Por que a rede da empresa fica tão lenta? O mapa dos suspeitos de sempre para quem põe a mão na massa ── DNS, broadcasts, VPN e esgotamento de endereços

“Ei, a rede está lenta hoje ou sou só eu?” ── Este artigo é para a pessoa que recebe essa pergunta no escritório. Veja se algo aqui soa familiar.

• Toda segunda-feira às 9h, tudo na empresa fica arrastado
• Uma equipe ou um canto específico do escritório sempre tem problemas
• No momento em que você conecta a VPN, não só os sistemas internos: até navegar na web fica devagar
• Os números do teste de velocidade vêm bons e, mesmo assim, tudo parece inegavelmente lento

Vamos deixar uma coisa clara desde o início: “lento” não significa necessariamente “o cano é estreito demais”. A lentidão de rede tem seu elenco de suspeitos de sempre, cada um definido por qual camada está congestionada ── e cada um mostra sintomas diferentes. O mundo está cheio de lentidões que nenhum upgrade de banda jamais vai resolver.

Isto não é um manual de configuração. É um mapa de onde procurar. Tomando como cenário a rede de uma empresa pequena ou média típica, vamos cobrir:

• Como dividir “lento” em três problemas distintos (§1)
• DNS ── o engarrafamento antes mesmo de qualquer coisa começar (§2)
• Switches e broadcasts ── quando o murmúrio de uma máquina chega a todas (§3)
• VPN ── quando o tráfego de todos é puxado para um único túnel (§4)
• DHCP, NAT e números de porta ── quando os livros de registro de endereços se esgotam (§5)
• Uma rotina de diagnóstico em 5 passos para quem põe a mão na massa (§6)

Com cada suspeito, vamos pelo caminho mais curto até o porquê da lentidão. Não é preciso conhecimento profundo de configuração ── a relação de causa e efeito é a única coisa a levar.

1. Dividir “lento” em três problemas ── banda, latência e perda

1-1. Três lentidões, três doenças diferentes

“Lento” são, na verdade, três coisas diferentes usando o mesmo casaco. Essa divisão em três percorre o artigo inteiro.

Os três tipos de "lento"

 ① Banda (largura da via)   Quantos dados cabem de uma vez
                             └ Se congestiona: downloads lentos, todo mundo lento nos horários de pico

 ② Latência (ida e volta)   Quanto tempo um dado leva para ir e voltar
                             └ Se congestiona: cada clique vem seguido de uma pausa

 ③ Perda (dados que somem)  A espera pelo reenvio do que se perdeu
                             └ Se congestiona: videochamadas picotadas, lentidão aleatória

• Banda (largura da estrada): quantos dados fluem por segundo ── o número de faixas. Se falta, há congestionamento; com a estrada vazia, nenhum problema. Por isso a escassez de banda usa a máscara do “só fica lento nos horários de pico”
• Latência: o tempo de ida e volta até o outro lado. Não depende da largura ── é definida pela distância e pelo número de paradas no caminho. Por isso a latência usa a máscara do “faça o que eu fizer, o primeiro instante pesa”
• Perda (packet loss): parte dos dados enviados evapora no caminho. A rede reenvia em silêncio o que se perdeu, mas essa espera de reenvio usa a máscara do “normalmente está bem, mas de vez em quando tudo engasga” e do “vídeo e áudio picotando”

1-2. Trabalhar de trás para frente a partir dos sintomas

2. O engarrafamento antes de tudo começar ── DNS

2-1. O que sempre acontece antes de uma página abrir

Antes que o navegador possa buscar uma página, ele precisa executar a resolução de nomes (a consulta que converte um nome de domínio em um endereço IP ── o endereço postal de verdade). Como isso funciona está mapeado no nosso artigo sobre DNS, mas, para uma rede corporativa, só um fato importa:

Até a resolução de nomes terminar, nem um único byte da conversa de verdade começa.

Então, quando o DNS congestiona, não há banda que resolva ── o “primeiro instante depois de cada clique” fica pesado, garantido. Não é ① banda nem ③ perda; é lentidão antes mesmo de a comunicação começar.

2-2. Por que o DNS do escritório congestiona

Em um escritório típico, cada PC envia suas consultas a um servidor DNS interno (muitas vezes um forwarder ── um atendente que repassa o recado ── rodando em algum equipamento compartilhado), que as encaminha ao DNS externo. Se esse atendente está fraco de processamento ou sobrecarregado, o “primeiro instante” de todos os funcionários fica pesado ao mesmo tempo.

O modo de falha é ainda mais feio. Consultas DNS têm timeouts de vários segundos e, quando o primeiro servidor DNS fica mudo, o cliente queima esses segundos antes de perguntar ao segundo. “Congela por alguns segundos antes de abrir ── mas, depois de aberto, é rápido.” Esse sintoma é a assinatura clássica da espera por DNS.

3. O murmúrio de uma máquina chega a todas ── switches e broadcasts

3-1. O switch em uma frase ── um distribuidor inteligente

O switch (a caixa que reúne vários dispositivos em uma LAN) que vive embaixo das mesas e nos armários de cabeamento não é um mero multiplicador de tomadas. Ele aprende qual dispositivo mora atrás de cada porta e entrega os dados somente à porta onde o destinatário realmente está. É por isso que, em um dia normal, o download gigante do seu vizinho não atropela o seu tráfego.

E como switches e roteadores vivem sendo confundidos: “o switch cuida do tráfego dentro de uma rede; o roteador conecta uma rede a outra” ── essa linha basta por aqui.

3-2. Mas os broadcasts chegam a todos, sempre

A inteligência do switch tem uma exceção: o broadcast (um chamado dirigido a todos da rede ── “o dono deste endereço está aqui?”). Como o destinatário é “todo mundo”, o switch é obrigado a inundá-lo por todas as portas, não importa o que tenha aprendido.

Tráfego normal: flui só para a porta de destino
   PC-A ──→ [switch] ──→ PC-B
                ×──→ PC-C (não enviado)
                ×──→ PC-D (não enviado)

Broadcast: inunda todas as portas, sempre
   PC-A ──→ [switch] ──→ PC-B
                ├──→ PC-C
                └──→ PC-D … para todos da rede

Broadcasts são parte necessária do funcionamento normal de uma rede. O problema é o volume. Em uma rede plana enorme ── um andar inteiro cabeado como uma única rede sem fronteiras internas ── os “fulano está aí?” de centenas de máquinas chegam a todas, sem parar. Imagine uma sala de aula onde todos são obrigados a ouvir os murmúrios de todos. Cada máquina apenas sussurra, mas centenas de sussurros somam um barulho de verdade.

3-3. A tempestade de broadcast ── o culpado clássico do colapso total

Mais perigosa ainda é a tempestade de broadcast. Quando switches acabam acidentalmente cabeados em loop, o tráfego dirigido a todos circula pelo anel se multiplicando até saturar a rede. “De repente, na empresa inteira, tudo ficou tão lento que mal conecta” ── esse sintoma de pior caso tem um culpado clássico, e é este.

3-4. Mini-explicação: o que é máscara de sub-rede?

Hora de resgatar um termo. A máscara de sub-rede é o valor que marca onde fica a fronteira dentro de um endereço IP ── quanta parte nomeia a rede e quanta nomeia a máquina individual. Ela expressa exatamente o mesmo que a notação /24 (CIDR) do nosso artigo sobre endereços IP, só que escrita de outra forma (255.255.255.0).

E, no contexto deste capítulo, significa o seguinte: uma sub-rede é o alcance de um broadcast. Dividir uma rede em sub-redes é “repartir a sala de aula em salas menores para que o murmúrio alcance menos longe”. É exatamente por isso que a divisão em sub-redes é o remédio clássico para o problema da rede plana barulhenta.

4. O tráfego de todos em um único túnel ── VPN

4-1. Mini-explicação: o que é uma VPN?

Uma VPN (Virtual Private Network) constrói um túnel criptografado entre o seu PC em casa (ou em viagem) e a rede da empresa, fazendo sua máquina se comportar como se estivesse plugada em uma tomada de rede do escritório. Sua razão de existir é dupla: ninguém no caminho (sua operadora, o Wi-Fi público) consegue olhar lá dentro, e você consegue alcançar de fora os sistemas restritos à rede interna.

4-2. O desvio do túnel completo ── por que “em casa é mais lento que no escritório”

O que importa para a lentidão é que os túneis têm dois modos de operação.

Túnel completo: todo o tráfego passa pelo escritório
  PC de casa ━━ VPN ━━→ Escritório ──→ Internet ──→ site de vídeo
            (criptografado)       (consome o link da empresa, na ida e na volta)

Túnel dividido: só o tráfego para o escritório usa o túnel
  PC de casa ━━ VPN ━━→ Escritório (só sistemas internos)
       └─────────→ Internet ──→ site de vídeo (direto)

• Túnel completo (full tunnel): tudo ── o que vai para o escritório e o que vai para a internet ── é transportado primeiro até a empresa e sai de lá. Confortável para a segurança, mas até a navegação comum toma a rota fisicamente mais longa “casa → escritório → site → escritório → casa” (a ② latência sobe). Pior: a navegação de todos os funcionários remotos conflui para o único link de internet da empresa ── nos horários de pico, a ① banda também congestiona
• Túnel dividido (split tunnel): só o tráfego para sistemas internos entra no túnel; o resto sai direto de casa. O desvio e a confluência desaparecem ── em troca, a empresa enxerga menos o tráfego. Um meio-termo

“Quando conecto a VPN, até a navegação comum desacelera, não só os sistemas internos” ── esse sintoma é quase certamente o desvio do túnel completo mais a confluência.

4-3. A criptografia ── a taxa fixa

Mais uma coisa: a VPN cobra uma taxa fixa chamada criptografia e encapsulamento (lacrar seus dados dentro de um envelope criptografado para o transporte). O envelope ocupa espaço que poderia levar carga útil, e lacrar e abrir consome tempo de processamento. Normalmente você nem percebe ── mas quando uma multidão de funcionários remotos converge para um equipamento VPN envelhecido, a própria capacidade de processamento do aparelho vira o gargalo. “A moleza das manhãs de segunda acabou sendo um engarrafamento na caixa da VPN” é um final muito comum para essa história.

5. Quando os livros de registro se esgotam ── DHCP, NAT e números de porta

Os suspeitos até aqui eram todos “algum ponto da rota está congestionado”. A última família é diferente: livros de registro que enchem ── lentidão que acontece com cada equipamento funcionando exatamente como projetado.

5-1. Mini-explicação: o que é DHCP?

DHCP é o mecanismo que empresta automaticamente um endereço IP a qualquer dispositivo que entra na rede. Se o seu PC consegue se comunicar assim que entra no Wi-Fi, é porque, nos bastidores, um servidor DHCP diz a ele “este é o seu endereço”. O estoque de endereços emprestáveis (o pool) tem teto, e cada empréstimo tem prazo (o período de lease).

Sua relação com a lentidão é simples. À medida que se acumulam celulares pessoais, equipamentos de salas de reunião e dispositivos IoT, o pool seca ── e os dispositivos recém-chegados não conseguem endereço nenhum. O sintoma: máquinas que não conseguem entrar na rede, ou levam uma eternidade para entrar. Há lugar para elas, mas não há endereço para entregar.

5-2. Mini-explicação: o que é NAT? O que é número de porta?

NAT é o mecanismo que permite à multidão de IPs privados do escritório compartilhar um (ou poucos) IPs públicos, traduzindo entre os dois mundos. Ele já apareceu duas vezes nesta série ── como “o endereço de dentro de casa vs. o endereço voltado para fora” no artigo de endereços IP, e como o “Muro 1” no artigo do firewall. Aqui, vamos focar no único ponto que importa para a lentidão.

Esse ponto repousa sobre os números de porta (os “guichês” numerados, de 0 a 65535, que subdividem um mesmo endereço IP). Um equipamento NAT registra “qual conversa de qual máquina interna está usando qual porta do lado de fora” em um livro de pares IP + porta (a tabela NAT, ou tabela de sessões).

5-3. O que acontece quando o livro enche

O livro de registro do equipamento NAT (conceitual)

 Conversa interna            Guichê externo
 192.168.1.23 : 51344   →   203.0.113.5 : 40001
 192.168.1.47 : 50122   →   203.0.113.5 : 40002
 192.168.1.88 : 49873   →   203.0.113.5 : 40003
 ...                         ...
 (Finito. Quando enche ↓ )
 Conversa nova ──────────→   sem onde anotar: não abre / linhas antigas apagadas e a conexão cai

O trabalho moderno significa que um único PC mantém de dezenas a centenas de conversas simultâneas (uma única aba de um app na nuvem responde por várias). O livro engorda só com quadro de pessoal × uso de nuvem ── e, quando enche, aparecem “só as conexões novas falham”, “conexões de longa duração caem de repente” e “instabilidade geral”: uma lentidão que não se parece em nada com um defeito. Se os problemas começaram logo depois de o time crescer ou de um lote de ferramentas SaaS ser implantado, essa família do esgotamento merece um olhar sério.

6. A rotina de diagnóstico de quem põe a mão na massa ── onde olhar primeiro

Para terminar, vamos dobrar o mapa inteiro em uma rotina de inspeção de 5 passos. Fique dentro das regras da sua empresa e da sua própria alçada ── sondar máquinas alheias ou servidores de outras empresas é terminantemente proibido.

1. 1Delimitar o alcanceSó você? Uma equipe? A empresa inteira? O alcance é sua lista de suspeitos (só você → seu equipamento ou seu Wi-Fi; uma equipe → §3; a empresa inteira → §2, §4, §5).
2. 2ping para latência e perdaContra um dispositivo interno e contra um host externo. O tempo de ida e volta (②) e as quedas (③) viram números aqui.
3. 3Verificar se só a resolução de nomes está lentaSe o nslookup leva segundos para responder ── ou só a primeira tentativa falha ── o §2 é o suspeito principal.
4. 4Comparar rotasMais rápido com a VPN desligada? Resolve no cabo? A rota que você removeu (§4, Wi-Fi) é o culpado.
5. 5Correlacionar com o horárioReproduzível no início do expediente ou na hora do almoço → banda ou esgotamento (§5). “Lento o tempo todo” → rota ou configuração.

Os passos 2 e 3 precisam de exatamente uma linha cada.

ping -c 10 192.168.1.1    # para o gateway interno: observe o tempo de ida e volta e o loss%

nslookup example.com      # quão rápido (e se) a própria resolução de nomes funciona

Resumo ── a essência em 4 linhas

1. Divida “lento” em banda (largura), latência (ida e volta) e perda (dados que somem), e os sintomas começam a apontar para a camada culpada
2. “Só o primeiro instante é lento” → DNS. “Uma área está totalmente parada” → broadcasts (um loop). “Tudo desacelera na VPN” → o desvio do túnel completo. Sintomas e suspeitos se emparelham de forma confiável
3. Pools de DHCP e livros de NAT enchem. Sem um único defeito, uma rede fica mais lenta só porque o quadro de pessoal e o uso de nuvem crescem
4. O diagnóstico segue alcance → ping → resolução de nomes → rota → horário. Anotações de um dia saudável são a melhor preparação que existe

O sistema de endereços vive em O que é um endereço IP?, a resolução de nomes em O que é DNS?, e a defesa contra o tráfego que chega de fora em O que acontece sem um firewall?. Junto com este artigo, o quadro completo da “rede da empresa” se conecta em um único mapa.

Perguntas frequentes

P1. Adicionar pontos de acesso Wi-Fi vai acelerar as coisas?

R. Só quando a causa é Wi-Fi fraco ou congestionado. No mapa deste artigo, o sem-fio afeta ① banda e ③ perda. Se o sintoma é “o primeiro instante é lento” (§2) ou “só fica lento na VPN” (§4), nenhuma quantidade de pontos de acesso vai mudar nada. Identifique a camada com o diagnóstico do §6 antes de gastar o dinheiro.

P2. Por que tudo parece lento se o teste de velocidade é rápido?

R. O teste de velocidade mede principalmente ① banda ── e ainda por cima contra o servidor mais próximo e mais bem posicionado. A ② latência, a ③ perda, a espera do DNS e os desvios da VPN quase não aparecem nos números dele. O trabalho do dia a dia é dominado por “mensagens pequenas fazendo dezenas de idas e voltas”, então latência e resolução de nomes moldam a sensação da rede muito mais que a banda.

P3. A VPN deveria ficar sempre ligada?

R. A política da empresa vem primeiro. Estruturalmente falando, um túnel completo sempre ligado significa “todo o tráfego desvia pelo escritório, o tempo todo” ── uma sobretaxa permanente de lentidão (§4). Por outro lado, os benefícios de segurança e gestão são reais, então é um dilema genuíno entre velocidade e controle. Se a dor for grande, o caminho construtivo é perguntar ao time de rede se o túnel dividido está na mesa.

P4. Algo disso acontece em uma rede doméstica?

R. Em versão reduzida, sim. O roteador da sua casa também mantém um livro NAT (§5) e, com algumas dezenas de dispositivos, ele pode se esgotar. O mesmo vale para o pool DHCP. Já o problema de broadcast do §3 quase nunca aparece com a quantidade de aparelhos de uma casa. Se “só as videochamadas picotam, mesmo em casa”, o caminho curto é suspeitar da ③ perda ── ou seja, da qualidade do Wi-Fi.

P5. Qual é a primeira peça de monitoramento que vale a pena montar?

R. Antes de qualquer ferramenta séria: faça o que diz a Dica do §6 e guarde a saída do ping e do nslookup de um dia saudável. Não custa nada e compra a coisa mais valiosa durante um problema ── a diferença em relação ao normal. Como próximo passo, até uma montagem trivial que pinga o gateway em intervalos regulares e registra os resultados já basta para estabelecer a correlação com o horário (§5, a família da banda).