Catalyst 9300L-48T-4G-A
バージョン17.6.5

上記バージョンにおけるCat9300のVRF、NATの動作についてご教示いただけませんでしょうか。

自社サーバ(192.168.1.1/24)----Cat9300----顧客ルータ---顧客サーバ(1.1.1.1/24)

上記のようなテスト構成で、自社サーバから顧客サーバへのPing疎通が想定外の挙動になっています

□要件
・自社サーバから顧客サーバの仮想IP2.2.2.2へping疎通確認を実施する
・Cat9300でVRF「VRFtest」を使用
・Cat9300で2.2.2.2⇒1.1.1.1へ宛先NATする
・Cat9300の自社側VLANinterfaceはVLAN401を使用(ip nat inside)
・Cat9300の顧客側VLANinterfaceはVLAN103を使用(ip nat outside)
・顧客ルータの自社サーバ側IPは3.3.3.3

□Cat9300設定抜粋

ip vrf VRFtest
rd 1:100

interface Vlan103
ip vrf forwarding VRFtest
ip address 3.3.3.1 255.255.255.0
ip nat outside

interface Vlan401
ip vrf forwarding VRFtest
ip address 192.168.1.2 255.255.255.0
ip nat inside

ip nat outside source static 1.1.1.1 2.2.2.2 vrf VRFtest
ip route vrf VRFtest 2.2.2.2 255.255.255.255 3.3.3.3

□想定動作
①宛先2.2.2.2のパケットがCat9300に到達　
②inside⇒outsideへの通信のため、ルーティングが先に処理されゲートウェイが3.3.3.3になる
③次にNATが処理され宛先2.2.2.2⇒1.1.1.1へ変換
④宛先1.1.1.1のパケットが顧客ルータ(3.3.3.3)に到達し、顧客サーバへと送られる

□実際の動作
・Ping疎通不可
・Cat9300でデバッグを確認したところ、NATは正しく動作しているがパケットが顧客ルータまで送られていない

□解決策
ip route vrf VRFtest 2.2.2.2 255.255.255.255 3.3.3.3　コマンドを削除し、
ip route vrf VRFtest 1.1.1.1 255.255.255.255 3.3.3.3　コマンドを追加(NAT後のIPでルーティングを切る形)でping疎通可能

結論としては上記解決策でPing疎通可能になったのですが、NAT⇒ルーティングの順で処理されているように見受けられます。
認識としてはinside⇒outsideへの通信の際は、ルーティング⇒NATの順で処理されるはずなのですがこれは期待動作なのでしょうか？