1、银行网点高柜方案编号密级项目技术类文档银行*省分行网点高柜企业网接入方案银行*省分行2013年5月文档修订记录序号修订内容简述修订日期目前版本号作者审阅1初稿 索引一、前言1.方案目的为解决我行营业网点高柜内员工访问企业网,方便快捷的获取办公网内信息,同时实现柜员都能独立访问员工满意度测评等涉及每个员工的信息系统,保护个人隐私,特制定本方案。本方案用于该项目的详细规划和设计,并且用作工程实施的指导性文件之一。2.方案范围本方案作为我行营业网点高柜接入企业网的实施指导,主要包括以下内容:背景架构设计详细设计和实施方案安全策略设计3.目标读者本文档主要面向负责分行网点前台网络和设备接入设计和实施的
2、管理人员及技术支持成员。4.参考文档QCCB-0506-01-2005*银行桌面办公系统配置安全技术要求(2005版)QCCBT-0503-01-2009*银行操作系统安全配置指南(v1.0)QCCB-0102-07-2010中国建行银行前端(网点)信息服务类外设技术规范(试行)QCCB-0102-04-2010*银行接入网建设总体技术规范(试行)QCCBT-0102-03-2007*银行基础设施技术标准策略规范QCCB-0506-02-2005*银行个人信息与桌面安全PDS系统运行管理规范(试行)QCCB-0102-08-2010*银行前端(网点)终端设备及应用技术规范(试行)二、背景1.网
3、点现状与项目需求分析网络结构:目前我行网点接入网广域网多采用单设备双线路模式图表 1 双线路单设备广域网上级节点配备两台路由器,下级节点只配备一台路由器。两台上级节点的路由器分别通过两条广域网线路与下级节点的一台路由器进行互联。在同层网络结构、采用同档次设备的前提下,采用本模式可以具有结构简单、运维工作量少、投资规模小的特点。网点局域网多采用单交换机单接口模式:图表 2 单交换机单接口模式单交换机单接口模式下,路由器只有一个以太口与交换机互联。单交换机单接口模式下的交换机可以采用三层或二层接入模式。采用二层接入方式时,路由器的以太端口通过Trunk的方式连接到交换机上,将各Vlan的网关配置在
4、路由器不同的子端口上。 网点设备连接:如下图 图表3 网点终端设备连接 网点高柜内的字符终端、WIN终端都通过串口连接至网点路由器上内置的异步口。其它生产客户端、自助设备接入网点可网管交换机的生产网VLAN,办公客户端和PBCS客户端接入可网管交换机的办公网VLAN。2.项目目标根据省分行关于印发的通知(建皖函2011607号)要求,为努力改善前台员工企业网使用环境,保证前台高低柜员工都能及时了解行内最新动态,反馈员工之声,提高员工的企业归属感,我们参照每个行所属实际网点数为每一个网点配备了企业网专用PC,并逐步更新淘汰原有字符终端,按照总行产品标准目录升级为WIN终端,同时满足网点前台员工随
5、时访问企业信息网获取最新信息。因网点原有PBCS系统部署在低柜,该系统可以同时访问企业网,因此本项目所涉及的内容主要针对网点高柜区的员工访问企业网的需求设计。三、架构设计根据项目需求,结合总分行相关建设与安全规范,网络接入设计如下:1.总体拓扑结构(本架构为培训时所提方案二的过渡方案,方案一具体架构见随本方案一起下发的PPT文件)图表4 总体拓扑结构2.设计说明网点高柜内WIN终端仍然通过主串口和哑终端路由器的异步串口相连,仍使用原有连接线缆;网点高柜新增一台PC服务器,配置有双网卡,其中主网卡接入网点企业网交换机对应VLAN中;网点新增的PC服务器和WIN终端的网口通过一台傻瓜交换机(8-1
6、6口)连接,组成一个私有网络,使用私有网络IP地址,如:192.168.10.1/24。(新增服务器摆放位置尽量与高柜终端放在一条水平线上,从而减少综合布线)高柜内的WIN终端通过终端服务连接到网点新增的PC服务器上,通过此PC服务器访问企业网。通过以上方式连接后,高柜柜员使用的WIN终端在通过哑终端(串口)方式连接到生产后台办理业务的同时,也具备了通过WINDOWS终端服务方式随时访问企业网,获取行内最新动态,反馈员工心声的环境。此外,如身份核查之类的企业网业务也可直接在高柜终端上完成。四、详细设计和实施方案1.网络部分此部分内容已在架构设计中说明,此处不再赘述。2.服务器部分2.1硬件要求
7、:建议网点PC服务器选择较高配置的计算机,内存2G以上,硬盘320G以上,含光驱等。(本次实施由省分行统一购置下发)2.2软件要求:根据网点高柜上企业网的要求并结合实际情况,操作系统选择安装WINDOWS 2003 SERVER。杀毒软件安装行内统一的MCAFEE VIRUSSCAN ENTERPRISE 8.7,其他常用软件如JAVA、OFFICE2003等。2.3配置方法2.3.1 Windows 2003 server的安装首先,将计算机设置为光驱启动,将Windows 2003 Server光盘放入光驱。当屏幕出现“Press Any Key to Boot from CD”时敲任意键
8、进入。到选择安装分区时,注意将分区格式化为NTFS格式,如果硬盘比较大,考虑用户临时文件比较多,建议C盘分区空间尽量大于20G其他正常安装即可系统安装完成后,第一次进入系统,右键点击“我的电脑”,打开【管理】【计算机管理】【磁盘管理】对剩余的磁盘进行分区。桌面上右键【属性】【设置】【高级】【疑难解答】【硬件加速】,设置成【完全】【运行】输入【DXDIAG】【显示】将DirectX功能的所有项目启用注:最后两步主要加快显卡显示能力 2.3.2 安装终端服务(注意终端服务授权问题)在控制面板中打开 添加/删除程序,点击 添加/删除WINDOWS组件:把IE增强的安全配置勾选去除,勾选 终端服务器以
9、及终端服务器授权两项,然后下一步;出现授权提示,直接下一步;选择“宽松安全模式”,下一步(安装了SP1才有这一步)选择许可证服务器,选择:我将在120天之内选择许可证服务器;下一步;选择“每设备”;点击下一步开始安装终端服务,安装完毕后提示重启,点击:是。安装完成。2.3.3 Windows 2003 Server终端服务的激活注意:此步骤可在安装完服务器120天内做。激活服务器,安装完正式的许可证后需要把服务器重新启动一次,终端才会把原来的临时许可证更新为正式许可证。如果打开终端服务器授权,提示找不到授权服务器,在控制面板中打开 添加/删除程序,点击 添加/删除WINDOWS组件中勾选 终端
10、服务器以及终端服务器授权两项,重新安装一遍,就能出来现授权服务器。Windows 2003 的终端服务许可证安装分为两个步骤:激活终端服务器。添加终端服务许可证。第一步:激活终端服务器。运行 开始程序管理工具终端服务器授权,出现的界面如下:上图显示的服务器的名称,对应的如果你激活时,此处出现的便是你的服务器的名称了,将鼠标移动到服务器名称上,点击鼠标的右键,出现了激活的菜单如下:选中激活服务器,出现激活向导画面:点击下一步,出现了连接方法,如果终端服务器可以直接上公网,选择:自动连接。根据提示,激活并安装许可证即可,许可证程序选择为Enterprise agreement。产品版本选择:【wi
11、ndows server 2003】,产品类型根据实际应用选择【每设备】。输入协议号码6565792,完成。查看终端服务器授权情况,双击服务器名称。可以看到已经获得了N个(你输入的或默认的值)批量许可证。重启服务器。如果终端服务器不可以上公网,选择WEB浏览器。下一步:出现如下提示:根据提示,抄下产品ID,到一台能够上公网的PC使用IE或NetScape等浏览器,采用安全连接方式访问URL,。出现的如下网页,为了方便浏览,可以指定语言为Chinese(Simplified)方式,点击【go】,页面将变成中文。下一步,到达输入界面如下,产品ID处填入你的产品ID,在激活向导处,可以看到产品ID,
12、其他的姓名、单位,等可以填入实际的,也可以填入虚假的。国家选择中国。根据提示下一步,出现确认信息,确认无误后下一步,此时会反馈给你一串35个字节长的激活码。抄下该号码。根据提示,选择是,直接获取客户机许可证。出现如下界面。注意,许可证程序由Open License更改为Enterprise agreement。点击【下一步】输入【数量】和协议号码【6565792】。产品类型根据选择【每设备】。点击下一步。出现确认信息,确认无误后选择下一步。得到红框内的许可证密钥。抄下该号。点击“是”。此时将上述2串红色方框内的ID带回到终端服务器。将第一个得到的红框中的许可证ID填入到激活对话框中,再点击下一
13、步,便可以激活终端服务器了:直接点击下一步,出现相似的输入对话框。将第二串一个35个字节长的用红框圈起来的ID,输入到上图的对应处,并且点击下一步,便完成了终端许可证的安装。查看终端服务器授权情况,双击服务器名称。可以看到已经获得了N个(此处为100,一个网点挂接终端不会太多,可选默认值)批量许可证。重启服务器。2.3.4 设置终端服务 【开始】【程序】【管理工具】【终端服务配置】【TCP-RDP属性】【权限】,添加【users】组,权限设置为 用户访问、来宾访问。确认即可。2.3.5新建用户 我的电脑右键【管理】【用户和组】【用户】右键【新用户】输入用户名及密码。将“用户下次登陆时须更改密码
14、”勾去掉,勾上”密码永不过期”,点击创建。3.WIN终端部分3.1 硬件要求3.1.1 实达终端硬件要求型号:START WT-5060LX序列号:V1.XX 1G/512M/128M DOM安徽建行版SN:10XXXXXX-10XXXX序列号中“V1.XX”表示硬件主板版本;1G表示CPU;512M表示内存;128M表示电子硬盘DOM卡;“安徽建行版”表示硬件特殊版本号;“SN:10”表示10年生产;LX表示液晶一体化,如5060LXD中的“D”双网卡版本;网终接口:1个10M/100M自适应网卡;音频接口:带有音频模块,可接驳音频输出和音频输入设备;接口:4个DB9针串口、1个DB25针串
15、口(安徽建行特殊版)、1个并口、1个PS/2键盘接口、1个PS/2鼠标接口、4个USB 2.0接口(其中2个右侧置)。3.2 系统要求3.2.1 实达终端系统要求采用Windows CE.net V5.5开发环境 ,目前版本标识号为V4.XX,支持协议:支持Microsoft RDPv5.5连接协议 支持Citrix ICA v8.00连接协议 支持Telnet应用 支持TCP/IP、PPP、DHCP、DNS协议 3.2.2 国光终端系统要求WINDOWS CE版本 3.3 配置接入哑终端方法3.3.1 实达终端实达前两批5060LX终端在开箱后需要升级Telnet程序。升级方法如下:开机后,
16、插入U盘(将程序放在U盘的根目录下)点击桌面上的“本机”点开后再点击“程序升级” 在左边的选项中选择“Telnet” 在右上角选择“本地U盘” 两项选好后 在页面的下方点击“下载” 下载成功后按提示重启机器。建立DCC连接: 首先新建dcc 点击“新建”选择“Telent仿真客户端” 链接名称输入“DCC” 主机接口选“RS232” 仿真类型选择“ANSI”然后点击下一步,再点击完成,完成后在界面上会出现DCC的链接图标,双击打开,在DCC上面有“设置”选项,点开选择“桌面”里面有3项需要改1“ESC键”改成“ESC”、2“数字键盘”改成“数字锁定”、3在右边其他选项中把“CTRL+a”打钩,
17、完成后点击“OK”。再进入设置打开打印机设置,打印机选“OKI5330”(打印机选项要看接受吗类型的打印机,一般情况下面包机选“OKI5330”宽行打印机选“LQ系列”),打印模式选“透明”,打印优化选“否”其他不需要改,完成后点击“OK”。再次进入设置中的“辅口”选项,把辅口一的波特率改成“1200”(默认是9600)完成后点击“OK”然后退出DCC,在桌面窗口右下角点击“保存”。3.3.2 国光终端机器打开后,终端外设的连接:串口1:通讯口(9转25针线);串口2:磁卡机;串口3:密码键盘;串口5:指纹仪;具体如下图:配置DCC连接:点击左下角的设置连接向导仿真连接管理打开:选择“新建”按
18、钮后弹出菜单仿真下“连接”,串口通讯,选择COM1:即可。”综合”:仿真类型选择VT220。键盘设置中副键盘用vt105 ,101专用。辅口设置:将串口映射修改下,逻辑辅口1映射到物理串口COM2,逻辑辅口2映射到物理串口COM3,逻辑辅口3映射到物理串口COM5。选择辅口1、辅口2点击串口设置将配置表中的“参数优先”勾选上,这个比较重要不选外设将无法使用。辅口3 ,辅口4依次按照辅口1、2设置的方法设置即可。 在”外设”设置项密码器打开后端口选择COM3;磁卡机端口选择COM2名称修改完以后就将数据保存,点击保存后弹出对话框,连接名设为DCC,点击确定即可。在桌面会有三个图标。一个是IE浏览
19、器,一个是RDP连接,还有一个就是国光仿真。由于是接9转25针线,有可能在个别网点不能联机,那么只要修改一下路由器设置,在异步口增加语句undo detect DSRDTR。3.4 配置接入企业网方法3.4.1 实达终端新建RDP链接,并设置如下,首先在开机画面的窗口上打开“网络”,打开后输入本机的IP地址。然后点击新建,选择“MicrosoftRDP客户端”选中后输入连接名称,再输入服务器地址,完成后进行下一步,这步根据客户需求自己进行修改输入。再下一步,这部分不需要设,直接下一步。下一步后把“显示链接栏”打钩。再下一步,把“串行口”“智能卡”“打印机”打钩,“USB磁盘驱动器”根据客户需求
20、决定是否启用,然后下一步,再下一步,最后点击完成。回到开机窗口后 再次点击“保存”。实达外设机具说明密码键盘:STAR 12SKB通用版波特率为1200;实达刷卡器:STAR 33MRW/X、STAR 36/IC等型号;波特率为1200;(拔号开关:1、4、6跳为“ON”,即设置波特率为1200)3.4.2 国光终端打开电源开关,进入CE桌面,点击桌面左下角“设置”打开“控制面板”菜单中“网络和拨号连接”打开后选择网路口1双击打开配置本地IP地址。完成后点击右上角OK保存。建立一个新的rdp连接,在桌面左下角“设置”在连接向导中选择RDP连接,一步步将相关数据输入然后保存,保存完毕后,在桌面会
21、有连接图标服务器设置好了,点击下一步默认选项一直到最后点击完成。完成后桌面出现企业网图标,选择点击右键编辑,打开后选择“本地资源”将打印机和串行口菜单勾选上,如果用优盘就将磁盘驱动器勾选上,智能卡主要是指usbkey,网银用的客户证书。 3.5 切换使用步骤3.5.1 实达终端同时打开DCC和企业网后,按“Ctrl+Tab”进行切换3.5.2 国光终端用ALT+TAB切换DCC和企业网。五、安全策略设计1、服务器部分服务器的软件系统配置参照建总发200562号关于印发*银行桌面办公系统使用安全管理规定(试行)、*银行桌面办公系统配置安全技术要求(2005版)及运行管理规范的通知。2、WIN终端部分目前采用WIN CE终端,终端上不安装软件,不保存数据。
