在现代企业网络架构中，虚拟专用网络（Virtual Private Network, VPN）已成为保障远程访问安全、实现跨地域数据传输的关键技术，无论是员工远程办公、分支机构互联，还是云环境中的安全接入，掌握VPN的配置命令行方法都是网络工程师不可或缺的核心技能之一，本文将系统讲解如何通过命令行工具完成典型场景下的VPN配置，涵盖IPsec、SSL/TLS等主流协议,并结合实际案例说明常见问题排查技巧。

明确目标：使用命令行配置一个基于IPsec的站点到站点（Site-to-Site）VPN隧道，假设我们使用的是Linux系统（如Ubuntu Server）或类Unix设备（如Cisco IOS、Junos），常用工具包括strongSwan、OpenSwan或ipsec-tools，以strongSwan为例，其配置文件通常位于/etc/ipsec.conf和/etc/ipsec.secrets。

第一步是定义对等体（peer）信息，在ipsec.conf中，需声明两个网关地址、预共享密钥（PSK）、加密算法及认证方式。

conn my-site-to-site
    left=192.168.1.100          # 本地网关IP
    right=203.0.113.50         # 远端网关IP
    leftsubnet=192.168.1.0/24  # 本地子网
    rightsubnet=192.168.2.0/24 # 远端子网
    authby=secret              # 使用预共享密钥认证
    ike=aes256-sha2_512-modp2048
    esp=aes256-sha2_512-modp2048
    auto=start                 # 启动时自动连接

第二步是设置密钥文件，在/etc/ipsec.secrets中添加如下内容：

168.1.100 203.0.113.50 : PSK "my_strong_pre_shared_key"

保存后,执行命令加载配置并启动服务：

sudo ipsec reload
sudo ipsec up my-site-to-site

可通过ipsec status查看隧道状态，确认是否成功建立，若失败，需检查日志（journalctl -u strongswan）或使用tcpdump抓包分析IKE协商过程。

对于SSL-VPN场景（如OpenVPN），命令行配置更为灵活，用户可直接编辑.ovpn配置文件，指定服务器地址、证书路径、加密参数等,启动服务命令为：

sudo openvpn --config /etc/openvpn/client.conf

高级用法还包括策略路由（Policy-Based Routing）与多链路负载均衡，当存在多个ISP出口时，可结合ip rule和ip route命令实现基于源IP或目的IP的智能选路,确保特定流量走指定隧道。

常见故障排查要点：

1. 端口阻塞：确保UDP 500（IKE）和UDP 4500（NAT-T）开放；
2. 时间同步：两台设备时间差不应超过3分钟,否则会因SA过期失败；
3. ACL冲突：检查防火墙规则是否允许ESP/AH协议通过；
4. 证书问题：SSL/TLS配置需验证CA证书链完整性。

命令行配置VPN不仅效率高、自动化能力强，还能帮助工程师深入理解底层协议交互机制，建议新手先在测试环境中模拟真实拓扑，逐步掌握各参数含义，最终形成一套可复用的脚本化配置模板,提升运维效率与安全性。