[webrtc] 交互式连接建立（ICE）

原理
内部主机----->私有地址----->NAT----公网地址----->外部主机
就是替换IP报文头部的地址信息
Network Address Translation，网络地址转换，用来将内网地址和端口号转换成合法的公网地址和端口号，建立一个会话，与公网主机进行通信
NAT外部的主机无法主动跟位于NAT内部的主机通信，NAT内部主机想要通信，必须主动和公网的一个IP通信，路由器负责建立一个映射关系，从而实现数据的转发， 这就是NAT的工作原理。

RFC1918规定了三个保留地址段落：10000-10255255255；1721600-17231255255；19216800-192168255255。这三个范围分别处于A,B,C类的地址段，不向特定的用户分配，被IANA作为私有地址保留

类别
NAT(Network Address Translators)：称为基本的NAT，这种转换的核心是地址而不是端口，基本很少见了
NAPT(Network Address/Port Translators)：其实这种才是我们常说的 NAT

实现方式
① 静态转换(Static NAT)
将特定的公网地址和端口一对一的映射到特定的私网地址和端口,且每个私网地址都是确定的。

② 动态转换(Dynamic Nat)
将内部地址与公网地址一对一的转换，但是动态地址是从合法的地址池中动态的选择未使用的公网地址，是随机的；当用户断开连接后，再次连接，可能外部地址就会切换成了另一个

③ 端口多路复用（Port address Translation,PAT）
这也算是一种动态的，将多个内部地址转换为同一个公网地址，用不同的端口来区别不同的主机,可以分为圆锥型NAT和对称性NAT

NAPT分类
① 全锥NAT(Full Cone NAT)
一个私有地址(addr)映射到公网地址(addr)后,内部地址(addr)可以收到任意外部主机(host)发到所映射公网地址(addr)的数据报

② 限制性锥NAT（Restricted Cone NAT）
一个私有地址(addr)映射到公网地址(addr)后，只有当内部主机(host)先给该(任意)外部主机(host)发送数据包后,内部主机才能通过(所映射的)公网地址接收到
该(任意)外部主机 发送到 公网地址的数据包(不限端口)[外部主机从任意端口发送到公网地址的报文将会被转发到私网地址]

③ 端口限制性锥NAT(PortRestricted Cone NAT)
这种实现方式与限制性锥NAT类似，只是多了端口的限制。一个私有地址(addr)映射到公网地址(addr)后，内部主机必须先向外部主机发过数据包之后，
外部主机才能够通过对应的端口发包到达内部地址(从"哪"进从"哪"出)

④ 对称NAT (Symmetric NAT)
这种实现方式不同于以上3种，就是不属于锥NAT（Cone NAT）。当同一台内部主机使用 相同的 端口与 不同的 外部主机通信时，对称NAT会重新建立一个会话，为这个会话分配不同的端口；
只有收到报文的外部主机从其对应的端口发送回应的报文，才能被转换(从"哪"来回"哪"去)。即使内部主机使用之前用过的地址端口去连接不同外部主机(或端口)时，NAT网关也会建立新的映射关系

优缺点
① 完美地解决了lP地址不足的问题
② NAT不仅实现地址转换，同时还起到防火墙的作用，隐藏内部网络的拓扑结构，有效地避免来自网络外部的攻击,因为对于外部主机来说，内部主机是不可见的,
NAT 之内的 PC 联机到 Internet 上面时，他所显示的 IP 是 NAT 主机的公共 IP
③ 也对P2P这种端到端连接的应用造成了困扰

NAT类型检测
前提条件:有一个公网的Server并且绑定了两个公网IP(IP-1,IP-2)。这个Server做UDP监听(IP-1,Port-1),(IP-2,Port-2)并根据客户端的要求进行应答。

第一步：检测客户端是否有能力进行UDP通信以及客户端是否位于NAT后？
客户端向(IP-1,Port-1)发送UDP报文，要求服务器返回客户端的IP和Port。重复若干次，如果每次都超时，则客户端无法进行UDP通信。
如果服务器返回的客户端的IP和Port于发送UDP的localIP和Port相同，则客户端不在NAT后，否则位于NAT后

第二步：检测客户端NAT是否是Full Cone NAT？
客户端向服务器的(IP-1,Port-1)发送UDP报文，要求服务器用（IP-2,Port-2）响应客户端的请求。重复若干次，若每次都超时，则不是Full Cone NAT；否则是

第三步：检测客户端NAT是否是Symmetric NAT？
客户端向服务器(IP-1,Port-1)发送UDP报文，要求服务器返回客户端的IP和Port。客户端使用其他socket向服务器发送(IP-2,Port-2)，要求服务器返回客户端的IP和Port。
如果两次返回的IP和Port有一对不一致，则为Symmetric NAT,这样的客户端无法进行UDP-P2P通信。否则为限制型NAT

第四步：检测客户端NAT是否是Restricted Cone NAT还是Port Restricted Cone NAT？
客户端向服务器(IP-1,Port-1)发送UDP报文，要求服务器用（IP-1,Port-x）发送UDP数据包响应。重复若干次，若每次都超时，则是端口限制。否则为限制型锥NAT。

NAT穿透
在不同NAT后面的两个客户端A和B，如果知道对方的NAT映射后的外网地址，就有可能直接发送UDP包给对方外网地址进行通讯。
但客户端不能直接获取自身的NAT外网地址，解决的办法就是引入一个服务器S来协助客户端获取自身的外网地址。
NAT的类型有多种，类型两两组合有很多种，不是每种组合都可以被穿越的，我们来分析两个典型的组合。

① 锥型VS锥型
S
A--NAT A(e)====NAT B(e)--B

B发送数据包给S询问自身地址，S把B的外网地址eB返回给B
S把B的外网地址eB发送给A
S把A的外网地址eA发送给B
A发送数据包给eB，B发送数据包给eA，建立P2P通道

② 端口限制锥型 vs 对称型

STUN
Simple Traversal of User Datagram Protocol Through Network Address Translators），即简单的用UDP穿透NAT，是个轻量级的协议，是基于UDP的完整的穿透NAT的解决方案
它允许位于NAT（或多重NAT）后的客户端找出自己的公网地址，
查出自己位于哪种类型的NAT之后以及NAT为某客户端的一个本地端口所绑定的Internet端端口。这些信息被用来在两个同时处于NAT路由器之后的主机之间创建UDP通信。
该协议由RFC 3489定义，RFC 5389 RFC 7350
STUN是一种Client/Server的协议，也是一种Request/Response的协议，默认端口号是3478

// 协议改变
STUN协议在RFC5389中被重新命名为Session Traversal Utilities for NAT，即NAT会话穿透效用。
在这里，NAT会话穿透效用被定位为一个用于其他解决NAT穿透问题协议的协议。它可以用于终端设备检查由NAT分配给终端的IP地址和端口号。
同时，它也被用来检查两个终端之间的连接性，好比是一种维持NAT绑定表项的保活协议

STUN本身不再是一种完整的NAT穿透解决方案，它相当于是一种NAT穿透解决方案中的工具。这是与RFC3489/STUN版本相比最重要的改变。
RFC5389与RFC3489除了名称变化外，最大的区别是支持TCP穿透。

STUN用途
① Interactive Connectivity Establishment（ICE）[MMUSIC-ICE]，交互式连接建立
② Client-initiated connections for SIP [SIP-OUTBOUND]，用于SIP的客户端初始化连接
③ NAT Behavior Discovery [BEHAVE-NAT]，NAT行为发现

国内免费使用的STUN服务器
stun:stun1lgooglecom:19302
stun:stun2lgooglecom:19302
stun:stun3lgooglecom:19302
stun:stun4lgooglecom:19302
stun:2321150121
stun:stun01sipphonecom
stun:stunekiganet
stun:stunfwdnetnet
stun:stunideasipcom
stun:stuniptelorg
stun:stunrixtelecomse
stun:stunschlundde
stun:stunserverorg
stun:stunsoftjoyscom
stun:stunvoiparoundcom
stun:stunvoipbustercom
stun:stunvoipstuntcom
stun:stunvoxgratiaorg
stun:stunxtencom

TURN
RFC5766
Traversal Using Relays around NAT（TURN）：Relay Extensions to Session Traversal Utilities for NAT（STUN），即使用中继穿透NAT：STUN的中继扩展
TURN与STUN的共同点都是通过修改应用层中的私网地址达到NAT穿透的效果，异同点是TURN是通过两方通讯的“中间人”方式实现穿透。
TURN协议就是用来允许主机控制中继的 *** 作并且使用中继与对端交换数据。TURN与其他中继控制协议不同的是它能够允许一个客户端使用一个中继地址与多个对端连接。
TURN协议被设计为ICE的一部分，用于NAT穿越，虽然如此，它也可以在没有ICE的地方单独使用。

ICE
Interactive Connectivity Establishment（互动式连接建立），由IETF的MMUSIC工作组开发出来的，它所提供的是一种框架，使各种NAT穿透技术可以实现统一。
ICE跟STUN和TURN不一样，ICE不是一种协议，而是一个框架（Framework），它整合了STUN和TURN。

如果A想与B通信，那么其过程如下：
1）A收集所有的IP地址，并找出其中可以从STUN服务器和TURN服务器收到流量的地址；
2）A向STUN服务器发送一份地址列表，然后按照排序的地址列表向B发送启动信息，目的是实现节点间的通信；
3）B向启动信息中的每一个地址发送一条STUN请求；
4）A将第一条接收到的STUN请求的回复信息发送给B；
5）B接到STUN回复后，从中找出那些可在A和B之间实现通信的地址；
6）利用列表中的排序列最高的地址进一步的设备间通信。

ICE协议下NAT穿越的实现（STUN&TURN）:

a) 客户端A向STUN Port发送Allocate请求(图中绿色部分)
b) STUN服务器接收到客户端A的Allocate请求，服务器一看是Allocate请求，则根据relay端口分配策略为A分配一个端口。
c) 服务器发送response成功响应。在该response中包含XOR-RELAYED-ADDRESS属性。该属性值就是A的relay端口的异或结果。
d) 客户端接收到response后，就知道了自己的relay地址。该relay地址是个公网地址，可以看作是客户端A在公网上的一个代理，任何想要联系A的客户 端，只要将数据发送到A的relay地址就可以了，具体的转发原理请看下一小节。

任何想要联系客户端A的人，只要知道客户端A的relay地址就可以了。

如上图所示：因为客户端A位于NAT后，所以其他客户端无法和A建立直接的通信。但是客户端A在STUN服务器上申请了一个端口(上图中：A的relay端口)，其他客户端想要和A通信，那么只需要将信息发送到“A的relay端口”，STUN服务器会将从relay端口接收到的信息通过STUN Port发送给A。

A应答其他客户端发来的消息的时候，是通过原路返回的。

思考
1STUN服务器为什么不直接从A的relay端口把数据转发给A呢（如下图所示）？而非要从STUN端口发送？

STUN服务器给客户端A分配的relay地址都具有一定的有效时长，可能是30秒或者1分钟或者几十分钟。客户端如果需要STUN服务器一直为它开启这个端口，就需要定时的向STUN服务器发送请求，该请求用刷新relay端口的剩余时间。
在标准的TURN（RFC 5766）协议中，客户端A向STUN服务器发送Allocate请求，STUN服务器在响应消息中添加了一个“LifeTime”的属性，该属性表示relay的存活时间。 客户端需要在relay的存活时间内周期性的调用REFRESH请求，服务端接收到REFRESH请求后，刷新剩余时间；当REFRESH请求中的lifetime属性为0时，说明是客户端主动要求关闭relay地址。

由于与STUN服务器通信使用的是UDP，所以为了保持一个长连接，需要客户端周期性的向STUN服务器的STUN Port发送心跳包。
周期性心跳包的目的就是，使得NAT设备对客户端A的反射地址(Server Reflexive Address)一直有效。使得从STUN Port发送的数据能通过A的反射地址到达A。此处不理解的可以查阅“NAT 类型的分类以及NAT的作用”。
此处解释了，7223中的第一个问题，因为客户端A没有和relay Port保活，又由于NAT的特性，数据直接通过relay port转发给A时，NAT直接就丢弃了，所以A是收不到的。所以数据必须经过STUN服务器的STUN Port发送。

如上图所示是B主动给A发消息：“Hello”，A回应“Hi”的过程。
序号1、2、3、4、5为B的发送请求(蓝色箭头方向)；
序号6、7、8、9、10为A的回应，原路返回（绿色箭头方向）。
注意：在“Hello”发送的过程中，1、2阶段时，发送的数据为裸的UDP数据。在4、5过程中，是被STUN协议包装过的“Hello”，称之为Data indication。
同样在“Hi”发送的过程中，6、7阶段为被STUN协议包装过的“Hi”，称之为Send indication，9、10是裸的UDP数据。
在4、5阶段，由于数据是从STUN Port转发下来的，为了能够让客户端A知道这个包是哪个客户端发来的，所以，STUN 协议对“Hello”进行了重新的包装，最主要的就是添加了一个XOR-PEER-ADDRESS属性，由裸数据包装成STUN协议的过程，我们称之为添加了STUN头。XOR-PEER-ADDRESS的内容就是客户端B的反射地址（Server Reflexive Address）。
在6、7阶段，A的响应原路返回，为了能够让A的relay port知道最终发往哪个客户端，因此也为“Hi”添加了STUN头，也是添加了XOR-PEER-ADDRESS属性，内容就是客户端B的反射地址（Server Reflexive Address）。这样A的relay port就知道“Hi”的目的地址。
第3阶段是：从A的relay端口收到数据，添加STUN头后，最后从STUN Port 发出的过程。
第8阶段是：从STUN Port 接收到带STUN 头的数据，去掉STUN头，最后从A的relay端口发出的过程。

客户端B主动发送信息给A的交互流程如上图所示，那么客户端A主动发送信息给客户端B的交互流程是怎样的呢，你能画出来吗？
要知道客户端A主动发消息给客户端B，应该将消息发往客户端B的relay port哦。。

在一个典型组网中，一个TURN客户端连接在一个私有网络中，通过一个或多个NAT来连接到公网。在公网中有一个TURN服务器。在因特网的别处有一个或多个对端是这个TURN客户端希望通讯的。这些对端也有可能是在一个或多个NAT的后面。该客户端使用服务器作为一个中继来发送数据包 到这些对端去，并且从这些对端接收数据包。

客户端通过一个IP地址和端口的组合来与服务器建立会话。客户端使用TURN命令在服务器上创建和 *** 作一个ALLOCATION。一旦这个allocation创建好了，客户端能够在数据发往哪个对端的指示下发送应用数据到这个服务器，服务器将中继这些数据到合适的对端。

客户端发送的应用数据包含在TURN消息中，服务器将数据提取出来，并以UDP数据包方式发送给对端。反向上，对端以UDP数据包方式发送应用数据到这个allocation提供的中继传输地址。

因为TURN消息总是包含客户端与哪些对端通讯的指示，客户端能够使用单一的allocation来与多个对端通讯。

turn 术语
TURN client：遵循RFC5766的STUN客户端。
TURN server：遵循RFC5766的STUN服务器。
Peer：TURN客户端希望连接的主机。TURN服务器为TURN客户端和它的对端中继流量，但Peer并不与TURN服务器使用TURN协议进行交互，它接收从TURN服务器发送过来的数据，并向TURN服务器发送数据。
Transport Address：IP地址与端口号的组合。
Host Transport Address：客户端或对端的传输地址。
Server-Reflexive Transport Address：NAT公网侧的传输地址，该地址由NAT分配，相当于一个特定的主机传输地址。
Relayed Transport Address：TURN服务器上的传输地址，用于客户端和对端中继数据。
TURN Server Transport Address：TURN服务器上的传输地址，用于客户端发送STUN消息给服务器。
Peer Transport Address：服务器看到的对端的传输地址，当对端是在NAT后面，则是对端的服务器反射传输地址。
Allocation：通过Allocate请求将中继传输地址提供给客户端，除了中继状态外，还有许可和超时定时器等。
5-tuple：五元组，包括客户端IP地址和端口，服务器IP地址和端口和传输协议（包括UDP、TCP、TLS）的组合。
Channel：通道号与对端传输地址的关联，一旦一个通道号与一个对端的传输地址绑定，客户端和服务器就能够利用带宽效应更大的通道数据消息来交换数据。
Permission：一个对端允许使用它的IP地址和传输协议来发送数据到TURN服务器，服务器只为从对端发来的并且匹配一个已经存在的许可的流量中继到相应的客户端。
Realm：服务器内用于描述服务器或内容的一个字符串，这个realm告诉客户端哪些用户名和密码的组合可用于认证请求。
Nonce：服务器随机选择的一个字符串，包含在报文摘要中。为了防止中继攻击，服务器应该有规律的改变这个nonce。

协议交互过程详细举例
以图2为例进行讲解，每个消息中，多个属性包含在消息中并显示它们的值。为了方便阅读，值以人们可读的格式来显示。

接着，客户端为了准备向对端A发送一些应用数据而创建一个permission。这里通过一个CreatePermission请求来做到。该请求携带XOR-PEER-ADDRESS属性包含有确定的请求的IP地址，这里为对端A的地址；需要注意的是，属性中地址的端口号被设置为0在CreatePermission请求中，并且客户端使用的是对端A的server-reflexive地址而不是它的主机地址（私网地址）；客户端在该请求中携带与之前的Allocate请求中一样的username、realm和nonce值，因此该请求被服务器认可。此时在该请求中，客户端没有携带SOFTWARE属性。
服务器收到该CreatePermission请求，产生一个相应的许可，并以CreatePermission成功响应来回应。该响应中只包含了Transaction-ID和MESSAGE-INTEGRITY属性。

现在客户端使用Send indication来发送应用数据到对端A。对端的server-reflexive传输地址包含在XOR-PEER-ADDRESS属性中，应用数据包含在DATA属性中。客户端已经在应用层上执行了路径MTU发现功能，因此通过DON’T-FRAGMENT属性来告知服务器当通过UDP方式来向对端发送数据时应设置DF位。Indications不能使用长期证书机制来认证，所以该消息中没有MESSAGE-INTEGRITY属性。
服务器收到Send indication后，提取出应用数据封装成UDP格式发给对端A；UDP报文的源传输地址为中继传输地址，并设置DF位。
对端A回应它自己的包含有应用数据的UDP包给服务器。目的地址为服务器的中继传输地址。当服务器收到后，将生成Data indication消息给客户端，携带有XOR-PEER-ADDRESS属性。应用数据包含在DATA属性中。

接着，对端B发送UDP数据包回应给服务器的中继传输地址。服务器收到后，回应给客户端ChannelData消息，包含UDP数据包中的数据。服务器知道是给哪个客户端发送ChannelData消息，这是因为收到的UDP数据包中的目的地址（即服务器的中继传输地址），并且知道使用的是哪个通道号，这是因为通道已经与相应的传输地址绑定了。

Stun Server是开源的coTurn穿透服务器，Signal Server是开源的Apache Active MQ。

Signal Server用的是开源的Apache ActiveMQ，网上有很多花里胡哨的方法，这个是简单能搭建成功的过程， 搭建过程 。

穿透服务器用的是开源的coturn， 搭建过程

SDP交换
根据MQTT协议订阅发布机制：
订阅同一个主题：（实现接收消息）
发布同一个主题：（实现发布消息）

对于每一个客户端来说唯一标示是ClientId，客户端发布消息时设置的主题也是ClientId

1、客户端连接到ActiveMQ服务器

这里的ClientId，就是在ActiveMQ服务端添加的

这里主要是连接到ActiveMQ的流程

首先，呼叫方initCall，主要作用是创建PeerConnection对象，设备，将音视频数据封装成MediaStream添加到然后打开本地音视频PeerConnection中，显示呼叫页面。
然后呼叫方startCall，主要作用是CreateOffer,SendOffer，所以要发布Topic:呼叫方Message;
假如ClientA呼叫ClientB，首先ClientA订阅主题ClientB，然后ClientB订阅主题ClientA。

Client A给Client B发送消息时，发布主题Client_A_ID和Message。
Client B给Client A发送消息时，发布主题Client_B_ID和Message。

zjf001连接到服务器
根据前面文章，看一下基本流程

思科路由器的全部配置命令：
1、Exec commands:
<1-99> 恢复一个会话
bfe 手工应急模式设置
clear 复位功能
clock 管理系统时钟
configure 进入设置模式
connect 打开一个终端
copy 从tftp服务器拷贝设置文件或把设置文件拷贝到tftp服务器上
debug 调试功能
disable 退出优先命令状态
disconnect 断开一个网络连接
enable 进入优先命令状态
erase 擦除快闪内存
exit 退出exce模式
help 交互帮助系统的描述
lat 打开一个本地传输连接
lock 锁定终端
login 以一个用户名登录
logout 退出终端
mbranch 向树形下端分支跟踪多路由广播
mrbranch 向树形上端分支跟踪反向多路由广播
name-connection 给一个存在的网络连接命名
no 关闭调试功能
pad 打开X29 PAD连接
ping 发送回显信息
ppp 开始点到点的连接协议
reload 停机并执行冷启动
resume 恢复一个活动的网络连接
rlogin 打开远程注册连接
rsh 执行一个远端命令
send 发送信息到另外的终端行
setup 运行setup命令
show 显示正在运行系统信息
slip 开始SLIP协议
start-chat 在命令行上执行对话描述
systat 显示终端行的信息
telnet 远程登录
terminal 终端行参数
test 测试子系统内存和端口
tn3270 打开一个tin3270连接
trace 跟踪路由到目的地
undebug 退出调试功能
verify 验证检查闪烁文件的总数
where 显示活动的连接
which-route 执行OSI路由表查找并显示结果
write 把正在运行的设置写入内存、网络、或终端
x3 在PAD上设置X3参数
xremote 进入xremote模式
2、#show
access-expression 显示访问控制表达式
access-lists 显示访问控制表
apollo Apollo 网络信息
appletalk Apple Talk 信息
arap 显示Appletalk 远端通道统计
arp 地址解析协议表
async 访问路由接口的终端行上的信息
bridge 前向网络数据库
buffers 缓冲池统计
clns CLNS网络信息
clock 显示系统时钟
cmns 连接模式网络服务信息
compress 显示压缩状态
configuration 非易失性内存的内容
controllers 端口控制状态
debugging 调试选项状态
decnet DEC网络信息
dialer 拨号参数和统计
dnsix 显示Dnsix/DMPP信息
entry 排队终端入口
extended 扩展端口信息
flash 系统闪烁信息
flh-log 闪烁装载帮助日志缓冲区
frame-relay 帧中继信息
history 显示对话层历史命令
hosts IP域名，查找方式，名字服务，主机表
interfaces 端口状态和设置
ip IP信息
ipx Novell IPX信息
isis IS-IS路由信息
keymap 终端键盘映射
lat DEC LAT信息
line 终端行信息
llc2 IBM LLC2 环路信息
lnm IBM 局网管理
local-ack 本地认知虚环路
memory 内存统计
netbios-cache NetBios命名缓冲存贮器内存
node 显示已知LAT节点
ntp 网络时间协议
processes 活动进程统计
protocols 活动网络路由协议
queue 显示队列内容
queueing 显示队列设置
registry 功能注册信息
rhosts 远程主机文件
rif RIF存贮器入口
route-map 路由器信息
sdlle 显示sdlc-llc2转换信息
services 已知LAT服务
sessions 远程连接信息
smds SMDS信息
source-bridge 源网桥参数和统计
spanning-tree 跨越树形拓朴
stacks 进程堆栈应用
standby 热支持协议信息
stun STUN状态和设置
subsystem 显示子系统
tcp TCP连接状态
terminal 显示终端设置
tn3270 TN3270 设置
translate 协议转换信息
ttycap 终端容易表
users 显示终端行的信息
version 系统硬、软件状态
vines VINES信息
whoami 当前终端行信息
x25 X25信息
xns XNS信息
xermote Xremote统计
3、#config
Memory 从非易失性内存设置
Network 从TFTP网络主机设置
Overwrite-network 从TFTP网络主机设置覆盖非易失性内存
Terminal 从终端设置
4、Configure commads:
Access-list 增加一个访问控制域
Apollo Apollo全局设置命令
appletalk Appletalk 全局设置命令
arap Appletalk远程进出协议
arp 设置一个静态ARP入口
async-bootp 修改系统启动参数
autonomous-system 本地所拥有的特殊自治系统成员
banner 定义注册显示信息
boot 修改系统启动时参数
bridge 透明网桥
buffers 调整系统缓冲池参数
busy-message 定义当连接主机失败时显示信息
chat-script 定义一个调制解调器对话文本
clns 全局CLNS设置子命令
clock 设置时间时钟
config-register 定义设置寄存器
decnet 全局DEC网络设置子命令
default-value 缺省字符位值
dialer-list 创建一个拨号清单入口
dnsix-nat 为审计提供DMDM服务
enable 修改优先命令口令
end 从设置模式退出
exit 从设置模式退出
frame-relay 全局帧中继设置命令
help 交互帮助系统的描述
hostname 设置系统网络名
iterface 选择设置的端口
ip 全局地址设置子命令
ipx Novell/IPX全局设置命令
keymap 定义一个新的键盘映射
lat DEC本地传输协议
line 设置终端行
lnm IBM局网管理
locaddr-priority-list 在LU地址上建立优先队列
logging 修改注册（设备）信息
login-string 定义主机指定的注册字符串
map-class 设置静态表类
map-list 设置静态表清单
menu 定义用户接口菜单
mop 设置DEC MOP服务器
netbios NETBIOS通道控制过滤
no 否定一个命令或改为缺省设置
ntp 设置NTP
priority-list 建立特权列表
prompt 设置系统提示符
queue-list 建立常规队列列表
rcmd 远程命令设置命令
rcp-enable 打开Rep服务
rif 源路由进程
router-map 建立路由表或进入路由表命令模式
router 打开一个路由进程
rsh-enable 打开一个RSH服务
sap-priority-list 在SAP或MAC地址上建立一个优先队列
service 修改网络基本服务
snmp-server 修改SNMP参数
state-machine 定义一个TCP分配状态的机器
stun STUN全局设置命令
tacacs-server 修改TACACS队列参数
terminal-queue 终端队列命令
tftp-server 为网络装载请求提供TFTP服务
tn3270 tn3270设置命令
translate 解释全局设置命令
username 建立一个用户名及其权限
vines VINES全局设置命令
x25 X25 的第三级
x29 X29 命令
xns XNS 全局设置命令
xremote 设置Xremote
5、(config)#ip
Global IP configuration subcommands:
Accounting-list 选择保存IP记帐信息的主机
Accounting-threshold 设置记帐入口的最大数
accounting-transits 设置通过入口的最大数
alias TCP端口的IP地址取别名
as-path BGP自治系统路径过滤
cache-invalidate-delay 延迟IP路由存贮池的无效
classless 跟随无类前向路由规则
default-network 标志网络作为缺省网关候选
default-gateway 指定缺省网（如果没有路由IP）
domain-list 完成无资格主机的域名
domain-lookup 打开IP域名服务系统主机转换
domain-name 定义缺省域名
forward-protocol 控制前向的、物理的、直接的IP广播
host 为IP主机表增加一个入口
host-routing 打开基于主机的路由（代理ARP和再定向）
hp-host 打开HP代理探测服务
mobile-host 移动主机数据库
multicast-routing 打开前向IP
name-server 指定所用名字服务器的地址
ospf-name-lookup 把OSPF路由作为DNS名显示
pim PIM 全局命令
route 建立静态路由
routing 打开IP路由
security 指定系统安全信息
source-route 根据源路由头的选择处理包
subnet-zero 允许子网0子网
tcp 全局TCP参数

---