如图。

武汉和上海两个分部通过NAT接入北京总部，只有北京总部有公网地址。
通过DVPN连接总部和两个分部。
要求私网网段之间的数据流量采用IPSEC隧道加密传输。
总部和分部之间要求启用OSPF，动态学习对端私网的路由。

1. 所有隧道接口可以互相ping通。
2. 所有内网（loopback地址）可以互相ping通。
3. 武汉和上海分部之间由于都经过了NAT，不能做IPSEC协商，所以相互之间不直接建立隧道，而是通过总部转发。
4. 不需要ISP的特别支持。
5. 私网路由动态建立。

DVPN目前仅在secpath产品上支持。