河野哲治のコラム「オンライン資格確認のネットワーク構築について解説します(3)」

河野哲治のコラム「オンライン資格確認のネットワーク構築について解説します(3)」

2021.11.12

みなさんこんにちは、テックデザインの河野です。

今回は前回コラムで掲載したConfigの内容について詳しく解説をします。ダウンロードできるConfigはtftpで取得したものですが、本稿ではパートごとにまとめて見やすくなるように編集しています。かなりの部分がヤマハネットワークエンジニア会テクニカルノーツ「オンライン資格確認向けルーター設定方法2」のconfigと同じですが、インターネット接続とタグVLANが利用できるところが本設定例の見どころになります。

┃ネットワーク構成

■設定例

ここからConfigをダウンロードできます。

┃ルーター(RTX830)設定例

<LAN分割>

LAN1 Port 1〜3をオンライン資格確認端末用、LAN1 Port 4をWANポートとして使用します。

vlan port mapping lan1.1 vlan1
vlan port mapping lan1.2 vlan1
vlan port mapping lan1.3 vlan1
vlan port mapping lan1.4 vlan2
lan type lan1 port-based-option=divide-network

<IPv6 IPoE>

LAN分割機能を使う場合、IPv6はvlan1以外では利用できないので注意が必要です。ngn typeコマンドはなくてもひとまずは動作しますが、RAプロキシの場合は設定しないとリナンバリングしないので忘れずに入れておきましょう。

# RAプロキシ
ngn type vlan2 ntt
ipv6 prefix 1 ra-prefix@vlan2::/64
ipv6 vlan1 address ra-prefix@vlan2::1/64
ipv6 vlan1 rtadv send 1 o_flag=on
ipv6 vlan1 dhcp service server
 
description vlan2 WAN
ipv6 vlan2 dhcp service client ir=on

<IPv4>

ポート分割したインターフェースではタグVLANが使えません。lan2をWAN側インターフェースではなくLAN側インターフェースとすることで、タグVLANが使える環境を残しています。1台の無線アクセスポイントポイントから複数のネットワークに参加できるようにする場合はタグVLANが必要になるので、利用シーンは少なくないと思います。

description vlan1 オンライン資格確認
ip vlan1 address 172.16.1.254/24
description lan2 レセプト・電子カルテ
ip lan2 address 192.168.1.254/24

<IPv6フィルター>

vlan2はWAN側インターフェースとして使用します。フレッツ網の情報はDHCPv6やDHCPv6-PDで受け取るため、IPv6の受信トラフィックはDHCPv6 Client宛の通信を許可しています。また、エコー要求以外のICMPも許可しています。

ipv6 vlan2 secure filter in 120000 120001 120002 120003
ipv6 vlan2 secure filter out 121999 dynamic 123098 123099
 
ipv6 filter 120000 reject * * icmp6 128 *
ipv6 filter 120001 pass * * icmp6 * *
ipv6 filter 120002 pass * * tcp * ident
ipv6 filter 120003 pass * * udp * 546
ipv6 filter 121999 pass * * * * *
 
ipv6 filter dynamic 123098 * * tcp
ipv6 filter dynamic 123099 * * udp

<IPv4フィルター>

オンライン資格確認用に使用するvlan1の受信トラフィックは、同一セグメント内の通信とDHCPサーバー宛の通信のみ許可します。送信トラフィックはレセプト・電子カルテセグメントから開始された通信とDHCPサーバーからの通信を許可します。

ip vlan1 secure filter in 110000 110001
ip vlan1 secure filter out 111000 111001 dynamic 113000 113001
 
ip filter 110000 pass 172.16.1.0/24 172.16.1.254 * * *
ip filter 110001 pass * * udp dhcpc dhcps
ip filter 111000 pass 192.168.1.0/24 172.16.1.0/24 * * *
ip filter 111001 pass * * udp dhcps dhcpc
 
ip filter dynamic 113000 192.168.1.0/24 172.16.1.0/24 tcp
ip filter dynamic 113001 192.168.1.0/24 172.16.1.0/24 udp

<IPv4インターネット接続>

PPPoEで使用するインターフェースとしてvlan2を指定しています。フィルター番号122030〜122037では、インターネットに接続できる端末をルーター自身とレセプト・電子カルテセグメントに限定しています。フィルター番号120000と121000はそれぞれ3行に分けて書かれていることが多いですが、1行にまとめても可読性は悪くないと思います。

ip route default gateway pp 1
 
pp select 1
 pp always-on on
 pppoe use vlan2
 pppoe auto disconnect off
 pp auth accept pap chap
 pp auth myname (ISPの接続ID) (ISPの接続パスワード)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ppp ipv6cp use off
 ip pp mtu 1454
 ip pp secure filter in 120000 120020 122021 122022 122023 122024 122025 122030 122032 122033
 ip pp secure filter out 121000 122020 122021 122022 122023 122024 122025 122026 122027 129997 129999 dynamic 123080 123081 123082 123083 123084 123098 123099
 ip pp intrusion detection in on reject=on
 ip pp nat descriptor 1200
 pp enable 1
 
ip filter 120000 reject 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 * * * *
ip filter 121000 reject * 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 * * *
ip filter 122020 reject * * udp,tcp 135 *
ip filter 122021 reject * * udp,tcp * 135
ip filter 122022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 122023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 122024 reject * * udp,tcp 445 *
ip filter 122025 reject * * udp,tcp * 445
ip filter 122026 restrict * * tcpfin * www,21,nntp
ip filter 122027 restrict * * tcprst * www,21,nntp
ip filter 122030 pass * 172.16.1.254,192.168.1.0/24 icmp * *
ip filter 122031 pass * 172.16.1.254,192.168.1.0/24 established * *
ip filter 122032 pass * 172.16.1.254,192.168.1.0/24 tcp * ident
ip filter 122033 pass * 172.16.1.254,192.168.1.0/24 tcp ftpdata *
ip filter 122034 pass * 172.16.1.254,192.168.1.0/24 tcp,udp * domain
ip filter 122035 pass * 172.16.1.254,192.168.1.0/24 udp domain *
ip filter 122036 pass * 172.16.1.254,192.168.1.0/24 udp * ntp
ip filter 122037 pass * 172.16.1.254,192.168.1.0/24 udp ntp *
ip filter 122997 pass * * icmp * *
ip filter 129998 reject-nolog * * established
ip filter 129999 pass * * * * *
 
ip filter dynamic 123080 * * ftp
ip filter dynamic 123081 * * domain
ip filter dynamic 123082 * * www
ip filter dynamic 123083 * * smtp
ip filter dynamic 123084 * * pop3
ip filter dynamic 123085 * * submission
ip filter dynamic 123086 * * https
ip filter dynamic 123098 * * tcp
ip filter dynamic 123099 * * udp

<NAT>

IPマスカレード対象の内側アドレスをルーター自身とレセプト・電子カルテセグメントに限定し、オンライン資格確認端末がインターネットに接続しないようにしています。NAT外側アドレスは規定値がipcpなので2行目は設定しなくてもいいのですが、パッと見て分かりやすいので私はあえて設定するのが好みです。コメントみたいなものですね。

nat descriptor type 1200 masquerade
nat descriptor address outer 1200 ipcp
nat descriptor address inner 1200 172.16.1.254 192.168.1.1-192.168.1.254

<DNS>

UDPでDNSが扱えるデータ量は最大512バイトです。それを超えるデータ量の場合はTCPで扱えますが、ヤマハルーターはDNSのTCPフォールバックに対応していないため、edns=onオプションでEDNSの有効化が必須となります。実際にDNSの通信をパケットキャプチャーしてみると、データ量が512バイトを超える通信が発生しているのが確認できます。

「オンライン資格確認等システム接続ガイド(IP-VPN接続方式)1.5版(https://www.iryohokenjyoho-portalsite.jp/download/docs/onshi_nw_setsuzoku_guide_ver1.5.pdf)」のP12では名前解決の可否でネットワークの疎通確認をしています。正引きでIPv6アドレスとIPv4アドレスの両方を返されるのが正しい結果として示されているため、DNSレコードタイプはaaaaではなくanyとしています。

# NTT東西共通
dns service recursive
dns service fallback on
dns server select 599999 reject any .
dns private address spoof on
 
# IPv6(NTT東日本仕様)
dns server select 500001 2404:1a8:7f01:a::3 edns=on 2404:1a8:7f01:b::3 edns=on any flets-east.jp
dns server select 500002 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any onshikaku.org
dns server select 500003 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any www.lineauth.mnw
dns server select 500004 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any oqs-pdl.org
dns server select 500005 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any managedpki.ne.jp
dns server select 500006 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any cybertrust.ne.jp
dns server select 500007 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any secomtrust.net
 
# IPv4 PPPoE用
dns server select 500008 pp 1 edns=on any . restrict pp 1

<オンライン請求>

オンライン資格確認用端末からIP-VPN形式のオンライン請求ができるようにするため、vlan1からPPPoE接続ができるようにしています。

pppoe pass-through member vlan1 vlan2

<IPv4 DHCP>

本稿ではオンライン資格確認セグメントとレセプト・電子カルテセグメントの両方でDHCPサーバーを有効にしていますが、DHCPサーバーを使用するか否かは任意です。

dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 172.16.1.1-172.16.1.9/24
dhcp scope 2 192.168.1.1-192.168.1.100/24

<その他>

下記も任意の設定です。自分の環境で問題なく動作するようになるまでは、Syslogは全てONにしておいた方が不具合の原因を見つけやすくなります。telnetはデフォルトがonなので、特に理由がなければoffにしておいた方が安心です。

console character ja.utf8
console columns 4096
console prompt RTX830
login timer 900
 
syslog notice on
syslog info on
syslog debug on
 
telnetd service off
statistics traffic on

config内容の解説は以上となります。

今回ポートベースVLANは2つのブロードキャストドメインに分割しましたが、3つ以上に分割してインターネット回線をマルチホーミングにするのもよくある構成例かと思います。本稿がオンライン資格確認の導入に役立てば幸いです。

河野 哲治
著者の記事一覧

著者

河野 哲治

株式会社テックデザイン 代表取締役

関連記事

  •  
    コラム ヤマハのコラム ランシステム黒澤氏のコラム

    RTX1300 Dynamic Exhibition in SCSK豊洲本社 参加レポート

  •  
    コラム ヤマハのコラム ランシステム黒澤氏のコラム

    ヤマハ 10ギガアクセスVPNルーター RTX1300 誕生! -2022年9月発売開始-

  •  
    ヤマハのコラム 更新情報

    ヤマハネットワーク即納可能モデル~Autumn~

  •  
    ヤマハのコラム ヤマハのセミナー 更新情報

    ”ヤマハユーザーをご招待!RTX1300 Dynamic Exhibition”を開催いたしました!

  •  
    コラム ヤマハのコラム 河野哲治のコラム

    河野哲治のコラム「オンライン資格確認とIPv6 IPoEインターネット接続を併用する(2)」

直近の開催セミナー

  •  
    2022
    10.7 金
    16:00 - 17:30

    ヤマハのYouTubeライブ、ヤマハのセミナー ヤマハWLX222発売記念YouTubeライブのご案内

  •  
    2022
    10.14 金
    14:00 - 16:30

    PicoCELAのセミナー、ヤマハのセミナー Meetup National Tour 2022開催のご案内

  •  

    公式 YouTube
    チャンネル

  • facebook
  • Instagram
  • Instagram

カテゴリーから記事を探す

評価機のご依頼

ネットワーク機器の
評価機のお貸し出し

構成のご相談

ネットワーク機器を
活用した構成のご相談

製品 ご導入事例の募集

ご導入事例について
ご紹介させて頂ける方