【拓扑图】

【配置环境参数】
如图。

【组网需求】
武汉和上海两个分部通过NAT接入北京总部，只有北京总部有公网地址。
通过DVPN连接总部和两个分部。
要求私网网段之间的数据流量采用IPSEC隧道加密传输。
总部和分部之间要求启用OSPF，动态学习对端私网的路由。

【配置结果】
1. 所有隧道接口可以互相ping通。
2. 所有内网（loopback地址）可以互相ping通。
3. 武汉和上海分部之间由于都经过了NAT，不能做IPSEC协商，所以相互之间不直接建立隧道，而是通过总部转发。
4. 不需要ISP的特别支持。
5. 私网路由动态建立。

【说明】
DVPN目前仅在secpath产品上支持。

【主要配置】

【备注】
1. 在本例中，上海和武汉之间由于都经过了NAT，所以不能直接建立IPSEC隧道转发，而是需要经过总部。所以每个分部只需定义去往总部的加密数据流即可。
2. 总部采用模板配置IPSEC，可以自动根据分部的数据流定义自己的加密数据流。
3. 以武汉去北京的数据为例，分析报文格式如下：
可以看出，当采用这种方式时总共含有三层IP头。