O que é o CGNAT (Carrier-Grade NAT)?

CGNAT (NAT de nível de operadora), também conhecido como NAT em grande escala (LSN), é uma técnica utilizada pelos provedores de internet (ISPs) em redes IPv4 para compartilhar um pequeno conjunto de endereços IPv4 públicos entre centenas de assinantes, prolongando a vida útil do espaço de endereços IPv4 (Wikipédia (NAT de nível de operadora), 2025). Um endereço IP público pode atender centenas de clientes ao mesmo tempo. Esse agrupamento é invisível para os usuários finais, mas traz consequências reais para qualquer sistema que dependa de endereços IP para identificar, geolocalizar ou limitar a taxa de acesso de indivíduos.

Como funciona o CGNAT

A RFC 6598 da IETF reservou o bloco 100.64.0.0/10 (de 100.64.0.0 a 100.127.255.255) como Espaço de Endereços Compartilhado dedicado para o link entre dispositivos CGN e equipamentos nas instalações do cliente, mantendo-o separado dos intervalos privados da RFC 1918 (IETF RFC 6598, 2012). Quando um assinante envia uma solicitação, o dispositivo CGN da operadora reescreve o endereço de origem do intervalo 100.64.x.x para um IP público compartilhado e registra a tradução. As respostas retornam pelo mesmo dispositivo e são traduzidas de volta para chegar ao assinante correto.

Isso cria uma configuração de NAT duplo: um NAT dentro do roteador doméstico e um segundo no nível da operadora. Os números de porta distinguem as sessões entre os diversos usuários que compartilham o mesmo IP público.

Como o CGNAT afeta os sistemas baseados em IP

Como centenas de usuários compartilham um único IP público, qualquer sistema que bloqueie ou classifique com base no endereço IP trata todos eles como uma única entidade. Um bloqueio direcionado a um usuário mal-intencionado acaba afetando todos os demais assinantes do mesmo grupo. A precisão da geolocalização também diminui: o IP público está vinculado à localização da infraestrutura da operadora, e não à cidade ou bairro real do assinante.

A reputação de IP funciona da mesma maneira. Um único remetente de spam em um pool de CGNAT pode prejudicar as pontuações de centenas de usuários que não têm relação com ele. As operadoras de telefonia móvel são as maiores usuárias de CGNAT, com a maioria das redes 4G e 5G colocando os aparelhos celulares por trás desse mecanismo. Dispositivos reais em redes residenciais e de proxy móvel refletem esse comportamento do CGNAT, razão pela qual seus padrões de tráfego diferem dos IPs de data centers que possuem endereços públicos dedicados.

Casos de uso

  • Análise de redes móveis. A CGNAT explica por que a geolocalização do Mobile IP é aproximada e por que muitas sessões compartilham um único endereço público.
  • Providenciamento de proxies e endereços IP. Redes de proxy residenciais, como a Massive, utilizam endereços IP de origem provenientes de dispositivos reais de consumidores, muitos dos quais estão atrás de um CGNAT. Seu tráfego de saída se assemelha muito ao comportamento normal dos assinantes, em vez de ao tráfego de saída de um data center.
  • Detecção de fraudes e abusos. As equipes de segurança levam em conta o CGNAT antes de bloquear em massa um IP compartilhado, reduzindo assim o impacto colateral sobre usuários legítimos no mesmo pool.
  • Planejamento do IPv6. O CGNAT é uma solução provisória enquanto as operadoras implementam o IPv6. O IPv6 atribui a cada dispositivo um endereço público exclusivo, eliminando completamente o problema do IP compartilhado.

Perguntas frequentes

O CGNAT oculta seu endereço privado por trás de um IP público compartilhado, mas isso não significa anonimato. Seu provedor de internet registra o estado da tradução e pode associar qualquer sessão à sua conta. Muitos provedores de internet são legalmente obrigados a manter esses registros.

Os serviços externos visualizam o IP público da operadora, e não o endereço do seu dispositivo. Os bancos de dados de geolocalização associam esse IP à localização da infraestrutura da operadora, que pode estar distante de onde você realmente se encontra.

Se um assinante que esteja atrás de um pool CGNAT acionar regras de abuso, o IP público compartilhado será sinalizado. Outros usuários nesse mesmo IP herdam a má reputação e podem enfrentar bloqueios por falsos positivos ou CAPTCHAs.

Um roteador doméstico realiza a tradução NAT entre seus dispositivos locais e o endereço atribuído pelo seu provedor de internet. O CGNAT é uma segunda camada na operadora, que traduz o endereço 100.64.x.x atribuído pelo seu provedor de internet para um IP público. O resultado são duas traduções NAT consecutivas antes que seu tráfego chegue ao seu destino.