Laboratório Técnico: Configure Azure private peering

Questões

Questão 1 — Múltipla Escolha

Uma equipe de rede está configurando o Azure private peering em um circuito ExpressRoute. O circuito já foi provisionado pelo provedor, e a equipe precisa definir os parâmetros de roteamento BGP. Ao configurar o peering, qual combinação de informações é obrigatoriamente necessária?

A) Um bloco IPv4 /30, um ASN privado para o lado do cliente e a VLAN ID atribuída pelo provedor.

B) Um bloco IPv4 /29, o ASN público da Microsoft e um segredo MD5 obrigatório.

C) Um prefixo IPv6 /126, um ASN de 32 bits e a chave de serviço do circuito.

D) Um bloco IPv4 /30, o ASN 65515 reservado ao Azure e a VLAN ID atribuída pelo provedor.

Questão 2 — Cenário Técnico

Um engenheiro configurou o Azure private peering em um circuito ExpressRoute e associou um Virtual Network Gateway do tipo ExpressRoute à VNet. No entanto, as VMs dentro da VNet não conseguem alcançar os servidores on-premises via ExpressRoute. O engenheiro confirma que o circuito está no estado Provisioned e o peering aparece como Enabled no portal.

Qual etapa, frequentemente esquecida após a configuração do peering, provavelmente está faltando?

A) O peering privado requer que o DNS privado do Azure esteja configurado antes de qualquer conectividade ser estabelecida.

B) A connection entre o Virtual Network Gateway e o circuito ExpressRoute ainda não foi criada.

C) O BGP precisa ser habilitado manualmente na sub-rede do gateway antes de o roteamento funcionar.

D) O peering privado exige que a VNet esteja na mesma região do circuito ExpressRoute para que a conexão seja aceita.

Questão 3 — Verdadeiro ou Falso

No Azure private peering, é possível reutilizar o mesmo bloco de endereços /30 em dois circuitos ExpressRoute distintos pertencentes à mesma assinatura, desde que os circuitos estejam em regiões diferentes.

Questão 4 — Cenário Técnico

Uma empresa possui dois circuitos ExpressRoute configurados com Azure private peering, ambos conectados à mesma VNet por meio de um ExpressRoute Gateway com a funcionalidade FastPath habilitada. A equipe observa que o tráfego de uma filial específica sempre prefere um dos circuitos, mesmo quando o outro teria menor latência. Nenhuma política de roteamento foi configurada explicitamente no lado do Azure.

Qual é a explicação mais provável para esse comportamento?

A) O FastPath ignora as métricas BGP e sempre roteia pelo circuito com menor largura de banda contratada.

B) O gateway seleciona o circuito com base na ordem de criação das connections, priorizando sempre a mais antiga.

C) O roteador on-premises está anunciando o prefixo da filial com um AS path mais curto por um dos circuitos, influenciando a seleção no lado do Azure.

D) O Azure private peering usa round-robin entre circuitos redundantes quando nenhuma política é configurada, e o comportamento observado é temporário.

Questão 5 — Múltipla Escolha

Ao configurar o Azure private peering, um administrador deseja usar um ASN privado para o lado do peer on-premises. Qual das afirmativas abaixo descreve corretamente uma restrição real aplicável à escolha do ASN?

A) O Azure reserva o intervalo 64512 a 65514 exclusivamente para uso interno; o cliente deve usar ASNs fora desse intervalo.

B) Determinados ASNs privados são reservados pela Microsoft e não podem ser usados pelo lado do cliente, incluindo o 65515.

C) O Azure private peering exige obrigatoriamente um ASN público registrado no IANA para garantir exclusividade de roteamento.

D) ASNs de 32 bits não são suportados no Azure private peering; apenas ASNs de 16 bits são aceitos.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: A

O Azure private peering exige três elementos centrais na configuração: um bloco IPv4 /30 (que fornece exatamente dois endereços utilizáveis, um para cada lado da sessão BGP), um ASN para o peer do cliente (que pode ser público ou privado, mas não pertence à Microsoft) e a VLAN ID que o provedor atribuiu ao circuito para separar o tráfego em nível de enlace.

O principal erro conceitual representado pelos distratores está na confusão com o tamanho do prefixo e com a propriedade dos ASNs. O /29 é excessivo para uma sessão ponto a ponto BGP. O ASN público da Microsoft (AS 8075) e o ASN 65515, reservado internamente ao Azure, nunca são configurados pelo cliente. O segredo MD5 é opcional, não obrigatório. IPv6 e ASNs de 32 bits são suportados, mas não substituem os requisitos IPv4 no contexto de configuração padrão descrito.

Gabarito — Questão 2

Resposta: B

A arquitetura do ExpressRoute separa dois planos distintos: a configuração do peering (que define o roteamento BGP no circuito) e a connection (que vincula o circuito a um Virtual Network Gateway específico). O peering estar Enabled significa apenas que o BGP está configurado no lado do circuito; sem a connection, o gateway da VNet não tem como trocar rotas com o circuito, e o tráfego nunca atravessa.

Os outros distratores representam erros conceituais comuns: DNS privado não é pré-requisito para conectividade de camada 3; o BGP no gateway é gerenciado automaticamente pelo Azure; e o peering privado suporta VNets em regiões diferentes do circuito via Global Reach ou ExpressRoute Premium, não sendo a localização um bloqueio absoluto.

Gabarito — Questão 3

Resposta: Falso

Os blocos /30 usados no Azure private peering devem ser únicos entre todos os circuitos de uma mesma assinatura, independentemente da região. O Azure valida essa unicidade durante a configuração e rejeita a criação de um peering que reutilize um prefixo já em uso. Essa restrição existe porque os endereços das sessões BGP são propagados internamente e conflitos causariam ambiguidade de roteamento. O fato de os circuitos estarem em regiões diferentes não isola os espaços de endereço para esse fim.

Gabarito — Questão 4

Resposta: C

O Azure private peering usa BGP para seleção de rotas. Quando dois circuitos anunciam o mesmo prefixo, o atributo AS path length é um dos critérios de desempate: caminhos mais curtos são preferidos. Se o roteador on-premises anuncia o prefixo da filial por um circuito com menos saltos de AS, o Azure seleciona esse circuito consistentemente, sem qualquer configuração explícita no lado do Azure.

O FastPath altera o plano de dados (reduz a latência ao desviar o tráfego do gateway para a VNet), mas não interfere na seleção de rotas BGP. A ordem de criação das connections não é um critério de seleção de rota. O Azure não usa round-robin entre circuitos redundantes; ele segue os atributos BGP normais (AS path, LOCAL_PREF, MED).

Gabarito — Questão 5

Resposta: B

A Microsoft reserva um conjunto específico de ASNs privados que não podem ser usados pelo lado do cliente no Azure private peering. O ASN 65515 é o exemplo mais relevante desse conjunto, pois é usado internamente pelo Azure para a sessão BGP com o gateway. Usar um ASN reservado pela Microsoft causaria conflito de roteamento e a configuração seria rejeitada.

A alternativa A está errada porque o intervalo 64512 a 65514 é justamente o espaço de ASNs privados disponível para uso pelo cliente, não reservado ao Azure. A alternativa C está errada porque ASNs privados são explicitamente permitidos. A alternativa D está errada porque ASNs de 32 bits (4-byte ASN) são suportados no Azure private peering.

Questões​

Questão 1 — Múltipla Escolha​

Questão 2 — Cenário Técnico​

Questão 3 — Verdadeiro ou Falso​

Questão 4 — Cenário Técnico​

Questão 5 — Múltipla Escolha​

Gabarito e Explicações​

Gabarito — Questão 1​

Gabarito — Questão 2​

Gabarito — Questão 3​

Gabarito — Questão 4​

Gabarito — Questão 5​