SecPath系列防火墙之多分部通过DVPN接入总部_中国IT运维网www.cnitom.com

如图，采用Loopback地址模拟内网网段，检测实验结果。

1. 武汉和上海两个分部接入北京总部，所有VPN设备均有公网地址可互通。其中，分部公网地址可以是静态也可以是动态获得。
2. 通过DVPN连接总部和两个分部，并实现分部之间DVPN隧道的自动建立。

1. 所有隧道接口可以互相ping通。
2. 所有内网（loopback地址）可以互相ping通。
3. 武汉和上海分部之间的隧道为动态建立。

DVPN目前仅在secpath专用VPN网关上支持。


[Secpath1-beijing]	interface GigabitEthernet0/0
	ip address 202.38.1.1 255.255.255.0
	#
	interface Tunnel0	配置DVPN 隧道接口
	ip address 192.168.1.1 255.255.255.0
	tunnel-protocol udp dvpn	采用使用UDP协议的DVPN隧道技术。 DVPN支持GRE和UDP两种封装，推荐使用UDP封装。
	source GigabitEthernet0/0	指定隧道源端口
	dvpn interface-type server	北京总部需指定为Server工作方式。默认为client方式
	dvpn vpn-id 100	指定DVPN的VPN ID，所有需要互通的分部其VPN ID也必须相同
	dvpn udp-port 8005	指定本端DVPN采用的端口号
	#
	ip route-static 10.1.2.0 255.255.255.0 192.168.1.2 preference 60	指定去往武汉分部私网的路由注意：不要仅指定为出接口（tunnel 口），否则在多点连接时无法找到下一跳。
	ip route-static 10.1.3.0 255.255.255.0 192.168.1.3 preference 60	指定去往上海分部私网的路由
	#

[Secpath2-wuhan]	interface GigabitEthernet0/0
	ip address 202.38.1.2 255.255.255.0
	#
	interface Tunnel0	配置DVPN 隧道接口
	ip address 192.168.1.2 255.255.255.0
	tunnel-protocol udp dvpn	采用使用UDP协议的DVPN隧道技术
	source GigabitEthernet0/0	指定隧道源端口
	dvpn server test-server	本端作为DVPN的客户端，指定要连接的DVPN server
	dvpn vpn-id 100	指定DVPN的VPN ID，所有需要互通的分部其VPN ID也必须相同
	dvpn register-type want	必须配置want参数，要求总部转发其他分部的信息。
	dvpn udp-port 8001	指定本端DVPN采用的端口号
	#
	dvpn class test-server	配置DVPN server的息
	public-ip 202.38.1.1	Server公网地址
	private-ip 192.168.1.1	Server私网地址
	udp-port 8005	Server的DVPN端口号

	ip route-static 10.1.1.0 255.255.255.0 192.168.1.1 preference 60	指定去往北京总部私网的路由
	ip route-static 10.1.3.0 255.255.255.0 192.168.1.3 preference 60	指定去往上海分部私网的路由
	#
[Secpath3-shanghai]		参考武汉节点的配置

1. 常见错误为路由设置问题。没有去往对端私网或公网的路由。
2. 隧道必须由分部发起，因为仅靠配置，总部无法知道分部的公网地址。
3. 以武汉去北京的数据为例，分析报文格式如下：

从其报文格式看，由于采用UDP协议，所有私网数据包装在UDP的数据中，因此DVPN可以天然的穿越NAT。