ipsec vpn问题求助

无语东流

核心交换机-山石防火墙-h3c2010
拓扑如上，核心交换机上有两个网段192.168和172.30
山石和h3c2010直接通过互联网连接，建立ipsec vpn   
h3c 2010上有172.31网段

从2010带源ping  到核心的172.30和192.168网段都可以通，从核心带192的源去ping 2010，也可以通，但是从核心带172的源去pnig 2010  就不通了
在2010上
抓包提示IPsec_ERROR: ESP input: Match acl failed

2010上acl如下
acl number 3001      匹配vpn流量
rule 0 permit ip source 172.31.68.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
rule 1 permit ip source 172.31.68.0 0.0.0.255 destination 172.30.0.0 0.0.255.255
rule 5 deny ip
acl number 3050   匹配正常上网流量
rule 0 deny ip source 172.31.68.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
rule 5 deny ip source 172.31.68.0 0.0.0.255 destination 172.30.0.0 0.0.255.255
rule 10 permit ip


防火墙策略全放行，有没大神遇到过这种情况，谢谢~~~~~~~~~~~~~~~~