AR_G3系列路由器_DSVPN原理.pptxVIP

DSVPN原理前 言DSVPN（Dynamic Smart VPN Virtual Private Network），即动态智能VPN，是指在Hub-Spoke网络模型中，分支与总部、分支与分支间动态建立VPN的一种技术。Page 目 标学习完此课程，您将会：了解DSVPN的工作原理了解DSVPN的应用场景了解DSVPN的配置Page 内容介绍第1章 DSVPN介绍 第2章 DSVPN应用第3章 DSVPN工作原理第4章 DSVPN典型场景配置Page 企业分支Internet互联现状北京总部总部需对每一个VPN进行配置，越来越复杂，不易维护通过Internet自建VPN时，希望价格低廉，需要对业务加密，需要支持语音视频等业务及动态路由分支间通信时，需要经总部中转Internet……随着业务在全国范围开展，分支数量快速增长，VPN扩展配置复杂上海广州南京西安沈阳当某分支只有动态公网IP接入资源时，无法使用Internet VPN技术如GRE over IPSec传统GRE / GRE over IPSec VPN技术的问题占用总部出口带宽增加总部带宽费用北京总部北京总部复杂Internet……Internet性能带宽分支间通过总部通信分支间直接建立隧道……隧道数量众多，配置复杂，不易规模应用分支不能使用动态公网IP分支不能使用动态公网IP广州广州沈阳沈阳上海上海南京南京地址地址占用总部设备处理能力（IPSec解密，IPSec加密）时延增加分支间业务时延，影响时延敏感的应用如VoIP、视频会议等华为Dynamic Smart VPN（DSVPN）现在有…客户希望华为提供静态隧道静态IP易于使用动态GRE/GRE over IPSecDSVPN静态IP不易扩展智能易扩展配置复杂简单DSVPN的优势动态隧道静态公网IP动态隧道北京总部北京总部业务流量动态公网IPInternetInternet沈阳沈阳上海上海南京南京分支节点支持动态公网IP地址流量触发建立动态隧道智能动态DSVPN的优势无需修改DSVPN配置无需修改DSVPN配置一个mGRE隧道接口北京总部北京总部新增配置InternetInternet新增分支节点增加新企业分支节点时，无需更改总部的DSVPN配置沈阳沈阳上海上海南京南京设备可以只配置一个隧道接口支持大量企业分支时化繁为简易扩展简单GRE/ GRE over IPSec VPN需要配置多个内容介绍第1章 DSVPN介绍第2章 DSVPN应用 第3章 DSVPN工作原理第4章 DSVPN典型场景配置Page 应用场景一：分支动态接入总部客户需求分支动态接入总部分支间不能通信分支可使用动态公网IP地址可支持动态路由协议每个设备只需配置一个隧道接口，配置简单新增分支节点，对总部DSVPN配置无影响，易于扩展新的分支DSVPN动态隧道业务流量静态公网IP分支Spoke分支Spoke总部网络HubInternet应用场景二：分支间经总部通信客户需求分支动态接入总部分支间只能经过总部通信分支可使用动态公网IP地址可支持动态路由协议每个设备只需配置一个隧道接口，配置简单新增分支节点，对总部DSVPN配置无影响，易于扩展新的分支DSVPN动态隧道业务流量静态公网IP分支Spoke分支Spoke总部网络HubInternet应用场景三：分支动态互联客户需求分支动态接入总部分支间按需建立动态隧道互联分支可使用动态公网IP地址可支持动态路由协议每个设备只需配置一个隧道接口，配置简单新增分支节点，对总部DSVPN配置无影响，易于扩展新的分支DSVPN动态隧道DSVPN动态隧道业务流量静态公网IP分支Spoke分支Spoke总部网络HubInternet应用场景四：分支NAT穿越总部感知分支NAT设备存在（分支使用静态NAT）源分支和目的分支根据NAT后的公网IP地址建立隧道DSVPN动态隧道DSVPN动态隧道分支Spoke分支Spoke总部网络HubInternetNATNAT前分支IPDSVPN不支持两个分支位于同一NAT设备之后且NAT转换后IP地址相同的NAT穿越。 DSVPN不支持两个分支位于不同NAT设备之后且启用PAT（Port Address Translation）功能的NAT穿越。 NAT设备必须配置为NAT Server或Static NAT，DSVPN不支持配置为NAT inbound、NAT outbound的NAT穿越。应用场景五：层次化DSVPN客户需求使用DSVPN技术实现总部分支互联因分支数量众多，对总部设备压力较大，为实现DSVPN的高可靠，易扩展，需要按区域层次化部署DSVPNDSVPN动态隧道区域中心区域中心分支Spoke分支Spoke分支Spoke分支Spoke总部网络HubInternet内容介绍