現(xiàn)在越來(lái)越多的企業(yè)希望利用公共網(wǎng)絡(luò)組建VPN（Virtual Private Network，虛擬私有網(wǎng)絡(luò)），連接地理位置不同的多個(gè)分支機(jī)構(gòu)。然而，企業(yè)分支機(jī)構(gòu)通常采用動(dòng)態(tài)地址接入方式（如PPPoE ADSL）接入公共網(wǎng)絡(luò)，通信一方無(wú)法事先知道對(duì)端的公網(wǎng)地址，這就為組建VPN提出了一個(gè)難題。

H3C的DVPN（Dynamic Virtual Private Network，動(dòng)態(tài)虛擬私有網(wǎng)絡(luò)）是一種動(dòng)態(tài)虛擬專用網(wǎng)技術(shù)，可通過(guò)動(dòng)態(tài)獲取對(duì)端的信息建立VPN連接。本文將介紹DVPN的主要特性。DVPN不但結(jié)合了傳統(tǒng)VPN的優(yōu)點(diǎn)，而且解決了傳統(tǒng)VPN的缺陷。配置簡(jiǎn)單、網(wǎng)絡(luò)規(guī)劃簡(jiǎn)單、功能強(qiáng)大，比傳統(tǒng)的VPN更加符合目前以及未來(lái)的網(wǎng)絡(luò)應(yīng)用。其特點(diǎn)如下：

配置簡(jiǎn)單

一個(gè)DVPN接入設(shè)備可以通過(guò)一個(gè)Tunnel邏輯接口和多個(gè)DVPN接入設(shè)備建立會(huì)話通道，而不用為每一個(gè)通道配置一個(gè)邏輯的接口作為隧道的端點(diǎn)，大大的簡(jiǎn)化了配置的復(fù)雜度，提高了網(wǎng)絡(luò)的可維護(hù)性和易擴(kuò)充性。

自由穿越NAT網(wǎng)關(guān)技術(shù)

DVPN是采用UDP方式的 DVPN。由于使用了UDP報(bào)文進(jìn)行封裝，可以自由穿越NAT網(wǎng)關(guān)。解決內(nèi)網(wǎng)DVPN接入設(shè)備和公網(wǎng)DVPN接入設(shè)備之間的VPN連接，使NAT網(wǎng)關(guān)內(nèi)部的私有網(wǎng)絡(luò)和NAT網(wǎng)關(guān)外部的私有網(wǎng)絡(luò)共同構(gòu)建一個(gè)虛擬私有網(wǎng)絡(luò)。

支持依賴動(dòng)態(tài)IP地址構(gòu)建VPN

當(dāng)在一個(gè)DVPN域內(nèi)部構(gòu)建隧道時(shí)，只需要指定相應(yīng)的Server的IP地址，并不關(guān)心自己當(dāng)前使用的IP地址是多少，更加適應(yīng)如普通撥號(hào)、xDSL撥號(hào)等使用動(dòng)態(tài)IP地址的組網(wǎng)應(yīng)用。

支持自動(dòng)建立隧道

DVPN中的Server維護(hù)著一個(gè)DVPN域中所有接入設(shè)備的信息，DVPN域中的Client可以通過(guò)Server的重定向功能自動(dòng)獲得需要進(jìn)行通信的其它Client的信息，并最終在兩個(gè)Client之間自動(dòng)建立會(huì)話隧道（Session）。作為Client的DVPN接入設(shè)備只需配置自己的相關(guān)信息和Server的信息，不需要知道其他Client的信息，極大地減少了網(wǎng)絡(luò)的維護(hù)管理工作。

注冊(cè)過(guò)程加密

在Client向Server進(jìn)行注冊(cè)的過(guò)程中，需要先完成算法套件以及各種密鑰鑰地協(xié)商。使用協(xié)商出來(lái)的算法對(duì)注冊(cè)過(guò)程中的關(guān)鍵信息（例如用戶名、密碼等）進(jìn)行加密保護(hù)，還可以對(duì)注冊(cè)的報(bào)文進(jìn)行合法性檢測(cè)，保證關(guān)鍵注冊(cè)信息的安全性。

支持身份認(rèn)證

在Client向Server進(jìn)行注冊(cè)的過(guò)程中，Client可以根據(jù)配置需要對(duì)Server的身份使用pre-shared-key（預(yù)共享密鑰）進(jìn)行驗(yàn)證，保證Client接入一個(gè)合法的Server；同時(shí)Server可以根據(jù)需要使用AAA對(duì)需要接入到DVPN域的Client進(jìn)行身份驗(yàn)證，保證只有通過(guò)身份驗(yàn)證的Client才可以接入到DVPN域。

策略統(tǒng)一管理

在DVPN Client在Server端注冊(cè)成功后，Server會(huì)將DVPN域中的策略發(fā)布給該Client。策略主要包括會(huì)話協(xié)商使用的算法套件、會(huì)話的?；顣r(shí)間、會(huì)話的空閑超時(shí)時(shí)間、IPSec使用的加密驗(yàn)證算法、IPSec sa的重協(xié)商時(shí)間等。在整個(gè)DVPN域中，所有的Session會(huì)使用相同的策略。

支持會(huì)話協(xié)商過(guò)程的加密

在Session協(xié)商過(guò)程中，所有的會(huì)話的控制報(bào)文都會(huì)使用Server發(fā)布的算法套件進(jìn)行IPSec加密保護(hù)。即在建立Session的會(huì)話協(xié)商過(guò)程中，根據(jù)Server發(fā)布數(shù)據(jù)的加密驗(yàn)證算法，為Session的數(shù)據(jù)通信協(xié)商IPSec SA。協(xié)商過(guò)程使用DH（Diffie-Hellman）進(jìn)行SA的密鑰協(xié)商。對(duì)于需要通過(guò)該Session進(jìn)行轉(zhuǎn)發(fā)的數(shù)據(jù)，如果需要加密處理，則通過(guò)IPSec使用Session協(xié)商出來(lái)的IPSec SA對(duì)報(bào)文進(jìn)行加密處理后，通過(guò)DVPN進(jìn)行轉(zhuǎn)發(fā)，實(shí)現(xiàn)了轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文的安全性。Session的IPSec SA支持重協(xié)商功能，可以根據(jù)需要指定進(jìn)行IPSec SA重協(xié)商的時(shí)間，進(jìn)一步保證數(shù)據(jù)的安全性。

支持多個(gè)VPN域

DVPN允許用戶在一臺(tái)DVPN設(shè)備上支持多個(gè)VPN域。即一臺(tái)路由器不僅可以屬于VPN A，也可以屬于VPN B；同一設(shè)備可以在VPN A中作為Client設(shè)備，同時(shí)還在VPN B中作為Server設(shè)備使用。在同一臺(tái)DVPN設(shè)備上最多可以支持200個(gè)DVPN域，可以同時(shí)作為200個(gè)DVPN域的Server設(shè)備。大大提高了組網(wǎng)的靈活性，也可以更加充分的使用網(wǎng)絡(luò)設(shè)備資源，減少了用戶的投資。在實(shí)際的組網(wǎng)中為了保證各個(gè)DVPN域之間的隔離，如果在同一臺(tái)DVPN設(shè)備上支持多個(gè)DVPN域，需要通過(guò)私網(wǎng)路由來(lái)實(shí)現(xiàn)不同DVPN域的隔離。

支持動(dòng)態(tài)路由

DVPN可以對(duì)需要通過(guò)Tunnel接口發(fā)送的路由報(bào)文，通過(guò)所有的Session會(huì)話進(jìn)行廣播，從而實(shí)現(xiàn)整個(gè)DVPN域內(nèi)的路由自動(dòng)學(xué)習(xí)。實(shí)際應(yīng)用中，DVPN配合動(dòng)態(tài)路由協(xié)議，可以簡(jiǎn)化對(duì)需要接入到DVPN域的各個(gè)私有網(wǎng)絡(luò)的規(guī)劃，簡(jiǎn)化整個(gè)網(wǎng)絡(luò)的配置，提高網(wǎng)絡(luò)的維護(hù)性和自動(dòng)化。