現(xiàn)在越來越多的企業(yè)希望利用公共網(wǎng)絡(luò)組建VPN（Virtual Private Network，虛擬私有網(wǎng)絡(luò)），連接地理位置不同的多個分支機構(gòu)。然而，企業(yè)分支機構(gòu)通常采用動態(tài)地址接入方式（如PPPoE ADSL）接入公共網(wǎng)絡(luò)，通信一方無法事先知道對端的公網(wǎng)地址，這就為組建VPN提出了一個難題。

H3C的DVPN（Dynamic Virtual Private Network，動態(tài)虛擬私有網(wǎng)絡(luò)）是一種動態(tài)虛擬專用網(wǎng)技術(shù)，可通過動態(tài)獲取對端的信息建立VPN連接。本文將介紹DVPN的主要特性。DVPN不但結(jié)合了傳統(tǒng)VPN的優(yōu)點，而且解決了傳統(tǒng)VPN的缺陷。配置簡單、網(wǎng)絡(luò)規(guī)劃簡單、功能強大，比傳統(tǒng)的VPN更加符合目前以及未來的網(wǎng)絡(luò)應(yīng)用。其特點如下：

配置簡單

一個DVPN接入設(shè)備可以通過一個Tunnel邏輯接口和多個DVPN接入設(shè)備建立會話通道，而不用為每一個通道配置一個邏輯的接口作為隧道的端點，大大的簡化了配置的復(fù)雜度，提高了網(wǎng)絡(luò)的可維護性和易擴充性。

自由穿越NAT網(wǎng)關(guān)技術(shù)

DVPN是采用UDP方式的 DVPN。由于使用了UDP報文進行封裝，可以自由穿越NAT網(wǎng)關(guān)。解決內(nèi)網(wǎng)DVPN接入設(shè)備和公網(wǎng)DVPN接入設(shè)備之間的VPN連接，使NAT網(wǎng)關(guān)內(nèi)部的私有網(wǎng)絡(luò)和NAT網(wǎng)關(guān)外部的私有網(wǎng)絡(luò)共同構(gòu)建一個虛擬私有網(wǎng)絡(luò)。

支持依賴動態(tài)IP地址構(gòu)建VPN

當(dāng)在一個DVPN域內(nèi)部構(gòu)建隧道時，只需要指定相應(yīng)的Server的IP地址，并不關(guān)心自己當(dāng)前使用的IP地址是多少，更加適應(yīng)如普通撥號、xDSL撥號等使用動態(tài)IP地址的組網(wǎng)應(yīng)用。

支持自動建立隧道

DVPN中的Server維護著一個DVPN域中所有接入設(shè)備的信息，DVPN域中的Client可以通過Server的重定向功能自動獲得需要進行通信的其它Client的信息，并最終在兩個Client之間自動建立會話隧道（Session）。作為Client的DVPN接入設(shè)備只需配置自己的相關(guān)信息和Server的信息，不需要知道其他Client的信息，極大地減少了網(wǎng)絡(luò)的維護管理工作。

注冊過程加密

在Client向Server進行注冊的過程中，需要先完成算法套件以及各種密鑰鑰地協(xié)商。使用協(xié)商出來的算法對注冊過程中的關(guān)鍵信息（例如用戶名、密碼等）進行加密保護，還可以對注冊的報文進行合法性檢測，保證關(guān)鍵注冊信息的安全性。

支持身份認(rèn)證

在Client向Server進行注冊的過程中，Client可以根據(jù)配置需要對Server的身份使用pre-shared-key（預(yù)共享密鑰）進行驗證，保證Client接入一個合法的Server；同時Server可以根據(jù)需要使用AAA對需要接入到DVPN域的Client進行身份驗證，保證只有通過身份驗證的Client才可以接入到DVPN域。

策略統(tǒng)一管理

在DVPN Client在Server端注冊成功后，Server會將DVPN域中的策略發(fā)布給該Client。策略主要包括會話協(xié)商使用的算法套件、會話的?；顣r間、會話的空閑超時時間、IPSec使用的加密驗證算法、IPSec sa的重協(xié)商時間等。在整個DVPN域中，所有的Session會使用相同的策略。

支持會話協(xié)商過程的加密

在Session協(xié)商過程中，所有的會話的控制報文都會使用Server發(fā)布的算法套件進行IPSec加密保護。即在建立Session的會話協(xié)商過程中，根據(jù)Server發(fā)布數(shù)據(jù)的加密驗證算法，為Session的數(shù)據(jù)通信協(xié)商IPSec SA。協(xié)商過程使用DH（Diffie-Hellman）進行SA的密鑰協(xié)商。對于需要通過該Session進行轉(zhuǎn)發(fā)的數(shù)據(jù)，如果需要加密處理，則通過IPSec使用Session協(xié)商出來的IPSec SA對報文進行加密處理后，通過DVPN進行轉(zhuǎn)發(fā)，實現(xiàn)了轉(zhuǎn)發(fā)數(shù)據(jù)報文的安全性。Session的IPSec SA支持重協(xié)商功能，可以根據(jù)需要指定進行IPSec SA重協(xié)商的時間，進一步保證數(shù)據(jù)的安全性。

支持多個VPN域

DVPN允許用戶在一臺DVPN設(shè)備上支持多個VPN域。即一臺路由器不僅可以屬于VPN A，也可以屬于VPN B；同一設(shè)備可以在VPN A中作為Client設(shè)備，同時還在VPN B中作為Server設(shè)備使用。在同一臺DVPN設(shè)備上最多可以支持200個DVPN域，可以同時作為200個DVPN域的Server設(shè)備。大大提高了組網(wǎng)的靈活性，也可以更加充分的使用網(wǎng)絡(luò)設(shè)備資源，減少了用戶的投資。在實際的組網(wǎng)中為了保證各個DVPN域之間的隔離，如果在同一臺DVPN設(shè)備上支持多個DVPN域，需要通過私網(wǎng)路由來實現(xiàn)不同DVPN域的隔離。

支持動態(tài)路由

DVPN可以對需要通過Tunnel接口發(fā)送的路由報文，通過所有的Session會話進行廣播，從而實現(xiàn)整個DVPN域內(nèi)的路由自動學(xué)習(xí)。實際應(yīng)用中，DVPN配合動態(tài)路由協(xié)議，可以簡化對需要接入到DVPN域的各個私有網(wǎng)絡(luò)的規(guī)劃，簡化整個網(wǎng)絡(luò)的配置，提高網(wǎng)絡(luò)的維護性和自動化。