Come funziona NAT Stitching?

Durante la lettura di CISCO NetFlow Analysis ho trovato un termine chiamato NAT Stitching.

Capisco Flow Stitchingquale si unisce allo stesso tipo di connessione in entrata e in uscita.

Ma non riesco a trovare nulla di discreto NAT Stitchingtranne il seguente,

Cucitura NAT: unifica le informazioni NAT dall'interno del firewall con le informazioni dall'esterno del firewall per individuare quali IP e utenti all'interno della rete sono responsabili di una determinata azione

Quindi, come funziona in dettaglio? È un processo / protocollo o un tipo specifico di NAT?

È necessario ricordare che un flusso che utilizza NAT avrà l'aspetto di due flussi diversi: un flusso pre-NAT e un flusso post-NAT. Questo perché NAT sta cambiando uno o più indirizzi nei pacchetti. Ciò può presentare una visione distorta dei flussi.

Come spiega Cisco, le cuciture NAT cuciranno i flussi (apparentemente) separati per darti la vista a flusso singolo:

L'esportazione di NetFlow dai dispositivi NAT consentirà di unire insieme i flussi NAT pre e post.

Il libro Cisco Press NetFlow per Cybersecurity approfondisce:

La soluzione StealthWatch di Lancope supporta una funzione chiamata cucitura NAT (Network Address Translation). La cucitura NAT utilizza i dati dei dispositivi di rete per combinare le informazioni NAT dall'interno di un firewall (o un dispositivo NAT) con le informazioni dall'esterno del firewall (o di un dispositivo NAT) per identificare quali indirizzi IP e utenti fanno parte di un flusso specifico. Una grande caratteristica della soluzione StealthWatch è la sua capacità di eseguire la "deduplicazione NetFlow". Questa funzionalità ti consente di distribuire diversi collettori NetFlow all'interno della tua organizzazione senza preoccuparti del doppio o triplo conteggio del traffico.