華為USG 系列防火墻V300R001 版本，3層接口下可以配置nat enable ，加上web配置界面配置端口ip位置有個啟用nat  選項框，客戶很容易勾選。造成一些異常現(xiàn)象

接口下的nat enable 優(yōu)先  nat-policy interzone，造成問題

1. Ipsec 配置后  ，區(qū)域間配置的 感興趣數(shù)據(jù)流量 動作no-nat 不匹配，先匹配接口下nat enable  造成 ipsec 單通，對方可以訪問設(shè)備內(nèi)網(wǎng)，內(nèi)網(wǎng)用戶不能主動訪問對方（匹配nat enable）
2. Nat  enable  只會轉(zhuǎn)換為接口ip， 不適用于地址池包含多個ip 的場景

=============實際業(yè)務(wù)中，建議大家不使用Nat Enable命令。而使用Nat-Policy。