Pular para o conteúdo principal

Laboratório Técnico: Diagnose and resolve routing issues

Questões

Questão 1 — Múltipla Escolha

Uma equipe de rede configurou uma User-Defined Route (UDR) em uma subnet associando o prefixo 0.0.0.0/0 com o next hop apontando para um Network Virtual Appliance (NVA). Após a configuração, as VMs nessa subnet perderam a conectividade com o Azure Storage usando o endpoint público.

Qual é a causa mais provável do problema?

A) O Azure Storage não suporta roteamento via NVA e exige conexão direta pela internet.

B) A UDR substituiu a rota de sistema padrão, forçando o tráfego ao Storage a passar pelo NVA, que pode não estar configurado para permitir esse fluxo.

C) A UDR com prefixo 0.0.0.0/0 é inválida e foi ignorada pelo Azure, causando falha no roteamento padrão.

D) O problema está na ausência de um Service Endpoint obrigatório sempre que UDRs são utilizadas na subnet.

Questão 2 — Cenário Técnico

Um engenheiro está diagnosticando conectividade entre duas VMs em VNets distintas conectadas via VNet Peering. A VM de origem consegue pingar a VM de destino, mas não consegue alcançar recursos on-premises acessíveis pela VNet de destino, que possui um VPN Gateway configurado.

A topologia está resumida abaixo:

VNet-A (origem)
  └── Peering com VNet-Hub
        └── VPN Gateway → On-premises

O peering entre VNet-A e VNet-Hub foi criado, mas o tráfego on-premises não flui. Qual é a causa mais provável?

A) VNet Peering não suporta roteamento transitivo; é necessário criar um peering direto entre VNet-A e a rede on-premises.

B) A opção Use Remote Gateways não está habilitada no peering do lado de VNet-A, e/ou Allow Gateway Transit não está habilitada no lado de VNet-Hub.

C) O VPN Gateway de VNet-Hub precisa ser recriado para aceitar tráfego de VNets em peering.

D) É necessário adicionar uma UDR em VNet-A com o prefixo on-premises apontando para o IP público do VPN Gateway de VNet-Hub.

Questão 3 — Verdadeiro ou Falso

Quando duas rotas com o mesmo prefixo de destino estão presentes na tabela de roteamento efetiva de uma NIC, sendo uma originada por uma UDR e outra propagada pelo BGP via VPN Gateway, o Azure sempre prefere a rota BGP por ser considerada mais específica.

Verdadeiro ou Falso?

Questão 4 — Cenário Técnico

Uma VM em uma subnet com a seguinte tabela de rotas efetivas não consegue alcançar o endereço 10.2.5.10:

Prefixo de destinoTipo de origemNext Hop
10.0.0.0/8BGPVPN Gateway
10.2.0.0/16UDRNVA (10.0.1.4)
10.2.5.0/25BGPVPN Gateway
0.0.0.0/0PadrãoInternet

O NVA está operacional, mas o destino 10.2.5.10 é inacessível. Qual é o diagnóstico correto?

A) A rota BGP 10.0.0.0/8 está absorvendo o tráfego antes que qualquer rota mais específica seja avaliada.

B) A UDR 10.2.0.0/16 tem precedência sobre a rota BGP 10.2.5.0/25 e está desviando o tráfego para o NVA, que pode não estar encaminhando corretamente para esse destino.

C) O Azure ignora rotas BGP quando uma UDR de qualquer prefixo está presente na subnet, tornando 10.2.5.0/25 inativa.

D) A rota padrão 0.0.0.0/0 tem precedência sobre todas as outras por ser a menos específica, absorvendo o tráfego destinado a 10.2.5.10.

Questão 5 — Múltipla Escolha

Um administrador usa o Network Watcher Next Hop para diagnosticar por qual caminho o tráfego de uma VM está sendo enviado. A ferramenta retorna o tipo de next hop como None.

O que esse resultado indica?

A) O tráfego está sendo roteado pela rota padrão do sistema em direção à internet.

B) A VM não possui interface de rede configurada corretamente no Azure Resource Manager.

C) Não existe rota válida para o destino especificado na tabela de rotas efetivas da NIC, o que significa que o Azure descartará os pacotes.

D) O Next Hop None indica que o destino está na mesma subnet da VM e nenhum roteamento externo é necessário.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

Quando uma UDR com prefixo 0.0.0.0/0 é aplicada, ela substitui a rota de sistema padrão que normalmente encaminha o tráfego de internet diretamente. Todo o tráfego de saída, incluindo o destinado ao endpoint público do Azure Storage, passa a ser direcionado ao NVA. Se o NVA não tiver regras permitindo esse fluxo ou não estiver configurado para encaminhar tráfego HTTPS ao Storage, a conectividade é interrompida.

A alternativa D representa um equívoco frequente: Service Endpoints e UDRs são independentes. Service Endpoints otimizam o caminho para serviços PaaS, mas sua ausência não causa falha por conta de uma UDR existente. A alternativa C é falsa porque UDRs com 0.0.0.0/0 são perfeitamente válidas no Azure.

Gabarito — Questão 2

Resposta: B

O VNet Peering no Azure não é transitivo por padrão. Para que tráfego de VNet-A alcance recursos on-premises via o gateway de VNet-Hub, duas opções de peering precisam estar habilitadas em conjunto:

  • Allow Gateway Transit: habilitada no peering do lado de VNet-Hub, permitindo que o gateway seja compartilhado.
  • Use Remote Gateways: habilitada no peering do lado de VNet-A, instruindo-a a usar o gateway remoto.

A alternativa A confunde "roteamento transitivo via peering" com a necessidade de peering direto com on-premises, o que não existe como conceito no Azure. A alternativa D representa um equívoco clássico: uma UDR apontando para o IP público do gateway quebraria o roteamento, pois o tráfego de VNet para VNet nunca usa o IP público do gateway.

Gabarito — Questão 3

Resposta: Falso

O Azure aplica uma hierarquia de precedência bem definida entre tipos de rota. Quando existe conflito no mesmo prefixo, a ordem de preferência é:

  1. UDR
  2. BGP
  3. Rotas de sistema padrão

Portanto, a UDR sempre vence sobre a rota BGP, independentemente da especificidade do prefixo. A afirmação inverte essa lógica, atribuindo à rota BGP uma precedência que ela não possui. Esse comportamento é relevante em cenários onde uma UDR é criada intencionalmente para substituir uma rota aprendida via BGP de um gateway on-premises.

Gabarito — Questão 4

Resposta: B

O Azure seleciona rotas pelo longest prefix match primeiro. Para o destino 10.2.5.10, os prefixos candidatos são 10.2.0.0/16 (UDR) e 10.2.5.0/25 (BGP). O prefixo /25 é mais específico e, em condições normais, seria preferido. Porém, quando há conflito entre uma UDR e uma rota BGP no mesmo prefixo, a UDR vence. Neste cenário, a UDR tem prefixo diferente (/16) e o BGP tem /25. O longest prefix match seleciona /25 (BGP). No entanto, se a UDR /16 estiver sendo aplicada no lugar da rota BGP /25 por algum problema de propagação ou configuração, o tráfego vai ao NVA sem o encaminhamento correto.

A alternativa C representa o erro conceitual mais perigoso: UDRs não desativam todas as rotas BGP da subnet; elas coexistem, e o longest prefix match determina qual se aplica por destino.

Gabarito — Questão 5

Resposta: C

O tipo de next hop None retornado pelo Network Watcher Next Hop indica que o Azure não encontrou nenhuma rota válida para o destino consultado. O comportamento resultante é o descarte silencioso dos pacotes, sem geração de mensagem ICMP de destino inalcançável para a origem.

Esse resultado é comum quando: o prefixo de destino não está coberto por nenhuma rota na tabela efetiva da NIC, ou quando uma rota com next hop None foi configurada explicitamente em uma UDR para bloquear tráfego a um prefixo específico (black hole route). A alternativa D descreve o comportamento de tráfego local à subnet, que não passa pelo roteador e, portanto, sequer é avaliado pelo Next Hop como None, mas sim como rota de sistema local.