Laboratório Técnico: Implement Bidirectional Forwarding Detection

Questões

Questão 1 — Múltipla Escolha

Em uma rede Azure com ExpressRoute, o operador precisa detectar falhas de enlace com latência abaixo do tempo mínimo suportado pelo protocolo BGP padrão. Após habilitar o BFD, qual é o comportamento esperado em relação à sessão BGP existente?

A. O BGP passa a ignorar seus próprios timers e delega inteiramente o controle de keepalive ao BFD.

B. O BFD opera de forma independente ao BGP, mas uma falha detectada pelo BFD dispara a derrubada da sessão BGP associada.

C. O BFD substitui o BGP como protocolo de roteamento na sessão ExpressRoute, assumindo também a troca de prefixos.

D. O BGP e o BFD compartilham o mesmo canal de controle, e os timers do BGP são automaticamente reduzidos para coincidir com os intervalos do BFD.

Questão 2 — Cenário Técnico

Um engenheiro configura BFD entre o Azure VPN Gateway e um dispositivo on-premises. Após a configuração, o túnel IPsec estabelece corretamente, mas a sessão BFD nunca sobe. O engenheiro verifica o seguinte:

# Dispositivo on-premises
bfd neighbor 10.0.0.1 local-address 10.1.0.1
  interval 300 min_rx 300 multiplier 3
  authentication sha1 keychain BFD_KEY

O Azure VPN Gateway não suporta autenticação BFD. Qual é a causa mais provável da falha?

A. O intervalo de 300 ms está abaixo do mínimo suportado pelo Azure VPN Gateway.

B. O endereço local configurado no dispositivo on-premises não pertence à sub-rede do túnel.

C. A autenticação configurada no dispositivo on-premises impede o estabelecimento da sessão BFD, pois o peer Azure não consegue responder ao desafio.

D. O multiplier 3 é incompatível com a implementação BFD do Azure VPN Gateway.

Questão 3 — Verdadeiro ou Falso

O BFD no Azure ExpressRoute opera exclusivamente em modo assíncrono, e o modo echo não é suportado nesse contexto.

Questão 4 — Cenário Técnico

Uma empresa utiliza ExpressRoute com dois circuitos redundantes terminando em MSEEs distintos. O BFD está habilitado em ambos. Durante um incidente, o circuito primário perde conectividade na camada física, mas a sessão BGP sobre esse circuito ainda não caiu porque o holdtime BGP ainda não expirou. Qual é o comportamento esperado do BFD nesse momento?

A. O BFD aguarda a expiração do holdtime BGP antes de agir, pois depende do BGP para validar o estado do enlace.

B. O BFD detecta a ausência de pacotes de controle dentro do intervalo negociado e notifica o BGP para derrubar a sessão imediatamente, sem aguardar o holdtime.

C. O BFD envia uma notificação ao circuito secundário para que ele assuma, sem interferir na sessão BGP do circuito primário.

D. O BFD suspende a detecção de falhas enquanto o BGP ainda estiver em estado Established, para evitar conflito entre os dois protocolos.

Questão 5 — Múltipla Escolha

Ao comparar o suporte a BFD entre Azure VPN Gateway e ExpressRoute (circuitos com peering privado), qual afirmação descreve corretamente uma diferença de comportamento ou suporte entre os dois?

A. O BFD é habilitado por padrão no ExpressRoute e precisa ser explicitamente ativado no VPN Gateway pelo operador do lado Azure.

B. O VPN Gateway suporta BFD apenas em SKUs da família VpnGw2 ou superior, enquanto o ExpressRoute suporta BFD em todos os SKUs.

C. O BFD no ExpressRoute é habilitado no lado do Microsoft Enterprise Edge (MSEE) e requer que o dispositivo CPE on-premises também o suporte para que a sessão suba.

D. O VPN Gateway suporta BFD somente sobre túneis IKEv1, pois o IKEv2 já possui mecanismo de detecção de falhas equivalente integrado.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

O BFD é um protocolo auxiliar de detecção de falhas, não um substituto do BGP. Ele opera em uma sessão separada, trocando pacotes de controle em intervalos muito menores do que os timers padrão do BGP (que podem chegar a 90 segundos de holdtime). Quando o BFD não recebe resposta dentro do intervalo negociado, ele sinaliza ao protocolo cliente (no caso, o BGP) que o caminho está indisponível, e o BGP então derruba a sessão sem esperar seu próprio holdtime expirar.

O erro central das alternativas incorretas é confundir cooperação com fusão: BFD e BGP mantêm suas sessões e responsabilidades separadas. O BFD não herda nem substitui funções do BGP, e o BGP não delega seus timers ao BFD.

Gabarito — Questão 2

Resposta: C

O Azure VPN Gateway não implementa autenticação BFD. Quando o dispositivo on-premises exige autenticação (neste caso, SHA1 com keychain), ele espera que o peer responda com as credenciais correspondentes. Como o lado Azure não suporta esse mecanismo, ele não consegue completar o handshake BFD, e a sessão nunca sobe, mesmo que o túnel IPsec subjacente esteja operacional.

Os demais distratores representam erros reais em outros contextos: intervalos incompatíveis e endereços incorretos são causas legítimas de falha BFD, mas aqui o cenário deixa claro que a autenticação é o elemento discrepante entre os dois lados. O multiplier 3 é amplamente compatível e não seria a causa isolada de uma falha de estabelecimento.

Gabarito — Questão 3

Resposta: Verdadeiro

No Azure ExpressRoute, o BFD opera exclusivamente no modo assíncrono, no qual cada peer envia pacotes de controle periodicamente e aguarda resposta. O modo echo, que envia pacotes para serem retornados pelo peer sem processamento na camada BFD remota, não é suportado nesse contexto.

Essa distinção é relevante porque o modo echo pode oferecer detecção mais rápida com menor carga de CPU no peer remoto. Saber que ele não está disponível no ExpressRoute é importante ao dimensionar os intervalos de detecção e ao comparar o comportamento esperado com implementações on-premises que suportam ambos os modos.

Gabarito — Questão 4

Resposta: B

Essa é exatamente a motivação central do BFD: agir antes que o protocolo de roteamento perceba a falha pelos seus próprios mecanismos. Quando a camada física cai, o BFD para de receber pacotes de controle do peer. Após o número de pacotes perdidos atingir o multiplier configurado, o BFD declara o vizinho inacessível e notifica o BGP para encerrar a sessão imediatamente.

O erro conceitual das alternativas incorretas é imaginar que o BFD é subordinado ao BGP ou que os dois protocolos competem. Na realidade, o BFD é um acelerador de convergência que trabalha a serviço do BGP, e não em paralelo autônomo ou em subordinação passiva.

Gabarito — Questão 5

Resposta: C

No ExpressRoute com peering privado, o BFD é habilitado do lado do MSEE (o roteador de borda da Microsoft) e fica aguardando que o dispositivo CPE do cliente também inicie a sessão BFD. Se o CPE não suportar ou não tiver o BFD configurado, a sessão simplesmente não sobe, e a detecção de falhas continua dependendo apenas dos timers BGP.

As demais alternativas contêm inverdades verificáveis: o BFD no ExpressRoute não é habilitado por padrão do lado do cliente; não há restrição de SKU para BFD no VPN Gateway da forma descrita; e o BFD no VPN Gateway não está condicionado à versão do IKE, pois IKEv2 e BFD são complementares, não excludentes.

Questões​

Questão 1 — Múltipla Escolha​

Questão 2 — Cenário Técnico​

Questão 3 — Verdadeiro ou Falso​

Questão 4 — Cenário Técnico​

Questão 5 — Múltipla Escolha​

Gabarito e Explicações​

Gabarito — Questão 1​

Gabarito — Questão 2​

Gabarito — Questão 3​

Gabarito — Questão 4​

Gabarito — Questão 5​