上圖是2017年底的數據，看中國3家運營商的光纖寬頻用戶加起來大概275 Million，將全球的其他地方都加起來估計也趕不上這個數字。

再加上ADSL和4G作為補充，基本上保證線上辦公是沒有任何問題的。

挑戰可能是來自文化、習慣和人性方面。

1）溝通效率下降

估計所有人都有一種感覺 -- 「文字交流不如電話」、「電話交流不如視頻」、「視頻交流不如當面」。

主要因為電話中你看不到彼此，會損失掉「面部表情」和「肢體語言」的理解，缺少了這兩個，有些只可意會的信息，就必須要用「更多的語言」來描述。

而有一項研究曾經證明，當你用信息來回復一些事情的時候，人們更容易」撒謊「。就是因為他不用承擔面對面被你盯著時候所面臨的」撒謊的壓力「。

這都會導致溝通的效率大打折扣。

2）管理文化和管理習慣

另外還有企業管理上的一些問題，遠程會讓很多企業管理者產生一種「失控」的感覺，如果他看不到你在格子間勞作過程，獲得不到一種即時的回饋，」失控「的感覺就會縈繞著他。即時你的IM工具一直在線，也無法避免這種感覺的產生。

3）人性骨子裡的」惰性「

最後就是人的自控了，一個人的時候，你會放鬆自我要求，懈怠是在所難免的。中國傳統文化中」慎獨「兩字是對這種情況的精鍊描述。

從人性來說，我們都是需要一個小皮鞭不停的抽著的，就跟」拉磨的驢子「一樣，我們要經常在空氣中打個」響鞭「，不會抽在驢子身上，但空氣中的」響鞭「會讓驢子感覺這個有可能隨時抽在身上。骨子裡都是這麼賤。

所以雲上班只是適合少數人和少數行業，大部分白領還是得像60年代的紡織工人一樣，每天早早的走到自己的紡織機上，打開電腦，開始ppt

異地辦公的挑戰關鍵點不在於通信行業的硬體配套上，而在於企業自身的制度建設、作業規範和意識培養上。

制度上要解決遠程協作的決議有效性問題，要注意構建客觀業務證據留存、規範決議的產生、生效、監督等等相關制度。

圍繞這些制度，要生成規範的業務流程。

並且要投入成本對業務流程進行大量的培訓和演練。並要額外列支預算對積極擁抱轉變的典型人、事做充分的激勵。

沒有挑戰，於我們而言即便在同一個辦公室里很多東西都是用網路傳輸溝通的，儲存NAS的。

只不過，有些部門(例如產品開發)的效率就會大幅度下降。

運營部門的監管也會出現一些問題。

行政人員的溝通效率工作難度會提升。

然而問題在於，生產部門和物管部門是沒法遠程辦公的……

(●￣(工)￣●)

沒什麼挑戰 使用vpn就好了。

------------------2020年3月22日補充--------------------------

遠程辦公一個月有餘，當時看到這個問題上面寫的異地遠程辦公，對通信行業的挑戰，腦子想都沒想就寫了使用VPN即可，現在想想，其實還是有些片面了，我理解的通信行業是mobile phone，4G/5G等移動通訊網路，再稍微偏點題包含一下家用的寬頻或者IDC的網路，其實講真的，遠程辦公對上面通信行業其實影響真的不是很大。但是對公司層面還是有一定的影響，下面就講講我們在遠程辦公過程中遇到的問題吧。

1. 首先，公司企業網路IT部門對大規模遠程辦公的準備以及應對。

是否準備了充足的VPN license授權？VPN設備是否經過了壓力測試可以保證較日常幾倍甚至數十倍的接入？如何保證遠程辦公信息安全以及高效可用？如何對員工的VPN許可權進行批量的開通以及RBAC授權？

以上幾個問題都是我們需要在準備階段要考慮的，這裡可以分享給大家一些我們的經驗。

• license的問題

通常來說，企業使用遠程辦公的工具，小企業可能使用一些SaaS應用，比如釘釘，企業微信類的應用就可以解決了，這類企業對遠程辦公的需求不高，不存在一些只有通過內網才可以訪問到的關鍵業務，這裡我們就不說了。但中型企業使用這類應用可能就無法滿足他們的需要，財務需要訪問內網才能訪問的財務系統，研發需要訪問研發系統，還有一些其他的職能支撐部門同樣需要訪問內網才能使用到的系統，這時，VPN的意義就顯現出來了，但是由於中型企業企業信息化程度不高，領導層可能也對此類平時不顯眼的需求並不夠重視，（這也直接導致了企業IT網路運維部門經常是一種背鍋俠的存在，不出事情的時候記不起你的好，但是出了事肯定要你背鍋。233，感覺運維這個群體都是這樣。）可能就採用了一些開源的方案，比如OPENVPN等常見的遠程辦公工具，但是殊不知，在業務量小的時候，這類開源工具可能能夠勉強的滿足業務的需求，但是一旦出現了大規模的遠程辦公，發生的事情就會是災難級別的。繼續說大型公司以及大型互聯網公司，這樣的公司一般都會採用購買第三方網路設備廠家的成熟的方案解決，在穩定性和高可用以及支持上面，都有了質的飛躍。國內比較走在前面的比如深信服的SSLVPN，arrayvpn，華為secvpn等，國外的廠家就百花齊放了，Cisco的anyconnect方案，SonicWALL SMA以及從Juniper獨立出來的Pulse Secure都有對應的SSLVPN產品。扯了這麼多，回歸license正題，即使針對大型公司的遠程辦公的可用用戶數也不是按照100%去進行採購的，因為同時在線的並不會有那麼多用戶，一般都會根據以往的在線用戶數，按照員工數的30%-50%進行採購，但由於這次疫情，就會出現幾乎全部的員工都需要遠程辦公的情況，這時就要看廠家對於公司的支持力度了，能否聯繫廠家獲取到臨時的license？或者通過緊急採購的方式增加可用用戶數的授權，就變的尤為重要。

• 壓力測試的問題

搞定了license，但是我們現有的VPN設備也是根據原有的較低並發，較低用戶數去採買以及部署的，在大規模員工都需要通過VPN遠程辦公的時候，顯然性能指標無法滿足這樣的需求，這時，就要對設備進行緊急擴容。一般來說，VPN設備是硬體設備，是個網路設備，但是現在包括深信服，array以及國外的Pusle等廠家均可以將VPN設備虛擬化，部署在伺服器端，這樣，我們並不需要去採買硬體的設備也可以及時高效的對VPN設備進行擴容，當然，擴容也要根據實際的情況進行，擴容完成後，對設備進行壓力測試，我們的最重要的準備工作就做完了。

• 信息安全的問題

眾所眾知，SSLVPN的工作模式是不在公司總部也可以連接公司內網的一種形式，遠程辦公的便捷性和如果保證企業內部信息不被泄露，以及核心機密不被第三方拿到，不被黑客惡意攻擊甚至黑進內網，又使保障變的尤為重要。通常來說，信息泄露事件會被分為主觀和非主觀的，主觀的情況是員工A通過SSLVPN或者其他方式進入到公司內網，拷貝內網機密信息，研發的同學可能會拿走自己寫的源代碼，但是殊不知，這種行為給公司的信息造成了莫大的隱患，這類信息泄露問題從技術手段上難以限制，只能通過RBAC許可權授權模式，進行許可權最小化的限制，並對用戶進行合理的監控，在出現信息泄露風險後及時溯源，找到對應的人，封堵漏洞，並根據信息安全保密條例等書麵條例對人進行相關懲罰措施，合理保證信息安全。其次，我們再說說非主觀的行為，從登陸的這個動作來說，作為企業IT的網路運維人員就可以對員工進行保障，假如員工B的登陸密碼泄露了，黑客A也無法通過他的密碼登陸VPN，這時我們需要用到OTP（ONE TIME PASSWORD）技術，這個還是很普遍的一個動作，即二次認證，用戶在輸入完密碼之後，也要輸入一個動態口令進行二次校驗，保證登陸進來的人是用戶本人。這個我們也可以通過VPN設備的一些特性或者自帶的API開發出手機驗證碼登陸，或掃碼登陸等。說完了登陸，再說說黑客通過安全漏洞進入公司內網的情況，說到VPN設備的安全漏洞，這裡可以和大家同步一下，OPENVPN等開源的工具雖好，而且免費，但是在安全方面的確有一些問題，作為企業內網的大門口，切勿掉以輕心，答主上面提到的那些成熟的廠家都會時不時的爆出一些0day漏洞，但是最好的是，廠家會對漏洞進行及時高效的修復，保證網路安全。

• VPN許可權的開通以及開通後賦予什麼許可權

做好上面的準備工作了，我們在服務端的技術準備上就基本完成了，下面怎麼保證用戶擁有VPN許可權以及被賦予合理的許可權呢？大型企業通常都有域網路，用戶的終端是加域設備，同時也擁有域賬號（一般都是郵箱的前綴），每一個域賬號都會在一些不同的AD域安全組裡面，其中的屬性在VPN設備的後台可以進行定義，添加了安全組A的員工小明擁有VPN許可權，沒有添加安全組A的員工小浩沒有VPN許可權，通過域控不同屬性的安全組控制，我們給全部的員工都添加安全組A，這樣，全部的員工就都擁有了臨時的VPN許可權（僅在特殊時期我們這樣做，不建議給全部員工直接開通VPN許可權，如果出現了上面主觀泄露信息的事件發生，企業IT運維部門會很被動）。同理，員工撥入VPN之後可以獲取到那些網路許可權，非研發的同事只可以訪問80 443埠的內網應用同時不可以訪問代碼庫，研發的同事許可權稍微大一些有22 ssh等敏感許可權，但也不可以訪問非自己所屬的代碼庫（這個就不是VPN網路層控制的了，是代碼庫應用層控制）。

至此，我們終於完成了遠程辦公VPN的所有準備工作。當然在準備的時候還會遇到很多問題，正確添加VPN用戶段的路由，網路許可權，是否採用NAT模式部署節省IP地址，採用NAT後會不會造成問題等等等等。哦對了最重要的，我們如何把VPN作為一個公網設備發布出去，這個我們放到最後再談。

2. 其次，VPN客戶端的問題以及客戶端網路的問題

終於搞定了服務端的部署擴容等讓人頭大的問題之後，你以為這就完了？不，你的噩夢才剛剛開始。這裡我們就不討論OPENVPN那些反人類的安裝方式的客戶端了，真的你跟一個對電腦一竅不通的業務同事交流的時候是會讓你非常崩潰的，我們著重說廠家提供的VPN客戶端。在開始的時候我們也著重先把用戶如何拿到VPN客戶端做個範例，讓大家有作業可抄。

• 分發客戶端

VPN客戶端不同於其他客戶端，在國內談VPN色變的大環境下，VPN的其他功能早已把人們對VPN的正常功能給湮滅了，其實VPN真的只是一種遠程辦公的工具，只不過VPN也可以讓跨國企業連到國外去，所以VPN可能也可以fanqiang。這種情況也就導致了App Store基本上搜不到什麼VPN客戶端，Android更是沒有。但是還好，我們的VPN客戶端一般都是給laptop終端使用的，我們可以通過下面幾種方式分發。

最最常見的方式：上傳到百度網盤等公有雲網盤中給用戶下載

最最奢侈的方式：上傳到企業的伺服器或者CDN資源池中給用戶下載（通常會在VPN的前端漏出一個幫助頁面用來給用戶展示使用教程以及客戶端）

最最不好用的方式：通過登錄websslvpn，用戶的瀏覽器拉起下載程序。為什麼說這個是最最不好用的呢，就個人體驗來說，安裝的客戶端有時會不可應，用戶操作難度也大。

• 客戶端五花八門，非標準化的設備安裝VPN客戶端

在客戶端安裝上面，真的說多了都是淚，由於疫情突然，假期延後的情況也是突然發生，很多不熱愛（在家）工作的員工沒有攜帶公司配發的電腦回家，這就造成了客戶端安裝的噩夢，你不要低估你員工家裡面用戶終端的操作系統，Windows XP已經算是給你面子，甚至你能看到夭折的Windows Vista系統。奔騰CPU的電腦我感覺能開機已經是個奇蹟了，我們的員工竟然可以在上面正常安裝了VPN。通常在遇到這種問題的時候，如果IT工程師在現場，還可以嘗試解決一下，但是對於遠在天邊的用戶，一個不知道如何卸載軟體，如何ipconfig，如何ping的用戶來說，你只能像熱鍋上的螞蟻，干著急了。但是針對這種情況，我們並不是一點辦法都沒有，針對非標裝的系統，針對一些常見的安裝錯誤以及使用錯誤，企業IT部門可以提供修復工具，可以用戶傻瓜式一鍵修復網路，一鍵清空DNS，一鍵安裝所需要的組件包。直擊用戶痛點解決問題。同時，用戶也可以使用websslvpn訪問B/S架構下的應用，但是這種方式有個缺點，傳統的websslvpn無法滿足用戶C/S架構的應用使用了。

• 客戶端網路側問題（國情導致）

SSLVPN這個東西怎麼說呢，本來就是跑在公網上面的應用，他不像專線，也不像mplsvpn，受諸多第三方因素影響，網路抖動，運營商攔截，跨地域互通。underlay的網路情況直接決定了overlay的網路狀況。運營商和用戶圈裡面廣傳的一句話，要想孩子學習好，cc寬頻少不了。一些小運營商，NAT了八百回的網路，穿透了N多網路設備才能到達VPN設備，你無法保證你用戶側的網路到VPN的網路是百分百不丟包的，但是這些道理運維人員都懂，可是到用戶那面最直觀的感受就是VPN卡慢斷，不懂技術的用戶可不會聽你解釋，他會和你講我不用VPN測試也能跑滿百兆啊，怎麼用了VPN網路就這麼差。這些你和用戶講了他也不會理睬，只能打掉牙往自己肚子里咽。當然，我們有沒有更高效的辦法去解決這個問題，雖然不能百分百解決，但是還是有的，我們從服務端入手，將VPN服務儘可能的從網路質量好的BGP機房映射或者發布出去，BGP機房能夠學到眾多運營商的大段路由，從而相對保證用戶側的網路體驗。

3. 最後如何高效的運維遠程辦公平台VPN

所有業務所有項目說到最後都要歸到運維階段，如何保證遠程辦公業務的連續性，也是我們需要思考的，後端多台VPN承載流量，多機房不同維度部署，VPN故障後如何保證網路運維人員能夠登陸進來解決故障等等問題。

• VPN系統的冗餘，認證系統的冗餘

通常來說，網路設備都需要冗餘備份，即HA部署，不管熱備還是冷備，都要有個備份，多機房備份，多維度備份。保證業務連續性。當然，認證系統也是要備份的，不然你VPN設備沒問題，認證系統掛了，那豈不是說出去很沒面子？

• 不要把自己鎖在外面（論一個合格的網路運維人員的自我修養）

適當的給自己留個後門，不要把自己鎖在外面是對所有網路運維人員的忠告，哦對了。網管家裡的網路千萬不要使用小運營商的寬頻，要不到時候哭都找不到地方，另外，家裡面wifi6就算上不了，最起碼也要上個牛逼點的路由器。哈哈哈哈哈哈哈。

說了這麼多，分享一些工作中遇到的問題和經驗，與各位同行互勉。答主也才工作1年有餘，上面的言論和一些技術點可能過於片面，另外企業IT網路運維方面的受眾群體也不是很多，希望各位有幸看到此回答的前輩不吝賜教，後生在此謝過。

---

推薦閱讀：