在配置NAT Server雙出口過程中，通常采用以下兩種方式：
　　1、基于不同安全區(qū)域進行配置，將電信用戶和網(wǎng)通用戶分別劃入不同安全區(qū)域，分別提供不同的公網(wǎng)IP地址。
　　此方式下，內(nèi)部服務(wù)器主動訪問外網(wǎng)時基于不同的安全區(qū)域來選擇相應(yīng)的反向表做地址映射。
　　[sysname] nat server zone zone1 global 2.2.2.2 inside 10.1.1.1
　　[sysname] nat server zone zone2 global 3.3.3.3 inside 10.1.1.1
　　zone1對應(yīng)電信用戶所在安全區(qū)域；zone2對應(yīng)網(wǎng)通用戶所在安全區(qū)域。
　　2、配置no-reverse參數(shù)，取消反向表的建立。
　　此方式下，通常不允許內(nèi)部服務(wù)器主動訪問外網(wǎng)，如果內(nèi)部服務(wù)器需要主動訪問外網(wǎng)，則要針對此服務(wù)器在上另外配置基于源IP地址的NAT功能。
　　[sysname] nat server global 2.2.2.2 inside 10.1.1.1 no-reverse
　　[sysname] nat server global 3.3.3.3 inside 10.1.1.1 no-reverse
　　完成上述配置后，電信用戶可以通過2.2.2.2地址訪問內(nèi)部服務(wù)器，網(wǎng)通用戶可以通過3.3.3.3地址訪問內(nèi)部服務(wù)器。
　　當(dāng)電信用戶訪問網(wǎng)通服務(wù)器的地址3.3.3.3時，報文到達，根據(jù)正向映射表將3.3.3.3轉(zhuǎn)換為10.1.1.1，并將報文送到內(nèi)部服務(wù)器；內(nèi)部服務(wù)器回應(yīng)報文到達后，命中會話表，通過查找路由，發(fā)現(xiàn)是送往電信用戶的報文，則就近將報文從電信用戶直連接口送出，即報文從網(wǎng)通用戶接口到達，但從電信用戶接口送出。
　　此時，如果電信用戶與之間還部署了其他防火墻設(shè)備，并且這個防火墻設(shè)備配置了鏈路狀態(tài)檢測功能，對于來回路徑不一致的報文，不允許通過，最后導(dǎo)致報文被丟棄。