4G、5G（NSA）网络中无线VPDN如何进行客户认证？

在基于L2TP隧道方式的VPDN方案中，HSS进行第一次接入认证，VPDN鉴权服务器对用户携带的用户名、密码等信息进行透传，LNSAAA负责VPDN用户认证（也称为二次认证）。LNSAAA既可使用专用的服务器，也可由LNS设备兼任。了解更多服务优惠点击下方的“官方网址”客服217为你解答。

LonMaker集成工具 (版本31)

型号：37000和37020

LonMaker集成工具（版本31）是一个软件包，它可以用于设计、安装、操作和维护多厂商的、开放的、可互操作的LonWorks网络。它以Echelon公司的LNS网络操作系统为基础，把强大的客户-服务器体系结构和很容易使用的Microsoft Visio®用户接口综合起来。这使得LonMaker成为一个完善的，并足以用于设计和启动一个分布式的控制网络的工具。同时，它又相当经济，足以作为一个操作和维护工具。

新特性

为LonWorks网络提供图形设计、启动、操作和维护；

包括对iLON的支持，很容易的和Internet以及其它IP网络集成；

从现有网络恢复设计图从而节约维护成本；

支持多用户操作，并能将多个独立的网络合并成一个单一的网络，以加速大型网络的安装；

作为单一工具解决方法还提供用户操作界面组件；

现在向集成商和维护人员提供两种版本的LonMaker集成工具，而且为在购买LonMaker之前进行前期使用评估提供一种很容易的方法；

LonMaker工具为LonMark节点，iLON Internet服务器和其它LONWORKS节点提供全面的支持。这个工具充分利用了LonMark特点的优越性，例如标准功能属性、配置属性、资源文档、网络变量别名、动态网络变量和可修改的类型等。LonMark功能模式在LonMaker图形中以图形功能块的形式显示，可以很方便的目视和编制控制系统的逻辑文档。

它还向用户提供用于设计控制系统的、大家较为熟悉的、类似于CAD的环境。Visio灵巧的图形绘图功能为创建节点提供了直接的、简单的方法。LonMaker工具包括许多LonWorks网络用的灵巧的图形，并且用户可以创建新的自定义图形。自定义图形可以像单个节点、功能块和连接线一样简单，也可以像带有嵌套子系统和预定义节点、功能块以及它们之间的连接的完整的系统一样复杂。当设计一个复杂的系统时，使用自定义子系统图形是节省时间的特性，只要通过简单的从模板（Stencil）中拖动一个自定义子系统图形到绘图区，额外的子系统就能被创建。

由于安装人员能够在同一时间启动多个节点，这使得网络安装时间降到最少。节点能够通过使用服务管脚、扫描条形码、闪烁、手动输入或者自动恢复的方式被识别。网络恢复功能可以很容易的移植使用其它工具安装的网络或者数据库不能再使用的网络。网络合并功能允许大的系统一开始分成多个独立的系统被安装，最后合并成一个单一的、完整的系统。

用于浏览网络变量和配置属性的一个集成的应用程序简化了节点的测试和配置。它的一个管理窗口可以提供测试、使能/禁止或者强制节点内部个别的功能块，以及对节点进行测试、闪烁和设置在线/离线状态。

使用一个集成的LNS Text Box，LonMaker工具能够用来为LonWorks网络创建简单的操作接口。这个LNS Text Box是一个ActiveX控件，它能够增加到任何LonMaker绘图页中。LNS Text Box能够链接到网络中的任何网络变量、配置属性或者被强制的LonMark对象，并可用于监视或者设置被选择点。Visio的嵌入式脚本语言VBA能够将LNS Text Box链接到例如National Instruments ComponentWorks™等第三方ActiveX控件，从而能够在LonMaker绘图区中建立图形操作接口。通过LNS Text Box的使用，LonMaker工具能够作为许多网络的单一工具的解决方案。

对于一些复杂的监视和控制应用程序，LonMaker工具可以和用作I/O驱动的LNS DDE Server相结合，适用于各第三方产品的操作接口软件包，例如：Wonderware InTouch®，Intellution FIX®，USDATA Factory View®和National Instruments LabView®和Bridge View®等。LonMaker工具同样可以用来在运行有LonMaker的计算机上创建网络变量，然后和网络中真正的成千上万的网络变量进行捆绑。

LonMaker工具可以输入或者输出AutoCAD®文件，并生成一个竣工文档。一个综合的报告生成器和材料清单生成器同样能够被用于详细的网络配置报告。

LonMaker 31 Server Pack 3现在可以下载。安装Service Pack 3能使你的LonMaker 31工具获得最佳的可靠性、兼容性和更高的性能。

L2TP ***与PPTP ***有七个不同点：

1、PPTP要求Internet是一个IP网络，L2TP只需要隧道媒体提供面向数据包的点到点连接，L2TP可用于IP（使用UDP）、帧中继永久虚拟电路（PVCs）、X25虚拟电路（VCS）或ATM VCS网络。

2、PPTP只能在两个端点之间建立一个隧道，L2TP支持在端点之间使用多个隧道，使用L2TP，用户可以为不同的服务质量创建不同的隧道。

3、L2TP可以提供报头压缩，当包头被压缩时，开销占4字节，而在PPTP协议下，开销占6字节。

4、从L2TP的包头可以看出，L2TP本身不提供隧道验证，隧道认证由PPP（PAP或CHAP）协议提供，虽然PPTP支持隧道验证，

5、但PPTP本身是PPP的扩展，当L2TP或PPTP与IPSec一起使用时，IPSec可以提供隧道验证，而不必在第2层协议上验证隧道。

6、L2TP接入集中器（LAC）是一种附网设备，具有PPP端系统和l2tpv2协议的处理能力，它一般是一个网络接入服务器软件，在远程客户端完成网络接入服务的功能。

7、L2TP网络服务器（LNs）是用来处理L2TP协议服务器的软件。

□ 信息产业部电信规划研究院 翟海生

  一、IP ***隧道协议

  　　目前IP网上较为常见的隧道协议大致有两类：第二层隧道协议（包括PPTP、L2F、L2TP）和第三层隧道协议（包括GRE、IPSec、MPLS）。二层和三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。第二层隧道技术的起始点在网络接入服务器（NAS），终点在用户网设备（CPE）上。另外，在隧道内整个PPP帧都封装在内，PPP会话要贯穿到CPE界内的网关或服务器上。第三层隧道技术的起点及终点均在ISP界内，PPP会话终止于NAS内，只携带第三层报文体，终接设备同时也作为CPE的网关。

  1．第二层隧道协议

  　　第二层隧道协议可以支持多种路由协议（如IP、IPX和AppleTalk）,也可以支持多种广域网技术（如FR、ATM、X25或SDH／SONET）,还可以支持任意局域网技术(如以太网、令牌环和FDDI等)。

  PPTP

  　　PPTP（点到点隧道协议）是由PPTP论坛开发的点到点的安全隧道协议，为使用电话上网的用户提供安全***业务，1996年成为IETF草案。PPTP是PPP协议的一种扩展，提供了在IP网上建立多协议的安全***的通信方式，远端用户能够通过任何支持PPTP的ISP访问企业的专用网络。PPTP提供PPTP客户机和PPTP服务器之间的保密通信。PPTP客户机是指运行该协议的PC机，PPTP服务器是指运行该协议的服务器。

  　　通过PPTP，客户可以采用拨号方式接入公共的IP网。拨号客户首先按常规方式拨号到ISP的接入服务器，建立PPP连接；在此基础上，客户进行二次拨号建立到PPTP服务器的连接，该连接称为PPTP隧道。PPTP隧道实质上是基于IP协议的另一个PPP连接，其中IP包可以封装多种协议数据，包括TCP／IP、IPX和NetBEUI。对于直接连接到IP网的客户则不需要第一次的PPP拨号连接，可以直接与PPTP服务器建立虚拟通路。

  　　PPTP的最大优势是Microsoft公司的支持。NT40已经包括了PPTP客户机和服务器的功能，并且考虑了Windows95环境。另外一个优势是它支持流量控制，可保证客户机与服务器间不拥塞，改善通信性能，最大限度地减少包丢失和重发现象。PPTP把建立隧道的主动权交给了客户，但客户需要在其PC机上配置PPTP，这样做既会增加用户的工作量，又会造成网络的安全隐患。另外，PPTP仅工作于IP，不具有隧道终点的验证功能，需要依赖用户的验证。

  L2F

  　　L2F（Layer 2 Forwarding）是由Cisco公司提出的，可以在多种介质（如 ATM、FR、IP）上建立多协议的安全***的通信方式。它将链路层的协议（如 HDLC、PPP、ASYNC等）封装起来传送，因此网络的链路层完全独立于用户的链路层协议。该协议1998年提交给IETF，成为RFC2341。

  　　L2F远端用户能够通过任何拨号方式接入公共IP网络。首先，按常规方式拨号到ISP的接入服务器（NAS），建立PPP连接；NAS根据用户名等信息发起第二次连接，呼叫用户网络的服务器，这种方式下，隧道的配置和建立对用户是完全透明的。

  L2F允许拨号服务器发送PPP帧，并通过WAN连接到L2F服务器。L2F服务器将包去封装后，把它们接入到企业自己的网络中。与PPTP和L2F所不同的是，L2F没有定义客户。L2F的主要缺陷是没有把标准加密方法包括在内，因此它基本上已经成为一个过时的隧道协议。

  L2TP

  　　L2TP协议是由Cisco、Ascend、Microsoft、3Com和Bay等厂商共同制订的，1999年8月公布了L2TP的标准RFC2661。上述厂商现有的***设备已具有L2TP的互操作性。

  　　L2TP结合了L2F和PPTP的优点，可以让用户从客户端或接入服务器端发起***连接。L2TP定义了利用公共网络设施封装传输链路层PPP帧的方法。目前用户拨号访问因特网时，必须使用IP协议，并且其动态得到的IP地址也是合法的。L2TP的好处就在于支持多种协议，用户可以保留原来的IPX、AppleTalk等协议或企业原有的IP地址，企业在原来非IP网上的投资不致于浪费。另外，L2TP还解决了多个PPP链路的捆绑问题。

  　　L2TP主要由LAC（接入集中器）和LNS（L2TP网络服务器）构成。LAC支持客户端的L2TP，用于发起呼叫、接收呼叫和建立隧道。LNS是所有隧道的终点。在传统的PPP连接中，用户拨号连接的终点是LAC，L2TP使得PPP协议的终点延伸到LNS。

  　　在安全性考虑上

***的具体实现是采用隧道技术，将企业网的数据封装在隧道中进行传输。隧道协议可分为第二层隧道协议PPTP、L2F、L2TP和第三层隧道协议GRE、IPSEC。它们的本质区别在于用户的数据包是被封装在哪种数据包中在隧道中传输的。　 隧道技术　无论哪种隧道协议都是由传输的载体、不同的封装格式以及被传输数据包组成的。传输协议被用来传送封装协议，IP是一种常见的传输协议，这是因为IP具有强大的路由选择能力、可运行于不同介质上并且应用最为广泛。此外帧中继、ATM PVC和SVC也是非常合适的传输协议。比如用户想通过Internet将其分公司网络连接起来，但他的网络环境是IPX，这时用户就可以使用IP作为传输协议，通过封装协议封装IPX的数据包，然后就可以在Internet网上传递IPX数据。

　　隧道协议有很多好处，例如在拨号网络中，用户大都接受ISP分配的动态IP地址，而企业网一般均采用防火墙、NAT等安全措施来保护自己的网络，企业员工通过ISP拨号上网时就不能穿过防火墙访问企业内部网资源。采用隧道协议后，企业拨号用户就可以得到企业内部网IP地址，通过对PPP帧进行封装，用户数据包可以穿过防火墙到达企业内部网。　 PPTP点对点隧道协议　PPTP提供PPTP客户机和PPTP服务器之间的加密通信。PPTP客户机是指运行了该协议的PC机，如启动该协议的Windows 95/98,PPTP服务器是指运行该协议的服务器如启动该协议的Windows NT服务器。PPTP可看作是PPP协议的一种扩展。它提供了一种在Internet上建立多协议的安全***通信方式。远端用户能够透过任何支持PPTP和ISP访问公司的专用网络。

通过PPTP客户可采用拨号方式接入公共IP网络Internet。拨号客户首先按常规方式拨号到ISP的接入服务器NAS，建立PPP连接；在此基础上，客户进行二次拨号建立到PPTP服务器的连接，该连接称为PPTP隧道，实质上是基于IP协议上的另一个PPP连接，其中的IP包可以封装多种协议数据，包括TCP／IP、IPX和NetBEUI。PPTP采用了基于RSA公司RC4的数据加密方法，保证了虚拟连接通道的安全性。对于直接连到Internet上的客户则不需要第一重PPP的拨号连接，可以直接与PPTP服务器建立虚拟通道。　　L2F 第二层转发协议　L2F是由Cisco公司提出的可以在多种媒质如ATM、帧中继、IP网上建立多协议的全***通信方式。远端用户能够透过任何支持用户采用拨号方式接入公共IP网络，首先按常规方式拨号到ISP的接入服务器NAS，建立PPP连接；NAS根据用户名等信息，发起第二重连接，通向HGW 服务器。在这种情况下隧道的配置、建立对用户是完全透明的。 L2TP 第二层隧道协议　L2TP结合了L2F和PPTP的优点，可以让用户从客户端或访问服务器端发起***连接。L2TP是把链路层PPP帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议。Cisco、Ascend、微软和RedBack的专家们在修改了十几个版本后终于在1999年8月公布了L2TP的标准RFC2661。

　　目前用户拨号访问Internet时，必须使用IP协议并且其动态得到的IP地址也是合法的，L2TP的好处在于支持多种协议，用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址。L2TP还解决了多个PPP链路的捆绑问题，PPP链路捆绑要求其成员均指向同一个NAS，L2TP可以使物理上连接到不同NAS的PPP链路，在逻辑上的终结点为同一个物理设备。L2TP扩展了PPP连接，在传统方式中用户通过模拟电话线或ISDN/ADSL与网络访问服务器(NAS)建立一个第2层的连接，并在其上运行PPP。其第2层连接的终结点和PPP会话的终结点在同一个设备上(如NAS)。L2TP作为PPP的扩展提供更强的功能，第2层连接的终结点和PPP会话的终结点可以是不同的设备。

　　L2TP 主要由LAC(L2TP Access Concentrator) 和LNS(L2TP Network Server) 构成，LAC(L2TP访问集中器)支持客户端的L2TP，用于发起呼叫、接收呼叫和建立隧道；LNS(L2TP网络服务器)是所有隧道的终点。在传统的PPP连接中，用户拨号连接的终点是LAC，L2TP使得PPP协议的终点延伸到LNS。

L2TP的建立过程是：

　　1．用户通过公共电话网或ISDN拨号至本地的接入服务器LAC，LAC接收呼叫并进行基本的辨别，这一过程可以采用几种标准，如域名、呼叫线路识别(CLID)或拨号ID业务(DNIS)等。

　　2．当用户被确认为合法企业用户时，就建立一个通向LNS的拨号***隧道。

　　3．通过企业内部的安全服务器如TACACS＋、RADIUS鉴定拨号用户。

　　4．LNS与远程用户交换PPP信息，分配IP地址。LNS可采用企业私有地址(未注册的IP地址)或服务提供商提供的地址空间分配IP地址。因为内部源IP地址与目的地IP地址实际上都通过服务提供商的IP网络在PPP信息包内传送，企业私有地址对提供者的网络是透明的。

　　5．端到端的数据从拨号用户传到LNS。

与PPTP和L2F相比，L2TP的优点在于提供了差错和流量控制。作为PPP的扩展，L2TP支持标准的安全特性CHAP和PAP，可以进行用户身份认证。L2TP定义了控制包的加密传输，对于每个被建立的隧道，生成一个独一无二的随机钥匙，以便抵抗欺骗性的攻击。但是对传输中的数据并不加密。 参考 http://wwwaiguozhecom/wzjs/images/xiaotong/ysxy/html/jishu-131htm希望能帮上你

“上线”是什么意思

“上线”是什么意思“上线”在不同的场合有不同的解释。

1、在考试中所谓的上线是指考生的考试分数到规定的标准，就是上了考试的线。

2、大家平常说上线了，是指我们在上网时，游戏在线或者QQ微信在线，也叫做“上线”。

3、我们在工作时要产生工作的相互交接，上级也叫做“上线”。

4、别人在在工厂生产过程中，看整个生产的流程过程，也叫做“上线”。

5、“上线”在电视剧中，有人搞地下工作，有叫做“上线”接头，和“下线”接头。

上线是什么意思serviceinservicein

[计]业务信号输入[SERVI,SI];

[英][svsin][美]['svsn]

“车辆上线”是什么意思？

“车辆上线”：即上线检测，是车辆年检的流程之一，只有通过该检测的车辆才能正式通过年审，办理年审标记，允许继续上路行驶。

外车辆上线是指：检测线负责刹车、大灯(远光)、底盘等内容的检测，大概5-10分钟，车开下线就可以领到一张计算机打印的表，大致有制动、灯光、喇叭等项目，合格的项目打印"0"，不合格的打印"X"。一般都是灯光和刹车不合格。不要紧，检测场都有调整灯光和刹车的地方。刹车调整后要重新上线，灯光不用，调完以后盖个章就行。

车辆年检具体流程：

第一步:尾气检测

先排好队，到收费窗口交检测费，等候上线。检测前会有工作人员进行初检，主要是核对发动机号与行驶证是否一致，再简单看看外观、车况等，然后填写尾气检测表。检测时，由检测员开车上线，一般新车都很容易过关，拿到合格的尾气检测表就可以到窗口交钱领尾气合格标。如果不合格，需要到汽修厂调试后重新上线，当然要再交一次检测费。

第二步:查违章

查询窗口领取并填写"机动车定期检验登记表"，可凭行驶证领取。填好表中事项交工作人员查询有无违章记录，没问题的表上会加盖"已核对，可验车"章，有违章的，拿着违章告知单尽快处理违章。

第三步:交押金

押金窗口缴押金，拿好押金条，领取并填写外观检验单。

第四步:外观检验

持外观检验单到外观工位，先查相关手续，核验第三者保险(强制性保险)是否在有效期内。手续查完之后才开始外观检验，这项检查主要看灯光有无破损、车身外观是否符合原样、悬架有无变动，还有天窗、轮胎等。

第五步:上线检测

外观检验没问题，排队等候上线检测。检测线负责刹车、大灯(远光)、底盘等内容的检测，大概5-10分钟，车开下线就可以领到一张计算机打印的表，大致有制动、灯光、喇叭等项目，合格的项目打印"0"，不合格的打印"X"。一般都是灯光和刹车不合格。不要紧，检测场都有调整灯光和刹车的地方。刹车调整后要重新上线，灯光不用，调完以后盖个章就行。

第六步:总检审核

都过关了，准备一张身份证复印件，到大厅总检处签字盖章。

第七步:交费，领标

各窗口交相关费用，退回押金，交工本费领"机动车检验合格标志"，标后和行驶证副证上均打印有效期。绿标背后会写上有效期，就是下一次检验的月份。检字会打孔，有孔的月份就是下次检验的月份。

上线技能是什么意思传送技能是一个我们在内部完成了很久的玩法，这次体验服中我们将首次开启传送技能的测试，希望能够让我们的战场变的更加多变和有趣，

后续我们会根据测试的数据进行进一步的优化，请各位体验服召唤师们多多体验并提出宝贵的建议。

那么体验服传送功能上线的时间是10月31日，然后现在还在测试阶段，那么咱们想要在正式服中玩到的话可能还需要等上一段时间，至少要一个星期到半个月的时间，那么也就是11月上中旬的样子哦！

上线bas错误是什么意思1、userrequesttooffline

用户主动请求下线，此下线原因是正常情况

2、PPPechofail/ARPdetectfail/8021xhandshakefail

这三类原因都属于握手失败，对应的用户分别是PPPOE用户、VLAN用户和8021X用户。根本原因是MA5200F向用户发出握手报文（三类用户分别是ARP、ECHO、EAP报文），连续多次都没有收到用户的响应报文，MA5200F认为用户已经异常断线，所以切断用户。常见的情况如：网线脱落、终端异常关机、链路DOWN、终端死机、链路捅塞及用户病毒导致主机CAR限制等。对于网络脱落、终端导常关机、终端死机、链路DOWN的情况都属于不可控因素，只能尽力避免。如果终端和链路状态都正常，用户仍然频繁异常断线，则应当首先查看二层网络流量是否正常，是否存在广播风暴导致二层网络捅塞的情况，这种情况下从终端PINGMA5200F（或从MA5200PING用户）时应当也会产生较大丢包。

解决建议：如果是因为二层网络捅塞或者用户有病毒造成用户到主机的CAR限制丢包时，最根本的解决办法是优化二层的网络（包括给客户端杀毒）。同时，可以通过调整MA5200F上握手间隔及次数缓解此类问题，需要说明的是：修改握手的时间隔和次数并不能从根本上解决问题，而且在用户出现异常关机、死机、线线脱落等情况掉线时，计费的误差会变大。对应的调整命令：

VLAN用户：[MA5200F]userdetect

PPPOE用户：[MA5200F-Virtual-Template1]pppkeepalive

DOT1X用户：[MA5200F-dot1x-template-1]keepaliveretransmit

其它：如果通过以上方法还无法判断问题，则可以通过抓包的方法来定位，即在MA5200F端口与交换机间加上HUB或直接在交换机上配置端口镜像来查看MA5200与客户端之间握手报文的交互过程来判断问题。

3、messagetoclienttimeout

用户拨号认证过后处于稳定态了，如果此时用户端又发了一个上线请求报文过来，就会再次处于协商态，导致出现异常。正常情况下是不应该发的，所以说是客户端有问题导致的。用户已经在线，但客户端又发了PPP协商报文上来，MA5200F回应报文了，如果这个时候用户没有返回报文的话就会有这种情况。

4、CMIPaddressallocfail

分配地址失败。可能是地址池中没有地址，也可能是用户所在的域下根本未指定地址池。

解决建议：检查地址池的相关配置

5、CMIfdown

用户接入的MA5200F的以太网端口状态DOWN导致的掉线

处理建议：检查端口UP/DOWN的原因，比如网线、端口工作模式等

6、WEBuserrequest

WEB用户正常下线。

如果用户反馈为异常下线而且对应此原因，则是WEB认证用户心跳超时。WEB认证的用户在认证成功后，为防止客户异常关闭WEB认证客户端，会定时给WEB认证客户端发送报文检测（心跳），如果WEB认证客户端被异常关闭，心跳报文就会无响应，连续多次无响应时WEB服务器就会通知MA5200用户由于心跳超时断线。

解决办法：检查客户端和WEB服务器的通信是否正常，二层网络是否存在丢包等（参考上面握手失败的方法）。检查客户端是否启用了***业务，在某些情况***业务中会导致客户端的报文全部走***转发从而造成心跳失败。如果用户对计费时间不敏感，可以在服务器上关闭心跳报文。

7、LNSclearsession

LNS清除SESSION，LNS拆链

8、AMleasetimeout

DHCP租期到，没有收到用户的续租报文，切断用户

9、DHCPservernak

DHCP服务器拒绝。一般是地址已经被分配，但IP/ARP触发上线还还想要这个地址

10、DHCPtimeout

DHCP过程超时

11、DHCPdecline

客户端拒绝

12、CMtimeout

MA5200F配置了三层WEB认证，用户只要有IP报文，就会触发用户在认证前域认证，但是用户还要经过WEB认证才能真正上网，如果用户触发了认证前域认证过，但没有进行WEB认证，5分钟就会把用户给切断，下线原因就是cmtimeout。其它情况如果出现此类下线原因，一般是客户端异常中止上线过程导致报文消息超时，不需要关心。

13、Srvcfgcutmand

命令行切断

14、CMAAAconnectcheckfail

表项检查不一致，如果此类原因较多，请与华为公司800联系。

15、Idlecut

闲置切断用户。用户在某段时间内的流量小于MA5200F上设定的流量值，MA5200F会主动将用户切掉。

解决建议：如果没有闲置切断的要求，可以在域下使用undoidle-cut关闭闲置切断功能；如果是RADIUS下发的数据，可以在RADIUS禁止下发此属性，也可以在MA5200F上使用RADIUS属性转换工作禁止闲置切断属性生效。

16、sessiontimeout

会话超时。由RADIUS下发27号属性，即session-timeout属性的值为0时导致用户掉线，该属性是由RADIUS定义的用户上网所剩余的时间。

处理建议：请检查RADIUS为什么会下发session-timeout=0，是否是预付费帐号没有钱等；

17、pppauthenticationfail

PPPOE用户认证失败。一般是由于用户名密码错误或者端口VLAN等信息错误导致。

18、AAA_RTACCTFAIL

用户实时计费失败下线。用户在线后，为减小计费的误差，每隔一定的时间（默认12分钟）MA5200F即会向AAA服务器发送一次用户计费的报文，如果在配置的次数内计费报文都得不到响应，MA5200F就认为实时计费失败，从而切断用户。

解决办法：如果是本地认证的用户，检查是一个本地话单池是否还有空余的空间，本地FLASH是否还有空余空间。如果设置了话单TFTP备份服务器，TFTP服务器是否工作正常，话单是否可以正常向TFTP服务器备份；如果是RADIUS认证的用户，需要检查到RADIUS工作是否正常，到RADIUS链路是否正常以及RADIUS是否支持实时计费报文。对于RADIUS不支持实时计费的情况，可以在MA5200上把实时计费报文关闭。

“耀世上线”是什么意思是说奔驰的这一款车本身是出自奔驰，而奔驰本身就是世界知名的，是让人倍感荣耀的，所以叫“世出荣耀”

而新出的这一款车，也是很高档、惹世人瞩目的，所以叫“耀世而出”

上岗上线是什么意思上纲上线也简称“上纲”。作为思想方法、话语方式，它不始于中国文革，却是文革认识方法和工作方法的集中表现。“纲”和“线”，就是阶级、阶级斗争、无产阶级专政、社会主义与资本主义谁胜谁负的大是大非。这种方法要求，看待人和事物不能就事论事（实事求是初步），而必须“透过现象看本质”，把所有问题都提到重大原则的高度，即，从阶级斗争、路线斗争的高度，把所有问题提到无产阶级和资产阶级、社会主义和资本主义之间谁胜谁负的根本上来分析、认识、评价。才能站稳政治正确的立场。

上岗是一个动词，意思就是执行到守卫、警戒等任务的岗位，到工作岗位工作。

①到执行守卫、警戒等任务的岗位：～指挥交通。

②到工作岗位工作：持证～│只有达到服务标准的营业员才能～。

目前,许多人面临着上岗困难，也就是就业困难。他们要么是刚出来工作的大学生，要么是已下岗的待就业人员。社会上越来越激烈的竞争无疑将会是就业更加困难。但是，再就业并不是什么困难事。现在国家越来越关注下岗待就业的人员，只要你符合要求，完全可以再上岗。

网站上线是什么意思？就是网站经过上传程序，解析域名，备案后，对外宣称我们已经可以访问和提供服务了的意思

网站上线主要经过以下步骤：

购买服务器，挑选服务器地址

购买域名，对域名进行备案

购买数据库，新建数据库或者对数据库进行迁移

编写或者购买网站程序

安装程序，解析域名，连接数据库后就可以上线了

上线后需要专业的维护人员进行网站维护，及时处理故障

　首先解释一个问题：在 iPhone 的 *** 设置介面里（Settings >> General >> Network >> ***），你可以看到三个标签：L2TP, PPTP, IPSec。但上面我们又讲本次介绍的 *** 方式叫「L2TP / IPSec」，这两者究竟是什么关系？

　　这三个标签确实令人混淆，准确的写法应该是：L2TP over IPSec, PPTP, Cisco IPSec。PPTP 跟另外两者关系不大，且大家较为熟悉，暂且不提，L2TP 和 IPSec 的区别如下。

　　L2TP：一个「包装」协议，本身并不提供加密和验证的功能。

　　IPSec：在 IP 数据包的层级提供加密和验证功能，确保中间人无法解密或者伪造数据包。

　　本来，只用 IPSec 就可以实现 ***，Mac OS X 和 Linux 都支持。但是 Mac OS X 和 iPhone OS 都推荐使用 L2TP over IPSec，在两者的图形介面上也只能设置这个。L2TP / IPSec 是业界标准，微软也支持。而只用 IPSec 的常见于 Linux-to-Linux 的应用，比如将两个位于不同地区的办公室网络安全地连在一起。这多是固定 IP 路由器到固定 IP 路由器级别的连接，只需保证数据包不被中途截获或者伪造就可以，故使用 L2TP 的意义不大。L2TP / IPSec 主要是实现所谓「Road Warrior」的设置，即用变动的客户端连固定的服务器。

　　Cisco 的 *** 用的也是 IPSec 加密，但那是一套不同于 L2TP 的私有包装协议，用于提供用户管理之类的功能，因此一般都需要用 Cisco 自家的 *** 客户端连接。iPhone / iPad 的 *** 设置介面中的 IPSec 标签里有 Cisco 的标识，就是这个原因。

　　以下是在 Ubuntu 和 Debian 主机上架设 L2TP / IPSec *** 的步骤，一共十四步。你需要有服务器的 root 权限（所以 DreamHost, BlueHost, MediaTemple 这些服务供应商帮你把一切打点周到的主机就无缘了），也需要一些基本的 Linux 知识。不然的话，我们还是推荐您找一位比较熟技术的朋友帮忙。

　　一、安装 IPSec。如上所述，IPSec 会对 IP 数据包进行加密和验证。这意味着你的电脑 / 移动设备与服务器之间传输的数据无法被解密、也不能被伪造。我推荐用 openswan 这个后台软件包来跑 IPSec。

　　用以下命令安装 openswan:

　　sudo aptitude install openswan二、用文字编辑器打开 /etc/ipsecconf，改成这样：

　　version 20

　　config setup

　　nat_traversal=yes

　　virtual_private=%v4:10000/8,%v4:19216800/16,%v4:1721600/12

　　oe=off

　　protostack=netkey

　　conn L2TP-PSK-NAT

　　rightsubnet=vhost:%priv

　　also=L2TP-PSK-noNAT

　　conn L2TP-PSK-noNAT

　　authby=secret

　　pfs=no

　　auto=add

　　keyingtries=3

　　rekey=no

　　ikelifetime=8h

　　keylife=1h

　　type=transport

　　left=YOURSERVERIPADDRESS

　　leftprotoport=17/1701

　　right=%any

　　rightprotoport=17/%any三、用文字编辑器打开 /etc/ipsecsecrets，改成这样：

　　YOURSERVERIPADDRESS %any: PSK "YourSharedSecret"（别忘了把「YOURSERVERIPADDRESS」这部分换成你的服务器的 IP 地址，把「YourSharedSecret」部分换成随便一个字串，例如你喜欢的一句话，等等。）

　　四、运行以下命令：

　　for each in /proc/sys/net/ipv4/conf/

　　do

　　echo 0 > $each/accept_redirects

　　echo 0 > $each/send_redirects

　　done五、检查一下 IPSec 能否正常工作：

　　sudo ipsec verify如果在结果中看到「Opportunistic Encryption Support」被禁用了，没关系，其他项 OK 即可。

　　六、重启 openswan:

　　sudo /etc/initd/ipsec restart七、安装 L2TP。常用的 L2TP 后台软件包是 xl2tpd，它和 openswan 是同一帮人写的。

　　运行以下命令：

　　sudo aptitude install xl2tpd八、用文字编辑器打开 /etc/xl2tpd/xl2tpdconf，改成这样：

　　[global]

　　ipsec saref = yes

　　[lns default]

　　ip range = 10122-1012255

　　local ip = 10121

　　;require chap = yes

　　refuse chap = yes

　　refuse pap = yes

　　require authentication = yes

　　ppp debug = yes

　　pppoptfile = /etc/ppp/optionsxl2tpd

　　length bit = yes这里要注意的是 ip range 一项里的 IP 地址不能和你正在用的 IP 地址重合，也不可与网络上的其他 IP 地址冲突。

　　九、安装 ppp。这是用来管理 *** 用户的。

　　sudo aptitude install ppp十、检查一下 /etc/ppp 目录里有没有 optionsxl2tpd 这个文件，没有的话就建一个，文件内容如下：

　　require-mschap-v2

　　ms-dns 20867222222

　　ms-dns 20867220220

　　asyncmap 0

　　auth

　　crtscts

　　lock

　　hide-password

　　modem

　　debug

　　name l2tpd

　　proxyarp

　　lcp-echo-interval 30

　　lcp-echo-failure 4注意 ms-dns 两行我填的是 OpenDNS。如果你想用其他的 DNS 服务器（例如谷歌的公共 DNS），请自行更换。

　　十一、现在可以添加一个 *** 用户了。用文字编辑器打开 /etc/ppp/chap-secrets:

　　# user server password ip

　　test l2tpd testpassword 如果你之前设置过 PPTP ***，chap-secrets 文件里可能已经有了其他用户的列表。你只要把 test l2tpd testpassword 这样加到后面即可。

　　十二、重启 xl2tpd:

　　sudo /etc/initd/xl2tpd restart十三、设置 iptables 的数据包转发：

　　iptables --table nat --append POSTROUTING --jump MASQUERADE

　　echo 1 > /proc/sys/net/ipv4/ip_forward十四、因为某种原因，openswan 在服务器重启后无法正常自动，所以我们可以在 /etc/rclocal 文件里写入如下语句：

　　iptables --table nat --append POSTROUTING --jump MASQUERADE

　　echo 1 > /proc/sys/net/ipv4/ip_forward

　　for each in /proc/sys/net/ipv4/conf/

　　do

　　echo 0 > $each/accept_redirects

　　echo 0 > $each/send_redirects

　　done

　　/etc/initd/ipsec restart到这里，设置工作已经基本完成。你可以用 iPhone 或 iPad 试着连一下。记得在「Secret」中填入你在上述第三步里填的 YourSharedSecret。

　　如果连接成功，上网也没问题的话，恭喜你，大功告成。如果连不上，恐怕还得多做一步。

　　Ubuntu 910 自带的 openswan 版本是 2622, Debian Lenny 带的版本是 2412。这两个版本的 openswan 都有问题。我们的测试结果表明，2624 版的 openswan 可以在上述两版的 Linux 操作系统下正常工作。所以如果做完以上十四步还是连不上的话，请考虑从源码编译 openswan 2624 ：

　　sudo aptitude install libgmp3-dev gawk flex bison

　　wget http://wwwopenswanorg/download/openswan-2624targz

　　tar xf openswan-2624targz

　　cd openswan-2624

　　make programs

　　sudo make install编译需要一段时间。你的 Linux 内核版本需要高于 266。

　　然后可以删除原先通过 aptitude 安装的 openswan，并重启之：

　　sudo aptitude remove openswan

　　sudo /etc/initd/ipsec restart

POS机无线组网系统

简介由于银行卡电子支付的不断发展，近年来中国各大银行发行的商场银行POS 数量持续增长，顾客持卡消费的比例越来越大，增长的同时持卡金融客户对用卡环境提出了更高的要求，银联中心和各商业银行正不断为顾客持卡消费创造各种便利环境。

摘要：本文提出了一种基于CDMA 的POS机无线组网系统设计原理和实现方案，简要介绍了CDMA 技术的基本知识，描述了CDMA 无线传输应用于金融数据传输的实现方法。通过实际应用，获得了理想的效果。

关键词：CDMA；VPDN；金融；POS；无线；组网；

一、背景介绍

当前，我国各商业银行系统都已建立起各自传统的借助有线接入的POS系统，但随着客户资金转帐，结算，支付量不断增加和需求的日益多样化，POS系统有线接入的缺点进一步呈现出来。目前，许多小型商户和消费场所由于通讯线路的问题而不能使用POS终端，从而失去了用银行卡消费的大量机会。即便具备了有线环境的大型商场和高档消费场所由于受到布线环境的制约（如商场装修已完成无法布线、物业收取高额线路租金等）而不能根据实际需求布置POS机，持卡消费就很难实现。刷卡交易需要依靠于POS机和通讯网络，传统上，采用电话拨号接入方式或DDN专线接入方式，POS系统受限于这些传统的接入方式，通讯费用高，交易时间长，且系统建设周期长，不利于快速为顾客建立优质的刷卡环境。

CDMA接入与传统接入方式的比较

1、有线接入方式

目前使用最广泛的POS机接入方式是有线接入方式，而有线接入方式主要有两种：一是基于电话网的点到点拨号接入方式和基于DDN的专线接入方式。

电话拨号方式：当用户刷卡后，POS机通过拨号接入银行数据中心，接通后传送交易数据。这种方式的最大问题是在安全上存在很大隐患，由于电话拨号保密性较差，电话拨号音可能会泄露用户的密码。另外，在使用电话拨号方式时，顾客每刷卡一次，POS机就拨号一次，需要10-20秒时间建立连接，因此每笔交易时间较长。同时，由于POS机使用商场业务电话，容易发生掉线，安全性能差，拨外线经常发生困难，影响交易质量。

专线方式：大中型超市多台POS机往往采用RS232接口联网后通过一条专线连接到银行数据中心。专线方式的优点是线路传输质量较高，但其缺点是DDN专线月租费较贵，而数据的传输量较低，降低了资源利用率。DDN专线初装费约为500000—1000000元，每月运行费约为80000—120000元。（DDN专线费视电信具体标准而定）。

2、CDMA接入方式

CDMA无线数据传输具有设备成本低、数据传输安全可靠、使用灵活方便等特点，非常适合POS机上的应用。目前，中国电信的CDMA商用业务已开始全面启动，移动数据通信采用IP Over PPP实现数据终端的高速、远程接入，可提供广域的无线IP连接，适用于行业和企业级用户开展无线数据应用，为分散的远程接入点提供高性能的无线接入。

更加灵活地配置POS设备，扩大刷卡服务范围。CDMA无线接入的最大优势是使现有的POS系统摆脱有线通信网的制约，由于CDMA覆盖范围广，采用无线接入POS机在手机可以使用的地方都可应用，可方便地布署于各种场合。

3、传输速率

目前，CDMA实际数据传输速率在80KBPS左右，而一般每次刷卡业务的数据传输量在几K至10Kbps之间，系统传输容量满足要求。CDMA技术特别适合于POS系统这种需要传输大量突发性数据的场合。

三、本方案优势

1、安全性和可靠性

考虑到金融系统属于一个对数据安全性要求很高的行业，在系统设计中要充分考虑到银行的数据安全问题，在设备的选型上着重衡量设备的可靠性，以确保整个系统安全，可靠运行。

2、技术先进性和实用性

保证满足业务应用的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。

3、灵活性和可扩展性

根据未来业务的增长和变化，应具备充分的接入能力和可扩展性，包括多种接入方式的提供和接入的可扩展性，带宽的扩展与速率的平滑升级以及处理能力的可扩展性，最大程度地减少对网络架构和现有设备的调整。

4、可管理性

POS机分布比较分散，维护困难程度比较大，方案采用集中管理的网络架构，实时监测POS的运行状态，并可通过银行数据中心对下位机进行远程设置。

5、兼容性和经济性

兼容性，能够最大限度地保证网络现有各种计算机软、硬件资源的可用性和连续性；经济性，在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资。有计划，有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。

VPDN全称是Virtual Private Dial-up Network，又称为虚拟专用（或私有）拨号网，是***业务的一种，是基于拨号用户的虚拟专用拨号网（***）业务。亦即以拨号接入方式上网，通过利用联通公司CDMA 1x分组网络上传输数据时，对网络数据的封包和加密，可以传输私有数据，达到私有网络的安全级别。它是利用IP网络的承载功能结合相应的认证和授权机制建立起来的安全的虚拟专用网（***），是近年来随着Internet的发展而迅速发展起来的一种技术。

四、VPDN介绍

VPDN的具体实现是采用隧道技术，即将企业网的数据封装在隧道中进行传输。隧道技术的基本过程是在源局域网与公网的接口处将数据（是OSI七层模型中的网络层数据）作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装，传送及解封装，通信协议是保证的核心。目前***隧道协议可分为第三层隧道协议和第二层隧道协议。第二层隧道协议有点对点隧道协议（PPTP），第二层转发（L2F），第二层隧道协议（L2TP）三种。

VPDN主要是采用第二层隧道协议（L2TP），为什么会采用L2TP？有以下几点原因：

1、对于GRE及IPSec这些三层隧道协议，区分用户将比较困难；因为在三层（IP层），一般只能通过IP 地址来区分用户。对于***来说，用户的地址是可以重复的，这样，三层隧道协议不适合区分用户。

2、L2TP 是二层（链路层）的隧道协议，是作为PPP 的扩展提出来的。PPP适合区分不同的用户，比如拨号用户采取专线直连的对端路由器等等，因为PPP 可以得到对端的用户名。对于拨号用户接入这种情况来说，需要区分不同的*** 用户，使用L2TP进行VPDN组建。

3、采用L2TP隧道协议，只分配企业网内部IP地址，而PPTP等第二层的隧道协议，要求有正式的IP地址，在拨入拨号服务器时，由拨号服务器提供，再二次拨入企业网关时，由企业网关分配内部网地址。

五、交易的实现过程

POS机无线组网示意图

1、系统构成部分

VPDN服务主要由CDMA路由、LAC和LNS(防火墙或者cisco接入路由器如C2600 Series)、还有AAA和内部服务器，以下是各部分功能。

客户机: 连接在远程网络上的访问终端，是VPDN呼叫的发起者。

LAC：是“第二层隧道协议（L2TP）访问集中器”（Layer 2 tunnel protocol Access Concentrator）的缩写，在CDMA分组网中是PDSN节点。它是L2TP隧道的其中一个端点，也是LNS的对端。LAC处于LNS和Client的中间，负责转发双方的数据包。从LAC发往LNS的数据包需要封装到L2TP隧道中，而从LAC到Client的连接则使用CDMA无线分组传输技术。

LNS：是“第二层隧道协议网络服务器”（Layer 2 tunnel protocol Network Server）的缩写。它是L2TP隧道的另一个端点，也是LAC的对端。它是PPP会话的逻辑终点，而PPP会话被LAC封装成隧道形式，是从Client端开始的。

AAA server：AAA是认证（Authentication）、授权（Authorization）和记帐（Accounting）的缩写。AAA服务器负责对Client的身份进行验证。

2、实现过程

VPDN通常包括多种多样的协议实现方式，我们主要采用L2TP协议方式的VPDN。

企业远程用户（无线客户端）通过CDMA连入拜访地LAC。AAA服务器通过对域名和IMSI的认证识别出该用户为VPDN用户后，就和用户的目的VPDN服务器（企业内部服务器）建立一条连接，称为隧道，然后将用户数据包封装成IP报文后从该隧道传送给VPDN服务器，VPDN服务器收到数据包并拆封后就可以读到真正有意义的报文了。典型的L2TP-VPDN呼叫流程如下：

（1）远程用户（客户端）使用CDMA通过拨特服号呼叫接入服务器LAC（PDSN），例如用CDMA 路由卡拨号＃777，并输入username@XXX133VPDNSX和密码进行呼叫。

（2）LAC将用户名、域名、密码、IMSI信息送至AAA认证服务器对用户进行认证，来确定该用户是否是VPDN的用户。

（3）如果信息为正确的VPDN用户信息，AAA认证服务器根据用户注册的信息向LAC（PDSN）发送建立L2TP隧道的对应参数（用户网关LNS信息，包括LNS IP地址等）。

（4）LAC用所获得的客户信息与LNS之间进行L2TP隧道建立，并将username@XXX133VPDNSX全部送给LNS，由LNS进行认证。

（5）LNS将username@XXX133VPDNSX送给自己的RADIUS服务器(认证服务器)。如果是合法用户则允许接入并保持L2TP隧道。

（6）LAC把客户机提供的用户名username@DomainName和相应的密码转发给LNS。LNS通过本地VPDN配置或者AAA服务器对客户提供的认证信息进行验证。认证通过，VPDN本身与LNS之间进行PPP握手，并由LNS向用户分配IP地址。

完成VPDN操作，用户可以利用PPP协议透过L2TP隧道进行互联并开始进行通信。

六、总结

无线POS系统的应用领域:

☆餐饮娱乐 ☆机票配送 ☆物流配送 ☆加油站 ☆烟草配送 ☆交警罚款

☆缴纳话费（营业网点） ☆充值卡销售 ☆公共事业（水、电、气上门收费）

☆保险医疗 ☆缴税等

通过推出CDMA无线POS业务，可进一步提高服务质量，扩大服务范围，使客户摆脱空间，时间的限制，随时随地获得银行的服务，并通过交互形式自行操作，自我服务。有效地实施无线POS服务，对于拓宽服务地域和时域，方便持卡客户，增加存款余额，尽快抢占市场，缩短客户与银行的距离，树立和提高银行形象，增强市场竞争力，大力加速金融电子化建设步伐，有着十分重要的意义。