銀行分行網(wǎng)點高柜企業(yè)網(wǎng)接入方案

1、2編號密級項目技術類文檔銀行*省分行網(wǎng)點高柜企業(yè)網(wǎng)接入方案中國建設銀行安徽省分行網(wǎng)點高柜企業(yè)網(wǎng)接入方案文檔修訂記錄序號修訂內(nèi)容簡述修訂日期目前版本號作者審閱1初稿 索引一、前言11.方案目的12.方案范圍13.目標讀者14.參考文檔1二、背景21.網(wǎng)點現(xiàn)狀與項目需求分析22.項目目標4三、架構設計51.總體拓撲結構52.設計說明5四、詳細設計和實施方案61.網(wǎng)絡部分62.服務器部分62.1硬件要求62.2軟件要求62.3配置方法73.win終端部分193.1 硬件要求193.1.1 實達終端硬件要求203.2 系統(tǒng)要求203.2.1 實達終端系統(tǒng)要求203.2.2 國光終端系統(tǒng)要求213.3

2、配置接入啞終端方法213.3.1 實達終端213.3.2 國光終端223.4 配置接入企業(yè)網(wǎng)方法273.4.1 實達終端273.4.2 國光終端273.5 切換使用步驟303.5.1 實達終端303.5.2 國光終端30五、安全策略設計30ii中國建設銀行安徽省分行 網(wǎng)點高柜企業(yè)網(wǎng)接入方案一、前言1.方案目的為解決我行營業(yè)網(wǎng)點高柜內(nèi)員工訪問企業(yè)網(wǎng)，方便快捷的獲取辦公網(wǎng)內(nèi)信息，同時實現(xiàn)柜員都能獨立訪問員工滿意度測評等涉及每個員工的信息系統(tǒng)，保護個人隱私，特制定本方案。本方案用于該項目的詳細規(guī)劃和設計，并且用作工程實施的指導性文件之一。2.方案范圍本方案作為我行營業(yè)網(wǎng)點高柜接入企業(yè)網(wǎng)的實施指導，主

3、要包括以下內(nèi)容：背景架構設計詳細設計和實施方案安全策略設計3.目標讀者本文檔主要面向負責分行網(wǎng)點前臺網(wǎng)絡和設備接入設計和實施的管理人員及技術支持成員。4.參考文檔qccb-0506-01-2005*銀行桌面辦公系統(tǒng)配置安全技術要求（2005版）qccbt-0503-01-2009*銀行操作系統(tǒng)安全配置指南（v1.0）qccb-0102-07-2010中國建行銀行前端（網(wǎng)點）信息服務類外設技術規(guī)范（試行）qccb-0102-04-2010*銀行接入網(wǎng)建設總體技術規(guī)范（試行）qccbt-0102-03-2007*銀行基礎設施技術標準策略規(guī)范qccb-0506-02-2005*銀行個人信息與桌面安全

4、pds系統(tǒng)運行管理規(guī)范（試行）qccb-0102-08-2010*銀行前端（網(wǎng)點）終端設備及應用技術規(guī)范（試行）二、背景1. 網(wǎng)點現(xiàn)狀與項目需求分析網(wǎng)絡結構：目前我行網(wǎng)點接入網(wǎng)廣域網(wǎng)多采用單設備雙線路模式圖表 1 雙線路單設備廣域網(wǎng)上級節(jié)點配備兩臺路由器，下級節(jié)點只配備一臺路由器。兩臺上級節(jié)點的路由器分別通過兩條廣域網(wǎng)線路與下級節(jié)點的一臺路由器進行互聯(lián)。在同層網(wǎng)絡結構、采用同檔次設備的前提下，采用本模式可以具有結構簡單、運維工作量少、投資規(guī)模小的特點。網(wǎng)點局域網(wǎng)多采用單交換機單接口模式：圖表 2 單交換機單接口模式單交換機單接口模式下，路由器只有一個以太口與交換機互聯(lián)。單交換機單接口模式下的交

5、換機可以采用三層或二層接入模式。采用二層接入方式時，路由器的以太端口通過trunk的方式連接到交換機上，將各vlan的網(wǎng)關配置在路由器不同的子端口上。 網(wǎng)點設備連接：如下圖 圖表3 網(wǎng)點終端設備連接 網(wǎng)點高柜內(nèi)的字符終端、win終端都通過串口連接至網(wǎng)點路由器上內(nèi)置的異步口。其它生產(chǎn)客戶端、自助設備接入網(wǎng)點可網(wǎng)管交換機的生產(chǎn)網(wǎng)vlan，辦公客戶端和pbcs客戶端接入可網(wǎng)管交換機的辦公網(wǎng)vlan。2.項目目標根據(jù)省分行關于印發(fā)的通知（建皖函2011607號）要求，為努力改善前臺員工企業(yè)網(wǎng)使用環(huán)境，保證前臺高低柜員工都能及時了解行內(nèi)最新動態(tài)，反饋員工之聲，提高員工的企業(yè)歸屬感，我們參照每個行所屬實際

6、網(wǎng)點數(shù)為每一個網(wǎng)點配備了企業(yè)網(wǎng)專用pc，并逐步更新淘汰原有字符終端，按照總行產(chǎn)品標準目錄升級為win終端，同時滿足網(wǎng)點前臺員工隨時訪問企業(yè)信息網(wǎng)獲取最新信息。因網(wǎng)點原有pbcs系統(tǒng)部署在低柜，該系統(tǒng)可以同時訪問企業(yè)網(wǎng)，因此本項目所涉及的內(nèi)容主要針對網(wǎng)點高柜區(qū)的員工訪問企業(yè)網(wǎng)的需求設計。三、架構設計根據(jù)項目需求，結合總分行相關建設與安全規(guī)范，網(wǎng)絡接入設計如下：1. 總體拓撲結構（本架構為培訓時所提方案二的過渡方案，方案一具體架構見隨本方案一起下發(fā)的ppt文件）圖表4 總體拓撲結構2. 設計說明l 網(wǎng)點高柜內(nèi)win終端仍然通過主串口和啞終端路由器的異步串口相連，仍使用原有連接線纜；l 網(wǎng)點高柜新增

7、一臺pc服務器，配置有雙網(wǎng)卡，其中主網(wǎng)卡接入網(wǎng)點企業(yè)網(wǎng)交換機對應vlan中；l 網(wǎng)點新增的pc服務器和win終端的網(wǎng)口通過一臺傻瓜交換機（8-16口）連接，組成一個私有網(wǎng)絡，使用私有網(wǎng)絡ip地址，如：/24。（新增服務器擺放位置盡量與高柜終端放在一條水平線上，從而減少綜合布線）l 高柜內(nèi)的win終端通過終端服務連接到網(wǎng)點新增的pc服務器上，通過此pc服務器訪問企業(yè)網(wǎng)。通過以上方式連接后，高柜柜員使用的win終端在通過啞終端（串口）方式連接到生產(chǎn)后臺辦理業(yè)務的同時，也具備了通過windows終端服務方式隨時訪問企業(yè)網(wǎng)，獲取行內(nèi)最新動態(tài)，反饋員工心聲的環(huán)境。此外，如身份核查

8、之類的企業(yè)網(wǎng)業(yè)務也可直接在高柜終端上完成。四、詳細設計和實施方案1. 網(wǎng)絡部分此部分內(nèi)容已在架構設計中說明，此處不再贅述。2. 服務器部分2.1 硬件要求：建議網(wǎng)點pc服務器選擇較高配置的計算機，內(nèi)存2g以上，硬盤320g以上，含光驅等。（本次實施由省分行統(tǒng)一購置下發(fā)）2.2 軟件要求：根據(jù)網(wǎng)點高柜上企業(yè)網(wǎng)的要求并結合實際情況，操作系統(tǒng)選擇安裝windows 2003 server。殺毒軟件安裝行內(nèi)統(tǒng)一的mcafee virusscan enterprise 8.7，其他常用軟件如java、office2003等。2.3 配置方法2.3.1 windows 2003 server的安裝l 首先

9、，將計算機設置為光驅啟動，將windows 2003 server光盤放入光驅。l 當屏幕出現(xiàn)“press any key to boot from cd”時敲任意鍵進入。l 到選擇安裝分區(qū)時，注意將分區(qū)格式化為ntfs格式，如果硬盤比較大，考慮用戶臨時文件比較多，建議c盤分區(qū)空間盡量大于20gl 其他正常安裝即可l 系統(tǒng)安裝完成后，第一次進入系統(tǒng)，右鍵點擊“我的電腦”，打開【管理】【計算機管理】【磁盤管理】對剩余的磁盤進行分區(qū)。l 桌面上右鍵【屬性】【設置】【高級】【疑難解答】【硬件加速】，設置成【完全】l 【運行】輸入【dxdiag】【顯示】將directx功能的所有項目啟用注：最后兩步主

10、要加快顯卡顯示能力 2.3.2 安裝終端服務（注意終端服務授權問題）在控制面板中打開 添加/刪除程序，點擊 添加/刪除windows組件：l 把ie增強的安全配置勾選去除，勾選 終端服務器以及終端服務器授權兩項，然后下一步；l 出現(xiàn)授權提示，直接下一步；l 選擇“寬松安全模式”，下一步l （安裝了sp1才有這一步）選擇許可證服務器，選擇：我將在120天之內(nèi)選擇許可證服務器；下一步；選擇“每設備”；點擊下一步l 開始安裝終端服務，安裝完畢后提示重啟，點擊：是。安裝完成。2.3.3 windows 2003 server終端服務的激活注意：此步驟可在安裝完服務器120天內(nèi)做。激活服務器，安裝完正式

11、的許可證后需要把服務器重新啟動一次，終端才會把原來的臨時許可證更新為正式許可證。如果打開終端服務器授權，提示找不到授權服務器，在控制面板中打開 添加/刪除程序，點擊 添加/刪除windows組件中勾選 終端服務器以及終端服務器授權兩項，重新安裝一遍，就能出來現(xiàn)授權服務器。windows 2003 的終端服務許可證安裝分為兩個步驟：l 激活終端服務器。l 添加終端服務許可證。第一步：激活終端服務器。運行 開始程序管理工具終端服務器授權，出現(xiàn)的界面如下：上圖顯示的服務器的名稱，對應的如果你激活時，此處出現(xiàn)的便是你的服務器的名稱了，將鼠標移動到服務器名稱上，點擊鼠標的右鍵，出現(xiàn)了激活的菜單如下：選中

12、激活服務器，出現(xiàn)激活向導畫面：點擊下一步，出現(xiàn)了連接方法，如果終端服務器可以直接上公網(wǎng)，選擇：自動連接。根據(jù)提示，激活并安裝許可證即可，許可證程序選擇為enterprise agreement。產(chǎn)品版本選擇：【windows server 2003】，產(chǎn)品類型根據(jù)實際應用選擇【每設備】。輸入?yún)f(xié)議號碼6565792，完成。查看終端服務器授權情況，雙擊服務器名稱?？梢钥吹揭呀?jīng)獲得了n個（你輸入的或默認的值）批量許可證。重啟服務器。如果終端服務器不可以上公網(wǎng)，選擇web瀏覽器。下一步：出現(xiàn)如下提示：根據(jù)提示，抄下產(chǎn)品id，到一臺能夠上公網(wǎng)的pc使用ie或netscape等瀏覽器，采用安全連接方式訪問

13、url，。出現(xiàn)的如下網(wǎng)頁，為了方便瀏覽，可以指定語言為chinese（simplified）方式，點擊【go】，頁面將變成中文。下一步，到達輸入界面如下，產(chǎn)品id處填入你的產(chǎn)品id，在激活向導處，可以看到產(chǎn)品id，其他的姓名、單位，等可以填入實際的，也可以填入虛假的。國家選擇中國。根據(jù)提示下一步，出現(xiàn)確認信息，確認無誤后下一步，此時會反饋給你一串35個字節(jié)長的激活碼。抄下該號碼。根據(jù)提示，選擇是，直接獲取客戶機許可證。出現(xiàn)如下界面。注意，許可證程序由open license更改為enterprise agreement。點擊【下一步】輸入【數(shù)量】和協(xié)議號碼【6565792】。產(chǎn)品類型根據(jù)選擇【

14、每設備】。點擊下一步。出現(xiàn)確認信息，確認無誤后選擇下一步。得到紅框內(nèi)的許可證密鑰。抄下該號。點擊“是”。此時將上述2串紅色方框內(nèi)的id帶回到終端服務器。將第一個得到的紅框中的許可證id填入到激活對話框中，再點擊下一步，便可以激活終端服務器了：直接點擊下一步，出現(xiàn)相似的輸入對話框。將第二串一個35個字節(jié)長的用紅框圈起來的id，輸入到上圖的對應處，并且點擊下一步，便完成了終端許可證的安裝。查看終端服務器授權情況，雙擊服務器名稱。可以看到已經(jīng)獲得了n個（此處為100，一個網(wǎng)點掛接終端不會太多，可選默認值）批量許可證。重啟服務器。2.3.4 設置終端服務 【開始】【程序】【管理工具】【終端服務配置】【

15、tcp-rdp屬性】【權限】，添加【users】組，權限設置為 用戶訪問、來賓訪問。確認即可。2.3.5新建用戶 我的電腦右鍵【管理】【用戶和組】【用戶】右鍵【新用戶】輸入用戶名及密碼。將“用戶下次登陸時須更改密碼”勾去掉，勾上”密碼永不過期”,點擊創(chuàng)建。3. win終端部分3.1 硬件要求3.1.1 實達終端硬件要求l 型號：start wt-5060lxl 序列號：v1.xx 1g/512m/128m dom安徽建行版sn：10xxxxxx-10xxxx序列號中“v1.xx”表示硬件主板版本；1g表示cpu；512m表示內(nèi)存；128m表示電子硬盤dom卡；“安徽建行版”表示硬件特殊版本號；

16、“sn：10”表示10年生產(chǎn)；lx表示液晶一體化，如5060lxd中的“d”雙網(wǎng)卡版本；l 網(wǎng)終接口：1個10m/100m自適應網(wǎng)卡；l 音頻接口：帶有音頻模塊，可接駁音頻輸出和音頻輸入設備；l 接口：4個db9針串口、1個db25針串口（安徽建行特殊版）、1個并口、1個ps/2鍵盤接口、1個ps/2鼠標接口、4個usb 2.0接口(其中2個右側置)。3.2 系統(tǒng)要求3.2.1 實達終端系統(tǒng)要求采用windows ce.net v5.5開發(fā)環(huán)境 ，目前版本標識號為v4.xx，支持協(xié)議：支持microsoft rdpv5.5連接協(xié)議 支持citrix ica v8.00連接協(xié)議 支持telnet

17、應用 支持tcp/ip、ppp、dhcp、dns協(xié)議 3.2.2 國光終端系統(tǒng)要求windows ce版本 3.3 配置接入啞終端方法3.3.1 實達終端l 實達前兩批5060lx終端在開箱后需要升級telnet程序。升級方法如下：開機后，插入u盤（將程序放在u盤的根目錄下）點擊桌面上的“本機”點開后再點擊“程序升級” 在左邊的選項中選擇“telnet” 在右上角選擇“本地u盤” 兩項選好后 在頁面的下方點擊“下載” 下載成功后按提示重啟機器。l 建立dcc連接： 首先新建dcc 點擊“新建”選擇“telent仿真客戶端” 鏈接名稱輸入“dcc” 主機接口選“rs232” 仿真類型選擇“ans

18、i”然后點擊下一步，再點擊完成，完成后在界面上會出現(xiàn)dcc的鏈接圖標，雙擊打開，在dcc上面有“設置”選項，點開選擇“桌面”里面有3項需要改1“esc鍵”改成“esc”、2“數(shù)字鍵盤”改成“數(shù)字鎖定”、3在右邊其他選項中把“ctrl+a”打鉤，完成后點擊“ok”。再進入設置打開打印機設置，打印機選“oki5330”（打印機選項要看接受嗎類型的打印機，一般情況下面包機選“oki5330”寬行打印機選“l(fā)q系列”），打印模式選“透明”，打印優(yōu)化選“否”其他不需要改，完成后點擊“ok”。再次進入設置中的“輔口”選項，把輔口一的波特率改成“1200”（默認是9600）完成后點擊“ok”然后退出dcc，

19、在桌面窗口右下角點擊“保存”。3.3.2 國光終端機器打開后，終端外設的連接：串口1：通訊口（9轉25針線）；串口2：磁卡機；串口3：密碼鍵盤；串口5：指紋儀；具體如下圖：配置dcc連接：l 點擊左下角的設置連接向導仿真連接管理打開：l 選擇“新建”按鈕后彈出菜單仿真下“連接”，串口通訊，選擇com1：即可?！本C合”：仿真類型選擇vt220。鍵盤設置中副鍵盤用vt105 ，101專用。l 輔口設置：將串口映射修改下，邏輯輔口1映射到物理串口com2，邏輯輔口2映射到物理串口com3，邏輯輔口3映射到物理串口com5。l 選擇輔口1、輔口2點擊串口設置將配置表中的“參數(shù)優(yōu)先”勾選上，這個比較重要

20、不選外設將無法使用。輔口3 ，輔口4依次按照輔口1、2設置的方法設置即可。 l 在”外設”設置項密碼器打開后端口選擇com3；磁卡機端口選擇com2l 名稱修改完以后就將數(shù)據(jù)保存，點擊保存后彈出對話框，連接名設為dcc，點擊確定即可。在桌面會有三個圖標。一個是ie瀏覽器，一個是rdp連接，還有一個就是國光仿真。由于是接9轉25針線，有可能在個別網(wǎng)點不能聯(lián)機，那么只要修改一下路由器設置，在異步口增加語句undo detect dsrdtr。3.4 配置接入企業(yè)網(wǎng)方法3.4.1 實達終端l 新建rdp鏈接，并設置如下，首先在開機畫面的窗口上打開“網(wǎng)絡”，打開后輸入本機的ip地址。然后點擊新建，選擇“microsoftrdp客戶端”選中后輸入連接名稱，再輸入服務器地址，完成后進行下一步，這步根據(jù)客戶需求自己進行修改輸入。再下一步，這部分不需要設，直接下一步。下一步后把“顯示鏈接欄”打鉤。再下一步，把“串行口”