Laboratório Técnico: Configure Microsoft Peering
Questões
Questão 1 — Múltipla Escolha
Uma empresa utiliza um circuito ExpressRoute para conectar sua rede on-premises ao Azure. O time de rede precisa garantir que o tráfego destinado ao Microsoft Teams e ao SharePoint Online trafegue exclusivamente pelo circuito, sem passar pela internet pública. O private peering já está configurado para acesso às VNets.
Qual afirmação descreve corretamente o que deve ser configurado para atender a esse requisito?
A) O private peering deve ser estendido com uma rota estática apontando para os prefixos públicos do Microsoft 365.
B) Um segundo circuito ExpressRoute dedicado deve ser criado, pois private peering e Microsoft peering não podem coexistir no mesmo circuito.
C) O Microsoft peering deve ser configurado no mesmo circuito, com um Route Filter associado contendo as BGP communities dos serviços desejados.
D) O Microsoft peering deve ser configurado, e o Route Filter é opcional quando o circuito já possui private peering ativo.
Questão 2 — Cenário Técnico
Um engenheiro configura o Microsoft peering em um novo circuito ExpressRoute usando o seguinte bloco de configuração:
Peering Type : MicrosoftPeering
PeerASN : 64512
PrimaryPeerAddress : 198.51.100.0/30
SecondaryPeerAddress: 198.51.100.4/30
VlanId : 150
MicrosoftPeeringConfig:
AdvertisedPublicPrefixes: 10.10.0.0/24
CustomerASN : 64512
RoutingRegistryName : ARIN
Após aplicar a configuração, o peering entra no estado ValidationNeeded e não avança. Qual é a causa mais provável?
A) O ASN 64512 pertence à faixa privada e não pode ser usado no Microsoft peering, que exige ASNs públicos registrados.
B) O prefixo 10.10.0.0/24 é um endereço privado RFC 1918 e não pode ser anunciado como prefixo público no Microsoft peering.
C) O VLAN ID 150 está abaixo do valor mínimo exigido pelo Microsoft peering, que requer IDs a partir de 200.
D) O campo RoutingRegistryName está preenchido com um valor inválido; apenas RIPE e APNIC são aceitos pela Microsoft.
Questão 3 — Verdadeiro ou Falso
Quando o Microsoft peering está no estado Provisioned e um Route Filter é associado ao peering, as rotas dos serviços incluídos nas regras do Route Filter passam a ser anunciadas imediatamente pela Microsoft, sem necessidade de qualquer reinicialização do circuito ou da sessão BGP.
Verdadeiro ou Falso?
Questão 4 — Múltipla Escolha
Ao configurar o Microsoft peering, o engenheiro precisa definir os endereços IP dos links primário e secundário entre o roteador do cliente e o Microsoft Edge. A tabela abaixo descreve quatro configurações propostas:
| Opção | PrimaryPeerAddress | SecondaryPeerAddress |
|---|---|---|
| A | 192.168.1.0/30 | 192.168.1.4/30 |
| B | 203.0.113.0/29 | 203.0.113.8/29 |
| C | 203.0.113.0/30 | 203.0.113.4/30 |
| D | 203.0.113.0/30 | 203.0.113.0/30 |
Qual opção atende corretamente aos requisitos de configuração do Microsoft peering?
A) Opção A
B) Opção B
C) Opção C
D) Opção D
Questão 5 — Cenário Técnico
Uma organização tem o Microsoft peering provisionado e funcional, com um Route Filter configurado para receber rotas do Azure Storage (12076:5030 para a região desejada) e do Exchange Online (12076:5010). Após uma revisão de segurança, a equipe decide que o tráfego do Azure Storage deve voltar a usar a internet pública, mas o Exchange Online deve continuar pelo ExpressRoute.
O engenheiro remove a regra 12076:5030 do Route Filter existente. Qual será o comportamento resultante?
A) O Azure Storage deixará de ser acessível até que uma rota estática seja adicionada manualmente no roteador on-premises.
B) A sessão BGP do Microsoft peering será reiniciada automaticamente, causando interrupção temporária também no Exchange Online.
C) As rotas do Azure Storage deixarão de ser anunciadas pelo circuito; o tráfego para o Azure Storage passará a usar o caminho padrão disponível, como a internet pública.
D) A remoção de uma regra de Route Filter exige que o peering seja desprovisionado e recriado, tornando a operação indisponível durante o processo.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: C
O Microsoft peering é o mecanismo correto para rotear tráfego de serviços públicos da Microsoft, como Microsoft 365 e serviços PaaS, pelo circuito ExpressRoute. Ele pode coexistir com o private peering no mesmo circuito, pois cada tipo de peering é uma sessão BGP independente com VLAN ID distinto.
O Route Filter não é opcional no Microsoft peering: sem ele associado ao peering, a Microsoft não anuncia nenhuma rota de serviço, tornando a alternativa D incorreta. A alternativa A é tecnicamente inviável porque o private peering opera apenas com endereços RFC 1918 e não tem visibilidade de prefixos públicos. A alternativa B representa um equívoco comum sobre a capacidade de coexistência de tipos de peering em um mesmo circuito.
Gabarito — Questão 2
Resposta: B
O estado ValidationNeeded indica que a Microsoft não conseguiu validar o prefixo anunciado. O prefixo 10.10.0.0/24 pertence ao espaço de endereçamento privado definido pela RFC 1918 e, portanto, não pode ser anunciado como prefixo público no Microsoft peering. O campo AdvertisedPublicPrefixes exige blocos de endereços IP públicos que o cliente possua e tenha registrado em um IRR.
A alternativa A é incorreta porque ASNs privados podem ser usados no campo PeerASN em determinados cenários; a restrição mais crítica recai sobre os prefixos anunciados. A alternativa C é incorreta porque não existe faixa mínima de VLAN ID específica para o Microsoft peering. A alternativa D é incorreta porque a Microsoft aceita múltiplos IRRs, incluindo ARIN, RIPE, APNIC, RADB e outros.
Gabarito — Questão 3
Resposta: Verdadeiro
A associação de um Route Filter a um peering já provisionado é uma operação de plano de controle que atualiza a política de anúncio BGP da Microsoft sem exigir reinicialização do circuito ou da sessão BGP. As rotas correspondentes às communities incluídas nas regras do Route Filter passam a ser propagadas na próxima atualização BGP, que ocorre de forma automática e transparente.
Esse comportamento é relevante na prática porque permite adicionar ou remover serviços roteados pelo ExpressRoute de forma não disruptiva, o que é uma vantagem operacional significativa em relação a outras mudanças de configuração que exigem reprovisioning.
Gabarito — Questão 4
Resposta: C
O Microsoft peering exige sub-redes /30 para os endereços dos links primário e secundário, e os dois blocos devem ser distintos entre si e pertencer ao espaço de endereçamento público.
A opção A usa endereços RFC 1918, o que é inválido para o Microsoft peering. A opção B usa blocos /29, que contêm mais endereços do que o necessário para um link ponto a ponto e não atendem ao formato esperado. A opção D usa o mesmo bloco para os links primário e secundário, o que causaria conflito de endereçamento e impediria o estabelecimento correto das sessões BGP redundantes. Apenas a opção C combina endereços públicos, prefixo /30 e blocos distintos para cada link.
Gabarito — Questão 5
Resposta: C
A remoção de uma regra de BGP community do Route Filter instrui a Microsoft a parar de anunciar as rotas daquele serviço para o circuito. Com a rota do Azure Storage ausente na tabela BGP recebida pelo roteador on-premises, o tráfego destinado ao Azure Storage seguirá o caminho padrão disponível, que nesse caso é a internet pública. Isso é exatamente o comportamento desejado pela equipe.
A alternativa A é incorreta porque a perda do anúncio BGP não torna o serviço inacessível; o tráfego simplesmente usa outro caminho. A alternativa B é incorreta porque a modificação de regras em um Route Filter não reinicia a sessão BGP; trata-se de uma atualização incremental de política. A alternativa D é incorreta porque Route Filters são mutáveis e podem ter regras adicionadas ou removidas sem necessidade de recriar o peering.