Ви повинні пам’ятати, що потік, що використовує NAT, буде мати вигляд двох різних потоків: потоку попереднього NAT і потоку після NAT. Це відбувається тому, що NAT змінює одну або кілька адрес у пакетах. Це може представляти спотворене уявлення про ваші потоки.
Як пояснює Cisco, зшивання NAT зшиватиме (мабуть) окремі потоки, щоб отримати вигляд єдиного потоку:
Експорт NetFlow з NAT-пристроїв зшиватиме як поточні, так і попередні потоки NAT разом.
Книга преси Cisco NetFlow для кібербезпеки детальніше:
Рішення StealthWatch від Lancope підтримує функцію під назвою зшивання трансляції мережевих адрес (NAT). Зшивання NAT використовує дані мережевих пристроїв для об'єднання інформації NAT зсередини брандмауера (або NAT-пристрою) з інформацією зовнішнього брандмауера (або NAT-пристрою), щоб визначити, які IP-адреси та користувачі є частиною певного потоку. Відмінною особливістю рішення StealthWatch є його здатність виконувати "дедуплікацію NetFlow". Ця функція дозволяє розгорнути декілька колекторів NetFlow у вашій організації, не турбуючись про подвійний чи потрійний підрахунок трафіку.