H3C M9008

第二站：检查 SSL VPN 资源策略（访问控制）

很多案例表明，VPN 能连上但只能访问少数 IP，最常见的原因就是“资源组”配置不全。

• 操作方法：登录 M9008 的 Web 界面，找到你配置的那个 SSL VPN 访问实例。检查其下关联的 “资源组”或 “资源” 配置。

• 关键点：确认你想要访问的那个“业务地址”，已经被明确地添加到了资源组的允许列表中。资源组就像一个白名单，没在名单里的网段，防火墙不会给客户端下发路由，自然就无法访问。

3. 第三站：排查策略路由（PBR）干扰

如果你的 M9008 防火墙上配置了多条出口链路，并使用了策略路由（PBR），这往往是导致“能上外网、能通网关，但就是上不了特定内网”的元凶。

• 故障原理：当 VPN 流量进入内网接口时，如果该接口应用了策略路由，且策略路由的 ACL 匹配了你要访问的业务网段，流量就会被强行送往错误的下一跳（比如另一个出口网关），而不是正常的内网交换机。

• 验证方法：可以临时在业务流量入方向的接口上 undo ip policy-based-route 来移除策略路由。如果移除后业务通了，那就是策略路由的问题。

• 解决方案：修改策略路由的 ACL，拒绝（deny） 处理 SSL VPN 地址池到业务网段的流量，让这部分流量匹配默认路由进入内网。

4. 第四站：检查安全策略（域间策略）

确保数据包在内网转发时，没有被防火墙自身的策略拦截。

• 操作方法：检查从 SSLVPN 安全域（或 Local 域）到 Trust 安全域（或业务所在域）的安全策略。

• 关键点：策略的源地址应该是你的 SSL VPN 地址池，目的地址是业务网段，动作必须为 permit。很多案例中，漏配或错配域间策略是导致不通的常见原因。

5. 第五站：验证内网设备的回程路由

这是数据回来的最后一步。业务服务器（或它的网关交换机）收到请求后，必须知道怎么把响应报文送回到 VPN 客户端。

• 操作方法：登录业务服务器的网关交换机或核心交换机，查看路由表。

• 关键点：确认交换机上有一条指向 SSL VPN 地址池网段的路由，并且下一跳是 M9008 防火墙的内网接口 IP。如果缺少这条路由，服务器的响应包会迷路，导致 ping 超时。