某局點電信、長寬、ADSL三出口，反饋打開網(wǎng)頁速度非常慢或打不開，ping公網(wǎng)存在丟包嚴重現(xiàn)象
[USG5100]dis fire sess table   verbose  protocol   icmp 
11:28:12  2013/10/22
Current Total Sessions : 1
  icmp  VPN:public --> public
  Zone: trust--> untrust1  TTL: 00:00:20  Left: 00:00:17
  Interface: GigabitEthernet0/0/2  NextHop: 199.1.1.2  MAC: d8-ae-90-03-7b-03
 packets:5322 bytes:319320

  192.168.1.175:2[199.1.1.1:2]-->124.14.12.91:2048

告警信息

設備作為dns代理,內(nèi)網(wǎng)電腦dns 指向防火墻地址
1. 在防火墻上ping  8.8.8.8 丟包嚴重， 初步懷疑等價默認路由造成，分別配置到8.8.8.8 的32位主機路由，然后ping 8.8.8.8，發(fā)現(xiàn)只有走 電信 199.1.1.2 出去的數(shù)據(jù)沒有丟包。其他2條線路都存在問題，懷疑運營商線路問題。
ip route-static 8.8.8.8 255.255.255.255 Dialer0
ip route-static 8.8.8.8 255.255.255.255 20.11.164.161
ip route-static 8.8.8.8 255.255.255.255 199.1.1.2

2. 在防火墻上配置策略路由把測試電腦192.168.1.175的流量都指向 電信199.1.1.2，上網(wǎng)和ping 測試都正常
3. 在防火墻上配置策略路由把測試電腦192.168.1.175的流量都指向20.11.164.161 或Dialer0 上網(wǎng)依然很慢，ping 存在丟包，通過會話發(fā)現(xiàn)，出接口和安全域間正常，但是轉(zhuǎn)換的地址為 電信199.1.1.1
  [USG5100]display firewall session table verbose protocol icmp
12:02:17  2013/10/22
Current Total Sessions : 3
  icmp  VPN:public --> public
  Zone: trust--> untrust  TTL: 00:00:20  Left: 00:00:15
  Interface: GigabitEthernet0/0/1  NextHop: 20.11.164.161  MAC: 00-30-88-1c-e2-b3
 packets:10 bytes:600
  192.168.1.175:2[199.1.1.1:2]-->220.181.185.141:2048

Nat 轉(zhuǎn)換異常查看配置發(fā)現(xiàn)192.168.1.175 配置了nat server ，生成反向會話表，并且nat server優(yōu)先nat enable 和nat-policy 進行轉(zhuǎn)換
nat server 59 protocol tcp global 199.1.1.1 3389 inside 192.168.1.175 3389
添加no-reverse后，地址轉(zhuǎn)換正常，網(wǎng)絡訪問正常。問題解決

nat server 59 protocol tcp global 199.1.1.1 3389 inside 192.168.1.175 3389 no-reverse

根因