Vous devez vous rappeler qu'un flux utilisant NAT ressemblera à deux flux différents: un flux pré-NAT et un flux post-NAT. Cela est dû au fait que NAT modifie une ou plusieurs des adresses dans les paquets. Cela peut présenter une vue déformée de vos flux.
Comme Cisco l'explique, l'assemblage NAT assemblera les flux (apparemment) séparés pour vous donner la vue à flux unique:
L'exportation de NetFlow à partir des périphériques NAT assemblera les flux NAT avant et après.
L'ouvrage Cisco Press NetFlow for Cybersecurity est plus détaillé:
La solution StealthWatch de Lancope prend en charge une fonctionnalité appelée assemblage de traduction d'adresses réseau (NAT). L'assemblage NAT utilise les données des périphériques réseau pour combiner les informations NAT de l'intérieur d'un pare-feu (ou un périphérique NAT) avec des informations de l'extérieur du pare-feu (ou un périphérique NAT) pour identifier les adresses IP et les utilisateurs faisant partie d'un flux spécifique. Une grande caractéristique de la solution StealthWatch est sa capacité à effectuer la «déduplication NetFlow». Cette fonctionnalité vous permet de déployer plusieurs collecteurs NetFlow au sein de votre organisation sans vous soucier du double ou du triple comptage du trafic.
