安徽省健康一体机网络接入方案研究

朱建军

主要研究了在运营商网络中接入安徽省卫计委下发的健康一体机，要求接入方案简单高效且具备良好的经济效益。考虑到成功接入的经济效益问题，方案主要根据光缆覆盖情况做了接入研究，针对光缆覆盖区域使用有线宽带接入、针对光缆覆盖较弱但4G信号已覆盖的区域使用4G CPE接入，可以有效降低投资成本。通过在县级卫生局服务器侧部署网关设备，使村卫生室用户通过VPN方式成功实现低成本接入。

健康一体机 VPN 低成本 网络接入方案

1 引言

安徽省卫计委下配给县级卫生系统的健康一体机功能齐全且便于携带，具备心电图、心率、血糖、血压、血氧饱和度、尿常规、体温等检测功能。同时，配有二代身份证读卡器，并配套相关的应用软件和管理软件，实现与基层医疗机构管理信息系统、公共卫生系统及县级综合卫生管理平台间的互联互通和信息共享。该机的配备使用将有力提升村级医疗机构服务能力，为农村居民带来更高质量的医疗卫生服务，广大农民群众足不出村即可享受各项免费身体检查，尤其是65岁以上老年人和慢性病患者的健康体检将更加方便快捷。但是在使用过程中发现，健康一体机是接入卫生局内网的，而村卫生室中的互联网专线用户、家庭宽带用户、4G LTE宽带用户均无法使用健康一体机。

后期安徽省卫计委将在全省推广健康一体机，涉及滁州市1050户村卫生室接入。如村卫生室使用数据专线直连至卫生局内网，可以正常接入，但数据专线投资成本较高，经济效益较差。基于此，本文项目旨在研究村卫生室用户的接入方案，在经济效益及方案可行性上进行创新接入。

2 项目背景

项目旨在使移动用户使用健康一体机能够成功接入到卫生局内网。健康一体机要求通过WLAN（Wireless Local Area Networks，无线局域网）方式连接，在保证能够正常接入的同时，考虑到接入方式的经济效益问题，应尽可能选取低成本、高效的接入方式。

健康一体机操作系统为Linux，无法进行客户端VPN（Virtual Private Network，虚拟专用网络）拨号，且健康一体机访问IP等信息已固化在设备中，无法通过公网映射。

用户接入方式包括有线宽带、LTE宽带这2种形式。4G信号在村卫生室已基本覆盖，投资较低；而有线宽带覆盖较弱，投资较高，但接入质量较好。考虑到经济效益问题，方案需要解决有线宽带及LTE宽带用户的接入问题。

3 采用方案及关键技术分析

健康一体机接入方案拓扑图如图1所示。有线宽带用户通过滁州IP城域网与在卫生局部署的网关设备连接，LTE宽带用户通过4G CPE（Customer Premise Equipment，客户终端设备）连接至安徽省网Internet，并通过省到市CMNET连接滁州IP城域网连接到卫生局网关设备。根据以上特点，拟采用L2TP（Layer 2 Tunneling Protocol，第二层隧道协议） VPN方案接入[1-2]，有线宽带用户及LTE宽带用户通过不同的方式接入卫生局内网。

关键技术：PPP（Point to Point Protocol，点对点协议）协议定义了一种封装技术，可以在二层的点到点链路上传输多种协议数据包，当用户与NAS（Network Access Server，网络接入服务器）之间运行PPP协议时，二层链路端点PPP会话点会驻留在相同硬件设备上。由于L2TP协议提供了对PPP链路层数据包的隧道传输支持，允许二层链路端点和PPP会话点驻留在不同的设备上，并且采用包交换网络技术进行信息交互，从而扩展了PPP模型。L2TP协议结合了L2F（Level 2 Forwarding protocol，第二层转发协议）协议和PPTP（Point to Point Tunneling Protocol，点到点隧道协议）协议的各自优点，成为IETF（The Internet Engineering Task Force，国际互联网工程任务组）有关二层隧道协议的工业标准[3]。

（1）有线宽带接入方案

有线宽带利用滁州城域网BRAS（Broadband Remote Access Server，宽带远程接入服务器）（华为ME60）作为L2TP LAC（L2TP Access Concentrator，L2TP访问集中器）设备[4]，与卫生局网关设备建立L2TP隧道，有线宽带用户通过无线路由器进行PPPoE（PPP over Ethernet，以太网上的点对点协议）方式拨号接入卫生局内网，健康一体机通过WLAN连接无线路由器接入卫生局内网，方案无额外投资。

总体思路：将卫生局网关设备通过三层接口与滁州BRAS互联，BRAS使用LoopBack地址与网关设备建立L2TP隧道，BRAS及卫生局网关设备均新建认证域，BRAS下挂用户通过PPPoE拨号连接后，BRAS认证域将用户指向卫生局网关设备认证并连接到卫生局内网[5]。主要配置如下：

要求在BRAS上建立卫生局网关设备的三层子接口[6-7]。

在BRAS上使能L2TP并建立l2tp-group[8]，使用BRAS的LoopBack接口作为隧道接口，建立L2TP用户认证域并关联到l2tp-group。

卫生局网关设备（华为SRG2200）建立虚拟网关接口[7-8]、使能L2TP功能并建立l2tp-group；在AAA模块中创建认证域、创建用户并关联地址池，其中创建用户必须使用户名后缀为“@认证域的域名”，如下所示：

local-user test@dywsj password cipher test@123 //dywsj为认证的域名

在BRAS下建立用户认证接口[7]，将用户指向该接口认证。

BRAS下挂用户通过PPPoE方式使用用户名/密码（test@dywsj/test@123）认证，在卫生局网关上认证成功，健康一体机使用WLAN连接进行服务器测试，测试成功。

（2）LTE宽带接入方案

LTE宽带利用4G CPE作为L2TP LAC设备，通过Internet与卫生局网关设备建立L2TP隧道，LTE宽带用户通过无线路由器连接到CPE上接入卫生局内网，健康一体机通过WLAN连接无线路由器接入卫生局内网，方案无额外投资[9]。

选取室外型CPE ZLT P10设备作为L2TP LAC设备，原设备无法进行L2TP拨号，联系设备厂家对CPE设备进行软件版本升级后，可以在ZLT P10上直接进行L2TP拨号[10]。

该CPE设备软件版本升级后可以直接进行L2TP拨号配置，但在进行L2TP拨号时要求具备隧道名称，需在卫生局网关设备上做如下配置：

能L2TP并建立l2tp-group[8]，其中l2tp-group必须具备隧道名称，如下所示：

l2tp-group 2

allow l2tp virtual-template 2 remote lac domain system //关联认证接口及认证域，隧道名称为lac

创建认证域、关联地址池并创建用户[7-8]。

在升级后的CPE设备中直接进行L2TP拨号设置，输入卫生局网关设备的IP地址、隧道名称以及配置的用户名/密码（test/test@123），健康一体机使用WLAN连接进行服务器测试，测试成功。

4 结论

本文接入方案针对村卫生室用户的基础网络覆盖情况，对已有光缆覆盖的用户，使用IP城域网与卫生局内网网关设备做L2TP VPN接入；对无光缆覆盖但4G信号已覆盖的用户，使用4G CPE与卫生局内网网关做L2TP VPN接入。经过实地接入测试，成功达到方案的研究目的，实现低成本、高效的接入，并且接入运行正常稳定。

参考文献：

[1] 白树成. 初探L2TP技术[J]. 青年时代， 2014（20）： 90.

[2] 邓晓宇. 不同场景下4G与FTTH宽带接入需求的替代性探讨[J]. 电子技术与软件工程， 2015（4）： 26.

[3] 佛罗赞，费根. 数据通信与网络[M]. 吴时霖，吴永辉，吴之艳，等译. 4版. 北京： 机械工业出版社， 2007.

[4] 刘蒙. 基于L2TP和IPSec的远程访问型VPN技术方案[J]. 科技创新与应用， 2014（36）： 73.

[5] 王相林. 组网技术与配置[M]. 2版. 北京： 清华大学出版社， 2007.

[6] 李健，靳冰祎. 浅谈BRAS（ME60）双机热备份实现方案[J]. 科技创新与应用， 2013（30）： 75-76.

[7] 王达. 华为路由器学习指南[M]. 北京： 人民邮电出版社， 2014.

[8] 华为技术有限公司. HCNA网络技术学习指南[M]. 北京： 人民邮电出版社， 2015.

[9] 刘金科. TD-LTE+CPE宽带解决方案[J]. 湖南邮电职业技术学院学报， 2014（3）： 8-12.

[10] 胡建理，王嘉祯，彭德云，等. 基于L2TP和IPSec集成的访问型IP-VPN解决方案[J]. 计算机应用与软件， 2007（4）： 58-61.