动态vpn的工作原理与解决方法1、概述在现有的IPVPN组网方案中,一般采用GRE隧道、L2TP、IPSec等方式。但是这些方案都存在一个弊端,就是必须是按照事先的配置进行组网,并且要完成一个全联通的网络时(如1.1.1.11.1)结构和配置就变得复杂。由于要建立一对一的连接,所以当有N个网络设备进行互联时,网络的就必须建立N×(N-1)/2个连接,这样不仅造成了组网和配置的复杂,而且配置时必须知道对端设备的基本信息。图1传统VPN方式下的全联通QuidwaySecPathVPN安全网关(以下简称网关)可以提供动态VPN的解决方案,能有效地解决以上传统VPN的缺陷。动态VPN采用了Client和Server的方式,任意一个Client设备只需要知道Server的信息就能够和其他Client设备进行互通,并且这种互通是自动的,不需要任何人为的干预。通过这种方案进行VPN的组网不尽降低了维护成本,而且使得网络应用更加灵活,加上动态VPN提供的认证和加密特性完全保证了用户的网络安全。2、动态VPN的基本原理和关键技术2.1、动态VPN的基本原理动态VPN采用了Client/Server的方式,一台网关作为Server,其他的网关作为Client。每个Client都需要到Server进行注册,注册成功之后Client就可以互相通讯了。Server在一个VPN当中的主要任务就是获得Client的注册信息,当有一个Client需要访问另一个Client时通知该Client所要到达目的地的真正地址。动态VPN采用了隧道技术,即在每对互相通讯的网关上都自动打通一条隧道,所有的数据都在隧道中传输,当该隧道没有数据流量的时候又会自动切断该隧道以节约资源或成本。目前动态VPN支持两种隧道方式,即GRE隧道和UDP隧道。GRE隧道方式属于标准协议的隧道;而UDP隧道方式是华为3Com公司的专利方式,这种方式能够很好的解决穿透NAT/防火墙的问题,这是GRE方式所不及的。2.2.1穿透NAT/防火墙技术动态VPN采用UDP方式建立隧道,使用这种技术建立隧道的最大好处就是能够穿透NAT/防火墙。传统的GRE方式建立隧道,由于GRETunnel是基于三层IP建立隧道,所以不支持PAT端口方式的一对多的地址转换,就需要大量的公网IP地址。动态VPN采用UDP方式建立隧道就完全避免了这种问题的发生,当网关使用UDP连接建立隧道,可以支持地址和端口的应用,当隧道通过NAT/防火墙的时候就会转换为对应的公网IP地址和相应的端口号,从而完成数据的穿越NAT网关。2.2.2、动态IP地址构建VPN技术传统的GRE方式建立隧道就必须知道对端设备的IP地址,一旦有一台设备IP地址更换,那其他相关设备就全部都需要更改配置;同时由于传统的GRE隧道建立必须知道对方的IP地址,这样就使得动态IP地址的设备就无法正常建链。现在的宽带不断的推广应用,如果中小企业使用xDSL或者以太网接入方式的话要比以前专线方式接入节省大量的线路租用费用,但是一般的xDSL接入或者以太网接入使用的是动态的IP地址,这样就出现了一个问题,如何使用动态的IP地址来建立企业自己的VPN网络?显然传统的VPN构建方式已经满足不了现在的应用了,为此华为3Com公司的QuidwaySecPathVPN安全网关,推出适合动态IP地址构建企业VPN的动态VPN技术和解决方案。动态VPN在同一个VPN内部构建隧道不需要知道其他Client网关的任何信息,只需要配置自己的信息并指定相应的Server就完成了。所以使用动态VPN时用户只需配置一次,不管其他Client设备怎么更改也都能够进行互相通讯,同时用户也不用关心自己当前使用的IP地址是多少,更加适应现在动态IP地址的使用方式。为了能够让用户使用更加方便、为了让更多的用户能够享受华为3Com动态VPN的优点、同时也为了用户降低组网成本,华为3Com公司还推出基于PC的客户端软件QuidwaySecPoint,这样用户能够在外出时只需通过PC进行ADSL或者普通拨号方式就能够和公司的其他用户进行连接。2.3、动态IP的使用动态IP地址(DynamicIP)指的是在需要的时候才进行IP地址分配的方式。动态IP地址和静态IP地址是对应的。。所谓动态就是指当你每一次上网时,电信会随机分配一个IP地址,静态指的是固定分配一个IP地址,每次都用这一个地址。由于IP地址资源很宝贵,因此大部分用户上网都是使用动态IP地址的,比如通过Modem、ISDN、ADSL、有线宽频、小...