防火墙NAT实验--nat转换后地址和接口地址在不同网段

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

       昨天遇到一个客户，客户的出口IP是不能和互联网通信的，他给了一个段的地址给我，让我用这个段的地址才可以跟互联网通信。然后我就在想，如果出口IP没有这个段的地址，地址转换后能不能跟互联网通信。

       我做了个实验，拓扑及地址规划如下：

R1有到14.1.1.0/24路由，AF有20.1.1.0/24、12.1.1.0/24路由，AD默认路由指向AF，PC网关指向AD

配置如下：

AD就是一台路由器，就路由转发

AF创建全通的应用控制策略，地址转换如下：

接口没有配置转换后的地址段IP

测试：

实验结论：数据包出去的时候，防火墙路由优先级高于NAT策略，因为要先做路由转发确认出接口，然后再做NAT出去，此时会生成NAT表项（可惜防火墙上看不到）；回包的时候，NAT优先级高于路由转发，这个时候哪怕防火墙没有这个地址，但是匹配了NAT表项后，先做NAT转换，再做路由转发。

我突然又想到一个事，nat优先级和应用控制策略优先级，哪个比较高呢

如果有错，欢迎各位大佬指点