您将在 SRX ( http://kb.juniper.net/InfoCenter/index?page=content&id=KB24639&actp=search ) 上配置并允许发夹式 NAT，确保允许从 VPN 区域到其他 VPN 区域的流量对于需要的服务。根据您的设置，您可以将客户网络列表添加到受保护的网络以在客户端上进行拆分隧道，如果未拆分，则无需添加任何客户端。

在站点到站点 VPN 上，您和您的客户必须将您的 VPN 子网添加到他们的密码映射中，以便客户端 VPN 流量将被加密并转发到远程站点。

如果您为 VPN 使用脉冲设备，如果您只是将其从脉冲盒 NAT 到已经受信任的网络，那么配置可能会更简单，这样 SRX 的流量就会显示为已经来自内部和客户端站点将已经知道它来自的网络，因此不需要对其进行进一步的配置。