回答

当NAT地址池地址与公网接口地址不在同一网段时，必须配置黑洞路由。

当公网用户主动访问NAT地址池中的地址时，FW收到此报文后，无法匹配到会话表，根据缺省路由转发给路由器，路由器收到报文后，查找路由表再转发给FW。此报文就会在FW和路由器之间循环转发，造成路由环路。因此需要配置黑洞路由。

当NAT地址池地址与公网接口地址在同一网段时，建议配置黑洞路由。

在这种情况下，不会产生路由环路。但当公网用户发起大量访问时，FW将发送大量的ARP请求报文，也会消耗系统资源。因此需要配置黑洞路由，避免FW发送ARP报文请求报文，节省FW的系统资源。

当NAT地址池地址与公网接口地址一致时，不需要配置黑洞路由。

FW收到公网用户的报文后，发现是访问自身的报文，这时候取决于公网接口所属安全区域和Local安全区域之间的安全策略，安全策略允许通过，就处理；安全策略不允许通过，就丢弃，不会产生路由环路。

对于配置指定协议和端口的NAT Server并且NAT Server的Global地址和公网接口地址不在同一网段时，必须配置黑洞路由。

当公网用户主动访问NAT Server的global地址时，FW收到此报文后，无法匹配到会话表，根据缺省路由转发给路由器，路由器收到报文后，查找路由表再转发给FW。此报文就会在FW和路由器之间循环转发，造成路由环路。因此需要配置黑洞路由。

对于配置指定协议和端口的NAT Server并且NAT Server的Global地址和公网接口地址在同一网段时，建议配置黑洞路由。

在这种情况下，不会产生路由环路。但当公网用户发起大量访问时，FW将发送大量的ARP请求报文，也会消耗系统资源。因此需要配置黑洞路由，避免FW发送ARP报文请求报文，节省FW的系统资源。

当NAT Server的global地址与公网接口地址一致时，不需要配置黑洞路由。

FW收到公网用户的报文后，如果能匹配上Server-map表，就转换目的地址，然后转发到私网；如果不能匹配上Server-map表，就会认为是访问自身的报文，这时候取决于公网接口所属安全区域和Local安全区域之间的安全策略，安全策略允许通过，就处理；安全策略不允许通过，就丢弃。不会产生路由环路。

当使用NAT策略配置目的NAT时，为避免产生路由环路等问题，建议配置黑洞路由。