在配置NAT Server雙出口過程中，通常采用以下兩種方式： 　　1、基于不同安全區(qū)域進(jìn)行配置，將電信用戶和網(wǎng)通用戶分別劃入不同安全區(qū)域，分別提供不同的公網(wǎng)IP地址。 　　此方式下，內(nèi)部服務(wù)器主動(dòng)訪問外網(wǎng)時(shí)基于不同的安全區(qū)域來選擇相應(yīng)的反向表做地址映射。 　　[sysname] nat server zone zone1 global 2.2.2.2 inside 10.1.1.1 　　[sysname] nat server zone zone2 global 3.3.3.3 inside 10.1.1.1 　　zone1對(duì)應(yīng)電信用戶所在安全區(qū)域；zone2對(duì)應(yīng)網(wǎng)通用戶所在安全區(qū)域。 　　2、配置no-reverse參數(shù)，取消反向表的建立。 　　此方式下，通常不允許內(nèi)部服務(wù)器主動(dòng)訪問外網(wǎng)，如果內(nèi)部服務(wù)器需要主動(dòng)訪問外網(wǎng)，則要針對(duì)此服務(wù)器在上另外配置基于源IP地址的NAT功能。 　　[sysname] nat server global 2.2.2.2 inside 10.1.1.1 no-reverse 　　[sysname] nat server global 3.3.3.3 inside 10.1.1.1 no-reverse 　　完成上述配置后，電信用戶可以通過2.2.2.2地址訪問內(nèi)部服務(wù)器，網(wǎng)通用戶可以通過3.3.3.3地址訪問內(nèi)部服務(wù)器。 　　當(dāng)電信用戶訪問網(wǎng)通服務(wù)器的地址3.3.3.3時(shí)，報(bào)文到達(dá)，根據(jù)正向映射表將3.3.3.3轉(zhuǎn)換為10.1.1.1，并將報(bào)文送到內(nèi)部服務(wù)器；內(nèi)部服務(wù)器回應(yīng)報(bào)文到達(dá)后，命中會(huì)話表，通過查找路由，發(fā)現(xiàn)是送往電信用戶的報(bào)文，則就近將報(bào)文從電信用戶直連接口送出，即報(bào)文從網(wǎng)通用戶接口到達(dá)，但從電信用戶接口送出。 　　此時(shí)，如果電信用戶與之間還部署了其他防火墻設(shè)備，并且這個(gè)防火墻設(shè)備配置了鏈路狀態(tài)檢測(cè)功能，對(duì)于來回路徑不一致的報(bào)文，不允許通過，最后導(dǎo)致報(bào)文被丟棄。