使用 IBM Cloud 扩展您的公司网络

了解 IBM Cloud 如何成为您的网络的无缝扩展

IBM® Cloud 的虚拟专用网/专用 LAN 特性使得 IBM Cloud 成为您公司网络的一个无缝扩展。本文将介绍从您公司网络到 IBM Cloud 设计一个虚专用网络(Virtual Private Network,VPN)时需要注意的基本设计事项、问题和限制。作者还介绍了一些基本的云连接故障诊断知识,并在本文末尾展示了一些 IBM Cloud VPN/VLAN 真实应用场景(基于 Rational® 云映像)。

Vaughn Rokosz, 高级技术人员, IBM

Vaughn Rokosz 供职于 Rational System and Integration 测试组织,他的主要兴趣领域是企业级 Rational 解决方案的测试;目前,他主要关注 Rational 云计算解决方案的测试。在他 27 年的软件开发和测试生涯中,他在各种领域工作过 — 从工厂自动化到统计分析再到文档和知识管理。他是一位 IBM Master Inventor。



2011 年 3 月 31 日

IBM Cloud 是一个企业级、多租户、高度虚拟的共享云环境,旨在提供控制、可靠性、数据安全以及大规模性能和容量可伸缩性。您可能没有注意到,但 IBM 实际上在一定程度上简化了为您在 IBM Cloud 上的虚拟机实例创建一个虚拟专用网(VPN)、从而为您的实例提供虚拟网络隔离的工作。如果您稍加考虑,就会发现这是将您的组织的网络扩展到一个安全云环境的好办法。

使用 IBM Cloud,每个 VPN 服务都包含两个组件:您选择的 IBM Cloud Center 中的一个专用虚拟 LAN (VLAN) 和用于访问该 VLAN 的一个 VPN 网关。仅通过您的专用 VLAN 上的 IP 地址提供的实例只能由您通过 VPN 网关访问。

这意味着您可以将 IBM Cloud 视为您自己公司网络的一部分。云实例可以连接到您网络内部的机器;这允许那些实例使用您的公司服务,比如邮件路由器和用户目录。在您的专用 VLAN 中运行的云实例只能从您公司网中的系统访问;从 Internet 上不能看到、也不能访问它们。

在本文中,我将解释当您开始计划一个从您组织的网络到 IBM Cloud 的 VPN 时需要注意的设计事项、问题和限制。我还将介绍了一些基本的云连接故障诊断知识,在本文末尾展示了一些 IBM Cloud VPN/VLAN 真实应用场景(基于 Rational 云映像),并提供一个常用防火墙端口列表。

本文的其他两个目标是:

  • 帮助您理解 VPN/VLAN 特性如何扩展云映像功能。
  • 需要设置到云的 VPN 连接时,提高组织系统管理员和网络专家之间的协作效率。

我们首先介绍设计注意事项。

基础架构和设计注意事项

设置到 IBM Cloud 的 VPN 连接并不困难,但如果不预先计划,设置过程可能会很耗时。在深入学习基础架构和设计注意事项之前,我们首先了解一下 IBM Cloud VPN/VLAN 特性的架构(见下图)。

IBM Cloud VPN/VLAN 特性的架构
IBM Cloud VPN/VLAN 特性的架构

上图的最右边显示了 IBM Smart Business Development and Test cloud。在一个 IBM Cloud 数据中心中配置一个虚拟机实例时,可以选择使其可以从 Internet 上访问(在一个共享 VLAN 上)或将其放置到一个虚拟专用 LAN (VLAN) 上。

要将其放置到一个私有 VLAN 上,只需在提供时间选择这个专用 VLAN。可以在您的网络和一个 IBM Cloud 数据中心之间建立一个 VPN 隧道,在 VLAN 和您自己的公司网络之间路由网络流量。您必须在您的网络端上提供一个 IPSec 网关(防火墙),并与 IBM 共同配置您的网络和 IBM Cloud 数据中心之间的连接。VPN 隧道建好后,然后配置您的 VPN 端,打开您的防火墙中的一些端口,以便 IBM Cloud 中的 IBM 产品能够与您的网络中的计算机通信。

基础架构要求

要将您的公司网络连接到一个 IBM Cloud 数据中心的一个专用 VLAN,您需要以下组件:

  • 一个支持 IPSec 终止的防火墙。另外,您的防火墙必须配置为一个 “route-based VPN”。不支持基于策略的配置。
  • 您的公司网络中的 Domain Name Servers (DNS),IBM Cloud VLAN 中的系统可以通过隧道访问它们。
  • 为 IBM Cloud VLAN 使用而定义的一个 IP 地址范围(或子集)。另外,应该在您的公司 DNS 中为所选范围中的每个 IP 地址注册主机名。您需要向 IBM 提供这些主机使用的域名。

您还需要向 IBM 提供您的 VPN 加密参数相关信息。表 1 列示了 IBM 常用的值。

表 1. VPN 加密参数
参数IBM 常用值
Encryption method Phase 1(例如 DES 或 3DES) 3DES
Hash / Authentication Phase 1(MD5 或 SHA1) SHA1
Encryption method Phase 2(例如 DES 或 3DES) 3DES
Hash / Authentication Phase 2(MD5 或 SHA1) SHA1
IPSec SA Lifetime(单位:秒)3600
IKE SA Lifetime(单位:秒)86400
DH group5
PFSNo

要将您在 IBM Cloud VLAN 中运行的 IBM Cloud 实例用于您的网络中的系统,还需要执行以下操作:

  • 基于您想跨 VPN 运行的集成种类打开您的防火墙中的一些端口(参见 附录 B)。
  • 确保 IBM Cloud VLAN 中的系统拥有到您的网络中 IBM Cloud 系统要使用的计算机的网络访问能力。这可能需要配置 VPN 连接两端的防火墙,可能还需要配置您的网络基础架构的其他部分(特别是当您隔离了您的部分网络,该部分通过您的网络的其余部分连接到 VPN 时)。

设计注意事项

现在我们来看看一些我将其归类为设计注意事项的项目。当您计划实现一个到 IBM Cloud 的 VPN 连接时,应该考虑以下几点:

  • 您的 VPN 端点相对于 IBM Cloud 数据中心的位置。
  • 您的网络中需要通过 VPN 与 IBM Cloud VLAN 通信的系统。
  • 想要在 IBM Cloud VLAN 和您自己的系统之间实现的特定集成,以及那些集成需要的网络端口。

网络延迟问题:定位您的 VPN 端点
应该将您的 VPN 端点定位于您自己的计算机和正在连接的 IBM Cloud 数据中心之间总网络延迟 最小的那个地理位置。网络延迟是指一个信息包通过网络从一个计算机移动到另一个所需的时间;随着网络延迟增加,IBM Cloud 中运行的应用程序的性能将下降。

例如,当您使用您网络上的一个计算机上的一个 web 浏览器来访问 IBM Cloud 中运行的 Rational Quality Manager 实例时,您执行的每个操作都将导致许多网络流量包流过 VPN。因此任何网络延迟都将被放大;如果有 10 个网络事务被发出,那么每个网络事务 100 毫秒的延迟将转化为 1 秒。

总网络延迟由两部分组成:

  • 第一,您的计算机和您自己的 VPN 端点之间的延迟。
  • 第二,您自己的 VPN 端点和 IBM Cloud 数据中心之间的延迟。

如果您自己网络中的延迟较低(位于一个地理区域中的计算机通常属于这种情况),那么可以只关注您的 VPN 端点和 IBM Cloud 之间的延迟。通常,最佳实践是选择距离您自己数据中心地理位置最近的一个 IBM Cloud 数据中心,以便在最小的物理距离上建立 VPN 连接。

如果您的组织跨几个地点分布,那么您将看到您各个点上的计算机和您的 VPN 端点之间的网络延迟有更多变化。考虑如何针对您的大部分网络优化网络延迟。您很有可能需要进行一些平衡,结果有些机器延迟低,而另一些机器延迟高,但记住,IBM Cloud 允许您为每个数据中心的每个帐户创建一个 VPN 连接。这意味着您可以建立一个连接到位于美国北卡罗来纳州罗利市 的 IBM Cloud 数据中心的 VPN 连接,同时建立连接到位于 德国巴登-符腾堡州埃思林根市 的 IBM Cloud 数据中心的第二个 VPN 连接。因此,您可以利用多个 IBM Cloud 数据中心,作为一个最小化网络延迟策略的一部分。

适当的组件标识:哪些系统和应用程序将跨 VPN 使用
列示预计将与 IBM Cloud VLAN 中运行的虚拟机交互的计算机(和应用程序)是将您的网络连接到一个 IBM Cloud VLAN 的规划的一部分。您需要一个您网络中的计算机 IP 地址(或子网)列表,还需要一个为支持跨 VPN 操作而启用的软件产品和服务列表。

VPN 隧道两端的 VPN 端点需要这些 IP 地址或子网,以便在您的网络和 IBM Cloud VLAN 中托管系统之间正确路由网络流量。您可能会听到这被称之为防火墙 “设置加密域”。

要打开您的防火墙中的正确网络端口,您还需要跨 VPN 使用的服务或产品列表;否则,到您网络中的系统流量将被防火墙阻塞,您将不能按预期的方式使用集成。(附录 B 列示了为支持常用 IBM 产品或服务而需要打开的端口。)

记住,您的公司可能有一些政策,要求连接到外部系统(比如 IBM Cloud)的网络与公司网的其他部分隔离。当您确定您的网络中需要用于 IBM Cloud 的系统时,确保只要正确配置 VPNs,那些系统就可以被访问。

  • 询问任何可能会限制您想使用的系统的隔离和路由政策。
  • 与您公司内负责网络管理和安全的人员协作,解决潜在的连接问题。

下面是从一个云系统运行可能有用的服务器种类的一个不完全列表:

  • 域名服务器
  • LDAP 服务器(用于设置到云中的产品的登录)
  • 一个 SMTP 服务器(用于支持来自 IBM 产品的电子邮件通知)
  • 运行 Rational Functional Tester 或 Rational Performance Tester 这样的自动测试工具的计算机,您想将这些工具与 Rational Quality Manager 的一个 IBM Cloud 实例集成
  • 一个 Rational Build Forge 控制台或运行 Build Forge 代理的计算机
  • 您想与 Cloud 实例集成的 Rational 工具的部署(这样的示例有 Rational RequisitePro、DOORS 和 ClearQuest)
  • 与 IBM Cloud 实例集成的其他 IBM 产品的部署(例如,云中的 Rational Quality Manager 能够集成一个 Tivoli Provisioning Manager 部署)

网络端口要求:需要在云和您的网络之间启用的特定集成
基础架构要求 小节提到过,特定的集成要求仔细阅读单独的产品文档,以确定网络端口可用性和要求。要获得一个良好开端,请参阅 附录 B 中的常用应用程序端口用途表。


问题和限制

良好规划的一部分是了解您所处的系统能够和不能做的事。记住这一点之后,我们介绍一点目前知道的、关于 IBM Cloud 环境的、可能会影响启用 VPN/VLAN 连接的问题和限制,包括:

  • VLAN 中的云实例不能访问 Internet。
  • 部署到专用 VLAN 中的云实例不能被分配适当的主机名。
  • 基于 SMTP 的邮件路由要求在您的公司 DNS 中注册 Cloud IP 地址。
  • Rational Build Forge 映像不会连接到 Rational License Server。

VLAN 中的云实例不能访问 Internet

使用专用 VLAN 的一个限制是部署到 VLAN 中的 IBM Cloud 实例与 Internet 隔离;这种隔离在两个方向上都有效。专用 VLAN 中的实例不能从 Internet 上看到,专用 VLAN 中的实例不能访问 Internet。这意味着专用 VLAN 中的 IBM Cloud 实例只能通过 VPN 通信,只能访问您组织的网络中的系统。

这种限制还意味着您不能从 VLAN 内访问 www.ibm.com,这意味着如果您需要升级 IBM Cloud 中运行的 IBM 产品,则无法直接利用 ibm.com。您需要将补丁或升级包下载到您自己的网络中的系统,然后将补丁复制到您的云系统。

部署到专用 VLAN 中的云实例不能被分配适当的主机名

当您在专用 VLAN 中创建云实例时,实例的主机名没有被正确设置。相反,实例被分配实源自例的 IP 地址派生的任意名称。因此,如果您已经在您公司的网络中为一个云 VLAN 使用的网络地址注册了主机名,那些主机名不会自动分配给您的实例。

当您将一个云实例部署到一个 VLAN 中之后,需要手动编辑 /etc/hosts 文件并将主机名更改为您的 DNS 服务器中注册的名称。

如果您选择不应用这种方法,只通过 IP 地址(而不是主机名)访问您的云实例,记住,有些 IBM 产品特性可能无法正确工作。例如,如果 IBM Cloud 实例没有在您的公司 DNS 中注册的主机名,支持链接 Rational Quality Manager、Rational Team Concert™ 和 Rational Requirements Composer 中的工件的特性可能无法工作。

基于 SMTP 的邮件路由要求在您的公司 DNS 中注册 Cloud IP 地址

如果您正在试图通过您的公司电子邮件服务器从 IBM Cloud 实例发送邮件,请注意,您可能需要在您的公司 DNS 服务器中注册分配给 IBM Cloud VLAN 的 IP 地址。如果发送电子邮件的计算机没有在 DNS 服务器中注册,有些 SMTP 服务器将对发送电子邮件的机器的 IP 地址执行一个反向 DNS 查询。这是一种阻止生成垃圾邮件的方法。

Rational Build Forge 映像不会连接到 Rational License Server

Rational Build Forge 7.1.1.3 云映像不能被重新配置为跨 VPN 使用一个 Rational License Server。这是 Build Forge 云映像的未来版本将更正的一个缺陷。

有一种解决方法。部署一个 Build Forge 实例后,使用 ssh 登录这个实例,然后运行以下命令:

cd /opt/buildforge_711/server/tomcat/webapps/rbf-services/bin
sudo chmod 777 *

然后重新启动 Rational Build Forge。


基本故障诊断

在 VLAN/VPN 配置中最有可能遇到的麻烦是连通性问题。连通性通常表现为错误日志中报告的超时,有时也表现为用户界面中的错误消息。

使用 ping 进行故障诊断

在联系您的 VPN 的管理员(或联系 IBM)之前,可以采取两个基本步骤来隔离问题:

  1. ping 云。
  2. 连接到相关端口。

我们来详细了解一下。

  1. 针对您正在尝试使用的机器尝试一个基本的 ping 操作。您应该能够从您公司网络中的机器 ping IBM Cloud 实例。如果 ping 失败,或者您不能使用 ssh 从您的网络登录 IBM Cloud 系统,那么您很有可能有 VPN 隧道配置问题。
  2. 如果 ping 有效,那么使用 telnet 命令(在您的 IBM Cloud 实例上运行)尝试连接到您的目标计算机上的相关端口:
    telnet target_ip_address port

    如果这个命令挂起或报告错误,那么那个端口上可能有一个防火墙阻塞流量。
  3. 首先登录到目标计算机并在本地尝试 telnet,确认某物正在指定端口上监听。如果这种方法在本地而不是远程有效,那么检查是否有流量正受到在您的服务器上运行的防火墙的阻塞。对于 IBM Cloud 系统,您可以通过输入以下命令临时禁用防火墙:
    sudo /sbin/service iptables stop
  4. 如果禁用防火墙之后仍不能连接,那么您可以调整您的系统上的防火墙规则,以便允许流量通过。
  5. 如果您仍然不能连接,则需要调整您的 VPN/防火墙配置来打开需要的端口。
  6. 如果这在本地无效,则端口上没有任何事物在监听。启动需要的软件,从步骤 2 开始处重复。

使用 netstat 进行故障诊断

另一个有用的诊断工具是 netstat。命令 netstat -a 列示连接(包括端口号);这有助于您理解哪些连接已经成功完成。netstat 报告的错误还能表明 DNS 配置问题。

下面的清单展示了失败和成功的 telnet 命令。

失败的 telnet 命令报告的错误
[root@cloudvpntest3 ~]# telnet 10.128.0.3 54000
Trying 10.128.0.3...
telnet: connect to address 10.128.0.3: Connection timed out
telnet: Unable to connect to remote host: Connection timed out
成功的 telnet 命令报告的消息
[root@cloudvpntest3 ~]# telnet 10.128.0.3 2049
Trying 10.128.0.3...
Connected to cloudvlan3.bcsdc.lexington.ibm.com (10.128.0.3).
Escape character is '^]'.

如果您从 IBM Cloud 实例通过您的 SMTP 服务器发送电子邮件时遇到麻烦,或者如果您在配置在 IBM Cloud 实例上运行的应用程序之间的集成时遇到麻烦,那么您可能有 DNS 配置问题。

要检查 DNS 配置:

  1. 登录到您的 IBM Cloud 实例,然后查看文件 /etc/resolv.conf。这个文件应该包含您的公司 DNS 服务器的 IP 地址和应该附加到云主机名的域后缀。确保您能够从 IBM Cloud 实例 ping 每个 DNS 服务器,并验证域名正是您所预期的。
  2. 验证分配给 IBM Cloud 实例的 IP 地址已经在您的公司 DNS 服务器中正确注册:
    nslookup cloud_instance_ip -

    这个命令的输出应该告诉您分配给这个 IP 地址的主机名。如果您看到类似于 ** server can't find 3.1.128.10.in-addr.arpa.: NXDOMAIN 的内容,那么 IBM Cloud IP 地址范围没有在您的公司 DNS 服务器中正确注册。您需要与 DNS 管理员一起更正这个错误。
  3. 如果 nslookup 返回正确的主机名,那么您可以检查文件 /etc/hosts,以确认 IBM Cloud 实例已使用正确的主机名配置。如果 /etc/hosts 中的主机名与 nslookup 返回的主机名不匹配,那么更正 /etc/hosts 中的值。

结束语

在本文中,我提供了 IBM Cloud VPN/VLAN 特性的一个快速概览,解释了该特性如何用于将您的组织的网络扩展到 IBM Cloud 中,并提供了一些设计示例、基础架构和规划注意事项。这些注意事项涉及防火墙设置、网络延迟、应用程序/系统识别、端口分配和 VPN 加密参数,您在设置一个到 IBM Cloud 的 VPN 隧道之前需要进行相关设置。

我还列示了 几个真实场景,它们只能通过使用 VPN/VLAN 特性使用 IBM Cloud 中的 Rational 产品完成。我还提供了用于对您的 VPN 云设置进行基本故障诊断的两个选项,详细介绍了应对 IBM Cloud VPN/VLAN 特性的几个已知限制的变通方法。

借助本文提供的信息,您应该能够开始与您的组织的网络工程师协作,设置一个能够将您的网络安全有效地扩展到 IBM Cloud 中的 VPN/VLAN。


附录 A:云中的 Rational 场景

IBM Cloud 映像包含几个 Rational 产品映像,其中包括 Rational Team Concert、Rational Quality Manager、Rational Build Forge、Rational Requirements Composer 和 Rational Asset Manager。当您将那些映像部署到一个专用 VLAN 中时,Rational 云实例能够连接到您的公司网络中的机器;这支持实现几个新的用例,如果没有 VPN/VLAN 特性,这些用例不可能实现。

  • 您可以设置 Rational 产品,使用您自己的 LDAP 服务器进行身份验证,消除了在每个 Rational 云服务器上本地创建用户帐户的必要性。
  • 您可以实现电子邮件通知特性并通过您公司的 SMTP 服务器路由电子邮件。
  • 您可以设置 Rational Build Forge 和 Rational Asset Manager 的云实例,使用您自己的 Rational 许可服务器。

您还可以集成云中的 Rational 产品和您自己的网络上位于云外的其他产品。集成场景包括:

  • 从云中的 Rational Quality Manager 和在您自己的网络上运行的 Rational Functional Tester 或 Rational Performance Tester 这样的自动测试工具启动自动测试。
  • 集成云中的一个 Rational Requirements Composer 服务器和您自己的网络中的 RequisitePro 或 DOORs 部署。
  • 使用云中的一个 Build Forge 控制台来运行您自己的网络中的代理系统上的作业,以便代理系统能够访问您的 ClearCase 或 ClearQuest 系统。
  • 使用云中的 Build Forge 代理运行来自您自己的网络中运行的一个 Build Forge 控制台上的作业。
  • 通过使用连接器跨 VPN 传输数据,集成 Rational Team Concert 的一个云实例和您自己的 ClearCase 或 ClearQuest 系统。
  • 集成 Rational Quality Manager 的一个云实例和您自己的网络中托管的 Rational 产品的部署。

附录 B:按应用程序列示的防火墙端口

IBM 产品通过几个不同的端口发送网络流量,因此您需要配置您的防火墙,允许流量通过这些端口,然后才能使用一个 VPN/VLAN 配置中的云中的 IBM 产品。

记住,在您的特定配置中可能有一层以上的防火墙保护;您可能需要在多个位置打开端口(比如在 VPN 防火墙中,在您自己的系统上运行的客户端防火墙中,以及在云实例上运行的客户端防火墙上)。

表 2 总结了一些常见应用程序使用的端口;这不是一个完整列表,因此请查阅产品文档了解更多信息。

表 2. 常见应用程序使用的端口
产品/特性端口
SSH(文件复制和远程执行服务)22
访问 Rational 产品上托管的 Web 服务,以及访问 WebSphere Application Servers80
443
8080
8090
9043
9044
9060
9061
9080
9081
9443
9444
SMTP(用于访问邮件路由服务器)25
Rational Asset Manager9445, 9446
LDAP 服务器(例如,Tivoli Directory Server) 389, 636
Rational License Server27000
270011
Rational Build Forge 控制台8443, 3966
Rational Build Forge 代理5555, 5556
VNC(用于 Cloud 实例的远程桌面访问)5801, 5901
Rational RequisitePro(web 访问)11080
Rational Performance Tester10002
10003
10005
10006
范围 12000-12200
Cloud 实例的 Network File System (NFS) 访问111
2049
32803
32769
892
875
662
20202
Rational ClearCase端口 371(tcp 和 udp) 3
IBM DB2500004

1Rational License Server 的默认端口是 27000 和 27001,但这些端口在许可数据文件中可能会被覆盖。如果您在通过这些端口连接到一个 Rational 许可服务器时遇到问题,请检查许可数据文件,查看默认端口是否已被覆盖。

2IBM Cloud 实例中的 Network File System 默认关闭。要通过 NFS 访问云上的文件系统,必须配置 NFS 协议以使用一组静态端口,然后在您的防火墙中为 TCP 和 UDP 流量打开那些端口。编辑 /etc/sysconfig/nfs,移除 LOCKD_TCPPORTLOCKD_UDPPORTMOUNTD_PORTRQUOTAD_PORTSTATD_PORTSTATD_OUTGOING_PORT 所在的行中的注释。列示的 NFS 端口时 /etc/sysconfig/nsf 中的默认值;必要时可以使用其他端口,但一定要在您的防火墙中打开那些端口。要在一个 IBM Cloud 实例上启动 NFS 服务器,运行以下命令:sudo /etc/init.d/nfs start。(您还需要更新 /etc/iptables,以允许 NFS 流量通过在 IBM Cloud 实例上运行的防火墙)。

3Rational ClearCase 跨一个公司防火墙工作的能力受到限制。请参阅 About Firewalls 和 ClearCase 技术说明 了解其他细节。

4IBM DB2® 默认使用端口 50000,但这也可能被更改。如果您正在连接到 IBM Cloud 中的一个 DB2 实例,请检查该实例正在使用的端口。

参考资料

学习

获得产品和技术

  • 查看 IBM Smart Business Development and Test on the IBM Cloud 上提供的 产品映像

讨论

条评论

developerWorks: 登录

标有星(*)号的字段是必填字段。


需要一个 IBM ID?
忘记 IBM ID?


忘记密码?
更改您的密码

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件

 


在您首次登录 developerWorks 时,会为您创建一份个人概要。您的个人概要中的信息(您的姓名、国家/地区,以及公司名称)是公开显示的,而且会随着您发布的任何内容一起显示,除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。

所有提交的信息确保安全。

选择您的昵称



当您初次登录到 developerWorks 时,将会为您创建一份概要信息,您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。

昵称长度在 3 至 31 个字符之间。 您的昵称在 developerWorks 社区中必须是唯一的,并且出于隐私保护的原因,不能是您的电子邮件地址。

标有星(*)号的字段是必填字段。

(昵称长度在 3 至 31 个字符之间)

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件.

 


所有提交的信息确保安全。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=Cloud computing, Rational
ArticleID=644090
ArticleTitle=使用 IBM Cloud 扩展您的公司网络
publish-date=03312011