VPN网络建设解决方案.docx
- 文档编号:15004301
- 上传时间:2023-06-29
- 格式:DOCX
- 页数:28
- 大小:285.74KB
VPN网络建设解决方案.docx
《VPN网络建设解决方案.docx》由会员分享,可在线阅读,更多相关《VPN网络建设解决方案.docx(28页珍藏版)》请在冰点文库上搜索。
VPN网络建设解决方案
XX集团
VPN网络建立解决方案
上海安达通信息平安技术
ShanghaiAssuredDataInfo-SecTechnologyCo.,Ltd.
200
第一章工程情况介绍
1.1工程背景
以Internet网为主体的信息高速公路的迅猛开展,正以前所未有的速度和能力改变着人们的生活和工作方式,我们真正处于一个“信息爆炸〞的时代。
一方面,Internet网使得人们能够跨越时空的限制,为学习、生活和工作带来空前的便利;另一方面,面对信息的汪洋大海,人们往往感到无所适从,出现“信息迷向〞的现象。
特别是,Internet网是一个无国界的虚拟信息社会,现实社会中的各种问题都会在Internet网上通过电子手段予以重现,信息犯罪愈演愈烈。
网络的开放性,互连性,共享性程度的扩大,使网络的重要性和对社会的影响也越来越大,网络平安问题变得越来越重要。
目前,随着通讯技术、计算机技术、网络技术的应用普及和加深,许多员工的办公不再仅仅局限于同一物理位置上的办公,即使在办事处、分支机构、出差在外、在家中,均可像在公司总部办公一样协同工作。
尤其是出现自然因素〔如,目前的“非典〞原因〕而导致员工需要远程协同办公,这就需要建立一个平安、快捷、经济、方便的信息交互平台,来传输远程办公员工与公司之间的信息交流。
XX集团作为国内知名企业,信息的敏感性决定了它们历来都是各种居心叵测者的重要关注对象,甚至也是内部员工十分感兴趣的内容,这提醒我们应该更加注重网络平安的建立。
值得称道的是,公司领导已经对此引起了高度重视,并方案逐步进展卓有成效的防护工作。
在这方面,合理借鉴市场先进经历与理念十分重要。
XX集团信息系统当前面临的首要问题和最大隐患是:
边界平安防御与链路传输的加密。
这也正是本方案中力求加以明确的地方。
我们将通过认真和充分的系统分析将这些问题提醒出来并提供解决方法的建议。
1.2目前网络和应用现状分析
XX集团总部设在杭州,企业网Intranet是以金顶苑总部大楼为中心,通过帧中继及网通的VPN与余杭一厂、八厂、杭州二厂区连接的企业广域网,其余各公司、各地办事处那么通过拨号上网或宽带上网与总部效劳器连接,已经初步建立起一套信息交互的网络体系。
总部网络通过电信的光纤接入互联网。
在网络的接口处部署了防火墙提供内网访问Internet的路由并保证内部网络的平安。
目前,在网络上运行的OA等应用系统。
XX集团现在全国有26处分支机构,大多通过拨号或者宽带接入公司总部。
总部目前网络拓扑图如下:
图1-1XX集团网络拓扑示意图
随着公司业务的迅速开展,各地分公司、办事处也相继多了起来,信息交互也越来越频繁,随着企业应用系统的实施,重要的数据和信息在网络中传输也也来越多,平安性要求也越来越重要,目前仅仅依靠Modem拨号、ADSL以及专线的组网模式已经越来越不适应XX集团对信息传输平台的要求了。
从经济角度考虑,电信部门提供的专线组网方式费用比较昂贵,由于XX集团是一个快速开展的现代企业,先后在北京、广州、上海、南京、武汉、西安以及省内主要城市设立了多家分支机构,同时拥有多家严密型的合作伙伴或分销客户网络,相关需要联网的网点数目比较多,分部地区比较广,信息交互比较频繁,每月的巨额通讯费用和专线租用费会给XX集团带来很大的压力。
从平安方面考虑,电信部门提供的帧中继、MPLSVPN、DDN、ADSL等传输平台没有经过加密处理,重要数据和信息均是以明文在网上传输,如果别有用心的人利用Sniffer等网络监听分析工具,极易篡改、窃取甚至破坏企业数据,给企业造成不可估量的损失;由于传输平台没有认证功能,企业内部员工的越权访问、误操作、有意或无意的泄密、甚至是少数员工恶意的破坏,都会对企业的信息和数据造成很大的威胁;由于传输平台没有访问控制和平安隔离的功能,给外部非法人员提供了入侵的时机,非法人员可以通过专用的黑客程序〔此类工具在Internet上可以免费下载〕,或者盗取授权员工的访问权限,进入公司网络系统内部,让“网络巨人折戟沉沙,使系统平安溃于蚁穴的〞。
由于XX集团分支机构和联网网点数目众多,知名度大,受攻击的几率相对较大,一旦通过计算机终端进入公司总部效劳器,后果将不堪设想。
从管理方面考虑,XX集团处于高速开展阶段,拥有的分支机构和计算机终端较多,面临最紧迫的问题就是信息的汇总、分支机构的信息交互以及计算机终端的集中管理。
DDN、ADSL等组网方式由于本身的技术限制,不可能提供强大的管理平台,也不可能解决大规模的应用和管理问题。
从经营角度考虑,XX集团需要一个实时的、平安的、高速的、快捷的、稳定的信息交互平台,来满足企业信息频繁传输的需要,增加企业的工作效率,提高企业的效劳质量,加快企业的信息化建立,适应企业的快速开展,提升企业的良好形象。
采用VPN方式组网具有投资本钱低、高带宽、高可靠性、高平安性以及灵活的可扩展性的优点,且VPN产品特有的具有对internet上的内部移动用户平安接入,可以彻底消除地域差异,实现可移动用户的网络互连及基于internet的可移动平安访问控制。
因此,采用VPN方式组网对XX集团来说是一种现实可行的,完全可以满足公司员工在办事处、在外出差、在家秉承办公的业务需要。
下面是VPN与专线的综合比较:
VPN技术
专线技术
平安性
非常高,保护数据传输的完整性、保密性、不可抵赖性;平安控制在用户手里
比较高。
但是,平安是建立在对电信部门相信的根底上,对电信运营商,无任何平安可言。
可扩展性
基于TCP/IP技术,接入方式灵活,只要网络可达,就可以方便扩展。
依靠当地运营商的支持,扩展很不方便。
投资本钱
设备一次性投入,不需要支出每月的运营费用,长期看来大幅度节省支出。
专线费用很高,需要每月支付昂贵的专线租用费用,而且在初期要一次性投入路由器的费用
对远程用户的支持
能对internet上的内部移动用户平安接入,彻底消除地域差异。
构造全球的虚拟专网。
只能联通专线拉到的网络,不支持离开局域网的内部用户接入专网。
带宽
使用各种廉价的宽带介入方式,如:
ADSL,Ethernet等,一般在1~100M。
由于价格昂贵,一般租用的带宽都比较窄〔一般不超过2M〕。
升级
依赖于设备的升级,非常方便。
依赖于电信部门。
表1-1VPN与专线比较表
综上所述,如何快捷地解决XX集团的企业联网问题,如何有效地解决企业巨额通讯费和专线租用费,如何很好地解决“信息的共享和信息的平安问题〞是本方案重点讨论要解决的问题,使整个网络的互联性得到极大提高,使整个网络的平安性到达一个全面加强,使网络系统的每个局部都不会成为“木桶的最短一块木板〞是本系统方案要实现的目标。
第二章设计原那么和设计思想
系统的总体设计思想是要表达技术的先进性和决策的前瞻性,着力于“实用性、高起点、前瞻性、扩展性〞。
具体的我们遵循了以下原那么:
2.1平安性原那么
在公司网络运行的各个环节中,都应该严格注意平安的问题,防止其中的任一过程存在着平安的漏洞,从而影响整个公司业务运作的大局。
随着计算机网络技术的提高,网络的平安性也越来越值得人们注意和防范,在该方案中,安达通公司时刻强调高度的平安性。
我们在进展系统设计时将提供多种手段保障系统的平安,对相关的网络设备、主机系统、应用数据库提供严密的保护。
同时,采用国际上最新的主流VPN技术,确保用户能充分利用网络的互通性和易用性,同时可以为用户尽可能地降低系统投入本钱,实现高效益。
网络平安需要依靠综合手段才能够实现。
一方面需要好的平安技术产品,好的平安策略;另一方面,更为重要的是要有完善的平安管理制度。
从技术角度来看,一个完善的网络平安系统应该包括以下三个方面:
1.平安防护
2.主动平安评估
3.平安实时监控
平安防护就是通过防火墙〔在本方案中采用具备Firewall功能的安达通“平安网关〞〕或网络物理隔离等设备,对进出网络的数据包进展控制;同时在应用、主机上限制非法用户进入,或者用户越权访问。
主动平安评估是基于平安防护的根底上进展的,在通过了平安防护之后,可以借助平安工具或者是有经历的平安专家来进展平安评估。
平安实时监控也是属于主动防御范畴。
指在我们对网络上的各种行为进展监控,例如黑客攻击一个系统之前,往往需要了解这个系统的构造或者漏洞,他们往往会利用网络扫描工具对某个网段或者主机进展扫描,实时监控系统能够检测到这类行为。
我公司坚持以高度平安性为根本原那么,有效地防止网络的非法侵入,保护关键的数据不被非法窃取、篡改或泄漏,使数据具有极高的可信性。
2.2实用性原那么
系统在设计上一方面将满足双向的数据传送、实时处理的要求;另一方面,又采用国际上最先进的技术,使系统完成后,保持一定时期的领先地位。
尤其是采用了目前国际上领先的“平安网关〞技术,将“Firewall+VPN+IDS〞技术的充分糅合,较单纯的Firewall技术具有不可比较的优势,表达在:
不仅具有FireWall的保护内网、提供效劳的功能,而且利用VPN技术,可以解决Firewall所不能解决的外网用户的平安接入问题〔在本方案中,导致可以直接省略“拨号效劳器〞〕,同时可以不受接入数量限制,这使整个网络系统的可用性大幅度提高。
利用IDS技术,不仅强化了本身的抗攻击能力,而且可以与IDS系统互动。
实用性原那么既要做到先进技术与现有成熟技术相兼顾,又要使系统的高性能与实用性相结合。
2.3可靠性原那么
这套网络平安系统是企业内网的门户。
它的稳定可靠关系重大,特别是具体业务工程。
随着使用的普及,信息平台的运行不稳定甚至瘫痪将严重影响企业的形象,也将给为企业带来不便和不可低估的损失。
因此可靠性是平台运行的首要保证。
我公司将采用相应的手段保证系统、网络和数据的稳定可靠性,采用负载均衡技术、备份技术就是其中的重要策略。
2.4可扩展性原那么
网络平安互联建立应该是统一规划、分步实施、逐步完善的的过程。
我公司在该方案的设计中充分考虑它的可扩展性,在实现根本的网络互联以及被动防护系统〔安装“平安网关及其管理平台〞,配发远程移动客户〔平安网关客户端〕〕以及信息传输加密的前提下,为以后进一步实现网络的主动防护系统,主要包括IDS、漏洞扫描系统和统一的平安策略管理系统都留有相应的接口,便于以后的扩展以及与IDS等设备实现互动。
2.5易管理性原那么
网络系统的管理和维护工作也是至关重要的。
在系统设计时既要充分考虑平台的易管理性,为平台维护者提供方便的管理工具;同时又要设计标准但不失灵活的工作流程。
安达通公司提供“PKI网管平台〞对平安网关、移动客户进展统一管理。
另外,与“平安策略效劳器〞统一布署,可以统一管理平安网关、IDS、扫描系统的平安策略。
另外,通过网管平台,可以实现远程平安管理和本地管理等多种管理手段。
第三章XX集团VPN网络建立方案
3.1VPN技术简介
1、基于IPsec的VPN技术
VPN〔虚拟专用网〕技术是指通过公共网络建立私有数据传输通道〔即隧道〕,将远程的分支机构、商业伙伴、移动办公用户等平安连接起来的一种专用网络技术。
在该网中的主机将不再感觉到公共网络的存在,仿佛所有的主机都处于一个网络之中。
对企业而言,VPN可以替代传统租用线来连接计算机或局域网等。
而任何VPN业务都是基于隧道技术实现的,隧道机制是VPN实施的关键。
数据通过平安的"加密管道"在公共网络中传播。
企业只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相传递信息;同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入企业网中。
使用VPN有节省本钱、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后企业网络开展的趋势。
在众多的VPN解决方案中,IP-VPN脱颖而出,成为众多企业组建VPN的首选方案。
IP-VPN是指在运行IP协议的网络上实现的VPN。
世界上最大的IP网络就是Internet。
由于Internet正在使用的IPv4协议在设计初期并没有过多地考虑平安问题,因此无法为用户解决他们所担忧的数据平安保密性。
IP-VPN在使用了一些额外的平安技术后,解决了这一难题。
目前,国际主流的大多是基于Ipsec的VPN技术,该技术正在迅速走向成熟,而且它正处于兴盛期。
图3-1VPN组网示意图
虚拟专网的重点在于建立平安的数据通道,构造这条平安通道的协议必须具备以下条件:
保证数据的真实性:
通信主机必须是经过授权的,要有抵抗地址冒认〔IPSpoofing〕的能力。
保证数据的完整性:
接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。
保证通道的机密性:
提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
提供动态密匙交换功能:
提供密匙中心管理效劳器,必须具备防止数据重演〔Replay〕的功能,保证通道不能被重演。
提供平安防护措施和访问控制:
要有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进展访问控制〔AccessControl〕。
虚拟专用网VPN可以使在Internet中的信息交换有平安保障,大多数的VPN产品支持IPSec。
最初VPN技术被设想为Intenet节点的连接方式,后来它很快被公认为是一种远端的接入技术,例如在一个远程的PC或笔记本电脑用户与他的公司本部之间建立的加密通道。
目前,VPN技术正在迅速走向成熟,而且它正处于兴盛期。
2、全动态VPN组网方式
IP-VPN的联网方式大致有三种:
1、固定IP与固定IP;
2、固定IP与动态IP;
3、动态IP与动态IP。
第一种的联网方式是比较传统的方式,技术上实现最容易,目前的防火墙等设备就可以实现这种功能;第二种的VPN联网方式对于目前大多数专业的VPN厂商也根本能解决;而第三种方式即动态IP与动态IP之间的VPN通讯却成了很多厂商和科研机构望而却步的技术难题,实现起来并解决大规模的实际应用就更加困难。
安达通公司作为国内领先的专业VPN厂商,投入了很大的人力、财力,经过一段时间的攻关和研究,最终以“策略效劳器〞的方式解决了这个难题。
“策略效劳器〞管理系统由DynamicVPN管理效劳器、网络管理员和DynamicVPN网元组成。
Dynamic管理效劳器由WEB效劳器、管理应用效劳器、数据库效劳器组成。
WEB效劳器负责以WEB效劳的形式对外提供各种管理效劳,管理应用效劳器完成具体的逻辑与业务处理功能,数据库效劳器负责保存DynamicVPN管理所需要的各种数据,它可以是关系数据库和/或LDAP效劳器。
安达通公司的“策略效劳器〞不但真正解决了全动态的VPN组网方案,还融入了PKI技术,采用基于数字证书的动态IKE进展协商和认证,解决了大规模VPN组网的平安管理和平安认证技术。
3、基于IP-VPN中NAT穿透问题
基于IPsec的VPN解决方案中NAT穿透问题一直是很多厂商以及客户所棘手的问题。
不但IPsec协议本身不能穿透NAT设备,就是常用的视频、语音等通讯方式所用的H.323和SIP协议也不能穿透NAT。
下面以A、B两地实现视频会议为例,阐述一下NAT穿透问题。
我们假设在宽带城域网有两个用户A和B,其中A用户处在私网内部,B用户是在Internet公网上,这两个用户都安装了IP视频会议终端,希望通过宽带城域网开个临时的视频会议。
如下列图示,B用户首先呼叫A用户,B用户发出的H.323或SIP建立会话连接的初始化包发送到A用户网络的NAT设备时,由于NAT设备只做IP地址转换的处理,因此不知道该如何将B用户发来的H.323或SIP建立会话连接的初始化包转发给内网的哪个用户,只好将该初始化包丢弃。
而A用户虽然一直在等待B用户的初始化包,但A用户却永远等不到B用户的初始化包,这样A用户和B用户永远都建立不起来H.323或SIP会话连接,也就无法开IP视频会议。
图3-2NAT穿透问题示意图〔一〕
另一种情况也一样,由A用户首先呼叫B用户,如下列图示,A用户发出的H.323或SIP建立会话连接的初始化包发送到A用户网络的NAT设备时,由于NAT设备只做IP地址转换的处理,NAT设备将该IP包包头中的A用户私网地址替换成自己的公网地址,这样A用户发出的H.323或SIP建立会话连接的初始化包才能够发送B用户处,B用户上层的视频会议应用程序收到该初始化包,并作出应答,但是A用户在发出建立会话连接的初始化包时,在上层应用数据包中采用的地址是A用户的私网地址,这样B用户上层的视频会议应用程序就会采用初始化包中上层应用数据包里的A用户的私网地址来发送应答包,由于A用户的地址是私网地址,因此该应答包就无法在公网上传送。
这样A用户和B用户还是建立不起来H.323或SIP会话连接,还是无法开IP视频会议。
图3-3NAT穿透问题示意图〔二〕
安达通公司作为国内领先的专业VPN厂商,经过一段时间的攻关和研究,初步解决了NAT穿透问题,为企业构建跨城域网的VPN网络以及视频、语音通讯的建立提供了解决方案。
如果需要实现穿越NAT的平安连接,需要在内部网络和外部网络之间设置ADT引擎〔需要在NAT设备上为ADT引擎作静态地址翻译〕或者在外网〔公网〕设置ADT引擎。
ADT引擎是一个专用UDP-T(即UDP隧道)数据包的路由转发软件,放置在网络边缘,在内部网络和外部网络之间转发数据流量。
下面为数据包的构造:
UDP-T封装标准IP报文
IPTunnelHeader
UDPHeader
UDP-Theader
IPvirtualheader
IPSecheaders(optional)
Payload
UDP-T包在经过ADT引擎转发时,ADT引擎根据UDP-T包内的UDP-THeader域所指定的路由信息来更换UDP-T包IPTunnelHeader域的源地址和目的地址,从而完成从一个私网成员到另一个私网成员的包转发,而UDP-T包内部的IPVirtualHeader的源地址和目的地址始终保持不变,保证了上层应用中IP地址的完整性,从而实现IPSec、和SIP等多媒体协议端到端通信的完整性。
企业建立平安的信息系统,一个前提是不能改变原有的应用方式,并且既要保证平安的远程访问〔加密〕,又要和正常的直接访问〔明文〕相兼容,适合多种多样的应用需求。
按照本方案建立的网络平安系统,将在不改变应用系统构造和用户的使用习惯已经与正常访问兼容的根底之上,为XX集团的信息系统提供强有力的平安保障,并在移动接入、分支机构网络等方面为企业节省本钱,带来直接的效益。
3.2.1VPN系统对原有系统的兼容
VPN平安网关遵循标准的Ipsec和IKE协议,在网络层对IP数据包进展加密,对网络中的数据流做基于五元组的访问控制,因此,对于应用系统是完全透明的,即上层的应用程序感觉不到数据在传输过程中被加密;也就是最终用户感觉不出使用了VPN前后在网络系统上有什么不同,也不必对自己平时的使用习惯做任何改变;应用程序的开发商也不需要对在VPN上使用的系统做特别的修改。
在XX集团内部,无论是目前已投入使用的多套应用系统,还是以后的新系统,不管系统平台如何,采用的构造是传统的C/S还是B/S,都将可以平滑过渡到VPN网络平台上使用。
Ipsec协议决定了只要在网络传输上使用TCP/IP协议的应用系统,都可以在VPN平台下正常运行,然而在TCP/IP协议作为事实上的工业标准的今天,任何新开发的应用系统都是基于此的,因此对于将来的ERP等系统修改、扩展乃至增加系统等等,VPN系统完全不需更改,不必要担忧应用系统的兼容性问题。
3.2.2VPN系统对原有网络的兼容
由于根据网络设计VPN设备——VPN平安网关将会串行的连接在总部的路由器之后,并将作为分公司的路由设备为网络提供路由,因此,在增加了这个设备后会不会影响原有正常的网络访问,比方WEB、MAIL、DNS等等是一个必须说明并确认的问题。
这个问题可以分为二个方面来讨论,首先是内部的效劳器是否能象原来一样向外提供效劳,其次是内部网络用户是否能正常访问互联网〔Internet〕。
下面将就这二点分别阐述。
1)效劳器单独放在一个子网中,使用私有IP地址,对外是不可见的,但可以通过在VPN平安网关上配置静态端口映射,使得外部网络可以访问到该效劳器的某端口,而通常效劳器都是通过TCP或UDP的某一个的端口来提供效劳〔比方WEB使用TCP的80端口,DNS使用UDP的53端口等等〕,因此对于绝大多数的应用,都可以使用静态端口映射来满足向外提供效劳的需求。
对于某些少数在网络通信中使用不固定端口的应用,还可以通过静态地址映射来到达目的,即将整个效劳器映射成公有地址。
这样,XX集团公司中所有需要公开的效劳器都可以利用VPN平安网关的静态端口映射和静态地址映射向外提供效劳。
2)内网主机众多,可是公有IP地址有限,要访问互联网必须通过地址转换来实现,VPN平安网关的地址池映射功能可以满足提供内部网络上互联网的要求,并且还可以对上网的主机和时间段作出控制。
同样,对于分公司的子网,也可以通过VPN平安网关的地址池映射功能提供内部主机的上网。
为满足以上二点采用的各种技术和VPN平安加密功能都可以同时发挥作用,VPN平安网关将根据数据包的IP地址和端口〔五元组〕信息自动地对IP数据包作出相应地处理,到达以上的目的。
即VPN系统与原有的网络系统完全兼容,绝不会因建立了VPN系统而导致原有的正常访问中断或改变方式。
3.2.3网络层的访问控制和身份认证
VPN系统在网络层实现了访问控制和身份认证功能。
当一个用户需要访问受网关保护的效劳器的信息时,VPN平安网关首先根据预先配置的策略判断对方的IP地址是否授权的用户,如果有为对方配置的策略,那么开场IKE密钥协商,密钥协商包含了身份认证的过程,在基于PKI体系下的身份认证能很好地确保网络访问的平安性和唯一性。
只有在IKE密钥协商成功以后,VPN平安网关才会把效劳器的返回数据通过加密发送到客户端;对进来的数据进展完整性校验和解密。
只要策略配置适当,VPN平安网关本身没有开放的端口,即使暴露在公网上,也可以抵挡扫描、DoS等攻击行为,一些假冒IP等等攻击手段也无法攻击到网络内部,做到了对内部子网很好的保护,以及很好的身份认证功能。
在总部可以对所有的用户进展控制,如果想停顿某个分公司或移动用户对总部子网的访问,只需要在CA中心将其证书废除即可,表达了统一的管理能力。
VPN系统提供了网络层的访问控制和身份认证功能,保证只有经过授权的子网或客户端才能接入XX集团内部网络,保证了一个端到端的平安,在本身应用系统的身份认证根底上又增加了一道外围防线,更加增强了系统的强健性和平安性。
同时,通过VPN平安网关灵活的访问控制功能,可以允许平安接入和普通接入并存,即对重要的效劳器,重要的用户,实施VPN平安隧道连接,而对于普通的效劳器、普通的用户也可以实现明文的访问。
3.2.4因地制宜的部署原那么
整个VPN的平安体系由VPN平安网关、平安客户端、网管中心等多个局部组成,通过因地制宜的合理配置部署,既可以实现整体系统的平安性,也到达了一个网络系统的优化和用户使用的方便。
在XX集团公司的总部,考虑到数据库效劳器、应用效劳器等重要局部都部署在此,可以部署一台高性能的SGW25CVPN平安网关。
如果要保证总部系统的可靠性,可以采用双机热备方式,即在总部网络的出口处部署两台SGW25CVPN平安网关,做双机热备配置,如果主网关一旦发生故障当机,备份网关就会立即切换到工作状态,接替主网关承当系统的运行,整个切换过程平滑透明,不会
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 网络 建设 解决方案