Когда речь идет самогенерируемом NetFlow, параметры вывода не действуют на такие пакеты; поэтому пакеты NetFlow, приходящие из устройства, которое является источником туннеля, не будут шифроваться. Это мешает отправке пакетов NetFlow через IPsec-туннель по нужному адресу. Однако существует мало известная команда "output-feature", которая может быть добавлена в экспорт Flexible NetFlow (FnF) и помочь в разрешении проблемы. Это обязательно должно быть сделано в конфигурации FnF, если вы хотите установить DSCP или использовать шифрование (т.е. VPN-туннели) на устройстве. Теперь вторая часть конфигурации FnF (см. видео) будет выглядеть так:

Conf t
flow exporter export-to-ravica-replicator
description flexible NF v9
destination 10.1.4.66
source Vlan1
output-features
transport udp 9996
template data timeout 60
option interface-table
option exporter-stats
option application-table

В документации Cisco о Flexible NetFlow  об этом сказано несколько смутно. "Для включения посылки экспортируемых пакетов Flexible NetFlow, используя QoS или шифрование, используйте команду output-feature в конфигурационном режиме экспортера FnF. Для выключения отсылки пакетов с использованием QoS или шифрования, используя отрицательную форму этой команды.

output-features
no output-features