Мб; Размер пакетного буфера: 1,5 Мб
Т зад	100 Мб: < 4,9 мкс (размер пакета 64 байта); 1000 Мб < 2,6 мкс (размер пакета 64 байта)	100 Мб < 4,9 мкс (размер пакета 64 байта); 1000 Мб < 2,9 мкс (размер пакета 64 байта)	<5,6 микросекунды (FIFO пакеты 64 байта)	<5,4 микросекунды (FIFO пакеты 64 байта)
Пр	8,8 Гбит/с	17,6 Гбит/с	48 Гбит/с	96 Гбит/с
Прс	до 6,5 млн. пакетов в секунду (размер пакета 64 байта)	до 13 млн. пакетов в секунду (размер пакета 64 байта)	до 35,7 млн. пакетов в секунду	до 71,4 млн. пакетов в секунду

Таблица17 - Таблица сравнения серии коммутаторов 2610

	J9085A (13641 р.)	J9086A (22813 р.)	J9087A (33848 р.)	J9088A (24922 р.)	J9089A (63734 р.)
Порты	24 порта с автоопределением 10/100 (протокол IEEE 802.3, тип 10Base-T, протокол IEEE 802.3u, тип 100Base-TХ); Дуплексный режим: полно- или полудуплексный; Тип носителя: Auto-MDIX; 1 последовательный порт консоли RJ-45; 2 порта с автоопределением 10/100/1000 (IEEE 802.3, тип 10Base-T, IEEE 802.3u, тип 100Base-TX, IEEE 802.3ab, тип 1000Base-T); Дуплексный режим: 10Base-T/100Base-TX: полно- или полудуплексный; 1000Base-T: только полнодуплексный; 2 слота для mini-GBIC (SFP)	24 порта с автоопределением 10/100 (протокол IEEE 802.3, тип 10Base-T, протокол IEEE 802.3u, тип 100Base-TХ); Тип носителя: Auto-MDIX; Дуплексный режим: полно- или полудуплексный; 1 последовательный порт консоли RJ-45; 2 порта с автоопределением 10/100/1000 (IEEE 802.3, тип 10Base-T, IEEE 802.3u, тип 100Base-TX, IEEE 802.3ab, тип 1000Base-T); Дуплексный режим: 10Base-T/100Base-TX: полно- или полудуплексный; 1000Base-T: только полнодуплексный; 2 слота для mini-GBIC (SFP)	24 порта с автоопределением 10/100 (протокол IEEE 802.3, тип 10Base-T, протокол IEEE 802.3u, тип 100Base-TХ); Тип носителя: Auto-MDIX; Дуплексный режим: полно- или полудуплексный; 1 последовательный порт консоли RJ-45; 2 порта с авторасширением 10/100/1000 (протокол: IEEE 802.3, тип: 10Base-T, IEEE; 802.3u тип: 100Base-TX, IEEE 802.3ab тип: 1000Base-T); Дуплексный режим: 10Base-T/100Base-TX: полно- или полудуплексный; 1000Base-T: только полнодуплексный; 2 слота для mini-GBIC (SFP)	48 портов с автоопределением 10/100 (протокол IEEE 802.3, тип 10Base-T, протокол IEEE 802.3u, тип 100Base-TХ); Тип носителя: Auto-MDIX; Дуплексный режим: полно- или полудуплексный; 1 последовательный порт консоли RJ-45; 2 порта с авторасширением 10/100/1000 (протокол: IEEE 802.3, тип: 10Base-T, IEEE; 802.3u тип: 100Base-TX, IEEE 802.3ab тип: 1000Base-T); Дуплексный режим: 10Base-T/100Base-TX: полно- или полудуплексный; 1000Base-T: только полнодуплексный; 2 слота для mini-GBIC (SFP)	48 портов с автоопределением 10/100 (протокол IEEE 802.3, тип 10Base-T, протокол IEEE 802.3u, тип 100Base-TХ); Тип носителя: Auto-MDIX; Дуплексный режим: полно- или полудуплексный; 1 последовательный порт консоли RJ-45; 2 порта с авторасширением 10/100/1000 (протокол: IEEE 802.3, тип: 10Base-T, IEEE; 802.3u тип: 100Base-TX, IEEE 802.3ab тип: 1000Base-T); Дуплексный режим: 10Base-T/100Base-TX: полно- или полудуплексный; 1000Base-T: только полнодуплексный; 2 слота для mini-GBIC (SFP)
ОЗУ	MIPS 300 МГц, флэш-память 16 Мб, ОЗУ 128 Мб; Размер пакетного буфера: 1 Мб	MIPS 300 МГц, флэш-память 16 Мб, ОЗУ 128 Мб; Размер пакетного буфера: 1 Мб	MIPS 300 МГц, флэш-память 16 Мб, ОЗУ 128 Мб; Размер пакетного буфера: 1 Мб	MIPS 300 МГц, флэш-память 16 Мб, ОЗУ 128 Мб; Размер пакетного буфера: 2 Мб	MIPS 300 МГц, флэш-память 16 Мб, ОЗУ 128 Мб; Размер пакетного буфера: 2 Мб
Тзад	100 Мб: <4,1 миллисекунд (LIFO); 1000 Мб: <2,9 миллисекунд (LIFO)	100 Мб < 4,1 миллисек; 1000 Мб < 2,9 миллисек	100 Мб < 4,1 миллисекунд (LIFO); 1000 Мб < 2,9 миллисекунд (LIFO)	100 Мб < 6,2 миллисекунд (LIFO); 1000 Мб < 4,4 миллисекунд (LIFO)	100 Мб < 6,2 миллисекунд (LIFO); 1000 Мб < 4,4 миллисекунд (LIFO)
Пр	12,8 Гбит/с	12,8 Гбит/с	12,8 Гбит/с	17,6 Гбит/с	17,6 Гбит/с
Прс	до 9,5 млн. пакетов в секунду	до 9,5 млн. пакетов в секунду	до 9,5 млн. пакетов в секунду	до 13,0 млн. пакетов в секунду	до 13,0 млн. пакетов в секунду

Таблица 18 - Сравнение коммутаторов.

	D-Link	Zyxel	CISCO	HP
Плюсы	- дешево - управляемые - L3	- дешево - управляемые - L3 - поддержка лучше чем D-Link	- стабильность работы - длительный период безотказной работы - L2+ - большое количество опций, возможностей	- стабильность работы - длительный период безотказной работы - самый длительный срок гарантии
Минусы	- отсутствие поддержки старого оборудования - слабая техподдержка - наличие проблем - проблемы с прошивками - управление через web-интерфейс	- проблемы с прошивками - управление через web-интерфейс - частые зависания	- дорого	- L2 - дорого - меньшая гибкость, чем CISCO

Вывод:

Выбираем CISCO.

2950 отпадают т.к. нет полностью гигабитных коммутаторов.

2970 дорогие и только гигабитные.

2950+2960 не устраивает, так как разные версии ПО, разные функции.

Выбор: 2960.

Cisco Catalyst 2960-8TC-L - коммутатор здания.

Cisco Catalyst 2960-48TT-L - коммутатор этажа.

3.2.2 Брандмауэр (МСЭ - межсетевой экран)

В настоящее время выбор брандмауэров очень широк, начиная от простого (и бесплатного) Windows Firewall, размещаемого на защищаемой машине, до высокопроизводительных брандмауэров с проверкой состояния пакетов стоимостью в десятки тысяч долларов. При выборе брандмауэра следует учитывать два основных фактора: требования безопасности и стоимость.

Требования безопасности. Требования к безопасности постоянно меняются. Администратор должен сочетать надежную защиту с удобством пользовательского доступа к данным, а также учитывать принципиальные ограничения программ, авторы которых обращали мало внимания на безопасность хост-машины и сети.

Ограничения по стоимости. Цена -- барьер между желаниями и действительностью. Главное препятствие на пути к высокой безопасности -- затраты, которые готов или может нести пользователь. Уровень защиты, обеспечиваемый простым широкополосным маршрутизатором для малого/домашнего офиса с проверкой пакетов, значительно ниже, чем при применении промышленного брандмауэра с проверкой пакетов и контролем на прикладном уровне. В целом, чем выше стоимость брандмауэра, тем надежнее защита. Уровень безопасности соответствует затратам, которые несет предприятие (на разовое приобретение аппаратных средств и программного обеспечения или на оплату консультантов по управлению недорогими решениями).

Стоимость конкретных брандмауэров у разных продавцов может сильно различаться. Приведенная в данном обзоре цена отражает стандартный набор функций без дополнительных модулей, которые приходится покупать отдельно. Модули расширения могут значительно повысить указанную цену.

Параметры аппаратных брандмауэров:

- Контроль на прикладном уровне с учетом состояния. Контроль на прикладном уровне с учетом состояния заключается в проверке, как заголовков протокола, так и прикладных данных с использованием механизма контроля на прикладном уровне. Примеры -- углубленная проверка на прикладном уровне данных и заголовков HTTP, данных и заголовков SMTP, данных и заголовков протокола Instant Messaging (IM).

- Контроль прикладного протокола. Контроль прикладного протокола (иначе, углубленная проверка пакетов -- deep packet inspection) позволяет анализировать протокол прикладного уровня и подтвердить его соответствие стандартам IETF (Internet Engineering Task Force) для наборов команд протоколов. Примеры -- контроль протоколов DNS, FTP, POP3 и SMTP. В процессе контроля прикладного протокола проверка соответствия заданным условиям всех данных на прикладном уровне не выполняется.

- Проверка пакетов на соответствие заданным условиям. Данный метод обеспечивает проверку заголовков сетевого и транспортного уровня в механизме фильтрации пакетов брандмауэра. Проверка пакетов на соответствие заданным условиям применяется практически во всех современных брандмауэрах и одно время была стандартным методом защиты.

- Прозрачная аутентификация Windows. Благодаря прозрачной аутентификации брандмауэр получает учетные данные пользователя из клиентской операционной системы без постороннего вмешательства. Строгий контроль внешнего доступа пользователей и групп осуществляется без запроса учетных данных пользователя.

- Протоколирование всех имен пользователей и приложений Web и Winsock. Протоколирование -- обязательное условие для подготовки исчерпывающих отчетов о соответствии законодательству и эффективного сотрудничества с правоохранительными органами. Через протоколирование имен пользователей и приложений Winsock брандмауэр получает информацию о приложениях и ресурсах, доступных пользователю при подключении через брандмауэр.

- Контроль на прикладном уровне через туннели SSL (Secure Sockets Layer). Такой контроль позволяет выполнить проверку на соответствие заданным условиям и проанализировать протокол соединения в шифрованном туннеле SSL. Брандмауэры, которые обеспечивают только проверку пакетов на соответствие заданным условиям, не могут контролировать заголовки и данные прикладного уровня в шифрованных туннелях SSL.

- Поддержка Microsoft Exchange Server. Брандмауэры со встроенной поддержкой Exchange повышают безопасность удаленных соединений через Internet со службами Exchange, в том числе Outlook Web Access (OWA), Outlook Mobile Access (OMA), Exchange ActiveSync, Secure Exchange RPC и RPC over HTTP. Эта характеристика охватывает встроенные функции двухфакторной аутентификации, например RSA SecurID компании RSA Security.\

- Контроль шлюзового и клиентского трафика VPN на прикладном уровне. Благодаря контролю шлюзовых и клиентских соединений VPN брандмауэр проверяет как пакеты на соответствие заданным условиям, так и туннельные соединения через PPTP, Layer Two Tunneling Protocol (L2TP)/IPsec или IPsec на прикладном уровне. Контроль на прикладном уровне соединений через канал VPN предотвращает распространение таких «червей», как Blaster и Sasser. Например, брандмауэр ISA Server 2004 компании Microsoft обеспечивает соответствие стандарту вызовов удаленных процедур RPC (remote procedure call) и блокирует Blaster и аналогичные угрозы.

- Обнаружение и предотвращение несанкционированного доступа. Методы обнаружения и предотвращения несанкционированного доступа ориентированы на аномалии сетевого и транспортного уровня, угрожающие набору протоколов TCP/IP брандмауэра. Большинство брандмауэров систем обнаружения и предупреждения вторжений Intrusion Detection System (IDS)/Intrusion Prevention System (IPS) можно настроить на пересылку предупреждений администраторам без активных действий или предупреждение с принятием мер для предотвращения нападения. На практике большинство брандмауэров IDS/IPS запрещают попытки несанкционированного доступа в момент обнаружения.

- Сервер удаленного доступа VPN и шлюз VPN. Сервер удаленного доступа VPN принимает клиентские соединения VPN от систем и подключает эту систему в корпоративную сеть. Шлюз VPN связывает целые сети через межсайтовое VPN-соединение.

- VPN-клиент. Для всех традиционных удаленных клиентских соединений VPN необходима клиентская программа (в бесклиентских SSL VPN в качестве клиента используется браузер). Большинство брандмауэров обеспечивают соединения PPTP и L2TP/IPsec со встроенным в Windows VPN-клиентом от Microsoft. Для некоторых брандмауэров требуются дополнительная (расширенная) клиентская программа VPN, которая обеспечивает проверку соответствия требованиям безопасности клиента VPN, и специальные протоколы IPsec для прохождения трансляции сетевых адресов NAT (Network Address Translation). Эти программы могут предоставляться бесплатно, но иногда их приходится покупать отдельно.

- 10/100-Мбит/с порты локальной сети. Брандмауэр с несколькими портами Ethernet, выделенными для локальных соединений, обеспечивает более глубокую физическую сегментацию зон безопасности. В некоторых брандмауэрах имеется несколько портов Ethernet, но ограничено число портов, которые могут использоваться для подключения к Internet.

- Порты WAN. В некоторых брандмауэрах ограничено число портов для прямого подключения к Internet. В других для этой цели можно использовать сколь угодно много портов.

- Балансировка нагрузки. Несколько брандмауэров можно подключить параллельно и балансировать входящие и исходящие соединения через брандмауэр. В идеальном случае соединения равномерно распределяются между брандмауэрами, и результаты работы каждого устройства меняются в лучшую сторону благодаря предотвращению перегрузки отдельных брандмауэров.

- Число пользователей. В некоторых брандмауэрах ограничено число пользователей или IP-адресов, которые могут устанавливать соединения через брандмауэр. Эти брандмауэры лицензированы для работы с определенным числом пользователей и, если превышен лицензионный порог, генерируют соответствующее предупреждение.

- Передача функций отказавшего брандмауэра исправному устройству. Данная функция позволяет подключить два или несколько брандмауэров таким образом, чтобы они могли обслуживать соединения вместо отказавших устройств. Резервирование может быть «холодным» (без нагрузки), «горячим» (под нагрузкой) или с балансировкой нагрузки. Некоторые процедуры переключения автоматические, а в других случаях требуется вмешательство администратора.

- Переключение Internet-провайдера и объединение полосы пропускания. Возможность работы с несколькими Internet-провайдерами -- важнейшее требование любой организации, деятельность которой зависит от связи с Internet. Брандмауэры со сменой Internet-провайдеров могут переключаться на работоспособную линию, если связь с одним или несколькими провайдерами прерывается. Объединение полосы пропускания заключается в соединении нескольких линий связи в скоростной канал доступа к ресурсам Internet.

- Настройка. Большинство брандмауэров обеспечивают Web-соединения SSL в некоторых или во всех конфигурациях. Некоторые брандмауэры поддерживают интерфейс командной строки в сеансе терминала, а брандмауэры на базе ISA Server обеспечивают шифрованные соединения RDP, совместимые со стандартом обработки информации FIPS (Federal Information Processing Standard).

- Процессор. Данная характеристика в пояснениях не нуждается. Она указывает тип и быстродействие основного процессора брандмауэра.

- Web-кэширование и proxy-сервер. Некоторые брандмауэры располагают встроенным сервером Web-кэширования. Web-кэширование ускоряет доступ в Internet для конечных пользователей и может существенно понизить нагрузку на канал связи с Internet и соответствующие расходы. Компонент Web-proxy значительно повышает безопасность, полностью разлагая на составные части, а затем проверяя и восстанавливая проходящие через него сообщения HTTP.

Таблица19 - Сравнительный анализ брандмауэров.

	CISСO ASA 5510	SonicWall 3500	ZyWall 1050
Цена в долларах	3426$	3162$	2731$
Контроль на прикладном уровне с учетом состояния	?	Да	?
Контроль прикладного протокола	?	Да	?
Проверка пакетов на соответствие заданным условиям	?	Да	Да
Прозрачная аутентификация Windows	?	Да	Да
Протоколирование всех имен пользователей и приложений Web и Winsock	Да	Да	Да
Контроль на прикладном уровне через туннели SSL	Да	Да	Да
Поддержка Exchange	Нет	Нет	Нет
Контроль шлюзового и клиентского трафика VPN на прикладном уровне	Да	Да	Да
Обнаружение и предотвращение несанкционированного доступа	Да	Да	Да
Сервер удаленного доступа VPN и шлюз VPN	Да	Да	Да
VPN-клиент	Да	Да	Да
10/100-Мбит/с порты ЛВС	Да	Да	Да
Порты WAN	?	?	Да
Балансировка нагрузки	Да	Да	Да
Число пользователей	?	?	?
Передача функций отказавшего брандмауэра исправному устройству	?	?	?
Переключение Internet-провайдера и объединение полосы пропускания	?	?	Да
Настройка	Да	Да	Да
Процессор	?	?	?
Web-кэширование и proxy-сервер	?	?	?

Программный брандмауэр (не подойдет в связи с п. 2.5 в сфере защиты).

Сервер Linux с настройками брандмауэра (не подойдет в связи с п. 2.5 в сфере защиты)

Аппаратный брандмауэр - скорее всего CISCO из-за сертификации и степени защиты.

Положение «О сертификации средств защиты информации» (в ред. Постановления Правительства РФ от 23.04.96 № 509).

Вывод:

CISO ASA 5510

3.2.3 Сервер

Таблица 20 - Параметры сервера HP Proliant ML110 G5 (631$)

Процессор, операционная система и память
Тип процессора	Четырехъядерный процессор Intel® Xeon® X3360 (2,83 ГГц, 95 Вт, FSB 1333 МГц, 12 М); Четырехъядерный процессор Intel® Xeon® X3350 (2,66 ГГц, 95 Вт, FSB 1333 МГц, 12 М); Четырехъядерный процессор Intel® Xeon® X3330 (2,66 ГГц, 95 Вт, FSB 1333 МГц, 6 М); Четырехъядерный процессор Intel® Xeon® X3320 (2,50 ГГц, 95 Вт, FSB 1333 МГц, 6 М); Четырёхъядерный процессор Intel® Xeon® X3220 (2,40 ГГц, 95 Вт, FSB 1066 МГц, 8 М); Четырёхъядерный процессор Intel® Xeon® X3210 (2,13 ГГц, 95 Вт, FSB 1066 МГц, 8 М); Двухъядерный процессор Intel® Xeon® E3120 (3,16 ГГц, 65 Вт, FSB 1333 МГц, 6 М); Двухъядерный процессор Intel® Xeon® E3110 (3,00 ГГц, 65 Вт, FSB 1333 МГц, 6 М); Двухъядерный процессор Intel® Xeon® X3075 (2,66 ГГц, 65 Вт, FSB 1333 МГц, 4 М); Двухъядерный процессор Intel® Xeon® X3065 (2,33 ГГц, 65 Вт, FSB 1333 МГц, 4 М); Двухъядерный процессор Intel® Core 2 E4600 (2,40 ГГц, 65 Вт, FSB 800 МГц, 2 М); Двухъядерный процессор Intel® Pentium® E2160 (1,80 ГГц, 65 Вт, FSB 800 МГц, 1 М); Одноядерный процессор Intel® Celeron® 440 (2,0 ГГц, 35 Вт, FSB 800 МГц, 512 Кб); Одноядерный процессор Intel® Celeron® 420 (1,6 ГГц, 35 Вт, FSB 800 МГц, 512 Кб)
Количество процессоров	1 процессор
Доступные типы ядра процессора	Одно-, двух- или четырехъядерный
Кэш-память	Кэш 2 уровня 12 Мб (Intel® Xeon® 3300); Кэш 2 уровня 8 Мб (Intel® Xeon® 3200); Кэш 2 уровня 6 Мб (Intel® Xeon® 3300); Кэш 2 уровня 6 Мб (Intel® Xeon® 3100); Кэш 2 уровня 4 Мб (Intel® Xeon® 3000); Кэш 2 уровня 2 Мб (Intel® Core 2 4000); Кэш 2 уровня 1 Мб (Intel® Pentium® серии E2100); Кэш 2 уровня 512 Кб (Intel® Celeron® серии 440)
Максимальная память	8 Гб
Чипсет	Чипсет Intel® 3200
Шина FSB процессора	Шина FSB 1333/1066/800 МГц
Стандартное ОЗУ	512 Мб или 1 Гб
Тип памяти	PC2-6400 небуферизованная DDR2 ECC 800 МГц
Слоты для памяти	4 слотов DIMM
Встроенные приводы
Встроенные приводы	ж-кий диск SATA, 160 Гб, 7200 об/мин; Ж-кий диск SAS, 72 Гб, 15000 об/мин
Скорость привода жёсткого диска	Привод 7200 об./мин. (в моделях SATA); Привод 15000 об./мин. (в моделях SAS)
Контроллер жёсткого диска	Модели SATA: Встроенный 6-портовый контроллер SATA со встроенной поддержкой RAID (4 порта для жёстких дисков); Модели SAS: HBA-адаптер HP SC40Ge с поддержкой RAID 0, 1
Оптические приводы	Привод DVD-ROM SATA

Таблица 21 - Параметры сервера HP Proliant ML150 G5 (1200$)

Процессор, операционная система и память
Тип процессора	Двухъядерный процессор Intel® Xeon® E5205 (1,86 ГГц, 65 Ватт, шина FSB 1066); Четырёхъядерный процессор Intel® Xeon® E5405 (2,0 ГГц, шина FSB 1333, 80 Вт); Четырёхъядерный процессор Intel® Xeon® E5410 (2,33 ГГц, шина FSB 1333, 80 Вт); Четырёхъядерный процессор Intel® Xeon® E5420 (2,50 ГГц, шина FSB 1333, 80 Вт); Четырёхъядерный процессор Intel® Xeon® E5430 (2,66 ГГц, шина FSB 1333, 80 Вт); Четырёхъядерный процессор Intel® Xeon® E5440 (2,83 ГГц, шина FSB 1333 МГц, 80 Вт)
Количество процессоров	Поддержка одного или двух процессоров
Доступные типы ядра процессора	Двух- или четырехъядерный
Кэш-память	Встроенная кэш-память 2 уровня 1 x 6 Мб (семейство E5200); Встроенная кэш-память 2 уровня 2 x 6 Мб (семейство E5400)
Максимальная память	16 Гб
Чипсет	Чипсет Intel® 5100
Шина FSB процессора	Шина FSB 1333/1066 МГц
Стандартное ОЗУ	1 Гб или 2 Гб
Тип памяти	PC2-5300 с буферизацией DIMM Registered (DDR2-667)
Слоты для памяти	6 слотов DIMM
Встроенные приводы
Встроенные приводы	Жёсткий диск не входит в стандартную конфигурацию
Скорость привода жёсткого диска	Не применимо
Контроллер жёсткого диска	Модель SATA/SAS: HBA-контроллер HP SAS SC40Ge PCI Express - SATA/SAS (4 порта); Высокопроизводительные модели: Контроллер HP Smart Array E200/128 BBWC SATA/SAS
Дисковод для гибких дисков	Отсутствуют в стандартной комплектации; В качестве опции - накопитель FDD USB 1,44 Мб
Оптические приводы	Привод SATA DVD-ROM 16x

Таблица 22 - Параметры сервера IBM System x3200 (918$)

Размер/высота	Tower/5U
Процессор (кэш 2 уровня (L2)/частота процессора в Гц / частота управляющей шины в МГц, макс.)	Intel Xeon (двухъядерный) (4 МБ/до 2,4 ГГц/1066 МГц) или Intel Pentium® D (двухъядерный) (2x2 МБ/до 3,4 ГГц/800 МГц)
Кол-во процессоров (станд. / макс.)	1/1
Память (макс.)	До 8 ГБ Double Data Rate (DDR) II 667 МГц
Слоты расширения	3 PCI и 2 PCI-Express (x8, x1) Выделенный слот RSA II Аппаратный RAID 0, 1 без слотов
Дисковые отсеки (всего / с горячей заменой)	Четыре 3,5-дюймовых отсека для жестких дисков SATA с возможностью простой или горячей замены либо четыре 2,5- или 3,5-дюймовых отсека для жестких дисков SAS с возможностью горячей замены
Максимальный объем внутренней памяти	До 1,2 ТБ при использовании жестких дисков SAS или до 2,0 ТБ при использовании жестких дисков SATA
Сетевой интерфейс	Встроенная сетевая карта Gigabit Ethernet (GbE)
Источник питания (станд. / макс.)	400 Вт 1/1 или 430 Вт с распределением питания и возможностью горячей замены 2/2 (зависит от модели)
Компоненты с возможностью горячей замены	Жесткие диски, источники питания (зависит от модели)
Поддержка RAID	Встроенный аппаратный RAID 0, 1 (зависит от модели)
	Возможность приобретения RAID 5 и RAID 6 отдельно
Порты	Спереди: два USB
	Сзади: четыре USB; один Ethernet; два последовательных порта; один параллельный порт; разъемы для клавиатуры и мыши
Управление системами	IPMI 1.5-совместимый mini-BMC, IBM Director, Alert Standard
	Format 2.0, IBM ServerGuide, приобретаемые отдельно RSA II и Remote Deployment Manager
Поддерживаемые операционные системы	Microsoft® Windows® Server 2003 Standard Edition/Enterprise Edition, Windows Small Business Server 2003, Red Hat Enterprise Linux®, SUSE Linux Enterprise Server, Novell NetWare, операционная система IBM 4690

Таблица 23 - Параметры сервера IBM System x3400 (1742$)

Размер/высота	Tower/5U
Процессор	Dual-Core Intel® Xeon® Processor 5130 up to 2.0 GHz and up to 1333 MHz front-side bus or Quad-Core Intel Xeon Processor E5320 up to 1.86 GHz
Кол-во процессоров (станд. / макс.)	1/2
L2 cache	2x2MB (dual-core) or 2x4MB (quad-core)
Память (стандартно/максимально)	1GB/32GB Fully Buffered DIMM 667 MHz via 8 DIMM slots
Дисковые отсеки (всего / с горячей заменой)	4/0 or 8/8 (model dependent)
Максимальный объем внутренней памяти	4.0TB hot-swap SATA, 2.4TB hot-swap SAS, or 2.0TB simple-swap SATA
Сетевой интерфейс	Встроенная сетевая карта Gigabit Ethernet (GbE)
Источник питания (станд. / макс.)	670W 1/1 или 835W 1/2
Компоненты с возможностью горячей замены	Жесткие диски, источники питания (зависит от модели)
Поддержка RAID	Встроенный аппаратный RAID 0, 1 (зависит от модели)
	Возможность приобретения RAID 5 отдельно
Слоты расширения	3 PCI-Express, 2 PCI-X and 2 PCI
Управление системами	Automatic Server Restart; IBM Predictive Failure Analysis® on hard disk drives, processors, VRMs, fans and memory; integrated IPMI System Management Processor; IBM Director; optional Remote Supervisor Adapter II SlimLine and IBM ServerGuide™
Поддерживаемые операционные системы	Microsoft® Windows® Server™ 2003, Windows 2000/Advanced Server, Red Hat Linux®, SUSE Linux, Novell NetWare, VMware ESX Server, SCO UnixWare, SCO OpenServer
Гарантия	Гарантия (1 или 3 года) по месту эксплуатации (зависит от модели)

Таблица 24 - Параметры сервера SuperMicro 7045B-T (936$)

CPU	Dual 771-pin LGA Sockets Supports up to two Intel® 64-bit Xeon® processor(s) of the same type below: Quad-Core Intel® Xeon®Processor 5400/5300 sequence (Harpertown /Clovertown processor) up to 3.16 GHz Dual-Core Intel® Xeon®Processor 5200/5100/5000 sequence (Wolfdale /Woodcrest/Dempsey processor) up to 3.40 GHz
Memory Capacity	Eight 240-pin DIMM sockets Supports up to 32 GB 667 / 533MHz DDR2 FB-DIMM memory Dual branch memory bus Memory must be populated in pairs
Memory Type	667 / 533MHz FB-DIMM (Fully Buffered DIMM) ECC DDR2 SDRAM 72-bit, 240-pin gold-plated DIMMs
Chipset	Intel® 5000P (Blackford) chipset MCH + PXH + ESB2 SATAIntel ESB2 SATA
SATA	3.0Gbps Controller RAID 0, 1, 5, 10 support
PCI-Express	2 (x8) PCI-e slots 1 (x4) PCI-e (using x8) slot
PCI-X	2x 64-bit 133MHz PCI-X (3.3V) slots 1x 64-bit 100MHz PCI-X (3.3V) slot

Таблица 25 - Параметры сервера SuperMicro 7045A-T (1014$)

CPU	Dual 771-pin LGA Sockets Supports up to two Intel® 64-bit Xeon® processor(s) of the same type below: Quad-Core Intel® Xeon®Processor 5300 sequence (Clovertown processor) up to 3.0 GHz Dual-Core Intel® Xeon®Processor 5100/5000 sequence (Woodcrest/Dempsey processor) up to 3.73 GHz
Memory Capacity	Eight 240-pin DIMM sockets Supports up to 32 GB 667/533MHz DDR2 FB-DIMM memory Dual branch memory bus Memory must be populated in pairs
Memory Type	667/533MHz FB-DIMM (Fully Buffered DIMM) DDR2 ECC SDRAM 72-bit, 240-pin gold-plated DIMMs
Chipset	Intel® 5000X (GreenCreek) chipset MCH + PXH-V + ESB2
SATA	ESB2 SATAII Controller RAID 0, 1, 5, 10 support
PCI-Express	1 (x16) PCI-e slot 1 (x4) PCI-e (using x16) slot
PCI-X	2x 64-bit 133/100MHz PCI-X (3.3V) slots 1x 64-bit 100MHz PCI-X (3.3V) slot
PCI	1x 32-bit 33MHz PCI (5V) slot

Таблица 26 - Сравнительный анализ серверов.

	HP ML 110 G5	HP ML 150 G5	IBM x3200	IBM x3400	SuperMicro 7045B-T	SuperMicro 7045A-T
Цена	631$	1200$	918$	1742$	936$	1014$
Макс. ЦП	1	2	1	2	1	2
Макс. ОЗУ (Гб)	8	16	8	32	32	32
Поддержка RAID	RAID 0, 1	RAID 0,1,5	RAID 0, 1, (5, 6)	RAID 0, 1, (5)	RAID 0, 1, 5, 10	RAID 0, 1, 5, 10
Слоты расширения	?	?	3 PCI и 2 PCI-Express (x8, x1)	3 PCI-Express, 2 PCI-X and 2 PCI	1 PCI-e(x16,x4), 2 PCI-X, 1 PCI	2 PCI-e(x4,x8), 2 PCI-X
Сетевой интерфейс	1 GbE	1 GbE	1 GbE	1 GbE	2 x 1GbE	2 x 1GbE
Гарантия (год)	1-3	1-3	1-3	1-3	3	3

Вывод:

2 Сервера уже есть(IS Mechanics -DNS1, DNS2), нужен 3 - прокси. SuperMicro выигрывает у остальных по соотношению цена/возможности.

3.2.4 Кабель

При выборе кабеля необходимо определиться с рядом факторов:

- нагрузка будущей кабельной системы

- необходимая производительность кабельной системы

- возможное возрастание нагрузки на систему с течением времени

- финансовые возможности

Таблица 27 - Сравнения кабеля категории 5 и 5е.

Параметр	Базовая линия	Канал
	Категория 5	Категория 5e	Категория 5	Категория 5e
Частотный диапазон	1-100 МГц	1-100 МГц	1-100 МГц	1-100 МГц
Attenuation	21,6 дБ	21,6 дБ	24 дБ	24 дБ
NEXT	29,3 дБ	32,3 дБ	27,1 дБ	30,1 дБ
PSNEXT	-	29,3 дБ	-	27,1 дБ
ACR	7,7 дБ	10,7 дБ	3,1 дБ	6,1 дБ
PSACR	-	-	-	3,1 дБ
ELFEXT	17 дБ	20 дБ	17 дБ	17,4 дБ
PS ELFEXT	14,4 дБ	17 дБ	14,4 дБ	14,4 дБ
Return Loss	10,1 дБ	12 дБ	8 дБ	10 дБ
Propagation Delay	518 нс	518 нс	555 нс	555 нс
Delay Skew	45 нс	45 нс	50 нс	50 нс

Ослабление перекрестных наводок на ближнем конце - NEXT loss (Near End Crosstalk loss) в дальнейшем NEXT.

Равноуровневые перекрестные наводки на дальнем конце ELFEXT (Equal-level Far End Crosstalk).

Обратные потери (Return Loss) - мера величины отражения сигналов, вызываемого несоответствием импедансов компонентов кабельной системы.

ACR, PSACR - защищенность.

Задержка распространения сигнала - время прохождения сигнала по витой паре от передатчика до приемника (Propagation Delay).

Перекос задержки - максимальная разность между задержками распространения сигнала по каждой из пар (Delay Skew).

Кабели для горизонтальных подсистем

Если внимательно посмотреть на структуру кабельной системы этажа и здания, то можно убедиться, что именно горизонтальная подсистема характеризуется очень большим количеством ответвлений кабеля, так как его нужно провести к каждой пользовательской розетке, причем и в тех комнатах, где пока компьютеры в сеть не объединяются.

Поэтому к кабелю, используемому в горизонтальной проводке, предъявляются два основных требования: удобство прокладки и удобство выполнения ответвлений.

Разводка кабелей осуществляется обычно таким образом:

На этаже устанавливается кроссовая панель, которая позволяет с помощью коротких отрезков кабеля, оснащенного разъемами, произвести перекоммутацию соединений между пользовательским оборудованием и концентраторами/коммутаторами.

Горизонтальная подсистема - наиболее «подвижная» часть любой локальной сети. Добавление новых пользователей, перемещение рабочихгруппы происходят гораздо чаше, чем изменения в вертикальных подсистемах между этажами.

Оптимальный вариант в этом случае - медный провод (например, неэкранированная витая пара), так как стоимость установки оптоволокна достаточно велика (в нее входят стоимость сетевых адаптеров и сравнительно высокие затраты на монтажные работы).

Оптоволоконный кабель используют в основном в подсистемах кампусов и вертикальных.

С волоконно-оптическим кабелем работают протоколы ArcNet, Ethernet, FDDI и Token Ring и относительно новые - 100 AnyLAN, Fast Ethernet.

Беспроводная связь - перспективная технология, однако из-за сравнительной новизны и низкой помехоустойчивости лучше ограничить масштабы ее использования неответственными областями.

Таким образом, наиболее подходящим кабелем для горизонтальной подсистемы остается пока неэкранированная витая пара категории 5.

Кабели для вертикальных подсистем

Вертикальная система является, по сути, магистралью, соединяющей этажи здания. К кабелю, используемому в ней, предъявляются соответствующие требования: он должен передавать данные на большие расстояния и с более высокой скоростью по сравнению с кабелем горизонтальной подсистемы.

В общем случае для вертикальной подсистемы оптоволокно показывает отличные характеристики пропускной способности, расстояния и защиты данных; устойчивость к электромагнитным помехам; может передавать голос, видеоизображение и данные. Это, безусловно, самый привлекательный вариант. Оптоволоконные кабели способны передавать данные на большие расстояния без необходимости регенерации сигнала. Они имеют сердечник меньшего диаметра, поэтому могут прокладываться в более узких местах. В отличие от медного коаксиального кабеля, оптоволоконный не чувствителен к электромагнитным и радиочастотным помехам, так как передаваемые по нему сигналы являются световыми, а не электрическими. Эта особенность делает оптоволоконный кабель идеальной средой передачи данных для промышленных сетей, а учитывая, что ему не страшна молния, - оптимальным вариантом для внешней прокладки. Более того, он способен обеспечить высокую степень защиты от несанкционированного доступа, так как ответвление гораздо легче обнаружить, чем на медном кабеле (при ответвлении резко уменьшается интенсивность света). Однако оптоволоконному кабелю свойственны и недостатки. Во-первых, он дороже, чем медный, выше и затраты на его прокладку. Во-вторых, он менее прочный, чем коаксиальный. В-третьих, инструменты, применяемые при прокладке и тестировании оптоволоконного кабеля, достаточно дорогие и сложные. Присоединение коннекторов к оптоволоконному кабелю требует большого искусства и времени, а следовательно, и денег. Таким образом, можно остановиться на экранированной витой паре 5 категории (основное требование обеспечение гигабитной скорости).

Таблица 28 - Сравнительный анализ кабеля (витая пара)

	Hyperline	NEXANS	NEOMAX
Проводник	оголенный медный провод Ш0.51±0.01 мм, 24 AWG	оголенный медный провод 0,5мм, 24 AWG	оголенный медный провод Ш0.51±0.01 мм, 24 AWG
Изоляция	полиэтилен повышенной плотности, минимальная толщина 0.18 мм	проводник диаметром 0,5мм в полиэтиленовой оболочке	полиэтилен повышенной плотности, минимальная толщина 0.18 мм
Диаметр провода	0.9±0.02 мм	0.9±0.02 мм	0.9±0.02 мм
Рабочая температура	-20°C - +75°C	-10 - +50°C	-15°C - +75°C
Стандарты	UL444/UL1581, TIA/EIA 568B.2	TIA/EIA 568-A	UL444/UL1581, TIA/EIA 568B.2
Цена (бухта 305 м)	2100 р.	2955 р.	2560 р.
Выбор: Hyperline Критерий выбора: цена

3.2.5

3.2.6 Кабель канал

Таблица 29 - Сравнительный анализ кабель канала

	EFAPEL(цена)	QUINTELA(цена)	Legrand(цена)
Размер (магистраль)	100х60(174 р)	110х40(289 р)	105х50(135 р)
Размер (этаж)	80х40(148 р)	90х40(261 р)	80х35(104 р)
Размер (кабинет)	40х16(57 р)	40х16(81 р)	нет
Выбор: EFAPEL Критерий выбора: цена + размеры

3.2.7 Серверная операционная система (ОС)

Отличия Windows Server 2008 от Windows Server 2003:

1) 64-разрядная проблема.

Продвигаемая корпорацией Microsoft 64-разрядные версия Windows Server 2008 существуют уже много лет, но это не значит, что дистрибутив 32-разрядной версии Windows Server 2008 не следует использовать. Проблема в том, что очень многие программные продукты Microsoft не только не имеют 64-разрядных версий, но и вообще не работают в 64-разрядных системах -- и в их числе Team Foundation Server и ISA Server. Так что тем, кто планирует переходить на 64-разрядную версию Windows Server 2008, стоит непременно иметь в запасе и 32-разрядный сервер -- будь то на физической машине или на виртуальной.

2) Смена приложений местами, другая группировка.

Изменения в пользовательском интерфейсе Windows Server 2008 не так поражают воображение, как в случае с интерфейсом Aero в Vista, но всевозможные служебные приложения в новой серверной ОС претерпели массовое переименование и перемещение. С объективной точки зрения организованы они теперь куда логичнее. Но первое время можно постоянно путаться в Панели управления (Control Panel).

3) Возможность модификации в РС.

Разработчики Microsoft предусмотрели в Windows Server 2008 возможность организовать пространство в форме рабочего стола Windows Vista. В результате очень многие стали адаптировать Windows Server 2008 под настольную операционную систему. В принципе, и раньше некоторые использовали серверные версии Windows в качестве пользовательских ОС, но теперь это стало намного проще и удобнее. Такие серверно-настольные системы уже прозвали «Windows Workstation 2008».

4) Появление Hyper-V.

Пакет средств виртуализации Hyper-V был одной из самых ожидаемых новинок Windows Server 2008 и оказался на удивление удачным, особенно для премьерной версии программного обеспечения от Microsoft. Он стабилен, прост в установке и настройке и, похоже, не имеет никаких серьезных неполадок.

5) Ограничения Hyper-V.

Несмотря на высокое качество, Hyper-V серьезно недостает функциональности. В тот пакет не входит никаких утилит для импорта реальных приложений в виртуальную систему. Да и с этими средствами придется попотеть, чтобы что-то куда-то импортировать. Другой неприятный сюрприз -- отсутствие утилиты для преобразования физической системы в виртуальную.

6) Невозможность миграции с домена NT 4.

Старая версия (3.0) средства миграции Active Directory (Active Directory Migration Tool, ADMT) поддерживает переход с NT 4, но не на Windows Server 2008, а новая (3.1) поддерживает миграцию на Windows Server 2008, но не с NT 4.

7) Сокращение объема стандартного устанавливающегося ПО.

В предыдущих версиях Windows Server многие приложения были установлены по умолчанию. Их никогда не удаляли, потому что они никому не мешали -- даже если ими не пользовались или устанавливали в систему альтернативные версии. Теперь даже «одноразовые» приложения типа утилиты архивации данных (Windows Backup) по умолчанию не устанавливаются, так что после установки системы дополнительные «функции» придется добавлять отдельно, чтобы получить полный комплект приложений Windows Server. При отсутствии свободного времени это не очень удобно, но избавление от ненужных утилит и меньший расход системных ресурсов того стоят.

8) Немного непонятная система лицензирования

Лицензионное соглашение Windows Server 2008 трудно для понимания. Стандартную версию еще можно как-то осмыслить, но условия лицензирования для средств виртуализации в версиях Enterprise и Datacenter совсем не поддаются уразумению. В зависимости от того, нужна ли вам виртуальная машина и сколько на вашем сервере установлено физических процессоров (хорошо хоть не в зависимости от количества ядер), версия Enterprise может оказаться дешевле или, наоборот, дороже версии Datacenter. К тому же, начав пользоваться виртуальными машинами, люди входят во вкус и используют их куда активнее, чем предполагалось, и это тоже стоит иметь в виду. В конечном счете, на сервере может оказаться запущено намного больше виртуальных систем, чем планировалось изначально.

9) Стабильность в работе

Наряду с Windows Vista Windows Server 2008 совсем не зависает и не тормозит. Разработчики Microsoft успешно свели набор функций по умолчанию к необходимому минимуму, а при установке только самых основных элементов системы картина становится еще более впечатляющей. В зависимости от потребностей установить Windows Server 2008 можно даже на старое оборудование.

10) Неожиданно высокое качество

К сожалению, за многие годы потребители Microsoft привыкли не ждать от программных продуктов корпорации высокого качества -- и у них были на то веские основания. Несмотря на то, что с каждым новым релизом количество ошибок и уязвимостей систем Microsoft неуклонно сокращается, пользователи до сих пор громко жалуются на Vista.

Причины отказа от ОС Linux:

1) Наличие установленных лицензионных версий Windows XP (смысл удалять?)

2) Наличие установленных лицензионных версий Windows Server 2003

3) Проблемы настройки автоматических обновлений как для серверов так и для РС

4) Отсутствие необходимости переобучения персонала

5) Наличие специфических программ стабильно работающих только в ОС Windows

Таблица 30 - Сравнительный анализ серверной ОС

	Windows 2000 Server	Windows 2003 Server	Windows 2008 Server
Поддержка перемещаемых профилей Vista	-	-	+
Поддержка домена NT4	+	+	-
Средства виртуализации	-	-	+
Поддержка WXP	-	+	+
Наличие лицензии	-	+	-
Цена
Выбор: Windows 2003 Server Критерий выбора: лицензия, поддержка WXP

Вывод.

В выборе серверной ОС остановился на Windows Server 2003, так как она полностью совместима с ОС установленными на других серверах (Windows Server 2003) и клиентских стациях (Windows XP), а также в наличие есть 1 лицензия на данную серверную ОС. Кроме этого необходимо полностью перевести все РС на Windows XP с учетом лицензирования (Некоторые ОС - Windows 2000).

3.2.8 Рабочие станции

Рабочие станции в своем большинстве не требуют замены, так как по большей части на них ведется операторская работа. Малая часть РС требует замены по причине слабого технического оснашения даже для причисленных выше задач.

Причины необходимости переоснащения оборудования:

- устаревание оборудование

- усиление требований к аппаратному обеспечению у ПО

- слишком длительный срок эксплуатации

- несовместимость с некоторым программным и аппаратным обеспечением

Таблица 31 - Состав РС самого низкого оснащения

Процессор	Celeron 433 Mhz
Материнская плата	Acorp 6VIA85P
Оперативная память	128 Mb
Жесткий диск	Seagate 4 Gb
Дисковод	Да
Оптический привод	Asus 52x
Видеокарта	NVidia Riva TNT (8 mb)

Таблица 32 - Состав РС рядового оснащения

Процессор	Pentium 4 3000 Mhz
Материнская плата	Gigabyte GA-81915P
Оперативная память	1024 DDR-2
Жесткий диск	WD 80 Gb
Дисковод	Да
Оптический привод	NEC DVD_RW ND-3550A
Видеокарта	Встроенное видео

Таблица 33 - Состав РС желаемого оснащения

Процессор	Intel Core 2 Duo
Материнская плата	Socket 775
Оперативная память	2048 DDR-2
Жесткий диск	160 Gb
Дисковод	Да
Оптический привод	DVD-RW
Видеокарта	Встроенное видео

Вывод.

Переоснастить слабые рабочие станции (8 РС). Свести различие в техническом оснащении к минимуму.

Количество РС, требующих немедленной замены (количество).

Количество РС, не соответствующих требованию рядового оснащения, но не требующих немедленной замены (количество).

Количество РС, соответствующих требованием рядового оснащения (количество).

3.2.9 Дополнительное оборудование

Таблица 34 - Сравнительный анализ патч-панелей

	PCnet 48 портов	TrendNet 48 портов	Noname 48 портов
Цена	59$	52$	53$
Выбор: TrendNet Критерий выбора: цена

Таблица 35 - Сравнительный анализ коммутационных шкафов

	TWC-095350-M-GY	Estap ProLine	Conteg REN-06-60/40
Способ размещения	настенный	настенный	настенный
Юниты	532х466x471	600x450x471	600x450x471
Размеры	9U	9U	10U
Диагональ	19”	19”	19”
Цена	196$	148$	178$
Выбор: TWC-095350-M-GY Критерий выбора: размеры

Таблица 36 - Сравнительный анализ двойных розеткок RJ-45

	Brand-Rex	Legrand
Цена	202 р	279 р
Выбор: Brand-Rex Критерий выбора: цена

4. ВНЕДРЕНИЕ МОДЕРНЕЗИРОВАННОЙ ЛВС

В предыдущем разделах был осуществлен выбор пути разработки ЛВС Управления.

Сетевая архитектура - Fast Ethernet + Gigabyte Ethernet

Модель ЛВС.

Рисунок 4.1

Коммутаторы:

- Cisco Catalyst 2960-8TC-L - коммутатор здания (1)

- Cisco Catalyst 2960-48TT-L - коммутатор этажа (2*4=8) - 48 портов на этаж

Брэндмауэр:

- Cisco ASA 5510 (1)

Сервер:

- SuperMicro 7045A-T (1)

Клиентские машины:

- исключение и замена РС с низким оснащением (количество)

Кабель:

- 2 портовые розетки, в каждом кабинете по 4 штуки (исходя из максимального количества РС в отделе - 6)

- кабель 5Cat UTP

Серверная ОС:

- Windows Server 2003 (1)

Клиентская ОС:

- Windows XP (8)

Дополнительное оборудование:

- коммутационные шкафы (4)

- крепежный инструмент

- патч-панели

Размещение розеток произвести, изучая каждый кабинет в отдельности. Это связано с размерами каждого рабочего помещения в отдельности. Кроме того, нужно уделить внимание прокладке кабеля с учетом уже имеющихся кабель каналов.

Питание на коммутационное оборудование провести из отдельного резервного источника, который уже имеется в серверной.

Выбор места расположения коммутационного оборудования.

Варианты:

- использовать специально созданные ниши в стенах

- определять кабинеты, которые будут переделываться под помещения для установки

- использовать существующие помещения без изменений, с установкой оборудования в любом возможном свободном месте

Устраивает только первый вариант. Причины отказа от второго варианта это серьезные денежные затраты на перепланировку помещений, изменение размещения рабочего состава, временные затраты на все эти действия. Третий вариант не устраивает так как коммутационное оборудование будет находится в открытом состоянии и будет частично мешать работе того отдела, где оно установлено, особенно если необходимо будет получить доступ к этому оборудованию с целью проведения установочных, монтажных и профилактических работ.

Прокладываемый кабель будет делить каждый этаж на две части от пожарной лестницы до основной лестницы, по часовой стрелке и против часовой стрелки. Это уменьшит непрерывную длину кабеля, уменьшит нагрузку на кабель каналы, уберет необходимость прохождения кабеля через основную лестницу. Длина этих двух частей будет примерно одинакова. Отдельно необходимо отметить четвертый этаж, на котором располагается серверное оборудование и коммутатор здания, то есть помимо кабеля под розетки нужно провести линию коммутатор здания - коммутатор этажа.