Вы должны помнить, что поток, использующий NAT, будет выглядеть как два разных потока: поток до NAT и поток после NAT. Это связано с тем, что NAT изменяет один или несколько адресов в пакетах. Это может представлять искаженное представление о ваших потоках.
Как объясняет Cisco, сшивание NAT будет сшивать (очевидно) отдельные потоки, чтобы дать вам представление единого потока:
Экспорт NetFlow с устройств NAT объединит потоки до и после NAT.
В книге Cisco Press NetFlow для кибербезопасности более подробно рассматриваются:
Решение Lancope StealthWatch поддерживает функцию, называемую сшивание сетевых адресов (NAT). Сшивание NAT использует данные от сетевых устройств для объединения информации NAT внутри брандмауэра (или устройства NAT) с информацией извне брандмауэра (или устройства NAT), чтобы определить, какие IP-адреса и пользователи являются частью определенного потока. Отличительной особенностью решения StealthWatch является его способность выполнять «дедупликацию NetFlow». Эта функция позволяет развертывать несколько сборщиков NetFlow в вашей организации, не беспокоясь о двойном или тройном подсчете трафика.