Olá Provedor Regional!
Que o IPv4 acabou, isso você já sabe. Muitos eram céticos quanto a isso, mas agora para você que é uma ASN, é um fato!
Mas, você sabe o que é CGNAT ou o NAT, e para que serve? Como se aplica?
Muito está se falando e o intuito desse conteúdo é desmistificar esse tema, e falar do futuro, o IPv6.
O CGNAT ou Carrier Grade Network Address Translation nada mais é que um NAT a nível de Operadoras, mas então o que é o NAT?
Resumidamente o NAT (Network Address Translation) é uma técnica desenvolvida para dar uma sobrevida ao endereçamento IPv4.
Mas para entender o funcionamento do CGNAT ou NAT vamos nos contextualizar. Nos primórdios das redes e internet, quando ainda era utilizada em redes acadêmicas e militares, acredito que não havia uma percepção ou ideia que esse modelo pudesse ganhar escala mundial, tendo em vista que estamos falando da década de 60, e, diga-se de passagem, os computadores começaram a se tornar populares no final da década de 80.
Para os estudiosos em redes isso não é novidade. O IPv4 foi concebido em um modelo de classes de IP, o que foi o primeiro problema para a escassez de seus blocos, na sequência a atribuição de enormes faixas para algumas instituições. Assim, na sequência foram criadas as técnicas de Sub-rede, CIDR e também o NAT.
O NAT é uma técnica que reescreve o IP de origem para um destino, entendendo que no IPv4 existem classes de IP’s ditas como locais, as famosas classes como a 192.168.0.0/24.
Disponíveis em diversos sistemas operacionais e caixas como Windows, Linux, Mikrotik, Cisco, Huawei, Juniper, e, até mesmo, em roteadores mais modestos domésticos, o NAT é um recurso de Firewall “Mascarede”.
Sim é muito comum que o NAT seja utilizado no caso de Provedores Regionais e Operadora em Roteador (CPE) doméstico, onde existe um IP Válido (IP de uma ASN) e os dispositivos que conectam nesse roteador são atribuídos IP’s locais como da faixa 192.168.0.0/24, mas que através dessa técnica de mascaramento, sempre quando saem para rede mundial ou do provedor são “convertidos” para o IP Valido atribuído a ele, pois essa faixa de IP’s locais não são roteáveis a nível de internet (BGP).
Essa correlação entre IP’s válidos e locais dentro dessa tabela do NAT ocorre graças a uma tabela de conexões que faz correlação às portas lógicas da camada de transporte do modelo OSI, sendo por exemplo o TCP e UDP. Cada um desses permite a conexão logica por portas de 65.535 conexões, sendo as primeiras 1024 portas lógicas reservadas a serviços especiais. Cada IP permitirá no protocolo TCP 64.511 conexões lógicas, e no UDP 64.511.
Seguindo com nosso exemplo, quando uma host (dispositivo na rede) conecta a uma página na internet HTTPS, por exemplo, sai de seu IP local IPv4 na porta logica TCP 443 e uma porta randômica TCP é designada para a origem entre 1025 e 65535 TCP, assim a camada de transporte (4 do modelo OSI) estabelecera sua conexão. Esse pacote passa pelo seu roteador que através do mascaramento (NAT) muda o IP de origem e encaminha para o Provedor/Operadora através do IP atribuído. Neste exemplo, tratando-se de um IP valido e a correlação dessa comunicação será feita por uma tabela que fara a correlação local e externa.
Fato que o IPv4 acabou, mas ainda antes de falar do CGNAT é importante frisar que esta é uma solução paliativa, necessária para o momento de transição para o IPv6, protocolo esse que já no Brasil na data que esse post é publicado chega a mais de 50% de utilização entre usuários finais até os provedores de conteúdo, e para isso é claro passando pelos Provedores e Operadoras.
A Cisco disponibiliza um link que poderá acompanhar a evolução de utilização do IPv6, deixarei no final.
Durante a migração entre IPv4 e IPv6 teremos que conviver com soluções como o CGNAT.
Como já dito, vários sistemas Operacionais e caixas fazem NAT e até CGNAT, mas fato é que a nível de capacidade, à partir de 10Gbps, esses equipamentos tradicionais apresentam limitações de Kernel (núcleo do sistema Operacional) e hardware, o que torna necessário a utilização de soluções de CGNAT dedicados, que é o NAT para grandes Operações.
Apesar de obedecer os mesmos critérios do NAT, o CGNAT sendo uma solução dedicada aplica-se protocolos dedicados para que possa obter maiores performances, bem como possui formas de implantação diferente do NAT tradicional.
Partindo do pressuposto que o NAT é amplamente utilizado em residências e empresas, no âmbito legal uma vez que você como Provedor Regional entrega um IP válido a seu cliente em um caso de determinação Judicial por uma investigação de crime virtual através dos Logs de autenticação do seu assinante, conseguirá apontar as autoridades o responsável.
Agora, se utiliza uma técnica de NAT tradicional isso começa a se tornar mais complexo, pois um IP válido corresponderia a vários clientes.
Aí entram duas funções aplicáveis no CGNAT, que são de atribuições de portas dinâmicas ou determinístico (estático).
O CGNAT por definição estabelece uma regra que determina um range de portas lógicas para cada usuário, onde no modelo determinístico sempre aquele assinante/cliente será transportado através de uma determinada range de portas.
Por exemplo se projetado o CGNAT para operar com a range de 500 portas logicas TCP e 500 portas UDP por cliente, neste caso cada IP válido/público permitirá 129 assinantes (64511 portas lógicas disponíveis, dividido por 500).
De tal forma que se novamente receber uma intimação para apontamento de um crime virtual, poderá identificar o infrator a justiça indicando pela porta lógica de comunicação.
Já no modelo dinâmico, ele otimizaria o recurso de IPv4, uma vez que os assinantes não se conectam simultaneamente, então realizaria reservas de portas lógicas quando o clientes se conectar à rede. Nas soluções que projeto, geralmente não recomendo essa aplicação, uma vez que se faz-se necessário armazenamento de logs de conexão por muitos anos e também a depender do porte do Provedor Regional estamos falando de alguns GB diários, o que demandaria Storages robustos para armazenamento.
Mas se você está preocupado em mudar sua caixa/roteador com CGNAT, tenho uma boa e má notícia.
A boa é que se tem menos e 8Gbps passando no CGNAT, caixas como CCR(Mikrotik), Linux (Iptables) irão suportar tranquilamente suas aplicações.
A ruim é que se está chegando em 8Gbps de tráfego no seu CGNAT, já pense em um caixa dedicada que permitirá ampliação. A notícia é ruim até certo ponto pois está investindo em uma solução que gradativamente ficará em total desuso visto a acessão do IPv6.
No link desse vídeo também explico alguns dos temas citados com mais detalhes, se o assunto interessou não deixe de assistir. Link >>> https://www.youtube.com/watch?v=6Zc1cCSe-ow&t=55s
Espero que tenha ajudado, e até a próxima.
Site para visualização da implementação do IPv6 no mundo
