北京SSL设备采用路由模式部署，上海分公司（192.168.2.0/24）需要通过VPN接入北京服务端，深圳分公司（192.168.2.0/24）同样需要通过VPN接入北京总部。则北京SANGFOR设备需要添加隧道内NAT设置，解决上海分公司与深圳分公司之间内网网段冲突的问题。

配置步骤如下：

第一步：在总部-北京设备的『IPSEC VPN设置』→『虚拟IP池』中新增一段IP为192.168.20.0/24的虚拟IP池范围。页面如下：

第二步：在『IPSEC VPN设置』→『用户管理』中新增一个分支账号，点击高级，选择[隧道内NAT设置]选项卡，勾选[启用隧道内NAT]，新增一条192.168.20.0/24网段与该分支账号进行关联。页面如下：

点击确定后规则生效，则分支-深圳在不修改内网IP的情况下也能顺利接入服务端，此时服务端-北京可以通过访问192.168.20.0/24这个网段中对应的IP地址来访问分支-深圳内网提供的服务。

此时分支-深圳和分支-上海之间无法通过隧道间路由进行互访。如需分支-深圳和分支-上海要通过隧道间路由互访，则分支-深圳和分支-上海都需要启用隧道内NAT功能分别转换为2个不同的IP网段，然后再添加隧道间路由，源为真实物理IP网段，目地为对端虚拟IP网段即可。