内网设置两个网段：

LAN-IP1:192.168.0.254/24

LAN-IP2:192.168.2.254/24

192.168.2.x只允许移动用户VPN访问，禁止访问外网。

设置192.168.2.x禁止上外网后，无法通过192.168.2.254登录路由器。

 

从路由器CLI命令行中的防火墙策略（下文称为filter）来看：

在filter中有一个未在 WebUI->防火墙->访问控制策略的访问控制策略信息列表中显示的filter in/lan的策略，并出现在所有策略的最前面，作用就是不管设置什么filter都不会影响登录设备（这是不使用串口/console做配置时非常重要的filter）。由于此filter只是放通了LAN-IP1，所以通过LAN-IP2无法登录。

 

接下来要做的，只要修改filter in/lan，放通LAN-IP1、IP2就可以了。

1、 添加地址组，包含两个网关IP；

 

2、 在路由器CLI命令中修改相关配置，如下图。

set filter in/lan ipssg destFrom 0.0.0.0

set filter in/lan ipssg destEnd 0.0.0.0     

set filter in/lan ipssg mode advanced

set filter in/lan ipssg destIpGroup Gway