Pular para o conteúdo principal

Laboratório Técnico: Identify when to use a policy-based VPN versus a route-based VPN connection

Questões

Questão 1 — Múltipla Escolha

Uma empresa precisa conectar sua rede on-premises a uma VNet no Azure. O dispositivo VPN local é um equipamento legado que suporta apenas IKEv1 e exige que o tráfego seja controlado com base em prefixos de origem e destino definidos estaticamente. Qual tipo de VPN Gateway atende a esse requisito?

A) Route-based VPN, pois suporta IKEv1 e IKEv2 de forma nativa
B) Policy-based VPN, pois usa seletores de tráfego baseados em prefixos e é compatível com IKEv1
C) Route-based VPN com BGP habilitado, pois oferece mais flexibilidade de roteamento
D) Policy-based VPN com IKEv2 forçado via custom IPsec policy

Questão 2 — Cenário Técnico

Um arquiteto de rede está projetando uma solução de conectividade híbrida no Azure. Os requisitos são:

  • Conexões ativas simultâneas com múltiplos sites on-premises
  • Suporte a Point-to-Site (P2S)
  • Tolerância a falhas com active-active gateway

Após revisar as opções disponíveis, o arquiteto recomenda o uso de um route-based VPN. Qual é a justificativa técnica mais precisa para essa escolha?

A) O route-based VPN é o único tipo que suporta o protocolo IKEv2, necessário para P2S
B) O policy-based VPN não permite mais de uma conexão Site-to-Site simultânea, e não suporta P2S nem configuração active-active
C) O route-based VPN usa tabelas de roteamento estáticas, o que garante previsibilidade em ambientes multi-site
D) O policy-based VPN exige BGP em todas as conexões, tornando-o incompatível com P2S

Questão 3 — Verdadeiro ou Falso

Um VPN Gateway configurado como policy-based no Azure pode ser usado simultaneamente como endpoint de uma conexão Site-to-Site e de uma conexão Point-to-Site.

Questão 4 — Cenário Técnico

Uma equipe de infraestrutura está revisando a configuração abaixo para um VPN Gateway no Azure:

Gateway Type : Vpn
VPN Type      : PolicyBased
SKU           : Basic
Connections   : 1 (Site-to-Site)
BGP           : Disabled
IKE Version   : IKEv1

Durante um planejamento de expansão, surge a necessidade de adicionar uma segunda conexão Site-to-Site para um novo escritório. A equipe tenta criar a conexão, mas o portal retorna um erro. Qual é a causa raiz do problema?

A) O SKU Basic não suporta BGP, o que é obrigatório para múltiplas conexões
B) Gateways policy-based no Azure suportam no máximo uma conexão Site-to-Site
C) IKEv1 não é compatível com múltiplas conexões simultâneas no Azure
D) É necessário migrar para IKEv2 antes de adicionar uma segunda conexão Site-to-Site

Questão 5 — Múltipla Escolha

Ao comparar policy-based e route-based VPNs no Azure, qual das afirmações abaixo descreve corretamente uma diferença fundamental entre os dois tipos?

A) O route-based VPN define quais pacotes são cifrados por meio de políticas de prefixo estáticas, enquanto o policy-based usa tabelas de roteamento
B) O policy-based VPN é compatível com qualquer SKU de VPN Gateway, enquanto o route-based exige SKU VpnGw1 ou superior
C) O route-based VPN utiliza interfaces de túnel virtuais e toma decisões de encaminhamento com base em rotas, enquanto o policy-based usa seletores de tráfego estáticos baseados em prefixos
D) Ambos os tipos suportam BGP, mas apenas o route-based permite usar IKEv2

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

O policy-based VPN no Azure encripta e direciona pacotes com base em seletores de tráfego definidos como combinações de prefixos de origem e destino, o que corresponde exatamente ao modelo exigido pelo dispositivo legado descrito. Além disso, gateways policy-based no Azure suportam IKEv1, tornando-os compatíveis com equipamentos mais antigos.

A alternativa A é incorreta porque, embora o route-based suporte IKEv1 em alguns cenários, ele não usa seletores de tráfego baseados em prefixos como mecanismo primário de decisão. A alternativa C adiciona BGP, que é incompatível com policy-based e desnecessário para o cenário. A alternativa D é inválida porque policy-based gateways no Azure não suportam IKEv2 via custom policy.

Gabarito — Questão 2

Resposta: B

A justificativa técnica precisa é que o policy-based VPN no Azure é limitado a exatamente uma conexão Site-to-Site, não suporta Point-to-Site (P2S) e não pode ser configurado no modo active-active. Esses três requisitos em conjunto eliminam completamente o policy-based como opção viável.

A alternativa A é parcialmente verdadeira (IKEv2 é usado em P2S), mas não é a justificativa mais completa e precisa para a escolha. A alternativa C inverte a lógica: route-based usa tabelas de roteamento dinâmicas, não estáticas como vantagem de previsibilidade. A alternativa D é falsa: policy-based não exige BGP; na verdade, não suporta BGP.

Gabarito — Questão 3

Resposta: Falso

Gateways policy-based no Azure não suportam conexões Point-to-Site. Essa limitação é estrutural: P2S requer um modelo de roteamento dinâmico baseado em interfaces de túnel virtuais, que é uma característica exclusiva do route-based VPN. Além disso, policy-based gateways permitem no máximo uma conexão Site-to-Site, o que reforça que foram projetados para cenários de conectividade simples e com dispositivos legados específicos.

O equívoco comum é supor que, por ambos serem tipos de VPN Gateway, compartilhem todas as funcionalidades. Na prática, policy-based é um subconjunto bastante restrito de capacidades.

Gabarito — Questão 4

Resposta: B

A causa raiz é direta: gateways policy-based no Azure suportam no máximo uma conexão Site-to-Site. Essa é uma limitação arquitetural do tipo, independentemente do SKU, versão do IKE ou configuração de BGP.

A alternativa A confunde dois problemas distintos: o SKU Basic de fato não suporta BGP, mas BGP não é obrigatório para múltiplas conexões. A alternativa C é incorreta porque IKEv1 não impõe esse limite por si só. A alternativa D é um distrator plausível, mas a versão do IKE não é o fator limitante nesse caso; a solução correta seria migrar para um gateway route-based, não apenas alterar a versão do IKE.

Gabarito — Questão 5

Resposta: C

A diferença fundamental está no mecanismo de decisão de encaminhamento. O route-based VPN cria interfaces de túnel virtuais (como VTI em dispositivos físicos) e usa a tabela de roteamento para decidir qual tráfego passa por qual túnel. O policy-based VPN usa seletores de tráfego estáticos, combinações explícitas de prefixos de origem e destino, para determinar o que é encriptado e enviado pelo túnel.

A alternativa A inverte os conceitos dos dois tipos. A alternativa B é incorreta: gateways policy-based no Azure exigem o SKU Basic e não são compatíveis com SKUs superiores como VpnGw1. A alternativa D é falsa: policy-based não suporta BGP, enquanto route-based sim.