CGNAT com Auditoria

IPv4 ficou caro. CGNAT bem dimensionado economiza dezenas de milhares por ano — mas se a auditoria falhar, o provedor responde por LGPD.

O que é CGNAT

Carrier-Grade NAT compartilha um IPv4 público entre dezenas ou centenas de assinantes. Em vez de comprar /22 a cada expansão, o provedor reusa o pool atual mapeando blocos de portas TCP/UDP por assinante.

Economia óbvia: um bloco /24 (256 IPs) pode atender 16 mil assinantes a 16 portas cada. Cobiçoso, mas exige logging rigoroso pra atender ordem judicial e LGPD.

O que a RASYS faz com CGNAT

  • Dimensionamento do pool — cálculo de portas por assinante baseado no perfil de uso real (P2P, gaming, IoT mudam tudo). Sobredimensiona e gasta IPv4; subdimensiona e cliente reclama de jogo travando.
  • Política determinística (deterministic NAT) — mapeamento fixo IP/port-range por assinante. Auditoria barata: tabela estática resolve qualquer requisição judicial sem precisar buscar log histórico.
  • Logging Syslog/IPFIX — coleta de NAT bindings com timestamp, IP interno, IP/port externo e destino. Retenção configurável conforme política da operadora.
  • Integração com sistema de gestão — MK-Auth, IXC, SGP, Voalle: associação do binding ao CPF do assinante na hora de gerar relatório forense.
  • Bypass para serviços críticos — VoIP corporativo, IoT industrial, gaming dedicado podem ficar fora do CGNAT via prefix-list.
  • Migração IPv6 dual-stack — reduzir dependência de CGNAT à medida que tráfego migra pra IPv6 nativo.

Equipamentos com que trabalhamos

A10 Thunder CGN, Huawei NE8000/NE40 com módulo de serviço, Juniper MX, MikroTik (em pequena escala), implementações Linux com NetFilter.

Quando faz sentido falar com a gente

Você está estourando IPv4 e o aluguel está absurdo; recebeu ofício pra identificar assinante e não conseguiu pelos logs atuais; quer migrar de CGNAT dinâmico pra determinístico; tem reclamação recorrente de cliente sobre jogo/P2P/VoIP travando.

Fale com a gente. Veja também: IPv6, BGP, CGNAT no glossário.

PERGUNTAS FREQUENTES

Qual tamanho de pool CGNAT por assinante?

Regra geral: 1 IPv4 público pra 32-64 assinantes residenciais, com 512-1024 portas por sessão. Provedor com perfil de gaming/streaming pesado precisa de pool maior (ratio 1:16). Dimensionamento exato sai do pico real de NAT sessions, não do número de assinantes.

CGNAT determinístico ou dinâmico — qual escolher?

Determinístico facilita auditoria (porta x cliente é cálculo, não consulta). Dinâmico aproveita melhor o pool (sobrepõe horários de pico). Recomendamos determinístico pra provedor brasileiro pela exigência de log do Marco Civil — investigação fica trivial.

Por quanto tempo o Marco Civil exige reter log de CGNAT?

Marco Civil (Lei 12.965/2014) exige 6 meses de log de conexão (IP público + porta + IP privado + timestamp + duração). Algumas regulamentações setoriais ou ordens judiciais específicas podem exigir 1 ano. Recomendamos sempre 12 meses por segurança jurídica.

CGNAT quebra quais aplicações em prática?

Quebra parcialmente: port forwarding manual do cliente (UPnP/NAT-PMP), alguns jogos peer-to-peer (Call of Duty, Pokemon Go), VPN PPTP, FTP ativo, hosting caseiro. Workaround é IPv6 nativo dual-stack — Netflix, YouTube, gaming moderno já preferem IPv6 quando disponível.