VPS可以用来搭建网站、运行应用、实现跨境业务等，新手用户购买了新VPS后，如何让机器正常上网？快速配置稳定网络VPS的步骤是什么？下面让我们一起体验VPS上线的完整流程——从选购建议、首次连接，到网络配置、安全加固和性能优化。无论你是用来搭建网站、部署代理服务，还是作为远程开发环境，这套指南都能让你快速上手。

在讨论“如何上网”之前，我们先快速回顾一下 VPS 选购的核心要点，因为不同的配置直接影响后续的网络表现。

如果你主要从国内访问这台 VPS，那么线路质量远比核心数和内存更重要。推荐线路CN2 GIA（中国电信优化专线）、CMI（中国移动国际）、联通9929/AS9929。这些线路在晚高峰丢包率低、延迟稳定。BGP多线晚高峰可能丢包严重，SSH 连接都经常断。建议机房位置美国西海岸（洛杉矶、圣何塞）、日本东京、新加坡、香港（注意带宽通常较小）。

共享带宽通常够用，但如果需要传输大量数据，建议选择独享或高带宽 VPS。流量根据用途估算。搭建网站每月几百GB足够；如果用于视频中转或大数据传输，可能需要 1TB 以上。

操作系统选择推荐Ubuntu 22.04 / 24.04 LTS：文档丰富，社区活跃，大多数优化脚本原生支持。CentOS / Rocky Linux稳定性高，但部分新软件依赖 EPEL 仓库。Debian轻量稳定，同样好选择。新手建议直接选择 Ubuntu 22.04，省心省力。

绝大多数VPS通过SSH（安全外壳协议）进行远程管理。你只需要一个终端工具（Windows 可用 PowerShell / Windows Terminal 或 PuTTY，macOS / Linux 直接用终端）。

购买VPS后，服务商会发送邮件或在其控制面板提供：

IP 地址（公网 IPv4）

SSH 端口（默认为 22）

用户名（通常为 `root`，或者 Ubuntu 等发行版给的 `ubuntu`）

密码 或 私钥文件

使用密码登录

ssh root@你的VPS_IP -p 22

输入密码即可登录。为了安全，首次登录后应立即修改密码。

使用密钥登录（更推荐）

在本地生成密钥对（如果还没有）：

ssh-keygen -t ed25519 -C "你的邮箱"

将公钥上传到 VPS：

ssh-copy-id root@你的VPS_IP

或手动将公钥内容追加到 `~/.ssh/authorized_keys`。

之后登录无需再输密码，且更安全。

默认情况下，VPS 购买后已经配置好公网 IP 和默认路由，可以直接访问互联网。但你可能需要检查并优化以下几项。

检查网络连通性

登录 VPS 后，执行：

ping -c 4 8.8.8.8

ping -c 4 google.com

如果能 ping 通 IP 但无法 ping 通域名，说明 DNS 解析有问题。如果都通，说明基础网络正常。

某些VPS提供商的默认 DNS 较慢或存在污染。建议修改为公共DNS：

编辑 `/etc/resolv.conf`（部分系统需通过 netplan 或 systemd-resolved 配置）：

nameserver 1.1.1.1

nameserver 8.8.8.8

对于 Ubuntu 18.04+ 且使用 netplan 的系统：

sudo nano /etc/netplan/01-netcfg.yaml

在对应网卡下添加：

```yaml

nameservers:

  addresses: [1.1.1.1, 8.8.8.8]

然后应用：

sudo netplan apply

确认主机名与 hosts

设置一个有意义的主机名方便管理：

sudo hostnamectl set-hostname my-vps

一台裸奔在公网的 VPS 极易被扫描攻击。必须配置防火墙，只允许你需要使用的端口。

使用 UFW（Ubuntu 推荐）

安装 UFW

sudo apt update && sudo apt install ufw -y

默认禁止所有入站，允许所有出站

sudo ufw default deny incoming

sudo ufw default allow outgoing

允许 SSH 端口（务必先允许，否则你会把自己踢出去）

sudo ufw allow 22/tcp

如果以后搭建网站，开放 80 和 443

sudo ufw allow 80/tcp

sudo ufw allow 443/tcp

开启防火墙

sudo ufw enable

查看状态

sudo ufw status verbose

使用 iptables（更底层）

对于高级用户，直接操作 iptables 可以更精细控制。但 UFW 已足够日常使用。

安全提醒如果修改了 SSH 默认端口（如改为 2222），记得在防火墙中放行新端口，并且不要关闭旧端口直到你确认新端口能正常登录。

即使线路不错，默认的 Linux 内核参数也未必是最优的。通过以下几个优化，可以显著提升 TCP 传输速度和稳定性。

开启 BBR（Bottleneck Bandwidth and RTT）

BBR 是 Google 开发的 TCP 拥塞控制算法，能大幅提升高延迟、有丢包的网络下的吞吐量。强烈建议开启。

# 检查当前内核是否支持

modprobe tcp_bbr

echo "tcp_bbr" | sudo tee -a /etc/modules-load.d/modules.conf

# 添加内核参数

cat >> /etc/sysctl.conf << EOF

net.core.default_qdisc = fq

net.ipv4.tcp_congestion_control = bbr

EOF

# 使配置生效

sysctl -p

# 验证是否开启

sysctl net.ipv4.tcp_congestion_control

# 应输出 bbr

优化 TCP 内核参数

将以下配置追加到 `/etc/sysctl.conf` 或 `/etc/sysctl.d/99-custom.conf`：

```ini

# 提升网络内存

net.core.rmem_max = 134217728

net.core.wmem_max = 134217728

net.ipv4.tcp_rmem = 4096 87380 134217728

net.ipv4.tcp_wmem = 4096 65536 134217728

# 开启 TCP 时间戳和 SACK

net.ipv4.tcp_timestamps = 1

net.ipv4.tcp_sack = 1

# 减少 TIME_WAIT 连接数量

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_fin_timeout = 30

提高连接跟踪表大小（防丢包）

net.netfilter.nf_conntrack_max = 655360

执行 `sysctl -p` 使其生效。

调整 MTU 和 MSS 钳制

某些网络环境下 MTU 过大导致丢包。可通过以下命令测试最佳 MTU：

ping -M do -s 1472 8.8.8.8

如果提示需要分片，逐步减小 `-s` 值直到成功。最佳 MTU = 测试值 + 28（IP+ICMP头）。

禁用root密码登录，改用密钥

# 创建普通用户（例如 deploy）

adduser deploy

usermod -aG sudo deploy

# 将你的公钥复制到新用户的 authorized_keys

su deploy

mkdir .ssh

chmod 700 .ssh

# 写入公钥

nano .ssh/authorized_keys

chmod 600 .ssh/authorized_keys

# 编辑 SSH 配置文件 /etc/ssh/sshd_config

PermitRootLogin no

PasswordAuthentication no

PubkeyAuthentication yes

# 重启 SSH

systemctl restart sshd

务必保持一个已登录的 root 会话用于测试，以免把自己锁在外面。

更改 SSH 默认端口（可选但推荐）

在 `/etc/ssh/sshd_config` 中修改：

```ini

Port 2222

然后重启 SSH，并在防火墙中放行新端口。

安装并配置 Fail2ban

Fail2ban 可自动阻止多次失败登录的 IP。

sudo apt install fail2ban -y

sudo systemctl enable fail2ban

sudo systemctl start fail2ban

编辑 `/etc/fail2ban/jail.local`：

```ini

[DEFAULT]

bantime = 3600

findtime = 600

maxretry = 5

[sshd]

enabled = true

port = 2222

重启 fail2ban 生效。

保持系统更新

sudo apt update && sudo apt upgrade -y

# 设置自动安全更新

sudo apt install unattended-upgrades -y

sudo dpkg-reconfigure --priority=low unattended-upgrades

让 VPS 提供“上网服务”的常见用途

以上配置完成后，你的 VPS 本身已经是一台安全、高速的云端主机。接下来可以根据实际需求，让它为你的其他设备提供上网能力：

搭建个人网站 / 博客：安装 Nginx / Apache + PHP + MySQL，解析域名即可。

搭建私人网络 / 代理（合规使用）：可选用 Open、WireGuard 或 Shadowsocks （请遵守当地法律法规，仅用于合法学习与工作）。

搭建远程开发环境：安装 Docker、Node.js、Python 等，通过 SSH 远程开发。

搭建文件同步或下载服务：Nextcloud、Aria2 + WebUI 等。

由于本文聚焦于“VPS 如何上网”的基础配置，具体应用搭建可以参考我们的后续专题文章。

一台 VPS 从“空壳”到“能够稳定、安全地上网”，只需要经历选购→连接→基础网络配置→防火墙→内核加速→安全加固这几个步骤。本文提供的流程已经在数十台不同服务商的 VPS 上验证过，无论是几美元的低配机还是高性能独享服务器，都可按此指南完成优化。记住三个关键词：线路、BBR、防火墙。把这三项做好，你的 VPS 上网体验就已经超越了 80% 的用户。