Comment fonctionne la couture NAT?

En lisant sur CISCO NetFlow Analysis, j'ai trouvé un terme nommé NAT Stitching.

Je comprends Flow Stitchingqui joignent le même type de connexion entrante et sortante.

Mais je ne trouve rien de discret à NAT Stitchingpart ce qui suit,

Assemblage NAT: unifiez les informations NAT de l'intérieur du pare-feu avec des informations de l'extérieur du pare-feu pour identifier les adresses IP et les utilisateurs du réseau qui sont responsables d'une action particulière

Alors, comment ça marche en détail? S'agit-il d'un processus / protocole ou d'un type spécifique de NAT?

Vous devez vous rappeler qu'un flux utilisant NAT ressemblera à deux flux différents: un flux pré-NAT et un flux post-NAT. Cela est dû au fait que NAT modifie une ou plusieurs des adresses dans les paquets. Cela peut présenter une vue déformée de vos flux.

Comme Cisco l'explique, l'assemblage NAT assemblera les flux (apparemment) séparés pour vous donner la vue à flux unique:

L'exportation de NetFlow à partir des périphériques NAT assemblera les flux NAT avant et après.

L'ouvrage Cisco Press NetFlow for Cybersecurity est plus détaillé:

La solution StealthWatch de Lancope prend en charge une fonctionnalité appelée assemblage de traduction d'adresses réseau (NAT). L'assemblage NAT utilise les données des périphériques réseau pour combiner les informations NAT de l'intérieur d'un pare-feu (ou un périphérique NAT) avec des informations de l'extérieur du pare-feu (ou un périphérique NAT) pour identifier les adresses IP et les utilisateurs faisant partie d'un flux spécifique. Une grande caractéristique de la solution StealthWatch est sa capacité à effectuer la «déduplication NetFlow». Cette fonctionnalité vous permet de déployer plusieurs collecteurs NetFlow au sein de votre organisation sans vous soucier du double ou du triple comptage du trafic.