manuais-e-documentacao-itguys/documentacao rede e seguranca/Manual_pfSense_01_Hardware_Sizing.md

# MANUAL TÉCNICO - PLANEJAMENTO DE HARDWARE E SIZING - PFSENSE

**Código:** ITGENG 0019/26 | **Classificação:** RESTRITO
**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}}

## 1. HISTÓRICO DE REVISÃO

| Data | Versão | Descrição | Autor |
| :--- | :--- | :--- | :--- |
| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves |

## 2. OBJETIVO
Definir as diretrizes de dimensionamento de hardware (Sizing) para implantações do pfSense, cobrindo cenários físicos e virtuais, garantindo performance e estabilidade.

## 3. PRÉ-REQUISITOS
> Liste o que é necessário ANTES de começar.
*   [ ] Definição do número de usuários e banda de internet.
*   [ ] Definição dos serviços a serem ativos (VPN, IDS/IPS, Proxy).
*   [ ] Escolha da plataforma (Físico vs Virtual).

## 4. PASSO A PASSO (EXECUÇÃO)

### Etapa 1: Dimensionamento por Cenário (Sizing)

A escolha do hardware depende diretamente do Throughput desejado e dos pacotes ativos.

![Tabela de Sizing pfSense](assets/pfsense_hardware_sizing.png)

| Cenário | Usuários | Links (WAN) | Hardware Recomendado |
| :--- | :--- | :--- | :--- |
| **SOHO / Filial** | 10-20 | Até 500 Mbps | Intel Atom/Celeron, 4GB RAM, SSD 32GB |
| **PME / Matriz** | 50-200 | 1 Gbps | Intel Core i3/i5 (AES-NI), 8GB RAM, SSD 64GB |
| **Enterprise** | 500+ | 1-10 Gbps | Intel Xeon E3/Scalable, 16GB+ RAM (ECC), SSD Enterprise |

> ℹ️ **NOTA:** O uso de **AES-NI** é obrigatório para performance em VPNs modernas e versões futuras do pfSense.

### Etapa 2: Virtualização vs Físico (Bare Metal)

Decidir entre virtualizar ou usar hardware dedicado é crítico.

**1. Ambiente Virtual (Proxmox/ESXi)**
*   **Vantagens:** Snapshots, Backup fácil, uso eficiente de recursos.
*   **Requisitos:**
    *   **NIC Passthrough:** Recomendado para alta performance (1Gbps+).
    *   **VirtIO/VMXNET3:** Drivers obrigatórios se não usar Passthrough.
    *   **Disable Hardware Checksum Offloading:** Obrigatório nas configurações avançadas do pfSense (`System > Advanced > Networking`).

**2. Ambiente Físico (Bare Metal)**
*   **Vantagens:** Performance bruta máxima, isolamento total.
*   **Recomendação:** Use NICs **Intel** (i350, X520). Evite Realtek para ambientes críticos.

### Etapa 3: Redundância e Alta Disponibilidade

Para ambientes críticos (Nível 3), a redundância é mandatória.

1.  **Disco:** Utilize **ZFS Mirror** (RAID 1 via Software) na instalação.
2.  **Energia:** Fontes redundantes e nobreak gerenciável com shutdown via NUT/UPS.
3.  **CARP (Failover):** Requer 3 IPs públicos por link WAN e hardware idêntico.

## 5. SOLUÇÃO DE PROBLEMAS (TROUBLESHOOTING)

**Problema 1: Baixa Performance de Rede em VM**
*   **Causa:** Checksum Offloading ativo ou drivers incorretos.
*   **Solução:**
    1. Acesse `System > Advanced > Networking`.
    2. Marque: **Disable hardware checksum offload**, **Disable hardware TCP segmentation offload**, **Disable hardware large receive offload**.
    3. Reinicie o pfSense.

**Problema 2: Alta CPU com pouco tráfego**
*   **Causa:** Interrupções de hardware (NICs Realtek ou defeituosas).
*   **Solução:**
    1. Verifique interrupções via Shell: `vmstat -i`.
    2. Considere trocar a NIC por Intel ou desativar acelerações de hardware incompatíveis.

## 6. DADOS TÉCNICOS

| Campo | Valor | Descrição |
| :--- | :--- | :--- |
| **CPU Feature** | AES-NI | Aceleração Criptográfica Obrigatória |
| **Filesystem** | ZFS | Recomendado para Integridade de Dados |
| **NIC Driver** | igb / em / ix | Drivers Intel estáveis (1G / 10G) |
| **Min RAM** | 4GB | Mínimo para ZFS + Snort básico |

## 7. VALIDAÇÃO FINAL (Definição de Pronto)
- [ ] Hardware suporta o throughput de WAN contratado?
- [ ] AES-NI validado no Dashboard?
- [ ] Se Virtual: Checksum Offloading desativado?