华为3Com：Quidway SecPath　VPN安全网关4

华为3Com：Quidway SecPath　VPN安全网关4

2.2.3自动建立隧道技术

　　使用传统GRE方式构建VPN，如果有N台网关需要建立一个全联通的网络的话就需要在每台网关上创建N-1个Tunnel接口，使每个Tunnel接口对应一台对端设备，并且需要配置N-1个对端地址，整个网络一共需要配置N×(N-1)个Tunnel接口，这个工作量对于一个中型网络来说简直就是不可想象的工作量。不光如此，每当更改一台设备的IP地址时，其他N-1个设备都需要重新更改配置，这样给维护带来了很大的成本，并且也容易导致人为的错误。

　　当人为操作会给整个通讯网络带来一定的风险的时候我们就需要一种自动方式来维护网络的正常运行。动态VPN在两个网关之间建立隧道完全是自动建立的，每台作为Client的网关只需配置自己相关的东西，如本地的IP地址、UDP方式下使用的端口号、所属的VPN和Server等;不需要知道其他Client端的任何信息就可以互相通讯。在这种方式下会比传统的GRE隧道方式减少大部分的工作量，如果是N台网关构建VPN网络的话，只需配置N台设备自己的信息就可以了，要比传统的方式减少N×(N-2)的工作量，并且很大程度上减少了人为错误的发生。

　　2.2.4 认证加密技术

　　VPN的主要特点就是在公共网络构建一个属于企业自己的专用网络，使用了VPN技术之后企业内部的设备都在一个VPN网络内部，不管各个分支机构所处何地都像是公司内部网络，可以直接进行访问和数据传输。但是由于是在公网上传输数据，那么安全特性就显得尤为重要了，没有一定的安全机制，企业内部的数据在公网上就会被其他人所截取，企业内部的机器也将受到网络上其他设备的攻击，这样给企业将带来灾难性后果。

　　动态VPN使用了认证、加密等技术，最大程度地保证用户数据的安全，用户网络的安全。首先，动态VPN提供了注册认证机制，Client端设备要想加入到某个特定的动态VPN内，必须首先经过Server的认证，只有通过Server认证的Client设备才能够接入企业的VPN网络，这样保证了非授权用户非法登录，同时也阻止了人为的破坏。其次，Client和Client之间建立隧道时也必须经过认证，就是说必须两个Client都经过同一个Server的认证才允许建立隧道，这样就可以防止公网上非法用户的入侵。另外，在使用动态VPN的接口上可以启用IPSec进行加密，保证用户在公网上传输的数据的安全可靠。有了上述这些措施之后，动态VPN网络内部就是一个相对安全的区域，企业可以放心的在VPN内传输自己的数据了。