银行分行网点高柜企业网接入方案

编号密级项目技术类文档银行省分行网点高柜企业网接入方案文档修订记录序号修订内容简述修订日期目前版本号作者审阅1初稿索引一、前言11方案目的12方案范围13目标读者14参考文档1二、背景21网点现状与项目需求分析22项目目标4三、架构设计51总体拓扑结构52设计说明5四、详细设计和实施方案61网络部分62服务器部分621硬件要求622软件要求623配置方法73WIN终端部分1931硬件要求19311实达终端硬件要求2032系统要求20321实达终端系统要求20322国光终端系统要求2133配置接入哑终端方法21331实达终端21332国光终端2234配置接入企业网方法27341实达终端27342国光终端2735切换使用步骤30351实达终端30352国光终端30五、安全策略设计30一、前言1方案目的为解决我行营业网点高柜内员工访问企业网，方便快捷的获取办公网内信息，同时实现柜员都能独立访问员工满意度测评等涉及每个员工的信息系统，保护个人隐私，特制定本方案。本方案用于该项目的详细规划和设计，并且用作工程实施的指导性文件之一。2方案范围本方案作为我行营业网点高柜接入企业网的实施指导，主要包括以下内容背景架构设计详细设计和实施方案安全策略设计3目标读者本文档主要面向负责分行网点前台网络和设备接入设计和实施的管理人员及技术支持成员。4参考文档QCCB0506012005银行桌面办公系统配置安全技术要求（2005版）QCCBT0503012009银行操作系统安全配置指南（V10）QCCB0102072010中国建行银行前端（网点）信息服务类外设技术规范（试行）QCCB0102042010银行接入网建设总体技术规范（试行）QCCBT0102032007银行基础设施技术标准策略规范QCCB0506022005银行个人信息与桌面安全PDS系统运行管理规范（试行）QCCB0102082010银行前端（网点）终端设备及应用技术规范（试行）二、背景1网点现状与项目需求分析网络结构目前我行网点接入网广域网多采用单设备双线路模式图表1双线路单设备广域网上级节点配备两台路由器，下级节点只配备一台路由器。两台上级节点的路由器分别通过两条广域网线路与下级节点的一台路由器进行互联。在同层网络结构、采用同档次设备的前提下，采用本模式可以具有结构简单、运维工作量少、投资规模小的特点。网点局域网多采用单交换机单接口模式图表2单交换机单接口模式单交换机单接口模式下，路由器只有一个以太口与交换机互联。单交换机单接口模式下的交换机可以采用三层或二层接入模式。采用二层接入方式时，路由器的以太端口通过TRUNK的方式连接到交换机上，将各VLAN的网关配置在路由器不同的子端口上。网点设备连接如下图图表3网点终端设备连接网点高柜内的字符终端、WIN终端都通过串口连接至网点路由器上内置的异步口。其它生产客户端、自助设备接入网点可网管交换机的生产网VLAN，办公客户端和PBCS客户端接入可网管交换机的办公网VLAN。2项目目标根据省分行关于印发的通知（建皖函2011607号）要求，为努力改善前台员工企业网使用环境，保证前台高低柜员工都能及时了解行内最新动态，反馈员工之声，提高员工的企业归属感，我们参照每个行所属实际网点数为每一个网点配备了企业网专用PC，并逐步更新淘汰原有字符终端，按照总行产品标准目录升级为WIN终端，同时满足网点前台员工随时访问企业信息网获取最新信息。因网点原有PBCS系统部署在低柜，该系统可以同时访问企业网，因此本项目所涉及的内容主要针对网点高柜区的员工访问企业网的需求设计。三、架构设计根据项目需求，结合总分行相关建设与安全规范，网络接入设计如下1总体拓扑结构（本架构为培训时所提方案二的过渡方案，方案一具体架构见随本方案一起下发的PPT文件）图表4总体拓扑结构2设计说明网点高柜内WIN终端仍然通过主串口和哑终端路由器的异步串口相连，仍使用原有连接线缆；网点高柜新增一台PC服务器，配置有双网卡，其中主网卡接入网点企业网交换机对应VLAN中；网点新增的PC服务器和WIN终端的网口通过一台傻瓜交换机（816口）连接，组成一个私有网络，使用私有网络IP地址，如192168101/24。（新增服务器摆放位置尽量与高柜终端放在一条水平线上，从而减少综合布线）高柜内的WIN终端通过终端服务连接到网点新增的PC服务器上，通过此PC服务器访问企业网。通过以上方式连接后，高柜柜员使用的WIN终端在通过哑终端（串口）方式连接到生产后台办理业务的同时，也具备了通过WINDOWS终端服务方式随时访问企业网，获取行内最新动态，反馈员工心声的环境。此外，如身份核查之类的企业网业务也可直接在高柜终端上完成。四、详细设计和实施方案1网络部分此部分内容已在架构设计中说明，此处不再赘述。2服务器部分21硬件要求建议网点PC服务器选择较高配置的计算机，内存2G以上，硬盘320G以上，含光驱等。（本次实施由省分行统一购置下发）22软件要求根据网点高柜上企业网的要求并结合实际情况，操作系统选择安装WINDOWS2003SERVER。杀毒软件安装行内统一的MCAFEEVIRUSSCANENTERPRISE87，其他常用软件如JAVA、OFFICE2003等。23配置方法231WINDOWS2003SERVER的安装首先，将计算机设置为光驱启动，将WINDOWS2003SERVER光盘放入光驱。当屏幕出现“PRESSANYKEYTOBOOTFROMCD”时敲任意键进入。到选择安装分区时，注意将分区格式化为NTFS格式，如果硬盘比较大，考虑用户临时文件比较多，建议C盘分区空间尽量大于20G其他正常安装即可系统安装完成后，第一次进入系统，右键点击“我的电脑”，打开【管理】【计算机管理】【磁盘管理】对剩余的磁盘进行分区。桌面上右键【属性】【设置】【高级】【疑难解答】【硬件加速】，设置成【完全】【运行】输入【DXDIAG】【显示】将DIRECTX功能的所有项目启用注最后两步主要加快显卡显示能力232安装终端服务（注意终端服务授权问题）在控制面板中打开添加/删除程序，点击添加/删除WINDOWS组件把IE增强的安全配置勾选去除，勾选终端服务器以及终端服务器授权两项，然后下一步；出现授权提示，直接下一步；选择“宽松安全模式”，下一步（安装了SP1才有这一步）选择许可证服务器，选择我将在120天之内选择许可证服务器；下一步；选择“每设备”；点击下一步开始安装终端服务，安装完毕后提示重启，点击是。安装完成。233WINDOWS2003SERVER终端服务的激活注意此步骤可在安装完服务器120天内做。激活服务器，安装完正式的许可证后需要把服务器重新启动一次，终端才会把原来的临时许可证更新为正式许可证。如果打开终端服务器授权，提示找不到授权服务器，在控制面板中打开添加/删除程序，点击添加/删除WINDOWS组件中勾选终端服务器以及终端服务器授权两项，重新安装一遍，就能出来现授权服务器。WINDOWS2003的终端服务许可证安装分为两个步骤激活终端服务器。添加终端服务许可证。第一步激活终端服务器。运行开始程序管理工具终端服务器授权，出现的界面如下上图显示的服务器的名称，对应的如果你激活时，此处出现的便是你的服务器的名称了，将鼠标移动到服务器名称上，点击鼠标的右键，出现了激活的菜单如下选中激活服务器，出现激活向导画面点击下一步，出现了连接方法，如果终端服务器可以直接上公网，选择自动连接。根据提示，激活并安装许可证即可，许可证程序选择为ENTERPRISEAGREEMENT。产品版本选择【WINDOWSSERVER2003】，产品类型根据实际应用选择【每设备】。输入协议号码6565792，完成。查看终端服务器授权情况，双击服务器名称。可以看到已经获得了N个（你输入的或默认的值）批量许可证。重启服务器。如果终端服务器不可以上公网，选择WEB浏览器。下一步出现如下提示根据提示，抄下产品ID，到一台能够上公网的PC使用IE或NETSCAPE等浏览器，采用安全连接方式访问URL，HTTPS/ACTIVATEMICROSOFTCOM。出现的如下网页，为了方便浏览，可以指定语言为CHINESE（SIMPLIFIED）方式，点击【GO】，页面将变成中文。下一步，到达输入界面如下，产品ID处填入你的产品ID，在激活向导处，可以看到产品ID，其他的姓名、单位，等可以填入实际的，也可以填入虚假的。国家选择中国。根据提示下一步，出现确认信息，确认无误后下一步，此时会反馈给你一串35个字节长的激活码。抄下该号码。根据提示，选择是，直接获取客户机许可证。出现如下界面。注意，许可证程序由OPENLICENSE更改为ENTERPRISEAGREEMENT。点击【下一步】输入【数量】和协议号码【6565792】。产品类型根据选择【每设备】。点击下一步。出现确认信息，确认无误后选择下一步。得到红框内的许可证密钥。抄下该号。点击“是”。此时将上述2串红色方框内的ID带回到终端服务器。将第一个得到的红框中的许可证ID填入到激活对话框中，再点击下一步，便可以激活终端服务器了直接点击下一步，出现相似的输入对话框。将第二串一个35个字节长的用红框圈起来的ID，输入到上图的对应处，并且点击下一步，便完成了终端许可证的安装。查看终端服务器授权情况，双击服务器名称。可以看到已经获得了N个（此处为100，一个网点挂接终端不会太多，可选默认值）批量许可证。重启服务器。234设置终端服务【开始】【程序】【管理工具】【终端服务配置】【TCPRDP属性】【权限】，添加【USERS】组，权限设置为用户访问、来宾访问。确认即可。235新建用户我的电脑右键【管理】【用户和组】【用户】右键【新用户】输入用户名及密码。将“用户下次登陆时须更改密码”勾去掉，勾上”密码永不过期”,点击创建。3WIN终端部分31硬件要求311实达终端硬件要求型号STARTWT5060LX序列号V1XX1G/512M/128MDOM安徽建行版SN10XXXXXX10XXXX序列号中“V1XX”表示硬件主板版本；1G表示CPU；512M表示内存；128M表示电子硬盘DOM卡；“安徽建行版”表示硬件特殊版本号；“SN10”表示10年生产；LX表示液晶一体化，如5060LXD中的“D”双网卡版本；网终接口1个10M/100M自适应网卡；音频接口带有音频模块，可接驳音频输出和音频输入设备；接口4个DB9针串口、1个DB25针串口（安徽建行特殊版）、1个并口、1个PS/2键盘接口、1个PS/2鼠标接口、4个USB20接口其中2个右侧置。32系统要求321实达终端系统要求采用WINDOWSCENETV55开发环境，目前版本标识号为V4XX，支持协议支持MICROSOFTRDPV55连接协议支持CITRIXICAV800连接协议支持TELNET应用支持TCP/IP、PPP、DHCP、DNS协议322国光终端系统要求WINDOWSCE版本33配置接入哑终端方法331实达终端实达前两批5060LX终端在开箱后需要升级TELNET程序。升级方法如下开机后，插入U盘（将程序放在U盘的根目录下）点击桌面上的“本机”点开后再点击“程序升级”在左边的选项中选择“TELNET”在右上角选择“本地U盘”两项选好后在页面的下方点击“下载”下载成功后按提示重启机器。建立DCC连接首先新建DCC点击“新建”选择“TELENT仿真客户端”链接名称输入“DCC”主机接口选“RS232”仿真类型选择“ANSI”然后点击下一步，再点击完成，完成后在界面上会出现DCC的链接图标，双击打开，在DCC上面有“设置”选项，点开选择“桌面”里面有3项需要改1“ESC键”改成“ESC”、2“数字键盘”改成“数字锁定”、3在右边其他选项中把“CTRLA”打钩，完成后点击“OK”。再进入设置打开打印机设置，打印机选“OKI5330”（打印机选项要看接受吗类型的打印机，一般情况下面包机选“OKI5330”宽行打印机选“LQ系列”），打印模式选“透明”，打印优化选“否”其他不需要改，完成后点击“OK”。再次进入设置中的“辅口”选项，把辅口一的波特率改成“1200”（默认是9600）完成后点击“OK”然后退出DCC，在桌面窗口右下角点击“保存”。332国光终端机器打开后，终端外设的连接串口1通讯口（9转25针线）；串口2磁卡机；串口3密码键盘；串口5指纹仪；具体如下图配置DCC连接点击左下角的设置连接向导仿真连接管理打开选择“新建”按钮后弹出菜单仿真下“连接”，串口通讯，选择COM1即可。”综合”仿真类型选择VT220。键盘设置中副键盘用VT105，101专用。辅口设置将串口映射修改下，逻辑辅口1映射到物理串口COM2，逻辑辅口2映射到物理串口COM3，逻辑辅口3映射到物理串口COM5。选择辅口1、辅口2点击串口设置将配置表中的“参数优先”勾选上，这个比较重要不选外设将无法使用。辅口3，辅口4依次按照辅口1、2设置的方法设置即可。在”外设”设置项密码器打开后端口选择COM3；磁卡机端口选择COM2名称修改完以后就将数据保存，点击保存后弹出对话框，连接名设为DCC，点击确定即可。在桌面会有三个图标。一个是IE浏览器，一个是RDP连接，还有一个就是国光仿真。由于是接9转25针线，有可能在个别网点不能联机，那么只要修改一下路由器设置，在异步口增加语句UNDODETECTDSRDTR。34配置接入企业网方法341实达终端新建RDP链接，并设置如下，首先在开机画面的窗口上打开“网络”，打开后输入本机的IP地址。然后点击新建，选择“MICROSOFTRDP客户端”选中后输入连接名称，再输入服务器地址，完成后进行下一步，这步根据客户需求自己进行修改输入。再下一步，这部分不需要设，直接下一步。下一步后把“显示链接栏”打钩。再下一步，把“串行