Mais um podcast se passou e o Pedro e o Joel estavam a falar da Digi (a nova operadora de telecomunicações) e um dos nossos amigos que estava no live chat falou de CGNAT e que a Digi usa esta tecnologia.
O CGNAT (Carrier Grade NAT) ou LSN (Large Scale NAT) não é nada de novo, e já é utilizado por diversas operadoras, predominantemente operadoras moveis, mas há vários casos semelhantes, por exemplo a Starlink.
O CGNAT (Carrier Grade NAT) ou LSN (Large Scale NAT) não é nada de novo, e já é utilizado por diversas operadoras, predominantemente operadoras moveis, mas há vários casos semelhantes, por exemplo a Starlink.
Mas antes de falar de CGNAT, tenho de desconstruir o NAT de CGNAT
NAT (Network Address Translation) de uma forma muito simplista é uma tecnologia que permite que os nossos dispositivos em casa acedam à internet sem precisarem todos eles de terem um IP público.
Imagina que existe um portátil ligado ao WiFi em casa. Essa rede está ligada, eventualmente, a um router que faz a ligação à internet. Suponhamos que alguém utiliza esse portátil para procurar direcções para o seu restaurante favorito. Assim, que começa a usar o browser, o portátil envia um pacote IP para o router, que depois o encaminha para an internet e para o serviço de pesquisa que estás a usar.
A magia do NAT acontece neste momento - antes de o pedido sair da tua rede de casa, o router altera o endereço IP interno pelo endereço IP público.
O router traduz, essencialmente, o endereço privado que estás a usar para um que pode ser utilizado na internet, e depois faz o processo inverso.
A internet como a conhecemos hoje, não funcionaria se este processo não existisse.
OK! Mas porque é que as operadoras precisam disto?
O espaço total de endereços IPv4 na Internet oferece cerca de 4 mil milhões de endereços IP únicos. Quando a Internet começou, este número era muito superior ao que alguém alguma vez imaginou que seria necessário. No início da Internet, cada dispositivo tinha o seu próprio endereço IP público único, mas hoje em dia, devido à escassez, as sub-redes de IP públicos tornaram-se muito valiosas. Um único endereço pode custar 65€/ano, comparado com cerca de 7€ em 2014.
Embora muitos ISPs ainda atribuam um endereço IP público, é cada vez mais comum que o endereço IP ‘público’ aparente esteja, na verdade, a passar por um CGNAT
Tal como o NAT que usas na tua rede local, o CGNAT faz o mesmo, mas a um nível mais elevado na cadeia da Internet. Com o NAT comum, um único endereço IP público é partilhado por vários dispositivos atrás do teu router.
Com o CGNAT, um único endereço IP público é partilhado entre os routers de vários clientes. O endereço IP atribuído à interface WAN do teu router vem de uma gama de endereços IP reservada ao CGNAT. Quando os teus dados chegam à Internet, o CGNAT substitui o teu endereço IP privado de CGNAT por um endereço IP público. Centenas de outros clientes estarão a partilhar esse mesmo endereço público. Os routers CGNAT do teu ISP mantêm uma tabela para registar todas as ligações, garantindo que, quando os dados são recebidos de volta, conseguem determinar a quem se destinam e encaminhá-los correctamente.
Com o CGNAT, um único endereço IP público é partilhado entre os routers de vários clientes. O endereço IP atribuído à interface WAN do teu router vem de uma gama de endereços IP reservada ao CGNAT. Quando os teus dados chegam à Internet, o CGNAT substitui o teu endereço IP privado de CGNAT por um endereço IP público. Centenas de outros clientes estarão a partilhar esse mesmo endereço público. Os routers CGNAT do teu ISP mantêm uma tabela para registar todas as ligações, garantindo que, quando os dados são recebidos de volta, conseguem determinar a quem se destinam e encaminhá-los correctamente.
Como o CGNAT é usado pela maioria das redes móveis, é provável que já estejas a usá-lo. Se a tua conectividade à Internet funciona bem no teu dispositivo móvel, podes perceber que o CGNAT é eficaz para muitas aplicações.
No NAT comum – que usas na tua rede local – existem intervalos de endereços IP reservados para redes privadas.
Estes são: 192.168.0.0/16, 10.0.0.0/8 e 172.16.0.0/12. O primeiro é o mais amplamente usado, razão pela qual a maioria dos routers tem, por predefinição, o endereço IP 192.168.1.1.
Estes são: 192.168.0.0/16, 10.0.0.0/8 e 172.16.0.0/12. O primeiro é o mais amplamente usado, razão pela qual a maioria dos routers tem, por predefinição, o endereço IP 192.168.1.1.
Como reconhecer Intervalos de Endereços CGNAT
O CGNAT tem um intervalo de endereços IP reservado entre 100.64.0.0 e 100.127.255.255. Se verificares o endereço IP actual do teu telemóvel (caso estejas a usar dados móveis e não Wi-Fi), e se o endereço estiver dentro desse intervalo, é muito provável que estejas a usar CGNAT.
Topologia do CGNAT
Topologia do CGNAT
O diagrama abaixo ilustra como um ISP normalmente aloca endereços IPv4 (seja rede fixa ou móvel).
Cada router — o teu e o do teu vizinho — recebe o seu próprio endereço IP público. No teu caso, o endereço é 200.100.5.1. Este é o teu endereço único na Internet durante a duração da tua ligação. Qualquer utilizador ou dispositivo na Internet pode contactar-te nesse endereço:
Cada router — o teu e o do teu vizinho — recebe o seu próprio endereço IP público. No teu caso, o endereço é 200.100.5.1. Este é o teu endereço único na Internet durante a duração da tua ligação. Qualquer utilizador ou dispositivo na Internet pode contactar-te nesse endereço:
No próximo diagrama, o mesmo cenário é apresentado, mas agora com o CGNAT aplicado pelo teu ISP.
Neste caso, o dispositivo CGNAT recebe um endereço IP público único no lado WAN (ligação à Internet). No entanto, o teu router, assim como o do teu vizinho, passa a receber um endereço IP privado do intervalo CGNAT, que não é roteável.
O teu endereço é 100.64.1.3 — este endereço só existe entre a interface WAN do teu router (o lado da Internet) e o dispositivo CGNAT, e não pode ser alcançado por ninguém fora dessa rede.
Neste caso, o dispositivo CGNAT recebe um endereço IP público único no lado WAN (ligação à Internet). No entanto, o teu router, assim como o do teu vizinho, passa a receber um endereço IP privado do intervalo CGNAT, que não é roteável.
O teu endereço é 100.64.1.3 — este endereço só existe entre a interface WAN do teu router (o lado da Internet) e o dispositivo CGNAT, e não pode ser alcançado por ninguém fora dessa rede.
Qualquer tentativa de enviar pacotes para 100.64.1.3 a partir de fora será bloqueada pelo ISP do remetente, porque é um endereço não roteável. Na Internet, os teus pacotes aparecerão como se viessem de 200.100.5.1, tal como os pacotes do teu vizinho ou de outros dispositivos móveis na mesma área.
O dispositivo CGNAT identifica para quem os dados recebidos são destinados, mas apenas se forem uma resposta a um pedido que já foi enviado:
O dispositivo CGNAT identifica para quem os dados recebidos são destinados, mas apenas se forem uma resposta a um pedido que já foi enviado:
Problemas com CGNAT
O CGNAT é mais comum nas redes móveis, onde geralmente funciona bem porque os dispositivos móveis têm um uso limitado. Contudo, à medida que o CGNAT se espalha para ligações fixas e a conectividade móvel é usada para mais aplicações, surgem algumas limitações:
- Sem IP público único
Não tens um endereço IP público exclusivo acessível na Internet. O teu endereço é partilhado com centenas de outros clientes. Isto impede-te de hospedar serviços como acesso remoto ao teu PC, conexão a um servidor de e-mail ou VPNs site-to-site, porque os endereços partilhados bloqueiam conexões externas. - Dynamic DNS (DDNS) não funciona
Mesmo que o DDNS detecte o teu IP público, este não será acessível pelo mesmo motivo acima. - Bloqueios por abuso
Se outro cliente do mesmo CGNAT cometer abusos online, o IP público partilhado pode ser bloqueado, afectando-te. - Fim do princípio de conectividade directa
O CGNAT quebra o princípio de comunicação directa na Internet. Com o NAT normal, podes mitigar isto com regras de redireccionamento no router. No CGNAT, não tens controlo sobre o router do ISP. - Protocolos quebrados
Aplicações como VoIP, servidores de jogos e outros podem ter problemas ou falhar.
Tenho de me preocupar?
Se não tens nenhum servidor em casa, muito dificilmente terás problemas.
Embora o CGNAT seja eficaz para gerir a escassez de endereços IPv4, traz limitações significativas, especialmente para quem precisa de hospedar serviços ou usar aplicações sensíveis.
Algumas dessas restrições podem ser contornadas optando por um ISP que permita a compra de um IP público fixo, que não passe por CGNAT. Se isso for importante para ti, verifica essa opção antes de escolher o teu ISP!
Algumas dessas restrições podem ser contornadas optando por um ISP que permita a compra de um IP público fixo, que não passe por CGNAT. Se isso for importante para ti, verifica essa opção antes de escolher o teu ISP!