华为3Com：Quidway SecPath　VPN安全网关2

　　2 动态VPN的基本原理和关键技术

　　2.1 动态VPN的基本原理

　　动态VPN采用了Client / Server的方式，一台网关作为Server，其他的网关作为Client。每个Client都需要到Server进行注册，注册成功之后Client就可以互相通讯了。Server在一个VPN当中的主要任务就是获得Client的注册信息，当有一个Client需要访问另一个Client时通知该Client所要到达目的地的真正地址。

　　动态VPN采用了隧道技术，即在每对互相通讯的网关上都自动打通一条隧道，所有的数据都在隧道中传输，当该隧道没有数据流量的时候又会自动切断该隧道以节约资源或成本。目前动态VPN支持两种隧道方式，即GRE隧道和UDP隧道。GRE隧道方式属于标准协议的隧道;而UDP隧道方式是华为3Com公司的专利方式，这种方式能够很好的解决穿透NAT/防火墙的问题，这是GRE方式所不及的。

　　2.2 动态VPN的关键技术

　　2.2.1 穿透NAT/防火墙技术

　　动态VPN采用UDP方式建立隧道，使用这种技术建立隧道的最大好处就是能够穿透NAT/防火墙。传统的GRE方式建立隧道，由于GRE Tunnel是基于三层IP建立隧道，所以不支持PAT端口方式的一对多的地址转换，就需要大量的公网IP地址。动态VPN采用UDP方式建立隧道就完全避免了这种问题的发生，当网关使用UDP连接建立隧道，可以支持地址和端口的应用，当隧道通过NAT/防火墙的时候就会转换为对应的公网IP地址和相应的端口号，从而完成数据的穿越NAT网关。

　　2.2.2 动态IP地址构建VPN技术

　　传统的GRE方式建立隧道就必须知道对端设备的IP地址，一旦有一台设备IP地址更换，那其他相关设备就全部都需要更改配置;同时由于传统的GRE隧道建立必须知道对方的IP地址，这样就使得动态IP地址的设备就无法正常建链。