joao.goncalves
/
manuais-e-documentacao-itguys
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
manuais-e-documentacao-itguys/documentacao rede e seguranca/Nivel_3/Manual_pfSense_01_Hardware_...

3.8 KiB
Raw Blame History

MANUAL TÉCNICO - PLANEJAMENTO DE HARDWARE E SIZING - PFSENSE

Código: ITGENG 0019/26 | Classificação: RESTRITO Responsável: João Pedro Toledo Gonçalves | Data: {{DATA_ATUAL}}

1. HISTÓRICO DE REVISÃO

Data Versão Descrição Autor
{{DATA_ATUAL}} 1.0 Criação Inicial João Pedro Toledo Gonçalves

2. OBJETIVO

Definir as diretrizes de dimensionamento de hardware (Sizing) para implantações do pfSense, cobrindo cenários físicos e virtuais, garantindo performance e estabilidade.

3. PRÉ-REQUISITOS

Liste o que é necessário ANTES de começar.

  • Definição do número de usuários e banda de internet.
  • Definição dos serviços a serem ativos (VPN, IDS/IPS, Proxy).
  • Escolha da plataforma (Físico vs Virtual).

4. PASSO A PASSO (EXECUÇÃO)

Etapa 1: Dimensionamento por Cenário (Sizing)

A escolha do hardware depende diretamente do Throughput desejado e dos pacotes ativos.

Tabela de Sizing pfSense

Cenário Usuários Links (WAN) Hardware Recomendado
SOHO / Filial 10-20 Até 500 Mbps Intel Atom/Celeron, 4GB RAM, SSD 32GB
PME / Matriz 50-200 1 Gbps Intel Core i3/i5 (AES-NI), 8GB RAM, SSD 64GB
Enterprise 500+ 1-10 Gbps Intel Xeon E3/Scalable, 16GB+ RAM (ECC), SSD Enterprise

NOTA: O uso de AES-NI é obrigatório para performance em VPNs modernas e versões futuras do pfSense.

Etapa 2: Virtualização vs Físico (Bare Metal)

Decidir entre virtualizar ou usar hardware dedicado é crítico.

1. Ambiente Virtual (Proxmox/ESXi)

  • Vantagens: Snapshots, Backup fácil, uso eficiente de recursos.
  • Requisitos:
    • NIC Passthrough: Recomendado para alta performance (1Gbps+).
    • VirtIO/VMXNET3: Drivers obrigatórios se não usar Passthrough.
    • Disable Hardware Checksum Offloading: Obrigatório nas configurações avançadas do pfSense (System > Advanced > Networking).

2. Ambiente Físico (Bare Metal)

  • Vantagens: Performance bruta máxima, isolamento total.
  • Recomendação: Use NICs Intel (i350, X520). Evite Realtek para ambientes críticos.

Etapa 3: Redundância e Alta Disponibilidade

Para ambientes críticos (Nível 3), a redundância é mandatória.

  1. Disco: Utilize ZFS Mirror (RAID 1 via Software) na instalação.
  2. Energia: Fontes redundantes e nobreak gerenciável com shutdown via NUT/UPS.
  3. CARP (Failover): Requer 3 IPs públicos por link WAN e hardware idêntico.

5. SOLUÇÃO DE PROBLEMAS (TROUBLESHOOTING)

Problema 1: Baixa Performance de Rede em VM

  • Causa: Checksum Offloading ativo ou drivers incorretos.
  • Solução:
    1. Acesse System > Advanced > Networking.
    2. Marque: Disable hardware checksum offload, Disable hardware TCP segmentation offload, Disable hardware large receive offload.
    3. Reinicie o pfSense.

Problema 2: Alta CPU com pouco tráfego

  • Causa: Interrupções de hardware (NICs Realtek ou defeituosas).
  • Solução:
    1. Verifique interrupções via Shell: vmstat -i.
    2. Considere trocar a NIC por Intel ou desativar acelerações de hardware incompatíveis.

6. DADOS TÉCNICOS

Campo Valor Descrição
CPU Feature AES-NI Aceleração Criptográfica Obrigatória
Filesystem ZFS Recomendado para Integridade de Dados
NIC Driver igb / em / ix Drivers Intel estáveis (1G / 10G)
Min RAM 4GB Mínimo para ZFS + Snort básico

7. VALIDAÇÃO FINAL (Definição de Pronto)

  • Hardware suporta o throughput de WAN contratado?
  • AES-NI validado no Dashboard?
  • Se Virtual: Checksum Offloading desativado?