SSL VPN 策略路由

策略路由排除sslvp网段到业务网段的流量

1. 策略路由干扰：

   • 防火墙内网接口（如GigabitEthernet1/0/15）应用了策略路由（ip policy-based-route）。
   • 策略路由中的ACL规则（如acl 3005）匹配了SSL VPN访问的内网网段（如172.16.0.0/24）。
   • 导致SSL VPN流量被强制转发到错误的下一跳（如公网地址），而非核心交换机网关。

2. 路径验证现象：

   • 当断开另一条互联网专线时，策略路由失效，流量恢复默认路由（指向核心交换机），故可正常访问。
   • 证明策略路由是导致问题的根本原因。

解决方案

1. 修改策略路由的ACL规则：

   • 在策略路由的ACL中排除SSL VPN需要访问的内网网段（如核心交换机网关网段）。
   acl advanced 3005 rule 5 deny ip source 172.16.0.0 0.0.0.255 # 拒绝匹配内网资源网段 rule 10 permit ip # 放行其他流量
   • 或在现有ACL中新增deny规则，阻止策略路由处理目标内网流量。

2. 优化SSL VPN与内网配置：

   • 检查AC口网段：确保SSL VPN AC口地址（如SSLVPN-AC1）不与内网网段重叠（例如避免同属172.16.0.0/24）。
   • 核心交换机回程路由：确认核心交换机已配置静态路由，将SSL VPN地址池网段指向防火墙内网口地址。

3. 验证安全策略：

   • 确保AC口已加入安全域（如security-zone name SSLVPN import interface SSLVPN-AC1）。
   • 放行AC口到内网域的安全策略（如source-zone SSLVPN + destination-zone Trust）。
   • 
     
   •  注：若修改后仍异常，检查是否存在多个策略路由嵌套或负载均衡配置干扰（资料中提到负载均衡可能导致链路不通）。

配置修正示例

通过上述调整，SSL VPN流量将避开策略路由，直接通过默认路由访问核心交换机网关。