CGNAT para Provedores em Conformidade com o Marco Civil

O que o Marco Civil exige do provedor

O Marco Civil da Internet (Lei 12.965/2014) obriga provedores a manter logs de conexão por 12 meses. Para quem usa CGNAT, o log de IP público não basta: você precisa registrar o IP privado do assinante, a porta de origem alocada, a porta de destino e o timestamp preciso de cada conexão — ou ao menos a faixa de portas alocada (PBA) por assinante em cada intervalo de tempo.

Responder um ofício judicial sem esses dados resulta em multa e risco de corresponsabilidade por qualquer ato praticado pelo assinante naquele período. A falha mais comum que vemos é ISP que tem CGNAT rodando mas não coletou logs desde o início.

Por que CGNAT ainda é necessário em 2025

IPv4 público esgotou no LACNIC. Novos provedores não conseguem bloco suficiente para dar IP público a cada assinante sem custo proibitivo. CGNAT é o padrão de mercado para escalar IPv4 enquanto IPv6 dual-stack não está 100% implantado. Fazemos os dois em paralelo — CGNAT para IPv4 agora e IPv6 nativo para os assinantes já alcançáveis.

Sizing do pool e razão de compartilhamento

Trabalhamos com 1:64 quando há IPv6 dual-stack ativo: parte do tráfego sai por IPv6 nativo e o que resta cabe folgado em 64 assinantes por IP público. Sem dual-stack, baixamos para 1:32. Dimensionar errado causa port exhaustion (conexões recusadas, jogos que não conectam, VoIP que cai) e reclamação de assinante.

• Análise do perfil de tráfego por segmento (residencial, empresarial, escolas)
• Cálculo de pool mínimo e ideal para sua base atual e projeção de crescimento
• Política de fallback para assinantes com demanda acima da média
• Revisão periódica conforme a base cresce

Port Block Allocation (PBA) e coleta de logs

PBA aloca um bloco fixo de portas por assinante em cada intervalo de tempo. Isso simplifica drasticamente o volume de logs: em vez de registrar cada sessão TCP/UDP, você registra IP público + faixa de portas + assinante + início/fim do bloco. Reduz armazenamento em 99% sem perder capacidade de identificação. Aplicamos PBA onde o equipamento suporta — Cisco ASR é o cenário típico. Em MikroTik e A10 usamos CGNAT com alocação estática (cada assinante recebe uma faixa fixa de portas dentro de um IP público), que atende ao Marco Civil com o mesmo volume enxuto de log.

• Configuração de PBA no Cisco ASR; CGNAT estático em MikroTik e A10 (cobre o mesmo requisito legal com pipeline de log mais simples)
• Pipeline de coleta de logs (syslog centralizado + parsing + armazenamento estruturado)
• Retenção de 12 meses com compressão e busca por IP+porta+timestamp
• Validação diária de que os logs estão chegando e indexados corretamente

Identificação de assinante: do IP público ao CPF

Um ofício judicial chega com IP público, porta e timestamp. Você precisa responder com nome, CPF e endereço do assinante. A cadeia é: IP público + porta → PBA ativo naquele momento → IP privado do assinante → sessão PPPoE/DHCP ativa → cadastro no ERP.

• Mapeamento do fluxo completo de identificação no seu ambiente
• Integração dos logs CGNAT com o RADIUS e o ERP (MK-Auth, IXC, SGP, Voalle)
• Procedimento documentado para resposta a ofício judicial em menos de 1 hora
• Teste periódico do fluxo de identificação para garantir que funciona quando precisar

Troubleshooting de CGNAT em produção

CGNAT mal configurado aparece como reclamação de cliente ("não consigo entrar no jogo", "VoIP cai", "bancário não abre") sem causa óbvia. O problema real é port exhaustion, protocolo bloqueado por ALG agressivo ou timeout muito curto para TCP estabelecido.

• Diagnóstico de port exhaustion por assinante e ajuste do pool
• Revisão de ALG (Application Layer Gateway) para SIP, FTP, H.323 e PPTP
• Ajuste de timeouts por protocolo (TCP estab: 7200s, UDP: 300s, ICMP: 60s)
• Monitoramento de uso de portas por IP público com alerta antes de saturar

Troca de equipamento sem perder logs históricos

Migrar de um equipamento de CGNAT para outro é arriscado se os logs históricos ficarem presos no sistema antigo. Planejamos a migração para que os logs do período anterior sejam exportados e integrados ao novo pipeline antes do cutover.

• Inventário dos logs existentes e verificação de integridade
• Exportação e conversão de formato se necessário
• Configuração do novo equipamento com os mesmos pools e blocos de porta
• Validação pós-migração: teste de identificação de assinante histórico

Como trabalhamos e como começa

Trabalhamos com plano mensal — não fazemos projeto avulso nem diagnóstico cobrado por hora. A primeira conversa não tem custo: ligamos, você compartilha um AnyDesk e nos mostra o ambiente ao vivo enquanto já vamos comentando o que observamos. Se fizer sentido pros dois lados, a gente fecha o mensal e segue daí.

Fale com a gente — conversa inicial sem compromisso. Veja também: IPv6 para provedores, PPPoE, RADIUS e B-RAS/BNG.