河野哲治のコラム「オンライン資格確認のネットワーク構築について解説します(3)」

みなさんこんにちは、テックデザインの河野です。

今回は前回コラムで掲載したConfigの内容について詳しく解説をします。ダウンロードできるConfigはtftpで取得したものですが、本稿ではパートごとにまとめて見やすくなるように編集しています。かなりの部分がヤマハネットワークエンジニア会テクニカルノーツ「オンライン資格確認向けルーター設定方法2」のconfigと同じですが、インターネット接続とタグVLANが利用できるところが本設定例の見どころになります。

┃ネットワーク構成

■設定例

ここからConfigをダウンロードできます。

┃ルーター(RTX830)設定例

<LAN分割>

LAN1 Port 1〜3をオンライン資格確認端末用、LAN1 Port 4をWANポートとして使用します。

vlan port mapping lan1.1 vlan1 vlan port mapping lan1.2 vlan1 vlan port mapping lan1.3 vlan1 vlan port mapping lan1.4 vlan2 lan type lan1 port-based-option=divide-network

<IPv6 IPoE>

LAN分割機能を使う場合、IPv6はvlan1以外では利用できないので注意が必要です。ngn typeコマンドはなくてもひとまずは動作しますが、RAプロキシの場合は設定しないとリナンバリングしないので忘れずに入れておきましょう。

# RAプロキシ ngn type vlan2 ntt ipv6 prefix 1 ra-prefix@vlan2::/64 ipv6 vlan1 address ra-prefix@vlan2::1/64 ipv6 vlan1 rtadv send 1 o_flag=on ipv6 vlan1 dhcp service server   description vlan2 WAN ipv6 vlan2 dhcp service client ir=on

<IPv4>

ポート分割したインターフェースではタグVLANが使えません。lan2をWAN側インターフェースではなくLAN側インターフェースとすることで、タグVLANが使える環境を残しています。1台の無線アクセスポイントポイントから複数のネットワークに参加できるようにする場合はタグVLANが必要になるので、利用シーンは少なくないと思います。

description vlan1 オンライン資格確認 ip vlan1 address 172.16.1.254/24 description lan2 レセプト・電子カルテ ip lan2 address 192.168.1.254/24

<IPv6フィルター>

vlan2はWAN側インターフェースとして使用します。フレッツ網の情報はDHCPv6やDHCPv6-PDで受け取るため、IPv6の受信トラフィックはDHCPv6 Client宛の通信を許可しています。また、エコー要求以外のICMPも許可しています。

ipv6 vlan2 secure filter in 120000 120001 120002 120003 ipv6 vlan2 secure filter out 121999 dynamic 123098 123099   ipv6 filter 120000 reject * * icmp6 128 * ipv6 filter 120001 pass * * icmp6 * * ipv6 filter 120002 pass * * tcp * ident ipv6 filter 120003 pass * * udp * 546 ipv6 filter 121999 pass * * * * *   ipv6 filter dynamic 123098 * * tcp ipv6 filter dynamic 123099 * * udp

<IPv4フィルター>

オンライン資格確認用に使用するvlan1の受信トラフィックは、同一セグメント内の通信とDHCPサーバー宛の通信のみ許可します。送信トラフィックはレセプト・電子カルテセグメントから開始された通信とDHCPサーバーからの通信を許可します。

ip vlan1 secure filter in 110000 110001 ip vlan1 secure filter out 111000 111001 dynamic 113000 113001   ip filter 110000 pass 172.16.1.0/24 172.16.1.254 * * * ip filter 110001 pass * * udp dhcpc dhcps ip filter 111000 pass 192.168.1.0/24 172.16.1.0/24 * * * ip filter 111001 pass * * udp dhcps dhcpc   ip filter dynamic 113000 192.168.1.0/24 172.16.1.0/24 tcp ip filter dynamic 113001 192.168.1.0/24 172.16.1.0/24 udp

<IPv4インターネット接続>

PPPoEで使用するインターフェースとしてvlan2を指定しています。フィルター番号122030〜122037では、インターネットに接続できる端末をルーター自身とレセプト・電子カルテセグメントに限定しています。フィルター番号120000と121000はそれぞれ3行に分けて書かれていることが多いですが、1行にまとめても可読性は悪くないと思います。

ip route default gateway pp 1   pp select 1  pp always-on on  pppoe use vlan2  pppoe auto disconnect off  pp auth accept pap chap  pp auth myname (ISPの接続ID) (ISPの接続パスワード)  ppp lcp mru on 1454  ppp ipcp ipaddress on  ppp ipcp msext on  ppp ccp type none  ppp ipv6cp use off  ip pp mtu 1454  ip pp secure filter in 120000 120020 122021 122022 122023 122024 122025 122030 122032 122033  ip pp secure filter out 121000 122020 122021 122022 122023 122024 122025 122026 122027 129997 129999 dynamic 123080 123081 123082 123083 123084 123098 123099  ip pp intrusion detection in on reject=on  ip pp nat descriptor 1200  pp enable 1   ip filter 120000 reject 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 * * * * ip filter 121000 reject * 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 * * * ip filter 122020 reject * * udp,tcp 135 * ip filter 122021 reject * * udp,tcp * 135 ip filter 122022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 122023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 122024 reject * * udp,tcp 445 * ip filter 122025 reject * * udp,tcp * 445 ip filter 122026 restrict * * tcpfin * www,21,nntp ip filter 122027 restrict * * tcprst * www,21,nntp ip filter 122030 pass * 172.16.1.254,192.168.1.0/24 icmp * * ip filter 122031 pass * 172.16.1.254,192.168.1.0/24 established * * ip filter 122032 pass * 172.16.1.254,192.168.1.0/24 tcp * ident ip filter 122033 pass * 172.16.1.254,192.168.1.0/24 tcp ftpdata * ip filter 122034 pass * 172.16.1.254,192.168.1.0/24 tcp,udp * domain ip filter 122035 pass * 172.16.1.254,192.168.1.0/24 udp domain * ip filter 122036 pass * 172.16.1.254,192.168.1.0/24 udp * ntp ip filter 122037 pass * 172.16.1.254,192.168.1.0/24 udp ntp * ip filter 122997 pass * * icmp * * ip filter 129998 reject-nolog * * established ip filter 129999 pass * * * * *   ip filter dynamic 123080 * * ftp ip filter dynamic 123081 * * domain ip filter dynamic 123082 * * www ip filter dynamic 123083 * * smtp ip filter dynamic 123084 * * pop3 ip filter dynamic 123085 * * submission ip filter dynamic 123086 * * https ip filter dynamic 123098 * * tcp ip filter dynamic 123099 * * udp

<NAT>

IPマスカレード対象の内側アドレスをルーター自身とレセプト・電子カルテセグメントに限定し、オンライン資格確認端末がインターネットに接続しないようにしています。NAT外側アドレスは規定値がipcpなので2行目は設定しなくてもいいのですが、パッと見て分かりやすいので私はあえて設定するのが好みです。コメントみたいなものですね。

nat descriptor type 1200 masquerade nat descriptor address outer 1200 ipcp nat descriptor address inner 1200 172.16.1.254 192.168.1.1-192.168.1.254

<DNS>

UDPでDNSが扱えるデータ量は最大512バイトです。それを超えるデータ量の場合はTCPで扱えますが、ヤマハルーターはDNSのTCPフォールバックに対応していないため、edns=onオプションでEDNSの有効化が必須となります。実際にDNSの通信をパケットキャプチャーしてみると、データ量が512バイトを超える通信が発生しているのが確認できます。

「オンライン資格確認等システム接続ガイド(IP-VPN接続方式)1.5版(https://www.iryohokenjyoho-portalsite.jp/download/docs/onshi_nw_setsuzoku_guide_ver1.5.pdf)」のP12では名前解決の可否でネットワークの疎通確認をしています。正引きでIPv6アドレスとIPv4アドレスの両方を返されるのが正しい結果として示されているため、DNSレコードタイプはaaaaではなくanyとしています。

# NTT東西共通 dns service recursive dns service fallback on dns server select 599999 reject any . dns private address spoof on   # IPv6(NTT東日本仕様) dns server select 500001 2404:1a8:7f01:a::3 edns=on 2404:1a8:7f01:b::3 edns=on any flets-east.jp dns server select 500002 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any onshikaku.org dns server select 500003 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any www.lineauth.mnw dns server select 500004 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any oqs-pdl.org dns server select 500005 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any managedpki.ne.jp dns server select 500006 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any cybertrust.ne.jp dns server select 500007 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any secomtrust.net   # IPv4 PPPoE用 dns server select 500008 pp 1 edns=on any . restrict pp 1

<オンライン請求>

オンライン資格確認用端末からIP-VPN形式のオンライン請求ができるようにするため、vlan1からPPPoE接続ができるようにしています。

pppoe pass-through member vlan1 vlan2

<IPv4 DHCP>

本稿ではオンライン資格確認セグメントとレセプト・電子カルテセグメントの両方でDHCPサーバーを有効にしていますが、DHCPサーバーを使用するか否かは任意です。

dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 172.16.1.1-172.16.1.9/24 dhcp scope 2 192.168.1.1-192.168.1.100/24

<その他>

下記も任意の設定です。自分の環境で問題なく動作するようになるまでは、Syslogは全てONにしておいた方が不具合の原因を見つけやすくなります。telnetはデフォルトがonなので、特に理由がなければoffにしておいた方が安心です。

console character ja.utf8 console columns 4096 console prompt RTX830 login timer 900   syslog notice on syslog info on syslog debug on   telnetd service off statistics traffic on

config内容の解説は以上となります。

今回ポートベースVLANは2つのブロードキャストドメインに分割しましたが、3つ以上に分割してインターネット回線をマルチホーミングにするのもよくある構成例かと思います。本稿がオンライン資格確認の導入に役立てば幸いです。


お問い合わせ


購入前の評価機のご依頼、構成のご相談、販売店のご紹介、お見積り依頼、技術支援、営業支援、セミナー開催支援など、
以下よりお気軽にお問い合わせください。
お問い合わせ