MSR系列网关优化配置指导v1.01.doc

MSR系列网关优化配置指导v1.00内部公开杭州华三通信技术有限公司Hangzhou H3C Technology Co., Ltd.文档编号 Document ID密级 Confidentiality level内部公开文档状态 Document StatusMSR系列网关优化配置指导v1.00拟制Prepared by张银亮Date日期2008-9-02评审人Reviewed byDate日期批准Approved byDate日期Hangzhou H3C Technology Co., Ltd.杭州华三通信技术有限公司版权所有 侵权必究All rights reserved修订记录 Revision Record 日期Date修订版本Revision Version修改章节Sec No.修改描述Change Description作者thekingofit2008-10-14V1.00根据评审意见进行修改admin2009-11-10V1.01MSR5006已支持V5版本，删除MSR5006单独的配置说明genery目 录1网关配置优化概述31.1启用防火墙过滤功能41.2优化NAT会话老化时间71.3启用基于IP地址限速81.4路由优化配置91.5进行IP-MAC地址绑定101.6限制单机的NAT TCP连接数111.7开启Telnet服务121.8关闭设备上不必要的服务131.9限制访问设备HTTP/HTTPS/Telnet服务源地址131.10双WAN接入路由配置141.10.1同运营商双WAN接入141.10.2电信网通双WAN接入182典型配置实例202.1单出口典型配置212.1.1PPPoE拨号接入212.1.2主机为私网地址以太网接入262.1.3主机为公网地址以太网接入322.2双WAN接入典型配置372.2.1MSR5006双以太网链路接入372.2.2MSR20/30/50双以太网链路接入442.2.3以太网链路+PPPOE链路接入522.2.4电信网通双链路接入602.3内部服务器访问801 网关配置优化概述随着网络建设和应用的不断深入，网络的管理者和使用者对网络的安全性和稳定性要求越来越高，MSR系列网关通过多种功能可以控制和管理网络的流量，能够有效地实施各种防攻击策略。尤其在企业网和网吧这种复杂的网络环境中，全面合理的配置能够大大提高网络的稳定性和可靠性。下面以MSR2010网关，E1710版本为例（请参考如下具体版本信息），总结出网关设备在企业网和网吧环境中可以优化的配置项和特性配置方法，并且给出了几种典型组网下的配置案例。Navigator_dis verH3C Comware Platform SoftwareComware Software, Version 5.20, ESS 1710Comware Platform Software Version COMWAREV500R002B58D001SP01H3C MSR2010 Software Version V300R003B01D004SP01Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved.Compiled Aug 15 2008 13:57:11, RELEASE SOFTWAREH3C MSR2010 uptime is 0 week, 3 days, 3 hours, 43 minutesLast reboot 2007/01/01 08:00:00System returned to ROM By Command.CPU type: FREESCALE MPC8323E 333MHz256M bytes DDR SDRAM Memory16M bytes Flash MemoryPcb Version: 3.0Logic Version: 1.0Basic BootROM Version: 2.03Extended BootROM Version: 2.03SLOT 0AUX (Hardware)3.0, (Driver)1.0, (Cpld)1.0SLOT 0ETH0/0 (Hardware)3.0, (Driver)1.0, (Cpld)1.0SLOT 0ETH0/1 (Hardware)3.0, (Driver)1.0, (Cpld)1.0SLOT 0ETH0/2 (Hardware)3.0, (Driver)1.0, (Cpld)1.0SLOT 0ETH0/3 (Hardware)3.0, (Driver)1.0, (Cpld)1.0SLOT 0ETH0/4 (Hardware)3.0, (Driver)1.0, (Cpld)1.0Navigator 1.1 启用防火墙过滤功能ACL 是每个安全策略的基本组成部份，控制和监视什么数据包进入和离开网络几乎是网络安全的定义。在RFC2827/BCP 38 (Best Current Practice ) 中高度建议使用入口过滤，这不仅可以使你的网络安全，而且可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。许多的网络攻击者使用伪装的源IP地址来隐藏它们的身份，在网关设备LAN口使用了入口过滤功能后，也更加容易定位网络攻击者，因为攻击者必须使用真实的源IP地址。在网关设备WAN使用入口过滤功能后，可以有效的过滤各种病毒和攻击流量，从而使网络更稳定。同时目前大部分企业和网吧网关设备都启用NAT转换功能，网关设备向外网转发报文时需要将源地址转换为公网地址，接收报文时需要将目的地址转换为内网地址，根据MSR系列网关转发处理流程特点入方向先进行NAT转换再进行防火墙过滤，可以有效的利用防火墙将非内网发起的数据连接和外网主动发起的攻击流量进行过滤，保证网络的稳定性和安全性。也可以利用防火墙将各种常见的病毒报文根据应用服务端口进行过滤。以局域网接口的IP地址为/24，广域网接口的IP地址为/30为例，ACL和防火墙的典型配置如下：1、启用防火墙：H3Cfirewall enable2、关闭设备发送IP不可达报文功能：H3Cundo ip unreachables3、配置LAN口防火墙过滤规则：acl number 3003 name LANDefend /将一些常见的端口扫描、病毒报文进行过滤rule 0 deny udp destination-port eq tftprule 1 deny tcp destination-port eq 4444 / Worm.Blaster rule 2 deny tcp destination-port eq 135 / Worm.Blaster rule 3 deny udp destination-port eq 135 / Worm.Blaster rule 4 deny udp destination-port eq netbios-ns rule 5 deny udp destination-port eq netbios-dgm rule 6 deny tcp destination-port eq 139 rule 7 deny udp destination-port eq netbios-ssn rule 8 deny tcp destination-port eq 445 / Worm.Blaster rule 9 deny udp destination-port eq 445 / Worm.Blaster rule 10 deny udp destination-port eq 593 /Worm.Blaster rule 11 deny tcp destination-port eq 593 / Worm.Blaster rule 12 deny tcp destination-port eq 5554 / Sasser rule 13 deny tcp destination-port eq 9995 / Sasser rule 14 deny tcp destination-port eq 9996 rule 15 deny udp destination-port eq 1434 / SQL Slammer rule 16 deny tcp destination-port eq 1068 rule 17 deny tcp destination-port eq 5800 rule 18 deny tcp destination-port eq 5900 rule 19 deny tcp destination-port eq 10080rule 22 deny tcp destination-port eq 3208 rule 23 deny tcp destination-port eq 1871 rule 24 deny tcp destination-port eq 4510 rule 25 deny udp destination-port eq 4334 rule 26 deny tcp destination-port eq 4331 rule 27 deny tcp destination-port eq 4557 rule 28 deny udp destination-port eq 4444 / Worm.Blaster rule 29 deny udp destination-port eq 1314 rule 30 deny tcp destination-port eq 6969 rule 31 deny tcp destination-port eq 137 rule 32 deny tcp destination-port eq 389 rule 33 deny tcp destination-port eq 138 rule 34 deny udp destination-port eq 136 rule 35 deny tcp destination-port eq 1025 rule 36 deny tcp destination-port eq 6129 rule 37 deny tcp destination-port eq 1029 rule 38 deny tcp destination-port eq 20168 rule 39 deny tcp destination-port eq 4899 rule 40 deny tcp destination-port eq 45576 rule 41 deny tcp destination-port eq 1433 rule 42 deny tcp destination-port eq 1434 / SQL Slammer rule 43 deny udp destination-port eq 1433 /允许Ping和Tracert类型的ICMP报文通过，其它类型的ICMP报文丢弃rule 200 permit icmp icmp-type echorule 201 permit icmp icmp-type echo-replyrule 202 permit icmp icmp-type ttl-exceededrule 210 deny icmp/允许源地址为内网网段的报文进入网关设备转发，当内网主机为DHCP动态获取时，需要允许DHCP请求报文进入网关，其它报文丢弃rule 1000 permit ip source 55 rule 1001 permit udp destination-port eq bootpsrule 2000 deny ip 4、配置WAN口防火墙过滤规则：acl number 3001 name WANDefend /将一些常见的端口扫描、病毒报文进行过滤rule 0 deny udp destination-port eq tftprule 1 deny tcp destination-port eq 4444 / Worm.Blaster rule 2 deny tcp destination-port eq 135 / Worm.Blaster rule 3 deny udp destination-port eq 135 / Worm.Blaster rule 4 deny udp destination-port eq netbios-ns rule 5 deny udp destination-port eq netbios-dgm rule 6 deny tcp destination-port eq 139 rule 7 deny udp destination-port eq netbios-ssn rule 8 deny tcp destination-port eq 445 / Worm.Blaster rule 9 deny udp destination-port eq 445 / Worm.Blaster rule 10 deny udp destination-port eq 593 / Worm.Blaster rule 11 deny tcp destination-port eq 593 / Worm.Blaster rule 12 deny tcp destination-port eq 5554 / Sasser rule 13 deny tcp destination-port eq 9995 / Sasser rule 14 deny tcp destination-port eq 9996 rule 15 deny udp destination-port eq 1434 / SQL Slammer rule 16 deny tcp destination-port eq 1068 rule 17 deny tcp destination-port eq 5800 rule 18 deny tcp destination-port eq 5900 rule 19 deny tcp destination-port eq 10080rule 22 deny tcp destination-port eq 3208 rule 23 deny tcp destination-port eq 1871 rule 24 deny tcp destination-port eq 4510 rule 25 deny udp destination-port eq 4334 rule 26 deny tcp destination-port eq 4331 rule 27 deny tcp destination-port eq 4557 rule 28 deny udp destination-port eq 4444 / Worm.Blaster rule 29 deny udp destination-port eq 1314 rule 30 deny tcp destination-port eq 6969 rule 31 deny tcp destination-port eq 137 rule 32 deny tcp destination-port eq 389 rule 33 deny tcp destination-port eq 138 rule 34 deny udp destination-port eq 136 rule 35 deny tcp destination-port eq 1025 rule 36 deny tcp destination-port eq 6129 rule 37 deny tcp destination-port eq 1029 rule 38 deny tcp destination-port eq 20168 rule 39 deny tcp destination-port eq 4899 rule 40 deny tcp destination-port eq 45576 rule 41 deny tcp destination-port eq 1433 rule 42 deny tcp destination-port eq 1434 / SQL Slammer rule 43 deny udp destination-port eq 1433 /允许Ping和Tracert类型的报文通过，其它类型的ICMP报文丢弃rule 200 permit icmp icmp-type echorule 201 permit icmp icmp-type echo-replyrule 202 permit icmp icmp-type ttl-exceededrule 210 deny icmp/允许DNS代理请求报文进入rule 300 permit udp source-port eq dns/开启Telnet管理端口，根据实际业务需求可开启其它服务端口或者服务器地址，如： TR069服务器地址为，配置如下： rule 310 permit tcp destination-port eq telnet rule 320 permit tcp source 0/允许目的地址为内网网段的报文进入网关设备转发，其它报文丢弃rule 1000 permit ip destination 55 rule 2000 deny ip 5、在LAN口启用防火墙过滤：H3Cinterface Vlan-interface 1H3C-Vlan-interface1firewall packet-filter 3003 inbound6、在WAN口启用防火墙过滤：H3Cinterface Ethernet 0/0H3C-Ethernet0/0firewall packet-filter 3001 inbound1.2 优化NAT会话老化时间内网PC访问外部网络时每个连接都会建立1个NAT会话表项，记录这个连接的状态信息，如源地址、源端口、目的地址、目的端口等信息，用来进行回复报文的NAT转换处理。根据不同的应用，每次内网PC发起的连接数都不一样，如：打开1个网页会建立1050个TCP连接，下载和网络游戏会建立上百个连接，当这些连接的NAT会话表项建立后，如果因为异常原因，如：应用程序异常关闭，PC重启，导致网关设备没有收到关闭连接的报文，NAT会话表项只能等老化时间过后才能被删除，因此网关设备上会存在部分无用的NAT表项。但是在企业和网吧应用环境中，这些无用的NAT表项会非常多，如果不能及时的老化删除，会严重占用系统资源，影响系统转发效率。因此需要修改NAT表项老化时间，使无用的NAT表项尽快老化删除，释放系统资源；但并不是NAT表项老化时间设置的越短越好，如果NAT表项老化过快，正常延时范围内收到的响应报文无法找到表项转换地址进入内网，会导致连接无法正常建立。如下给出各种NAT会话老化时间的推荐值：修改操作如下：H3Cnat aging-time tcp 300 /修改TCP会话老化时间为300秒，默认为86400秒H3Cnat aging-time udp 180 /修改UDP会话老化时间为180秒，默认为300秒H3Cnat aging-time pptp 300 /修改PPTP会话老化时间为300秒，默认为86400秒H3Cnat aging-time ftp-ctrl 300 /修改ftp-ctrl会话老化时间为300秒，默认为7200秒H3Cnat aging-time icmp 10 /修改ICMP会话老化时间为10秒，默认为60秒H3Cnat aging-time dns 10 /修改DNS会话老化时间为10秒，默认为60秒H3Cnat aging-time tcp-fin 10 /修改tcp-fin报文老化时间为10秒，默认为60秒H3Cnat aging-time tcp-syn 10 /修改tcp-syn报文老化时间为10秒，默认为60秒1.3 启用基于IP地址限速目前企业和网吧向运营商申请的带宽大部分是10M，正常使用中申请的带宽足够满足需要，但是实际使用中常常会因为个别主机的下载而占用大部分带宽，导致其它PC上网速度慢或者无法正常访问网络。此时就需要启动网关设备的基于IP地址限速功能，对内网中的PC进行单独限速，满足正常应用的前提下又不会因为下载过分占用带宽而影响网络的正常使用。配置步骤如下：1、配置需要进行限速的地址段，需要分别配置源地址段和目的地址段：H3Cqos carl 1 source-ip-address range to 54 per-addressH3Cqos carl 2 destination-ip-address range to 54 per-address2、在LAN口上启动基于IP地址限速功能，以限制上行512Kbps，下行1024Kbps为例：H3Cint Vlan-interface 1H3C-Vlan-interface1qos car inbound carl 1 cir 512 H3C-Vlan-interface1qos car outbound carl 2 cir 1024同时MSR系列网关（不包括MSR5006）支持智能QoS限速的功能，主要工作原理为可以给1个地址段分配1个总带宽，当这个地址段中只有1台PC上网时可以独享配置的总带宽，当两台PC上网时，每台PC可以使用总带宽的二分之一，以此类推，配置步骤如下：1、配置需要进行限速的地址段，限速方式为共享模式：H3Cqos carl 1 source-ip-address range to 0 per-address shared-bandwidthH3Cqos carl 2 destination-ip-address range to 0 per-address shared-bandwidth2、在LAN口上启动基于IP地址限速功能，以限制上行总带宽5000Kbps，下行总带宽10000Kbps为例：H3Cint Vlan-interface 1H3C-Vlan-interface1qos car inbound carl 1 cir 5000 H3C-Vlan-interface1qos car outbound carl 2 cir 10000注：基于IP地址限速功能也可以在WAN口上进行配置，这样的话是基于每个WAN口对内网PC进行限速，如果存在多个WAN口的话，每个WAN的限速功能是独立的。同时需要注意在WAN口进行限速配置时，入方向为下行方向，出方向为上行方向，与LAN口配置相反。1.4 路由优化配置RFC1918中指定的保留的私有地址和其他已知的私有地址不应该存在于现有的internet网络上。可以通过黑洞路由进行过滤。避免局域网中存在攻击时占用大量的快转表项或者NAT表项。例如：ip route-static NULL 0 preference 60 ip route-static NULL 0 preference 60 ip route-static NULL 0 preference 60 ip route-static NULL 0 preference 60 ip route-static NULL 0 preference 601.5 进行IP-MAC地址绑定由于网吧上网人员比较复杂，可能有人有意或无意地更改IP地址，或者使用网络执法官等软件进行恶意地破坏，通过在网关和客户机上都进行IP-MAC地址绑定（静态ARP），可以有效地防止这类以ARP欺骗为基础的攻击。同时可以启用防ARP泛洪攻击功能和ARP有效性性检查功能。1、对于三层以太网接口进行绑定的操作如下：H3Carp static 0 0023-ab13-0121对于三层vlan接口需要进行长静态ARP绑定操作，相对于短ARP会增加vlan和端口的信息，如下：H3Carp static 0 0023-ab13-0121 1 Ethernet 0/12、在网关设备上启用防止ARP泛洪攻击功能，当1个MAC在5秒内发送的ARP报文超过20个时，则此MAC后续发送的ARP报文将被丢弃，过五分钟后再开始接收此MAC发送的ARP报文，如下：H3Carp anti-attack source-mac filterH3Carp anti-attack source-mac threshold 20H3Carp anti-attack source-mac aging-time 3003、启用ARP报文有效性检查功能，对以太网帧首部中的源MAC地址和ARP报文中的源MAC地址进行判断，如果不同则认为是非法报文，进行丢弃。H3Carp anti-attack valid-check enable 网关设备上进行ARP绑定后，在客户机上可以通过执行“arp-s 网关IP如网关的MAC地址”这一条命令来实现对网关的ARP条目的静态绑定：PC每次重启后，通过上述命令进行ARP绑定项会丢失，有没有方法可以使PC每次启动后自动进行绑定呢？可以建立一个批处理文件放到启动组里，批处理文件的内容就是对网关进行IP-MAC绑定，这样PC每次启动后就都会自动进行网关IP-MAC绑定。1.6 限制单机的NAT TCP连接数MSR系列网关（不包括MSR5006）支持NAT限制TCP最大连接数，即可以对单个或多个IP限制其NAT的TCP连接数，因为P2P类软件如BT的一大特点就是同时会有很多的连接，占用大量的NAT表项，因此应用该方法可有效限制BT的使用。比如我们为IP 设置最大的NAT TCP连接数为300；正常的网络访问肯定够用了，但如果使用BT，那么很快此IP的NAT TCP连接数会达到300，一旦达到峰值，该IP的其他访问就无法再进行NAT转换，必须等到部分NAT表项失效后，才能使用，这样既有效的保护了网络的带宽，也达到了警示的作用。# 创建ACL并配置规则，来匹配源IP地址为/24的数据。H3C acl number 3100H3C-acl-adv-3100 rule 0 permit tcp source 0H3C-acl-adv-3100 quit# 创建连接数限制策略，并配置子规则，对单一源地址发起的连接数进行限制。H3Cconnection-limit policy 1 H3C-connection-limit-policy-1limit 0 acl 3100 per-source amount 300 290# NAT引用连接数限制策略0。H3Cnat connection-limit-policy 1 也可以通过WEB网管对每台PC的NAT连接数限制的配置，如下：注：E1710版本WEB只支持对每台PC进行连接数限制，不支持单独限制1台PC的NAT连接数。1.7 开启Telnet服务打开设备的Telnet服务功能，方便后续进行远程维护管理。操作如下：1、开启Telnet服务功能（MSR5006默认Telnet服务开启，不需要执行开启服务命令）：H3Ctelnet server enable2、配置Telnet认证方式，使用本地认证：H3Cuser-interface vty 0 4H3C-ui-vty0-4authentication-mode scheme3、配置本地认证的用户名和密码：H3Clocal-user adminH3C-luser-adminpassword cipher xxxxH3C-luser-adminservice-type telnetH3C-luser-adminauthorization-attribute level 31.8 关闭设备上不必要的服务MSR系列网关默认会开启多种服务，而这些服务在企业和网吧环境中是不必需的，可以关闭这些服务来节省系统资源。MSR5006操作如下：H3Cundo icmp unreach send /关闭设备发送不可达报文功能H3Cundo icmp redirect send /关闭设备发送重定向报文功能H3Cundo dhcp enable /关闭设备DHCP服务H3Cundo ftp server /关闭设备FTP服务MSR20/30/50操作如下：H3Cundo ip unreachables /关闭设备发送不可达报文功能H3Cundo ip redirects /关闭设备发送重定向报文功能H3Cundo dhcp enable /关闭设备DHCP服务H3Cundo ftp server /关闭FTP服务H3Cundo radius client /关闭Radius服务1.9 限制访问设备HTTP/HTTPS/Telnet服务源地址设备的HTTP/HTTPS/Telnet服务默认是向所有用户开放，为了增加安全性，可以限制只有部分用户可以访问设备的这些服务，设置如下：1、设置可以访问设备服务的用户地址，以内网所有地址和公网6地址为例：H3Cacl number 2000 H3C-acl-basic-2000rule permit source 55 H3C-acl-basic-2000rule permit source 6 H3C-acl-basic-2000rule 1000 deny 2、设置可以访问设备HTTP服务的用户：H3Cip http acl 2000 3、设置可以访问设备Telnet服务的用户：H3Cuser-interface vty 0 4 H3C-ui-vty0-4acl 2000 inbound 4、设置可以访问设备HTTPS服务的用户：H3Cip https acl 2000 1.10 双WAN接入路由配置目前越来越多的企业和网吧采用双WAN上行接入的方式，这种组网方式既可以实现链路的负载分担又可以实现链路的动态备份，受到用户的普遍欢迎。下面分别介绍不同双WAN接入方式下路由的优化配置方法。1.10.1 同运营商双WAN接入1. 双以太网链路接入1) MSR配置方法对于MSR网关，可以使用策略路由和自动侦测实现负载分担和链路备份功能。同样以其中一条WAN连接地址为/24，网关为，另外一条WAN连接地址为/24，网关为，使用MSR2010做为网关设备为例，配置方法如下：1、 配置自动侦测组，对WAN连接状态进行侦测：H3Cnqa agent enableH3Cnqa entry wan1 1H3C-nqa-wan1-1type icmp-echoH3C-nqa-wan1-1-icmp-echodestination ip H3C-nqa-wan1-1-icmp-echonext-hop H3C-nqa-wan1-1-icmp-echoprobe count 3H3C-nqa-wan1-1-icmp-echoprobe timeout 1000H3C-nqa-wan1-1-icmp-echofrequency 10000H3C-nqa-wan1-1-icmp-echoreaction 1 checked-element probe-fail threshold-type consecutive 6 action-type trigger-only H3Cnqa entry wan2 1H3C-nqa-wan2-1type icmp-echoH3C-nqa-wan2-1-icmp-echodestination ip H3C-nqa-wan2-1-icmp-echonext-hop H3C-nqa-wan2-1-icmp-echofrequency 10000H3C-nqa-wan2-1-icmp-echoprobe count 3H3C-nqa-wan2-1-icmp-echoprobe timeout 1000H3C-nqa-wan2-1-icmp-echoreaction 1 checked-element probe-fail threshold-type consecutive 6 action-type trigger-onlyH3C-nqa-wan2-1-icmp-echoquitH3Cnqa schedule wan1 1 start-time now lifetime foreverH3Cnqa schedule wan2 1 start-time now lifetime foreverH3Ctrack 1 nqa entry wan1 1 reaction 1H3Ctrack 2 nqa entry wan2 1 reaction 12、 配置ACL，对业务流量进行划分，以根据内网主机单双号进行划分为例：H3Cacl number 3200H3C-acl-adv-3200 rule 0 permit ip source 54H3C-acl-adv-3200rule 1000 deny ip H3C-acl-adv-3200quitH3Cacl number 3201 H3C-acl-adv-3201rule 0 permit ip source 54H3C-acl-adv-3201rule 1000 deny ip3、 配置策略路由，定义流量转发规则，以双号主机走WAN1，单号主机走WAN2为例：H3Cpolicy-based-route wan permit node 1H3C-pbr-wan-1if-match acl 3200 H3C-pbr-wan-1apply ip-address next-hop track 1 H3C-pbr-wan-1quitH3Cpolicy-based-route wan permit node 2 H3C-pbr-wan-2if-match acl 3201H3C-pbr-wan-2apply ip-address next-hop track 2 4、 在LAN口启用策略路由转发：H3Cinterface Vlan-interface 1H3C-Vlan-interface1ip policy-based-route wan 5、 配置默认路由，当任意WAN链路出现故障时，流量可以在另外一条链路上进行转发：H3Cip route-static track 1 preference 60H3Cip route-static track 2 preference 1002) 基于用户负载分担配置方法MSR5006支持基于用户负载分担特性，可以根据接口带宽将流量动态进行负载分担。配合自动侦测特性可同时实现链路备份的功能，当一条链路出现故障时，流量自动转发到另外一条链路上。以其中一条WAN连接地址为/24，网关为，另外一条WAN连接地址为/24，网关为为例，配置方法如下：1、自动侦测的配置请参考上述说明：2、配置到两个WAN接口的静态默认路由，并管理自动侦测组：3、启用基于用户负载分担功能：ip user-based-sharing enableip user-based-sharing route 4、配置WAN口的负载分担带宽（两个WAN接口负载分担带宽配置符合一定比例即可，不需要与实际申请的物理带宽一致）：#interface Ethernet0/0 port link-mode route nat outboundip address 5 load-bandwidth 1000# 2. 以太网链路PPPoE链路接入1) MSR配置方法与以太网链路接入方式配置相似，只有部分地方需要进行调整。同样以其中一条WAN连接地址为/24，网关为，另外一条WAN连接为PPPoE链路，使用MSR2010做为网关设备为例，配置方法如下：1、 配置自动侦测组，对WAN连接状态进行侦测：H3Cnqa agent enableH3Cnqa entry wan1 1H3C-nqa-wan1-1type icmp-echoH3C-nqa-wan1-1-icmp-echodestination ip H3C-nqa-wan1-1-icmp-echonext-hop H3C-nqa-wan1-1-icmp-echoprobe count 5H3C-nqa-wan1-1-icmp-echoprobe timeout 1000H3C-nqa-wan1-1-icmp-echofrequency 10000H3C-nqa-wan1-1-icmp-echoreaction 1 checked-element probe-fail threshold-type consecutive 6 action-type trigger-only H3Cnqa schedule wan1 1 start-time now lifetime foreverH3Ctrack 1 nqa entry wan1 1 reaction 12、 配置