Como Escolher um BRAS para Seu Provedor
O BRAS (Broadband Remote Access Server) e o coracao do seu provedor. E ele que autentica assinantes PPPoE, atribui enderecos IP, aplica politicas de QoS, faz CGNAT e gera os logs que o Marco Civil exige. Escolher errado significa gargalo de performance, instabilidade e dor de cabeca.
Neste guia, vamos comparar as opcoes mais usadas por ISPs brasileiros, desde provedores com 500 assinantes ate operacoes com 50.000+.
O que um BRAS precisa fazer
Antes de comparar equipamentos, entenda as funcoes essenciais:
- Terminacao PPPoE/IPoE: autenticar e estabelecer sessoes de assinantes
- RADIUS client: integrar com FreeRADIUS para AAA (autenticacao, autorizacao, accounting)
- CGNAT (NAT44): traduzir enderecos IPv4 privados/CGNAT para publicos
- QoS: limitar banda por plano (queue/shaping)
- Roteamento: BGP para transito/peering, OSPF/MPLS para backbone
- IPv6: DHCPv6-PD e SLAAC para dual-stack
- Logging: gerar logs de sessao e NAT translation para compliance
- Alta disponibilidade: VRRP, BFD, graceful restart
Comparativo: BRAS para ISPs brasileiros
MikroTik CCR (RouterOS)
A opcao mais popular entre provedores pequenos e medios no Brasil, pela relacao custo-beneficio imbativel.
| Modelo | CPU | RAM | Portas | PPPoE max* | Preco estimado |
|---|---|---|---|---|---|
| CCR1036-12G-4S | 36-core Tilera | 16 GB | 12x GbE + 4x SFP | ~8.000 | R$ 8.000-12.000 |
| CCR2116-12G-4S+ | 16-core ARM | 16 GB | 12x GbE + 4x SFP+ | ~15.000 | R$ 15.000-20.000 |
| CCR2216-1G-12XS-2XQ | 16-core ARM | 16 GB | 12x 25G + 2x 100G | ~20.000 | R$ 25.000-35.000 |
*PPPoE max e estimativa pratica, nao especificacao oficial. Depende de features ativas (firewall rules, queues, CGNAT).
Vantagens:
- Custo acessivel — o CCR1036 custa menos que a licenca anual de um Juniper
- Comunidade enorme no Brasil, facil encontrar suporte
- Interface grafica (Winbox) amigavel
- CGNAT integrado (src-nat com netmap ou Fasttrack)
- Scripts e API REST para automacao
Desvantagens:
- CGNAT do RouterOS nao gera logs nativamente — precisa de syslog externo
- Queues por assinante pesam na CPU acima de 5.000 sessoes
- Sem MPLS L3VPN decente (so LDP basico)
- Connection tracking com CGNAT e CPU-intensive
- Limite pratico de ~8.000-15.000 sessoes PPPoE com CGNAT ativo
Huawei NetEngine 8000 (ex-NE40E)
O padrao enterprise para provedores medios e grandes no Brasil.
Vantagens:
- Hardware dedicado para CGNAT (service boards) — suporta milhoes de traducoes
- BNG completo com CUPS (separacao control/user plane)
- MPLS/SR-MPLS nativo com L3VPN
- Logs NAT estruturados via NetStream (similar a NetFlow)
- QoS baseado em hierarchical scheduling
- Suporte a 50.000+ sessoes PPPoE em uma unica placa
Desvantagens:
- Custo: chassis + placas facilmente passam de R$ 200.000
- Curva de aprendizado igrene — CLI e documentacao complexas
- Suporte oficial caro, depende de parceiros locais
- Licenciamento por feature pode surpreender no orcamento
# Exemplo: verificar sessoes PPPoE no NE8000
display access-user online
Total online users: 12847
PPPoE users: 12532
IPoE users: 315
# Verificar tabela NAT
display nat session all
Total sessions: 2,847,291
TCP: 1,923,445 UDP: 891,233 ICMP: 32,613 Resolva isso automaticamente com NATVault
Teste gratis por 14 dias. Sem cartao de credito.
Comecar teste gratisJuniper MX Series
Premium, usado por operadoras Tier-1 e ISPs grandes.
Modelos relevantes para ISP:
- MX204: 4x 100G, ideal como PE/BRAS para ate 10.000 sessoes (~R$ 80.000-120.000)
- MX304: ate 12x 100G, para operacoes maiores (~R$ 200.000+)
- MX480/960: chassis modular para Tier-1 (R$ 500.000+)
Vantagens:
- JunOS e considerado o melhor sistema operacional de roteamento
- CGNAT com deterministic NAT (facilita correlacao de logs)
- Subscriber management robusto
- Automacao excelente (NETCONF, gRPC, OpenConfig)
Desvantagens:
- Preco proibitivo para a maioria dos ISPs brasileiros
- Ecossistema menor no Brasil comparado a MikroTik/Huawei
- Licenciamento por feature agressivo
Accel-PPP (Software BRAS)
Solucao open source em software que roda em servidores x86 comuns.
# Instalacao basica no Debian/Ubuntu
apt install accel-ppp
# /etc/accel-ppp.conf - exemplo minimo
[modules]
log_file
pppoe
radius
ippool
shaper
[core]
log-error=/var/log/accel-ppp/error.log
thread-count=8
[pppoe]
interface=eth1
called-sid=mac
[radius]
nas-identifier=BRAS-01
server=172.20.1.200,SenhaRadius,auth-port=1812,acct-port=1813
timeout=3
retry=2
[ip-pool]
gw-ip-address=10.0.0.1
10.0.0.2-10.255.255.254,name=pool-clientes
[shaper]
attr=Filter-Id
down-limiter=htb
up-limiter=htbVantagens:
- Gratuito e open source
- Roda em hardware x86 barato — um servidor com Xeon E-2300 e 32 GB RAM suporta 10.000+ sessoes
- Extremamente flexivel e customizavel
- Performance excelente com kernel bypass (XDP/DPDK)
Desvantagens:
- CGNAT nao esta incluso — precisa de nftables/iptables separado
- Sem suporte comercial (comunidade apenas)
- Requer conhecimento Linux avancado
- HA precisa ser montado manualmente (Keepalived + scripts)
Tabela decisoria por numero de assinantes
| Assinantes | Recomendacao primaria | Alternativa | Investimento |
|---|---|---|---|
| Ate 2.000 | MikroTik CCR1036 | Accel-PPP em x86 | R$ 8.000-15.000 |
| 2.000-8.000 | MikroTik CCR2116/2216 | Accel-PPP em x86 robusto | R$ 15.000-35.000 |
| 8.000-20.000 | Huawei NE8000 F1A | 2x MikroTik CCR em HA | R$ 80.000-200.000 |
| 20.000-50.000 | Huawei NE8000 M8/M14 | Juniper MX304 | R$ 200.000-500.000 |
| 50.000+ | Huawei NE8000 M14+ | Juniper MX480 | R$ 500.000+ |
Quando trocar de BRAS
Sinais de que seu BRAS atual esta no limite:
- CPU constantemente acima de 80% (especialmente com CGNAT ativo)
- Sessoes PPPoE caindo aleatoriamente sob carga
- Latencia interna (entre assinante e BRAS) acima de 5ms
- Impossibilidade de ativar features necessarias (IPv6, NetFlow) por falta de recurso
- Queues/shaping inconsistentes nos horarios de pico
CGNAT e logs: o ponto critico
Independente do BRAS escolhido, voce precisa de logs de CGNAT para compliance com o Marco Civil. Cada solucao gera logs de forma diferente:
- MikroTik: connection tracking via syslog (verbose, alto volume)
- Huawei: NetStream/syslog com formato estruturado
- Juniper: syslog ou deterministic NAT (previsivel, menos logs)
- Accel-PPP + nftables: nflog ou syslog
O NATVault aceita logs de qualquer uma dessas fontes, normalizando em formato unico para consulta rapida quando chegar o oficio judicial.
Resolva isso automaticamente com NATVault
Teste gratis por 14 dias. Sem cartao de credito.
Comecar teste gratisPerguntas Frequentes
Posso usar dois MikroTik CCR como BRAS em alta disponibilidade?
Sim, usando VRRP para failover do gateway e dois RADIUS clients. O desafio e o estado das sessoes PPPoE — no failover, todos os clientes reconectam (queda de ~30 segundos). Para HA real sem queda, so com Huawei ou Juniper que suportam sessao stateful.
Accel-PPP e confiavel para producao?
Sim, varios ISPs brasileiros de medio porte (5.000-15.000 assinantes) usam Accel-PPP em producao. A chave e ter redundancia (2 servidores com Keepalived) e monitoramento. A performance em packets-per-second pode superar o MikroTik em hardware x86 moderno.
Quanto custa manter um Huawei NE8000?
Alem do hardware (R$ 80.000-500.000+), considere: contrato de suporte (~15-20% do valor do hardware por ano), licencas de features (CGNAT, BNG, MPLS podem ser separadas), e treinamento da equipe. O custo total de propriedade em 5 anos pode ser 2-3x o valor inicial.
MikroTik CCR1036 ainda vale a pena em 2026?
Para ate 5.000 assinantes sem CGNAT pesado, sim. O CCR1036 continua sendo o melhor custo-beneficio do mercado. Porem, se voce precisa de CGNAT para muitos assinantes, o CCR2116 ou CCR2216 com arquitetura ARM mais moderna e preferivel.