马上要放假了，一个绕不开的话题是如何远程维护单位的系统。如果是个人用户可能会上 to_desk、向日葵等远程软件，并且要求单位里有一台电脑一直处于开机状态。

如果个人有台云主机，还可以自己搭一个跳板机用。这里涉及内网穿透，可以参考以前写的文章：

• 云主机能干嘛？
  

• 跨平台内网穿透工具
  

除了个人远程方案，还有一些商用方案，下面介绍我接触过的商用方案。

远程软件提供的是一个跳板机，如果要获取访问内部网络的能力，这里就要用到 VPN 技术。各大厂商都拥有自己的 VPN 设备，我挨个介绍一下。

首先是微软自带的 PPTP VPN，需要做的是在内部服务器上搭建 PPTP VPN 服务，然后将 VPN 端口映射到公网上。PPTP 端口为 1723，如果公网上的 1723 端口开放，说明有 PPTP VPN 服务。之前介绍过搭建方法，在防火墙做了充分防护的情况下可以试试，也算是一种免费方案。

• 简单PPTP服务器搭建
  

第二种常见的 VPN 解决方案是深信服的 EASY_CONNECT ，它在企业中应用非常广泛，是一款非常成熟的 VPN 产品。

基础版售价大概在10万左右，最大同时在线用户数为 25 人，授权数量决定了它无法大规模使用。同时远程效果也受互联网专线带宽质量影响，如果多人同时在线对带宽要求会比较高。

以我们单位为例，对外服务的互联网专线为百兆对等带宽，早期价格大概在5万每年，这两年价格稍微降了点儿，大概在3万左右。现在家用下行宽带已经达到千兆，如果通过 VPN 从内网传文件，极有可能造成网络堵塞。一般医院的互联网专线除了 VPN 还绑有移动支付业务，通过 VPN 从内网拷文件对网络影响会非常大。

同时家用带宽的上传限制也决定了数据从家里电脑传到服务器会非常慢，一般家用宽带都是非对等的，上传大多只有30M，用它来上传文件速度慢的会让人无法接受，还没有从微信中转快。

除了专用的 VPN 设备，有些防火墙也带 VPN 功能。H3C 的防火墙默认也有一部分 VPN 授权。基础包中带了 150 个在线授权，最大支持 150 人同时在线。

互联网出口防火墙售价大概在20万左右，默认带的 150 个 VPN 授权相对于专用的 VPN 设备还是非常有性价比的。

VPN 的优点是可以打通家庭网络和内网之间的通道，相当于建立了一条 SSL 加密隧道。不需要内网再挂一台电脑作为远程主机，自己的电脑接通 VPN 后就可以直接使用内网网络资源。

但大多数人不会在家里电脑上装很多内部用的软件，比如开发工具、密码管理工具、数据库连接工具等。当遇到紧急情况，光准备环境就需要花大量精力。

一种处理思路是把在单位的工作电脑带回家，这样也是一种解决办法。但如果出门在外，能用的电脑是别人家的电脑。这时就比较尴尬了，因为不可能随时随地将电脑带在身边。

这里介绍另一种远程运维方案：运维云桌面

将云桌面应用在运维场景，由服务器提供云桌面虚拟机，打通 SSLVPN 通道，这样就可以直接接入远程办公环境。它对环境的要求也比较低，只要是台 windows，装有通用浏览器即可。

深信服的云桌面可以完美应用于远程运维场景，云桌面如果只应用在内网它顶多就是个终端替代方案。但加上公网VPN能力后，它既可以当VPN用，也可以当桌面电脑用。因为深信服自家有VPN产品线，现在云桌面产品已经自带VPN功能，内外网连接都是通过网页打开。

 并且不同的云桌面主机可以根据 IP 制定严格的访问策略，配合准入系统很容易在防火墙上对云桌面IP进行控制。

与向日葵等系统不同的是，云桌面并不依赖网络，甚至可以用它来调试网络。在云主机的网卡禁用时也能正常访问云桌面，同时支持正常的开关机操作。如果是向日葵远程，被控系统如果出现重启或异常关机，那基本上就失联了。

日常不用的情况下可以通过禁用网卡、调整 windows 防护墙、关机等手段保护主机安全。处于关机状态的云桌面在连接时会自动开机，同时云桌面还支持整个虚拟机的备份、克隆、打快照等操作。

云桌面应用在远程运维场景可大大提高远程运维效率，并且没有 VPN 的网络带宽恐惧症。因为它只需要极小的流量用来传输画面，文件传输使用的都是内网流量。能达到向日葵远程的优点，又能兼具 VPN 的便利性。