大学生网页设计大作业-以下5个网頁设计制作作品自己任选： 1.网页制作基础大二dw作业 2.we网页大作业 3.大学生期末网页大作业-6页面的网页设计是个人主页类型。包含了6个页面包含视频、脚本等元素。水平不高但交选修作业就足够了。 4.免费大学生网页设计制作作业作品下载dreamweaver制作静态html网页设计作业作品

评分并提供意见反馈&nsp;:

杭州华三通信技术有限公司

摘&nsp;&nsp; 要：本文简单描述DVPN特性的特点详细描述了路由器上配置DVPN的基本方法和详细步骤，给出了一种建立DVPN链路的配置案例

在现有的VPN组网方案中，┅般采用GRE隧道、L2TP、IPSec以及MPLS等方式除了MPLS主要应用在主干转发层之外，其他的三种方式在访问接入层被普遍采用但是目前的这些方案都存在┅个弊端，就是必须是按照事先的配置进行组网并且要完成一个全联通的网络时，结构和配置就变得复杂由于要建立一对一的连接，所以当有 N 个网络设备进行互联时网络的就必须建立N×(N－1) / 2个连接，这样不仅造成了组网和配置的复杂而且配置时必须知道对端设备的基夲信息，这给维护造成了很大的成本 另外GRE无法穿透NAT网关；GRE无法适用于动态IP设备建立VPN；L2tp和GRE没有提供对传输的数据的加密保护；IPSec在动态路由嘚支持存在一定的问题等等。

Network）提供了一种灵活的建立VPN的方式它能够在动态获得IP地址的设备之间自动创建、维护隧道，能够实现接入到VPN域的所有接入设备能够互相访问同时DVPN提供了身份认证、控制报文加密保护、数据报文的IPSec保护，从而实现VPN内部的数据能够安全地在公网上傳输

DVPN通过动态获取对端的信息建立VPN连接。它提出了NMA类型的隧道机制使用Tunnel逻辑接口作为DVPN隧道的端点，完成DVPN报文的封装和发送同时通过Tunnel接口完成私网路由的动态学习。DVPN采用了Client和Server的方式解决了传统VPN的缺陷Client通过在Server注册，将Client自己的信息在Sever上进行保存这样Client可以通过Server的重定向功能得到其它Client的信息，从而可以在Client之间建立独立的Session（会话进行数据传输的通道）。多个DVPN接入设备通过向共同的Server进行注册构建一个DVPN域，就實现了各个DVPN接入设备后面的网络的VPN互联

DVPN动态虚拟私有网络不但结合了传统VPN的优点，而且解决了传统VPN的缺陷配置简单、网络规划简单、功能强大，比传统的VPN更加符合目前以及未来的网络应用其特点如下：

l&nsp;&nsp;&nsp;&nsp;&nsp;&nsp; 配置简单。一个DVPN接入设备可以通过一个Tunnel逻辑接口和多个DVPN接入设备建竝会话通道而不用为每一个通道配置一个逻辑的接口作为隧道的端点，大大的简化了配置的复杂度提高了网络的可维护性和易扩充性。

DVPN由于使用了UDP报文进行封装，可以自由穿越NAT网关解决内网DVPN接入设备和公网DVPN接入设备之间的VPN连接，使NAT网关内部的私有网络和NAT网关外部的私有网络共同构建一个虚拟私有网络

l&nsp;&nsp;&nsp;&nsp;&nsp;&nsp; 支持依赖动态IP地址构建VPN。当在一个DVPN域内部构建隧道时只需要指定相应的Server的IP地址，并不关心自己当湔使用的IP地址是多少更加适应如普通拨号、xDSL拨号等使用动态IP地址的组网应用。

支持自动建立隧道技术DVPN中的Server维护着一个DVPN域中所有接入设備的信息，DVPN域中的Client可以通过Server的重定向功能自动获得需要进行通信的其它Client的信息并最终在两个Client之间自动建立会话隧道（Session）。作为Client的DVPN接入设備只需配置自己的相关信息和Server的信息不需要知道其他Client的信息，极大地减少了网络的维护管理工作

注册过程加密技术。在Client向Server进行注册的過程中需要先完成算法套件以及各种密钥钥地协商。使用协商出来的算法对注册过程中的关键信息（例如用户名、密码等）进行加密保護还可以对注册的报文进行合法性检测，保证关键注册信息的安全性

身份认证技术。在Client向Server进行注册的过程中Client可以根据配置需要对Server的身份使用pre-shared-key进行验证，保证Client接入一个合法的Server；同时Server可以根据需要使用AAA对需要接入到DVPN域的Client进行身份验证保证只有通过身份验证的Client才可以接入箌DVPN域。

策略的统一管理技术Client在Server端注册成功后，Server会将DVPN域中的策略发布给该Client策略主要包括会话协商使用的算法套件、会话的保活时间、会話的空闲超时时间、IPSec使用的加密验证算法、IPSec sa的重协商时间等。在整个DVPN域中所有的Session会使用相同的策略。

会话协商过程中的加密技术在Session协商过程中，所有的会话的控制报文都会使用Server发布的算法套件进行IPSec加密保护即在建立Session的会话协商过程中，根据Server发布数据的加密验证算法為Session的数据通信协商IPSec SA。协商过程使用DH（Diffie-Hellman）进行SA的密钥协商对于需要通过该Session进行转发的数据，如果需要加密处理则通过IPSec使用Session协商出来的IPSec SA对報文进行加密处理后，通过DVPN进行转发实现了转发数据报文的安全性。Session的IPSec SA支持重协商功能可以根据需要指定进行IPSec SA重协商的时间，进一步保证数据的安全性

中作为Server设备使用。在同一台DVPN设备上最多可以支持200个DVPN域可以同时作为200个DVPN域的Server设备。大大提高了组网的灵活性也可以哽加充分的使用网络设备资源，减少了用户的投资在实际的组网中为了保证各个DVPN域之间的隔离，如果在同一台DVPN设备上支持多个DVPN域需要通过私网路由来实现不同DVPN域的隔离。

动态路由的支持DVPN可以对需要通过Tunnel接口发送的路由报文，通过所有的Session会话进行广播从而实现整个DVPN域內的路由自动学习。实际应用中DVPN配合动态路由协议，可以简化对需要接入到DVPN域的各个私有网络的规划简化整个网络的配置，提高网络嘚维护性和自动化

DVPN主要弥补了传统VPN的一些缺陷，其优点如下：

SystemIMS），是一种网络管理工具能够实现对动态获取IP地址的设备或位于NAT网关後面的设备的集中、有效的监控和管理。在对业务应用基本相同、数量庞大并且分布广泛的网络终端设备进行管理时IMS能极大提高管理的效率，节约管理成本详情请到中查看《IMS解决方案》。

若用户需要基于IP建立灵活的VPN隧道能够自由穿越防火墙，并支持动态IP地址建链实現各局部网络间组建私有网络的要求，推荐采用DVPN特性

配置DVPN CLIENT，需要配置以下内容：

用户可在全局视图下完成DHCP CLIENT的基本配置主要包括启用/取消DVPN功能、对注册过程进行描述及合法性验证的内容。

路由器上需要做如下配置：

DVPN的基本配置还包括SERVER涉及到的其他命令这些命令可以在CLIENT上进行配置，但不会发生作用

DVPN主要通过TUNNEL接口获得虚地址，并进行相应的UDP封装从而实现穿越网关等功能。

配置DVPN CLIENT的TUNNEL接口屬性路由器上需要做如下配置：

以上配置都在TUNNEL接口视图中完成。

Tunnel接口的源端地址或源接口即发出DVPN报文的实际物理接口地址。

DVPN-CLASS视图下的命令用来配置Client设备需要接入的Server信息参数、以及注册过程中协商使用的信息。

配置DVPN CLASS路由器上需要做如下配置：

在DVPN-CLASS中配置嘚参数应与Server端的实际配置保持一致。

DVPN SERVER的配置需要配置以下内容：

用户可在全局视图下完成DHCP SERVER的基本配置，主要包括启用/取消DVPN功能、指定验證参数及老化时间

路由器上需要做如下配置：

DVPN的基本配置还包括CLIENT涉及到的其他命令，这些命令可以在SERVER上进行配置但鈈会发生作用。

DVPN主要通过TUNNEL接口获得虚地址并进行相应的UDP封装，从而实现穿越网关等功能

配置DVPN SERVER的TUNNEL接口属性，路由器上需要做如下配置：

以上配置都在TUNNEL接口视图中完成

POLICY视图下主要用来配置指定DVPN的策略信息，主要包括會话的算法、数据IPSec的算法、以及各种时间参数等Client在Server上注册成功后，Server会对注册成功的Client发送DVPN引用的策略

配置DVPN POLICY，路由器上需要做如下配置：

当配置DVPN时必须注意以丅事项：

本例使用一个通用组网，要求DVPN SERVER与DVPN CLIENT路由可通DVPN私网侧将默认路由指定到NAT网关。

本DVPN组网共划分为两个域通过OSPF VRF进行路由隔离。每个域內包括DVPN CLIENT三台分别代表企业总部和两个分支机构。

CLIENT通过三种方式接入DVPN网络其中企业A和企业总部通过LAN方式直接接入internet建立DVPN连接，企业A分支一、企业分支一、企业分支二通过ADSL方式接入internet建立DVPN连接企业A分支二穿越NAT网关接入internet建立DVPN连接。

如果连接正常所有DVPN CLIENT均可自行成功注册到DVPN SERVER，总部与分支之间分支与分支之间可以互相访问，不同域内用户由于隔离而无法互訪

SERVER间均已建立DVPN连接时，可以认为安全联的建立成功

对于连接不上的情况，首先应该考虑DVPN CLIENT路由器是否可以与DVPN SERVER路由器连通可用ping命令测试。如果ping不通则说明网络不通，需要首先解决网络连通性问题网络连通性问题可能性很多，此处不做描述

如果ping通，则说明网络是连通嘚那么通常是由于DVPN的连接未成功建立导致的。对于连接无法建立的情况大部分是由于配置错误造成的，通常表现为注册状态异常异瑺状态有INIT和ALGREQ两种。

DVPN的连接不成功的原因通常有以下几种：

命令看到注册状态为INIT正常情况下，这个状态应该是一个中间状态很快就应该轉变到SUCCESS状态。如果长期处于INIT状态说明CLIENT接入SERVER不成功。

map命令看到注册状态为ALGREQ正常情况下，这个状态应该是一个中间状态很快就应该转变箌SUCCESS状态。如果长期处于ALGREQ状态说明DVPN连接不成功。

map命令看到注册状态为ALGREQ正常情况下，这个状态应该是一个中间状态很快就应该转变到SUCCESS状態。如果长期处于ALGREQ状态说明DVPN连接不成功。

all可捕捉到发送请求信息且无响应信息的则很可能是同时将两侧的接口类型都配置为Client。

解决方法：分别在Client和Sever上Tunnel接口下查看配置的接口类型如果配置错误则修改配置，使DVPN SERVER和CLIENT的配置正确匹配

另外，如果网络物理地址间是连通的且DVPN連接成功建立，但DVPN SERVER与CLIENT后的私网DVPN CLIENT后面的私网间无法实现互访。这种情况的原因往往是由于路由造成的请检查路由表，查看是否存在到其怹私网的路由需要注意的是，DVPN SERVER上也需要指定这些到私网的路由信息否则通过SERVER转发的报文将无法正常完成。

policy命令用来删除dvpn-policy视图dvpn-policy视图用來配置对client的身份的认证方式，会话使用的加密算法套件、转发数据使用的算法套件、以及各种时间参数等各种dvpn策略如果一个dvpn-policy已经被接口使用，则需要删除接口的应用才可以删除该dvpn-policy

dvpn-class-name：创建的dvpn-class的名称，以字符串方式表示字符串的最大长度为31字节

class命令用来删除dvpn-class视图。dvpn-class视图可鉯配置目的Server的地址注册使用的用户名、密码等。当该dvpn-class已经被接口应用不能被直接删除。

缺省情况没有配置任何dvpn-class