CCNP_ROUTE

EIGRP
重要的EIGRP验证命令
配置EIGRP认证（只支持MD5）
Key chain name 创建一个密钥链（邻居路由密钥链可不同）
Key number 创建一个或多哥密钥号（邻居密钥号必须相同）
Key string value 指定身份验证的值
Ip authentication mode eigrp ASN md5 在接口上为特定的EIGRP ASN启用MD5认证
Ip authentication key-chain eigrp ASN name-of-chain
验证MD5认证配置：show key-chain ; debug eigrp packet ; show clock
建立基本的EIGRP拓扑表：
1．使用network命令启用了EIGRP的路由接口连接的子网前缀。

2．在EIGRP命令neighbor中指定的接口连接的子网的前缀。

3．通过其他路由协议重分发到EIGRP中的路由或其他路由信息源获取的前缀。

将这些信息加入到本地EIGRP topology数据库中后，路由器边可将前缀信息及每个前缀相关连的其他拓扑信息通告给每个正常运行的EIGRP邻居。

EIGRP路由过滤：
1．使用ACL进行过滤
Access-list 1 deny 192.168.1.0 0.0.0.255
Access-list 1 permit any
Router eigrp 1
Distribute-list 1 out(in)
2．使用ip前缀列表进行过滤
Ip prefix-list policy seq 5 deny 192.168.1.0 /24 ge 25 le 30
Ip prefix-list policy seq 10 permit 0.0.0.0./0 le 32
Router eigrp 1
Distribute-list prefix policy out(in)
3．使用路由映射表过滤：
Ip prefix-list policy seq 5 permit 192.168.1.0/24 ge 25 le 30 Ip access-list 1 permit 192.168.2.0 0.0.0.255
Route-map filter deny 8
Match ip address prefix-list policy
Route-map filter deny 9
Match Ip address 1
Route-map filter permit 10
Router eigrp 1
Distribute-list route-map filter out
EIGRP路由汇总：
Ip summary-address eigrp asn prefix- subnet-mask
默认路由：
方法1. ip router 0.0.0.0 0.0.0.0 s0/0
方法2. ip default-network network-number
OSPF
LSDB中的信息如下：
1．路由ID。

2．每个路由器接口，IP地址，掩码和子网。

3．每台路由器通过其每个接口可达的路由器列表。

查看OSPF验证：
1．Show ip ospf interface s0/0
2．Show ip ospf neighbor 不会列出没通过认证的邻居。

3．Debug ip ospf adj 列出身份验证密钥不匹配。

OSPF默认开销的计算：参考带宽/接口带宽。

修改OSPF开销：
1．Router ospf 3 ,auto cost reference-bandwidth 1000 默认为100MB
2．Bandwidth 1000 接口子命令
3．Ip ospf cost 17 接口子命令
Show ip ospf interface brief, show ip ospf interface s0/0 来验证带宽的设置
选择最佳路由时，区域内路由总是优先区域间路由。

如果ABR获悉了非骨干区域的一类LSA。

再计算最佳路由时候将忽略这种LSA
邻居使用DD消息来获得邻居知道的LSA，然后只请求邻居知道但自己不知道的LSA。

通过只请求不知道或已有新版本的LSA，可以防止循环通告LSA
OSPF路由过滤：
1．在ABR上过滤三类LSA
2．在ASBR上过滤5类LSA
过滤三类LSA：
Area 0 filter-list …[prefix].. in (out)
其中如果配置为in，IOS将禁止将3类LSA泛洪到配置的区域
如果配置为OUT，IOS将把来自配置区域的3类LSA过滤掉。

过滤要加入到路由表中的OSPF路由：
Router ospf 1
Distribute-list ……[prefix]….in[out].
OSPF路由汇总：
在ABR上：area 0 rang ip-address mask [advertise │not advertise │] [cost cost].
在ASBR上：summary-address {{ip-address mask}│{prefix mask}} [not advertise].
默认路由和末梢区域：
使用OSPF子命令default-information originate 创建域级路由前提是ASBR路由表中有一条静态路由或从ASBR中获取的默认路由。

OSPF子命令default-information originate 完整用法：
Default-information originate [alawys] [metric metric-value] [metric-type type] [route-map map-name];
对该命令总结如下：
1．所有参数都是默认时，该命令使用5类LSA将一条度量值为1的默认路由（2类外路路由）注入OSPF。

但条件是路由器中有一条默认路由。

2．如果指定参数always，则即便没有默认路由，也将通告默认路由。

3．关键字metric用于指定默认路由的度量值（默认为1）。

末节区域：
1．末节区域，完全末节区域
2．NSSA，完全NSSA
对于所有类型的末节区域，ABR总是将5类LSA过滤掉。

对于绝对末节区域和绝对NSSA，ABR还将3类LSA过滤掉。

对于末节区域和NSSA，ABR不过滤3类LSA
末节和NSSA区别在于NSSA应许通告外部重分发的路由。

验证配置命令：
Show ip ospf :显示路由器是否为末节………….区域
Show ip ospf database database-summary : 显示数据库中LSA的类型和数量的统计信息Show ip ospf database summary 0.0.0.0 : 列出前缀为0.0.0.0的所有汇总3类LSA。

OSPF虚链路：
Area x(中转区域) virtual-like 对点RID
配置OSPF虚链路认证：
Area x virtual-like remote-id authentication null ; 无验证
Area x virtual-like remote-id authentication authentication-key key-value ; 明文。

Area x virtual-like remote-id authentication message-digest message-digest-key key-number md5 key value; MD5
与frame-relay上的OSPF的问题：
1．通过多播OSPF消息来发现邻居，还是静态定义邻居。

2．选举DR/BRD吗？
3．采用是全互连还是部分互连设计。

Router ospf 1
Network ….
Router-id …
Neighbor remote-ip ；静态定义邻居
Interface s0/0 mutipoint
Ip ospf primary 0-255
Frame-relay interface-dlci 102 ;
Frame-relay map ip 10.10.10.10 102 broadcast; 静态映射
Ip ospf network point-to-multipoint nonbroadcast ;定义OSPF网络类型。

路径控制
基本LGP重分发：
1．重分发到eigrp路由：router eigrp 1
Redistribute ospf1 metric 1000(KB) 10(10微妙)255 1 1500
2．重分发到OSPF路由：router ospf 1
Redistribute eigrp 1 subnets
OSPF外部路由分为两类：
E1：计算外部开销+内部开销
E2：只计算外部开销
同时存在E1和E2时，始终选择E1。

当存在多条E2前往子网的等价开销时，通过以下用来打破平局：
1．确定5类LSA指出的通告的ASBR show ip ospf database external ……….
2．根据区域内LSDB确定前往任意ASBR的开销最低的路由。

3．使用第2步确定的开销最低的路由的出站接口和下一跳。

路由的度量值不变，还是5类LSA指出的度量值。

Show 命令：
Show ip ospf database : 显示一类LSA
Show ip ospf database network: 显示2类LSA
Show ip ospf database summary: 显示3类LSA
Show ip ospf database asbr-summary : 4类
Show ip ospf database external: 5类
Show ip ospf database nssa-external:7类
Show ip ospf border-routers 显示当前路由知道的ABR和ASBR。

且指出ABR或ASBR所属区域和RID，以及当前前往ASBR和ABR的最佳路由。

1．使用route-map重分发路由（redistribute ospf 1 10000 10 255 1 1500 route-map route-map-name）
命令redistribute 提供以下两种路由过滤机制：
参数match {internal | external 1 |external 2 | nssa-external}.
选项route-map map-name
2.使用命令distribute-list 进行路由重分发过滤
Distribute-list 1 out ospf 2 : 让EIGRP将ACL 1应用于从进程OSPF2重分发而来的路由。

Distribute-list prefix AA out eigrp 1: 让OSPF将IP前缀列表AA应用于从EIGRP 1重分发而来的路由。

避免域间循环有三种方法：
1.使用较高的度量值来避免域间循环.
2.使用AD避免域间循环
设置每条路由的管理距离：distance distance-value ip-advertiser-router WC-mask [ACL-number] 例：(Config)#router ospf 2
(Config-router)#Distance 170 1.1.1.1 0.0.0.0 match-172-20
(Config-router)#Ip access-list standard match-172-20
(Config-std-nacl)Permit host 172.20.0.0
3.使用分发列表根据路由标记进行过滤来避免域间循环
路由标记是一个没有单位的32位整数。

例：
R1: Router ospf 2
Router-id 3.3.3.3
Redistribute eigrp 1 subnets route-map set-tag-11（EIGRP重分发到OSPF的路由被标记为11）
Route-map set-tag-11
Set tag 11
R2: route-map stop-tag-11 deny 10
Match tag 11（过滤掉从OSPF重分发到EIGRP标记为11的路由）
Route-map stop-tag-11 permit 20
Show ip access-list :查看ACL
Show ip prefix-list detail [name] :查看显示记数器，每当匹配一次，相应的记数器+1。

Show ip route-map:显示路由映射表分组的统计信息。

基于策略的路由（PBR）
使用PBR命令的match选项：
1．Match ip address
2．Match length min max (指定分组的长度范围，单位为字节)
使用PBR命令的set指定路由
Set ip next-hop ip-address……….:下一条地址必须位于直连子网内，转发到列表中第一个关联接口处于UP状态的地址。

Set ip default next-hoe ip-address………….:与前一命令相同，但首先根据路由表转发分组。

Set interface interface-type interface-number……: 使用列表中第一个UP状态的接口转发分组Set default interface interface-type number…...首先根据路由表转发分组。

给路由映射表配置匹配分组和出站接口的或下一跳地址后，余下的唯一一步是使用命令ip policy route-map name 对进入接口的分组启用PBR
Show ip policy : 显示启用俩PBR的接口及使用的路由映射表。

将PBR应用于本地生成的分组：(config)#ip local policy route-map name.
IP服务等级协议（IP SLA）
配置和验证IP SLA：
1．Ip sla sla-ops-number : 创建一个IP SLA操作并给它指定操作号。

2．定义操作的类型和参数: icmp-echo destination-ipaddress source-ip
3．(可选)使用SLA子命令frequency seconds定义操作发送分组的频率。

4．使用全局命令：ip sla schedule sla-ops-number start-time now life forever 指定在什么时候运行操作。

配置完IP SLA后，路由器将收集操作结果，并将统计信息存储到IOS RTTMON MIB中。

Show ip sla configuration: 验证操作的配置。

Show ip sla statistics: 显示有关操作的统计信息。

配置跟踪IP SLA操作的静态路由：(config)# track 2 ip sla 11 [state | reachability]
(config-track)#delay up 90 down 90 (配置延迟，以防翻滚)
（config）#ip route 10.10.10.0 255.255.255.0 s0/0 track 2
(Config)#ip Sla 11
(Config-ip-sla)#icmp-echo 10.10.10.1 source 10.10.20.1
(Config-ip-sla)# Frequency 60
(Config)# ip sla schedule 11 start-time now life forever Show track：显示跟踪对象的配置以及众多其他的细节。

配置跟踪IP SLA操作的PBR：(config)#route-map sla
Set ip next-hop verify-availability 10.10.10.1 1 track 2 如果跟踪对象处于UP状态，PBR将象配置的那样运行。

如果处于DOWN，PBR将采用基于目标地址的路由进程来转发分组。

外部BGP（EBGP）
配置BGP邻居：
1．Router bgp 11
2．Neighbor ip-address remotes-as as-number
可选：
3．Neighbor ip-address update-source interface-id (配置环回接口做更新源)
4．Neighbor ip-address ebgp-multihop hops (配置EBGP多跳，默认为1，使用环回口需要) 5．Neighbor ip-address password AAA (配置EBGP MD5身份认证)
建立BGP邻居关系需要满足的条件：
1．当前路由器的ASN必须与邻居路由器在neighbor remote-as asn 相同。

2．两台路由的BGP路由ID不同。

3．必须通过认证（如果有配置）。

4．路由有一条TCP连接（179），且该TCP连接使用的远程路由IP地址必须与本地路由器在BGP命令neighbor remote-as 中指定的IP相同。

BGP选择RID的方式：
1．配置的RIP：路由器子命令，bgp router-id配置。

2．最大的环回接口地址：BGP进程初始化时处于UP/UP的loopback口中选择最大的地址。

3．最大的其他接口地址：BGP进程初始化时处于UP/UP的非环回口中选择最大的地址。

验证BGP邻居状态：
Show ip bgp summary :与show ip eigrp neighbor 相似，每个邻居一行。

（如获悉的前缀数和PA占用的内存）
Show ip bgp neighbor [neighbor-id] :显示大量关于邻居的信息。

Show tcp brief : 验证TCP套接字（socket）细节。

[ no ] | Neighbor neighbor-ip shutdown: 管理性禁用| 启用邻居关系。

Show ip bgp: 查看BGP表。

查看EBGP路由的验证命令：
Show ip bgp 0.0.0.0 : 显示可能的默认路由。

Show ip bgp prefix [ subnet-mask ] : 显示前往特定前缀的可能路由。

Show ip bgp neighbor ip-address received-routes : 显示从特定邻居那获悉的路由（应用入站过滤前）
Show ip bgp neighbor ip-address routes : 显示从特定邻居那里获悉且没有被入站过滤器过滤掉的路由。

Show ip bgp neighbor ip-address advertised-routes : 显示通告给特定邻居的路由（应用出站过滤前）。

Show ip bgp summary : 显示获悉的前缀数。

（按邻居划分）
Neighbor route-map in : 过滤入站前缀。

将路由注入BGP以通告给ISP：
1．使用命令network 注入路由。

如：network 10.10.10.0 mask 255.255.240.0 no auto-summary.
Network 命令在当前路由器的IP路由表中查找与network 参数匹配的路由。

如果只有前往10.10.10.0/20 的子网（如10.10.12.0/24）的路由。

命令network 10.10.10.0 mask 255.255.240.0将不会把这个前缀加入到BGP表。

因此，要么在连接到internet的路由上配置一个对应整个前缀的静态路由并将其出站接口设置为NULL0，要么使用IGP汇总一条对应整个前缀的路由。

Auto-summary 对bgp 命令network 的影响。

再配置了auto-summary 且没有配置参数mask的情况下，满足下列条件之一，路由器就会把一条前往该分类网络的路由加入到BGP表中。

1．如果IP路由表中包含前往该分类网络的路由。

2．如果IP路由表包含前往该分类网络中任何子网的路由。

2．使用重分发注入路由。

Redistribute ospf 1 route-map AAA.
为实现只通告一条前往整个共有前缀的路由，还需采取下一步骤。

1．使用IGP汇总创建一条前往整个前缀的路由。

2．在连接internet路由器上配置一条前往整个前缀的丢弃路由。

3．配置BGP路由汇总。

（aggregate-address 10.10.10.0 255.255.255.240 summary-only）关键字summary-only 让IOS不要通告前往子网的路由。

Show ip bgp 左边的编码s指出这点。

IBGP，AS号再neighbor neighbor-id remote-as 中指定的相同。

对于IGBP不需要配置ebgp-multihop.。

IBGP通告给对等体的下一跳是neighbor 的地址。

确保下一条可达：
1．创建IP路由，让每台路由器都能前往位于其他AS的下一跳地址。

2．使用命令neighbor next-hop-self改变IBGP的默认行为。

避免转发到internet时形成环路：
1．使用IGBP互连。

2．IGP重分发到BGP及BGP同步。

[no]Synchronization 禁用/ 启用同步.
例：neighbor 1.1.1.1 distribute-list 101 out
Neighbor 1.1.1.1 prefix-list AAA out
Neighbor 1.1.1.1 route-map AAA out
BGP路径控制
影响企业的出站路由：
1．修改权重.
2．修改本地优先级.
3．修改AS-patch.
例：
(config)#:ip prefix-list match-1 permit 10.0.0.0/8
(config)#route-map set-AS-path permit 10
(config-route-map)# Match ip address prefix-list match-1
(config-route-map) #Set as-path prepend 50 50
(config)# router bgp 11
(config-router)neighbor 20.0.0.0 route-map set-weight in {out} （AS-path可影响入站跟出站）
Show ip bgp rib-failure : 显示对于RTP没有加入到IP路由表的每条最佳BGP路由。

Show ip bgp longer-prefixes : 显示优先级,AS-PA TH等等。

但不显示权重值。

Show ip bgp route : 显示权重，优先级等等。

IPV6编址
简化IPV6地址的方法：
1．省略任何编组的前导0。

2．将一个或多个相邻编组中所有相连的十六进制0用：：表示，但每个地址只能包含一个：：
书写IPV6前缀的要点：
1．再前缀长度指定的部分，前缀的值与IP地址相同。

2．超出前缀长度的部分为二进制零。

3．可像简化IPV6地址那样简化前缀。

4．如果前缀长度不是16的整倍数，应些出前缀和主机部分的整个编组。

IPV6前缀及其含义：
1．注册机构前缀：由INAN分配给RIP 如：2340：：/12
2．ISP前缀：由RIP分给ISP 如：2340：1111/32
3．站点前缀或全局路由前缀：由ISP或注册机构分配给客户/站点如：2340：1111：AAAA/48 4．子网前缀：由企业工程师分配给链路如：2430：1111：AAAA：0001/64
IPV6的地址类型：
1．单播（链路本地地址，全局单播地址，本地唯一地址）
2．多播
3．任播（支持功能相同多台服务器使用相同的任播IP地址，实现最近服务器的概念）
IPV6分配全局单播地址的方法
无状态自动配置使用如下功能
1．使用NDP，具体来说是路由器请求（solicitation）消息和路由器通告消息来获取前缀，前缀长度和默认路由。

2．使用EUI-64格式通过计算机推导出IPV6地址的接口ID（主机）部分。

3．使用武装态DHCP获悉DNS IPV6地址。

注：EUI-64方法对6字节（48位）MAC地址进行扩展，生成一个64位的值。

为此IPV6将原始MAC地址分成包含各3字节的两部分，并在这两部分之间插入十六进制FFFE，然后反转IPV6地址中第一个字节中的第7位。

如：MAC为0034：5678：9ABC 插入后的地址为0234：56FF：FE78：9ABC
链路本地单播地址：根据定义，路由器将发送给连路本地IPV6地址的分组范围指定为链路本地。

可用做发现路由器的RS和RA消息的源地址，用于邻居发现，作为IP路由的下一跳IPV6地址等。

IPV6单播地址类型
常见的多播地址
IPV6配置命令参考
Ipv6 unicast-routing : 全局命令，让路由器转发IPV6分组。

Show ipv6 route : 查看路由表。

Show ipv6 interface number :显示本地地址和全局单播及请求节点多拨地址等。

Show ipv6 neighbor : 显示邻居MAC。

Debug ipv6 nd : 显示与NDP相关的消息。

IPV6协议及重分发
配置RIPng：（UDP端口520）
1．使用全局命令IPV6 unicast-routing 启用IPV6路由。

2．使用全局命令IPV6 router rip name 启用RIPng。

指定的名称必须在当前路由器中唯一，但不必与邻接路由器相同。

3．在接口上启用IPV6，通常采用以下两种方法之一：使用接口命令ipv6 address address/prefix-length[eui-62]给接口配置一个IPV6全局单播地址，或配置命令ipv6 enable 它启用IPV6，并导致路由器自动计算其链路本地地址。

4．使用接口子命令ipv6 rip name enable在接口上启用RIP。

必须与全局命令ipv6 router rip name指定的名称相同。

配置用于IPV6的EIGRP：（协议88）
1．Ipv6 unicast-routing : 全局命令启用IPV6路由。

2．Ipv6 router eigrp {1-65535} : 全局启用EIGRP。

3．Ipv6 address address/prefix-length[配置一个IPV6单播地址] 或ipv6 enable [启用IPV6并导致路由器自动计算其链路本地地址]再接口上启用IPV6。

4．Ipv6 eigrp asn ：再接口上启用EIRGP。

5．再EIGRP配置模式下使用no shutdown 启用IPV6的EIGRP。

6．如果没有自动选择eigrp路由ID，使用命令eigrp router-id rid 配置一个EIGRP路由ID。

配置OSPFv3：（协议89）
1．Ipv6 unicast-routing : 全局命令启用IPV6路由
2．Ipv6 router ospf process-id : 全局命令创建一个OSPFv3路由进程。

3．Ipv6 address address/prefix-length 或ipv6 enable 再接口上启用IPV6
4．使用接口子命令ipv6 ospf process-id area number ：再接口上启用OSPFv3
5．再OSPFv3配置模式下使用命令router-id rid 配置一个OSPF路由器ID
6．可使用OSPFv3配置模式下命令shutdown /no shutdown启用/禁用路由进程。

默认启用。

Show cdp entry name ：找出其链路本地地址出现在IPV6路由表中的路由器，列出IPV4和VPV6地址，包括邻居的链路本地地址。

Redistribute ospf 5 include-connected metric 3 : 重分发到RIP。

IPV6默认不重分发直连，而且不考虑IPV6路由表中的本地路由，只重分发IGP获悉的路由。

静态路由：(如果将链路本地地址用做下一跳，必须配置出站接口和链路本地地址)
Ipv6 route prefix/length {outgoing-interface [next-hop-address] | next-hop-address} [admin-distance] [tag tag-value].
如：ipv6 route 2000:://64 F0/0 对方链路本地地址
IPV4和IPV6共存
为在支持IPV6的同时让IPV4继续运行，可以使用以下三类主要工具：
1．同时使用IPV4和IPV6协议栈（双栈）。

2．隧道技术。

3．NA T协议转换（NAT-PT）。

[让只支持IPV4的主机能够与只支持IPV6的主机通信]
与点到点隧道相比，点到多点隧道新增的最重要的机制是，如何制定众多远程隧道端点中的那些端点接收特定的分组。

手工配置的隧道配置及验证：
1．确定计划用于隧道的IPV4地址。

并确保每台路由器都能在这些地址之间转发分组。

可使用环回接口。

2．使用命令interface tunnel number创建一个隧道接口。

3．使用接口子命令定义隧道的源IPV4地址tunnel source loopback1
4．使用接口子命令隧道目标IPV4地址tunnel destination 10.10.10.10 该地址必须与另一台使用tunnel source 指定的地址相同。

5．使用接口子命令tunnel mode ipv6ip 将隧道指定为RFC4213定义的手工配置的隧道6．在创建的路由上启用IPV6，并像配置连接到专用线的串行接口那样配置隧道接口。

如下：interface tunnel 0
No ip address
Ipv6 eigrp 1
Tunnel source loopback1
Tunnel destination 10.10.10.10
Tunnel mode ipv6ip
Interface f0/0
Ip address 20.20.20.20 255.255.255.0
Ipv6 address 2111::1//64
Ipv6 eigrp 1
(config)# ipv6 router eigrp 1
Eigrp router-id 1.1.1.1
No shutdown
Show ipv6 interface brief: 显示隧道链路本地地址。

Show ipv6 interface tunnel0 : 显示所有IPV6地址。

包括链路本地地址，静态配置的全局单播地址。

还显示多播地址
Traceroute ipv6 2222::3 ：验证隧道能否传送IPV6数据流
GRE隧道与手工配置的隧道配置只有一点不同，那就是隧道模式。

默认为GRE。

动态多点IPV6隧道：
一．6to4自动隧道配置：
1．使用全局命令interface loopback number配置规划环回接口，并给它分配规划的地址（确保IPV4 IGP通告前往该地址的路由）
2．使用命令interface tunnel number 创建一个隧道接口。

3．使用接口子命令tunnel source 。

指定隧道的源IPV4地址。

4．不要使用接口子命令tunnel destination 指定隧道的目标地址。

5．使用接口子命令tunnel mode ipv6ip 6to4将隧道指定为6to4自动隧道。

6．再隧道接口上启用IPV6，通常使用接口子命令ipv6 address 完成的。

7．执行通常IPV6配置。

包括根据规划表给LAN接口分配给IPV6地址以及使用命令IPV6 unicast-routing 启用IPV6路由。

8．使用全局命令ipv6 route 2002::/16 tunnel number 配置一条前往2002::16的静态路由，并将其出站接口指定为隧道接口。

二．IPV6 ISATAP
ISATAP定义的IPV6地址格式，可以使用手工配置，也可以让路由使用经过修改的EUI-64规则计算。

规则如下。

1．给隧道接口配置一个64位的前缀，并使用参数eui-64让路由器生成地址的后半部分（接口ID）。

2．路由器将第5~6个编组设置为0000：5EFE。

3．路由器找出隧道的源IPV4地址，将其转换为十六进制并用做地址的第7~8个编组。

分支机构internet连接的路由
1．配置DSL（数字用户线）
Hostname BBB
Ppp authentication chap callin
Ppp chap password reallysecret 与chap 相关的配置
Interface dialer2 创建拨号接口
Encapsulation ppp
Ip address negotiated 应用PPP向ISP询问应使用的IP地址
Dialer pool 1
Interface ATM 0/0 创建A TM物理接口配置
No ip-address
Pvc 0/42
Encapsulation aal5mux ppp dialer
Dialer pool-member1 将拨号接口与ATM接口关联起来
Ip route 0.0.0.0 0.0.0.0 dialer 2
2．配置NAT：ip nat inside source list local-lan interface dialer2 overload 该配置是使用单个公有地址（既dialer2 动态获悉的IP地址）进行NA T重载
3．配置DHCP服务器：ip dhcp pool fred
Network 10.99.1.0 255.255.255.0
Default-router 10.99.1.9
Ip dhcp exclude-address 10.99.1.9
Dns-server 10.2.2.2 128.107.2.1
1．配置VPN：crypto isakmp policy 1
Encryption 3des
Authentication pre-share
Group 2
Crypto isakmp key aaaa address 128.107.9.9
Crypto ipsec transform-set myset esp-3des esp-sha-hmac 安全细节
隧道细节:
Crypto map mymap 10 ipsec-isakmp
Set transform-set myset
Set peer 128.107.9.9
Match address 101
Access-list 101 permit ip 10.99.1.0 0.0.255 10.0.0.0 0.255.255.255
Access-list 101 permit gre any any
3．配置GRE隧道：interface tunnel 9
Ip address 10.99.2.1 255.255.255.255
Tunnel source loopback 1
Tunnel destination 10.12.1.9
Ip route 10.12.1.9 255.255.255.255 dualer2`。