Musisz pamiętać, że przepływ przy użyciu NAT będzie wyglądał jak dwa różne przepływy: przepływ przed NAT i przepływ po NAT. Wynika to z faktu, że NAT zmienia jeden lub więcej adresów w pakietach. Może to zniekształcać widok twoich przepływów.
Jak wyjaśnia Cisco, szwy NAT będą łączyć (najwyraźniej) oddzielne przepływy, aby uzyskać widok pojedynczego przepływu:
Eksportowanie NetFlow z urządzeń NAT połączy oba przepływy NAT przed i po NAT.
Książka Cisco Press Book NetFlow dla Cyberbezpieczeństwa zawiera bardziej szczegółowe informacje:
Rozwiązanie StealthWatch Lancope obsługuje funkcję o nazwie szycie translacji adresów sieciowych (NAT). Łączenie NAT wykorzystuje dane z urządzeń sieciowych do łączenia informacji NAT z zapory (lub urządzenia NAT) z informacjami spoza zapory (lub urządzenia NAT) w celu identyfikacji, które adresy IP i użytkownicy są częścią określonego przepływu. Świetną cechą rozwiązania StealthWatch jest jego zdolność do przeprowadzania „deduplikacji NetFlow”. Ta funkcja umożliwia wdrożenie kilku kolektorów NetFlow w organizacji bez obawy o podwójne lub potrójne zliczanie ruchu.
