f5000防火墙源地址NAT转换时公网地址选择出现错误

客户使用f5000系列防护墙，出接口上配置了多条no pat模式的地址转换。

acl number 3003

rule permit ip source 1.1.1.1 0 de 2.2.2.2 0

acl number 3002

rule permit ip source 1.1.1.1 0 de 3.3.3.3 0

acl number 2000

rule permit  source 1.1.1.1 0

interface g 0/0

nat outbound 3003 address-group 230 no-pat 

 nat outbound 3002 address-group 229 no-pat

 nat outbound 2001 address-group 231 no-pat

配置后，客户发现acl 3003中的流量被转换的公网地址理论上应该是230地址池里的地址，但有时会被转换成229或231地址池里的地址。

通过配置查看，发现无其他异常问题，测试发现有时转换正确，但确实有时出现地址池中地址选择错误，并且不止3003出现错误，3002，2001中的流量有时也会出现公网地址选择错误。由于配置了no-pat选项，文档中有说明会生成一个no-pat表项，怀疑和此有关，

[H3C-GigabitEthernet0/0]dis nat no-pat

Slot 0:

Local   IP: 100.0.0.1

Global  IP: 10.0.0.10

Reversible: N

Type      : Outbound

Total entries found: 1

查看no-pat表项，此表项只记录原地址和转换的映射地址。如果后续报文进来，例如3002中访问其他目的地址，但优先匹配此表项的话，就会被转换成错误地址。

清空nat表项进行复现确认，发现确实如猜测的原因，优先出发3001的流量，再进行3002的流量，3002选择的地址池就是错误的。反之亦然

针对同一源地址配置多条源地址转换时，不可配置no-pat参数，否则会出现地址选择错误情况，现场去除no-pat参数后业务恢复正常。