D科学的主要特性有哪些？

现在越来越多的企业希望利用公共网络组建科学（Virtual Private Network，虚拟私有网络），连接地理位置不同的多个分支机构。然而，企业分支机构通常采用动态地址接入方式（如PPPoE ADSL）接入公共网络，通信一方无法事先知道对端的公网地址，这就为组建科学提出了一个难题。

H3C的D科学（Dynamic Virtual Private Network，动态虚拟私有网络）是一种动态虚拟专用网技术，可通过动态获取对端的信息建立科学连接。本文将介绍D科学的主要特性。D科学不但结合了传统科学的优点，而且解决了传统科学的缺陷。配置简单、网络规划简单、功能强大，比传统的科学更加符合目前以及未来的网络应用。其特点如下：

配置简单

一个D科学接入设备可以通过一个Tunnel逻辑接口和多个D科学接入设备建立会话通道，而不用为每一个通道配置一个逻辑的接口作为隧道的端点，大大的简化了配置的复杂度，提高了网络的可维护性和易扩充性。

自由穿越NAT网关技术

D科学是采用UDP方式的 D科学。由于使用了UDP报文进行封装，可以自由穿越NAT网关。解决内网D科学接入设备和公网D科学接入设备之间的科学连接，使NAT网关内部的私有网络和NAT网关外部的私有网络共同构建一个虚拟私有网络。

支持依赖动态IP地址构建科学

当在一个D科学域内部构建隧道时，只需要指定相应的Server的IP地址，并不关心自己当前使用的IP地址是多少，更加适应如普通拨号、xDSL拨号等使用动态IP地址的组网应用。

支持自动建立隧道

D科学中的Server维护着一个D科学域中所有接入设备的信息，D科学域中的Client可以通过Server的重定向功能自动获得需要进行通信的其它Client的信息，并最终在两个Client之间自动建立会话隧道（Session）。作为Client的D科学接入设备只需配置自己的相关信息和Server的信息，不需要知道其他Client的信息，极大地减少了网络的维护管理工作。

注册过程加密

在Client向Server进行注册的过程中，需要先完成算法套件以及各种密钥钥地协商。使用协商出来的算法对注册过程中的关键信息（例如用户名、密码等）进行加密保护，还可以对注册的报文进行合法性检测，保证关键注册信息的安全性。

支持身份认证

在Client向Server进行注册的过程中，Client可以根据配置需要对Server的身份使用pre-shared-key（预共享密钥）进行验证，保证Client接入一个合法的Server；同时Server可以根据需要使用AAA对需要接入到D科学域的Client进行身份验证，保证只有通过身份验证的Client才可以接入到D科学域。

策略统一管理

在D科学 Client在Server端注册成功后，Server会将D科学域中的策略发布给该Client。策略主要包括会话协商使用的算法套件、会话的保活时间、会话的空闲超时时间、IPSec使用的加密验证算法、IPSec sa的重协商时间等。在整个D科学域中，所有的Session会使用相同的策略。

支持会话协商过程的加密

在Session协商过程中，所有的会话的控制报文都会使用Server发布的算法套件进行IPSec加密保护。即在建立Session的会话协商过程中，根据Server发布数据的加密验证算法，为Session的数据通信协商IPSec SA。协商过程使用DH（Diffie-Hellman）进行SA的密钥协商。对于需要通过该Session进行转发的数据，如果需要加密处理，则通过IPSec使用Session协商出来的IPSec SA对报文进行加密处理后，通过D科学进行转发，实现了转发数据报文的安全性。Session的IPSec SA支持重协商功能，可以根据需要指定进行IPSec SA重协商的时间，进一步保证数据的安全性。

支持多个科学域

D科学允许用户在一台D科学设备上支持多个科学域。即一台路由器不仅可以属于科学 A，也可以属于科学 B；同一设备可以在科学 A中作为Client设备，同时还在科学 B中作为Server设备使用。在同一台D科学设备上最多可以支持200个D科学域，可以同时作为200个D科学域的Server设备。大大提高了组网的灵活性，也可以更加充分的使用网络设备资源，减少了用户的投资。在实际的组网中为了保证各个D科学域之间的隔离，如果在同一台D科学设备上支持多个D科学域，需要通过私网路由来实现不同D科学域的隔离。

支持动态路由

D科学可以对需要通过Tunnel接口发送的路由报文，通过所有的Session会话进行广播，从而实现整个D科学域内的路由自动学习。实际应用中，D科学配合动态路由协议，可以简化对需要接入到D科学域的各个私有网络的规划，简化整个网络的配置，提高网络的维护性和自动化。