思科路由器命令的功能，帮忙看下下边命令实现的功能

CISCO路由器配置手册任务命令设置用户名和密码username username password password

设置用户的IP地址池ip local pool {default | pool-name low-ip-address [high-ip-address]}

指定地址池的工作方式ip address-pool [dhcp-proxy-client | local]

基本接口设置命令：任务命令设置封装形式为PPPencapsulation ppp

启动异步口的路由功能async default routing

设置异步口的PPP工作方式async mode {dedicated | interactive}

设置用户的IP地址peer default ip address {ip-address | dhcp | pool [pool-name]}

设置IP地址与Ethernet0相同ip unnumbered ethernet0line

拨号线设置：任务命令设置modem的工作方式modem {inout|dialin}

自动配置modem类型modem autoconfig discovery

设置拨号线的通讯速率speed speed

设置通讯线路的流控方式flowcontrol {none | software [lock] [in | out] | hardware [in | out]}连通后自动执行命令autocommand command

访问服务器设置如下：Router:hostname Routerenable secret 5 $1$EFqU$tYLJLrynNUKzE4bx6fmH//!interface Ethernet0ip address 10111420 2552552550!interface Async1ip unnumbered Ethernet0encapsulation pppkeepalive 10async mode interactivepeer default ip address pool Cisco2511-Group-142!ip local pool Cisco2511-Group-142 10111421 10111436!line con 0exec-timeout 0 0password cisco!line 1 16modem InOutmodem autoconfigure discoveryflowcontrol hardware!line aux 0transport input allline vty 0 4password cisco!end  相关调试命令：show interfaceshow line12       Access Server通过Tacacs服务器实现安全认证：使用一台WINDOWS NT服务器作为Tacacs服务器，地址为1011142,运行Cisco2511随机带的Easy ACS 10软件实现用户认证功能相关设置：任务命令激活AAA访问控制aaa new-model用户登录时默认起用Tacacs+做AAA认证aaa authentication login default tacacs+列表名为no_tacacs使用ENABLE口令做认证aaa authentication login no_tacacs enable

Router1#configure terminal
Enter configuration commands, one per line End with CNTL/Z
Router1(config)#interface Ethernet 0
Router1(config-if)#ip helper-address 1722511 /指定dhcp服务器的地址，表示通过Ethernet0向该服务器发送DHCP请求包/
Router1(config-if)#ip helper-address 17225107 /作用同上/
Router1(config-if)#end
Router1#
关于以上配置的讨论
1 在客户端设备和DHCP服务器不在同一广播域内的时候，中间设备即路由器（路由功能的设备）
必须要能够转发这种广播包，具体到cisco的设备上，则启用ip helper-address命令，来实现这种中继。
2 DHCP服务器要给终端设备分配地址则需要掌握两个重要的信息，
第一，该客户端设备所在网络的子网掩码，DHCP服务器依据子网掩码的信息来判断，服务器该分配哪个IP地址，
以使得该ip地址在那个子网内，
第二，DHCP服务器必须知道客户端的MAC地址，以维护DHCP服务器的ip 地址和MAC之间的映射关系，由此保证同样一台客户机，
每次启动后能获得和前一次相同的ip地址。
3 配置了ip helper-address命令之后的路由器在中继DHCP请求时的工作过程如下:
a,DHCP客户端发送请求，由于没有ip地址，所以自己的源IP地址为0000，而且也不知道目的DHCP服务器的地址，所以为广播255255255255。
该数据报中当然还包含其他信息，比如二层的信息，源mac地址，和目的mac地址FFFFFFFFFFFF。
b，当路由器接收到该数据报的时候，它就用自己的接口地址（接收到数据报的接口）来取代源地址0000，
并且用ip help-address 命令中指定的地址（上例中为1722511以及17225107）来取代目的地址255255255255
c 当DHCP服务器接收到路有器转发过来的DHCP请求包时，它有了足够的信息，（由源IP地址中的地址，确定客户机所在的子网掩码，
由此分配相应地址池中的空闲地址，并且知道了客户机的MAC地址，把它写入自己的数据库，建立IP地址和MAC的映射关系）然后DHCP服务器做出响应，
并且由路由器把数据报转发会客户端。（整个过程应该在客户机和服务器之间还有一次会话，由于这不是路由器DHCP配置的讨论重点，这里不谈）
4 例子中配置了两个DHCP服务器，我们必须分别用ip helper-address 命令指明，路由器会转发DHCP请求包到所有的DHCP服务器上。
很多企业的做法都是至少有两台DHCP服务器，有提高冗余和可靠性的作用。此时，如果客户端受到几个来自不同DHCP服务器的应答，
则只选择最先接收到的应答数据报。
5 必须要注意的是；ip helper-address 命令不仅仅是只转发DHCP请求包，事实上，在默认情况下，他还转发其他的UDP报（比如DNS请求）
到ip helper-address命令所指定的服务器上，所以这种额外的数据流量可能会增加DHCP服务器链路的负担以及服务器CPU负担，可能会引起问题，
关于解决办法，将在后面讨论。
所以cisco 的ios 提供了限制ip helpe-address 命令所带来的负面影响的方法。
解决实例；CISCO路由器允许用no ip forward-protocol udp 命令来禁止对所无意义的UDP`数据报的转发。
配置路由器为DHCP服务器
使之给dhcp客户端动态分配ip地址
问题的提出:把路由器配置为dhcp的服务器端，以对路由器下所连接的客户工作站进行ip地址的分配。
（这可真是一个了不起的改进！路由器从此摇身一变，看上去更加多姿多彩了）
解决实例；下面的配置命令，可以配置路由器为DHCP服务器，用以给DHCP客户端动态分配ip地址。
Router1#configure terminalEnter configuration commands, one per line End with CNTL/Z
Router1(config)#service dhcp //开启 DHCP 服务
Router1(config)#ip dhcp pool 1722510/24 //定义DHCP地址池
Router1(dhcp-config)#network 1722510 2552552550 // 用network 命令来定义网络地址的范围
Router1(dhcp-config)#default-router 1722511 //定义要分配的网关地址
Router1(dhcp-config)#exit
Router1(config)#ip dhcp excluded-address 1722511 17225150 //该范围内的ip地址不能分配给客户端
Router1(config)#ip dhcp excluded-address 172251200 172251255 //该范围内的ip地址不能分配给客户端
Router1(config)#end
Router1#
关于配置的相关讨论
1 CISCO路由器的dhcp服务器功能也是在ios 120(1)T以后才出现的，这一功能的出现，
使我们没有必要在专门网络的中心（或者说企业本部）另外配置一台DHCP server，从而降低了网络构建成本。
2 在路由器上直接配置dhcp服务器相比于传统的在专门服务器上实现dhcp有其独到的优点。比如
A 由于传统的构建方法是，在企业的总部设立DHCP服务器，各分支机构通过路由器去获取ip地址，所以当dhcp服务器出现问题的时候，
整个企业的网络都会受到影响，而如果把dhcp 服务器功能设在各个分支机构的路由器上实现，则某个分支机构的路由器DHCP出现问题，
就只能影响该分支机构的网络本身，而其他分支机构则不受任何影响。从而可见，实现了问题的局部化。
B 在各分支机构的路由器上实现DHCP服务器功能后，大量的DHCP UDP请求报文将不会通过wan link 转发到 中心机构上去，
由此，相比于传统的方式，它有减少广域网负荷的优点。
C 同样的道理，在各分支机构的路由器上实现DHCP服务器功能后，如果某条广域网连路坏了，本地的局域网依然能够正常运行
D 基于路由器的DHCP 具有很高的可管理性，它通过ios的命令界面是比较容易配置的。
3 上边的配置例子，我们用ip dhcp excluded-address 命令来指定不能用来被分配的ip地址,
这种配置往往是很需要的（甚至说是必需的，几乎所有的；路有其DHCP 服务器配置中都会有），
因为往往有一些地址我们会用来作为其他的用途，比如，我们至少应该保留路有器本身的地址不被分配给dhcp客户端，
还有一些比如说网络服务器，打印机等等，我们也往往会给他指定静态的地址，所以这一部分地址。我们不允许路有其分配出去，
上例中的1722511 到17225150 之间，172251200 到172251255的地址就做了保留。
4 当路由器给客户端动态分配地址后，就会绑定（binding）分配的ip地址以及客户端设备的mac地址信息，保存在路由器的配置中，
以便下一次相同的mac地址请求dhcp服务也能够获得同样的ip地址。下面给出的例子是，用show ip dhcp binding 命令显示的 ip binding的信息。
其中Lease expiration 表示该ip 地址，客户端还能占有的时间，（当然客户端可以在期满之前再次发送dhcp请求报，
事实上dhcp的规范也是有这样的规定的，即在租期还有一半时间的时候就会发出dhcp请求，如果租期更新失败，那么再过省下时间的一半的时候，
他还会发出dhcp的请求，依此类推）。

首先SSL 不属于应用层。它属于表示层和会话层，在OSI模型中位于应用和传输层中间。

SSL ***就是用到了系统已有的SSL协议来构建安全的通道，但并不等于SSL ***只支持WEB应用。

目前，新的SSL ***已经可以通过 应用重定向支持的IPSEC 的所有应用了。简单说就是将原应用再次进行封装，将原数据经过SSL构建的加密隧道发往服务端，然后进行解析还原后转发。

如下图，实际上正在ping 谷歌的DNS服务器并得到了回应。然而数据封装却看不到ICMP协议，可见ICMP必然是被重新封装了进入了***隧道，data部分必然包含了ICMP的数据包。等到服务端解密后即可看到，然后进行转发。

当然要实现上述功能，需要有插件和客户端。

无论你是安装思科的anyconnect 客户端或者是登陆网页输入账号密码，你都会自动形成你的虚拟***网卡，同时自动装好了其对应的驱动和插件。

至于你说的SSL over IPsec ***，很少有人这么做，不过也是可行的。一般是指站点间的IPsec ***，由于此***只提供了点到点的加密安全，可能有部分需求希望实现端到端的安全。可以在已有的IPsec ***（比如公司已经搭建）隧道中，再构建一个SSL 隧道。不过效率会较低，其实也就是一个二次封装而已。

长沙宏宇提供专业的咨询与回复，希望对你有帮助

---