主要答案

ASA 将在透明模式下执行 MAC 地址查找。

它只会出于以下原因进行路由查找；

1. 源自 ASA 的流量（例如 Syslog）。
2. 距离启用 NAT 的 ASA 一跳的流量。
3. 启用检测的 VoIP 和 DNS 流量与端点距离 ASA 一跳。

资料来源：思科自己的文档

第二种情况详解

再次，来源：思科自己的文档

简而言之，当主机 192.168.1.2 出去访问 www.example.com 时，它将在 209.165.201.15 后面进行 NAT。

当数据包回来时，目的地是……当然……209.165.201.15。透明防火墙将对目的地为 192.168.1.2 的数据包进行“De-Nat”处理。

因为它没有那个特定主机的 MAC 地址（因为主机和防火墙之间的路由器），它会查看它的路由表并将数据包发送到 10.1.1.3。