某局點電(diàn)信、長寬、ADSL三出口，反饋打開(kāi)網頁速度非常慢或打不開(kāi)，ping公網存在丢包嚴重現象
[USG5100]dis fire sess table   verbose  protocol   icmp 
11:28:12  2013/10/22
Current Total Sessions : 1
  icmp  VPN:public --> public
  Zone: trust--> untrust1  TTL: 00:00:20  Left: 00:00:17
  Interface: GigabitEthernet0/0/2  NextHop: 199.1.1.2  MAC: d8-ae-90-03-7b-03
 packets:5322 bytes:319320

  192.168.1.175:2[199.1.1.1:2]-->124.14.12.91:2048

告警信息

設備作(zuò)為dns代理(lǐ),內(nèi)網電(diàn)腦(nǎo)dns 指向防火(huǒ)牆地址
1. 在防火(huǒ)牆上(shàng)ping  8.8.8.8 丢包嚴重， 初步懷疑等價默認路由造成，分别配置到8.8.8.8 的32位主機路由，然後ping 8.8.8.8，發現隻有(yǒu)走 電(diàn)信 199.1.1.2 出去的數(shù)據沒有(yǒu)丢包。其他2條線路都存在問題，懷疑運營商線路問題。
ip route-static 8.8.8.8 255.255.255.255 Dialer0
ip route-static 8.8.8.8 255.255.255.255 20.11.164.161
ip route-static 8.8.8.8 255.255.255.255 199.1.1.2

2. 在防火(huǒ)牆上(shàng)配置策略路由把測試電(diàn)腦(nǎo)192.168.1.175的流量都指向 電(diàn)信199.1.1.2，上(shàng)網和(hé)ping 測試都正常
3. 在防火(huǒ)牆上(shàng)配置策略路由把測試電(diàn)腦(nǎo)192.168.1.175的流量都指向20.11.164.161 或Dialer0 上(shàng)網依然很(hěn)慢，ping 存在丢包，通(tōng)過會(huì)話(huà)發現，出接口和(hé)安全域間(jiān)正常，但(dàn)是轉換的地址為 電(diàn)信199.1.1.1
  [USG5100]display firewall session table verbose protocol icmp
12:02:17  2013/10/22
Current Total Sessions : 3
  icmp  VPN:public --> public
  Zone: trust--> untrust  TTL: 00:00:20  Left: 00:00:15
  Interface: GigabitEthernet0/0/1  NextHop: 20.11.164.161  MAC: 00-30-88-1c-e2-b3
 packets:10 bytes:600
  192.168.1.175:2[199.1.1.1:2]-->220.181.185.141:2048

Nat 轉換異常查看配置發現192.168.1.175 配置了nat server ，生(shēng)成反向會(huì)話(huà)表，并且nat server優先nat enable 和(hé)nat-policy 進行(xíng)轉換
nat server 59 protocol tcp global 199.1.1.1 3389 inside 192.168.1.175 3389
添加no-reverse後，地址轉換正常，網絡訪問正常。問題解決

nat server 59 protocol tcp global 199.1.1.1 3389 inside 192.168.1.175 3389 no-reverse

根因