-
Domingos Nunes
- 21/03/2026
- 208
CGNAT (Carrier-Grade NAT): o que é, por que existe e seu fim
A escassez de endereços IPv4 deixou de ser um problema teórico e passou a impactar diretamente a operação dos provedores. Para continuar conectando novos clientes sem comprar blocos caros no mercado secundário, muitas operadoras adotaram o CGNAT (Carrier-Grade NAT).
Neste guia, você vai entender como o CGNAT funciona, o papel da faixa 100.64.0.0/10 (RFC 6598), os impactos práticos para o usuário e o que fazer como técnico, gestor ou cliente.
O que é CGNAT
CGNAT é uma técnica em que a tradução de endereços (NAT) ocorre dentro da rede da operadora, permitindo que vários clientes compartilhem um único IPv4 público.
Funcionamento básico
- O cliente recebe um IP privado (geralmente da faixa 100.64.0.0/10).
- O tráfego sai da rede do cliente e chega ao CGNAT da operadora.
- O CGNAT traduz IP + porta de origem para um IPv4 público + porta.
- A resposta da internet volta para o CGNAT, que faz o caminho inverso.
Em termos práticos, o cliente fica “atrás” de um NAT adicional, fora do seu roteador.
NAT tradicional x CGNAT
NAT tradicional (CPE/roteador residencial)
- O NAT ocorre no roteador do cliente.
- O cliente possui um IPv4 público na WAN.
- É possível abrir portas e expor serviços.
CGNAT (nível de operadora)
- O NAT ocorre na infraestrutura do provedor.
- O cliente não possui IPv4 público direto.
- A operadora compartilha um IP público entre vários usuários.
- Port forwarding tradicional deixa de funcionar.
A faixa 100.64.0.0/10 (RFC 6598)
A RFC 6598 reservou o bloco 100.64.0.0/10 como “Shared Address Space” para uso específico em CGNAT.
Por que essa faixa é importante?
- Evita conflito com redes privadas clássicas (RFC 1918: 10/8, 172.16/12, 192.168/16).
- Permite um espaço intermediário entre o cliente e a operadora.
- Facilita a identificação de que o usuário está sob CGNAT.
Fluxo típico
[LAN 192.168.0.0/24] ↓[Roteador do cliente] ↓[IP 100.64.x.x - CGNAT] ↓[IP público da operadora] ↓[Internet]
Por que o CGNAT existe
1) Esgotamento do IPv4
O IPv4 possui cerca de 4,3 bilhões de endereços, já praticamente esgotados. Novos blocos são caros e escassos.
2) Migração incompleta para IPv6
Apesar de o IPv6 resolver o problema, a adoção ainda não é total:
- Equipamentos antigos
- Sistemas legados
- Aplicações não adaptadas
3) Estratégia de transição
O CGNAT permite:
- Expandir a base de clientes sem comprar novos IPv4
- Ganhar tempo enquanto o IPv6 amadurece
- Reduzir custos operacionais
Problemas causados pelo CGNAT
Embora funcional, o CGNAT traz impactos reais.
1) Portas bloqueadas
- Não é possível abrir portas diretamente
- Problemas com:
- Servidores caseiros
- Câmeras IP
- Jogos online (host)
- VPNs
2) Logs e rastreabilidade
- Vários usuários compartilham o mesmo IP público
- Identificação depende de:
- IP + porta
- Timestamp preciso
- Sem logging adequado, há risco jurídico
3) Impacto em aplicações
- P2P (torrent, compartilhamento)
- VoIP (problemas de NAT traversal)
- Jogos online (NAT estrito)
- Geolocalização imprecisa
4) Desempenho
- Latência adicional (salto extra no CGNAT)
- Possível gargalo em horários de pico
- Limitação de portas simultâneas por cliente
5) Segurança (duplo efeito)
✔ Pode atuar como “barreira” contra conexões externas diretas
Dificulta rastreamento e responsabilização sem logs robustos
Exemplos práticos
- Jogador não consegue criar servidor no jogo → CGNAT
- Cliente não acessa câmera de fora → CGNAT
- Dev não consegue expor API local → CGNAT
- VoIP com falhas de áudio → NAT traversal + CGNAT
Até quando o CGNAT vai existir?
Curto e médio prazo
O cenário dominante será:
- Dual-stack (IPv4 + IPv6)
- CGNAT para IPv4
- IPv6 nativo para novas aplicações
Longo prazo
A tendência é:
- Redução gradual do uso de IPv4
- Maior adoção de IPv6
- CGNAT se tornando menos relevante, mas não desaparecendo rapidamente
Tecnologias que convivem com CGNAT
- DS-Lite (Dual-Stack Lite)
- MAP-T / MAP-E
- NAT64 / DNS64
Essas soluções ajudam na transição para IPv6, mantendo compatibilidade com IPv4.
Boas práticas para provedores
Se você opera um ISP, atenção:
✔ Transparência
Informe claramente ao cliente que ele está sob CGNAT.
✔ IPv6 nativo
Ofereça IPv6 funcional e bem configurado.
✔ IPv4 dedicado (opcional pago)
Disponibilize como serviço premium.
✔ Logging adequado
- Registro de IP + porta + timestamp
- Sincronização via NTP
- Retenção conforme legislação
O que o usuário pode fazer
Identificar se está em CGNAT
- Verifique o IP WAN do roteador
- Compare com o IP público (Google: “meu IP”)
- Se for diferente → provavelmente CGNAT
Solicitar IPv4 público
Alguns provedores oferecem (às vezes pago).
Usar IPv6
Se disponível, resolve muitos problemas sem NAT.
Usar VPN com port forwarding
Alternativa para expor serviços.
Usar túneis e proxies
- Cloudflare Tunnel
- ngrok
- Túneis IPv6 (ex: Hurricane Electric)
- Reverse proxy
Segurança e conformidade
O CGNAT exige maturidade operacional:
- Logs detalhados são obrigatórios
- Falhas podem comprometer investigações
- Deve haver política clara de retenção de dados
Conclusão
O CGNAT é uma solução de contingência, não o destino final da internet.
Ele resolve o problema imediato da falta de IPv4, mas traz limitações técnicas e operacionais.
O futuro aponta para:
- IPv6 como padrão
- Redução gradual do CGNAT
- Ambientes híbridos por muitos anos
Para provedores: investir em IPv6 e transparência é estratégico.
Para usuários: entender o cenário ajuda a escolher melhores soluções.