通过总部中转流量的办法来解决分支与分支间的通信会带来如下问题：

• 总部在中转分支间的数据流时会消耗总部Hub的CPU及内存资源，造成资源紧张。
• 总部要对分支间的数据流封装和解封装，会引入额外的网络延时。

另外，当IPSec网络规模不断扩展时，为减少路由配置和维护，需要部署动态路由协议。但IPSec和动态路由协议之间存在一个基础问题，动态路由协议依赖于组播报文或广播报文进行路由更新，而IPSec不支持广播报文和组播报文的传输。

在此背景下，华为提出了DSVPN解决方案，它通过将下一跳解析协议NHRP（Next Hop Resolution Protocol）和mGRE（multipoint Generic Routing Encapsulation）技术与IPSec相结合解决了上述问题：

• DSVPN通过NHRP协议动态收集、维护和发布各节点的公网地址等信息，解决了源分支无法获取目的分支公网地址的问题，从而可在分支与分支之间建立动态VPN隧道，实现分支与分支间的直接通信，进而减轻总部的负担、避免网络延时。

• DSVPN借助mGRE技术，使VPN隧道能够传输组播报文和广播报文，并且一个Tunnel接口可与多个对端建立VPN隧道，减少了配置VPN隧道的工作量；在新增分支或分支公网地址发生变化时，也能自动维护总部与分支之间的隧道关系，而不用调整总部的隧道配置，使得网络维护变得更智能化。

如图2所示为一个采用DSVPN解决方案构建的VPN网络。

受益

• 降低VPN网络构建成本

  DSVPN可以实现分支和总部以及分支之间的动态全连接，分支不需要单独购买静态的公网地址，节省企业开支。

• 简化总部Hub和分支Spoke配置

  总部Hub和分支Spoke上配置的Tunnel接口从多个点对点GRE隧道接口变更为一个mGRE隧道接口。当为DSVPN网络添加新的分支Spoke时，企业网络管理员不需要更改总部Hub或任何当前分支Spoke上的配置，只需在新的分支Spoke进行配置，之后新的分支Spoke自动向总部Hub进行动态注册。

• 降低分支间数据传输时延

  由于分支间可以动态构建隧道，业务数据可以直接转发，不用再经过总部，减少了数据转发的延迟，提升了转发性能和效率。