拓扑描述如下：
一：netscreen SSG520的E0/0口连接网络督查（上网监控设备）的E0口，SSG520的E0/2和E0/3分别接电信和网通的ADSL拨号上网。
二：网络督查的E1口连接CISCO 3560的G0/1口
三：CISCO 3560的G0/25,G0/26分别连接两台2960

1:现在已经将3560设为VTP SERVER，在3560上化了10个VLAN,各个VLAN 网段分别为201.123.115.*----201.123.123.*,每个网段一个VLAN,2960通过3560学习到VLAN.（我们公司内部地址比较奇怪就是采用201.123这样的地址）
2:ssg 520的E0/0地址为192.168.1.1，3560的G0/1是192.168.1.2
3：3560上写默认路由ip route 0.0.0.0 0.0.0.0 192.168.1.1,内网机器通过防火墙出去上网。
现在内部所有PC都能PING 通192.168.1.1
我现在的需求是通过防火墙出去上网，上网线路有2条，内部主机若访问网通站点需要自动走网通线，若电信则走电信线路，小弟对NETSCREEN 产品不是很了解，请教各位大哥防火墙上需要做哪些配置，或者3560上还需要做哪些配置，NAT 如何配等等？总之达到内部网络的主机能访问外网就行，多谢各位帮忙！

555555555555

选路肯定是在防火墙上做静态路由，做网通的明细或者是电信的明细，总之要么你做网通的明细路由指向网通的出口外加一条缺省路由指向电信的出口，或者是做电信的明细路由指向电信出口外加一条缺省路由指向网通出口就行了。但是由于没有用过ssg520，不知道nat怎么做，因为面临选择映射哪个地址出去的问题，是映射网通的地址出去还是映射电信的地址出去还是可以自动选择，这就等高人解答了。

多谢楼上的回答)("hnci)