医保场景部署案例

1、医保场景组网

21.png

     拓扑介绍:

4G路由器作为药店/医疗车/医院备份链路的专网出口,使用灌输证书的4G卡拨号;

医保局侧路由器LNS也接入互专网,主要作为VPDN的服务端,采用L2TP的方式,实现4G拨号接入到LNS设备;

接入网关内置运行吉大APP,与身份认证网关交付证书,吉大app认证通过后,网络数据联通,可正常办理医保内部业务;      

医保局测按需部署锐捷的BROS系统,可以实现对4G路由器的远程管理,实现版本升级、状态监控、配置下发等功能。

2、配置任务

(1)医保局测LNS设备配置L2TP的配置,身份认证网关配置IPSEC

(2)接入通过U盘导入配置断电重启,断电时候安装SIM卡,插天线,登录设备查看证书是否正常下载,即可以进行业务测试。

3、配置过程

  3.1 汇聚侧设备配置案例

    医保方案的有线专线模型:医保方案当前组网一般以双机LNS和双IPSec网关网络架构。汇聚端设备为RSR77-X设备,接入端为RSR10-01G-T-S(CHS)

image.png

注:有线专线目前主要以静态IP地址为主, RSR10-01G-T-S设备与医保核心网LNS双台构建专线网络,然后与IPSec双台跑双VRRP虚拟单台建IPSec隧道

    3.1.1 4G专线数据通讯流程:

image.png

4G :运营商专线,通过4G与LNS构建专线网络 

证书认证 通过SIM卡中存储证书信,第三方App认证获得token信息,为一串加密的字符串。4G设备以序列号为用户名,token信息为密码发给IPSec网关 

创建IPSec隧道 IPSec支持国密加解密,使用token信息认证,认证方式采用xuath扩展认证。发送给CA身份认证网关,CA认证网关做校验,认证通过隧道建立。

    3.1.2  有线专线静态IP地址数据通讯流程:

image.png

有线:运营商专线,通过静态IP地址与LNS构建专线网络 

证书认证:通过SIM卡中存储证书信,第三方App认证获得token信息,为一串加密的字符串。4G设备以序列号为用户名,token信息为密码发给IPSec网关 

创建IPSec隧道IPSec支持国密加解密,使用token信息认证,认证方式采用xuath扩展认证。发送给CA身份认证网关,CA认证网关做校验,认证通过隧道建立。

备注:此场景接入路由器的WAN口为Eth1.X(X为VLAN-ID),LNS侧的配置使用创建子接口的方式实现网点接入,WAN口与IPSec网关建IPSec隧道


    3.1.3 有线公网L2TP+IPSec隧道数据通讯流程:

image.png

有线运营商专线,通过静态IP地址与LNS构建专线网络 

证书认证通过SIM卡中存储证书信,第三方App认证获得token信息,为一串加密的字符串。4G设备以序列号为用户名,token信息为密码发给IPSec网关 

创建IPSec隧道:IPSec支持国密加解密,使用token信息认证,认证方式采用xuath扩展认证。发送给CA身份认证网关,CA认证网关做校验,认证通过隧道建立。

备注:此场景接入路由器的WAN口为Eth1.X(X为VLAN-ID),LNS侧的配置使用创建子接口的方式实现网点接入,WAN口与IPSec网关建IPSec隧道

      3.1.4  LNS端的配置 :

   Vpdn 2.0典型配置(此场景LNS侧的配置与4G专线配置相同

vpdn enable

vpdn pool ruijie 172.168.0.2 172.168.255.254  //   //配置l2tp用户的地址池

interface Virtual-vpdn 1 // //先创建virtual-vpdn接口,该接口必须提前创建完毕。

 ppp authentication pap

 ip address 172.168.0.1 255.255.0.0       //virtual-vpdn接口静态配置IP地址

 vpdn intf_pool ruijie   //在接口下调用为vpdn配置的地址池

vpdn-group 1

! Default L2TP VPDN group

 bind 6/1

 accept-dialin

  protocol l2tp

  virtual-vpdn 1

 l2tp tunnel authentication        //按需启用l2tp隧道认证功能

 l2tp tunnel password sdhsip          //按需配置l2tp隧道验证密码为“sdhsip

    

     LNS端域名剥离的配置 


vpdn enable

vpdn authorize domain split    //域名剥离配置

vpdn domain-delimiter / prefix // /符号前为域名

vpdn pool ruijie 172.168.0.2 172.168.0.254

vpdn pool JN 172.168.1.2 172.168.1.254

interface Virtual-vpdn 1

 ppp authentication pap

 ip address 172.168.0.1 255.255.0.0

 vpdn intf_pool ruijie

interface Virtual-vpdn 2

 ppp authentication pap

 ip address 172.168.1.1 255.255.0.0

 vpdn intf_pool JN

vpdn-group 1

! Default L2TP VPDN group

 bind 6/1

 accept-dialin

  protocol l2tp

  virtual-vpdn 1  //无域名的用户从里分配地址

 domain JN virtual-vpdn 2 //有域名的用户从里分配地址

 l2tp tunnel authentication

 l2tp tunnel password sdhsip


    IPSEC端的配置 (所有场景IPSec端的配置基本相同

aaa new-model

aaa authentication xauth A local  //xauth的名字认证方式 A(一般取名为xauth),A无法通过走local,走了CA的认证就不走AAA服务器,该命令为了auth生效。走HTTP认证不走AAA。

crypto isakmp policy 1

 encryption sm4

 authentication pre-share

 group 2

crypto isakmp policy 2

 encryption sm4

 authentication pre-share

 hash sm3

 group 2

crypto isakmp key 0 pskey address 0.0.0.0 0.0.0.0

crypto isakmp ippool yb //拨号成功后给医保专用的地址池,一般为给客户端APP使用,4G移动设备是从LNS的pool获取地址

 address startip endip

crypto isakmp client configuration group default

 pool yb

 http-auth serverurl//ca认证服务器地址(本次新增)

crypto isakmp xauth cisco_comp //pad拨号兼容配置,pad使用cisco_comp协议

crypto ipsec transform-set set esp-sm4 esp-sm3-hmac

crypto ipsec transform-set set2 esp-sm4 esp-sha-hmac

crypto ipsec optional  //允许放行非加密报文

crypto ipsec no-filter//解密后的数据不受接口acl限制

ip access-list extended 199

 10 deny ip host 172.169.1.2 any  //没有配置默认是不deny any也不permit any,当CA部署在IPSec之后时,到CA的流不走IPSec隧道,Host 为CA的IP地址。

crypto dynamic-map map 1

 set transform-set set set2

crypto map yb 1 ipsec-isakmp

 set transform-set set

 match address 199

crypto map yb 100 ipsec-isakmp dynamic map

crypto map yb client authentication list A //关联xauth认证方法

interface GigabitEthernet 1/0/0 //调用

 crypto map yb

    LNS双机场景VRRP的配置(注: 医保方案汇聚端,双LNS双IPSec模型,下联接口都启用了VRRP协议,为了保证双VRRP主,备状态一致,需要配置SEM(Smart Embedded Manager)功能

image.png      interface GigabitEthernet 3/0/1

         vrrp 105 priority 80      //接口下配置VRRP的组合和优先级

         vrrp 105 ip 172.20.104.28 //配置对应VRRP组号的虚拟ip地址,同一 个网段同一个vrrp组合,不同网段不能相同


       logging on        //必须开启设备的日志记录功能

       smart manager applet vrrp_switch_decrease_1

       event tag 1 syslog pattern “Master -> Init”   //监察到syslog日志变化关键字,log 主设备变成非主

        action a1 cli command "enable"

        action a2 cli command "conf"

        action a3 cli command "int gi 3/0/0"

        action a4 cli command “vrrp 104 priority 80”  //进入上联口降低优先级到80,实现备设备(优先级默认为100)成为主设备

         action a5 cli command "int gi 3/0/1"

         action a6 cli command "vrrp 105 priority 80"//进入上联口降低优先级到80,实现备设备(优先级默认为100)成为主设备

          Commit    //提交策略配置,使SEM功能生效。



  3.2接入侧开局配置-制作介绍

     制作开局配置的方法有两种方式:

   (1)在openwrt设备上制作,然后导入U盘进行批量部署

   (2)在WIN10/Linux PC终端制作,然后导入U盘进行批量部署【推荐方法】

     通过上述方式可以制作两种不同配置内容的文件,最终以文件名区分:

      autoconfig.bin:设备配置文件包,存入U盘,openwrt路由器识别到文件后立即写入设备,

      在使用过程中通过Web或FUNC键恢复出厂设置,导入配置不会丢失。

   (1) 重启不丢失

   (2) 恢复出厂设置,不丢失

      备注:主要用于导入设备开局的网络配置

      tmpconfig.bin:设备脚本命令包,存入U盘,openwrt路由器识别到文件后立即写入设备,

      设备在使用过程中通过Web或FUNC键恢复出厂设置,导入的配置会丢失。

    (1) 重启可能会丢失,主要看tmpconfig.bin中有没有包含uci commit命令

    (2) 恢复出厂设置丢失

备注:主要用于设备故障定位或调试或适配用户新需求,例如:启用Telnet功能。

接入侧开局配置制作方法.docx