解决方案
检查安全策略配置：
在总部防火墙上，确保已配置允许访问分支内网口的安全策略。策略的源区域/地址应为总部内网区域/地址，目的区域/地址应为分支内网区域/地址，服务应为ANY或根据需求选择特定服务，动作应为允许。
在分支防火墙上，同样确保已配置允许总部访问其内网口的安全策略。
检查路由配置：
在总部防火墙上，使用命令或界面查看路由表，确保存在到分支内网口的路由。
在分支防火墙上，同样检查路由表，确保存在到总部内网口的路由。
检查NAT配置：
如果存在NAT配置，检查NAT规则是否正确配置，确保总部可以访问分支内网口。
检查IPsec VPN配置：
确认IPsec VPN的加密算法、认证算法、DH组等参数在两端一致。
检查IPsec VPN的感兴趣流配置是否正确。在总部防火墙上，确保感兴趣流包括需要访问的分支内网口地址段；在分支防火墙上，同样确保感兴趣流包括需要访问的总部内网口地址段。
检查防火墙接口状态：
检查总部和分支防火墙的接口状态，确保接口已启用且协商速率正常。
如果接口存在异常，尝试重启接口或防火墙设备。

可能原因
安全策略配置问题：
总部防火墙可能未配置允许访问分支内网口的安全策略。
分支防火墙可能未配置允许总部访问其内网口的安全策略。
路由配置问题：
总部防火墙可能未正确配置到分支内网口的路由。
分支防火墙可能未正确配置到总部内网口的路由（尽管当前问题描述中分支可以ping通总部内网口，但路由配置仍需检查）。
NAT配置问题：
如果存在NAT配置，可能NAT规则未正确配置，导致总部无法访问分支内网口。
IPsec VPN配置问题：
IPsec VPN的加密算法、认证算法、DH组等参数在两端可能不一致。
IPsec VPN的感兴趣流（即需要加密传输的流量）配置可能不正确。
防火墙接口状态问题：
总部或分支防火墙的接口可能存在异常，如接口未启用、接口协商速率异常等。

奇安信的ipsec网络宣告的是any改成明细网段应该就好了

是不是分支侧没有放通ICMP的协议呢，相互业务访问正常吗？