在现代云计算环境中,企业常需将本地数据中心与 AWS 云环境安全互通，Amazon Web Services（AWS）提供了多种网络连接方式，AWS Site-to-Site VPN 是最常用、最灵活的方案之一，它通过加密隧道将本地网络与 VPC（虚拟私有云）连接起来，实现数据传输的安全性和可靠性，本文将为你详细介绍如何在 AWS 上配置 Site-to-Site VPN，涵盖前提条件、步骤详解和常见问题排查。

你需要确保以下准备工作已完成：

1. AWS 账户：拥有一个已验证的 AWS 账户，并具备管理员权限。
2. VPC 和子网：在 AWS 控制台中创建一个 VPC，并至少配置两个私有子网（用于高可用性）。
3. 本地网络信息：包括本地路由器的公网 IP 地址（必须是静态 IP），以及本地网络的 CIDR 块（如 192.168.1.0/24）。
4. 路由器支持：你的本地防火墙或路由器必须支持 IKEv1 或 IKEv2 协议（推荐使用 IKEv2，更安全高效）。

接下来进入核心配置流程：

第一步：创建客户网关（Customer Gateway） 登录 AWS 控制台，导航至“EC2 > Customer Gateways”，点击“Create Customer Gateway”，填写如下信息：

• 类型：IPsec
• IP 地址：本地路由器的公网 IP
• BGP ASN：建议使用 65000~65534 的私有 AS 号（65001）

第二步：创建虚拟专用网关（Virtual Private Gateway） 进入“EC2 > Virtual Private Gateways”，点击“Create Virtual Private Gateway”，完成后，将其附加到目标 VPC（VPC ID 为你的主 VPC）。

第三步：创建站点到站点 VPN 连接 前往“EC2 > Site-to-Site VPN Connections”，点击“Create Site-to-Site VPN Connection”，选择刚创建的客户网关和虚拟专用网关，设置对等端口（默认 4500/500 UDP），并启用 BGP（可选但推荐），系统会自动生成一个配置文件（通常是 Cisco IOS 或 Juniper JUNOS 格式），下载该文件供本地路由器使用。

第四步：在本地路由器配置 将生成的配置文件导入本地路由器，重点检查以下参数：

• 对等 IP 地址（即 AWS 虚拟网关的公网 IP）
• 预共享密钥（PSK）——务必与 AWS 生成的一致
• 安全策略（IKE 和 IPsec Proposal）——确保加密算法（如 AES-256）、哈希算法（SHA-256）匹配

第五步：测试连接 配置完成后，回到 AWS 控制台查看连接状态，若显示“Available”，表示连接成功，可在本地服务器 ping 通 VPC 内的 EC2 实例（如 10.0.1.10），或使用 tcpdump 抓包确认流量是否加密通过。

常见问题排查：

• 如果连接失败,请检查预共享密钥是否一致；
• 确认本地防火墙未阻止 UDP 500 和 4500 端口；
• 使用 AWS CloudWatch 日志分析 IPSec 握手失败原因；
• 若使用 BGP，确保路由表同步正确（可通过 show ip bgp summary 查看邻居状态）。

AWS Site-to-Site VPN 是构建混合云架构的关键组件，掌握其配置方法不仅提升网络安全性，还能有效支持业务连续性和灾难恢复，建议结合 AWS Transit Gateway 实现多 VPC 或跨区域连接，进一步优化网络拓扑。