在现代企业网络架构中，将本地数据中心与云环境安全连接已成为刚需，Amazon Web Services（AWS）提供了强大而灵活的虚拟私有网络（VPC）服务，其中站点到站点（Site-to-Site）VPN 是实现这种连接的经典方案，本文将详细讲解如何在 AWS 上创建一个稳定、安全且可扩展的站点到站点 VPN 连接，涵盖从前期规划、配置路由、设置客户网关到测试验证的全过程。

明确你的需求是关键，你需要确定哪些本地网络资源要通过 AWS VPC 访问，以及 AWS 中哪些子网需要被访问，站点到站点 VPN 用于将本地数据中心或分支机构的 IP 地址段与 AWS VPC 的 CIDR 块进行互通，你可能有一个本地网段 192.168.10.0/24，而 AWS VPC 的 CIDR 是 172.31.0.0/16,你需要让这两个网络之间可以互相通信。

登录 AWS 控制台，导航到“VPC”服务页面，点击左侧菜单中的“Virtual Private Gateways”（虚拟专用网关），如果你还没有创建，需先创建一个，虚拟网关是 AWS 端的入口点，它必须与你将在本地路由器上配置的设备（如 Cisco ASA、Fortinet 或其他支持 IPsec 的硬件）相匹配，虚拟网关一旦创建就不能更改，所以请确保选择正确的区域（Region）和可用区（AZ）。

你需要创建一个客户网关（Customer Gateway），这是你本地网络端的标识，在创建时，输入你的本地路由器公网 IP 地址、IPsec 协议版本（推荐使用 IKEv2）、加密算法（如 AES-256）和认证算法（如 SHA-256），这个客户网关定义了本地端的参数，AWS 会用这些信息来建立安全隧道。

下一步是创建一个站点到站点 VPN 连接（Site-to-Site VPN Connection），在创建过程中，你会绑定之前创建的虚拟网关和客户网关，并指定对等方的 IP 地址（即本地路由器的公网 IP），AWS 会自动生成一个预共享密钥（PSK），建议使用强随机密码并妥善保存,因为它将在本地路由器配置中使用。

在本地路由器上配置 IPsec 隧道时,需要精确匹配以下参数：

• 对等方地址（即 AWS 的虚拟网关 IP）
• 预共享密钥（由 AWS 提供）
• IKE 版本（通常为 IKEv2）
• 加密算法（AES-256）
• 完整性校验（SHA-256）
• DH 组（推荐使用 Group 14 或更高）

配置完成后，本地路由器应能与 AWS 成功建立 IPSec 隧道，你可以通过 AWS 控制台查看连接状态，确保其处于“Available”状态，如果失败，请检查日志、防火墙规则、ACL 和 NAT 设置，因为某些情况下本地 NAT 设备可能会干扰 IPsec 流量。

不要忘记配置路由表，在 AWS 中，你需要将本地网段添加到 VPC 路由表中，指向虚拟网关；而在本地网络中，也需添加 AWS VPC 的 CIDR 到本地路由器的静态路由，指向该 VPN 接口。

整个过程虽然步骤繁多，但一旦完成，你就可以安全地将本地资源无缝接入云端，实现混合云架构，AWS 还支持高可用配置（双通道冗余），确保业务连续性，通过合理规划与细致配置，站点到站点 VPN 成为连接本地与云的核心桥梁,为企业数字化转型提供坚实基础。