Isso pode variar de forma massiva e quase não tem correlação com a quantidade de largura de banda que você vê em uma interface. Um único fluxo de 50M (que seria responsável por um dos seus dispositivos) poderia estar em uso constante e, como resultado, geraria fluxos somente quando você atingir os tempos limite naturais (portanto, a cada 5 minutos ou mais - 288 fluxos por dia). Ao mesmo tempo, um ataque DoS poderia estar gerando 50Mbps de pacotes de 64 bytes, cada um com uma tupla diferente src / dst L3 e L4, e você estaria observando fluxos de 1M por segundo.
Obviamente, esses são exemplos extremos, mas o ponto é que a natureza da rede e o tipo de tráfego que você está carregando farão uma grande diferença. As outras variáveis são a versão do Netflow - estilo antigo V1 / V5 / V7 versus V9, o último dos quais possui recursos para agregação, sumarização e customização. O outro ponto potencial é o uso da amostragem do Netflow (no lado superior / SP da Cisco).
O que eu posso aconselhar é que o escalonamento do Netflow é geralmente bastante linear. Sua melhor aposta seria, de longe, apenas reunir alguns dados empíricos sobre o que está sendo empurrado agora e dimensionar sua infraestrutura para acomodar uma margem saudável em relação a isso. Posso lhe dizer que já estive em ambientes corporativos no lado menor da mídia que estava obtendo um número semelhante de dispositivos e estava vendo ~ 120-150 milhões de fluxos por semana.
Posso dizer que em muitos ambientes onde o Netflow está sendo retirado de um número semelhante de dispositivos em redes corporativas bastante diversas (no lado menor da mídia) que estive em lojas onde estava