MSR系列路由器IKEDPD功能的配置举例

MSR系列路由器IKEDPD功能的配置举例MSR系列路由器IKE DPD功能的配置举例Copyright ? 2014杭州华三通信技术有限公司版权所有，保留⼀切权利。

⾮经本公司书⾯许可，任何单位和个⼈不得擅⾃摘抄、复制本⽂档内容的部分或全部，并不得以任何形式传播。

本⽂档中的信息可能变动，恕不另⾏通知。

⽬录1 简介 (1)2 配置前提 (1)3 配置举例 (1)3.1 组⽹需求 (1)3.2 使⽤版本 (1)3.3 配置注意事项 (1)3.4 配置步骤 (1)3.4.1 Router A的配置 (1)3.4.2 Router B的配置 (2)3.5 验证配置 (3)3.6 配置⽂件 (6)4 相关资料 (7)1 简介本⽂档介绍MSR系列路由器IKE DPD功能的典型配置举例。

2 配置前提本⽂档不严格与具体软、硬件版本对应，如果使⽤过程中与产品实际情况有差异，请参考相关产品⼿册，或以设备实际情况为准。

本⽂档中的配置均是在实验室环境下进⾏的配置和验证，配置前设备的所有参数均采⽤出⼚时的缺省配置。

如果您已经对设备进⾏了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本⽂档假设您已了解IPsec特性。

3 配置举例3.1 组⽹需求如图1所⽰，Router A和Router B之间建⽴IPsec连接。

要求：在Router A和Router B上都配置DPD 功能进⾏对等体存活状态检测。

图1MSR系列路由器IKE DPD功能的配置组⽹图3.2 使⽤版本本举例是在Release 2317版本上进⾏配置和验证的。

3.3 配置注意事项DPD实验不要采⽤2台设备直连⽅式，因为在这种⽅式下把⽹线、链路层Down，不会有路由，所以⽤于触发IPsec的包不会发送到接⼝，因⽽也不能触发任何IPsec模块。

3.4 配置步骤3.4.1 Router A的配置# 配置接⼝Ethernet0/0的IP地址。

system-view[RouterA] interface ethernet 0/0[RouterA-Ethernet0/0] ip address 1.2.0.2 255.255.255.252[RouterA-Ethernet0/0] quit# 配置ACL，定义由1.2.0.2/30到1.2.0.1/30的数据流。

H3C-MSR路由器配置配置(pèizhì)telnet登录(dēnɡlù)telnet server enable创建本地(běndì)账号与密码local-user adminpassword simple hnjb8013user-interface vty 0 4authentication-mode schemauser-role level-15配置(pèizhì)WAN口地址(dìzhǐ)<H3C>system-view2)设置内网网关设置(shèzhì)DHCP<H3C>system-view[H3C]dhcp server ip-pool 1[H3C-dhcp-pool-1]network 192.168.1.0 mask 255.255.255.0[H3C-dhcp-pool-1]gateway-list 192.168.1.1[H3C-dhcp-pool-1]address range 192.168.1.2 192.168.1.200地点(dìzhǐ)池[H3C-dhcp-pool-1]dns-list202.106.0.20 114.114.114.114//具体(jùtǐ)的运营商DNS地址(dìzhǐ)[H3C-dhcp-pool-1]quit5)配置默许路由[H3C]ip route-static 0.0.0.0 0.0.0.0 119.57.73.65//下一跳地址配置运营商分配的网关地址Nat一对一NAT<H3C>system-viewNAT端口映照<H3C>system-viewnat server protocol tcp global 119.57.73.67 5366 inside 192.168.1.67 5366nat server protocol tcp global 119.57.73.67 5367 inside 192.168.1.67 5367nat server protocol tcp global 119.57.73.67 8081 inside 192.168.1.244 8081nat server protocol tcp global 119.57.73.67 8123 inside 192.168.1.250 8443nat server protocol tcp global 119.57.73.67 inside 192.168.1.88 3389L2TP over ipsec1.开启(kāiqǐ)L2TP功能(gōngnéng)。

7 相关资料1 简介本文档介绍IPsec的典型配置举例。

2 配置前提本文档适用于使用Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例3.1 组网需求如图1所示，PPP用户Host与Device建立L2TP隧道，Windows server 2003作为CA服务器，要求：•通过L2TP隧道访问Corporate network。

•用IPsec对L2TP隧道进行数据加密。

•采用RSA证书认证方式建立IPsec隧道。

图1 基于证书认证的L2TP over IPsec配置组网图3.2 配置思路由于使用证书认证方式建立IPsec隧道，所以需要在ike profile中配置local-identity 为dn，指定从本端证书中的主题字段取得本端身份。

3.3 使用版本本举例是在R0106版本上进行配置和验证的。

3.4 配置步骤3.4.1 Device的配置(1) 配置各接口IP地址# 配置接口GigabitEthernet2/0/1的IP地址。

<Device> system-view[Device] interface gigabitethernet 2/0/1[Device-GigabitEthernet2/0/1] ip address 192.168.100.50 24[Device-GigabitEthernet2/0/1] quit# 配置接口GigabitEthernet2/0/2的IP地址。

[Device] interface gigabitethernet 2/0/2[Device-GigabitEthernet2/0/2] ip address 102.168.1.11 24[Device-GigabitEthernet2/0/2] quit# 配置接口GigabitEthernet2/0/3的IP地址。

MSR系列路由器总部双出口固定IP、分支动态地址IPSec备份MSR系列路由器总部双出口固定IP、分支动态地址IPSec备份一、组网：二、客户需求总部使用联通、电信双出口，分支单出口。

要求总部和分支之间通过IPSec建立VPN，并进行相互备份。

部分分支与总部联通线路相连，电信链路作为备份；另一部分与总部电信线路相连，联通线路作为备份。

假设RTC是优选电信线路，RTD是优选联通线路。

三、设计方案地址，路由设计：1.假设分支和总部合起来不超过126个，那么所有Loopback可以使用一个192.168.254.0的C类网段，如果超过，就使用192.168.254.0和192.168.253.0两个C网段。

2.所有Loopback0对应联通线路，从192.168.254.1至192.168.254.126，如总部可以使用192.168.254.1，其余分支从2至126。

3.所有Loopback1对应电信线路，从192.168.254.129至192.168.253.254，如总部可以使用192.168.254.129，其余分支从130至254。

4.总部和各分支的Loopback0作为源、目的建立一条GRE隧道，tunnel编号从2至126，对应分支loopback0地址末端，便于记忆，该隧道只从联通线路建立。

5.总部和各分支的Loopback1作为源、目的建立一条GRE隧道，tunnel编号从130至254，对应分支loopback1地址末端，便于记忆，该隧道只从电信线路建立。

6.在GRE隧道上配置Keeplive，用于监测tunnel接口状态，使用Keeplive后就不需要使用NQA探测了。

7.总部配置各Loopback0路由ip routing-table 192.168.254.0 25 联通出口。

8.总部配置各Loopback1路由ip routing-table 192.168.254.128.0 25 电信出口。

H3C-MSR路由器配置路由器作为网络中的重要设备之一，扮演着连接不同网络、实现数据转发的关键角色。

H3C-MSR路由器作为一款功能强大、性能稳定的产品，被广泛应用于各种规模的网络中。

为了使H3C-MSR路由器能够正常工作并满足网络需求，正确的配置是至关重要的。

本文将详细介绍H3C-MSR路由器的配置方法，帮助用户快速上手。

一、基本配置1. 连接路由器首先，使用网线将H3C-MSR路由器的Console接口与计算机的串口相连。

然后，使用串口终端工具，如SecureCRT等，通过串口连接到路由器。

打开终端工具后，选择正确的串口号和波特率，确保与路由器连接成功。

2. 登录路由器成功连接到路由器后，输入登录用户名和密码，即可登录路由器的命令行界面。

默认的用户名为admin，密码为空。

为了提高安全性，建议用户在首次登录后立即修改密码。

3. 设定主机名在路由器命令行界面下，通过以下命令来为路由器设定一个主机名：configure terminalhostname <主机名>exit二、接口配置1. 配置接口IP地址为了使路由器能够与其他设备进行通信，需要为其配置IP地址。

假设要为接口GigabitEthernet 0/0/1配置IP地址为192.168.1.1，子网掩码为255.255.255.0，可以在命令行界面下执行以下命令：interface GigabitEthernet 0/0/1ip address 192.168.1.1 255.255.255.02. 配置接口描述接口描述功能可以使管理员更好地管理和识别各个接口。

为了对接口GigabitEthernet 0/0/1进行描述，可以使用以下命令：interface GigabitEthernet 0/0/1description <描述信息>3. 配置接口速率和双工模式根据网络需求和接口连接设备的性能要求，可以配置接口的速率和双工模式。

H3C-MSR800路由器配置说明H3C-MSR800路由器配置说明1、引言1.1 目的1.2 读者对象1.3 参考资料2、准备工作2.1 硬件准备2.2 软件准备2.3 连接设置3、路由器基本配置3.1 登录路由器3.2 密码配置3.3 系统基本配置3.4 接口配置3.5 路由配置4.1 IP地质配置4.2 子网掩码配置4.3 网关配置4.4 DNS配置4.5 NAT配置5、路由器安全配置5.1 访问控制列表（ACL）配置5.2 防火墙配置5.3 用户认证配置5.4 安全策略配置6、功能配置6.1 VLAN配置6.2 QoS配置6.3 VPN配置6.4 动态主机配置协议（DHCP）配置 6.5 虚拟路由器冗余协议（VRRP）配置7.1 SNMP配置7.2 日志配置7.3 命令行接口（CLI）配置7.4 图形用户界面（GUI）配置8、故障排除8.1 故障排除工具和命令8.2 常见问题及解决方法9、附件- H3C-MSR800路由器安装手册- H3C-MSR800路由器用户手册注释：- IP地质：Internet Protocol Address的缩写，指网络上的设备的唯一标识符。

- 子网掩码：用于划分网络地质和主机地质的掩码。

- 网关：支持不同子网之间通信的设备或系统。

- DNS：Domn Name System的缩写，用于将域名映射为IP地质的系统。

- NAT：Network Address Translation的缩写，用于在不同网络之间转换IP地质。

- ACL：Access Control List的缩写，用于限制网络中的数据流动。

- QoS：Quality of Service的缩写，用于优化网络的数据传输质量。

- VPN：Virtual Private Network的缩写，用于建立安全的网络连接。

- DHCP：Dynamic Host Configuration Protocol的缩写，用于自动分配IP地质的协议。

MSR路由器策略路由配置2（不同网段走不同的WAN口）1. 组网需求MSR路由器双WAN口上网，一个接口采用静态地址，一个接口采用PPPoE拨号上网。

两个接口的带宽相近。

内网有两个网段，网关都设置在MSR路由器上，需要实现192.168.1.0/24网段上网走拨号上网的接口，192.168.2.0/24网段上网走固定地址上网的接口，且当其中任何一条链路中断后，原来该链路上的流量能切换到另一条运营商链路上。

2. 配置步骤配置思路：配置两条默认路由，下一跳分别指向两个运营商的网关，其中指向运营商2的默认路由的优先级调整为80。

配置策略路由把源地址为192.168.2.0/24网段访问互联网的流量引向运营商2。

当运营商1链路中断时，高优先级默认路由（拨号上网）失效，低优先级默认路由（固定地址上网）生效，192.168.1.0网段切换到运营商2上网。

当运营商2链路中断时，策略路由下一跳不可达，192.168.2.0网段通过默认路由切换到运营商1上网。

1) 配置默认路由<H3C>system-view[H3C]ip route-static 0.0.0.0 0 Dialer 5 //配置通过PPPoE拨号上网的默认路由，优先级为默认值60[H3C]ip route-static 0.0.0.0 0 1.1.1.254 preference 80 //配置通过固定地址上网的默认路由（本案例假设网关地址为1.1.1.254，请根据实际情况配置），优先级设置为80，优先级较低（数值越大优先级越低），默认情况下不生效2) 定义访问控制列表，用来匹配内网数据报文[H3C]acl number 3000 //MSR V7路由器命令为acl advanced 3000，下同[H3C-acl-adv-3000]rule permit ip source192.168.2.0 0.0.0.255 //匹配IP地址为192.168.2.0/24的网段的终端[H3C-acl-adv-3000]quit[H3C]acl number 3001[H3C-acl-adv-3001]rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 //为了不让192.168.2.0/24网段访问192.168.1.0/24网段的流量匹配上策略路由，需要单独定义ACL匹配该流量。

1 典型配置举例导读H3C MSR系列路由器典型配置举例(V7)共包括63个文档，介绍了基于Comware V7软件版本的MSR系列路由器软件特性的典型配置举例，包含组网需求、配置步骤、验证配置和配置文件等内容。

1.1 适用款型本手册所描述的内容适用于MSR系列路由器中的如下款型：款型MSR 5600 MSR 56-60 MSR 56-80MSR 3600 MSR 36-10 MSR 36-20 MSR 36-40 MSR 36-60 MSR3600-28 MSR3600-51MSR 2600 MSR 26-301.2 内容简介典型配置举例中特性的支持情况与MSR系列路由器的款型有关，关于特性支持情况的详细介绍，请参见《H3C MSR 系列路由器配置指导(V7)》和《H3C MSR 系列路由器命令参考(V7)》。

手册包含的文档列表如下：编号名称1H3C MSR系列路由器作为TFTP client升级版本的典型配置举例(V7)2H3C MSR系列路由器作为FTP client升级版本的典型配置举例(V7)3H3C MSR系列路由器作为FTP server升级版本的典型配置举例(V7)4H3C MSR系列路由器采用Boot ROM TFTP方式升级方法的典型配置举例(V7)5H3C MSR系列路由器内网用户通过NAT地址访问地址重叠的外网典型配置举例(V7)6H3C MSR系列路由器内网用户通过NAT地址访问内网服务器典型配置举例(V7)7H3C MSR系列路由器内部服务器负载分担典型配置举例(V7)8H3C MSR系列路由器NAT DNS mapping典型配置举例(V7)9H3C MSR系列路由器定时执行任务典型配置举例(V7)10H3C MSR系列路由器RBAC典型配置举例(V7)11H3C MSR系列路由器以太网链路聚合典型配置举例(V7)12H3C MSR系列路由器端口隔离典型配置举例(V7)13H3C MSR系列路由器VLAN典型配置举例(V7)14H3C MSR系列路由器QinQ典型配置举例(V7)15H3C MSR系列路由器PPP典型配置案例(V7)16H3C MSR系列路由器建立LAC-Auto-Initiated模式L2TP隧道典型配置举例(V7) 17H3C MSR系列路由器建立Client-Initiated模式L2TP隧道的典型配置举例(V7) 18H3C MSR系列路由器L2TP多实例典型配置举例(V7)19H3C MSR系列路由器L2TP多域接入典型配置举例(V7)20H3C MSR系列路由器L2TP over IPsec典型配置举例(V7)21H3C MSR系列路由器AAA典型配置举例(V7)22H3C MSR系列路由器802.1X本地认证典型配置举例(V7)23H3C MSR系列路由器802.1X结合Radius服务器典型配置举例(V7)24H3C MSR系列路由器IPsec典型配置举例(V7)25H3C MSR系列路由器Portal典型配置举例(V7)26H3C MSR系列路由器SSH典型配置举例(V7)27H3C MSR系列路由器OSPF典型配置举例(V7)28H3C MSR系列路由器IS-IS典型配置举例(V7)29H3C MSR系列路由器OSPFv3典型配置举例(V7)30H3C MSR系列路由器IPv6 IS-IS典型配置举例(V7)31H3C MSR系列路由器BGP基础典型配置举例(V7)32H3C MSR系列路由器路由策略典型配置举例(V7)33H3C MSR系列路由器策略路由典型配置举例(V7)34H3C MSR系列路由器Tcl脚本典型配置举例(V7)35H3C MSR系列路由器GRE和OSPF结合使用典型配置举例(V7)36H3C MSR系列路由器IPv6 over IPv4 GRE隧道典型配置举例(V7)37H3C MSR系列路由器ISATAP和6to4相结合使用的典型配置举例(V7)38H3C MSR系列路由器IPv6手动隧道+OSPFv3功能的典型配置举例(V7)39H3C MSR系列路由器授权ARP功能典型配置举例(V7)40H3C MSR系列路由器ARP防攻击特性典型配置举例(V7)41H3C MSR系列路由器ACL典型配置举例(V7)42H3C MSR系列路由器流量监管典型配置举例(V7)43H3C MSR系列路由器流量整形典型配置举例(V7)44H3C MSR系列路由器基于控制平面应用QoS策略典型配置举例(V7)45H3C MSR系列路由器IGMP Snooping典型配置举例(V7)46H3C MSR系列路由器IGMP典型配置举例(V7)47H3C MSR系列路由器组播VPN配置举例(V7)48H3C MSR系列路由器MPLS基础典型配置举例(V7)49H3C MSR系列路由器MPLS L3VPN典型配置举例(V7)50H3C MSR系列路由器HoVPN典型配置举例(V7)51H3C MSR系列路由器MPLS TE典型配置举例(V7)52H3C MSR系列路由器MPLS OAM典型配置举例(V7)53H3C MSR系列路由器作为重定向服务器反向Telnet的典型配置举例(V7)54H3C MSR系列路由器BFD典型配置举例(V7)55H3C MSR系列路由器VRRP典型配置举例(V7)56H3C MSR系列路由器SNMP典型配置举例(V7)57H3C MSR系列路由器Sampler结合IPv4 NetStream使用典型配置举例(V7)58H3C MSR系列路由器NQA典型配置举例(V7)59H3C MSR系列路由器EAA监控策略典型配置举例(V7)60H3C MSR系列路由器NTP典型配置举例(V7)61H3C MSR系列路由器RMON统计功能典型配置举例(V7)62H3C MSR系列路由器终端为流接入方式且应用为流连接方式典型配置举例(V7) 63H3C MSR系列路由器终端为TCP接入且应用为TCP连接方式典型配置举例(V7)H3C MSR系列路由器作为TFTP client升级版本的典型配置举例(V7)Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

H3C MSR路由器 IKE DPD功能的配置
一、组网需求：
Center和Branch建立IPSec连接，Center和Branch都配置DPD，并在Center 上进行验证
设备清单：MSR系列路由器2台
二、组网图：
三、配置步骤：
适用设备和版本：MSR系列、Version 5.20, Beta 1202后所有版本。

四、配置关键点：
1) DPD实验不要采用2台设备直连方式，在这种方式下把网线，链路层Down，不会有路由，所以用于触发IPSec的包不会发送到接口，因而也不能触发任何IPSec模块。

2) DPD并不是自始至终地周期性发送，而是通过空闲定时器机制，在每接收到一个IPSec加密的包后就重置这个包对应IKE SA的空闲定时器，如果空闲定时器计时开始到计时结束过程都没有接收到该SA对应的加密包，那么下一次有IP 包要被这个SA加密发送或接收到加密包之前就需要使用DPD来检测对方是否存活。

3) DPD检测主要靠超时计时器，超时计时器用于判断是否再次发起请求，一般来说连续发出3次请求（请求->超时->请求->超时->请求->超时）都没有收到任何DPD应答就应该删除SA，后续如需继续发送加密数据包就需要重新协商SA，如果此时收到加密数据包表明是原来SA的会通知对端重新协商SA。

H3C M S R系列路由器p o l i c y-r o u t e典型配置案
例(总3页)
-CAL-FENGHAI.-(YICAI)-Company One1
-CAL-本页仅作为文档封面，使用请直接删除
MSR系列路由器
IP策略路由功能的配置
关键字：MSR;策略路由
一、组网需求：
RTA、RTB、RTC使用OSPF保证全网路由可达，并且在RTA上察看路由表可以发现10.0.0.0/24的下一跳为RTC的G0/0接口地址。

在RTA的G0/1接口上应用策略路由，使从10.0.2.0/24到10.0.0.0/24的流量重定向到RTB上。

设备清单：MSR系列路由器3台
二、组网图：
三、配置步骤：
设备和版本：MSR系列、Version 5.20, Release 1508P02
RTA配置
#
//定义ACL匹配目的地址是10.0.0.0/24
acl number 3000
rule 0 permit ip destination 10.0.0.0 0.0.0.255
#
//连接RTB的接口
interface GigabitEthernet0/0
port link-mode route
ip address 1.2.0.1 255.255.255.252
#
//连接10.0.2.0/24的接口
interface GigabitEthernet0/1
port link-mode route
：
1) 在使用策略路由重定向时，如果出接口是广播类型的，如以太网接口，那么必须apply ip-address next-hop方式，。

H3C MSR路由器H3C MSR路由器配置指南1：简介1.1 概述1.2 适用范围1.3 功能特点2：系统配置2.1 系统设置2.1.1 设备基本信息配置2.1.2 系统时间配置2.1.3 系统安全配置2.2 路由器接口配置2.2.1 接口启用与禁用2.2.2 IP地址配置2.2.3 VLAN配置2.3 高可用性配置2.3.1 系统冗余配置2.3.2 VRRP配置2.3.3 BFD配置3：路由配置3.1 静态路由配置3.2 动态路由配置3.2.1 OSPF配置3.2.2 BGP配置3.3 路由策略配置3.3.1 路由策略的基本概念3.3.2 路由策略示例4：安全配置4.1 访问控制列表（ACL）配置4.2 防火墙配置4.2.1 包过滤防火墙配置4.2.2 应用层网关（ALG）配置 4.2.3 安全策略配置4.3 用户认证配置4.3.1 本地用户认证4.3.2 远程服务器认证5： QoS配置5.1 QoS基础知识5.2 QoS策略配置5.2.1 可配置的QoS策略 5.2.2 QoS策略示例6：网络管理配置6.1 网络管理协议配置6.1.1 SNMP配置6.1.2 Telnet和SSH配置 6.2 系统日志配置6.2.1 日志级别配置6.2.2 日志服务器配置6.3 网络服务配置6.3.1 DHCP配置6.3.2 NAT配置7：附件本文档附带以下附件：- 示例配置文件- 路由器配置示意图8：法律名词及注释- ACL: 访问控制列表，用于限制网络访问- OSPF: 开放最短路径优先，一种动态路由协议- BGP: 边界网关协议，一种自治系统间的路由协议- QoS: 服务质量，用于优化网络流量分配和控制- SNMP: 简单网络管理协议，用于网络设备监控和管理- Telnet: 一种用于远程登录的网络协议- SSH: 安全外壳协议，用于加密远程登录- DHCP: 动态主机配置协议，用于自动分配IP地址- NAT: 网络地址转换，用于将私有IP地址转换为公有IP 地址。

MSR系列路由器IKE DPD功能的配置
四、配置关键点：
1) DPD实验不要采用2台设备直连方式，在这种方式下把网线，链路层Down，不会有路由，所以用于触发IPSec的包不会发送到接口，因而也不能触发任何IPSec模块。

2) DPD并不是自始至终地周期性发送，而是通过空闲定时器机制，在每接收到一个IPSec加密的包后就重置这个包对应IKE SA的空闲定时器，如果空闲定时器计时开始到计时结束过程都没有接收到该SA对应的加密包，那么下一次有IP 包要被这个SA加密发送或接收到加密包之前就需要使用DPD来检测对方是否存活。

3) DPD检测主要靠超时计时器，超时计时器用于判断是否再次发起请求，一般来说连续发出3次请求（请求->超时->请求->超时->请求->超时）都没有收到任何DPD应答就应该删除SA，后续如需继续发送加密数据包就需要重新协商SA，如果此时收到加密数据包表明是原来SA的会通知对端重新协商SA。

MSR系列路由器拨号接口上配置IPSec功能的配置关键词：MSR;PPP;PAP;PPPoE;Client;Server;Dialer;IPSec;IKE
一、组网需求：
PPPoE Client和PPPoE Server通过PPPoE建立拨号关系，双方在拨号接口和虚模板上配置IPSec策略，使两边的私有数据得以加密传送
设备清单：MSR系列路由器2台
二、组网图：
三、配置步骤：
设备和版本：MSR系列、Version 5.20, Release 1509
四、配置关键点：
1) PPPoE Client和PPPoE Server可以参见《MSR系列路由器PPPoE Client功能的配置》，PAP认证可以参见PPP认证典型配置；
2) 当PPPoE Server没有为PPP认证用户指定认证域时，地址池配置在全局视图下;
3) IKE发起方PPPoE Client必须指定接收方PPPoE Server的地址；
4) IKE接收方PPPoE Server可以指定对方所属的地址范围；
5) IPSec的配置除了IKE Peer配置部分可以参考《MSR系列路由器IPSec + IKE 功能的配置》；
6) 发起方和接收方IPSec策略分别绑定在Dialer0和Virtual-Template0下；
7) 双方通过配置静态路由将内网流量引入到Dialer0和Virtual-Template0。

MSR 20/30/50系列路由器的限速方法一配置步骤如下：1、配置需要进行限速的地址段，需要分别配置源地址段和目的地址段：[H3C]qos carl 1 source-ip-address range 192.168.1.1 to 192.168.1.254 per-address[H3C]qos carl 2 destination-ip-address range 192.168.1.1 to 192.168.1.254 per-address2、在LAN口上启动基于IP地址限速功能，以限制上行512Kbps，下行1024Kbps为例：[H3C]intVlan-interface 1[H3C-Vlan-interface1]qos car inbound carl 1 cir 512[H3C-Vlan-interface1]qos car outbound carl 2 cir 1024同时MSR系列网关（不包括MSR5006）支持智能QoS限速的功能，主要工作原理为可以给1个地址段分配1个总带宽，当这个地址段中只有1台PC上网时可以独享配置的总带宽，当两台PC上网时，每台PC可以使用总带宽的二分之一，以此类推，配置步骤如下：1、配置需要进行限速的地址段，限速方式为共享模式：[H3C]qos carl 1 source-ip-address range 192.168.1.1 to 192.168.1.20 per-address shared-bandwidth[H3C]qos carl 2 destination-ip-address range 192.168.1.1 to 192.168.1.20 per-address shared-bandwidth2、在LAN口上启动基于IP地址限速功能，以限制上行总带宽5000Kbps，下行总带宽10000Kbps为例：[H3C]intVlan-interface 1[H3C-Vlan-interface1]qos car inbound carl 1 cir 5000[H3C-Vlan-interface1]qos car outbound carl 2 cir 10000注：基于IP地址限速功能也可以在WAN口上进行配置，这样的话是基于每个WAN口对内网PC进行限速，如果存在多个WAN口的话，每个WAN的限速功能是独立的。