Anda harus ingat bahwa aliran menggunakan NAT akan terlihat seperti dua aliran yang berbeda: aliran pra-NAT, dan aliran pasca-NAT. Ini karena NAT mengubah satu atau lebih alamat dalam paket. Ini dapat menyajikan tampilan aliran Anda yang terdistorsi.
Seperti yang dijelaskan oleh Cisco, jahitan NAT akan menjahit aliran yang tampaknya terpisah untuk memberi Anda tampilan aliran tunggal:
Mengekspor NetFlow dari perangkat NAT akan menyatukan baik sebelum & sesudah aliran NAT.
Buku Cisco Press, NetFlow for Cybersecurity menjelaskan lebih rinci:
Solusi StealthWatch Lancope mendukung fitur yang disebut jahitan terjemahan alamat jaringan (NAT). Jahitan NAT menggunakan data dari perangkat jaringan untuk menggabungkan informasi NAT dari dalam firewall (atau perangkat NAT) dengan informasi dari luar firewall (atau perangkat NAT) untuk mengidentifikasi alamat IP dan pengguna mana yang merupakan bagian dari aliran tertentu. Fitur hebat dari solusi StealthWatch adalah kemampuannya untuk melakukan “deduplikasi NetFlow.” Fitur ini memungkinkan Anda untuk menyebarkan beberapa kolektor NetFlow dalam organisasi Anda tanpa khawatir tentang penghitungan lalu lintas dua atau tiga kali lipat.