首页 / vpn梯子 / Amazon EC2 上搭建站点到站点 VPN 的完整教程，从配置到测试全流程解析

Amazon EC2 上搭建站点到站点 VPN 的完整教程，从配置到测试全流程解析

khdsff1 2026-04-21 1 0

在当今云原生和混合架构盛行的时代，企业越来越多地将关键业务部署在 AWS 云端，同时保留本地数据中心作为数据存储或合规性要求，为了实现安全、稳定的跨网络通信，Amazon EC2 实例与本地网络之间的站点到站点（Site-to-Site）VPN 成为一种常见且高效的解决方案，本文将手把手带你完成在 Amazon EC2 上配置站点到站点 VPN 的全过程，涵盖 VPC 设置、AWS Gateway 配置、本地路由器设置及最终的连通性测试。

第一步：准备 Amazon VPC 和子网
确保你已经创建了一个 Amazon VPC，并在其内配置了至少一个公有子网（用于网关）和私有子网（用于运行 EC2 实例），建议使用 CIDR 块如 10.0.0.0/16 作为 VPC 网络范围，并在本地网络中预留不冲突的子网（192.168.0.0/16），如果本地网络使用的是 10.x.x.x 或 172.16.x.x 等地址，需避免与 VPC 地址重叠。

第二步：创建客户网关（Customer Gateway）
登录 AWS 控制台，进入 “VPC > Customer Gateways”，点击“创建客户网关”,填写如下信息：

类型：IPsec (1)
IP 地址：你的本地路由器公网 IP（必须是静态公网 IP）
BGP ASN（可选但推荐）：本地路由器使用的 BGP AS 号（如 65000）

第三步：创建虚拟私有网关（Virtual Private Gateway）
在 “VPC > Virtual Private Gateways” 中，点击“创建虚拟私有网关”，创建后，将其关联到你的 VPC（右键选择“Attach to VPC”），这一步非常重要，因为它是 AWS 侧的网关实体。

第四步：创建站点到站点 VPN 连接
进入 “VPC > Site-to-Site VPN Connections”，点击“创建站点到站点 VPN 连接”，选择你刚创建的虚拟私有网关和客户网关,然后配置以下参数：

客户端 IP：本地路由器公网 IP（同上）
IKE 版本：IKEv2（更安全）
加密算法：AES-256
认证算法：SHA-256
DH 组：Group 14（2048 位）
IPSec 模式：Transport 或 Tunnel（通常用 Tunnel）
本地子网：你本地网络的 CIDR（如 192.168.0.0/16）
远程子网：VPC 内部子网（如 10.0.0.0/16）

保存后，AWS 会生成一个 .xml 文件，包含 IKE 和 IPSec 参数，你需要将这些参数配置到本地路由器（Cisco ASA、Fortinet、Palo Alto 或 Linux StrongSwan 等设备）。

第五步：配置本地路由器
以 Cisco ASA 为例，在 CLI 中添加如下配置：

crypto isakmp policy 10
 encry aes-256
 authentication pre-share
 group 14
crypto ipsec transform-set MYTRANS esp-aes-256 esp-sha-hmac
 mode tunnel
crypto map MYMAP 10 ipsec-isakmp
 set peer <aws-gateway-public-ip>
 set transform-set MYTRANS
 match address 100
access-list 100 permit ip <local-subnet> <remote-subnet>

应用 crypto map 到接口后,即可建立隧道。

第六步：验证连接状态
在 AWS 控制台中查看 VPN 连接状态是否为“UP”，并检查日志，在本地路由器执行 show crypto isakmp sa 和 show crypto ipsec sa 确认隧道建立成功。

第七步：测试连通性
从本地主机 ping EC2 实例（如 10.0.1.10），若通则表示隧道工作正常，建议使用 traceroute 查看路径,确认流量经过加密隧道而非公网明文传输。

小贴士：