Debe recordar que un flujo que usa NAT se verá como dos flujos diferentes: un flujo previo a NAT y un flujo posterior a NAT. Esto se debe a que NAT está cambiando una o más de las direcciones en los paquetes. Esto puede presentar una visión distorsionada de sus flujos.
Como lo explica Cisco, la unión de NAT unirá los flujos (aparentemente) separados para brindarle una vista de flujo único:
La exportación de NetFlow desde los dispositivos NAT unirá los flujos NAT anteriores y posteriores.
El libro de Cisco Press NetFlow para Ciberseguridad entra en más detalles:
La solución StealthWatch de Lancope admite una característica llamada unión de traducción de direcciones de red (NAT). La unión de NAT utiliza datos de dispositivos de red para combinar información de NAT dentro de un firewall (o un dispositivo NAT) con información de fuera del firewall (o un dispositivo NAT) para identificar qué direcciones IP y usuarios son parte de un flujo específico. Una gran característica de la solución StealthWatch es su capacidad para realizar la "deduplicación de NetFlow". Esta característica le permite implementar varios recopiladores de NetFlow dentro de su organización sin preocuparse por el doble o triple conteo del tráfico.