配置文件如下：
interface Vlan1
ip address 10.0.0.254 255.255.255.0 secondary
ip address 15x.2xx.10.254 255.255.255.0
ip helper-address 159.226.2.187
no ip redirects
no ip proxy-arp
ip nat outside
hold-queue 100 in
hold-queue 100 out
!
interface Vlan2
ip address 10.10.1.254 255.255.255.0 secondary
ip address 15x.2xx.11.254 255.255.255.0 secondary
ip address 15x.2xx.2.254 255.255.255.128
no ip redirects
no ip proxy-arp
ip nat inside
ip route-cache flow
lan-name server
!
ip nat pool WANPOOL 15x.2xx.10.254 15x.2xx.10.254 netmask 255.255.255.0
ip nat inside source list 10 pool WANPOOL overload
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.254.1
!
access-list 10 permit 10.10.1.0

---------------------------------------------------
s6509#sh ip nat statistics
Total active translations: 1 (0 static, 1 dynamic; 1 extended)
Outside interfaces:
  Vlan2
Inside interfaces:
  Vlan3
Hits: 88  Misses: 45
Expired translations: 36
Dynamic mappings:
-- Inside Source
[Id: 2] access-list 10 pool WANPOOL refcount 1
pool WANPOOL: netmask 255.255.255.0
        start 15x.2x.10.254 end 15x.2xx.10.254
        type generic, total addresses 1, allocated 1 (100%), misses 0
longest chain in pool: WANPOOL's addr-hash: 1, average len 0,chains 1/256
longest chain in local hash: 1, average length 0, chains 1/2048
longest chain in global hash: 1, average length 0, chains 1/2048
---------------------------------------------------
s6509#sh ip nat translations
Pro Inside global         Inside local          Outside local         Outside global
tcp 15x.2xx.10.254:4096   10.10.1.76:3389       15x.2xx.10.14:37643   15x.2xx.10.14:37643
---------------------------------------------------
15x.2xx.x.x为c类公网IP。。
现在目的是要把vlan2中10.10.1.0这段IPnat出去。。。将vlan2做为inside，vlan1为outside。。按上面的配置完成后，10.10.1.0段IP仍然无法上网。但是nat状态可以查看到信息，不知道这样是否可以证明NAT已经生效？但是15x.2xx.11.x和15x.2xx.2.x这2段IP可以和10.10.1.0段IP互联。
补充一下，nat前和nat后，15x.2xx段IP均可上网。                        

重点：不知为何私网地址无法上网。

ip route 0.0.0.0 0.0.0.0 192.168.254.1 你这个有问题。下一跳应该是和你inter vlan1 接口连接设备的ip地址 ，和15x.2xx.10.254 这个一个网段的。不过不建议在三层上做nat ,虽然能做。
   还有个不明白你都配置第二个备用ip干什么，期望高手解答了

6509上的NAT 就是这样,但那条默认路由是错了,同上楼上意见

是我没说清楚，事情是这个样子的。。
这台6509上面还有一台netscreen500的防火墙。192.168.254.1这个IP，是防火墙的出口。
其它的c类IP下一跳都是跳到这个IP上来，是可以正常出去的。。我想现在把10这段IP给nat成15x.2xx.10.254的IP，让它出去。难道我要把ip nat outside设置在接192.168.254.1这个IP的口上吗？可是我是想把它们NAT成15x.2xx.10.254，而不是192.168.254.0这样的IP呀。

路由如果有问题，其它的c类IP应该也不能上网吧？

1、6509三层交换机，其它C类网段，都是通过netscreen NAT 出去了。因为：在65上有这条静态路由。
2、现在在VLAN 1 IP 上做了secondary IP， 给了公网IP 15X，想让三层交换机中的10网段出去，再加一条条件路由（route-map）,把 10网段流程，引导到10.0.0.254

理解有些误差。。
1.我想这个可能不是nat，应该只是一条静态路由，让它通过防火墙走去。因为防火墙在6509上的接口配置的IP是192.168.254.2，接防火墙上的192.168.254.1端口。。然后防火墙的出口IP是15x.2xx.2.130这样子。
2.我不是想让vlan1中的私网再通过vlan1出去。我是想让vlan2中的10.10.1.0段IP从van1中的15x.2xx.10.254NAT出去。这样条件路由应该怎么设置呢？
或者说直接点，现在主要目的就是想把vlan2中的10.10.1.0这段IPnat出去，让它们能上网！

其实vlan2本身也有公网IP的，15x.2xx.2.0和15x.2xx.11.0这2段都是公网IP。。如果能从相同vlan把这段IPnat出去，那是更好了。但是 这样ip nat inside和ip nat outside又不能同时设置在同一个vlan上

access-list 10 permit 10.10.1.0
这个需要加反向子网掩码 access-list 10 permit 10.10.1.0 0.0.0.255  试试吧

在用这个R1#debug ip nat   跟踪NAT 每个转换的数据包  在看看

试过了，不行的，现在就是这样子。。。
另外，我加了段route-map:
route-map WANPOOL permit 10
match ip address 100
match interface Vlan2

可还是不行~
求高手帮忙

1. 你原的C网段都是从Netscreen 上NAT出去的，通过一条静态路由将流量引到netscreen上。
2. 你要求的VLAN 2 需要在65上进行NAT，设定的ip nat inside/outside 及ip nat source inside ...你都做完了，再加一个route-map 条件路由，因为：你那条0.0.0.0 0.0.0.0 192.168.254.1把所有流量都指到netscreen 上去了，再来以下route-map，把10.10.1.0 网段的流量指到10.10.1.254 .
3、其实，你VLAN2中的PC网关都指到10.10.1.254上，就NAT了啊，不用这个route-map了。

route-map vlan2_nat_out permit 10
match ip add 102
set ip next-hop 10.10.1.254

interface vlan 2
ip policy route-map vlan2_nat_out

access-list 102 permit ip 10.10.1.0 0.0.0.255 any

请再次确认一下原配置情况下, debug看看VLAN2 NAT流量是怎么走的.

看你的配置是vlan1 outside,vlan2 inside.但是看你
s6509#sh ip nat statistics
Total active translations: 1 (0 static, 1 dynamic; 1 extended)
Outside interfaces:
  Vlan2
Inside interfaces:
  Vlan3
Hits: 88  Misses: 45
Expired translations: 36
这段怎么显示的是vlan2 和vlan3口呢？
还有最好把你路由信息也发上来。

希望不影响 vlan2中其它c类IP的状态。如果在vlan2下生效route-map，这样会不会影响到vlan2下的c类IP呢?
debug ip nat什么也没有显示 ，只有1条：
IP NAT debugging is on
就什么也没有了~

PS：：回楼上的那是写错了，sh ip nat statistics 如下：
s6509#sh ip nat statistics
Total active translations: 1 (0 static, 1 dynamic; 1 extended)
Outside interfaces:
  Vlan1
Inside interfaces:
  Vlan2
Hits: 88  Misses: 45
Expired translations: 36

路由信息只有一条：ip route 0.0.0.0 0.0.0.0 192.168.254.1

你在10网段上用traceroute追踪一下看看路由能到哪里，或者ping一下192.168.254.1，看看能到这个点吗？这里还涉及到你防火墙上的路由问题，可能你的包出去但回不来，你逐级ping一下，看看你的包能不能到你广域网出口。

15x.2xx.10.14:37643   15x.2xx.10.14:37643这个是你的出口ip吗？你的数据包应该是到这个位置了，就是不知道这是个什么东西

我要的是路由表，ip route 0.0.0.0这条只是你手工配的静态路由，但你配了接口ip以后会自动生成一些路由表的，你的ip说起来规划的有点乱，15x.2xx.2.130，这个网段好像在你192.168.1.0这个网段两边都有。
你S6509#show ip route发上来看看
还有你防火墙的路由表也看看，。

你防火墙上是不是也做nat了？最好把防火墙ip配置，nat配置，路由表也发上来。

s6509#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.254.1 to network 0.0.0.0

     15x.2xx0.0/16 is variably subnetted, 3 subnets, 2 masks
C       15x.2xx11.0/24 is directly connected, Vlan2
C       15x.2xx10.0/24 is directly connected, Vlan1
C       15x.2xx2.128/25 is directly connected, Vlan2
     10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
C       10.10.1.0/24 is directly connected, Vlan2
C       10.10.10.8/30 is directly connected, GigabitEthernet2/24
C       10.0.0.0/24 is directly connected, Vlan1
C    192.168.0.0/24 is directly connected, Vlan2
     192.168.254.0/30 is subnetted, 1 subnets
C       192.168.254.0 is directly connected, GigabitEthernet2/12
S*   0.0.0.0/0 [1/0] via 192.168.254.1

--------------------------------------------------------------------------------
   ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys
--------------------------------------------------------------------------------
*   2          0.0.0.0/0         eth1/1   15x.2xx2.129   S   20      1     Root
*   4   15x.2xx2.128/25         eth3/1   192.168.254.2   S   20      1     Root
*   3    15x.2xx10.0/24         eth3/1   192.168.254.2   S   20      1     Root
*   5    15x.2xx11.0/24         eth3/1   192.168.254.2   S   20      1     Root
*   6   192.168.254.0/30            n/a        trust-vr   S   20      0     Root
*   1   15x.2xx2.128/30         eth1/1         0.0.0.0   C    0      0     Root
trust-vr (7 entries)
--------------------------------------------------------------------------------
   ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys
--------------------------------------------------------------------------------
*   6          0.0.0.0/0         eth1/1   15x.2xx2.129   S   20      1     Root
*   4   15x.2xx2.128/25         eth3/1   192.168.254.2   S   20      1     Root
*   5    15x.2xx10.0/24         eth3/1   192.168.254.2   S   20      1     Root
*   7    15x.2xx11.0/24         eth3/1   192.168.254.2   S   20      1     Root
*   2   192.168.254.0/30         eth3/1         0.0.0.0   C    0      0     Root
--- more ---
    3     192.168.1.0/24            mgt         0.0.0.0   C    0      0     Root
*   8   15x.2xx2.128/30            n/a      untrust-vr   S   20      0     Root