O NetFlow mostra destinos verdadeiros

Acho que você tem uma configuração semelhante a esta:

LAN - FW - Router ---- Internet

Com o NAT no firewall? Se assim for, não há nenhuma maneira óbvia de obter destinos verdadeiros diretamente no NetFlow, porque, no que diz respeito aos roteadores, a única fonte de pacotes é o pool NAT no firewall. Talvez seja possível extrair os mapeamentos NAT do firewall regularmente e, em seguida, processar os dados do NetFlow, mas suspeito que isso exigiria alguma codificação personalizada e seria passível de erros.

Em suma, não, acho que você está sem sorte.

Editar :

Se tomarmos algumas liberdades com endereços IP reais: Dentro: 192.168.0.0/24 Conjunto de NAT: 172.27.10.3 - 172.27.10.5

Vamos traçar um pacote TCP de dentro do host 192.168.0.17 para o host externo 66.102.9.104

Source IP: 192.168.0.17  [ INSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80
-------------------
NAT location
-------------------
Source IP: 172.27.10.3   [ OUTSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80

Eventualmente, um pacote de retorno chega:

Source IP: 66.102.9.104  [ OUTSIDE ]
Source port: 80
Dest IP: 172.27.10.3
Dest port: 16732
-------------------
NAT location
-------------------
Source IP: 66.102.9.104  [ INSIDE ]
Source port: 80
Dest IP: 192.168.0.17
Dest port: 16732

Como o NAT acontece no firewall, o roteador só vê os endereços "externos" e não consegue correlacionar o IP "interno" a nenhum pacote.

Concordo com a resposta anterior. Temos 8 roteadores que monitorei o netflow e esse é o método que usei.

Já faz um tempo desde que eu brinquei com isso, mas acho que tive um problema parecido. Se a memória serve, eu tive que dizer ao IOS para referenciar o tráfego da minha interface LAN ao invés da minha interface WAN. Obviamente, isso depende da sua topologia, mas acho que o seguinte comando solucionou para mim:

ip flow-export source FastEthernet0/0