Juniper SA系列设备，如果internal接口的网关不可达，那么external接口和virtual ip address均不会生效，虽然internal接口的ip地址可以ping通。换言之，internal接口的网关是否可达，是判断设备是否正常启动的标准。

详见下面的KB：

Virtual IP and / or External port not available
Knowledge Base ID:     KB8815
Version:     2.0
Published:     07 Oct 2008
Updated:     07 Oct 2008
Categories:    . SSL VPN
. SSL_VPN_(IVE_OS)

Synopsis:
Virtual IP ad

从juniper网站上找到下面的kb，可以看出来，JUNIPER SA设备端口内外有别，外部接口只用来接收VPN连接的发起，而访问各种资源的对话则是内部接口的活儿。

IVE uses internal port’s gateway to connect to application servers hosted on its external/DMZ port IP subnet.
Knowledge Base ID:     KB2579
Version:     2.0
Published:     07 Oct 2008
Updated:     07 Oct 2008
Categories:    . SSL VPN
. SA_3000
. SA_5000
. SA_700
. SA_1000
. SSL_VP