46、远程访问策略规划与基础设施搭建全解析

远程访问策略规划与基础设施搭建全解析

1. 远程访问策略规划基础

远程访问允许用户在非本地网络环境下连接到企业网络或互联网。常见的远程访问方式有以下几种：
- 交换式远程客户端 ：通过物理连接与远程访问服务器相连，借助电信基础设施建立连接。
- VPN 客户端 ：利用虚拟专用网络（VPN），以互联网或其他公共网络为传输媒介，使用 TCP/IP 协议以及如 PPTP 和 L2TP 等隧道协议来连接网络。
- 无线客户端 ：连接网络的方式多样，可使用 2.4 至 5GHz 的无线电频率（具体取决于 802.1x 无线标准），或略低于可见光频率的红外频率，还可采用扩频信号在多个频率上传输数据。
- EAP（可扩展认证协议） ：提供了一种能够整合智能卡或生物识别设备等技术的架构。生物识别技术依据用户的物理特征来进行身份认证。

2. 远程访问基础设施规划原则

远程访问基础设施规划的基本原则是确保企业网络资源在需要时可被访问。如同所有网络基础设施规划一样，需考虑网络访问服务器的冗余性，预防路由器故障、链路中断等情况。

3. 远程访问基础设施容量规划

在完成企业远程访问基础设施的概念规划后，需根据分析得出的需求，寻找优化远程访问服务可用性并在服务器故障、路由器停机、网络连接故障等情况下提供冗余的解决方案。

4. 网络访问服务器硬件配置

为使网络访问服务器达到最佳运行状态并优化其硬件组件，需注意以下几点：
- 网卡 ：若网络需要 100Mb/s 的带宽，且远程访问服务器的接口连接到公共网络，应将所有设备设置为 100Mb/s 全双工模式，并将所有专用网络接口连接到高容量交换机。此外，若处理能力限制性能，可在公共网络上使用能代替处理器进行加密计算的网卡（即“IPSec Offload”功能）。
- 处理器 ：为优化性能，提高处理器速度比增加处理器数量更有效。若使用多处理器计算机，应将每个处理器与一块网卡绑定。
- 随机存取存储器（RAM） ：通常，内存越多越好。若处理的并发连接不超过 1000 个，512MB 的 RAM 即可。每增加 1000 个并发连接，为服务器推荐的 RAM 容量增加 128MB，并为远程访问及相关服务再增加 128MB。例如，一个推荐 RAM 容量为 256MB 的专用远程访问服务器，若要处理 2000 个同时的 VPN 连接，应配备 768MB 的 RAM（256MB + (128MB * 2) + (128MB * 2)）。若启用压缩功能，每个连接会使用更多的非分页内存并需要更多处理资源，因此禁用压缩可提高性能。

以下是不同类型服务器资源使用情况的表格：
| 服务器类型 | 处理器 | 内存 | 磁盘 | 网络 |
| — | — | — | — | — |
| 交换式 | 高 | 高 | 无 | 高 |
| 虚拟专用网络（VPN） | 高 | 低 | 无 | 低 |
| IAS（互联网认证服务） | 中 | 高 | 无 | 低 |

5. 远程访问规划的约束分析

在规划远程访问基础设施之前，需明确以下约束条件：
- 用户需求 ：有多少用户需要远程访问企业资源？他们目前位于何处？现有网络基础设施能否满足新需求？
- 地理位置间的连接类型 ：是否需要将 56Kb/s 的线路替换为 T1 线路以应对更高的使用需求？
- 现有网络基础设施 ：路由器、交换机和数据链路的位置在哪里？是否需要购买其他路由器来处理额外的负载？
- 当前网络流量习惯 ：现有架构是否存在容易解决的潜在瓶颈？
- 在远程访问网络上运行的关键应用程序 ：若存在此类应用程序，数据传输速率或应用程序使用的网络协议是否会影响这些应用程序的正常运行？例如，若酒店预订应用程序在基于 IPX/SPX 协议的 NetWare 4.11 服务器上运行，用户能否在远程连接上继续使用该程序？此外，网络的最大延迟是否能被关键应用程序接受？

以下是一个简单的流程图，展示远程访问规划的大致流程：

graph LR
    A[明确用户需求] --> B[分析网络现状]
    B --> C[确定连接类型]
    C --> D[考虑关键应用程序]
    D --> E[规划基础设施]
    E --> F[配置服务器]

6. 不同远程访问类型的规划要点

远程访问可整合以下三种类型：
- 交换式 ：若企业规划中需要为超过 150 个客户端提供交换式连接，需考虑服务器的放置位置、是否需要多个服务器以确保冗余、服务器应放置在内部网络还是外围网络等问题。同时，还需确定支持最大客户端连接数所需的电话线、调制解调器和卡的总数，拥有远程访问权限的用户账户名称，以及可能适用于用户组的远程访问策略限制。此外，应预留额外的电话线和调制解调器，以防需要访问交换式连接到网络访问服务器的用户数量发生变化，或设备出现故障。
- 虚拟专用网络（VPN） ：若企业需要实施 VPN，需考虑使用的隧道协议（PPTP 或 L2TP）、是否使用远程访问策略来控制资源访问，以及为 VPN 客户端使用的认证和加密方法。
- 无线 ：实现无线网络规划可能需要额外的服务器或网络服务，具体取决于网络需求和所选的无线标准。

7. 服务器配置问题及解决思路

在配置网络访问服务器以应对远程访问的约束时，需回答以下问题：
- 有多少用户需要远程访问权限？
- 同一时刻可能出现的最大并发连接数是多少？
- 需要多少个交换端口、电话线和调制解调器来管理交换式客户端？
- 需要多少个 PPTP 端口来管理最大数量的 VPN 连接？
- 需要多少个 L2TP 端口来管理最大数量的 VPN 连接？

通过了解服务器上使用最多的资源，可明智地选择作为 IAS 服务器或交换式服务器的服务器。同时，要注意网络中可能存在的单点故障，即某个组件的故障可能导致整个网络无法使用的地方。例如，一个只有一个调制解调器的交换式远程访问服务器，若 30 名销售人员同时尝试连接到价格数据库，可能会出现问题。因此，始终了解每个远程访问服务可能连接的最大用户数量至关重要。

8. 冗余设计保障网络可用性

为确保网络访问服务器的可用性，可采取以下冗余措施：
- 服务器分布 ：通常，一个精心放置在网络上的远程访问服务器即可满足用户需求。但为了实现冗余和容错，可在每个涉及远程访问的子网中放置一个远程访问服务器。若企业分布在多个地点，可在所有分支机构中分布远程访问服务器，这样既能提供冗余，又能为用户提供更好的性能，使其能够连接到本地的 VPN 服务器。
- 路由器冗余 ：对只有一个路由器的子网进行修改，添加一个额外的路由器。因为对于运行企业关键应用程序的子网来说，只有一个出入口是非常危险的。

9. 实际案例分析 - Northwind Traders 远程访问基础设施规划

Northwind Traders 希望其员工能够通过互联网访问企业网络，同时保护产品数据，要求所有连接使用当前最安全的加密方法，并优化网络流量，使额外流量对广域网连接的影响最小。基于此场景，规划远程访问基础设施时需考虑以下问题：
- 是否需要额外的互联网连接 ：需根据企业的具体需求和现有网络架构来确定。若现有互联网连接无法满足员工远程访问的需求，或为了提高网络的可靠性和性能，可能需要在某些地点添加额外的互联网连接。
- VPN 服务器的放置位置 ：应根据员工的地理位置分布和企业的网络架构来确定。为了提高性能和减少延迟，可在员工集中的地区放置 VPN 服务器，以便员工能够连接到本地的 VPN 服务器。
- 认证和加密方法 ：为了保护企业数据的安全，应选择当前最安全的认证和加密方法。例如，可以使用基于证书的认证方法和 AES 加密算法。
- 除 VPN 服务器外所需的硬件和软件 ：可能包括防火墙、路由器、交换机等硬件设备，以及 VPN 客户端软件、认证服务器软件等软件。

在规划远程访问基础设施时，需综合考虑以上各种因素，以确保企业网络的安全性、可用性和性能。通过合理的规划和配置，可以为企业员工提供便捷、安全的远程访问服务，促进企业的发展。

远程访问策略规划与基础设施搭建全解析

10. 远程访问规划的复习与巩固

为了检验对远程访问规划内容的掌握程度，以下有几个问题可供思考解答，若对某个问题不确定答案，可回顾前文内容。
- 交换式访问基础设施的组件要求 ：创建交换式访问基础设施，需要明确支持最大客户端连接数所需的电话线、调制解调器和卡的总数，确定拥有远程访问权限的用户账户名称，以及可能适用于用户组的远程访问策略限制。同时要考虑服务器的放置位置、是否需要多个服务器确保冗余以及服务器放置在内部网络还是外围网络等。
- 选择远程访问策略的约束条件 ：包括用户需求（如多少用户远程访问、位置、现有网络能否满足新需求）、地理位置间的连接类型（是否需更换线路）、现有网络基础设施（路由器等位置及是否需新增）、当前网络流量习惯（有无潜在瓶颈）、在远程访问网络上运行的关键应用程序（数据传输速率、协议、延迟等对其的影响）。
- 隧道协议的含义及示例 ：“隧道协议”指的是在公共网络上建立一条虚拟的专用通道，将数据封装在该通道中传输，以增加数据传输的安全性。Windows Server 2003 认可的隧道协议示例有 PPTP 和 L2TP 。

以下是一个简单表格总结上述复习要点：
| 问题类型 | 要点内容 |
| — | — |
| 交换式访问基础设施组件 | 电话线、调制解调器、卡数量；用户账户；策略限制；服务器放置 |
| 远程访问策略约束条件 | 用户需求、连接类型、网络设施、流量习惯、关键应用 |
| 隧道协议 | 含义：公共网络建虚拟通道传数据；示例：PPTP、L2TP |

11. 远程访问规划的总结与要点回顾

• 概念规划基础 ：要做好远程访问的概念规划，需深入了解当前网络拓扑结构，并获取相关的所有文档，如网络示意图、服务器和工作站清单等。只有掌握这些基础信息，才能准确把握网络现状，为后续规划提供可靠依据。
• 服务器可用性保障 ：为保证网络访问服务器的可用性，可考虑在同一子网或涉及远程访问的其他子网中增设服务器，以此实现冗余和容错能力。当某个服务器出现故障时，其他服务器能够继续提供服务，确保远程访问的连续性。
• 策略选择依据 ：选择适合企业的远程访问策略，需要综合多方面因素。首先要明确用户的需求，了解他们对远程访问的功能和性能期望；其次要分析现有网络基础设施的状况，判断其是否能够支持新的远程访问需求；还要研究当前的网络流量习惯，找出可能存在的瓶颈并加以解决；最后要考虑是否有需要在系统上运行的关键应用程序，以及这些应用程序对远程访问的要求。

下面是一个 mermaid 流程图，展示远程访问规划的整体要点关系：

graph LR
    A[掌握网络现状] --> B[规划远程访问策略]
    B --> C[保障服务器可用性]
    C --> D[满足用户与应用需求]
    D --> E[实现安全高效远程访问]

12. 远程访问规划的实际应用与拓展

在实际的企业环境中，远程访问规划的应用不仅仅局限于上述提到的内容。随着企业业务的不断发展和网络技术的持续进步，远程访问规划也需要不断拓展和优化。
- 与移动办公的结合 ：如今，越来越多的员工使用移动设备进行办公。远程访问规划需要考虑如何为移动设备提供安全、便捷的接入方式。例如，可以支持多种移动操作系统的 VPN 客户端，确保员工在使用手机或平板电脑时能够顺利连接到企业网络。同时，要加强对移动设备的安全管理，如设置设备加密、远程擦除等功能，防止企业数据泄露。
- 云服务的集成 ：许多企业开始采用云服务来存储和处理数据。远程访问规划需要与云服务进行集成，使员工能够通过远程访问安全地访问云资源。这可能涉及到与云服务提供商合作，配置合适的认证和加密机制，确保数据在传输和存储过程中的安全性。
- 多数据中心的支持 ：对于拥有多个数据中心的企业，远程访问规划要考虑如何实现跨数据中心的高效访问。可以通过优化网络拓扑结构、设置负载均衡器等方式，确保员工能够快速、稳定地访问不同数据中心的资源。

13. 远程访问规划的未来趋势展望

随着科技的不断发展，远程访问规划也将呈现出一些新的趋势。
- 人工智能与自动化 ：未来，人工智能技术可能会被广泛应用于远程访问规划中。例如，通过人工智能算法可以自动分析网络流量和用户行为，预测潜在的安全威胁，并及时采取措施进行防范。同时，自动化工具可以实现远程访问设备的自动配置和管理，提高运维效率。
- 零信任架构的普及 ：零信任架构基于“默认不信任，始终验证”的原则，认为网络内外的所有设备和用户都不可信，需要对每一次访问请求进行严格的验证和授权。在远程访问场景中，零信任架构可以有效提高网络安全性，防止外部攻击和内部数据泄露。
- 5G 技术的影响 ：5G 技术的高速、低延迟特性将为远程访问带来新的机遇。员工可以通过 5G 网络实现更流畅、高效的远程办公。同时，5G 网络的广泛覆盖也将使远程访问的范围更加广泛，不再受限于传统的网络环境。

14. 总结

远程访问规划是一个复杂而重要的过程，涉及到多个方面的知识和技术。从基础的远程访问方式了解，到基础设施的规划、配置和优化，再到实际应用和未来趋势的考虑，每一个环节都对企业的远程访问服务质量和安全性有着重要影响。企业在进行远程访问规划时，需要综合考虑自身的需求、网络现状和技术发展趋势，制定出适合自己的远程访问策略，以确保员工能够安全、便捷地进行远程办公，推动企业的持续发展。

通过本文的介绍，希望读者能够对远程访问规划有一个全面、深入的了解，并在实际工作中能够运用所学知识进行有效的规划和实施。同时，要密切关注行业的发展动态，不断学习和更新知识，以适应不断变化的网络环境和企业需求。