某局点电信、长宽、ADSL三出口，反馈打开网页速度非常慢或打不开，ping公网存在丢包严重现象
[USG5100]dis fire sess table   verbose  protocol   icmp 
11:28:12  2013/10/22
Current Total Sessions : 1
  icmp  VPN:public --> public
  Zone: trust--> untrust1  TTL: 00:00:20  Left: 00:00:17
  Interface: GigabitEthernet0/0/2  NextHop: 199.1.1.2  MAC: d8-ae-90-03-7b-03
 packets:5322 bytes:319320

  192.168.1.175:2[199.1.1.1:2]-->124.14.12.91:2048

告警信息

设备作为dns代理,内网电脑dns 指向防火墙地址
1. 在防火墙上ping  8.8.8.8 丢包严重， 初步怀疑等价默认路由造成，分别配置到8.8.8.8 的32位主机路由，然后ping 8.8.8.8，发现只有走 电信 199.1.1.2 出去的数据没有丢包。其他2条线路都存在问题，怀疑运营商线路问题。
ip route-static 8.8.8.8 255.255.255.255 Dialer0
ip route-static 8.8.8.8 255.255.255.255 20.11.164.161
ip route-static 8.8.8.8 255.255.255.255 199.1.1.2

2. 在防火墙上配置策略路由把测试电脑192.168.1.175的流量都指向 电信199.1.1.2，上网和ping 测试都正常
3. 在防火墙上配置策略路由把测试电脑192.168.1.175的流量都指向20.11.164.161 或Dialer0 上网依然很慢，ping 存在丢包，通过会话发现，出接口和安全域间正常，但是转换的地址为 电信199.1.1.1
  [USG5100]display firewall session table verbose protocol icmp
12:02:17  2013/10/22
Current Total Sessions : 3
  icmp  VPN:public --> public
  Zone: trust--> untrust  TTL: 00:00:20  Left: 00:00:15
  Interface: GigabitEthernet0/0/1  NextHop: 20.11.164.161  MAC: 00-30-88-1c-e2-b3
 packets:10 bytes:600
  192.168.1.175:2[199.1.1.1:2]-->220.181.185.141:2048

Nat 转换异常查看配置发现192.168.1.175 配置了nat server ，生成反向会话表，并且nat server优先nat enable 和nat-policy 进行转换
nat server 59 protocol tcp global 199.1.1.1 3389 inside 192.168.1.175 3389
添加no-reverse后，地址转换正常，网络访问正常。问题解决

nat server 59 protocol tcp global 199.1.1.1 3389 inside 192.168.1.175 3389 no-reverse

根因