DVPN典型组网结构详解

一、DVPN简介

越来越多的企业希望利用公共网络组建VPN（Virtual Private Network，虚拟私有网络），连接地理位置不同的多个分支机构。然而，企业分支机构通常采用动态地址接入公共网络，通信一方无法事先知道对端的公网地址，这就为组建VPN提出了一个难题。

DVPN（Dynamic Virtual Private Network，动态虚拟私有网络）通过VAM（VPN Address Management，VPN地址管理）协议收集、维护和分发动态变化的公网地址等信息，解决了无法事先获得通信对端公网地址的问题。DVPN可以在企业网各分支机构使用动态地址接入公网的情况下，在各分支机构间建立VPN。

DVPN把连接到公网上的各节点组成的网络看作VPN网络，公网作为VPN网络的链路层，DVPN隧道作为企业内部子网之间的虚通道，相当于网络层。企业各分支设备动态接入到公网中，其公网地址对于通信的另一端来说是未知的，而对于建立端到端的安全隧道，公网地址是必须的条件之一。DVPN通过VAM获取通信对端的公网地址。

VAM协议是DVPN方案的主要协议，负责收集、维护、分发公网地址等信息，帮助用户快捷、方便的建立起内部的安全隧道。企业内部子网之间转发的数据报文通过路由协议得到其私网下一跳，通过VAM协议查询到私网下一跳对应的公网地址，并利用该公网地址做为隧道的目的地址进行封装，最后交给已建立起的安全隧道发送到目的端用户。

二、DVPN的基本概念

1. DVPN节点

DVPN节点为动态VPN隧道两端的设备，可以是网络设备或主机。DVPN节点参与隧道的建立，需要实现VAM的客户端功能。

2. VAM Server

VAM Server是接受DVPN节点向其注册信息的服务器，负责管理、维护各DVPN节点的信息。目前VAM Server一般运行在较高性能的路由器设备上。

3. VAM Client

VAM Client向VAM Server注册自己的私网地址、公网地址、VAM标识等信息，向VAM Server查询其它VAM Client的信息。DVPN节点上需要实现VAM Client功能。文中涉及到VAM Client的地方，如果不是特别说明，是指对Hub和Spoke的统称。

4. Hub

Hub是一种VAM Client，一个VPN网络的中心设备，它是路由信息交换的中心。在Hub-Spoke组网中，它也是数据转发的中心。

5. Spoke

Spoke是一种VAM Client，通常是企业分支机构的网关设备，该节点不会转发收到的其它DVPN节点的数据。

6. AAA服务器

AAA（Authentication, Authorization and Accounting，认证、授权和计费）服务器，用于对用户进行认证和计费管理。

三、DVPN的基本原理

DVPN采用Client/Server模式，工作在TCP/IP协议栈的应用层，使用UDP作为传输协议。按照工作方式的不同，可将一个VPN域中的设备划分为一个Server和多个Client，Server的公网地址为静态地址，Client的公网地址既可以静态配置也可以动态获取，而Client的私网地址则需要按照规划静态分配。

在同一个VPN域内，要求所有节点的私网地址在同一个网段内。每一个Client向Server注册自己的公网地址和私网地址的对应关系。Client向Server注册成功之后，其他Client可以从Server查询到该Client的公网地址，以便在Client之间建立DVPN隧道。

Server与Client间通过VAM协议进行消息传递，Client之间通过DVPN隧道协议进行隧道的建立、维护和删除。任何节点退出或加入VPN都能自动通知Server。

四、DVPN具有两种典型的组网结构

1、Full-Mesh（全互联）网络   

Spoke之间可以建立隧道直接通信；Hub主要作为路由信息交换的中心。如图 1所示，作为Spoke的Client节点在向VAM Server注册后获得该VPN域中Hub的信息，并与Hub建立永久的隧道连接；任意的两个Spoke之间也可以直接建立隧道，但该隧道是动态的，当在一段规定时间（Spoke-Spoke隧道空闲超时时间）内没有数据报文交互时，则删除该隧道。

2、Hub-Spoke网络

Spoke之间不能建立隧道直接通信，只能通过Hub转发数据；Hub即作为路由信息交换的中心，又作为数据转发的中心。如图 2所示，Spoke与Hub建立永久的隧道连接，Spoke之间的数据通过Hub转发。

以上就是DVPN典型组网结构详解的介绍，Vecloud除了DVPN外，还提供MPLS企业组网、SD-WAN网络专线、IPLC国际专线、IEPL海外专线等云专线业务。