Para entender melhor o que é CGNAT, precisamos antes falar sobre o Network Address Translation (NAT).
O Network Address Translation (NAT) é uma tecnologia que tem sido utilizada por um longo período de tempo e agora tem uma presença omnipresente em firewalls e gateways de internet. Carrier Grade NAT (CGN), também conhecido como Large Scale NAT (LSN), agora está se tornando o novo padrão. Inicialmente, o NAT tradicional foi usado para traduzir os intervalos de endereços entre duas redes. Na última década, o NAT foi usado para praticamente todas as conexões domésticas ou corporativas, como parte de um roteador Internet doméstico. O principal contributo para a popularidade do NAT é a capacidade de compartilhar um endereço IP global (público) entre múltiplos endereços IP locais (privados). Os endereços de IP tornaram-se cada vez mais escassos na última década. Os ISPs distribuiriam apenas um endereço IP por assinante doméstico. O esgotamento ficou ainda pior recentemente: em 2011, a Autoridade de Números Atribuídos da Internet (IANA) emitiu os últimos blocos restantes de endereços /8 para os Registros Regionais de Internet (RIR). O NAT pode ajudar a aliviar a falta de endereço IPv4 ao ultrapassar os endereços IP globais remanescentes.
Carrier Grade NAT (CGNAT/ CGNAT), também conhecido como NAT de grande escala (LSN), é o próximo nível para implementações NAT; Ele pretende fornecer uma solução para provedores de serviços de Internet (ISPs) e operadoras, mas também é um bom substituto para dispositivos NAT em uma rede corporativa. O CGNAT permite que essas organizações entreguem conectividade IPv4 transparente e uma experiência de usuário perfeita. As operadoras podem atribuir endereços IPv4 locais (privados) em sua rede de acesso e usar um dispositivo centralizado para gerenciar a tradução de endereços para a Internet global (pública). Esta configuração possui um nível de NAT e também é designado como NAT44. Os dispositivos CPE NAT criam uma segunda camada de tradução; Esta configuração também é conhecida como NAT444.
O problema com o NAT é que ele quebra o princípio de end-to-end da rede. Aplicações como peer-to-peer (P2P), VoIP, transmissão de vídeo, tunelamento ou qualquer aplicativo que usa endereços IP na carga útil, sofrem com isso. O comportamento NAT não está totalmente padronizado entre os fornecedores de equipamentos de rede, embora existam RFCs IETF que ajudem a tornar um NAT mais transparente e determinista. Veja nesse vídeo realizado pelo NIC.BR sobre o funcionamento e implicações no uso de CGNAT: Click aqui para ver o vídeo.
O CGNAT fornece a conectividade NAT mais transparente para um dispositivo, porque possui recursos como Endpoint Independent Mapping (EIM), Endpoint Independent Filtering (EIF) e Hairpinning. As implementações de NATs tradicionais não permitem quaisquer tráfegos iniciados a partir do exterior (EIM, EIF), ou para protocolos internos para encaminhar o tráfego de volta para dentro (Hairpinning).
Outro aspecto importante do CGNAT é a capacidade de um administrador limitar a quantidade de portas TCP e UDP que podem ser usadas por um único assinante. Isso é crucial para manter a equidade na partilha de recursos e porta entre os assinantes. As “Botnets” usadas nos ataques de Negação Distribuída de Serviço (DDoS) usam uma grande quantidade de conexões por dispositivo final, o que esvazia rapidamente a disponibilidade da porta. Se não for regulado, a conectividade geral para outros assinantes pode ser facilmente comprometida por indivíduos externos.
Enquanto o CGNAT fornece a conectividade NAT mais transparente, alguns protocolos requerem uma consideração especial, por exemplo, eles podem usar combinações de controle e dados IP / porta separadas em suas comunicações, que devem ser traduzidas. Um Application Layer Gateway (ALG) fornece inspeção de pacotes profundos para identificar e permitir a passagem de NAT correta para esses aplicativos.
Como o endereço IP privado local não é mostrado para a Internet pública, os registros são outro aspecto importante do CGNAT que devem ser considerados. Todos os dispositivos que se conectam à Internet produzem uma infinidade de sessões. O rastreamento de todas as sessões produz uma grande quantidade de mensagens de log. Um dispositivo CGNAT deve fornecer várias técnicas avançadas que ajudam a reduzir o volume de logs, como portagem de portas, Zero-Logging, registro compacto e outros.
O CGNAT é projetado para oversubscription global de endereço IP de grande escala, ao mesmo tempo que fornece a conectividade mais transparente para um usuário. Isso significa que não é apenas uma solução para ISPs e operadoras, mas para empresas também. É por isso que o LSN e o CGNAT são termos que são frequentemente usados indistintamente. A indústria está gravitando em relação ao CGN. Normalmente, os dispositivos CGNAT manipulam grandes quantidades de conexões simultâneas e alta taxa de transferência de banda larga. Observe que, quando um dispositivo NAT (como um firewall ou um balanceador de carga legado) afirma ser de qualidade de operadora, porque ele é capaz de lidar com grandes volumes de tráfego, não significa que seja um dispositivo NAT de categoria de carrier, como alguns fornecedores tentam fazer seus clientes acreditarem.