上图是2017年底的数据，看中国3家运营商的光纤宽频用户加起来大概275 Million，将全球的其他地方都加起来估计也赶不上这个数字。

再加上ADSL和4G作为补充，基本上保证线上办公是没有任何问题的。

挑战可能是来自文化、习惯和人性方面。

1）沟通效率下降

估计所有人都有一种感觉 -- 「文字交流不如电话」、「电话交流不如视频」、「视频交流不如当面」。

主要因为电话中你看不到彼此，会损失掉「面部表情」和「肢体语言」的理解，缺少了这两个，有些只可意会的信息，就必须要用「更多的语言」来描述。

而有一项研究曾经证明，当你用信息来回复一些事情的时候，人们更容易」撒谎「。就是因为他不用承担面对面被你盯著时候所面临的」撒谎的压力「。

这都会导致沟通的效率大打折扣。

2）管理文化和管理习惯

另外还有企业管理上的一些问题，远程会让很多企业管理者产生一种「失控」的感觉，如果他看不到你在格子间劳作过程，获得不到一种即时的回馈，」失控「的感觉就会萦绕著他。即时你的IM工具一直在线，也无法避免这种感觉的产生。

3）人性骨子里的」惰性「

最后就是人的自控了，一个人的时候，你会放松自我要求，懈怠是在所难免的。中国传统文化中」慎独「两字是对这种情况的精炼描述。

从人性来说，我们都是需要一个小皮鞭不停的抽著的，就跟」拉磨的驴子「一样，我们要经常在空气中打个」响鞭「，不会抽在驴子身上，但空气中的」响鞭「会让驴子感觉这个有可能随时抽在身上。骨子里都是这么贱。

所以云上班只是适合少数人和少数行业，大部分白领还是得像60年代的纺织工人一样，每天早早的走到自己的纺织机上，打开电脑，开始ppt

异地办公的挑战关键点不在于通信行业的硬体配套上，而在于企业自身的制度建设、作业规范和意识培养上。

制度上要解决远程协作的决议有效性问题，要注意构建客观业务证据留存、规范决议的产生、生效、监督等等相关制度。

围绕这些制度，要生成规范的业务流程。

并且要投入成本对业务流程进行大量的培训和演练。并要额外列支预算对积极拥抱转变的典型人、事做充分的激励。

没有挑战，于我们而言即便在同一个办公室里很多东西都是用网路传输沟通的，储存NAS的。

只不过，有些部门(例如产品开发)的效率就会大幅度下降。

运营部门的监管也会出现一些问题。

行政人员的沟通效率工作难度会提升。

然而问题在于，生产部门和物管部门是没法远程办公的……

(●￣(工)￣●)

没什么挑战 使用vpn就好了。

------------------2020年3月22日补充--------------------------

远程办公一个月有余，当时看到这个问题上面写的异地远程办公，对通信行业的挑战，脑子想都没想就写了使用VPN即可，现在想想，其实还是有些片面了，我理解的通信行业是mobile phone，4G/5G等移动通讯网路，再稍微偏点题包含一下家用的宽频或者IDC的网路，其实讲真的，远程办公对上面通信行业其实影响真的不是很大。但是对公司层面还是有一定的影响，下面就讲讲我们在远程办公过程中遇到的问题吧。

1. 首先，公司企业网路IT部门对大规模远程办公的准备以及应对。

是否准备了充足的VPN license授权？VPN设备是否经过了压力测试可以保证较日常几倍甚至数十倍的接入？如何保证远程办公信息安全以及高效可用？如何对员工的VPN许可权进行批量的开通以及RBAC授权？

以上几个问题都是我们需要在准备阶段要考虑的，这里可以分享给大家一些我们的经验。

• license的问题

通常来说，企业使用远程办公的工具，小企业可能使用一些SaaS应用，比如钉钉，企业微信类的应用就可以解决了，这类企业对远程办公的需求不高，不存在一些只有通过内网才可以访问到的关键业务，这里我们就不说了。但中型企业使用这类应用可能就无法满足他们的需要，财务需要访问内网才能访问的财务系统，研发需要访问研发系统，还有一些其他的职能支撑部门同样需要访问内网才能使用到的系统，这时，VPN的意义就显现出来了，但是由于中型企业企业信息化程度不高，领导层可能也对此类平时不显眼的需求并不够重视，（这也直接导致了企业IT网路运维部门经常是一种背锅侠的存在，不出事情的时候记不起你的好，但是出了事肯定要你背锅。233，感觉运维这个群体都是这样。）可能就采用了一些开源的方案，比如OPENVPN等常见的远程办公工具，但是殊不知，在业务量小的时候，这类开源工具可能能够勉强的满足业务的需求，但是一旦出现了大规模的远程办公，发生的事情就会是灾难级别的。继续说大型公司以及大型互联网公司，这样的公司一般都会采用购买第三方网路设备厂家的成熟的方案解决，在稳定性和高可用以及支持上面，都有了质的飞跃。国内比较走在前面的比如深信服的SSLVPN，arrayvpn，华为secvpn等，国外的厂家就百花齐放了，Cisco的anyconnect方案，SonicWALL SMA以及从Juniper独立出来的Pulse Secure都有对应的SSLVPN产品。扯了这么多，回归license正题，即使针对大型公司的远程办公的可用用户数也不是按照100%去进行采购的，因为同时在线的并不会有那么多用户，一般都会根据以往的在线用户数，按照员工数的30%-50%进行采购，但由于这次疫情，就会出现几乎全部的员工都需要远程办公的情况，这时就要看厂家对于公司的支持力度了，能否联系厂家获取到临时的license？或者通过紧急采购的方式增加可用用户数的授权，就变的尤为重要。

• 压力测试的问题

搞定了license，但是我们现有的VPN设备也是根据原有的较低并发，较低用户数去采买以及部署的，在大规模员工都需要通过VPN远程办公的时候，显然性能指标无法满足这样的需求，这时，就要对设备进行紧急扩容。一般来说，VPN设备是硬体设备，是个网路设备，但是现在包括深信服，array以及国外的Pusle等厂家均可以将VPN设备虚拟化，部署在伺服器端，这样，我们并不需要去采买硬体的设备也可以及时高效的对VPN设备进行扩容，当然，扩容也要根据实际的情况进行，扩容完成后，对设备进行压力测试，我们的最重要的准备工作就做完了。

• 信息安全的问题

众所众知，SSLVPN的工作模式是不在公司总部也可以连接公司内网的一种形式，远程办公的便捷性和如果保证企业内部信息不被泄露，以及核心机密不被第三方拿到，不被黑客恶意攻击甚至黑进内网，又使保障变的尤为重要。通常来说，信息泄露事件会被分为主观和非主观的，主观的情况是员工A通过SSLVPN或者其他方式进入到公司内网，拷贝内网机密信息，研发的同学可能会拿走自己写的源代码，但是殊不知，这种行为给公司的信息造成了莫大的隐患，这类信息泄露问题从技术手段上难以限制，只能通过RBAC许可权授权模式，进行许可权最小化的限制，并对用户进行合理的监控，在出现信息泄露风险后及时溯源，找到对应的人，封堵漏洞，并根据信息安全保密条例等书面条例对人进行相关惩罚措施，合理保证信息安全。其次，我们再说说非主观的行为，从登陆的这个动作来说，作为企业IT的网路运维人员就可以对员工进行保障，假如员工B的登陆密码泄露了，黑客A也无法通过他的密码登陆VPN，这时我们需要用到OTP（ONE TIME PASSWORD）技术，这个还是很普遍的一个动作，即二次认证，用户在输入完密码之后，也要输入一个动态口令进行二次校验，保证登陆进来的人是用户本人。这个我们也可以通过VPN设备的一些特性或者自带的API开发出手机验证码登陆，或扫码登陆等。说完了登陆，再说说黑客通过安全漏洞进入公司内网的情况，说到VPN设备的安全漏洞，这里可以和大家同步一下，OPENVPN等开源的工具虽好，而且免费，但是在安全方面的确有一些问题，作为企业内网的大门口，切勿掉以轻心，答主上面提到的那些成熟的厂家都会时不时的爆出一些0day漏洞，但是最好的是，厂家会对漏洞进行及时高效的修复，保证网路安全。

• VPN许可权的开通以及开通后赋予什么许可权

做好上面的准备工作了，我们在服务端的技术准备上就基本完成了，下面怎么保证用户拥有VPN许可权以及被赋予合理的许可权呢？大型企业通常都有域网路，用户的终端是加域设备，同时也拥有域账号（一般都是邮箱的前缀），每一个域账号都会在一些不同的AD域安全组里面，其中的属性在VPN设备的后台可以进行定义，添加了安全组A的员工小明拥有VPN许可权，没有添加安全组A的员工小浩没有VPN许可权，通过域控不同属性的安全组控制，我们给全部的员工都添加安全组A，这样，全部的员工就都拥有了临时的VPN许可权（仅在特殊时期我们这样做，不建议给全部员工直接开通VPN许可权，如果出现了上面主观泄露信息的事件发生，企业IT运维部门会很被动）。同理，员工拨入VPN之后可以获取到那些网路许可权，非研发的同事只可以访问80 443埠的内网应用同时不可以访问代码库，研发的同事许可权稍微大一些有22 ssh等敏感许可权，但也不可以访问非自己所属的代码库（这个就不是VPN网路层控制的了，是代码库应用层控制）。

至此，我们终于完成了远程办公VPN的所有准备工作。当然在准备的时候还会遇到很多问题，正确添加VPN用户段的路由，网路许可权，是否采用NAT模式部署节省IP地址，采用NAT后会不会造成问题等等等等。哦对了最重要的，我们如何把VPN作为一个公网设备发布出去，这个我们放到最后再谈。

2. 其次，VPN客户端的问题以及客户端网路的问题

终于搞定了服务端的部署扩容等让人头大的问题之后，你以为这就完了？不，你的噩梦才刚刚开始。这里我们就不讨论OPENVPN那些反人类的安装方式的客户端了，真的你跟一个对电脑一窍不通的业务同事交流的时候是会让你非常崩溃的，我们著重说厂家提供的VPN客户端。在开始的时候我们也著重先把用户如何拿到VPN客户端做个范例，让大家有作业可抄。

• 分发客户端

VPN客户端不同于其他客户端，在国内谈VPN色变的大环境下，VPN的其他功能早已把人们对VPN的正常功能给湮灭了，其实VPN真的只是一种远程办公的工具，只不过VPN也可以让跨国企业连到国外去，所以VPN可能也可以fanqiang。这种情况也就导致了App Store基本上搜不到什么VPN客户端，Android更是没有。但是还好，我们的VPN客户端一般都是给laptop终端使用的，我们可以通过下面几种方式分发。

最最常见的方式：上传到百度网盘等公有云网盘中给用户下载

最最奢侈的方式：上传到企业的伺服器或者CDN资源池中给用户下载（通常会在VPN的前端漏出一个帮助页面用来给用户展示使用教程以及客户端）

最最不好用的方式：通过登录websslvpn，用户的浏览器拉起下载程序。为什么说这个是最最不好用的呢，就个人体验来说，安装的客户端有时会不可应，用户操作难度也大。

• 客户端五花八门，非标准化的设备安装VPN客户端

在客户端安装上面，真的说多了都是泪，由于疫情突然，假期延后的情况也是突然发生，很多不热爱（在家）工作的员工没有携带公司配发的电脑回家，这就造成了客户端安装的噩梦，你不要低估你员工家里面用户终端的操作系统，Windows XP已经算是给你面子，甚至你能看到夭折的Windows Vista系统。奔腾CPU的电脑我感觉能开机已经是个奇迹了，我们的员工竟然可以在上面正常安装了VPN。通常在遇到这种问题的时候，如果IT工程师在现场，还可以尝试解决一下，但是对于远在天边的用户，一个不知道如何卸载软体，如何ipconfig，如何ping的用户来说，你只能像热锅上的蚂蚁，干著急了。但是针对这种情况，我们并不是一点办法都没有，针对非标装的系统，针对一些常见的安装错误以及使用错误，企业IT部门可以提供修复工具，可以用户傻瓜式一键修复网路，一键清空DNS，一键安装所需要的组件包。直击用户痛点解决问题。同时，用户也可以使用websslvpn访问B/S架构下的应用，但是这种方式有个缺点，传统的websslvpn无法满足用户C/S架构的应用使用了。

• 客户端网路侧问题（国情导致）

SSLVPN这个东西怎么说呢，本来就是跑在公网上面的应用，他不像专线，也不像mplsvpn，受诸多第三方因素影响，网路抖动，运营商拦截，跨地域互通。underlay的网路情况直接决定了overlay的网路状况。运营商和用户圈里面广传的一句话，要想孩子学习好，cc宽频少不了。一些小运营商，NAT了八百回的网路，穿透了N多网路设备才能到达VPN设备，你无法保证你用户侧的网路到VPN的网路是百分百不丢包的，但是这些道理运维人员都懂，可是到用户那面最直观的感受就是VPN卡慢断，不懂技术的用户可不会听你解释，他会和你讲我不用VPN测试也能跑满百兆啊，怎么用了VPN网路就这么差。这些你和用户讲了他也不会理睬，只能打掉牙往自己肚子里咽。当然，我们有没有更高效的办法去解决这个问题，虽然不能百分百解决，但是还是有的，我们从服务端入手，将VPN服务尽可能的从网路质量好的BGP机房映射或者发布出去，BGP机房能够学到众多运营商的大段路由，从而相对保证用户侧的网路体验。

3. 最后如何高效的运维远程办公平台VPN

所有业务所有项目说到最后都要归到运维阶段，如何保证远程办公业务的连续性，也是我们需要思考的，后端多台VPN承载流量，多机房不同维度部署，VPN故障后如何保证网路运维人员能够登陆进来解决故障等等问题。

• VPN系统的冗余，认证系统的冗余

通常来说，网路设备都需要冗余备份，即HA部署，不管热备还是冷备，都要有个备份，多机房备份，多维度备份。保证业务连续性。当然，认证系统也是要备份的，不然你VPN设备没问题，认证系统挂了，那岂不是说出去很没面子？

• 不要把自己锁在外面（论一个合格的网路运维人员的自我修养）

适当的给自己留个后门，不要把自己锁在外面是对所有网路运维人员的忠告，哦对了。网管家里的网路千万不要使用小运营商的宽频，要不到时候哭都找不到地方，另外，家里面wifi6就算上不了，最起码也要上个牛逼点的路由器。哈哈哈哈哈哈哈。

说了这么多，分享一些工作中遇到的问题和经验，与各位同行互勉。答主也才工作1年有余，上面的言论和一些技术点可能过于片面，另外企业IT网路运维方面的受众群体也不是很多，希望各位有幸看到此回答的前辈不吝赐教，后生在此谢过。

---

推荐阅读：