技术方案：

    华为3Com动态VPN星形组网

    新华发行集团整个广域网系统覆盖总部及其下属的81家子公司，采用华为3Com公司VPN综合解决方案。该方案中的网络由运营商的骨干网和集团的各个站点组成，方案是传统的第三层VPN的一种延伸，是可以构建在FDDI、ADSL、Cable Modem、ISDN、Modem等Internet接入方式之上的第三层VPN系统。所谓“延伸”就是VPN可以建立在如ADSL等只能获取动态公网IP地址接入上，称作为“动态VPN”。

    传统的第三层VPN要求VPN的双方必须有静态公网IP地址，双方地位对等，要明确知道各方的静态IP，并在本机设置详细的IP等参数。那么动态VPN又是什么呢？动态VPN是一种可以构建在ADSL，CableModem等各种使用动态IP的Internet宽带接入方式之上的第三层VPN系统。

    在传统三层VPN（IP VPN）组网方案中，一般采用GRE隧道、L2TP、IPSec等方式。这些方案存在一个弊端，就是必须事先配置好网关的VPN参数才能进行通信，当要建立一个一对一的连接的全网状VPN网络时，配置就会变得异常复杂。若其中任何一个节点的网关配置作了修改，那么其他所有节点都必须针对这台设备修改本地配置，这给维护增加了很大的难度。

    为此，华为3Com为此推出了“C/S（客户机/服务器）架构的动态VPN解决方案”。这个方案不但解决了大量VPN网关配置和管理的难题，而且还可以支持分支机构采用廉价高速的各类型宽带接入（动态公网IP），可谓一举两得。这给大型企业VPN组网带来一种灵活和低成本的解决方案。

    在这种动态VPN方式中，总部的路由器作为Server（服务器），其他分支的路由器作为Client（客户机），形成以Server为中心的星形VPN网络。每个Client需要在Server有注册信息，Server的任务是获得Client的注册信息，任何Client只需通过Server知道Server中其它节点网关的注册信息就能够进行通信。

    Client / Server方式动态VPN不需要知道其他Client网关的任何信息，只需要配置自己的信息并指定相应的Server就可以完成VPN配置。所以使用动态VPN时用户只需配置一次，不管其他Client设备怎么更改也能够进行通讯，同时用户也不用关心自己当前使用的IP地址是多少，适应了现在国内宽带接入获得动态IP地址的这种状况。华为3Com公司提出的动态VPN解决方案,不但使企业在动态IP地址上建立VPN成为可能，而且使用户付出较低的成本就可以享受宽带VPN带来的方便。下图为传统三层VPN与C/S动态VPN网络拓朴图比较。（见图1）

图1（点击看大图）