当我写下来时，我认为解决方案来了。照常。

尽管如此，我还是会写下来，让世界变得更美好。=D

让我们来看看这张网络图的美：

因此，我们有两个菊花链式 ASA，并且包括接口“outside2”在内都具有公共 IP 地址。软件是 ASA1 上的 ASA 9.8，这是关于。

问题是没有身份 NAT 语句

nat (inside1,outside1) source static netx netx unidirectional

其中 netx = 1.1.1.240/29（两个 ASA 之间的网络），流量似乎至少在其中一个方向上没有正确流动。（目前，我不能更具体，因为我不确切知道。）由于私有地址空间在 ASA2 后面进行了 PAT，结果是根本无法连接到 Internet。

ASA1 上没有特定的路由条目可以到达 ASA2，因为这些网络是直接连接的。ASA1 是 ASA2 的默认路由。此外，所有这些接口都具有正确允许流量的 ACL，因此此处无需考虑安全级别。也没有其他带有 (inside1,outside1) 接口选择的 NAT 语句。没有任何可能发生冲突的带有“任何”接口的 NAT 语句。

有趣的是，在删除有问题的 NAT 语句（后面是“clear xlate”）之后，实际的 Internet 访问仍然需要几个小时才能变得不可用。但是，将其放回即可立即解决问题。

我想了解为什么似乎需要此 NAT 语句。（我认为即使不需要翻译也需要 NAT 语句的“NAT 控制”时代早已一去不复返了……）