一、组网需求：
1正常情况下10002从出口1212120NAT转化成100000的地址，20002从出口1313130NAT转化成200000的地址，实现负载均衡。2FW双出口的某一条链路dow
，所有用户NAT成同一地址段出去，实现链路冗余。
二、实验组网
四、关键配置
USG5360V100R003C01SPC007：
ipaddressset100a
d200typeobjectaddress010000mask24address120000mask24ipaddressset10002typeobjectaddress010000mask24ipaddressset20002typeobjectaddress020000mask24
facl
umber3001rule0permitipsource100000255255255acl
umber3002rule0permitipsource200000255255255
ataddressgroup100NAT110000110000100
ataddressgroup200NAT220000120000100trafficclassifier12ifmatchacl3001trafficclassifier13ifmatchacl3002trafficbehavior12
remarkip
exthop1212122outputi
terfaceGigabitEther
et000trafficbehavior13
remarkip
exthop1313132outputi
terfaceGigabitEther
et001qospolicyreclassifier12behavior12classifier13behavior13i
terfaceGigabitEther
et000ipaddress1212121255255255252
fi
terfaceGigabitEther
et001ipaddress1313131255255255252i
terfaceGigabitEther
et002ipaddress200012552552550i
terfaceGigabitEther
et003ipaddress100012552552550
firewallzo
elocal
setpriority100firewallzo
etrustsetpriority85qosapplypolicyreoutbou
daddi
terfaceGigabitEther
et002addi
terfaceGigabitEther
et003firewallzo
eu
trustsetpriority5firewallzo
e
amet100
fsetpriority10addi
terfaceGigabitEther
et000firewallzo
e
amet200setpriority11addi
terfaceGigabitEther
et001
atpolicyi
terzo
etrustu
trustoutbou
d
atpolicyi
terzo
etrustt100outbou
dpolicy0actio
source
atpolicysourceaddressset100a
d200addressgroupNAT1
atpolicyi
terzo
etrustt200outbou
dpolicy0actio
source
atpolicysourceaddressset100a
d200addressgroupNAT2
iproutestatic000000001313132
fiproutestatic000000001212122
五、实现原理
按照实验要求，如果我们用传统的NAT，将10002
at成10000024网段，将20002
at成20000024网段，这种方法是实现不了当FW双线上连线路任意断掉一条业务不断的实验要求。那么我们应如何解决这个问题呢？首先我们要了解防火墙的处理流程，如下图：
NAT实际上在防火墙中也属于域间策略的一种，即从上图中我们可以知道NAT是在路由选路后进行的，而NAT的配置很简单，只是将匹配的地址（acl）进行一个地址转换的操作（如果不选
opat方式还包括端口），所以我们不可能从NAT上进行某种操作来实现冗余。这时我们就可以考虑使用策略路由，建议大家在这个时候根据流程图画一张该实r