设备型号：usg6650e，版本： v600r007c20spc300
组网概述：usg6650e系列和腾讯云通过ipsec vpn对接，承载的是云南省的核酸查询业务。当前正式业务10.210.161.170-173可正常使用，但是测试业务(10.210.161.190)通过nat转换后，网络不通。
1、先本地ping 10.210.161.190测试机，不通。
2、通过观察会话发现策略命中了，有去包4个，无回复包。检查路由，路由正确。但是，global--inside的转换没有生效。继续排查发现server-map表中，nat转换是生效了的。
3、拉通二线、研发排查，发现zone trust限定了仅为入放行zone trust的才发布，为其他zone的nat映射不生效。修改端口映射为：
nat server zone trust global 10.210.161.190 inside 10.190.50.17 description to_wjw_test //原错误的端口映射
nat server global 10.210.161.190 inside 10.190.50.17 description to_wjw_test //修改后的端口映射
4、发现去掉了zone后，地址能通了，故障排除。
根因
nat server zone trust global 10.210.161.190 inside 10.190.50.17 description to_wjw_test //原错误的端口映射
这条端口映射：入方向请求的zone必须是trust域进来的流量，才会发生global源为trust，inside域为any的nat转换
nat server global 10.210.161.190 inside 10.190.50.17 description to_wjw_test //修改后的端口映射
这条端口映射：入方向请求的zone为any域，inside域为any，只要匹配，就发生nat转换。
解决方案
去掉nat server 后面的zone限制后问题解决。
建议与总结
1、当nat server后的zone确定时，zone可以缩减通信范围。
2、当nat server后的zone不确定时，不zone(不考虑zone)可以快速排查nat server类的故障。