summaryrefslogtreecommitdiff
path: root/docs/_locale/de/LC_MESSAGES/configexamples.mo
blob: f0c1dacb83e8bb6277097dc524ee1617e8d8ee5a (plain)
ofshex dumpascii
0000 de 12 04 95 00 00 00 00 1f 03 00 00 1c 00 00 00 14 19 00 00 2d 04 00 00 0c 32 00 00 00 00 00 00 ....................-....2......
0020 c0 42 00 00 15 01 00 00 c1 42 00 00 43 00 00 00 d7 43 00 00 49 00 00 00 1b 44 00 00 28 00 00 00 .B.......B..C....C..I....D..(...
0040 65 44 00 00 7c 00 00 00 8e 44 00 00 80 00 00 00 0b 45 00 00 84 00 00 00 8c 45 00 00 70 00 00 00 eD..|....D.......E.......E..p...
0060 11 46 00 00 2e 01 00 00 82 46 00 00 0c 00 00 00 b1 47 00 00 0b 00 00 00 be 47 00 00 0b 00 00 00 .F.......F.......G.......G......
0080 ca 47 00 00 0b 00 00 00 d6 47 00 00 08 00 00 00 e2 47 00 00 11 00 00 00 eb 47 00 00 0b 00 00 00 .G.......G.......G.......G......
00a0 fd 47 00 00 0c 00 00 00 09 48 00 00 09 00 00 00 16 48 00 00 0b 00 00 00 20 48 00 00 0f 00 00 00 .G.......H.......H.......H......
00c0 2c 48 00 00 0f 00 00 00 3c 48 00 00 0f 00 00 00 4c 48 00 00 38 00 00 00 5c 48 00 00 0d 00 00 00 ,H......<H......LH..8...\H......
00e0 95 48 00 00 15 00 00 00 a3 48 00 00 11 00 00 00 b9 48 00 00 19 00 00 00 cb 48 00 00 19 00 00 00 .H.......H.......H.......H......
0100 e5 48 00 00 15 00 00 00 ff 48 00 00 15 00 00 00 15 49 00 00 1a 00 00 00 2b 49 00 00 57 00 00 00 .H.......H.......I......+I..W...
0120 46 49 00 00 63 00 00 00 9e 49 00 00 0e 00 00 00 02 4a 00 00 0c 00 00 00 11 4a 00 00 1f 00 00 00 FI..c....I.......J.......J......
0140 1e 4a 00 00 1f 00 00 00 3e 4a 00 00 0e 00 00 00 5e 4a 00 00 0f 00 00 00 6d 4a 00 00 0f 00 00 00 .J......>J......^J......mJ......
0160 7d 4a 00 00 0f 00 00 00 8d 4a 00 00 2e 00 00 00 9d 4a 00 00 0b 00 00 00 cc 4a 00 00 0b 00 00 00 }J.......J.......J.......J......
0180 d8 4a 00 00 1c 00 00 00 e4 4a 00 00 1c 00 00 00 01 4b 00 00 1e 00 00 00 1e 4b 00 00 3f 00 00 00 .J.......J.......K.......K..?...
01a0 3d 4b 00 00 07 00 00 00 7d 4b 00 00 09 00 00 00 85 4b 00 00 07 00 00 00 8f 4b 00 00 08 00 00 00 =K......}K.......K.......K......
01c0 97 4b 00 00 05 00 00 00 a0 4b 00 00 0a 00 00 00 a6 4b 00 00 15 00 00 00 b1 4b 00 00 0a 00 00 00 .K.......K.......K.......K......
01e0 c7 4b 00 00 05 00 00 00 d2 4b 00 00 4e 02 00 00 d8 4b 00 00 82 00 00 00 27 4e 00 00 5b 00 00 00 .K.......K..N....K......'N..[...
0200 aa 4e 00 00 1a 01 00 00 06 4f 00 00 c8 00 00 00 21 50 00 00 57 00 00 00 ea 50 00 00 58 00 00 00 .N.......O......!P..W....P..X...
0220 42 51 00 00 d4 00 00 00 9b 51 00 00 0f 01 00 00 70 52 00 00 f1 00 00 00 80 53 00 00 30 00 00 00 BQ.......Q......pR.......S..0...
0240 72 54 00 00 30 00 00 00 a3 54 00 00 30 00 00 00 d4 54 00 00 1f 00 00 00 05 55 00 00 17 00 00 00 rT..0....T..0....T.......U......
0260 25 55 00 00 21 00 00 00 3d 55 00 00 1c 00 00 00 5f 55 00 00 45 00 00 00 7c 55 00 00 32 00 00 00 %U..!...=U......_U..E...|U..2...
0280 c2 55 00 00 78 00 00 00 f5 55 00 00 28 00 00 00 6e 56 00 00 22 00 00 00 97 56 00 00 1d 00 00 00 .U..x....U..(...nV.."....V......
02a0 ba 56 00 00 35 00 00 00 d8 56 00 00 17 00 00 00 0e 57 00 00 1a 00 00 00 26 57 00 00 16 00 00 00 .V..5....V.......W......&W......
02c0 41 57 00 00 46 00 00 00 58 57 00 00 37 00 00 00 9f 57 00 00 26 00 00 00 d7 57 00 00 1a 00 00 00 AW..F...XW..7....W..&....W......
02e0 fe 57 00 00 5d 00 00 00 19 58 00 00 7c 00 00 00 77 58 00 00 4b 00 00 00 f4 58 00 00 4b 00 00 00 .W..]....X..|...wX..K....X..K...
0300 40 59 00 00 28 00 00 00 8c 59 00 00 97 00 00 00 b5 59 00 00 46 00 00 00 4d 5a 00 00 56 00 00 00 @Y..(....Y.......Y..F...MZ..V...
0320 94 5a 00 00 53 00 00 00 eb 5a 00 00 1f 00 00 00 3f 5b 00 00 30 00 00 00 5f 5b 00 00 1d 00 00 00 .Z..S....Z......?[..0..._[......
0340 90 5b 00 00 36 00 00 00 ae 5b 00 00 3c 00 00 00 e5 5b 00 00 2b 00 00 00 22 5c 00 00 2d 00 00 00 .[..6....[..<....[..+..."\..-...
0360 4e 5c 00 00 19 00 00 00 7c 5c 00 00 37 00 00 00 96 5c 00 00 38 00 00 00 ce 5c 00 00 22 00 00 00 N\......|\..7....\..8....\.."...
0380 07 5d 00 00 1a 00 00 00 2a 5d 00 00 20 00 00 00 45 5d 00 00 1d 00 00 00 66 5d 00 00 23 00 00 00 .]......*]......E]......f]..#...
03a0 84 5d 00 00 1e 00 00 00 a8 5d 00 00 20 00 00 00 c7 5d 00 00 30 00 00 00 e8 5d 00 00 1d 00 00 00 .].......].......]..0....]......
03c0 19 5e 00 00 79 00 00 00 37 5e 00 00 83 00 00 00 b1 5e 00 00 64 00 00 00 35 5f 00 00 25 00 00 00 .^..y...7^.......^..d...5_..%...
03e0 9a 5f 00 00 53 02 00 00 c0 5f 00 00 16 00 00 00 14 62 00 00 03 01 00 00 2b 62 00 00 58 00 00 00 ._..S...._.......b......+b..X...
0400 2f 63 00 00 28 01 00 00 88 63 00 00 46 00 00 00 b1 64 00 00 18 00 00 00 f8 64 00 00 48 00 00 00 /c..(....c..F....d.......d..H...
0420 11 65 00 00 27 00 00 00 5a 65 00 00 24 00 00 00 82 65 00 00 57 00 00 00 a7 65 00 00 1e 00 00 00 .e..'...Ze..$....e..W....e......
0440 ff 65 00 00 0f 00 00 00 1e 66 00 00 8e 00 00 00 2e 66 00 00 0a 00 00 00 bd 66 00 00 0a 00 00 00 .e.......f.......f.......f......
0460 c8 66 00 00 f0 00 00 00 d3 66 00 00 12 01 00 00 c4 67 00 00 83 00 00 00 d7 68 00 00 2b 01 00 00 .f.......f.......g.......h..+...
0480 5b 69 00 00 8f 00 00 00 87 6a 00 00 df 00 00 00 17 6b 00 00 22 00 00 00 f7 6b 00 00 40 04 00 00 [i.......j.......k.."....k..@...
04a0 1a 6c 00 00 48 00 00 00 5b 70 00 00 1c 00 00 00 a4 70 00 00 52 00 00 00 c1 70 00 00 fa 00 00 00 .l..H...[p.......p..R....p......
04c0 14 71 00 00 6d 00 00 00 0f 72 00 00 87 00 00 00 7d 72 00 00 ba 00 00 00 05 73 00 00 5d 00 00 00 .q..m....r......}r.......s..]...
04e0 c0 73 00 00 a9 00 00 00 1e 74 00 00 09 00 00 00 c8 74 00 00 1e 00 00 00 d2 74 00 00 1e 00 00 00 .s.......t.......t.......t......
0500 f1 74 00 00 19 00 00 00 10 75 00 00 1c 00 00 00 2a 75 00 00 13 00 00 00 47 75 00 00 03 00 00 00 .t.......u......*u......Gu......
0520 5b 75 00 00 29 00 00 00 5f 75 00 00 4a 00 00 00 89 75 00 00 08 00 00 00 d4 75 00 00 0a 00 00 00 [u..)..._u..J....u.......u......
0540 dd 75 00 00 e9 01 00 00 e8 75 00 00 0e 00 00 00 d2 77 00 00 19 00 00 00 e1 77 00 00 23 00 00 00 .u.......u.......w.......w..#...
0560 fb 77 00 00 27 00 00 00 1f 78 00 00 29 00 00 00 47 78 00 00 1a 00 00 00 71 78 00 00 48 01 00 00 .w..'....x..)...Gx......qx..H...
0580 8c 78 00 00 06 00 00 00 d5 79 00 00 1b 00 00 00 dc 79 00 00 0b 00 00 00 f8 79 00 00 0b 00 00 00 .x.......y.......y.......y......
05a0 04 7a 00 00 0b 00 00 00 10 7a 00 00 1d 00 00 00 1c 7a 00 00 17 00 00 00 3a 7a 00 00 24 00 00 00 .z.......z.......z......:z..$...
05c0 52 7a 00 00 86 02 00 00 77 7a 00 00 0d 00 00 00 fe 7c 00 00 0a 00 00 00 0c 7d 00 00 07 00 00 00 Rz......wz.......|.......}......
05e0 17 7d 00 00 70 00 00 00 1f 7d 00 00 6e 00 00 00 90 7d 00 00 10 00 00 00 ff 7d 00 00 26 00 00 00 .}..p....}..n....}.......}..&...
0600 10 7e 00 00 11 00 00 00 37 7e 00 00 12 00 00 00 49 7e 00 00 be 00 00 00 5c 7e 00 00 21 00 00 00 .~......7~......I~......\~..!...
0620 1b 7f 00 00 05 00 00 00 3d 7f 00 00 43 00 00 00 43 7f 00 00 35 00 00 00 87 7f 00 00 06 00 00 00 ........=...C...C...5...........
0640 bd 7f 00 00 14 00 00 00 c4 7f 00 00 56 00 00 00 d9 7f 00 00 56 00 00 00 30 80 00 00 0b 00 00 00 ............V.......V...0.......
0660 87 80 00 00 0d 00 00 00 93 80 00 00 13 00 00 00 a1 80 00 00 14 00 00 00 b5 80 00 00 29 00 00 00 ............................)...
0680 ca 80 00 00 18 00 00 00 f4 80 00 00 23 00 00 00 0d 81 00 00 24 00 00 00 31 81 00 00 39 00 00 00 ............#.......$...1...9...
06a0 56 81 00 00 0e 00 00 00 90 81 00 00 0e 00 00 00 9f 81 00 00 20 00 00 00 ae 81 00 00 18 00 00 00 V...............................
06c0 cf 81 00 00 13 00 00 00 e8 81 00 00 27 00 00 00 fc 81 00 00 2b 00 00 00 24 82 00 00 51 00 00 00 ............'.......+...$...Q...
06e0 50 82 00 00 18 00 00 00 a2 82 00 00 19 00 00 00 bb 82 00 00 44 00 00 00 d5 82 00 00 1b 00 00 00 P...................D...........
0700 1a 83 00 00 2f 00 00 00 36 83 00 00 1b 00 00 00 66 83 00 00 a4 00 00 00 82 83 00 00 ae 00 00 00 ..../...6.......f...............
0720 27 84 00 00 04 00 00 00 d6 84 00 00 0b 00 00 00 db 84 00 00 0c 00 00 00 e7 84 00 00 14 00 00 00 '...............................
0740 f4 84 00 00 14 00 00 00 09 85 00 00 16 00 00 00 1e 85 00 00 ae 00 00 00 35 85 00 00 85 00 00 00 ........................5.......
0760 e4 85 00 00 2b 00 00 00 6a 86 00 00 25 00 00 00 96 86 00 00 43 00 00 00 bc 86 00 00 5a 00 00 00 ....+...j...%.......C.......Z...
0780 00 87 00 00 24 00 00 00 5b 87 00 00 dc 00 00 00 80 87 00 00 1c 00 00 00 5d 88 00 00 0a 00 00 00 ....$...[...............].......
07a0 7a 88 00 00 0b 00 00 00 85 88 00 00 0f 00 00 00 91 88 00 00 20 00 00 00 a1 88 00 00 5d 00 00 00 z...........................]...
07c0 c2 88 00 00 1a 00 00 00 20 89 00 00 22 00 00 00 3b 89 00 00 06 00 00 00 5e 89 00 00 08 00 00 00 ............"...;.......^.......
07e0 65 89 00 00 08 00 00 00 6e 89 00 00 1d 00 00 00 77 89 00 00 1f 00 00 00 95 89 00 00 1a 00 00 00 e.......n.......w...............
0800 b5 89 00 00 20 00 00 00 d0 89 00 00 1f 00 00 00 f1 89 00 00 17 00 00 00 11 8a 00 00 f9 00 00 00 ................................
0820 29 8a 00 00 0c 01 00 00 23 8b 00 00 96 00 00 00 30 8c 00 00 78 00 00 00 c7 8c 00 00 14 00 00 00 ).......#.......0...x...........
0840 40 8d 00 00 0b 00 00 00 55 8d 00 00 0a 00 00 00 61 8d 00 00 4e 00 00 00 6c 8d 00 00 c4 00 00 00 @.......U.......a...N...l.......
0860 bb 8d 00 00 f3 00 00 00 80 8e 00 00 fa 00 00 00 74 8f 00 00 d1 00 00 00 6f 90 00 00 12 01 00 00 ................t.......o.......
0880 41 91 00 00 db 00 00 00 54 92 00 00 07 00 00 00 30 93 00 00 23 00 00 00 38 93 00 00 2e 00 00 00 A.......T.......0...#...8.......
08a0 5c 93 00 00 27 00 00 00 8b 93 00 00 3a 00 00 00 b3 93 00 00 2e 00 00 00 ee 93 00 00 0f 00 00 00 \...'.......:...................
08c0 1d 94 00 00 48 00 00 00 2d 94 00 00 c6 00 00 00 76 94 00 00 9f 00 00 00 3d 95 00 00 34 00 00 00 ....H...-.......v.......=...4...
08e0 dd 95 00 00 08 00 00 00 12 96 00 00 17 00 00 00 1b 96 00 00 11 00 00 00 33 96 00 00 bf 00 00 00 ........................3.......
0900 45 96 00 00 85 00 00 00 05 97 00 00 0c 00 00 00 8b 97 00 00 45 00 00 00 98 97 00 00 43 00 00 00 E...................E.......C...
0920 de 97 00 00 34 00 00 00 22 98 00 00 37 00 00 00 57 98 00 00 21 01 00 00 8f 98 00 00 5e 00 00 00 ....4..."...7...W...!.......^...
0940 b1 99 00 00 63 00 00 00 10 9a 00 00 d5 00 00 00 74 9a 00 00 b9 00 00 00 4a 9b 00 00 ab 00 00 00 ....c...........t.......J.......
0960 04 9c 00 00 53 00 00 00 b0 9c 00 00 78 00 00 00 04 9d 00 00 78 00 00 00 7d 9d 00 00 bd 00 00 00 ....S.......x.......x...}.......
0980 f6 9d 00 00 56 00 00 00 b4 9e 00 00 1c 00 00 00 0b 9f 00 00 2e 00 00 00 28 9f 00 00 23 00 00 00 ....V...................(...#...
09a0 57 9f 00 00 04 00 00 00 7b 9f 00 00 67 00 00 00 80 9f 00 00 5a 00 00 00 e8 9f 00 00 43 00 00 00 W.......{...g.......Z.......C...
09c0 43 a0 00 00 44 00 00 00 87 a0 00 00 08 00 00 00 cc a0 00 00 27 00 00 00 d5 a0 00 00 2e 00 00 00 C...D...............'...........
09e0 fd a0 00 00 4d 00 00 00 2c a1 00 00 69 00 00 00 7a a1 00 00 83 00 00 00 e4 a1 00 00 1d 00 00 00 ....M...,...i...z...............
0a00 68 a2 00 00 11 00 00 00 86 a2 00 00 03 00 00 00 98 a2 00 00 01 02 00 00 9c a2 00 00 ab 00 00 00 h...............................
0a20 9e a4 00 00 78 00 00 00 4a a5 00 00 83 00 00 00 c3 a5 00 00 e2 00 00 00 47 a6 00 00 09 00 00 00 ....x...J...............G.......
0a40 2a a7 00 00 19 00 00 00 34 a7 00 00 5f 03 00 00 4e a7 00 00 14 00 00 00 ae aa 00 00 06 00 00 00 *.......4..._...N...............
0a60 c3 aa 00 00 0c 00 00 00 ca aa 00 00 15 00 00 00 d7 aa 00 00 0c 00 00 00 ed aa 00 00 0b 00 00 00 ................................
0a80 fa aa 00 00 17 00 00 00 06 ab 00 00 0f 00 00 00 1e ab 00 00 03 00 00 00 2e ab 00 00 d8 00 00 00 ................................
0aa0 32 ab 00 00 43 00 00 00 0b ac 00 00 40 00 00 00 4f ac 00 00 67 00 00 00 90 ac 00 00 d8 00 00 00 2...C.......@...O...g...........
0ac0 f8 ac 00 00 90 00 00 00 d1 ad 00 00 88 00 00 00 62 ae 00 00 ec 00 00 00 eb ae 00 00 33 00 00 00 ................b...........3...
0ae0 d8 af 00 00 9f 00 00 00 0c b0 00 00 98 00 00 00 ac b0 00 00 bd 00 00 00 45 b1 00 00 99 00 00 00 ........................E.......
0b00 03 b2 00 00 54 00 00 00 9d b2 00 00 fd 00 00 00 f2 b2 00 00 60 00 00 00 f0 b3 00 00 a3 00 00 00 ....T...............`...........
0b20 51 b4 00 00 4d 00 00 00 f5 b4 00 00 5a 00 00 00 43 b5 00 00 5e 00 00 00 9e b5 00 00 44 00 00 00 Q...M.......Z...C...^.......D...
0b40 fd b5 00 00 dc 00 00 00 42 b6 00 00 ee 00 00 00 1f b7 00 00 75 00 00 00 0e b8 00 00 67 00 00 00 ........B...........u.......g...
0b60 84 b8 00 00 6b 00 00 00 ec b8 00 00 5d 00 00 00 58 b9 00 00 80 00 00 00 b6 b9 00 00 9d 00 00 00 ....k.......]...X...............
0b80 37 ba 00 00 98 00 00 00 d5 ba 00 00 28 00 00 00 6e bb 00 00 94 00 00 00 97 bb 00 00 20 00 00 00 7...........(...n...............
0ba0 2c bc 00 00 33 00 00 00 4d bc 00 00 3a 00 00 00 81 bc 00 00 10 00 00 00 bc bc 00 00 11 00 00 00 ,...3...M...:...................
0bc0 cd bc 00 00 14 00 00 00 df bc 00 00 15 00 00 00 f4 bc 00 00 1f 00 00 00 0a bd 00 00 6a 01 00 00 ............................j...
0be0 2a bd 00 00 24 00 00 00 95 be 00 00 10 00 00 00 ba be 00 00 08 00 00 00 cb be 00 00 23 00 00 00 *...$.......................#...
0c00 d4 be 00 00 24 00 00 00 f8 be 00 00 23 00 00 00 1d bf 00 00 23 00 00 00 41 bf 00 00 18 00 00 00 ....$.......#.......#...A.......
0c20 65 bf 00 00 7a 00 00 00 7e bf 00 00 94 00 00 00 f9 bf 00 00 21 00 00 00 8e c0 00 00 89 00 00 00 e...z...~...........!...........
0c40 b0 c0 00 00 98 00 00 00 3a c1 00 00 14 00 00 00 d3 c1 00 00 23 00 00 00 e8 c1 00 00 25 00 00 00 ........:...........#.......%...
0c60 0c c2 00 00 2e 00 00 00 32 c2 00 00 03 00 00 00 61 c2 00 00 05 00 00 00 65 c2 00 00 05 00 00 00 ........2.......a.......e.......
0c80 6b c2 00 00 11 00 00 00 71 c2 00 00 3c 00 00 00 83 c2 00 00 1d 00 00 00 c0 c2 00 00 25 00 00 00 k.......q...<...............%...
0ca0 de c2 00 00 04 00 00 00 04 c3 00 00 0c 00 00 00 09 c3 00 00 0f 00 00 00 16 c3 00 00 04 00 00 00 ................................
0cc0 26 c3 00 00 03 00 00 00 2b c3 00 00 63 00 00 00 2f c3 00 00 3c 00 00 00 93 c3 00 00 40 00 00 00 &.......+...c.../...<.......@...
0ce0 d0 c3 00 00 40 00 00 00 11 c4 00 00 dc 02 00 00 52 c4 00 00 0b 00 00 00 2f c7 00 00 3c 00 00 00 ....@...........R......./...<...
0d00 3b c7 00 00 0a 00 00 00 78 c7 00 00 0e 00 00 00 83 c7 00 00 79 00 00 00 92 c7 00 00 5d 00 00 00 ;.......x...........y.......]...
0d20 0c c8 00 00 0a 00 00 00 6a c8 00 00 16 00 00 00 75 c8 00 00 16 00 00 00 8c c8 00 00 20 00 00 00 ........j.......u...............
0d40 a3 c8 00 00 16 00 00 00 c4 c8 00 00 16 00 00 00 db c8 00 00 0b 00 00 00 f2 c8 00 00 14 00 00 00 ................................
0d60 fe c8 00 00 0f 00 00 00 13 c9 00 00 10 00 00 00 23 c9 00 00 18 00 00 00 34 c9 00 00 21 00 00 00 ................#.......4...!...
0d80 4d c9 00 00 5a 00 00 00 6f c9 00 00 80 00 00 00 ca c9 00 00 6f 00 00 00 4b ca 00 00 44 00 00 00 M...Z...o...........o...K...D...
0da0 bb ca 00 00 2b 00 00 00 00 cb 00 00 04 00 00 00 2c cb 00 00 40 00 00 00 31 cb 00 00 97 00 00 00 ....+...........,...@...1.......
0dc0 72 cb 00 00 42 00 00 00 0a cc 00 00 5d 00 00 00 4d cc 00 00 3a 00 00 00 ab cc 00 00 34 00 00 00 r...B.......]...M...:.......4...
0de0 e6 cc 00 00 2e 00 00 00 1b cd 00 00 26 00 00 00 4a cd 00 00 58 00 00 00 71 cd 00 00 34 00 00 00 ............&...J...X...q...4...
0e00 ca cd 00 00 d4 00 00 00 ff cd 00 00 35 00 00 00 d4 ce 00 00 13 00 00 00 0a cf 00 00 19 00 00 00 ............5...................
0e20 1e cf 00 00 85 00 00 00 38 cf 00 00 19 00 00 00 be cf 00 00 7a 00 00 00 d8 cf 00 00 79 00 00 00 ........8...........z.......y...
0e40 53 d0 00 00 53 00 00 00 cd d0 00 00 68 00 00 00 21 d1 00 00 36 00 00 00 8a d1 00 00 32 00 00 00 S...S.......h...!...6.......2...
0e60 c1 d1 00 00 38 00 00 00 f4 d1 00 00 36 00 00 00 2d d2 00 00 38 00 00 00 64 d2 00 00 19 00 00 00 ....8.......6...-...8...d.......
0e80 9d d2 00 00 11 00 00 00 b7 d2 00 00 20 00 00 00 c9 d2 00 00 16 00 00 00 ea d2 00 00 38 01 00 00 ............................8...
0ea0 01 d3 00 00 69 00 00 00 3a d4 00 00 08 00 00 00 a4 d4 00 00 03 00 00 00 ad d4 00 00 72 00 00 00 ....i...:...................r...
0ec0 b1 d4 00 00 03 00 00 00 24 d5 00 00 6c 00 00 00 28 d5 00 00 03 00 00 00 95 d5 00 00 61 00 00 00 ........$...l...(...........a...
0ee0 99 d5 00 00 27 00 00 00 fb d5 00 00 0b 00 00 00 23 d6 00 00 0f 00 00 00 2f d6 00 00 37 00 00 00 ....'...........#......./...7...
0f00 3f d6 00 00 25 00 00 00 77 d6 00 00 6e 00 00 00 9d d6 00 00 b2 00 00 00 0c d7 00 00 38 00 00 00 ?...%...w...n...............8...
0f20 bf d7 00 00 0e 00 00 00 f8 d7 00 00 0d 00 00 00 07 d8 00 00 0a 00 00 00 15 d8 00 00 67 00 00 00 ............................g...
0f40 20 d8 00 00 67 00 00 00 88 d8 00 00 0e 00 00 00 f0 d8 00 00 0b 00 00 00 ff d8 00 00 02 00 00 00 ....g...........................
0f60 0b d9 00 00 0e 00 00 00 0e d9 00 00 02 00 00 00 1d d9 00 00 09 00 00 00 20 d9 00 00 09 00 00 00 ................................
0f80 2a d9 00 00 42 01 00 00 34 d9 00 00 0f 00 00 00 77 da 00 00 47 00 00 00 87 da 00 00 81 00 00 00 *...B...4.......w...G...........
0fa0 cf da 00 00 07 00 00 00 51 db 00 00 04 00 00 00 59 db 00 00 46 00 00 00 5e db 00 00 3c 00 00 00 ........Q.......Y...F...^...<...
0fc0 a5 db 00 00 0f 00 00 00 e2 db 00 00 96 00 00 00 f2 db 00 00 7c 00 00 00 89 dc 00 00 09 00 00 00 ....................|...........
0fe0 06 dd 00 00 14 00 00 00 10 dd 00 00 09 00 00 00 25 dd 00 00 1b 00 00 00 2f dd 00 00 2c 00 00 00 ................%......./...,...
1000 4b dd 00 00 19 00 00 00 78 dd 00 00 1d 00 00 00 92 dd 00 00 a8 00 00 00 b0 dd 00 00 d7 00 00 00 K.......x.......................
1020 59 de 00 00 42 00 00 00 31 df 00 00 7d 00 00 00 74 df 00 00 77 00 00 00 f2 df 00 00 49 00 00 00 Y...B...1...}...t...w.......I...
1040 6a e0 00 00 48 00 00 00 b4 e0 00 00 24 00 00 00 fd e0 00 00 9b 00 00 00 22 e1 00 00 43 00 00 00 j...H.......$..........."...C...
1060 be e1 00 00 34 00 00 00 02 e2 00 00 34 00 00 00 37 e2 00 00 18 00 00 00 6c e2 00 00 9e 00 00 00 ....4.......4...7.......l.......
1080 85 e2 00 00 9f 00 00 00 24 e3 00 00 92 00 00 00 c4 e3 00 00 16 01 00 00 57 e4 00 00 17 01 00 00 ........$...............W.......
10a0 6e e5 00 00 3f 00 00 00 86 e6 00 00 10 00 00 00 c6 e6 00 00 5a 00 00 00 d7 e6 00 00 2d 00 00 00 n...?...............Z.......-...
10c0 32 e7 00 00 3e 00 00 00 60 e7 00 00 4b 00 00 00 9f e7 00 00 0f 00 00 00 eb e7 00 00 05 00 00 00 2...>...`...K...................
10e0 fb e7 00 00 40 00 00 00 01 e8 00 00 13 00 00 00 42 e8 00 00 4b 02 00 00 56 e8 00 00 4c 02 00 00 ....@...........B...K...V...L...
1100 a2 ea 00 00 31 00 00 00 ef ec 00 00 26 00 00 00 21 ed 00 00 19 00 00 00 48 ed 00 00 1f 00 00 00 ....1.......&...!.......H.......
1120 62 ed 00 00 2d 00 00 00 82 ed 00 00 30 00 00 00 b0 ed 00 00 2a 00 00 00 e1 ed 00 00 1c 00 00 00 b...-.......0.......*...........
1140 0c ee 00 00 14 00 00 00 29 ee 00 00 16 00 00 00 3e ee 00 00 09 00 00 00 55 ee 00 00 0e 00 00 00 ........).......>.......U.......
1160 5f ee 00 00 0f 00 00 00 6e ee 00 00 14 00 00 00 7e ee 00 00 14 00 00 00 93 ee 00 00 14 00 00 00 _.......n.......~...............
1180 a8 ee 00 00 14 00 00 00 bd ee 00 00 07 00 00 00 d2 ee 00 00 15 00 00 00 da ee 00 00 e6 00 00 00 ................................
11a0 f0 ee 00 00 8e 00 00 00 d7 ef 00 00 1d 00 00 00 66 f0 00 00 85 00 00 00 84 f0 00 00 cd 00 00 00 ................f...............
11c0 0a f1 00 00 b8 00 00 00 d8 f1 00 00 72 00 00 00 91 f2 00 00 75 00 00 00 04 f3 00 00 a7 00 00 00 ............r.......u...........
11e0 7a f3 00 00 6d 00 00 00 22 f4 00 00 4d 00 00 00 90 f4 00 00 be 00 00 00 de f4 00 00 41 00 00 00 z...m..."...M...............A...
1200 9d f5 00 00 5d 00 00 00 df f5 00 00 1e 00 00 00 3d f6 00 00 75 00 00 00 5c f6 00 00 90 00 00 00 ....]...........=...u...\.......
1220 d2 f6 00 00 1f 00 00 00 63 f7 00 00 45 00 00 00 83 f7 00 00 9d 00 00 00 c9 f7 00 00 28 00 00 00 ........c...E...............(...
1240 67 f8 00 00 5f 00 00 00 90 f8 00 00 41 00 00 00 f0 f8 00 00 50 00 00 00 32 f9 00 00 df 00 00 00 g..._.......A.......P...2.......
1260 83 f9 00 00 b7 00 00 00 63 fa 00 00 9b 00 00 00 1b fb 00 00 5b 00 00 00 b7 fb 00 00 c3 00 00 00 ........c...........[...........
1280 13 fc 00 00 7f 00 00 00 d7 fc 00 00 94 00 00 00 57 fd 00 00 b4 00 00 00 ec fd 00 00 25 00 00 00 ................W...........%...
12a0 a1 fe 00 00 a8 00 00 00 c7 fe 00 00 50 00 00 00 70 ff 00 00 50 00 00 00 c1 ff 00 00 1f 00 00 00 ............P...p...P...........
12c0 12 00 01 00 35 00 00 00 32 00 01 00 3c 00 00 00 68 00 01 00 3b 00 00 00 a5 00 01 00 3b 00 00 00 ....5...2...<...h...;.......;...
12e0 e1 00 01 00 a8 00 00 00 1d 01 01 00 62 01 00 00 c6 01 01 00 15 01 00 00 29 03 01 00 ce 00 00 00 ............b...........).......
1300 3f 04 01 00 a9 00 00 00 0e 05 01 00 4f 00 00 00 b8 05 01 00 5c 00 00 00 08 06 01 00 24 00 00 00 ?...........O.......\.......$...
1320 65 06 01 00 42 00 00 00 8a 06 01 00 8f 00 00 00 cd 06 01 00 95 00 00 00 5d 07 01 00 7b 00 00 00 e...B...................]...{...
1340 f3 07 01 00 76 00 00 00 6f 08 01 00 75 00 00 00 e6 08 01 00 57 00 00 00 5c 09 01 00 aa 00 00 00 ....v...o...u.......W...\.......
1360 b4 09 01 00 f8 00 00 00 5f 0a 01 00 2b 00 00 00 58 0b 01 00 9e 01 00 00 84 0b 01 00 46 00 00 00 ........_...+...X...........F...
1380 23 0d 01 00 65 00 00 00 6a 0d 01 00 ad 00 00 00 d0 0d 01 00 6c 00 00 00 7e 0e 01 00 52 00 00 00 #...e...j...........l...~...R...
13a0 eb 0e 01 00 9f 00 00 00 3e 0f 01 00 b9 00 00 00 de 0f 01 00 a0 00 00 00 98 10 01 00 60 00 00 00 ........>...................`...
13c0 39 11 01 00 56 00 00 00 9a 11 01 00 28 00 00 00 f1 11 01 00 5f 00 00 00 1a 12 01 00 42 00 00 00 9...V.......(......._.......B...
13e0 7a 12 01 00 7d 00 00 00 bd 12 01 00 27 00 00 00 3b 13 01 00 ac 00 00 00 63 13 01 00 b1 00 00 00 z...}.......'...;.......c.......
1400 10 14 01 00 4b 00 00 00 c2 14 01 00 83 00 00 00 0e 15 01 00 08 00 00 00 92 15 01 00 15 00 00 00 ....K...........................
1420 9b 15 01 00 8d 00 00 00 b1 15 01 00 0a 00 00 00 3f 16 01 00 1b 00 00 00 4a 16 01 00 17 00 00 00 ................?.......J.......
1440 66 16 01 00 28 00 00 00 7e 16 01 00 e7 00 00 00 a7 16 01 00 d0 00 00 00 8f 17 01 00 25 00 00 00 f...(...~...................%...
1460 60 18 01 00 83 00 00 00 86 18 01 00 90 00 00 00 0a 19 01 00 05 00 00 00 9b 19 01 00 c9 00 00 00 `...............................
1480 a1 19 01 00 03 00 00 00 6b 1a 01 00 08 00 00 00 6f 1a 01 00 09 00 00 00 78 1a 01 00 09 00 00 00 ........k.......o.......x.......
14a0 82 1a 01 00 08 00 00 00 8c 1a 01 00 18 00 00 00 95 1a 01 00 12 00 00 00 ae 1a 01 00 0a 00 00 00 ................................
14c0 c1 1a 01 00 0c 00 00 00 cc 1a 01 00 21 00 00 00 d9 1a 01 00 21 00 00 00 fb 1a 01 00 21 00 00 00 ............!.......!.......!...
14e0 1d 1b 01 00 21 00 00 00 3f 1b 01 00 26 00 00 00 61 1b 01 00 04 00 00 00 88 1b 01 00 b9 00 00 00 ....!...?...&...a...............
1500 8d 1b 01 00 3b 00 00 00 47 1c 01 00 0e 00 00 00 83 1c 01 00 18 00 00 00 92 1c 01 00 26 00 00 00 ....;...G...................&...
1520 ab 1c 01 00 23 00 00 00 d2 1c 01 00 23 00 00 00 f6 1c 01 00 0d 00 00 00 1a 1d 01 00 23 00 00 00 ....#.......#...............#...
1540 28 1d 01 00 0f 00 00 00 4c 1d 01 00 24 00 00 00 5c 1d 01 00 0f 00 00 00 81 1d 01 00 08 00 00 00 (.......L...$...\...............
1560 91 1d 01 00 08 00 00 00 9a 1d 01 00 08 00 00 00 a3 1d 01 00 08 00 00 00 ac 1d 01 00 08 00 00 00 ................................
1580 b5 1d 01 00 09 00 00 00 be 1d 01 00 08 00 00 00 c8 1d 01 00 09 00 00 00 d1 1d 01 00 08 00 00 00 ................................
15a0 db 1d 01 00 09 00 00 00 e4 1d 01 00 0c 00 00 00 ee 1d 01 00 09 00 00 00 fb 1d 01 00 09 00 00 00 ................................
15c0 05 1e 01 00 08 00 00 00 0f 1e 01 00 12 00 00 00 18 1e 01 00 0f 00 00 00 2b 1e 01 00 0e 00 00 00 ........................+.......
15e0 3b 1e 01 00 0d 00 00 00 4a 1e 01 00 1a 00 00 00 58 1e 01 00 16 00 00 00 73 1e 01 00 49 00 00 00 ;.......J.......X.......s...I...
1600 8a 1e 01 00 aa 00 00 00 d4 1e 01 00 82 00 00 00 7f 1f 01 00 1f 01 00 00 02 20 01 00 40 00 00 00 ............................@...
1620 22 21 01 00 6f 00 00 00 63 21 01 00 f4 00 00 00 d3 21 01 00 3c 00 00 00 c8 22 01 00 17 00 00 00 "!..o...c!.......!..<...."......
1640 05 23 01 00 6e 00 00 00 1d 23 01 00 67 00 00 00 8c 23 01 00 8e 00 00 00 f4 23 01 00 19 03 00 00 .#..n....#..g....#.......#......
1660 83 24 01 00 cb 00 00 00 9d 27 01 00 bc 00 00 00 69 28 01 00 42 00 00 00 26 29 01 00 36 00 00 00 .$.......'......i(..B...&)..6...
1680 69 29 01 00 b9 00 00 00 a0 29 01 00 62 00 00 00 5a 2a 01 00 ec 00 00 00 bd 2a 01 00 d1 00 00 00 i).......)..b...Z*.......*......
16a0 aa 2b 01 00 7f 01 00 00 7c 2c 01 00 80 00 00 00 fc 2d 01 00 21 00 00 00 7d 2e 01 00 33 00 00 00 .+......|,.......-..!...}...3...
16c0 9f 2e 01 00 09 00 00 00 d3 2e 01 00 e7 00 00 00 dd 2e 01 00 2c 00 00 00 c5 2f 01 00 8d 00 00 00 ....................,..../......
16e0 f2 2f 01 00 70 00 00 00 80 30 01 00 48 00 00 00 f1 30 01 00 07 00 00 00 3a 31 01 00 5a 00 00 00 ./..p....0..H....0......:1..Z...
1700 42 31 01 00 46 00 00 00 9d 31 01 00 3a 00 00 00 e4 31 01 00 47 00 00 00 1f 32 01 00 9c 00 00 00 B1..F....1..:....1..G....2......
1720 67 32 01 00 5a 00 00 00 04 33 01 00 13 00 00 00 5f 33 01 00 0c 00 00 00 73 33 01 00 ab 00 00 00 g2..Z....3......_3......s3......
1740 80 33 01 00 a3 01 00 00 2c 34 01 00 33 00 00 00 d0 35 01 00 26 00 00 00 04 36 01 00 4b 00 00 00 .3......,4..3....5..&....6..K...
1760 2b 36 01 00 35 00 00 00 77 36 01 00 2c 00 00 00 ad 36 01 00 30 00 00 00 da 36 01 00 3a 00 00 00 +6..5...w6..,....6..0....6..:...
1780 0b 37 01 00 13 00 00 00 46 37 01 00 2d 00 00 00 5a 37 01 00 13 00 00 00 88 37 01 00 1a 00 00 00 .7......F7..-...Z7.......7......
17a0 9c 37 01 00 20 00 00 00 b7 37 01 00 1a 00 00 00 d8 37 01 00 21 00 00 00 f3 37 01 00 1a 00 00 00 .7.......7.......7..!....7......
17c0 15 38 01 00 21 00 00 00 30 38 01 00 1e 00 00 00 52 38 01 00 21 00 00 00 71 38 01 00 15 00 00 00 .8..!...08......R8..!...q8......
17e0 93 38 01 00 04 00 00 00 a9 38 01 00 84 00 00 00 ae 38 01 00 3b 00 00 00 33 39 01 00 0d 00 00 00 .8.......8.......8..;...39......
1800 6f 39 01 00 2c 00 00 00 7d 39 01 00 2e 00 00 00 aa 39 01 00 1e 00 00 00 d9 39 01 00 3f 00 00 00 o9..,...}9.......9.......9..?...
1820 f8 39 01 00 2c 00 00 00 38 3a 01 00 28 00 00 00 65 3a 01 00 46 00 00 00 8e 3a 01 00 32 00 00 00 .9..,...8:..(...e:..F....:..2...
1840 d5 3a 01 00 83 00 00 00 08 3b 01 00 1b 00 00 00 8c 3b 01 00 1b 00 00 00 a8 3b 01 00 12 00 00 00 .:.......;.......;.......;......
1860 c4 3b 01 00 14 00 00 00 d7 3b 01 00 13 00 00 00 ec 3b 01 00 13 00 00 00 00 3c 01 00 13 00 00 00 .;.......;.......;.......<......
1880 14 3c 01 00 aa 00 00 00 28 3c 01 00 0c 00 00 00 d3 3c 01 00 41 00 00 00 e0 3c 01 00 41 00 00 00 .<......(<.......<..A....<..A...
18a0 22 3d 01 00 5c 00 00 00 64 3d 01 00 3a 00 00 00 c1 3d 01 00 44 00 00 00 fc 3d 01 00 60 00 00 00 "=..\...d=..:....=..D....=..`...
18c0 41 3e 01 00 45 00 00 00 a2 3e 01 00 3e 00 00 00 e8 3e 01 00 40 00 00 00 27 3f 01 00 42 00 00 00 A>..E....>..>....>..@...'?..B...
18e0 68 3f 01 00 44 00 00 00 ab 3f 01 00 3a 00 00 00 f0 3f 01 00 3f 00 00 00 2b 40 01 00 47 00 00 00 h?..D....?..:....?..?...+@..G...
1900 6b 40 01 00 3e 00 00 00 b3 40 01 00 38 00 00 00 f2 40 01 00 da 00 00 00 2b 41 01 00 15 01 00 00 k@..>....@..8....@......+A......
1920 06 42 01 00 43 00 00 00 1c 43 01 00 49 00 00 00 60 43 01 00 28 00 00 00 aa 43 01 00 7c 00 00 00 .B..C....C..I...`C..(....C..|...
1940 d3 43 01 00 80 00 00 00 50 44 01 00 84 00 00 00 d1 44 01 00 70 00 00 00 56 45 01 00 2e 01 00 00 .C......PD.......D..p...VE......
1960 c7 45 01 00 0c 00 00 00 f6 46 01 00 0b 00 00 00 03 47 01 00 0b 00 00 00 0f 47 01 00 0b 00 00 00 .E.......F.......G.......G......
1980 1b 47 01 00 08 00 00 00 27 47 01 00 11 00 00 00 30 47 01 00 0b 00 00 00 42 47 01 00 0c 00 00 00 .G......'G......0G......BG......
19a0 4e 47 01 00 09 00 00 00 5b 47 01 00 0b 00 00 00 65 47 01 00 0f 00 00 00 71 47 01 00 0f 00 00 00 NG......[G......eG......qG......
19c0 81 47 01 00 0f 00 00 00 91 47 01 00 38 00 00 00 a1 47 01 00 0d 00 00 00 da 47 01 00 15 00 00 00 .G.......G..8....G.......G......
19e0 e8 47 01 00 11 00 00 00 fe 47 01 00 19 00 00 00 10 48 01 00 19 00 00 00 2a 48 01 00 15 00 00 00 .G.......G.......H......*H......
1a00 44 48 01 00 15 00 00 00 5a 48 01 00 1a 00 00 00 70 48 01 00 57 00 00 00 8b 48 01 00 63 00 00 00 DH......ZH......pH..W....H..c...
1a20 e3 48 01 00 0e 00 00 00 47 49 01 00 0c 00 00 00 56 49 01 00 1f 00 00 00 63 49 01 00 1f 00 00 00 .H......GI......VI......cI......
1a40 83 49 01 00 0e 00 00 00 a3 49 01 00 0f 00 00 00 b2 49 01 00 0f 00 00 00 c2 49 01 00 0f 00 00 00 .I.......I.......I.......I......
1a60 d2 49 01 00 2e 00 00 00 e2 49 01 00 0b 00 00 00 11 4a 01 00 0b 00 00 00 1d 4a 01 00 1c 00 00 00 .I.......I.......J.......J......
1a80 29 4a 01 00 1c 00 00 00 46 4a 01 00 1e 00 00 00 63 4a 01 00 3f 00 00 00 82 4a 01 00 07 00 00 00 )J......FJ......cJ..?....J......
1aa0 c2 4a 01 00 09 00 00 00 ca 4a 01 00 07 00 00 00 d4 4a 01 00 08 00 00 00 dc 4a 01 00 05 00 00 00 .J.......J.......J.......J......
1ac0 e5 4a 01 00 0a 00 00 00 eb 4a 01 00 15 00 00 00 f6 4a 01 00 0a 00 00 00 0c 4b 01 00 05 00 00 00 .J.......J.......J.......K......
1ae0 17 4b 01 00 4e 02 00 00 1d 4b 01 00 82 00 00 00 6c 4d 01 00 5b 00 00 00 ef 4d 01 00 1a 01 00 00 .K..N....K......lM..[....M......
1b00 4b 4e 01 00 c8 00 00 00 66 4f 01 00 57 00 00 00 2f 50 01 00 58 00 00 00 87 50 01 00 d4 00 00 00 KN......fO..W.../P..X....P......
1b20 e0 50 01 00 0f 01 00 00 b5 51 01 00 f1 00 00 00 c5 52 01 00 30 00 00 00 b7 53 01 00 30 00 00 00 .P.......Q.......R..0....S..0...
1b40 e8 53 01 00 30 00 00 00 19 54 01 00 1f 00 00 00 4a 54 01 00 17 00 00 00 6a 54 01 00 21 00 00 00 .S..0....T......JT......jT..!...
1b60 82 54 01 00 1c 00 00 00 a4 54 01 00 45 00 00 00 c1 54 01 00 32 00 00 00 07 55 01 00 78 00 00 00 .T.......T..E....T..2....U..x...
1b80 3a 55 01 00 28 00 00 00 b3 55 01 00 22 00 00 00 dc 55 01 00 1d 00 00 00 ff 55 01 00 35 00 00 00 :U..(....U.."....U.......U..5...
1ba0 1d 56 01 00 17 00 00 00 53 56 01 00 1a 00 00 00 6b 56 01 00 16 00 00 00 86 56 01 00 46 00 00 00 .V......SV......kV.......V..F...
1bc0 9d 56 01 00 37 00 00 00 e4 56 01 00 26 00 00 00 1c 57 01 00 1a 00 00 00 43 57 01 00 5d 00 00 00 .V..7....V..&....W......CW..]...
1be0 5e 57 01 00 7c 00 00 00 bc 57 01 00 4b 00 00 00 39 58 01 00 4b 00 00 00 85 58 01 00 28 00 00 00 ^W..|....W..K...9X..K....X..(...
1c00 d1 58 01 00 97 00 00 00 fa 58 01 00 46 00 00 00 92 59 01 00 56 00 00 00 d9 59 01 00 53 00 00 00 .X.......X..F....Y..V....Y..S...
1c20 30 5a 01 00 1f 00 00 00 84 5a 01 00 30 00 00 00 a4 5a 01 00 1d 00 00 00 d5 5a 01 00 36 00 00 00 0Z.......Z..0....Z.......Z..6...
1c40 f3 5a 01 00 3c 00 00 00 2a 5b 01 00 2b 00 00 00 67 5b 01 00 2d 00 00 00 93 5b 01 00 19 00 00 00 .Z..<...*[..+...g[..-....[......
1c60 c1 5b 01 00 37 00 00 00 db 5b 01 00 38 00 00 00 13 5c 01 00 22 00 00 00 4c 5c 01 00 1a 00 00 00 .[..7....[..8....\.."...L\......
1c80 6f 5c 01 00 20 00 00 00 8a 5c 01 00 1d 00 00 00 ab 5c 01 00 23 00 00 00 c9 5c 01 00 1e 00 00 00 o\.......\.......\..#....\......
1ca0 ed 5c 01 00 20 00 00 00 0c 5d 01 00 30 00 00 00 2d 5d 01 00 1d 00 00 00 5e 5d 01 00 79 00 00 00 .\.......]..0...-]......^]..y...
1cc0 7c 5d 01 00 83 00 00 00 f6 5d 01 00 64 00 00 00 7a 5e 01 00 25 00 00 00 df 5e 01 00 53 02 00 00 |].......]..d...z^..%....^..S...
1ce0 05 5f 01 00 16 00 00 00 59 61 01 00 03 01 00 00 70 61 01 00 58 00 00 00 74 62 01 00 28 01 00 00 ._......Ya......pa..X...tb..(...
1d00 cd 62 01 00 46 00 00 00 f6 63 01 00 18 00 00 00 3d 64 01 00 48 00 00 00 56 64 01 00 27 00 00 00 .b..F....c......=d..H...Vd..'...
1d20 9f 64 01 00 24 00 00 00 c7 64 01 00 57 00 00 00 ec 64 01 00 1e 00 00 00 44 65 01 00 0f 00 00 00 .d..$....d..W....d......De......
1d40 63 65 01 00 8e 00 00 00 73 65 01 00 0a 00 00 00 02 66 01 00 0a 00 00 00 0d 66 01 00 f0 00 00 00 ce......se.......f.......f......
1d60 18 66 01 00 12 01 00 00 09 67 01 00 83 00 00 00 1c 68 01 00 2b 01 00 00 a0 68 01 00 8f 00 00 00 .f.......g.......h..+....h......
1d80 cc 69 01 00 df 00 00 00 5c 6a 01 00 22 00 00 00 3c 6b 01 00 40 04 00 00 5f 6b 01 00 48 00 00 00 .i......\j.."...<k..@..._k..H...
1da0 a0 6f 01 00 1c 00 00 00 e9 6f 01 00 52 00 00 00 06 70 01 00 fa 00 00 00 59 70 01 00 6d 00 00 00 .o.......o..R....p......Yp..m...
1dc0 54 71 01 00 87 00 00 00 c2 71 01 00 ba 00 00 00 4a 72 01 00 5d 00 00 00 05 73 01 00 a9 00 00 00 Tq.......q......Jr..]....s......
1de0 63 73 01 00 09 00 00 00 0d 74 01 00 1e 00 00 00 17 74 01 00 1e 00 00 00 36 74 01 00 19 00 00 00 cs.......t.......t......6t......
1e00 55 74 01 00 1c 00 00 00 6f 74 01 00 13 00 00 00 8c 74 01 00 03 00 00 00 a0 74 01 00 29 00 00 00 Ut......ot.......t.......t..)...
1e20 a4 74 01 00 4a 00 00 00 ce 74 01 00 08 00 00 00 19 75 01 00 0a 00 00 00 22 75 01 00 e9 01 00 00 .t..J....t.......u......"u......
1e40 2d 75 01 00 0e 00 00 00 17 77 01 00 19 00 00 00 26 77 01 00 23 00 00 00 40 77 01 00 27 00 00 00 -u.......w......&w..#...@w..'...
1e60 64 77 01 00 29 00 00 00 8c 77 01 00 1a 00 00 00 b6 77 01 00 48 01 00 00 d1 77 01 00 06 00 00 00 dw..)....w.......w..H....w......
1e80 1a 79 01 00 1b 00 00 00 21 79 01 00 0b 00 00 00 3d 79 01 00 0b 00 00 00 49 79 01 00 0b 00 00 00 .y......!y......=y......Iy......
1ea0 55 79 01 00 1d 00 00 00 61 79 01 00 17 00 00 00 7f 79 01 00 24 00 00 00 97 79 01 00 86 02 00 00 Uy......ay.......y..$....y......
1ec0 bc 79 01 00 0d 00 00 00 43 7c 01 00 0a 00 00 00 51 7c 01 00 07 00 00 00 5c 7c 01 00 70 00 00 00 .y......C|......Q|......\|..p...
1ee0 64 7c 01 00 6e 00 00 00 d5 7c 01 00 10 00 00 00 44 7d 01 00 26 00 00 00 55 7d 01 00 11 00 00 00 d|..n....|......D}..&...U}......
1f00 7c 7d 01 00 12 00 00 00 8e 7d 01 00 be 00 00 00 a1 7d 01 00 21 00 00 00 60 7e 01 00 05 00 00 00 |}.......}.......}..!...`~......
1f20 82 7e 01 00 43 00 00 00 88 7e 01 00 35 00 00 00 cc 7e 01 00 06 00 00 00 02 7f 01 00 14 00 00 00 .~..C....~..5....~..............
1f40 09 7f 01 00 56 00 00 00 1e 7f 01 00 56 00 00 00 75 7f 01 00 0b 00 00 00 cc 7f 01 00 0d 00 00 00 ....V.......V...u...............
1f60 d8 7f 01 00 13 00 00 00 e6 7f 01 00 14 00 00 00 fa 7f 01 00 29 00 00 00 0f 80 01 00 18 00 00 00 ....................)...........
1f80 39 80 01 00 23 00 00 00 52 80 01 00 24 00 00 00 76 80 01 00 39 00 00 00 9b 80 01 00 0e 00 00 00 9...#...R...$...v...9...........
1fa0 d5 80 01 00 0e 00 00 00 e4 80 01 00 20 00 00 00 f3 80 01 00 18 00 00 00 14 81 01 00 13 00 00 00 ................................
1fc0 2d 81 01 00 27 00 00 00 41 81 01 00 2b 00 00 00 69 81 01 00 51 00 00 00 95 81 01 00 18 00 00 00 -...'...A...+...i...Q...........
1fe0 e7 81 01 00 19 00 00 00 00 82 01 00 44 00 00 00 1a 82 01 00 1b 00 00 00 5f 82 01 00 2f 00 00 00 ............D..........._.../...
2000 7b 82 01 00 1b 00 00 00 ab 82 01 00 a4 00 00 00 c7 82 01 00 ae 00 00 00 6c 83 01 00 04 00 00 00 {.......................l.......
2020 1b 84 01 00 0b 00 00 00 20 84 01 00 0c 00 00 00 2c 84 01 00 14 00 00 00 39 84 01 00 14 00 00 00 ................,.......9.......
2040 4e 84 01 00 16 00 00 00 63 84 01 00 ae 00 00 00 7a 84 01 00 85 00 00 00 29 85 01 00 2b 00 00 00 N.......c.......z.......)...+...
2060 af 85 01 00 25 00 00 00 db 85 01 00 43 00 00 00 01 86 01 00 5a 00 00 00 45 86 01 00 24 00 00 00 ....%.......C.......Z...E...$...
2080 a0 86 01 00 dc 00 00 00 c5 86 01 00 1c 00 00 00 a2 87 01 00 0a 00 00 00 bf 87 01 00 0b 00 00 00 ................................
20a0 ca 87 01 00 0f 00 00 00 d6 87 01 00 20 00 00 00 e6 87 01 00 5d 00 00 00 07 88 01 00 1a 00 00 00 ....................]...........
20c0 65 88 01 00 22 00 00 00 80 88 01 00 06 00 00 00 a3 88 01 00 08 00 00 00 aa 88 01 00 08 00 00 00 e..."...........................
20e0 b3 88 01 00 1d 00 00 00 bc 88 01 00 1f 00 00 00 da 88 01 00 1a 00 00 00 fa 88 01 00 20 00 00 00 ................................
2100 15 89 01 00 1f 00 00 00 36 89 01 00 17 00 00 00 56 89 01 00 f9 00 00 00 6e 89 01 00 0c 01 00 00 ........6.......V.......n.......
2120 68 8a 01 00 96 00 00 00 75 8b 01 00 78 00 00 00 0c 8c 01 00 14 00 00 00 85 8c 01 00 0b 00 00 00 h.......u...x...................
2140 9a 8c 01 00 0a 00 00 00 a6 8c 01 00 4e 00 00 00 b1 8c 01 00 c4 00 00 00 00 8d 01 00 f3 00 00 00 ............N...................
2160 c5 8d 01 00 fa 00 00 00 b9 8e 01 00 d1 00 00 00 b4 8f 01 00 12 01 00 00 86 90 01 00 db 00 00 00 ................................
2180 99 91 01 00 07 00 00 00 75 92 01 00 23 00 00 00 7d 92 01 00 2e 00 00 00 a1 92 01 00 27 00 00 00 ........u...#...}...........'...
21a0 d0 92 01 00 3a 00 00 00 f8 92 01 00 2e 00 00 00 33 93 01 00 0f 00 00 00 62 93 01 00 48 00 00 00 ....:...........3.......b...H...
21c0 72 93 01 00 c6 00 00 00 bb 93 01 00 9f 00 00 00 82 94 01 00 34 00 00 00 22 95 01 00 08 00 00 00 r...................4...".......
21e0 57 95 01 00 17 00 00 00 60 95 01 00 11 00 00 00 78 95 01 00 bf 00 00 00 8a 95 01 00 85 00 00 00 W.......`.......x...............
2200 4a 96 01 00 0c 00 00 00 d0 96 01 00 45 00 00 00 dd 96 01 00 43 00 00 00 23 97 01 00 34 00 00 00 J...........E.......C...#...4...
2220 67 97 01 00 37 00 00 00 9c 97 01 00 21 01 00 00 d4 97 01 00 5e 00 00 00 f6 98 01 00 63 00 00 00 g...7.......!.......^.......c...
2240 55 99 01 00 d5 00 00 00 b9 99 01 00 b9 00 00 00 8f 9a 01 00 ab 00 00 00 49 9b 01 00 53 00 00 00 U.......................I...S...
2260 f5 9b 01 00 78 00 00 00 49 9c 01 00 78 00 00 00 c2 9c 01 00 bd 00 00 00 3b 9d 01 00 56 00 00 00 ....x...I...x...........;...V...
2280 f9 9d 01 00 1c 00 00 00 50 9e 01 00 2e 00 00 00 6d 9e 01 00 23 00 00 00 9c 9e 01 00 04 00 00 00 ........P.......m...#...........
22a0 c0 9e 01 00 67 00 00 00 c5 9e 01 00 5a 00 00 00 2d 9f 01 00 43 00 00 00 88 9f 01 00 44 00 00 00 ....g.......Z...-...C.......D...
22c0 cc 9f 01 00 08 00 00 00 11 a0 01 00 27 00 00 00 1a a0 01 00 2e 00 00 00 42 a0 01 00 4d 00 00 00 ............'...........B...M...
22e0 71 a0 01 00 69 00 00 00 bf a0 01 00 83 00 00 00 29 a1 01 00 1d 00 00 00 ad a1 01 00 11 00 00 00 q...i...........)...............
2300 cb a1 01 00 03 00 00 00 dd a1 01 00 01 02 00 00 e1 a1 01 00 ab 00 00 00 e3 a3 01 00 78 00 00 00 ............................x...
2320 8f a4 01 00 83 00 00 00 08 a5 01 00 e2 00 00 00 8c a5 01 00 09 00 00 00 6f a6 01 00 19 00 00 00 ........................o.......
2340 79 a6 01 00 5f 03 00 00 93 a6 01 00 14 00 00 00 f3 a9 01 00 06 00 00 00 08 aa 01 00 0c 00 00 00 y..._...........................
2360 0f aa 01 00 15 00 00 00 1c aa 01 00 0c 00 00 00 32 aa 01 00 0b 00 00 00 3f aa 01 00 17 00 00 00 ................2.......?.......
2380 4b aa 01 00 0f 00 00 00 63 aa 01 00 03 00 00 00 73 aa 01 00 d8 00 00 00 77 aa 01 00 43 00 00 00 K.......c.......s.......w...C...
23a0 50 ab 01 00 40 00 00 00 94 ab 01 00 67 00 00 00 d5 ab 01 00 d8 00 00 00 3d ac 01 00 90 00 00 00 P...@.......g...........=.......
23c0 16 ad 01 00 88 00 00 00 a7 ad 01 00 ec 00 00 00 30 ae 01 00 33 00 00 00 1d af 01 00 9f 00 00 00 ................0...3...........
23e0 51 af 01 00 98 00 00 00 f1 af 01 00 bd 00 00 00 8a b0 01 00 99 00 00 00 48 b1 01 00 54 00 00 00 Q.......................H...T...
2400 e2 b1 01 00 fd 00 00 00 37 b2 01 00 60 00 00 00 35 b3 01 00 a3 00 00 00 96 b3 01 00 4d 00 00 00 ........7...`...5...........M...
2420 3a b4 01 00 5a 00 00 00 88 b4 01 00 5e 00 00 00 e3 b4 01 00 44 00 00 00 42 b5 01 00 dc 00 00 00 :...Z.......^.......D...B.......
2440 87 b5 01 00 ee 00 00 00 64 b6 01 00 75 00 00 00 53 b7 01 00 67 00 00 00 c9 b7 01 00 6b 00 00 00 ........d...u...S...g.......k...
2460 31 b8 01 00 5d 00 00 00 9d b8 01 00 80 00 00 00 fb b8 01 00 9d 00 00 00 7c b9 01 00 98 00 00 00 1...]...................|.......
2480 1a ba 01 00 28 00 00 00 b3 ba 01 00 94 00 00 00 dc ba 01 00 20 00 00 00 71 bb 01 00 33 00 00 00 ....(...................q...3...
24a0 92 bb 01 00 3a 00 00 00 c6 bb 01 00 10 00 00 00 01 bc 01 00 11 00 00 00 12 bc 01 00 14 00 00 00 ....:...........................
24c0 24 bc 01 00 15 00 00 00 39 bc 01 00 1f 00 00 00 4f bc 01 00 6a 01 00 00 6f bc 01 00 24 00 00 00 $.......9.......O...j...o...$...
24e0 da bd 01 00 10 00 00 00 ff bd 01 00 08 00 00 00 10 be 01 00 23 00 00 00 19 be 01 00 24 00 00 00 ....................#.......$...
2500 3d be 01 00 23 00 00 00 62 be 01 00 23 00 00 00 86 be 01 00 18 00 00 00 aa be 01 00 7a 00 00 00 =...#...b...#...............z...
2520 c3 be 01 00 94 00 00 00 3e bf 01 00 21 00 00 00 d3 bf 01 00 89 00 00 00 f5 bf 01 00 98 00 00 00 ........>...!...................
2540 7f c0 01 00 14 00 00 00 18 c1 01 00 23 00 00 00 2d c1 01 00 25 00 00 00 51 c1 01 00 2e 00 00 00 ............#...-...%...Q.......
2560 77 c1 01 00 03 00 00 00 a6 c1 01 00 05 00 00 00 aa c1 01 00 05 00 00 00 b0 c1 01 00 11 00 00 00 w...............................
2580 b6 c1 01 00 3c 00 00 00 c8 c1 01 00 1d 00 00 00 05 c2 01 00 25 00 00 00 23 c2 01 00 04 00 00 00 ....<...............%...#.......
25a0 49 c2 01 00 0c 00 00 00 4e c2 01 00 0f 00 00 00 5b c2 01 00 04 00 00 00 6b c2 01 00 03 00 00 00 I.......N.......[.......k.......
25c0 70 c2 01 00 63 00 00 00 74 c2 01 00 3c 00 00 00 d8 c2 01 00 40 00 00 00 15 c3 01 00 40 00 00 00 p...c...t...<.......@.......@...
25e0 56 c3 01 00 dc 02 00 00 97 c3 01 00 0b 00 00 00 74 c6 01 00 3c 00 00 00 80 c6 01 00 0a 00 00 00 V...............t...<...........
2600 bd c6 01 00 0e 00 00 00 c8 c6 01 00 79 00 00 00 d7 c6 01 00 5d 00 00 00 51 c7 01 00 0a 00 00 00 ............y.......]...Q.......
2620 af c7 01 00 16 00 00 00 ba c7 01 00 16 00 00 00 d1 c7 01 00 20 00 00 00 e8 c7 01 00 16 00 00 00 ................................
2640 09 c8 01 00 16 00 00 00 20 c8 01 00 0b 00 00 00 37 c8 01 00 14 00 00 00 43 c8 01 00 0f 00 00 00 ................7.......C.......
2660 58 c8 01 00 10 00 00 00 68 c8 01 00 18 00 00 00 79 c8 01 00 21 00 00 00 92 c8 01 00 5a 00 00 00 X.......h.......y...!.......Z...
2680 b4 c8 01 00 80 00 00 00 0f c9 01 00 6f 00 00 00 90 c9 01 00 44 00 00 00 00 ca 01 00 2b 00 00 00 ............o.......D.......+...
26a0 45 ca 01 00 04 00 00 00 71 ca 01 00 40 00 00 00 76 ca 01 00 97 00 00 00 b7 ca 01 00 42 00 00 00 E.......q...@...v...........B...
26c0 4f cb 01 00 5d 00 00 00 92 cb 01 00 3a 00 00 00 f0 cb 01 00 34 00 00 00 2b cc 01 00 2e 00 00 00 O...].......:.......4...+.......
26e0 60 cc 01 00 26 00 00 00 8f cc 01 00 58 00 00 00 b6 cc 01 00 34 00 00 00 0f cd 01 00 d4 00 00 00 `...&.......X.......4...........
2700 44 cd 01 00 35 00 00 00 19 ce 01 00 13 00 00 00 4f ce 01 00 19 00 00 00 63 ce 01 00 85 00 00 00 D...5...........O.......c.......
2720 7d ce 01 00 19 00 00 00 03 cf 01 00 7a 00 00 00 1d cf 01 00 79 00 00 00 98 cf 01 00 53 00 00 00 }...........z.......y.......S...
2740 12 d0 01 00 68 00 00 00 66 d0 01 00 36 00 00 00 cf d0 01 00 32 00 00 00 06 d1 01 00 38 00 00 00 ....h...f...6.......2.......8...
2760 39 d1 01 00 36 00 00 00 72 d1 01 00 38 00 00 00 a9 d1 01 00 19 00 00 00 e2 d1 01 00 11 00 00 00 9...6...r...8...................
2780 fc d1 01 00 20 00 00 00 0e d2 01 00 16 00 00 00 2f d2 01 00 38 01 00 00 46 d2 01 00 69 00 00 00 ................/...8...F...i...
27a0 7f d3 01 00 08 00 00 00 e9 d3 01 00 03 00 00 00 f2 d3 01 00 72 00 00 00 f6 d3 01 00 03 00 00 00 ....................r...........
27c0 69 d4 01 00 6c 00 00 00 6d d4 01 00 03 00 00 00 da d4 01 00 61 00 00 00 de d4 01 00 27 00 00 00 i...l...m...........a.......'...
27e0 40 d5 01 00 0b 00 00 00 68 d5 01 00 0f 00 00 00 74 d5 01 00 37 00 00 00 84 d5 01 00 25 00 00 00 @.......h.......t...7.......%...
2800 bc d5 01 00 6e 00 00 00 e2 d5 01 00 b2 00 00 00 51 d6 01 00 38 00 00 00 04 d7 01 00 0e 00 00 00 ....n...........Q...8...........
2820 3d d7 01 00 0d 00 00 00 4c d7 01 00 0a 00 00 00 5a d7 01 00 67 00 00 00 65 d7 01 00 67 00 00 00 =.......L.......Z...g...e...g...
2840 cd d7 01 00 0e 00 00 00 35 d8 01 00 0b 00 00 00 44 d8 01 00 02 00 00 00 50 d8 01 00 0e 00 00 00 ........5.......D.......P.......
2860 53 d8 01 00 02 00 00 00 62 d8 01 00 09 00 00 00 65 d8 01 00 09 00 00 00 6f d8 01 00 42 01 00 00 S.......b.......e.......o...B...
2880 79 d8 01 00 0f 00 00 00 bc d9 01 00 47 00 00 00 cc d9 01 00 81 00 00 00 14 da 01 00 07 00 00 00 y...........G...................
28a0 96 da 01 00 04 00 00 00 9e da 01 00 46 00 00 00 a3 da 01 00 3c 00 00 00 ea da 01 00 0f 00 00 00 ............F.......<...........
28c0 27 db 01 00 96 00 00 00 37 db 01 00 7c 00 00 00 ce db 01 00 09 00 00 00 4b dc 01 00 14 00 00 00 '.......7...|...........K.......
28e0 55 dc 01 00 09 00 00 00 6a dc 01 00 1b 00 00 00 74 dc 01 00 2c 00 00 00 90 dc 01 00 19 00 00 00 U.......j.......t...,...........
2900 bd dc 01 00 1d 00 00 00 d7 dc 01 00 a8 00 00 00 f5 dc 01 00 d7 00 00 00 9e dd 01 00 42 00 00 00 ............................B...
2920 76 de 01 00 7d 00 00 00 b9 de 01 00 77 00 00 00 37 df 01 00 49 00 00 00 af df 01 00 48 00 00 00 v...}.......w...7...I.......H...
2940 f9 df 01 00 24 00 00 00 42 e0 01 00 9b 00 00 00 67 e0 01 00 43 00 00 00 03 e1 01 00 34 00 00 00 ....$...B.......g...C.......4...
2960 47 e1 01 00 34 00 00 00 7c e1 01 00 18 00 00 00 b1 e1 01 00 9e 00 00 00 ca e1 01 00 9f 00 00 00 G...4...|.......................
2980 69 e2 01 00 92 00 00 00 09 e3 01 00 16 01 00 00 9c e3 01 00 17 01 00 00 b3 e4 01 00 3f 00 00 00 i...........................?...
29a0 cb e5 01 00 10 00 00 00 0b e6 01 00 5a 00 00 00 1c e6 01 00 2d 00 00 00 77 e6 01 00 3e 00 00 00 ............Z.......-...w...>...
29c0 a5 e6 01 00 4b 00 00 00 e4 e6 01 00 0f 00 00 00 30 e7 01 00 05 00 00 00 40 e7 01 00 40 00 00 00 ....K...........0.......@...@...
29e0 46 e7 01 00 13 00 00 00 87 e7 01 00 4b 02 00 00 9b e7 01 00 4c 02 00 00 e7 e9 01 00 31 00 00 00 F...........K.......L.......1...
2a00 34 ec 01 00 26 00 00 00 66 ec 01 00 19 00 00 00 8d ec 01 00 1f 00 00 00 a7 ec 01 00 2d 00 00 00 4...&...f...................-...
2a20 c7 ec 01 00 30 00 00 00 f5 ec 01 00 2a 00 00 00 26 ed 01 00 1c 00 00 00 51 ed 01 00 14 00 00 00 ....0.......*...&.......Q.......
2a40 6e ed 01 00 16 00 00 00 83 ed 01 00 09 00 00 00 9a ed 01 00 0e 00 00 00 a4 ed 01 00 0f 00 00 00 n...............................
2a60 b3 ed 01 00 14 00 00 00 c3 ed 01 00 14 00 00 00 d8 ed 01 00 14 00 00 00 ed ed 01 00 14 00 00 00 ................................
2a80 02 ee 01 00 07 00 00 00 17 ee 01 00 15 00 00 00 1f ee 01 00 e6 00 00 00 35 ee 01 00 8e 00 00 00 ........................5.......
2aa0 1c ef 01 00 1d 00 00 00 ab ef 01 00 85 00 00 00 c9 ef 01 00 cd 00 00 00 4f f0 01 00 b8 00 00 00 ........................O.......
2ac0 1d f1 01 00 72 00 00 00 d6 f1 01 00 75 00 00 00 49 f2 01 00 a7 00 00 00 bf f2 01 00 6d 00 00 00 ....r.......u...I...........m...
2ae0 67 f3 01 00 4d 00 00 00 d5 f3 01 00 be 00 00 00 23 f4 01 00 41 00 00 00 e2 f4 01 00 5d 00 00 00 g...M...........#...A.......]...
2b00 24 f5 01 00 1e 00 00 00 82 f5 01 00 75 00 00 00 a1 f5 01 00 90 00 00 00 17 f6 01 00 1f 00 00 00 $...........u...................
2b20 a8 f6 01 00 45 00 00 00 c8 f6 01 00 9d 00 00 00 0e f7 01 00 28 00 00 00 ac f7 01 00 5f 00 00 00 ....E...............(......._...
2b40 d5 f7 01 00 41 00 00 00 35 f8 01 00 50 00 00 00 77 f8 01 00 df 00 00 00 c8 f8 01 00 b7 00 00 00 ....A...5...P...w...............
2b60 a8 f9 01 00 9b 00 00 00 60 fa 01 00 5b 00 00 00 fc fa 01 00 c3 00 00 00 58 fb 01 00 7f 00 00 00 ........`...[...........X.......
2b80 1c fc 01 00 94 00 00 00 9c fc 01 00 b4 00 00 00 31 fd 01 00 25 00 00 00 e6 fd 01 00 a8 00 00 00 ................1...%...........
2ba0 0c fe 01 00 50 00 00 00 b5 fe 01 00 50 00 00 00 06 ff 01 00 1f 00 00 00 57 ff 01 00 35 00 00 00 ....P.......P...........W...5...
2bc0 77 ff 01 00 3c 00 00 00 ad ff 01 00 3b 00 00 00 ea ff 01 00 3b 00 00 00 26 00 02 00 a8 00 00 00 w...<.......;.......;...&.......
2be0 62 00 02 00 62 01 00 00 0b 01 02 00 15 01 00 00 6e 02 02 00 ce 00 00 00 84 03 02 00 a9 00 00 00 b...b...........n...............
2c00 53 04 02 00 4f 00 00 00 fd 04 02 00 5c 00 00 00 4d 05 02 00 24 00 00 00 aa 05 02 00 42 00 00 00 S...O.......\...M...$.......B...
2c20 cf 05 02 00 8f 00 00 00 12 06 02 00 95 00 00 00 a2 06 02 00 7b 00 00 00 38 07 02 00 76 00 00 00 ....................{...8...v...
2c40 b4 07 02 00 75 00 00 00 2b 08 02 00 57 00 00 00 a1 08 02 00 aa 00 00 00 f9 08 02 00 f8 00 00 00 ....u...+...W...................
2c60 a4 09 02 00 2b 00 00 00 9d 0a 02 00 9e 01 00 00 c9 0a 02 00 46 00 00 00 68 0c 02 00 65 00 00 00 ....+...............F...h...e...
2c80 af 0c 02 00 ad 00 00 00 15 0d 02 00 6c 00 00 00 c3 0d 02 00 52 00 00 00 30 0e 02 00 9f 00 00 00 ............l.......R...0.......
2ca0 83 0e 02 00 b9 00 00 00 23 0f 02 00 a0 00 00 00 dd 0f 02 00 60 00 00 00 7e 10 02 00 56 00 00 00 ........#...........`...~...V...
2cc0 df 10 02 00 28 00 00 00 36 11 02 00 5f 00 00 00 5f 11 02 00 42 00 00 00 bf 11 02 00 7d 00 00 00 ....(...6..._..._...B.......}...
2ce0 02 12 02 00 27 00 00 00 80 12 02 00 ac 00 00 00 a8 12 02 00 b1 00 00 00 55 13 02 00 4b 00 00 00 ....'...................U...K...
2d00 07 14 02 00 83 00 00 00 53 14 02 00 08 00 00 00 d7 14 02 00 15 00 00 00 e0 14 02 00 8d 00 00 00 ........S.......................
2d20 f6 14 02 00 0a 00 00 00 84 15 02 00 1b 00 00 00 8f 15 02 00 17 00 00 00 ab 15 02 00 28 00 00 00 ............................(...
2d40 c3 15 02 00 e7 00 00 00 ec 15 02 00 d0 00 00 00 d4 16 02 00 25 00 00 00 a5 17 02 00 83 00 00 00 ....................%...........
2d60 cb 17 02 00 90 00 00 00 4f 18 02 00 05 00 00 00 e0 18 02 00 c9 00 00 00 e6 18 02 00 03 00 00 00 ........O.......................
2d80 b0 19 02 00 08 00 00 00 b4 19 02 00 09 00 00 00 bd 19 02 00 09 00 00 00 c7 19 02 00 08 00 00 00 ................................
2da0 d1 19 02 00 18 00 00 00 da 19 02 00 12 00 00 00 f3 19 02 00 0a 00 00 00 06 1a 02 00 0c 00 00 00 ................................
2dc0 11 1a 02 00 21 00 00 00 1e 1a 02 00 21 00 00 00 40 1a 02 00 21 00 00 00 62 1a 02 00 21 00 00 00 ....!.......!...@...!...b...!...
2de0 84 1a 02 00 26 00 00 00 a6 1a 02 00 04 00 00 00 cd 1a 02 00 b9 00 00 00 d2 1a 02 00 3b 00 00 00 ....&.......................;...
2e00 8c 1b 02 00 0e 00 00 00 c8 1b 02 00 18 00 00 00 d7 1b 02 00 26 00 00 00 f0 1b 02 00 23 00 00 00 ....................&.......#...
2e20 17 1c 02 00 23 00 00 00 3b 1c 02 00 0d 00 00 00 5f 1c 02 00 23 00 00 00 6d 1c 02 00 0f 00 00 00 ....#...;......._...#...m.......
2e40 91 1c 02 00 24 00 00 00 a1 1c 02 00 0f 00 00 00 c6 1c 02 00 08 00 00 00 d6 1c 02 00 08 00 00 00 ....$...........................
2e60 df 1c 02 00 08 00 00 00 e8 1c 02 00 08 00 00 00 f1 1c 02 00 08 00 00 00 fa 1c 02 00 09 00 00 00 ................................
2e80 03 1d 02 00 08 00 00 00 0d 1d 02 00 09 00 00 00 16 1d 02 00 08 00 00 00 20 1d 02 00 09 00 00 00 ................................
2ea0 29 1d 02 00 0c 00 00 00 33 1d 02 00 09 00 00 00 40 1d 02 00 09 00 00 00 4a 1d 02 00 08 00 00 00 ).......3.......@.......J.......
2ec0 54 1d 02 00 12 00 00 00 5d 1d 02 00 0f 00 00 00 70 1d 02 00 0e 00 00 00 80 1d 02 00 0d 00 00 00 T.......].......p...............
2ee0 8f 1d 02 00 1a 00 00 00 9d 1d 02 00 16 00 00 00 b8 1d 02 00 49 00 00 00 cf 1d 02 00 aa 00 00 00 ....................I...........
2f00 19 1e 02 00 82 00 00 00 c4 1e 02 00 1f 01 00 00 47 1f 02 00 40 00 00 00 67 20 02 00 6f 00 00 00 ................G...@...g...o...
2f20 a8 20 02 00 f4 00 00 00 18 21 02 00 3c 00 00 00 0d 22 02 00 17 00 00 00 4a 22 02 00 6e 00 00 00 .........!..<...."......J"..n...
2f40 62 22 02 00 67 00 00 00 d1 22 02 00 8e 00 00 00 39 23 02 00 19 03 00 00 c8 23 02 00 cb 00 00 00 b"..g...."......9#.......#......
2f60 e2 26 02 00 bc 00 00 00 ae 27 02 00 42 00 00 00 6b 28 02 00 36 00 00 00 ae 28 02 00 b9 00 00 00 .&.......'..B...k(..6....(......
2f80 e5 28 02 00 62 00 00 00 9f 29 02 00 ec 00 00 00 02 2a 02 00 d1 00 00 00 ef 2a 02 00 7f 01 00 00 .(..b....).......*.......*......
2fa0 c1 2b 02 00 80 00 00 00 41 2d 02 00 21 00 00 00 c2 2d 02 00 33 00 00 00 e4 2d 02 00 09 00 00 00 .+......A-..!....-..3....-......
2fc0 18 2e 02 00 e7 00 00 00 22 2e 02 00 2c 00 00 00 0a 2f 02 00 8d 00 00 00 37 2f 02 00 70 00 00 00 ........"...,..../......7/..p...
2fe0 c5 2f 02 00 48 00 00 00 36 30 02 00 07 00 00 00 7f 30 02 00 5a 00 00 00 87 30 02 00 46 00 00 00 ./..H...60.......0..Z....0..F...
3000 e2 30 02 00 3a 00 00 00 29 31 02 00 47 00 00 00 64 31 02 00 9c 00 00 00 ac 31 02 00 5a 00 00 00 .0..:...)1..G...d1.......1..Z...
3020 49 32 02 00 13 00 00 00 a4 32 02 00 0c 00 00 00 b8 32 02 00 ab 00 00 00 c5 32 02 00 a3 01 00 00 I2.......2.......2.......2......
3040 71 33 02 00 33 00 00 00 15 35 02 00 26 00 00 00 49 35 02 00 4b 00 00 00 70 35 02 00 35 00 00 00 q3..3....5..&...I5..K...p5..5...
3060 bc 35 02 00 2c 00 00 00 f2 35 02 00 30 00 00 00 1f 36 02 00 3a 00 00 00 50 36 02 00 13 00 00 00 .5..,....5..0....6..:...P6......
3080 8b 36 02 00 2d 00 00 00 9f 36 02 00 13 00 00 00 cd 36 02 00 1a 00 00 00 e1 36 02 00 20 00 00 00 .6..-....6.......6.......6......
30a0 fc 36 02 00 1a 00 00 00 1d 37 02 00 21 00 00 00 38 37 02 00 1a 00 00 00 5a 37 02 00 21 00 00 00 .6.......7..!...87......Z7..!...
30c0 75 37 02 00 1e 00 00 00 97 37 02 00 21 00 00 00 b6 37 02 00 15 00 00 00 d8 37 02 00 04 00 00 00 u7.......7..!....7.......7......
30e0 ee 37 02 00 84 00 00 00 f3 37 02 00 3b 00 00 00 78 38 02 00 0d 00 00 00 b4 38 02 00 2c 00 00 00 .7.......7..;...x8.......8..,...
3100 c2 38 02 00 2e 00 00 00 ef 38 02 00 1e 00 00 00 1e 39 02 00 3f 00 00 00 3d 39 02 00 2c 00 00 00 .8.......8.......9..?...=9..,...
3120 7d 39 02 00 28 00 00 00 aa 39 02 00 46 00 00 00 d3 39 02 00 32 00 00 00 1a 3a 02 00 83 00 00 00 }9..(....9..F....9..2....:......
3140 4d 3a 02 00 1b 00 00 00 d1 3a 02 00 1b 00 00 00 ed 3a 02 00 12 00 00 00 09 3b 02 00 14 00 00 00 M:.......:.......:.......;......
3160 1c 3b 02 00 13 00 00 00 31 3b 02 00 13 00 00 00 45 3b 02 00 13 00 00 00 59 3b 02 00 aa 00 00 00 .;......1;......E;......Y;......
3180 6d 3b 02 00 0c 00 00 00 18 3c 02 00 41 00 00 00 25 3c 02 00 41 00 00 00 67 3c 02 00 5c 00 00 00 m;.......<..A...%<..A...g<..\...
31a0 a9 3c 02 00 3a 00 00 00 06 3d 02 00 44 00 00 00 41 3d 02 00 60 00 00 00 86 3d 02 00 45 00 00 00 .<..:....=..D...A=..`....=..E...
31c0 e7 3d 02 00 3e 00 00 00 2d 3e 02 00 40 00 00 00 6c 3e 02 00 42 00 00 00 ad 3e 02 00 44 00 00 00 .=..>...->..@...l>..B....>..D...
31e0 f0 3e 02 00 3a 00 00 00 35 3f 02 00 3f 00 00 00 70 3f 02 00 4a 00 00 00 b0 3f 02 00 42 00 00 00 .>..:...5?..?...p?..J....?..B...
3200 fb 3f 02 00 3c 00 00 00 3e 40 02 00 01 00 00 00 00 00 00 00 00 00 00 00 0b 02 00 00 94 02 00 00 .?..<...>@......................
3220 66 02 00 00 46 00 00 00 00 00 00 00 fd 02 00 00 ab 02 00 00 82 00 00 00 68 01 00 00 2a 02 00 00 f...F...................h...*...
3240 78 01 00 00 d9 01 00 00 c6 00 00 00 c0 00 00 00 a1 02 00 00 00 00 00 00 02 01 00 00 00 00 00 00 x...............................
3260 cd 01 00 00 c9 00 00 00 00 00 00 00 4b 02 00 00 00 00 00 00 00 00 00 00 a1 01 00 00 5a 02 00 00 ............K...............Z...
3280 00 00 00 00 7d 00 00 00 34 01 00 00 e4 01 00 00 08 01 00 00 ed 02 00 00 92 02 00 00 00 00 00 00 ....}...4.......................
32a0 fd 00 00 00 0e 01 00 00 00 00 00 00 5f 02 00 00 64 02 00 00 8d 00 00 00 00 00 00 00 3c 01 00 00 ............_...d...........<...
32c0 ca 02 00 00 f0 02 00 00 00 00 00 00 0c 00 00 00 e3 00 00 00 73 01 00 00 67 01 00 00 8e 01 00 00 ....................s...g.......
32e0 f1 01 00 00 58 00 00 00 8e 00 00 00 57 02 00 00 00 00 00 00 d1 00 00 00 c5 01 00 00 00 00 00 00 ....X.......W...................
3300 84 00 00 00 bf 02 00 00 00 00 00 00 b8 01 00 00 00 00 00 00 00 00 00 00 a0 02 00 00 c0 02 00 00 ................................
3320 7c 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 46 01 00 00 00 00 00 00 |.......................F.......
3340 00 00 00 00 f1 00 00 00 00 00 00 00 26 02 00 00 c3 01 00 00 9e 00 00 00 00 00 00 00 78 00 00 00 ............&...............x...
3360 74 02 00 00 1e 03 00 00 00 00 00 00 74 00 00 00 0b 03 00 00 03 00 00 00 3f 01 00 00 a3 02 00 00 t...........t...........?.......
3380 32 01 00 00 45 00 00 00 c3 00 00 00 00 00 00 00 40 02 00 00 00 00 00 00 00 00 00 00 e2 02 00 00 2...E...........@...............
33a0 19 00 00 00 00 00 00 00 38 02 00 00 00 00 00 00 8b 00 00 00 55 02 00 00 00 00 00 00 d6 00 00 00 ........8...........U...........
33c0 0b 01 00 00 ef 02 00 00 4c 00 00 00 3d 02 00 00 6e 02 00 00 00 00 00 00 9f 02 00 00 76 00 00 00 ........L...=...n...........v...
33e0 3a 00 00 00 e3 01 00 00 00 00 00 00 6d 02 00 00 c2 01 00 00 45 01 00 00 00 00 00 00 3d 00 00 00 :...........m.......E.......=...
3400 6a 02 00 00 b4 01 00 00 0e 00 00 00 52 01 00 00 d3 02 00 00 36 00 00 00 0b 00 00 00 df 01 00 00 j...........R.......6...........
3420 43 02 00 00 fc 00 00 00 81 00 00 00 0f 00 00 00 09 00 00 00 00 00 00 00 04 01 00 00 2f 01 00 00 C.........................../...
3440 05 03 00 00 f8 00 00 00 7f 02 00 00 00 00 00 00 e8 02 00 00 be 02 00 00 00 00 00 00 80 02 00 00 ................................
3460 21 01 00 00 00 00 00 00 9f 01 00 00 ed 00 00 00 b7 01 00 00 11 00 00 00 00 00 00 00 23 01 00 00 !...........................#...
3480 e9 00 00 00 d6 02 00 00 63 00 00 00 00 00 00 00 a2 01 00 00 00 00 00 00 20 01 00 00 49 02 00 00 ........c...................I...
34a0 00 00 00 00 f4 01 00 00 95 00 00 00 10 03 00 00 ab 01 00 00 b9 00 00 00 00 00 00 00 62 02 00 00 ............................b...
34c0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 cc 01 00 00 00 00 00 00 0d 01 00 00 ................................
34e0 f9 02 00 00 81 01 00 00 4a 00 00 00 04 03 00 00 90 00 00 00 99 02 00 00 4c 01 00 00 33 01 00 00 ........J...............L...3...
3500 30 02 00 00 13 00 00 00 ed 01 00 00 50 02 00 00 42 00 00 00 cd 02 00 00 e4 00 00 00 00 00 00 00 0...........P...B...............
3520 00 00 00 00 db 00 00 00 1d 02 00 00 9a 02 00 00 7b 02 00 00 00 00 00 00 0a 01 00 00 65 00 00 00 ................{...........e...
3540 00 00 00 00 c9 01 00 00 00 00 00 00 21 00 00 00 1a 00 00 00 5b 02 00 00 06 03 00 00 b3 00 00 00 ............!.......[...........
3560 00 00 00 00 5e 01 00 00 b7 02 00 00 67 02 00 00 43 01 00 00 00 00 00 00 3c 02 00 00 e0 02 00 00 ....^.......g...C.......<.......
3580 41 01 00 00 90 02 00 00 00 00 00 00 41 02 00 00 cd 00 00 00 4c 02 00 00 b1 01 00 00 09 03 00 00 A...........A.......L...........
35a0 cf 01 00 00 d5 01 00 00 c5 00 00 00 00 00 00 00 71 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................q...............
35c0 b9 01 00 00 f6 02 00 00 30 01 00 00 08 00 00 00 5b 00 00 00 00 00 00 00 f3 02 00 00 00 00 00 00 ........0.......[...............
35e0 e6 00 00 00 de 01 00 00 f8 01 00 00 0c 03 00 00 94 00 00 00 a3 00 00 00 00 00 00 00 13 01 00 00 ................................
3600 d4 01 00 00 d6 01 00 00 d8 01 00 00 a5 02 00 00 00 00 00 00 f3 00 00 00 1c 02 00 00 98 01 00 00 ................................
3620 91 01 00 00 9e 02 00 00 43 00 00 00 00 00 00 00 00 00 00 00 1c 00 00 00 55 01 00 00 dc 02 00 00 ........C...............U.......
3640 8d 01 00 00 8a 01 00 00 9e 01 00 00 00 00 00 00 99 00 00 00 eb 00 00 00 7c 00 00 00 da 02 00 00 ........................|.......
3660 cf 00 00 00 b6 02 00 00 00 00 00 00 00 00 00 00 cc 02 00 00 3f 02 00 00 e6 01 00 00 00 00 00 00 ....................?...........
3680 66 01 00 00 00 00 00 00 00 00 00 00 44 02 00 00 18 01 00 00 05 01 00 00 00 00 00 00 f7 02 00 00 f...........D...................
36a0 19 03 00 00 00 00 00 00 bd 02 00 00 d9 00 00 00 ea 02 00 00 ff 00 00 00 00 00 00 00 b0 01 00 00 ................................
36c0 82 02 00 00 00 00 00 00 61 00 00 00 00 00 00 00 13 02 00 00 c1 00 00 00 c6 02 00 00 00 00 00 00 ........a.......................
36e0 4d 01 00 00 00 00 00 00 e9 01 00 00 18 00 00 00 00 00 00 00 00 00 00 00 65 02 00 00 74 01 00 00 M.......................e...t...
3700 6e 01 00 00 8c 00 00 00 e0 00 00 00 00 00 00 00 2a 01 00 00 00 00 00 00 1e 00 00 00 01 01 00 00 n...............*...............
3720 00 00 00 00 c4 01 00 00 c0 01 00 00 ad 00 00 00 2e 00 00 00 bb 00 00 00 1b 00 00 00 62 00 00 00 ............................b...
3740 00 00 00 00 28 00 00 00 ac 01 00 00 51 00 00 00 fa 01 00 00 ef 00 00 00 fb 01 00 00 c4 02 00 00 ....(.......Q...................
3760 48 00 00 00 b5 00 00 00 d5 02 00 00 83 01 00 00 a8 01 00 00 79 00 00 00 ca 01 00 00 fd 01 00 00 H...................y...........
3780 17 03 00 00 7f 00 00 00 e7 02 00 00 77 00 00 00 42 01 00 00 fe 00 00 00 00 00 00 00 00 00 00 00 ............w...B...............
37a0 00 00 00 00 88 02 00 00 ad 01 00 00 7f 01 00 00 4e 01 00 00 00 00 00 00 00 00 00 00 0f 03 00 00 ................N...............
37c0 16 00 00 00 7d 01 00 00 e8 00 00 00 1a 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 81 02 00 00 ....}...........................
37e0 12 03 00 00 16 03 00 00 8c 02 00 00 9b 01 00 00 11 02 00 00 00 00 00 00 a5 01 00 00 00 01 00 00 ................................
3800 00 00 00 00 00 00 00 00 5d 01 00 00 00 00 00 00 ee 00 00 00 7a 01 00 00 00 03 00 00 12 00 00 00 ........]...........z...........
3820 00 00 00 00 18 02 00 00 15 03 00 00 87 02 00 00 00 00 00 00 00 00 00 00 53 01 00 00 b2 02 00 00 ........................S.......
3840 56 01 00 00 00 00 00 00 fb 02 00 00 31 01 00 00 00 00 00 00 93 00 00 00 00 00 00 00 2b 02 00 00 V...........1...............+...
3860 aa 00 00 00 98 02 00 00 26 00 00 00 f0 01 00 00 00 00 00 00 10 01 00 00 cc 00 00 00 6a 01 00 00 ........&...................j...
3880 96 00 00 00 00 00 00 00 d8 02 00 00 86 01 00 00 3e 00 00 00 ce 00 00 00 eb 02 00 00 87 00 00 00 ................>...............
38a0 d3 01 00 00 f9 01 00 00 46 02 00 00 44 01 00 00 3e 02 00 00 00 00 00 00 00 00 00 00 89 01 00 00 ........F...D...>...............
38c0 00 00 00 00 61 01 00 00 00 00 00 00 00 00 00 00 5c 00 00 00 b8 00 00 00 00 00 00 00 f0 00 00 00 ....a...........\...............
38e0 63 02 00 00 68 02 00 00 9c 00 00 00 a6 00 00 00 05 00 00 00 5f 00 00 00 db 01 00 00 be 00 00 00 c...h..............._...........
3900 40 01 00 00 00 00 00 00 28 02 00 00 14 00 00 00 00 00 00 00 ce 02 00 00 a4 00 00 00 d2 02 00 00 @.......(.......................
3920 8f 00 00 00 00 00 00 00 00 00 00 00 47 01 00 00 f5 01 00 00 47 02 00 00 de 02 00 00 2d 02 00 00 ............G.......G.......-...
3940 6d 00 00 00 49 00 00 00 32 02 00 00 4e 02 00 00 00 00 00 00 1e 02 00 00 54 00 00 00 19 01 00 00 m...I...2...N...........T.......
3960 5a 01 00 00 16 01 00 00 00 00 00 00 13 03 00 00 83 00 00 00 a5 00 00 00 da 01 00 00 96 01 00 00 Z...............................
3980 28 01 00 00 fe 02 00 00 00 00 00 00 a2 00 00 00 00 00 00 00 6b 00 00 00 00 00 00 00 00 00 00 00 (...................k...........
39a0 62 01 00 00 ae 02 00 00 c4 00 00 00 93 01 00 00 00 00 00 00 80 00 00 00 00 00 00 00 14 03 00 00 b...............................
39c0 33 00 00 00 bb 01 00 00 2b 00 00 00 00 00 00 00 f2 02 00 00 d0 02 00 00 be 01 00 00 00 00 00 00 3.......+.......................
39e0 25 00 00 00 94 01 00 00 f4 02 00 00 8b 02 00 00 3f 00 00 00 7c 02 00 00 00 00 00 00 85 01 00 00 %...............?...|...........
3a00 02 03 00 00 0d 02 00 00 00 00 00 00 00 00 00 00 1f 01 00 00 b2 01 00 00 00 00 00 00 a2 02 00 00 ................................
3a20 ae 00 00 00 97 01 00 00 f3 01 00 00 d8 00 00 00 d9 02 00 00 a8 02 00 00 00 00 00 00 78 02 00 00 ............................x...
3a40 00 00 00 00 91 02 00 00 dd 01 00 00 a4 01 00 00 73 00 00 00 00 00 00 00 e4 02 00 00 c8 00 00 00 ................s...............
3a60 00 00 00 00 fe 01 00 00 e1 02 00 00 5d 00 00 00 17 02 00 00 c6 01 00 00 00 00 00 00 e1 00 00 00 ............]...................
3a80 76 01 00 00 8c 01 00 00 8b 01 00 00 7e 02 00 00 ca 00 00 00 e5 01 00 00 c8 02 00 00 7a 02 00 00 v...........~...............z...
3aa0 72 00 00 00 bc 02 00 00 1d 01 00 00 00 00 00 00 86 02 00 00 6c 01 00 00 d0 01 00 00 5c 02 00 00 r...................l.......\...
3ac0 7b 01 00 00 ac 00 00 00 a7 02 00 00 00 00 00 00 32 00 00 00 34 00 00 00 60 01 00 00 00 00 00 00 {...............2...4...`.......
3ae0 00 00 00 00 fa 02 00 00 00 00 00 00 00 00 00 00 2e 02 00 00 a6 02 00 00 82 01 00 00 e6 02 00 00 ................................
3b00 2a 00 00 00 00 00 00 00 90 01 00 00 75 01 00 00 00 00 00 00 5c 01 00 00 92 01 00 00 a4 02 00 00 *...........u.......\...........
3b20 6e 00 00 00 c7 01 00 00 8a 00 00 00 58 01 00 00 77 01 00 00 1d 03 00 00 1c 03 00 00 b4 02 00 00 n...........X...w...............
3b40 07 01 00 00 bd 01 00 00 66 00 00 00 9a 01 00 00 bf 01 00 00 6f 02 00 00 87 01 00 00 6a 00 00 00 ........f...........o.......j...
3b60 52 02 00 00 05 02 00 00 f7 01 00 00 84 01 00 00 af 01 00 00 02 02 00 00 4a 01 00 00 00 00 00 00 R.......................J.......
3b80 09 01 00 00 00 00 00 00 ec 01 00 00 c7 00 00 00 00 00 00 00 59 02 00 00 00 00 00 00 00 00 00 00 ....................Y...........
3ba0 95 02 00 00 36 01 00 00 00 00 00 00 08 03 00 00 4f 01 00 00 3b 00 00 00 00 00 00 00 57 01 00 00 ....6...........O...;.......W...
3bc0 1b 03 00 00 00 00 00 00 00 00 00 00 60 00 00 00 3c 00 00 00 51 01 00 00 22 01 00 00 72 02 00 00 ............`...<...Q..."...r...
3be0 00 00 00 00 10 02 00 00 2f 02 00 00 aa 01 00 00 00 00 00 00 97 02 00 00 00 00 00 00 00 00 00 00 ......../.......................
3c00 51 02 00 00 69 01 00 00 00 00 00 00 e3 02 00 00 d3 00 00 00 00 00 00 00 91 00 00 00 a9 01 00 00 Q...i...........................
3c20 f2 01 00 00 0e 02 00 00 00 00 00 00 7a 00 00 00 4b 00 00 00 00 00 00 00 8f 01 00 00 00 00 00 00 ............z...K...............
3c40 68 00 00 00 00 00 00 00 00 00 00 00 15 02 00 00 eb 01 00 00 23 02 00 00 9c 02 00 00 2e 01 00 00 h...................#...........
3c60 df 02 00 00 00 00 00 00 03 03 00 00 59 00 00 00 37 02 00 00 ea 00 00 00 b6 01 00 00 03 01 00 00 ............Y...7...............
3c80 00 00 00 00 00 00 00 00 21 02 00 00 e7 00 00 00 84 02 00 00 65 01 00 00 60 02 00 00 f9 00 00 00 ........!...........e...`.......
3ca0 fa 00 00 00 00 00 00 00 3d 01 00 00 00 00 00 00 b9 02 00 00 d7 00 00 00 26 01 00 00 00 00 00 00 ........=...............&.......
3cc0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 d0 00 00 00 5d 02 00 00 00 00 00 00 ff 02 00 00 ....................]...........
3ce0 b6 00 00 00 86 00 00 00 2f 00 00 00 17 00 00 00 0d 03 00 00 00 00 00 00 75 00 00 00 b0 00 00 00 ......../...............u.......
3d00 dc 00 00 00 00 00 00 00 ea 01 00 00 8f 02 00 00 3b 01 00 00 14 01 00 00 00 00 00 00 4e 00 00 00 ................;...........N...
3d20 00 00 00 00 00 00 00 00 00 00 00 00 d2 00 00 00 00 00 00 00 00 00 00 00 42 02 00 00 00 00 00 00 ........................B.......
3d40 00 00 00 00 e5 02 00 00 93 02 00 00 00 00 00 00 fb 00 00 00 4b 01 00 00 00 00 00 00 15 01 00 00 ....................K...........
3d60 00 00 00 00 dc 01 00 00 3e 01 00 00 a6 01 00 00 ce 01 00 00 00 00 00 00 f6 01 00 00 00 00 00 00 ........>.......................
3d80 a0 01 00 00 15 00 00 00 70 00 00 00 d4 00 00 00 b4 00 00 00 00 00 00 00 b3 01 00 00 00 00 00 00 ........p.......................
3da0 ec 00 00 00 56 00 00 00 9b 00 00 00 00 00 00 00 00 00 00 00 48 02 00 00 00 00 00 00 00 00 00 00 ....V...............H...........
3dc0 c8 01 00 00 89 02 00 00 2b 01 00 00 36 02 00 00 00 00 00 00 3b 02 00 00 7e 01 00 00 ae 01 00 00 ........+...6.......;...~.......
3de0 a9 00 00 00 00 00 00 00 5b 01 00 00 00 00 00 00 00 00 00 00 04 00 00 00 af 02 00 00 b1 02 00 00 ........[.......................
3e00 24 02 00 00 9d 00 00 00 67 00 00 00 f7 00 00 00 29 01 00 00 47 00 00 00 35 01 00 00 b5 01 00 00 $.......g.......)...G...5.......
3e20 e9 02 00 00 cb 00 00 00 00 00 00 00 bb 02 00 00 9a 00 00 00 ee 02 00 00 6c 02 00 00 b1 00 00 00 ........................l.......
3e40 9d 01 00 00 c2 02 00 00 92 00 00 00 6b 01 00 00 e1 01 00 00 9d 02 00 00 e2 00 00 00 4f 02 00 00 ............k...............O...
3e60 00 00 00 00 f6 00 00 00 22 02 00 00 00 00 00 00 58 02 00 00 29 02 00 00 00 00 00 00 b2 00 00 00 ........".......X...)...........
3e80 c1 01 00 00 d1 02 00 00 1d 00 00 00 39 01 00 00 00 00 00 00 76 02 00 00 01 03 00 00 00 00 00 00 ............9.......v...........
3ea0 00 00 00 00 77 02 00 00 6f 00 00 00 a8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 34 02 00 00 ....w...o...................4...
3ec0 06 02 00 00 00 00 00 00 ef 01 00 00 0d 00 00 00 00 00 00 00 69 02 00 00 00 00 00 00 00 00 00 00 ....................i...........
3ee0 37 01 00 00 0f 01 00 00 16 02 00 00 7d 02 00 00 02 00 00 00 b0 02 00 00 4d 02 00 00 00 00 00 00 7...........}...........M.......
3f00 55 00 00 00 fc 02 00 00 cf 02 00 00 30 00 00 00 23 00 00 00 22 00 00 00 00 00 00 00 59 01 00 00 U...........0...#...".......Y...
3f20 11 03 00 00 0a 02 00 00 5e 00 00 00 f4 00 00 00 79 02 00 00 00 00 00 00 3a 01 00 00 07 00 00 00 ........^.......y.......:.......
3f40 d5 00 00 00 bf 00 00 00 38 01 00 00 00 00 00 00 64 00 00 00 39 02 00 00 00 00 00 00 6b 02 00 00 ........8.......d...9.......k...
3f60 c5 02 00 00 50 01 00 00 63 01 00 00 20 02 00 00 2c 00 00 00 2d 00 00 00 0f 02 00 00 ad 02 00 00 ....P...c.......,...-...........
3f80 00 00 00 00 0a 00 00 00 00 00 00 00 19 02 00 00 39 00 00 00 00 00 00 00 71 01 00 00 ee 01 00 00 ................9.......q.......
3fa0 31 02 00 00 ff 01 00 00 0e 03 00 00 8e 02 00 00 44 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 1...............D...............
3fc0 5e 02 00 00 1f 02 00 00 2c 01 00 00 d4 02 00 00 54 02 00 00 00 00 00 00 4a 02 00 00 d7 02 00 00 ^.......,.......T.......J.......
3fe0 00 00 00 00 00 00 00 00 1a 01 00 00 bc 01 00 00 00 00 00 00 8a 02 00 00 17 01 00 00 7b 00 00 00 ............................{...
4000 00 00 00 00 3a 02 00 00 00 00 00 00 c1 02 00 00 00 00 00 00 37 00 00 00 00 00 00 00 00 00 00 00 ....:...............7...........
4020 c7 02 00 00 75 02 00 00 00 00 00 00 06 01 00 00 de 00 00 00 01 02 00 00 88 01 00 00 57 00 00 00 ....u.......................W...
4040 52 00 00 00 9f 00 00 00 2d 01 00 00 bd 00 00 00 f2 00 00 00 70 02 00 00 00 00 00 00 08 02 00 00 R.......-...........p...........
4060 80 01 00 00 00 00 00 00 07 03 00 00 70 01 00 00 96 02 00 00 ec 02 00 00 07 02 00 00 00 00 00 00 ............p...................
4080 45 02 00 00 f5 02 00 00 71 00 00 00 00 00 00 00 a3 01 00 00 6c 00 00 00 33 02 00 00 12 02 00 00 E.......q...........l...3.......
40a0 00 00 00 00 00 00 00 00 98 00 00 00 00 00 00 00 41 00 00 00 1b 02 00 00 00 00 00 00 d2 01 00 00 ................A...............
40c0 53 02 00 00 1a 03 00 00 7e 00 00 00 97 00 00 00 48 01 00 00 64 01 00 00 06 00 00 00 1b 01 00 00 S.......~.......H...d...........
40e0 1c 01 00 00 31 00 00 00 0c 02 00 00 00 00 00 00 00 00 00 00 12 01 00 00 00 00 00 00 ac 02 00 00 ....1...........................
4100 2c 02 00 00 99 01 00 00 00 00 00 00 f8 02 00 00 10 00 00 00 54 01 00 00 14 02 00 00 18 03 00 00 ,...................T...........
4120 e0 01 00 00 c9 02 00 00 1e 01 00 00 03 02 00 00 27 00 00 00 25 01 00 00 00 00 00 00 00 00 00 00 ................'...%...........
4140 0c 01 00 00 38 00 00 00 6f 01 00 00 49 01 00 00 11 01 00 00 85 02 00 00 00 00 00 00 00 02 00 00 ....8...o...I...................
4160 00 00 00 00 df 00 00 00 00 00 00 00 f5 00 00 00 85 00 00 00 00 00 00 00 e5 00 00 00 29 00 00 00 ............................)...
4180 20 00 00 00 00 00 00 00 cb 01 00 00 09 02 00 00 c3 02 00 00 00 00 00 00 00 00 00 00 b8 02 00 00 ................................
41a0 73 02 00 00 25 02 00 00 9c 01 00 00 00 00 00 00 0a 03 00 00 24 01 00 00 8d 02 00 00 00 00 00 00 s...%...............$...........
41c0 c2 00 00 00 00 00 00 00 ba 01 00 00 a1 00 00 00 35 00 00 00 40 00 00 00 4f 00 00 00 69 00 00 00 ................5...@...O...i...
41e0 4d 00 00 00 d7 01 00 00 d1 01 00 00 53 00 00 00 04 02 00 00 27 01 00 00 00 00 00 00 b3 02 00 00 M...........S.......'...........
4200 00 00 00 00 00 00 00 00 79 01 00 00 dd 00 00 00 1f 03 00 00 6d 01 00 00 00 00 00 00 e2 01 00 00 ........y...........m...........
4220 ab 00 00 00 aa 02 00 00 61 02 00 00 b5 02 00 00 a7 00 00 00 56 02 00 00 bc 00 00 00 5f 01 00 00 ........a...........V......._...
4240 fc 01 00 00 00 00 00 00 f1 02 00 00 27 02 00 00 b7 00 00 00 50 00 00 00 24 00 00 00 e7 01 00 00 ............'.......P...$.......
4260 5a 00 00 00 a9 02 00 00 9b 02 00 00 00 00 00 00 88 00 00 00 89 00 00 00 95 01 00 00 a7 01 00 00 Z...............................
4280 ba 00 00 00 1f 00 00 00 a0 00 00 00 00 00 00 00 af 00 00 00 72 01 00 00 dd 02 00 00 cb 02 00 00 ....................r...........
42a0 35 02 00 00 e8 01 00 00 83 02 00 00 00 00 00 00 da 00 00 00 00 00 00 00 db 02 00 00 ba 02 00 00 5...............................
42c0 00 27 27 49 74 20 69 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 6e 6f 74 65 2c 20 74 68 61 74 .''It.is.important.to.note,.that
42e0 20 79 6f 75 20 64 6f 20 6e 6f 74 20 77 61 6e 74 20 74 6f 20 61 64 64 20 6c 6f 67 67 69 6e 67 20 .you.do.not.want.to.add.logging.
4300 74 6f 20 74 68 65 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 74 61 74 65 20 72 75 6c 65 20 61 73 to.the.established.state.rule.as
4320 20 79 6f 75 20 77 69 6c 6c 20 62 65 20 6c 6f 67 67 69 6e 67 20 62 6f 74 68 20 74 68 65 20 69 6e .you.will.be.logging.both.the.in
4340 62 6f 75 6e 64 20 61 6e 64 20 6f 75 74 62 6f 75 6e 64 20 70 61 63 6b 65 74 73 20 66 6f 72 20 65 bound.and.outbound.packets.for.e
4360 61 63 68 20 73 65 73 73 69 6f 6e 20 69 6e 73 74 65 61 64 20 6f 66 20 6a 75 73 74 20 74 68 65 20 ach.session.instead.of.just.the.
4380 69 6e 69 74 69 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 73 65 73 73 69 6f 6e 2e 20 59 6f 75 72 20 initiation.of.the.session..Your.
43a0 6c 6f 67 73 20 77 69 6c 6c 20 62 65 20 6d 61 73 73 69 76 65 20 69 6e 20 61 20 76 65 72 79 20 73 logs.will.be.massive.in.a.very.s
43c0 68 6f 72 74 20 70 65 72 69 6f 64 20 6f 66 20 74 69 6d 65 2e 27 27 00 2a 2a 49 6d 70 6f 72 74 61 hort.period.of.time.''.**Importa
43e0 6e 74 2a 2a 3a 20 41 64 64 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 74 6f 20 nt**:.Add.an.interface.route.to.
4400 72 65 61 63 68 20 41 7a 75 72 65 27 73 20 42 47 50 20 6c 69 73 74 65 6e 65 72 00 2a 2a 49 6d 70 reach.Azure's.BGP.listener.**Imp
4420 6f 72 74 61 6e 74 2a 2a 3a 20 41 64 64 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 ortant**:.Add.an.interface.route
4440 20 74 6f 20 72 65 61 63 68 20 62 6f 74 68 20 41 7a 75 72 65 27 73 20 42 47 50 20 6c 69 73 74 65 .to.reach.both.Azure's.BGP.liste
4460 6e 65 72 73 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73 61 62 6c 65 20 63 6f 6e 6e ners.**Important**:.Disable.conn
4480 65 63 74 65 64 20 63 68 65 63 6b 20 5c 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73 ected.check.\.**Important**:.Dis
44a0 61 62 6c 65 20 63 6f 6e 6e 65 63 74 65 64 20 63 68 65 63 6b 2c 20 6f 74 68 65 72 77 69 73 65 20 able.connected.check,.otherwise.
44c0 74 68 65 20 72 6f 75 74 65 73 20 6c 65 61 72 6e 65 64 20 66 72 6f 6d 20 41 7a 75 72 65 20 77 69 the.routes.learned.from.Azure.wi
44e0 6c 6c 20 6e 6f 74 20 62 65 20 69 6d 70 6f 72 74 65 64 20 69 6e 74 6f 20 74 68 65 20 72 6f 75 74 ll.not.be.imported.into.the.rout
4500 69 6e 67 20 74 61 62 6c 65 2e 00 2a 2a 4e 4f 54 45 3a 2a 2a 20 56 79 4f 53 20 52 6f 75 74 65 72 ing.table..**NOTE:**.VyOS.Router
4520 20 28 74 65 73 74 65 64 20 77 69 74 68 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 .(tested.with.VyOS.1.4-rolling-2
4540 30 32 31 31 30 33 31 30 33 31 37 29 20 e2 80 93 20 20 54 68 65 20 63 6f 6e 66 69 67 75 72 61 74 02110310317)......The.configurat
4560 69 6f 6e 73 20 62 65 6c 6f 77 20 61 72 65 20 73 70 65 63 69 66 69 63 61 6c 6c 79 20 66 6f 72 20 ions.below.are.specifically.for.
4580 56 79 4f 53 20 31 2e 34 2e 78 2e 00 2a 2a 4e 6f 74 65 3a 2a 2a 20 41 74 20 74 68 65 20 6d 6f 6d VyOS.1.4.x..**Note:**.At.the.mom
45a0 65 6e 74 2c 20 74 72 61 63 65 20 6d 70 6c 73 20 64 6f 65 73 6e e2 80 99 74 20 73 68 6f 77 20 6c ent,.trace.mpls.doesn...t.show.l
45c0 61 62 65 6c 73 2f 70 61 74 68 73 2e 20 53 6f 20 77 65 e2 80 99 6c 6c 20 73 65 65 20 2a 20 2a 20 abels/paths..So.we...ll.see.*.*.
45e0 2a 20 20 66 6f 72 20 74 68 65 20 74 72 61 6e 73 69 74 20 72 6f 75 74 65 72 73 20 6f 66 20 74 68 *..for.the.transit.routers.of.th
4600 65 20 6d 70 6c 73 20 62 61 63 6b 62 6f 6e 65 2e 00 2a 2a 54 68 69 73 20 73 70 65 63 69 66 69 63 e.mpls.backbone..**This.specific
4620 20 65 78 61 6d 70 6c 65 20 69 73 20 66 6f 72 20 61 20 72 6f 75 74 65 72 20 6f 6e 20 61 20 73 74 .example.is.for.a.router.on.a.st
4640 69 63 6b 2c 20 62 75 74 20 69 73 20 76 65 72 79 20 65 61 73 69 6c 79 20 61 64 61 70 74 65 64 20 ick,.but.is.very.easily.adapted.
4660 66 6f 72 20 68 6f 77 65 76 65 72 20 6d 61 6e 79 20 4e 49 43 73 20 79 6f 75 20 68 61 76 65 2a 2a for.however.many.NICs.you.have**
4680 3a 00 2a 2a 56 69 72 74 75 61 6c 20 52 6f 75 74 69 6e 67 20 61 6e 64 20 46 6f 72 77 61 72 64 69 :.**Virtual.Routing.and.Forwardi
46a0 6e 67 2a 2a 20 69 73 20 61 20 74 65 63 68 6e 6f 6c 6f 67 79 20 74 68 61 74 20 61 6c 6c 6f 77 20 ng**.is.a.technology.that.allow.
46c0 6d 75 6c 74 69 70 6c 65 20 69 6e 73 74 61 6e 63 65 20 6f 66 20 61 20 72 6f 75 74 69 6e 67 20 74 multiple.instance.of.a.routing.t
46e0 61 62 6c 65 20 74 6f 20 65 78 69 73 74 20 77 69 74 68 69 6e 20 61 20 73 69 6e 67 6c 65 20 64 65 able.to.exist.within.a.single.de
4700 76 69 63 65 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 6b 65 79 20 61 73 70 65 63 74 20 6f 66 20 2a vice..One.of.the.key.aspect.of.*
4720 2a 56 52 46 73 2a 2a 20 69 73 20 74 68 61 74 20 64 6f 20 6e 6f 74 20 73 68 61 72 65 20 74 68 65 *VRFs**.is.that.do.not.share.the
4740 20 73 61 6d 65 20 72 6f 75 74 65 73 20 6f 72 20 69 6e 74 65 72 66 61 63 65 73 2c 20 74 68 65 72 .same.routes.or.interfaces,.ther
4760 65 66 6f 72 65 20 70 61 63 6b 65 74 73 20 61 72 65 20 66 6f 72 77 61 72 64 65 64 20 62 65 74 77 efore.packets.are.forwarded.betw
4780 65 65 6e 20 69 6e 74 65 72 66 61 63 65 73 20 74 68 61 74 20 62 65 6c 6f 6e 67 20 74 6f 20 74 68 een.interfaces.that.belong.to.th
47a0 65 20 73 61 6d 65 20 56 52 46 20 6f 6e 6c 79 2e 00 2a 2a 6f 66 66 73 69 74 65 31 2a 2a 00 2a 2a e.same.VRF.only..**offsite1**.**
47c0 72 6f 75 74 65 72 31 2a 2a 00 2a 2a 72 6f 75 74 65 72 32 2a 2a 00 31 30 2e 30 2e 30 2e 30 2f 31 router1**.**router2**.10.0.0.0/1
47e0 36 00 31 30 2e 30 2e 30 2e 34 00 31 30 2e 30 2e 30 2e 34 2c 31 30 2e 30 2e 30 2e 35 00 31 30 2e 6.10.0.0.4.10.0.0.4,10.0.0.5.10.
4800 31 2e 31 2e 30 2f 33 30 00 31 30 2e 31 30 2e 30 2e 30 2f 31 36 00 31 30 2e 31 30 2e 30 2e 35 00 1.1.0/30.10.10.0.0/16.10.10.0.5.
4820 31 30 2e 32 2e 32 2e 30 2f 33 30 00 31 30 2e 35 30 2e 35 30 2e 31 3a 31 30 31 31 00 31 30 2e 36 10.2.2.0/30.10.50.50.1:1011.10.6
4840 30 2e 36 30 2e 31 3a 31 30 31 31 00 31 30 2e 38 30 2e 38 30 2e 31 3a 31 30 31 31 00 31 30 30 3a 0.60.1:1011.10.80.80.1:1011.100:
4860 20 27 50 75 62 6c 69 63 27 20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67 20 6f 75 72 20 32 30 33 .'Public'.network,.using.our.203
4880 2e 30 2e 31 31 33 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2e 00 31 37 32 2e 31 36 2e 32 2e 30 2f .0.113.0/24.network..172.16.2.0/
48a0 33 30 00 31 37 32 2e 31 37 2e 31 2e 32 20 43 53 30 20 2d 3e 20 43 53 34 00 31 37 32 2e 31 37 2e 30.172.17.1.2.CS0.->.CS4.172.17.
48c0 31 2e 32 2f 32 34 20 43 53 30 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 30 20 2d 20 3e 1.2/24.CS0.172.17.1.2/24.CS0.-.>
48e0 20 43 53 34 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 34 20 2d 20 3e 20 43 53 35 00 31 .CS4.172.17.1.2/24.CS4.-.>.CS5.1
4900 37 32 2e 31 37 2e 31 2e 33 20 43 53 30 20 2d 3e 20 43 53 35 00 31 37 32 2e 31 37 2e 31 2e 34 20 72.17.1.3.CS0.->.CS5.172.17.1.4.
4920 43 53 30 20 2d 3e 20 43 53 36 00 31 37 32 2e 31 37 2e 31 2e 34 30 20 43 53 30 20 62 79 20 64 65 CS0.->.CS6.172.17.1.40.CS0.by.de
4940 66 61 75 6c 74 00 31 39 32 2e 31 36 38 2e 31 30 30 2e 31 30 2f 32 30 30 31 3a 30 44 42 38 3a 30 fault.192.168.100.10/2001:0DB8:0
4960 3a 41 41 41 41 3a 3a 31 30 20 69 73 20 74 68 65 20 61 64 6d 69 6e 69 73 74 72 61 74 6f 72 27 73 :AAAA::10.is.the.administrator's
4980 20 63 6f 6e 73 6f 6c 65 2e 20 49 74 20 63 61 6e 20 53 53 48 20 74 6f 20 56 79 4f 53 2e 00 31 39 .console..It.can.SSH.to.VyOS..19
49a0 32 2e 31 36 38 2e 32 30 30 2e 32 30 30 2f 32 30 30 31 3a 30 44 42 38 3a 30 3a 42 42 42 42 3a 3a 2.168.200.200/2001:0DB8:0:BBBB::
49c0 32 30 30 20 69 73 20 61 6e 20 69 6e 74 65 72 6e 61 6c 2f 65 78 74 65 72 6e 61 6c 20 44 4e 53 2c 200.is.an.internal/external.DNS,
49e0 20 77 65 62 20 61 6e 64 20 6d 61 69 6c 20 28 53 4d 54 50 2f 49 4d 41 50 29 20 73 65 72 76 65 72 .web.and.mail.(SMTP/IMAP).server
4a00 2e 00 31 39 32 2e 31 36 38 2e 33 2e 30 2f 33 30 00 31 39 38 2e 35 31 2e 31 30 30 2e 33 00 32 20 ..192.168.3.0/30.198.51.100.3.2.
4a20 70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20 6f 6e 20 65 61 63 68 20 73 69 74 65 2e 00 32 20 private.subnets.on.each.site..2.
4a40 78 20 52 6f 75 74 65 20 72 65 66 6c 65 63 74 6f 72 73 20 28 56 79 4f 53 2d 52 52 78 29 00 32 30 x.Route.reflectors.(VyOS-RRx).20
4a60 30 31 3a 64 62 38 3a 3a 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 32 2f 31 32 37 00 32 30 30 01:db8::/127.2001:db8::2/127.200
4a80 31 3a 64 62 38 3a 3a 34 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 36 2f 31 32 37 00 32 30 31 1:db8::4/127.2001:db8::6/127.201
4aa0 3a 20 27 49 6e 74 65 72 6e 61 6c 27 20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67 20 31 30 2e 32 :.'Internal'.network,.using.10.2
4ac0 30 30 2e 32 30 31 2e 30 2f 32 34 00 32 30 33 2e 30 2e 31 31 33 2e 32 00 32 30 33 2e 30 2e 31 31 00.201.0/24.203.0.113.2.203.0.11
4ae0 33 2e 33 00 33 20 78 20 43 75 73 74 6f 6d 65 72 20 45 64 67 65 20 28 56 79 4f 53 2d 43 45 78 29 3.3.3.x.Customer.Edge.(VyOS-CEx)
4b00 00 33 20 78 20 50 72 6f 76 69 64 65 72 20 45 64 67 65 20 28 56 79 4f 73 2d 50 45 78 29 00 34 20 .3.x.Provider.Edge.(VyOs-PEx).4.
4b20 78 20 50 72 6f 76 69 64 65 72 20 72 6f 75 74 65 72 73 20 28 56 79 4f 53 2d 50 78 29 00 35 30 3a x.Provider.routers.(VyOS-Px).50:
4b40 20 55 70 73 74 72 65 61 6d 2c 20 75 73 69 6e 67 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 .Upstream,.using.the.192.0.2.0/2
4b60 34 20 6e 65 74 77 6f 72 6b 20 61 6c 6c 6f 63 61 74 65 64 20 62 79 20 74 68 65 6d 2e 00 36 34 34 4.network.allocated.by.them..644
4b80 39 36 3a 31 00 36 34 34 39 36 3a 31 30 30 00 36 34 34 39 36 3a 32 00 36 34 34 39 36 3a 35 30 00 96:1.64496:100.64496:2.64496:50.
4ba0 36 34 34 39 39 00 36 35 30 33 35 3a 31 30 31 31 00 36 35 30 33 35 3a 31 30 31 31 20 36 35 30 33 64499.65035:1011.65035:1011.6503
4bc0 35 3a 31 30 33 30 00 36 35 30 33 35 3a 31 30 33 30 00 36 35 35 34 30 00 41 20 62 72 69 65 66 20 5:1030.65035:1030.65540.A.brief.
4be0 65 78 63 75 72 73 69 6f 6e 20 69 6e 74 6f 20 56 52 46 73 3a 20 54 68 69 73 20 68 61 73 20 62 65 excursion.into.VRFs:.This.has.be
4c00 65 6e 20 6f 6e 65 20 6f 66 20 74 68 65 20 6c 6f 6e 67 65 73 74 2d 73 74 61 6e 64 69 6e 67 20 66 en.one.of.the.longest-standing.f
4c20 65 61 74 75 72 65 20 72 65 71 75 65 73 74 73 20 6f 66 20 56 79 4f 53 20 28 64 61 74 69 6e 67 20 eature.requests.of.VyOS.(dating.
4c40 62 61 63 6b 20 74 6f 20 32 30 31 36 29 20 77 68 69 63 68 20 63 61 6e 20 62 65 20 64 65 73 63 72 back.to.2016).which.can.be.descr
4c60 69 62 65 64 20 61 73 20 22 61 20 56 4c 41 4e 20 66 6f 72 20 6c 61 79 65 72 20 32 20 69 73 20 77 ibed.as."a.VLAN.for.layer.2.is.w
4c80 68 61 74 20 61 20 56 52 46 20 69 73 20 66 6f 72 20 6c 61 79 65 72 20 33 22 2e 20 57 69 74 68 20 hat.a.VRF.is.for.layer.3"..With.
4ca0 56 52 46 73 2c 20 61 20 72 6f 75 74 65 72 2f 73 79 73 74 65 6d 20 63 61 6e 20 68 6f 6c 64 20 6d VRFs,.a.router/system.can.hold.m
4cc0 75 6c 74 69 70 6c 65 2c 20 69 73 6f 6c 61 74 65 64 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 ultiple,.isolated.routing.tables
4ce0 20 6f 6e 20 74 68 65 20 73 61 6d 65 20 73 79 73 74 65 6d 2e 20 49 66 20 79 6f 75 20 77 6f 6e 64 .on.the.same.system..If.you.wond
4d00 65 72 20 77 68 61 74 27 73 20 74 68 65 20 64 69 66 66 65 72 65 6e 63 65 20 62 65 74 77 65 65 6e er.what's.the.difference.between
4d20 20 6d 75 6c 74 69 70 6c 65 20 74 61 62 6c 65 73 20 74 68 61 74 20 70 65 6f 70 6c 65 20 75 73 65 .multiple.tables.that.people.use
4d40 64 20 66 6f 72 20 70 6f 6c 69 63 79 2d 62 61 73 65 64 20 72 6f 75 74 69 6e 67 20 73 69 6e 63 65 d.for.policy-based.routing.since
4d60 20 66 6f 72 65 76 65 72 2c 20 69 74 27 73 20 74 68 61 74 20 61 20 56 52 46 20 61 6c 73 6f 20 69 .forever,.it's.that.a.VRF.also.i
4d80 73 6f 6c 61 74 65 73 20 63 6f 6e 6e 65 63 74 65 64 20 72 6f 75 74 65 73 20 72 61 74 68 65 72 20 solates.connected.routes.rather.
4da0 74 68 61 6e 20 6a 75 73 74 20 73 74 61 74 69 63 20 61 6e 64 20 64 79 6e 61 6d 69 63 61 6c 6c 79 than.just.static.and.dynamically
4dc0 20 6c 65 61 72 6e 65 64 20 72 6f 75 74 65 73 2c 20 73 6f 20 69 74 20 61 6c 6c 6f 77 73 20 4e 49 .learned.routes,.so.it.allows.NI
4de0 43 73 20 69 6e 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 74 6f 20 75 73 65 20 63 6f 6e 66 Cs.in.different.VRFs.to.use.conf
4e00 6c 69 63 74 69 6e 67 20 6e 65 74 77 6f 72 6b 20 72 61 6e 67 65 73 20 77 69 74 68 6f 75 74 20 69 licting.network.ranges.without.i
4e20 73 73 75 65 73 2e 00 41 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 72 65 73 6f 75 72 63 65 20 64 65 70 ssues..A.connection.resource.dep
4e40 6c 6f 79 65 64 20 69 6e 20 41 7a 75 72 65 20 6c 69 6e 6b 69 6e 67 20 74 68 65 20 41 7a 75 72 65 loyed.in.Azure.linking.the.Azure
4e60 20 56 4e 65 74 20 67 61 74 65 77 61 79 20 61 6e 64 20 74 68 65 20 6c 6f 63 61 6c 20 6e 65 74 77 .VNet.gateway.and.the.local.netw
4e80 6f 72 6b 20 67 61 74 65 77 61 79 20 72 65 70 72 65 73 65 6e 74 69 6e 67 20 74 68 65 20 56 79 6f ork.gateway.representing.the.Vyo
4ea0 73 20 64 65 76 69 63 65 2e 00 41 20 68 6f 73 74 20 60 60 76 79 6f 73 2d 6f 6f 62 6d 60 60 20 77 s.device..A.host.``vyos-oobm``.w
4ec0 69 6c 6c 20 75 73 65 20 61 73 20 61 20 73 73 68 20 70 72 6f 78 79 2e 20 54 68 69 73 20 68 6f 73 ill.use.as.a.ssh.proxy..This.hos
4ee0 74 20 69 73 20 6a 75 73 74 20 6e 65 63 65 73 73 61 72 79 20 66 6f 72 20 74 68 65 20 4c 61 62 20 t.is.just.necessary.for.the.Lab.
4f00 74 65 73 74 2e 00 41 20 6b 65 79 20 70 6f 69 6e 74 20 74 6f 20 75 6e 64 65 72 73 74 61 6e 64 20 test..A.key.point.to.understand.
4f20 69 73 20 74 68 61 74 20 69 66 20 77 65 20 6e 65 65 64 20 74 77 6f 20 56 52 46 73 20 74 6f 20 63 is.that.if.we.need.two.VRFs.to.c
4f40 6f 6d 6d 75 6e 69 63 61 74 65 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 20 45 58 ommunicate.between.each.other.EX
4f60 50 4f 52 54 20 72 74 20 66 72 6f 6d 20 56 52 46 31 20 68 61 73 20 74 6f 20 62 65 20 69 6e 20 74 PORT.rt.from.VRF1.has.to.be.in.t
4f80 68 65 20 49 4d 50 4f 52 54 20 72 74 20 6c 69 73 74 20 66 72 6f 6d 20 56 52 46 32 2e 20 42 75 74 he.IMPORT.rt.list.from.VRF2..But
4fa0 20 74 68 69 73 20 69 73 20 6f 6e 6c 79 20 69 6e 20 4f 4e 45 20 64 69 72 65 63 74 69 6f 6e 2c 20 .this.is.only.in.ONE.direction,.
4fc0 74 6f 20 63 6f 6d 70 6c 65 74 65 20 74 68 65 20 63 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 74 68 to.complete.the.communication.th
4fe0 65 20 45 58 50 4f 52 54 20 72 74 20 66 72 6f 6d 20 56 52 46 32 20 68 61 73 20 74 6f 20 62 65 20 e.EXPORT.rt.from.VRF2.has.to.be.
5000 69 6e 20 74 68 65 20 49 4d 50 4f 52 54 20 72 74 20 6c 69 73 74 20 66 72 6f 6d 20 56 52 46 31 2e in.the.IMPORT.rt.list.from.VRF1.
5020 00 41 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 67 61 74 65 77 61 79 20 64 65 70 6c 6f 79 65 .A.local.network.gateway.deploye
5040 64 20 69 6e 20 41 7a 75 72 65 20 72 65 70 72 65 73 65 6e 74 69 6e 67 20 74 68 65 20 56 79 6f 73 d.in.Azure.representing.the.Vyos
5060 20 64 65 76 69 63 65 2c 20 6d 61 74 63 68 69 6e 67 20 74 68 65 20 62 65 6c 6f 77 20 56 79 6f 73 .device,.matching.the.below.Vyos
5080 20 73 65 74 74 69 6e 67 73 20 65 78 63 65 70 74 20 66 6f 72 20 61 64 64 72 65 73 73 20 73 70 61 .settings.except.for.address.spa
50a0 63 65 2c 20 77 68 69 63 68 20 6f 6e 6c 79 20 72 65 71 75 69 72 65 73 20 74 68 65 20 56 79 6f 73 ce,.which.only.requires.the.Vyos
50c0 20 70 72 69 76 61 74 65 20 49 50 2c 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 31 30 2e .private.IP,.in.this.example.10.
50e0 31 30 2e 30 2e 35 2f 33 32 00 41 20 70 61 69 72 20 6f 66 20 41 7a 75 72 65 20 56 4e 65 74 20 47 10.0.5/32.A.pair.of.Azure.VNet.G
5100 61 74 65 77 61 79 73 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 61 63 74 69 76 65 2d 61 63 74 69 76 ateways.deployed.in.active-activ
5120 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 42 47 50 20 65 6e 61 62 6c 65 64 e.configuration.with.BGP.enabled
5140 2e 00 41 20 70 61 69 72 20 6f 66 20 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 73 20 ..A.pair.of.Azure.VNet.Gateways.
5160 64 65 70 6c 6f 79 65 64 20 69 6e 20 61 63 74 69 76 65 2d 70 61 73 73 69 76 65 20 63 6f 6e 66 69 deployed.in.active-passive.confi
5180 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 42 47 50 20 65 6e 61 62 6c 65 64 2e 00 41 20 70 75 62 guration.with.BGP.enabled..A.pub
51a0 6c 69 63 2c 20 72 6f 75 74 61 62 6c 65 20 49 50 76 34 20 61 64 64 72 65 73 73 2e 20 54 68 69 73 lic,.routable.IPv4.address..This
51c0 20 64 6f 65 73 20 6e 6f 74 20 6e 65 63 65 73 73 61 72 69 6c 79 20 6e 65 65 64 20 74 6f 20 62 65 .does.not.necessarily.need.to.be
51e0 20 73 74 61 74 69 63 2c 20 62 75 74 20 79 6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 75 70 .static,.but.you.will.need.to.up
5200 64 61 74 65 20 74 68 65 20 74 75 6e 6e 65 6c 20 65 6e 64 70 6f 69 6e 74 20 77 68 65 6e 2f 69 66 date.the.tunnel.endpoint.when/if
5220 20 79 6f 75 72 20 49 50 20 61 64 64 72 65 73 73 20 63 68 61 6e 67 65 73 2c 20 77 68 69 63 68 20 .your.IP.address.changes,.which.
5240 63 61 6e 20 62 65 20 64 6f 6e 65 20 77 69 74 68 20 61 20 73 63 72 69 70 74 20 61 6e 64 20 61 20 can.be.done.with.a.script.and.a.
5260 73 63 68 65 64 75 6c 65 64 20 74 61 73 6b 2e 00 41 20 72 75 6c 65 20 6f 72 64 65 72 20 66 6f 72 scheduled.task..A.rule.order.for
5280 20 70 72 69 6f 72 69 74 69 7a 69 6e 67 20 74 72 61 66 66 69 63 20 69 73 20 75 73 65 66 75 6c 20 .prioritizing.traffic.is.useful.
52a0 69 6e 20 73 63 65 6e 61 72 69 6f 73 20 77 68 65 72 65 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 in.scenarios.where.the.secondary
52c0 20 6c 69 6e 6b 20 68 61 73 20 61 20 6c 6f 77 65 72 20 73 70 65 65 64 20 61 6e 64 20 73 68 6f 75 .link.has.a.lower.speed.and.shou
52e0 6c 64 20 6f 6e 6c 79 20 63 61 72 72 79 20 68 69 67 68 20 70 72 69 6f 72 69 74 79 20 74 72 61 66 ld.only.carry.high.priority.traf
5300 66 69 63 2e 20 49 74 20 69 73 20 61 73 73 75 6d 65 64 20 66 6f 72 20 74 68 69 73 20 65 78 61 6d fic..It.is.assumed.for.this.exam
5320 70 6c 65 20 74 68 61 74 20 65 74 68 31 20 69 73 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 61 20 ple.that.eth1.is.connected.to.a.
5340 73 6c 6f 77 65 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 68 61 6e 20 65 74 68 30 20 61 6e 64 20 slower.connection.than.eth0.and.
5360 73 68 6f 75 6c 64 20 70 72 69 6f 72 69 74 69 7a 65 20 56 6f 49 50 20 74 72 61 66 66 69 63 2e 00 should.prioritize.VoIP.traffic..
5380 41 20 73 69 6d 70 6c 65 20 73 6f 6c 75 74 69 6f 6e 20 63 6f 75 6c 64 20 62 65 20 75 73 69 6e 67 A.simple.solution.could.be.using
53a0 20 64 69 66 66 65 72 65 6e 74 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 2c 20 6f 72 20 56 52 .different.routing.tables,.or.VR
53c0 46 73 20 66 6f 72 20 61 6c 6c 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 20 73 6f 20 77 65 20 63 61 Fs.for.all.the.networks.so.we.ca
53e0 6e 20 6b 65 65 70 20 74 68 65 20 72 6f 75 74 69 6e 67 20 72 65 73 74 72 69 63 74 69 6f 6e 73 2e n.keep.the.routing.restrictions.
5400 20 42 75 74 20 66 6f 72 20 75 73 20 74 6f 20 72 6f 75 74 65 20 62 65 74 77 65 65 6e 20 74 68 65 .But.for.us.to.route.between.the
5420 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 77 65 20 77 6f 75 6c 64 20 6e 65 65 64 20 61 20 .different.VRFs.we.would.need.a.
5440 63 61 62 6c 65 20 6f 72 20 61 20 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 cable.or.a.logical.connection.be
5460 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 3a 00 41 44 44 52 45 53 53 31 30 20 63 68 61 6e tween.each.other:.ADDRESS10.chan
5480 67 65 20 43 53 30 20 2d 3e 20 43 53 34 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 32 2f ge.CS0.->.CS4.source.172.17.1.2/
54a0 33 32 00 41 44 44 52 45 53 53 32 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 35 20 73 32.ADDRESS20.change.CS0.->.CS5.s
54c0 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 33 2f 33 32 00 41 44 44 52 45 53 53 33 30 20 63 68 ource.172.17.1.3/32.ADDRESS30.ch
54e0 61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 36 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e ange.CS0.->.CS6.source.172.17.1.
5500 34 2f 33 32 00 41 63 63 65 70 74 20 61 63 63 65 73 73 20 74 6f 20 72 6f 75 74 65 72 20 69 74 73 4/32.Accept.access.to.router.its
5520 65 6c 66 2e 00 41 63 63 65 70 74 20 61 6c 6c 20 41 52 50 20 70 61 63 6b 65 74 73 2e 00 41 63 63 elf..Accept.all.ARP.packets..Acc
5540 65 70 74 20 61 6c 6c 20 44 48 43 50 20 64 69 73 63 6f 76 65 72 20 70 61 63 6b 65 74 73 2e 00 41 ept.all.DHCP.discover.packets..A
5560 63 63 65 70 74 20 61 6c 6c 20 49 50 76 34 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 41 63 63 65 ccept.all.IPv4.connections..Acce
5580 70 74 20 6f 6e 6c 79 20 44 48 43 50 20 6f 66 66 65 72 73 20 66 72 6f 6d 20 76 61 6c 69 64 20 73 pt.only.DHCP.offers.from.valid.s
55a0 65 72 76 65 72 20 61 6e 64 7c 6f 72 20 74 72 75 73 74 65 64 20 62 72 69 64 67 65 20 70 6f 72 74 erver.and|or.trusted.bridge.port
55c0 2e 00 41 63 63 65 70 74 20 6f 6e 6c 79 20 49 50 76 36 20 63 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e ..Accept.only.IPv6.communication
55e0 20 77 68 69 74 68 69 6e 20 74 68 65 20 62 72 69 64 67 65 2e 00 41 63 63 65 73 73 20 74 6f 20 74 .whithin.the.bridge..Access.to.t
5600 68 65 20 72 6f 75 74 65 72 20 69 74 73 65 6c 66 20 69 73 20 63 6f 6e 74 72 6f 6c 6c 65 64 20 62 he.router.itself.is.controlled.b
5620 79 20 74 68 65 20 62 61 73 65 20 63 68 61 69 6e 20 60 60 69 6e 70 75 74 60 60 2c 20 61 6e 64 20 y.the.base.chain.``input``,.and.
5640 72 75 6c 65 73 20 74 6f 20 61 63 63 6f 6d 70 6c 69 73 68 20 61 6c 6c 20 74 68 65 20 72 65 71 75 rules.to.accomplish.all.the.requ
5660 69 72 65 6d 65 6e 74 73 20 61 72 65 3a 00 41 63 63 6f 75 6e 74 20 61 74 20 68 74 74 70 73 3a 2f irements.are:.Account.at.https:/
5680 2f 77 77 77 2e 74 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 00 41 63 74 69 76 65 20 44 69 /www.tunnelbroker.net/.Active.Di
56a0 72 65 63 74 6f 72 79 20 6f 6e 20 57 69 6e 64 6f 77 73 20 73 65 72 76 65 72 00 41 64 64 20 28 74 rectory.on.Windows.server.Add.(t
56c0 65 6d 70 6f 72 61 72 79 29 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 00 41 64 64 20 61 20 73 69 emporary).default.route.Add.a.si
56e0 6d 70 6c 65 20 70 6c 61 79 62 6f 6f 6b 20 77 69 74 68 20 74 68 65 20 74 61 73 6b 73 20 66 6f 72 mple.playbook.with.the.tasks.for
5700 20 65 61 63 68 20 72 6f 75 74 65 72 3a 00 41 64 64 20 61 6c 6c 20 74 68 65 20 56 79 4f 53 20 68 .each.router:.Add.all.the.VyOS.h
5720 6f 73 74 73 3a 00 41 64 64 20 61 6c 6c 20 74 68 65 20 68 6f 73 74 73 20 6f 66 20 56 79 4f 53 3a osts:.Add.all.the.hosts.of.VyOS:
5740 00 41 64 64 20 67 65 6e 65 72 61 6c 20 76 61 72 69 61 62 6c 65 73 3a 00 41 64 64 20 74 68 65 20 .Add.general.variables:.Add.the.
5760 4c 44 41 50 20 70 6c 75 67 69 6e 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 69 6c 65 20 60 LDAP.plugin.configuration.file.`
5780 2f 63 6f 6e 66 69 67 2f 61 75 74 68 2f 6c 64 61 70 2d 61 75 74 68 2e 63 6f 6e 66 69 67 60 00 41 /config/auth/ldap-auth.config`.A
57a0 64 64 20 74 68 65 20 73 69 6d 70 6c 65 20 70 6c 61 79 62 6f 6f 6b 20 77 69 74 68 20 74 68 65 20 dd.the.simple.playbook.with.the.
57c0 74 61 73 6b 73 20 66 6f 72 20 65 61 63 68 20 72 6f 75 74 65 72 3a 00 41 64 64 69 6e 67 20 61 20 tasks.for.each.router:.Adding.a.
57e0 72 75 6c 65 20 66 6f 72 20 74 68 65 20 73 65 63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65 00 41 64 rule.for.the.second.interface.Ad
5800 76 65 72 74 69 73 65 20 63 6f 6e 6e 65 63 74 65 64 20 72 6f 75 74 65 73 00 41 66 74 65 72 20 61 vertise.connected.routes.After.a
5820 6c 6c 20 69 73 20 64 6f 6e 65 20 61 6e 64 20 63 6f 6d 6d 69 74 2c 20 6c 65 74 27 73 20 74 61 6b ll.is.done.and.commit,.let's.tak
5840 65 20 61 20 6c 6f 6f 6b 20 69 66 20 74 68 65 20 57 69 72 65 67 75 61 72 64 20 69 6e 74 65 72 66 e.a.look.if.the.Wireguard.interf
5860 61 63 65 20 69 73 20 75 70 20 61 6e 64 20 72 75 6e 6e 69 6e 67 2e 00 41 66 74 65 72 20 63 6f 6e ace.is.up.and.running..After.con
5880 66 69 67 75 72 65 64 20 61 6c 6c 20 74 68 65 20 56 52 46 73 20 69 6e 76 6f 6c 76 65 64 20 69 6e figured.all.the.VRFs.involved.in
58a0 20 74 68 69 73 20 74 6f 70 6f 6c 6f 67 79 20 77 65 20 74 61 6b 65 20 61 20 64 65 65 70 65 72 20 .this.topology.we.take.a.deeper.
58c0 6c 6f 6f 6b 20 61 74 20 62 6f 74 68 20 42 47 50 20 61 6e 64 20 52 6f 75 74 69 6e 67 20 74 61 62 look.at.both.BGP.and.Routing.tab
58e0 6c 65 20 66 6f 72 20 74 68 65 20 56 52 46 20 4c 41 4e 31 00 41 66 74 65 72 20 73 6f 6d 65 20 74 le.for.the.VRF.LAN1.After.some.t
5900 65 73 74 69 6e 67 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 49 50 53 65 63 20 73 74 61 74 75 esting,.we.can.check.IPSec.statu
5920 73 2c 20 61 6e 64 20 63 6f 75 6e 74 65 72 20 6f 6e 20 65 76 65 72 79 20 74 75 6e 6e 65 6c 3a 00 s,.and.counter.on.every.tunnel:.
5940 41 66 74 65 72 20 73 6f 6d 65 20 74 65 73 74 69 6e 67 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b After.some.testing,.we.can.check
5960 20 69 70 73 65 63 20 73 74 61 74 75 73 2c 20 61 6e 64 20 63 6f 75 6e 74 65 72 20 6f 6e 20 65 76 .ipsec.status,.and.counter.on.ev
5980 65 72 79 20 74 75 6e 6e 65 6c 3a 00 41 66 74 65 72 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 ery.tunnel:.After.the.interface.
59a0 65 74 68 30 20 6f 6e 20 72 6f 75 74 65 72 20 56 79 4f 53 33 00 41 66 74 65 72 20 74 68 69 73 2c eth0.on.router.VyOS3.After.this,
59c0 20 77 65 20 6e 65 65 64 20 74 68 65 20 44 48 43 50 2d 53 65 72 76 65 72 20 61 6e 64 20 52 65 6c .we.need.the.DHCP-Server.and.Rel
59e0 61 79 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 20 54 6f 20 67 65 74 20 61 20 74 65 73 74 61 ay.configuration..To.get.a.testa
5a00 62 6c 65 20 72 65 73 75 6c 74 2c 20 77 65 20 6a 75 73 74 20 68 61 76 65 20 6f 6e 65 20 49 50 20 ble.result,.we.just.have.one.IP.
5a20 69 6e 20 74 68 65 20 44 48 43 50 20 72 61 6e 67 65 2e 20 45 78 70 61 6e 64 20 69 74 20 61 73 20 in.the.DHCP.range..Expand.it.as.
5a40 79 6f 75 20 6e 65 65 64 20 69 74 2e 00 41 66 74 65 72 20 79 6f 75 20 68 61 76 65 20 65 61 63 68 you.need.it..After.you.have.each
5a60 20 70 75 62 6c 69 63 20 6b 65 79 2e 20 54 68 65 20 77 69 72 65 67 75 61 72 64 20 69 6e 74 65 72 .public.key..The.wireguard.inter
5a80 66 61 63 65 73 20 63 61 6e 20 62 65 20 73 65 74 75 70 2e 00 41 6c 6c 20 6f 75 74 67 6f 69 6e 67 faces.can.be.setup..All.outgoing
5aa0 20 70 61 63 6b 65 74 73 20 61 72 65 20 61 73 73 69 67 6e 65 64 20 74 68 65 20 73 6f 75 72 63 65 .packets.are.assigned.the.source
5ac0 20 61 64 64 72 65 73 73 20 6f 66 20 74 68 65 20 61 73 73 69 67 6e 65 64 20 69 6e 74 65 72 66 61 .address.of.the.assigned.interfa
5ae0 63 65 20 28 53 4e 41 54 29 2e 00 41 6c 6c 20 74 72 61 66 66 69 63 20 63 6f 6d 69 6e 67 20 69 6e ce.(SNAT)..All.traffic.coming.in
5b00 20 74 68 72 6f 75 67 68 20 65 74 68 32 20 69 73 20 62 61 6c 61 6e 63 65 64 20 62 65 74 77 65 65 .through.eth2.is.balanced.betwee
5b20 6e 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 6f 6e 20 74 68 65 20 72 6f 75 74 65 72 2e 00 41 n.eth0.and.eth1.on.the.router..A
5b40 6c 6c 6f 77 20 44 48 43 50 76 36 20 70 61 63 6b 65 74 73 20 66 6f 72 20 72 6f 75 74 65 72 00 41 llow.DHCPv6.packets.for.router.A
5b60 6c 6c 6f 77 20 44 4e 53 20 72 65 71 75 65 73 74 73 20 6f 6e 6c 79 20 6f 6e 6c 79 20 66 6f 72 20 llow.DNS.requests.only.only.for.
5b80 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 73 2e 00 41 6c 6c 6f 77 20 49 43 4d 50 20 6f 6e 20 61 6c local.networks..Allow.ICMP.on.al
5ba0 6c 20 69 6e 74 65 72 66 61 63 65 73 2e 00 41 6c 6c 6f 77 20 61 63 63 65 73 73 20 74 6f 20 74 68 l.interfaces..Allow.access.to.th
5bc0 65 20 72 6f 75 74 65 72 20 6f 6e 6c 79 20 66 72 6f 6d 20 74 72 75 73 74 65 64 20 6e 65 74 77 6f e.router.only.from.trusted.netwo
5be0 72 6b 73 2e 00 41 6c 6c 6f 77 20 61 6c 6c 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 rks..Allow.all.established.and.r
5c00 65 6c 61 74 65 64 20 74 72 61 66 66 69 63 20 66 6f 72 20 72 6f 75 74 65 72 20 61 6e 64 20 4c 41 elated.traffic.for.router.and.LA
5c20 4e 00 41 6c 6c 6f 77 20 61 6c 6c 20 69 63 6d 70 76 36 20 70 61 63 6b 65 74 73 20 66 6f 72 20 72 N.Allow.all.icmpv6.packets.for.r
5c40 6f 75 74 65 72 20 61 6e 64 20 4c 41 4e 00 41 6c 6c 6f 77 20 61 6c 6c 20 6e 65 77 20 63 6f 6e 6e outer.and.LAN.Allow.all.new.conn
5c60 65 63 74 69 6f 6e 73 20 66 72 6f 6d 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 73 2e 00 41 6c 6c 6f ections.from.local.subnets..Allo
5c80 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 6f 20 50 52 4f 44 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e w.connection.to.PROD..Allow.conn
5ca0 65 63 74 69 6f 6e 73 20 66 72 6f 6d 20 4c 41 4e 73 20 74 6f 20 4c 41 4e 73 20 74 68 72 6f 75 67 ections.from.LANs.to.LANs.throug
5cc0 68 20 74 68 65 20 74 75 6e 6e 65 6c 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 h.the.tunnel..Allow.connections.
5ce0 66 72 6f 6d 20 4c 41 4e 73 20 74 6f 20 4c 41 4e 73 20 74 68 72 6f 75 67 68 74 20 74 68 65 20 74 from.LANs.to.LANs.throught.the.t
5d00 75 6e 6e 65 6c 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 4c 41 4e 20 unnel..Allow.connections.to.LAN.
5d20 61 6e 64 20 50 52 4f 44 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 50 and.PROD..Allow.connections.to.P
5d40 52 4f 44 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 62 72 69 64 67 65 ROD..Allow.connections.to.bridge
5d60 20 62 72 31 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 69 6e 74 65 72 .br1..Allow.connections.to.inter
5d80 6e 65 74 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 69 6e 74 65 72 6e 65 net.Allow.connections.to.interne
5da0 74 28 57 41 4e 29 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 69 6e 74 t(WAN)..Allow.connections.to.int
5dc0 65 72 6e 65 74 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 74 68 65 20 ernet..Allow.connections.to.the.
5de0 72 6f 75 74 65 72 2e 00 41 6c 6c 6f 77 20 64 6e 73 20 72 65 71 75 65 73 74 73 20 6f 6e 6c 79 20 router..Allow.dns.requests.only.
5e00 6f 6e 6c 79 20 66 6f 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 73 2e 00 41 6c 6c 6f 77 20 69 only.for.local.networks..Allow.i
5e20 63 6d 70 20 6f 6e 20 61 6c 6c 20 69 6e 74 65 72 66 61 63 65 73 2e 00 41 6c 73 6f 20 77 65 20 63 cmp.on.all.interfaces..Also.we.c
5e40 61 6e 20 76 65 72 69 66 79 20 68 6f 77 20 50 45 20 64 65 76 69 63 65 73 20 72 65 63 65 69 76 65 an.verify.how.PE.devices.receive
5e60 73 20 56 50 4e 76 34 20 6e 65 74 77 6f 72 6b 73 20 66 72 6f 6d 20 74 68 65 20 52 52 73 20 61 6e s.VPNv4.networks.from.the.RRs.an
5e80 64 20 69 6e 73 74 61 6c 6c 69 6e 67 20 74 68 65 6d 20 74 6f 20 74 68 65 20 73 70 65 63 69 66 69 d.installing.them.to.the.specifi
5ea0 63 20 63 75 73 74 6f 6d 65 72 20 56 52 46 73 3a 00 41 6c 73 6f 2c 20 77 65 20 61 72 65 20 61 64 c.customer.VRFs:.Also,.we.are.ad
5ec0 64 69 6e 67 20 67 6c 6f 62 61 6c 20 73 74 61 74 65 20 70 6f 6c 69 63 69 65 73 2c 20 69 6e 20 6f ding.global.state.policies,.in.o
5ee0 72 64 65 72 20 74 6f 20 61 6c 6c 6f 77 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 rder.to.allow.established.and.re
5f00 6c 61 74 65 64 20 74 72 61 66 66 69 63 2c 20 69 6e 20 6f 72 64 65 72 20 6e 6f 74 20 74 6f 20 64 lated.traffic,.in.order.not.to.d
5f20 72 6f 70 20 76 61 6c 69 64 20 72 65 73 70 6f 6e 73 65 73 3a 00 41 6c 73 6f 2c 20 77 65 20 61 72 rop.valid.responses:.Also,.we.ar
5f40 65 20 67 6f 69 6e 67 20 74 6f 20 75 73 65 20 66 69 72 65 77 61 6c 6c 20 69 6e 74 65 72 66 61 63 e.going.to.use.firewall.interfac
5f60 65 20 67 72 6f 75 70 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 73 69 6d 70 6c 69 66 79 20 74 68 e.groups.in.order.to.simplify.th
5f80 65 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 41 6c 73 6f 2c 20 e.firewall.configuration..Also,.
5fa0 77 65 20 63 61 6e 20 63 68 65 63 6b 20 66 69 72 65 77 61 6c 6c 20 63 6f 75 6e 74 65 72 73 3a 00 we.can.check.firewall.counters:.
5fc0 41 6e 20 4c 33 56 50 4e 20 63 6f 6e 73 69 73 74 73 20 6f 66 20 6d 75 6c 74 69 70 6c 65 20 61 63 An.L3VPN.consists.of.multiple.ac
5fe0 63 65 73 73 20 6c 69 6e 6b 73 2c 20 6d 75 6c 74 69 70 6c 65 20 56 50 4e 20 72 6f 75 74 69 6e 67 cess.links,.multiple.VPN.routing
6000 20 61 6e 64 20 66 6f 72 77 61 72 64 69 6e 67 20 28 56 52 46 29 20 74 61 62 6c 65 73 2c 20 61 6e .and.forwarding.(VRF).tables,.an
6020 64 20 6d 75 6c 74 69 70 6c 65 20 4d 50 4c 53 20 70 61 74 68 73 20 6f 72 20 6d 75 6c 74 69 70 6c d.multiple.MPLS.paths.or.multipl
6040 65 20 50 32 4d 50 20 4c 53 50 73 2e 20 41 6e 20 4c 33 56 50 4e 20 63 61 6e 20 62 65 20 63 6f 6e e.P2MP.LSPs..An.L3VPN.can.be.con
6060 66 69 67 75 72 65 64 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 77 6f 20 6f 72 20 6d 6f 72 65 20 63 figured.to.connect.two.or.more.c
6080 75 73 74 6f 6d 65 72 20 73 69 74 65 73 2e 20 49 6e 20 68 75 62 2d 61 6e 64 2d 73 70 6f 6b 65 20 ustomer.sites..In.hub-and-spoke.
60a0 4d 50 4c 53 20 4c 33 56 50 4e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 73 2c 20 74 68 65 20 73 70 6f MPLS.L3VPN.environments,.the.spo
60c0 6b 65 20 72 6f 75 74 65 72 73 20 6e 65 65 64 20 74 6f 20 68 61 76 65 20 75 6e 69 71 75 65 20 52 ke.routers.need.to.have.unique.R
60e0 6f 75 74 65 20 44 69 73 74 69 6e 67 75 69 73 68 65 72 73 20 28 52 44 73 29 2e 20 49 6e 20 6f 72 oute.Distinguishers.(RDs)..In.or
6100 64 65 72 20 74 6f 20 75 73 65 20 74 68 65 20 68 75 62 20 73 69 74 65 20 61 73 20 61 20 74 72 61 der.to.use.the.hub.site.as.a.tra
6120 6e 73 69 74 20 70 6f 69 6e 74 20 66 6f 72 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 6e 20 73 nsit.point.for.connectivity.in.s
6140 75 63 68 20 61 6e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 2c 20 74 68 65 20 73 70 6f 6b 65 20 73 69 uch.an.environment,.the.spoke.si
6160 74 65 73 20 65 78 70 6f 72 74 20 74 68 65 69 72 20 72 6f 75 74 65 73 20 74 6f 20 74 68 65 20 68 tes.export.their.routes.to.the.h
6180 75 62 2e 20 53 70 6f 6b 65 73 20 63 61 6e 20 74 61 6c 6b 20 74 6f 20 68 75 62 73 2c 20 62 75 74 ub..Spokes.can.talk.to.hubs,.but
61a0 20 6e 65 76 65 72 20 68 61 76 65 20 64 69 72 65 63 74 20 70 61 74 68 73 20 74 6f 20 6f 74 68 65 .never.have.direct.paths.to.othe
61c0 72 20 73 70 6f 6b 65 73 2e 20 41 6c 6c 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 73 70 r.spokes..All.traffic.between.sp
61e0 6f 6b 65 73 20 69 73 20 63 6f 6e 74 72 6f 6c 6c 65 64 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 okes.is.controlled.and.delivered
6200 20 6f 76 65 72 20 74 68 65 20 68 75 62 20 73 69 74 65 2e 00 41 6e 64 20 4e 41 54 20 43 6f 6e 66 .over.the.hub.site..And.NAT.Conf
6220 69 67 75 72 61 74 69 6f 6e 3a 00 41 6e 64 20 62 65 66 6f 72 65 20 66 69 72 65 77 61 6c 6c 20 72 iguration:.And.before.firewall.r
6240 75 6c 65 73 20 61 72 65 20 73 68 6f 77 6e 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 70 61 79 20 61 ules.are.shown,.we.need.to.pay.a
6260 74 74 65 6e 74 69 6f 6e 20 68 6f 77 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 6e 64 20 6d 61 ttention.how.to.configure.and.ma
6280 74 63 68 20 69 6e 74 65 72 66 61 63 65 73 20 61 6e 64 20 56 52 46 73 2e 20 49 6e 20 63 61 73 65 tch.interfaces.and.VRFs..In.case
62a0 20 77 68 65 72 65 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 20 .where.an.interface.is.assigned.
62c0 74 6f 20 61 20 6e 6f 6e 2d 64 65 66 61 75 6c 74 20 56 52 46 2c 20 69 66 20 77 65 20 77 61 6e 74 to.a.non-default.VRF,.if.we.want
62e0 20 74 6f 20 75 73 65 20 69 6e 62 6f 75 6e 64 2d 69 6e 74 65 72 66 61 63 65 20 6f 72 20 6f 75 74 .to.use.inbound-interface.or.out
6300 62 6f 75 6e 64 2d 69 6e 74 65 72 66 61 63 65 20 69 6e 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 bound-interface.in.firewall.rule
6320 73 2c 20 77 65 20 6e 65 65 64 20 74 6f 3a 00 41 6e 64 20 66 69 6e 61 6c 6c 79 2c 20 77 65 20 6e s,.we.need.to:.And.finally,.we.n
6340 65 65 64 20 74 6f 20 61 6c 6c 6f 77 20 69 6e 70 75 74 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 eed.to.allow.input.connections.t
6360 6f 20 74 68 65 20 72 6f 75 74 65 72 20 69 74 73 65 6c 66 20 6f 6e 6c 79 20 66 72 6f 6d 20 76 72 o.the.router.itself.only.from.vr
6380 66 20 4d 47 4d 54 3a 00 41 6e 64 20 66 6f 72 20 74 72 61 66 66 69 63 20 74 68 61 74 20 69 73 20 f.MGMT:.And.for.traffic.that.is.
63a0 67 6f 69 6e 67 20 74 6f 20 6f 74 68 65 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 73 2c 20 61 going.to.other.local.networks,.a
63c0 6e 64 20 74 6f 20 68 65 20 49 6e 74 65 72 6e 65 74 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 75 73 nd.to.he.Internet,.we.need.to.us
63e0 65 20 74 68 65 20 62 61 73 65 20 63 68 61 69 6e 20 60 60 66 6f 72 77 61 72 64 60 60 2e 20 41 73 e.the.base.chain.``forward``..As
6400 20 69 6e 20 74 68 65 20 62 72 69 64 67 65 20 66 69 72 65 77 61 6c 6c 2c 20 77 65 20 61 72 65 20 .in.the.bridge.firewall,.we.are.
6420 67 6f 69 6e 67 20 74 6f 20 75 73 65 20 63 75 73 74 6f 6d 20 72 75 6c 65 73 65 74 73 20 66 6f 72 going.to.use.custom.rulesets.for
6440 20 65 61 63 68 20 62 72 69 64 67 65 2c 20 74 68 61 74 20 77 6f 75 6c 64 20 62 65 20 75 73 65 64 .each.bridge,.that.would.be.used
6460 20 69 6e 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 63 68 61 69 6e 2e 20 54 68 6f 73 65 .in.the.``forward``.chain..Those
6480 20 72 75 6c 65 73 65 74 73 20 61 72 65 20 60 60 69 70 2d 62 72 31 2d 66 77 64 60 60 20 61 6e 64 .rulesets.are.``ip-br1-fwd``.and
64a0 20 60 60 69 70 2d 62 72 32 2d 66 77 64 60 60 3a 00 41 6e 64 20 70 69 6e 67 20 74 68 65 20 42 72 .``ip-br2-fwd``:.And.ping.the.Br
64c0 61 6e 63 68 20 50 43 20 66 72 6f 6d 20 79 6f 75 72 20 63 65 6e 74 72 61 6c 20 72 6f 75 74 65 72 anch.PC.from.your.central.router
64e0 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 72 65 73 70 6f 6e 73 65 2e 00 41 6e 64 20 73 68 6f 77 .to.check.the.response..And.show
6500 20 61 6c 6c 20 44 48 43 50 20 4c 65 61 73 65 73 00 41 6e 64 20 74 68 65 20 60 60 63 6c 69 65 6e .all.DHCP.Leases.And.the.``clien
6520 74 60 60 20 74 6f 20 72 65 63 65 69 76 65 20 61 6e 20 49 50 76 36 20 61 64 64 72 65 73 73 20 77 t``.to.receive.an.IPv6.address.w
6540 69 74 68 20 73 74 61 74 65 6c 65 73 73 20 61 75 74 6f 63 6f 6e 66 69 67 2e 00 41 6e 64 20 74 68 ith.stateless.autoconfig..And.th
6560 65 20 63 6f 6e 74 65 6e 74 20 6f 66 20 74 68 65 20 63 75 73 74 6f 6d 20 72 75 6c 65 73 65 74 73 e.content.of.the.custom.rulesets
6580 3a 00 41 6e 64 20 74 68 65 6e 20 63 72 65 61 74 65 20 74 68 65 20 63 75 73 74 6f 6d 20 72 75 6c :.And.then.create.the.custom.rul
65a0 65 73 65 74 73 3a 00 41 6e 64 20 77 69 74 68 20 6f 70 65 72 61 74 69 6f 6e 61 6c 20 6d 6f 64 65 esets:.And.with.operational.mode
65c0 20 63 6f 6d 6d 61 6e 64 73 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 72 75 6c 65 73 20 6d 61 .commands,.we.can.check.rules.ma
65e0 74 63 68 65 72 73 2c 20 61 63 74 69 6f 6e 73 2c 20 61 6e 64 20 63 6f 75 6e 74 65 72 73 2e 00 41 tchers,.actions,.and.counters..A
6600 6e 73 69 62 6c 65 20 45 78 61 6d 70 6c 65 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 41 6e nsible.Example.topology.image.An
6620 73 69 62 6c 65 20 65 78 61 6d 70 6c 65 00 41 6e 79 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 72 65 sible.example.Any.information.re
6640 6c 61 74 65 64 20 74 6f 20 61 20 56 52 46 20 69 73 20 6e 6f 74 20 65 78 63 68 61 6e 67 65 64 20 lated.to.a.VRF.is.not.exchanged.
6660 62 65 74 77 65 65 6e 20 64 65 76 69 63 65 73 20 2d 6f 72 20 69 6e 20 74 68 65 20 73 61 6d 65 20 between.devices.-or.in.the.same.
6680 64 65 76 69 63 65 2d 20 62 79 20 64 65 66 61 75 6c 74 2c 20 74 68 69 73 20 69 73 20 61 20 74 65 device-.by.default,.this.is.a.te
66a0 63 68 6e 69 71 75 65 20 63 61 6c 6c 65 64 20 2a 2a 56 52 46 2d 4c 69 74 65 2a 2a 2e 00 41 70 70 chnique.called.**VRF-Lite**..App
66c0 65 6e 64 69 78 2d 41 00 41 70 70 65 6e 64 69 78 2d 42 00 41 73 20 61 20 72 65 6d 69 6e 64 65 72 endix-A.Appendix-B.As.a.reminder
66e0 2c 20 68 65 72 65 27 73 20 61 20 6c 69 6e 6b 20 74 6f 20 74 68 65 20 3a 64 6f 63 3a 60 66 69 72 ,.here's.a.link.to.the.:doc:`fir
6700 65 77 61 6c 6c 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 3c 2f 63 6f 6e 66 69 67 75 72 61 74 ewall.documentation.</configurat
6720 69 6f 6e 2f 66 69 72 65 77 61 6c 6c 2f 69 6e 64 65 78 3e 60 2c 20 77 68 65 72 65 20 79 6f 75 20 ion/firewall/index>`,.where.you.
6740 63 61 6e 20 66 69 6e 64 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 can.find.more.information.about.
6760 74 68 65 20 70 61 63 6b 65 74 20 66 6c 6f 77 20 66 6f 72 20 74 72 61 66 66 69 63 20 74 68 61 74 the.packet.flow.for.traffic.that
6780 20 63 6f 6d 65 73 20 66 72 6f 6d 20 62 72 69 64 67 65 20 6c 61 79 65 72 20 61 6e 64 20 73 68 6f .comes.from.bridge.layer.and.sho
67a0 75 6c 64 20 62 65 20 61 6e 61 6c 69 7a 65 64 20 62 79 20 74 68 65 20 49 50 20 66 69 72 65 77 61 uld.be.analized.by.the.IP.firewa
67c0 6c 6c 2e 00 41 73 20 61 20 72 65 6d 69 6e 64 65 72 2c 20 6f 6e 6c 79 20 61 64 76 65 72 74 69 73 ll..As.a.reminder,.only.advertis
67e0 65 20 72 6f 75 74 65 73 20 74 68 61 74 20 79 6f 75 20 61 72 65 20 74 68 65 20 64 65 66 61 75 6c e.routes.that.you.are.the.defaul
6800 74 20 72 6f 75 74 65 72 20 66 6f 72 2e 20 54 68 69 73 20 69 73 20 77 68 79 20 77 65 20 61 72 65 t.router.for..This.is.why.we.are
6820 20 4e 4f 54 20 61 6e 6e 6f 75 6e 63 69 6e 67 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 .NOT.announcing.the.192.0.2.0/24
6840 20 6e 65 74 77 6f 72 6b 2c 20 62 65 63 61 75 73 65 20 69 66 20 74 68 61 74 20 77 61 73 20 61 6e .network,.because.if.that.was.an
6860 6e 6f 75 6e 63 65 64 20 69 6e 74 6f 20 4f 53 50 46 2c 20 74 68 65 20 6f 74 68 65 72 20 72 6f 75 nounced.into.OSPF,.the.other.rou
6880 74 65 72 73 20 77 6f 75 6c 64 20 74 72 79 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 6f 20 74 68 61 ters.would.try.to.connect.to.tha
68a0 74 20 6e 65 74 77 6f 72 6b 20 6f 76 65 72 20 61 20 74 75 6e 6e 65 6c 20 74 68 61 74 20 63 6f 6e t.network.over.a.tunnel.that.con
68c0 6e 65 63 74 73 20 74 6f 20 74 68 61 74 20 6e 65 74 77 6f 72 6b 21 00 41 73 20 65 78 70 6f 73 65 nects.to.that.network!.As.expose
68e0 64 20 69 6e 20 74 68 65 20 64 69 61 67 72 61 6d 2c 20 74 68 65 72 65 20 61 72 65 20 66 6f 75 72 d.in.the.diagram,.there.are.four
6900 20 56 52 46 73 2e 20 54 68 65 73 65 20 56 52 46 73 20 61 72 65 20 60 60 4d 47 4d 54 60 60 2c 20 .VRFs..These.VRFs.are.``MGMT``,.
6920 60 60 57 41 4e 60 60 2c 20 60 60 4c 41 4e 60 60 20 61 6e 64 20 60 60 50 52 4f 44 60 60 2c 20 61 ``WAN``,.``LAN``.and.``PROD``,.a
6940 6e 64 20 74 68 65 69 72 20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 61 72 65 3a 00 41 73 20 73 61 nd.their.requirements.are:.As.sa
6960 69 64 20 62 65 66 6f 72 65 2c 20 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 63 72 65 61 74 id.before,.we.are.going.to.creat
6980 65 20 63 75 73 74 6f 6d 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 65 74 73 20 66 6f 72 20 65 e.custom.firewall.rulesets.for.e
69a0 61 63 68 20 62 72 69 64 67 65 2c 20 74 68 61 74 20 77 69 6c 6c 20 62 65 20 75 73 65 64 20 69 6e ach.bridge,.that.will.be.used.in
69c0 20 74 68 65 20 60 60 70 72 65 72 6f 75 74 69 6e 67 60 60 20 63 68 61 69 6e 2c 20 69 6e 20 6f 72 .the.``prerouting``.chain,.in.or
69e0 64 65 72 20 74 6f 20 64 72 6f 70 20 61 73 20 6d 75 63 68 20 75 6e 77 61 6e 74 65 64 20 74 72 61 der.to.drop.as.much.unwanted.tra
6a00 66 66 69 63 20 61 73 20 65 61 72 6c 79 20 61 73 20 70 6f 73 73 69 62 6c 65 2e 20 53 6f 2c 20 63 ffic.as.early.as.possible..So,.c
6a20 75 73 74 6f 6d 20 72 75 6c 65 73 65 74 73 20 75 73 65 64 20 69 6e 20 60 60 70 72 65 72 6f 75 74 ustom.rulesets.used.in.``prerout
6a40 69 6e 67 60 60 20 63 68 61 69 6e 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 62 65 20 60 60 62 72 ing``.chain.are.going.to.be.``br
6a60 30 2d 70 72 65 60 60 2c 20 60 60 62 72 31 2d 70 72 65 60 60 2c 20 61 6e 64 20 60 60 62 72 32 2d 0-pre``,.``br1-pre``,.and.``br2-
6a80 70 72 65 60 60 3a 00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 65 76 65 6e 20 69 66 20 62 6f 74 pre``:.As.we.can.see.even.if.bot
6aa0 68 20 56 52 46 20 4c 41 4e 31 20 61 6e 64 20 4c 41 4e 32 20 68 61 73 20 74 68 65 20 73 61 6d 65 h.VRF.LAN1.and.LAN2.has.the.same
6ac0 20 69 6d 70 6f 72 74 20 52 54 73 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 73 65 6c 65 63 .import.RTs.we.are.able.to.selec
6ae0 74 20 77 68 69 63 68 20 72 6f 75 74 65 73 20 61 72 65 20 65 66 66 65 63 74 69 76 65 6c 79 20 69 t.which.routes.are.effectively.i
6b00 6d 70 6f 72 74 65 64 20 61 6e 64 20 69 6e 73 74 61 6c 6c 65 64 2e 00 41 73 20 77 65 20 63 61 6e mported.and.installed..As.we.can
6b20 20 73 65 65 20 69 6e 20 74 68 65 20 42 47 50 20 74 61 62 6c 65 20 61 6e 79 20 69 6d 70 6f 72 74 .see.in.the.BGP.table.any.import
6b40 65 64 20 72 6f 75 74 65 20 68 61 73 20 62 65 65 6e 20 69 6e 6a 65 63 74 65 64 20 77 69 74 68 20 ed.route.has.been.injected.with.
6b60 61 20 22 40 22 20 66 6f 6c 6c 6f 77 65 64 20 62 79 20 74 68 65 20 56 50 4e 20 69 64 3b 20 49 6e a."@".followed.by.the.VPN.id;.In
6b80 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6f 66 20 74 68 65 20 56 52 46 2c 20 69 .the.routing.table.of.the.VRF,.i
6ba0 66 20 74 68 65 20 72 6f 75 74 65 20 77 61 73 20 69 6e 73 74 61 6c 6c 65 64 2c 20 77 65 20 63 61 f.the.route.was.installed,.we.ca
6bc0 6e 20 73 65 65 20 2d 62 65 74 77 65 65 6e 20 72 6f 75 6e 64 20 62 72 61 63 6b 65 74 73 2d 20 74 n.see.-between.round.brackets-.t
6be0 68 65 20 65 78 70 6f 72 74 65 64 20 56 52 46 20 74 61 62 6c 65 2e 00 41 73 20 77 65 20 63 61 6e he.exported.VRF.table..As.we.can
6c00 20 73 65 65 20 74 68 69 73 20 69 73 20 75 6e 70 72 61 63 74 69 63 61 6c 2e 00 41 73 20 77 65 20 .see.this.is.unpractical..As.we.
6c20 6b 6e 6f 77 20 74 68 65 20 6d 61 69 6e 20 61 73 73 75 6d 70 74 69 6f 6e 20 6f 66 20 4c 33 56 50 know.the.main.assumption.of.L3VP
6c40 4e 20 e2 80 9c 48 75 62 20 61 6e 64 20 53 70 6f 6b 65 e2 80 9d 20 69 73 2c 20 74 68 61 74 20 74 N....Hub.and.Spoke....is,.that.t
6c60 68 65 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 73 70 6f 6b 65 73 20 68 61 76 65 20 74 he.traffic.between.spokes.have.t
6c80 6f 20 70 61 73 73 20 76 69 61 20 68 75 62 2c 20 69 6e 20 6f 75 72 20 73 63 65 6e 61 72 69 6f 20 o.pass.via.hub,.in.our.scenario.
6ca0 56 79 4f 53 2d 50 45 32 20 69 73 20 74 68 65 20 48 75 62 20 50 45 20 61 6e 64 20 74 68 65 20 56 VyOS-PE2.is.the.Hub.PE.and.the.V
6cc0 79 4f 53 2d 43 45 31 2d 48 55 42 20 69 73 20 74 68 65 20 63 65 6e 74 72 61 6c 20 63 75 73 74 6f yOS-CE1-HUB.is.the.central.custo
6ce0 6d 65 72 20 6f 66 66 69 63 65 20 64 65 76 69 63 65 20 74 68 61 74 20 69 73 20 72 65 73 70 6f 6e mer.office.device.that.is.respon
6d00 73 69 62 6c 65 20 66 6f 72 20 63 6f 6e 74 72 6f 6c 6c 69 6e 67 20 61 63 63 65 73 73 20 62 65 74 sible.for.controlling.access.bet
6d20 77 65 65 6e 20 61 6c 6c 20 73 70 6f 6b 65 73 20 61 6e 64 20 61 6e 6e 6f 75 6e 63 69 6e 67 20 69 ween.all.spokes.and.announcing.i
6d40 74 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 28 31 30 2e 30 2e 30 2e 31 30 30 2f ts.network.prefixes.(10.0.0.100/
6d60 33 32 29 2e 20 56 79 4f 53 2d 50 45 32 20 68 61 73 20 74 68 65 20 6d 61 69 6e 20 56 52 46 20 28 32)..VyOS-PE2.has.the.main.VRF.(
6d80 69 74 73 20 6e 61 6d 65 20 69 73 20 42 4c 55 45 5f 48 55 42 29 2c 20 69 74 73 20 6f 77 6e 20 52 its.name.is.BLUE_HUB),.its.own.R
6da0 6f 75 74 65 2d 44 69 73 74 69 6e 67 75 69 73 68 65 72 28 52 44 29 20 61 6e 64 20 72 6f 75 74 65 oute-Distinguisher(RD).and.route
6dc0 2d 74 61 72 67 65 74 20 69 6d 70 6f 72 74 2f 65 78 70 6f 72 74 20 6c 69 73 74 73 2e 20 4d 75 6c -target.import/export.lists..Mul
6de0 74 69 70 72 6f 74 6f 63 6f 6c 2d 42 47 50 28 4d 50 2d 42 47 50 29 20 64 65 6c 69 76 65 72 73 20 tiprotocol-BGP(MP-BGP).delivers.
6e00 4c 33 56 50 4e 20 72 65 6c 61 74 65 64 20 63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e 65 20 69 6e 66 6f L3VPN.related.control-plane.info
6e20 72 6d 61 74 69 6f 6e 20 74 6f 20 74 68 65 20 6e 6f 64 65 73 20 61 63 72 6f 73 73 20 6e 65 74 77 rmation.to.the.nodes.across.netw
6e40 6f 72 6b 20 77 68 65 72 65 20 50 45 73 20 53 70 6f 6b 65 73 20 69 6d 70 6f 72 74 20 74 68 65 20 ork.where.PEs.Spokes.import.the.
6e60 72 6f 75 74 65 2d 74 61 72 67 65 74 20 36 30 35 33 35 3a 31 30 33 30 20 28 74 68 69 73 20 69 73 route-target.60535:1030.(this.is
6e80 20 65 78 70 6f 72 74 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 6f 66 20 76 72 66 20 42 4c 55 45 .export.route-target.of.vrf.BLUE
6ea0 5f 48 55 42 29 20 61 6e 64 20 65 78 70 6f 72 74 20 69 74 73 20 6f 77 6e 20 72 6f 75 74 65 2d 74 _HUB).and.export.its.own.route-t
6ec0 61 72 67 65 74 20 36 30 35 33 35 3a 31 30 31 31 28 74 68 69 73 20 69 73 20 76 72 66 20 42 4c 55 arget.60535:1011(this.is.vrf.BLU
6ee0 45 5f 53 50 4f 4b 45 20 65 78 70 6f 72 74 20 72 6f 75 74 65 2d 74 61 72 67 65 74 29 2e 20 54 68 E_SPOKE.export.route-target)..Th
6f00 65 72 65 66 6f 72 65 2c 20 74 68 65 20 43 75 73 74 6f 6d 65 72 20 65 64 67 65 20 6e 6f 64 65 73 erefore,.the.Customer.edge.nodes
6f20 20 63 61 6e 20 6f 6e 6c 79 20 6c 65 61 72 6e 20 74 68 65 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 .can.only.learn.the.network.pref
6f40 69 78 65 73 20 6f 66 20 74 68 65 20 48 55 42 20 73 69 74 65 20 5b 31 30 2e 30 2e 30 2e 31 30 30 ixes.of.the.HUB.site.[10.0.0.100
6f60 2f 33 32 5d 2e 20 46 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 56 79 4f 53 2d 43 45 31 20 /32]..For.this.example.VyOS-CE1.
6f80 68 61 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 5b 31 30 2e 30 2e 30 2e 38 30 2f has.network.prefixes.[10.0.0.80/
6fa0 33 32 5d 20 2f 20 56 79 4f 53 2d 43 45 32 20 68 61 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 32]./.VyOS-CE2.has.network.prefi
6fc0 78 65 73 20 5b 31 30 2e 30 2e 30 2e 39 30 2f 33 32 5d 2e 20 52 6f 75 74 65 2d 52 65 66 6c 65 63 xes.[10.0.0.90/32]..Route-Reflec
6fe0 74 6f 72 20 64 65 76 69 63 65 73 20 56 79 4f 53 2d 52 52 31 20 61 6e 64 20 56 79 4f 53 2d 52 52 tor.devices.VyOS-RR1.and.VyOS-RR
7000 32 20 61 72 65 20 75 73 65 64 20 74 6f 20 73 69 6d 70 6c 69 66 79 20 6e 65 74 77 6f 72 6b 20 72 2.are.used.to.simplify.network.r
7020 6f 75 74 65 73 20 65 78 63 68 61 6e 67 65 20 61 6e 64 20 6d 69 6e 69 6d 69 7a 65 20 69 42 47 50 outes.exchange.and.minimize.iBGP
7040 20 70 65 65 72 69 6e 67 73 20 62 65 74 77 65 65 6e 20 64 65 76 69 63 65 73 2e 00 41 73 20 77 65 .peerings.between.devices..As.we
7060 20 73 65 65 20 73 68 61 70 65 72 20 69 73 20 77 6f 72 6b 69 6e 67 20 61 6e 64 20 74 68 65 20 74 .see.shaper.is.working.and.the.t
7080 72 61 66 66 69 63 20 77 69 6c 6c 20 6e 6f 74 20 77 6f 72 6b 20 6f 76 65 72 20 35 20 4d 62 69 74 raffic.will.not.work.over.5.Mbit
70a0 2f 73 2e 00 41 73 73 69 67 6e 20 65 78 74 65 72 6e 61 6c 20 49 50 20 61 64 64 72 65 73 73 65 73 /s..Assign.external.IP.addresses
70c0 00 41 73 73 75 6d 69 6e 67 20 74 68 65 20 70 69 6e 67 73 20 61 72 65 20 73 75 63 63 65 73 73 66 .Assuming.the.pings.are.successf
70e0 75 6c 2c 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 61 64 64 20 73 6f 6d 65 20 44 4e 53 20 73 65 72 ul,.you.need.to.add.some.DNS.ser
7100 76 65 72 73 2e 20 53 6f 6d 65 20 6f 70 74 69 6f 6e 73 3a 00 41 74 20 74 68 65 20 66 69 72 73 74 vers..Some.options:.At.the.first
7120 20 73 74 65 70 20 77 65 20 6e 65 65 64 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 49 .step.we.need.to.configure.the.I
7140 50 2f 4d 50 4c 53 20 62 61 63 6b 62 6f 6e 65 20 6e 65 74 77 6f 72 6b 20 75 73 69 6e 67 20 4f 53 P/MPLS.backbone.network.using.OS
7160 50 46 20 61 73 20 49 47 50 20 70 72 6f 74 6f 63 6f 6c 20 61 6e 64 20 4c 44 50 20 61 73 20 6c 61 PF.as.IGP.protocol.and.LDP.as.la
7180 62 65 6c 2d 73 77 69 74 63 68 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 66 6f 72 20 74 68 65 20 62 bel-switching.protocol.for.the.b
71a0 61 73 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 62 65 74 77 65 65 6e 20 2a 2a 50 2a 2a 20 28 ase.connectivity.between.**P**.(
71c0 72 6f 76 69 64 65 72 29 2c 20 2a 2a 50 2a 2a 20 28 72 6f 76 69 64 65 72 29 20 2a 2a 45 2a 2a 20 rovider),.**P**.(rovider).**E**.
71e0 28 64 67 65 29 20 61 6e 64 20 2a 2a 52 2a 2a 20 28 6f 75 74 65 29 20 2a 2a 52 2a 2a 20 28 65 66 (dge).and.**R**.(oute).**R**.(ef
7200 6c 65 63 74 6f 72 29 20 6e 6f 64 65 73 3a 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f lector).nodes:.At.this.point,.yo
7220 75 20 6e 6f 77 20 6e 65 65 64 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 58 20 6c 69 6e 6b 20 u.now.need.to.create.the.X.link.
7240 62 65 74 77 65 65 6e 20 61 6c 6c 20 66 6f 75 72 20 72 6f 75 74 65 72 73 2e 20 55 73 65 20 61 6d between.all.four.routers..Use.am
7260 64 69 66 66 65 72 65 6e 74 20 2f 33 30 20 66 6f 72 20 65 61 63 68 20 6c 69 6e 6b 2e 00 41 74 20 different./30.for.each.link..At.
7280 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 this.point,.you.should.be.able.t
72a0 6f 20 53 53 48 20 69 6e 74 6f 20 62 6f 74 68 20 6f 66 20 74 68 65 6d 2c 20 61 6e 64 20 77 69 6c o.SSH.into.both.of.them,.and.wil
72c0 6c 20 6e 6f 20 6c 6f 6e 67 65 72 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 63 l.no.longer.need.access.to.the.c
72e0 6f 6e 73 6f 6c 65 20 28 75 6e 6c 65 73 73 20 79 6f 75 20 62 72 65 61 6b 20 73 6f 6d 65 74 68 69 onsole.(unless.you.break.somethi
7300 6e 67 21 29 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 ng!).At.this.point,.you.should.b
7320 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 62 6f 74 68 20 49 50 20 61 64 64 72 65 73 73 65 73 20 e.able.to.see.both.IP.addresses.
7340 77 68 65 6e 20 79 6f 75 20 72 75 6e 20 60 60 73 68 6f 77 20 69 6e 74 65 72 66 61 63 65 73 60 60 when.you.run.``show.interfaces``
7360 5c 20 2c 20 61 6e 64 20 60 60 73 68 6f 77 20 76 72 72 70 60 60 20 73 68 6f 75 6c 64 20 73 68 6f \.,.and.``show.vrrp``.should.sho
7380 77 20 62 6f 74 68 20 69 6e 74 65 72 66 61 63 65 73 20 69 6e 20 4d 41 53 54 45 52 20 73 74 61 74 w.both.interfaces.in.MASTER.stat
73a0 65 20 28 61 6e 64 20 53 4c 41 56 45 20 73 74 61 74 65 20 6f 6e 20 72 6f 75 74 65 72 32 29 2e 00 e.(and.SLAVE.state.on.router2)..
73c0 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 72 20 56 79 4f 53 20 69 6e 73 74 61 6c 6c At.this.point,.your.VyOS.install
73e0 20 73 68 6f 75 6c 64 20 68 61 76 65 20 66 75 6c 6c 20 49 50 76 36 2c 20 62 75 74 20 6e 6f 77 20 .should.have.full.IPv6,.but.now.
7400 79 6f 75 72 20 4c 41 4e 20 64 65 76 69 63 65 73 20 6e 65 65 64 20 61 63 63 65 73 73 2e 00 41 74 your.LAN.devices.need.access..At
7420 20 74 68 69 73 20 73 74 65 70 20 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 65 6e 61 62 6c .this.step.we.are.going.to.enabl
7440 65 20 69 42 47 50 20 70 72 6f 74 6f 63 6f 6c 20 6f 6e 20 4d 50 4c 53 20 6e 6f 64 65 73 20 61 6e e.iBGP.protocol.on.MPLS.nodes.an
7460 64 20 52 6f 75 74 65 20 52 65 66 6c 65 63 74 6f 72 73 20 28 74 77 6f 20 72 6f 75 74 65 72 73 20 d.Route.Reflectors.(two.routers.
7480 66 6f 72 20 72 65 64 75 6e 64 61 6e 63 79 29 20 74 68 61 74 20 77 69 6c 6c 20 64 65 6c 69 76 65 for.redundancy).that.will.delive
74a0 72 20 49 50 76 34 20 56 50 4e 20 28 4c 33 56 50 4e 29 20 72 6f 75 74 65 73 20 62 65 74 77 65 65 r.IPv4.VPN.(L3VPN).routes.betwee
74c0 6e 20 74 68 65 6d 3a 00 41 7a 75 72 65 20 41 53 4e 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 n.them:.Azure.ASN.Azure.VNet.Gat
74e0 65 77 61 79 20 31 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 eway.1.public.IP.Azure.VNet.Gate
7500 77 61 79 20 32 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 way.2.public.IP.Azure.VNet.Gatew
7520 61 79 20 42 47 50 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 70 75 62 ay.BGP.IP.Azure.VNet.Gateway.pub
7540 6c 69 63 20 49 50 00 41 7a 75 72 65 20 61 64 64 72 65 73 73 20 73 70 61 63 65 00 42 47 50 00 42 lic.IP.Azure.address.space.BGP.B
7560 47 50 20 49 50 76 36 20 75 6e 6e 75 6d 62 65 72 65 64 20 77 69 74 68 20 65 78 74 65 6e 64 65 64 GP.IPv6.unnumbered.with.extended
7580 20 6e 65 78 74 68 6f 70 00 42 47 50 20 69 73 20 61 6e 20 65 78 74 72 65 6d 65 6c 79 20 63 6f 6d .nexthop.BGP.is.an.extremely.com
75a0 70 6c 65 78 20 6e 65 74 77 6f 72 6b 20 70 72 6f 74 6f 63 6f 6c 2e 20 41 6e 20 65 78 61 6d 70 6c plex.network.protocol..An.exampl
75c0 65 20 69 73 20 70 72 6f 76 69 64 65 64 20 68 65 72 65 2e 00 42 4c 55 45 5f 48 55 42 00 42 4c 55 e.is.provided.here..BLUE_HUB.BLU
75e0 45 5f 53 50 4f 4b 45 00 42 61 73 65 64 20 6f 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 E_SPOKE.Based.on.the.previous.ex
7600 61 6d 70 6c 65 2c 20 61 6e 6f 74 68 65 72 20 72 75 6c 65 20 66 6f 72 20 74 72 61 66 66 69 63 20 ample,.another.rule.for.traffic.
7620 66 72 6f 6d 20 74 68 65 20 73 65 63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 33 20 63 from.the.second.interface.eth3.c
7640 61 6e 20 62 65 20 61 64 64 65 64 20 74 6f 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 an.be.added.to.the.load.balancer
7660 2e 20 48 6f 77 65 76 65 72 2c 20 74 72 61 66 66 69 63 20 6d 65 61 6e 74 20 74 6f 20 66 6c 6f 77 ..However,.traffic.meant.to.flow
7680 20 62 65 74 77 65 65 6e 20 74 68 65 20 4c 41 4e 20 73 75 62 6e 65 74 73 20 77 69 6c 6c 20 62 65 .between.the.LAN.subnets.will.be
76a0 20 73 65 6e 74 20 74 6f 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 61 73 20 77 65 6c 6c 2e 20 .sent.to.eth0.and.eth1.as.well..
76c0 54 6f 20 70 72 65 76 65 6e 74 20 74 68 69 73 2c 20 61 6e 6f 74 68 65 72 20 72 75 6c 65 20 69 73 To.prevent.this,.another.rule.is
76e0 20 72 65 71 75 69 72 65 64 2e 20 54 68 69 73 20 72 75 6c 65 20 65 78 63 6c 75 64 65 73 20 74 72 .required..This.rule.excludes.tr
7700 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 74 68 65 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20 affic.between.the.local.subnets.
7720 66 72 6f 6d 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 2e 20 49 74 20 61 6c 73 6f 20 from.the.load.balancer..It.also.
7740 65 78 63 6c 75 64 65 73 20 6c 6f 63 61 6c 6c 79 2d 73 6f 75 72 63 65 73 20 70 61 63 6b 65 74 73 excludes.locally-sources.packets
7760 20 28 72 65 71 75 69 72 65 64 20 66 6f 72 20 77 65 62 20 63 61 63 68 69 6e 67 20 77 69 74 68 20 .(required.for.web.caching.with.
7780 6c 6f 61 64 20 62 61 6c 61 6e 63 69 6e 67 29 2e 20 65 74 68 2b 20 69 73 20 75 73 65 64 20 61 73 load.balancing)..eth+.is.used.as
77a0 20 61 6e 20 61 6c 69 61 73 20 74 68 61 74 20 72 65 66 65 72 73 20 74 6f 20 61 6c 6c 20 65 74 68 .an.alias.that.refers.to.all.eth
77c0 65 72 6e 65 74 20 69 6e 74 65 72 66 61 63 65 73 3a 00 42 61 73 69 63 20 46 69 72 65 77 61 6c 6c ernet.interfaces:.Basic.Firewall
77e0 00 42 61 73 69 63 20 53 65 74 75 70 20 28 76 69 61 20 63 6f 6e 73 6f 6c 65 29 00 42 61 73 69 63 .Basic.Setup.(via.console).Basic
7800 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 61 6e 73 69 62 6c 65 2e 63 66 67 3a 00 42 .configuration.of.ansible.cfg:.B
7820 61 73 69 6b 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 61 6e 73 69 62 6c asik.configuration.of.the.ansibl
7840 65 2e 63 66 67 3a 00 42 65 66 6f 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 30 e.cfg:.Before.the.interface.eth0
7860 20 6f 6e 20 72 6f 75 74 65 72 20 56 79 4f 53 33 00 42 6f 6e 64 69 6e 67 20 6f 6e 20 48 61 72 64 .on.router.VyOS3.Bonding.on.Hard
7880 77 61 72 65 20 52 6f 75 74 65 72 00 42 6f 74 68 20 4c 41 4e 73 20 68 61 76 65 20 74 6f 20 62 65 ware.Router.Both.LANs.have.to.be
78a0 20 61 62 6c 65 20 74 6f 20 72 6f 75 74 65 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 .able.to.route.between.each.othe
78c0 72 2c 20 62 6f 74 68 20 77 69 6c 6c 20 68 61 76 65 20 6d 61 6e 61 67 65 64 20 64 65 76 69 63 65 r,.both.will.have.managed.device
78e0 73 20 74 68 72 6f 75 67 68 20 61 20 64 65 64 69 63 61 74 65 64 20 6d 61 6e 61 67 65 6d 65 6e 74 s.through.a.dedicated.management
7900 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 62 6f 74 68 20 77 69 6c 6c 20 6e 65 65 64 20 49 6e 74 65 .network.and.both.will.need.Inte
7920 72 6e 65 74 20 61 63 63 65 73 73 20 79 65 74 20 74 68 65 20 4c 41 4e 32 20 77 69 6c 6c 20 6e 65 rnet.access.yet.the.LAN2.will.ne
7940 65 64 20 61 63 63 65 73 73 20 74 6f 20 73 6f 6d 65 20 73 65 74 20 6f 66 20 6f 75 74 73 69 64 65 ed.access.to.some.set.of.outside
7960 20 6e 65 74 77 6f 72 6b 73 2c 20 6e 6f 74 20 61 6c 6c 2e 20 54 68 65 20 6d 61 6e 61 67 65 6d 65 .networks,.not.all..The.manageme
7980 6e 74 20 6e 65 74 77 6f 72 6b 20 77 69 6c 6c 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 62 nt.network.will.need.access.to.b
79a0 6f 74 68 20 4c 41 4e 73 20 62 75 74 20 63 61 6e 6e 6f 74 20 68 61 76 65 20 61 63 63 65 73 73 20 oth.LANs.but.cannot.have.access.
79c0 74 6f 2f 66 72 6f 6d 20 74 68 65 20 6f 75 74 73 69 64 65 2e 00 42 72 61 6e 63 68 00 42 72 69 64 to/from.the.outside..Branch.Brid
79e0 67 65 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 65 78 61 6d 70 6c 65 00 42 72 69 64 67 65 20 62 ge.and.firewall.example.Bridge.b
7a00 72 30 3a 00 42 72 69 64 67 65 20 62 72 31 3a 00 42 72 69 64 67 65 20 62 72 32 3a 00 42 72 69 64 r0:.Bridge.br1:.Bridge.br2:.Brid
7a20 67 65 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 42 72 69 64 67 65 ge.firewall.configuration.Bridge
7a40 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 73 65 74 3a 00 42 72 69 64 67 65 73 20 61 6e 64 20 69 6e .firewall.rulset:.Bridges.and.in
7a60 74 65 72 66 61 63 65 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 42 79 20 64 65 66 61 75 6c terfaces.configuration.By.defaul
7a80 74 2c 20 69 70 74 61 62 6c 65 73 20 64 6f 65 73 20 6e 6f 74 20 61 6c 6c 6f 77 20 74 72 61 66 66 t,.iptables.does.not.allow.traff
7aa0 69 63 20 66 6f 72 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 65 73 73 69 6f 6e 73 20 74 6f 20 72 ic.for.established.sessions.to.r
7ac0 65 74 75 72 6e 2c 20 73 6f 20 79 6f 75 20 6d 75 73 74 20 65 78 70 6c 69 63 69 74 6c 79 20 61 6c eturn,.so.you.must.explicitly.al
7ae0 6c 6f 77 20 74 68 69 73 2e 20 49 20 64 6f 20 74 68 69 73 20 62 79 20 61 64 64 69 6e 67 20 74 77 low.this..I.do.this.by.adding.tw
7b00 6f 20 72 75 6c 65 73 20 74 6f 20 65 76 65 72 79 20 72 75 6c 65 73 65 74 2e 20 31 20 61 6c 6c 6f o.rules.to.every.ruleset..1.allo
7b20 77 73 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20 73 74 61 74 65 ws.established.and.related.state
7b40 20 70 61 63 6b 65 74 73 20 74 68 72 6f 75 67 68 20 61 6e 64 20 72 75 6c 65 20 32 20 64 72 6f 70 .packets.through.and.rule.2.drop
7b60 73 20 61 6e 64 20 6c 6f 67 73 20 69 6e 76 61 6c 69 64 20 73 74 61 74 65 20 70 61 63 6b 65 74 73 s.and.logs.invalid.state.packets
7b80 2e 20 57 65 20 70 6c 61 63 65 20 74 68 65 20 65 73 74 61 62 6c 69 73 68 65 64 2f 72 65 6c 61 74 ..We.place.the.established/relat
7ba0 65 64 20 72 75 6c 65 20 61 74 20 74 68 65 20 74 6f 70 20 62 65 63 61 75 73 65 20 74 68 65 20 76 ed.rule.at.the.top.because.the.v
7bc0 61 73 74 20 6d 61 6a 6f 72 69 74 79 20 6f 66 20 74 72 61 66 66 69 63 20 6f 6e 20 61 20 6e 65 74 ast.majority.of.traffic.on.a.net
7be0 77 6f 72 6b 20 69 73 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 74 68 65 20 69 6e 76 61 work.is.established.and.the.inva
7c00 6c 69 64 20 72 75 6c 65 20 74 6f 20 70 72 65 76 65 6e 74 20 69 6e 76 61 6c 69 64 20 73 74 61 74 lid.rule.to.prevent.invalid.stat
7c20 65 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 6d 69 73 74 61 6b 65 6e 6c 79 20 62 65 69 6e 67 20 e.packets.from.mistakenly.being.
7c40 6d 61 74 63 68 65 64 20 61 67 61 69 6e 73 74 20 6f 74 68 65 72 20 72 75 6c 65 73 2e 20 48 61 76 matched.against.other.rules..Hav
7c60 69 6e 67 20 74 68 65 20 6d 6f 73 74 20 6d 61 74 63 68 65 64 20 72 75 6c 65 20 6c 69 73 74 65 64 ing.the.most.matched.rule.listed
7c80 20 66 69 72 73 74 20 72 65 64 75 63 65 73 20 43 50 55 20 6c 6f 61 64 20 69 6e 20 68 69 67 68 20 .first.reduces.CPU.load.in.high.
7ca0 76 6f 6c 75 6d 65 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 73 2e 20 4e 6f 74 65 3a 20 49 20 68 61 76 volume.environments..Note:.I.hav
7cc0 65 20 66 69 6c 65 64 20 61 20 62 75 67 20 74 6f 20 68 61 76 65 20 74 68 69 73 20 61 64 64 65 64 e.filed.a.bug.to.have.this.added
7ce0 20 61 73 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 61 73 20 77 65 6c 6c 2e 00 43 45 .as.a.default.action.as.well..CE
7d00 20 48 75 62 20 64 65 76 69 63 65 00 43 53 34 20 2d 3e 20 43 53 35 00 43 65 6e 74 72 61 6c 00 43 .Hub.device.CS4.->.CS5.Central.C
7d20 68 65 63 6b 20 61 6c 6c 20 70 6f 73 73 69 62 6c 65 20 73 65 74 74 69 6e 67 73 20 60 68 65 72 65 heck.all.possible.settings.`here
7d40 20 3c 68 74 74 70 73 3a 2f 2f 67 69 74 68 75 62 2e 63 6f 6d 2f 74 68 72 65 65 72 69 6e 67 73 2f .<https://github.com/threerings/
7d60 6f 70 65 6e 76 70 6e 2d 61 75 74 68 2d 6c 64 61 70 2f 62 6c 6f 62 2f 6d 61 73 74 65 72 2f 61 75 openvpn-auth-ldap/blob/master/au
7d80 74 68 2d 6c 64 61 70 2e 63 6f 6e 66 3e 60 5f 00 43 68 65 63 6b 20 74 68 65 20 42 47 50 20 56 52 th-ldap.conf>`_.Check.the.BGP.VR
7da0 46 20 74 61 62 6c 65 20 61 6e 64 20 76 65 72 69 66 79 20 69 66 20 74 68 65 20 73 74 61 74 69 63 F.table.and.verify.if.the.static
7dc0 20 72 6f 75 74 65 73 20 61 72 65 20 69 6e 6a 65 63 74 65 64 20 73 68 6f 77 69 6e 67 20 74 68 65 .routes.are.injected.showing.the
7de0 20 63 6f 72 72 65 63 74 20 6e 65 78 74 2d 68 6f 70 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 43 .correct.next-hop.information..C
7e00 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 00 43 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 heck.the.result.Check.the.result
7e20 20 6f 6e 20 74 68 65 20 76 79 6f 73 31 30 20 72 6f 75 74 65 72 3a 00 43 68 65 63 6b 20 74 68 65 .on.the.vyos10.router:.Check.the
7e40 20 72 65 73 75 6c 74 2e 00 43 68 65 63 6b 20 74 68 65 20 76 65 72 73 69 6f 6e 3a 00 43 68 65 63 .result..Check.the.version:.Chec
7e60 6b 69 6e 67 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6f 66 20 74 68 65 20 56 52 king.the.routing.table.of.the.VR
7e80 46 20 73 68 6f 75 6c 64 20 72 65 76 65 61 6c 20 62 6f 74 68 20 73 74 61 74 69 63 20 61 6e 64 20 F.should.reveal.both.static.and.
7ea0 63 6f 6e 6e 65 63 74 65 64 20 65 6e 74 72 69 65 73 20 61 63 74 69 76 65 2e 20 41 20 50 49 4e 47 connected.entries.active..A.PING
7ec0 20 74 65 73 74 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 61 6e 64 20 72 65 6d 6f 74 .test.between.the.Core.and.remot
7ee0 65 20 72 6f 75 74 65 72 20 69 73 20 61 20 77 61 79 20 74 6f 20 76 61 6c 69 64 61 74 65 20 63 6f e.router.is.a.way.to.validate.co
7f00 6e 6e 65 63 74 69 76 69 74 79 20 77 69 74 68 69 6e 20 74 68 65 20 56 52 46 2e 00 43 68 65 63 6b nnectivity.within.the.VRF..Check
7f20 69 6e 67 20 74 68 72 6f 75 67 68 20 6f 70 2d 6d 6f 64 65 20 63 6f 6d 6d 61 6e 64 73 00 43 69 73 ing.through.op-mode.commands.Cis
7f40 63 6f 00 43 69 73 63 6f 20 56 50 43 20 43 72 6f 73 73 63 6f 6e 6e 65 63 74 20 2d 20 50 6f 72 74 co.Cisco.VPC.Crossconnect.-.Port
7f60 73 20 33 39 20 61 6e 64 20 34 30 20 62 6f 6e 64 65 64 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 s.39.and.40.bonded.between.each.
7f80 73 77 69 74 63 68 00 43 6c 61 6d 70 20 74 68 65 20 56 54 49 27 73 20 4d 53 53 20 74 6f 20 31 33 switch.Clamp.the.VTI's.MSS.to.13
7fa0 35 30 20 74 6f 20 61 76 6f 69 64 20 50 4d 54 55 20 62 6c 61 63 6b 68 6f 6c 65 73 2e 00 43 6c 69 50.to.avoid.PMTU.blackholes..Cli
7fc0 65 6e 74 00 43 6c 69 65 6e 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 6f 6d 6d 75 6e 69 ent.Client.configuration.Communi
7fe0 63 61 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20 73 cation.between.private.subnets.s
8000 68 6f 75 6c 64 20 62 65 20 64 6f 6e 65 20 74 68 72 6f 75 67 68 20 49 50 53 65 63 20 74 75 6e 6e hould.be.done.through.IPSec.tunn
8020 65 6c 20 77 69 74 68 6f 75 74 20 4e 41 54 2e 00 43 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 62 65 el.without.NAT..Communication.be
8040 74 77 65 65 6e 20 70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20 73 68 6f 75 6c 64 20 62 65 20 tween.private.subnets.should.be.
8060 64 6f 6e 65 20 74 68 72 6f 75 67 68 20 69 70 73 65 63 20 74 75 6e 6e 65 6c 20 77 69 74 68 6f 75 done.through.ipsec.tunnel.withou
8080 74 20 6e 61 74 2e 00 43 6f 6e 63 6c 75 73 69 6f 6e 73 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e t.nat..Conclusions.Configuration
80a0 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27 4e 4d 50 27 00 43 6f 6e 66 69 67 75 72 61 74 69 .Configuration.'NMP'.Configurati
80c0 6f 6e 20 27 56 79 4f 53 27 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27 64 63 73 70 27 20 61 on.'VyOS'.Configuration.'dcsp'.a
80e0 6e 64 20 73 68 61 70 65 72 20 75 73 69 6e 67 20 51 6f 53 00 43 6f 6e 66 69 67 75 72 61 74 69 6f nd.shaper.using.QoS.Configuratio
8100 6e 20 42 6c 75 65 70 72 69 6e 74 73 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 42 6c 75 65 70 n.Blueprints.Configuration.Bluep
8120 72 69 6e 74 73 20 28 61 75 74 6f 74 65 73 74 29 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 56 rints.(autotest).Configuration.V
8140 79 4f 53 20 61 73 20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 00 43 6f 6e 66 69 67 75 72 61 74 yOS.as.OpenVPN.Server.Configurat
8160 69 6f 6e 20 6f 66 20 62 61 73 69 63 20 66 69 72 65 77 61 6c 6c 20 69 6e 20 6f 6e 65 20 73 69 74 ion.of.basic.firewall.in.one.sit
8180 65 2c 20 69 6e 20 6f 72 64 65 72 20 74 6f 3a 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 43 e,.in.order.to:.Configuration:.C
81a0 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 00 43 6f 6e 66 69 67 75 72 65 20 56 79 4f 53 20 61 73 20 onfigurations.Configure.VyOS.as.
81c0 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 00 43 6f 6e 66 69 67 75 72 65 20 56 79 4f 53 20 61 73 OpenVPN.Server.Configure.VyOS.as
81e0 20 63 6c 69 65 6e 74 00 43 6f 6e 66 69 67 75 72 65 20 57 69 72 65 67 75 61 72 64 00 43 6f 6e 66 .client.Configure.Wireguard.Conf
8200 69 67 75 72 65 20 61 20 56 54 49 20 77 69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 20 61 64 64 72 igure.a.VTI.with.a.dummy.IP.addr
8220 65 73 73 00 43 6f 6e 66 69 67 75 72 65 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 20 61 6e 64 ess.Configure.conntrack-sync.and
8240 20 65 6e 61 62 6c 65 20 68 65 6c 70 65 72 73 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 49 4b .enable.helpers.Configure.the.IK
8260 45 20 61 6e 64 20 45 53 50 20 73 65 74 74 69 6e 67 73 20 74 6f 20 6d 61 74 63 68 20 61 20 73 75 E.and.ESP.settings.to.match.a.su
8280 62 73 65 74 20 6f 66 20 74 68 6f 73 65 20 73 75 70 70 6f 72 74 65 64 20 62 79 20 41 7a 75 72 65 bset.of.those.supported.by.Azure
82a0 3a 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 56 50 4e 20 74 75 6e 6e 65 6c 00 43 6f 6e 66 69 :.Configure.the.VPN.tunnel.Confi
82c0 67 75 72 65 20 74 68 65 20 56 50 4e 20 74 75 6e 6e 65 6c 73 00 43 6f 6e 66 69 67 75 72 65 20 74 gure.the.VPN.tunnels.Configure.t
82e0 68 65 20 57 41 4e 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 20 77 69 74 68 20 74 68 65 20 70 61 he.WAN.load.balancer.with.the.pa
8300 72 61 6d 65 74 65 72 73 20 64 65 73 63 72 69 62 65 64 20 61 62 6f 76 65 3a 00 43 6f 6e 66 69 67 rameters.described.above:.Config
8320 75 72 65 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 00 43 6f 6e 66 69 67 75 72 65 20 ure.the.load.balancer.Configure.
8340 74 77 6f 20 56 54 49 73 20 77 69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 20 61 64 64 72 65 73 73 two.VTIs.with.a.dummy.IP.address
8360 20 65 61 63 68 00 43 6f 6e 66 69 67 75 72 65 20 79 6f 75 72 20 42 47 50 20 73 65 74 74 69 6e 67 .each.Configure.your.BGP.setting
8380 73 00 43 6f 6e 6e 74 72 61 63 6b 20 68 65 6c 70 65 72 20 6d 6f 64 75 6c 65 73 20 61 72 65 20 65 s.Conntrack.helper.modules.are.e
83a0 6e 61 62 6c 65 64 20 62 79 20 64 65 66 61 75 6c 74 2c 20 62 75 74 20 74 68 65 79 20 74 65 6e 64 nabled.by.default,.but.they.tend
83c0 20 74 6f 20 63 61 75 73 65 20 6d 6f 72 65 20 70 72 6f 62 6c 65 6d 73 20 74 68 61 6e 20 74 68 65 .to.cause.more.problems.than.the
83e0 79 27 72 65 20 77 6f 72 74 68 20 69 6e 20 63 6f 6d 70 6c 65 78 20 6e 65 74 77 6f 72 6b 73 2e 20 y're.worth.in.complex.networks..
8400 59 6f 75 20 63 61 6e 20 64 69 73 61 62 6c 65 20 61 6c 6c 20 6f 66 20 74 68 65 6d 20 61 74 20 6f You.can.disable.all.of.them.at.o
8420 6e 65 20 67 6f 2e 00 43 6f 6e 73 69 64 65 72 20 68 6f 77 20 74 6f 20 71 75 69 63 6b 6c 79 20 73 ne.go..Consider.how.to.quickly.s
8440 65 74 20 75 70 20 4e 4d 50 20 61 6e 64 20 56 79 4f 53 20 66 6f 72 20 6d 6f 6e 69 74 6f 72 69 6e et.up.NMP.and.VyOS.for.monitorin
8460 67 2e 20 4e 4d 50 20 69 73 20 6d 75 6c 74 69 2d 76 65 6e 64 6f 72 20 6e 65 74 77 6f 72 6b 20 6d g..NMP.is.multi-vendor.network.m
8480 6f 6e 69 74 6f 72 69 6e 67 20 66 72 6f 6d 20 27 53 6f 6c 61 72 57 69 6e 64 73 27 20 62 75 69 6c onitoring.from.'SolarWinds'.buil
84a0 74 20 74 6f 20 73 63 61 6c 65 20 61 6e 64 20 65 78 70 61 6e 64 20 77 69 74 68 20 74 68 65 20 6e t.to.scale.and.expand.with.the.n
84c0 65 65 64 73 20 6f 66 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 2e 00 43 6f 72 65 00 43 6f 72 65 20 eeds.of.your.network..Core.Core.
84e0 52 6f 75 74 65 72 00 43 6f 72 65 20 6e 65 74 77 6f 72 6b 00 43 72 65 61 74 65 20 45 78 70 6f 72 Router.Core.network.Create.Expor
8500 74 20 46 69 6c 74 65 72 00 43 72 65 61 74 65 20 49 6d 70 6f 72 74 20 46 69 6c 74 65 72 00 43 72 t.Filter.Create.Import.Filter.Cr
8520 65 61 74 65 20 56 52 52 50 20 73 79 6e 63 2d 67 72 6f 75 70 00 43 72 65 61 74 65 20 61 20 4c 41 eate.VRRP.sync-group.Create.a.LA
8540 43 50 20 62 6f 6e 64 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 20 CP.bond.on.the.hardware.router..
8560 57 65 20 61 72 65 20 61 73 73 75 6d 69 6e 67 20 74 68 61 74 20 65 74 68 30 20 61 6e 64 20 65 74 We.are.assuming.that.eth0.and.et
8580 68 31 20 61 72 65 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 70 6f 72 74 20 38 20 6f 6e 20 62 6f h1.are.connected.to.port.8.on.bo
85a0 74 68 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 74 68 61 74 20 74 68 6f 73 65 20 70 6f 72 74 th.switches,.and.that.those.port
85c0 73 20 61 72 65 20 63 6f 6e 66 69 67 75 72 65 64 20 61 73 20 61 20 50 6f 72 74 2d 43 68 61 6e 6e s.are.configured.as.a.Port-Chann
85e0 65 6c 2e 00 43 72 65 61 74 65 20 61 6e 20 27 41 6c 6c 20 56 4c 41 4e 73 27 20 6e 65 74 77 6f 72 el..Create.an.'All.VLANs'.networ
8600 6b 20 67 72 6f 75 70 2c 20 74 68 61 74 20 70 61 73 73 65 73 20 61 6c 6c 20 74 72 75 6e 6b 65 64 k.group,.that.passes.all.trunked
8620 20 74 72 61 66 66 69 63 20 74 68 72 6f 75 67 68 20 74 6f 20 74 68 65 20 56 4d 2e 20 41 74 74 61 .traffic.through.to.the.VM..Atta
8640 63 68 20 74 68 69 73 20 6e 65 74 77 6f 72 6b 20 67 72 6f 75 70 20 74 6f 20 72 6f 75 74 65 72 31 ch.this.network.group.to.router1
8660 20 61 73 20 65 74 68 30 2e 00 43 72 65 61 74 65 20 69 6e 74 65 72 66 61 63 65 20 77 65 69 67 68 .as.eth0..Create.interface.weigh
8680 74 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 72 65 61 74 65 20 72 75 6c t.based.configuration.Create.rul
86a0 65 20 6f 72 64 65 72 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 72 65 61 e.order.based.configuration.Crea
86c0 74 65 20 72 75 6c 65 20 6f 72 64 65 72 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f te.rule.order.based.configuratio
86e0 6e 20 77 69 74 68 20 6c 6f 77 20 73 70 65 65 64 20 73 65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 00 n.with.low.speed.secondary.link.
8700 43 72 65 61 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 68 72 6f 75 67 68 20 74 68 65 Create.static.routes.through.the
8720 20 74 77 6f 20 49 53 50 73 20 74 6f 77 61 72 64 73 20 74 68 65 20 70 69 6e 67 20 74 61 72 67 65 .two.ISPs.towards.the.ping.targe
8740 74 73 20 61 6e 64 20 63 6f 6d 6d 69 74 20 74 68 65 20 63 68 61 6e 67 65 73 3a 00 43 72 65 61 74 ts.and.commit.the.changes:.Creat
8760 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 6f 20 70 69 6e 67 20 74 61 72 67 65 74 73 00 e.static.routes.to.ping.targets.
8780 43 72 65 61 74 65 20 79 6f 75 72 20 72 6f 75 74 65 72 31 20 56 4d 2e 20 53 6f 20 69 74 20 63 61 Create.your.router1.VM..So.it.ca
87a0 6e 20 77 69 74 68 73 74 61 6e 64 20 61 20 56 4d 20 48 6f 73 74 20 66 61 69 6c 69 6e 67 20 6f 72 n.withstand.a.VM.Host.failing.or
87c0 20 61 20 6e 65 74 77 6f 72 6b 20 6c 69 6e 6b 20 66 61 69 6c 69 6e 67 2e 20 55 73 69 6e 67 20 56 .a.network.link.failing..Using.V
87e0 4d 77 61 72 65 2c 20 74 68 69 73 20 69 73 20 61 63 68 69 65 76 65 64 20 62 79 20 65 6e 61 62 6c Mware,.this.is.achieved.by.enabl
8800 69 6e 67 20 76 53 70 68 65 72 65 20 44 52 53 2c 20 76 53 70 68 65 72 65 20 41 76 61 69 6c 61 62 ing.vSphere.DRS,.vSphere.Availab
8820 69 6c 69 74 79 2c 20 61 6e 64 20 63 72 65 61 74 69 6e 67 20 61 20 44 69 73 74 72 69 62 75 74 65 ility,.and.creating.a.Distribute
8840 64 20 50 6f 72 74 20 47 72 6f 75 70 20 74 68 61 74 20 75 73 65 73 20 4c 41 43 50 2e 00 44 48 43 d.Port.Group.that.uses.LACP..DHC
8860 50 20 52 65 6c 61 79 20 74 72 6f 75 67 68 20 47 52 45 2d 42 72 69 64 67 65 00 44 48 43 50 2d 52 P.Relay.trough.GRE-Bridge.DHCP-R
8880 65 6c 61 79 00 44 48 43 50 2d 53 65 72 76 65 72 00 44 48 43 50 76 36 2d 50 44 20 53 65 74 75 70 elay.DHCP-Server.DHCPv6-PD.Setup
88a0 00 44 4d 5a 20 63 61 6e 6e 6f 74 20 61 63 63 65 73 73 20 4c 41 4e 20 72 65 73 6f 75 72 63 65 73 .DMZ.cannot.access.LAN.resources
88c0 2e 00 44 4d 5a 2d 4c 41 4e 20 70 6f 6c 69 63 79 20 69 73 20 4c 41 4e 2d 44 4d 5a 2e 20 59 6f 75 ..DMZ-LAN.policy.is.LAN-DMZ..You
88e0 20 63 61 6e 20 67 65 74 20 61 20 72 68 79 74 68 6d 20 74 6f 20 69 74 20 77 68 65 6e 20 79 6f 75 .can.get.a.rhythm.to.it.when.you
8900 20 62 75 69 6c 64 20 6f 75 74 20 61 20 62 75 6e 63 68 20 61 74 20 6f 6e 65 20 74 69 6d 65 2e 00 .build.out.a.bunch.at.one.time..
8920 44 65 6e 79 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 2e 00 44 65 6e 79 20 Deny.access.to.the.router..Deny.
8940 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 69 6e 74 65 72 6e 65 74 28 57 41 4e 29 2e 00 44 65 connections.to.internet(WAN)..De
8960 73 69 67 6e 00 44 65 76 69 63 65 2d 41 00 44 65 76 69 63 65 2d 42 00 44 69 61 67 72 61 6d 20 75 sign.Device-A.Device-B.Diagram.u
8980 73 65 64 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 3a 00 44 72 6f 70 20 61 6c 6c 20 44 48 sed.in.this.example:.Drop.all.DH
89a0 43 50 20 64 69 73 63 6f 76 65 72 20 70 61 63 6b 65 74 73 2e 00 44 72 6f 70 20 61 6c 6c 20 49 50 CP.discover.packets..Drop.all.IP
89c0 76 36 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 44 72 6f 70 20 61 6c 6c 20 6f 74 68 65 72 20 49 v6.connections..Drop.all.other.I
89e0 50 76 34 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 44 72 6f 70 20 63 6f 6e 6e 65 63 74 69 6f 6e Pv4.connections..Drop.connection
8a00 73 20 74 6f 20 6f 74 68 65 72 20 4c 41 4e 73 2e 00 44 75 70 6c 69 63 61 74 65 20 63 6f 6e 66 69 s.to.other.LANs..Duplicate.confi
8a20 67 75 72 61 74 69 6f 6e 00 44 75 72 69 6e 67 20 61 64 64 72 65 73 73 20 63 6f 6e 66 69 67 75 72 guration.During.address.configur
8a40 61 74 69 6f 6e 2c 20 69 6e 20 61 64 64 69 74 69 6f 6e 20 74 6f 20 61 73 73 69 67 6e 69 6e 67 20 ation,.in.addition.to.assigning.
8a60 61 6e 20 61 64 64 72 65 73 73 20 74 6f 20 74 68 65 20 57 41 4e 20 69 6e 74 65 72 66 61 63 65 2c an.address.to.the.WAN.interface,
8a80 20 49 53 50 20 61 6c 73 6f 20 70 72 6f 76 69 64 65 73 20 61 20 70 72 65 66 69 78 20 74 6f 20 61 .ISP.also.provides.a.prefix.to.a
8aa0 6c 6c 6f 77 20 74 68 65 20 72 6f 75 74 65 72 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 64 64 llow.the.router.to.configure.add
8ac0 72 65 73 73 65 73 20 6f 66 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 6f 74 68 65 resses.of.LAN.interface.and.othe
8ae0 72 20 6e 6f 64 65 73 20 63 6f 6e 6e 65 63 74 69 6e 67 20 74 6f 20 4c 41 4e 2c 20 77 68 69 63 68 r.nodes.connecting.to.LAN,.which
8b00 20 69 73 20 63 61 6c 6c 65 64 20 70 72 65 66 69 78 20 64 65 6c 65 67 61 74 69 6f 6e 20 28 50 44 .is.called.prefix.delegation.(PD
8b20 29 2e 00 44 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 73 65 64 20 62 65 74 77 65 65 6e 20 )..Dynamic.routing.used.between.
8b40 43 45 20 61 6e 64 20 50 45 20 6e 6f 64 65 73 20 61 6e 64 20 65 42 47 50 20 70 65 65 72 69 6e 67 CE.and.PE.nodes.and.eBGP.peering
8b60 20 65 73 74 61 62 6c 69 73 68 65 64 20 66 6f 72 20 74 68 65 20 72 6f 75 74 65 20 65 78 63 68 61 .established.for.the.route.excha
8b80 6e 67 69 6e 67 20 62 65 74 77 65 65 6e 20 74 68 65 6d 2e 20 41 6c 6c 20 72 6f 75 74 65 73 20 72 nging.between.them..All.routes.r
8ba0 65 63 65 69 76 65 64 20 62 79 20 50 45 73 20 61 72 65 20 74 68 65 6e 20 65 78 70 6f 72 74 65 64 eceived.by.PEs.are.then.exported
8bc0 20 74 6f 20 4c 33 56 50 4e 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 66 72 6f 6d 20 53 70 6f .to.L3VPN.and.delivered.from.Spo
8be0 6b 65 20 73 69 74 65 73 20 74 6f 20 48 75 62 20 61 6e 64 20 76 69 73 65 2d 76 65 72 73 61 20 62 ke.sites.to.Hub.and.vise-versa.b
8c00 61 73 65 64 20 6f 6e 20 70 72 65 76 69 6f 75 73 6c 79 20 63 6f 6e 66 69 67 75 72 65 64 20 4c 33 ased.on.previously.configured.L3
8c20 56 50 4e 20 70 61 72 61 6d 65 74 65 72 73 2e 00 45 61 63 68 20 69 6e 74 65 72 66 61 63 65 20 69 VPN.parameters..Each.interface.i
8c40 73 20 61 73 73 69 67 6e 65 64 20 74 6f 20 61 20 7a 6f 6e 65 2e 20 54 68 65 20 69 6e 74 65 72 66 s.assigned.to.a.zone..The.interf
8c60 61 63 65 20 63 61 6e 20 62 65 20 70 68 79 73 69 63 61 6c 20 6f 72 20 76 69 72 74 75 61 6c 20 73 ace.can.be.physical.or.virtual.s
8c80 75 63 68 20 61 73 20 74 75 6e 6e 65 6c 73 20 28 56 50 4e 2c 20 50 50 54 50 2c 20 47 52 45 2c 20 uch.as.tunnels.(VPN,.PPTP,.GRE,.
8ca0 65 74 63 29 20 61 6e 64 20 61 72 65 20 74 72 65 61 74 65 64 20 65 78 61 63 74 6c 79 20 74 68 65 etc).and.are.treated.exactly.the
8cc0 20 73 61 6d 65 2e 00 45 61 63 68 20 6c 61 62 20 77 69 6c 6c 20 62 75 69 6c 64 20 61 6e 20 74 65 .same..Each.lab.will.build.an.te
8ce0 73 74 20 66 72 6f 6d 20 61 6e 20 65 78 74 65 72 6e 61 6c 20 73 63 72 69 70 74 2e 20 54 68 65 20 st.from.an.external.script..The.
8d00 70 61 67 65 20 63 6f 6e 74 65 6e 74 20 77 69 6c 6c 20 67 65 6e 65 72 61 74 65 2c 20 73 6f 20 63 page.content.will.generate,.so.c
8d20 68 61 6e 67 65 73 20 77 69 6c 6c 20 6e 6f 74 20 74 61 6b 65 20 61 6e 20 65 66 66 65 63 74 2e 00 hanges.will.not.take.an.effect..
8d40 45 6e 61 62 6c 65 20 49 50 73 65 63 20 6f 6e 20 65 74 68 30 00 45 6e 61 62 6c 65 20 4f 53 50 46 Enable.IPsec.on.eth0.Enable.OSPF
8d60 00 45 6e 61 62 6c 65 20 53 53 48 00 45 6e 61 62 6c 65 20 53 53 48 20 73 6f 20 79 6f 75 20 63 61 .Enable.SSH.Enable.SSH.so.you.ca
8d80 6e 20 6e 6f 77 20 53 53 48 20 69 6e 74 6f 20 74 68 65 20 72 6f 75 74 65 72 73 2c 20 72 61 74 68 n.now.SSH.into.the.routers,.rath
8da0 65 72 20 74 68 61 6e 20 75 73 69 6e 67 20 74 68 65 20 63 6f 6e 73 6f 6c 65 2e 00 45 6e 61 62 6c er.than.using.the.console..Enabl
8dc0 65 73 20 72 6f 75 74 65 72 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 73 2e 20 54 68 69 73 20 69 es.router.advertisements..This.i
8de0 73 20 61 6e 20 49 50 76 36 20 61 6c 74 65 72 6e 61 74 69 76 65 20 66 6f 72 20 44 48 43 50 20 28 s.an.IPv6.alternative.for.DHCP.(
8e00 74 68 6f 75 67 68 20 44 48 43 50 76 36 20 63 61 6e 20 73 74 69 6c 6c 20 62 65 20 75 73 65 64 29 though.DHCPv6.can.still.be.used)
8e20 2e 20 57 69 74 68 20 52 41 73 2c 20 59 6f 75 72 20 64 65 76 69 63 65 73 20 77 69 6c 6c 20 61 75 ..With.RAs,.Your.devices.will.au
8e40 74 6f 6d 61 74 69 63 61 6c 6c 79 20 66 69 6e 64 20 74 68 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e tomatically.find.the.information
8e60 20 74 68 65 79 20 6e 65 65 64 20 66 6f 72 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 44 4e 53 2e 00 .they.need.for.routing.and.DNS..
8e80 45 76 65 6e 20 69 66 20 74 68 65 20 74 77 6f 20 7a 6f 6e 65 73 20 77 69 6c 6c 20 6e 65 76 65 72 Even.if.the.two.zones.will.never
8ea0 20 63 6f 6d 6d 75 6e 69 63 61 74 65 2c 20 69 74 20 69 73 20 61 20 67 6f 6f 64 20 69 64 65 61 20 .communicate,.it.is.a.good.idea.
8ec0 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f to.create.the.zone-pair-directio
8ee0 6e 20 72 75 6c 65 73 65 74 73 20 61 6e 64 20 73 65 74 20 64 65 66 61 75 6c 74 2d 6c 6f 67 2e 20 n.rulesets.and.set.default-log..
8f00 54 68 69 73 20 77 69 6c 6c 20 61 6c 6c 6f 77 20 79 6f 75 20 74 6f 20 6c 6f 67 20 61 74 74 65 6d This.will.allow.you.to.log.attem
8f20 70 74 73 20 74 6f 20 61 63 63 65 73 73 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 69 74 68 pts.to.access.the.networks..With
8f40 6f 75 74 20 69 74 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 65 76 65 72 20 73 65 65 20 74 68 65 20 63 out.it,.you.will.never.see.the.c
8f60 6f 6e 6e 65 63 74 69 6f 6e 20 61 74 74 65 6d 70 74 73 2e 00 45 76 65 6e 20 69 66 20 74 68 65 20 onnection.attempts..Even.if.the.
8f80 74 77 6f 20 7a 6f 6e 65 73 20 77 69 6c 6c 20 6e 65 76 65 72 20 63 6f 6d 6d 75 6e 69 63 61 74 65 two.zones.will.never.communicate
8fa0 2c 20 69 74 20 69 73 20 61 20 67 6f 6f 64 20 69 64 65 61 20 74 6f 20 63 72 65 61 74 65 20 74 68 ,.it.is.a.good.idea.to.create.th
8fc0 65 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 72 75 6c 65 73 65 74 73 20 61 e.zone-pair-direction.rulesets.a
8fe0 6e 64 20 73 65 74 20 65 6e 61 62 6c 65 2d 64 65 66 61 75 6c 74 2d 6c 6f 67 2e 20 54 68 69 73 20 nd.set.enable-default-log..This.
9000 77 69 6c 6c 20 61 6c 6c 6f 77 20 79 6f 75 20 74 6f 20 6c 6f 67 20 61 74 74 65 6d 70 74 73 20 74 will.allow.you.to.log.attempts.t
9020 6f 20 61 63 63 65 73 73 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 69 74 68 6f 75 74 20 69 o.access.the.networks..Without.i
9040 74 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 65 76 65 72 20 73 65 65 20 74 68 65 20 63 6f 6e 6e 65 63 t,.you.will.never.see.the.connec
9060 74 69 6f 6e 20 61 74 74 65 6d 70 74 73 2e 00 45 76 65 72 79 20 72 6f 75 74 65 72 20 2a 2a 6d 75 tion.attempts..Every.router.**mu
9080 73 74 2a 2a 20 68 61 76 65 20 61 20 75 6e 69 71 75 65 20 72 6f 75 74 65 72 2d 69 64 2e 20 54 68 st**.have.a.unique.router-id..Th
90a0 65 20 27 72 65 66 65 72 65 6e 63 65 2d 62 61 6e 64 77 69 64 74 68 27 20 69 73 20 75 73 65 64 20 e.'reference-bandwidth'.is.used.
90c0 62 65 63 61 75 73 65 20 77 68 65 6e 20 4f 53 50 46 20 77 61 73 20 6f 72 69 67 69 6e 61 6c 6c 79 because.when.OSPF.was.originally
90e0 20 64 65 73 69 67 6e 65 64 2c 20 74 68 65 20 69 64 65 61 20 6f 66 20 61 20 6c 69 6e 6b 20 66 61 .designed,.the.idea.of.a.link.fa
9100 73 74 65 72 20 74 68 61 6e 20 31 67 62 69 74 20 77 61 73 20 75 6e 68 65 61 72 64 20 6f 66 2c 20 ster.than.1gbit.was.unheard.of,.
9120 61 6e 64 20 69 74 20 64 6f 65 73 20 6e 6f 74 20 73 63 61 6c 65 20 63 6f 72 72 65 63 74 6c 79 2e and.it.does.not.scale.correctly.
9140 00 45 76 65 72 79 20 72 6f 75 74 65 72 20 74 68 61 74 20 70 72 6f 76 69 64 65 73 20 61 63 63 65 .Every.router.that.provides.acce
9160 73 73 20 74 6f 20 61 20 63 75 73 74 6f 6d 65 72 20 6e 65 74 77 6f 72 6b 20 6e 65 65 64 73 20 74 ss.to.a.customer.network.needs.t
9180 6f 20 68 61 76 65 20 74 68 65 20 63 75 73 74 6f 6d 65 72 20 6e 65 74 77 6f 72 6b 20 28 56 52 46 o.have.the.customer.network.(VRF
91a0 20 2b 20 56 4e 49 29 20 63 6f 6e 66 69 67 75 72 65 64 2e 20 54 6f 20 6d 61 6b 65 20 6f 75 72 20 .+.VNI).configured..To.make.our.
91c0 6f 77 6e 20 6c 69 76 65 73 20 65 61 73 69 65 72 2c 20 77 65 20 75 74 69 6c 69 7a 65 20 74 68 65 own.lives.easier,.we.utilize.the
91e0 20 73 61 6d 65 20 56 52 46 20 74 61 62 6c 65 20 69 64 20 28 6c 6f 63 61 6c 20 72 6f 75 74 69 6e .same.VRF.table.id.(local.routin
9200 67 20 74 61 62 6c 65 20 6e 75 6d 62 65 72 29 20 61 6e 64 20 56 4e 49 20 28 56 69 72 74 75 61 6c g.table.number).and.VNI.(Virtual
9220 20 4e 65 74 77 6f 72 6b 20 49 64 65 6e 74 69 66 69 65 72 29 20 70 65 72 20 74 65 6e 61 6e 74 20 .Network.Identifier).per.tenant.
9240 6f 6e 20 61 6c 6c 20 6f 75 72 20 72 6f 75 74 65 72 73 2e 00 45 76 65 72 79 20 74 65 6e 61 6e 74 on.all.our.routers..Every.tenant
9260 20 69 73 20 61 73 73 69 67 6e 65 64 20 61 6e 20 69 6e 64 69 76 69 64 75 61 6c 20 56 52 46 20 74 .is.assigned.an.individual.VRF.t
9280 68 61 74 20 77 6f 75 6c 64 20 73 75 70 70 6f 72 74 20 6f 76 65 72 6c 61 70 70 69 6e 67 20 61 64 hat.would.support.overlapping.ad
92a0 64 72 65 73 73 20 72 61 6e 67 65 73 20 66 6f 72 20 63 75 73 74 6f 6d 65 72 73 20 62 6c 75 65 2c dress.ranges.for.customers.blue,
92c0 20 72 65 64 20 61 6e 64 20 67 72 65 65 6e 2e 20 49 6e 20 6f 75 72 20 65 78 61 6d 70 6c 65 2c 20 .red.and.green..In.our.example,.
92e0 77 65 20 64 6f 20 6e 6f 74 20 75 73 65 20 6f 76 65 72 6c 61 70 70 69 6e 67 20 72 61 6e 67 65 73 we.do.not.use.overlapping.ranges
9300 20 74 6f 20 6d 61 6b 65 20 69 74 20 65 61 73 69 65 72 20 77 68 65 6e 20 73 68 6f 77 69 6e 67 20 .to.make.it.easier.when.showing.
9320 64 65 62 75 67 20 63 6f 6d 6d 61 6e 64 73 2e 00 45 78 61 6d 70 6c 65 00 45 78 61 6d 70 6c 65 20 debug.commands..Example.Example.
9340 31 3a 20 44 69 73 74 72 69 62 75 74 69 6e 67 20 6c 6f 61 64 20 65 76 65 6e 6c 79 00 45 78 61 6d 1:.Distributing.load.evenly.Exam
9360 70 6c 65 20 32 3a 20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 69 6e 74 65 72 66 61 ple.2:.Failover.based.on.interfa
9380 63 65 20 77 65 69 67 68 74 73 00 45 78 61 6d 70 6c 65 20 33 3a 20 46 61 69 6c 6f 76 65 72 20 62 ce.weights.Example.3:.Failover.b
93a0 61 73 65 64 20 6f 6e 20 72 75 6c 65 20 6f 72 64 65 72 00 45 78 61 6d 70 6c 65 20 34 3a 20 46 61 ased.on.rule.order.Example.4:.Fa
93c0 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 72 75 6c 65 20 6f 72 64 65 72 20 2d 20 70 72 69 ilover.based.on.rule.order.-.pri
93e0 6f 72 69 74 79 20 74 72 61 66 66 69 63 00 45 78 61 6d 70 6c 65 20 35 3a 20 45 78 63 6c 75 64 65 ority.traffic.Example.5:.Exclude
9400 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 6c 6f 61 64 20 62 61 6c 61 6e 63 69 6e 67 00 45 78 61 .traffic.from.load.balancing.Exa
9420 6d 70 6c 65 20 4e 65 74 77 6f 72 6b 00 46 69 6c 6c 20 60 60 70 61 73 73 77 6f 72 64 60 60 20 61 mple.Network.Fill.``password``.a
9440 6e 64 20 60 60 75 73 65 72 60 60 20 77 69 74 68 20 74 68 65 20 63 72 65 64 65 6e 74 69 61 6c 20 nd.``user``.with.the.credential.
9460 70 72 6f 76 69 64 65 64 20 62 79 20 79 6f 75 72 20 49 53 50 2e 00 46 69 6e 61 6c 6c 79 2c 20 64 provided.by.your.ISP..Finally,.d
9480 6f 6e 27 74 20 66 6f 72 67 65 74 20 74 68 65 20 3a 72 65 66 3a 60 46 69 72 65 77 61 6c 6c 3c 63 on't.forget.the.:ref:`Firewall<c
94a0 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 66 69 72 65 77 61 6c 6c 2f 69 6e 64 65 78 3a 46 69 72 65 onfiguration/firewall/index:Fire
94c0 77 61 6c 6c 3e 60 2e 20 54 68 65 20 75 73 61 67 65 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 wall>`..The.usage.is.identical,.
94e0 65 78 63 65 70 74 20 66 6f 72 20 69 6e 73 74 65 61 64 20 6f 66 20 60 73 65 74 20 66 69 72 65 77 except.for.instead.of.`set.firew
9500 61 6c 6c 20 6e 61 6d 65 20 4e 41 4d 45 60 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 all.name.NAME`,.you.would.use.`s
9520 65 74 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d 65 20 4e 41 4d 45 60 2e 00 46 69 6e et.firewall.ipv6-name.NAME`..Fin
9540 61 6c 6c 79 2c 20 64 6f 6e 27 74 20 66 6f 72 67 65 74 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 ally,.don't.forget.the.:ref:`fir
9560 65 77 61 6c 6c 60 2e 20 54 68 65 20 75 73 61 67 65 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 ewall`..The.usage.is.identical,.
9580 65 78 63 65 70 74 20 66 6f 72 20 69 6e 73 74 65 61 64 20 6f 66 20 60 73 65 74 20 66 69 72 65 77 except.for.instead.of.`set.firew
95a0 61 6c 6c 20 6e 61 6d 65 20 4e 41 4d 45 60 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 all.name.NAME`,.you.would.use.`s
95c0 65 74 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d 65 20 4e 41 4d 45 60 2e 00 46 69 6e et.firewall.ipv6-name.NAME`..Fin
95e0 61 6c 6c 79 2c 20 6c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 74 68 65 20 72 65 61 63 68 61 62 69 ally,.let...s.check.the.reachabi
9600 6c 69 74 79 20 62 65 74 77 65 65 6e 20 43 45 73 3a 00 46 69 72 65 77 61 6c 6c 00 46 69 72 65 77 lity.between.CEs:.Firewall.Firew
9620 61 6c 6c 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 46 69 72 65 77 61 6c 6c 20 45 78 61 6d all.Configuration:.Firewall.Exam
9640 70 6c 65 73 00 46 69 72 73 74 20 61 20 43 41 2c 20 61 20 73 69 67 6e 65 64 20 73 65 72 76 65 72 ples.First.a.CA,.a.signed.server
9660 20 61 6e 64 20 63 6c 69 65 6e 74 20 63 65 66 74 69 66 69 63 61 74 65 20 61 6e 64 20 61 20 44 69 .and.client.ceftificate.and.a.Di
9680 66 66 69 65 2d 48 65 6c 6c 6d 61 6e 20 70 61 72 61 6d 65 74 65 72 20 6d 75 73 73 74 20 62 65 20 ffie-Hellman.parameter.musst.be.
96a0 67 65 6e 65 72 61 74 65 64 20 61 6e 64 20 69 6e 73 74 61 6c 6c 65 64 2e 20 50 6c 65 61 73 65 20 generated.and.installed..Please.
96c0 6c 6f 6f 6b 20 3a 72 65 66 3a 60 68 65 72 65 20 3c 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 70 look.:ref:`here.<configuration/p
96e0 6b 69 2f 69 6e 64 65 78 3a 70 6b 69 3e 60 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 ki/index:pki>`.for.more.informat
9700 69 6f 6e 2e 00 46 69 72 73 74 20 70 72 65 70 61 72 65 20 6f 75 72 20 56 79 4f 53 20 72 6f 75 74 ion..First.prepare.our.VyOS.rout
9720 65 72 20 66 6f 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 6f 20 4e 4d 50 2e 20 57 65 20 68 61 76 er.for.connection.to.NMP..We.hav
9740 65 20 74 6f 20 73 65 74 20 75 70 20 74 68 65 20 53 4e 4d 50 20 70 72 6f 74 6f 63 6f 6c 20 61 6e e.to.set.up.the.SNMP.protocol.an
9760 64 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 62 65 74 77 65 65 6e 20 74 68 65 20 72 6f 75 74 65 d.connectivity.between.the.route
9780 72 20 61 6e 64 20 4e 4d 50 2e 00 46 69 72 73 74 20 74 68 65 20 43 41 00 46 69 72 73 74 2c 20 77 r.and.NMP..First.the.CA.First,.w
97a0 65 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 60 60 76 79 6f 73 2d 77 61 6e 60 60 20 69 6e 74 e.configure.the.``vyos-wan``.int
97c0 65 72 66 61 63 65 20 74 6f 20 67 65 74 20 61 20 44 48 43 50 20 61 64 64 72 65 73 73 2e 00 46 69 erface.to.get.a.DHCP.address..Fi
97e0 72 73 74 2c 20 77 65 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 rst,.we.configure.the.transport.
9800 6e 65 74 77 6f 72 6b 20 61 6e 64 20 74 68 65 20 54 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 network.and.the.Tunnel.interface
9820 2e 00 46 69 72 73 74 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 ..First,.we.need.to.configure.th
9840 65 20 69 6e 74 65 72 66 61 63 65 73 20 61 6e 64 20 56 52 46 73 3a 00 46 69 72 73 74 2c 20 77 65 e.interfaces.and.VRFs:.First,.we
9860 20 6e 65 65 64 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 .need.to.configure.the.interface
9880 73 20 61 6e 64 20 62 72 69 64 67 65 73 3a 00 46 6c 65 78 56 50 4e 20 69 73 20 61 20 6e 65 77 65 s.and.bridges:.FlexVPN.is.a.newe
98a0 72 20 22 73 6f 6c 75 74 69 6f 6e 22 20 66 6f 72 20 64 65 70 6c 6f 79 6d 65 6e 74 20 6f 66 20 56 r."solution".for.deployment.of.V
98c0 50 4e 73 20 61 6e 64 20 69 74 20 75 74 69 6c 69 7a 65 73 20 49 4b 45 76 32 20 61 73 20 74 68 65 PNs.and.it.utilizes.IKEv2.as.the
98e0 20 6b 65 79 20 65 78 63 68 61 6e 67 65 20 70 72 6f 74 6f 63 6f 6c 2e 20 54 68 65 20 72 65 73 75 .key.exchange.protocol..The.resu
9900 6c 74 20 69 73 20 61 20 66 6c 65 78 69 62 6c 65 20 61 6e 64 20 73 63 61 6c 61 62 6c 65 20 56 50 lt.is.a.flexible.and.scalable.VP
9920 4e 20 73 6f 6c 75 74 69 6f 6e 20 74 68 61 74 20 63 61 6e 20 62 65 20 65 61 73 69 6c 79 20 61 64 N.solution.that.can.be.easily.ad
9940 61 70 74 65 64 20 74 6f 20 66 69 74 20 76 61 72 69 6f 75 73 20 6e 65 74 77 6f 72 6b 20 6e 65 65 apted.to.fit.various.network.nee
9960 64 73 2e 20 49 74 20 63 61 6e 20 61 6c 73 6f 20 73 75 70 70 6f 72 74 20 61 20 76 61 72 69 65 74 ds..It.can.also.support.a.variet
9980 79 20 6f 66 20 65 6e 63 72 79 70 74 69 6f 6e 20 6d 65 74 68 6f 64 73 2c 20 69 6e 63 6c 75 64 69 y.of.encryption.methods,.includi
99a0 6e 67 20 41 45 53 20 61 6e 64 20 33 44 45 53 2e 00 46 6f 72 20 2a 2a 69 6e 62 6f 75 6e 64 2d 69 ng.AES.and.3DES..For.**inbound-i
99c0 6e 74 65 72 66 61 63 65 2a 2a 3a 20 75 73 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 6e 61 nterface**:.use.the.interface.na
99e0 6d 65 20 77 69 74 68 20 74 68 65 20 56 52 46 20 6e 61 6d 65 2c 20 6c 69 6b 65 20 60 60 4d 47 4d me.with.the.VRF.name,.like.``MGM
9a00 54 60 60 20 6f 72 20 60 60 4c 41 4e 60 60 2e 00 46 6f 72 20 2a 2a 6f 75 74 62 6f 75 6e 64 2d 69 T``.or.``LAN``..For.**outbound-i
9a20 6e 74 65 72 66 61 63 65 2a 2a 3a 20 75 73 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 6e 61 nterface**:.use.the.interface.na
9a40 6d 65 2c 20 6c 69 6b 65 20 60 60 65 74 68 30 60 60 2c 20 60 60 76 74 75 6e 30 60 60 2c 20 60 60 me,.like.``eth0``,.``vtun0``,.``
9a60 65 74 68 32 2a 60 60 20 6f 72 20 73 69 6d 69 6c 61 72 2e 00 46 6f 72 20 63 6f 6e 6e 65 63 74 69 eth2*``.or.similar..For.connecti
9a80 6f 6e 20 62 65 74 77 65 65 6e 20 73 69 74 65 73 2c 20 77 65 20 61 72 65 20 72 75 6e 6e 69 6e 67 on.between.sites,.we.are.running
9aa0 20 61 20 57 69 72 65 47 75 61 72 64 20 6c 69 6e 6b 20 74 6f 20 74 77 6f 20 52 45 4d 4f 54 45 20 .a.WireGuard.link.to.two.REMOTE.
9ac0 72 6f 75 74 65 72 73 20 61 6e 64 20 75 73 69 6e 67 20 4f 53 50 46 20 6f 76 65 72 20 74 68 6f 73 routers.and.using.OSPF.over.thos
9ae0 65 20 6c 69 6e 6b 73 20 74 6f 20 64 69 73 74 72 69 62 75 74 65 20 72 6f 75 74 65 73 2e 20 54 68 e.links.to.distribute.routes..Th
9b00 61 74 20 72 65 6d 6f 74 65 20 73 69 74 65 20 69 73 20 65 78 70 65 63 74 65 64 20 74 6f 20 73 65 at.remote.site.is.expected.to.se
9b20 6e 64 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 61 6e 79 74 68 69 6e 67 20 69 6e 20 31 30 2e 32 nd.traffic.from.anything.in.10.2
9b40 30 31 2e 30 2e 30 2f 31 36 00 46 6f 72 20 65 78 61 6d 70 6c 65 2c 20 77 68 69 6c 65 20 61 20 68 01.0.0/16.For.example,.while.a.h
9b60 6f 73 74 20 74 72 69 65 73 20 74 6f 20 67 65 74 20 61 6e 20 49 50 20 61 64 64 72 65 73 73 20 66 ost.tries.to.get.an.IP.address.f
9b80 72 6f 6d 20 61 20 44 48 43 50 20 73 65 72 76 65 72 20 69 6e 20 62 72 31 20 61 6c 6c 20 44 48 43 rom.a.DHCP.server.in.br1.all.DHC
9ba0 50 20 64 69 73 63 6f 76 65 72 20 61 72 65 20 64 72 6f 70 70 65 64 2c 20 61 6e 64 20 69 6e 20 62 P.discover.are.dropped,.and.in.b
9bc0 72 32 2c 20 77 65 20 63 61 6e 20 73 65 65 20 74 68 61 74 20 44 48 43 50 20 6f 66 66 65 72 73 20 r2,.we.can.see.that.DHCP.offers.
9be0 66 72 6f 6d 20 75 6e 74 72 75 73 74 65 64 20 73 65 72 76 65 72 73 20 61 72 65 20 64 72 6f 70 70 from.untrusted.servers.are.dropp
9c00 65 64 3a 00 46 6f 72 20 68 6f 6d 65 20 6e 65 74 77 6f 72 6b 20 75 73 65 72 73 2c 20 6d 6f 73 74 ed:.For.home.network.users,.most
9c20 20 6f 66 20 74 69 6d 65 20 49 53 50 20 6f 6e 6c 79 20 70 72 6f 76 69 64 65 73 20 2f 36 34 20 70 .of.time.ISP.only.provides./64.p
9c40 72 65 66 69 78 2c 20 68 65 6e 63 65 20 74 68 65 72 65 20 69 73 20 6e 6f 20 6e 65 65 64 20 74 6f refix,.hence.there.is.no.need.to
9c60 20 73 65 74 20 53 4c 41 20 49 44 20 61 6e 64 20 70 72 65 66 69 78 20 6c 65 6e 67 74 68 2e 20 53 .set.SLA.ID.and.prefix.length..S
9c80 65 65 20 3a 72 65 66 3a 60 70 70 70 6f 65 2d 69 6e 74 65 72 66 61 63 65 60 20 66 6f 72 20 6d 6f ee.:ref:`pppoe-interface`.for.mo
9ca0 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 46 6f 72 20 72 65 64 75 6e 64 61 6e 74 20 2f 20 re.information..For.redundant./.
9cc0 61 63 74 69 76 65 2d 61 63 74 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 73 65 65 active-active.configurations.see
9ce0 20 3a 72 65 66 3a 60 65 78 61 6d 70 6c 65 73 2d 61 7a 75 72 65 2d 76 70 6e 2d 64 75 61 6c 2d 62 .:ref:`examples-azure-vpn-dual-b
9d00 67 70 60 00 46 6f 72 20 73 69 6d 70 6c 69 63 69 74 79 2c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f gp`.For.simplicity,.configuratio
9d20 6e 20 61 6e 64 20 74 65 73 74 73 20 61 72 65 20 64 6f 6e 65 20 6f 6e 6c 79 20 75 73 69 6e 67 20 n.and.tests.are.done.only.using.
9d40 49 50 76 34 2c 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e IPv4,.and.firewall.configuration
9d60 20 69 73 20 64 6f 6e 65 20 6f 6e 6c 79 20 6f 6e 20 6f 6e 65 20 72 6f 75 74 65 72 2e 00 46 6f 72 .is.done.only.on.one.router..For
9d80 20 73 69 6d 70 6c 69 63 69 74 79 2c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 61 6e 64 20 74 .simplicity,.configuration.and.t
9da0 65 73 74 73 20 61 72 65 20 64 6f 6e 65 20 6f 6e 6c 79 20 75 73 69 6e 67 20 69 70 76 34 2c 20 61 ests.are.done.only.using.ipv4,.a
9dc0 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 6e 20 64 6f 6e nd.firewall.configuration.in.don
9de0 65 20 6f 6e 6c 79 20 6f 6e 20 6f 6e 65 20 72 6f 75 74 65 72 2e 00 46 6f 72 20 74 68 65 20 68 61 e.only.on.one.router..For.the.ha
9e00 72 64 77 61 72 65 20 72 6f 75 74 65 72 2c 20 72 65 70 6c 61 63 65 20 60 60 65 74 68 30 60 60 20 rdware.router,.replace.``eth0``.
9e20 77 69 74 68 20 60 60 62 6f 6e 64 30 60 60 2e 20 41 73 20 28 61 6c 6d 6f 73 74 29 20 65 76 65 72 with.``bond0``..As.(almost).ever
9e40 79 20 63 6f 6d 6d 61 6e 64 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 74 68 69 73 20 77 69 6c y.command.is.identical,.this.wil
9e60 6c 20 6e 6f 74 20 62 65 20 73 70 65 63 69 66 69 65 64 20 75 6e 6c 65 73 73 20 64 69 66 66 65 72 l.not.be.specified.unless.differ
9e80 65 6e 74 20 74 68 69 6e 67 73 20 6e 65 65 64 20 74 6f 20 62 65 20 70 65 72 66 6f 72 6d 65 64 20 ent.things.need.to.be.performed.
9ea0 6f 6e 20 64 69 66 66 65 72 65 6e 74 20 68 6f 73 74 73 2e 00 46 72 6f 6d 20 44 61 74 61 63 65 6e on.different.hosts..From.Datacen
9ec0 74 65 72 20 2d 20 54 68 69 73 20 63 6f 6e 6e 65 63 74 73 20 69 6e 74 6f 20 70 6f 72 74 20 31 20 ter.-.This.connects.into.port.1.
9ee0 6f 6e 20 62 6f 74 68 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 69 73 20 74 61 67 67 65 64 20 on.both.switches,.and.is.tagged.
9f00 61 73 20 56 4c 41 4e 20 35 30 00 46 72 6f 6d 20 4d 61 6e 61 67 65 6d 65 6e 74 20 74 6f 20 4c 41 as.VLAN.50.From.Management.to.LA
9f20 4e 31 2f 4c 41 4e 32 00 46 72 6f 6d 20 4d 61 6e 61 67 65 6d 65 6e 74 20 74 6f 20 4f 75 74 73 69 N1/LAN2.From.Management.to.Outsi
9f40 64 65 20 28 66 61 69 6c 73 20 61 73 20 69 6e 74 65 6e 64 65 64 29 00 46 75 6c 6c 20 63 6f 6e 66 de.(fails.as.intended).Full.conf
9f60 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 61 6c 6c 20 64 65 76 69 63 65 73 00 47 52 45 3a 00 iguration.from.all.devices.GRE:.
9f80 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 4c 33 56 50 4e 73 General.information.about.L3VPNs
9fa0 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 63 6f 6e 66 69 .can.be.found.in.the.:ref:`confi
9fc0 67 75 72 61 74 69 6f 6e 2f 76 72 66 2f 69 6e 64 65 78 3a 4c 33 56 50 4e 20 56 52 46 73 60 20 63 guration/vrf/index:L3VPN.VRFs`.c
9fe0 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 hapter..General.information.can.
a000 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 63 6f 6e 66 69 67 75 72 61 74 be.found.in.the.:ref:`configurat
a020 69 6f 6e 2f 76 72 66 2f 69 6e 64 65 78 3a 4c 33 56 50 4e 20 56 52 46 73 60 20 63 68 61 70 74 65 ion/vrf/index:L3VPN.VRFs`.chapte
a040 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 66 6f r..General.information.can.be.fo
a060 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 72 6f 75 74 69 6e 67 2d 62 67 70 60 20 63 68 und.in.the.:ref:`routing-bgp`.ch
a080 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 apter..General.information.can.b
a0a0 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 72 6f 75 74 69 6e 67 2d 6f 73 70 e.found.in.the.:ref:`routing-osp
a0c0 66 60 20 63 68 61 70 74 65 72 2e 00 48 61 72 64 77 61 72 65 00 48 61 72 64 77 61 72 65 20 52 6f f`.chapter..Hardware.Hardware.Ro
a0e0 75 74 65 72 20 2d 20 50 6f 72 74 20 38 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 48 65 72 uter.-.Port.8.of.each.switch.Her
a100 65 20 69 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 6e 20 49 50 76 36 20 44 4d 5a 2d 57 e.is.an.example.of.an.IPv6.DMZ-W
a120 41 4e 20 72 75 6c 65 73 65 74 2e 00 48 65 72 65 20 69 73 20 74 68 65 20 72 6f 75 74 69 6e 67 20 AN.ruleset..Here.is.the.routing.
a140 74 61 62 6c 65 73 20 73 68 6f 77 69 6e 67 20 74 68 65 20 4d 50 4c 53 20 73 65 67 6d 65 6e 74 20 tables.showing.the.MPLS.segment.
a160 72 6f 75 74 69 6e 67 20 6c 61 62 65 6c 20 6f 70 65 72 61 74 69 6f 6e 73 3a 00 48 65 72 65 20 77 routing.label.operations:.Here.w
a180 65 20 73 65 74 20 74 68 65 20 70 72 65 66 69 78 20 74 6f 20 60 60 3a 3a 2f 36 34 60 60 20 74 6f e.set.the.prefix.to.``::/64``.to
a1a0 20 69 6e 64 69 63 61 74 65 20 61 64 76 65 72 74 69 73 69 6e 67 20 61 6e 79 20 2f 36 34 20 70 72 .indicate.advertising.any./64.pr
a1c0 65 66 69 78 20 74 68 65 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e efix.the.LAN.interface.is.assign
a1e0 65 64 2e 00 48 65 72 65 20 77 65 20 75 73 65 20 74 68 65 20 70 72 65 66 69 78 20 74 6f 20 63 6f ed..Here.we.use.the.prefix.to.co
a200 6e 66 69 67 75 72 65 20 74 68 65 20 61 64 64 72 65 73 73 20 6f 66 20 65 74 68 31 20 28 4c 41 4e nfigure.the.address.of.eth1.(LAN
a220 29 20 74 6f 20 66 6f 72 6d 20 60 60 3c 70 72 65 66 69 78 3e 3a 3a 36 34 60 60 2c 20 77 68 65 72 ).to.form.``<prefix>::64``,.wher
a240 65 20 60 60 36 34 60 60 20 69 73 20 68 65 78 61 64 65 63 69 6d 61 6c 20 6f 66 20 61 64 64 72 65 e.``64``.is.hexadecimal.of.addre
a260 73 73 20 31 30 30 2e 00 48 69 67 68 20 41 76 61 69 6c 61 62 69 6c 69 74 79 20 57 61 6c 6b 74 68 ss.100..High.Availability.Walkth
a280 72 6f 75 67 68 00 48 6f 77 20 64 6f 65 73 20 69 74 20 77 6f 72 6b 3f 00 48 75 62 00 49 20 63 68 rough.How.does.it.work?.Hub.I.ch
a2a0 6f 73 65 20 74 6f 20 72 75 6e 20 4f 53 50 46 20 61 73 20 74 68 65 20 49 47 50 20 28 49 6e 74 65 ose.to.run.OSPF.as.the.IGP.(Inte
a2c0 72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f 74 6f 63 6f 6c 29 2e 20 41 6c 6c 20 72 65 71 75 rior.Gateway.Protocol)..All.requ
a2e0 69 72 65 64 20 42 47 50 20 73 65 73 73 69 6f 6e 73 20 61 72 65 20 65 73 74 61 62 6c 69 73 68 65 ired.BGP.sessions.are.establishe
a300 64 20 76 69 61 20 61 20 64 75 6d 6d 79 20 69 6e 74 65 72 66 61 63 65 73 20 28 73 69 6d 69 6c 61 d.via.a.dummy.interfaces.(simila
a320 72 20 74 6f 20 74 68 65 20 6c 6f 6f 70 62 61 63 6b 2c 20 62 75 74 20 69 6e 20 4c 69 6e 75 78 20 r.to.the.loopback,.but.in.Linux.
a340 79 6f 75 20 63 61 6e 20 68 61 76 65 20 6f 6e 6c 79 20 6f 6e 65 20 6c 6f 6f 70 62 61 63 6b 2c 20 you.can.have.only.one.loopback,.
a360 77 68 69 6c 65 20 74 68 65 72 65 20 63 61 6e 20 62 65 20 6d 61 6e 79 20 64 75 6d 6d 79 20 69 6e while.there.can.be.many.dummy.in
a380 74 65 72 66 61 63 65 73 29 20 6f 6e 20 74 68 65 20 50 45 20 72 6f 75 74 65 72 73 2e 20 49 6e 20 terfaces).on.the.PE.routers..In.
a3a0 63 61 73 65 20 6f 66 20 61 20 6c 69 6e 6b 20 66 61 69 6c 75 72 65 2c 20 74 72 61 66 66 69 63 20 case.of.a.link.failure,.traffic.
a3c0 69 73 20 64 69 76 65 72 74 65 64 20 69 6e 20 74 68 65 20 6f 74 68 65 72 20 64 69 72 65 63 74 69 is.diverted.in.the.other.directi
a3e0 6f 6e 20 69 6e 20 74 68 69 73 20 74 72 69 61 6e 67 6c 65 20 73 65 74 75 70 20 61 6e 64 20 42 47 on.in.this.triangle.setup.and.BG
a400 50 20 73 65 73 73 69 6f 6e 73 20 77 69 6c 6c 20 6e 6f 74 20 67 6f 20 64 6f 77 6e 2e 20 4f 6e 65 P.sessions.will.not.go.down..One
a420 20 63 6f 75 6c 64 20 65 76 65 6e 20 65 6e 61 62 6c 65 20 42 46 44 20 28 42 69 64 69 72 65 63 74 .could.even.enable.BFD.(Bidirect
a440 69 6f 6e 61 6c 20 46 6f 72 77 61 72 64 69 6e 67 20 44 65 74 65 63 74 69 6f 6e 29 20 6f 6e 20 74 ional.Forwarding.Detection).on.t
a460 68 65 20 6c 69 6e 6b 73 20 66 6f 72 20 61 20 66 61 73 74 65 72 20 66 61 69 6c 6f 76 65 72 20 61 he.links.for.a.faster.failover.a
a480 6e 64 20 72 65 73 69 6c 69 65 6e 63 65 20 69 6e 20 74 68 65 20 6e 65 74 77 6f 72 6b 2e 00 49 20 nd.resilience.in.the.network..I.
a4a0 63 72 65 61 74 65 2f 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 create/configure.the.interfaces.
a4c0 66 69 72 73 74 2e 20 42 75 69 6c 64 20 6f 75 74 20 74 68 65 20 72 75 6c 65 73 65 74 73 20 66 6f first..Build.out.the.rulesets.fo
a4e0 72 20 65 61 63 68 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 77 68 69 63 68 r.each.zone-pair-direction.which
a500 20 69 6e 63 6c 75 64 65 73 20 61 74 20 6c 65 61 73 74 20 74 68 65 20 74 68 72 65 65 20 73 74 61 .includes.at.least.the.three.sta
a520 74 65 20 72 75 6c 65 73 2e 20 54 68 65 6e 20 49 20 73 65 74 75 70 20 74 68 65 20 7a 6f 6e 65 2d te.rules..Then.I.setup.the.zone-
a540 70 6f 6c 69 63 69 65 73 2e 00 49 20 6e 61 6d 65 20 72 75 6c 65 20 73 65 74 73 20 74 6f 20 69 6e policies..I.name.rule.sets.to.in
a560 64 69 63 61 74 65 20 77 68 69 63 68 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e dicate.which.zone-pair-direction
a580 20 74 68 65 79 20 72 65 70 72 65 73 65 6e 74 2e 20 65 67 2e 20 5a 6f 6e 65 41 2d 5a 6f 6e 65 42 .they.represent..eg..ZoneA-ZoneB
a5a0 20 6f 72 20 5a 6f 6e 65 42 2d 5a 6f 6e 65 41 2e 20 4c 41 4e 2d 44 4d 5a 2c 20 44 4d 5a 2d 4c 41 .or.ZoneB-ZoneA..LAN-DMZ,.DMZ-LA
a5c0 4e 2e 00 49 20 6e 61 6d 65 64 20 74 68 65 20 63 75 73 74 6f 6d 65 72 73 20 62 6c 75 65 2c 20 72 N..I.named.the.customers.blue,.r
a5e0 65 64 20 61 6e 64 20 67 72 65 65 6e 20 77 68 69 63 68 20 69 73 20 63 6f 6d 6d 6f 6e 20 70 72 61 ed.and.green.which.is.common.pra
a600 63 74 69 63 65 20 69 6e 20 56 52 46 20 28 56 69 72 74 75 61 6c 20 52 6f 75 74 69 6e 67 20 61 6e ctice.in.VRF.(Virtual.Routing.an
a620 64 20 46 6f 72 77 61 72 64 69 6e 67 29 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 73 63 65 6e d.Forwarding).documentation.scen
a640 61 72 69 6f 73 2e 00 49 20 73 70 75 6e 20 75 70 20 61 20 6e 65 77 20 6c 61 62 20 69 6e 20 45 56 arios..I.spun.up.a.new.lab.in.EV
a660 45 2d 4e 47 2c 20 77 68 69 63 68 20 72 65 70 72 65 73 65 6e 74 73 20 74 68 69 73 20 61 73 20 74 E-NG,.which.represents.this.as.t
a680 68 65 20 22 46 6f 6f 20 42 61 72 20 2d 20 53 65 72 76 69 63 65 20 50 72 6f 76 69 64 65 72 20 49 he."Foo.Bar.-.Service.Provider.I
a6a0 6e 63 2e 22 20 74 68 61 74 20 68 61 73 20 33 20 70 6f 69 6e 74 73 20 6f 66 20 70 72 65 73 65 6e nc.".that.has.3.points.of.presen
a6c0 63 65 20 28 50 6f 50 29 20 69 6e 20 72 61 6e 64 6f 6d 20 64 61 74 61 63 65 6e 74 65 72 73 2f 73 ce.(PoP).in.random.datacenters/s
a6e0 69 74 65 73 20 6e 61 6d 65 64 20 50 45 31 2c 20 50 45 32 2c 20 61 6e 64 20 50 45 33 2e 20 45 61 ites.named.PE1,.PE2,.and.PE3..Ea
a700 63 68 20 50 6f 50 20 61 67 67 72 65 67 61 74 65 73 20 61 74 20 6c 65 61 73 74 20 74 77 6f 20 63 ch.PoP.aggregates.at.least.two.c
a720 75 73 74 6f 6d 65 72 73 2e 00 49 50 20 53 63 68 65 6d 61 00 49 50 20 66 69 72 65 77 61 6c 6c 20 ustomers..IP.Schema.IP.firewall.
a740 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 49 50 2f 4d 50 4c 53 20 74 65 63 68 6e 6f 6c 6f 67 79 configuration.IP/MPLS.technology
a760 20 69 73 20 77 69 64 65 6c 79 20 75 73 65 64 20 62 79 20 76 61 72 69 6f 75 73 20 73 65 72 76 69 .is.widely.used.by.various.servi
a780 63 65 20 70 72 6f 76 69 64 65 72 73 20 61 6e 64 20 6c 61 72 67 65 20 65 6e 74 65 72 70 72 69 73 ce.providers.and.large.enterpris
a7a0 65 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 61 63 68 69 65 76 65 20 62 65 74 74 65 72 20 6e 65 es.in.order.to.achieve.better.ne
a7c0 74 77 6f 72 6b 20 73 63 61 6c 61 62 69 6c 69 74 79 2c 20 6d 61 6e 61 67 65 61 62 69 6c 69 74 79 twork.scalability,.manageability
a7e0 20 61 6e 64 20 66 6c 65 78 69 62 69 6c 69 74 79 2e 20 49 74 20 61 6c 73 6f 20 70 72 6f 76 69 64 .and.flexibility..It.also.provid
a800 65 73 20 74 68 65 20 70 6f 73 73 69 62 69 6c 69 74 79 20 74 6f 20 64 65 6c 69 76 65 72 20 64 69 es.the.possibility.to.deliver.di
a820 66 66 65 72 65 6e 74 20 73 65 72 76 69 63 65 73 20 66 6f 72 20 74 68 65 20 63 75 73 74 6f 6d 65 fferent.services.for.the.custome
a840 72 73 20 69 6e 20 61 20 73 65 61 6d 6c 65 73 73 20 6d 61 6e 6e 65 72 2e 20 4c 61 79 65 72 20 33 rs.in.a.seamless.manner..Layer.3
a860 20 56 50 4e 20 28 4c 33 56 50 4e 29 20 69 73 20 61 20 74 79 70 65 20 6f 66 20 56 50 4e 20 6d 6f .VPN.(L3VPN).is.a.type.of.VPN.mo
a880 64 65 20 74 68 61 74 20 69 73 20 62 75 69 6c 74 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 74 de.that.is.built.and.delivered.t
a8a0 68 72 6f 75 67 68 20 4f 53 49 20 6c 61 79 65 72 20 33 20 6e 65 74 77 6f 72 6b 69 6e 67 20 74 65 hrough.OSI.layer.3.networking.te
a8c0 63 68 6e 6f 6c 6f 67 69 65 73 2e 20 4f 66 74 65 6e 20 74 68 65 20 62 6f 72 64 65 72 20 67 61 74 chnologies..Often.the.border.gat
a8e0 65 77 61 79 20 70 72 6f 74 6f 63 6f 6c 20 28 42 47 50 29 20 69 73 20 75 73 65 64 20 74 6f 20 73 eway.protocol.(BGP).is.used.to.s
a900 65 6e 64 20 61 6e 64 20 72 65 63 65 69 76 65 20 56 50 4e 2d 72 65 6c 61 74 65 64 20 64 61 74 61 end.and.receive.VPN-related.data
a920 20 74 68 61 74 20 69 73 20 72 65 73 70 6f 6e 73 69 62 6c 65 20 66 6f 72 20 74 68 65 20 63 6f 6e .that.is.responsible.for.the.con
a940 74 72 6f 6c 20 70 6c 61 6e 65 2e 20 4c 33 56 50 4e 20 75 74 69 6c 69 7a 65 73 20 76 69 72 74 75 trol.plane..L3VPN.utilizes.virtu
a960 61 6c 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 66 6f 72 77 61 72 64 69 6e 67 20 28 56 52 46 29 20 al.routing.and.forwarding.(VRF).
a980 74 65 63 68 6e 69 71 75 65 73 20 74 6f 20 72 65 63 65 69 76 65 20 61 6e 64 20 64 65 6c 69 76 65 techniques.to.receive.and.delive
a9a0 72 20 75 73 65 72 20 64 61 74 61 20 61 73 20 77 65 6c 6c 20 61 73 20 73 65 70 61 72 61 74 65 20 r.user.data.as.well.as.separate.
a9c0 64 61 74 61 20 70 6c 61 6e 65 73 20 6f 66 20 74 68 65 20 65 6e 64 2d 75 73 65 72 73 2e 20 49 74 data.planes.of.the.end-users..It
a9e0 20 69 73 20 62 75 69 6c 74 20 75 73 69 6e 67 20 61 20 63 6f 6d 62 69 6e 61 74 69 6f 6e 20 6f 66 .is.built.using.a.combination.of
aa00 20 49 50 2d 20 61 6e 64 20 4d 50 4c 53 2d 62 61 73 65 64 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e .IP-.and.MPLS-based.information.
aa20 20 47 65 6e 65 72 61 6c 6c 79 2c 20 4c 33 56 50 4e 73 20 61 72 65 20 75 73 65 64 20 74 6f 20 73 .Generally,.L3VPNs.are.used.to.s
aa40 65 6e 64 20 64 61 74 61 20 6f 6e 20 62 61 63 6b 2d 65 6e 64 20 56 50 4e 20 69 6e 66 72 61 73 74 end.data.on.back-end.VPN.infrast
aa60 72 75 63 74 75 72 65 73 2c 20 73 75 63 68 20 61 73 20 66 6f 72 20 56 50 4e 20 63 6f 6e 6e 65 63 ructures,.such.as.for.VPN.connec
aa80 74 69 6f 6e 73 20 62 65 74 77 65 65 6e 20 64 61 74 61 20 63 65 6e 74 72 65 73 2c 20 48 51 73 20 tions.between.data.centres,.HQs.
aaa0 61 6e 64 20 62 72 61 6e 63 68 65 73 2e 00 49 50 53 65 63 20 63 6f 6e 66 69 67 75 72 61 74 69 6f and.branches..IPSec.configuratio
aac0 6e 3a 00 49 50 73 65 63 3a 00 49 50 76 34 20 4e 65 74 77 6f 72 6b 00 49 50 76 34 20 66 69 72 65 n:.IPsec:.IPv4.Network.IPv4.fire
aae0 77 61 6c 6c 20 72 75 6c 73 65 74 3a 00 49 50 76 36 20 4e 65 74 77 6f 72 6b 00 49 50 76 36 20 54 wall.rulset:.IPv6.Network.IPv6.T
ab00 75 6e 6e 65 6c 00 49 53 49 53 2d 53 52 20 65 78 61 6d 70 6c 65 20 6e 65 74 77 6f 72 6b 00 49 53 unnel.ISIS-SR.example.network.IS
ab20 49 53 2d 53 52 20 6e 65 74 77 6f 72 6b 00 49 53 50 00 49 66 20 60 73 6f 75 72 63 65 2d 61 64 64 IS-SR.network.ISP.If.`source-add
ab40 72 65 73 73 60 20 69 73 20 20 64 79 6e 61 6d 69 63 2c 20 74 68 65 20 74 75 6e 6e 65 6c 20 77 69 ress`.is..dynamic,.the.tunnel.wi
ab60 6c 6c 20 63 65 61 73 65 20 77 6f 72 6b 69 6e 67 20 6f 6e 63 65 20 74 68 65 20 61 64 64 72 65 73 ll.cease.working.once.the.addres
ab80 73 20 63 68 61 6e 67 65 73 2e 20 54 6f 20 61 76 6f 69 64 20 68 61 76 69 6e 67 20 74 6f 20 6d 61 s.changes..To.avoid.having.to.ma
aba0 6e 75 61 6c 6c 79 20 75 70 64 61 74 65 20 60 73 6f 75 72 63 65 2d 61 64 64 72 65 73 73 60 20 65 nually.update.`source-address`.e
abc0 61 63 68 20 74 69 6d 65 20 74 68 65 20 64 79 6e 61 6d 69 63 20 49 50 20 63 68 61 6e 67 65 73 2c ach.time.the.dynamic.IP.changes,
abe0 20 61 6e 20 61 64 64 72 65 73 73 20 6f 66 20 27 30 2e 30 2e 30 2e 30 27 20 63 61 6e 20 62 65 20 .an.address.of.'0.0.0.0'.can.be.
ac00 73 70 65 63 69 66 69 65 64 2e 00 49 66 20 74 68 65 20 63 6c 69 65 6e 74 20 69 73 20 63 6f 6e 6e specified..If.the.client.is.conn
ac20 65 63 74 20 73 75 63 63 65 73 73 66 75 6c 6c 79 20 79 6f 75 20 63 61 6e 20 63 68 65 63 6b 20 74 ect.successfully.you.can.check.t
ac40 68 65 20 6f 75 74 70 75 74 20 77 69 74 68 00 49 66 20 74 68 65 20 63 6c 69 65 6e 74 20 69 73 20 he.output.with.If.the.client.is.
ac60 63 6f 6e 6e 65 63 74 65 64 20 73 75 63 63 65 73 73 66 75 6c 6c 79 20 79 6f 75 20 63 61 6e 20 63 connected.successfully.you.can.c
ac80 68 65 63 6b 20 74 68 65 20 73 74 61 74 75 73 00 49 66 20 77 65 20 6e 65 65 64 20 74 6f 20 72 65 heck.the.status.If.we.need.to.re
aca0 74 72 69 65 76 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 61 20 73 70 65 63 69 trieve.information.about.a.speci
acc0 66 69 63 20 68 6f 73 74 2f 6e 65 74 77 6f 72 6b 20 69 6e 73 69 64 65 20 74 68 65 20 45 56 50 4e fic.host/network.inside.the.EVPN
ace0 20 6e 65 74 77 6f 72 6b 20 77 65 20 6e 65 65 64 20 74 6f 20 72 75 6e 00 49 66 20 79 6f 75 20 61 .network.we.need.to.run.If.you.a
ad00 72 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 74 68 72 6f 75 67 68 20 74 68 69 73 20 64 6f 63 75 6d 65 re.following.through.this.docume
ad20 6e 74 2c 20 69 74 20 69 73 20 73 74 72 6f 6e 67 6c 79 20 73 75 67 67 65 73 74 65 64 20 79 6f 75 nt,.it.is.strongly.suggested.you
ad40 20 63 6f 6d 70 6c 65 74 65 20 74 68 65 20 65 6e 74 69 72 65 20 64 6f 63 75 6d 65 6e 74 2c 20 4f .complete.the.entire.document,.O
ad60 4e 4c 59 20 64 6f 69 6e 67 20 74 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 31 20 73 74 NLY.doing.the.virtual.router1.st
ad80 65 70 73 2c 20 61 6e 64 20 74 68 65 6e 20 63 6f 6d 65 20 62 61 63 6b 20 61 6e 64 20 77 61 6c 6b eps,.and.then.come.back.and.walk
ada0 20 74 68 72 6f 75 67 68 20 69 74 20 41 47 41 49 4e 20 6f 6e 20 74 68 65 20 62 61 63 6b 75 70 20 .through.it.AGAIN.on.the.backup.
adc0 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 49 66 20 79 6f 75 20 61 72 65 20 75 73 69 6e hardware.router..If.you.are.usin
ade0 67 20 61 20 49 50 76 36 20 74 75 6e 6e 65 6c 20 66 72 6f 6d 20 48 45 2e 6e 65 74 20 6f 72 20 73 g.a.IPv6.tunnel.from.HE.net.or.s
ae00 6f 6d 65 6f 6e 65 20 65 6c 73 65 2c 20 74 68 65 20 62 61 73 69 73 20 69 73 20 74 68 65 20 73 61 omeone.else,.the.basis.is.the.sa
ae20 6d 65 20 65 78 63 65 70 74 20 79 6f 75 20 68 61 76 65 20 74 77 6f 20 57 41 4e 20 69 6e 74 65 72 me.except.you.have.two.WAN.inter
ae40 66 61 63 65 73 2e 20 4f 6e 65 20 66 6f 72 20 76 34 20 61 6e 64 20 6f 6e 65 20 66 6f 72 20 76 36 faces..One.for.v4.and.one.for.v6
ae60 2e 00 49 66 20 79 6f 75 20 75 73 65 20 61 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 ..If.you.use.a.routing.protocol.
ae80 69 74 73 65 6c 66 2c 20 79 6f 75 20 73 6f 6c 76 65 20 74 77 6f 20 70 72 6f 62 6c 65 6d 73 20 61 itself,.you.solve.two.problems.a
aea0 74 20 6f 6e 63 65 2e 20 54 68 69 73 20 69 73 20 6f 6e 6c 79 20 61 20 62 61 73 69 63 20 65 78 61 t.once..This.is.only.a.basic.exa
aec0 6d 70 6c 65 2c 20 61 6e 64 20 69 73 20 70 72 6f 76 69 64 65 64 20 61 73 20 61 20 73 74 61 72 74 mple,.and.is.provided.as.a.start
aee0 69 6e 67 20 70 6f 69 6e 74 2e 00 49 66 20 79 6f 75 72 20 63 6f 6d 70 75 74 65 72 20 69 73 20 6f ing.point..If.your.computer.is.o
af00 6e 20 74 68 65 20 4c 41 4e 20 61 6e 64 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 53 53 48 20 69 6e n.the.LAN.and.you.need.to.SSH.in
af20 74 6f 20 79 6f 75 72 20 56 79 4f 53 20 62 6f 78 2c 20 79 6f 75 20 77 6f 75 6c 64 20 6e 65 65 64 to.your.VyOS.box,.you.would.need
af40 20 61 20 72 75 6c 65 20 74 6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e 20 74 68 65 20 4c 41 4e 2d 4c .a.rule.to.allow.it.in.the.LAN-L
af60 6f 63 61 6c 20 72 75 6c 65 73 65 74 2e 20 49 66 20 79 6f 75 20 77 61 6e 74 20 74 6f 20 61 63 63 ocal.ruleset..If.you.want.to.acc
af80 65 73 73 20 61 20 77 65 62 70 61 67 65 20 66 72 6f 6d 20 79 6f 75 72 20 56 79 4f 53 20 62 6f 78 ess.a.webpage.from.your.VyOS.box
afa0 2c 20 79 6f 75 20 6e 65 65 64 20 61 20 72 75 6c 65 20 74 6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e ,.you.need.a.rule.to.allow.it.in
afc0 20 74 68 65 20 4c 6f 63 61 6c 2d 4c 41 4e 20 72 75 6c 65 73 65 74 2e 00 49 6d 61 67 65 20 6e 61 .the.Local-LAN.ruleset..Image.na
afe0 6d 65 3a 20 76 79 6f 73 2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 me:.vyos-1.4-rolling-20211031031
b000 37 2d 61 6d 64 36 34 2e 69 73 6f 00 49 6e 20 3a 76 79 74 61 73 6b 3a 60 54 32 31 39 39 60 20 74 7-amd64.iso.In.:vytask:`T2199`.t
b020 68 65 20 73 79 6e 74 61 78 20 6f 66 20 74 68 65 20 7a 6f 6e 65 20 63 6f 6e 66 69 67 75 72 61 74 he.syntax.of.the.zone.configurat
b040 69 6f 6e 20 77 61 73 20 63 68 61 6e 67 65 64 2e 20 54 68 65 20 7a 6f 6e 65 20 63 6f 6e 66 69 67 ion.was.changed..The.zone.config
b060 75 72 61 74 69 6f 6e 20 6d 6f 76 65 64 20 66 72 6f 6d 20 60 60 7a 6f 6e 65 2d 70 6f 6c 69 63 79 uration.moved.from.``zone-policy
b080 20 7a 6f 6e 65 20 3c 6e 61 6d 65 3e 60 60 20 74 6f 20 60 60 66 69 72 65 77 61 6c 6c 20 7a 6f 6e .zone.<name>``.to.``firewall.zon
b0a0 65 20 3c 6e 61 6d 65 3e 60 60 2e 00 49 6e 20 56 79 4f 53 20 79 6f 75 20 6d 75 73 74 20 68 61 76 e.<name>``..In.VyOS.you.must.hav
b0c0 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 63 72 65 61 74 65 64 20 62 65 66 6f 72 65 20 e.the.interfaces.created.before.
b0e0 79 6f 75 20 63 61 6e 20 61 70 70 6c 79 20 69 74 20 74 6f 20 74 68 65 20 7a 6f 6e 65 20 61 6e 64 you.can.apply.it.to.the.zone.and
b100 20 74 68 65 20 72 75 6c 65 73 65 74 73 20 6d 75 73 74 20 62 65 20 63 72 65 61 74 65 64 20 70 72 .the.rulesets.must.be.created.pr
b120 69 6f 72 20 74 6f 20 61 70 70 6c 79 69 6e 67 20 69 74 20 74 6f 20 61 20 7a 6f 6e 65 2d 70 6f 6c ior.to.applying.it.to.a.zone-pol
b140 69 63 79 2e 00 49 6e 20 56 79 4f 53 2c 20 79 6f 75 20 68 61 76 65 20 74 6f 20 68 61 76 65 20 75 icy..In.VyOS,.you.have.to.have.u
b160 6e 69 71 75 65 20 52 75 6c 65 73 65 74 20 6e 61 6d 65 73 2e 20 49 6e 20 74 68 65 20 65 76 65 6e nique.Ruleset.names..In.the.even
b180 74 20 6f 66 20 6f 76 65 72 6c 61 70 2c 20 49 20 61 64 64 20 61 20 22 2d 36 22 20 74 6f 20 74 68 t.of.overlap,.I.add.a."-6".to.th
b1a0 65 20 65 6e 64 20 6f 66 20 76 36 20 72 75 6c 65 73 65 74 73 2e 20 65 67 2e 20 4c 41 4e 2d 44 4d e.end.of.v6.rulesets..eg..LAN-DM
b1c0 5a 2c 20 4c 41 4e 2d 44 4d 5a 2d 36 2e 20 54 68 69 73 20 61 6c 6c 6f 77 73 20 66 6f 72 20 65 61 Z,.LAN-DMZ-6..This.allows.for.ea
b1e0 63 68 20 61 75 74 6f 2d 63 6f 6d 70 6c 65 74 69 6f 6e 20 61 6e 64 20 75 6e 69 71 75 65 6e 65 73 ch.auto-completion.and.uniquenes
b200 73 2e 00 49 6e 20 72 75 6c 65 73 2c 20 69 74 20 69 73 20 67 6f 6f 64 20 74 6f 20 6b 65 65 70 20 s..In.rules,.it.is.good.to.keep.
b220 74 68 65 6d 20 6e 61 6d 65 64 20 63 6f 6e 73 69 73 74 65 6e 74 6c 79 2e 20 41 73 20 74 68 65 20 them.named.consistently..As.the.
b240 6e 75 6d 62 65 72 20 6f 66 20 72 75 6c 65 73 20 79 6f 75 20 68 61 76 65 20 67 72 6f 77 73 2c 20 number.of.rules.you.have.grows,.
b260 74 68 65 20 6d 6f 72 65 20 63 6f 6e 73 69 73 74 65 6e 63 79 20 79 6f 75 20 68 61 76 65 2c 20 74 the.more.consistency.you.have,.t
b280 68 65 20 65 61 73 69 65 72 20 79 6f 75 72 20 6c 69 66 65 20 77 69 6c 6c 20 62 65 2e 00 49 6e 20 he.easier.your.life.will.be..In.
b2a0 74 68 65 20 61 62 6f 76 65 20 65 78 61 6d 70 6c 65 73 2c 20 31 2c 32 2c 66 66 66 66 20 61 72 65 the.above.examples,.1,2,ffff.are
b2c0 20 61 6c 6c 20 63 68 6f 73 65 6e 20 62 79 20 79 6f 75 2e 20 59 6f 75 20 63 61 6e 20 75 73 65 20 .all.chosen.by.you..You.can.use.
b2e0 31 2d 66 66 66 66 20 28 31 2d 36 35 35 33 35 29 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 6f 6e 1-ffff.(1-65535)..In.the.end,.on
b300 20 74 68 65 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 77 65 20 77 69 6c 6c 20 .the.router....VyOS2....we.will.
b320 73 65 74 20 6f 75 74 67 6f 69 6e 67 20 62 61 6e 64 77 69 64 74 68 20 6c 69 6d 69 74 73 20 62 65 set.outgoing.bandwidth.limits.be
b340 74 77 65 65 6e 20 74 68 65 20 e2 80 9c 56 79 4f 53 33 e2 80 9d 20 61 6e 64 20 e2 80 9c 56 79 4f tween.the....VyOS3....and....VyO
b360 53 31 e2 80 9d 20 72 6f 75 74 65 72 73 2e 20 4c 65 74 27 73 20 73 65 74 20 61 20 6c 69 6d 69 74 S1....routers..Let's.set.a.limit
b380 20 66 6f 72 20 49 50 20 31 30 2e 31 2e 31 2e 31 30 30 20 3d 20 35 20 4d 62 70 73 28 54 78 29 2e .for.IP.10.1.1.100.=.5.Mbps(Tx).
b3a0 20 57 65 20 77 69 6c 6c 20 63 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 20 6f 66 20 74 68 65 .We.will.check.the.result.of.the
b3c0 20 77 6f 72 6b 20 77 69 74 68 20 74 68 65 20 68 65 6c 70 20 6f 66 20 74 68 65 20 e2 80 9c 69 50 .work.with.the.help.of.the....iP
b3e0 65 72 66 e2 80 9d 20 75 74 69 6c 69 74 79 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 77 65 20 77 erf....utility..In.the.end,.we.w
b400 69 6c 6c 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 74 72 61 66 66 69 63 20 73 68 61 70 65 72 ill.configure.the.traffic.shaper
b420 20 75 73 69 6e 67 20 51 6f 53 20 6d 65 63 68 61 6e 69 73 6d 73 20 6f 6e 20 74 68 65 20 e2 80 9c .using.QoS.mechanisms.on.the....
b440 56 59 4f 53 32 e2 80 9d 20 72 6f 75 74 65 72 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 79 6f 75 VYOS2....router..In.the.end,.you
b460 20 77 69 6c 6c 20 65 6e 64 20 75 70 20 77 69 74 68 20 73 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 .will.end.up.with.something.like
b480 20 74 68 69 73 20 63 6f 6e 66 69 67 2e 20 49 20 74 6f 6f 6b 20 6f 75 74 20 65 76 65 72 79 74 68 .this.config..I.took.out.everyth
b4a0 69 6e 67 20 62 75 74 20 74 68 65 20 46 69 72 65 77 61 6c 6c 2c 20 49 6e 74 65 72 66 61 63 65 73 ing.but.the.Firewall,.Interfaces
b4c0 2c 20 61 6e 64 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 73 65 63 74 69 6f 6e 73 2e 20 49 74 20 69 ,.and.zone-policy.sections..It.i
b4e0 73 20 6c 6f 6e 67 20 65 6e 6f 75 67 68 20 61 73 20 69 73 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c s.long.enough.as.is..In.the.end,
b500 20 79 6f 75 27 6c 6c 20 67 65 74 20 61 20 70 6f 77 65 72 66 75 6c 20 69 6e 73 74 72 75 6d 65 6e .you'll.get.a.powerful.instrumen
b520 74 20 66 6f 72 20 6d 6f 6e 69 74 6f 72 69 6e 67 20 74 68 65 20 56 79 4f 53 20 73 79 73 74 65 6d t.for.monitoring.the.VyOS.system
b540 73 2e 00 49 6e 20 74 68 65 20 6e 65 78 74 20 63 68 61 70 74 65 72 20 6f 66 20 74 68 65 20 65 78 s..In.the.next.chapter.of.the.ex
b560 61 6d 70 6c 65 2c 20 77 65 27 6c 6c 20 75 73 65 20 41 6e 73 69 62 6c 65 20 77 69 74 68 20 6a 69 ample,.we'll.use.Ansible.with.ji
b580 6e 6a 61 32 20 74 65 6d 70 6c 61 74 65 73 20 61 6e 64 20 76 61 72 69 61 62 6c 65 73 2e 00 49 6e nja2.templates.and.variables..In
b5a0 20 74 68 65 20 6e 65 78 74 20 63 68 61 70 74 65 72 20 6f 66 20 74 68 65 20 65 78 61 6d 70 6c 65 .the.next.chapter.of.the.example
b5c0 2c 20 77 65 27 6c 6c 20 75 73 65 20 74 68 65 20 41 6e 73 69 62 6c 65 20 77 69 74 68 20 6a 69 6e ,.we'll.use.the.Ansible.with.jin
b5e0 6a 61 32 20 74 65 6d 70 6c 61 74 65 73 20 61 6e 64 20 76 61 72 69 61 62 6c 65 73 2e 00 49 6e 20 ja2.templates.and.variables..In.
b600 74 68 69 73 20 63 61 73 65 2c 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 20 68 this.case,.the.hardware.router.h
b620 61 73 20 61 20 64 69 66 66 65 72 65 6e 74 20 49 50 2c 20 73 6f 20 69 74 20 77 6f 75 6c 64 20 62 as.a.different.IP,.so.it.would.b
b640 65 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 77 65 20 61 72 65 20 73 65 74 74 69 6e 67 20 74 e.In.this.case,.we.are.setting.t
b660 68 65 20 76 36 20 72 75 6c 65 73 65 74 20 74 68 61 74 20 72 65 70 72 65 73 65 6e 74 73 20 74 72 he.v6.ruleset.that.represents.tr
b680 61 66 66 69 63 20 73 6f 75 72 63 65 64 20 66 72 6f 6d 20 74 68 65 20 4c 41 4e 2c 20 64 65 73 74 affic.sourced.from.the.LAN,.dest
b6a0 69 6e 65 64 20 66 6f 72 20 74 68 65 20 44 4d 5a 2e 20 42 65 63 61 75 73 65 20 74 68 65 20 7a 6f ined.for.the.DMZ..Because.the.zo
b6c0 6e 65 2d 70 6f 6c 69 63 79 20 66 69 72 65 77 61 6c 6c 20 73 79 6e 74 61 78 20 69 73 20 61 20 6c ne-policy.firewall.syntax.is.a.l
b6e0 69 74 74 6c 65 20 61 77 6b 77 61 72 64 2c 20 49 20 6b 65 65 70 20 69 74 20 73 74 72 61 69 67 68 ittle.awkward,.I.keep.it.straigh
b700 74 20 62 79 20 74 68 69 6e 6b 69 6e 67 20 6f 66 20 69 74 20 62 61 63 6b 77 61 72 64 73 2e 00 49 t.by.thinking.of.it.backwards..I
b720 6e 20 74 68 69 73 20 63 61 73 65 2c 20 77 65 27 6c 6c 20 74 72 79 20 74 6f 20 6d 61 6b 65 20 61 n.this.case,.we'll.try.to.make.a
b740 20 73 69 6d 70 6c 65 20 6c 61 62 20 75 73 69 6e 67 20 51 6f 53 20 61 6e 64 20 74 68 65 20 67 65 .simple.lab.using.QoS.and.the.ge
b760 6e 65 72 61 6c 20 61 62 69 6c 69 74 79 20 6f 66 20 74 68 65 20 56 79 4f 53 20 73 79 73 74 65 6d neral.ability.of.the.VyOS.system
b780 2e 20 57 65 20 72 65 63 6f 6d 6d 65 6e 64 20 79 6f 75 20 74 6f 20 67 6f 20 74 68 72 6f 75 67 68 ..We.recommend.you.to.go.through
b7a0 20 74 68 65 20 6d 61 69 6e 20 61 72 74 69 63 6c 65 20 61 62 6f 75 74 20 60 51 6f 53 20 3c 68 74 .the.main.article.about.`QoS.<ht
b7c0 74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f 6e tps://docs.vyos.io/en/latest/con
b7e0 66 69 67 75 72 61 74 69 6f 6e 2f 74 72 61 66 66 69 63 70 6f 6c 69 63 79 2f 69 6e 64 65 78 2e 68 figuration/trafficpolicy/index.h
b800 74 6d 6c 3e 60 5f 20 66 69 72 73 74 2e 00 49 6e 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 2c 20 tml>`_.first..In.this.document,.
b820 77 65 20 68 61 76 65 20 62 65 65 6e 20 61 6c 6c 6f 63 61 74 65 64 20 32 30 33 2e 30 2e 31 31 33 we.have.been.allocated.203.0.113
b840 2e 30 2f 32 34 20 62 79 20 6f 75 72 20 75 70 73 74 72 65 61 6d 20 70 72 6f 76 69 64 65 72 2c 20 .0/24.by.our.upstream.provider,.
b860 77 68 69 63 68 20 77 65 20 61 72 65 20 70 75 62 6c 69 73 68 69 6e 67 20 6f 6e 20 56 4c 41 4e 31 which.we.are.publishing.on.VLAN1
b880 30 30 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 4f 70 65 6e 56 50 4e 20 77 69 6c 6c 00..In.this.example.OpenVPN.will
b8a0 20 62 65 20 73 65 74 75 70 20 77 69 74 68 20 61 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63 .be.setup.with.a.client.certific
b8c0 61 74 65 20 61 6e 64 20 75 73 65 72 6e 61 6d 65 20 2f 20 70 61 73 73 77 6f 72 64 20 61 75 74 68 ate.and.username./.password.auth
b8e0 65 6e 74 69 63 61 74 69 6f 6e 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 74 77 6f 20 entication..In.this.example.two.
b900 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 73 20 65 78 69 73 74 20 69 6e 20 64 69 66 66 65 72 65 6e LAN.interfaces.exist.in.differen
b920 74 20 73 75 62 6e 65 74 73 20 69 6e 73 74 65 61 64 20 6f 66 20 6f 6e 65 20 6c 69 6b 65 20 69 6e t.subnets.instead.of.one.like.in
b940 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 73 3a 00 49 6e 20 74 68 69 73 20 .the.previous.examples:.In.this.
b960 65 78 61 6d 70 6c 65 20 77 65 20 68 61 76 65 20 34 20 7a 6f 6e 65 73 2e 20 4c 41 4e 2c 20 57 41 example.we.have.4.zones..LAN,.WA
b980 4e 2c 20 44 4d 5a 2c 20 4c 6f 63 61 6c 2e 20 54 68 65 20 6c 6f 63 61 6c 20 7a 6f 6e 65 20 69 73 N,.DMZ,.Local..The.local.zone.is
b9a0 20 74 68 65 20 66 69 72 65 77 61 6c 6c 20 69 74 73 65 6c 66 2e 00 49 6e 20 74 68 69 73 20 65 78 .the.firewall.itself..In.this.ex
b9c0 61 6d 70 6c 65 20 77 65 20 75 73 65 20 56 79 4f 53 20 31 2e 35 20 61 73 20 4c 4e 53 20 61 6e 64 ample.we.use.VyOS.1.5.as.LNS.and
b9e0 20 43 69 73 63 6f 20 49 4f 53 20 61 73 20 4c 41 43 2e 20 41 6c 6c 20 75 73 65 72 73 20 77 69 74 .Cisco.IOS.as.LAC..All.users.wit
ba00 68 20 64 6f 6d 61 69 6e 20 2a 2a 76 79 6f 73 2e 69 6f 2a 2a 20 77 69 6c 6c 20 62 65 20 74 75 6e h.domain.**vyos.io**.will.be.tun
ba20 6e 65 6c 65 64 20 74 6f 20 4c 4e 53 20 76 69 61 20 4c 32 54 50 2e 00 49 6e 20 74 68 69 73 20 65 neled.to.LNS.via.L2TP..In.this.e
ba40 78 61 6d 70 6c 65 2c 20 65 74 68 30 20 69 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 69 6e 74 65 xample,.eth0.is.the.primary.inte
ba60 72 66 61 63 65 20 61 6e 64 20 65 74 68 31 20 69 73 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 rface.and.eth1.is.the.secondary.
ba80 69 6e 74 65 72 66 61 63 65 2e 20 54 6f 20 70 72 6f 76 69 64 65 20 73 69 6d 70 6c 65 20 66 61 69 interface..To.provide.simple.fai
baa0 6c 6f 76 65 72 20 66 75 6e 63 74 69 6f 6e 61 6c 69 74 79 2e 20 49 66 20 65 74 68 30 20 66 61 69 lover.functionality..If.eth0.fai
bac0 6c 73 2c 20 65 74 68 31 20 74 61 6b 65 73 20 6f 76 65 72 2e 00 49 6e 20 74 68 69 73 20 65 78 61 ls,.eth1.takes.over..In.this.exa
bae0 6d 70 6c 65 2c 20 77 65 20 77 69 6c 6c 20 73 65 74 20 75 70 20 61 20 73 69 6d 70 6c 65 20 75 73 mple,.we.will.set.up.a.simple.us
bb00 65 20 6f 66 20 41 6e 73 69 62 6c 65 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 6d 75 6c 74 69 70 e.of.Ansible.to.configure.multip
bb20 6c 65 20 56 79 6f 53 20 72 6f 75 74 65 72 73 2e 20 57 65 20 68 61 76 65 20 66 6f 75 72 20 70 72 le.VyoS.routers..We.have.four.pr
bb40 65 2d 63 6f 6e 66 69 67 75 72 65 64 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 74 68 69 73 20 63 e-configured.routers.with.this.c
bb60 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 6e 20 74 68 69 73 20 6c 61 62 20 77 65 20 75 73 65 onfiguration:.In.this.lab.we.use
bb80 20 57 69 6e 64 6f 77 73 20 50 50 50 6f 45 20 63 6c 69 65 6e 74 2e 00 49 6e 20 74 68 69 73 20 73 .Windows.PPPoE.client..In.this.s
bba0 65 63 74 69 6f 6e 2c 20 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 63 6f 6e 66 69 67 75 72 ection,.we.are.going.to.configur
bbc0 65 20 74 68 65 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 20 74 68 61 74 20 77 69 6c 6c 20 62 e.the.firewall.rules.that.will.b
bbe0 65 20 75 73 65 64 20 69 6e 20 62 72 69 64 67 65 20 66 69 72 65 77 61 6c 6c 2c 20 61 6e 64 20 77 e.used.in.bridge.firewall,.and.w
bc00 69 6c 6c 20 63 6f 6e 74 72 6f 6c 20 74 68 65 20 74 72 61 66 66 69 63 20 77 69 74 68 69 6e 20 65 ill.control.the.traffic.within.e
bc20 61 63 68 20 62 72 69 64 67 65 2e 00 49 6e 62 6f 75 6e 64 20 57 41 4e 20 63 6f 6e 6e 65 63 74 20 ach.bridge..Inbound.WAN.connect.
bc40 74 6f 20 44 4d 5a 20 68 6f 73 74 2e 00 49 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 45 to.DMZ.host..Information.about.E
bc60 74 68 65 72 6e 65 74 20 56 69 72 74 75 61 6c 20 50 72 69 76 61 74 65 20 4e 65 74 77 6f 72 6b 73 thernet.Virtual.Private.Networks
bc80 00 49 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 70 72 65 66 69 78 2d 73 69 64 20 61 6e .Information.about.prefix-sid.an
bca0 64 20 6c 61 62 65 6c 2d 6f 70 65 72 61 74 69 6f 6e 20 66 72 6f 6d 20 56 79 4f 53 00 49 6e 73 74 d.label-operation.from.VyOS.Inst
bcc0 61 6c 6c 20 41 6e 73 69 62 6c 65 3a 00 49 6e 73 74 61 6c 6c 20 50 61 72 61 6d 69 6b 6f 3a 00 49 all.Ansible:.Install.Paramiko:.I
bce0 6e 73 74 61 6c 6c 20 74 68 65 20 41 6e 73 69 62 6c 65 3a 00 49 6e 73 74 61 6c 6c 20 74 68 65 20 nstall.the.Ansible:.Install.the.
bd00 70 61 72 61 6d 69 6b 6f 3a 00 49 6e 74 65 72 2d 56 52 46 20 52 6f 75 74 69 6e 67 20 6f 76 65 72 paramiko:.Inter-VRF.Routing.over
bd20 20 56 52 46 20 4c 69 74 65 00 49 6e 74 65 72 2d 56 52 46 20 72 6f 75 74 69 6e 67 20 69 73 20 61 .VRF.Lite.Inter-VRF.routing.is.a
bd40 20 77 65 6c 6c 2d 6b 6e 6f 77 6e 20 73 6f 6c 75 74 69 6f 6e 20 74 6f 20 61 64 64 72 65 73 73 20 .well-known.solution.to.address.
bd60 63 6f 6d 70 6c 65 78 20 72 6f 75 74 69 6e 67 20 73 63 65 6e 61 72 69 6f 73 20 74 68 61 74 20 65 complex.routing.scenarios.that.e
bd80 6e 61 62 6c 65 20 2d 69 6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61 79 2d 20 74 6f 20 6c 65 61 6b nable.-in.a.dynamic.way-.to.leak
bda0 20 72 6f 75 74 65 73 20 62 65 74 77 65 65 6e 20 56 52 46 73 2e 20 49 73 20 72 65 63 6f 6d 6d 65 .routes.between.VRFs..Is.recomme
bdc0 6e 64 65 64 20 74 6f 20 74 61 6b 65 20 73 70 65 63 69 61 6c 20 63 6f 6e 73 69 64 65 72 61 74 69 nded.to.take.special.considerati
bde0 6f 6e 20 77 68 69 6c 65 20 64 65 73 69 67 6e 69 6e 67 20 72 6f 75 74 65 2d 74 61 72 67 65 74 73 on.while.designing.route-targets
be00 20 61 6e 64 20 69 74 73 20 61 70 70 6c 69 63 61 74 69 6f 6e 20 61 73 20 69 74 20 63 61 6e 20 6d .and.its.application.as.it.can.m
be20 69 6e 69 6d 69 7a 65 20 66 75 74 75 72 65 20 69 6e 74 65 72 76 65 6e 74 69 6f 6e 73 20 77 68 69 inimize.future.interventions.whi
be40 6c 65 20 63 72 65 61 74 69 6e 67 20 61 20 6e 65 77 20 56 52 46 20 77 69 6c 6c 20 61 75 74 6f 6d le.creating.a.new.VRF.will.autom
be60 61 74 69 63 61 6c 6c 79 20 74 61 6b 65 20 74 68 65 20 64 65 73 69 72 65 64 20 65 66 66 65 63 74 atically.take.the.desired.effect
be80 20 69 6e 20 69 74 73 20 70 72 6f 70 61 67 61 74 69 6f 6e 2e 00 49 6e 74 65 72 66 61 63 65 20 61 .in.its.propagation..Interface.a
bea0 6e 64 20 72 6f 75 74 69 6e 67 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 6e 74 65 72 6e nd.routing.configuration:.Intern
bec0 61 6c 20 4e 65 74 77 6f 72 6b 00 49 6e 74 65 72 6e 65 74 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 al.Network.Internet.Internet.-.1
bee0 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 32 35 00 49 6e 74 65 72 6e 65 74 92.168.200.100.-.TCP/25.Internet
bf00 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 34 34 33 00 49 6e 74 .-.192.168.200.100.-.TCP/443.Int
bf20 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 35 33 ernet.-.192.168.200.100.-.TCP/53
bf40 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 .Internet.-.192.168.200.100.-.TC
bf60 50 2f 38 30 00 49 73 6f 6c 61 74 65 64 20 6c 61 79 65 72 20 32 20 62 72 69 64 67 65 2e 00 49 74 P/80.Isolated.layer.2.bridge..It
bf80 20 69 73 20 61 73 73 75 6d 65 64 20 74 68 61 74 20 74 68 65 20 72 6f 75 74 65 72 73 20 70 72 6f .is.assumed.that.the.routers.pro
bfa0 76 69 64 65 64 20 62 79 20 75 70 73 74 72 65 61 6d 20 61 72 65 20 63 61 70 61 62 6c 65 20 6f 66 vided.by.upstream.are.capable.of
bfc0 20 61 63 74 69 6e 67 20 61 73 20 61 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 2c 20 61 64 64 .acting.as.a.default.router,.add
bfe0 20 74 68 61 74 20 61 73 20 61 20 73 74 61 74 69 63 20 72 6f 75 74 65 2e 00 49 74 20 69 73 20 67 .that.as.a.static.route..It.is.g
c000 6f 6f 64 20 70 72 61 63 74 69 63 65 20 74 6f 20 6c 6f 67 20 62 6f 74 68 20 61 63 63 65 70 74 65 ood.practice.to.log.both.accepte
c020 64 20 61 6e 64 20 64 65 6e 69 65 64 20 74 72 61 66 66 69 63 2e 20 49 74 20 63 61 6e 20 73 61 76 d.and.denied.traffic..It.can.sav
c040 65 20 79 6f 75 20 73 69 67 6e 69 66 69 63 61 6e 74 20 68 65 61 64 61 63 68 65 73 20 77 68 65 6e e.you.significant.headaches.when
c060 20 74 72 79 69 6e 67 20 74 6f 20 74 72 6f 75 62 6c 65 73 68 6f 6f 74 20 61 20 63 6f 6e 6e 65 63 .trying.to.troubleshoot.a.connec
c080 74 69 76 69 74 79 20 69 73 73 75 65 2e 00 49 74 20 77 69 6c 6c 20 6c 6f 6f 6b 20 73 6f 6d 65 74 tivity.issue..It.will.look.somet
c0a0 68 69 6e 67 20 6c 69 6b 65 20 74 68 69 73 3a 00 49 74 27 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 hing.like.this:.It's.important.t
c0c0 6f 20 6e 6f 74 65 20 74 68 61 74 20 61 6c 6c 20 79 6f 75 72 20 65 78 69 73 74 69 6e 67 20 63 6f o.note.that.all.your.existing.co
c0e0 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 77 69 6c 6c 20 62 65 20 6d 69 67 72 61 74 65 64 20 61 75 nfigurations.will.be.migrated.au
c100 74 6f 6d 61 74 69 63 61 6c 6c 79 20 6f 6e 20 69 6d 61 67 65 20 75 70 67 72 61 64 65 2e 20 4e 6f tomatically.on.image.upgrade..No
c120 74 68 69 6e 67 20 74 6f 20 64 6f 20 6f 6e 20 79 6f 75 72 20 73 69 64 65 2e 00 4b 65 65 70 20 6e thing.to.do.on.your.side..Keep.n
c140 65 74 77 6f 72 6b 73 20 69 73 6f 6c 61 74 65 64 20 69 73 20 2d 69 6e 20 67 65 6e 65 72 61 6c 2d etworks.isolated.is.-in.general-
c160 20 61 20 67 6f 6f 64 20 70 72 69 6e 63 69 70 6c 65 2c 20 62 75 74 20 74 68 65 72 65 20 61 72 65 .a.good.principle,.but.there.are
c180 20 63 61 73 65 73 20 77 68 65 72 65 20 79 6f 75 20 6d 69 67 68 74 20 6e 65 65 64 20 74 68 61 74 .cases.where.you.might.need.that
c1a0 20 73 6f 6d 65 20 6e 65 74 77 6f 72 6b 20 63 61 6e 20 61 63 63 65 73 73 20 6f 74 68 65 72 20 69 .some.network.can.access.other.i
c1c0 6e 20 61 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 2e 00 4c 33 56 50 4e 20 45 56 50 4e 20 77 69 n.a.different.VRF..L3VPN.EVPN.wi
c1e0 74 68 20 56 79 4f 53 00 4c 33 56 50 4e 20 45 56 50 4e 20 77 69 74 68 20 56 79 4f 53 20 74 6f 70 th.VyOS.L3VPN.EVPN.with.VyOS.top
c200 6f 6c 6f 67 79 20 69 6d 61 67 65 00 4c 33 56 50 4e 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 ology.image.L3VPN.configuration.
c220 70 61 72 61 6d 65 74 65 72 73 20 74 61 62 6c 65 3a 00 4c 33 56 50 4e 20 66 6f 72 20 48 75 62 2d parameters.table:.L3VPN.for.Hub-
c240 61 6e 64 2d 53 70 6f 6b 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 77 69 74 68 20 56 79 4f 53 and-Spoke.connectivity.with.VyOS
c260 00 4c 41 43 00 4c 41 4e 20 31 00 4c 41 4e 20 32 00 4c 41 4e 20 43 6f 6e 66 69 67 75 72 61 74 69 .LAC.LAN.1.LAN.2.LAN.Configurati
c280 6f 6e 00 4c 41 4e 20 61 6e 64 20 44 4d 5a 20 68 6f 73 74 73 20 68 61 76 65 20 62 61 73 69 63 20 on.LAN.and.DMZ.hosts.have.basic.
c2a0 6f 75 74 62 6f 75 6e 64 20 61 63 63 65 73 73 3a 20 57 65 62 2c 20 46 54 50 2c 20 53 53 48 2e 00 outbound.access:.Web,.FTP,.SSH..
c2c0 4c 41 4e 20 63 61 6e 20 61 63 63 65 73 73 20 44 4d 5a 20 72 65 73 6f 75 72 63 65 73 2e 00 4c 41 LAN.can.access.DMZ.resources..LA
c2e0 4e 2c 20 57 41 4e 2c 20 44 4d 5a 2c 20 6c 6f 63 61 6c 20 61 6e 64 20 54 55 4e 20 28 74 75 6e 6e N,.WAN,.DMZ,.local.and.TUN.(tunn
c300 65 6c 29 00 4c 41 4e 31 00 4c 41 4e 31 20 74 6f 20 4c 41 4e 32 00 4c 41 4e 31 20 74 6f 20 4f 75 el).LAN1.LAN1.to.LAN2.LAN1.to.Ou
c320 74 73 69 64 65 00 4c 41 4e 32 00 4c 4e 53 00 4c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 49 50 76 tside.LAN2.LNS.Let...s.check.IPv
c340 34 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 4d 50 4c 53 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 6f 4.routing.and.MPLS.information.o
c360 6e 20 70 72 6f 76 69 64 65 72 20 6e 6f 64 65 73 20 28 73 61 6d 65 20 70 72 6f 63 65 64 75 72 65 n.provider.nodes.(same.procedure
c380 20 66 6f 72 20 61 6c 6c 20 50 20 6e 6f 64 65 73 29 3a 00 4c 65 74 e2 80 99 73 20 73 61 79 20 77 .for.all.P.nodes):.Let...s.say.w
c3a0 65 20 68 61 76 65 20 61 20 72 65 71 75 69 72 65 6d 65 6e 74 20 74 6f 20 68 61 76 65 20 6d 75 6c e.have.a.requirement.to.have.mul
c3c0 74 69 70 6c 65 20 6e 65 74 77 6f 72 6b 73 2e 00 4c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20 73 68 tiple.networks..Local.subnets.sh
c3e0 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 72 65 61 63 68 20 69 6e 74 65 72 6e 65 74 20 75 ould.be.able.to.reach.internet.u
c400 73 69 6e 67 20 73 6f 75 72 63 65 20 4e 41 54 2e 00 4c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20 73 sing.source.NAT..Local.subnets.s
c420 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 72 65 61 63 68 20 69 6e 74 65 72 6e 65 74 20 hould.be.able.to.reach.internet.
c440 75 73 69 6e 67 20 73 6f 75 72 63 65 20 6e 61 74 2e 00 4d 50 2d 42 47 50 20 6f 72 20 4d 75 6c 74 using.source.nat..MP-BGP.or.Mult
c460 69 50 72 6f 74 6f 63 6f 6c 20 42 47 50 20 69 6e 74 72 6f 64 75 63 65 73 20 74 77 6f 20 6d 61 69 iProtocol.BGP.introduces.two.mai
c480 6e 20 63 6f 6e 63 65 70 74 73 20 74 6f 20 73 6f 6c 76 65 20 74 68 69 73 20 6c 69 6d 69 74 61 74 n.concepts.to.solve.this.limitat
c4a0 69 6f 6e 3a 20 2d 20 52 6f 75 74 65 20 44 69 73 74 69 6e 67 75 69 73 68 65 72 20 28 52 44 29 3a ion:.-.Route.Distinguisher.(RD):
c4c0 20 49 73 20 75 73 65 64 20 74 6f 20 64 69 73 74 69 6e 67 75 69 73 68 20 62 65 74 77 65 65 6e 20 .Is.used.to.distinguish.between.
c4e0 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 e2 80 93 63 61 6c 6c 65 64 20 56 50 4e 73 2d 20 69 different.VRFs....called.VPNs-.i
c500 6e 73 69 64 65 20 74 68 65 20 42 47 50 20 50 72 6f 63 65 73 73 2e 20 54 68 65 20 52 44 20 69 73 nside.the.BGP.Process..The.RD.is
c520 20 61 70 70 65 6e 64 65 64 20 74 6f 20 65 61 63 68 20 49 50 76 34 20 4e 65 74 77 6f 72 6b 20 74 .appended.to.each.IPv4.Network.t
c540 68 61 74 20 69 73 20 61 64 76 65 72 74 69 73 65 64 20 69 6e 74 6f 20 42 47 50 20 66 6f 72 20 74 hat.is.advertised.into.BGP.for.t
c560 68 61 74 20 56 50 4e 20 6d 61 6b 69 6e 67 20 69 74 20 61 20 75 6e 69 71 75 65 20 56 50 4e 76 34 hat.VPN.making.it.a.unique.VPNv4
c580 20 72 6f 75 74 65 2e 20 2d 20 52 6f 75 74 65 20 54 61 72 67 65 74 20 28 52 54 29 3a 20 54 68 69 .route..-.Route.Target.(RT):.Thi
c5a0 73 20 69 73 20 61 6e 20 65 78 74 65 6e 64 65 64 20 42 47 50 20 63 6f 6d 6d 75 6e 69 74 79 20 61 s.is.an.extended.BGP.community.a
c5c0 70 70 65 6e 64 20 74 6f 20 74 68 65 20 56 50 4e 76 34 20 72 6f 75 74 65 20 69 6e 20 74 68 65 20 ppend.to.the.VPNv4.route.in.the.
c5e0 49 6d 70 6f 72 74 2f 45 78 70 6f 72 74 20 70 72 6f 63 65 73 73 2e 20 57 68 65 6e 20 61 20 72 6f Import/Export.process..When.a.ro
c600 75 74 65 20 70 61 73 73 65 73 20 66 72 6f 6d 20 74 68 65 20 56 52 46 20 72 6f 75 74 69 6e 67 20 ute.passes.from.the.VRF.routing.
c620 74 61 62 6c 65 20 69 6e 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 20 69 74 20 77 69 table.into.the.BGP.process.it.wi
c640 6c 6c 20 61 64 64 20 74 68 65 20 63 6f 6e 66 69 67 75 72 65 64 20 65 78 70 6f 72 74 20 65 78 74 ll.add.the.configured.export.ext
c660 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 28 69 65 73 29 20 66 6f 72 20 74 68 61 74 20 56 50 ended.community(ies).for.that.VP
c680 4e 2e 20 57 68 65 6e 20 74 68 61 74 20 72 6f 75 74 65 20 6e 65 65 64 73 20 74 6f 20 67 6f 20 66 N..When.that.route.needs.to.go.f
c6a0 72 6f 6d 20 42 47 50 20 69 6e 74 6f 20 74 68 65 20 56 52 46 20 72 6f 75 74 69 6e 67 20 74 61 62 rom.BGP.into.the.VRF.routing.tab
c6c0 6c 65 20 77 69 6c 6c 20 6f 6e 6c 79 20 70 61 73 73 20 69 66 20 74 68 61 74 20 67 69 76 65 6e 20 le.will.only.pass.if.that.given.
c6e0 56 50 4e 20 69 6d 70 6f 72 74 20 70 6f 6c 69 63 79 20 6d 61 74 63 68 65 73 20 61 6e 79 20 6f 66 VPN.import.policy.matches.any.of
c700 20 74 68 65 20 61 70 70 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 28 69 65 73 29 20 69 6e 74 .the.appended.community(ies).int
c720 6f 20 74 68 61 74 20 70 72 65 66 69 78 2e 00 4d 61 69 6e 20 72 75 6c 65 73 3a 00 4d 61 6b 65 20 o.that.prefix..Main.rules:.Make.
c740 73 75 72 65 20 79 6f 75 20 63 61 6e 20 70 69 6e 67 20 31 30 2e 32 35 34 2e 36 30 2e 31 20 61 6e sure.you.can.ping.10.254.60.1.an
c760 64 20 2e 32 20 66 72 6f 6d 20 62 6f 74 68 20 72 6f 75 74 65 72 73 2e 00 4d 61 6e 61 67 65 6d 65 d..2.from.both.routers..Manageme
c780 6e 74 00 4d 61 6e 61 67 65 6d 65 6e 74 20 56 52 46 00 4d 61 6e 79 20 6f 74 68 65 72 20 48 79 70 nt.Management.VRF.Many.other.Hyp
c7a0 65 72 76 69 73 6f 72 73 20 64 6f 20 74 68 69 73 2c 20 61 6e 64 20 49 27 6d 20 68 6f 70 69 6e 67 ervisors.do.this,.and.I'm.hoping
c7c0 20 74 68 61 74 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77 69 6c 6c 20 62 65 20 65 78 70 61 .that.this.document.will.be.expa
c7e0 6e 64 65 64 20 74 6f 20 64 6f 63 75 6d 65 6e 74 20 68 6f 77 20 74 6f 20 64 6f 20 74 68 69 73 20 nded.to.document.how.to.do.this.
c800 66 6f 72 20 6f 74 68 65 72 73 2e 00 4d 61 73 71 75 65 72 61 64 65 20 54 72 61 66 66 69 63 20 6f for.others..Masquerade.Traffic.o
c820 72 69 67 69 6e 61 74 69 6e 67 20 66 72 6f 6d 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 riginating.from.10.200.201.0/24.
c840 74 68 61 74 20 69 73 20 68 65 61 64 69 6e 67 20 6f 75 74 20 74 68 65 20 70 75 62 6c 69 63 20 69 that.is.heading.out.the.public.i
c860 6e 74 65 72 66 61 63 65 2e 00 4d 6f 6e 69 74 6f 72 69 6e 67 00 4d 6f 6e 69 74 6f 72 69 6e 67 20 nterface..Monitoring.Monitoring.
c880 6f 6e 20 4c 41 43 20 73 69 64 65 00 4d 6f 6e 69 74 6f 72 69 6e 67 20 6f 6e 20 4c 4e 53 20 73 69 on.LAC.side.Monitoring.on.LNS.si
c8a0 64 65 00 4d 6f 6e 69 74 6f 72 69 6e 67 20 6f 6e 20 52 41 44 49 55 53 20 53 65 72 76 65 72 20 73 de.Monitoring.on.RADIUS.Server.s
c8c0 69 64 65 00 4d 75 6c 74 69 70 6c 65 20 4c 41 4e 2f 44 4d 5a 20 53 65 74 75 70 00 4e 41 54 20 61 ide.Multiple.LAN/DMZ.Setup.NAT.a
c8e0 6e 64 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 00 4e 4d 50 20 65 78 61 6d 70 6c 65 00 4e 61 nd.conntrack-sync.NMP.example.Na
c900 74 69 76 65 20 49 50 76 34 20 61 6e 64 20 49 50 76 36 00 4e 65 74 77 6f 72 6b 20 43 61 62 6c 69 tive.IPv4.and.IPv6.Network.Cabli
c920 6e 67 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f ng.Network.Topology.Network.Topo
c940 6c 6f 67 79 20 44 69 61 67 72 61 6d 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 20 61 6e logy.Diagram.Network.Topology.an
c960 64 20 72 65 71 75 69 72 65 6d 65 6e 74 73 00 4e 65 78 74 20 6f 6e 20 74 68 65 20 72 6f 75 74 65 d.requirements.Next.on.the.route
c980 72 20 56 79 4f 53 32 20 77 65 20 77 69 6c 6c 20 63 68 61 6e 67 65 20 6c 61 62 65 6c 73 20 6f 6e r.VyOS2.we.will.change.labels.on
c9a0 20 61 6c 6c 20 69 6e 63 6f 6d 69 6e 67 20 74 72 61 66 66 69 63 20 6f 6e 6c 79 20 66 72 6f 6d 20 .all.incoming.traffic.only.from.
c9c0 43 53 34 2d 3e 20 43 53 36 00 4e 65 78 74 20 74 68 69 6e 67 20 74 6f 20 64 6f 2c 20 69 73 20 74 CS4->.CS6.Next.thing.to.do,.is.t
c9e0 6f 20 63 72 65 61 74 65 20 61 20 77 69 72 65 67 75 61 72 64 20 6b 65 79 70 61 69 72 20 6f 6e 20 o.create.a.wireguard.keypair.on.
ca00 65 61 63 68 20 73 69 64 65 2e 20 41 66 74 65 72 20 74 68 69 73 2c 20 74 68 65 20 70 75 62 6c 69 each.side..After.this,.the.publi
ca20 63 20 6b 65 79 20 63 61 6e 20 62 65 20 64 69 73 70 6c 61 79 65 64 2c 20 74 6f 20 73 61 76 65 20 c.key.can.be.displayed,.to.save.
ca40 66 6f 72 20 6c 61 74 65 72 2e 00 4e 65 78 74 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 63 6f 6e 66 for.later..Next,.we.need.to.conf
ca60 69 67 75 72 65 20 74 68 65 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 2e 20 46 69 72 73 74 20 igure.the.firewall.rules..First.
ca80 77 65 20 77 69 6c 6c 20 64 65 66 69 6e 65 20 61 6c 6c 20 72 75 6c 65 73 20 66 6f 72 20 74 72 61 we.will.define.all.rules.for.tra
caa0 6e 73 69 74 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 56 52 46 73 2e 00 4e 65 78 74 2c nsit.traffic.between.VRFs..Next,
cac0 20 77 65 20 77 69 6c 6c 20 72 65 70 6c 61 63 65 20 6f 6e 6c 79 20 61 6c 6c 20 43 53 34 20 6c 61 .we.will.replace.only.all.CS4.la
cae0 62 65 6c 73 20 6f 6e 20 74 68 65 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 72 6f 75 74 65 72 2e 00 bels.on.the....VyOS2....router..
cb00 4e 65 78 74 2c 20 79 6f 75 20 6a 75 73 74 20 20 73 68 6f 75 6c 64 20 66 6f 6c 6c 6f 77 20 74 68 Next,.you.just..should.follow.th
cb20 65 20 70 69 63 74 75 72 65 73 3a 00 4e 6f 64 65 00 4e 6f 74 65 20 74 68 61 74 20 72 6f 75 74 65 e.pictures:.Node.Note.that.route
cb40 72 31 20 69 73 20 61 20 56 4d 20 74 68 61 74 20 72 75 6e 73 20 6f 6e 20 6f 6e 65 20 6f 66 20 74 r1.is.a.VM.that.runs.on.one.of.t
cb60 68 65 20 63 6f 6d 70 75 74 65 20 6e 6f 64 65 73 2e 00 4e 6f 74 65 20 74 6f 20 61 6c 6c 6f 77 20 he.compute.nodes..Note.to.allow.
cb80 74 68 65 20 72 6f 75 74 65 72 20 74 6f 20 72 65 63 65 69 76 65 20 44 48 43 50 76 36 20 72 65 73 the.router.to.receive.DHCPv6.res
cba0 70 6f 6e 73 65 20 66 72 6f 6d 20 49 53 50 2e 20 57 65 20 6e 65 65 64 20 74 6f 20 61 6c 6c 6f 77 ponse.from.ISP..We.need.to.allow
cbc0 20 70 61 63 6b 65 74 73 20 77 69 74 68 20 73 6f 75 72 63 65 20 70 6f 72 74 20 35 34 37 20 28 73 .packets.with.source.port.547.(s
cbe0 65 72 76 65 72 29 20 61 6e 64 20 64 65 73 74 69 6e 61 74 69 6f 6e 20 70 6f 72 74 20 35 34 36 20 erver).and.destination.port.546.
cc00 28 63 6c 69 65 6e 74 29 2e 00 4e 6f 74 69 63 65 2c 20 6e 6f 6e 65 20 67 6f 20 74 6f 20 57 41 4e (client)..Notice,.none.go.to.WAN
cc20 20 73 69 6e 63 65 20 57 41 4e 20 77 6f 75 6c 64 6e 27 74 20 68 61 76 65 20 61 20 76 36 20 61 64 .since.WAN.wouldn't.have.a.v6.ad
cc40 64 72 65 73 73 20 6f 6e 20 69 74 2e 00 4e 6f 77 20 65 6e 61 62 6c 65 20 72 65 70 6c 69 63 61 74 dress.on.it..Now.enable.replicat
cc60 69 6f 6e 20 62 65 74 77 65 65 6e 20 6e 6f 64 65 73 2e 20 52 65 70 6c 61 63 65 20 65 74 68 30 2e ion.between.nodes..Replace.eth0.
cc80 32 30 31 20 77 69 74 68 20 62 6f 6e 64 30 2e 32 30 31 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 201.with.bond0.201.on.the.hardwa
cca0 72 65 20 72 6f 75 74 65 72 2e 00 4e 6f 77 20 67 65 6e 65 72 61 74 65 20 61 6c 6c 20 72 65 71 75 re.router..Now.generate.all.requ
ccc0 69 72 65 64 20 63 65 72 74 69 66 69 63 61 74 65 73 20 6f 6e 20 74 68 65 20 6f 76 70 6e 2d 73 65 ired.certificates.on.the.ovpn-se
cce0 72 76 65 72 3a 00 4e 6f 77 20 74 68 65 20 43 6c 69 65 6e 74 20 69 73 20 61 62 6c 65 20 74 6f 20 rver:.Now.the.Client.is.able.to.
cd00 70 69 6e 67 20 61 20 70 75 62 6c 69 63 20 49 50 76 36 20 61 64 64 72 65 73 73 00 4e 6f 77 20 77 ping.a.public.IPv6.address.Now.w
cd20 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 73 65 74 75 70 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 e.are.able.to.setup.the.tunnel.i
cd40 6e 74 65 72 66 61 63 65 2e 00 4e 6f 77 20 77 65 20 70 65 72 66 6f 72 6d 20 73 6f 6d 65 20 65 6e nterface..Now.we.perform.some.en
cd60 64 2d 74 6f 2d 65 6e 64 20 74 65 73 74 69 6e 67 00 4e 6f 77 20 77 65 e2 80 99 72 65 20 63 68 65 d-to-end.testing.Now.we...re.che
cd80 63 6b 69 6e 67 20 69 42 47 50 20 73 74 61 74 75 73 20 61 6e 64 20 72 6f 75 74 65 73 20 66 72 6f cking.iBGP.status.and.routes.fro
cda0 6d 20 72 6f 75 74 65 2d 72 65 66 6c 65 63 74 6f 72 20 6e 6f 64 65 73 20 74 6f 20 6f 74 68 65 72 m.route-reflector.nodes.to.other
cdc0 20 64 65 76 69 63 65 73 3a 00 4e 6f 77 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 .devices:.Now.you.should.be.able
cde0 20 74 6f 20 70 69 6e 67 20 61 20 70 75 62 6c 69 63 20 49 50 76 36 20 41 64 64 72 65 73 73 00 4e .to.ping.a.public.IPv6.Address.N
ce00 6f 77 2c 20 69 6e 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 63 68 61 69 6e 2c 20 77 65 ow,.in.the.``forward``.chain,.we
ce20 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 64 65 66 69 6e 65 20 73 74 61 74 65 20 70 6f 6c 69 63 .are.going.to.define.state.polic
ce40 69 65 73 2c 20 61 6e 64 20 63 75 73 74 6f 6d 20 72 75 6c 65 73 65 74 73 20 66 6f 72 20 65 61 63 ies,.and.custom.rulesets.for.eac
ce60 68 20 62 72 69 64 67 65 20 74 68 61 74 20 77 6f 75 6c 64 20 62 65 20 75 73 65 64 20 69 6e 20 74 h.bridge.that.would.be.used.in.t
ce80 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 63 68 61 69 6e 2e 20 54 68 65 73 65 20 72 75 6c 65 he.``forward``.chain..These.rule
cea0 73 65 74 73 20 61 72 65 20 60 60 62 72 30 2d 66 77 64 60 60 2c 20 60 60 62 72 31 2d 66 77 64 60 sets.are.``br0-fwd``,.``br1-fwd`
cec0 60 2c 20 61 6e 64 20 60 60 62 72 32 2d 66 77 64 60 60 3a 00 4e 6f 77 2c 20 6c 65 74 e2 80 99 73 `,.and.``br2-fwd``:.Now,.let...s
cee0 20 63 68 65 63 6b 20 72 6f 75 74 69 6e 67 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 6f 6e 20 6f 75 .check.routing.information.on.ou
cf00 74 20 48 75 62 20 50 45 3a 00 4f 53 50 46 20 4f 76 65 72 20 57 69 72 65 47 75 61 72 64 00 4f 53 t.Hub.PE:.OSPF.Over.WireGuard.OS
cf20 50 46 20 75 6e 6e 75 6d 62 65 72 65 64 20 77 69 74 68 20 45 43 4d 50 00 4f 6e 20 74 68 65 20 72 PF.unnumbered.with.ECMP.On.the.r
cf40 6f 75 74 65 72 2c 20 56 79 4f 53 34 20 73 65 74 20 61 6c 6c 20 74 72 61 66 66 69 63 20 61 73 20 outer,.VyOS4.set.all.traffic.as.
cf60 43 53 34 2e 20 57 65 20 68 61 76 65 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 64 65 CS4..We.have.to.configure.the.de
cf80 66 61 75 6c 74 20 63 6c 61 73 73 20 61 6e 64 20 63 6c 61 73 73 20 66 6f 72 20 63 68 61 6e 67 69 fault.class.and.class.for.changi
cfa0 6e 67 20 61 6c 6c 20 6c 61 62 65 6c 73 20 66 72 6f 6d 20 43 53 30 20 74 6f 20 43 53 34 00 4f 6e ng.all.labels.from.CS0.to.CS4.On
cfc0 2d 70 72 65 6d 69 73 65 73 20 61 64 64 72 65 73 73 20 73 70 61 63 65 00 4f 6e 63 65 20 61 6c 6c -premises.address.space.Once.all
cfe0 20 72 6f 75 74 65 72 73 20 63 61 6e 20 62 65 20 73 61 66 65 6c 79 20 72 65 6d 6f 74 65 6c 79 20 .routers.can.be.safely.remotely.
d000 6d 61 6e 61 67 65 64 20 61 6e 64 20 74 68 65 20 63 6f 72 65 20 6e 65 74 77 6f 72 6b 20 69 73 20 managed.and.the.core.network.is.
d020 6f 70 65 72 61 74 69 6f 6e 61 6c 2c 20 77 65 20 63 61 6e 20 6e 6f 77 20 73 65 74 75 70 20 74 68 operational,.we.can.now.setup.th
d040 65 20 74 65 6e 61 6e 74 20 6e 65 74 77 6f 72 6b 73 2e 00 4f 6e 63 65 20 61 6c 6c 20 74 68 65 20 e.tenant.networks..Once.all.the.
d060 72 65 71 75 69 72 65 64 20 63 65 72 74 69 66 69 63 61 74 65 73 20 61 6e 64 20 6b 65 79 73 20 61 required.certificates.and.keys.a
d080 72 65 20 69 6e 73 74 61 6c 6c 65 64 2c 20 74 68 65 20 72 65 6d 61 69 6e 69 6e 67 20 4f 70 65 6e re.installed,.the.remaining.Open
d0a0 56 50 4e 20 53 65 72 76 65 72 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 VPN.Server.configuration.can.be.
d0c0 63 61 72 72 69 65 64 20 6f 75 74 2e 00 4f 6e 63 65 20 79 6f 75 20 68 61 76 65 20 61 6c 6c 20 6f carried.out..Once.you.have.all.o
d0e0 66 20 79 6f 75 72 20 72 75 6c 65 73 65 74 73 20 62 75 69 6c 74 2c 20 74 68 65 6e 20 79 6f 75 20 f.your.rulesets.built,.then.you.
d100 6e 65 65 64 20 74 6f 20 63 72 65 61 74 65 20 79 6f 75 72 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 2e need.to.create.your.zone-policy.
d120 00 4f 6e 65 20 61 64 76 61 6e 74 61 67 65 20 6f 66 20 68 61 76 69 6e 67 20 74 68 65 20 63 6c 69 .One.advantage.of.having.the.cli
d140 65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65 20 73 74 6f 72 65 64 20 69 73 20 74 68 65 20 61 62 ent.certificate.stored.is.the.ab
d160 69 6c 69 74 79 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 63 6c 69 65 6e 74 20 63 6f 6e 66 69 ility.to.create.the.client.confi
d180 67 75 72 61 74 69 6f 6e 2e 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e guration..One.cable/logical.conn
d1a0 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 49 6e 74 65 72 6e 65 74 ection.between.LAN1.and.Internet
d1c0 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 .One.cable/logical.connection.be
d1e0 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 4c 41 4e 32 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f tween.LAN1.and.LAN2.One.cable/lo
d200 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e gical.connection.between.LAN1.an
d220 64 20 4d 61 6e 61 67 65 6d 65 6e 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 d.Management.One.cable/logical.c
d240 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 32 20 61 6e 64 20 49 6e 74 65 72 onnection.between.LAN2.and.Inter
d260 6e 65 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e net.One.cable/logical.connection
d280 20 62 65 74 77 65 65 6e 20 4c 41 4e 32 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 00 4f 6e 6c .between.LAN2.and.Management.Onl
d2a0 79 20 61 63 63 65 70 74 73 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 4f 70 65 6e 56 50 4e 20 77 y.accepts.connections..OpenVPN.w
d2c0 69 74 68 20 4c 44 41 50 00 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 4c 44 41 50 20 74 6f 70 6f 6c ith.LDAP.OpenVPN.with.LDAP.topol
d2e0 6f 67 79 20 69 6d 61 67 65 00 4f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 3a 20 56 79 4f 53 ogy.image.Operating.system:.VyOS
d300 00 4f 75 72 20 69 6d 70 6c 65 6d 65 6e 74 61 74 69 6f 6e 20 75 73 65 73 20 56 4d 77 61 72 65 27 .Our.implementation.uses.VMware'
d320 73 20 44 69 73 74 72 69 62 75 74 65 64 20 50 6f 72 74 20 47 72 6f 75 70 73 2c 20 77 68 69 63 68 s.Distributed.Port.Groups,.which
d340 20 61 6c 6c 6f 77 73 20 56 4d 77 61 72 65 20 74 6f 20 75 73 65 20 4c 41 43 50 2e 20 54 68 69 73 .allows.VMware.to.use.LACP..This
d360 20 69 73 20 61 20 70 61 72 74 20 6f 66 20 74 68 65 20 45 4e 54 45 52 50 52 49 53 45 20 6c 69 63 .is.a.part.of.the.ENTERPRISE.lic
d380 65 6e 63 65 2c 20 61 6e 64 20 69 73 20 6e 6f 74 20 61 76 61 69 6c 61 62 6c 65 20 6f 6e 20 61 20 ence,.and.is.not.available.on.a.
d3a0 66 72 65 65 20 6c 69 63 65 6e 63 65 2e 20 49 66 20 79 6f 75 20 61 72 65 20 69 6d 70 6c 65 6d 65 free.licence..If.you.are.impleme
d3c0 6e 74 69 6e 67 20 74 68 69 73 20 61 6e 64 20 64 6f 20 6e 6f 74 20 68 61 76 65 20 61 63 63 65 73 nting.this.and.do.not.have.acces
d3e0 73 20 74 6f 20 44 50 47 73 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 74 20 75 73 65 20 56 4d s.to.DPGs,.you.should.not.use.VM
d400 77 61 72 65 2c 20 61 6e 64 20 75 73 65 20 73 6f 6d 65 20 6f 74 68 65 72 20 76 69 72 74 75 61 6c ware,.and.use.some.other.virtual
d420 69 7a 61 74 69 6f 6e 20 70 6c 61 74 66 6f 72 6d 20 69 6e 73 74 65 61 64 2e 00 4f 75 72 20 72 6f ization.platform.instead..Our.ro
d440 75 74 65 72 73 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 68 61 76 65 20 61 20 66 6c 6f 61 74 69 uters.are.going.to.have.a.floati
d460 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 32 30 33 2e 30 2e 31 31 33 2e 31 2c 20 61 6e ng.IP.address.of.203.0.113.1,.an
d480 64 20 75 73 65 20 2e 32 20 61 6e 64 20 2e 33 20 61 73 20 74 68 65 69 72 20 66 69 78 65 64 20 49 d.use..2.and..3.as.their.fixed.I
d4a0 50 73 2e 00 4f 76 65 72 76 69 65 77 00 50 45 31 00 50 45 31 20 69 73 20 6c 6f 63 61 74 65 64 20 Ps..Overview.PE1.PE1.is.located.
d4c0 69 6e 20 61 6e 20 69 6e 64 75 73 74 72 69 61 6c 20 61 72 65 61 20 74 68 61 74 20 68 6f 6c 64 73 in.an.industrial.area.that.holds
d4e0 20 6d 75 6c 74 69 70 6c 65 20 6f 66 66 69 63 65 20 62 75 69 6c 64 69 6e 67 73 2e 20 41 6c 6c 20 .multiple.office.buildings..All.
d500 63 75 73 74 6f 6d 65 72 73 20 68 61 76 65 20 61 20 73 69 74 65 20 69 6e 20 74 68 69 73 20 61 72 customers.have.a.site.in.this.ar
d520 65 61 2e 00 50 45 32 00 50 45 32 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 20 73 6d 61 6c ea..PE2.PE2.is.located.in.a.smal
d540 6c 65 72 20 61 72 65 61 20 77 68 65 72 65 20 62 79 20 63 6f 69 6e 63 69 64 65 6e 63 65 20 74 77 ler.area.where.by.coincidence.tw
d560 6f 20 63 75 73 74 6f 6d 65 72 73 20 28 62 6c 75 65 20 61 6e 64 20 72 65 64 29 20 73 68 61 72 65 o.customers.(blue.and.red).share
d580 20 61 6e 20 6f 66 66 69 63 65 20 62 75 69 6c 64 69 6e 67 2e 00 50 45 33 00 50 45 33 20 69 73 20 .an.office.building..PE3.PE3.is.
d5a0 6c 6f 63 61 74 65 64 20 69 6e 20 61 20 73 6d 61 6c 6c 65 72 20 61 72 65 61 20 77 68 65 72 65 20 located.in.a.smaller.area.where.
d5c0 62 79 20 63 6f 69 6e 63 69 64 65 6e 63 65 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 73 20 28 62 6c by.coincidence.two.customers.(bl
d5e0 75 65 20 61 6e 64 20 67 72 65 65 6e 29 20 61 72 65 20 6c 6f 63 61 74 65 64 2e 00 50 50 50 6f 45 ue.and.green).are.located..PPPoE
d600 20 49 50 76 36 20 42 61 73 69 63 20 53 65 74 75 70 20 66 6f 72 20 48 6f 6d 65 20 4e 65 74 77 6f .IPv6.Basic.Setup.for.Home.Netwo
d620 72 6b 00 50 50 50 6f 45 20 53 65 74 75 70 00 50 50 50 6f 45 20 6f 76 65 72 20 4c 32 54 50 00 50 rk.PPPoE.Setup.PPPoE.over.L2TP.P
d640 69 6e 67 20 62 65 74 77 65 65 6e 20 56 79 4f 53 2d 50 31 20 2f 20 56 79 4f 53 2d 50 32 20 74 6f ing.between.VyOS-P1./.VyOS-P2.to
d660 20 63 6f 6e 66 69 72 6d 20 72 65 61 63 68 61 62 69 6c 69 74 79 3a 00 50 69 6e 67 20 74 68 65 20 .confirm.reachability:.Ping.the.
d680 43 6c 69 65 6e 74 20 66 72 6f 6d 20 74 68 65 20 44 48 43 50 20 53 65 72 76 65 72 2e 00 50 69 6e Client.from.the.DHCP.Server..Pin
d6a0 67 73 20 77 69 6c 6c 20 62 65 20 73 65 6e 74 20 74 6f 20 66 6f 75 72 20 74 61 72 67 65 74 73 20 gs.will.be.sent.to.four.targets.
d6c0 66 6f 72 20 68 65 61 6c 74 68 20 74 65 73 74 69 6e 67 20 28 33 33 2e 34 34 2e 35 35 2e 36 36 2c for.health.testing.(33.44.55.66,
d6e0 20 34 34 2e 35 35 2e 36 36 2e 37 37 2c 20 35 35 2e 36 36 2e 37 37 2e 38 38 20 61 6e 64 20 36 36 .44.55.66.77,.55.66.77.88.and.66
d700 2e 37 37 2e 38 38 2e 39 39 29 2e 00 50 6c 65 61 73 65 20 6e 6f 74 65 2c 20 27 61 75 74 6f 6e 6f .77.88.99)..Please.note,.'autono
d720 6d 6f 75 73 2d 66 6c 61 67 27 20 61 6e 64 20 27 6f 6e 2d 6c 69 6e 6b 2d 66 6c 61 67 27 20 61 72 mous-flag'.and.'on-link-flag'.ar
d740 65 20 65 6e 61 62 6c 65 64 20 62 79 20 64 65 66 61 75 6c 74 2c 20 27 76 61 6c 69 64 2d 6c 69 66 e.enabled.by.default,.'valid-lif
d760 65 74 69 6d 65 27 20 61 6e 64 20 27 70 72 65 66 65 72 72 65 64 2d 6c 69 66 65 74 69 6d 65 27 20 etime'.and.'preferred-lifetime'.
d780 61 72 65 20 73 65 74 20 74 6f 20 64 65 66 61 75 6c 74 20 76 61 6c 75 65 73 20 6f 66 20 33 30 20 are.set.to.default.values.of.30.
d7a0 64 61 79 73 20 61 6e 64 20 34 20 68 6f 75 72 73 20 72 65 73 70 65 63 74 69 76 65 6c 79 2e 00 50 days.and.4.hours.respectively..P
d7c0 6f 6c 69 63 79 2d 42 61 73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 61 6e 64 olicy-Based.Site-to-Site.VPN.and
d7e0 20 46 69 72 65 77 61 6c 6c 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 50 72 65 2d 73 68 61 72 .Firewall.Configuration.Pre-shar
d800 65 64 20 6b 65 79 00 50 72 65 72 65 71 75 69 73 69 74 65 73 00 50 72 69 6f 72 69 74 69 65 73 00 ed.key.Prerequisites.Priorities.
d820 50 72 6f 74 65 63 74 20 74 68 65 20 72 6f 75 74 65 72 20 6f 6e 20 27 57 41 4e 27 20 69 6e 74 65 Protect.the.router.on.'WAN'.inte
d840 72 66 61 63 65 2c 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 49 50 53 65 63 20 63 6f 6e 6e 65 rface,.allowing.only.IPSec.conne
d860 63 74 69 6f 6e 73 20 61 6e 64 20 53 53 48 20 61 63 63 65 73 73 20 66 72 6f 6d 20 74 72 75 73 74 ctions.and.SSH.access.from.trust
d880 65 64 20 49 50 73 2e 00 50 72 6f 74 65 63 74 20 74 68 65 20 72 6f 75 74 65 72 20 6f 6e 20 27 57 ed.IPs..Protect.the.router.on.'W
d8a0 41 4e 27 20 69 6e 74 65 72 66 61 63 65 2c 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 69 70 73 AN'.interface,.allowing.only.ips
d8c0 65 63 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 61 6e 64 20 73 73 68 20 61 63 63 65 73 73 20 66 72 ec.connections.and.ssh.access.fr
d8e0 6f 6d 20 74 72 75 73 74 65 64 20 69 70 73 2e 00 50 75 62 6c 69 63 20 4e 65 74 77 6f 72 6b 00 51 om.trusted.ips..Public.Network.Q
d900 6f 53 20 65 78 61 6d 70 6c 65 00 52 44 00 52 44 20 26 20 52 54 20 53 63 68 65 6d 61 00 52 54 00 oS.example.RD.RD.&.RT.Schema.RT.
d920 52 54 20 65 78 70 6f 72 74 00 52 54 20 69 6d 70 6f 72 74 00 52 65 67 75 6c 61 72 20 56 79 4f 53 RT.export.RT.import.Regular.VyOS
d940 20 75 73 65 72 73 20 77 69 6c 6c 20 6e 6f 74 69 63 65 20 74 68 61 74 20 74 68 65 20 42 47 50 20 .users.will.notice.that.the.BGP.
d960 73 79 6e 74 61 78 20 68 61 73 20 63 68 61 6e 67 65 64 20 69 6e 20 56 79 4f 53 20 31 2e 34 20 66 syntax.has.changed.in.VyOS.1.4.f
d980 72 6f 6d 20 65 76 65 6e 20 74 68 65 20 70 72 69 6f 72 20 70 6f 73 74 20 61 62 6f 75 74 20 74 68 rom.even.the.prior.post.about.th
d9a0 69 73 20 73 75 62 6a 65 63 74 2e 20 54 68 69 73 20 69 73 20 64 75 65 20 74 6f 20 54 31 37 31 31 is.subject..This.is.due.to.T1711
d9c0 2c 20 77 68 65 72 65 20 69 74 20 77 61 73 20 66 69 6e 61 6c 6c 79 20 64 65 63 69 64 65 64 20 74 ,.where.it.was.finally.decided.t
d9e0 6f 20 67 65 74 20 72 69 64 20 6f 66 20 74 68 65 20 72 65 64 75 6e 64 61 6e 74 20 42 47 50 20 41 o.get.rid.of.the.redundant.BGP.A
da00 53 4e 20 28 41 75 74 6f 6e 6f 6d 6f 75 73 20 53 79 73 74 65 6d 20 4e 75 6d 62 65 72 29 20 73 70 SN.(Autonomous.System.Number).sp
da20 65 63 69 66 69 63 61 74 69 6f 6e 20 6f 6e 20 74 68 65 20 43 4c 49 20 61 6e 64 20 6d 6f 76 65 20 ecification.on.the.CLI.and.move.
da40 69 74 20 74 6f 20 61 20 73 69 6e 67 6c 65 20 6c 65 61 66 20 6e 6f 64 65 20 28 73 65 74 20 70 72 it.to.a.single.leaf.node.(set.pr
da60 6f 74 6f 63 6f 6c 73 20 62 67 70 20 6c 6f 63 61 6c 2d 61 73 29 2e 00 52 65 6d 6f 74 65 20 4e 65 otocols.bgp.local-as)..Remote.Ne
da80 74 77 6f 72 6b 73 00 52 65 70 6c 61 63 65 20 74 68 65 20 32 30 33 2e 30 2e 31 31 33 2e 33 20 77 tworks.Replace.the.203.0.113.3.w
daa0 69 74 68 20 77 68 61 74 65 76 65 72 20 74 68 65 20 6f 74 68 65 72 20 72 6f 75 74 65 72 27 73 20 ith.whatever.the.other.router's.
dac0 49 50 20 61 64 64 72 65 73 73 20 69 73 2e 00 52 65 71 75 65 73 74 65 64 20 61 20 22 52 65 67 75 IP.address.is..Requested.a."Regu
dae0 6c 61 72 20 54 75 6e 6e 65 6c 22 2e 20 59 6f 75 20 77 61 6e 74 20 74 6f 20 63 68 6f 6f 73 65 20 lar.Tunnel"..You.want.to.choose.
db00 61 20 6c 6f 63 61 74 69 6f 6e 20 74 68 61 74 20 69 73 20 63 6c 6f 73 65 73 74 20 74 6f 20 79 6f a.location.that.is.closest.to.yo
db20 75 72 20 70 68 79 73 69 63 61 6c 20 6c 6f 63 61 74 69 6f 6e 20 66 6f 72 20 74 68 65 20 62 65 73 ur.physical.location.for.the.bes
db40 74 20 72 65 73 70 6f 6e 73 65 20 74 69 6d 65 2e 00 52 65 73 75 6c 74 73 00 52 6f 6c 65 00 52 6f t.response.time..Results.Role.Ro
db60 75 74 65 2d 42 61 73 65 64 20 52 65 64 75 6e 64 61 6e 74 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 ute-Based.Redundant.Site-to-Site
db80 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 28 42 47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f 49 50 .VPN.to.Azure.(BGP.over.IKEv2/IP
dba0 73 65 63 29 00 52 6f 75 74 65 2d 42 61 73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 sec).Route-Based.Site-to-Site.VP
dbc0 4e 20 74 6f 20 41 7a 75 72 65 20 28 42 47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f 49 50 73 65 63 N.to.Azure.(BGP.over.IKEv2/IPsec
dbe0 29 00 52 6f 75 74 65 2d 46 69 6c 74 65 72 69 6e 67 00 52 6f 75 74 65 64 20 2f 34 38 2e 20 54 68 ).Route-Filtering.Routed./48..Th
dc00 69 73 20 69 73 20 73 6f 6d 65 74 68 69 6e 67 20 79 6f 75 20 63 61 6e 20 72 65 71 75 65 73 74 20 is.is.something.you.can.request.
dc20 62 79 20 63 6c 69 63 6b 69 6e 67 20 74 68 65 20 22 41 73 73 69 67 6e 20 2f 34 38 22 20 6c 69 6e by.clicking.the."Assign./48".lin
dc40 6b 20 69 6e 20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 74 75 6e 6e 65 6c k.in.the.Tunnelbroker.net.tunnel
dc60 20 63 6f 6e 66 69 67 2e 20 49 74 20 61 6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 68 61 76 65 20 75 .config..It.allows.you.to.have.u
dc80 70 20 74 6f 20 36 35 6b 00 52 6f 75 74 65 64 20 2f 36 34 2e 20 54 68 69 73 20 69 73 20 74 68 65 p.to.65k.Routed./64..This.is.the
dca0 20 64 65 66 61 75 6c 74 20 61 73 73 69 67 6e 6d 65 6e 74 2e 20 49 6e 20 49 50 76 36 2d 6c 61 6e .default.assignment..In.IPv6-lan
dcc0 64 2c 20 69 74 27 73 20 67 6f 6f 64 20 66 6f 72 20 61 20 73 69 6e 67 6c 65 20 22 4c 41 4e 22 2c d,.it's.good.for.a.single."LAN",
dce0 20 61 6e 64 20 69 73 20 73 6f 6d 65 77 68 61 74 20 65 71 75 69 76 61 6c 65 6e 74 20 74 6f 20 61 .and.is.somewhat.equivalent.to.a
dd00 20 2f 32 34 2e 00 52 6f 75 74 65 72 20 41 3a 00 52 6f 75 74 65 72 20 41 64 76 65 72 74 69 73 65 ./24..Router.A:.Router.Advertise
dd20 6d 65 6e 74 00 52 6f 75 74 65 72 20 42 3a 00 52 6f 75 74 65 72 20 69 64 27 73 20 6d 75 73 74 20 ment.Router.B:.Router.id's.must.
dd40 62 65 20 75 6e 69 71 75 65 2e 00 52 75 6c 65 73 65 74 20 61 72 65 20 63 72 65 61 74 65 64 20 70 be.unique..Ruleset.are.created.p
dd60 65 72 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 2e 00 53 63 65 6e 61 72 69 6f er.zone-pair-direction..Scenario
dd80 20 61 6e 64 20 72 65 71 75 69 72 65 6d 65 6e 74 73 00 53 65 67 6d 65 6e 74 2d 72 6f 75 74 69 6e .and.requirements.Segment-routin
dda0 67 20 49 53 2d 49 53 20 65 78 61 6d 70 6c 65 00 53 65 74 20 44 4e 53 20 73 65 72 76 65 72 20 61 g.IS-IS.example.Set.DNS.server.a
ddc0 64 64 72 65 73 73 20 69 6e 20 74 68 65 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 73 6f 20 74 ddress.in.the.advertisement.so.t
dde0 68 61 74 20 63 6c 69 65 6e 74 73 20 63 61 6e 20 6f 62 74 61 69 6e 20 69 74 20 62 79 20 75 73 69 hat.clients.can.obtain.it.by.usi
de00 6e 67 20 52 44 4e 53 53 20 6f 70 74 69 6f 6e 2e 20 4d 6f 73 74 20 6f 70 65 72 61 74 69 6e 67 20 ng.RDNSS.option..Most.operating.
de20 73 79 73 74 65 6d 73 20 28 57 69 6e 64 6f 77 73 2c 20 4c 69 6e 75 78 2c 20 4d 61 63 29 20 73 68 systems.(Windows,.Linux,.Mac).sh
de40 6f 75 6c 64 20 61 6c 72 65 61 64 79 20 73 75 70 70 6f 72 74 20 69 74 2e 00 53 65 74 20 49 50 20 ould.already.support.it..Set.IP.
de60 61 64 64 72 65 73 73 65 73 20 6f 6e 20 61 6c 6c 20 56 50 43 73 20 61 6e 64 20 61 20 64 65 66 61 addresses.on.all.VPCs.and.a.defa
de80 75 6c 74 20 67 61 74 65 77 61 79 20 31 37 32 2e 31 37 2e 31 2e 31 2e 20 57 65 27 6c 6c 20 75 73 ult.gateway.172.17.1.1..We'll.us
dea0 65 20 69 6e 20 74 68 69 73 20 63 61 73 65 20 6f 6e 6c 79 20 73 74 61 74 69 63 20 72 6f 75 74 65 e.in.this.case.only.static.route
dec0 73 2e 20 4f 6e 20 74 68 65 20 56 79 4f 53 33 20 72 6f 75 74 65 72 2c 20 77 65 20 6e 65 65 64 20 s..On.the.VyOS3.router,.we.need.
dee0 74 6f 20 63 68 61 6e 67 65 20 74 68 65 20 27 64 73 63 70 27 20 6c 61 62 65 6c 73 20 66 6f 72 20 to.change.the.'dscp'.labels.for.
df00 74 68 65 20 56 50 43 73 2e 20 54 6f 20 64 6f 20 74 68 69 73 2c 20 77 65 20 75 73 65 20 74 68 69 the.VPCs..To.do.this,.we.use.thi
df20 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 53 65 74 20 4d 54 55 20 69 6e 20 61 64 76 65 s.configuration..Set.MTU.in.adve
df40 72 74 69 73 65 6d 65 6e 74 20 74 6f 20 31 34 39 32 20 62 65 63 61 75 73 65 20 6f 66 20 50 50 50 rtisement.to.1492.because.of.PPP
df60 6f 45 20 68 65 61 64 65 72 20 6f 76 65 72 68 65 61 64 2e 00 53 65 74 20 74 68 65 20 56 52 46 20 oE.header.overhead..Set.the.VRF.
df80 6e 61 6d 65 20 61 6e 64 20 54 61 62 6c 65 20 49 44 2c 20 73 65 74 20 69 6e 74 65 72 66 61 63 65 name.and.Table.ID,.set.interface
dfa0 20 61 64 64 72 65 73 73 20 61 6e 64 20 62 69 6e 64 20 69 74 20 74 6f 20 74 68 65 20 56 52 46 2e .address.and.bind.it.to.the.VRF.
dfc0 20 4c 61 73 74 20 61 64 64 20 74 68 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 20 74 6f 20 74 68 .Last.add.the.static.route.to.th
dfe0 65 20 72 65 6d 6f 74 65 20 6e 65 74 77 6f 72 6b 2e 00 53 65 74 20 74 68 65 20 63 6f 73 74 20 6f e.remote.network..Set.the.cost.o
e000 6e 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 73 20 74 6f 20 62 65 20 32 30 30 2e n.the.secondary.links.to.be.200.
e020 20 54 68 69 73 20 6d 65 61 6e 73 20 74 68 61 74 20 74 68 65 79 20 77 69 6c 6c 20 6e 6f 74 20 62 .This.means.that.they.will.not.b
e040 65 20 75 73 65 64 20 75 6e 6c 65 73 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 6c 69 6e 6b 73 20 e.used.unless.the.primary.links.
e060 61 72 65 20 64 6f 77 6e 2e 00 53 65 74 20 74 68 65 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 20 6f are.down..Set.the.local.subnet.o
e080 6e 20 65 74 68 32 20 61 6e 64 20 74 68 65 20 70 75 62 6c 69 63 20 69 70 20 61 64 64 72 65 73 73 n.eth2.and.the.public.ip.address
e0a0 20 65 74 68 31 20 6f 6e 20 65 61 63 68 20 73 69 74 65 2e 00 53 65 74 20 75 70 20 62 61 6e 64 77 .eth1.on.each.site..Set.up.bandw
e0c0 69 64 74 68 20 6c 69 6d 69 74 73 20 6f 6e 20 74 68 65 20 65 74 68 32 20 69 6e 74 65 72 66 61 63 idth.limits.on.the.eth2.interfac
e0e0 65 20 6f 66 20 74 68 65 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 2e 00 53 65 74 e.of.the.router....VyOS2.....Set
e100 73 20 79 6f 75 72 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 27 73 20 49 50 20 61 64 64 72 65 73 s.your.LAN.interface's.IP.addres
e120 73 00 53 65 74 74 69 6e 67 20 42 47 50 20 67 6c 6f 62 61 6c 20 6c 6f 63 61 6c 2d 61 73 20 61 73 s.Setting.BGP.global.local-as.as
e140 20 77 65 6c 6c 20 69 6e 73 69 64 65 20 74 68 65 20 56 52 46 2e 20 52 65 64 69 73 74 72 69 62 75 .well.inside.the.VRF..Redistribu
e160 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 6f 20 69 6e 6a 65 63 74 20 63 6f 6e 66 69 te.static.routes.to.inject.confi
e180 67 75 72 65 64 20 6e 65 74 77 6f 72 6b 73 20 69 6e 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 gured.networks.into.the.BGP.proc
e1a0 65 73 73 20 62 75 74 20 73 74 69 6c 6c 20 69 6e 73 69 64 65 20 74 68 65 20 56 52 46 2e 00 53 65 ess.but.still.inside.the.VRF..Se
e1c0 74 74 69 6e 67 20 75 70 20 41 6e 73 69 62 6c 65 20 6f 6e 20 61 20 73 65 72 76 65 72 20 72 75 6e tting.up.Ansible.on.a.server.run
e1e0 6e 69 6e 67 20 74 68 65 20 44 65 62 69 61 6e 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d ning.the.Debian.operating.system
e200 2e 00 53 65 74 75 70 20 74 68 65 20 49 50 76 36 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 74 ..Setup.the.IPv6.default.route.t
e220 6f 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 00 53 65 74 75 70 20 74 68 65 o.the.tunnel.interface.Setup.the
e240 20 69 70 76 36 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 74 6f 20 74 68 65 20 74 75 6e 6e 65 .ipv6.default.route.to.the.tunne
e260 6c 20 69 6e 74 65 72 66 61 63 65 00 53 68 6f 77 20 72 6f 75 74 65 73 20 66 6f 72 20 61 6c 6c 20 l.interface.Show.routes.for.all.
e280 56 52 46 73 00 53 69 6d 69 6c 61 72 6c 79 2c 20 74 6f 20 61 74 74 61 63 68 20 74 68 65 20 66 69 VRFs.Similarly,.to.attach.the.fi
e2a0 72 65 77 61 6c 6c 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 69 6e 74 65 72 rewall,.you.would.use.`set.inter
e2c0 66 61 63 65 73 20 65 74 68 65 72 6e 65 74 20 65 74 68 30 20 66 69 72 65 77 61 6c 6c 20 69 6e 20 faces.ethernet.eth0.firewall.in.
e2e0 69 70 76 36 2d 6e 61 6d 65 60 20 6f 72 20 60 65 74 20 66 69 72 65 77 61 6c 6c 20 7a 6f 6e 65 20 ipv6-name`.or.`et.firewall.zone.
e300 4c 4f 43 41 4c 20 66 72 6f 6d 20 57 41 4e 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d LOCAL.from.WAN.firewall.ipv6-nam
e320 65 60 2e 00 53 69 6d 69 6c 61 72 6c 79 2c 20 74 6f 20 61 74 74 61 63 68 20 74 68 65 20 66 69 72 e`..Similarly,.to.attach.the.fir
e340 65 77 61 6c 6c 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 69 6e 74 65 72 66 ewall,.you.would.use.`set.interf
e360 61 63 65 73 20 65 74 68 65 72 6e 65 74 20 65 74 68 30 20 66 69 72 65 77 61 6c 6c 20 69 6e 20 69 aces.ethernet.eth0.firewall.in.i
e380 70 76 36 2d 6e 61 6d 65 60 20 6f 72 20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 7a 6f 6e 65 20 pv6-name`.or.`set.firewall.zone.
e3a0 4c 4f 43 41 4c 20 66 72 6f 6d 20 57 41 4e 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d LOCAL.from.WAN.firewall.ipv6-nam
e3c0 65 60 2e 00 53 69 6e 63 65 20 73 6f 6d 65 20 49 53 50 73 20 64 69 73 63 6f 6e 6e 65 63 74 73 20 e`..Since.some.ISPs.disconnects.
e3e0 63 6f 6e 74 69 6e 75 6f 75 73 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 6f 72 20 65 76 65 72 79 20 continuous.connection.for.every.
e400 32 7e 33 20 64 61 79 73 2c 20 77 65 20 73 65 74 20 60 60 76 61 6c 69 64 2d 6c 69 66 65 74 69 6d 2~3.days,.we.set.``valid-lifetim
e420 65 60 60 20 74 6f 20 32 20 64 61 79 73 20 74 6f 20 61 6c 6c 6f 77 20 50 43 20 66 6f 72 20 70 68 e``.to.2.days.to.allow.PC.for.ph
e440 61 73 69 6e 67 20 6f 75 74 20 6f 6c 64 20 61 64 64 72 65 73 73 2e 00 53 69 6e 63 65 20 73 6f 6d asing.out.old.address..Since.som
e460 65 20 6f 66 20 74 68 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 6c 69 73 74 65 64 20 61 62 6f e.of.the.requirements.listed.abo
e480 76 65 20 65 78 63 65 65 64 20 74 68 65 20 63 61 70 61 62 69 6c 69 74 69 65 73 20 6f 66 20 74 68 ve.exceed.the.capabilities.of.th
e4a0 65 20 62 72 69 64 67 65 20 66 69 72 65 77 61 6c 6c 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 75 73 e.bridge.firewall,.we.need.to.us
e4c0 65 20 74 68 65 20 49 50 20 66 69 72 65 77 61 6c 6c 20 74 6f 20 69 6d 70 6c 65 6d 65 6e 74 20 74 e.the.IP.firewall.to.implement.t
e4e0 68 65 6d 2e 20 46 6f 72 20 62 72 69 64 67 65 20 62 72 31 20 61 6e 64 20 62 72 32 2c 20 77 65 20 hem..For.bridge.br1.and.br2,.we.
e500 6e 65 65 64 20 74 6f 20 63 6f 6e 74 72 6f 6c 20 74 68 65 20 74 72 61 66 66 69 63 20 74 68 61 74 need.to.control.the.traffic.that
e520 20 69 73 20 67 6f 69 6e 67 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 20 69 74 73 65 6c 66 2c 20 .is.going.to.the.router.itself,.
e540 74 6f 20 6f 74 68 65 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 73 2c 20 61 6e 64 20 74 6f 20 to.other.local.networks,.and.to.
e560 74 68 65 20 49 6e 74 65 72 6e 65 74 2e 00 53 69 6e 63 65 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 the.Internet..Since.the.tunnel.i
e580 73 20 61 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20 47 52 45 20 74 75 6e 6e 65 6c 2c 20 69 s.a.point-to-point.GRE.tunnel,.i
e5a0 74 20 62 65 68 61 76 65 73 20 6c 69 6b 65 20 61 6e 79 20 6f 74 68 65 72 20 70 6f 69 6e 74 2d 74 t.behaves.like.any.other.point-t
e5c0 6f 2d 70 6f 69 6e 74 20 69 6e 74 65 72 66 61 63 65 20 28 66 6f 72 20 65 78 61 6d 70 6c 65 3a 20 o-point.interface.(for.example:.
e5e0 73 65 72 69 61 6c 2c 20 64 69 61 6c 65 72 29 2c 20 61 6e 64 20 69 74 20 69 73 20 70 6f 73 73 69 serial,.dialer),.and.it.is.possi
e600 62 6c 65 20 74 6f 20 72 75 6e 20 61 6e 79 20 49 6e 74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20 ble.to.run.any.Interior.Gateway.
e620 50 72 6f 74 6f 63 6f 6c 20 28 49 47 50 29 2f 45 78 74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20 Protocol.(IGP)/Exterior.Gateway.
e640 50 72 6f 74 6f 63 6f 6c 20 28 45 47 50 29 20 6f 76 65 72 20 74 68 65 20 6c 69 6e 6b 20 69 6e 20 Protocol.(EGP).over.the.link.in.
e660 6f 72 64 65 72 20 74 6f 20 65 78 63 68 61 6e 67 65 20 72 6f 75 74 69 6e 67 20 69 6e 66 6f 72 6d order.to.exchange.routing.inform
e680 61 74 69 6f 6e 00 53 69 6e 63 65 20 77 65 20 68 61 76 65 20 34 20 7a 6f 6e 65 73 2c 20 77 65 20 ation.Since.we.have.4.zones,.we.
e6a0 6e 65 65 64 20 74 6f 20 73 65 74 75 70 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 72 75 6c 65 need.to.setup.the.following.rule
e6c0 73 65 74 73 2e 00 53 69 6e 67 6c 65 20 4c 41 4e 20 53 65 74 75 70 00 53 69 6e 67 6c 65 20 4c 41 sets..Single.LAN.Setup.Single.LA
e6e0 4e 20 73 65 74 75 70 20 77 68 65 72 65 20 65 74 68 32 20 69 73 20 79 6f 75 72 20 4c 41 4e 20 69 N.setup.where.eth2.is.your.LAN.i
e700 6e 74 65 72 66 61 63 65 2e 20 55 73 65 20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 52 nterface..Use.the.Tunnelbroker.R
e720 6f 75 74 65 64 20 2f 36 34 20 70 72 65 66 69 78 3a 00 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 49 outed./64.prefix:.Site-to-Site.I
e740 50 53 65 63 20 56 50 4e 20 74 6f 20 43 69 73 63 6f 20 75 73 69 6e 67 20 46 6c 65 78 56 50 4e 00 PSec.VPN.to.Cisco.using.FlexVPN.
e760 53 6f 20 66 69 72 73 74 2c 20 6c 65 74 27 73 20 63 72 65 61 74 65 20 74 68 65 20 72 65 71 75 69 So.first,.let's.create.the.requi
e780 72 65 64 20 66 69 72 65 77 61 6c 6c 20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75 70 73 3a 00 53 red.firewall.interface.groups:.S
e7a0 6f 2c 20 77 68 65 6e 20 79 6f 75 72 20 4c 41 4e 20 69 73 20 65 74 68 31 2c 20 79 6f 75 72 20 44 o,.when.your.LAN.is.eth1,.your.D
e7c0 4d 5a 20 69 73 20 65 74 68 32 2c 20 79 6f 75 72 20 63 61 6d 65 72 61 73 20 61 72 65 20 6f 6e 20 MZ.is.eth2,.your.cameras.are.on.
e7e0 65 74 68 33 2c 20 65 74 63 3a 00 53 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 3a 00 53 70 6f 6b 65 eth3,.etc:.Something.like:.Spoke
e800 00 53 74 61 72 74 20 62 79 20 73 65 74 74 69 6e 67 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 .Start.by.setting.the.interface.
e820 61 6e 64 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 66 6f 72 20 65 61 63 68 20 7a 6f 6e 65 and.default.action.for.each.zone
e840 2e 00 53 74 61 72 74 20 74 68 65 20 70 6c 61 79 62 6f 6f 6b 3a 00 53 74 61 72 74 69 6e 67 20 66 ..Start.the.playbook:.Starting.f
e860 72 6f 6d 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 rom.VyOS.1.4-rolling-20230804055
e880 37 2c 20 61 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 73 74 72 75 63 74 75 72 65 20 63 61 6e 20 7,.a.new.firewall.structure.can.
e8a0 62 65 20 66 6f 75 6e 64 20 6f 6e 20 61 6c 6c 20 76 79 6f 73 20 69 6e 73 74 61 6c 61 74 69 6f 6e be.found.on.all.vyos.instalation
e8c0 73 2c 20 61 6e 64 20 7a 6f 6e 65 20 62 61 73 65 64 20 66 69 72 65 77 61 6c 6c 20 69 73 20 6e 6f s,.and.zone.based.firewall.is.no
e8e0 20 6c 6f 6e 67 65 72 20 73 75 70 70 6f 72 74 65 64 2e 20 44 6f 63 75 6d 65 6e 74 61 74 69 6f 6e .longer.supported..Documentation
e900 20 66 6f 72 20 6d 6f 73 74 20 6f 66 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 43 4c .for.most.of.the.new.firewall.CL
e920 49 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 60 66 69 72 65 77 61 6c 6c 20 I.can.be.found.in.the.`firewall.
e940 3c 68 74 74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f <https://docs.vyos.io/en/latest/
e960 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 66 69 72 65 77 61 6c 6c 2f 67 65 6e 65 72 61 6c 2e 68 configuration/firewall/general.h
e980 74 6d 6c 3e 60 5f 20 63 68 61 70 74 65 72 2e 20 54 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77 tml>`_.chapter..The.legacy.firew
e9a0 61 6c 6c 20 69 73 20 73 74 69 6c 6c 20 61 76 61 69 6c 61 62 6c 65 20 66 6f 72 20 76 65 72 73 69 all.is.still.available.for.versi
e9c0 6f 6e 73 20 62 65 66 6f 72 65 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 ons.before.1.4-rolling-202308040
e9e0 35 35 37 20 61 6e 64 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 557.and.can.be.found.in.the.:ref
ea00 3a 60 66 69 72 65 77 61 6c 6c 2d 6c 65 67 61 63 79 60 20 63 68 61 70 74 65 72 2e 20 54 68 65 20 :`firewall-legacy`.chapter..The.
ea20 65 78 61 6d 70 6c 65 73 20 69 6e 20 74 68 69 73 20 73 65 63 74 69 6f 6e 20 75 73 65 20 74 68 65 examples.in.this.section.use.the
ea40 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 .legacy.firewall.configuration.c
ea60 6f 6d 6d 61 6e 64 73 2c 20 73 69 6e 63 65 20 74 68 69 73 20 66 65 61 74 75 72 65 20 68 61 73 20 ommands,.since.this.feature.has.
ea80 62 65 65 6e 20 72 65 6d 6f 76 65 64 20 69 6e 20 65 61 72 6c 69 65 72 20 72 65 6c 65 61 73 65 73 been.removed.in.earlier.releases
eaa0 2e 00 53 74 61 72 74 69 6e 67 20 66 72 6f 6d 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 ..Starting.from.VyOS.1.4-rolling
eac0 2d 32 30 32 33 30 38 30 34 30 35 35 37 2c 20 61 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 73 74 -202308040557,.a.new.firewall.st
eae0 72 75 63 74 75 72 65 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 6f 6e 20 61 6c 6c 20 76 79 6f 73 ructure.can.be.found.on.all.vyos
eb00 20 69 6e 73 74 61 6c 6c 61 74 69 6f 6e 73 2c 20 61 6e 64 20 7a 6f 6e 65 20 62 61 73 65 64 20 66 .installations,.and.zone.based.f
eb20 69 72 65 77 61 6c 6c 20 69 73 20 6e 6f 20 6c 6f 6e 67 65 72 20 73 75 70 70 6f 72 74 65 64 2e 20 irewall.is.no.longer.supported..
eb40 44 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 66 6f 72 20 6d 6f 73 74 20 6f 66 20 74 68 65 20 6e 65 Documentation.for.most.of.the.ne
eb60 77 20 66 69 72 65 77 61 6c 6c 20 43 4c 49 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 w.firewall.CLI.can.be.found.in.t
eb80 68 65 20 60 66 69 72 65 77 61 6c 6c 20 3c 68 74 74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e he.`firewall.<https://docs.vyos.
eba0 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 66 69 72 65 77 io/en/latest/configuration/firew
ebc0 61 6c 6c 2f 67 65 6e 65 72 61 6c 2e 68 74 6d 6c 3e 60 5f 20 63 68 61 70 74 65 72 2e 20 54 68 65 all/general.html>`_.chapter..The
ebe0 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 69 73 20 73 74 69 6c 6c 20 61 76 61 69 6c 61 .legacy.firewall.is.still.availa
ec00 62 6c 65 20 66 6f 72 20 76 65 72 73 69 6f 6e 73 20 62 65 66 6f 72 65 20 31 2e 34 2d 72 6f 6c 6c ble.for.versions.before.1.4-roll
ec20 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 20 61 6e 64 20 63 61 6e 20 62 65 20 66 6f 75 6e ing-202308040557.and.can.be.foun
ec40 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 2d 6c 65 67 61 63 79 60 20 d.in.the.:ref:`firewall-legacy`.
ec60 63 68 61 70 74 65 72 2e 20 54 68 65 20 65 78 61 6d 70 6c 65 73 20 69 6e 20 74 68 69 73 20 73 65 chapter..The.examples.in.this.se
ec80 63 74 69 6f 6e 20 75 73 65 20 74 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 63 6f ction.use.the.legacy.firewall.co
eca0 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 6f 6d 6d 61 6e 64 73 2c 20 73 69 6e 63 65 20 74 68 69 73 nfiguration.commands,.since.this
ecc0 20 66 65 61 74 75 72 65 20 68 61 73 20 62 65 65 6e 20 72 65 6d 6f 76 65 64 20 69 6e 20 65 61 72 .feature.has.been.removed.in.ear
ece0 6c 69 65 72 20 72 65 6c 65 61 73 65 73 2e 00 53 74 65 70 20 31 3a 20 56 52 46 20 61 6e 64 20 43 lier.releases..Step.1:.VRF.and.C
ed00 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 74 6f 20 72 65 6d 6f 74 65 20 6e 65 74 77 6f 72 6b 73 onfigurations.to.remote.networks
ed20 00 53 74 65 70 20 32 3a 20 42 47 50 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 6f 72 20 56 .Step.2:.BGP.Configuration.for.V
ed40 52 46 2d 4c 69 74 65 00 53 74 65 70 20 33 3a 20 56 50 4e 20 43 6f 6e 66 69 67 75 72 61 74 69 6f RF-Lite.Step.3:.VPN.Configuratio
ed60 6e 00 53 74 65 70 20 34 3a 20 45 6e 64 20 74 6f 20 45 6e 64 20 76 65 72 69 66 69 63 61 74 69 6f n.Step.4:.End.to.End.verificatio
ed80 6e 00 53 74 65 70 2d 31 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 49 47 50 20 61 6e 64 20 65 6e n.Step-1:.Configuring.IGP.and.en
eda0 61 62 6c 69 6e 67 20 4d 50 4c 53 20 4c 44 50 00 53 74 65 70 2d 32 3a 20 43 6f 6e 66 69 67 75 72 abling.MPLS.LDP.Step-2:.Configur
edc0 69 6e 67 20 69 42 47 50 20 66 6f 72 20 4c 33 56 50 4e 20 63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e 65 ing.iBGP.for.L3VPN.control-plane
ede0 00 53 74 65 70 2d 33 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 4c 33 56 50 4e 20 56 52 46 73 20 .Step-3:.Configuring.L3VPN.VRFs.
ee00 6f 6e 20 50 45 20 6e 6f 64 65 73 00 53 74 65 70 2d 34 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 on.PE.nodes.Step-4:.Configuring.
ee20 43 45 20 6e 6f 64 65 73 00 53 74 65 70 2d 35 3a 20 56 65 72 69 66 69 63 61 74 69 6f 6e 00 54 65 CE.nodes.Step-5:.Verification.Te
ee40 6e 61 6e 74 20 6e 65 74 77 6f 72 6b 73 20 28 56 52 46 73 29 00 54 65 73 74 20 4f 53 50 46 00 54 nant.networks.(VRFs).Test.OSPF.T
ee60 65 73 74 20 57 69 72 65 47 75 61 72 64 00 54 65 73 74 20 74 68 65 20 72 65 73 75 6c 74 00 54 65 est.WireGuard.Test.the.result.Te
ee80 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 32 2d 32 34 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 stdate:.2023-02-24.Testdate:.202
eea0 33 2d 30 35 2d 31 31 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 38 2d 33 31 00 54 65 73 3-05-11.Testdate:.2023-08-31.Tes
eec0 74 64 61 74 65 3a 20 32 30 32 34 2d 30 31 2d 31 33 00 54 65 73 74 69 6e 67 00 54 65 73 74 69 6e tdate:.2024-01-13.Testing.Testin
eee0 67 20 61 6e 64 20 64 65 62 75 67 67 69 6e 67 00 54 68 61 74 27 73 20 68 6f 77 20 79 6f 75 20 63 g.and.debugging.That's.how.you.c
ef00 61 6e 20 65 78 70 61 6e 64 20 74 68 65 20 65 78 61 6d 70 6c 65 20 61 62 6f 76 65 2e 20 55 73 65 an.expand.the.example.above..Use
ef20 20 74 68 65 20 60 52 6f 75 74 65 64 20 2f 34 38 60 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 54 .the.`Routed./48`.information..T
ef40 68 69 73 20 61 6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 61 73 73 69 67 6e 20 61 20 64 69 66 66 65 his.allows.you.to.assign.a.diffe
ef60 72 65 6e 74 20 2f 36 34 20 74 6f 20 65 76 65 72 79 20 69 6e 74 65 72 66 61 63 65 2c 20 4c 41 4e rent./64.to.every.interface,.LAN
ef80 2c 20 6f 72 20 65 76 65 6e 20 64 65 76 69 63 65 2e 20 4f 72 20 79 6f 75 20 63 6f 75 6c 64 20 62 ,.or.even.device..Or.you.could.b
efa0 72 65 61 6b 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 20 69 6e 74 6f 20 73 6d 61 6c 6c 65 72 20 63 reak.your.network.into.smaller.c
efc0 68 75 6e 6b 73 20 6c 69 6b 65 20 2f 35 36 20 6f 72 20 2f 36 30 2e 00 54 68 65 20 4c 61 62 20 61 hunks.like./56.or./60..The.Lab.a
efe0 73 75 6d 65 20 61 20 66 75 6c 6c 20 72 75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20 44 69 72 65 63 sume.a.full.running.Active.Direc
f000 74 6f 72 79 20 6f 6e 20 74 68 65 20 57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 2e 20 48 65 72 65 tory.on.the.Windows.Server..Here
f020 20 61 72 65 20 73 6f 6d 65 20 50 6f 77 65 72 53 68 65 6c 6c 20 63 6f 6d 6d 61 6e 64 73 20 74 6f .are.some.PowerShell.commands.to
f040 20 71 75 69 63 6b 6c 79 20 61 64 64 20 61 20 54 65 73 74 20 41 63 74 69 76 65 20 44 69 72 65 63 .quickly.add.a.Test.Active.Direc
f060 74 6f 72 79 2e 00 54 68 65 20 54 6f 70 6f 6c 6f 67 79 20 61 72 65 20 63 6f 6e 73 69 73 74 73 20 tory..The.Topology.are.consists.
f080 6f 66 3a 00 54 68 65 20 56 79 4f 53 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e of:.The.VyOS.interface.is.assign
f0a0 65 64 20 74 68 65 20 2e 31 2f 3a 31 20 61 64 64 72 65 73 73 20 6f 66 20 74 68 65 69 72 20 72 65 ed.the..1/:1.address.of.their.re
f0c0 73 70 65 63 74 69 76 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 41 4e 20 69 73 20 6f 6e 20 56 4c 41 spective.networks..WAN.is.on.VLA
f0e0 4e 20 31 30 2c 20 4c 41 4e 20 6f 6e 20 56 4c 41 4e 20 32 30 2c 20 61 6e 64 20 44 4d 5a 20 6f 6e N.10,.LAN.on.VLAN.20,.and.DMZ.on
f100 20 56 4c 41 4e 20 33 30 2e 00 54 68 65 20 60 60 63 6f 6d 6d 69 74 60 60 20 63 6f 6d 6d 61 6e 64 .VLAN.30..The.``commit``.command
f120 20 69 73 20 69 6d 70 6c 69 65 64 20 61 66 74 65 72 20 65 76 65 72 79 20 73 65 63 74 69 6f 6e 2e .is.implied.after.every.section.
f140 20 49 66 20 79 6f 75 20 6d 61 6b 65 20 61 6e 20 65 72 72 6f 72 2c 20 60 60 63 6f 6d 6d 69 74 60 .If.you.make.an.error,.``commit`
f160 60 20 77 69 6c 6c 20 77 61 72 6e 20 79 6f 75 20 61 6e 64 20 79 6f 75 20 63 61 6e 20 66 69 78 20 `.will.warn.you.and.you.can.fix.
f180 69 74 20 62 65 66 6f 72 65 20 67 65 74 74 69 6e 67 20 74 6f 6f 20 66 61 72 20 69 6e 74 6f 20 74 it.before.getting.too.far.into.t
f1a0 68 69 6e 67 73 2e 20 50 6c 65 61 73 65 20 65 6e 73 75 72 65 20 79 6f 75 20 63 6f 6d 6d 69 74 20 hings..Please.ensure.you.commit.
f1c0 65 61 72 6c 79 20 61 6e 64 20 63 6f 6d 6d 69 74 20 6f 66 74 65 6e 2e 00 54 68 65 20 60 60 72 65 early.and.commit.often..The.``re
f1e0 64 69 73 74 72 69 62 75 74 65 20 6f 73 70 66 60 60 20 63 6f 6d 6d 61 6e 64 20 69 73 20 74 68 65 distribute.ospf``.command.is.the
f200 72 65 20 70 75 72 65 6c 79 20 61 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 68 6f 77 20 74 re.purely.as.an.example.of.how.t
f220 68 69 73 20 63 61 6e 20 62 65 20 65 78 70 61 6e 64 65 64 2e 20 49 6e 20 74 68 69 73 20 77 61 6c his.can.be.expanded..In.this.wal
f240 6b 74 68 72 6f 75 67 68 2c 20 69 74 20 77 69 6c 6c 20 62 65 20 66 69 6c 74 65 72 65 64 20 62 79 kthrough,.it.will.be.filtered.by
f260 20 42 47 50 4f 55 54 20 72 75 6c 65 20 31 30 30 30 30 2c 20 61 73 20 69 74 20 69 73 20 6e 6f 74 .BGPOUT.rule.10000,.as.it.is.not
f280 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32 34 2e 00 54 68 65 20 60 73 6f 75 72 63 65 2d 61 64 64 .203.0.113.0/24..The.`source-add
f2a0 72 65 73 73 60 20 69 73 20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 63 6c 69 65 6e 74 ress`.is.the.Tunnelbroker.client
f2c0 20 49 50 76 34 20 61 64 64 72 65 73 73 20 6f 72 20 69 66 20 74 68 65 72 65 20 69 73 20 4e 41 54 .IPv4.address.or.if.there.is.NAT
f2e0 20 74 68 65 20 63 75 72 72 65 6e 74 20 57 41 4e 20 69 6e 74 65 72 66 61 63 65 20 61 64 64 72 65 .the.current.WAN.interface.addre
f300 73 73 2e 00 54 68 65 20 62 65 6c 6f 77 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 73 20 75 ss..The.below.configuration.is.u
f320 73 65 64 20 61 73 20 65 78 61 6d 70 6c 65 20 77 68 65 72 65 20 77 65 20 6b 65 65 70 20 66 6f 63 sed.as.example.where.we.keep.foc
f340 75 73 20 6f 6e 20 56 79 4f 53 2d 50 31 2f 56 79 4f 53 2d 50 32 2f 58 52 76 2d 50 33 20 77 68 69 us.on.VyOS-P1/VyOS-P2/XRv-P3.whi
f360 63 68 20 77 65 20 73 68 61 72 65 20 74 68 65 20 73 65 74 74 69 6e 67 73 2e 00 54 68 65 20 63 6f ch.we.share.the.settings..The.co
f380 6e 66 69 67 75 72 61 74 69 6f 6e 20 73 74 65 70 73 20 61 72 65 20 74 68 65 20 73 61 6d 65 20 61 nfiguration.steps.are.the.same.a
f3a0 73 20 69 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 65 78 63 65 70 s.in.the.previous.example,.excep
f3c0 74 20 72 75 6c 65 20 31 30 2e 20 53 6f 20 77 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 t.rule.10..So.we.keep.the.config
f3e0 75 72 61 74 69 6f 6e 2c 20 72 65 6d 6f 76 65 20 72 75 6c 65 20 31 30 20 61 6e 64 20 61 64 64 20 uration,.remove.rule.10.and.add.
f400 61 20 6e 65 77 20 72 75 6c 65 20 66 6f 72 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 6d 6f 64 65 a.new.rule.for.the.failover.mode
f420 3a 00 54 68 65 20 65 78 61 6d 70 6c 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 73 20 32 20 56 79 4f :.The.example.topology.has.2.VyO
f440 53 20 72 6f 75 74 65 72 73 2e 20 4f 6e 65 20 61 73 20 54 68 65 20 57 41 4e 20 52 6f 75 74 65 72 S.routers..One.as.The.WAN.Router
f460 20 61 6e 64 20 6f 6e 20 61 73 20 61 20 43 6c 69 65 6e 74 2c 20 74 6f 20 74 65 73 74 20 61 20 73 .and.on.as.a.Client,.to.test.a.s
f480 69 6e 67 6c 65 20 4c 41 4e 20 73 65 74 75 70 00 54 68 65 20 66 69 72 73 74 20 74 77 6f 20 72 75 ingle.LAN.setup.The.first.two.ru
f4a0 6c 65 73 20 61 72 65 20 74 6f 20 64 65 61 6c 20 77 69 74 68 20 74 68 65 20 69 64 69 6f 73 79 6e les.are.to.deal.with.the.idiosyn
f4c0 63 72 61 73 69 65 73 20 6f 66 20 56 79 4f 53 20 61 6e 64 20 69 70 74 61 62 6c 65 73 2e 00 54 68 crasies.of.VyOS.and.iptables..Th
f4e0 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 61 72 65 20 74 68 65 20 72 75 6c 65 73 20 74 68 61 74 20 77 e.following.are.the.rules.that.w
f500 65 72 65 20 63 72 65 61 74 65 64 20 66 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 28 6d 61 ere.created.for.this.example.(ma
f520 79 20 6e 6f 74 20 62 65 20 63 6f 6d 70 6c 65 74 65 29 2c 20 62 6f 74 68 20 69 6e 20 49 50 76 34 y.not.be.complete),.both.in.IPv4
f540 20 61 6e 64 20 49 50 76 36 2e 20 49 66 20 74 68 65 72 65 20 69 73 20 6e 6f 20 49 50 20 73 70 65 .and.IPv6..If.there.is.no.IP.spe
f560 63 69 66 69 65 64 2c 20 74 68 65 6e 20 74 68 65 20 73 6f 75 72 63 65 2f 64 65 73 74 69 6e 61 74 cified,.then.the.source/destinat
f580 69 6f 6e 20 61 64 64 72 65 73 73 20 69 73 20 6e 6f 74 20 65 78 70 6c 69 63 69 74 2e 00 54 68 65 ion.address.is.not.explicit..The
f5a0 20 66 6f 6c 6c 6f 77 69 6e 67 20 73 6f 66 74 77 61 72 65 20 77 61 73 20 75 73 65 64 20 69 6e 20 .following.software.was.used.in.
f5c0 74 68 65 20 63 72 65 61 74 69 6f 6e 20 6f 66 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 3a 00 54 the.creation.of.this.document:.T
f5e0 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 74 65 6d 70 6c 61 74 65 20 63 6f 6e 66 69 67 75 72 61 74 he.following.template.configurat
f600 69 6f 6e 20 63 61 6e 20 62 65 20 75 73 65 64 20 69 6e 20 65 61 63 68 20 72 65 6d 6f 74 65 20 72 ion.can.be.used.in.each.remote.r
f620 6f 75 74 65 72 20 62 61 73 65 64 20 69 6e 20 6f 75 72 20 74 6f 70 6f 6c 6f 67 79 2e 00 54 68 65 outer.based.in.our.topology..The
f640 20 66 6f 72 6d 61 74 20 6f 66 20 74 68 65 73 65 20 61 64 64 72 65 73 73 65 73 3a 00 54 68 65 20 .format.of.these.addresses:.The.
f660 6c 61 62 20 49 20 62 75 69 6c 74 20 69 73 20 75 73 69 6e 67 20 61 20 56 52 46 20 28 63 61 6c 6c lab.I.built.is.using.a.VRF.(call
f680 65 64 20 2a 2a 6d 67 6d 74 2a 2a 29 20 74 6f 20 70 72 6f 76 69 64 65 20 6f 75 74 2d 6f 66 2d 62 ed.**mgmt**).to.provide.out-of-b
f6a0 61 6e 64 20 53 53 48 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 50 45 20 28 50 72 6f 76 69 64 and.SSH.access.to.the.PE.(Provid
f6c0 65 72 20 45 64 67 65 29 20 72 6f 75 74 65 72 73 2e 00 54 68 65 20 6c 61 62 20 61 73 73 75 6d 65 er.Edge).routers..The.lab.assume
f6e0 73 20 61 20 66 75 6c 6c 20 72 75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 s.a.full.running.Active.Director
f700 79 20 6f 6e 20 74 68 65 20 57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 2e 20 48 65 72 65 20 61 72 y.on.the.Windows.Server..Here.ar
f720 65 20 73 6f 6d 65 20 50 6f 77 65 72 53 68 65 6c 6c 20 63 6f 6d 6d 61 6e 64 73 20 74 6f 20 71 75 e.some.PowerShell.commands.to.qu
f740 69 63 6b 6c 79 20 61 64 64 20 61 20 54 65 73 74 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 ickly.add.a.Test.Active.Director
f760 79 2e 00 54 68 65 20 6c 61 62 20 77 61 73 20 62 75 69 6c 74 20 75 73 69 6e 67 20 45 56 45 2d 4e y..The.lab.was.built.using.EVE-N
f780 47 2e 00 54 68 65 20 6e 65 78 74 20 70 61 67 65 73 20 63 6f 6e 74 61 69 6e 73 20 61 75 74 6f 6d G..The.next.pages.contains.autom
f7a0 61 74 69 63 20 66 75 6c 6c 20 74 65 73 74 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 atic.full.tested.configuration.e
f7c0 78 61 6d 70 6c 65 73 2e 00 54 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 20 75 73 xamples..The.previous.example.us
f7e0 65 64 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 63 6f 6d 6d 61 6e 64 20 74 6f 20 73 65 6e 64 20 ed.the.failover.command.to.send.
f800 74 72 61 66 66 69 63 20 74 68 72 6f 75 67 68 20 65 74 68 31 20 69 66 20 65 74 68 30 20 66 61 69 traffic.through.eth1.if.eth0.fai
f820 6c 73 2e 20 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 2c 20 66 61 69 6c 6f 76 65 72 20 66 75 ls..In.this.example,.failover.fu
f840 6e 63 74 69 6f 6e 61 6c 69 74 79 20 69 73 20 70 72 6f 76 69 64 65 64 20 62 79 20 72 75 6c 65 20 nctionality.is.provided.by.rule.
f860 6f 72 64 65 72 2e 00 54 68 65 20 70 72 6f 63 65 73 73 20 77 69 6c 6c 20 64 6f 20 74 68 65 20 66 order..The.process.will.do.the.f
f880 6f 6c 6c 6f 77 69 6e 67 20 73 74 65 70 73 3a 00 54 68 65 20 73 63 6f 70 65 20 6f 66 20 74 68 69 ollowing.steps:.The.scope.of.thi
f8a0 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 63 6f 76 65 72 20 73 75 63 68 20 63 61 73 65 s.document.is.to.cover.such.case
f8c0 73 20 69 6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61 79 20 77 69 74 68 6f 75 74 20 74 68 65 20 75 s.in.a.dynamic.way.without.the.u
f8e0 73 65 20 6f 66 20 4d 50 4c 53 2d 4c 44 50 2e 00 54 68 65 20 73 65 74 75 70 20 75 73 65 64 20 69 se.of.MPLS-LDP..The.setup.used.i
f900 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 69 73 20 73 68 6f 77 6e 20 69 6e 20 74 68 65 20 66 n.this.example.is.shown.in.the.f
f920 6f 6c 6c 6f 77 69 6e 67 20 64 69 61 67 72 61 6d 3a 00 54 68 65 20 73 69 6d 70 6c 65 20 77 61 79 ollowing.diagram:.The.simple.way
f940 20 77 69 74 68 6f 75 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 68 6f .without.configuration.of.the.ho
f960 73 74 6e 61 6d 65 20 28 6f 6e 65 20 74 61 73 6b 20 66 6f 72 20 61 6c 6c 20 72 6f 75 74 65 72 73 stname.(one.task.for.all.routers
f980 29 3a 00 54 68 65 20 73 69 6d 70 6c 65 73 74 20 77 61 79 20 74 6f 20 74 65 73 74 20 69 73 20 74 ):.The.simplest.way.to.test.is.t
f9a0 6f 20 6c 6f 6f 6b 20 61 74 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 72 61 63 6b 69 6e o.look.at.the.connection.trackin
f9c0 67 20 73 74 61 74 73 20 6f 6e 20 74 68 65 20 73 74 61 6e 64 62 79 20 68 61 72 64 77 61 72 65 20 g.stats.on.the.standby.hardware.
f9e0 72 6f 75 74 65 72 20 77 69 74 68 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 68 6f 77 20 63 router.with.the.command.``show.c
fa00 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 20 73 74 61 74 69 73 74 69 63 73 60 60 2e 20 54 68 65 20 onntrack-sync.statistics``..The.
fa20 6e 75 6d 62 65 72 73 20 73 68 6f 75 6c 64 20 62 65 20 76 65 72 79 20 63 6c 6f 73 65 20 74 6f 20 numbers.should.be.very.close.to.
fa40 74 68 65 20 6e 75 6d 62 65 72 73 20 6f 6e 20 74 68 65 20 70 72 69 6d 61 72 79 20 72 6f 75 74 65 the.numbers.on.the.primary.route
fa60 72 2e 00 54 68 65 20 73 79 6e 63 20 67 72 6f 75 70 20 69 73 20 75 73 65 64 20 74 6f 20 72 65 70 r..The.sync.group.is.used.to.rep
fa80 6c 69 63 61 74 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 72 61 63 6b 69 6e 67 2e 20 49 74 20 6e licate.connection.tracking..It.n
faa0 65 65 64 73 20 74 6f 20 62 65 20 61 73 73 69 67 6e 65 64 20 74 6f 20 61 20 72 61 6e 64 6f 6d 20 eeds.to.be.assigned.to.a.random.
fac0 56 52 52 50 20 67 72 6f 75 70 2c 20 61 6e 64 20 77 65 20 61 72 65 20 63 72 65 61 74 69 6e 67 20 VRRP.group,.and.we.are.creating.
fae0 61 20 73 79 6e 63 20 67 72 6f 75 70 20 63 61 6c 6c 65 64 20 60 60 73 79 6e 63 60 60 20 75 73 69 a.sync.group.called.``sync``.usi
fb00 6e 67 20 74 68 65 20 76 72 72 70 20 67 72 6f 75 70 20 60 60 69 6e 74 60 60 2e 00 54 68 65 20 74 ng.the.vrrp.group.``int``..The.t
fb20 6f 70 6f 6c 6f 67 79 20 68 61 73 20 33 20 56 79 4f 53 20 72 6f 75 74 65 72 73 20 61 6e 64 20 6f opology.has.3.VyOS.routers.and.o
fb40 6e 65 20 63 6c 69 65 6e 74 2e 20 42 65 74 77 65 65 6e 20 74 68 65 20 44 48 43 50 20 53 65 72 76 ne.client..Between.the.DHCP.Serv
fb60 65 72 20 61 6e 64 20 74 68 65 20 44 48 43 50 20 52 65 6c 61 79 20 69 73 20 61 20 47 52 45 20 74 er.and.the.DHCP.Relay.is.a.GRE.t
fb80 75 6e 6e 65 6c 2e 20 54 68 65 20 60 74 72 61 6e 73 70 6f 72 74 60 20 56 79 4f 53 20 72 65 70 72 unnel..The.`transport`.VyOS.repr
fba0 65 73 65 6e 74 20 61 20 6c 61 72 67 65 20 4e 65 74 77 6f 72 6b 2e 00 54 68 65 20 74 6f 70 6f 6c esent.a.large.Network..The.topol
fbc0 6f 67 79 20 68 61 76 65 20 61 20 63 65 6e 74 72 61 6c 20 61 6e 64 20 61 20 62 72 61 6e 63 68 20 ogy.have.a.central.and.a.branch.
fbe0 56 79 4f 53 20 72 6f 75 74 65 72 20 61 6e 64 20 6f 6e 65 20 63 6c 69 65 6e 74 2c 20 74 6f 20 74 VyOS.router.and.one.client,.to.t
fc00 65 73 74 2c 20 69 6e 20 65 61 63 68 20 73 69 74 65 2e 00 54 68 65 6e 20 61 64 64 20 61 20 72 6f est,.in.each.site..Then.add.a.ro
fc20 75 74 65 2d 6d 61 70 20 61 6e 64 20 72 65 66 65 72 65 6e 63 65 20 74 6f 20 61 62 6f 76 65 20 70 ute-map.and.reference.to.above.p
fc40 72 65 66 69 78 2e 20 43 6f 6e 73 69 64 65 72 20 74 68 61 74 20 74 68 65 20 61 63 74 69 6f 6e 73 refix..Consider.that.the.actions
fc60 20 74 61 6b 65 6e 20 69 6e 73 69 64 65 20 74 68 65 20 70 72 65 66 69 78 20 77 69 6c 6c 20 4d 41 .taken.inside.the.prefix.will.MA
fc80 54 43 48 20 74 68 65 20 72 6f 75 74 65 73 20 74 68 61 74 20 77 69 6c 6c 20 62 65 20 61 66 66 65 TCH.the.routes.that.will.be.affe
fca0 63 74 65 64 20 62 79 20 74 68 65 20 61 63 74 69 6f 6e 73 20 69 6e 73 69 64 65 20 74 68 65 20 72 cted.by.the.actions.inside.the.r
fcc0 75 6c 65 73 20 6f 66 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 2e 00 54 68 65 6e 20 77 65 20 6e ules.of.the.route-map..Then.we.n
fce0 65 65 64 20 74 6f 20 61 74 74 61 63 68 20 74 68 65 20 70 6f 6c 69 63 79 20 74 6f 20 74 68 65 20 eed.to.attach.the.policy.to.the.
fd00 42 47 50 20 70 72 6f 63 65 73 73 2e 20 54 68 69 73 20 6e 65 65 64 73 20 74 6f 20 62 65 20 75 6e BGP.process..This.needs.to.be.un
fd20 64 65 72 20 74 68 65 20 69 6d 70 6f 72 74 20 73 74 61 74 65 6d 65 6e 74 20 69 6e 20 74 68 65 20 der.the.import.statement.in.the.
fd40 76 72 66 20 77 65 20 6e 65 65 64 20 74 6f 20 66 69 6c 74 65 72 2e 00 54 68 65 72 65 20 61 72 65 vrf.we.need.to.filter..There.are
fd60 20 73 6f 6d 65 20 63 61 73 65 73 20 77 68 65 72 65 20 74 68 69 73 20 69 73 20 6e 6f 74 20 6e 65 .some.cases.where.this.is.not.ne
fd80 65 64 65 64 20 2d 66 6f 72 20 65 78 61 6d 70 6c 65 2c 20 69 6e 20 73 6f 6d 65 20 44 44 6f 53 20 eded.-for.example,.in.some.DDoS.
fda0 61 70 70 6c 69 61 6e 63 65 2d 20 62 75 74 20 6d 6f 73 74 20 69 6e 74 65 72 2d 76 72 66 20 72 6f appliance-.but.most.inter-vrf.ro
fdc0 75 74 69 6e 67 20 64 65 73 69 67 6e 73 20 75 73 65 20 74 68 65 20 61 62 6f 76 65 20 63 6f 6e 66 uting.designs.use.the.above.conf
fde0 69 67 75 72 61 74 69 6f 6e 73 2e 00 54 68 65 72 65 20 69 73 20 70 6c 65 6e 74 79 20 6f 66 20 69 igurations..There.is.plenty.of.i
fe00 6e 73 74 72 75 63 74 69 6f 6e 73 20 61 6e 64 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 6f 6e nstructions.and.documentation.on
fe20 20 73 65 74 74 69 6e 67 20 75 70 20 57 69 72 65 67 75 61 72 64 2e 20 54 68 65 20 6f 6e 6c 79 20 .setting.up.Wireguard..The.only.
fe40 69 6d 70 6f 72 74 61 6e 74 20 74 68 69 6e 67 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 72 65 6d 65 important.thing.you.need.to.reme
fe60 6d 62 65 72 20 69 73 20 74 6f 20 6f 6e 6c 79 20 75 73 65 20 6f 6e 65 20 57 69 72 65 47 75 61 72 mber.is.to.only.use.one.WireGuar
fe80 64 20 69 6e 74 65 72 66 61 63 65 20 70 65 72 20 4f 53 50 46 20 63 6f 6e 6e 65 63 74 69 6f 6e 2e d.interface.per.OSPF.connection.
fea0 00 54 68 65 73 65 20 61 72 65 20 74 68 65 20 76 6c 61 6e 73 20 77 65 20 77 69 6c 6c 20 62 65 20 .These.are.the.vlans.we.will.be.
fec0 75 73 69 6e 67 3a 00 54 68 65 79 20 77 61 6e 74 20 75 73 20 74 6f 20 65 73 74 61 62 6c 69 73 68 using:.They.want.us.to.establish
fee0 20 61 20 42 47 50 20 73 65 73 73 69 6f 6e 20 74 6f 20 74 68 65 69 72 20 72 6f 75 74 65 72 73 20 .a.BGP.session.to.their.routers.
ff00 6f 6e 20 31 39 32 2e 30 2e 32 2e 31 31 20 61 6e 64 20 31 39 32 2e 30 2e 32 2e 31 32 20 66 72 6f on.192.0.2.11.and.192.0.2.12.fro
ff20 6d 20 6f 75 72 20 72 6f 75 74 65 72 73 20 31 39 32 2e 30 2e 32 2e 32 31 20 61 6e 64 20 31 39 32 m.our.routers.192.0.2.21.and.192
ff40 2e 30 2e 32 2e 32 32 2e 20 54 68 65 79 20 61 72 65 20 41 53 20 36 35 35 35 30 20 61 6e 64 20 77 .0.2.22..They.are.AS.65550.and.w
ff60 65 20 61 72 65 20 41 53 20 36 35 35 35 31 2e 00 54 68 69 73 20 4c 41 42 20 73 68 6f 77 20 68 6f e.are.AS.65551..This.LAB.show.ho
ff80 77 20 74 6f 20 75 77 65 20 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 61 20 41 63 74 69 76 65 20 44 w.to.uwe.OpenVPN.with.a.Active.D
ffa0 69 72 65 63 74 6f 72 79 20 61 75 74 68 65 6e 74 69 63 61 74 69 6f 6e 20 62 61 63 6b 65 6e 64 2e irectory.authentication.backend.
ffc0 00 54 68 69 73 20 4c 41 42 20 73 68 6f 77 73 20 68 6f 77 20 74 6f 20 75 73 65 20 4f 70 65 6e 56 .This.LAB.shows.how.to.use.OpenV
ffe0 50 4e 20 77 69 74 68 20 61 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 61 75 74 68 65 PN.with.a.Active.Directory.authe
10000 6e 74 69 63 61 74 69 6f 6e 20 6d 65 74 68 6f 64 2e 00 54 68 69 73 20 61 63 63 6f 6d 70 6c 69 73 ntication.method..This.accomplis
10020 68 65 73 20 61 20 66 65 77 20 74 68 69 6e 67 73 3a 00 54 68 69 73 20 63 68 61 70 74 65 72 20 63 hes.a.few.things:.This.chapter.c
10040 6f 6e 74 61 69 6e 73 20 76 61 72 69 6f 75 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 ontains.various.configuration.ex
10060 61 6d 70 6c 65 73 3a 00 54 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 amples:.This.configuration.examp
10080 6c 65 20 61 6e 64 20 74 68 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 63 6f 6e 73 69 73 74 73 le.and.the.requirements.consists
100a0 20 6f 66 3a 00 54 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 20 .of:.This.configuration.example.
100c0 61 6e 64 20 74 68 65 20 72 65 71 75 69 72 6d 65 6e 74 73 20 63 6f 6e 73 69 73 74 73 20 6f 66 3a and.the.requirments.consists.of:
100e0 00 54 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 20 61 6e 64 20 .This.configuration.example.and.
10100 74 68 65 20 72 65 71 75 69 72 6d 65 6e 74 73 20 63 6f 6e 73 69 73 74 73 20 6f 6e 3a 00 54 68 69 the.requirments.consists.on:.Thi
10120 73 20 64 6f 63 75 6d 65 6e 74 20 61 69 6d 73 20 74 6f 20 77 61 6c 6b 20 79 6f 75 20 74 68 72 6f s.document.aims.to.walk.you.thro
10140 75 67 68 20 73 65 74 74 69 6e 67 20 65 76 65 72 79 74 68 69 6e 67 20 75 70 2c 20 73 6f 20 61 74 ugh.setting.everything.up,.so.at
10160 20 61 20 70 6f 69 6e 74 20 77 68 65 72 65 20 79 6f 75 20 63 61 6e 20 72 65 62 6f 6f 74 20 61 6e .a.point.where.you.can.reboot.an
10180 79 20 6d 61 63 68 69 6e 65 20 61 6e 64 20 6e 6f 74 20 6c 6f 73 65 20 6d 6f 72 65 20 74 68 61 6e y.machine.and.not.lose.more.than
101a0 20 61 20 66 65 77 20 73 65 63 6f 6e 64 73 20 77 6f 72 74 68 20 6f 66 20 63 6f 6e 6e 65 63 74 69 .a.few.seconds.worth.of.connecti
101c0 76 69 74 79 2e 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 64 65 73 63 72 69 vity..This.document.is.to.descri
101e0 62 65 20 61 20 62 61 73 69 63 20 73 65 74 75 70 20 75 73 69 6e 67 20 50 50 50 6f 45 20 6f 76 65 be.a.basic.setup.using.PPPoE.ove
10200 72 20 4c 32 54 50 2e 20 4c 41 43 20 61 6e 64 20 4c 4e 53 20 61 72 65 20 63 6f 6d 70 6f 6e 65 6e r.L2TP..LAC.and.LNS.are.componen
10220 74 73 20 6f 66 20 74 68 65 20 62 72 6f 61 64 62 61 6e 64 20 74 6f 70 6f 6c 6f 67 79 2e 20 4c 41 ts.of.the.broadband.topology..LA
10240 43 20 2d 20 4c 32 54 50 20 61 63 63 65 73 73 20 63 6f 6e 63 65 6e 74 72 61 74 6f 72 20 4c 4e 53 C.-.L2TP.access.concentrator.LNS
10260 20 2d 20 20 4c 32 54 50 20 4e 65 74 77 6f 72 6b 20 53 65 72 76 65 72 20 4c 41 43 20 61 6e 64 20 .-..L2TP.Network.Server.LAC.and.
10280 4c 4e 53 20 66 6f 72 6d 73 20 4c 32 54 50 20 74 75 6e 6e 65 6c 2e 20 4c 41 43 20 72 65 63 65 69 LNS.forms.L2TP.tunnel..LAC.recei
102a0 76 65 73 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 50 50 50 6f 45 20 63 6c 69 65 6e 74 73 20 61 ves.packets.from.PPPoE.clients.a
102c0 6e 64 20 66 6f 72 77 61 72 64 20 74 68 65 6d 20 74 6f 20 4c 4e 53 2e 20 4c 4e 53 20 69 73 20 74 nd.forward.them.to.LNS..LNS.is.t
102e0 68 65 20 74 65 72 6d 69 6e 61 74 69 6f 6e 20 70 6f 69 6e 74 20 74 68 61 74 20 63 6f 6d 65 73 20 he.termination.point.that.comes.
10300 66 72 6f 6d 20 50 50 50 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 74 68 65 20 72 65 6d 6f 74 65 from.PPP.packets.from.the.remote
10320 20 63 6c 69 65 6e 74 2e 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 64 65 73 .client..This.document.is.to.des
10340 63 72 69 62 65 20 61 20 62 61 73 69 63 20 73 65 74 75 70 20 75 73 69 6e 67 20 50 50 50 6f 45 20 cribe.a.basic.setup.using.PPPoE.
10360 77 69 74 68 20 44 48 43 50 76 36 2d 50 44 20 2b 20 53 4c 41 41 43 20 74 6f 20 63 6f 6e 73 74 72 with.DHCPv6-PD.+.SLAAC.to.constr
10380 75 63 74 20 61 20 74 79 70 69 63 61 6c 20 68 6f 6d 65 20 6e 65 74 77 6f 72 6b 2e 20 54 68 65 20 uct.a.typical.home.network..The.
103a0 75 73 65 72 20 63 61 6e 20 66 6f 6c 6c 6f 77 20 74 68 65 20 73 74 65 70 73 20 64 65 73 63 72 69 user.can.follow.the.steps.descri
103c0 62 65 64 20 68 65 72 65 20 74 6f 20 71 75 69 63 6b 6c 79 20 73 65 74 75 70 20 61 20 77 6f 72 6b bed.here.to.quickly.setup.a.work
103e0 69 6e 67 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 75 73 65 20 74 68 69 73 20 61 73 20 61 20 73 74 ing.network.and.use.this.as.a.st
10400 61 72 74 69 6e 67 20 70 6f 69 6e 74 20 74 6f 20 66 75 72 74 68 65 72 20 63 6f 6e 66 69 67 75 72 arting.point.to.further.configur
10420 65 20 6f 72 20 66 69 6e 65 2d 74 75 6e 65 20 6f 74 68 65 72 20 73 65 74 74 69 6e 67 73 2e 00 54 e.or.fine-tune.other.settings..T
10440 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77 61 6c 6b 73 20 79 6f 75 20 74 68 72 6f 75 67 68 20 61 his.document.walks.you.through.a
10460 20 63 6f 6d 70 6c 65 74 65 20 48 41 20 73 65 74 75 70 20 6f 66 20 74 77 6f 20 56 79 4f 53 20 6d .complete.HA.setup.of.two.VyOS.m
10480 61 63 68 69 6e 65 73 2e 20 54 68 69 73 20 64 65 73 69 67 6e 20 69 73 20 62 61 73 65 64 20 6f 6e achines..This.design.is.based.on
104a0 20 61 20 56 4d 20 61 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 72 6f 75 74 65 72 20 61 6e 64 20 .a.VM.as.the.primary.router.and.
104c0 61 20 70 68 79 73 69 63 61 6c 20 6d 61 63 68 69 6e 65 20 61 73 20 61 20 62 61 63 6b 75 70 2c 20 a.physical.machine.as.a.backup,.
104e0 75 73 69 6e 67 20 56 52 52 50 2c 20 42 47 50 2c 20 4f 53 50 46 2c 20 61 6e 64 20 63 6f 6e 6e 74 using.VRRP,.BGP,.OSPF,.and.connt
10500 72 61 63 6b 20 73 68 61 72 69 6e 67 2e 00 54 68 69 73 20 65 6e 73 75 72 65 73 20 79 6f 75 20 64 rack.sharing..This.ensures.you.d
10520 6f 6e 27 74 20 67 6f 20 74 6f 6f 20 66 61 73 74 20 6f 72 20 6d 69 73 73 20 61 20 73 74 65 70 2e on't.go.too.fast.or.miss.a.step.
10540 20 48 6f 77 65 76 65 72 2c 20 69 74 20 77 69 6c 6c 20 6d 61 6b 65 20 79 6f 75 72 20 6c 69 66 65 .However,.it.will.make.your.life
10560 20 65 61 73 69 65 72 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 66 69 78 65 64 20 49 .easier.to.configure.the.fixed.I
10580 50 20 61 64 64 72 65 73 73 20 61 6e 64 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 6e 6f 77 20 P.address.and.default.route.now.
105a0 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 54 68 69 73 20 65 78 61 on.the.hardware.router..This.exa
105c0 6d 70 6c 65 20 73 68 6f 77 73 20 68 6f 77 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 20 56 79 mple.shows.how.to.configure.a.Vy
105e0 4f 53 20 72 6f 75 74 65 72 20 77 69 74 68 20 56 52 46 73 20 61 6e 64 20 66 69 72 65 77 61 6c 6c OS.router.with.VRFs.and.firewall
10600 20 72 75 6c 65 73 2e 00 54 68 69 73 20 65 78 61 6d 70 6c 65 20 73 68 6f 77 73 20 68 6f 77 20 74 .rules..This.example.shows.how.t
10620 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 20 56 79 4f 53 20 72 6f 75 74 65 72 20 77 69 74 68 20 62 o.configure.a.VyOS.router.with.b
10640 72 69 64 67 65 20 69 6e 74 65 72 66 61 63 65 73 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 72 75 ridge.interfaces.and.firewall.ru
10660 6c 65 73 2e 00 54 68 69 73 20 65 78 61 6d 70 6c 65 20 75 73 65 73 20 74 68 65 20 66 61 69 6c 6f les..This.example.uses.the.failo
10680 76 65 72 20 6d 6f 64 65 2e 00 54 68 69 73 20 67 69 76 65 73 20 75 73 20 4d 50 4c 53 20 73 65 67 ver.mode..This.gives.us.MPLS.seg
106a0 6d 65 6e 74 20 72 6f 75 74 69 6e 67 20 65 6e 61 62 6c 65 64 20 61 6e 64 20 6c 61 62 65 6c 73 20 ment.routing.enabled.and.labels.
106c0 66 6f 72 77 61 72 64 69 6e 67 20 3a 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 20 forwarding.:.This.guide.shows.a.
106e0 73 61 6d 70 6c 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 6f 72 20 46 6c 65 78 56 50 4e sample.configuration.for.FlexVPN
10700 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 49 6e 74 65 72 6e 65 74 20 50 72 6f 74 6f 63 6f 6c 20 .site-to-site.Internet.Protocol.
10720 53 65 63 75 72 69 74 79 20 28 49 50 73 65 63 29 2f 47 65 6e 65 72 69 63 20 52 6f 75 74 69 6e 67 Security.(IPsec)/Generic.Routing
10740 20 45 6e 63 61 70 73 75 6c 61 74 69 6f 6e 20 28 47 52 45 29 20 74 75 6e 6e 65 6c 2e 00 54 68 69 .Encapsulation.(GRE).tunnel..Thi
10760 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 20 72 65 s.guide.shows.an.example.of.a.re
10780 64 75 6e 64 61 6e 74 20 28 61 63 74 69 76 65 2d 61 63 74 69 76 65 29 20 72 6f 75 74 65 2d 62 61 dundant.(active-active).route-ba
107a0 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 74 6f 20 41 7a sed.IKEv2.site-to-site.VPN.to.Az
107c0 75 72 65 20 75 73 69 6e 67 20 56 54 49 20 61 6e 64 20 42 47 50 20 66 6f 72 20 64 79 6e 61 6d 69 ure.using.VTI.and.BGP.for.dynami
107e0 63 20 72 6f 75 74 69 6e 67 20 75 70 64 61 74 65 73 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 c.routing.updates..This.guide.sh
10800 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 20 72 6f 75 74 65 2d 62 61 73 65 64 20 ows.an.example.of.a.route-based.
10820 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 IKEv2.site-to-site.VPN.to.Azure.
10840 75 73 69 6e 67 20 56 54 49 20 61 6e 64 20 42 47 50 20 66 6f 72 20 64 79 6e 61 6d 69 63 20 72 6f using.VTI.and.BGP.for.dynamic.ro
10860 75 74 69 6e 67 20 75 70 64 61 74 65 73 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 uting.updates..This.guide.shows.
10880 61 6e 20 65 78 61 6d 70 6c 65 20 70 6f 6c 69 63 79 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 an.example.policy-based.IKEv2.si
108a0 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 62 65 74 77 65 65 6e 20 74 77 6f 20 56 79 4f 53 20 te-to-site.VPN.between.two.VyOS.
108c0 72 6f 75 74 65 72 73 2c 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 69 75 72 61 routers,.and.firewall.configiura
108e0 74 69 6f 6e 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c tion..This.guide.shows.an.exampl
10900 65 20 70 6f 6c 69 63 79 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 e.policy-based.IKEv2.site-to-sit
10920 65 20 56 50 4e 20 62 65 74 77 65 65 6e 20 74 77 6f 20 56 79 4f 53 20 72 6f 75 74 65 72 73 2c 20 e.VPN.between.two.VyOS.routers,.
10940 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 54 68 69 73 and.firewall.configuration..This
10960 20 67 75 69 64 65 20 77 61 6c 6b 73 20 74 68 72 6f 75 67 68 20 74 68 65 20 73 65 74 75 70 20 6f .guide.walks.through.the.setup.o
10980 66 20 68 74 74 70 73 3a 2f 2f 77 77 77 2e 74 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 20 f.https://www.tunnelbroker.net/.
109a0 66 6f 72 20 61 6e 20 49 50 76 36 20 54 75 6e 6e 65 6c 2e 00 54 68 69 73 20 68 61 73 20 61 20 66 for.an.IPv6.Tunnel..This.has.a.f
109c0 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 31 30 2e 32 30 30 2e 32 30 31 loating.IP.address.of.10.200.201
109e0 2e 31 2f 32 34 2c 20 75 73 69 6e 67 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 32 .1/24,.using.virtual.router.ID.2
10a00 30 31 2e 20 54 68 65 20 64 69 66 66 65 72 65 6e 63 65 20 62 65 74 77 65 65 6e 20 74 68 65 6d 20 01..The.difference.between.them.
10a20 69 73 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 6e 61 6d 65 2c 20 68 65 6c 6c 6f 2d 73 6f 75 is.the.interface.name,.hello-sou
10a40 72 63 65 2d 61 64 64 72 65 73 73 2c 20 61 6e 64 20 70 65 65 72 2d 61 64 64 72 65 73 73 2e 00 54 rce-address,.and.peer-address..T
10a60 68 69 73 20 68 61 73 20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 his.has.a.floating.IP.address.of
10a80 20 32 30 33 2e 30 2e 31 31 33 2e 31 2f 32 34 2c 20 75 73 69 6e 67 20 76 69 72 74 75 61 6c 20 72 .203.0.113.1/24,.using.virtual.r
10aa0 6f 75 74 65 72 20 49 44 20 31 31 33 2e 20 54 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 outer.ID.113..The.virtual.router
10ac0 20 49 44 20 69 73 20 6a 75 73 74 20 61 20 72 61 6e 64 6f 6d 20 6e 75 6d 62 65 72 20 62 65 74 77 .ID.is.just.a.random.number.betw
10ae0 65 65 6e 20 31 20 61 6e 64 20 32 35 34 2c 20 61 6e 64 20 63 61 6e 20 62 65 20 73 65 74 20 74 6f een.1.and.254,.and.can.be.set.to
10b00 20 77 68 61 74 65 76 65 72 20 79 6f 75 20 77 61 6e 74 2e 20 42 65 73 74 20 70 72 61 63 74 69 63 .whatever.you.want..Best.practic
10b20 65 73 20 73 75 67 67 65 73 74 20 79 6f 75 20 74 72 79 20 74 6f 20 6b 65 65 70 20 74 68 65 6d 20 es.suggest.you.try.to.keep.them.
10b40 75 6e 69 71 75 65 20 65 6e 74 65 72 70 72 69 73 65 2d 77 69 64 65 2e 00 54 68 69 73 20 69 73 20 unique.enterprise-wide..This.is.
10b60 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 74 68 65 20 74 68 72 65 65 20 62 61 73 65 20 72 75 6c an.example.of.the.three.base.rul
10b80 65 73 2e 00 54 68 69 73 20 69 73 20 62 61 73 65 64 20 6f 6e 20 61 20 72 65 61 6c 2d 6c 69 66 65 es..This.is.based.on.a.real-life
10ba0 20 70 72 6f 64 75 63 74 69 6f 6e 20 64 65 73 69 67 6e 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 63 .production.design..One.of.the.c
10bc0 6f 6d 70 6c 65 78 20 69 73 73 75 65 73 20 69 73 20 65 6e 73 75 72 69 6e 67 20 79 6f 75 20 68 61 omplex.issues.is.ensuring.you.ha
10be0 76 65 20 72 65 64 75 6e 64 61 6e 74 20 64 61 74 61 20 49 4e 54 4f 20 79 6f 75 72 20 6e 65 74 77 ve.redundant.data.INTO.your.netw
10c00 6f 72 6b 2e 20 57 65 20 64 6f 20 74 68 69 73 20 77 69 74 68 20 61 20 70 61 69 72 20 6f 66 20 43 ork..We.do.this.with.a.pair.of.C
10c20 69 73 63 6f 20 4e 65 78 75 73 20 73 77 69 74 63 68 65 73 20 61 6e 64 20 75 73 69 6e 67 20 56 69 isco.Nexus.switches.and.using.Vi
10c40 72 74 75 61 6c 20 50 6f 72 74 43 68 61 6e 6e 65 6c 73 20 74 68 61 74 20 61 72 65 20 73 70 61 6e rtual.PortChannels.that.are.span
10c60 6e 65 64 20 61 63 72 6f 73 73 20 74 68 65 6d 2e 20 41 73 20 61 20 62 6f 6e 75 73 2c 20 74 68 69 ned.across.them..As.a.bonus,.thi
10c80 73 20 61 6c 73 6f 20 61 6c 6c 6f 77 73 20 66 6f 72 20 63 6f 6d 70 6c 65 74 65 20 73 77 69 74 63 s.also.allows.for.complete.switc
10ca0 68 20 66 61 69 6c 75 72 65 20 77 69 74 68 6f 75 74 20 61 6e 20 6f 75 74 61 67 65 2e 20 48 6f 77 h.failure.without.an.outage..How
10cc0 20 79 6f 75 20 61 63 68 69 65 76 65 20 74 68 69 73 20 79 6f 75 72 73 65 6c 66 20 69 73 20 6c 65 .you.achieve.this.yourself.is.le
10ce0 66 74 20 61 73 20 61 6e 20 65 78 65 72 63 69 73 65 20 74 6f 20 74 68 65 20 72 65 61 64 65 72 2e ft.as.an.exercise.to.the.reader.
10d00 20 42 75 74 20 6f 75 72 20 73 65 74 75 70 20 69 73 20 64 6f 63 75 6d 65 6e 74 65 64 20 68 65 72 .But.our.setup.is.documented.her
10d20 65 2e 00 54 68 69 73 20 69 73 20 63 6f 6e 6e 65 63 74 69 6e 67 20 62 61 63 6b 20 74 6f 20 74 68 e..This.is.connecting.back.to.th
10d40 65 20 53 54 41 54 49 43 20 49 50 20 6f 66 20 72 6f 75 74 65 72 31 2c 20 6e 6f 74 20 74 68 65 20 e.STATIC.IP.of.router1,.not.the.
10d60 66 6c 6f 61 74 69 6e 67 2e 00 54 68 69 73 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 62 75 74 floating..This.is.identical,.but
10d80 20 79 6f 75 20 75 73 65 20 74 68 65 20 42 47 50 50 52 45 50 45 4e 44 4f 55 54 20 72 6f 75 74 65 .you.use.the.BGPPREPENDOUT.route
10da0 2d 6d 61 70 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 74 68 65 20 72 6f 75 74 65 20 77 69 74 68 -map.to.advertise.the.route.with
10dc0 20 61 20 6c 6f 6e 67 65 72 20 70 61 74 68 2e 00 54 68 69 73 20 69 73 20 69 67 6e 6f 72 69 6e 67 .a.longer.path..This.is.ignoring
10de0 20 74 68 65 20 65 78 74 72 61 20 4f 75 74 2d 6f 66 2d 62 61 6e 64 20 6d 61 6e 61 67 65 6d 65 6e .the.extra.Out-of-band.managemen
10e00 74 20 6e 65 74 77 6f 72 6b 69 6e 67 2c 20 77 68 69 63 68 20 73 68 6f 75 6c 64 20 62 65 20 6f 6e t.networking,.which.should.be.on
10e20 20 74 6f 74 61 6c 6c 79 20 64 69 66 66 65 72 65 6e 74 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 .totally.different.switches,.and
10e40 20 61 20 64 69 66 66 65 72 65 6e 74 20 66 65 65 64 20 69 6e 74 6f 20 74 68 65 20 72 61 63 6b 2c .a.different.feed.into.the.rack,
10e60 20 61 6e 64 20 69 73 20 6f 75 74 20 6f 66 20 73 63 6f 70 65 20 6f 66 20 74 68 69 73 2e 00 54 68 .and.is.out.of.scope.of.this..Th
10e80 69 73 20 73 63 65 6e 61 72 69 6f 20 63 6f 75 6c 64 20 62 65 20 61 20 6e 69 67 68 74 6d 61 72 65 is.scenario.could.be.a.nightmare
10ea0 20 61 70 70 6c 79 69 6e 67 20 72 65 67 75 6c 61 72 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 6d 69 .applying.regular.routing.and.mi
10ec0 67 68 74 20 6e 65 65 64 20 66 69 6c 74 65 72 69 6e 67 20 69 6e 20 6d 75 6c 74 69 70 6c 65 20 69 ght.need.filtering.in.multiple.i
10ee0 6e 74 65 72 66 61 63 65 73 2e 00 54 68 69 73 20 73 65 63 74 69 6f 6e 20 63 6f 6e 74 61 69 6e 73 nterfaces..This.section.contains
10f00 20 65 78 61 6d 70 6c 65 73 20 6f 66 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 .examples.of.firewall.configurat
10f20 69 6f 6e 73 20 66 6f 72 20 76 61 72 69 6f 75 73 20 64 65 70 6c 6f 79 6d 65 6e 74 73 2e 00 54 68 ions.for.various.deployments..Th
10f40 69 73 20 73 65 63 74 69 6f 6e 20 64 65 73 63 72 69 62 65 73 20 76 65 72 69 66 69 63 61 74 69 6f is.section.describes.verificatio
10f60 6e 20 63 6f 6d 6d 61 6e 64 73 20 66 6f 72 20 4d 50 4c 53 2f 42 47 50 2f 4c 44 50 20 70 72 6f 74 n.commands.for.MPLS/BGP/LDP.prot
10f80 6f 63 6f 6c 73 20 61 6e 64 20 4c 33 56 50 4e 20 72 65 6c 61 74 65 64 20 72 6f 75 74 65 73 20 61 ocols.and.L3VPN.related.routes.a
10fa0 73 20 77 65 6c 6c 20 61 73 20 64 69 61 67 6e 6f 73 69 73 20 61 6e 64 20 72 65 61 63 68 61 62 69 s.well.as.diagnosis.and.reachabi
10fc0 6c 69 74 79 20 63 68 65 63 6b 73 20 62 65 74 77 65 65 6e 20 43 45 20 6e 6f 64 65 73 2e 00 54 68 lity.checks.between.CE.nodes..Th
10fe0 69 73 20 73 65 63 74 69 6f 6e 20 70 72 6f 76 69 64 65 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f is.section.provides.configuratio
11000 6e 20 73 74 65 70 73 20 66 6f 72 20 73 65 74 74 69 6e 67 20 75 70 20 56 52 46 73 20 6f 6e 20 6f n.steps.for.setting.up.VRFs.on.o
11020 75 72 20 50 45 20 6e 6f 64 65 73 20 69 6e 63 6c 75 64 69 6e 67 20 43 45 20 66 61 63 69 6e 67 20 ur.PE.nodes.including.CE.facing.
11040 69 6e 74 65 72 66 61 63 65 73 2c 20 42 47 50 2c 20 72 64 20 61 6e 64 20 72 6f 75 74 65 2d 74 61 interfaces,.BGP,.rd.and.route-ta
11060 72 67 65 74 20 69 6d 70 6f 72 74 2f 65 78 70 6f 72 74 20 62 61 73 65 64 20 6f 6e 20 74 68 65 20 rget.import/export.based.on.the.
11080 70 72 65 2d 64 65 66 69 6e 65 64 20 70 61 72 61 6d 65 74 65 72 73 2e 00 54 68 69 73 20 73 65 74 pre-defined.parameters..This.set
110a0 75 70 20 72 65 71 75 69 72 65 73 20 74 68 65 20 43 6f 6d 70 72 65 73 73 69 6f 6e 20 43 6f 6e 74 up.requires.the.Compression.Cont
110c0 72 6f 6c 20 50 72 6f 74 6f 63 6f 6c 20 28 43 43 50 29 20 62 65 69 6e 67 20 64 69 73 61 62 6c 65 rol.Protocol.(CCP).being.disable
110e0 64 2c 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 65 74 20 76 70 6e 20 6c 32 74 70 20 72 65 d,.the.command.``set.vpn.l2tp.re
11100 6d 6f 74 65 2d 61 63 63 65 73 73 20 70 70 70 2d 6f 70 74 69 6f 6e 73 20 64 69 73 61 62 6c 65 2d mote-access.ppp-options.disable-
11120 63 63 70 60 60 20 61 63 63 6f 6d 70 6c 69 73 68 65 73 20 74 68 61 74 2e 00 54 68 69 73 20 73 69 ccp``.accomplishes.that..This.si
11140 6d 70 6c 65 20 73 74 72 75 63 74 75 72 65 20 73 68 6f 77 20 68 6f 77 20 74 6f 20 63 6f 6e 6e 65 mple.structure.show.how.to.conne
11160 63 74 20 74 77 6f 20 6f 66 66 69 63 65 73 2e 20 4f 6e 65 20 72 65 6d 6f 74 65 20 62 72 61 6e 63 ct.two.offices..One.remote.branc
11180 68 20 61 6e 64 20 74 68 65 20 63 65 6e 74 72 61 6c 20 6f 66 66 69 63 65 2e 00 54 68 69 73 20 73 h.and.the.central.office..This.s
111a0 69 6d 70 6c 65 20 73 74 72 75 63 74 75 72 65 20 73 68 6f 77 73 20 68 6f 77 20 74 6f 20 63 6f 6e imple.structure.shows.how.to.con
111c0 66 69 67 75 72 65 20 61 20 44 48 43 50 20 52 65 6c 61 79 20 6f 76 65 72 20 61 20 47 52 45 20 42 figure.a.DHCP.Relay.over.a.GRE.B
111e0 72 69 64 67 65 20 69 6e 74 65 72 66 61 63 65 2e 00 54 68 69 73 20 77 69 6c 6c 20 62 65 20 76 69 ridge.interface..This.will.be.vi
11200 73 69 62 6c 65 20 69 6e 20 27 73 68 6f 77 20 69 70 20 72 6f 75 74 65 27 2e 00 54 68 72 65 65 20 sible.in.'show.ip.route'..Three.
11220 6e 6f 6e 20 56 4c 41 4e 2d 61 77 61 72 65 20 62 72 69 64 67 65 73 20 61 72 65 20 67 6f 69 6e 67 non.VLAN-aware.bridges.are.going
11240 20 74 6f 20 62 65 20 63 6f 6e 66 69 67 75 72 65 64 2c 20 61 6e 64 20 65 61 63 68 20 6f 6e 65 20 .to.be.configured,.and.each.one.
11260 68 61 73 20 69 74 73 20 6f 77 6e 20 72 65 71 75 69 72 65 6d 65 6e 74 73 2e 00 54 68 75 73 20 79 has.its.own.requirements..Thus.y
11280 6f 75 20 63 61 6e 20 65 61 73 69 6c 79 20 6d 61 74 63 68 20 69 74 20 74 6f 20 6f 6e 65 20 6f 66 ou.can.easily.match.it.to.one.of
112a0 20 74 68 65 20 64 65 76 69 63 65 73 2f 6e 65 74 77 6f 72 6b 73 20 62 65 6c 6f 77 2e 00 54 6f 20 .the.devices/networks.below..To.
112c0 61 63 68 69 65 76 65 20 74 68 69 73 2c 20 79 6f 75 72 20 49 53 50 20 69 73 20 72 65 71 75 69 72 achieve.this,.your.ISP.is.requir
112e0 65 64 20 74 6f 20 73 75 70 70 6f 72 74 20 44 48 43 50 76 36 2d 50 44 2e 20 49 66 20 79 6f 75 27 ed.to.support.DHCPv6-PD..If.you'
11300 72 65 20 6e 6f 74 20 73 75 72 65 2c 20 70 6c 65 61 73 65 20 63 6f 6e 74 61 63 74 20 79 6f 75 72 re.not.sure,.please.contact.your
11320 20 49 53 50 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 54 6f 20 61 64 .ISP.for.more.information..To.ad
11340 64 20 6c 6f 67 67 69 6e 67 20 74 6f 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 75 6c 65 2c 20 64 d.logging.to.the.default.rule,.d
11360 6f 3a 00 54 6f 20 61 64 64 72 65 73 73 20 74 68 69 73 20 73 63 65 6e 61 72 69 6f 20 77 65 20 77 o:.To.address.this.scenario.we.w
11380 69 6c 6c 20 75 73 65 20 74 6f 20 6f 75 72 20 61 64 76 61 6e 74 61 67 65 20 61 6e 20 65 78 74 65 ill.use.to.our.advantage.an.exte
113a0 6e 73 69 6f 6e 20 6f 66 20 74 68 65 20 42 47 50 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f nsion.of.the.BGP.routing.protoco
113c0 6c 20 74 68 61 74 20 77 69 6c 6c 20 68 65 6c 70 20 75 73 20 69 6e 20 74 68 65 20 e2 80 9c 45 78 l.that.will.help.us.in.the....Ex
113e0 70 6f 72 74 e2 80 9d 20 62 65 74 77 65 65 6e 20 56 52 46 73 20 77 69 74 68 6f 75 74 20 74 68 65 port....between.VRFs.without.the
11400 20 6e 65 65 64 20 66 6f 72 20 4d 50 4c 53 2e 00 54 6f 20 64 65 70 6c 6f 79 20 61 20 4c 61 79 65 .need.for.MPLS..To.deploy.a.Laye
11420 72 33 20 56 50 4e 20 77 69 74 68 20 4d 50 4c 53 20 6f 6e 20 56 79 4f 53 2c 20 77 65 20 73 68 6f r3.VPN.with.MPLS.on.VyOS,.we.sho
11440 75 6c 64 20 6d 65 65 74 20 61 20 63 6f 75 70 6c 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 69 uld.meet.a.couple.requirements.i
11460 6e 20 6f 72 64 65 72 20 74 6f 20 70 72 6f 70 65 72 6c 79 20 69 6d 70 6c 65 6d 65 6e 74 20 74 68 n.order.to.properly.implement.th
11480 65 20 73 6f 6c 75 74 69 6f 6e 2e 20 57 65 27 6c 6c 20 75 73 65 20 74 68 65 20 66 6f 6c 6c 6f 77 e.solution..We'll.use.the.follow
114a0 69 6e 67 20 6e 6f 64 65 73 20 69 6e 20 6f 75 72 20 4c 41 42 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 ing.nodes.in.our.LAB.environment
114c0 3a 00 54 6f 20 68 61 76 65 20 62 61 73 69 63 20 70 72 6f 74 65 63 74 69 6f 6e 20 77 68 69 6c 65 :.To.have.basic.protection.while
114e0 20 6b 65 65 70 69 6e 67 20 49 50 76 36 20 6e 65 74 77 6f 72 6b 20 66 75 6e 63 74 69 6f 6e 61 6c .keeping.IPv6.network.functional
11500 2c 20 77 65 20 6e 65 65 64 20 74 6f 3a 00 54 6f 20 72 65 61 63 68 20 74 68 65 20 6e 65 74 77 6f ,.we.need.to:.To.reach.the.netwo
11520 72 6b 2c 20 61 20 72 6f 75 74 65 20 6d 75 73 74 20 62 65 20 73 65 74 20 6f 6e 20 65 61 63 68 20 rk,.a.route.must.be.set.on.each.
11540 56 79 4f 53 20 68 6f 73 74 2e 20 49 6e 20 74 68 69 73 20 73 74 72 75 63 74 75 72 65 2c 20 61 20 VyOS.host..In.this.structure,.a.
11560 73 74 61 74 69 63 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 77 69 6c 6c 20 66 69 74 20 static.interface.route.will.fit.
11580 74 68 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 2e 00 54 6f 70 6f 6c 6f 67 79 00 54 6f 70 6f 6c the.requirements..Topology.Topol
115a0 6f 67 79 20 63 6f 6e 73 69 73 74 73 20 6f 66 3a 00 54 72 61 66 66 69 63 20 66 6c 6f 77 73 20 66 ogy.consists.of:.Traffic.flows.f
115c0 72 6f 6d 20 7a 6f 6e 65 20 41 20 74 6f 20 7a 6f 6e 65 20 42 2e 20 54 68 61 74 20 66 6c 6f 77 20 rom.zone.A.to.zone.B..That.flow.
115e0 69 73 20 77 68 61 74 20 49 20 72 65 66 65 72 20 74 6f 20 61 73 20 61 20 7a 6f 6e 65 2d 70 61 69 is.what.I.refer.to.as.a.zone-pai
11600 72 2d 64 69 72 65 63 74 69 6f 6e 2e 20 65 67 2e 20 41 2d 3e 42 20 61 6e 64 20 42 2d 3e 41 20 61 r-direction..eg..A->B.and.B->A.a
11620 72 65 20 74 77 6f 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 65 73 74 69 6e 61 74 69 6f 6e 73 2e 00 54 re.two.zone-pair-destinations..T
11640 72 61 6e 73 70 6f 72 74 3a 00 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 74 6f 70 6f 6c 6f 67 79 20 ransport:.Tunnelbroker.topology.
11660 69 6d 61 67 65 00 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 28 49 50 76 36 29 00 54 77 image.Tunnelbroker.net.(IPv6).Tw
11680 6f 20 56 79 4f 53 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 70 75 62 6c 69 63 20 49 50 20 61 64 o.VyOS.routers.with.public.IP.ad
116a0 64 72 65 73 73 2e 00 54 77 6f 20 72 75 6c 65 73 20 77 69 6c 6c 20 62 65 20 63 72 65 61 74 65 64 dress..Two.rules.will.be.created
116c0 2c 20 74 68 65 20 66 69 72 73 74 20 72 75 6c 65 20 64 69 72 65 63 74 73 20 74 72 61 66 66 69 63 ,.the.first.rule.directs.traffic
116e0 20 63 6f 6d 69 6e 67 20 69 6e 20 66 72 6f 6d 20 65 74 68 32 20 74 6f 20 65 74 68 30 20 61 6e 64 .coming.in.from.eth2.to.eth0.and
11700 20 74 68 65 20 73 65 63 6f 6e 64 20 72 75 6c 65 20 64 69 72 65 63 74 73 20 74 68 65 20 74 72 61 .the.second.rule.directs.the.tra
11720 66 66 69 63 20 74 6f 20 65 74 68 31 2e 20 49 66 20 65 74 68 30 20 66 61 69 6c 73 20 74 68 65 20 ffic.to.eth1..If.eth0.fails.the.
11740 66 69 72 73 74 20 72 75 6c 65 20 69 73 20 62 79 70 61 73 73 65 64 20 61 6e 64 20 74 68 65 20 73 first.rule.is.bypassed.and.the.s
11760 65 63 6f 6e 64 20 72 75 6c 65 20 6d 61 74 63 68 65 73 2c 20 64 69 72 65 63 74 69 6e 67 20 74 72 econd.rule.matches,.directing.tr
11780 61 66 66 69 63 20 74 6f 20 65 74 68 31 2e 00 55 6e 6c 69 6b 65 20 49 50 76 34 2c 20 49 50 76 36 affic.to.eth1..Unlike.IPv4,.IPv6
117a0 20 69 73 20 72 65 61 6c 6c 79 20 6e 6f 74 20 64 65 73 69 67 6e 65 64 20 74 6f 20 62 65 20 62 72 .is.really.not.designed.to.be.br
117c0 6f 6b 65 6e 20 75 70 20 73 6d 61 6c 6c 65 72 20 74 68 61 6e 20 2f 36 34 2e 20 53 6f 20 69 66 20 oken.up.smaller.than./64..So.if.
117e0 79 6f 75 20 65 76 65 72 20 77 61 6e 74 20 74 6f 20 68 61 76 65 20 6d 75 6c 74 69 70 6c 65 20 4c you.ever.want.to.have.multiple.L
11800 41 4e 73 2c 20 56 4c 41 4e 73 2c 20 44 4d 5a 2c 20 65 74 63 2c 20 79 6f 75 27 6c 6c 20 77 61 6e ANs,.VLANs,.DMZ,.etc,.you'll.wan
11820 74 20 74 6f 20 69 67 6e 6f 72 65 20 74 68 65 20 61 73 73 69 67 6e 65 64 20 2f 36 34 2c 20 61 6e t.to.ignore.the.assigned./64,.an
11840 64 20 72 65 71 75 65 73 74 20 74 68 65 20 2f 34 38 20 61 6e 64 20 75 73 65 20 74 68 61 74 2e 00 d.request.the./48.and.use.that..
11860 55 73 69 6e 67 20 74 68 65 20 67 65 6e 65 72 61 6c 20 73 63 68 65 6d 61 20 66 6f 72 20 65 78 61 Using.the.general.schema.for.exa
11880 6d 70 6c 65 3a 00 55 73 69 6e 67 20 74 68 69 73 20 63 6f 6d 6d 61 6e 64 20 77 65 20 61 72 65 20 mple:.Using.this.command.we.are.
118a0 61 6c 73 6f 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 also.able.to.check.the.transport
118c0 20 61 6e 64 20 63 75 73 74 6f 6d 65 72 20 6c 61 62 65 6c 20 28 69 6e 6e 65 72 2f 6f 75 74 65 72 .and.customer.label.(inner/outer
118e0 29 20 66 6f 72 20 48 75 62 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 20 28 31 30 2e 30 2e 30 ).for.Hub.network.prefix.(10.0.0
11900 2e 31 30 30 2f 33 32 29 3a 00 56 4c 41 4e 20 31 30 30 20 61 6e 64 20 32 30 31 20 77 69 6c 6c 20 .100/32):.VLAN.100.and.201.will.
11920 68 61 76 65 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 65 73 2c 20 62 75 74 20 have.floating.IP.addresses,.but.
11940 56 4c 41 4e 35 30 20 64 6f 65 73 20 6e 6f 74 2c 20 61 73 20 74 68 69 73 20 69 73 20 74 61 6c 6b VLAN50.does.not,.as.this.is.talk
11960 69 6e 67 20 64 69 72 65 63 74 6c 79 20 74 6f 20 75 70 73 74 72 65 61 6d 2e 20 43 72 65 61 74 65 ing.directly.to.upstream..Create
11980 20 6f 75 72 20 49 50 20 61 64 64 72 65 73 73 20 6f 6e 20 76 6c 61 6e 35 30 2e 00 56 4c 41 4e 73 .our.IP.address.on.vlan50..VLANs
119a0 00 56 4d 77 61 72 65 3a 20 59 6f 75 20 6d 75 73 74 20 44 49 53 41 42 4c 45 20 53 45 43 55 52 49 .VMware:.You.must.DISABLE.SECURI
119c0 54 59 20 6f 6e 20 74 68 69 73 20 50 6f 72 74 20 67 72 6f 75 70 2e 20 4d 61 6b 65 20 73 75 72 65 TY.on.this.Port.group..Make.sure
119e0 20 74 68 61 74 20 60 60 50 72 6f 6d 69 73 63 75 6f 75 73 20 4d 6f 64 65 60 60 5c 20 2c 20 60 60 .that.``Promiscuous.Mode``\.,.``
11a00 4d 41 43 20 61 64 64 72 65 73 73 20 63 68 61 6e 67 65 73 60 60 20 61 6e 64 20 60 60 46 6f 72 67 MAC.address.changes``.and.``Forg
11a20 65 64 20 74 72 61 6e 73 6d 69 74 73 60 60 20 61 72 65 20 65 6e 61 62 6c 65 64 2e 20 41 6c 6c 20 ed.transmits``.are.enabled..All.
11a40 6f 66 20 74 68 65 73 65 20 77 69 6c 6c 20 62 65 20 64 6f 6e 65 20 61 73 20 70 61 72 74 20 6f 66 of.these.will.be.done.as.part.of
11a60 20 66 61 69 6c 6f 76 65 72 2e 00 56 52 46 00 56 52 46 20 4c 41 4e 3a 00 56 52 46 20 4d 47 4d 54 .failover..VRF.VRF.LAN:.VRF.MGMT
11a80 3a 00 56 52 46 20 50 52 4f 44 3a 00 56 52 46 20 57 41 4e 3a 00 56 52 46 20 61 6e 64 20 66 69 72 :.VRF.PROD:.VRF.WAN:.VRF.and.fir
11aa0 65 77 61 6c 6c 20 65 78 61 6d 70 6c 65 00 56 52 52 50 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e ewall.example.VRRP.Configuration
11ac0 00 56 61 6c 69 64 61 74 69 6f 6e 00 56 65 72 69 66 69 63 61 74 69 6f 6e 00 56 65 72 73 69 6f 6e .Validation.Verification.Version
11ae0 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 00 56 65 72 73 69 :.1.4-rolling-202110310317.Versi
11b00 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 35 31 30 30 37 33 34 00 56 65 72 on:.1.4-rolling-202305100734.Ver
11b20 73 69 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 32 34 30 30 32 30 00 56 sion:.1.4-rolling-202308240020.V
11b40 65 72 73 69 6f 6e 3a 20 31 2e 35 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 34 30 31 31 32 31 32 33 39 ersion:.1.5-rolling-202401121239
11b60 00 56 65 72 73 69 6f 6e 3a 20 76 79 6f 73 2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 .Version:.vyos-1.4-rolling-20230
11b80 32 31 35 30 33 31 37 00 56 79 4f 53 00 56 79 4f 53 20 31 2e 33 20 61 64 64 65 64 20 69 6e 69 74 2150317.VyOS.VyOS.1.3.added.init
11ba0 69 61 6c 20 73 75 70 70 6f 72 74 20 66 6f 72 20 56 52 46 73 20 28 69 6e 63 6c 75 64 69 6e 67 20 ial.support.for.VRFs.(including.
11bc0 49 50 76 34 2f 49 50 76 36 20 73 74 61 74 69 63 20 72 6f 75 74 69 6e 67 29 20 61 6e 64 20 56 79 IPv4/IPv6.static.routing).and.Vy
11be0 4f 53 20 31 2e 34 20 6e 6f 77 20 65 6e 61 62 6c 65 73 20 66 75 6c 6c 20 64 79 6e 61 6d 69 63 20 OS.1.4.now.enables.full.dynamic.
11c00 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 73 75 70 70 6f 72 74 20 66 6f 72 20 4f 53 50 routing.protocol.support.for.OSP
11c20 46 2c 20 49 53 2d 49 53 2c 20 61 6e 64 20 42 47 50 20 66 6f 72 20 69 6e 64 69 76 69 64 75 61 6c F,.IS-IS,.and.BGP.for.individual
11c40 20 56 52 46 73 2e 00 56 79 4f 53 20 61 63 74 73 20 61 73 20 44 48 43 50 2c 20 44 4e 53 20 66 6f .VRFs..VyOS.acts.as.DHCP,.DNS.fo
11c60 72 77 61 72 64 65 72 2c 20 4e 41 54 2c 20 72 6f 75 74 65 72 20 61 6e 64 20 66 69 72 65 77 61 6c rwarder,.NAT,.router.and.firewal
11c80 6c 2e 00 56 79 4f 53 20 61 73 20 43 6c 69 65 6e 74 00 56 79 4f 53 20 61 73 20 61 20 4f 70 65 6e l..VyOS.as.Client.VyOS.as.a.Open
11ca0 56 50 4e 20 53 65 72 76 65 72 00 56 79 4f 53 20 69 73 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b VPN.Server.VyOS.is.able.to.check
11cc0 20 4d 53 44 20 70 65 72 20 64 65 76 69 63 65 73 3a 00 56 79 4f 53 2d 43 45 2d 48 55 42 20 2d 2d .MSD.per.devices:.VyOS-CE-HUB.--
11ce0 2d 2d 2d 2d 2d 3e 20 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 00 56 79 4f 53 2d 43 45 2d 48 55 ----->.VyOS-CE1-SPOKE.VyOS-CE-HU
11d00 42 20 2d 2d 2d 2d 2d 2d 2d 3e 20 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 00 56 79 4f 53 2d 43 B.------->.VyOS-CE2-SPOKE.VyOS-C
11d20 45 31 2d 48 55 42 3a 00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 20 2d 2d 2d 2d 2d 3e 20 20 20 E1-HUB:.VyOS-CE1-SPOKE.----->...
11d40 56 79 4f 53 2d 43 45 2d 48 55 42 00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 3a 00 56 79 4f 53 VyOS-CE-HUB.VyOS-CE1-SPOKE:.VyOS
11d60 2d 43 45 32 2d 53 50 4f 4b 45 20 2d 2d 2d 2d 2d 2d 2d 3e 20 20 56 79 4f 53 2d 43 45 2d 48 55 42 -CE2-SPOKE.------->..VyOS-CE-HUB
11d80 00 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 3a 00 56 79 4f 53 2d 50 31 3a 00 56 79 4f 53 2d 50 .VyOS-CE2-SPOKE:.VyOS-P1:.VyOS-P
11da0 32 3a 00 56 79 4f 53 2d 50 33 3a 00 56 79 4f 53 2d 50 34 3a 00 56 79 4f 53 2d 50 45 31 00 56 79 2:.VyOS-P3:.VyOS-P4:.VyOS-PE1.Vy
11dc0 4f 53 2d 50 45 31 3a 00 56 79 4f 53 2d 50 45 32 00 56 79 4f 53 2d 50 45 32 3a 00 56 79 4f 53 2d OS-PE1:.VyOS-PE2.VyOS-PE2:.VyOS-
11de0 50 45 33 00 56 79 4f 53 2d 50 45 33 3a 00 56 79 4f 53 2d 52 52 31 2f 52 52 32 00 56 79 4f 53 2d PE3.VyOS-PE3:.VyOS-RR1/RR2.VyOS-
11e00 52 52 31 3a 00 56 79 4f 53 2d 52 52 32 3a 00 56 79 6f 73 20 41 53 4e 00 56 79 6f 73 20 63 6f 6e RR1:.VyOS-RR2:.Vyos.ASN.Vyos.con
11e20 66 69 67 75 72 61 74 69 6f 6e 00 56 79 6f 73 20 70 72 69 76 61 74 65 20 49 50 00 56 79 6f 73 20 figuration.Vyos.private.IP.Vyos.
11e40 70 75 62 6c 69 63 20 49 50 00 57 41 4e 20 49 6e 74 65 72 66 61 63 65 00 57 41 4e 20 4c 6f 61 64 public.IP.WAN.Interface.WAN.Load
11e60 20 42 61 6c 61 6e 63 65 72 20 65 78 61 6d 70 6c 65 73 00 57 61 6c 6b 74 68 72 6f 75 67 68 20 73 .Balancer.examples.Walkthrough.s
11e80 75 67 67 65 73 74 69 6f 6e 00 57 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 75 73 65 20 31 30 uggestion.We.are.going.to.use.10
11ea0 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 66 6f 72 20 61 6e 20 27 69 6e 74 65 72 6e 61 6c 27 20 .200.201.0/24.for.an.'internal'.
11ec0 6e 65 74 77 6f 72 6b 20 6f 6e 20 56 4c 41 4e 32 30 31 2e 00 57 65 20 61 72 65 20 67 6f 69 6e 67 network.on.VLAN201..We.are.going
11ee0 20 74 6f 20 75 73 65 20 63 75 73 74 6f 6d 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 65 74 73 .to.use.custom.firewall.rulesets
11f00 2c 20 6f 6e 65 20 66 6f 72 20 65 61 63 68 20 62 72 69 64 67 65 20 74 68 61 74 20 77 69 6c 6c 20 ,.one.for.each.bridge.that.will.
11f20 62 65 20 75 73 65 64 20 69 6e 20 60 60 70 72 65 72 6f 75 74 69 6e 67 60 60 2c 20 61 6e 64 20 6f be.used.in.``prerouting``,.and.o
11f40 6e 65 20 66 6f 72 20 65 61 63 68 20 62 72 69 64 67 65 20 74 68 61 74 20 77 69 6c 6c 20 62 65 20 ne.for.each.bridge.that.will.be.
11f60 75 73 65 64 20 69 6e 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 63 68 61 69 6e 2e 00 57 used.in.the.``forward``.chain..W
11f80 65 20 61 72 65 20 73 65 74 74 69 6e 67 20 75 70 20 56 52 52 50 20 73 6f 20 74 68 61 74 20 69 74 e.are.setting.up.VRRP.so.that.it
11fa0 20 64 6f 65 73 20 4e 4f 54 20 66 61 69 6c 20 62 61 63 6b 20 77 68 65 6e 20 61 20 6d 61 63 68 69 .does.NOT.fail.back.when.a.machi
11fc0 6e 65 20 72 65 74 75 72 6e 73 20 69 6e 74 6f 20 73 65 72 76 69 63 65 2c 20 61 6e 64 20 69 74 20 ne.returns.into.service,.and.it.
11fe0 70 72 69 6f 72 69 74 69 7a 65 73 20 72 6f 75 74 65 72 31 20 6f 76 65 72 20 72 6f 75 74 65 72 32 prioritizes.router1.over.router2
12000 2e 00 57 65 20 61 72 65 20 75 73 69 6e 67 20 61 20 22 77 68 69 74 65 20 6c 69 73 74 22 20 61 70 ..We.are.using.a."white.list".ap
12020 70 72 6f 61 63 68 20 62 79 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 77 68 61 74 20 69 73 20 proach.by.allowing.only.what.is.
12040 6e 65 63 65 73 73 61 72 79 2e 20 49 6e 20 63 61 73 65 20 74 68 61 74 20 6e 65 65 64 20 74 6f 20 necessary..In.case.that.need.to.
12060 69 6d 70 6c 65 6d 65 6e 74 20 61 20 22 62 6c 61 63 6b 20 6c 69 73 74 22 20 61 70 70 72 6f 61 63 implement.a."black.list".approac
12080 68 20 74 68 65 6e 20 79 6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 63 68 61 6e 67 65 20 74 h.then.you.will.need.to.change.t
120a0 68 65 20 61 63 74 69 6f 6e 20 69 6e 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 20 66 6f 72 20 61 he.action.in.the.route-map.for.a
120c0 20 64 65 6e 79 20 42 55 54 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 61 64 64 20 61 20 72 75 6c 65 .deny.BUT.you.need.to.add.a.rule
120e0 20 74 68 61 74 20 70 65 72 6d 69 74 73 20 74 68 65 20 72 65 73 74 20 64 75 65 20 74 6f 20 74 68 .that.permits.the.rest.due.to.th
12100 65 20 69 6d 70 6c 69 63 69 74 20 64 65 6e 79 20 69 6e 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 e.implicit.deny.in.the.route-map
12120 2e 00 57 65 20 63 72 65 61 74 65 20 61 20 70 72 65 66 69 78 2d 6c 69 73 74 20 66 69 72 73 74 20 ..We.create.a.prefix-list.first.
12140 61 6e 64 20 61 64 64 20 61 6c 6c 20 74 68 65 20 72 6f 75 74 65 73 20 77 65 20 6e 65 65 64 20 74 and.add.all.the.routes.we.need.t
12160 6f 2e 00 57 65 20 65 78 70 6c 69 63 69 74 6c 79 20 65 78 63 6c 75 64 65 20 74 68 65 20 70 72 69 o..We.explicitly.exclude.the.pri
12180 6d 61 72 79 20 75 70 73 74 72 65 61 6d 20 6e 65 74 77 6f 72 6b 20 73 6f 20 74 68 61 74 20 42 47 mary.upstream.network.so.that.BG
121a0 50 20 6f 72 20 4f 53 50 46 20 74 72 61 66 66 69 63 20 64 6f 65 73 6e 27 74 20 61 63 63 69 64 65 P.or.OSPF.traffic.doesn't.accide
121c0 6e 74 61 6c 6c 79 20 67 65 74 20 4e 41 54 27 65 64 2e 00 57 65 20 68 61 76 65 20 66 6f 75 72 20 ntally.get.NAT'ed..We.have.four.
121e0 68 6f 73 74 73 20 6f 6e 20 74 68 65 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 31 37 32 2e 31 hosts.on.the.local.network.172.1
12200 37 2e 31 2e 30 2f 32 34 2e 20 41 6c 6c 20 68 6f 73 74 73 20 61 72 65 20 6c 61 62 65 6c 65 64 20 7.1.0/24..All.hosts.are.labeled.
12220 43 53 30 20 62 79 20 64 65 66 61 75 6c 74 2e 20 57 65 20 6e 65 65 64 20 74 6f 20 72 65 70 6c 61 CS0.by.default..We.need.to.repla
12240 63 65 20 6c 61 62 65 6c 73 20 6f 6e 20 61 6c 6c 20 68 6f 73 74 73 20 65 78 63 65 70 74 20 76 70 ce.labels.on.all.hosts.except.vp
12260 63 38 2e 20 57 65 20 77 69 6c 6c 20 72 65 70 6c 61 63 65 20 74 68 65 20 6c 61 62 65 6c 73 20 6f c8..We.will.replace.the.labels.o
12280 6e 20 74 68 65 20 6e 65 61 72 65 73 74 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 33 e2 80 9d n.the.nearest.router....VyOS3...
122a0 20 75 73 69 6e 67 20 74 68 65 20 49 50 20 61 64 64 72 65 73 73 65 73 20 6f 66 20 74 68 65 20 73 .using.the.IP.addresses.of.the.s
122c0 6f 75 72 63 65 73 2e 00 57 65 20 68 61 76 65 20 66 6f 75 72 20 70 72 65 2d 63 6f 6e 66 69 67 75 ources..We.have.four.pre-configu
122e0 72 65 64 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 74 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 red.routers.with.this.configurat
12300 69 6f 6e 3a 00 57 65 20 68 61 76 65 20 74 68 72 65 65 20 6e 65 74 77 6f 72 6b 73 2e 00 57 65 20 ion:.We.have.three.networks..We.
12320 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20 keep.the.configuration.from.the.
12340 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 64 65 6c 65 74 65 20 72 75 6c 65 20 31 30 previous.example,.delete.rule.10
12360 20 61 6e 64 20 63 72 65 61 74 65 20 74 68 65 20 74 77 6f 20 6e 65 77 20 72 75 6c 65 73 20 61 73 .and.create.the.two.new.rules.as
12380 20 64 65 73 63 72 69 62 65 64 3a 00 57 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 .described:.We.keep.the.configur
123a0 61 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c ation.from.the.previous.example,
123c0 20 64 65 6c 65 74 65 20 72 75 6c 65 20 32 30 20 61 6e 64 20 63 72 65 61 74 65 20 61 20 6e 65 77 .delete.rule.20.and.create.a.new
123e0 20 72 75 6c 65 20 61 73 20 64 65 73 63 72 69 62 65 64 3a 00 57 65 20 6e 65 65 64 20 74 6f 20 65 .rule.as.described:.We.need.to.e
12400 6e 61 62 6c 65 20 72 6f 75 74 65 72 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 66 6f 72 20 4c nable.router.advertisement.for.L
12420 41 4e 20 6e 65 74 77 6f 72 6b 20 73 6f 20 74 68 61 74 20 50 43 20 63 61 6e 20 72 65 63 65 69 76 AN.network.so.that.PC.can.receiv
12440 65 20 74 68 65 20 70 72 65 66 69 78 20 61 6e 64 20 75 73 65 20 53 4c 41 41 43 20 74 6f 20 63 6f e.the.prefix.and.use.SLAAC.to.co
12460 6e 66 69 67 75 72 65 20 74 68 65 20 61 64 64 72 65 73 73 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c nfigure.the.address.automaticall
12480 79 2e 00 57 65 20 6f 6e 6c 79 20 77 61 6e 74 20 74 6f 20 65 78 70 6f 72 74 20 74 68 65 20 6e 65 y..We.only.want.to.export.the.ne
124a0 74 77 6f 72 6b 73 20 77 65 20 6b 6e 6f 77 2e 20 41 6c 77 61 79 73 20 64 6f 20 61 20 77 68 69 74 tworks.we.know..Always.do.a.whit
124c0 65 6c 69 73 74 20 6f 6e 20 79 6f 75 72 20 72 6f 75 74 65 20 66 69 6c 74 65 72 73 2c 20 62 6f 74 elist.on.your.route.filters,.bot
124e0 68 20 69 6d 70 6f 72 74 69 6e 67 20 61 6e 64 20 65 78 70 6f 72 74 69 6e 67 2e 20 41 20 67 6f 6f h.importing.and.exporting..A.goo
12500 64 20 72 75 6c 65 20 6f 66 20 74 68 75 6d 62 20 69 73 20 2a 2a 27 49 66 20 79 6f 75 20 61 72 65 d.rule.of.thumb.is.**'If.you.are
12520 20 6e 6f 74 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 20 66 6f 72 20 61 20 6e 65 .not.the.default.router.for.a.ne
12540 74 77 6f 72 6b 2c 20 64 6f 6e 27 74 20 61 64 76 65 72 74 69 73 65 20 69 74 27 2a 2a 2e 20 54 68 twork,.don't.advertise.it'**..Th
12560 69 73 20 6d 65 61 6e 73 20 77 65 20 65 78 70 6c 69 63 69 74 6c 79 20 64 6f 20 6e 6f 74 20 77 61 is.means.we.explicitly.do.not.wa
12580 6e 74 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 nt.to.advertise.the.192.0.2.0/24
125a0 20 6e 65 74 77 6f 72 6b 20 28 62 75 74 20 64 6f 20 77 61 6e 74 20 74 6f 20 61 64 76 65 72 74 69 .network.(but.do.want.to.adverti
125c0 73 65 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 20 61 6e 64 20 32 30 33 2e 30 2e 31 31 33 2e 30 2c se.10.200.201.0.and.203.0.113.0,
125e0 20 77 68 69 63 68 20 77 65 20 41 52 45 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 .which.we.ARE.the.default.route.
12600 66 6f 72 29 2e 20 54 68 69 73 20 66 69 6c 74 65 72 20 69 73 20 61 70 70 6c 69 65 64 20 74 6f 20 for)..This.filter.is.applied.to.
12620 60 60 72 65 64 69 73 74 72 69 62 75 74 65 20 63 6f 6e 6e 65 63 74 65 64 60 60 2e 20 49 66 20 77 ``redistribute.connected``..If.w
12640 65 20 57 45 52 45 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 69 74 2c 20 74 68 65 20 72 65 6d 6f e.WERE.to.advertise.it,.the.remo
12660 74 65 20 6d 61 63 68 69 6e 65 73 20 77 6f 75 6c 64 20 73 65 65 20 31 39 32 2e 30 2e 32 2e 32 31 te.machines.would.see.192.0.2.21
12680 20 61 76 61 69 6c 61 62 6c 65 20 76 69 61 20 74 68 65 69 72 20 64 65 66 61 75 6c 74 20 72 6f 75 .available.via.their.default.rou
126a0 74 65 2c 20 65 73 74 61 62 6c 69 73 68 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 2c 20 61 6e te,.establish.the.connection,.an
126c0 64 20 74 68 65 6e 20 4f 53 50 46 20 77 6f 75 6c 64 20 73 61 79 20 27 31 39 32 2e 30 2e 32 2e 30 d.then.OSPF.would.say.'192.0.2.0
126e0 2f 32 34 20 69 73 20 61 76 61 69 6c 61 62 6c 65 20 76 69 61 20 74 68 69 73 20 74 75 6e 6e 65 6c /24.is.available.via.this.tunnel
12700 27 2c 20 61 74 20 77 68 69 63 68 20 70 6f 69 6e 74 20 74 68 65 20 74 75 6e 6e 65 6c 20 77 6f 75 ',.at.which.point.the.tunnel.wou
12720 6c 64 20 62 72 65 61 6b 2c 20 4f 53 50 46 20 77 6f 75 6c 64 20 64 72 6f 70 20 74 68 65 20 72 6f ld.break,.OSPF.would.drop.the.ro
12740 75 74 65 73 2c 20 61 6e 64 20 74 68 65 6e 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 77 6f 75 6c utes,.and.then.192.0.2.0/24.woul
12760 64 20 62 65 20 72 65 61 63 68 61 62 6c 65 20 76 69 61 20 64 65 66 61 75 6c 74 20 61 67 61 69 6e d.be.reachable.via.default.again
12780 2e 20 54 68 69 73 20 69 73 20 63 61 6c 6c 65 64 20 27 66 6c 61 70 70 69 6e 67 27 2e 00 57 65 20 ..This.is.called.'flapping'..We.
127a0 6f 6e 6c 79 20 77 61 6e 74 20 74 6f 20 69 6d 70 6f 72 74 20 6e 65 74 77 6f 72 6b 73 20 77 65 20 only.want.to.import.networks.we.
127c0 6b 6e 6f 77 2e 20 4f 75 72 20 4f 53 50 46 20 70 65 65 72 20 73 68 6f 75 6c 64 20 6f 6e 6c 79 20 know..Our.OSPF.peer.should.only.
127e0 62 65 20 61 64 76 65 72 74 69 73 69 6e 67 20 6e 65 74 77 6f 72 6b 73 20 69 6e 20 74 68 65 20 31 be.advertising.networks.in.the.1
12800 30 2e 32 30 31 2e 30 2e 30 2f 31 36 20 72 61 6e 67 65 2e 20 4e 6f 74 65 20 74 68 61 74 20 74 68 0.201.0.0/16.range..Note.that.th
12820 69 73 20 69 73 20 61 6e 20 49 4e 56 45 52 53 45 20 4d 41 54 43 48 2e 20 59 6f 75 20 64 65 6e 79 is.is.an.INVERSE.MATCH..You.deny
12840 20 69 6e 20 61 63 63 65 73 73 2d 6c 69 73 74 20 31 30 30 20 74 6f 20 61 63 63 65 70 74 20 74 68 .in.access-list.100.to.accept.th
12860 65 20 72 6f 75 74 65 2e 00 57 65 20 75 73 65 20 61 20 73 74 61 74 69 63 20 72 6f 75 74 65 20 63 e.route..We.use.a.static.route.c
12880 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 6e 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 onfiguration.in.between.the.Core
128a0 20 61 6e 64 20 65 61 63 68 20 4c 41 4e 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 20 72 6f 75 .and.each.LAN.and.Management.rou
128c0 74 65 72 2c 20 61 6e 64 20 42 47 50 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 72 6f ter,.and.BGP.between.the.Core.ro
128e0 75 74 65 72 20 61 6e 64 20 74 68 65 20 49 53 50 20 72 6f 75 74 65 72 20 62 75 74 20 61 6e 79 20 uter.and.the.ISP.router.but.any.
12900 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 63 61 6e 20 62 65 20 dynamic.routing.protocol.can.be.
12920 75 73 65 64 2e 00 57 65 20 75 73 65 20 73 6d 61 6c 6c 20 2f 33 30 27 73 20 66 72 6f 6d 20 31 30 used..We.use.small./30's.from.10
12940 2e 32 35 34 2e 36 30 2f 32 34 20 66 6f 72 20 74 68 65 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e .254.60/24.for.the.point-to-poin
12960 74 20 6c 69 6e 6b 73 2e 00 57 65 20 75 73 65 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 6e 65 t.links..We.use.the.following.ne
12980 74 77 6f 72 6b 20 74 6f 70 6f 6c 6f 67 79 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 3a 00 twork.topology.in.this.example:.
129a0 57 68 65 6e 20 69 6d 70 6f 72 74 69 6e 67 20 72 6f 75 74 65 73 20 75 73 69 6e 67 20 4d 50 2d 42 When.importing.routes.using.MP-B
129c0 47 50 20 69 74 20 69 73 20 70 6f 73 73 69 62 6c 65 20 74 6f 20 66 69 6c 74 65 72 20 61 20 73 75 GP.it.is.possible.to.filter.a.su
129e0 62 73 65 74 20 6f 66 20 74 68 65 6d 20 62 65 66 6f 72 65 20 61 72 65 20 69 6e 6a 65 63 74 65 64 bset.of.them.before.are.injected
12a00 20 69 6e 20 74 68 65 20 42 47 50 20 74 61 62 6c 65 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 6d 6f .in.the.BGP.table..One.of.the.mo
12a20 73 74 20 63 6f 6d 6d 6f 6e 20 63 61 73 65 20 69 73 20 74 6f 20 75 73 65 20 61 20 72 6f 75 74 65 st.common.case.is.to.use.a.route
12a40 2d 6d 61 70 20 77 69 74 68 20 61 6e 20 70 72 65 66 69 78 2d 6c 69 73 74 2e 00 57 68 65 6e 20 74 -map.with.an.prefix-list..When.t
12a60 72 61 66 66 69 63 20 69 73 20 6f 72 69 67 69 6e 61 74 65 64 20 66 72 6f 6d 20 74 68 65 20 31 30 raffic.is.originated.from.the.10
12a80 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2c 20 69 74 20 77 69 6c 6c 20 62 .200.201.0/24.network,.it.will.b
12aa0 65 20 6d 61 73 71 75 65 72 61 64 65 64 20 74 6f 20 32 30 33 2e 30 2e 31 31 33 2e 31 00 57 68 65 e.masqueraded.to.203.0.113.1.Whe
12ac0 6e 20 75 74 69 6c 69 7a 69 6e 67 20 56 79 4f 53 20 69 6e 20 61 6e 20 65 6e 76 69 72 6f 6e 6d 65 n.utilizing.VyOS.in.an.environme
12ae0 6e 74 20 77 69 74 68 20 43 69 73 63 6f 20 49 4f 53 2d 58 52 20 67 65 61 72 20 79 6f 75 20 63 61 nt.with.Cisco.IOS-XR.gear.you.ca
12b00 6e 20 75 73 65 20 74 68 69 73 20 62 6c 75 65 20 70 72 69 6e 74 20 61 73 20 61 6e 20 69 6e 69 74 n.use.this.blue.print.as.an.init
12b20 69 61 6c 20 73 65 74 75 70 20 74 6f 20 67 65 74 20 4d 50 4c 53 20 49 53 49 53 2d 53 52 20 77 6f ial.setup.to.get.MPLS.ISIS-SR.wo
12b40 72 6b 69 6e 67 20 62 65 74 77 65 65 6e 20 74 68 6f 73 65 20 74 77 6f 20 64 65 76 69 63 65 73 2e rking.between.those.two.devices.
12b60 54 68 65 20 6c 61 62 20 77 61 73 20 62 75 69 6c 64 20 75 73 69 6e 67 20 3a 61 62 62 72 3a 60 45 The.lab.was.build.using.:abbr:`E
12b80 56 45 2d 4e 47 20 28 45 6d 75 6c 61 74 65 64 20 56 69 72 74 75 61 6c 20 45 6e 76 69 72 6f 6e 6d VE-NG.(Emulated.Virtual.Environm
12ba0 65 6e 74 20 4e 47 29 60 2e 00 57 68 65 6e 20 79 6f 75 20 68 61 76 65 20 62 6f 74 68 20 72 6f 75 ent.NG)`..When.you.have.both.rou
12bc0 74 65 72 73 20 75 70 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 65 ters.up,.you.should.be.able.to.e
12be0 73 74 61 62 6c 69 73 68 20 61 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 72 6f 6d 20 61 20 4e 41 54 stablish.a.connection.from.a.NAT
12c00 27 65 64 20 6d 61 63 68 69 6e 65 20 6f 75 74 20 74 6f 20 74 68 65 20 69 6e 74 65 72 6e 65 74 2c 'ed.machine.out.to.the.internet,
12c20 20 72 65 62 6f 6f 74 20 74 68 65 20 61 63 74 69 76 65 20 6d 61 63 68 69 6e 65 2c 20 61 6e 64 20 .reboot.the.active.machine,.and.
12c40 74 68 61 74 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 73 68 6f 75 6c 64 20 62 65 20 70 72 65 73 65 72 that.connection.should.be.preser
12c60 76 65 64 2c 20 61 6e 64 20 77 69 6c 6c 20 6e 6f 74 20 64 72 6f 70 20 6f 75 74 2e 00 57 68 65 6e ved,.and.will.not.drop.out..When
12c80 20 79 6f 75 20 68 61 76 65 20 65 6e 61 62 6c 65 64 20 4f 53 50 46 20 6f 6e 20 62 6f 74 68 20 72 .you.have.enabled.OSPF.on.both.r
12ca0 6f 75 74 65 72 73 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 outers,.you.should.be.able.to.se
12cc0 65 20 65 61 63 68 20 6f 74 68 65 72 20 77 69 74 68 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 e.each.other.with.the.command.``
12ce0 73 68 6f 77 20 69 70 20 6f 73 70 66 20 6e 65 69 67 68 62 6f 75 72 60 60 2e 20 54 68 65 20 73 74 show.ip.ospf.neighbour``..The.st
12d00 61 74 65 20 6d 75 73 74 20 62 65 20 27 46 75 6c 6c 27 20 6f 72 20 27 32 2d 57 61 79 27 2e 20 49 ate.must.be.'Full'.or.'2-Way'..I
12d20 66 20 69 74 20 69 73 20 6e 6f 74 2c 20 74 68 65 6e 20 74 68 65 72 65 20 69 73 20 61 20 6e 65 74 f.it.is.not,.then.there.is.a.net
12d40 77 6f 72 6b 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 73 73 75 65 20 62 65 74 77 65 65 6e 20 work.connectivity.issue.between.
12d60 74 68 65 20 68 6f 73 74 73 2e 20 54 68 69 73 20 69 73 20 6f 66 74 65 6e 20 63 61 75 73 65 64 20 the.hosts..This.is.often.caused.
12d80 62 79 20 4e 41 54 20 6f 72 20 4d 54 55 20 69 73 73 75 65 73 2e 20 59 6f 75 20 73 68 6f 75 6c 64 by.NAT.or.MTU.issues..You.should
12da0 20 6e 6f 74 20 73 65 65 20 61 6e 79 20 6e 65 77 20 72 6f 75 74 65 73 20 28 75 6e 6c 65 73 73 20 .not.see.any.new.routes.(unless.
12dc0 74 68 69 73 20 69 73 20 74 68 65 20 73 65 63 6f 6e 64 20 70 61 73 73 29 20 69 6e 20 74 68 65 20 this.is.the.second.pass).in.the.
12de0 6f 75 74 70 75 74 20 6f 66 20 60 60 73 68 6f 77 20 69 70 20 72 6f 75 74 65 60 60 00 57 68 69 6c output.of.``show.ip.route``.Whil
12e00 65 20 74 65 73 74 69 6e 67 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2c 20 77 65 20 e.testing.the.configuration,.we.
12e20 63 61 6e 20 63 68 65 63 6b 20 6c 6f 67 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 65 6e 73 75 72 can.check.logs.in.order.to.ensur
12e40 65 20 74 68 61 74 20 77 65 20 61 72 65 20 61 63 63 65 70 74 69 6e 67 20 61 6e 64 2f 6f 72 20 62 e.that.we.are.accepting.and/or.b
12e60 6c 6f 63 6b 69 6e 67 20 74 68 65 20 63 6f 72 72 65 63 74 20 74 72 61 66 66 69 63 2e 00 57 69 6e locking.the.correct.traffic..Win
12e80 64 6f 77 20 50 50 50 6f 45 20 43 6c 69 65 6e 74 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 57 dow.PPPoE.Client.Configuration.W
12ea0 69 6e 64 6f 77 73 20 53 65 72 76 65 72 20 32 30 31 39 20 77 69 74 68 20 61 20 72 75 6e 6e 69 6e indows.Server.2019.with.a.runnin
12ec0 67 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 00 57 69 72 65 67 75 61 72 64 00 57 69 72 g.Active.Directory.Wireguard.Wir
12ee0 65 67 75 61 72 64 20 64 6f 65 73 6e 27 74 20 68 61 76 65 20 74 68 65 20 63 6f 6e 63 65 70 74 20 eguard.doesn't.have.the.concept.
12f00 6f 66 20 61 6e 20 75 70 20 6f 72 20 64 6f 77 6e 20 6c 69 6e 6b 2c 20 64 75 65 20 74 6f 20 69 74 of.an.up.or.down.link,.due.to.it
12f20 73 20 64 65 73 69 67 6e 2e 20 54 68 69 73 20 63 6f 6d 70 6c 69 63 61 74 65 73 20 41 4e 44 20 73 s.design..This.complicates.AND.s
12f40 69 6d 70 6c 69 66 69 65 73 20 75 73 69 6e 67 20 69 74 20 66 6f 72 20 6e 65 74 77 6f 72 6b 20 74 implifies.using.it.for.network.t
12f60 72 61 6e 73 70 6f 72 74 2c 20 61 73 20 66 6f 72 20 72 65 6c 69 61 62 6c 65 20 73 74 61 74 65 20 ransport,.as.for.reliable.state.
12f80 64 65 74 65 63 74 69 6f 6e 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 75 73 65 20 53 4f 4d 45 54 48 detection.you.need.to.use.SOMETH
12fa0 49 4e 47 20 74 6f 20 64 65 74 65 63 74 20 77 68 65 6e 20 74 68 65 20 6c 69 6e 6b 20 69 73 20 64 ING.to.detect.when.the.link.is.d
12fc0 6f 77 6e 2e 00 57 69 74 68 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2c 20 79 6f 75 20 own..With.Tunnelbroker.net,.you.
12fe0 68 61 76 65 20 74 77 6f 20 6f 70 74 69 6f 6e 73 3a 00 57 69 74 68 20 74 68 69 73 20 63 6f 6d 6d have.two.options:.With.this.comm
13000 61 6e 64 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 74 72 61 and.we.are.able.to.check.the.tra
13020 6e 73 70 6f 72 74 20 61 6e 64 20 63 75 73 74 6f 6d 65 72 20 6c 61 62 65 6c 20 28 69 6e 6e 65 72 nsport.and.customer.label.(inner
13040 2f 6f 75 74 65 72 29 20 66 6f 72 20 6e 65 74 77 6f 72 6b 20 73 70 6f 6b 65 73 20 70 72 65 66 69 /outer).for.network.spokes.prefi
13060 78 65 73 20 31 30 2e 30 2e 30 2e 38 30 2f 33 32 20 2d 20 31 30 2e 30 2e 30 2e 39 30 2f 33 32 00 xes.10.0.0.80/32.-.10.0.0.90/32.
13080 57 69 74 68 69 6e 20 74 68 65 20 56 52 46 20 77 65 20 73 65 74 20 74 68 65 20 52 6f 75 74 65 2d Within.the.VRF.we.set.the.Route-
130a0 44 69 73 74 69 6e 67 75 69 73 68 65 72 20 28 52 44 29 20 61 6e 64 20 52 6f 75 74 65 2d 54 61 72 Distinguisher.(RD).and.Route-Tar
130c0 67 65 74 73 20 28 52 54 29 2c 20 74 68 65 6e 20 77 65 20 65 6e 61 62 6c 65 20 74 68 65 20 65 78 gets.(RT),.then.we.enable.the.ex
130e0 70 6f 72 74 2f 69 6d 70 6f 72 74 20 56 50 4e 2e 00 57 69 74 68 69 6e 20 74 68 65 20 62 72 69 64 port/import.VPN..Within.the.brid
13100 67 65 2c 20 61 63 63 65 70 74 20 6f 6e 6c 79 20 6e 65 77 20 49 50 76 34 20 63 6f 6e 6e 65 63 74 ge,.accept.only.new.IPv4.connect
13120 69 6f 6e 73 20 66 72 6f 6d 20 68 6f 73 74 20 31 30 2e 31 2e 31 2e 31 30 32 00 58 52 76 2d 50 33 ions.from.host.10.1.1.102.XRv-P3
13140 3a 00 59 6f 75 20 6d 61 6e 61 67 65 64 20 74 6f 20 63 6f 6d 65 20 74 68 69 73 20 66 61 72 2c 20 :.You.managed.to.come.this.far,.
13160 6e 6f 77 20 77 65 20 77 61 6e 74 20 74 6f 20 73 65 65 20 74 68 65 20 6e 65 74 77 6f 72 6b 20 61 now.we.want.to.see.the.network.a
13180 6e 64 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20 69 6e 20 61 63 74 69 6f 6e 2e 00 59 6f 75 nd.routing.tables.in.action..You
131a0 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 74 6f 20 61 6e 64 20 66 .should.be.able.to.ping.to.and.f
131c0 72 6f 6d 20 61 6c 6c 20 74 68 65 20 49 50 73 20 79 6f 75 20 68 61 76 65 20 61 6c 6c 6f 63 61 74 rom.all.the.IPs.you.have.allocat
131e0 65 64 2e 00 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 77 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69 ed..You.should.now.be.able.to.pi
13200 6e 67 20 73 6f 6d 65 74 68 69 6e 67 20 62 79 20 49 50 76 36 20 44 4e 53 20 6e 61 6d 65 3a 00 59 ng.something.by.IPv6.DNS.name:.Y
13220 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 77 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 74 68 65 ou.should.now.be.able.to.see.the
13240 20 61 64 76 65 72 74 69 73 65 64 20 6e 65 74 77 6f 72 6b 20 6f 6e 20 74 68 65 20 6f 74 68 65 72 .advertised.network.on.the.other
13260 20 68 6f 73 74 2e 00 59 6f 75 20 77 6f 75 6c 64 20 68 61 76 65 20 35 20 7a 6f 6e 65 73 20 69 6e .host..You.would.have.5.zones.in
13280 73 74 65 61 64 20 6f 66 20 6a 75 73 74 20 34 20 61 6e 64 20 79 6f 75 20 77 6f 75 6c 64 20 63 6f stead.of.just.4.and.you.would.co
132a0 6e 66 69 67 75 72 65 20 79 6f 75 72 20 76 36 20 72 75 6c 65 73 65 74 20 62 65 74 77 65 65 6e 20 nfigure.your.v6.ruleset.between.
132c0 79 6f 75 72 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 79 6f 75 72 20 4c your.tunnel.interface.and.your.L
132e0 41 4e 2f 44 4d 5a 20 7a 6f 6e 65 73 20 69 6e 73 74 65 61 64 20 6f 66 20 74 6f 20 74 68 65 20 57 AN/DMZ.zones.instead.of.to.the.W
13300 41 4e 2e 00 59 6f 75 20 77 6f 75 6c 64 20 68 61 76 65 20 74 6f 20 61 64 64 20 61 20 63 6f 75 70 AN..You.would.have.to.add.a.coup
13320 6c 65 20 6f 66 20 72 75 6c 65 73 20 6f 6e 20 79 6f 75 72 20 77 61 6e 2d 6c 6f 63 61 6c 20 72 75 le.of.rules.on.your.wan-local.ru
13340 6c 65 73 65 74 20 74 6f 20 61 6c 6c 6f 77 20 70 72 6f 74 6f 63 6f 6c 20 34 31 20 69 6e 2e 00 5a leset.to.allow.protocol.41.in..Z
13360 6f 6e 65 2d 50 6f 6c 69 63 79 20 65 78 61 6d 70 6c 65 00 5a 6f 6e 65 73 20 42 61 73 69 63 73 00 one-Policy.example.Zones.Basics.
13380 5a 6f 6e 65 73 20 61 6e 64 20 52 75 6c 65 73 65 74 73 20 62 6f 74 68 20 68 61 76 65 20 61 20 64 Zones.and.Rulesets.both.have.a.d
133a0 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 73 74 61 74 65 6d 65 6e 74 2e 20 57 68 65 6e 20 75 73 efault.action.statement..When.us
133c0 69 6e 67 20 5a 6f 6e 65 2d 50 6f 6c 69 63 69 65 73 2c 20 74 68 65 20 64 65 66 61 75 6c 74 20 61 ing.Zone-Policies,.the.default.a
133e0 63 74 69 6f 6e 20 69 73 20 73 65 74 20 62 79 20 74 68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 ction.is.set.by.the.zone-policy.
13400 73 74 61 74 65 6d 65 6e 74 20 61 6e 64 20 69 73 20 72 65 70 72 65 73 65 6e 74 65 64 20 62 79 20 statement.and.is.represented.by.
13420 72 75 6c 65 20 31 30 30 30 30 2e 00 5a 6f 6e 65 73 20 64 6f 20 6e 6f 74 20 61 6c 6c 6f 77 20 66 rule.10000..Zones.do.not.allow.f
13440 6f 72 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 6f 66 20 61 63 63 65 70 74 3b 20 65 or.a.default.action.of.accept;.e
13460 69 74 68 65 72 20 64 72 6f 70 20 6f 72 20 72 65 6a 65 63 74 2e 20 49 74 20 69 73 20 69 6d 70 6f ither.drop.or.reject..It.is.impo
13480 72 74 61 6e 74 20 74 6f 20 72 65 6d 65 6d 62 65 72 20 74 68 69 73 20 62 65 63 61 75 73 65 20 69 rtant.to.remember.this.because.i
134a0 66 20 79 6f 75 20 61 70 70 6c 79 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 74 6f 20 61 20 7a 6f f.you.apply.an.interface.to.a.zo
134c0 6e 65 20 61 6e 64 20 63 6f 6d 6d 69 74 2c 20 61 6e 79 20 61 63 74 69 76 65 20 63 6f 6e 6e 65 63 ne.and.commit,.any.active.connec
134e0 74 69 6f 6e 73 20 77 69 6c 6c 20 62 65 20 64 72 6f 70 70 65 64 2e 20 53 70 65 63 69 66 69 63 61 tions.will.be.dropped..Specifica
13500 6c 6c 79 2c 20 69 66 20 79 6f 75 20 61 72 65 20 53 53 48 e2 80 99 64 20 69 6e 74 6f 20 56 79 4f lly,.if.you.are.SSH...d.into.VyO
13520 53 20 61 6e 64 20 61 64 64 20 6c 6f 63 61 6c 20 6f 72 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 S.and.add.local.or.the.interface
13540 20 79 6f 75 20 61 72 65 20 63 6f 6e 6e 65 63 74 69 6e 67 20 74 68 72 6f 75 67 68 20 74 6f 20 61 .you.are.connecting.through.to.a
13560 20 7a 6f 6e 65 20 61 6e 64 20 64 6f 20 6e 6f 74 20 68 61 76 65 20 72 75 6c 65 73 65 74 73 20 69 .zone.and.do.not.have.rulesets.i
13580 6e 20 70 6c 61 63 65 20 74 6f 20 61 6c 6c 6f 77 20 53 53 48 20 61 6e 64 20 65 73 74 61 62 6c 69 n.place.to.allow.SSH.and.establi
135a0 73 68 65 64 20 73 65 73 73 69 6f 6e 73 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 61 shed.sessions,.you.will.not.be.a
135c0 62 6c 65 20 74 6f 20 63 6f 6e 6e 65 63 74 2e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 31 ble.to.connect..`2001:470:xxxx:1
135e0 3a 3a 2f 36 34 60 3a 20 41 20 73 75 62 6e 65 74 20 73 75 69 74 61 62 6c 65 20 66 6f 72 20 61 20 ::/64`:.A.subnet.suitable.for.a.
13600 4c 41 4e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 32 3a 3a 2f 36 34 60 3a 20 41 6e 6f 74 LAN.`2001:470:xxxx:2::/64`:.Anot
13620 68 65 72 20 73 75 62 6e 65 74 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 3a 2f 34 38 60 3a her.subnet.`2001:470:xxxx::/48`:
13640 20 54 68 65 20 77 68 6f 6c 65 20 73 75 62 6e 65 74 2e 20 78 78 78 78 20 73 68 6f 75 6c 64 20 63 .The.whole.subnet..xxxx.should.c
13660 6f 6d 65 20 66 72 6f 6d 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 00 60 32 30 30 31 3a 34 37 30 ome.from.Tunnelbroker..`2001:470
13680 3a 78 78 78 78 3a 66 66 66 66 3a 2f 36 34 60 3a 20 54 68 65 20 6c 61 73 74 20 75 73 61 62 6c 65 :xxxx:ffff:/64`:.The.last.usable
136a0 20 2f 36 34 20 73 75 62 6e 65 74 2e 00 60 60 73 65 72 76 69 63 65 2d 6e 61 6d 65 60 60 20 63 61 ./64.subnet..``service-name``.ca
136c0 6e 20 62 65 20 61 6e 20 61 72 62 69 74 72 61 72 79 20 73 74 72 69 6e 67 2e 00 61 66 74 65 72 20 n.be.an.arbitrary.string..after.
136e0 61 6c 6c 20 74 68 65 73 65 20 73 74 65 70 73 20 74 68 65 20 63 6f 6e 66 69 67 20 6c 6f 6f 6b 20 all.these.steps.the.config.look.
13700 6c 69 6b 65 20 74 68 69 73 3a 00 61 66 74 65 72 20 74 68 69 73 20 63 72 65 61 74 65 20 61 20 73 like.this:.after.this.create.a.s
13720 69 67 6e 65 64 20 73 65 72 76 65 72 20 61 6e 64 20 61 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 igned.server.and.a.client.certif
13740 69 63 61 74 65 00 61 6e 64 20 6c 61 73 74 20 74 68 65 20 44 48 20 4b 65 79 00 62 6c 75 65 20 75 icate.and.last.the.DH.Key.blue.u
13760 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 ses.local.routing.table.id.and.V
13780 4e 49 20 32 30 30 30 00 63 68 30 30 73 33 2d 34 2d 73 33 63 75 72 33 2d 70 73 6b 00 63 6f 6d 70 NI.2000.ch00s3-4-s3cur3-psk.comp
137a0 75 74 65 31 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 31 20 ute1.(VMware.ESXi.6.5).compute1.
137c0 2d 20 50 6f 72 74 20 39 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6d 70 75 74 65 32 -.Port.9.of.each.switch.compute2
137e0 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 32 20 2d 20 50 6f .(VMware.ESXi.6.5).compute2.-.Po
13800 72 74 20 31 30 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6d 70 75 74 65 33 20 28 56 rt.10.of.each.switch.compute3.(V
13820 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 33 20 2d 20 50 6f 72 74 20 Mware.ESXi.6.5).compute3.-.Port.
13840 31 31 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6e 66 69 67 75 72 65 20 65 61 63 68 11.of.each.switch.configure.each
13860 20 68 6f 73 74 20 69 6e 20 74 68 65 20 6c 61 62 00 63 72 65 61 74 65 20 74 68 65 20 6c 61 62 20 .host.in.the.lab.create.the.lab.
13880 6f 6e 20 61 20 65 76 65 2d 6e 67 20 73 65 72 76 65 72 00 64 6f 20 73 6f 6d 65 20 64 65 66 69 6e on.a.eve-ng.server.do.some.defin
138a0 65 64 20 74 65 73 74 73 00 65 74 68 30 00 65 74 68 30 20 69 73 20 73 65 74 20 74 6f 20 62 65 20 ed.tests.eth0.eth0.is.set.to.be.
138c0 72 65 6d 6f 76 65 64 20 66 72 6f 6d 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 27 73 removed.from.the.load.balancer's
138e0 20 69 6e 74 65 72 66 61 63 65 20 70 6f 6f 6c 20 61 66 74 65 72 20 35 20 70 69 6e 67 20 66 61 69 .interface.pool.after.5.ping.fai
13900 6c 75 72 65 73 2c 20 65 74 68 31 20 77 69 6c 6c 20 62 65 20 72 65 6d 6f 76 65 64 20 61 66 74 65 lures,.eth1.will.be.removed.afte
13920 72 20 34 20 70 69 6e 67 20 66 61 69 6c 75 72 65 73 2e 00 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d r.4.ping.failures..extended.comm
13940 75 6e 69 74 79 20 61 6e 64 20 72 65 6d 6f 74 65 20 6c 61 62 65 6c 20 6f 66 20 73 70 65 63 69 66 unity.and.remote.label.of.specif
13960 69 63 20 64 65 73 74 69 6e 61 74 69 6f 6e 00 66 69 72 73 74 20 74 68 65 20 50 43 41 00 67 65 6e ic.destination.first.the.PCA.gen
13980 65 72 61 74 65 20 74 68 65 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 61 6e 64 20 69 6e 63 6c erate.the.documentation.and.incl
139a0 75 64 65 20 66 69 6c 65 73 00 67 72 65 65 6e 20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 ude.files.green.uses.local.routi
139c0 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20 34 30 30 30 00 69 6e 66 6f 72 6d 61 ng.table.id.and.VNI.4000.informa
139e0 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 50 45 20 61 6e 64 20 43 45 3a 00 6f 70 74 69 6f 6e 61 6c tion.between.PE.and.CE:.optional
13a00 20 64 6f 20 61 6e 20 75 70 67 72 61 64 65 20 74 6f 20 61 20 68 69 67 68 65 72 20 76 65 72 73 69 .do.an.upgrade.to.a.higher.versi
13a20 6f 6e 20 61 6e 64 20 64 6f 20 73 74 65 70 20 33 20 61 67 61 69 6e 2e 00 72 65 64 20 75 73 65 73 on.and.do.step.3.again..red.uses
13a40 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20 .local.routing.table.id.and.VNI.
13a60 33 30 30 30 00 72 6f 75 74 65 72 32 20 28 52 61 6e 64 6f 6d 20 31 52 55 20 6d 61 63 68 69 6e 65 3000.router2.(Random.1RU.machine
13a80 20 77 69 74 68 20 34 20 4e 49 43 73 29 00 73 61 76 65 20 74 68 65 20 6f 75 74 70 75 74 20 74 6f .with.4.NICs).save.the.output.to
13aa0 20 61 20 66 69 6c 65 20 61 6e 64 20 69 6d 70 6f 72 74 20 69 74 20 69 6e 20 6e 65 61 72 6c 79 20 .a.file.and.import.it.in.nearly.
13ac0 61 6c 6c 20 6f 70 65 6e 76 70 6e 20 63 6c 69 65 6e 74 73 2e 00 73 68 75 74 64 6f 77 6e 20 61 6e all.openvpn.clients..shutdown.an
13ae0 64 20 64 65 73 74 72 6f 79 20 74 68 65 20 6c 61 62 2c 20 69 66 20 74 68 65 72 65 20 69 73 20 6e d.destroy.the.lab,.if.there.is.n
13b00 6f 20 65 72 72 6f 72 00 73 70 65 63 69 66 69 63 20 56 50 4e 76 34 20 64 65 73 74 69 6e 61 74 69 o.error.specific.VPNv4.destinati
13b20 6f 6e 20 69 6e 63 6c 75 64 69 6e 67 20 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 20 on.including.extended.community.
13b40 61 6e 64 20 72 65 6d 6f 74 65 6c 61 62 65 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 54 68 69 and.remotelabel.information..Thi
13b60 73 20 70 72 6f 63 65 64 75 72 65 20 69 73 20 74 68 65 20 73 61 6d 65 20 6f 6e 20 61 6c 6c 20 53 s.procedure.is.the.same.on.all.S
13b80 70 6f 6b 65 20 6e 6f 64 65 73 3a 00 73 77 69 74 63 68 31 20 28 4e 65 78 75 73 20 31 30 67 62 20 poke.nodes:.switch1.(Nexus.10gb.
13ba0 53 77 69 74 63 68 29 00 73 77 69 74 63 68 32 20 28 4e 65 78 75 73 20 31 30 67 62 20 53 77 69 74 Switch).switch2.(Nexus.10gb.Swit
13bc0 63 68 29 00 76 36 20 70 61 69 72 73 20 77 6f 75 6c 64 20 62 65 3a 00 76 79 6f 73 31 30 20 2d 20 ch).v6.pairs.would.be:.vyos10.-.
13be0 31 39 32 2e 30 2e 32 2e 31 30 38 00 76 79 6f 73 37 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 35 00 192.0.2.108.vyos7.-.192.0.2.105.
13c00 76 79 6f 73 38 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 36 00 76 79 6f 73 39 20 2d 20 31 39 32 2e vyos8.-.192.0.2.106.vyos9.-.192.
13c20 30 2e 32 2e 31 30 37 00 77 65 20 61 72 65 20 75 73 69 6e 67 20 22 73 6f 75 72 63 65 2d 61 64 64 0.2.107.we.are.using."source-add
13c40 72 65 73 73 22 20 6f 70 74 69 6f 6e 20 63 61 75 73 65 20 77 65 20 61 72 65 20 6e 6f 74 20 72 65 ress".option.cause.we.are.not.re
13c60 64 69 73 74 72 69 62 75 74 69 6e 67 20 63 6f 6e 6e 65 63 74 65 64 20 69 6e 74 65 72 66 61 63 65 distributing.connected.interface
13c80 73 20 69 6e 74 6f 20 42 47 50 20 6f 6e 20 74 68 65 20 43 6f 72 65 20 72 6f 75 74 65 72 20 68 65 s.into.BGP.on.the.Core.router.he
13ca0 6e 63 65 20 74 68 65 72 65 20 69 73 20 6e 6f 20 63 6f 6d 65 62 61 63 6b 20 72 6f 75 74 65 20 61 nce.there.is.no.comeback.route.a
13cc0 6e 64 20 70 69 6e 67 20 77 69 6c 6c 20 66 61 69 6c 2e 00 77 69 74 68 69 6e 20 56 52 46 73 3a 00 nd.ping.will.fail..within.VRFs:.
13ce0 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20 ...show.bgp.ipv4.vpn.summary....
13d00 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 42 47 50 20 56 50 4e 76 34 20 6e 65 69 67 68 62 6f 72 73 for.checking.BGP.VPNv4.neighbors
13d20 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 :....show.bgp.ipv4.vpn.summary..
13d40 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f 72 73 20 61 67 ..for.checking.iBGP.neighbors.ag
13d60 61 69 6e 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 ain....show.bgp.ipv4.vpn.summary
13d80 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f 72 73 20 ....for.checking.iBGP.neighbors.
13da0 61 67 61 69 6e 73 74 20 72 6f 75 74 65 2d 72 65 66 6c 65 63 74 6f 72 20 64 65 76 69 63 65 73 3a against.route-reflector.devices:
13dc0 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 33 32 ....show.bgp.ipv4.vpn.x.x.x.x/32
13de0 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 62 65 73 74 2d 70 61 74 68 2c 00 e2 80 9c 73 ....for.checking.best-path,....s
13e00 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 33 32 e2 80 9d 20 66 how.bgp.ipv4.vpn.x.x.x.x/32....f
13e20 6f 72 20 63 68 65 63 6b 69 6e 67 20 74 68 65 20 62 65 73 74 2d 70 61 74 68 20 74 6f 20 74 68 65 or.checking.the.best-path.to.the
13e40 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 78 e2 ....show.bgp.ipv4.vpn.x.x.x.x/x.
13e60 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 62 65 73 74 20 70 61 74 68 20 73 65 6c 65 63 74 ...for.checking.best.path.select
13e80 65 64 20 66 6f 72 20 73 70 65 63 69 66 69 63 20 56 50 4e 76 34 20 64 65 73 74 69 6e 61 74 69 6f ed.for.specific.VPNv4.destinatio
13ea0 6e 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e e2 80 9d 20 20 66 6f 72 20 63 n....show.bgp.ipv4.vpn.....for.c
13ec0 68 65 63 6b 69 6e 67 20 61 6c 6c 20 56 50 4e 76 34 20 70 72 65 66 69 78 65 73 20 69 6e 66 6f 72 hecking.all.VPNv4.prefixes.infor
13ee0 6d 61 74 69 6f 6e 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 5f 48 55 42 mation:....show.bgp.vrf.BLUE_HUB
13f00 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 47 50 20 6e 65 .summary....for.checking.EBGP.ne
13f20 69 67 68 62 6f 72 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 5f 53 50 4f 4b ighbor....show.bgp.vrf.BLUE_SPOK
13f40 45 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 47 50 20 6e E.summary....for.checking.EBGP.n
13f60 65 69 67 68 62 6f 72 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c e2 80 9d 20 66 eighbor....show.bgp.vrf.all....f
13f80 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 20 6c 65 61 72 6e or.checking.all.the.prefix.learn
13fa0 69 6e 67 20 6f 6e 20 42 47 50 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c e2 80 ing.on.BGP....show.bgp.vrf.all..
13fc0 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 65 73 20 ..for.checking.all.the.prefixes.
13fe0 6c 65 61 72 6e 69 6e 67 20 6f 6e 20 42 47 50 00 e2 80 9c 73 68 6f 77 20 69 70 20 6f 73 70 66 20 learning.on.BGP....show.ip.ospf.
14000 6e 65 69 67 68 62 6f 72 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6f 73 70 66 20 72 65 neighbor....for.checking.ospf.re
14020 6c 61 74 69 6f 6e 73 68 69 70 00 e2 80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 72 66 20 lationship....show.ip.route.vrf.
14040 42 4c 55 45 5f 48 55 42 e2 80 9d 20 74 6f 20 76 69 65 77 20 74 68 65 20 52 49 42 20 69 6e 20 6f BLUE_HUB....to.view.the.RIB.in.o
14060 75 72 20 48 75 62 20 50 45 2e 00 e2 80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 72 66 20 ur.Hub.PE.....show.ip.route.vrf.
14080 42 4c 55 45 5f 53 50 4f 4b 45 e2 80 9d 20 66 6f 72 20 76 69 65 77 69 6e 67 20 74 68 65 20 52 49 BLUE_SPOKE....for.viewing.the.RI
140a0 42 20 69 6e 20 6f 75 72 20 53 70 6f 6b 65 20 50 45 2e 00 e2 80 9c 73 68 6f 77 20 6d 70 6c 73 20 B.in.our.Spoke.PE.....show.mpls.
140c0 6c 64 70 20 62 69 6e 64 69 6e 67 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6d 70 6c 73 ldp.binding....for.checking.mpls
140e0 20 6c 61 62 65 6c 20 61 73 73 69 67 6e 6d 65 6e 74 00 e2 80 9c 73 68 6f 77 20 6d 70 6c 73 20 6c .label.assignment....show.mpls.l
14100 64 70 20 6e 65 69 67 68 62 6f 72 20 e2 80 9c 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6c 64 70 dp.neighbor.....for.checking.ldp
14120 20 6e 65 69 67 68 62 6f 72 73 00 4d 49 4d 45 2d 56 65 72 73 69 6f 6e 3a 20 31 2e 30 0a 43 6f 6e .neighbors.MIME-Version:.1.0.Con
14140 74 65 6e 74 2d 54 79 70 65 3a 20 74 65 78 74 2f 70 6c 61 69 6e 3b 20 63 68 61 72 73 65 74 3d 55 tent-Type:.text/plain;.charset=U
14160 54 46 2d 38 0a 43 6f 6e 74 65 6e 74 2d 54 72 61 6e 73 66 65 72 2d 45 6e 63 6f 64 69 6e 67 3a 20 TF-8.Content-Transfer-Encoding:.
14180 38 62 69 74 0a 58 2d 47 65 6e 65 72 61 74 6f 72 3a 20 4c 6f 63 61 6c 61 7a 79 20 28 68 74 74 70 8bit.X-Generator:.Localazy.(http
141a0 73 3a 2f 2f 6c 6f 63 61 6c 61 7a 79 2e 63 6f 6d 29 0a 50 72 6f 6a 65 63 74 2d 49 64 2d 56 65 72 s://localazy.com).Project-Id-Ver
141c0 73 69 6f 6e 3a 20 0a 4c 61 6e 67 75 61 67 65 3a 20 64 65 0a 50 6c 75 72 61 6c 2d 46 6f 72 6d 73 sion:..Language:.de.Plural-Forms
141e0 3a 20 6e 70 6c 75 72 61 6c 73 3d 32 3b 20 70 6c 75 72 61 6c 3d 28 6e 3d 3d 31 29 20 3f 20 30 20 :.nplurals=2;.plural=(n==1).?.0.
14200 3a 20 31 3b 0a 00 27 27 49 74 20 69 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 6e 6f 74 65 2c :.1;..''It.is.important.to.note,
14220 20 74 68 61 74 20 79 6f 75 20 64 6f 20 6e 6f 74 20 77 61 6e 74 20 74 6f 20 61 64 64 20 6c 6f 67 .that.you.do.not.want.to.add.log
14240 67 69 6e 67 20 74 6f 20 74 68 65 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 74 61 74 65 20 72 75 ging.to.the.established.state.ru
14260 6c 65 20 61 73 20 79 6f 75 20 77 69 6c 6c 20 62 65 20 6c 6f 67 67 69 6e 67 20 62 6f 74 68 20 74 le.as.you.will.be.logging.both.t
14280 68 65 20 69 6e 62 6f 75 6e 64 20 61 6e 64 20 6f 75 74 62 6f 75 6e 64 20 70 61 63 6b 65 74 73 20 he.inbound.and.outbound.packets.
142a0 66 6f 72 20 65 61 63 68 20 73 65 73 73 69 6f 6e 20 69 6e 73 74 65 61 64 20 6f 66 20 6a 75 73 74 for.each.session.instead.of.just
142c0 20 74 68 65 20 69 6e 69 74 69 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 73 65 73 73 69 6f 6e 2e 20 .the.initiation.of.the.session..
142e0 59 6f 75 72 20 6c 6f 67 73 20 77 69 6c 6c 20 62 65 20 6d 61 73 73 69 76 65 20 69 6e 20 61 20 76 Your.logs.will.be.massive.in.a.v
14300 65 72 79 20 73 68 6f 72 74 20 70 65 72 69 6f 64 20 6f 66 20 74 69 6d 65 2e 27 27 00 2a 2a 49 6d ery.short.period.of.time.''.**Im
14320 70 6f 72 74 61 6e 74 2a 2a 3a 20 41 64 64 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 portant**:.Add.an.interface.rout
14340 65 20 74 6f 20 72 65 61 63 68 20 41 7a 75 72 65 27 73 20 42 47 50 20 6c 69 73 74 65 6e 65 72 00 e.to.reach.Azure's.BGP.listener.
14360 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 41 64 64 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 **Important**:.Add.an.interface.
14380 72 6f 75 74 65 20 74 6f 20 72 65 61 63 68 20 62 6f 74 68 20 41 7a 75 72 65 27 73 20 42 47 50 20 route.to.reach.both.Azure's.BGP.
143a0 6c 69 73 74 65 6e 65 72 73 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73 61 62 6c 65 listeners.**Important**:.Disable
143c0 20 63 6f 6e 6e 65 63 74 65 64 20 63 68 65 63 6b 20 5c 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a .connected.check.\.**Important**
143e0 3a 20 44 69 73 61 62 6c 65 20 63 6f 6e 6e 65 63 74 65 64 20 63 68 65 63 6b 2c 20 6f 74 68 65 72 :.Disable.connected.check,.other
14400 77 69 73 65 20 74 68 65 20 72 6f 75 74 65 73 20 6c 65 61 72 6e 65 64 20 66 72 6f 6d 20 41 7a 75 wise.the.routes.learned.from.Azu
14420 72 65 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 69 6d 70 6f 72 74 65 64 20 69 6e 74 6f 20 74 68 65 re.will.not.be.imported.into.the
14440 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 2e 00 2a 2a 4e 4f 54 45 3a 2a 2a 20 56 79 4f 53 20 52 .routing.table..**NOTE:**.VyOS.R
14460 6f 75 74 65 72 20 28 74 65 73 74 65 64 20 77 69 74 68 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c outer.(tested.with.VyOS.1.4-roll
14480 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 29 20 e2 80 93 20 20 54 68 65 20 63 6f 6e 66 69 ing-202110310317)......The.confi
144a0 67 75 72 61 74 69 6f 6e 73 20 62 65 6c 6f 77 20 61 72 65 20 73 70 65 63 69 66 69 63 61 6c 6c 79 gurations.below.are.specifically
144c0 20 66 6f 72 20 56 79 4f 53 20 31 2e 34 2e 78 2e 00 2a 2a 4e 6f 74 65 3a 2a 2a 20 41 74 20 74 68 .for.VyOS.1.4.x..**Note:**.At.th
144e0 65 20 6d 6f 6d 65 6e 74 2c 20 74 72 61 63 65 20 6d 70 6c 73 20 64 6f 65 73 6e e2 80 99 74 20 73 e.moment,.trace.mpls.doesn...t.s
14500 68 6f 77 20 6c 61 62 65 6c 73 2f 70 61 74 68 73 2e 20 53 6f 20 77 65 e2 80 99 6c 6c 20 73 65 65 how.labels/paths..So.we...ll.see
14520 20 2a 20 2a 20 2a 20 20 66 6f 72 20 74 68 65 20 74 72 61 6e 73 69 74 20 72 6f 75 74 65 72 73 20 .*.*.*..for.the.transit.routers.
14540 6f 66 20 74 68 65 20 6d 70 6c 73 20 62 61 63 6b 62 6f 6e 65 2e 00 2a 2a 54 68 69 73 20 73 70 65 of.the.mpls.backbone..**This.spe
14560 63 69 66 69 63 20 65 78 61 6d 70 6c 65 20 69 73 20 66 6f 72 20 61 20 72 6f 75 74 65 72 20 6f 6e cific.example.is.for.a.router.on
14580 20 61 20 73 74 69 63 6b 2c 20 62 75 74 20 69 73 20 76 65 72 79 20 65 61 73 69 6c 79 20 61 64 61 .a.stick,.but.is.very.easily.ada
145a0 70 74 65 64 20 66 6f 72 20 68 6f 77 65 76 65 72 20 6d 61 6e 79 20 4e 49 43 73 20 79 6f 75 20 68 pted.for.however.many.NICs.you.h
145c0 61 76 65 2a 2a 3a 00 2a 2a 56 69 72 74 75 61 6c 20 52 6f 75 74 69 6e 67 20 61 6e 64 20 46 6f 72 ave**:.**Virtual.Routing.and.For
145e0 77 61 72 64 69 6e 67 2a 2a 20 69 73 20 61 20 74 65 63 68 6e 6f 6c 6f 67 79 20 74 68 61 74 20 61 warding**.is.a.technology.that.a
14600 6c 6c 6f 77 20 6d 75 6c 74 69 70 6c 65 20 69 6e 73 74 61 6e 63 65 20 6f 66 20 61 20 72 6f 75 74 llow.multiple.instance.of.a.rout
14620 69 6e 67 20 74 61 62 6c 65 20 74 6f 20 65 78 69 73 74 20 77 69 74 68 69 6e 20 61 20 73 69 6e 67 ing.table.to.exist.within.a.sing
14640 6c 65 20 64 65 76 69 63 65 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 6b 65 79 20 61 73 70 65 63 74 le.device..One.of.the.key.aspect
14660 20 6f 66 20 2a 2a 56 52 46 73 2a 2a 20 69 73 20 74 68 61 74 20 64 6f 20 6e 6f 74 20 73 68 61 72 .of.**VRFs**.is.that.do.not.shar
14680 65 20 74 68 65 20 73 61 6d 65 20 72 6f 75 74 65 73 20 6f 72 20 69 6e 74 65 72 66 61 63 65 73 2c e.the.same.routes.or.interfaces,
146a0 20 74 68 65 72 65 66 6f 72 65 20 70 61 63 6b 65 74 73 20 61 72 65 20 66 6f 72 77 61 72 64 65 64 .therefore.packets.are.forwarded
146c0 20 62 65 74 77 65 65 6e 20 69 6e 74 65 72 66 61 63 65 73 20 74 68 61 74 20 62 65 6c 6f 6e 67 20 .between.interfaces.that.belong.
146e0 74 6f 20 74 68 65 20 73 61 6d 65 20 56 52 46 20 6f 6e 6c 79 2e 00 2a 2a 6f 66 66 73 69 74 65 31 to.the.same.VRF.only..**offsite1
14700 2a 2a 00 2a 2a 72 6f 75 74 65 72 31 2a 2a 00 2a 2a 72 6f 75 74 65 72 32 2a 2a 00 31 30 2e 30 2e **.**router1**.**router2**.10.0.
14720 30 2e 30 2f 31 36 00 31 30 2e 30 2e 30 2e 34 00 31 30 2e 30 2e 30 2e 34 2c 31 30 2e 30 2e 30 2e 0.0/16.10.0.0.4.10.0.0.4,10.0.0.
14740 35 00 31 30 2e 31 2e 31 2e 30 2f 33 30 00 31 30 2e 31 30 2e 30 2e 30 2f 31 36 00 31 30 2e 31 30 5.10.1.1.0/30.10.10.0.0/16.10.10
14760 2e 30 2e 35 00 31 30 2e 32 2e 32 2e 30 2f 33 30 00 31 30 2e 35 30 2e 35 30 2e 31 3a 31 30 31 31 .0.5.10.2.2.0/30.10.50.50.1:1011
14780 00 31 30 2e 36 30 2e 36 30 2e 31 3a 31 30 31 31 00 31 30 2e 38 30 2e 38 30 2e 31 3a 31 30 31 31 .10.60.60.1:1011.10.80.80.1:1011
147a0 00 31 30 30 3a 20 27 50 75 62 6c 69 63 27 20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67 20 6f 75 .100:.'Public'.network,.using.ou
147c0 72 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2e 00 31 37 32 2e 31 36 r.203.0.113.0/24.network..172.16
147e0 2e 32 2e 30 2f 33 30 00 31 37 32 2e 31 37 2e 31 2e 32 20 43 53 30 20 2d 3e 20 43 53 34 00 31 37 .2.0/30.172.17.1.2.CS0.->.CS4.17
14800 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 30 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 2.17.1.2/24.CS0.172.17.1.2/24.CS
14820 30 20 2d 20 3e 20 43 53 34 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 34 20 2d 20 3e 20 0.-.>.CS4.172.17.1.2/24.CS4.-.>.
14840 43 53 35 00 31 37 32 2e 31 37 2e 31 2e 33 20 43 53 30 20 2d 3e 20 43 53 35 00 31 37 32 2e 31 37 CS5.172.17.1.3.CS0.->.CS5.172.17
14860 2e 31 2e 34 20 43 53 30 20 2d 3e 20 43 53 36 00 31 37 32 2e 31 37 2e 31 2e 34 30 20 43 53 30 20 .1.4.CS0.->.CS6.172.17.1.40.CS0.
14880 62 79 20 64 65 66 61 75 6c 74 00 31 39 32 2e 31 36 38 2e 31 30 30 2e 31 30 2f 32 30 30 31 3a 30 by.default.192.168.100.10/2001:0
148a0 44 42 38 3a 30 3a 41 41 41 41 3a 3a 31 30 20 69 73 20 74 68 65 20 61 64 6d 69 6e 69 73 74 72 61 DB8:0:AAAA::10.is.the.administra
148c0 74 6f 72 27 73 20 63 6f 6e 73 6f 6c 65 2e 20 49 74 20 63 61 6e 20 53 53 48 20 74 6f 20 56 79 4f tor's.console..It.can.SSH.to.VyO
148e0 53 2e 00 31 39 32 2e 31 36 38 2e 32 30 30 2e 32 30 30 2f 32 30 30 31 3a 30 44 42 38 3a 30 3a 42 S..192.168.200.200/2001:0DB8:0:B
14900 42 42 42 3a 3a 32 30 30 20 69 73 20 61 6e 20 69 6e 74 65 72 6e 61 6c 2f 65 78 74 65 72 6e 61 6c BBB::200.is.an.internal/external
14920 20 44 4e 53 2c 20 77 65 62 20 61 6e 64 20 6d 61 69 6c 20 28 53 4d 54 50 2f 49 4d 41 50 29 20 73 .DNS,.web.and.mail.(SMTP/IMAP).s
14940 65 72 76 65 72 2e 00 31 39 32 2e 31 36 38 2e 33 2e 30 2f 33 30 00 31 39 38 2e 35 31 2e 31 30 30 erver..192.168.3.0/30.198.51.100
14960 2e 33 00 32 20 70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20 6f 6e 20 65 61 63 68 20 73 69 74 .3.2.private.subnets.on.each.sit
14980 65 2e 00 32 20 78 20 52 6f 75 74 65 20 72 65 66 6c 65 63 74 6f 72 73 20 28 56 79 4f 53 2d 52 52 e..2.x.Route.reflectors.(VyOS-RR
149a0 78 29 00 32 30 30 31 3a 64 62 38 3a 3a 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 32 2f 31 32 x).2001:db8::/127.2001:db8::2/12
149c0 37 00 32 30 30 31 3a 64 62 38 3a 3a 34 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 36 2f 31 32 7.2001:db8::4/127.2001:db8::6/12
149e0 37 00 32 30 31 3a 20 27 49 6e 74 65 72 6e 61 6c 27 20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67 7.201:.'Internal'.network,.using
14a00 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 00 32 30 33 2e 30 2e 31 31 33 2e 32 00 32 30 33 .10.200.201.0/24.203.0.113.2.203
14a20 2e 30 2e 31 31 33 2e 33 00 33 20 78 20 43 75 73 74 6f 6d 65 72 20 45 64 67 65 20 28 56 79 4f 53 .0.113.3.3.x.Customer.Edge.(VyOS
14a40 2d 43 45 78 29 00 33 20 78 20 50 72 6f 76 69 64 65 72 20 45 64 67 65 20 28 56 79 4f 73 2d 50 45 -CEx).3.x.Provider.Edge.(VyOs-PE
14a60 78 29 00 34 20 78 20 50 72 6f 76 69 64 65 72 20 72 6f 75 74 65 72 73 20 28 56 79 4f 53 2d 50 78 x).4.x.Provider.routers.(VyOS-Px
14a80 29 00 35 30 3a 20 55 70 73 74 72 65 61 6d 2c 20 75 73 69 6e 67 20 74 68 65 20 31 39 32 2e 30 2e ).50:.Upstream,.using.the.192.0.
14aa0 32 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 20 61 6c 6c 6f 63 61 74 65 64 20 62 79 20 74 68 65 6d 2.0/24.network.allocated.by.them
14ac0 2e 00 36 34 34 39 36 3a 31 00 36 34 34 39 36 3a 31 30 30 00 36 34 34 39 36 3a 32 00 36 34 34 39 ..64496:1.64496:100.64496:2.6449
14ae0 36 3a 35 30 00 36 34 34 39 39 00 36 35 30 33 35 3a 31 30 31 31 00 36 35 30 33 35 3a 31 30 31 31 6:50.64499.65035:1011.65035:1011
14b00 20 36 35 30 33 35 3a 31 30 33 30 00 36 35 30 33 35 3a 31 30 33 30 00 36 35 35 34 30 00 41 20 62 .65035:1030.65035:1030.65540.A.b
14b20 72 69 65 66 20 65 78 63 75 72 73 69 6f 6e 20 69 6e 74 6f 20 56 52 46 73 3a 20 54 68 69 73 20 68 rief.excursion.into.VRFs:.This.h
14b40 61 73 20 62 65 65 6e 20 6f 6e 65 20 6f 66 20 74 68 65 20 6c 6f 6e 67 65 73 74 2d 73 74 61 6e 64 as.been.one.of.the.longest-stand
14b60 69 6e 67 20 66 65 61 74 75 72 65 20 72 65 71 75 65 73 74 73 20 6f 66 20 56 79 4f 53 20 28 64 61 ing.feature.requests.of.VyOS.(da
14b80 74 69 6e 67 20 62 61 63 6b 20 74 6f 20 32 30 31 36 29 20 77 68 69 63 68 20 63 61 6e 20 62 65 20 ting.back.to.2016).which.can.be.
14ba0 64 65 73 63 72 69 62 65 64 20 61 73 20 22 61 20 56 4c 41 4e 20 66 6f 72 20 6c 61 79 65 72 20 32 described.as."a.VLAN.for.layer.2
14bc0 20 69 73 20 77 68 61 74 20 61 20 56 52 46 20 69 73 20 66 6f 72 20 6c 61 79 65 72 20 33 22 2e 20 .is.what.a.VRF.is.for.layer.3"..
14be0 57 69 74 68 20 56 52 46 73 2c 20 61 20 72 6f 75 74 65 72 2f 73 79 73 74 65 6d 20 63 61 6e 20 68 With.VRFs,.a.router/system.can.h
14c00 6f 6c 64 20 6d 75 6c 74 69 70 6c 65 2c 20 69 73 6f 6c 61 74 65 64 20 72 6f 75 74 69 6e 67 20 74 old.multiple,.isolated.routing.t
14c20 61 62 6c 65 73 20 6f 6e 20 74 68 65 20 73 61 6d 65 20 73 79 73 74 65 6d 2e 20 49 66 20 79 6f 75 ables.on.the.same.system..If.you
14c40 20 77 6f 6e 64 65 72 20 77 68 61 74 27 73 20 74 68 65 20 64 69 66 66 65 72 65 6e 63 65 20 62 65 .wonder.what's.the.difference.be
14c60 74 77 65 65 6e 20 6d 75 6c 74 69 70 6c 65 20 74 61 62 6c 65 73 20 74 68 61 74 20 70 65 6f 70 6c tween.multiple.tables.that.peopl
14c80 65 20 75 73 65 64 20 66 6f 72 20 70 6f 6c 69 63 79 2d 62 61 73 65 64 20 72 6f 75 74 69 6e 67 20 e.used.for.policy-based.routing.
14ca0 73 69 6e 63 65 20 66 6f 72 65 76 65 72 2c 20 69 74 27 73 20 74 68 61 74 20 61 20 56 52 46 20 61 since.forever,.it's.that.a.VRF.a
14cc0 6c 73 6f 20 69 73 6f 6c 61 74 65 73 20 63 6f 6e 6e 65 63 74 65 64 20 72 6f 75 74 65 73 20 72 61 lso.isolates.connected.routes.ra
14ce0 74 68 65 72 20 74 68 61 6e 20 6a 75 73 74 20 73 74 61 74 69 63 20 61 6e 64 20 64 79 6e 61 6d 69 ther.than.just.static.and.dynami
14d00 63 61 6c 6c 79 20 6c 65 61 72 6e 65 64 20 72 6f 75 74 65 73 2c 20 73 6f 20 69 74 20 61 6c 6c 6f cally.learned.routes,.so.it.allo
14d20 77 73 20 4e 49 43 73 20 69 6e 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 74 6f 20 75 73 65 ws.NICs.in.different.VRFs.to.use
14d40 20 63 6f 6e 66 6c 69 63 74 69 6e 67 20 6e 65 74 77 6f 72 6b 20 72 61 6e 67 65 73 20 77 69 74 68 .conflicting.network.ranges.with
14d60 6f 75 74 20 69 73 73 75 65 73 2e 00 41 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 72 65 73 6f 75 72 63 out.issues..A.connection.resourc
14d80 65 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 41 7a 75 72 65 20 6c 69 6e 6b 69 6e 67 20 74 68 65 20 e.deployed.in.Azure.linking.the.
14da0 41 7a 75 72 65 20 56 4e 65 74 20 67 61 74 65 77 61 79 20 61 6e 64 20 74 68 65 20 6c 6f 63 61 6c Azure.VNet.gateway.and.the.local
14dc0 20 6e 65 74 77 6f 72 6b 20 67 61 74 65 77 61 79 20 72 65 70 72 65 73 65 6e 74 69 6e 67 20 74 68 .network.gateway.representing.th
14de0 65 20 56 79 6f 73 20 64 65 76 69 63 65 2e 00 41 20 68 6f 73 74 20 60 60 76 79 6f 73 2d 6f 6f 62 e.Vyos.device..A.host.``vyos-oob
14e00 6d 60 60 20 77 69 6c 6c 20 75 73 65 20 61 73 20 61 20 73 73 68 20 70 72 6f 78 79 2e 20 54 68 69 m``.will.use.as.a.ssh.proxy..Thi
14e20 73 20 68 6f 73 74 20 69 73 20 6a 75 73 74 20 6e 65 63 65 73 73 61 72 79 20 66 6f 72 20 74 68 65 s.host.is.just.necessary.for.the
14e40 20 4c 61 62 20 74 65 73 74 2e 00 41 20 6b 65 79 20 70 6f 69 6e 74 20 74 6f 20 75 6e 64 65 72 73 .Lab.test..A.key.point.to.unders
14e60 74 61 6e 64 20 69 73 20 74 68 61 74 20 69 66 20 77 65 20 6e 65 65 64 20 74 77 6f 20 56 52 46 73 tand.is.that.if.we.need.two.VRFs
14e80 20 74 6f 20 63 6f 6d 6d 75 6e 69 63 61 74 65 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 .to.communicate.between.each.oth
14ea0 65 72 20 45 58 50 4f 52 54 20 72 74 20 66 72 6f 6d 20 56 52 46 31 20 68 61 73 20 74 6f 20 62 65 er.EXPORT.rt.from.VRF1.has.to.be
14ec0 20 69 6e 20 74 68 65 20 49 4d 50 4f 52 54 20 72 74 20 6c 69 73 74 20 66 72 6f 6d 20 56 52 46 32 .in.the.IMPORT.rt.list.from.VRF2
14ee0 2e 20 42 75 74 20 74 68 69 73 20 69 73 20 6f 6e 6c 79 20 69 6e 20 4f 4e 45 20 64 69 72 65 63 74 ..But.this.is.only.in.ONE.direct
14f00 69 6f 6e 2c 20 74 6f 20 63 6f 6d 70 6c 65 74 65 20 74 68 65 20 63 6f 6d 6d 75 6e 69 63 61 74 69 ion,.to.complete.the.communicati
14f20 6f 6e 20 74 68 65 20 45 58 50 4f 52 54 20 72 74 20 66 72 6f 6d 20 56 52 46 32 20 68 61 73 20 74 on.the.EXPORT.rt.from.VRF2.has.t
14f40 6f 20 62 65 20 69 6e 20 74 68 65 20 49 4d 50 4f 52 54 20 72 74 20 6c 69 73 74 20 66 72 6f 6d 20 o.be.in.the.IMPORT.rt.list.from.
14f60 56 52 46 31 2e 00 41 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 67 61 74 65 77 61 79 20 64 65 VRF1..A.local.network.gateway.de
14f80 70 6c 6f 79 65 64 20 69 6e 20 41 7a 75 72 65 20 72 65 70 72 65 73 65 6e 74 69 6e 67 20 74 68 65 ployed.in.Azure.representing.the
14fa0 20 56 79 6f 73 20 64 65 76 69 63 65 2c 20 6d 61 74 63 68 69 6e 67 20 74 68 65 20 62 65 6c 6f 77 .Vyos.device,.matching.the.below
14fc0 20 56 79 6f 73 20 73 65 74 74 69 6e 67 73 20 65 78 63 65 70 74 20 66 6f 72 20 61 64 64 72 65 73 .Vyos.settings.except.for.addres
14fe0 73 20 73 70 61 63 65 2c 20 77 68 69 63 68 20 6f 6e 6c 79 20 72 65 71 75 69 72 65 73 20 74 68 65 s.space,.which.only.requires.the
15000 20 56 79 6f 73 20 70 72 69 76 61 74 65 20 49 50 2c 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c .Vyos.private.IP,.in.this.exampl
15020 65 20 31 30 2e 31 30 2e 30 2e 35 2f 33 32 00 41 20 70 61 69 72 20 6f 66 20 41 7a 75 72 65 20 56 e.10.10.0.5/32.A.pair.of.Azure.V
15040 4e 65 74 20 47 61 74 65 77 61 79 73 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 61 63 74 69 76 65 2d Net.Gateways.deployed.in.active-
15060 61 63 74 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 42 47 50 20 65 6e active.configuration.with.BGP.en
15080 61 62 6c 65 64 2e 00 41 20 70 61 69 72 20 6f 66 20 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 abled..A.pair.of.Azure.VNet.Gate
150a0 77 61 79 73 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 61 63 74 69 76 65 2d 70 61 73 73 69 76 65 20 ways.deployed.in.active-passive.
150c0 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 42 47 50 20 65 6e 61 62 6c 65 64 2e 00 configuration.with.BGP.enabled..
150e0 41 20 70 75 62 6c 69 63 2c 20 72 6f 75 74 61 62 6c 65 20 49 50 76 34 20 61 64 64 72 65 73 73 2e A.public,.routable.IPv4.address.
15100 20 54 68 69 73 20 64 6f 65 73 20 6e 6f 74 20 6e 65 63 65 73 73 61 72 69 6c 79 20 6e 65 65 64 20 .This.does.not.necessarily.need.
15120 74 6f 20 62 65 20 73 74 61 74 69 63 2c 20 62 75 74 20 79 6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 to.be.static,.but.you.will.need.
15140 74 6f 20 75 70 64 61 74 65 20 74 68 65 20 74 75 6e 6e 65 6c 20 65 6e 64 70 6f 69 6e 74 20 77 68 to.update.the.tunnel.endpoint.wh
15160 65 6e 2f 69 66 20 79 6f 75 72 20 49 50 20 61 64 64 72 65 73 73 20 63 68 61 6e 67 65 73 2c 20 77 en/if.your.IP.address.changes,.w
15180 68 69 63 68 20 63 61 6e 20 62 65 20 64 6f 6e 65 20 77 69 74 68 20 61 20 73 63 72 69 70 74 20 61 hich.can.be.done.with.a.script.a
151a0 6e 64 20 61 20 73 63 68 65 64 75 6c 65 64 20 74 61 73 6b 2e 00 41 20 72 75 6c 65 20 6f 72 64 65 nd.a.scheduled.task..A.rule.orde
151c0 72 20 66 6f 72 20 70 72 69 6f 72 69 74 69 7a 69 6e 67 20 74 72 61 66 66 69 63 20 69 73 20 75 73 r.for.prioritizing.traffic.is.us
151e0 65 66 75 6c 20 69 6e 20 73 63 65 6e 61 72 69 6f 73 20 77 68 65 72 65 20 74 68 65 20 73 65 63 6f eful.in.scenarios.where.the.seco
15200 6e 64 61 72 79 20 6c 69 6e 6b 20 68 61 73 20 61 20 6c 6f 77 65 72 20 73 70 65 65 64 20 61 6e 64 ndary.link.has.a.lower.speed.and
15220 20 73 68 6f 75 6c 64 20 6f 6e 6c 79 20 63 61 72 72 79 20 68 69 67 68 20 70 72 69 6f 72 69 74 79 .should.only.carry.high.priority
15240 20 74 72 61 66 66 69 63 2e 20 49 74 20 69 73 20 61 73 73 75 6d 65 64 20 66 6f 72 20 74 68 69 73 .traffic..It.is.assumed.for.this
15260 20 65 78 61 6d 70 6c 65 20 74 68 61 74 20 65 74 68 31 20 69 73 20 63 6f 6e 6e 65 63 74 65 64 20 .example.that.eth1.is.connected.
15280 74 6f 20 61 20 73 6c 6f 77 65 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 68 61 6e 20 65 74 68 30 to.a.slower.connection.than.eth0
152a0 20 61 6e 64 20 73 68 6f 75 6c 64 20 70 72 69 6f 72 69 74 69 7a 65 20 56 6f 49 50 20 74 72 61 66 .and.should.prioritize.VoIP.traf
152c0 66 69 63 2e 00 41 20 73 69 6d 70 6c 65 20 73 6f 6c 75 74 69 6f 6e 20 63 6f 75 6c 64 20 62 65 20 fic..A.simple.solution.could.be.
152e0 75 73 69 6e 67 20 64 69 66 66 65 72 65 6e 74 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 2c 20 using.different.routing.tables,.
15300 6f 72 20 56 52 46 73 20 66 6f 72 20 61 6c 6c 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 20 73 6f 20 or.VRFs.for.all.the.networks.so.
15320 77 65 20 63 61 6e 20 6b 65 65 70 20 74 68 65 20 72 6f 75 74 69 6e 67 20 72 65 73 74 72 69 63 74 we.can.keep.the.routing.restrict
15340 69 6f 6e 73 2e 20 42 75 74 20 66 6f 72 20 75 73 20 74 6f 20 72 6f 75 74 65 20 62 65 74 77 65 65 ions..But.for.us.to.route.betwee
15360 6e 20 74 68 65 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 77 65 20 77 6f 75 6c 64 20 6e 65 n.the.different.VRFs.we.would.ne
15380 65 64 20 61 20 63 61 62 6c 65 20 6f 72 20 61 20 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 ed.a.cable.or.a.logical.connecti
153a0 6f 6e 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 3a 00 41 44 44 52 45 53 53 31 30 on.between.each.other:.ADDRESS10
153c0 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 34 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 .change.CS0.->.CS4.source.172.17
153e0 2e 31 2e 32 2f 33 32 00 41 44 44 52 45 53 53 32 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20 .1.2/32.ADDRESS20.change.CS0.->.
15400 43 53 35 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 33 2f 33 32 00 41 44 44 52 45 53 53 CS5.source.172.17.1.3/32.ADDRESS
15420 33 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 36 20 73 6f 75 72 63 65 20 31 37 32 2e 30.change.CS0.->.CS6.source.172.
15440 31 37 2e 31 2e 34 2f 33 32 00 41 63 63 65 70 74 20 61 63 63 65 73 73 20 74 6f 20 72 6f 75 74 65 17.1.4/32.Accept.access.to.route
15460 72 20 69 74 73 65 6c 66 2e 00 41 63 63 65 70 74 20 61 6c 6c 20 41 52 50 20 70 61 63 6b 65 74 73 r.itself..Accept.all.ARP.packets
15480 2e 00 41 63 63 65 70 74 20 61 6c 6c 20 44 48 43 50 20 64 69 73 63 6f 76 65 72 20 70 61 63 6b 65 ..Accept.all.DHCP.discover.packe
154a0 74 73 2e 00 41 63 63 65 70 74 20 61 6c 6c 20 49 50 76 34 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e ts..Accept.all.IPv4.connections.
154c0 00 41 63 63 65 70 74 20 6f 6e 6c 79 20 44 48 43 50 20 6f 66 66 65 72 73 20 66 72 6f 6d 20 76 61 .Accept.only.DHCP.offers.from.va
154e0 6c 69 64 20 73 65 72 76 65 72 20 61 6e 64 7c 6f 72 20 74 72 75 73 74 65 64 20 62 72 69 64 67 65 lid.server.and|or.trusted.bridge
15500 20 70 6f 72 74 2e 00 41 63 63 65 70 74 20 6f 6e 6c 79 20 49 50 76 36 20 63 6f 6d 6d 75 6e 69 63 .port..Accept.only.IPv6.communic
15520 61 74 69 6f 6e 20 77 68 69 74 68 69 6e 20 74 68 65 20 62 72 69 64 67 65 2e 00 41 63 63 65 73 73 ation.whithin.the.bridge..Access
15540 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 20 69 74 73 65 6c 66 20 69 73 20 63 6f 6e 74 72 6f 6c .to.the.router.itself.is.control
15560 6c 65 64 20 62 79 20 74 68 65 20 62 61 73 65 20 63 68 61 69 6e 20 60 60 69 6e 70 75 74 60 60 2c led.by.the.base.chain.``input``,
15580 20 61 6e 64 20 72 75 6c 65 73 20 74 6f 20 61 63 63 6f 6d 70 6c 69 73 68 20 61 6c 6c 20 74 68 65 .and.rules.to.accomplish.all.the
155a0 20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 61 72 65 3a 00 41 63 63 6f 75 6e 74 20 61 74 20 68 74 .requirements.are:.Account.at.ht
155c0 74 70 73 3a 2f 2f 77 77 77 2e 74 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 00 41 63 74 69 tps://www.tunnelbroker.net/.Acti
155e0 76 65 20 44 69 72 65 63 74 6f 72 79 20 6f 6e 20 57 69 6e 64 6f 77 73 20 73 65 72 76 65 72 00 41 ve.Directory.on.Windows.server.A
15600 64 64 20 28 74 65 6d 70 6f 72 61 72 79 29 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 00 41 64 64 dd.(temporary).default.route.Add
15620 20 61 20 73 69 6d 70 6c 65 20 70 6c 61 79 62 6f 6f 6b 20 77 69 74 68 20 74 68 65 20 74 61 73 6b .a.simple.playbook.with.the.task
15640 73 20 66 6f 72 20 65 61 63 68 20 72 6f 75 74 65 72 3a 00 41 64 64 20 61 6c 6c 20 74 68 65 20 56 s.for.each.router:.Add.all.the.V
15660 79 4f 53 20 68 6f 73 74 73 3a 00 41 64 64 20 61 6c 6c 20 74 68 65 20 68 6f 73 74 73 20 6f 66 20 yOS.hosts:.Add.all.the.hosts.of.
15680 56 79 4f 53 3a 00 41 64 64 20 67 65 6e 65 72 61 6c 20 76 61 72 69 61 62 6c 65 73 3a 00 41 64 64 VyOS:.Add.general.variables:.Add
156a0 20 74 68 65 20 4c 44 41 50 20 70 6c 75 67 69 6e 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 .the.LDAP.plugin.configuration.f
156c0 69 6c 65 20 60 2f 63 6f 6e 66 69 67 2f 61 75 74 68 2f 6c 64 61 70 2d 61 75 74 68 2e 63 6f 6e 66 ile.`/config/auth/ldap-auth.conf
156e0 69 67 60 00 41 64 64 20 74 68 65 20 73 69 6d 70 6c 65 20 70 6c 61 79 62 6f 6f 6b 20 77 69 74 68 ig`.Add.the.simple.playbook.with
15700 20 74 68 65 20 74 61 73 6b 73 20 66 6f 72 20 65 61 63 68 20 72 6f 75 74 65 72 3a 00 41 64 64 69 .the.tasks.for.each.router:.Addi
15720 6e 67 20 61 20 72 75 6c 65 20 66 6f 72 20 74 68 65 20 73 65 63 6f 6e 64 20 69 6e 74 65 72 66 61 ng.a.rule.for.the.second.interfa
15740 63 65 00 41 64 76 65 72 74 69 73 65 20 63 6f 6e 6e 65 63 74 65 64 20 72 6f 75 74 65 73 00 41 66 ce.Advertise.connected.routes.Af
15760 74 65 72 20 61 6c 6c 20 69 73 20 64 6f 6e 65 20 61 6e 64 20 63 6f 6d 6d 69 74 2c 20 6c 65 74 27 ter.all.is.done.and.commit,.let'
15780 73 20 74 61 6b 65 20 61 20 6c 6f 6f 6b 20 69 66 20 74 68 65 20 57 69 72 65 67 75 61 72 64 20 69 s.take.a.look.if.the.Wireguard.i
157a0 6e 74 65 72 66 61 63 65 20 69 73 20 75 70 20 61 6e 64 20 72 75 6e 6e 69 6e 67 2e 00 41 66 74 65 nterface.is.up.and.running..Afte
157c0 72 20 63 6f 6e 66 69 67 75 72 65 64 20 61 6c 6c 20 74 68 65 20 56 52 46 73 20 69 6e 76 6f 6c 76 r.configured.all.the.VRFs.involv
157e0 65 64 20 69 6e 20 74 68 69 73 20 74 6f 70 6f 6c 6f 67 79 20 77 65 20 74 61 6b 65 20 61 20 64 65 ed.in.this.topology.we.take.a.de
15800 65 70 65 72 20 6c 6f 6f 6b 20 61 74 20 62 6f 74 68 20 42 47 50 20 61 6e 64 20 52 6f 75 74 69 6e eper.look.at.both.BGP.and.Routin
15820 67 20 74 61 62 6c 65 20 66 6f 72 20 74 68 65 20 56 52 46 20 4c 41 4e 31 00 41 66 74 65 72 20 73 g.table.for.the.VRF.LAN1.After.s
15840 6f 6d 65 20 74 65 73 74 69 6e 67 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 49 50 53 65 63 20 ome.testing,.we.can.check.IPSec.
15860 73 74 61 74 75 73 2c 20 61 6e 64 20 63 6f 75 6e 74 65 72 20 6f 6e 20 65 76 65 72 79 20 74 75 6e status,.and.counter.on.every.tun
15880 6e 65 6c 3a 00 41 66 74 65 72 20 73 6f 6d 65 20 74 65 73 74 69 6e 67 2c 20 77 65 20 63 61 6e 20 nel:.After.some.testing,.we.can.
158a0 63 68 65 63 6b 20 69 70 73 65 63 20 73 74 61 74 75 73 2c 20 61 6e 64 20 63 6f 75 6e 74 65 72 20 check.ipsec.status,.and.counter.
158c0 6f 6e 20 65 76 65 72 79 20 74 75 6e 6e 65 6c 3a 00 41 66 74 65 72 20 74 68 65 20 69 6e 74 65 72 on.every.tunnel:.After.the.inter
158e0 66 61 63 65 20 65 74 68 30 20 6f 6e 20 72 6f 75 74 65 72 20 56 79 4f 53 33 00 41 66 74 65 72 20 face.eth0.on.router.VyOS3.After.
15900 74 68 69 73 2c 20 77 65 20 6e 65 65 64 20 74 68 65 20 44 48 43 50 2d 53 65 72 76 65 72 20 61 6e this,.we.need.the.DHCP-Server.an
15920 64 20 52 65 6c 61 79 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 20 54 6f 20 67 65 74 20 61 20 d.Relay.configuration..To.get.a.
15940 74 65 73 74 61 62 6c 65 20 72 65 73 75 6c 74 2c 20 77 65 20 6a 75 73 74 20 68 61 76 65 20 6f 6e testable.result,.we.just.have.on
15960 65 20 49 50 20 69 6e 20 74 68 65 20 44 48 43 50 20 72 61 6e 67 65 2e 20 45 78 70 61 6e 64 20 69 e.IP.in.the.DHCP.range..Expand.i
15980 74 20 61 73 20 79 6f 75 20 6e 65 65 64 20 69 74 2e 00 41 66 74 65 72 20 79 6f 75 20 68 61 76 65 t.as.you.need.it..After.you.have
159a0 20 65 61 63 68 20 70 75 62 6c 69 63 20 6b 65 79 2e 20 54 68 65 20 77 69 72 65 67 75 61 72 64 20 .each.public.key..The.wireguard.
159c0 69 6e 74 65 72 66 61 63 65 73 20 63 61 6e 20 62 65 20 73 65 74 75 70 2e 00 41 6c 6c 20 6f 75 74 interfaces.can.be.setup..All.out
159e0 67 6f 69 6e 67 20 70 61 63 6b 65 74 73 20 61 72 65 20 61 73 73 69 67 6e 65 64 20 74 68 65 20 73 going.packets.are.assigned.the.s
15a00 6f 75 72 63 65 20 61 64 64 72 65 73 73 20 6f 66 20 74 68 65 20 61 73 73 69 67 6e 65 64 20 69 6e ource.address.of.the.assigned.in
15a20 74 65 72 66 61 63 65 20 28 53 4e 41 54 29 2e 00 41 6c 6c 20 74 72 61 66 66 69 63 20 63 6f 6d 69 terface.(SNAT)..All.traffic.comi
15a40 6e 67 20 69 6e 20 74 68 72 6f 75 67 68 20 65 74 68 32 20 69 73 20 62 61 6c 61 6e 63 65 64 20 62 ng.in.through.eth2.is.balanced.b
15a60 65 74 77 65 65 6e 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 6f 6e 20 74 68 65 20 72 6f 75 74 etween.eth0.and.eth1.on.the.rout
15a80 65 72 2e 00 41 6c 6c 6f 77 20 44 48 43 50 76 36 20 70 61 63 6b 65 74 73 20 66 6f 72 20 72 6f 75 er..Allow.DHCPv6.packets.for.rou
15aa0 74 65 72 00 41 6c 6c 6f 77 20 44 4e 53 20 72 65 71 75 65 73 74 73 20 6f 6e 6c 79 20 6f 6e 6c 79 ter.Allow.DNS.requests.only.only
15ac0 20 66 6f 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 73 2e 00 41 6c 6c 6f 77 20 49 43 4d 50 20 .for.local.networks..Allow.ICMP.
15ae0 6f 6e 20 61 6c 6c 20 69 6e 74 65 72 66 61 63 65 73 2e 00 41 6c 6c 6f 77 20 61 63 63 65 73 73 20 on.all.interfaces..Allow.access.
15b00 74 6f 20 74 68 65 20 72 6f 75 74 65 72 20 6f 6e 6c 79 20 66 72 6f 6d 20 74 72 75 73 74 65 64 20 to.the.router.only.from.trusted.
15b20 6e 65 74 77 6f 72 6b 73 2e 00 41 6c 6c 6f 77 20 61 6c 6c 20 65 73 74 61 62 6c 69 73 68 65 64 20 networks..Allow.all.established.
15b40 61 6e 64 20 72 65 6c 61 74 65 64 20 74 72 61 66 66 69 63 20 66 6f 72 20 72 6f 75 74 65 72 20 61 and.related.traffic.for.router.a
15b60 6e 64 20 4c 41 4e 00 41 6c 6c 6f 77 20 61 6c 6c 20 69 63 6d 70 76 36 20 70 61 63 6b 65 74 73 20 nd.LAN.Allow.all.icmpv6.packets.
15b80 66 6f 72 20 72 6f 75 74 65 72 20 61 6e 64 20 4c 41 4e 00 41 6c 6c 6f 77 20 61 6c 6c 20 6e 65 77 for.router.and.LAN.Allow.all.new
15ba0 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 66 72 6f 6d 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 73 2e .connections.from.local.subnets.
15bc0 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 6f 20 50 52 4f 44 2e 00 41 6c 6c 6f 77 .Allow.connection.to.PROD..Allow
15be0 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 66 72 6f 6d 20 4c 41 4e 73 20 74 6f 20 4c 41 4e 73 20 74 .connections.from.LANs.to.LANs.t
15c00 68 72 6f 75 67 68 20 74 68 65 20 74 75 6e 6e 65 6c 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 hrough.the.tunnel..Allow.connect
15c20 69 6f 6e 73 20 66 72 6f 6d 20 4c 41 4e 73 20 74 6f 20 4c 41 4e 73 20 74 68 72 6f 75 67 68 74 20 ions.from.LANs.to.LANs.throught.
15c40 74 68 65 20 74 75 6e 6e 65 6c 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f the.tunnel..Allow.connections.to
15c60 20 4c 41 4e 20 61 6e 64 20 50 52 4f 44 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 .LAN.and.PROD..Allow.connections
15c80 20 74 6f 20 50 52 4f 44 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 62 .to.PROD..Allow.connections.to.b
15ca0 72 69 64 67 65 20 62 72 31 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 ridge.br1..Allow.connections.to.
15cc0 69 6e 74 65 72 6e 65 74 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 69 6e internet.Allow.connections.to.in
15ce0 74 65 72 6e 65 74 28 57 41 4e 29 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 ternet(WAN)..Allow.connections.t
15d00 6f 20 69 6e 74 65 72 6e 65 74 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f o.internet..Allow.connections.to
15d20 20 74 68 65 20 72 6f 75 74 65 72 2e 00 41 6c 6c 6f 77 20 64 6e 73 20 72 65 71 75 65 73 74 73 20 .the.router..Allow.dns.requests.
15d40 6f 6e 6c 79 20 6f 6e 6c 79 20 66 6f 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 73 2e 00 41 6c only.only.for.local.networks..Al
15d60 6c 6f 77 20 69 63 6d 70 20 6f 6e 20 61 6c 6c 20 69 6e 74 65 72 66 61 63 65 73 2e 00 41 6c 73 6f low.icmp.on.all.interfaces..Also
15d80 20 77 65 20 63 61 6e 20 76 65 72 69 66 79 20 68 6f 77 20 50 45 20 64 65 76 69 63 65 73 20 72 65 .we.can.verify.how.PE.devices.re
15da0 63 65 69 76 65 73 20 56 50 4e 76 34 20 6e 65 74 77 6f 72 6b 73 20 66 72 6f 6d 20 74 68 65 20 52 ceives.VPNv4.networks.from.the.R
15dc0 52 73 20 61 6e 64 20 69 6e 73 74 61 6c 6c 69 6e 67 20 74 68 65 6d 20 74 6f 20 74 68 65 20 73 70 Rs.and.installing.them.to.the.sp
15de0 65 63 69 66 69 63 20 63 75 73 74 6f 6d 65 72 20 56 52 46 73 3a 00 41 6c 73 6f 2c 20 77 65 20 61 ecific.customer.VRFs:.Also,.we.a
15e00 72 65 20 61 64 64 69 6e 67 20 67 6c 6f 62 61 6c 20 73 74 61 74 65 20 70 6f 6c 69 63 69 65 73 2c re.adding.global.state.policies,
15e20 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 61 6c 6c 6f 77 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 .in.order.to.allow.established.a
15e40 6e 64 20 72 65 6c 61 74 65 64 20 74 72 61 66 66 69 63 2c 20 69 6e 20 6f 72 64 65 72 20 6e 6f 74 nd.related.traffic,.in.order.not
15e60 20 74 6f 20 64 72 6f 70 20 76 61 6c 69 64 20 72 65 73 70 6f 6e 73 65 73 3a 00 41 6c 73 6f 2c 20 .to.drop.valid.responses:.Also,.
15e80 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 75 73 65 20 66 69 72 65 77 61 6c 6c 20 69 6e 74 we.are.going.to.use.firewall.int
15ea0 65 72 66 61 63 65 20 67 72 6f 75 70 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 73 69 6d 70 6c 69 erface.groups.in.order.to.simpli
15ec0 66 79 20 74 68 65 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 41 fy.the.firewall.configuration..A
15ee0 6c 73 6f 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 66 69 72 65 77 61 6c 6c 20 63 6f 75 6e 74 lso,.we.can.check.firewall.count
15f00 65 72 73 3a 00 41 6e 20 4c 33 56 50 4e 20 63 6f 6e 73 69 73 74 73 20 6f 66 20 6d 75 6c 74 69 70 ers:.An.L3VPN.consists.of.multip
15f20 6c 65 20 61 63 63 65 73 73 20 6c 69 6e 6b 73 2c 20 6d 75 6c 74 69 70 6c 65 20 56 50 4e 20 72 6f le.access.links,.multiple.VPN.ro
15f40 75 74 69 6e 67 20 61 6e 64 20 66 6f 72 77 61 72 64 69 6e 67 20 28 56 52 46 29 20 74 61 62 6c 65 uting.and.forwarding.(VRF).table
15f60 73 2c 20 61 6e 64 20 6d 75 6c 74 69 70 6c 65 20 4d 50 4c 53 20 70 61 74 68 73 20 6f 72 20 6d 75 s,.and.multiple.MPLS.paths.or.mu
15f80 6c 74 69 70 6c 65 20 50 32 4d 50 20 4c 53 50 73 2e 20 41 6e 20 4c 33 56 50 4e 20 63 61 6e 20 62 ltiple.P2MP.LSPs..An.L3VPN.can.b
15fa0 65 20 63 6f 6e 66 69 67 75 72 65 64 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 77 6f 20 6f 72 20 6d e.configured.to.connect.two.or.m
15fc0 6f 72 65 20 63 75 73 74 6f 6d 65 72 20 73 69 74 65 73 2e 20 49 6e 20 68 75 62 2d 61 6e 64 2d 73 ore.customer.sites..In.hub-and-s
15fe0 70 6f 6b 65 20 4d 50 4c 53 20 4c 33 56 50 4e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 73 2c 20 74 68 poke.MPLS.L3VPN.environments,.th
16000 65 20 73 70 6f 6b 65 20 72 6f 75 74 65 72 73 20 6e 65 65 64 20 74 6f 20 68 61 76 65 20 75 6e 69 e.spoke.routers.need.to.have.uni
16020 71 75 65 20 52 6f 75 74 65 20 44 69 73 74 69 6e 67 75 69 73 68 65 72 73 20 28 52 44 73 29 2e 20 que.Route.Distinguishers.(RDs)..
16040 49 6e 20 6f 72 64 65 72 20 74 6f 20 75 73 65 20 74 68 65 20 68 75 62 20 73 69 74 65 20 61 73 20 In.order.to.use.the.hub.site.as.
16060 61 20 74 72 61 6e 73 69 74 20 70 6f 69 6e 74 20 66 6f 72 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 a.transit.point.for.connectivity
16080 20 69 6e 20 73 75 63 68 20 61 6e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 2c 20 74 68 65 20 73 70 6f .in.such.an.environment,.the.spo
160a0 6b 65 20 73 69 74 65 73 20 65 78 70 6f 72 74 20 74 68 65 69 72 20 72 6f 75 74 65 73 20 74 6f 20 ke.sites.export.their.routes.to.
160c0 74 68 65 20 68 75 62 2e 20 53 70 6f 6b 65 73 20 63 61 6e 20 74 61 6c 6b 20 74 6f 20 68 75 62 73 the.hub..Spokes.can.talk.to.hubs
160e0 2c 20 62 75 74 20 6e 65 76 65 72 20 68 61 76 65 20 64 69 72 65 63 74 20 70 61 74 68 73 20 74 6f ,.but.never.have.direct.paths.to
16100 20 6f 74 68 65 72 20 73 70 6f 6b 65 73 2e 20 41 6c 6c 20 74 72 61 66 66 69 63 20 62 65 74 77 65 .other.spokes..All.traffic.betwe
16120 65 6e 20 73 70 6f 6b 65 73 20 69 73 20 63 6f 6e 74 72 6f 6c 6c 65 64 20 61 6e 64 20 64 65 6c 69 en.spokes.is.controlled.and.deli
16140 76 65 72 65 64 20 6f 76 65 72 20 74 68 65 20 68 75 62 20 73 69 74 65 2e 00 41 6e 64 20 4e 41 54 vered.over.the.hub.site..And.NAT
16160 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 41 6e 64 20 62 65 66 6f 72 65 20 66 69 72 65 77 .Configuration:.And.before.firew
16180 61 6c 6c 20 72 75 6c 65 73 20 61 72 65 20 73 68 6f 77 6e 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 all.rules.are.shown,.we.need.to.
161a0 70 61 79 20 61 74 74 65 6e 74 69 6f 6e 20 68 6f 77 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 pay.attention.how.to.configure.a
161c0 6e 64 20 6d 61 74 63 68 20 69 6e 74 65 72 66 61 63 65 73 20 61 6e 64 20 56 52 46 73 2e 20 49 6e nd.match.interfaces.and.VRFs..In
161e0 20 63 61 73 65 20 77 68 65 72 65 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 .case.where.an.interface.is.assi
16200 67 6e 65 64 20 74 6f 20 61 20 6e 6f 6e 2d 64 65 66 61 75 6c 74 20 56 52 46 2c 20 69 66 20 77 65 gned.to.a.non-default.VRF,.if.we
16220 20 77 61 6e 74 20 74 6f 20 75 73 65 20 69 6e 62 6f 75 6e 64 2d 69 6e 74 65 72 66 61 63 65 20 6f .want.to.use.inbound-interface.o
16240 72 20 6f 75 74 62 6f 75 6e 64 2d 69 6e 74 65 72 66 61 63 65 20 69 6e 20 66 69 72 65 77 61 6c 6c r.outbound-interface.in.firewall
16260 20 72 75 6c 65 73 2c 20 77 65 20 6e 65 65 64 20 74 6f 3a 00 41 6e 64 20 66 69 6e 61 6c 6c 79 2c .rules,.we.need.to:.And.finally,
16280 20 77 65 20 6e 65 65 64 20 74 6f 20 61 6c 6c 6f 77 20 69 6e 70 75 74 20 63 6f 6e 6e 65 63 74 69 .we.need.to.allow.input.connecti
162a0 6f 6e 73 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 20 69 74 73 65 6c 66 20 6f 6e 6c 79 20 66 72 ons.to.the.router.itself.only.fr
162c0 6f 6d 20 76 72 66 20 4d 47 4d 54 3a 00 41 6e 64 20 66 6f 72 20 74 72 61 66 66 69 63 20 74 68 61 om.vrf.MGMT:.And.for.traffic.tha
162e0 74 20 69 73 20 67 6f 69 6e 67 20 74 6f 20 6f 74 68 65 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 t.is.going.to.other.local.networ
16300 6b 73 2c 20 61 6e 64 20 74 6f 20 68 65 20 49 6e 74 65 72 6e 65 74 2c 20 77 65 20 6e 65 65 64 20 ks,.and.to.he.Internet,.we.need.
16320 74 6f 20 75 73 65 20 74 68 65 20 62 61 73 65 20 63 68 61 69 6e 20 60 60 66 6f 72 77 61 72 64 60 to.use.the.base.chain.``forward`
16340 60 2e 20 41 73 20 69 6e 20 74 68 65 20 62 72 69 64 67 65 20 66 69 72 65 77 61 6c 6c 2c 20 77 65 `..As.in.the.bridge.firewall,.we
16360 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 75 73 65 20 63 75 73 74 6f 6d 20 72 75 6c 65 73 65 74 .are.going.to.use.custom.ruleset
16380 73 20 66 6f 72 20 65 61 63 68 20 62 72 69 64 67 65 2c 20 74 68 61 74 20 77 6f 75 6c 64 20 62 65 s.for.each.bridge,.that.would.be
163a0 20 75 73 65 64 20 69 6e 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 63 68 61 69 6e 2e 20 .used.in.the.``forward``.chain..
163c0 54 68 6f 73 65 20 72 75 6c 65 73 65 74 73 20 61 72 65 20 60 60 69 70 2d 62 72 31 2d 66 77 64 60 Those.rulesets.are.``ip-br1-fwd`
163e0 60 20 61 6e 64 20 60 60 69 70 2d 62 72 32 2d 66 77 64 60 60 3a 00 41 6e 64 20 70 69 6e 67 20 74 `.and.``ip-br2-fwd``:.And.ping.t
16400 68 65 20 42 72 61 6e 63 68 20 50 43 20 66 72 6f 6d 20 79 6f 75 72 20 63 65 6e 74 72 61 6c 20 72 he.Branch.PC.from.your.central.r
16420 6f 75 74 65 72 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 72 65 73 70 6f 6e 73 65 2e 00 41 6e 64 outer.to.check.the.response..And
16440 20 73 68 6f 77 20 61 6c 6c 20 44 48 43 50 20 4c 65 61 73 65 73 00 41 6e 64 20 74 68 65 20 60 60 .show.all.DHCP.Leases.And.the.``
16460 63 6c 69 65 6e 74 60 60 20 74 6f 20 72 65 63 65 69 76 65 20 61 6e 20 49 50 76 36 20 61 64 64 72 client``.to.receive.an.IPv6.addr
16480 65 73 73 20 77 69 74 68 20 73 74 61 74 65 6c 65 73 73 20 61 75 74 6f 63 6f 6e 66 69 67 2e 00 41 ess.with.stateless.autoconfig..A
164a0 6e 64 20 74 68 65 20 63 6f 6e 74 65 6e 74 20 6f 66 20 74 68 65 20 63 75 73 74 6f 6d 20 72 75 6c nd.the.content.of.the.custom.rul
164c0 65 73 65 74 73 3a 00 41 6e 64 20 74 68 65 6e 20 63 72 65 61 74 65 20 74 68 65 20 63 75 73 74 6f esets:.And.then.create.the.custo
164e0 6d 20 72 75 6c 65 73 65 74 73 3a 00 41 6e 64 20 77 69 74 68 20 6f 70 65 72 61 74 69 6f 6e 61 6c m.rulesets:.And.with.operational
16500 20 6d 6f 64 65 20 63 6f 6d 6d 61 6e 64 73 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 72 75 6c .mode.commands,.we.can.check.rul
16520 65 73 20 6d 61 74 63 68 65 72 73 2c 20 61 63 74 69 6f 6e 73 2c 20 61 6e 64 20 63 6f 75 6e 74 65 es.matchers,.actions,.and.counte
16540 72 73 2e 00 41 6e 73 69 62 6c 65 20 45 78 61 6d 70 6c 65 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 rs..Ansible.Example.topology.ima
16560 67 65 00 41 6e 73 69 62 6c 65 20 65 78 61 6d 70 6c 65 00 41 6e 79 20 69 6e 66 6f 72 6d 61 74 69 ge.Ansible.example.Any.informati
16580 6f 6e 20 72 65 6c 61 74 65 64 20 74 6f 20 61 20 56 52 46 20 69 73 20 6e 6f 74 20 65 78 63 68 61 on.related.to.a.VRF.is.not.excha
165a0 6e 67 65 64 20 62 65 74 77 65 65 6e 20 64 65 76 69 63 65 73 20 2d 6f 72 20 69 6e 20 74 68 65 20 nged.between.devices.-or.in.the.
165c0 73 61 6d 65 20 64 65 76 69 63 65 2d 20 62 79 20 64 65 66 61 75 6c 74 2c 20 74 68 69 73 20 69 73 same.device-.by.default,.this.is
165e0 20 61 20 74 65 63 68 6e 69 71 75 65 20 63 61 6c 6c 65 64 20 2a 2a 56 52 46 2d 4c 69 74 65 2a 2a .a.technique.called.**VRF-Lite**
16600 2e 00 41 70 70 65 6e 64 69 78 2d 41 00 41 70 70 65 6e 64 69 78 2d 42 00 41 73 20 61 20 72 65 6d ..Appendix-A.Appendix-B.As.a.rem
16620 69 6e 64 65 72 2c 20 68 65 72 65 27 73 20 61 20 6c 69 6e 6b 20 74 6f 20 74 68 65 20 3a 64 6f 63 inder,.here's.a.link.to.the.:doc
16640 3a 60 66 69 72 65 77 61 6c 6c 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 3c 2f 63 6f 6e 66 69 :`firewall.documentation.</confi
16660 67 75 72 61 74 69 6f 6e 2f 66 69 72 65 77 61 6c 6c 2f 69 6e 64 65 78 3e 60 2c 20 77 68 65 72 65 guration/firewall/index>`,.where
16680 20 79 6f 75 20 63 61 6e 20 66 69 6e 64 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 .you.can.find.more.information.a
166a0 62 6f 75 74 20 74 68 65 20 70 61 63 6b 65 74 20 66 6c 6f 77 20 66 6f 72 20 74 72 61 66 66 69 63 bout.the.packet.flow.for.traffic
166c0 20 74 68 61 74 20 63 6f 6d 65 73 20 66 72 6f 6d 20 62 72 69 64 67 65 20 6c 61 79 65 72 20 61 6e .that.comes.from.bridge.layer.an
166e0 64 20 73 68 6f 75 6c 64 20 62 65 20 61 6e 61 6c 69 7a 65 64 20 62 79 20 74 68 65 20 49 50 20 66 d.should.be.analized.by.the.IP.f
16700 69 72 65 77 61 6c 6c 2e 00 41 73 20 61 20 72 65 6d 69 6e 64 65 72 2c 20 6f 6e 6c 79 20 61 64 76 irewall..As.a.reminder,.only.adv
16720 65 72 74 69 73 65 20 72 6f 75 74 65 73 20 74 68 61 74 20 79 6f 75 20 61 72 65 20 74 68 65 20 64 ertise.routes.that.you.are.the.d
16740 65 66 61 75 6c 74 20 72 6f 75 74 65 72 20 66 6f 72 2e 20 54 68 69 73 20 69 73 20 77 68 79 20 77 efault.router.for..This.is.why.w
16760 65 20 61 72 65 20 4e 4f 54 20 61 6e 6e 6f 75 6e 63 69 6e 67 20 74 68 65 20 31 39 32 2e 30 2e 32 e.are.NOT.announcing.the.192.0.2
16780 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2c 20 62 65 63 61 75 73 65 20 69 66 20 74 68 61 74 20 77 .0/24.network,.because.if.that.w
167a0 61 73 20 61 6e 6e 6f 75 6e 63 65 64 20 69 6e 74 6f 20 4f 53 50 46 2c 20 74 68 65 20 6f 74 68 65 as.announced.into.OSPF,.the.othe
167c0 72 20 72 6f 75 74 65 72 73 20 77 6f 75 6c 64 20 74 72 79 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 r.routers.would.try.to.connect.t
167e0 6f 20 74 68 61 74 20 6e 65 74 77 6f 72 6b 20 6f 76 65 72 20 61 20 74 75 6e 6e 65 6c 20 74 68 61 o.that.network.over.a.tunnel.tha
16800 74 20 63 6f 6e 6e 65 63 74 73 20 74 6f 20 74 68 61 74 20 6e 65 74 77 6f 72 6b 21 00 41 73 20 65 t.connects.to.that.network!.As.e
16820 78 70 6f 73 65 64 20 69 6e 20 74 68 65 20 64 69 61 67 72 61 6d 2c 20 74 68 65 72 65 20 61 72 65 xposed.in.the.diagram,.there.are
16840 20 66 6f 75 72 20 56 52 46 73 2e 20 54 68 65 73 65 20 56 52 46 73 20 61 72 65 20 60 60 4d 47 4d .four.VRFs..These.VRFs.are.``MGM
16860 54 60 60 2c 20 60 60 57 41 4e 60 60 2c 20 60 60 4c 41 4e 60 60 20 61 6e 64 20 60 60 50 52 4f 44 T``,.``WAN``,.``LAN``.and.``PROD
16880 60 60 2c 20 61 6e 64 20 74 68 65 69 72 20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 61 72 65 3a 00 ``,.and.their.requirements.are:.
168a0 41 73 20 73 61 69 64 20 62 65 66 6f 72 65 2c 20 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 As.said.before,.we.are.going.to.
168c0 63 72 65 61 74 65 20 63 75 73 74 6f 6d 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 65 74 73 20 create.custom.firewall.rulesets.
168e0 66 6f 72 20 65 61 63 68 20 62 72 69 64 67 65 2c 20 74 68 61 74 20 77 69 6c 6c 20 62 65 20 75 73 for.each.bridge,.that.will.be.us
16900 65 64 20 69 6e 20 74 68 65 20 60 60 70 72 65 72 6f 75 74 69 6e 67 60 60 20 63 68 61 69 6e 2c 20 ed.in.the.``prerouting``.chain,.
16920 69 6e 20 6f 72 64 65 72 20 74 6f 20 64 72 6f 70 20 61 73 20 6d 75 63 68 20 75 6e 77 61 6e 74 65 in.order.to.drop.as.much.unwante
16940 64 20 74 72 61 66 66 69 63 20 61 73 20 65 61 72 6c 79 20 61 73 20 70 6f 73 73 69 62 6c 65 2e 20 d.traffic.as.early.as.possible..
16960 53 6f 2c 20 63 75 73 74 6f 6d 20 72 75 6c 65 73 65 74 73 20 75 73 65 64 20 69 6e 20 60 60 70 72 So,.custom.rulesets.used.in.``pr
16980 65 72 6f 75 74 69 6e 67 60 60 20 63 68 61 69 6e 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 62 65 erouting``.chain.are.going.to.be
169a0 20 60 60 62 72 30 2d 70 72 65 60 60 2c 20 60 60 62 72 31 2d 70 72 65 60 60 2c 20 61 6e 64 20 60 .``br0-pre``,.``br1-pre``,.and.`
169c0 60 62 72 32 2d 70 72 65 60 60 3a 00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 65 76 65 6e 20 69 `br2-pre``:.As.we.can.see.even.i
169e0 66 20 62 6f 74 68 20 56 52 46 20 4c 41 4e 31 20 61 6e 64 20 4c 41 4e 32 20 68 61 73 20 74 68 65 f.both.VRF.LAN1.and.LAN2.has.the
16a00 20 73 61 6d 65 20 69 6d 70 6f 72 74 20 52 54 73 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 .same.import.RTs.we.are.able.to.
16a20 73 65 6c 65 63 74 20 77 68 69 63 68 20 72 6f 75 74 65 73 20 61 72 65 20 65 66 66 65 63 74 69 76 select.which.routes.are.effectiv
16a40 65 6c 79 20 69 6d 70 6f 72 74 65 64 20 61 6e 64 20 69 6e 73 74 61 6c 6c 65 64 2e 00 41 73 20 77 ely.imported.and.installed..As.w
16a60 65 20 63 61 6e 20 73 65 65 20 69 6e 20 74 68 65 20 42 47 50 20 74 61 62 6c 65 20 61 6e 79 20 69 e.can.see.in.the.BGP.table.any.i
16a80 6d 70 6f 72 74 65 64 20 72 6f 75 74 65 20 68 61 73 20 62 65 65 6e 20 69 6e 6a 65 63 74 65 64 20 mported.route.has.been.injected.
16aa0 77 69 74 68 20 61 20 22 40 22 20 66 6f 6c 6c 6f 77 65 64 20 62 79 20 74 68 65 20 56 50 4e 20 69 with.a."@".followed.by.the.VPN.i
16ac0 64 3b 20 49 6e 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6f 66 20 74 68 65 20 56 d;.In.the.routing.table.of.the.V
16ae0 52 46 2c 20 69 66 20 74 68 65 20 72 6f 75 74 65 20 77 61 73 20 69 6e 73 74 61 6c 6c 65 64 2c 20 RF,.if.the.route.was.installed,.
16b00 77 65 20 63 61 6e 20 73 65 65 20 2d 62 65 74 77 65 65 6e 20 72 6f 75 6e 64 20 62 72 61 63 6b 65 we.can.see.-between.round.bracke
16b20 74 73 2d 20 74 68 65 20 65 78 70 6f 72 74 65 64 20 56 52 46 20 74 61 62 6c 65 2e 00 41 73 20 77 ts-.the.exported.VRF.table..As.w
16b40 65 20 63 61 6e 20 73 65 65 20 74 68 69 73 20 69 73 20 75 6e 70 72 61 63 74 69 63 61 6c 2e 00 41 e.can.see.this.is.unpractical..A
16b60 73 20 77 65 20 6b 6e 6f 77 20 74 68 65 20 6d 61 69 6e 20 61 73 73 75 6d 70 74 69 6f 6e 20 6f 66 s.we.know.the.main.assumption.of
16b80 20 4c 33 56 50 4e 20 e2 80 9c 48 75 62 20 61 6e 64 20 53 70 6f 6b 65 e2 80 9d 20 69 73 2c 20 74 .L3VPN....Hub.and.Spoke....is,.t
16ba0 68 61 74 20 74 68 65 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 73 70 6f 6b 65 73 20 68 hat.the.traffic.between.spokes.h
16bc0 61 76 65 20 74 6f 20 70 61 73 73 20 76 69 61 20 68 75 62 2c 20 69 6e 20 6f 75 72 20 73 63 65 6e ave.to.pass.via.hub,.in.our.scen
16be0 61 72 69 6f 20 56 79 4f 53 2d 50 45 32 20 69 73 20 74 68 65 20 48 75 62 20 50 45 20 61 6e 64 20 ario.VyOS-PE2.is.the.Hub.PE.and.
16c00 74 68 65 20 56 79 4f 53 2d 43 45 31 2d 48 55 42 20 69 73 20 74 68 65 20 63 65 6e 74 72 61 6c 20 the.VyOS-CE1-HUB.is.the.central.
16c20 63 75 73 74 6f 6d 65 72 20 6f 66 66 69 63 65 20 64 65 76 69 63 65 20 74 68 61 74 20 69 73 20 72 customer.office.device.that.is.r
16c40 65 73 70 6f 6e 73 69 62 6c 65 20 66 6f 72 20 63 6f 6e 74 72 6f 6c 6c 69 6e 67 20 61 63 63 65 73 esponsible.for.controlling.acces
16c60 73 20 62 65 74 77 65 65 6e 20 61 6c 6c 20 73 70 6f 6b 65 73 20 61 6e 64 20 61 6e 6e 6f 75 6e 63 s.between.all.spokes.and.announc
16c80 69 6e 67 20 69 74 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 28 31 30 2e 30 2e 30 ing.its.network.prefixes.(10.0.0
16ca0 2e 31 30 30 2f 33 32 29 2e 20 56 79 4f 53 2d 50 45 32 20 68 61 73 20 74 68 65 20 6d 61 69 6e 20 .100/32)..VyOS-PE2.has.the.main.
16cc0 56 52 46 20 28 69 74 73 20 6e 61 6d 65 20 69 73 20 42 4c 55 45 5f 48 55 42 29 2c 20 69 74 73 20 VRF.(its.name.is.BLUE_HUB),.its.
16ce0 6f 77 6e 20 52 6f 75 74 65 2d 44 69 73 74 69 6e 67 75 69 73 68 65 72 28 52 44 29 20 61 6e 64 20 own.Route-Distinguisher(RD).and.
16d00 72 6f 75 74 65 2d 74 61 72 67 65 74 20 69 6d 70 6f 72 74 2f 65 78 70 6f 72 74 20 6c 69 73 74 73 route-target.import/export.lists
16d20 2e 20 4d 75 6c 74 69 70 72 6f 74 6f 63 6f 6c 2d 42 47 50 28 4d 50 2d 42 47 50 29 20 64 65 6c 69 ..Multiprotocol-BGP(MP-BGP).deli
16d40 76 65 72 73 20 4c 33 56 50 4e 20 72 65 6c 61 74 65 64 20 63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e 65 vers.L3VPN.related.control-plane
16d60 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 74 6f 20 74 68 65 20 6e 6f 64 65 73 20 61 63 72 6f 73 73 .information.to.the.nodes.across
16d80 20 6e 65 74 77 6f 72 6b 20 77 68 65 72 65 20 50 45 73 20 53 70 6f 6b 65 73 20 69 6d 70 6f 72 74 .network.where.PEs.Spokes.import
16da0 20 74 68 65 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 36 30 35 33 35 3a 31 30 33 30 20 28 74 68 .the.route-target.60535:1030.(th
16dc0 69 73 20 69 73 20 65 78 70 6f 72 74 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 6f 66 20 76 72 66 is.is.export.route-target.of.vrf
16de0 20 42 4c 55 45 5f 48 55 42 29 20 61 6e 64 20 65 78 70 6f 72 74 20 69 74 73 20 6f 77 6e 20 72 6f .BLUE_HUB).and.export.its.own.ro
16e00 75 74 65 2d 74 61 72 67 65 74 20 36 30 35 33 35 3a 31 30 31 31 28 74 68 69 73 20 69 73 20 76 72 ute-target.60535:1011(this.is.vr
16e20 66 20 42 4c 55 45 5f 53 50 4f 4b 45 20 65 78 70 6f 72 74 20 72 6f 75 74 65 2d 74 61 72 67 65 74 f.BLUE_SPOKE.export.route-target
16e40 29 2e 20 54 68 65 72 65 66 6f 72 65 2c 20 74 68 65 20 43 75 73 74 6f 6d 65 72 20 65 64 67 65 20 )..Therefore,.the.Customer.edge.
16e60 6e 6f 64 65 73 20 63 61 6e 20 6f 6e 6c 79 20 6c 65 61 72 6e 20 74 68 65 20 6e 65 74 77 6f 72 6b nodes.can.only.learn.the.network
16e80 20 70 72 65 66 69 78 65 73 20 6f 66 20 74 68 65 20 48 55 42 20 73 69 74 65 20 5b 31 30 2e 30 2e .prefixes.of.the.HUB.site.[10.0.
16ea0 30 2e 31 30 30 2f 33 32 5d 2e 20 46 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 56 79 4f 53 0.100/32]..For.this.example.VyOS
16ec0 2d 43 45 31 20 68 61 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 5b 31 30 2e 30 2e -CE1.has.network.prefixes.[10.0.
16ee0 30 2e 38 30 2f 33 32 5d 20 2f 20 56 79 4f 53 2d 43 45 32 20 68 61 73 20 6e 65 74 77 6f 72 6b 20 0.80/32]./.VyOS-CE2.has.network.
16f00 70 72 65 66 69 78 65 73 20 5b 31 30 2e 30 2e 30 2e 39 30 2f 33 32 5d 2e 20 52 6f 75 74 65 2d 52 prefixes.[10.0.0.90/32]..Route-R
16f20 65 66 6c 65 63 74 6f 72 20 64 65 76 69 63 65 73 20 56 79 4f 53 2d 52 52 31 20 61 6e 64 20 56 79 eflector.devices.VyOS-RR1.and.Vy
16f40 4f 53 2d 52 52 32 20 61 72 65 20 75 73 65 64 20 74 6f 20 73 69 6d 70 6c 69 66 79 20 6e 65 74 77 OS-RR2.are.used.to.simplify.netw
16f60 6f 72 6b 20 72 6f 75 74 65 73 20 65 78 63 68 61 6e 67 65 20 61 6e 64 20 6d 69 6e 69 6d 69 7a 65 ork.routes.exchange.and.minimize
16f80 20 69 42 47 50 20 70 65 65 72 69 6e 67 73 20 62 65 74 77 65 65 6e 20 64 65 76 69 63 65 73 2e 00 .iBGP.peerings.between.devices..
16fa0 41 73 20 77 65 20 73 65 65 20 73 68 61 70 65 72 20 69 73 20 77 6f 72 6b 69 6e 67 20 61 6e 64 20 As.we.see.shaper.is.working.and.
16fc0 74 68 65 20 74 72 61 66 66 69 63 20 77 69 6c 6c 20 6e 6f 74 20 77 6f 72 6b 20 6f 76 65 72 20 35 the.traffic.will.not.work.over.5
16fe0 20 4d 62 69 74 2f 73 2e 00 41 73 73 69 67 6e 20 65 78 74 65 72 6e 61 6c 20 49 50 20 61 64 64 72 .Mbit/s..Assign.external.IP.addr
17000 65 73 73 65 73 00 41 73 73 75 6d 69 6e 67 20 74 68 65 20 70 69 6e 67 73 20 61 72 65 20 73 75 63 esses.Assuming.the.pings.are.suc
17020 63 65 73 73 66 75 6c 2c 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 61 64 64 20 73 6f 6d 65 20 44 4e cessful,.you.need.to.add.some.DN
17040 53 20 73 65 72 76 65 72 73 2e 20 53 6f 6d 65 20 6f 70 74 69 6f 6e 73 3a 00 41 74 20 74 68 65 20 S.servers..Some.options:.At.the.
17060 66 69 72 73 74 20 73 74 65 70 20 77 65 20 6e 65 65 64 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 first.step.we.need.to.configure.
17080 74 68 65 20 49 50 2f 4d 50 4c 53 20 62 61 63 6b 62 6f 6e 65 20 6e 65 74 77 6f 72 6b 20 75 73 69 the.IP/MPLS.backbone.network.usi
170a0 6e 67 20 4f 53 50 46 20 61 73 20 49 47 50 20 70 72 6f 74 6f 63 6f 6c 20 61 6e 64 20 4c 44 50 20 ng.OSPF.as.IGP.protocol.and.LDP.
170c0 61 73 20 6c 61 62 65 6c 2d 73 77 69 74 63 68 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 66 6f 72 20 as.label-switching.protocol.for.
170e0 74 68 65 20 62 61 73 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 62 65 74 77 65 65 6e 20 2a 2a the.base.connectivity.between.**
17100 50 2a 2a 20 28 72 6f 76 69 64 65 72 29 2c 20 2a 2a 50 2a 2a 20 28 72 6f 76 69 64 65 72 29 20 2a P**.(rovider),.**P**.(rovider).*
17120 2a 45 2a 2a 20 28 64 67 65 29 20 61 6e 64 20 2a 2a 52 2a 2a 20 28 6f 75 74 65 29 20 2a 2a 52 2a *E**.(dge).and.**R**.(oute).**R*
17140 2a 20 28 65 66 6c 65 63 74 6f 72 29 20 6e 6f 64 65 73 3a 00 41 74 20 74 68 69 73 20 70 6f 69 6e *.(eflector).nodes:.At.this.poin
17160 74 2c 20 79 6f 75 20 6e 6f 77 20 6e 65 65 64 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 58 20 t,.you.now.need.to.create.the.X.
17180 6c 69 6e 6b 20 62 65 74 77 65 65 6e 20 61 6c 6c 20 66 6f 75 72 20 72 6f 75 74 65 72 73 2e 20 55 link.between.all.four.routers..U
171a0 73 65 20 61 6d 64 69 66 66 65 72 65 6e 74 20 2f 33 30 20 66 6f 72 20 65 61 63 68 20 6c 69 6e 6b se.amdifferent./30.for.each.link
171c0 2e 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 ..At.this.point,.you.should.be.a
171e0 62 6c 65 20 74 6f 20 53 53 48 20 69 6e 74 6f 20 62 6f 74 68 20 6f 66 20 74 68 65 6d 2c 20 61 6e ble.to.SSH.into.both.of.them,.an
17200 64 20 77 69 6c 6c 20 6e 6f 20 6c 6f 6e 67 65 72 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 d.will.no.longer.need.access.to.
17220 74 68 65 20 63 6f 6e 73 6f 6c 65 20 28 75 6e 6c 65 73 73 20 79 6f 75 20 62 72 65 61 6b 20 73 6f the.console.(unless.you.break.so
17240 6d 65 74 68 69 6e 67 21 29 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 73 68 6f mething!).At.this.point,.you.sho
17260 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 62 6f 74 68 20 49 50 20 61 64 64 72 65 uld.be.able.to.see.both.IP.addre
17280 73 73 65 73 20 77 68 65 6e 20 79 6f 75 20 72 75 6e 20 60 60 73 68 6f 77 20 69 6e 74 65 72 66 61 sses.when.you.run.``show.interfa
172a0 63 65 73 60 60 5c 20 2c 20 61 6e 64 20 60 60 73 68 6f 77 20 76 72 72 70 60 60 20 73 68 6f 75 6c ces``\.,.and.``show.vrrp``.shoul
172c0 64 20 73 68 6f 77 20 62 6f 74 68 20 69 6e 74 65 72 66 61 63 65 73 20 69 6e 20 4d 41 53 54 45 52 d.show.both.interfaces.in.MASTER
172e0 20 73 74 61 74 65 20 28 61 6e 64 20 53 4c 41 56 45 20 73 74 61 74 65 20 6f 6e 20 72 6f 75 74 65 .state.(and.SLAVE.state.on.route
17300 72 32 29 2e 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 72 20 56 79 4f 53 20 69 6e r2)..At.this.point,.your.VyOS.in
17320 73 74 61 6c 6c 20 73 68 6f 75 6c 64 20 68 61 76 65 20 66 75 6c 6c 20 49 50 76 36 2c 20 62 75 74 stall.should.have.full.IPv6,.but
17340 20 6e 6f 77 20 79 6f 75 72 20 4c 41 4e 20 64 65 76 69 63 65 73 20 6e 65 65 64 20 61 63 63 65 73 .now.your.LAN.devices.need.acces
17360 73 2e 00 41 74 20 74 68 69 73 20 73 74 65 70 20 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 s..At.this.step.we.are.going.to.
17380 65 6e 61 62 6c 65 20 69 42 47 50 20 70 72 6f 74 6f 63 6f 6c 20 6f 6e 20 4d 50 4c 53 20 6e 6f 64 enable.iBGP.protocol.on.MPLS.nod
173a0 65 73 20 61 6e 64 20 52 6f 75 74 65 20 52 65 66 6c 65 63 74 6f 72 73 20 28 74 77 6f 20 72 6f 75 es.and.Route.Reflectors.(two.rou
173c0 74 65 72 73 20 66 6f 72 20 72 65 64 75 6e 64 61 6e 63 79 29 20 74 68 61 74 20 77 69 6c 6c 20 64 ters.for.redundancy).that.will.d
173e0 65 6c 69 76 65 72 20 49 50 76 34 20 56 50 4e 20 28 4c 33 56 50 4e 29 20 72 6f 75 74 65 73 20 62 eliver.IPv4.VPN.(L3VPN).routes.b
17400 65 74 77 65 65 6e 20 74 68 65 6d 3a 00 41 7a 75 72 65 20 41 53 4e 00 41 7a 75 72 65 20 56 4e 65 etween.them:.Azure.ASN.Azure.VNe
17420 74 20 47 61 74 65 77 61 79 20 31 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 t.Gateway.1.public.IP.Azure.VNet
17440 20 47 61 74 65 77 61 79 20 32 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 .Gateway.2.public.IP.Azure.VNet.
17460 47 61 74 65 77 61 79 20 42 47 50 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 Gateway.BGP.IP.Azure.VNet.Gatewa
17480 79 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 61 64 64 72 65 73 73 20 73 70 61 63 65 00 y.public.IP.Azure.address.space.
174a0 42 47 50 00 42 47 50 20 49 50 76 36 20 75 6e 6e 75 6d 62 65 72 65 64 20 77 69 74 68 20 65 78 74 BGP.BGP.IPv6.unnumbered.with.ext
174c0 65 6e 64 65 64 20 6e 65 78 74 68 6f 70 00 42 47 50 20 69 73 20 61 6e 20 65 78 74 72 65 6d 65 6c ended.nexthop.BGP.is.an.extremel
174e0 79 20 63 6f 6d 70 6c 65 78 20 6e 65 74 77 6f 72 6b 20 70 72 6f 74 6f 63 6f 6c 2e 20 41 6e 20 65 y.complex.network.protocol..An.e
17500 78 61 6d 70 6c 65 20 69 73 20 70 72 6f 76 69 64 65 64 20 68 65 72 65 2e 00 42 4c 55 45 5f 48 55 xample.is.provided.here..BLUE_HU
17520 42 00 42 4c 55 45 5f 53 50 4f 4b 45 00 42 61 73 65 64 20 6f 6e 20 74 68 65 20 70 72 65 76 69 6f B.BLUE_SPOKE.Based.on.the.previo
17540 75 73 20 65 78 61 6d 70 6c 65 2c 20 61 6e 6f 74 68 65 72 20 72 75 6c 65 20 66 6f 72 20 74 72 61 us.example,.another.rule.for.tra
17560 66 66 69 63 20 66 72 6f 6d 20 74 68 65 20 73 65 63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65 20 65 ffic.from.the.second.interface.e
17580 74 68 33 20 63 61 6e 20 62 65 20 61 64 64 65 64 20 74 6f 20 74 68 65 20 6c 6f 61 64 20 62 61 6c th3.can.be.added.to.the.load.bal
175a0 61 6e 63 65 72 2e 20 48 6f 77 65 76 65 72 2c 20 74 72 61 66 66 69 63 20 6d 65 61 6e 74 20 74 6f ancer..However,.traffic.meant.to
175c0 20 66 6c 6f 77 20 62 65 74 77 65 65 6e 20 74 68 65 20 4c 41 4e 20 73 75 62 6e 65 74 73 20 77 69 .flow.between.the.LAN.subnets.wi
175e0 6c 6c 20 62 65 20 73 65 6e 74 20 74 6f 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 61 73 20 77 ll.be.sent.to.eth0.and.eth1.as.w
17600 65 6c 6c 2e 20 54 6f 20 70 72 65 76 65 6e 74 20 74 68 69 73 2c 20 61 6e 6f 74 68 65 72 20 72 75 ell..To.prevent.this,.another.ru
17620 6c 65 20 69 73 20 72 65 71 75 69 72 65 64 2e 20 54 68 69 73 20 72 75 6c 65 20 65 78 63 6c 75 64 le.is.required..This.rule.exclud
17640 65 73 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 74 68 65 20 6c 6f 63 61 6c 20 73 75 62 es.traffic.between.the.local.sub
17660 6e 65 74 73 20 66 72 6f 6d 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 2e 20 49 74 20 nets.from.the.load.balancer..It.
17680 61 6c 73 6f 20 65 78 63 6c 75 64 65 73 20 6c 6f 63 61 6c 6c 79 2d 73 6f 75 72 63 65 73 20 70 61 also.excludes.locally-sources.pa
176a0 63 6b 65 74 73 20 28 72 65 71 75 69 72 65 64 20 66 6f 72 20 77 65 62 20 63 61 63 68 69 6e 67 20 ckets.(required.for.web.caching.
176c0 77 69 74 68 20 6c 6f 61 64 20 62 61 6c 61 6e 63 69 6e 67 29 2e 20 65 74 68 2b 20 69 73 20 75 73 with.load.balancing)..eth+.is.us
176e0 65 64 20 61 73 20 61 6e 20 61 6c 69 61 73 20 74 68 61 74 20 72 65 66 65 72 73 20 74 6f 20 61 6c ed.as.an.alias.that.refers.to.al
17700 6c 20 65 74 68 65 72 6e 65 74 20 69 6e 74 65 72 66 61 63 65 73 3a 00 42 61 73 69 63 20 46 69 72 l.ethernet.interfaces:.Basic.Fir
17720 65 77 61 6c 6c 00 42 61 73 69 63 20 53 65 74 75 70 20 28 76 69 61 20 63 6f 6e 73 6f 6c 65 29 00 ewall.Basic.Setup.(via.console).
17740 42 61 73 69 63 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 61 6e 73 69 62 6c 65 2e 63 Basic.configuration.of.ansible.c
17760 66 67 3a 00 42 61 73 69 6b 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 61 fg:.Basik.configuration.of.the.a
17780 6e 73 69 62 6c 65 2e 63 66 67 3a 00 42 65 66 6f 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 nsible.cfg:.Before.the.interface
177a0 20 65 74 68 30 20 6f 6e 20 72 6f 75 74 65 72 20 56 79 4f 53 33 00 42 6f 6e 64 69 6e 67 20 6f 6e .eth0.on.router.VyOS3.Bonding.on
177c0 20 48 61 72 64 77 61 72 65 20 52 6f 75 74 65 72 00 42 6f 74 68 20 4c 41 4e 73 20 68 61 76 65 20 .Hardware.Router.Both.LANs.have.
177e0 74 6f 20 62 65 20 61 62 6c 65 20 74 6f 20 72 6f 75 74 65 20 62 65 74 77 65 65 6e 20 65 61 63 68 to.be.able.to.route.between.each
17800 20 6f 74 68 65 72 2c 20 62 6f 74 68 20 77 69 6c 6c 20 68 61 76 65 20 6d 61 6e 61 67 65 64 20 64 .other,.both.will.have.managed.d
17820 65 76 69 63 65 73 20 74 68 72 6f 75 67 68 20 61 20 64 65 64 69 63 61 74 65 64 20 6d 61 6e 61 67 evices.through.a.dedicated.manag
17840 65 6d 65 6e 74 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 62 6f 74 68 20 77 69 6c 6c 20 6e 65 65 64 ement.network.and.both.will.need
17860 20 49 6e 74 65 72 6e 65 74 20 61 63 63 65 73 73 20 79 65 74 20 74 68 65 20 4c 41 4e 32 20 77 69 .Internet.access.yet.the.LAN2.wi
17880 6c 6c 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 73 6f 6d 65 20 73 65 74 20 6f 66 20 6f 75 ll.need.access.to.some.set.of.ou
178a0 74 73 69 64 65 20 6e 65 74 77 6f 72 6b 73 2c 20 6e 6f 74 20 61 6c 6c 2e 20 54 68 65 20 6d 61 6e tside.networks,.not.all..The.man
178c0 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f 72 6b 20 77 69 6c 6c 20 6e 65 65 64 20 61 63 63 65 73 73 agement.network.will.need.access
178e0 20 74 6f 20 62 6f 74 68 20 4c 41 4e 73 20 62 75 74 20 63 61 6e 6e 6f 74 20 68 61 76 65 20 61 63 .to.both.LANs.but.cannot.have.ac
17900 63 65 73 73 20 74 6f 2f 66 72 6f 6d 20 74 68 65 20 6f 75 74 73 69 64 65 2e 00 42 72 61 6e 63 68 cess.to/from.the.outside..Branch
17920 00 42 72 69 64 67 65 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 65 78 61 6d 70 6c 65 00 42 72 69 .Bridge.and.firewall.example.Bri
17940 64 67 65 20 62 72 30 3a 00 42 72 69 64 67 65 20 62 72 31 3a 00 42 72 69 64 67 65 20 62 72 32 3a dge.br0:.Bridge.br1:.Bridge.br2:
17960 00 42 72 69 64 67 65 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 42 .Bridge.firewall.configuration.B
17980 72 69 64 67 65 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 73 65 74 3a 00 42 72 69 64 67 65 73 20 61 ridge.firewall.rulset:.Bridges.a
179a0 6e 64 20 69 6e 74 65 72 66 61 63 65 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 42 79 20 64 nd.interfaces.configuration.By.d
179c0 65 66 61 75 6c 74 2c 20 69 70 74 61 62 6c 65 73 20 64 6f 65 73 20 6e 6f 74 20 61 6c 6c 6f 77 20 efault,.iptables.does.not.allow.
179e0 74 72 61 66 66 69 63 20 66 6f 72 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 65 73 73 69 6f 6e 73 traffic.for.established.sessions
17a00 20 74 6f 20 72 65 74 75 72 6e 2c 20 73 6f 20 79 6f 75 20 6d 75 73 74 20 65 78 70 6c 69 63 69 74 .to.return,.so.you.must.explicit
17a20 6c 79 20 61 6c 6c 6f 77 20 74 68 69 73 2e 20 49 20 64 6f 20 74 68 69 73 20 62 79 20 61 64 64 69 ly.allow.this..I.do.this.by.addi
17a40 6e 67 20 74 77 6f 20 72 75 6c 65 73 20 74 6f 20 65 76 65 72 79 20 72 75 6c 65 73 65 74 2e 20 31 ng.two.rules.to.every.ruleset..1
17a60 20 61 6c 6c 6f 77 73 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20 .allows.established.and.related.
17a80 73 74 61 74 65 20 70 61 63 6b 65 74 73 20 74 68 72 6f 75 67 68 20 61 6e 64 20 72 75 6c 65 20 32 state.packets.through.and.rule.2
17aa0 20 64 72 6f 70 73 20 61 6e 64 20 6c 6f 67 73 20 69 6e 76 61 6c 69 64 20 73 74 61 74 65 20 70 61 .drops.and.logs.invalid.state.pa
17ac0 63 6b 65 74 73 2e 20 57 65 20 70 6c 61 63 65 20 74 68 65 20 65 73 74 61 62 6c 69 73 68 65 64 2f ckets..We.place.the.established/
17ae0 72 65 6c 61 74 65 64 20 72 75 6c 65 20 61 74 20 74 68 65 20 74 6f 70 20 62 65 63 61 75 73 65 20 related.rule.at.the.top.because.
17b00 74 68 65 20 76 61 73 74 20 6d 61 6a 6f 72 69 74 79 20 6f 66 20 74 72 61 66 66 69 63 20 6f 6e 20 the.vast.majority.of.traffic.on.
17b20 61 20 6e 65 74 77 6f 72 6b 20 69 73 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 74 68 65 a.network.is.established.and.the
17b40 20 69 6e 76 61 6c 69 64 20 72 75 6c 65 20 74 6f 20 70 72 65 76 65 6e 74 20 69 6e 76 61 6c 69 64 .invalid.rule.to.prevent.invalid
17b60 20 73 74 61 74 65 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 6d 69 73 74 61 6b 65 6e 6c 79 20 62 .state.packets.from.mistakenly.b
17b80 65 69 6e 67 20 6d 61 74 63 68 65 64 20 61 67 61 69 6e 73 74 20 6f 74 68 65 72 20 72 75 6c 65 73 eing.matched.against.other.rules
17ba0 2e 20 48 61 76 69 6e 67 20 74 68 65 20 6d 6f 73 74 20 6d 61 74 63 68 65 64 20 72 75 6c 65 20 6c ..Having.the.most.matched.rule.l
17bc0 69 73 74 65 64 20 66 69 72 73 74 20 72 65 64 75 63 65 73 20 43 50 55 20 6c 6f 61 64 20 69 6e 20 isted.first.reduces.CPU.load.in.
17be0 68 69 67 68 20 76 6f 6c 75 6d 65 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 73 2e 20 4e 6f 74 65 3a 20 high.volume.environments..Note:.
17c00 49 20 68 61 76 65 20 66 69 6c 65 64 20 61 20 62 75 67 20 74 6f 20 68 61 76 65 20 74 68 69 73 20 I.have.filed.a.bug.to.have.this.
17c20 61 64 64 65 64 20 61 73 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 61 73 20 77 65 6c added.as.a.default.action.as.wel
17c40 6c 2e 00 43 45 20 48 75 62 20 64 65 76 69 63 65 00 43 53 34 20 2d 3e 20 43 53 35 00 43 65 6e 74 l..CE.Hub.device.CS4.->.CS5.Cent
17c60 72 61 6c 00 43 68 65 63 6b 20 61 6c 6c 20 70 6f 73 73 69 62 6c 65 20 73 65 74 74 69 6e 67 73 20 ral.Check.all.possible.settings.
17c80 60 68 65 72 65 20 3c 68 74 74 70 73 3a 2f 2f 67 69 74 68 75 62 2e 63 6f 6d 2f 74 68 72 65 65 72 `here.<https://github.com/threer
17ca0 69 6e 67 73 2f 6f 70 65 6e 76 70 6e 2d 61 75 74 68 2d 6c 64 61 70 2f 62 6c 6f 62 2f 6d 61 73 74 ings/openvpn-auth-ldap/blob/mast
17cc0 65 72 2f 61 75 74 68 2d 6c 64 61 70 2e 63 6f 6e 66 3e 60 5f 00 43 68 65 63 6b 20 74 68 65 20 42 er/auth-ldap.conf>`_.Check.the.B
17ce0 47 50 20 56 52 46 20 74 61 62 6c 65 20 61 6e 64 20 76 65 72 69 66 79 20 69 66 20 74 68 65 20 73 GP.VRF.table.and.verify.if.the.s
17d00 74 61 74 69 63 20 72 6f 75 74 65 73 20 61 72 65 20 69 6e 6a 65 63 74 65 64 20 73 68 6f 77 69 6e tatic.routes.are.injected.showin
17d20 67 20 74 68 65 20 63 6f 72 72 65 63 74 20 6e 65 78 74 2d 68 6f 70 20 69 6e 66 6f 72 6d 61 74 69 g.the.correct.next-hop.informati
17d40 6f 6e 2e 00 43 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 00 43 68 65 63 6b 20 74 68 65 20 72 on..Check.the.result.Check.the.r
17d60 65 73 75 6c 74 20 6f 6e 20 74 68 65 20 76 79 6f 73 31 30 20 72 6f 75 74 65 72 3a 00 43 68 65 63 esult.on.the.vyos10.router:.Chec
17d80 6b 20 74 68 65 20 72 65 73 75 6c 74 2e 00 43 68 65 63 6b 20 74 68 65 20 76 65 72 73 69 6f 6e 3a k.the.result..Check.the.version:
17da0 00 43 68 65 63 6b 69 6e 67 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6f 66 20 74 .Checking.the.routing.table.of.t
17dc0 68 65 20 56 52 46 20 73 68 6f 75 6c 64 20 72 65 76 65 61 6c 20 62 6f 74 68 20 73 74 61 74 69 63 he.VRF.should.reveal.both.static
17de0 20 61 6e 64 20 63 6f 6e 6e 65 63 74 65 64 20 65 6e 74 72 69 65 73 20 61 63 74 69 76 65 2e 20 41 .and.connected.entries.active..A
17e00 20 50 49 4e 47 20 74 65 73 74 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 61 6e 64 20 .PING.test.between.the.Core.and.
17e20 72 65 6d 6f 74 65 20 72 6f 75 74 65 72 20 69 73 20 61 20 77 61 79 20 74 6f 20 76 61 6c 69 64 61 remote.router.is.a.way.to.valida
17e40 74 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 77 69 74 68 69 6e 20 74 68 65 20 56 52 46 2e 00 te.connectivity.within.the.VRF..
17e60 43 68 65 63 6b 69 6e 67 20 74 68 72 6f 75 67 68 20 6f 70 2d 6d 6f 64 65 20 63 6f 6d 6d 61 6e 64 Checking.through.op-mode.command
17e80 73 00 43 69 73 63 6f 00 43 69 73 63 6f 20 56 50 43 20 43 72 6f 73 73 63 6f 6e 6e 65 63 74 20 2d s.Cisco.Cisco.VPC.Crossconnect.-
17ea0 20 50 6f 72 74 73 20 33 39 20 61 6e 64 20 34 30 20 62 6f 6e 64 65 64 20 62 65 74 77 65 65 6e 20 .Ports.39.and.40.bonded.between.
17ec0 65 61 63 68 20 73 77 69 74 63 68 00 43 6c 61 6d 70 20 74 68 65 20 56 54 49 27 73 20 4d 53 53 20 each.switch.Clamp.the.VTI's.MSS.
17ee0 74 6f 20 31 33 35 30 20 74 6f 20 61 76 6f 69 64 20 50 4d 54 55 20 62 6c 61 63 6b 68 6f 6c 65 73 to.1350.to.avoid.PMTU.blackholes
17f00 2e 00 43 6c 69 65 6e 74 00 43 6c 69 65 6e 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 6f ..Client.Client.configuration.Co
17f20 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 70 72 69 76 61 74 65 20 73 75 62 6e mmunication.between.private.subn
17f40 65 74 73 20 73 68 6f 75 6c 64 20 62 65 20 64 6f 6e 65 20 74 68 72 6f 75 67 68 20 49 50 53 65 63 ets.should.be.done.through.IPSec
17f60 20 74 75 6e 6e 65 6c 20 77 69 74 68 6f 75 74 20 4e 41 54 2e 00 43 6f 6d 6d 75 6e 69 63 61 74 69 .tunnel.without.NAT..Communicati
17f80 6f 6e 20 62 65 74 77 65 65 6e 20 70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20 73 68 6f 75 6c on.between.private.subnets.shoul
17fa0 64 20 62 65 20 64 6f 6e 65 20 74 68 72 6f 75 67 68 20 69 70 73 65 63 20 74 75 6e 6e 65 6c 20 77 d.be.done.through.ipsec.tunnel.w
17fc0 69 74 68 6f 75 74 20 6e 61 74 2e 00 43 6f 6e 63 6c 75 73 69 6f 6e 73 00 43 6f 6e 66 69 67 75 72 ithout.nat..Conclusions.Configur
17fe0 61 74 69 6f 6e 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27 4e 4d 50 27 00 43 6f 6e 66 69 67 ation.Configuration.'NMP'.Config
18000 75 72 61 74 69 6f 6e 20 27 56 79 4f 53 27 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27 64 63 uration.'VyOS'.Configuration.'dc
18020 73 70 27 20 61 6e 64 20 73 68 61 70 65 72 20 75 73 69 6e 67 20 51 6f 53 00 43 6f 6e 66 69 67 75 sp'.and.shaper.using.QoS.Configu
18040 72 61 74 69 6f 6e 20 42 6c 75 65 70 72 69 6e 74 73 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 ration.Blueprints.Configuration.
18060 42 6c 75 65 70 72 69 6e 74 73 20 28 61 75 74 6f 74 65 73 74 29 00 43 6f 6e 66 69 67 75 72 61 74 Blueprints.(autotest).Configurat
18080 69 6f 6e 20 56 79 4f 53 20 61 73 20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 00 43 6f 6e 66 69 ion.VyOS.as.OpenVPN.Server.Confi
180a0 67 75 72 61 74 69 6f 6e 20 6f 66 20 62 61 73 69 63 20 66 69 72 65 77 61 6c 6c 20 69 6e 20 6f 6e guration.of.basic.firewall.in.on
180c0 65 20 73 69 74 65 2c 20 69 6e 20 6f 72 64 65 72 20 74 6f 3a 00 43 6f 6e 66 69 67 75 72 61 74 69 e.site,.in.order.to:.Configurati
180e0 6f 6e 3a 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 00 43 6f 6e 66 69 67 75 72 65 20 56 79 4f on:.Configurations.Configure.VyO
18100 53 20 61 73 20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 00 43 6f 6e 66 69 67 75 72 65 20 56 79 S.as.OpenVPN.Server.Configure.Vy
18120 4f 53 20 61 73 20 63 6c 69 65 6e 74 00 43 6f 6e 66 69 67 75 72 65 20 57 69 72 65 67 75 61 72 64 OS.as.client.Configure.Wireguard
18140 00 43 6f 6e 66 69 67 75 72 65 20 61 20 56 54 49 20 77 69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 .Configure.a.VTI.with.a.dummy.IP
18160 20 61 64 64 72 65 73 73 00 43 6f 6e 66 69 67 75 72 65 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e .address.Configure.conntrack-syn
18180 63 20 61 6e 64 20 65 6e 61 62 6c 65 20 68 65 6c 70 65 72 73 00 43 6f 6e 66 69 67 75 72 65 20 74 c.and.enable.helpers.Configure.t
181a0 68 65 20 49 4b 45 20 61 6e 64 20 45 53 50 20 73 65 74 74 69 6e 67 73 20 74 6f 20 6d 61 74 63 68 he.IKE.and.ESP.settings.to.match
181c0 20 61 20 73 75 62 73 65 74 20 6f 66 20 74 68 6f 73 65 20 73 75 70 70 6f 72 74 65 64 20 62 79 20 .a.subset.of.those.supported.by.
181e0 41 7a 75 72 65 3a 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 56 50 4e 20 74 75 6e 6e 65 6c 00 Azure:.Configure.the.VPN.tunnel.
18200 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 56 50 4e 20 74 75 6e 6e 65 6c 73 00 43 6f 6e 66 69 67 Configure.the.VPN.tunnels.Config
18220 75 72 65 20 74 68 65 20 57 41 4e 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 20 77 69 74 68 20 74 ure.the.WAN.load.balancer.with.t
18240 68 65 20 70 61 72 61 6d 65 74 65 72 73 20 64 65 73 63 72 69 62 65 64 20 61 62 6f 76 65 3a 00 43 he.parameters.described.above:.C
18260 6f 6e 66 69 67 75 72 65 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 00 43 6f 6e 66 69 onfigure.the.load.balancer.Confi
18280 67 75 72 65 20 74 77 6f 20 56 54 49 73 20 77 69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 20 61 64 gure.two.VTIs.with.a.dummy.IP.ad
182a0 64 72 65 73 73 20 65 61 63 68 00 43 6f 6e 66 69 67 75 72 65 20 79 6f 75 72 20 42 47 50 20 73 65 dress.each.Configure.your.BGP.se
182c0 74 74 69 6e 67 73 00 43 6f 6e 6e 74 72 61 63 6b 20 68 65 6c 70 65 72 20 6d 6f 64 75 6c 65 73 20 ttings.Conntrack.helper.modules.
182e0 61 72 65 20 65 6e 61 62 6c 65 64 20 62 79 20 64 65 66 61 75 6c 74 2c 20 62 75 74 20 74 68 65 79 are.enabled.by.default,.but.they
18300 20 74 65 6e 64 20 74 6f 20 63 61 75 73 65 20 6d 6f 72 65 20 70 72 6f 62 6c 65 6d 73 20 74 68 61 .tend.to.cause.more.problems.tha
18320 6e 20 74 68 65 79 27 72 65 20 77 6f 72 74 68 20 69 6e 20 63 6f 6d 70 6c 65 78 20 6e 65 74 77 6f n.they're.worth.in.complex.netwo
18340 72 6b 73 2e 20 59 6f 75 20 63 61 6e 20 64 69 73 61 62 6c 65 20 61 6c 6c 20 6f 66 20 74 68 65 6d rks..You.can.disable.all.of.them
18360 20 61 74 20 6f 6e 65 20 67 6f 2e 00 43 6f 6e 73 69 64 65 72 20 68 6f 77 20 74 6f 20 71 75 69 63 .at.one.go..Consider.how.to.quic
18380 6b 6c 79 20 73 65 74 20 75 70 20 4e 4d 50 20 61 6e 64 20 56 79 4f 53 20 66 6f 72 20 6d 6f 6e 69 kly.set.up.NMP.and.VyOS.for.moni
183a0 74 6f 72 69 6e 67 2e 20 4e 4d 50 20 69 73 20 6d 75 6c 74 69 2d 76 65 6e 64 6f 72 20 6e 65 74 77 toring..NMP.is.multi-vendor.netw
183c0 6f 72 6b 20 6d 6f 6e 69 74 6f 72 69 6e 67 20 66 72 6f 6d 20 27 53 6f 6c 61 72 57 69 6e 64 73 27 ork.monitoring.from.'SolarWinds'
183e0 20 62 75 69 6c 74 20 74 6f 20 73 63 61 6c 65 20 61 6e 64 20 65 78 70 61 6e 64 20 77 69 74 68 20 .built.to.scale.and.expand.with.
18400 74 68 65 20 6e 65 65 64 73 20 6f 66 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 2e 00 43 6f 72 65 00 the.needs.of.your.network..Core.
18420 43 6f 72 65 20 52 6f 75 74 65 72 00 43 6f 72 65 20 6e 65 74 77 6f 72 6b 00 43 72 65 61 74 65 20 Core.Router.Core.network.Create.
18440 45 78 70 6f 72 74 20 46 69 6c 74 65 72 00 43 72 65 61 74 65 20 49 6d 70 6f 72 74 20 46 69 6c 74 Export.Filter.Create.Import.Filt
18460 65 72 00 43 72 65 61 74 65 20 56 52 52 50 20 73 79 6e 63 2d 67 72 6f 75 70 00 43 72 65 61 74 65 er.Create.VRRP.sync-group.Create
18480 20 61 20 4c 41 43 50 20 62 6f 6e 64 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 .a.LACP.bond.on.the.hardware.rou
184a0 74 65 72 2e 20 57 65 20 61 72 65 20 61 73 73 75 6d 69 6e 67 20 74 68 61 74 20 65 74 68 30 20 61 ter..We.are.assuming.that.eth0.a
184c0 6e 64 20 65 74 68 31 20 61 72 65 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 70 6f 72 74 20 38 20 nd.eth1.are.connected.to.port.8.
184e0 6f 6e 20 62 6f 74 68 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 74 68 61 74 20 74 68 6f 73 65 on.both.switches,.and.that.those
18500 20 70 6f 72 74 73 20 61 72 65 20 63 6f 6e 66 69 67 75 72 65 64 20 61 73 20 61 20 50 6f 72 74 2d .ports.are.configured.as.a.Port-
18520 43 68 61 6e 6e 65 6c 2e 00 43 72 65 61 74 65 20 61 6e 20 27 41 6c 6c 20 56 4c 41 4e 73 27 20 6e Channel..Create.an.'All.VLANs'.n
18540 65 74 77 6f 72 6b 20 67 72 6f 75 70 2c 20 74 68 61 74 20 70 61 73 73 65 73 20 61 6c 6c 20 74 72 etwork.group,.that.passes.all.tr
18560 75 6e 6b 65 64 20 74 72 61 66 66 69 63 20 74 68 72 6f 75 67 68 20 74 6f 20 74 68 65 20 56 4d 2e unked.traffic.through.to.the.VM.
18580 20 41 74 74 61 63 68 20 74 68 69 73 20 6e 65 74 77 6f 72 6b 20 67 72 6f 75 70 20 74 6f 20 72 6f .Attach.this.network.group.to.ro
185a0 75 74 65 72 31 20 61 73 20 65 74 68 30 2e 00 43 72 65 61 74 65 20 69 6e 74 65 72 66 61 63 65 20 uter1.as.eth0..Create.interface.
185c0 77 65 69 67 68 74 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 72 65 61 74 weight.based.configuration.Creat
185e0 65 20 72 75 6c 65 20 6f 72 64 65 72 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e e.rule.order.based.configuration
18600 00 43 72 65 61 74 65 20 72 75 6c 65 20 6f 72 64 65 72 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 .Create.rule.order.based.configu
18620 72 61 74 69 6f 6e 20 77 69 74 68 20 6c 6f 77 20 73 70 65 65 64 20 73 65 63 6f 6e 64 61 72 79 20 ration.with.low.speed.secondary.
18640 6c 69 6e 6b 00 43 72 65 61 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 68 72 6f 75 67 link.Create.static.routes.throug
18660 68 20 74 68 65 20 74 77 6f 20 49 53 50 73 20 74 6f 77 61 72 64 73 20 74 68 65 20 70 69 6e 67 20 h.the.two.ISPs.towards.the.ping.
18680 74 61 72 67 65 74 73 20 61 6e 64 20 63 6f 6d 6d 69 74 20 74 68 65 20 63 68 61 6e 67 65 73 3a 00 targets.and.commit.the.changes:.
186a0 43 72 65 61 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 6f 20 70 69 6e 67 20 74 61 72 Create.static.routes.to.ping.tar
186c0 67 65 74 73 00 43 72 65 61 74 65 20 79 6f 75 72 20 72 6f 75 74 65 72 31 20 56 4d 2e 20 53 6f 20 gets.Create.your.router1.VM..So.
186e0 69 74 20 63 61 6e 20 77 69 74 68 73 74 61 6e 64 20 61 20 56 4d 20 48 6f 73 74 20 66 61 69 6c 69 it.can.withstand.a.VM.Host.faili
18700 6e 67 20 6f 72 20 61 20 6e 65 74 77 6f 72 6b 20 6c 69 6e 6b 20 66 61 69 6c 69 6e 67 2e 20 55 73 ng.or.a.network.link.failing..Us
18720 69 6e 67 20 56 4d 77 61 72 65 2c 20 74 68 69 73 20 69 73 20 61 63 68 69 65 76 65 64 20 62 79 20 ing.VMware,.this.is.achieved.by.
18740 65 6e 61 62 6c 69 6e 67 20 76 53 70 68 65 72 65 20 44 52 53 2c 20 76 53 70 68 65 72 65 20 41 76 enabling.vSphere.DRS,.vSphere.Av
18760 61 69 6c 61 62 69 6c 69 74 79 2c 20 61 6e 64 20 63 72 65 61 74 69 6e 67 20 61 20 44 69 73 74 72 ailability,.and.creating.a.Distr
18780 69 62 75 74 65 64 20 50 6f 72 74 20 47 72 6f 75 70 20 74 68 61 74 20 75 73 65 73 20 4c 41 43 50 ibuted.Port.Group.that.uses.LACP
187a0 2e 00 44 48 43 50 20 52 65 6c 61 79 20 74 72 6f 75 67 68 20 47 52 45 2d 42 72 69 64 67 65 00 44 ..DHCP.Relay.trough.GRE-Bridge.D
187c0 48 43 50 2d 52 65 6c 61 79 00 44 48 43 50 2d 53 65 72 76 65 72 00 44 48 43 50 76 36 2d 50 44 20 HCP-Relay.DHCP-Server.DHCPv6-PD.
187e0 53 65 74 75 70 00 44 4d 5a 20 63 61 6e 6e 6f 74 20 61 63 63 65 73 73 20 4c 41 4e 20 72 65 73 6f Setup.DMZ.cannot.access.LAN.reso
18800 75 72 63 65 73 2e 00 44 4d 5a 2d 4c 41 4e 20 70 6f 6c 69 63 79 20 69 73 20 4c 41 4e 2d 44 4d 5a urces..DMZ-LAN.policy.is.LAN-DMZ
18820 2e 20 59 6f 75 20 63 61 6e 20 67 65 74 20 61 20 72 68 79 74 68 6d 20 74 6f 20 69 74 20 77 68 65 ..You.can.get.a.rhythm.to.it.whe
18840 6e 20 79 6f 75 20 62 75 69 6c 64 20 6f 75 74 20 61 20 62 75 6e 63 68 20 61 74 20 6f 6e 65 20 74 n.you.build.out.a.bunch.at.one.t
18860 69 6d 65 2e 00 44 65 6e 79 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 2e 00 ime..Deny.access.to.the.router..
18880 44 65 6e 79 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 69 6e 74 65 72 6e 65 74 28 57 41 4e Deny.connections.to.internet(WAN
188a0 29 2e 00 44 65 73 69 67 6e 00 44 65 76 69 63 65 2d 41 00 44 65 76 69 63 65 2d 42 00 44 69 61 67 )..Design.Device-A.Device-B.Diag
188c0 72 61 6d 20 75 73 65 64 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 3a 00 44 72 6f 70 20 61 ram.used.in.this.example:.Drop.a
188e0 6c 6c 20 44 48 43 50 20 64 69 73 63 6f 76 65 72 20 70 61 63 6b 65 74 73 2e 00 44 72 6f 70 20 61 ll.DHCP.discover.packets..Drop.a
18900 6c 6c 20 49 50 76 36 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 44 72 6f 70 20 61 6c 6c 20 6f 74 ll.IPv6.connections..Drop.all.ot
18920 68 65 72 20 49 50 76 34 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 44 72 6f 70 20 63 6f 6e 6e 65 her.IPv4.connections..Drop.conne
18940 63 74 69 6f 6e 73 20 74 6f 20 6f 74 68 65 72 20 4c 41 4e 73 2e 00 44 75 70 6c 69 63 61 74 65 20 ctions.to.other.LANs..Duplicate.
18960 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 44 75 72 69 6e 67 20 61 64 64 72 65 73 73 20 63 6f 6e configuration.During.address.con
18980 66 69 67 75 72 61 74 69 6f 6e 2c 20 69 6e 20 61 64 64 69 74 69 6f 6e 20 74 6f 20 61 73 73 69 67 figuration,.in.addition.to.assig
189a0 6e 69 6e 67 20 61 6e 20 61 64 64 72 65 73 73 20 74 6f 20 74 68 65 20 57 41 4e 20 69 6e 74 65 72 ning.an.address.to.the.WAN.inter
189c0 66 61 63 65 2c 20 49 53 50 20 61 6c 73 6f 20 70 72 6f 76 69 64 65 73 20 61 20 70 72 65 66 69 78 face,.ISP.also.provides.a.prefix
189e0 20 74 6f 20 61 6c 6c 6f 77 20 74 68 65 20 72 6f 75 74 65 72 20 74 6f 20 63 6f 6e 66 69 67 75 72 .to.allow.the.router.to.configur
18a00 65 20 61 64 64 72 65 73 73 65 73 20 6f 66 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 e.addresses.of.LAN.interface.and
18a20 20 6f 74 68 65 72 20 6e 6f 64 65 73 20 63 6f 6e 6e 65 63 74 69 6e 67 20 74 6f 20 4c 41 4e 2c 20 .other.nodes.connecting.to.LAN,.
18a40 77 68 69 63 68 20 69 73 20 63 61 6c 6c 65 64 20 70 72 65 66 69 78 20 64 65 6c 65 67 61 74 69 6f which.is.called.prefix.delegatio
18a60 6e 20 28 50 44 29 2e 00 44 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 73 65 64 20 62 65 74 n.(PD)..Dynamic.routing.used.bet
18a80 77 65 65 6e 20 43 45 20 61 6e 64 20 50 45 20 6e 6f 64 65 73 20 61 6e 64 20 65 42 47 50 20 70 65 ween.CE.and.PE.nodes.and.eBGP.pe
18aa0 65 72 69 6e 67 20 65 73 74 61 62 6c 69 73 68 65 64 20 66 6f 72 20 74 68 65 20 72 6f 75 74 65 20 ering.established.for.the.route.
18ac0 65 78 63 68 61 6e 67 69 6e 67 20 62 65 74 77 65 65 6e 20 74 68 65 6d 2e 20 41 6c 6c 20 72 6f 75 exchanging.between.them..All.rou
18ae0 74 65 73 20 72 65 63 65 69 76 65 64 20 62 79 20 50 45 73 20 61 72 65 20 74 68 65 6e 20 65 78 70 tes.received.by.PEs.are.then.exp
18b00 6f 72 74 65 64 20 74 6f 20 4c 33 56 50 4e 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 66 72 6f orted.to.L3VPN.and.delivered.fro
18b20 6d 20 53 70 6f 6b 65 20 73 69 74 65 73 20 74 6f 20 48 75 62 20 61 6e 64 20 76 69 73 65 2d 76 65 m.Spoke.sites.to.Hub.and.vise-ve
18b40 72 73 61 20 62 61 73 65 64 20 6f 6e 20 70 72 65 76 69 6f 75 73 6c 79 20 63 6f 6e 66 69 67 75 72 rsa.based.on.previously.configur
18b60 65 64 20 4c 33 56 50 4e 20 70 61 72 61 6d 65 74 65 72 73 2e 00 45 61 63 68 20 69 6e 74 65 72 66 ed.L3VPN.parameters..Each.interf
18b80 61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 20 74 6f 20 61 20 7a 6f 6e 65 2e 20 54 68 65 20 69 ace.is.assigned.to.a.zone..The.i
18ba0 6e 74 65 72 66 61 63 65 20 63 61 6e 20 62 65 20 70 68 79 73 69 63 61 6c 20 6f 72 20 76 69 72 74 nterface.can.be.physical.or.virt
18bc0 75 61 6c 20 73 75 63 68 20 61 73 20 74 75 6e 6e 65 6c 73 20 28 56 50 4e 2c 20 50 50 54 50 2c 20 ual.such.as.tunnels.(VPN,.PPTP,.
18be0 47 52 45 2c 20 65 74 63 29 20 61 6e 64 20 61 72 65 20 74 72 65 61 74 65 64 20 65 78 61 63 74 6c GRE,.etc).and.are.treated.exactl
18c00 79 20 74 68 65 20 73 61 6d 65 2e 00 45 61 63 68 20 6c 61 62 20 77 69 6c 6c 20 62 75 69 6c 64 20 y.the.same..Each.lab.will.build.
18c20 61 6e 20 74 65 73 74 20 66 72 6f 6d 20 61 6e 20 65 78 74 65 72 6e 61 6c 20 73 63 72 69 70 74 2e an.test.from.an.external.script.
18c40 20 54 68 65 20 70 61 67 65 20 63 6f 6e 74 65 6e 74 20 77 69 6c 6c 20 67 65 6e 65 72 61 74 65 2c .The.page.content.will.generate,
18c60 20 73 6f 20 63 68 61 6e 67 65 73 20 77 69 6c 6c 20 6e 6f 74 20 74 61 6b 65 20 61 6e 20 65 66 66 .so.changes.will.not.take.an.eff
18c80 65 63 74 2e 00 45 6e 61 62 6c 65 20 49 50 73 65 63 20 6f 6e 20 65 74 68 30 00 45 6e 61 62 6c 65 ect..Enable.IPsec.on.eth0.Enable
18ca0 20 4f 53 50 46 00 45 6e 61 62 6c 65 20 53 53 48 00 45 6e 61 62 6c 65 20 53 53 48 20 73 6f 20 79 .OSPF.Enable.SSH.Enable.SSH.so.y
18cc0 6f 75 20 63 61 6e 20 6e 6f 77 20 53 53 48 20 69 6e 74 6f 20 74 68 65 20 72 6f 75 74 65 72 73 2c ou.can.now.SSH.into.the.routers,
18ce0 20 72 61 74 68 65 72 20 74 68 61 6e 20 75 73 69 6e 67 20 74 68 65 20 63 6f 6e 73 6f 6c 65 2e 00 .rather.than.using.the.console..
18d00 45 6e 61 62 6c 65 73 20 72 6f 75 74 65 72 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 73 2e 20 54 Enables.router.advertisements..T
18d20 68 69 73 20 69 73 20 61 6e 20 49 50 76 36 20 61 6c 74 65 72 6e 61 74 69 76 65 20 66 6f 72 20 44 his.is.an.IPv6.alternative.for.D
18d40 48 43 50 20 28 74 68 6f 75 67 68 20 44 48 43 50 76 36 20 63 61 6e 20 73 74 69 6c 6c 20 62 65 20 HCP.(though.DHCPv6.can.still.be.
18d60 75 73 65 64 29 2e 20 57 69 74 68 20 52 41 73 2c 20 59 6f 75 72 20 64 65 76 69 63 65 73 20 77 69 used)..With.RAs,.Your.devices.wi
18d80 6c 6c 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 20 66 69 6e 64 20 74 68 65 20 69 6e 66 6f 72 6d ll.automatically.find.the.inform
18da0 61 74 69 6f 6e 20 74 68 65 79 20 6e 65 65 64 20 66 6f 72 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 ation.they.need.for.routing.and.
18dc0 44 4e 53 2e 00 45 76 65 6e 20 69 66 20 74 68 65 20 74 77 6f 20 7a 6f 6e 65 73 20 77 69 6c 6c 20 DNS..Even.if.the.two.zones.will.
18de0 6e 65 76 65 72 20 63 6f 6d 6d 75 6e 69 63 61 74 65 2c 20 69 74 20 69 73 20 61 20 67 6f 6f 64 20 never.communicate,.it.is.a.good.
18e00 69 64 65 61 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 idea.to.create.the.zone-pair-dir
18e20 65 63 74 69 6f 6e 20 72 75 6c 65 73 65 74 73 20 61 6e 64 20 73 65 74 20 64 65 66 61 75 6c 74 2d ection.rulesets.and.set.default-
18e40 6c 6f 67 2e 20 54 68 69 73 20 77 69 6c 6c 20 61 6c 6c 6f 77 20 79 6f 75 20 74 6f 20 6c 6f 67 20 log..This.will.allow.you.to.log.
18e60 61 74 74 65 6d 70 74 73 20 74 6f 20 61 63 63 65 73 73 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 2e attempts.to.access.the.networks.
18e80 20 57 69 74 68 6f 75 74 20 69 74 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 65 76 65 72 20 73 65 65 20 .Without.it,.you.will.never.see.
18ea0 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 61 74 74 65 6d 70 74 73 2e 00 45 76 65 6e 20 69 66 the.connection.attempts..Even.if
18ec0 20 74 68 65 20 74 77 6f 20 7a 6f 6e 65 73 20 77 69 6c 6c 20 6e 65 76 65 72 20 63 6f 6d 6d 75 6e .the.two.zones.will.never.commun
18ee0 69 63 61 74 65 2c 20 69 74 20 69 73 20 61 20 67 6f 6f 64 20 69 64 65 61 20 74 6f 20 63 72 65 61 icate,.it.is.a.good.idea.to.crea
18f00 74 65 20 74 68 65 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 72 75 6c 65 73 te.the.zone-pair-direction.rules
18f20 65 74 73 20 61 6e 64 20 73 65 74 20 65 6e 61 62 6c 65 2d 64 65 66 61 75 6c 74 2d 6c 6f 67 2e 20 ets.and.set.enable-default-log..
18f40 54 68 69 73 20 77 69 6c 6c 20 61 6c 6c 6f 77 20 79 6f 75 20 74 6f 20 6c 6f 67 20 61 74 74 65 6d This.will.allow.you.to.log.attem
18f60 70 74 73 20 74 6f 20 61 63 63 65 73 73 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 69 74 68 pts.to.access.the.networks..With
18f80 6f 75 74 20 69 74 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 65 76 65 72 20 73 65 65 20 74 68 65 20 63 out.it,.you.will.never.see.the.c
18fa0 6f 6e 6e 65 63 74 69 6f 6e 20 61 74 74 65 6d 70 74 73 2e 00 45 76 65 72 79 20 72 6f 75 74 65 72 onnection.attempts..Every.router
18fc0 20 2a 2a 6d 75 73 74 2a 2a 20 68 61 76 65 20 61 20 75 6e 69 71 75 65 20 72 6f 75 74 65 72 2d 69 .**must**.have.a.unique.router-i
18fe0 64 2e 20 54 68 65 20 27 72 65 66 65 72 65 6e 63 65 2d 62 61 6e 64 77 69 64 74 68 27 20 69 73 20 d..The.'reference-bandwidth'.is.
19000 75 73 65 64 20 62 65 63 61 75 73 65 20 77 68 65 6e 20 4f 53 50 46 20 77 61 73 20 6f 72 69 67 69 used.because.when.OSPF.was.origi
19020 6e 61 6c 6c 79 20 64 65 73 69 67 6e 65 64 2c 20 74 68 65 20 69 64 65 61 20 6f 66 20 61 20 6c 69 nally.designed,.the.idea.of.a.li
19040 6e 6b 20 66 61 73 74 65 72 20 74 68 61 6e 20 31 67 62 69 74 20 77 61 73 20 75 6e 68 65 61 72 64 nk.faster.than.1gbit.was.unheard
19060 20 6f 66 2c 20 61 6e 64 20 69 74 20 64 6f 65 73 20 6e 6f 74 20 73 63 61 6c 65 20 63 6f 72 72 65 .of,.and.it.does.not.scale.corre
19080 63 74 6c 79 2e 00 45 76 65 72 79 20 72 6f 75 74 65 72 20 74 68 61 74 20 70 72 6f 76 69 64 65 73 ctly..Every.router.that.provides
190a0 20 61 63 63 65 73 73 20 74 6f 20 61 20 63 75 73 74 6f 6d 65 72 20 6e 65 74 77 6f 72 6b 20 6e 65 .access.to.a.customer.network.ne
190c0 65 64 73 20 74 6f 20 68 61 76 65 20 74 68 65 20 63 75 73 74 6f 6d 65 72 20 6e 65 74 77 6f 72 6b eds.to.have.the.customer.network
190e0 20 28 56 52 46 20 2b 20 56 4e 49 29 20 63 6f 6e 66 69 67 75 72 65 64 2e 20 54 6f 20 6d 61 6b 65 .(VRF.+.VNI).configured..To.make
19100 20 6f 75 72 20 6f 77 6e 20 6c 69 76 65 73 20 65 61 73 69 65 72 2c 20 77 65 20 75 74 69 6c 69 7a .our.own.lives.easier,.we.utiliz
19120 65 20 74 68 65 20 73 61 6d 65 20 56 52 46 20 74 61 62 6c 65 20 69 64 20 28 6c 6f 63 61 6c 20 72 e.the.same.VRF.table.id.(local.r
19140 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6e 75 6d 62 65 72 29 20 61 6e 64 20 56 4e 49 20 28 56 69 outing.table.number).and.VNI.(Vi
19160 72 74 75 61 6c 20 4e 65 74 77 6f 72 6b 20 49 64 65 6e 74 69 66 69 65 72 29 20 70 65 72 20 74 65 rtual.Network.Identifier).per.te
19180 6e 61 6e 74 20 6f 6e 20 61 6c 6c 20 6f 75 72 20 72 6f 75 74 65 72 73 2e 00 45 76 65 72 79 20 74 nant.on.all.our.routers..Every.t
191a0 65 6e 61 6e 74 20 69 73 20 61 73 73 69 67 6e 65 64 20 61 6e 20 69 6e 64 69 76 69 64 75 61 6c 20 enant.is.assigned.an.individual.
191c0 56 52 46 20 74 68 61 74 20 77 6f 75 6c 64 20 73 75 70 70 6f 72 74 20 6f 76 65 72 6c 61 70 70 69 VRF.that.would.support.overlappi
191e0 6e 67 20 61 64 64 72 65 73 73 20 72 61 6e 67 65 73 20 66 6f 72 20 63 75 73 74 6f 6d 65 72 73 20 ng.address.ranges.for.customers.
19200 62 6c 75 65 2c 20 72 65 64 20 61 6e 64 20 67 72 65 65 6e 2e 20 49 6e 20 6f 75 72 20 65 78 61 6d blue,.red.and.green..In.our.exam
19220 70 6c 65 2c 20 77 65 20 64 6f 20 6e 6f 74 20 75 73 65 20 6f 76 65 72 6c 61 70 70 69 6e 67 20 72 ple,.we.do.not.use.overlapping.r
19240 61 6e 67 65 73 20 74 6f 20 6d 61 6b 65 20 69 74 20 65 61 73 69 65 72 20 77 68 65 6e 20 73 68 6f anges.to.make.it.easier.when.sho
19260 77 69 6e 67 20 64 65 62 75 67 20 63 6f 6d 6d 61 6e 64 73 2e 00 45 78 61 6d 70 6c 65 00 45 78 61 wing.debug.commands..Example.Exa
19280 6d 70 6c 65 20 31 3a 20 44 69 73 74 72 69 62 75 74 69 6e 67 20 6c 6f 61 64 20 65 76 65 6e 6c 79 mple.1:.Distributing.load.evenly
192a0 00 45 78 61 6d 70 6c 65 20 32 3a 20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 69 6e .Example.2:.Failover.based.on.in
192c0 74 65 72 66 61 63 65 20 77 65 69 67 68 74 73 00 45 78 61 6d 70 6c 65 20 33 3a 20 46 61 69 6c 6f terface.weights.Example.3:.Failo
192e0 76 65 72 20 62 61 73 65 64 20 6f 6e 20 72 75 6c 65 20 6f 72 64 65 72 00 45 78 61 6d 70 6c 65 20 ver.based.on.rule.order.Example.
19300 34 3a 20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 72 75 6c 65 20 6f 72 64 65 72 20 4:.Failover.based.on.rule.order.
19320 2d 20 70 72 69 6f 72 69 74 79 20 74 72 61 66 66 69 63 00 45 78 61 6d 70 6c 65 20 35 3a 20 45 78 -.priority.traffic.Example.5:.Ex
19340 63 6c 75 64 65 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 6c 6f 61 64 20 62 61 6c 61 6e 63 69 6e clude.traffic.from.load.balancin
19360 67 00 45 78 61 6d 70 6c 65 20 4e 65 74 77 6f 72 6b 00 46 69 6c 6c 20 60 60 70 61 73 73 77 6f 72 g.Example.Network.Fill.``passwor
19380 64 60 60 20 61 6e 64 20 60 60 75 73 65 72 60 60 20 77 69 74 68 20 74 68 65 20 63 72 65 64 65 6e d``.and.``user``.with.the.creden
193a0 74 69 61 6c 20 70 72 6f 76 69 64 65 64 20 62 79 20 79 6f 75 72 20 49 53 50 2e 00 46 69 6e 61 6c tial.provided.by.your.ISP..Final
193c0 6c 79 2c 20 64 6f 6e 27 74 20 66 6f 72 67 65 74 20 74 68 65 20 3a 72 65 66 3a 60 46 69 72 65 77 ly,.don't.forget.the.:ref:`Firew
193e0 61 6c 6c 3c 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 66 69 72 65 77 61 6c 6c 2f 69 6e 64 65 78 all<configuration/firewall/index
19400 3a 46 69 72 65 77 61 6c 6c 3e 60 2e 20 54 68 65 20 75 73 61 67 65 20 69 73 20 69 64 65 6e 74 69 :Firewall>`..The.usage.is.identi
19420 63 61 6c 2c 20 65 78 63 65 70 74 20 66 6f 72 20 69 6e 73 74 65 61 64 20 6f 66 20 60 73 65 74 20 cal,.except.for.instead.of.`set.
19440 66 69 72 65 77 61 6c 6c 20 6e 61 6d 65 20 4e 41 4d 45 60 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 firewall.name.NAME`,.you.would.u
19460 73 65 20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d 65 20 4e 41 4d 45 60 se.`set.firewall.ipv6-name.NAME`
19480 2e 00 46 69 6e 61 6c 6c 79 2c 20 64 6f 6e 27 74 20 66 6f 72 67 65 74 20 74 68 65 20 3a 72 65 66 ..Finally,.don't.forget.the.:ref
194a0 3a 60 66 69 72 65 77 61 6c 6c 60 2e 20 54 68 65 20 75 73 61 67 65 20 69 73 20 69 64 65 6e 74 69 :`firewall`..The.usage.is.identi
194c0 63 61 6c 2c 20 65 78 63 65 70 74 20 66 6f 72 20 69 6e 73 74 65 61 64 20 6f 66 20 60 73 65 74 20 cal,.except.for.instead.of.`set.
194e0 66 69 72 65 77 61 6c 6c 20 6e 61 6d 65 20 4e 41 4d 45 60 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 firewall.name.NAME`,.you.would.u
19500 73 65 20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d 65 20 4e 41 4d 45 60 se.`set.firewall.ipv6-name.NAME`
19520 2e 00 46 69 6e 61 6c 6c 79 2c 20 6c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 74 68 65 20 72 65 61 ..Finally,.let...s.check.the.rea
19540 63 68 61 62 69 6c 69 74 79 20 62 65 74 77 65 65 6e 20 43 45 73 3a 00 46 69 72 65 77 61 6c 6c 00 chability.between.CEs:.Firewall.
19560 46 69 72 65 77 61 6c 6c 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 46 69 72 65 77 61 6c 6c Firewall.Configuration:.Firewall
19580 20 45 78 61 6d 70 6c 65 73 00 46 69 72 73 74 20 61 20 43 41 2c 20 61 20 73 69 67 6e 65 64 20 73 .Examples.First.a.CA,.a.signed.s
195a0 65 72 76 65 72 20 61 6e 64 20 63 6c 69 65 6e 74 20 63 65 66 74 69 66 69 63 61 74 65 20 61 6e 64 erver.and.client.ceftificate.and
195c0 20 61 20 44 69 66 66 69 65 2d 48 65 6c 6c 6d 61 6e 20 70 61 72 61 6d 65 74 65 72 20 6d 75 73 73 .a.Diffie-Hellman.parameter.muss
195e0 74 20 62 65 20 67 65 6e 65 72 61 74 65 64 20 61 6e 64 20 69 6e 73 74 61 6c 6c 65 64 2e 20 50 6c t.be.generated.and.installed..Pl
19600 65 61 73 65 20 6c 6f 6f 6b 20 3a 72 65 66 3a 60 68 65 72 65 20 3c 63 6f 6e 66 69 67 75 72 61 74 ease.look.:ref:`here.<configurat
19620 69 6f 6e 2f 70 6b 69 2f 69 6e 64 65 78 3a 70 6b 69 3e 60 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 ion/pki/index:pki>`.for.more.inf
19640 6f 72 6d 61 74 69 6f 6e 2e 00 46 69 72 73 74 20 70 72 65 70 61 72 65 20 6f 75 72 20 56 79 4f 53 ormation..First.prepare.our.VyOS
19660 20 72 6f 75 74 65 72 20 66 6f 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 6f 20 4e 4d 50 2e 20 57 .router.for.connection.to.NMP..W
19680 65 20 68 61 76 65 20 74 6f 20 73 65 74 20 75 70 20 74 68 65 20 53 4e 4d 50 20 70 72 6f 74 6f 63 e.have.to.set.up.the.SNMP.protoc
196a0 6f 6c 20 61 6e 64 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 62 65 74 77 65 65 6e 20 74 68 65 20 ol.and.connectivity.between.the.
196c0 72 6f 75 74 65 72 20 61 6e 64 20 4e 4d 50 2e 00 46 69 72 73 74 20 74 68 65 20 43 41 00 46 69 72 router.and.NMP..First.the.CA.Fir
196e0 73 74 2c 20 77 65 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 60 60 76 79 6f 73 2d 77 61 6e 60 st,.we.configure.the.``vyos-wan`
19700 60 20 69 6e 74 65 72 66 61 63 65 20 74 6f 20 67 65 74 20 61 20 44 48 43 50 20 61 64 64 72 65 73 `.interface.to.get.a.DHCP.addres
19720 73 2e 00 46 69 72 73 74 2c 20 77 65 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 74 72 61 6e 73 s..First,.we.configure.the.trans
19740 70 6f 72 74 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 74 68 65 20 54 75 6e 6e 65 6c 20 69 6e 74 65 port.network.and.the.Tunnel.inte
19760 72 66 61 63 65 2e 00 46 69 72 73 74 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 63 6f 6e 66 69 67 75 rface..First,.we.need.to.configu
19780 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 61 6e 64 20 56 52 46 73 3a 00 46 69 72 73 re.the.interfaces.and.VRFs:.Firs
197a0 74 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 69 6e 74 65 t,.we.need.to.configure.the.inte
197c0 72 66 61 63 65 73 20 61 6e 64 20 62 72 69 64 67 65 73 3a 00 46 6c 65 78 56 50 4e 20 69 73 20 61 rfaces.and.bridges:.FlexVPN.is.a
197e0 20 6e 65 77 65 72 20 22 73 6f 6c 75 74 69 6f 6e 22 20 66 6f 72 20 64 65 70 6c 6f 79 6d 65 6e 74 .newer."solution".for.deployment
19800 20 6f 66 20 56 50 4e 73 20 61 6e 64 20 69 74 20 75 74 69 6c 69 7a 65 73 20 49 4b 45 76 32 20 61 .of.VPNs.and.it.utilizes.IKEv2.a
19820 73 20 74 68 65 20 6b 65 79 20 65 78 63 68 61 6e 67 65 20 70 72 6f 74 6f 63 6f 6c 2e 20 54 68 65 s.the.key.exchange.protocol..The
19840 20 72 65 73 75 6c 74 20 69 73 20 61 20 66 6c 65 78 69 62 6c 65 20 61 6e 64 20 73 63 61 6c 61 62 .result.is.a.flexible.and.scalab
19860 6c 65 20 56 50 4e 20 73 6f 6c 75 74 69 6f 6e 20 74 68 61 74 20 63 61 6e 20 62 65 20 65 61 73 69 le.VPN.solution.that.can.be.easi
19880 6c 79 20 61 64 61 70 74 65 64 20 74 6f 20 66 69 74 20 76 61 72 69 6f 75 73 20 6e 65 74 77 6f 72 ly.adapted.to.fit.various.networ
198a0 6b 20 6e 65 65 64 73 2e 20 49 74 20 63 61 6e 20 61 6c 73 6f 20 73 75 70 70 6f 72 74 20 61 20 76 k.needs..It.can.also.support.a.v
198c0 61 72 69 65 74 79 20 6f 66 20 65 6e 63 72 79 70 74 69 6f 6e 20 6d 65 74 68 6f 64 73 2c 20 69 6e ariety.of.encryption.methods,.in
198e0 63 6c 75 64 69 6e 67 20 41 45 53 20 61 6e 64 20 33 44 45 53 2e 00 46 6f 72 20 2a 2a 69 6e 62 6f cluding.AES.and.3DES..For.**inbo
19900 75 6e 64 2d 69 6e 74 65 72 66 61 63 65 2a 2a 3a 20 75 73 65 20 74 68 65 20 69 6e 74 65 72 66 61 und-interface**:.use.the.interfa
19920 63 65 20 6e 61 6d 65 20 77 69 74 68 20 74 68 65 20 56 52 46 20 6e 61 6d 65 2c 20 6c 69 6b 65 20 ce.name.with.the.VRF.name,.like.
19940 60 60 4d 47 4d 54 60 60 20 6f 72 20 60 60 4c 41 4e 60 60 2e 00 46 6f 72 20 2a 2a 6f 75 74 62 6f ``MGMT``.or.``LAN``..For.**outbo
19960 75 6e 64 2d 69 6e 74 65 72 66 61 63 65 2a 2a 3a 20 75 73 65 20 74 68 65 20 69 6e 74 65 72 66 61 und-interface**:.use.the.interfa
19980 63 65 20 6e 61 6d 65 2c 20 6c 69 6b 65 20 60 60 65 74 68 30 60 60 2c 20 60 60 76 74 75 6e 30 60 ce.name,.like.``eth0``,.``vtun0`
199a0 60 2c 20 60 60 65 74 68 32 2a 60 60 20 6f 72 20 73 69 6d 69 6c 61 72 2e 00 46 6f 72 20 63 6f 6e `,.``eth2*``.or.similar..For.con
199c0 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 73 69 74 65 73 2c 20 77 65 20 61 72 65 20 72 75 nection.between.sites,.we.are.ru
199e0 6e 6e 69 6e 67 20 61 20 57 69 72 65 47 75 61 72 64 20 6c 69 6e 6b 20 74 6f 20 74 77 6f 20 52 45 nning.a.WireGuard.link.to.two.RE
19a00 4d 4f 54 45 20 72 6f 75 74 65 72 73 20 61 6e 64 20 75 73 69 6e 67 20 4f 53 50 46 20 6f 76 65 72 MOTE.routers.and.using.OSPF.over
19a20 20 74 68 6f 73 65 20 6c 69 6e 6b 73 20 74 6f 20 64 69 73 74 72 69 62 75 74 65 20 72 6f 75 74 65 .those.links.to.distribute.route
19a40 73 2e 20 54 68 61 74 20 72 65 6d 6f 74 65 20 73 69 74 65 20 69 73 20 65 78 70 65 63 74 65 64 20 s..That.remote.site.is.expected.
19a60 74 6f 20 73 65 6e 64 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 61 6e 79 74 68 69 6e 67 20 69 6e to.send.traffic.from.anything.in
19a80 20 31 30 2e 32 30 31 2e 30 2e 30 2f 31 36 00 46 6f 72 20 65 78 61 6d 70 6c 65 2c 20 77 68 69 6c .10.201.0.0/16.For.example,.whil
19aa0 65 20 61 20 68 6f 73 74 20 74 72 69 65 73 20 74 6f 20 67 65 74 20 61 6e 20 49 50 20 61 64 64 72 e.a.host.tries.to.get.an.IP.addr
19ac0 65 73 73 20 66 72 6f 6d 20 61 20 44 48 43 50 20 73 65 72 76 65 72 20 69 6e 20 62 72 31 20 61 6c ess.from.a.DHCP.server.in.br1.al
19ae0 6c 20 44 48 43 50 20 64 69 73 63 6f 76 65 72 20 61 72 65 20 64 72 6f 70 70 65 64 2c 20 61 6e 64 l.DHCP.discover.are.dropped,.and
19b00 20 69 6e 20 62 72 32 2c 20 77 65 20 63 61 6e 20 73 65 65 20 74 68 61 74 20 44 48 43 50 20 6f 66 .in.br2,.we.can.see.that.DHCP.of
19b20 66 65 72 73 20 66 72 6f 6d 20 75 6e 74 72 75 73 74 65 64 20 73 65 72 76 65 72 73 20 61 72 65 20 fers.from.untrusted.servers.are.
19b40 64 72 6f 70 70 65 64 3a 00 46 6f 72 20 68 6f 6d 65 20 6e 65 74 77 6f 72 6b 20 75 73 65 72 73 2c dropped:.For.home.network.users,
19b60 20 6d 6f 73 74 20 6f 66 20 74 69 6d 65 20 49 53 50 20 6f 6e 6c 79 20 70 72 6f 76 69 64 65 73 20 .most.of.time.ISP.only.provides.
19b80 2f 36 34 20 70 72 65 66 69 78 2c 20 68 65 6e 63 65 20 74 68 65 72 65 20 69 73 20 6e 6f 20 6e 65 /64.prefix,.hence.there.is.no.ne
19ba0 65 64 20 74 6f 20 73 65 74 20 53 4c 41 20 49 44 20 61 6e 64 20 70 72 65 66 69 78 20 6c 65 6e 67 ed.to.set.SLA.ID.and.prefix.leng
19bc0 74 68 2e 20 53 65 65 20 3a 72 65 66 3a 60 70 70 70 6f 65 2d 69 6e 74 65 72 66 61 63 65 60 20 66 th..See.:ref:`pppoe-interface`.f
19be0 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 46 6f 72 20 72 65 64 75 6e 64 61 or.more.information..For.redunda
19c00 6e 74 20 2f 20 61 63 74 69 76 65 2d 61 63 74 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e nt./.active-active.configuration
19c20 73 20 73 65 65 20 3a 72 65 66 3a 60 65 78 61 6d 70 6c 65 73 2d 61 7a 75 72 65 2d 76 70 6e 2d 64 s.see.:ref:`examples-azure-vpn-d
19c40 75 61 6c 2d 62 67 70 60 00 46 6f 72 20 73 69 6d 70 6c 69 63 69 74 79 2c 20 63 6f 6e 66 69 67 75 ual-bgp`.For.simplicity,.configu
19c60 72 61 74 69 6f 6e 20 61 6e 64 20 74 65 73 74 73 20 61 72 65 20 64 6f 6e 65 20 6f 6e 6c 79 20 75 ration.and.tests.are.done.only.u
19c80 73 69 6e 67 20 49 50 76 34 2c 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 sing.IPv4,.and.firewall.configur
19ca0 61 74 69 6f 6e 20 69 73 20 64 6f 6e 65 20 6f 6e 6c 79 20 6f 6e 20 6f 6e 65 20 72 6f 75 74 65 72 ation.is.done.only.on.one.router
19cc0 2e 00 46 6f 72 20 73 69 6d 70 6c 69 63 69 74 79 2c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 ..For.simplicity,.configuration.
19ce0 61 6e 64 20 74 65 73 74 73 20 61 72 65 20 64 6f 6e 65 20 6f 6e 6c 79 20 75 73 69 6e 67 20 69 70 and.tests.are.done.only.using.ip
19d00 76 34 2c 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 v4,.and.firewall.configuration.i
19d20 6e 20 64 6f 6e 65 20 6f 6e 6c 79 20 6f 6e 20 6f 6e 65 20 72 6f 75 74 65 72 2e 00 46 6f 72 20 74 n.done.only.on.one.router..For.t
19d40 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2c 20 72 65 70 6c 61 63 65 20 60 60 65 74 he.hardware.router,.replace.``et
19d60 68 30 60 60 20 77 69 74 68 20 60 60 62 6f 6e 64 30 60 60 2e 20 41 73 20 28 61 6c 6d 6f 73 74 29 h0``.with.``bond0``..As.(almost)
19d80 20 65 76 65 72 79 20 63 6f 6d 6d 61 6e 64 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 74 68 69 .every.command.is.identical,.thi
19da0 73 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 73 70 65 63 69 66 69 65 64 20 75 6e 6c 65 73 73 20 64 s.will.not.be.specified.unless.d
19dc0 69 66 66 65 72 65 6e 74 20 74 68 69 6e 67 73 20 6e 65 65 64 20 74 6f 20 62 65 20 70 65 72 66 6f ifferent.things.need.to.be.perfo
19de0 72 6d 65 64 20 6f 6e 20 64 69 66 66 65 72 65 6e 74 20 68 6f 73 74 73 2e 00 46 72 6f 6d 20 44 61 rmed.on.different.hosts..From.Da
19e00 74 61 63 65 6e 74 65 72 20 2d 20 54 68 69 73 20 63 6f 6e 6e 65 63 74 73 20 69 6e 74 6f 20 70 6f tacenter.-.This.connects.into.po
19e20 72 74 20 31 20 6f 6e 20 62 6f 74 68 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 69 73 20 74 61 rt.1.on.both.switches,.and.is.ta
19e40 67 67 65 64 20 61 73 20 56 4c 41 4e 20 35 30 00 46 72 6f 6d 20 4d 61 6e 61 67 65 6d 65 6e 74 20 gged.as.VLAN.50.From.Management.
19e60 74 6f 20 4c 41 4e 31 2f 4c 41 4e 32 00 46 72 6f 6d 20 4d 61 6e 61 67 65 6d 65 6e 74 20 74 6f 20 to.LAN1/LAN2.From.Management.to.
19e80 4f 75 74 73 69 64 65 20 28 66 61 69 6c 73 20 61 73 20 69 6e 74 65 6e 64 65 64 29 00 46 75 6c 6c Outside.(fails.as.intended).Full
19ea0 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 61 6c 6c 20 64 65 76 69 63 65 73 00 .configuration.from.all.devices.
19ec0 47 52 45 3a 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 4c GRE:.General.information.about.L
19ee0 33 56 50 4e 73 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 3VPNs.can.be.found.in.the.:ref:`
19f00 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 76 72 66 2f 69 6e 64 65 78 3a 4c 33 56 50 4e 20 56 52 configuration/vrf/index:L3VPN.VR
19f20 46 73 60 20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e Fs`.chapter..General.information
19f40 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 63 6f 6e 66 69 .can.be.found.in.the.:ref:`confi
19f60 67 75 72 61 74 69 6f 6e 2f 76 72 66 2f 69 6e 64 65 78 3a 4c 33 56 50 4e 20 56 52 46 73 60 20 63 guration/vrf/index:L3VPN.VRFs`.c
19f80 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 hapter..General.information.can.
19fa0 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 72 6f 75 74 69 6e 67 2d 62 67 be.found.in.the.:ref:`routing-bg
19fc0 70 60 20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 p`.chapter..General.information.
19fe0 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 72 6f 75 74 69 6e can.be.found.in.the.:ref:`routin
1a000 67 2d 6f 73 70 66 60 20 63 68 61 70 74 65 72 2e 00 48 61 72 64 77 61 72 65 00 48 61 72 64 77 61 g-ospf`.chapter..Hardware.Hardwa
1a020 72 65 20 52 6f 75 74 65 72 20 2d 20 50 6f 72 74 20 38 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 re.Router.-.Port.8.of.each.switc
1a040 68 00 48 65 72 65 20 69 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 6e 20 49 50 76 36 20 h.Here.is.an.example.of.an.IPv6.
1a060 44 4d 5a 2d 57 41 4e 20 72 75 6c 65 73 65 74 2e 00 48 65 72 65 20 69 73 20 74 68 65 20 72 6f 75 DMZ-WAN.ruleset..Here.is.the.rou
1a080 74 69 6e 67 20 74 61 62 6c 65 73 20 73 68 6f 77 69 6e 67 20 74 68 65 20 4d 50 4c 53 20 73 65 67 ting.tables.showing.the.MPLS.seg
1a0a0 6d 65 6e 74 20 72 6f 75 74 69 6e 67 20 6c 61 62 65 6c 20 6f 70 65 72 61 74 69 6f 6e 73 3a 00 48 ment.routing.label.operations:.H
1a0c0 65 72 65 20 77 65 20 73 65 74 20 74 68 65 20 70 72 65 66 69 78 20 74 6f 20 60 60 3a 3a 2f 36 34 ere.we.set.the.prefix.to.``::/64
1a0e0 60 60 20 74 6f 20 69 6e 64 69 63 61 74 65 20 61 64 76 65 72 74 69 73 69 6e 67 20 61 6e 79 20 2f ``.to.indicate.advertising.any./
1a100 36 34 20 70 72 65 66 69 78 20 74 68 65 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 64.prefix.the.LAN.interface.is.a
1a120 73 73 69 67 6e 65 64 2e 00 48 65 72 65 20 77 65 20 75 73 65 20 74 68 65 20 70 72 65 66 69 78 20 ssigned..Here.we.use.the.prefix.
1a140 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 61 64 64 72 65 73 73 20 6f 66 20 65 74 68 31 to.configure.the.address.of.eth1
1a160 20 28 4c 41 4e 29 20 74 6f 20 66 6f 72 6d 20 60 60 3c 70 72 65 66 69 78 3e 3a 3a 36 34 60 60 2c .(LAN).to.form.``<prefix>::64``,
1a180 20 77 68 65 72 65 20 60 60 36 34 60 60 20 69 73 20 68 65 78 61 64 65 63 69 6d 61 6c 20 6f 66 20 .where.``64``.is.hexadecimal.of.
1a1a0 61 64 64 72 65 73 73 20 31 30 30 2e 00 48 69 67 68 20 41 76 61 69 6c 61 62 69 6c 69 74 79 20 57 address.100..High.Availability.W
1a1c0 61 6c 6b 74 68 72 6f 75 67 68 00 48 6f 77 20 64 6f 65 73 20 69 74 20 77 6f 72 6b 3f 00 48 75 62 alkthrough.How.does.it.work?.Hub
1a1e0 00 49 20 63 68 6f 73 65 20 74 6f 20 72 75 6e 20 4f 53 50 46 20 61 73 20 74 68 65 20 49 47 50 20 .I.chose.to.run.OSPF.as.the.IGP.
1a200 28 49 6e 74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f 74 6f 63 6f 6c 29 2e 20 41 6c 6c (Interior.Gateway.Protocol)..All
1a220 20 72 65 71 75 69 72 65 64 20 42 47 50 20 73 65 73 73 69 6f 6e 73 20 61 72 65 20 65 73 74 61 62 .required.BGP.sessions.are.estab
1a240 6c 69 73 68 65 64 20 76 69 61 20 61 20 64 75 6d 6d 79 20 69 6e 74 65 72 66 61 63 65 73 20 28 73 lished.via.a.dummy.interfaces.(s
1a260 69 6d 69 6c 61 72 20 74 6f 20 74 68 65 20 6c 6f 6f 70 62 61 63 6b 2c 20 62 75 74 20 69 6e 20 4c imilar.to.the.loopback,.but.in.L
1a280 69 6e 75 78 20 79 6f 75 20 63 61 6e 20 68 61 76 65 20 6f 6e 6c 79 20 6f 6e 65 20 6c 6f 6f 70 62 inux.you.can.have.only.one.loopb
1a2a0 61 63 6b 2c 20 77 68 69 6c 65 20 74 68 65 72 65 20 63 61 6e 20 62 65 20 6d 61 6e 79 20 64 75 6d ack,.while.there.can.be.many.dum
1a2c0 6d 79 20 69 6e 74 65 72 66 61 63 65 73 29 20 6f 6e 20 74 68 65 20 50 45 20 72 6f 75 74 65 72 73 my.interfaces).on.the.PE.routers
1a2e0 2e 20 49 6e 20 63 61 73 65 20 6f 66 20 61 20 6c 69 6e 6b 20 66 61 69 6c 75 72 65 2c 20 74 72 61 ..In.case.of.a.link.failure,.tra
1a300 66 66 69 63 20 69 73 20 64 69 76 65 72 74 65 64 20 69 6e 20 74 68 65 20 6f 74 68 65 72 20 64 69 ffic.is.diverted.in.the.other.di
1a320 72 65 63 74 69 6f 6e 20 69 6e 20 74 68 69 73 20 74 72 69 61 6e 67 6c 65 20 73 65 74 75 70 20 61 rection.in.this.triangle.setup.a
1a340 6e 64 20 42 47 50 20 73 65 73 73 69 6f 6e 73 20 77 69 6c 6c 20 6e 6f 74 20 67 6f 20 64 6f 77 6e nd.BGP.sessions.will.not.go.down
1a360 2e 20 4f 6e 65 20 63 6f 75 6c 64 20 65 76 65 6e 20 65 6e 61 62 6c 65 20 42 46 44 20 28 42 69 64 ..One.could.even.enable.BFD.(Bid
1a380 69 72 65 63 74 69 6f 6e 61 6c 20 46 6f 72 77 61 72 64 69 6e 67 20 44 65 74 65 63 74 69 6f 6e 29 irectional.Forwarding.Detection)
1a3a0 20 6f 6e 20 74 68 65 20 6c 69 6e 6b 73 20 66 6f 72 20 61 20 66 61 73 74 65 72 20 66 61 69 6c 6f .on.the.links.for.a.faster.failo
1a3c0 76 65 72 20 61 6e 64 20 72 65 73 69 6c 69 65 6e 63 65 20 69 6e 20 74 68 65 20 6e 65 74 77 6f 72 ver.and.resilience.in.the.networ
1a3e0 6b 2e 00 49 20 63 72 65 61 74 65 2f 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 69 6e 74 65 72 66 k..I.create/configure.the.interf
1a400 61 63 65 73 20 66 69 72 73 74 2e 20 42 75 69 6c 64 20 6f 75 74 20 74 68 65 20 72 75 6c 65 73 65 aces.first..Build.out.the.rulese
1a420 74 73 20 66 6f 72 20 65 61 63 68 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 ts.for.each.zone-pair-direction.
1a440 77 68 69 63 68 20 69 6e 63 6c 75 64 65 73 20 61 74 20 6c 65 61 73 74 20 74 68 65 20 74 68 72 65 which.includes.at.least.the.thre
1a460 65 20 73 74 61 74 65 20 72 75 6c 65 73 2e 20 54 68 65 6e 20 49 20 73 65 74 75 70 20 74 68 65 20 e.state.rules..Then.I.setup.the.
1a480 7a 6f 6e 65 2d 70 6f 6c 69 63 69 65 73 2e 00 49 20 6e 61 6d 65 20 72 75 6c 65 20 73 65 74 73 20 zone-policies..I.name.rule.sets.
1a4a0 74 6f 20 69 6e 64 69 63 61 74 65 20 77 68 69 63 68 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 to.indicate.which.zone-pair-dire
1a4c0 63 74 69 6f 6e 20 74 68 65 79 20 72 65 70 72 65 73 65 6e 74 2e 20 65 67 2e 20 5a 6f 6e 65 41 2d ction.they.represent..eg..ZoneA-
1a4e0 5a 6f 6e 65 42 20 6f 72 20 5a 6f 6e 65 42 2d 5a 6f 6e 65 41 2e 20 4c 41 4e 2d 44 4d 5a 2c 20 44 ZoneB.or.ZoneB-ZoneA..LAN-DMZ,.D
1a500 4d 5a 2d 4c 41 4e 2e 00 49 20 6e 61 6d 65 64 20 74 68 65 20 63 75 73 74 6f 6d 65 72 73 20 62 6c MZ-LAN..I.named.the.customers.bl
1a520 75 65 2c 20 72 65 64 20 61 6e 64 20 67 72 65 65 6e 20 77 68 69 63 68 20 69 73 20 63 6f 6d 6d 6f ue,.red.and.green.which.is.commo
1a540 6e 20 70 72 61 63 74 69 63 65 20 69 6e 20 56 52 46 20 28 56 69 72 74 75 61 6c 20 52 6f 75 74 69 n.practice.in.VRF.(Virtual.Routi
1a560 6e 67 20 61 6e 64 20 46 6f 72 77 61 72 64 69 6e 67 29 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e ng.and.Forwarding).documentation
1a580 20 73 63 65 6e 61 72 69 6f 73 2e 00 49 20 73 70 75 6e 20 75 70 20 61 20 6e 65 77 20 6c 61 62 20 .scenarios..I.spun.up.a.new.lab.
1a5a0 69 6e 20 45 56 45 2d 4e 47 2c 20 77 68 69 63 68 20 72 65 70 72 65 73 65 6e 74 73 20 74 68 69 73 in.EVE-NG,.which.represents.this
1a5c0 20 61 73 20 74 68 65 20 22 46 6f 6f 20 42 61 72 20 2d 20 53 65 72 76 69 63 65 20 50 72 6f 76 69 .as.the."Foo.Bar.-.Service.Provi
1a5e0 64 65 72 20 49 6e 63 2e 22 20 74 68 61 74 20 68 61 73 20 33 20 70 6f 69 6e 74 73 20 6f 66 20 70 der.Inc.".that.has.3.points.of.p
1a600 72 65 73 65 6e 63 65 20 28 50 6f 50 29 20 69 6e 20 72 61 6e 64 6f 6d 20 64 61 74 61 63 65 6e 74 resence.(PoP).in.random.datacent
1a620 65 72 73 2f 73 69 74 65 73 20 6e 61 6d 65 64 20 50 45 31 2c 20 50 45 32 2c 20 61 6e 64 20 50 45 ers/sites.named.PE1,.PE2,.and.PE
1a640 33 2e 20 45 61 63 68 20 50 6f 50 20 61 67 67 72 65 67 61 74 65 73 20 61 74 20 6c 65 61 73 74 20 3..Each.PoP.aggregates.at.least.
1a660 74 77 6f 20 63 75 73 74 6f 6d 65 72 73 2e 00 49 50 20 53 63 68 65 6d 61 00 49 50 20 66 69 72 65 two.customers..IP.Schema.IP.fire
1a680 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 49 50 2f 4d 50 4c 53 20 74 65 63 68 6e wall.configuration.IP/MPLS.techn
1a6a0 6f 6c 6f 67 79 20 69 73 20 77 69 64 65 6c 79 20 75 73 65 64 20 62 79 20 76 61 72 69 6f 75 73 20 ology.is.widely.used.by.various.
1a6c0 73 65 72 76 69 63 65 20 70 72 6f 76 69 64 65 72 73 20 61 6e 64 20 6c 61 72 67 65 20 65 6e 74 65 service.providers.and.large.ente
1a6e0 72 70 72 69 73 65 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 61 63 68 69 65 76 65 20 62 65 74 74 rprises.in.order.to.achieve.bett
1a700 65 72 20 6e 65 74 77 6f 72 6b 20 73 63 61 6c 61 62 69 6c 69 74 79 2c 20 6d 61 6e 61 67 65 61 62 er.network.scalability,.manageab
1a720 69 6c 69 74 79 20 61 6e 64 20 66 6c 65 78 69 62 69 6c 69 74 79 2e 20 49 74 20 61 6c 73 6f 20 70 ility.and.flexibility..It.also.p
1a740 72 6f 76 69 64 65 73 20 74 68 65 20 70 6f 73 73 69 62 69 6c 69 74 79 20 74 6f 20 64 65 6c 69 76 rovides.the.possibility.to.deliv
1a760 65 72 20 64 69 66 66 65 72 65 6e 74 20 73 65 72 76 69 63 65 73 20 66 6f 72 20 74 68 65 20 63 75 er.different.services.for.the.cu
1a780 73 74 6f 6d 65 72 73 20 69 6e 20 61 20 73 65 61 6d 6c 65 73 73 20 6d 61 6e 6e 65 72 2e 20 4c 61 stomers.in.a.seamless.manner..La
1a7a0 79 65 72 20 33 20 56 50 4e 20 28 4c 33 56 50 4e 29 20 69 73 20 61 20 74 79 70 65 20 6f 66 20 56 yer.3.VPN.(L3VPN).is.a.type.of.V
1a7c0 50 4e 20 6d 6f 64 65 20 74 68 61 74 20 69 73 20 62 75 69 6c 74 20 61 6e 64 20 64 65 6c 69 76 65 PN.mode.that.is.built.and.delive
1a7e0 72 65 64 20 74 68 72 6f 75 67 68 20 4f 53 49 20 6c 61 79 65 72 20 33 20 6e 65 74 77 6f 72 6b 69 red.through.OSI.layer.3.networki
1a800 6e 67 20 74 65 63 68 6e 6f 6c 6f 67 69 65 73 2e 20 4f 66 74 65 6e 20 74 68 65 20 62 6f 72 64 65 ng.technologies..Often.the.borde
1a820 72 20 67 61 74 65 77 61 79 20 70 72 6f 74 6f 63 6f 6c 20 28 42 47 50 29 20 69 73 20 75 73 65 64 r.gateway.protocol.(BGP).is.used
1a840 20 74 6f 20 73 65 6e 64 20 61 6e 64 20 72 65 63 65 69 76 65 20 56 50 4e 2d 72 65 6c 61 74 65 64 .to.send.and.receive.VPN-related
1a860 20 64 61 74 61 20 74 68 61 74 20 69 73 20 72 65 73 70 6f 6e 73 69 62 6c 65 20 66 6f 72 20 74 68 .data.that.is.responsible.for.th
1a880 65 20 63 6f 6e 74 72 6f 6c 20 70 6c 61 6e 65 2e 20 4c 33 56 50 4e 20 75 74 69 6c 69 7a 65 73 20 e.control.plane..L3VPN.utilizes.
1a8a0 76 69 72 74 75 61 6c 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 66 6f 72 77 61 72 64 69 6e 67 20 28 virtual.routing.and.forwarding.(
1a8c0 56 52 46 29 20 74 65 63 68 6e 69 71 75 65 73 20 74 6f 20 72 65 63 65 69 76 65 20 61 6e 64 20 64 VRF).techniques.to.receive.and.d
1a8e0 65 6c 69 76 65 72 20 75 73 65 72 20 64 61 74 61 20 61 73 20 77 65 6c 6c 20 61 73 20 73 65 70 61 eliver.user.data.as.well.as.sepa
1a900 72 61 74 65 20 64 61 74 61 20 70 6c 61 6e 65 73 20 6f 66 20 74 68 65 20 65 6e 64 2d 75 73 65 72 rate.data.planes.of.the.end-user
1a920 73 2e 20 49 74 20 69 73 20 62 75 69 6c 74 20 75 73 69 6e 67 20 61 20 63 6f 6d 62 69 6e 61 74 69 s..It.is.built.using.a.combinati
1a940 6f 6e 20 6f 66 20 49 50 2d 20 61 6e 64 20 4d 50 4c 53 2d 62 61 73 65 64 20 69 6e 66 6f 72 6d 61 on.of.IP-.and.MPLS-based.informa
1a960 74 69 6f 6e 2e 20 47 65 6e 65 72 61 6c 6c 79 2c 20 4c 33 56 50 4e 73 20 61 72 65 20 75 73 65 64 tion..Generally,.L3VPNs.are.used
1a980 20 74 6f 20 73 65 6e 64 20 64 61 74 61 20 6f 6e 20 62 61 63 6b 2d 65 6e 64 20 56 50 4e 20 69 6e .to.send.data.on.back-end.VPN.in
1a9a0 66 72 61 73 74 72 75 63 74 75 72 65 73 2c 20 73 75 63 68 20 61 73 20 66 6f 72 20 56 50 4e 20 63 frastructures,.such.as.for.VPN.c
1a9c0 6f 6e 6e 65 63 74 69 6f 6e 73 20 62 65 74 77 65 65 6e 20 64 61 74 61 20 63 65 6e 74 72 65 73 2c onnections.between.data.centres,
1a9e0 20 48 51 73 20 61 6e 64 20 62 72 61 6e 63 68 65 73 2e 00 49 50 53 65 63 20 63 6f 6e 66 69 67 75 .HQs.and.branches..IPSec.configu
1aa00 72 61 74 69 6f 6e 3a 00 49 50 73 65 63 3a 00 49 50 76 34 20 4e 65 74 77 6f 72 6b 00 49 50 76 34 ration:.IPsec:.IPv4.Network.IPv4
1aa20 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 73 65 74 3a 00 49 50 76 36 20 4e 65 74 77 6f 72 6b 00 49 .firewall.rulset:.IPv6.Network.I
1aa40 50 76 36 20 54 75 6e 6e 65 6c 00 49 53 49 53 2d 53 52 20 65 78 61 6d 70 6c 65 20 6e 65 74 77 6f Pv6.Tunnel.ISIS-SR.example.netwo
1aa60 72 6b 00 49 53 49 53 2d 53 52 20 6e 65 74 77 6f 72 6b 00 49 53 50 00 49 66 20 60 73 6f 75 72 63 rk.ISIS-SR.network.ISP.If.`sourc
1aa80 65 2d 61 64 64 72 65 73 73 60 20 69 73 20 20 64 79 6e 61 6d 69 63 2c 20 74 68 65 20 74 75 6e 6e e-address`.is..dynamic,.the.tunn
1aaa0 65 6c 20 77 69 6c 6c 20 63 65 61 73 65 20 77 6f 72 6b 69 6e 67 20 6f 6e 63 65 20 74 68 65 20 61 el.will.cease.working.once.the.a
1aac0 64 64 72 65 73 73 20 63 68 61 6e 67 65 73 2e 20 54 6f 20 61 76 6f 69 64 20 68 61 76 69 6e 67 20 ddress.changes..To.avoid.having.
1aae0 74 6f 20 6d 61 6e 75 61 6c 6c 79 20 75 70 64 61 74 65 20 60 73 6f 75 72 63 65 2d 61 64 64 72 65 to.manually.update.`source-addre
1ab00 73 73 60 20 65 61 63 68 20 74 69 6d 65 20 74 68 65 20 64 79 6e 61 6d 69 63 20 49 50 20 63 68 61 ss`.each.time.the.dynamic.IP.cha
1ab20 6e 67 65 73 2c 20 61 6e 20 61 64 64 72 65 73 73 20 6f 66 20 27 30 2e 30 2e 30 2e 30 27 20 63 61 nges,.an.address.of.'0.0.0.0'.ca
1ab40 6e 20 62 65 20 73 70 65 63 69 66 69 65 64 2e 00 49 66 20 74 68 65 20 63 6c 69 65 6e 74 20 69 73 n.be.specified..If.the.client.is
1ab60 20 63 6f 6e 6e 65 63 74 20 73 75 63 63 65 73 73 66 75 6c 6c 79 20 79 6f 75 20 63 61 6e 20 63 68 .connect.successfully.you.can.ch
1ab80 65 63 6b 20 74 68 65 20 6f 75 74 70 75 74 20 77 69 74 68 00 49 66 20 74 68 65 20 63 6c 69 65 6e eck.the.output.with.If.the.clien
1aba0 74 20 69 73 20 63 6f 6e 6e 65 63 74 65 64 20 73 75 63 63 65 73 73 66 75 6c 6c 79 20 79 6f 75 20 t.is.connected.successfully.you.
1abc0 63 61 6e 20 63 68 65 63 6b 20 74 68 65 20 73 74 61 74 75 73 00 49 66 20 77 65 20 6e 65 65 64 20 can.check.the.status.If.we.need.
1abe0 74 6f 20 72 65 74 72 69 65 76 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 61 20 to.retrieve.information.about.a.
1ac00 73 70 65 63 69 66 69 63 20 68 6f 73 74 2f 6e 65 74 77 6f 72 6b 20 69 6e 73 69 64 65 20 74 68 65 specific.host/network.inside.the
1ac20 20 45 56 50 4e 20 6e 65 74 77 6f 72 6b 20 77 65 20 6e 65 65 64 20 74 6f 20 72 75 6e 00 49 66 20 .EVPN.network.we.need.to.run.If.
1ac40 79 6f 75 20 61 72 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 74 68 72 6f 75 67 68 20 74 68 69 73 20 64 you.are.following.through.this.d
1ac60 6f 63 75 6d 65 6e 74 2c 20 69 74 20 69 73 20 73 74 72 6f 6e 67 6c 79 20 73 75 67 67 65 73 74 65 ocument,.it.is.strongly.suggeste
1ac80 64 20 79 6f 75 20 63 6f 6d 70 6c 65 74 65 20 74 68 65 20 65 6e 74 69 72 65 20 64 6f 63 75 6d 65 d.you.complete.the.entire.docume
1aca0 6e 74 2c 20 4f 4e 4c 59 20 64 6f 69 6e 67 20 74 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 nt,.ONLY.doing.the.virtual.route
1acc0 72 31 20 73 74 65 70 73 2c 20 61 6e 64 20 74 68 65 6e 20 63 6f 6d 65 20 62 61 63 6b 20 61 6e 64 r1.steps,.and.then.come.back.and
1ace0 20 77 61 6c 6b 20 74 68 72 6f 75 67 68 20 69 74 20 41 47 41 49 4e 20 6f 6e 20 74 68 65 20 62 61 .walk.through.it.AGAIN.on.the.ba
1ad00 63 6b 75 70 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 49 66 20 79 6f 75 20 61 72 65 ckup.hardware.router..If.you.are
1ad20 20 75 73 69 6e 67 20 61 20 49 50 76 36 20 74 75 6e 6e 65 6c 20 66 72 6f 6d 20 48 45 2e 6e 65 74 .using.a.IPv6.tunnel.from.HE.net
1ad40 20 6f 72 20 73 6f 6d 65 6f 6e 65 20 65 6c 73 65 2c 20 74 68 65 20 62 61 73 69 73 20 69 73 20 74 .or.someone.else,.the.basis.is.t
1ad60 68 65 20 73 61 6d 65 20 65 78 63 65 70 74 20 79 6f 75 20 68 61 76 65 20 74 77 6f 20 57 41 4e 20 he.same.except.you.have.two.WAN.
1ad80 69 6e 74 65 72 66 61 63 65 73 2e 20 4f 6e 65 20 66 6f 72 20 76 34 20 61 6e 64 20 6f 6e 65 20 66 interfaces..One.for.v4.and.one.f
1ada0 6f 72 20 76 36 2e 00 49 66 20 79 6f 75 20 75 73 65 20 61 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 or.v6..If.you.use.a.routing.prot
1adc0 6f 63 6f 6c 20 69 74 73 65 6c 66 2c 20 79 6f 75 20 73 6f 6c 76 65 20 74 77 6f 20 70 72 6f 62 6c ocol.itself,.you.solve.two.probl
1ade0 65 6d 73 20 61 74 20 6f 6e 63 65 2e 20 54 68 69 73 20 69 73 20 6f 6e 6c 79 20 61 20 62 61 73 69 ems.at.once..This.is.only.a.basi
1ae00 63 20 65 78 61 6d 70 6c 65 2c 20 61 6e 64 20 69 73 20 70 72 6f 76 69 64 65 64 20 61 73 20 61 20 c.example,.and.is.provided.as.a.
1ae20 73 74 61 72 74 69 6e 67 20 70 6f 69 6e 74 2e 00 49 66 20 79 6f 75 72 20 63 6f 6d 70 75 74 65 72 starting.point..If.your.computer
1ae40 20 69 73 20 6f 6e 20 74 68 65 20 4c 41 4e 20 61 6e 64 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 53 .is.on.the.LAN.and.you.need.to.S
1ae60 53 48 20 69 6e 74 6f 20 79 6f 75 72 20 56 79 4f 53 20 62 6f 78 2c 20 79 6f 75 20 77 6f 75 6c 64 SH.into.your.VyOS.box,.you.would
1ae80 20 6e 65 65 64 20 61 20 72 75 6c 65 20 74 6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e 20 74 68 65 20 .need.a.rule.to.allow.it.in.the.
1aea0 4c 41 4e 2d 4c 6f 63 61 6c 20 72 75 6c 65 73 65 74 2e 20 49 66 20 79 6f 75 20 77 61 6e 74 20 74 LAN-Local.ruleset..If.you.want.t
1aec0 6f 20 61 63 63 65 73 73 20 61 20 77 65 62 70 61 67 65 20 66 72 6f 6d 20 79 6f 75 72 20 56 79 4f o.access.a.webpage.from.your.VyO
1aee0 53 20 62 6f 78 2c 20 79 6f 75 20 6e 65 65 64 20 61 20 72 75 6c 65 20 74 6f 20 61 6c 6c 6f 77 20 S.box,.you.need.a.rule.to.allow.
1af00 69 74 20 69 6e 20 74 68 65 20 4c 6f 63 61 6c 2d 4c 41 4e 20 72 75 6c 65 73 65 74 2e 00 49 6d 61 it.in.the.Local-LAN.ruleset..Ima
1af20 67 65 20 6e 61 6d 65 3a 20 76 79 6f 73 2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 ge.name:.vyos-1.4-rolling-202110
1af40 33 31 30 33 31 37 2d 61 6d 64 36 34 2e 69 73 6f 00 49 6e 20 3a 76 79 74 61 73 6b 3a 60 54 32 31 310317-amd64.iso.In.:vytask:`T21
1af60 39 39 60 20 74 68 65 20 73 79 6e 74 61 78 20 6f 66 20 74 68 65 20 7a 6f 6e 65 20 63 6f 6e 66 69 99`.the.syntax.of.the.zone.confi
1af80 67 75 72 61 74 69 6f 6e 20 77 61 73 20 63 68 61 6e 67 65 64 2e 20 54 68 65 20 7a 6f 6e 65 20 63 guration.was.changed..The.zone.c
1afa0 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6d 6f 76 65 64 20 66 72 6f 6d 20 60 60 7a 6f 6e 65 2d 70 onfiguration.moved.from.``zone-p
1afc0 6f 6c 69 63 79 20 7a 6f 6e 65 20 3c 6e 61 6d 65 3e 60 60 20 74 6f 20 60 60 66 69 72 65 77 61 6c olicy.zone.<name>``.to.``firewal
1afe0 6c 20 7a 6f 6e 65 20 3c 6e 61 6d 65 3e 60 60 2e 00 49 6e 20 56 79 4f 53 20 79 6f 75 20 6d 75 73 l.zone.<name>``..In.VyOS.you.mus
1b000 74 20 68 61 76 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 63 72 65 61 74 65 64 20 62 65 t.have.the.interfaces.created.be
1b020 66 6f 72 65 20 79 6f 75 20 63 61 6e 20 61 70 70 6c 79 20 69 74 20 74 6f 20 74 68 65 20 7a 6f 6e fore.you.can.apply.it.to.the.zon
1b040 65 20 61 6e 64 20 74 68 65 20 72 75 6c 65 73 65 74 73 20 6d 75 73 74 20 62 65 20 63 72 65 61 74 e.and.the.rulesets.must.be.creat
1b060 65 64 20 70 72 69 6f 72 20 74 6f 20 61 70 70 6c 79 69 6e 67 20 69 74 20 74 6f 20 61 20 7a 6f 6e ed.prior.to.applying.it.to.a.zon
1b080 65 2d 70 6f 6c 69 63 79 2e 00 49 6e 20 56 79 4f 53 2c 20 79 6f 75 20 68 61 76 65 20 74 6f 20 68 e-policy..In.VyOS,.you.have.to.h
1b0a0 61 76 65 20 75 6e 69 71 75 65 20 52 75 6c 65 73 65 74 20 6e 61 6d 65 73 2e 20 49 6e 20 74 68 65 ave.unique.Ruleset.names..In.the
1b0c0 20 65 76 65 6e 74 20 6f 66 20 6f 76 65 72 6c 61 70 2c 20 49 20 61 64 64 20 61 20 22 2d 36 22 20 .event.of.overlap,.I.add.a."-6".
1b0e0 74 6f 20 74 68 65 20 65 6e 64 20 6f 66 20 76 36 20 72 75 6c 65 73 65 74 73 2e 20 65 67 2e 20 4c to.the.end.of.v6.rulesets..eg..L
1b100 41 4e 2d 44 4d 5a 2c 20 4c 41 4e 2d 44 4d 5a 2d 36 2e 20 54 68 69 73 20 61 6c 6c 6f 77 73 20 66 AN-DMZ,.LAN-DMZ-6..This.allows.f
1b120 6f 72 20 65 61 63 68 20 61 75 74 6f 2d 63 6f 6d 70 6c 65 74 69 6f 6e 20 61 6e 64 20 75 6e 69 71 or.each.auto-completion.and.uniq
1b140 75 65 6e 65 73 73 2e 00 49 6e 20 72 75 6c 65 73 2c 20 69 74 20 69 73 20 67 6f 6f 64 20 74 6f 20 ueness..In.rules,.it.is.good.to.
1b160 6b 65 65 70 20 74 68 65 6d 20 6e 61 6d 65 64 20 63 6f 6e 73 69 73 74 65 6e 74 6c 79 2e 20 41 73 keep.them.named.consistently..As
1b180 20 74 68 65 20 6e 75 6d 62 65 72 20 6f 66 20 72 75 6c 65 73 20 79 6f 75 20 68 61 76 65 20 67 72 .the.number.of.rules.you.have.gr
1b1a0 6f 77 73 2c 20 74 68 65 20 6d 6f 72 65 20 63 6f 6e 73 69 73 74 65 6e 63 79 20 79 6f 75 20 68 61 ows,.the.more.consistency.you.ha
1b1c0 76 65 2c 20 74 68 65 20 65 61 73 69 65 72 20 79 6f 75 72 20 6c 69 66 65 20 77 69 6c 6c 20 62 65 ve,.the.easier.your.life.will.be
1b1e0 2e 00 49 6e 20 74 68 65 20 61 62 6f 76 65 20 65 78 61 6d 70 6c 65 73 2c 20 31 2c 32 2c 66 66 66 ..In.the.above.examples,.1,2,fff
1b200 66 20 61 72 65 20 61 6c 6c 20 63 68 6f 73 65 6e 20 62 79 20 79 6f 75 2e 20 59 6f 75 20 63 61 6e f.are.all.chosen.by.you..You.can
1b220 20 75 73 65 20 31 2d 66 66 66 66 20 28 31 2d 36 35 35 33 35 29 2e 00 49 6e 20 74 68 65 20 65 6e .use.1-ffff.(1-65535)..In.the.en
1b240 64 2c 20 6f 6e 20 74 68 65 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 77 65 20 d,.on.the.router....VyOS2....we.
1b260 77 69 6c 6c 20 73 65 74 20 6f 75 74 67 6f 69 6e 67 20 62 61 6e 64 77 69 64 74 68 20 6c 69 6d 69 will.set.outgoing.bandwidth.limi
1b280 74 73 20 62 65 74 77 65 65 6e 20 74 68 65 20 e2 80 9c 56 79 4f 53 33 e2 80 9d 20 61 6e 64 20 e2 ts.between.the....VyOS3....and..
1b2a0 80 9c 56 79 4f 53 31 e2 80 9d 20 72 6f 75 74 65 72 73 2e 20 4c 65 74 27 73 20 73 65 74 20 61 20 ..VyOS1....routers..Let's.set.a.
1b2c0 6c 69 6d 69 74 20 66 6f 72 20 49 50 20 31 30 2e 31 2e 31 2e 31 30 30 20 3d 20 35 20 4d 62 70 73 limit.for.IP.10.1.1.100.=.5.Mbps
1b2e0 28 54 78 29 2e 20 57 65 20 77 69 6c 6c 20 63 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 20 6f (Tx)..We.will.check.the.result.o
1b300 66 20 74 68 65 20 77 6f 72 6b 20 77 69 74 68 20 74 68 65 20 68 65 6c 70 20 6f 66 20 74 68 65 20 f.the.work.with.the.help.of.the.
1b320 e2 80 9c 69 50 65 72 66 e2 80 9d 20 75 74 69 6c 69 74 79 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c ...iPerf....utility..In.the.end,
1b340 20 77 65 20 77 69 6c 6c 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 74 72 61 66 66 69 63 20 73 .we.will.configure.the.traffic.s
1b360 68 61 70 65 72 20 75 73 69 6e 67 20 51 6f 53 20 6d 65 63 68 61 6e 69 73 6d 73 20 6f 6e 20 74 68 haper.using.QoS.mechanisms.on.th
1b380 65 20 e2 80 9c 56 59 4f 53 32 e2 80 9d 20 72 6f 75 74 65 72 2e 00 49 6e 20 74 68 65 20 65 6e 64 e....VYOS2....router..In.the.end
1b3a0 2c 20 79 6f 75 20 77 69 6c 6c 20 65 6e 64 20 75 70 20 77 69 74 68 20 73 6f 6d 65 74 68 69 6e 67 ,.you.will.end.up.with.something
1b3c0 20 6c 69 6b 65 20 74 68 69 73 20 63 6f 6e 66 69 67 2e 20 49 20 74 6f 6f 6b 20 6f 75 74 20 65 76 .like.this.config..I.took.out.ev
1b3e0 65 72 79 74 68 69 6e 67 20 62 75 74 20 74 68 65 20 46 69 72 65 77 61 6c 6c 2c 20 49 6e 74 65 72 erything.but.the.Firewall,.Inter
1b400 66 61 63 65 73 2c 20 61 6e 64 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 73 65 63 74 69 6f 6e 73 2e faces,.and.zone-policy.sections.
1b420 20 49 74 20 69 73 20 6c 6f 6e 67 20 65 6e 6f 75 67 68 20 61 73 20 69 73 2e 00 49 6e 20 74 68 65 .It.is.long.enough.as.is..In.the
1b440 20 65 6e 64 2c 20 79 6f 75 27 6c 6c 20 67 65 74 20 61 20 70 6f 77 65 72 66 75 6c 20 69 6e 73 74 .end,.you'll.get.a.powerful.inst
1b460 72 75 6d 65 6e 74 20 66 6f 72 20 6d 6f 6e 69 74 6f 72 69 6e 67 20 74 68 65 20 56 79 4f 53 20 73 rument.for.monitoring.the.VyOS.s
1b480 79 73 74 65 6d 73 2e 00 49 6e 20 74 68 65 20 6e 65 78 74 20 63 68 61 70 74 65 72 20 6f 66 20 74 ystems..In.the.next.chapter.of.t
1b4a0 68 65 20 65 78 61 6d 70 6c 65 2c 20 77 65 27 6c 6c 20 75 73 65 20 41 6e 73 69 62 6c 65 20 77 69 he.example,.we'll.use.Ansible.wi
1b4c0 74 68 20 6a 69 6e 6a 61 32 20 74 65 6d 70 6c 61 74 65 73 20 61 6e 64 20 76 61 72 69 61 62 6c 65 th.jinja2.templates.and.variable
1b4e0 73 2e 00 49 6e 20 74 68 65 20 6e 65 78 74 20 63 68 61 70 74 65 72 20 6f 66 20 74 68 65 20 65 78 s..In.the.next.chapter.of.the.ex
1b500 61 6d 70 6c 65 2c 20 77 65 27 6c 6c 20 75 73 65 20 74 68 65 20 41 6e 73 69 62 6c 65 20 77 69 74 ample,.we'll.use.the.Ansible.wit
1b520 68 20 6a 69 6e 6a 61 32 20 74 65 6d 70 6c 61 74 65 73 20 61 6e 64 20 76 61 72 69 61 62 6c 65 73 h.jinja2.templates.and.variables
1b540 2e 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 ..In.this.case,.the.hardware.rou
1b560 74 65 72 20 68 61 73 20 61 20 64 69 66 66 65 72 65 6e 74 20 49 50 2c 20 73 6f 20 69 74 20 77 6f ter.has.a.different.IP,.so.it.wo
1b580 75 6c 64 20 62 65 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 77 65 20 61 72 65 20 73 65 74 74 uld.be.In.this.case,.we.are.sett
1b5a0 69 6e 67 20 74 68 65 20 76 36 20 72 75 6c 65 73 65 74 20 74 68 61 74 20 72 65 70 72 65 73 65 6e ing.the.v6.ruleset.that.represen
1b5c0 74 73 20 74 72 61 66 66 69 63 20 73 6f 75 72 63 65 64 20 66 72 6f 6d 20 74 68 65 20 4c 41 4e 2c ts.traffic.sourced.from.the.LAN,
1b5e0 20 64 65 73 74 69 6e 65 64 20 66 6f 72 20 74 68 65 20 44 4d 5a 2e 20 42 65 63 61 75 73 65 20 74 .destined.for.the.DMZ..Because.t
1b600 68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 66 69 72 65 77 61 6c 6c 20 73 79 6e 74 61 78 20 69 he.zone-policy.firewall.syntax.i
1b620 73 20 61 20 6c 69 74 74 6c 65 20 61 77 6b 77 61 72 64 2c 20 49 20 6b 65 65 70 20 69 74 20 73 74 s.a.little.awkward,.I.keep.it.st
1b640 72 61 69 67 68 74 20 62 79 20 74 68 69 6e 6b 69 6e 67 20 6f 66 20 69 74 20 62 61 63 6b 77 61 72 raight.by.thinking.of.it.backwar
1b660 64 73 2e 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 77 65 27 6c 6c 20 74 72 79 20 74 6f 20 6d ds..In.this.case,.we'll.try.to.m
1b680 61 6b 65 20 61 20 73 69 6d 70 6c 65 20 6c 61 62 20 75 73 69 6e 67 20 51 6f 53 20 61 6e 64 20 74 ake.a.simple.lab.using.QoS.and.t
1b6a0 68 65 20 67 65 6e 65 72 61 6c 20 61 62 69 6c 69 74 79 20 6f 66 20 74 68 65 20 56 79 4f 53 20 73 he.general.ability.of.the.VyOS.s
1b6c0 79 73 74 65 6d 2e 20 57 65 20 72 65 63 6f 6d 6d 65 6e 64 20 79 6f 75 20 74 6f 20 67 6f 20 74 68 ystem..We.recommend.you.to.go.th
1b6e0 72 6f 75 67 68 20 74 68 65 20 6d 61 69 6e 20 61 72 74 69 63 6c 65 20 61 62 6f 75 74 20 60 51 6f rough.the.main.article.about.`Qo
1b700 53 20 3c 68 74 74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 S.<https://docs.vyos.io/en/lates
1b720 74 2f 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 74 72 61 66 66 69 63 70 6f 6c 69 63 79 2f 69 6e t/configuration/trafficpolicy/in
1b740 64 65 78 2e 68 74 6d 6c 3e 60 5f 20 66 69 72 73 74 2e 00 49 6e 20 74 68 69 73 20 64 6f 63 75 6d dex.html>`_.first..In.this.docum
1b760 65 6e 74 2c 20 77 65 20 68 61 76 65 20 62 65 65 6e 20 61 6c 6c 6f 63 61 74 65 64 20 32 30 33 2e ent,.we.have.been.allocated.203.
1b780 30 2e 31 31 33 2e 30 2f 32 34 20 62 79 20 6f 75 72 20 75 70 73 74 72 65 61 6d 20 70 72 6f 76 69 0.113.0/24.by.our.upstream.provi
1b7a0 64 65 72 2c 20 77 68 69 63 68 20 77 65 20 61 72 65 20 70 75 62 6c 69 73 68 69 6e 67 20 6f 6e 20 der,.which.we.are.publishing.on.
1b7c0 56 4c 41 4e 31 30 30 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 4f 70 65 6e 56 50 4e VLAN100..In.this.example.OpenVPN
1b7e0 20 77 69 6c 6c 20 62 65 20 73 65 74 75 70 20 77 69 74 68 20 61 20 63 6c 69 65 6e 74 20 63 65 72 .will.be.setup.with.a.client.cer
1b800 74 69 66 69 63 61 74 65 20 61 6e 64 20 75 73 65 72 6e 61 6d 65 20 2f 20 70 61 73 73 77 6f 72 64 tificate.and.username./.password
1b820 20 61 75 74 68 65 6e 74 69 63 61 74 69 6f 6e 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 .authentication..In.this.example
1b840 20 74 77 6f 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 73 20 65 78 69 73 74 20 69 6e 20 64 69 66 .two.LAN.interfaces.exist.in.dif
1b860 66 65 72 65 6e 74 20 73 75 62 6e 65 74 73 20 69 6e 73 74 65 61 64 20 6f 66 20 6f 6e 65 20 6c 69 ferent.subnets.instead.of.one.li
1b880 6b 65 20 69 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 73 3a 00 49 6e 20 ke.in.the.previous.examples:.In.
1b8a0 74 68 69 73 20 65 78 61 6d 70 6c 65 20 77 65 20 68 61 76 65 20 34 20 7a 6f 6e 65 73 2e 20 4c 41 this.example.we.have.4.zones..LA
1b8c0 4e 2c 20 57 41 4e 2c 20 44 4d 5a 2c 20 4c 6f 63 61 6c 2e 20 54 68 65 20 6c 6f 63 61 6c 20 7a 6f N,.WAN,.DMZ,.Local..The.local.zo
1b8e0 6e 65 20 69 73 20 74 68 65 20 66 69 72 65 77 61 6c 6c 20 69 74 73 65 6c 66 2e 00 49 6e 20 74 68 ne.is.the.firewall.itself..In.th
1b900 69 73 20 65 78 61 6d 70 6c 65 20 77 65 20 75 73 65 20 56 79 4f 53 20 31 2e 35 20 61 73 20 4c 4e is.example.we.use.VyOS.1.5.as.LN
1b920 53 20 61 6e 64 20 43 69 73 63 6f 20 49 4f 53 20 61 73 20 4c 41 43 2e 20 41 6c 6c 20 75 73 65 72 S.and.Cisco.IOS.as.LAC..All.user
1b940 73 20 77 69 74 68 20 64 6f 6d 61 69 6e 20 2a 2a 76 79 6f 73 2e 69 6f 2a 2a 20 77 69 6c 6c 20 62 s.with.domain.**vyos.io**.will.b
1b960 65 20 74 75 6e 6e 65 6c 65 64 20 74 6f 20 4c 4e 53 20 76 69 61 20 4c 32 54 50 2e 00 49 6e 20 74 e.tunneled.to.LNS.via.L2TP..In.t
1b980 68 69 73 20 65 78 61 6d 70 6c 65 2c 20 65 74 68 30 20 69 73 20 74 68 65 20 70 72 69 6d 61 72 79 his.example,.eth0.is.the.primary
1b9a0 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 65 74 68 31 20 69 73 20 74 68 65 20 73 65 63 6f 6e .interface.and.eth1.is.the.secon
1b9c0 64 61 72 79 20 69 6e 74 65 72 66 61 63 65 2e 20 54 6f 20 70 72 6f 76 69 64 65 20 73 69 6d 70 6c dary.interface..To.provide.simpl
1b9e0 65 20 66 61 69 6c 6f 76 65 72 20 66 75 6e 63 74 69 6f 6e 61 6c 69 74 79 2e 20 49 66 20 65 74 68 e.failover.functionality..If.eth
1ba00 30 20 66 61 69 6c 73 2c 20 65 74 68 31 20 74 61 6b 65 73 20 6f 76 65 72 2e 00 49 6e 20 74 68 69 0.fails,.eth1.takes.over..In.thi
1ba20 73 20 65 78 61 6d 70 6c 65 2c 20 77 65 20 77 69 6c 6c 20 73 65 74 20 75 70 20 61 20 73 69 6d 70 s.example,.we.will.set.up.a.simp
1ba40 6c 65 20 75 73 65 20 6f 66 20 41 6e 73 69 62 6c 65 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 6d le.use.of.Ansible.to.configure.m
1ba60 75 6c 74 69 70 6c 65 20 56 79 6f 53 20 72 6f 75 74 65 72 73 2e 20 57 65 20 68 61 76 65 20 66 6f ultiple.VyoS.routers..We.have.fo
1ba80 75 72 20 70 72 65 2d 63 6f 6e 66 69 67 75 72 65 64 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 74 ur.pre-configured.routers.with.t
1baa0 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 6e 20 74 68 69 73 20 6c 61 62 20 77 his.configuration:.In.this.lab.w
1bac0 65 20 75 73 65 20 57 69 6e 64 6f 77 73 20 50 50 50 6f 45 20 63 6c 69 65 6e 74 2e 00 49 6e 20 74 e.use.Windows.PPPoE.client..In.t
1bae0 68 69 73 20 73 65 63 74 69 6f 6e 2c 20 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 63 6f 6e his.section,.we.are.going.to.con
1bb00 66 69 67 75 72 65 20 74 68 65 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 20 74 68 61 74 20 77 figure.the.firewall.rules.that.w
1bb20 69 6c 6c 20 62 65 20 75 73 65 64 20 69 6e 20 62 72 69 64 67 65 20 66 69 72 65 77 61 6c 6c 2c 20 ill.be.used.in.bridge.firewall,.
1bb40 61 6e 64 20 77 69 6c 6c 20 63 6f 6e 74 72 6f 6c 20 74 68 65 20 74 72 61 66 66 69 63 20 77 69 74 and.will.control.the.traffic.wit
1bb60 68 69 6e 20 65 61 63 68 20 62 72 69 64 67 65 2e 00 49 6e 62 6f 75 6e 64 20 57 41 4e 20 63 6f 6e hin.each.bridge..Inbound.WAN.con
1bb80 6e 65 63 74 20 74 6f 20 44 4d 5a 20 68 6f 73 74 2e 00 49 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 nect.to.DMZ.host..Information.ab
1bba0 6f 75 74 20 45 74 68 65 72 6e 65 74 20 56 69 72 74 75 61 6c 20 50 72 69 76 61 74 65 20 4e 65 74 out.Ethernet.Virtual.Private.Net
1bbc0 77 6f 72 6b 73 00 49 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 70 72 65 66 69 78 2d 73 works.Information.about.prefix-s
1bbe0 69 64 20 61 6e 64 20 6c 61 62 65 6c 2d 6f 70 65 72 61 74 69 6f 6e 20 66 72 6f 6d 20 56 79 4f 53 id.and.label-operation.from.VyOS
1bc00 00 49 6e 73 74 61 6c 6c 20 41 6e 73 69 62 6c 65 3a 00 49 6e 73 74 61 6c 6c 20 50 61 72 61 6d 69 .Install.Ansible:.Install.Parami
1bc20 6b 6f 3a 00 49 6e 73 74 61 6c 6c 20 74 68 65 20 41 6e 73 69 62 6c 65 3a 00 49 6e 73 74 61 6c 6c ko:.Install.the.Ansible:.Install
1bc40 20 74 68 65 20 70 61 72 61 6d 69 6b 6f 3a 00 49 6e 74 65 72 2d 56 52 46 20 52 6f 75 74 69 6e 67 .the.paramiko:.Inter-VRF.Routing
1bc60 20 6f 76 65 72 20 56 52 46 20 4c 69 74 65 00 49 6e 74 65 72 2d 56 52 46 20 72 6f 75 74 69 6e 67 .over.VRF.Lite.Inter-VRF.routing
1bc80 20 69 73 20 61 20 77 65 6c 6c 2d 6b 6e 6f 77 6e 20 73 6f 6c 75 74 69 6f 6e 20 74 6f 20 61 64 64 .is.a.well-known.solution.to.add
1bca0 72 65 73 73 20 63 6f 6d 70 6c 65 78 20 72 6f 75 74 69 6e 67 20 73 63 65 6e 61 72 69 6f 73 20 74 ress.complex.routing.scenarios.t
1bcc0 68 61 74 20 65 6e 61 62 6c 65 20 2d 69 6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61 79 2d 20 74 6f hat.enable.-in.a.dynamic.way-.to
1bce0 20 6c 65 61 6b 20 72 6f 75 74 65 73 20 62 65 74 77 65 65 6e 20 56 52 46 73 2e 20 49 73 20 72 65 .leak.routes.between.VRFs..Is.re
1bd00 63 6f 6d 6d 65 6e 64 65 64 20 74 6f 20 74 61 6b 65 20 73 70 65 63 69 61 6c 20 63 6f 6e 73 69 64 commended.to.take.special.consid
1bd20 65 72 61 74 69 6f 6e 20 77 68 69 6c 65 20 64 65 73 69 67 6e 69 6e 67 20 72 6f 75 74 65 2d 74 61 eration.while.designing.route-ta
1bd40 72 67 65 74 73 20 61 6e 64 20 69 74 73 20 61 70 70 6c 69 63 61 74 69 6f 6e 20 61 73 20 69 74 20 rgets.and.its.application.as.it.
1bd60 63 61 6e 20 6d 69 6e 69 6d 69 7a 65 20 66 75 74 75 72 65 20 69 6e 74 65 72 76 65 6e 74 69 6f 6e can.minimize.future.intervention
1bd80 73 20 77 68 69 6c 65 20 63 72 65 61 74 69 6e 67 20 61 20 6e 65 77 20 56 52 46 20 77 69 6c 6c 20 s.while.creating.a.new.VRF.will.
1bda0 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 20 74 61 6b 65 20 74 68 65 20 64 65 73 69 72 65 64 20 65 automatically.take.the.desired.e
1bdc0 66 66 65 63 74 20 69 6e 20 69 74 73 20 70 72 6f 70 61 67 61 74 69 6f 6e 2e 00 49 6e 74 65 72 66 ffect.in.its.propagation..Interf
1bde0 61 63 65 20 61 6e 64 20 72 6f 75 74 69 6e 67 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 ace.and.routing.configuration:.I
1be00 6e 74 65 72 6e 61 6c 20 4e 65 74 77 6f 72 6b 00 49 6e 74 65 72 6e 65 74 00 49 6e 74 65 72 6e 65 nternal.Network.Internet.Interne
1be20 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 32 35 00 49 6e 74 t.-.192.168.200.100.-.TCP/25.Int
1be40 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 34 34 ernet.-.192.168.200.100.-.TCP/44
1be60 33 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 3.Internet.-.192.168.200.100.-.T
1be80 43 50 2f 35 33 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 CP/53.Internet.-.192.168.200.100
1bea0 20 2d 20 54 43 50 2f 38 30 00 49 73 6f 6c 61 74 65 64 20 6c 61 79 65 72 20 32 20 62 72 69 64 67 .-.TCP/80.Isolated.layer.2.bridg
1bec0 65 2e 00 49 74 20 69 73 20 61 73 73 75 6d 65 64 20 74 68 61 74 20 74 68 65 20 72 6f 75 74 65 72 e..It.is.assumed.that.the.router
1bee0 73 20 70 72 6f 76 69 64 65 64 20 62 79 20 75 70 73 74 72 65 61 6d 20 61 72 65 20 63 61 70 61 62 s.provided.by.upstream.are.capab
1bf00 6c 65 20 6f 66 20 61 63 74 69 6e 67 20 61 73 20 61 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 le.of.acting.as.a.default.router
1bf20 2c 20 61 64 64 20 74 68 61 74 20 61 73 20 61 20 73 74 61 74 69 63 20 72 6f 75 74 65 2e 00 49 74 ,.add.that.as.a.static.route..It
1bf40 20 69 73 20 67 6f 6f 64 20 70 72 61 63 74 69 63 65 20 74 6f 20 6c 6f 67 20 62 6f 74 68 20 61 63 .is.good.practice.to.log.both.ac
1bf60 63 65 70 74 65 64 20 61 6e 64 20 64 65 6e 69 65 64 20 74 72 61 66 66 69 63 2e 20 49 74 20 63 61 cepted.and.denied.traffic..It.ca
1bf80 6e 20 73 61 76 65 20 79 6f 75 20 73 69 67 6e 69 66 69 63 61 6e 74 20 68 65 61 64 61 63 68 65 73 n.save.you.significant.headaches
1bfa0 20 77 68 65 6e 20 74 72 79 69 6e 67 20 74 6f 20 74 72 6f 75 62 6c 65 73 68 6f 6f 74 20 61 20 63 .when.trying.to.troubleshoot.a.c
1bfc0 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 73 73 75 65 2e 00 49 74 20 77 69 6c 6c 20 6c 6f 6f 6b 20 onnectivity.issue..It.will.look.
1bfe0 73 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 20 74 68 69 73 3a 00 49 74 27 73 20 69 6d 70 6f 72 74 something.like.this:.It's.import
1c000 61 6e 74 20 74 6f 20 6e 6f 74 65 20 74 68 61 74 20 61 6c 6c 20 79 6f 75 72 20 65 78 69 73 74 69 ant.to.note.that.all.your.existi
1c020 6e 67 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 77 69 6c 6c 20 62 65 20 6d 69 67 72 61 74 ng.configurations.will.be.migrat
1c040 65 64 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 20 6f 6e 20 69 6d 61 67 65 20 75 70 67 72 61 64 ed.automatically.on.image.upgrad
1c060 65 2e 20 4e 6f 74 68 69 6e 67 20 74 6f 20 64 6f 20 6f 6e 20 79 6f 75 72 20 73 69 64 65 2e 00 4b e..Nothing.to.do.on.your.side..K
1c080 65 65 70 20 6e 65 74 77 6f 72 6b 73 20 69 73 6f 6c 61 74 65 64 20 69 73 20 2d 69 6e 20 67 65 6e eep.networks.isolated.is.-in.gen
1c0a0 65 72 61 6c 2d 20 61 20 67 6f 6f 64 20 70 72 69 6e 63 69 70 6c 65 2c 20 62 75 74 20 74 68 65 72 eral-.a.good.principle,.but.ther
1c0c0 65 20 61 72 65 20 63 61 73 65 73 20 77 68 65 72 65 20 79 6f 75 20 6d 69 67 68 74 20 6e 65 65 64 e.are.cases.where.you.might.need
1c0e0 20 74 68 61 74 20 73 6f 6d 65 20 6e 65 74 77 6f 72 6b 20 63 61 6e 20 61 63 63 65 73 73 20 6f 74 .that.some.network.can.access.ot
1c100 68 65 72 20 69 6e 20 61 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 2e 00 4c 33 56 50 4e 20 45 56 her.in.a.different.VRF..L3VPN.EV
1c120 50 4e 20 77 69 74 68 20 56 79 4f 53 00 4c 33 56 50 4e 20 45 56 50 4e 20 77 69 74 68 20 56 79 4f PN.with.VyOS.L3VPN.EVPN.with.VyO
1c140 53 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 4c 33 56 50 4e 20 63 6f 6e 66 69 67 75 72 61 S.topology.image.L3VPN.configura
1c160 74 69 6f 6e 20 70 61 72 61 6d 65 74 65 72 73 20 74 61 62 6c 65 3a 00 4c 33 56 50 4e 20 66 6f 72 tion.parameters.table:.L3VPN.for
1c180 20 48 75 62 2d 61 6e 64 2d 53 70 6f 6b 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 77 69 74 68 .Hub-and-Spoke.connectivity.with
1c1a0 20 56 79 4f 53 00 4c 41 43 00 4c 41 4e 20 31 00 4c 41 4e 20 32 00 4c 41 4e 20 43 6f 6e 66 69 67 .VyOS.LAC.LAN.1.LAN.2.LAN.Config
1c1c0 75 72 61 74 69 6f 6e 00 4c 41 4e 20 61 6e 64 20 44 4d 5a 20 68 6f 73 74 73 20 68 61 76 65 20 62 uration.LAN.and.DMZ.hosts.have.b
1c1e0 61 73 69 63 20 6f 75 74 62 6f 75 6e 64 20 61 63 63 65 73 73 3a 20 57 65 62 2c 20 46 54 50 2c 20 asic.outbound.access:.Web,.FTP,.
1c200 53 53 48 2e 00 4c 41 4e 20 63 61 6e 20 61 63 63 65 73 73 20 44 4d 5a 20 72 65 73 6f 75 72 63 65 SSH..LAN.can.access.DMZ.resource
1c220 73 2e 00 4c 41 4e 2c 20 57 41 4e 2c 20 44 4d 5a 2c 20 6c 6f 63 61 6c 20 61 6e 64 20 54 55 4e 20 s..LAN,.WAN,.DMZ,.local.and.TUN.
1c240 28 74 75 6e 6e 65 6c 29 00 4c 41 4e 31 00 4c 41 4e 31 20 74 6f 20 4c 41 4e 32 00 4c 41 4e 31 20 (tunnel).LAN1.LAN1.to.LAN2.LAN1.
1c260 74 6f 20 4f 75 74 73 69 64 65 00 4c 41 4e 32 00 4c 4e 53 00 4c 65 74 e2 80 99 73 20 63 68 65 63 to.Outside.LAN2.LNS.Let...s.chec
1c280 6b 20 49 50 76 34 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 4d 50 4c 53 20 69 6e 66 6f 72 6d 61 74 k.IPv4.routing.and.MPLS.informat
1c2a0 69 6f 6e 20 6f 6e 20 70 72 6f 76 69 64 65 72 20 6e 6f 64 65 73 20 28 73 61 6d 65 20 70 72 6f 63 ion.on.provider.nodes.(same.proc
1c2c0 65 64 75 72 65 20 66 6f 72 20 61 6c 6c 20 50 20 6e 6f 64 65 73 29 3a 00 4c 65 74 e2 80 99 73 20 edure.for.all.P.nodes):.Let...s.
1c2e0 73 61 79 20 77 65 20 68 61 76 65 20 61 20 72 65 71 75 69 72 65 6d 65 6e 74 20 74 6f 20 68 61 76 say.we.have.a.requirement.to.hav
1c300 65 20 6d 75 6c 74 69 70 6c 65 20 6e 65 74 77 6f 72 6b 73 2e 00 4c 6f 63 61 6c 20 73 75 62 6e 65 e.multiple.networks..Local.subne
1c320 74 73 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 72 65 61 63 68 20 69 6e 74 65 72 ts.should.be.able.to.reach.inter
1c340 6e 65 74 20 75 73 69 6e 67 20 73 6f 75 72 63 65 20 4e 41 54 2e 00 4c 6f 63 61 6c 20 73 75 62 6e net.using.source.NAT..Local.subn
1c360 65 74 73 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 72 65 61 63 68 20 69 6e 74 65 ets.should.be.able.to.reach.inte
1c380 72 6e 65 74 20 75 73 69 6e 67 20 73 6f 75 72 63 65 20 6e 61 74 2e 00 4d 50 2d 42 47 50 20 6f 72 rnet.using.source.nat..MP-BGP.or
1c3a0 20 4d 75 6c 74 69 50 72 6f 74 6f 63 6f 6c 20 42 47 50 20 69 6e 74 72 6f 64 75 63 65 73 20 74 77 .MultiProtocol.BGP.introduces.tw
1c3c0 6f 20 6d 61 69 6e 20 63 6f 6e 63 65 70 74 73 20 74 6f 20 73 6f 6c 76 65 20 74 68 69 73 20 6c 69 o.main.concepts.to.solve.this.li
1c3e0 6d 69 74 61 74 69 6f 6e 3a 20 2d 20 52 6f 75 74 65 20 44 69 73 74 69 6e 67 75 69 73 68 65 72 20 mitation:.-.Route.Distinguisher.
1c400 28 52 44 29 3a 20 49 73 20 75 73 65 64 20 74 6f 20 64 69 73 74 69 6e 67 75 69 73 68 20 62 65 74 (RD):.Is.used.to.distinguish.bet
1c420 77 65 65 6e 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 e2 80 93 63 61 6c 6c 65 64 20 56 50 ween.different.VRFs....called.VP
1c440 4e 73 2d 20 69 6e 73 69 64 65 20 74 68 65 20 42 47 50 20 50 72 6f 63 65 73 73 2e 20 54 68 65 20 Ns-.inside.the.BGP.Process..The.
1c460 52 44 20 69 73 20 61 70 70 65 6e 64 65 64 20 74 6f 20 65 61 63 68 20 49 50 76 34 20 4e 65 74 77 RD.is.appended.to.each.IPv4.Netw
1c480 6f 72 6b 20 74 68 61 74 20 69 73 20 61 64 76 65 72 74 69 73 65 64 20 69 6e 74 6f 20 42 47 50 20 ork.that.is.advertised.into.BGP.
1c4a0 66 6f 72 20 74 68 61 74 20 56 50 4e 20 6d 61 6b 69 6e 67 20 69 74 20 61 20 75 6e 69 71 75 65 20 for.that.VPN.making.it.a.unique.
1c4c0 56 50 4e 76 34 20 72 6f 75 74 65 2e 20 2d 20 52 6f 75 74 65 20 54 61 72 67 65 74 20 28 52 54 29 VPNv4.route..-.Route.Target.(RT)
1c4e0 3a 20 54 68 69 73 20 69 73 20 61 6e 20 65 78 74 65 6e 64 65 64 20 42 47 50 20 63 6f 6d 6d 75 6e :.This.is.an.extended.BGP.commun
1c500 69 74 79 20 61 70 70 65 6e 64 20 74 6f 20 74 68 65 20 56 50 4e 76 34 20 72 6f 75 74 65 20 69 6e ity.append.to.the.VPNv4.route.in
1c520 20 74 68 65 20 49 6d 70 6f 72 74 2f 45 78 70 6f 72 74 20 70 72 6f 63 65 73 73 2e 20 57 68 65 6e .the.Import/Export.process..When
1c540 20 61 20 72 6f 75 74 65 20 70 61 73 73 65 73 20 66 72 6f 6d 20 74 68 65 20 56 52 46 20 72 6f 75 .a.route.passes.from.the.VRF.rou
1c560 74 69 6e 67 20 74 61 62 6c 65 20 69 6e 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 20 ting.table.into.the.BGP.process.
1c580 69 74 20 77 69 6c 6c 20 61 64 64 20 74 68 65 20 63 6f 6e 66 69 67 75 72 65 64 20 65 78 70 6f 72 it.will.add.the.configured.expor
1c5a0 74 20 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 28 69 65 73 29 20 66 6f 72 20 74 68 t.extended.community(ies).for.th
1c5c0 61 74 20 56 50 4e 2e 20 57 68 65 6e 20 74 68 61 74 20 72 6f 75 74 65 20 6e 65 65 64 73 20 74 6f at.VPN..When.that.route.needs.to
1c5e0 20 67 6f 20 66 72 6f 6d 20 42 47 50 20 69 6e 74 6f 20 74 68 65 20 56 52 46 20 72 6f 75 74 69 6e .go.from.BGP.into.the.VRF.routin
1c600 67 20 74 61 62 6c 65 20 77 69 6c 6c 20 6f 6e 6c 79 20 70 61 73 73 20 69 66 20 74 68 61 74 20 67 g.table.will.only.pass.if.that.g
1c620 69 76 65 6e 20 56 50 4e 20 69 6d 70 6f 72 74 20 70 6f 6c 69 63 79 20 6d 61 74 63 68 65 73 20 61 iven.VPN.import.policy.matches.a
1c640 6e 79 20 6f 66 20 74 68 65 20 61 70 70 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 28 69 65 73 ny.of.the.appended.community(ies
1c660 29 20 69 6e 74 6f 20 74 68 61 74 20 70 72 65 66 69 78 2e 00 4d 61 69 6e 20 72 75 6c 65 73 3a 00 ).into.that.prefix..Main.rules:.
1c680 4d 61 6b 65 20 73 75 72 65 20 79 6f 75 20 63 61 6e 20 70 69 6e 67 20 31 30 2e 32 35 34 2e 36 30 Make.sure.you.can.ping.10.254.60
1c6a0 2e 31 20 61 6e 64 20 2e 32 20 66 72 6f 6d 20 62 6f 74 68 20 72 6f 75 74 65 72 73 2e 00 4d 61 6e .1.and..2.from.both.routers..Man
1c6c0 61 67 65 6d 65 6e 74 00 4d 61 6e 61 67 65 6d 65 6e 74 20 56 52 46 00 4d 61 6e 79 20 6f 74 68 65 agement.Management.VRF.Many.othe
1c6e0 72 20 48 79 70 65 72 76 69 73 6f 72 73 20 64 6f 20 74 68 69 73 2c 20 61 6e 64 20 49 27 6d 20 68 r.Hypervisors.do.this,.and.I'm.h
1c700 6f 70 69 6e 67 20 74 68 61 74 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77 69 6c 6c 20 62 65 oping.that.this.document.will.be
1c720 20 65 78 70 61 6e 64 65 64 20 74 6f 20 64 6f 63 75 6d 65 6e 74 20 68 6f 77 20 74 6f 20 64 6f 20 .expanded.to.document.how.to.do.
1c740 74 68 69 73 20 66 6f 72 20 6f 74 68 65 72 73 2e 00 4d 61 73 71 75 65 72 61 64 65 20 54 72 61 66 this.for.others..Masquerade.Traf
1c760 66 69 63 20 6f 72 69 67 69 6e 61 74 69 6e 67 20 66 72 6f 6d 20 31 30 2e 32 30 30 2e 32 30 31 2e fic.originating.from.10.200.201.
1c780 30 2f 32 34 20 74 68 61 74 20 69 73 20 68 65 61 64 69 6e 67 20 6f 75 74 20 74 68 65 20 70 75 62 0/24.that.is.heading.out.the.pub
1c7a0 6c 69 63 20 69 6e 74 65 72 66 61 63 65 2e 00 4d 6f 6e 69 74 6f 72 69 6e 67 00 4d 6f 6e 69 74 6f lic.interface..Monitoring.Monito
1c7c0 72 69 6e 67 20 6f 6e 20 4c 41 43 20 73 69 64 65 00 4d 6f 6e 69 74 6f 72 69 6e 67 20 6f 6e 20 4c ring.on.LAC.side.Monitoring.on.L
1c7e0 4e 53 20 73 69 64 65 00 4d 6f 6e 69 74 6f 72 69 6e 67 20 6f 6e 20 52 41 44 49 55 53 20 53 65 72 NS.side.Monitoring.on.RADIUS.Ser
1c800 76 65 72 20 73 69 64 65 00 4d 75 6c 74 69 70 6c 65 20 4c 41 4e 2f 44 4d 5a 20 53 65 74 75 70 00 ver.side.Multiple.LAN/DMZ.Setup.
1c820 4e 41 54 20 61 6e 64 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 00 4e 4d 50 20 65 78 61 6d 70 NAT.and.conntrack-sync.NMP.examp
1c840 6c 65 00 4e 61 74 69 76 65 20 49 50 76 34 20 61 6e 64 20 49 50 76 36 00 4e 65 74 77 6f 72 6b 20 le.Native.IPv4.and.IPv6.Network.
1c860 43 61 62 6c 69 6e 67 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 00 4e 65 74 77 6f 72 6b Cabling.Network.Topology.Network
1c880 20 54 6f 70 6f 6c 6f 67 79 20 44 69 61 67 72 61 6d 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f .Topology.Diagram.Network.Topolo
1c8a0 67 79 20 61 6e 64 20 72 65 71 75 69 72 65 6d 65 6e 74 73 00 4e 65 78 74 20 6f 6e 20 74 68 65 20 gy.and.requirements.Next.on.the.
1c8c0 72 6f 75 74 65 72 20 56 79 4f 53 32 20 77 65 20 77 69 6c 6c 20 63 68 61 6e 67 65 20 6c 61 62 65 router.VyOS2.we.will.change.labe
1c8e0 6c 73 20 6f 6e 20 61 6c 6c 20 69 6e 63 6f 6d 69 6e 67 20 74 72 61 66 66 69 63 20 6f 6e 6c 79 20 ls.on.all.incoming.traffic.only.
1c900 66 72 6f 6d 20 43 53 34 2d 3e 20 43 53 36 00 4e 65 78 74 20 74 68 69 6e 67 20 74 6f 20 64 6f 2c from.CS4->.CS6.Next.thing.to.do,
1c920 20 69 73 20 74 6f 20 63 72 65 61 74 65 20 61 20 77 69 72 65 67 75 61 72 64 20 6b 65 79 70 61 69 .is.to.create.a.wireguard.keypai
1c940 72 20 6f 6e 20 65 61 63 68 20 73 69 64 65 2e 20 41 66 74 65 72 20 74 68 69 73 2c 20 74 68 65 20 r.on.each.side..After.this,.the.
1c960 70 75 62 6c 69 63 20 6b 65 79 20 63 61 6e 20 62 65 20 64 69 73 70 6c 61 79 65 64 2c 20 74 6f 20 public.key.can.be.displayed,.to.
1c980 73 61 76 65 20 66 6f 72 20 6c 61 74 65 72 2e 00 4e 65 78 74 2c 20 77 65 20 6e 65 65 64 20 74 6f save.for.later..Next,.we.need.to
1c9a0 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 2e 20 46 .configure.the.firewall.rules..F
1c9c0 69 72 73 74 20 77 65 20 77 69 6c 6c 20 64 65 66 69 6e 65 20 61 6c 6c 20 72 75 6c 65 73 20 66 6f irst.we.will.define.all.rules.fo
1c9e0 72 20 74 72 61 6e 73 69 74 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 56 52 46 73 2e 00 r.transit.traffic.between.VRFs..
1ca00 4e 65 78 74 2c 20 77 65 20 77 69 6c 6c 20 72 65 70 6c 61 63 65 20 6f 6e 6c 79 20 61 6c 6c 20 43 Next,.we.will.replace.only.all.C
1ca20 53 34 20 6c 61 62 65 6c 73 20 6f 6e 20 74 68 65 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 72 6f 75 S4.labels.on.the....VyOS2....rou
1ca40 74 65 72 2e 00 4e 65 78 74 2c 20 79 6f 75 20 6a 75 73 74 20 20 73 68 6f 75 6c 64 20 66 6f 6c 6c ter..Next,.you.just..should.foll
1ca60 6f 77 20 74 68 65 20 70 69 63 74 75 72 65 73 3a 00 4e 6f 64 65 00 4e 6f 74 65 20 74 68 61 74 20 ow.the.pictures:.Node.Note.that.
1ca80 72 6f 75 74 65 72 31 20 69 73 20 61 20 56 4d 20 74 68 61 74 20 72 75 6e 73 20 6f 6e 20 6f 6e 65 router1.is.a.VM.that.runs.on.one
1caa0 20 6f 66 20 74 68 65 20 63 6f 6d 70 75 74 65 20 6e 6f 64 65 73 2e 00 4e 6f 74 65 20 74 6f 20 61 .of.the.compute.nodes..Note.to.a
1cac0 6c 6c 6f 77 20 74 68 65 20 72 6f 75 74 65 72 20 74 6f 20 72 65 63 65 69 76 65 20 44 48 43 50 76 llow.the.router.to.receive.DHCPv
1cae0 36 20 72 65 73 70 6f 6e 73 65 20 66 72 6f 6d 20 49 53 50 2e 20 57 65 20 6e 65 65 64 20 74 6f 20 6.response.from.ISP..We.need.to.
1cb00 61 6c 6c 6f 77 20 70 61 63 6b 65 74 73 20 77 69 74 68 20 73 6f 75 72 63 65 20 70 6f 72 74 20 35 allow.packets.with.source.port.5
1cb20 34 37 20 28 73 65 72 76 65 72 29 20 61 6e 64 20 64 65 73 74 69 6e 61 74 69 6f 6e 20 70 6f 72 74 47.(server).and.destination.port
1cb40 20 35 34 36 20 28 63 6c 69 65 6e 74 29 2e 00 4e 6f 74 69 63 65 2c 20 6e 6f 6e 65 20 67 6f 20 74 .546.(client)..Notice,.none.go.t
1cb60 6f 20 57 41 4e 20 73 69 6e 63 65 20 57 41 4e 20 77 6f 75 6c 64 6e 27 74 20 68 61 76 65 20 61 20 o.WAN.since.WAN.wouldn't.have.a.
1cb80 76 36 20 61 64 64 72 65 73 73 20 6f 6e 20 69 74 2e 00 4e 6f 77 20 65 6e 61 62 6c 65 20 72 65 70 v6.address.on.it..Now.enable.rep
1cba0 6c 69 63 61 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 6e 6f 64 65 73 2e 20 52 65 70 6c 61 63 65 20 lication.between.nodes..Replace.
1cbc0 65 74 68 30 2e 32 30 31 20 77 69 74 68 20 62 6f 6e 64 30 2e 32 30 31 20 6f 6e 20 74 68 65 20 68 eth0.201.with.bond0.201.on.the.h
1cbe0 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 4e 6f 77 20 67 65 6e 65 72 61 74 65 20 61 6c 6c ardware.router..Now.generate.all
1cc00 20 72 65 71 75 69 72 65 64 20 63 65 72 74 69 66 69 63 61 74 65 73 20 6f 6e 20 74 68 65 20 6f 76 .required.certificates.on.the.ov
1cc20 70 6e 2d 73 65 72 76 65 72 3a 00 4e 6f 77 20 74 68 65 20 43 6c 69 65 6e 74 20 69 73 20 61 62 6c pn-server:.Now.the.Client.is.abl
1cc40 65 20 74 6f 20 70 69 6e 67 20 61 20 70 75 62 6c 69 63 20 49 50 76 36 20 61 64 64 72 65 73 73 00 e.to.ping.a.public.IPv6.address.
1cc60 4e 6f 77 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 73 65 74 75 70 20 74 68 65 20 74 75 6e Now.we.are.able.to.setup.the.tun
1cc80 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 2e 00 4e 6f 77 20 77 65 20 70 65 72 66 6f 72 6d 20 73 6f nel.interface..Now.we.perform.so
1cca0 6d 65 20 65 6e 64 2d 74 6f 2d 65 6e 64 20 74 65 73 74 69 6e 67 00 4e 6f 77 20 77 65 e2 80 99 72 me.end-to-end.testing.Now.we...r
1ccc0 65 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 73 74 61 74 75 73 20 61 6e 64 20 72 6f 75 74 65 e.checking.iBGP.status.and.route
1cce0 73 20 66 72 6f 6d 20 72 6f 75 74 65 2d 72 65 66 6c 65 63 74 6f 72 20 6e 6f 64 65 73 20 74 6f 20 s.from.route-reflector.nodes.to.
1cd00 6f 74 68 65 72 20 64 65 76 69 63 65 73 3a 00 4e 6f 77 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 other.devices:.Now.you.should.be
1cd20 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 61 20 70 75 62 6c 69 63 20 49 50 76 36 20 41 64 64 72 .able.to.ping.a.public.IPv6.Addr
1cd40 65 73 73 00 4e 6f 77 2c 20 69 6e 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 63 68 61 69 ess.Now,.in.the.``forward``.chai
1cd60 6e 2c 20 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 64 65 66 69 6e 65 20 73 74 61 74 65 20 n,.we.are.going.to.define.state.
1cd80 70 6f 6c 69 63 69 65 73 2c 20 61 6e 64 20 63 75 73 74 6f 6d 20 72 75 6c 65 73 65 74 73 20 66 6f policies,.and.custom.rulesets.fo
1cda0 72 20 65 61 63 68 20 62 72 69 64 67 65 20 74 68 61 74 20 77 6f 75 6c 64 20 62 65 20 75 73 65 64 r.each.bridge.that.would.be.used
1cdc0 20 69 6e 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 63 68 61 69 6e 2e 20 54 68 65 73 65 .in.the.``forward``.chain..These
1cde0 20 72 75 6c 65 73 65 74 73 20 61 72 65 20 60 60 62 72 30 2d 66 77 64 60 60 2c 20 60 60 62 72 31 .rulesets.are.``br0-fwd``,.``br1
1ce00 2d 66 77 64 60 60 2c 20 61 6e 64 20 60 60 62 72 32 2d 66 77 64 60 60 3a 00 4e 6f 77 2c 20 6c 65 -fwd``,.and.``br2-fwd``:.Now,.le
1ce20 74 e2 80 99 73 20 63 68 65 63 6b 20 72 6f 75 74 69 6e 67 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 t...s.check.routing.information.
1ce40 6f 6e 20 6f 75 74 20 48 75 62 20 50 45 3a 00 4f 53 50 46 20 4f 76 65 72 20 57 69 72 65 47 75 61 on.out.Hub.PE:.OSPF.Over.WireGua
1ce60 72 64 00 4f 53 50 46 20 75 6e 6e 75 6d 62 65 72 65 64 20 77 69 74 68 20 45 43 4d 50 00 4f 6e 20 rd.OSPF.unnumbered.with.ECMP.On.
1ce80 74 68 65 20 72 6f 75 74 65 72 2c 20 56 79 4f 53 34 20 73 65 74 20 61 6c 6c 20 74 72 61 66 66 69 the.router,.VyOS4.set.all.traffi
1cea0 63 20 61 73 20 43 53 34 2e 20 57 65 20 68 61 76 65 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 c.as.CS4..We.have.to.configure.t
1cec0 68 65 20 64 65 66 61 75 6c 74 20 63 6c 61 73 73 20 61 6e 64 20 63 6c 61 73 73 20 66 6f 72 20 63 he.default.class.and.class.for.c
1cee0 68 61 6e 67 69 6e 67 20 61 6c 6c 20 6c 61 62 65 6c 73 20 66 72 6f 6d 20 43 53 30 20 74 6f 20 43 hanging.all.labels.from.CS0.to.C
1cf00 53 34 00 4f 6e 2d 70 72 65 6d 69 73 65 73 20 61 64 64 72 65 73 73 20 73 70 61 63 65 00 4f 6e 63 S4.On-premises.address.space.Onc
1cf20 65 20 61 6c 6c 20 72 6f 75 74 65 72 73 20 63 61 6e 20 62 65 20 73 61 66 65 6c 79 20 72 65 6d 6f e.all.routers.can.be.safely.remo
1cf40 74 65 6c 79 20 6d 61 6e 61 67 65 64 20 61 6e 64 20 74 68 65 20 63 6f 72 65 20 6e 65 74 77 6f 72 tely.managed.and.the.core.networ
1cf60 6b 20 69 73 20 6f 70 65 72 61 74 69 6f 6e 61 6c 2c 20 77 65 20 63 61 6e 20 6e 6f 77 20 73 65 74 k.is.operational,.we.can.now.set
1cf80 75 70 20 74 68 65 20 74 65 6e 61 6e 74 20 6e 65 74 77 6f 72 6b 73 2e 00 4f 6e 63 65 20 61 6c 6c up.the.tenant.networks..Once.all
1cfa0 20 74 68 65 20 72 65 71 75 69 72 65 64 20 63 65 72 74 69 66 69 63 61 74 65 73 20 61 6e 64 20 6b .the.required.certificates.and.k
1cfc0 65 79 73 20 61 72 65 20 69 6e 73 74 61 6c 6c 65 64 2c 20 74 68 65 20 72 65 6d 61 69 6e 69 6e 67 eys.are.installed,.the.remaining
1cfe0 20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 61 .OpenVPN.Server.configuration.ca
1d000 6e 20 62 65 20 63 61 72 72 69 65 64 20 6f 75 74 2e 00 4f 6e 63 65 20 79 6f 75 20 68 61 76 65 20 n.be.carried.out..Once.you.have.
1d020 61 6c 6c 20 6f 66 20 79 6f 75 72 20 72 75 6c 65 73 65 74 73 20 62 75 69 6c 74 2c 20 74 68 65 6e all.of.your.rulesets.built,.then
1d040 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 63 72 65 61 74 65 20 79 6f 75 72 20 7a 6f 6e 65 2d 70 6f .you.need.to.create.your.zone-po
1d060 6c 69 63 79 2e 00 4f 6e 65 20 61 64 76 61 6e 74 61 67 65 20 6f 66 20 68 61 76 69 6e 67 20 74 68 licy..One.advantage.of.having.th
1d080 65 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65 20 73 74 6f 72 65 64 20 69 73 20 74 e.client.certificate.stored.is.t
1d0a0 68 65 20 61 62 69 6c 69 74 79 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 63 6c 69 65 6e 74 20 he.ability.to.create.the.client.
1d0c0 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c configuration..One.cable/logical
1d0e0 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 49 6e 74 .connection.between.LAN1.and.Int
1d100 65 72 6e 65 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 ernet.One.cable/logical.connecti
1d120 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 4c 41 4e 32 00 4f 6e 65 20 63 61 62 on.between.LAN1.and.LAN2.One.cab
1d140 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 le/logical.connection.between.LA
1d160 4e 31 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 N1.and.Management.One.cable/logi
1d180 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 32 20 61 6e 64 20 cal.connection.between.LAN2.and.
1d1a0 49 6e 74 65 72 6e 65 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 Internet.One.cable/logical.conne
1d1c0 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 32 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e ction.between.LAN2.and.Managemen
1d1e0 74 00 4f 6e 6c 79 20 61 63 63 65 70 74 73 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 4f 70 65 6e t.Only.accepts.connections..Open
1d200 56 50 4e 20 77 69 74 68 20 4c 44 41 50 00 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 4c 44 41 50 20 VPN.with.LDAP.OpenVPN.with.LDAP.
1d220 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 4f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 3a topology.image.Operating.system:
1d240 20 56 79 4f 53 00 4f 75 72 20 69 6d 70 6c 65 6d 65 6e 74 61 74 69 6f 6e 20 75 73 65 73 20 56 4d .VyOS.Our.implementation.uses.VM
1d260 77 61 72 65 27 73 20 44 69 73 74 72 69 62 75 74 65 64 20 50 6f 72 74 20 47 72 6f 75 70 73 2c 20 ware's.Distributed.Port.Groups,.
1d280 77 68 69 63 68 20 61 6c 6c 6f 77 73 20 56 4d 77 61 72 65 20 74 6f 20 75 73 65 20 4c 41 43 50 2e which.allows.VMware.to.use.LACP.
1d2a0 20 54 68 69 73 20 69 73 20 61 20 70 61 72 74 20 6f 66 20 74 68 65 20 45 4e 54 45 52 50 52 49 53 .This.is.a.part.of.the.ENTERPRIS
1d2c0 45 20 6c 69 63 65 6e 63 65 2c 20 61 6e 64 20 69 73 20 6e 6f 74 20 61 76 61 69 6c 61 62 6c 65 20 E.licence,.and.is.not.available.
1d2e0 6f 6e 20 61 20 66 72 65 65 20 6c 69 63 65 6e 63 65 2e 20 49 66 20 79 6f 75 20 61 72 65 20 69 6d on.a.free.licence..If.you.are.im
1d300 70 6c 65 6d 65 6e 74 69 6e 67 20 74 68 69 73 20 61 6e 64 20 64 6f 20 6e 6f 74 20 68 61 76 65 20 plementing.this.and.do.not.have.
1d320 61 63 63 65 73 73 20 74 6f 20 44 50 47 73 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 74 20 75 access.to.DPGs,.you.should.not.u
1d340 73 65 20 56 4d 77 61 72 65 2c 20 61 6e 64 20 75 73 65 20 73 6f 6d 65 20 6f 74 68 65 72 20 76 69 se.VMware,.and.use.some.other.vi
1d360 72 74 75 61 6c 69 7a 61 74 69 6f 6e 20 70 6c 61 74 66 6f 72 6d 20 69 6e 73 74 65 61 64 2e 00 4f rtualization.platform.instead..O
1d380 75 72 20 72 6f 75 74 65 72 73 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 68 61 76 65 20 61 20 66 ur.routers.are.going.to.have.a.f
1d3a0 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 32 30 33 2e 30 2e 31 31 33 2e loating.IP.address.of.203.0.113.
1d3c0 31 2c 20 61 6e 64 20 75 73 65 20 2e 32 20 61 6e 64 20 2e 33 20 61 73 20 74 68 65 69 72 20 66 69 1,.and.use..2.and..3.as.their.fi
1d3e0 78 65 64 20 49 50 73 2e 00 4f 76 65 72 76 69 65 77 00 50 45 31 00 50 45 31 20 69 73 20 6c 6f 63 xed.IPs..Overview.PE1.PE1.is.loc
1d400 61 74 65 64 20 69 6e 20 61 6e 20 69 6e 64 75 73 74 72 69 61 6c 20 61 72 65 61 20 74 68 61 74 20 ated.in.an.industrial.area.that.
1d420 68 6f 6c 64 73 20 6d 75 6c 74 69 70 6c 65 20 6f 66 66 69 63 65 20 62 75 69 6c 64 69 6e 67 73 2e holds.multiple.office.buildings.
1d440 20 41 6c 6c 20 63 75 73 74 6f 6d 65 72 73 20 68 61 76 65 20 61 20 73 69 74 65 20 69 6e 20 74 68 .All.customers.have.a.site.in.th
1d460 69 73 20 61 72 65 61 2e 00 50 45 32 00 50 45 32 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 is.area..PE2.PE2.is.located.in.a
1d480 20 73 6d 61 6c 6c 65 72 20 61 72 65 61 20 77 68 65 72 65 20 62 79 20 63 6f 69 6e 63 69 64 65 6e .smaller.area.where.by.coinciden
1d4a0 63 65 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 73 20 28 62 6c 75 65 20 61 6e 64 20 72 65 64 29 20 ce.two.customers.(blue.and.red).
1d4c0 73 68 61 72 65 20 61 6e 20 6f 66 66 69 63 65 20 62 75 69 6c 64 69 6e 67 2e 00 50 45 33 00 50 45 share.an.office.building..PE3.PE
1d4e0 33 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 20 73 6d 61 6c 6c 65 72 20 61 72 65 61 20 77 3.is.located.in.a.smaller.area.w
1d500 68 65 72 65 20 62 79 20 63 6f 69 6e 63 69 64 65 6e 63 65 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 here.by.coincidence.two.customer
1d520 73 20 28 62 6c 75 65 20 61 6e 64 20 67 72 65 65 6e 29 20 61 72 65 20 6c 6f 63 61 74 65 64 2e 00 s.(blue.and.green).are.located..
1d540 50 50 50 6f 45 20 49 50 76 36 20 42 61 73 69 63 20 53 65 74 75 70 20 66 6f 72 20 48 6f 6d 65 20 PPPoE.IPv6.Basic.Setup.for.Home.
1d560 4e 65 74 77 6f 72 6b 00 50 50 50 6f 45 20 53 65 74 75 70 00 50 50 50 6f 45 20 6f 76 65 72 20 4c Network.PPPoE.Setup.PPPoE.over.L
1d580 32 54 50 00 50 69 6e 67 20 62 65 74 77 65 65 6e 20 56 79 4f 53 2d 50 31 20 2f 20 56 79 4f 53 2d 2TP.Ping.between.VyOS-P1./.VyOS-
1d5a0 50 32 20 74 6f 20 63 6f 6e 66 69 72 6d 20 72 65 61 63 68 61 62 69 6c 69 74 79 3a 00 50 69 6e 67 P2.to.confirm.reachability:.Ping
1d5c0 20 74 68 65 20 43 6c 69 65 6e 74 20 66 72 6f 6d 20 74 68 65 20 44 48 43 50 20 53 65 72 76 65 72 .the.Client.from.the.DHCP.Server
1d5e0 2e 00 50 69 6e 67 73 20 77 69 6c 6c 20 62 65 20 73 65 6e 74 20 74 6f 20 66 6f 75 72 20 74 61 72 ..Pings.will.be.sent.to.four.tar
1d600 67 65 74 73 20 66 6f 72 20 68 65 61 6c 74 68 20 74 65 73 74 69 6e 67 20 28 33 33 2e 34 34 2e 35 gets.for.health.testing.(33.44.5
1d620 35 2e 36 36 2c 20 34 34 2e 35 35 2e 36 36 2e 37 37 2c 20 35 35 2e 36 36 2e 37 37 2e 38 38 20 61 5.66,.44.55.66.77,.55.66.77.88.a
1d640 6e 64 20 36 36 2e 37 37 2e 38 38 2e 39 39 29 2e 00 50 6c 65 61 73 65 20 6e 6f 74 65 2c 20 27 61 nd.66.77.88.99)..Please.note,.'a
1d660 75 74 6f 6e 6f 6d 6f 75 73 2d 66 6c 61 67 27 20 61 6e 64 20 27 6f 6e 2d 6c 69 6e 6b 2d 66 6c 61 utonomous-flag'.and.'on-link-fla
1d680 67 27 20 61 72 65 20 65 6e 61 62 6c 65 64 20 62 79 20 64 65 66 61 75 6c 74 2c 20 27 76 61 6c 69 g'.are.enabled.by.default,.'vali
1d6a0 64 2d 6c 69 66 65 74 69 6d 65 27 20 61 6e 64 20 27 70 72 65 66 65 72 72 65 64 2d 6c 69 66 65 74 d-lifetime'.and.'preferred-lifet
1d6c0 69 6d 65 27 20 61 72 65 20 73 65 74 20 74 6f 20 64 65 66 61 75 6c 74 20 76 61 6c 75 65 73 20 6f ime'.are.set.to.default.values.o
1d6e0 66 20 33 30 20 64 61 79 73 20 61 6e 64 20 34 20 68 6f 75 72 73 20 72 65 73 70 65 63 74 69 76 65 f.30.days.and.4.hours.respective
1d700 6c 79 2e 00 50 6f 6c 69 63 79 2d 42 61 73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 ly..Policy-Based.Site-to-Site.VP
1d720 4e 20 61 6e 64 20 46 69 72 65 77 61 6c 6c 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 50 72 65 N.and.Firewall.Configuration.Pre
1d740 2d 73 68 61 72 65 64 20 6b 65 79 00 50 72 65 72 65 71 75 69 73 69 74 65 73 00 50 72 69 6f 72 69 -shared.key.Prerequisites.Priori
1d760 74 69 65 73 00 50 72 6f 74 65 63 74 20 74 68 65 20 72 6f 75 74 65 72 20 6f 6e 20 27 57 41 4e 27 ties.Protect.the.router.on.'WAN'
1d780 20 69 6e 74 65 72 66 61 63 65 2c 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 49 50 53 65 63 20 .interface,.allowing.only.IPSec.
1d7a0 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 61 6e 64 20 53 53 48 20 61 63 63 65 73 73 20 66 72 6f 6d 20 connections.and.SSH.access.from.
1d7c0 74 72 75 73 74 65 64 20 49 50 73 2e 00 50 72 6f 74 65 63 74 20 74 68 65 20 72 6f 75 74 65 72 20 trusted.IPs..Protect.the.router.
1d7e0 6f 6e 20 27 57 41 4e 27 20 69 6e 74 65 72 66 61 63 65 2c 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c on.'WAN'.interface,.allowing.onl
1d800 79 20 69 70 73 65 63 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 61 6e 64 20 73 73 68 20 61 63 63 65 y.ipsec.connections.and.ssh.acce
1d820 73 73 20 66 72 6f 6d 20 74 72 75 73 74 65 64 20 69 70 73 2e 00 50 75 62 6c 69 63 20 4e 65 74 77 ss.from.trusted.ips..Public.Netw
1d840 6f 72 6b 00 51 6f 53 20 65 78 61 6d 70 6c 65 00 52 44 00 52 44 20 26 20 52 54 20 53 63 68 65 6d ork.QoS.example.RD.RD.&.RT.Schem
1d860 61 00 52 54 00 52 54 20 65 78 70 6f 72 74 00 52 54 20 69 6d 70 6f 72 74 00 52 65 67 75 6c 61 72 a.RT.RT.export.RT.import.Regular
1d880 20 56 79 4f 53 20 75 73 65 72 73 20 77 69 6c 6c 20 6e 6f 74 69 63 65 20 74 68 61 74 20 74 68 65 .VyOS.users.will.notice.that.the
1d8a0 20 42 47 50 20 73 79 6e 74 61 78 20 68 61 73 20 63 68 61 6e 67 65 64 20 69 6e 20 56 79 4f 53 20 .BGP.syntax.has.changed.in.VyOS.
1d8c0 31 2e 34 20 66 72 6f 6d 20 65 76 65 6e 20 74 68 65 20 70 72 69 6f 72 20 70 6f 73 74 20 61 62 6f 1.4.from.even.the.prior.post.abo
1d8e0 75 74 20 74 68 69 73 20 73 75 62 6a 65 63 74 2e 20 54 68 69 73 20 69 73 20 64 75 65 20 74 6f 20 ut.this.subject..This.is.due.to.
1d900 54 31 37 31 31 2c 20 77 68 65 72 65 20 69 74 20 77 61 73 20 66 69 6e 61 6c 6c 79 20 64 65 63 69 T1711,.where.it.was.finally.deci
1d920 64 65 64 20 74 6f 20 67 65 74 20 72 69 64 20 6f 66 20 74 68 65 20 72 65 64 75 6e 64 61 6e 74 20 ded.to.get.rid.of.the.redundant.
1d940 42 47 50 20 41 53 4e 20 28 41 75 74 6f 6e 6f 6d 6f 75 73 20 53 79 73 74 65 6d 20 4e 75 6d 62 65 BGP.ASN.(Autonomous.System.Numbe
1d960 72 29 20 73 70 65 63 69 66 69 63 61 74 69 6f 6e 20 6f 6e 20 74 68 65 20 43 4c 49 20 61 6e 64 20 r).specification.on.the.CLI.and.
1d980 6d 6f 76 65 20 69 74 20 74 6f 20 61 20 73 69 6e 67 6c 65 20 6c 65 61 66 20 6e 6f 64 65 20 28 73 move.it.to.a.single.leaf.node.(s
1d9a0 65 74 20 70 72 6f 74 6f 63 6f 6c 73 20 62 67 70 20 6c 6f 63 61 6c 2d 61 73 29 2e 00 52 65 6d 6f et.protocols.bgp.local-as)..Remo
1d9c0 74 65 20 4e 65 74 77 6f 72 6b 73 00 52 65 70 6c 61 63 65 20 74 68 65 20 32 30 33 2e 30 2e 31 31 te.Networks.Replace.the.203.0.11
1d9e0 33 2e 33 20 77 69 74 68 20 77 68 61 74 65 76 65 72 20 74 68 65 20 6f 74 68 65 72 20 72 6f 75 74 3.3.with.whatever.the.other.rout
1da00 65 72 27 73 20 49 50 20 61 64 64 72 65 73 73 20 69 73 2e 00 52 65 71 75 65 73 74 65 64 20 61 20 er's.IP.address.is..Requested.a.
1da20 22 52 65 67 75 6c 61 72 20 54 75 6e 6e 65 6c 22 2e 20 59 6f 75 20 77 61 6e 74 20 74 6f 20 63 68 "Regular.Tunnel"..You.want.to.ch
1da40 6f 6f 73 65 20 61 20 6c 6f 63 61 74 69 6f 6e 20 74 68 61 74 20 69 73 20 63 6c 6f 73 65 73 74 20 oose.a.location.that.is.closest.
1da60 74 6f 20 79 6f 75 72 20 70 68 79 73 69 63 61 6c 20 6c 6f 63 61 74 69 6f 6e 20 66 6f 72 20 74 68 to.your.physical.location.for.th
1da80 65 20 62 65 73 74 20 72 65 73 70 6f 6e 73 65 20 74 69 6d 65 2e 00 52 65 73 75 6c 74 73 00 52 6f e.best.response.time..Results.Ro
1daa0 6c 65 00 52 6f 75 74 65 2d 42 61 73 65 64 20 52 65 64 75 6e 64 61 6e 74 20 53 69 74 65 2d 74 6f le.Route-Based.Redundant.Site-to
1dac0 2d 53 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 28 42 47 50 20 6f 76 65 72 20 49 4b 45 -Site.VPN.to.Azure.(BGP.over.IKE
1dae0 76 32 2f 49 50 73 65 63 29 00 52 6f 75 74 65 2d 42 61 73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 v2/IPsec).Route-Based.Site-to-Si
1db00 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 28 42 47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f te.VPN.to.Azure.(BGP.over.IKEv2/
1db20 49 50 73 65 63 29 00 52 6f 75 74 65 2d 46 69 6c 74 65 72 69 6e 67 00 52 6f 75 74 65 64 20 2f 34 IPsec).Route-Filtering.Routed./4
1db40 38 2e 20 54 68 69 73 20 69 73 20 73 6f 6d 65 74 68 69 6e 67 20 79 6f 75 20 63 61 6e 20 72 65 71 8..This.is.something.you.can.req
1db60 75 65 73 74 20 62 79 20 63 6c 69 63 6b 69 6e 67 20 74 68 65 20 22 41 73 73 69 67 6e 20 2f 34 38 uest.by.clicking.the."Assign./48
1db80 22 20 6c 69 6e 6b 20 69 6e 20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 74 ".link.in.the.Tunnelbroker.net.t
1dba0 75 6e 6e 65 6c 20 63 6f 6e 66 69 67 2e 20 49 74 20 61 6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 68 unnel.config..It.allows.you.to.h
1dbc0 61 76 65 20 75 70 20 74 6f 20 36 35 6b 00 52 6f 75 74 65 64 20 2f 36 34 2e 20 54 68 69 73 20 69 ave.up.to.65k.Routed./64..This.i
1dbe0 73 20 74 68 65 20 64 65 66 61 75 6c 74 20 61 73 73 69 67 6e 6d 65 6e 74 2e 20 49 6e 20 49 50 76 s.the.default.assignment..In.IPv
1dc00 36 2d 6c 61 6e 64 2c 20 69 74 27 73 20 67 6f 6f 64 20 66 6f 72 20 61 20 73 69 6e 67 6c 65 20 22 6-land,.it's.good.for.a.single."
1dc20 4c 41 4e 22 2c 20 61 6e 64 20 69 73 20 73 6f 6d 65 77 68 61 74 20 65 71 75 69 76 61 6c 65 6e 74 LAN",.and.is.somewhat.equivalent
1dc40 20 74 6f 20 61 20 2f 32 34 2e 00 52 6f 75 74 65 72 20 41 3a 00 52 6f 75 74 65 72 20 41 64 76 65 .to.a./24..Router.A:.Router.Adve
1dc60 72 74 69 73 65 6d 65 6e 74 00 52 6f 75 74 65 72 20 42 3a 00 52 6f 75 74 65 72 20 69 64 27 73 20 rtisement.Router.B:.Router.id's.
1dc80 6d 75 73 74 20 62 65 20 75 6e 69 71 75 65 2e 00 52 75 6c 65 73 65 74 20 61 72 65 20 63 72 65 61 must.be.unique..Ruleset.are.crea
1dca0 74 65 64 20 70 65 72 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 2e 00 53 63 65 ted.per.zone-pair-direction..Sce
1dcc0 6e 61 72 69 6f 20 61 6e 64 20 72 65 71 75 69 72 65 6d 65 6e 74 73 00 53 65 67 6d 65 6e 74 2d 72 nario.and.requirements.Segment-r
1dce0 6f 75 74 69 6e 67 20 49 53 2d 49 53 20 65 78 61 6d 70 6c 65 00 53 65 74 20 44 4e 53 20 73 65 72 outing.IS-IS.example.Set.DNS.ser
1dd00 76 65 72 20 61 64 64 72 65 73 73 20 69 6e 20 74 68 65 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 ver.address.in.the.advertisement
1dd20 20 73 6f 20 74 68 61 74 20 63 6c 69 65 6e 74 73 20 63 61 6e 20 6f 62 74 61 69 6e 20 69 74 20 62 .so.that.clients.can.obtain.it.b
1dd40 79 20 75 73 69 6e 67 20 52 44 4e 53 53 20 6f 70 74 69 6f 6e 2e 20 4d 6f 73 74 20 6f 70 65 72 61 y.using.RDNSS.option..Most.opera
1dd60 74 69 6e 67 20 73 79 73 74 65 6d 73 20 28 57 69 6e 64 6f 77 73 2c 20 4c 69 6e 75 78 2c 20 4d 61 ting.systems.(Windows,.Linux,.Ma
1dd80 63 29 20 73 68 6f 75 6c 64 20 61 6c 72 65 61 64 79 20 73 75 70 70 6f 72 74 20 69 74 2e 00 53 65 c).should.already.support.it..Se
1dda0 74 20 49 50 20 61 64 64 72 65 73 73 65 73 20 6f 6e 20 61 6c 6c 20 56 50 43 73 20 61 6e 64 20 61 t.IP.addresses.on.all.VPCs.and.a
1ddc0 20 64 65 66 61 75 6c 74 20 67 61 74 65 77 61 79 20 31 37 32 2e 31 37 2e 31 2e 31 2e 20 57 65 27 .default.gateway.172.17.1.1..We'
1dde0 6c 6c 20 75 73 65 20 69 6e 20 74 68 69 73 20 63 61 73 65 20 6f 6e 6c 79 20 73 74 61 74 69 63 20 ll.use.in.this.case.only.static.
1de00 72 6f 75 74 65 73 2e 20 4f 6e 20 74 68 65 20 56 79 4f 53 33 20 72 6f 75 74 65 72 2c 20 77 65 20 routes..On.the.VyOS3.router,.we.
1de20 6e 65 65 64 20 74 6f 20 63 68 61 6e 67 65 20 74 68 65 20 27 64 73 63 70 27 20 6c 61 62 65 6c 73 need.to.change.the.'dscp'.labels
1de40 20 66 6f 72 20 74 68 65 20 56 50 43 73 2e 20 54 6f 20 64 6f 20 74 68 69 73 2c 20 77 65 20 75 73 .for.the.VPCs..To.do.this,.we.us
1de60 65 20 74 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 53 65 74 20 4d 54 55 20 69 6e e.this.configuration..Set.MTU.in
1de80 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 74 6f 20 31 34 39 32 20 62 65 63 61 75 73 65 20 6f .advertisement.to.1492.because.o
1dea0 66 20 50 50 50 6f 45 20 68 65 61 64 65 72 20 6f 76 65 72 68 65 61 64 2e 00 53 65 74 20 74 68 65 f.PPPoE.header.overhead..Set.the
1dec0 20 56 52 46 20 6e 61 6d 65 20 61 6e 64 20 54 61 62 6c 65 20 49 44 2c 20 73 65 74 20 69 6e 74 65 .VRF.name.and.Table.ID,.set.inte
1dee0 72 66 61 63 65 20 61 64 64 72 65 73 73 20 61 6e 64 20 62 69 6e 64 20 69 74 20 74 6f 20 74 68 65 rface.address.and.bind.it.to.the
1df00 20 56 52 46 2e 20 4c 61 73 74 20 61 64 64 20 74 68 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 20 .VRF..Last.add.the.static.route.
1df20 74 6f 20 74 68 65 20 72 65 6d 6f 74 65 20 6e 65 74 77 6f 72 6b 2e 00 53 65 74 20 74 68 65 20 63 to.the.remote.network..Set.the.c
1df40 6f 73 74 20 6f 6e 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 73 20 74 6f 20 62 65 ost.on.the.secondary.links.to.be
1df60 20 32 30 30 2e 20 54 68 69 73 20 6d 65 61 6e 73 20 74 68 61 74 20 74 68 65 79 20 77 69 6c 6c 20 .200..This.means.that.they.will.
1df80 6e 6f 74 20 62 65 20 75 73 65 64 20 75 6e 6c 65 73 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 6c not.be.used.unless.the.primary.l
1dfa0 69 6e 6b 73 20 61 72 65 20 64 6f 77 6e 2e 00 53 65 74 20 74 68 65 20 6c 6f 63 61 6c 20 73 75 62 inks.are.down..Set.the.local.sub
1dfc0 6e 65 74 20 6f 6e 20 65 74 68 32 20 61 6e 64 20 74 68 65 20 70 75 62 6c 69 63 20 69 70 20 61 64 net.on.eth2.and.the.public.ip.ad
1dfe0 64 72 65 73 73 20 65 74 68 31 20 6f 6e 20 65 61 63 68 20 73 69 74 65 2e 00 53 65 74 20 75 70 20 dress.eth1.on.each.site..Set.up.
1e000 62 61 6e 64 77 69 64 74 68 20 6c 69 6d 69 74 73 20 6f 6e 20 74 68 65 20 65 74 68 32 20 69 6e 74 bandwidth.limits.on.the.eth2.int
1e020 65 72 66 61 63 65 20 6f 66 20 74 68 65 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d erface.of.the.router....VyOS2...
1e040 2e 00 53 65 74 73 20 79 6f 75 72 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 27 73 20 49 50 20 61 ..Sets.your.LAN.interface's.IP.a
1e060 64 64 72 65 73 73 00 53 65 74 74 69 6e 67 20 42 47 50 20 67 6c 6f 62 61 6c 20 6c 6f 63 61 6c 2d ddress.Setting.BGP.global.local-
1e080 61 73 20 61 73 20 77 65 6c 6c 20 69 6e 73 69 64 65 20 74 68 65 20 56 52 46 2e 20 52 65 64 69 73 as.as.well.inside.the.VRF..Redis
1e0a0 74 72 69 62 75 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 6f 20 69 6e 6a 65 63 74 20 tribute.static.routes.to.inject.
1e0c0 63 6f 6e 66 69 67 75 72 65 64 20 6e 65 74 77 6f 72 6b 73 20 69 6e 74 6f 20 74 68 65 20 42 47 50 configured.networks.into.the.BGP
1e0e0 20 70 72 6f 63 65 73 73 20 62 75 74 20 73 74 69 6c 6c 20 69 6e 73 69 64 65 20 74 68 65 20 56 52 .process.but.still.inside.the.VR
1e100 46 2e 00 53 65 74 74 69 6e 67 20 75 70 20 41 6e 73 69 62 6c 65 20 6f 6e 20 61 20 73 65 72 76 65 F..Setting.up.Ansible.on.a.serve
1e120 72 20 72 75 6e 6e 69 6e 67 20 74 68 65 20 44 65 62 69 61 6e 20 6f 70 65 72 61 74 69 6e 67 20 73 r.running.the.Debian.operating.s
1e140 79 73 74 65 6d 2e 00 53 65 74 75 70 20 74 68 65 20 49 50 76 36 20 64 65 66 61 75 6c 74 20 72 6f ystem..Setup.the.IPv6.default.ro
1e160 75 74 65 20 74 6f 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 00 53 65 74 75 ute.to.the.tunnel.interface.Setu
1e180 70 20 74 68 65 20 69 70 76 36 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 74 6f 20 74 68 65 20 p.the.ipv6.default.route.to.the.
1e1a0 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 00 53 68 6f 77 20 72 6f 75 74 65 73 20 66 6f 72 tunnel.interface.Show.routes.for
1e1c0 20 61 6c 6c 20 56 52 46 73 00 53 69 6d 69 6c 61 72 6c 79 2c 20 74 6f 20 61 74 74 61 63 68 20 74 .all.VRFs.Similarly,.to.attach.t
1e1e0 68 65 20 66 69 72 65 77 61 6c 6c 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 he.firewall,.you.would.use.`set.
1e200 69 6e 74 65 72 66 61 63 65 73 20 65 74 68 65 72 6e 65 74 20 65 74 68 30 20 66 69 72 65 77 61 6c interfaces.ethernet.eth0.firewal
1e220 6c 20 69 6e 20 69 70 76 36 2d 6e 61 6d 65 60 20 6f 72 20 60 65 74 20 66 69 72 65 77 61 6c 6c 20 l.in.ipv6-name`.or.`et.firewall.
1e240 7a 6f 6e 65 20 4c 4f 43 41 4c 20 66 72 6f 6d 20 57 41 4e 20 66 69 72 65 77 61 6c 6c 20 69 70 76 zone.LOCAL.from.WAN.firewall.ipv
1e260 36 2d 6e 61 6d 65 60 2e 00 53 69 6d 69 6c 61 72 6c 79 2c 20 74 6f 20 61 74 74 61 63 68 20 74 68 6-name`..Similarly,.to.attach.th
1e280 65 20 66 69 72 65 77 61 6c 6c 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 69 e.firewall,.you.would.use.`set.i
1e2a0 6e 74 65 72 66 61 63 65 73 20 65 74 68 65 72 6e 65 74 20 65 74 68 30 20 66 69 72 65 77 61 6c 6c nterfaces.ethernet.eth0.firewall
1e2c0 20 69 6e 20 69 70 76 36 2d 6e 61 6d 65 60 20 6f 72 20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 .in.ipv6-name`.or.`set.firewall.
1e2e0 7a 6f 6e 65 20 4c 4f 43 41 4c 20 66 72 6f 6d 20 57 41 4e 20 66 69 72 65 77 61 6c 6c 20 69 70 76 zone.LOCAL.from.WAN.firewall.ipv
1e300 36 2d 6e 61 6d 65 60 2e 00 53 69 6e 63 65 20 73 6f 6d 65 20 49 53 50 73 20 64 69 73 63 6f 6e 6e 6-name`..Since.some.ISPs.disconn
1e320 65 63 74 73 20 63 6f 6e 74 69 6e 75 6f 75 73 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 6f 72 20 65 ects.continuous.connection.for.e
1e340 76 65 72 79 20 32 7e 33 20 64 61 79 73 2c 20 77 65 20 73 65 74 20 60 60 76 61 6c 69 64 2d 6c 69 very.2~3.days,.we.set.``valid-li
1e360 66 65 74 69 6d 65 60 60 20 74 6f 20 32 20 64 61 79 73 20 74 6f 20 61 6c 6c 6f 77 20 50 43 20 66 fetime``.to.2.days.to.allow.PC.f
1e380 6f 72 20 70 68 61 73 69 6e 67 20 6f 75 74 20 6f 6c 64 20 61 64 64 72 65 73 73 2e 00 53 69 6e 63 or.phasing.out.old.address..Sinc
1e3a0 65 20 73 6f 6d 65 20 6f 66 20 74 68 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 6c 69 73 74 65 e.some.of.the.requirements.liste
1e3c0 64 20 61 62 6f 76 65 20 65 78 63 65 65 64 20 74 68 65 20 63 61 70 61 62 69 6c 69 74 69 65 73 20 d.above.exceed.the.capabilities.
1e3e0 6f 66 20 74 68 65 20 62 72 69 64 67 65 20 66 69 72 65 77 61 6c 6c 2c 20 77 65 20 6e 65 65 64 20 of.the.bridge.firewall,.we.need.
1e400 74 6f 20 75 73 65 20 74 68 65 20 49 50 20 66 69 72 65 77 61 6c 6c 20 74 6f 20 69 6d 70 6c 65 6d to.use.the.IP.firewall.to.implem
1e420 65 6e 74 20 74 68 65 6d 2e 20 46 6f 72 20 62 72 69 64 67 65 20 62 72 31 20 61 6e 64 20 62 72 32 ent.them..For.bridge.br1.and.br2
1e440 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 63 6f 6e 74 72 6f 6c 20 74 68 65 20 74 72 61 66 66 69 63 ,.we.need.to.control.the.traffic
1e460 20 74 68 61 74 20 69 73 20 67 6f 69 6e 67 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 20 69 74 73 .that.is.going.to.the.router.its
1e480 65 6c 66 2c 20 74 6f 20 6f 74 68 65 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 73 2c 20 61 6e elf,.to.other.local.networks,.an
1e4a0 64 20 74 6f 20 74 68 65 20 49 6e 74 65 72 6e 65 74 2e 00 53 69 6e 63 65 20 74 68 65 20 74 75 6e d.to.the.Internet..Since.the.tun
1e4c0 6e 65 6c 20 69 73 20 61 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20 47 52 45 20 74 75 6e 6e nel.is.a.point-to-point.GRE.tunn
1e4e0 65 6c 2c 20 69 74 20 62 65 68 61 76 65 73 20 6c 69 6b 65 20 61 6e 79 20 6f 74 68 65 72 20 70 6f el,.it.behaves.like.any.other.po
1e500 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20 69 6e 74 65 72 66 61 63 65 20 28 66 6f 72 20 65 78 61 6d int-to-point.interface.(for.exam
1e520 70 6c 65 3a 20 73 65 72 69 61 6c 2c 20 64 69 61 6c 65 72 29 2c 20 61 6e 64 20 69 74 20 69 73 20 ple:.serial,.dialer),.and.it.is.
1e540 70 6f 73 73 69 62 6c 65 20 74 6f 20 72 75 6e 20 61 6e 79 20 49 6e 74 65 72 69 6f 72 20 47 61 74 possible.to.run.any.Interior.Gat
1e560 65 77 61 79 20 50 72 6f 74 6f 63 6f 6c 20 28 49 47 50 29 2f 45 78 74 65 72 69 6f 72 20 47 61 74 eway.Protocol.(IGP)/Exterior.Gat
1e580 65 77 61 79 20 50 72 6f 74 6f 63 6f 6c 20 28 45 47 50 29 20 6f 76 65 72 20 74 68 65 20 6c 69 6e eway.Protocol.(EGP).over.the.lin
1e5a0 6b 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 65 78 63 68 61 6e 67 65 20 72 6f 75 74 69 6e 67 20 69 k.in.order.to.exchange.routing.i
1e5c0 6e 66 6f 72 6d 61 74 69 6f 6e 00 53 69 6e 63 65 20 77 65 20 68 61 76 65 20 34 20 7a 6f 6e 65 73 nformation.Since.we.have.4.zones
1e5e0 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 73 65 74 75 70 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 ,.we.need.to.setup.the.following
1e600 20 72 75 6c 65 73 65 74 73 2e 00 53 69 6e 67 6c 65 20 4c 41 4e 20 53 65 74 75 70 00 53 69 6e 67 .rulesets..Single.LAN.Setup.Sing
1e620 6c 65 20 4c 41 4e 20 73 65 74 75 70 20 77 68 65 72 65 20 65 74 68 32 20 69 73 20 79 6f 75 72 20 le.LAN.setup.where.eth2.is.your.
1e640 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 2e 20 55 73 65 20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f LAN.interface..Use.the.Tunnelbro
1e660 6b 65 72 20 52 6f 75 74 65 64 20 2f 36 34 20 70 72 65 66 69 78 3a 00 53 69 74 65 2d 74 6f 2d 53 ker.Routed./64.prefix:.Site-to-S
1e680 69 74 65 20 49 50 53 65 63 20 56 50 4e 20 74 6f 20 43 69 73 63 6f 20 75 73 69 6e 67 20 46 6c 65 ite.IPSec.VPN.to.Cisco.using.Fle
1e6a0 78 56 50 4e 00 53 6f 20 66 69 72 73 74 2c 20 6c 65 74 27 73 20 63 72 65 61 74 65 20 74 68 65 20 xVPN.So.first,.let's.create.the.
1e6c0 72 65 71 75 69 72 65 64 20 66 69 72 65 77 61 6c 6c 20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75 required.firewall.interface.grou
1e6e0 70 73 3a 00 53 6f 2c 20 77 68 65 6e 20 79 6f 75 72 20 4c 41 4e 20 69 73 20 65 74 68 31 2c 20 79 ps:.So,.when.your.LAN.is.eth1,.y
1e700 6f 75 72 20 44 4d 5a 20 69 73 20 65 74 68 32 2c 20 79 6f 75 72 20 63 61 6d 65 72 61 73 20 61 72 our.DMZ.is.eth2,.your.cameras.ar
1e720 65 20 6f 6e 20 65 74 68 33 2c 20 65 74 63 3a 00 53 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 3a 00 e.on.eth3,.etc:.Something.like:.
1e740 53 70 6f 6b 65 00 53 74 61 72 74 20 62 79 20 73 65 74 74 69 6e 67 20 74 68 65 20 69 6e 74 65 72 Spoke.Start.by.setting.the.inter
1e760 66 61 63 65 20 61 6e 64 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 66 6f 72 20 65 61 63 68 face.and.default.action.for.each
1e780 20 7a 6f 6e 65 2e 00 53 74 61 72 74 20 74 68 65 20 70 6c 61 79 62 6f 6f 6b 3a 00 53 74 61 72 74 .zone..Start.the.playbook:.Start
1e7a0 69 6e 67 20 66 72 6f 6d 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 ing.from.VyOS.1.4-rolling-202308
1e7c0 30 34 30 35 35 37 2c 20 61 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 73 74 72 75 63 74 75 72 65 040557,.a.new.firewall.structure
1e7e0 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 6f 6e 20 61 6c 6c 20 76 79 6f 73 20 69 6e 73 74 61 6c .can.be.found.on.all.vyos.instal
1e800 61 74 69 6f 6e 73 2c 20 61 6e 64 20 7a 6f 6e 65 20 62 61 73 65 64 20 66 69 72 65 77 61 6c 6c 20 ations,.and.zone.based.firewall.
1e820 69 73 20 6e 6f 20 6c 6f 6e 67 65 72 20 73 75 70 70 6f 72 74 65 64 2e 20 44 6f 63 75 6d 65 6e 74 is.no.longer.supported..Document
1e840 61 74 69 6f 6e 20 66 6f 72 20 6d 6f 73 74 20 6f 66 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61 ation.for.most.of.the.new.firewa
1e860 6c 6c 20 43 4c 49 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 60 66 69 72 65 ll.CLI.can.be.found.in.the.`fire
1e880 77 61 6c 6c 20 3c 68 74 74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61 wall.<https://docs.vyos.io/en/la
1e8a0 74 65 73 74 2f 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 66 69 72 65 77 61 6c 6c 2f 67 65 6e 65 test/configuration/firewall/gene
1e8c0 72 61 6c 2e 68 74 6d 6c 3e 60 5f 20 63 68 61 70 74 65 72 2e 20 54 68 65 20 6c 65 67 61 63 79 20 ral.html>`_.chapter..The.legacy.
1e8e0 66 69 72 65 77 61 6c 6c 20 69 73 20 73 74 69 6c 6c 20 61 76 61 69 6c 61 62 6c 65 20 66 6f 72 20 firewall.is.still.available.for.
1e900 76 65 72 73 69 6f 6e 73 20 62 65 66 6f 72 65 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 versions.before.1.4-rolling-2023
1e920 30 38 30 34 30 35 35 37 20 61 6e 64 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 08040557.and.can.be.found.in.the
1e940 20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 2d 6c 65 67 61 63 79 60 20 63 68 61 70 74 65 72 2e .:ref:`firewall-legacy`.chapter.
1e960 20 54 68 65 20 65 78 61 6d 70 6c 65 73 20 69 6e 20 74 68 69 73 20 73 65 63 74 69 6f 6e 20 75 73 .The.examples.in.this.section.us
1e980 65 20 74 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 e.the.legacy.firewall.configurat
1e9a0 69 6f 6e 20 63 6f 6d 6d 61 6e 64 73 2c 20 73 69 6e 63 65 20 74 68 69 73 20 66 65 61 74 75 72 65 ion.commands,.since.this.feature
1e9c0 20 68 61 73 20 62 65 65 6e 20 72 65 6d 6f 76 65 64 20 69 6e 20 65 61 72 6c 69 65 72 20 72 65 6c .has.been.removed.in.earlier.rel
1e9e0 65 61 73 65 73 2e 00 53 74 61 72 74 69 6e 67 20 66 72 6f 6d 20 56 79 4f 53 20 31 2e 34 2d 72 6f eases..Starting.from.VyOS.1.4-ro
1ea00 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 2c 20 61 20 6e 65 77 20 66 69 72 65 77 61 lling-202308040557,.a.new.firewa
1ea20 6c 6c 20 73 74 72 75 63 74 75 72 65 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 6f 6e 20 61 6c 6c ll.structure.can.be.found.on.all
1ea40 20 76 79 6f 73 20 69 6e 73 74 61 6c 6c 61 74 69 6f 6e 73 2c 20 61 6e 64 20 7a 6f 6e 65 20 62 61 .vyos.installations,.and.zone.ba
1ea60 73 65 64 20 66 69 72 65 77 61 6c 6c 20 69 73 20 6e 6f 20 6c 6f 6e 67 65 72 20 73 75 70 70 6f 72 sed.firewall.is.no.longer.suppor
1ea80 74 65 64 2e 20 44 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 66 6f 72 20 6d 6f 73 74 20 6f 66 20 74 ted..Documentation.for.most.of.t
1eaa0 68 65 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 43 4c 49 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 he.new.firewall.CLI.can.be.found
1eac0 20 69 6e 20 74 68 65 20 60 66 69 72 65 77 61 6c 6c 20 3c 68 74 74 70 73 3a 2f 2f 64 6f 63 73 2e .in.the.`firewall.<https://docs.
1eae0 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f vyos.io/en/latest/configuration/
1eb00 66 69 72 65 77 61 6c 6c 2f 67 65 6e 65 72 61 6c 2e 68 74 6d 6c 3e 60 5f 20 63 68 61 70 74 65 72 firewall/general.html>`_.chapter
1eb20 2e 20 54 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 69 73 20 73 74 69 6c 6c 20 61 ..The.legacy.firewall.is.still.a
1eb40 76 61 69 6c 61 62 6c 65 20 66 6f 72 20 76 65 72 73 69 6f 6e 73 20 62 65 66 6f 72 65 20 31 2e 34 vailable.for.versions.before.1.4
1eb60 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 20 61 6e 64 20 63 61 6e 20 62 65 -rolling-202308040557.and.can.be
1eb80 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 2d 6c 65 67 .found.in.the.:ref:`firewall-leg
1eba0 61 63 79 60 20 63 68 61 70 74 65 72 2e 20 54 68 65 20 65 78 61 6d 70 6c 65 73 20 69 6e 20 74 68 acy`.chapter..The.examples.in.th
1ebc0 69 73 20 73 65 63 74 69 6f 6e 20 75 73 65 20 74 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 is.section.use.the.legacy.firewa
1ebe0 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 6f 6d 6d 61 6e 64 73 2c 20 73 69 6e 63 65 ll.configuration.commands,.since
1ec00 20 74 68 69 73 20 66 65 61 74 75 72 65 20 68 61 73 20 62 65 65 6e 20 72 65 6d 6f 76 65 64 20 69 .this.feature.has.been.removed.i
1ec20 6e 20 65 61 72 6c 69 65 72 20 72 65 6c 65 61 73 65 73 2e 00 53 74 65 70 20 31 3a 20 56 52 46 20 n.earlier.releases..Step.1:.VRF.
1ec40 61 6e 64 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 74 6f 20 72 65 6d 6f 74 65 20 6e 65 74 and.Configurations.to.remote.net
1ec60 77 6f 72 6b 73 00 53 74 65 70 20 32 3a 20 42 47 50 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 works.Step.2:.BGP.Configuration.
1ec80 66 6f 72 20 56 52 46 2d 4c 69 74 65 00 53 74 65 70 20 33 3a 20 56 50 4e 20 43 6f 6e 66 69 67 75 for.VRF-Lite.Step.3:.VPN.Configu
1eca0 72 61 74 69 6f 6e 00 53 74 65 70 20 34 3a 20 45 6e 64 20 74 6f 20 45 6e 64 20 76 65 72 69 66 69 ration.Step.4:.End.to.End.verifi
1ecc0 63 61 74 69 6f 6e 00 53 74 65 70 2d 31 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 49 47 50 20 61 cation.Step-1:.Configuring.IGP.a
1ece0 6e 64 20 65 6e 61 62 6c 69 6e 67 20 4d 50 4c 53 20 4c 44 50 00 53 74 65 70 2d 32 3a 20 43 6f 6e nd.enabling.MPLS.LDP.Step-2:.Con
1ed00 66 69 67 75 72 69 6e 67 20 69 42 47 50 20 66 6f 72 20 4c 33 56 50 4e 20 63 6f 6e 74 72 6f 6c 2d figuring.iBGP.for.L3VPN.control-
1ed20 70 6c 61 6e 65 00 53 74 65 70 2d 33 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 4c 33 56 50 4e 20 plane.Step-3:.Configuring.L3VPN.
1ed40 56 52 46 73 20 6f 6e 20 50 45 20 6e 6f 64 65 73 00 53 74 65 70 2d 34 3a 20 43 6f 6e 66 69 67 75 VRFs.on.PE.nodes.Step-4:.Configu
1ed60 72 69 6e 67 20 43 45 20 6e 6f 64 65 73 00 53 74 65 70 2d 35 3a 20 56 65 72 69 66 69 63 61 74 69 ring.CE.nodes.Step-5:.Verificati
1ed80 6f 6e 00 54 65 6e 61 6e 74 20 6e 65 74 77 6f 72 6b 73 20 28 56 52 46 73 29 00 54 65 73 74 20 4f on.Tenant.networks.(VRFs).Test.O
1eda0 53 50 46 00 54 65 73 74 20 57 69 72 65 47 75 61 72 64 00 54 65 73 74 20 74 68 65 20 72 65 73 75 SPF.Test.WireGuard.Test.the.resu
1edc0 6c 74 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 32 2d 32 34 00 54 65 73 74 64 61 74 65 lt.Testdate:.2023-02-24.Testdate
1ede0 3a 20 32 30 32 33 2d 30 35 2d 31 31 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 38 2d 33 :.2023-05-11.Testdate:.2023-08-3
1ee00 31 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 34 2d 30 31 2d 31 33 00 54 65 73 74 69 6e 67 00 54 1.Testdate:.2024-01-13.Testing.T
1ee20 65 73 74 69 6e 67 20 61 6e 64 20 64 65 62 75 67 67 69 6e 67 00 54 68 61 74 27 73 20 68 6f 77 20 esting.and.debugging.That's.how.
1ee40 79 6f 75 20 63 61 6e 20 65 78 70 61 6e 64 20 74 68 65 20 65 78 61 6d 70 6c 65 20 61 62 6f 76 65 you.can.expand.the.example.above
1ee60 2e 20 55 73 65 20 74 68 65 20 60 52 6f 75 74 65 64 20 2f 34 38 60 20 69 6e 66 6f 72 6d 61 74 69 ..Use.the.`Routed./48`.informati
1ee80 6f 6e 2e 20 54 68 69 73 20 61 6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 61 73 73 69 67 6e 20 61 20 on..This.allows.you.to.assign.a.
1eea0 64 69 66 66 65 72 65 6e 74 20 2f 36 34 20 74 6f 20 65 76 65 72 79 20 69 6e 74 65 72 66 61 63 65 different./64.to.every.interface
1eec0 2c 20 4c 41 4e 2c 20 6f 72 20 65 76 65 6e 20 64 65 76 69 63 65 2e 20 4f 72 20 79 6f 75 20 63 6f ,.LAN,.or.even.device..Or.you.co
1eee0 75 6c 64 20 62 72 65 61 6b 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 20 69 6e 74 6f 20 73 6d 61 6c uld.break.your.network.into.smal
1ef00 6c 65 72 20 63 68 75 6e 6b 73 20 6c 69 6b 65 20 2f 35 36 20 6f 72 20 2f 36 30 2e 00 54 68 65 20 ler.chunks.like./56.or./60..The.
1ef20 4c 61 62 20 61 73 75 6d 65 20 61 20 66 75 6c 6c 20 72 75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20 Lab.asume.a.full.running.Active.
1ef40 44 69 72 65 63 74 6f 72 79 20 6f 6e 20 74 68 65 20 57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 2e Directory.on.the.Windows.Server.
1ef60 20 48 65 72 65 20 61 72 65 20 73 6f 6d 65 20 50 6f 77 65 72 53 68 65 6c 6c 20 63 6f 6d 6d 61 6e .Here.are.some.PowerShell.comman
1ef80 64 73 20 74 6f 20 71 75 69 63 6b 6c 79 20 61 64 64 20 61 20 54 65 73 74 20 41 63 74 69 76 65 20 ds.to.quickly.add.a.Test.Active.
1efa0 44 69 72 65 63 74 6f 72 79 2e 00 54 68 65 20 54 6f 70 6f 6c 6f 67 79 20 61 72 65 20 63 6f 6e 73 Directory..The.Topology.are.cons
1efc0 69 73 74 73 20 6f 66 3a 00 54 68 65 20 56 79 4f 53 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 ists.of:.The.VyOS.interface.is.a
1efe0 73 73 69 67 6e 65 64 20 74 68 65 20 2e 31 2f 3a 31 20 61 64 64 72 65 73 73 20 6f 66 20 74 68 65 ssigned.the..1/:1.address.of.the
1f000 69 72 20 72 65 73 70 65 63 74 69 76 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 41 4e 20 69 73 20 6f ir.respective.networks..WAN.is.o
1f020 6e 20 56 4c 41 4e 20 31 30 2c 20 4c 41 4e 20 6f 6e 20 56 4c 41 4e 20 32 30 2c 20 61 6e 64 20 44 n.VLAN.10,.LAN.on.VLAN.20,.and.D
1f040 4d 5a 20 6f 6e 20 56 4c 41 4e 20 33 30 2e 00 54 68 65 20 60 60 63 6f 6d 6d 69 74 60 60 20 63 6f MZ.on.VLAN.30..The.``commit``.co
1f060 6d 6d 61 6e 64 20 69 73 20 69 6d 70 6c 69 65 64 20 61 66 74 65 72 20 65 76 65 72 79 20 73 65 63 mmand.is.implied.after.every.sec
1f080 74 69 6f 6e 2e 20 49 66 20 79 6f 75 20 6d 61 6b 65 20 61 6e 20 65 72 72 6f 72 2c 20 60 60 63 6f tion..If.you.make.an.error,.``co
1f0a0 6d 6d 69 74 60 60 20 77 69 6c 6c 20 77 61 72 6e 20 79 6f 75 20 61 6e 64 20 79 6f 75 20 63 61 6e mmit``.will.warn.you.and.you.can
1f0c0 20 66 69 78 20 69 74 20 62 65 66 6f 72 65 20 67 65 74 74 69 6e 67 20 74 6f 6f 20 66 61 72 20 69 .fix.it.before.getting.too.far.i
1f0e0 6e 74 6f 20 74 68 69 6e 67 73 2e 20 50 6c 65 61 73 65 20 65 6e 73 75 72 65 20 79 6f 75 20 63 6f nto.things..Please.ensure.you.co
1f100 6d 6d 69 74 20 65 61 72 6c 79 20 61 6e 64 20 63 6f 6d 6d 69 74 20 6f 66 74 65 6e 2e 00 54 68 65 mmit.early.and.commit.often..The
1f120 20 60 60 72 65 64 69 73 74 72 69 62 75 74 65 20 6f 73 70 66 60 60 20 63 6f 6d 6d 61 6e 64 20 69 .``redistribute.ospf``.command.i
1f140 73 20 74 68 65 72 65 20 70 75 72 65 6c 79 20 61 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 s.there.purely.as.an.example.of.
1f160 68 6f 77 20 74 68 69 73 20 63 61 6e 20 62 65 20 65 78 70 61 6e 64 65 64 2e 20 49 6e 20 74 68 69 how.this.can.be.expanded..In.thi
1f180 73 20 77 61 6c 6b 74 68 72 6f 75 67 68 2c 20 69 74 20 77 69 6c 6c 20 62 65 20 66 69 6c 74 65 72 s.walkthrough,.it.will.be.filter
1f1a0 65 64 20 62 79 20 42 47 50 4f 55 54 20 72 75 6c 65 20 31 30 30 30 30 2c 20 61 73 20 69 74 20 69 ed.by.BGPOUT.rule.10000,.as.it.i
1f1c0 73 20 6e 6f 74 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32 34 2e 00 54 68 65 20 60 73 6f 75 72 63 s.not.203.0.113.0/24..The.`sourc
1f1e0 65 2d 61 64 64 72 65 73 73 60 20 69 73 20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 63 e-address`.is.the.Tunnelbroker.c
1f200 6c 69 65 6e 74 20 49 50 76 34 20 61 64 64 72 65 73 73 20 6f 72 20 69 66 20 74 68 65 72 65 20 69 lient.IPv4.address.or.if.there.i
1f220 73 20 4e 41 54 20 74 68 65 20 63 75 72 72 65 6e 74 20 57 41 4e 20 69 6e 74 65 72 66 61 63 65 20 s.NAT.the.current.WAN.interface.
1f240 61 64 64 72 65 73 73 2e 00 54 68 65 20 62 65 6c 6f 77 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e address..The.below.configuration
1f260 20 69 73 20 75 73 65 64 20 61 73 20 65 78 61 6d 70 6c 65 20 77 68 65 72 65 20 77 65 20 6b 65 65 .is.used.as.example.where.we.kee
1f280 70 20 66 6f 63 75 73 20 6f 6e 20 56 79 4f 53 2d 50 31 2f 56 79 4f 53 2d 50 32 2f 58 52 76 2d 50 p.focus.on.VyOS-P1/VyOS-P2/XRv-P
1f2a0 33 20 77 68 69 63 68 20 77 65 20 73 68 61 72 65 20 74 68 65 20 73 65 74 74 69 6e 67 73 2e 00 54 3.which.we.share.the.settings..T
1f2c0 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 73 74 65 70 73 20 61 72 65 20 74 68 65 20 73 he.configuration.steps.are.the.s
1f2e0 61 6d 65 20 61 73 20 69 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 ame.as.in.the.previous.example,.
1f300 65 78 63 65 70 74 20 72 75 6c 65 20 31 30 2e 20 53 6f 20 77 65 20 6b 65 65 70 20 74 68 65 20 63 except.rule.10..So.we.keep.the.c
1f320 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2c 20 72 65 6d 6f 76 65 20 72 75 6c 65 20 31 30 20 61 6e 64 onfiguration,.remove.rule.10.and
1f340 20 61 64 64 20 61 20 6e 65 77 20 72 75 6c 65 20 66 6f 72 20 74 68 65 20 66 61 69 6c 6f 76 65 72 .add.a.new.rule.for.the.failover
1f360 20 6d 6f 64 65 3a 00 54 68 65 20 65 78 61 6d 70 6c 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 73 20 .mode:.The.example.topology.has.
1f380 32 20 56 79 4f 53 20 72 6f 75 74 65 72 73 2e 20 4f 6e 65 20 61 73 20 54 68 65 20 57 41 4e 20 52 2.VyOS.routers..One.as.The.WAN.R
1f3a0 6f 75 74 65 72 20 61 6e 64 20 6f 6e 20 61 73 20 61 20 43 6c 69 65 6e 74 2c 20 74 6f 20 74 65 73 outer.and.on.as.a.Client,.to.tes
1f3c0 74 20 61 20 73 69 6e 67 6c 65 20 4c 41 4e 20 73 65 74 75 70 00 54 68 65 20 66 69 72 73 74 20 74 t.a.single.LAN.setup.The.first.t
1f3e0 77 6f 20 72 75 6c 65 73 20 61 72 65 20 74 6f 20 64 65 61 6c 20 77 69 74 68 20 74 68 65 20 69 64 wo.rules.are.to.deal.with.the.id
1f400 69 6f 73 79 6e 63 72 61 73 69 65 73 20 6f 66 20 56 79 4f 53 20 61 6e 64 20 69 70 74 61 62 6c 65 iosyncrasies.of.VyOS.and.iptable
1f420 73 2e 00 54 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 61 72 65 20 74 68 65 20 72 75 6c 65 73 20 74 s..The.following.are.the.rules.t
1f440 68 61 74 20 77 65 72 65 20 63 72 65 61 74 65 64 20 66 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c hat.were.created.for.this.exampl
1f460 65 20 28 6d 61 79 20 6e 6f 74 20 62 65 20 63 6f 6d 70 6c 65 74 65 29 2c 20 62 6f 74 68 20 69 6e e.(may.not.be.complete),.both.in
1f480 20 49 50 76 34 20 61 6e 64 20 49 50 76 36 2e 20 49 66 20 74 68 65 72 65 20 69 73 20 6e 6f 20 49 .IPv4.and.IPv6..If.there.is.no.I
1f4a0 50 20 73 70 65 63 69 66 69 65 64 2c 20 74 68 65 6e 20 74 68 65 20 73 6f 75 72 63 65 2f 64 65 73 P.specified,.then.the.source/des
1f4c0 74 69 6e 61 74 69 6f 6e 20 61 64 64 72 65 73 73 20 69 73 20 6e 6f 74 20 65 78 70 6c 69 63 69 74 tination.address.is.not.explicit
1f4e0 2e 00 54 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 73 6f 66 74 77 61 72 65 20 77 61 73 20 75 73 65 ..The.following.software.was.use
1f500 64 20 69 6e 20 74 68 65 20 63 72 65 61 74 69 6f 6e 20 6f 66 20 74 68 69 73 20 64 6f 63 75 6d 65 d.in.the.creation.of.this.docume
1f520 6e 74 3a 00 54 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 74 65 6d 70 6c 61 74 65 20 63 6f 6e 66 69 nt:.The.following.template.confi
1f540 67 75 72 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 75 73 65 64 20 69 6e 20 65 61 63 68 20 72 65 6d guration.can.be.used.in.each.rem
1f560 6f 74 65 20 72 6f 75 74 65 72 20 62 61 73 65 64 20 69 6e 20 6f 75 72 20 74 6f 70 6f 6c 6f 67 79 ote.router.based.in.our.topology
1f580 2e 00 54 68 65 20 66 6f 72 6d 61 74 20 6f 66 20 74 68 65 73 65 20 61 64 64 72 65 73 73 65 73 3a ..The.format.of.these.addresses:
1f5a0 00 54 68 65 20 6c 61 62 20 49 20 62 75 69 6c 74 20 69 73 20 75 73 69 6e 67 20 61 20 56 52 46 20 .The.lab.I.built.is.using.a.VRF.
1f5c0 28 63 61 6c 6c 65 64 20 2a 2a 6d 67 6d 74 2a 2a 29 20 74 6f 20 70 72 6f 76 69 64 65 20 6f 75 74 (called.**mgmt**).to.provide.out
1f5e0 2d 6f 66 2d 62 61 6e 64 20 53 53 48 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 50 45 20 28 50 -of-band.SSH.access.to.the.PE.(P
1f600 72 6f 76 69 64 65 72 20 45 64 67 65 29 20 72 6f 75 74 65 72 73 2e 00 54 68 65 20 6c 61 62 20 61 rovider.Edge).routers..The.lab.a
1f620 73 73 75 6d 65 73 20 61 20 66 75 6c 6c 20 72 75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20 44 69 72 ssumes.a.full.running.Active.Dir
1f640 65 63 74 6f 72 79 20 6f 6e 20 74 68 65 20 57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 2e 20 48 65 ectory.on.the.Windows.Server..He
1f660 72 65 20 61 72 65 20 73 6f 6d 65 20 50 6f 77 65 72 53 68 65 6c 6c 20 63 6f 6d 6d 61 6e 64 73 20 re.are.some.PowerShell.commands.
1f680 74 6f 20 71 75 69 63 6b 6c 79 20 61 64 64 20 61 20 54 65 73 74 20 41 63 74 69 76 65 20 44 69 72 to.quickly.add.a.Test.Active.Dir
1f6a0 65 63 74 6f 72 79 2e 00 54 68 65 20 6c 61 62 20 77 61 73 20 62 75 69 6c 74 20 75 73 69 6e 67 20 ectory..The.lab.was.built.using.
1f6c0 45 56 45 2d 4e 47 2e 00 54 68 65 20 6e 65 78 74 20 70 61 67 65 73 20 63 6f 6e 74 61 69 6e 73 20 EVE-NG..The.next.pages.contains.
1f6e0 61 75 74 6f 6d 61 74 69 63 20 66 75 6c 6c 20 74 65 73 74 65 64 20 63 6f 6e 66 69 67 75 72 61 74 automatic.full.tested.configurat
1f700 69 6f 6e 20 65 78 61 6d 70 6c 65 73 2e 00 54 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 ion.examples..The.previous.examp
1f720 6c 65 20 75 73 65 64 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 63 6f 6d 6d 61 6e 64 20 74 6f 20 le.used.the.failover.command.to.
1f740 73 65 6e 64 20 74 72 61 66 66 69 63 20 74 68 72 6f 75 67 68 20 65 74 68 31 20 69 66 20 65 74 68 send.traffic.through.eth1.if.eth
1f760 30 20 66 61 69 6c 73 2e 20 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 2c 20 66 61 69 6c 6f 76 0.fails..In.this.example,.failov
1f780 65 72 20 66 75 6e 63 74 69 6f 6e 61 6c 69 74 79 20 69 73 20 70 72 6f 76 69 64 65 64 20 62 79 20 er.functionality.is.provided.by.
1f7a0 72 75 6c 65 20 6f 72 64 65 72 2e 00 54 68 65 20 70 72 6f 63 65 73 73 20 77 69 6c 6c 20 64 6f 20 rule.order..The.process.will.do.
1f7c0 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 73 74 65 70 73 3a 00 54 68 65 20 73 63 6f 70 65 20 6f the.following.steps:.The.scope.o
1f7e0 66 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 63 6f 76 65 72 20 73 75 63 68 f.this.document.is.to.cover.such
1f800 20 63 61 73 65 73 20 69 6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61 79 20 77 69 74 68 6f 75 74 20 .cases.in.a.dynamic.way.without.
1f820 74 68 65 20 75 73 65 20 6f 66 20 4d 50 4c 53 2d 4c 44 50 2e 00 54 68 65 20 73 65 74 75 70 20 75 the.use.of.MPLS-LDP..The.setup.u
1f840 73 65 64 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 69 73 20 73 68 6f 77 6e 20 69 6e 20 sed.in.this.example.is.shown.in.
1f860 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 64 69 61 67 72 61 6d 3a 00 54 68 65 20 73 69 6d 70 6c the.following.diagram:.The.simpl
1f880 65 20 77 61 79 20 77 69 74 68 6f 75 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 74 e.way.without.configuration.of.t
1f8a0 68 65 20 68 6f 73 74 6e 61 6d 65 20 28 6f 6e 65 20 74 61 73 6b 20 66 6f 72 20 61 6c 6c 20 72 6f he.hostname.(one.task.for.all.ro
1f8c0 75 74 65 72 73 29 3a 00 54 68 65 20 73 69 6d 70 6c 65 73 74 20 77 61 79 20 74 6f 20 74 65 73 74 uters):.The.simplest.way.to.test
1f8e0 20 69 73 20 74 6f 20 6c 6f 6f 6b 20 61 74 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 72 .is.to.look.at.the.connection.tr
1f900 61 63 6b 69 6e 67 20 73 74 61 74 73 20 6f 6e 20 74 68 65 20 73 74 61 6e 64 62 79 20 68 61 72 64 acking.stats.on.the.standby.hard
1f920 77 61 72 65 20 72 6f 75 74 65 72 20 77 69 74 68 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 ware.router.with.the.command.``s
1f940 68 6f 77 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 20 73 74 61 74 69 73 74 69 63 73 60 60 2e how.conntrack-sync.statistics``.
1f960 20 54 68 65 20 6e 75 6d 62 65 72 73 20 73 68 6f 75 6c 64 20 62 65 20 76 65 72 79 20 63 6c 6f 73 .The.numbers.should.be.very.clos
1f980 65 20 74 6f 20 74 68 65 20 6e 75 6d 62 65 72 73 20 6f 6e 20 74 68 65 20 70 72 69 6d 61 72 79 20 e.to.the.numbers.on.the.primary.
1f9a0 72 6f 75 74 65 72 2e 00 54 68 65 20 73 79 6e 63 20 67 72 6f 75 70 20 69 73 20 75 73 65 64 20 74 router..The.sync.group.is.used.t
1f9c0 6f 20 72 65 70 6c 69 63 61 74 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 72 61 63 6b 69 6e 67 2e o.replicate.connection.tracking.
1f9e0 20 49 74 20 6e 65 65 64 73 20 74 6f 20 62 65 20 61 73 73 69 67 6e 65 64 20 74 6f 20 61 20 72 61 .It.needs.to.be.assigned.to.a.ra
1fa00 6e 64 6f 6d 20 56 52 52 50 20 67 72 6f 75 70 2c 20 61 6e 64 20 77 65 20 61 72 65 20 63 72 65 61 ndom.VRRP.group,.and.we.are.crea
1fa20 74 69 6e 67 20 61 20 73 79 6e 63 20 67 72 6f 75 70 20 63 61 6c 6c 65 64 20 60 60 73 79 6e 63 60 ting.a.sync.group.called.``sync`
1fa40 60 20 75 73 69 6e 67 20 74 68 65 20 76 72 72 70 20 67 72 6f 75 70 20 60 60 69 6e 74 60 60 2e 00 `.using.the.vrrp.group.``int``..
1fa60 54 68 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 73 20 33 20 56 79 4f 53 20 72 6f 75 74 65 72 73 20 The.topology.has.3.VyOS.routers.
1fa80 61 6e 64 20 6f 6e 65 20 63 6c 69 65 6e 74 2e 20 42 65 74 77 65 65 6e 20 74 68 65 20 44 48 43 50 and.one.client..Between.the.DHCP
1faa0 20 53 65 72 76 65 72 20 61 6e 64 20 74 68 65 20 44 48 43 50 20 52 65 6c 61 79 20 69 73 20 61 20 .Server.and.the.DHCP.Relay.is.a.
1fac0 47 52 45 20 74 75 6e 6e 65 6c 2e 20 54 68 65 20 60 74 72 61 6e 73 70 6f 72 74 60 20 56 79 4f 53 GRE.tunnel..The.`transport`.VyOS
1fae0 20 72 65 70 72 65 73 65 6e 74 20 61 20 6c 61 72 67 65 20 4e 65 74 77 6f 72 6b 2e 00 54 68 65 20 .represent.a.large.Network..The.
1fb00 74 6f 70 6f 6c 6f 67 79 20 68 61 76 65 20 61 20 63 65 6e 74 72 61 6c 20 61 6e 64 20 61 20 62 72 topology.have.a.central.and.a.br
1fb20 61 6e 63 68 20 56 79 4f 53 20 72 6f 75 74 65 72 20 61 6e 64 20 6f 6e 65 20 63 6c 69 65 6e 74 2c anch.VyOS.router.and.one.client,
1fb40 20 74 6f 20 74 65 73 74 2c 20 69 6e 20 65 61 63 68 20 73 69 74 65 2e 00 54 68 65 6e 20 61 64 64 .to.test,.in.each.site..Then.add
1fb60 20 61 20 72 6f 75 74 65 2d 6d 61 70 20 61 6e 64 20 72 65 66 65 72 65 6e 63 65 20 74 6f 20 61 62 .a.route-map.and.reference.to.ab
1fb80 6f 76 65 20 70 72 65 66 69 78 2e 20 43 6f 6e 73 69 64 65 72 20 74 68 61 74 20 74 68 65 20 61 63 ove.prefix..Consider.that.the.ac
1fba0 74 69 6f 6e 73 20 74 61 6b 65 6e 20 69 6e 73 69 64 65 20 74 68 65 20 70 72 65 66 69 78 20 77 69 tions.taken.inside.the.prefix.wi
1fbc0 6c 6c 20 4d 41 54 43 48 20 74 68 65 20 72 6f 75 74 65 73 20 74 68 61 74 20 77 69 6c 6c 20 62 65 ll.MATCH.the.routes.that.will.be
1fbe0 20 61 66 66 65 63 74 65 64 20 62 79 20 74 68 65 20 61 63 74 69 6f 6e 73 20 69 6e 73 69 64 65 20 .affected.by.the.actions.inside.
1fc00 74 68 65 20 72 75 6c 65 73 20 6f 66 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 2e 00 54 68 65 6e the.rules.of.the.route-map..Then
1fc20 20 77 65 20 6e 65 65 64 20 74 6f 20 61 74 74 61 63 68 20 74 68 65 20 70 6f 6c 69 63 79 20 74 6f .we.need.to.attach.the.policy.to
1fc40 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 2e 20 54 68 69 73 20 6e 65 65 64 73 20 74 6f 20 .the.BGP.process..This.needs.to.
1fc60 62 65 20 75 6e 64 65 72 20 74 68 65 20 69 6d 70 6f 72 74 20 73 74 61 74 65 6d 65 6e 74 20 69 6e be.under.the.import.statement.in
1fc80 20 74 68 65 20 76 72 66 20 77 65 20 6e 65 65 64 20 74 6f 20 66 69 6c 74 65 72 2e 00 54 68 65 72 .the.vrf.we.need.to.filter..Ther
1fca0 65 20 61 72 65 20 73 6f 6d 65 20 63 61 73 65 73 20 77 68 65 72 65 20 74 68 69 73 20 69 73 20 6e e.are.some.cases.where.this.is.n
1fcc0 6f 74 20 6e 65 65 64 65 64 20 2d 66 6f 72 20 65 78 61 6d 70 6c 65 2c 20 69 6e 20 73 6f 6d 65 20 ot.needed.-for.example,.in.some.
1fce0 44 44 6f 53 20 61 70 70 6c 69 61 6e 63 65 2d 20 62 75 74 20 6d 6f 73 74 20 69 6e 74 65 72 2d 76 DDoS.appliance-.but.most.inter-v
1fd00 72 66 20 72 6f 75 74 69 6e 67 20 64 65 73 69 67 6e 73 20 75 73 65 20 74 68 65 20 61 62 6f 76 65 rf.routing.designs.use.the.above
1fd20 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 2e 00 54 68 65 72 65 20 69 73 20 70 6c 65 6e 74 79 .configurations..There.is.plenty
1fd40 20 6f 66 20 69 6e 73 74 72 75 63 74 69 6f 6e 73 20 61 6e 64 20 64 6f 63 75 6d 65 6e 74 61 74 69 .of.instructions.and.documentati
1fd60 6f 6e 20 6f 6e 20 73 65 74 74 69 6e 67 20 75 70 20 57 69 72 65 67 75 61 72 64 2e 20 54 68 65 20 on.on.setting.up.Wireguard..The.
1fd80 6f 6e 6c 79 20 69 6d 70 6f 72 74 61 6e 74 20 74 68 69 6e 67 20 79 6f 75 20 6e 65 65 64 20 74 6f only.important.thing.you.need.to
1fda0 20 72 65 6d 65 6d 62 65 72 20 69 73 20 74 6f 20 6f 6e 6c 79 20 75 73 65 20 6f 6e 65 20 57 69 72 .remember.is.to.only.use.one.Wir
1fdc0 65 47 75 61 72 64 20 69 6e 74 65 72 66 61 63 65 20 70 65 72 20 4f 53 50 46 20 63 6f 6e 6e 65 63 eGuard.interface.per.OSPF.connec
1fde0 74 69 6f 6e 2e 00 54 68 65 73 65 20 61 72 65 20 74 68 65 20 76 6c 61 6e 73 20 77 65 20 77 69 6c tion..These.are.the.vlans.we.wil
1fe00 6c 20 62 65 20 75 73 69 6e 67 3a 00 54 68 65 79 20 77 61 6e 74 20 75 73 20 74 6f 20 65 73 74 61 l.be.using:.They.want.us.to.esta
1fe20 62 6c 69 73 68 20 61 20 42 47 50 20 73 65 73 73 69 6f 6e 20 74 6f 20 74 68 65 69 72 20 72 6f 75 blish.a.BGP.session.to.their.rou
1fe40 74 65 72 73 20 6f 6e 20 31 39 32 2e 30 2e 32 2e 31 31 20 61 6e 64 20 31 39 32 2e 30 2e 32 2e 31 ters.on.192.0.2.11.and.192.0.2.1
1fe60 32 20 66 72 6f 6d 20 6f 75 72 20 72 6f 75 74 65 72 73 20 31 39 32 2e 30 2e 32 2e 32 31 20 61 6e 2.from.our.routers.192.0.2.21.an
1fe80 64 20 31 39 32 2e 30 2e 32 2e 32 32 2e 20 54 68 65 79 20 61 72 65 20 41 53 20 36 35 35 35 30 20 d.192.0.2.22..They.are.AS.65550.
1fea0 61 6e 64 20 77 65 20 61 72 65 20 41 53 20 36 35 35 35 31 2e 00 54 68 69 73 20 4c 41 42 20 73 68 and.we.are.AS.65551..This.LAB.sh
1fec0 6f 77 20 68 6f 77 20 74 6f 20 75 77 65 20 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 61 20 41 63 74 ow.how.to.uwe.OpenVPN.with.a.Act
1fee0 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 61 75 74 68 65 6e 74 69 63 61 74 69 6f 6e 20 62 61 63 ive.Directory.authentication.bac
1ff00 6b 65 6e 64 2e 00 54 68 69 73 20 4c 41 42 20 73 68 6f 77 73 20 68 6f 77 20 74 6f 20 75 73 65 20 kend..This.LAB.shows.how.to.use.
1ff20 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 61 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 OpenVPN.with.a.Active.Directory.
1ff40 61 75 74 68 65 6e 74 69 63 61 74 69 6f 6e 20 6d 65 74 68 6f 64 2e 00 54 68 69 73 20 61 63 63 6f authentication.method..This.acco
1ff60 6d 70 6c 69 73 68 65 73 20 61 20 66 65 77 20 74 68 69 6e 67 73 3a 00 54 68 69 73 20 63 68 61 70 mplishes.a.few.things:.This.chap
1ff80 74 65 72 20 63 6f 6e 74 61 69 6e 73 20 76 61 72 69 6f 75 73 20 63 6f 6e 66 69 67 75 72 61 74 69 ter.contains.various.configurati
1ffa0 6f 6e 20 65 78 61 6d 70 6c 65 73 3a 00 54 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 on.examples:.This.configuration.
1ffc0 65 78 61 6d 70 6c 65 20 61 6e 64 20 74 68 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 63 6f 6e example.and.the.requirements.con
1ffe0 73 69 73 74 73 20 6f 66 3a 00 54 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 sists.of:.This.configuration.exa
20000 6d 70 6c 65 20 61 6e 64 20 74 68 65 20 72 65 71 75 69 72 6d 65 6e 74 73 20 63 6f 6e 73 69 73 74 mple.and.the.requirments.consist
20020 73 20 6f 66 3a 00 54 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 s.of:.This.configuration.example
20040 20 61 6e 64 20 74 68 65 20 72 65 71 75 69 72 6d 65 6e 74 73 20 63 6f 6e 73 69 73 74 73 20 6f 6e .and.the.requirments.consists.on
20060 3a 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 61 69 6d 73 20 74 6f 20 77 61 6c 6b 20 79 6f 75 :.This.document.aims.to.walk.you
20080 20 74 68 72 6f 75 67 68 20 73 65 74 74 69 6e 67 20 65 76 65 72 79 74 68 69 6e 67 20 75 70 2c 20 .through.setting.everything.up,.
200a0 73 6f 20 61 74 20 61 20 70 6f 69 6e 74 20 77 68 65 72 65 20 79 6f 75 20 63 61 6e 20 72 65 62 6f so.at.a.point.where.you.can.rebo
200c0 6f 74 20 61 6e 79 20 6d 61 63 68 69 6e 65 20 61 6e 64 20 6e 6f 74 20 6c 6f 73 65 20 6d 6f 72 65 ot.any.machine.and.not.lose.more
200e0 20 74 68 61 6e 20 61 20 66 65 77 20 73 65 63 6f 6e 64 73 20 77 6f 72 74 68 20 6f 66 20 63 6f 6e .than.a.few.seconds.worth.of.con
20100 6e 65 63 74 69 76 69 74 79 2e 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 64 nectivity..This.document.is.to.d
20120 65 73 63 72 69 62 65 20 61 20 62 61 73 69 63 20 73 65 74 75 70 20 75 73 69 6e 67 20 50 50 50 6f escribe.a.basic.setup.using.PPPo
20140 45 20 6f 76 65 72 20 4c 32 54 50 2e 20 4c 41 43 20 61 6e 64 20 4c 4e 53 20 61 72 65 20 63 6f 6d E.over.L2TP..LAC.and.LNS.are.com
20160 70 6f 6e 65 6e 74 73 20 6f 66 20 74 68 65 20 62 72 6f 61 64 62 61 6e 64 20 74 6f 70 6f 6c 6f 67 ponents.of.the.broadband.topolog
20180 79 2e 20 4c 41 43 20 2d 20 4c 32 54 50 20 61 63 63 65 73 73 20 63 6f 6e 63 65 6e 74 72 61 74 6f y..LAC.-.L2TP.access.concentrato
201a0 72 20 4c 4e 53 20 2d 20 20 4c 32 54 50 20 4e 65 74 77 6f 72 6b 20 53 65 72 76 65 72 20 4c 41 43 r.LNS.-..L2TP.Network.Server.LAC
201c0 20 61 6e 64 20 4c 4e 53 20 66 6f 72 6d 73 20 4c 32 54 50 20 74 75 6e 6e 65 6c 2e 20 4c 41 43 20 .and.LNS.forms.L2TP.tunnel..LAC.
201e0 72 65 63 65 69 76 65 73 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 50 50 50 6f 45 20 63 6c 69 65 receives.packets.from.PPPoE.clie
20200 6e 74 73 20 61 6e 64 20 66 6f 72 77 61 72 64 20 74 68 65 6d 20 74 6f 20 4c 4e 53 2e 20 4c 4e 53 nts.and.forward.them.to.LNS..LNS
20220 20 69 73 20 74 68 65 20 74 65 72 6d 69 6e 61 74 69 6f 6e 20 70 6f 69 6e 74 20 74 68 61 74 20 63 .is.the.termination.point.that.c
20240 6f 6d 65 73 20 66 72 6f 6d 20 50 50 50 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 74 68 65 20 72 omes.from.PPP.packets.from.the.r
20260 65 6d 6f 74 65 20 63 6c 69 65 6e 74 2e 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 emote.client..This.document.is.t
20280 6f 20 64 65 73 63 72 69 62 65 20 61 20 62 61 73 69 63 20 73 65 74 75 70 20 75 73 69 6e 67 20 50 o.describe.a.basic.setup.using.P
202a0 50 50 6f 45 20 77 69 74 68 20 44 48 43 50 76 36 2d 50 44 20 2b 20 53 4c 41 41 43 20 74 6f 20 63 PPoE.with.DHCPv6-PD.+.SLAAC.to.c
202c0 6f 6e 73 74 72 75 63 74 20 61 20 74 79 70 69 63 61 6c 20 68 6f 6d 65 20 6e 65 74 77 6f 72 6b 2e onstruct.a.typical.home.network.
202e0 20 54 68 65 20 75 73 65 72 20 63 61 6e 20 66 6f 6c 6c 6f 77 20 74 68 65 20 73 74 65 70 73 20 64 .The.user.can.follow.the.steps.d
20300 65 73 63 72 69 62 65 64 20 68 65 72 65 20 74 6f 20 71 75 69 63 6b 6c 79 20 73 65 74 75 70 20 61 escribed.here.to.quickly.setup.a
20320 20 77 6f 72 6b 69 6e 67 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 75 73 65 20 74 68 69 73 20 61 73 .working.network.and.use.this.as
20340 20 61 20 73 74 61 72 74 69 6e 67 20 70 6f 69 6e 74 20 74 6f 20 66 75 72 74 68 65 72 20 63 6f 6e .a.starting.point.to.further.con
20360 66 69 67 75 72 65 20 6f 72 20 66 69 6e 65 2d 74 75 6e 65 20 6f 74 68 65 72 20 73 65 74 74 69 6e figure.or.fine-tune.other.settin
20380 67 73 2e 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77 61 6c 6b 73 20 79 6f 75 20 74 68 72 6f gs..This.document.walks.you.thro
203a0 75 67 68 20 61 20 63 6f 6d 70 6c 65 74 65 20 48 41 20 73 65 74 75 70 20 6f 66 20 74 77 6f 20 56 ugh.a.complete.HA.setup.of.two.V
203c0 79 4f 53 20 6d 61 63 68 69 6e 65 73 2e 20 54 68 69 73 20 64 65 73 69 67 6e 20 69 73 20 62 61 73 yOS.machines..This.design.is.bas
203e0 65 64 20 6f 6e 20 61 20 56 4d 20 61 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 72 6f 75 74 65 72 ed.on.a.VM.as.the.primary.router
20400 20 61 6e 64 20 61 20 70 68 79 73 69 63 61 6c 20 6d 61 63 68 69 6e 65 20 61 73 20 61 20 62 61 63 .and.a.physical.machine.as.a.bac
20420 6b 75 70 2c 20 75 73 69 6e 67 20 56 52 52 50 2c 20 42 47 50 2c 20 4f 53 50 46 2c 20 61 6e 64 20 kup,.using.VRRP,.BGP,.OSPF,.and.
20440 63 6f 6e 6e 74 72 61 63 6b 20 73 68 61 72 69 6e 67 2e 00 54 68 69 73 20 65 6e 73 75 72 65 73 20 conntrack.sharing..This.ensures.
20460 79 6f 75 20 64 6f 6e 27 74 20 67 6f 20 74 6f 6f 20 66 61 73 74 20 6f 72 20 6d 69 73 73 20 61 20 you.don't.go.too.fast.or.miss.a.
20480 73 74 65 70 2e 20 48 6f 77 65 76 65 72 2c 20 69 74 20 77 69 6c 6c 20 6d 61 6b 65 20 79 6f 75 72 step..However,.it.will.make.your
204a0 20 6c 69 66 65 20 65 61 73 69 65 72 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 66 69 .life.easier.to.configure.the.fi
204c0 78 65 64 20 49 50 20 61 64 64 72 65 73 73 20 61 6e 64 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 xed.IP.address.and.default.route
204e0 20 6e 6f 77 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 54 68 69 .now.on.the.hardware.router..Thi
20500 73 20 65 78 61 6d 70 6c 65 20 73 68 6f 77 73 20 68 6f 77 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 s.example.shows.how.to.configure
20520 20 61 20 56 79 4f 53 20 72 6f 75 74 65 72 20 77 69 74 68 20 56 52 46 73 20 61 6e 64 20 66 69 72 .a.VyOS.router.with.VRFs.and.fir
20540 65 77 61 6c 6c 20 72 75 6c 65 73 2e 00 54 68 69 73 20 65 78 61 6d 70 6c 65 20 73 68 6f 77 73 20 ewall.rules..This.example.shows.
20560 68 6f 77 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 20 56 79 4f 53 20 72 6f 75 74 65 72 20 77 how.to.configure.a.VyOS.router.w
20580 69 74 68 20 62 72 69 64 67 65 20 69 6e 74 65 72 66 61 63 65 73 20 61 6e 64 20 66 69 72 65 77 61 ith.bridge.interfaces.and.firewa
205a0 6c 6c 20 72 75 6c 65 73 2e 00 54 68 69 73 20 65 78 61 6d 70 6c 65 20 75 73 65 73 20 74 68 65 20 ll.rules..This.example.uses.the.
205c0 66 61 69 6c 6f 76 65 72 20 6d 6f 64 65 2e 00 54 68 69 73 20 67 69 76 65 73 20 75 73 20 4d 50 4c failover.mode..This.gives.us.MPL
205e0 53 20 73 65 67 6d 65 6e 74 20 72 6f 75 74 69 6e 67 20 65 6e 61 62 6c 65 64 20 61 6e 64 20 6c 61 S.segment.routing.enabled.and.la
20600 62 65 6c 73 20 66 6f 72 77 61 72 64 69 6e 67 20 3a 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f bels.forwarding.:.This.guide.sho
20620 77 73 20 61 20 73 61 6d 70 6c 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 6f 72 20 46 6c ws.a.sample.configuration.for.Fl
20640 65 78 56 50 4e 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 49 6e 74 65 72 6e 65 74 20 50 72 6f 74 exVPN.site-to-site.Internet.Prot
20660 6f 63 6f 6c 20 53 65 63 75 72 69 74 79 20 28 49 50 73 65 63 29 2f 47 65 6e 65 72 69 63 20 52 6f ocol.Security.(IPsec)/Generic.Ro
20680 75 74 69 6e 67 20 45 6e 63 61 70 73 75 6c 61 74 69 6f 6e 20 28 47 52 45 29 20 74 75 6e 6e 65 6c uting.Encapsulation.(GRE).tunnel
206a0 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 ..This.guide.shows.an.example.of
206c0 20 61 20 72 65 64 75 6e 64 61 6e 74 20 28 61 63 74 69 76 65 2d 61 63 74 69 76 65 29 20 72 6f 75 .a.redundant.(active-active).rou
206e0 74 65 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 te-based.IKEv2.site-to-site.VPN.
20700 74 6f 20 41 7a 75 72 65 20 75 73 69 6e 67 20 56 54 49 20 61 6e 64 20 42 47 50 20 66 6f 72 20 64 to.Azure.using.VTI.and.BGP.for.d
20720 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 70 64 61 74 65 73 2e 00 54 68 69 73 20 67 75 69 ynamic.routing.updates..This.gui
20740 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 20 72 6f 75 74 65 2d 62 de.shows.an.example.of.a.route-b
20760 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 74 6f 20 41 ased.IKEv2.site-to-site.VPN.to.A
20780 7a 75 72 65 20 75 73 69 6e 67 20 56 54 49 20 61 6e 64 20 42 47 50 20 66 6f 72 20 64 79 6e 61 6d zure.using.VTI.and.BGP.for.dynam
207a0 69 63 20 72 6f 75 74 69 6e 67 20 75 70 64 61 74 65 73 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 ic.routing.updates..This.guide.s
207c0 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 70 6f 6c 69 63 79 2d 62 61 73 65 64 20 49 4b 45 hows.an.example.policy-based.IKE
207e0 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 62 65 74 77 65 65 6e 20 74 77 6f 20 v2.site-to-site.VPN.between.two.
20800 56 79 4f 53 20 72 6f 75 74 65 72 73 2c 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 VyOS.routers,.and.firewall.confi
20820 67 69 75 72 61 74 69 6f 6e 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 giuration..This.guide.shows.an.e
20840 78 61 6d 70 6c 65 20 70 6f 6c 69 63 79 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 xample.policy-based.IKEv2.site-t
20860 6f 2d 73 69 74 65 20 56 50 4e 20 62 65 74 77 65 65 6e 20 74 77 6f 20 56 79 4f 53 20 72 6f 75 74 o-site.VPN.between.two.VyOS.rout
20880 65 72 73 2c 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e ers,.and.firewall.configuration.
208a0 00 54 68 69 73 20 67 75 69 64 65 20 77 61 6c 6b 73 20 74 68 72 6f 75 67 68 20 74 68 65 20 73 65 .This.guide.walks.through.the.se
208c0 74 75 70 20 6f 66 20 68 74 74 70 73 3a 2f 2f 77 77 77 2e 74 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e tup.of.https://www.tunnelbroker.
208e0 6e 65 74 2f 20 66 6f 72 20 61 6e 20 49 50 76 36 20 54 75 6e 6e 65 6c 2e 00 54 68 69 73 20 68 61 net/.for.an.IPv6.Tunnel..This.ha
20900 73 20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 31 30 2e 32 30 s.a.floating.IP.address.of.10.20
20920 30 2e 32 30 31 2e 31 2f 32 34 2c 20 75 73 69 6e 67 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 0.201.1/24,.using.virtual.router
20940 20 49 44 20 32 30 31 2e 20 54 68 65 20 64 69 66 66 65 72 65 6e 63 65 20 62 65 74 77 65 65 6e 20 .ID.201..The.difference.between.
20960 74 68 65 6d 20 69 73 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 6e 61 6d 65 2c 20 68 65 6c 6c them.is.the.interface.name,.hell
20980 6f 2d 73 6f 75 72 63 65 2d 61 64 64 72 65 73 73 2c 20 61 6e 64 20 70 65 65 72 2d 61 64 64 72 65 o-source-address,.and.peer-addre
209a0 73 73 2e 00 54 68 69 73 20 68 61 73 20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 ss..This.has.a.floating.IP.addre
209c0 73 73 20 6f 66 20 32 30 33 2e 30 2e 31 31 33 2e 31 2f 32 34 2c 20 75 73 69 6e 67 20 76 69 72 74 ss.of.203.0.113.1/24,.using.virt
209e0 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 31 31 33 2e 20 54 68 65 20 76 69 72 74 75 61 6c 20 72 ual.router.ID.113..The.virtual.r
20a00 6f 75 74 65 72 20 49 44 20 69 73 20 6a 75 73 74 20 61 20 72 61 6e 64 6f 6d 20 6e 75 6d 62 65 72 outer.ID.is.just.a.random.number
20a20 20 62 65 74 77 65 65 6e 20 31 20 61 6e 64 20 32 35 34 2c 20 61 6e 64 20 63 61 6e 20 62 65 20 73 .between.1.and.254,.and.can.be.s
20a40 65 74 20 74 6f 20 77 68 61 74 65 76 65 72 20 79 6f 75 20 77 61 6e 74 2e 20 42 65 73 74 20 70 72 et.to.whatever.you.want..Best.pr
20a60 61 63 74 69 63 65 73 20 73 75 67 67 65 73 74 20 79 6f 75 20 74 72 79 20 74 6f 20 6b 65 65 70 20 actices.suggest.you.try.to.keep.
20a80 74 68 65 6d 20 75 6e 69 71 75 65 20 65 6e 74 65 72 70 72 69 73 65 2d 77 69 64 65 2e 00 54 68 69 them.unique.enterprise-wide..Thi
20aa0 73 20 69 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 74 68 65 20 74 68 72 65 65 20 62 61 73 s.is.an.example.of.the.three.bas
20ac0 65 20 72 75 6c 65 73 2e 00 54 68 69 73 20 69 73 20 62 61 73 65 64 20 6f 6e 20 61 20 72 65 61 6c e.rules..This.is.based.on.a.real
20ae0 2d 6c 69 66 65 20 70 72 6f 64 75 63 74 69 6f 6e 20 64 65 73 69 67 6e 2e 20 4f 6e 65 20 6f 66 20 -life.production.design..One.of.
20b00 74 68 65 20 63 6f 6d 70 6c 65 78 20 69 73 73 75 65 73 20 69 73 20 65 6e 73 75 72 69 6e 67 20 79 the.complex.issues.is.ensuring.y
20b20 6f 75 20 68 61 76 65 20 72 65 64 75 6e 64 61 6e 74 20 64 61 74 61 20 49 4e 54 4f 20 79 6f 75 72 ou.have.redundant.data.INTO.your
20b40 20 6e 65 74 77 6f 72 6b 2e 20 57 65 20 64 6f 20 74 68 69 73 20 77 69 74 68 20 61 20 70 61 69 72 .network..We.do.this.with.a.pair
20b60 20 6f 66 20 43 69 73 63 6f 20 4e 65 78 75 73 20 73 77 69 74 63 68 65 73 20 61 6e 64 20 75 73 69 .of.Cisco.Nexus.switches.and.usi
20b80 6e 67 20 56 69 72 74 75 61 6c 20 50 6f 72 74 43 68 61 6e 6e 65 6c 73 20 74 68 61 74 20 61 72 65 ng.Virtual.PortChannels.that.are
20ba0 20 73 70 61 6e 6e 65 64 20 61 63 72 6f 73 73 20 74 68 65 6d 2e 20 41 73 20 61 20 62 6f 6e 75 73 .spanned.across.them..As.a.bonus
20bc0 2c 20 74 68 69 73 20 61 6c 73 6f 20 61 6c 6c 6f 77 73 20 66 6f 72 20 63 6f 6d 70 6c 65 74 65 20 ,.this.also.allows.for.complete.
20be0 73 77 69 74 63 68 20 66 61 69 6c 75 72 65 20 77 69 74 68 6f 75 74 20 61 6e 20 6f 75 74 61 67 65 switch.failure.without.an.outage
20c00 2e 20 48 6f 77 20 79 6f 75 20 61 63 68 69 65 76 65 20 74 68 69 73 20 79 6f 75 72 73 65 6c 66 20 ..How.you.achieve.this.yourself.
20c20 69 73 20 6c 65 66 74 20 61 73 20 61 6e 20 65 78 65 72 63 69 73 65 20 74 6f 20 74 68 65 20 72 65 is.left.as.an.exercise.to.the.re
20c40 61 64 65 72 2e 20 42 75 74 20 6f 75 72 20 73 65 74 75 70 20 69 73 20 64 6f 63 75 6d 65 6e 74 65 ader..But.our.setup.is.documente
20c60 64 20 68 65 72 65 2e 00 54 68 69 73 20 69 73 20 63 6f 6e 6e 65 63 74 69 6e 67 20 62 61 63 6b 20 d.here..This.is.connecting.back.
20c80 74 6f 20 74 68 65 20 53 54 41 54 49 43 20 49 50 20 6f 66 20 72 6f 75 74 65 72 31 2c 20 6e 6f 74 to.the.STATIC.IP.of.router1,.not
20ca0 20 74 68 65 20 66 6c 6f 61 74 69 6e 67 2e 00 54 68 69 73 20 69 73 20 69 64 65 6e 74 69 63 61 6c .the.floating..This.is.identical
20cc0 2c 20 62 75 74 20 79 6f 75 20 75 73 65 20 74 68 65 20 42 47 50 50 52 45 50 45 4e 44 4f 55 54 20 ,.but.you.use.the.BGPPREPENDOUT.
20ce0 72 6f 75 74 65 2d 6d 61 70 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 74 68 65 20 72 6f 75 74 65 route-map.to.advertise.the.route
20d00 20 77 69 74 68 20 61 20 6c 6f 6e 67 65 72 20 70 61 74 68 2e 00 54 68 69 73 20 69 73 20 69 67 6e .with.a.longer.path..This.is.ign
20d20 6f 72 69 6e 67 20 74 68 65 20 65 78 74 72 61 20 4f 75 74 2d 6f 66 2d 62 61 6e 64 20 6d 61 6e 61 oring.the.extra.Out-of-band.mana
20d40 67 65 6d 65 6e 74 20 6e 65 74 77 6f 72 6b 69 6e 67 2c 20 77 68 69 63 68 20 73 68 6f 75 6c 64 20 gement.networking,.which.should.
20d60 62 65 20 6f 6e 20 74 6f 74 61 6c 6c 79 20 64 69 66 66 65 72 65 6e 74 20 73 77 69 74 63 68 65 73 be.on.totally.different.switches
20d80 2c 20 61 6e 64 20 61 20 64 69 66 66 65 72 65 6e 74 20 66 65 65 64 20 69 6e 74 6f 20 74 68 65 20 ,.and.a.different.feed.into.the.
20da0 72 61 63 6b 2c 20 61 6e 64 20 69 73 20 6f 75 74 20 6f 66 20 73 63 6f 70 65 20 6f 66 20 74 68 69 rack,.and.is.out.of.scope.of.thi
20dc0 73 2e 00 54 68 69 73 20 73 63 65 6e 61 72 69 6f 20 63 6f 75 6c 64 20 62 65 20 61 20 6e 69 67 68 s..This.scenario.could.be.a.nigh
20de0 74 6d 61 72 65 20 61 70 70 6c 79 69 6e 67 20 72 65 67 75 6c 61 72 20 72 6f 75 74 69 6e 67 20 61 tmare.applying.regular.routing.a
20e00 6e 64 20 6d 69 67 68 74 20 6e 65 65 64 20 66 69 6c 74 65 72 69 6e 67 20 69 6e 20 6d 75 6c 74 69 nd.might.need.filtering.in.multi
20e20 70 6c 65 20 69 6e 74 65 72 66 61 63 65 73 2e 00 54 68 69 73 20 73 65 63 74 69 6f 6e 20 63 6f 6e ple.interfaces..This.section.con
20e40 74 61 69 6e 73 20 65 78 61 6d 70 6c 65 73 20 6f 66 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 tains.examples.of.firewall.confi
20e60 67 75 72 61 74 69 6f 6e 73 20 66 6f 72 20 76 61 72 69 6f 75 73 20 64 65 70 6c 6f 79 6d 65 6e 74 gurations.for.various.deployment
20e80 73 2e 00 54 68 69 73 20 73 65 63 74 69 6f 6e 20 64 65 73 63 72 69 62 65 73 20 76 65 72 69 66 69 s..This.section.describes.verifi
20ea0 63 61 74 69 6f 6e 20 63 6f 6d 6d 61 6e 64 73 20 66 6f 72 20 4d 50 4c 53 2f 42 47 50 2f 4c 44 50 cation.commands.for.MPLS/BGP/LDP
20ec0 20 70 72 6f 74 6f 63 6f 6c 73 20 61 6e 64 20 4c 33 56 50 4e 20 72 65 6c 61 74 65 64 20 72 6f 75 .protocols.and.L3VPN.related.rou
20ee0 74 65 73 20 61 73 20 77 65 6c 6c 20 61 73 20 64 69 61 67 6e 6f 73 69 73 20 61 6e 64 20 72 65 61 tes.as.well.as.diagnosis.and.rea
20f00 63 68 61 62 69 6c 69 74 79 20 63 68 65 63 6b 73 20 62 65 74 77 65 65 6e 20 43 45 20 6e 6f 64 65 chability.checks.between.CE.node
20f20 73 2e 00 54 68 69 73 20 73 65 63 74 69 6f 6e 20 70 72 6f 76 69 64 65 73 20 63 6f 6e 66 69 67 75 s..This.section.provides.configu
20f40 72 61 74 69 6f 6e 20 73 74 65 70 73 20 66 6f 72 20 73 65 74 74 69 6e 67 20 75 70 20 56 52 46 73 ration.steps.for.setting.up.VRFs
20f60 20 6f 6e 20 6f 75 72 20 50 45 20 6e 6f 64 65 73 20 69 6e 63 6c 75 64 69 6e 67 20 43 45 20 66 61 .on.our.PE.nodes.including.CE.fa
20f80 63 69 6e 67 20 69 6e 74 65 72 66 61 63 65 73 2c 20 42 47 50 2c 20 72 64 20 61 6e 64 20 72 6f 75 cing.interfaces,.BGP,.rd.and.rou
20fa0 74 65 2d 74 61 72 67 65 74 20 69 6d 70 6f 72 74 2f 65 78 70 6f 72 74 20 62 61 73 65 64 20 6f 6e te-target.import/export.based.on
20fc0 20 74 68 65 20 70 72 65 2d 64 65 66 69 6e 65 64 20 70 61 72 61 6d 65 74 65 72 73 2e 00 54 68 69 .the.pre-defined.parameters..Thi
20fe0 73 20 73 65 74 75 70 20 72 65 71 75 69 72 65 73 20 74 68 65 20 43 6f 6d 70 72 65 73 73 69 6f 6e s.setup.requires.the.Compression
21000 20 43 6f 6e 74 72 6f 6c 20 50 72 6f 74 6f 63 6f 6c 20 28 43 43 50 29 20 62 65 69 6e 67 20 64 69 .Control.Protocol.(CCP).being.di
21020 73 61 62 6c 65 64 2c 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 65 74 20 76 70 6e 20 6c 32 sabled,.the.command.``set.vpn.l2
21040 74 70 20 72 65 6d 6f 74 65 2d 61 63 63 65 73 73 20 70 70 70 2d 6f 70 74 69 6f 6e 73 20 64 69 73 tp.remote-access.ppp-options.dis
21060 61 62 6c 65 2d 63 63 70 60 60 20 61 63 63 6f 6d 70 6c 69 73 68 65 73 20 74 68 61 74 2e 00 54 68 able-ccp``.accomplishes.that..Th
21080 69 73 20 73 69 6d 70 6c 65 20 73 74 72 75 63 74 75 72 65 20 73 68 6f 77 20 68 6f 77 20 74 6f 20 is.simple.structure.show.how.to.
210a0 63 6f 6e 6e 65 63 74 20 74 77 6f 20 6f 66 66 69 63 65 73 2e 20 4f 6e 65 20 72 65 6d 6f 74 65 20 connect.two.offices..One.remote.
210c0 62 72 61 6e 63 68 20 61 6e 64 20 74 68 65 20 63 65 6e 74 72 61 6c 20 6f 66 66 69 63 65 2e 00 54 branch.and.the.central.office..T
210e0 68 69 73 20 73 69 6d 70 6c 65 20 73 74 72 75 63 74 75 72 65 20 73 68 6f 77 73 20 68 6f 77 20 74 his.simple.structure.shows.how.t
21100 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 20 44 48 43 50 20 52 65 6c 61 79 20 6f 76 65 72 20 61 20 o.configure.a.DHCP.Relay.over.a.
21120 47 52 45 20 42 72 69 64 67 65 20 69 6e 74 65 72 66 61 63 65 2e 00 54 68 69 73 20 77 69 6c 6c 20 GRE.Bridge.interface..This.will.
21140 62 65 20 76 69 73 69 62 6c 65 20 69 6e 20 27 73 68 6f 77 20 69 70 20 72 6f 75 74 65 27 2e 00 54 be.visible.in.'show.ip.route'..T
21160 68 72 65 65 20 6e 6f 6e 20 56 4c 41 4e 2d 61 77 61 72 65 20 62 72 69 64 67 65 73 20 61 72 65 20 hree.non.VLAN-aware.bridges.are.
21180 67 6f 69 6e 67 20 74 6f 20 62 65 20 63 6f 6e 66 69 67 75 72 65 64 2c 20 61 6e 64 20 65 61 63 68 going.to.be.configured,.and.each
211a0 20 6f 6e 65 20 68 61 73 20 69 74 73 20 6f 77 6e 20 72 65 71 75 69 72 65 6d 65 6e 74 73 2e 00 54 .one.has.its.own.requirements..T
211c0 68 75 73 20 79 6f 75 20 63 61 6e 20 65 61 73 69 6c 79 20 6d 61 74 63 68 20 69 74 20 74 6f 20 6f hus.you.can.easily.match.it.to.o
211e0 6e 65 20 6f 66 20 74 68 65 20 64 65 76 69 63 65 73 2f 6e 65 74 77 6f 72 6b 73 20 62 65 6c 6f 77 ne.of.the.devices/networks.below
21200 2e 00 54 6f 20 61 63 68 69 65 76 65 20 74 68 69 73 2c 20 79 6f 75 72 20 49 53 50 20 69 73 20 72 ..To.achieve.this,.your.ISP.is.r
21220 65 71 75 69 72 65 64 20 74 6f 20 73 75 70 70 6f 72 74 20 44 48 43 50 76 36 2d 50 44 2e 20 49 66 equired.to.support.DHCPv6-PD..If
21240 20 79 6f 75 27 72 65 20 6e 6f 74 20 73 75 72 65 2c 20 70 6c 65 61 73 65 20 63 6f 6e 74 61 63 74 .you're.not.sure,.please.contact
21260 20 79 6f 75 72 20 49 53 50 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 .your.ISP.for.more.information..
21280 54 6f 20 61 64 64 20 6c 6f 67 67 69 6e 67 20 74 6f 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 75 To.add.logging.to.the.default.ru
212a0 6c 65 2c 20 64 6f 3a 00 54 6f 20 61 64 64 72 65 73 73 20 74 68 69 73 20 73 63 65 6e 61 72 69 6f le,.do:.To.address.this.scenario
212c0 20 77 65 20 77 69 6c 6c 20 75 73 65 20 74 6f 20 6f 75 72 20 61 64 76 61 6e 74 61 67 65 20 61 6e .we.will.use.to.our.advantage.an
212e0 20 65 78 74 65 6e 73 69 6f 6e 20 6f 66 20 74 68 65 20 42 47 50 20 72 6f 75 74 69 6e 67 20 70 72 .extension.of.the.BGP.routing.pr
21300 6f 74 6f 63 6f 6c 20 74 68 61 74 20 77 69 6c 6c 20 68 65 6c 70 20 75 73 20 69 6e 20 74 68 65 20 otocol.that.will.help.us.in.the.
21320 e2 80 9c 45 78 70 6f 72 74 e2 80 9d 20 62 65 74 77 65 65 6e 20 56 52 46 73 20 77 69 74 68 6f 75 ...Export....between.VRFs.withou
21340 74 20 74 68 65 20 6e 65 65 64 20 66 6f 72 20 4d 50 4c 53 2e 00 54 6f 20 64 65 70 6c 6f 79 20 61 t.the.need.for.MPLS..To.deploy.a
21360 20 4c 61 79 65 72 33 20 56 50 4e 20 77 69 74 68 20 4d 50 4c 53 20 6f 6e 20 56 79 4f 53 2c 20 77 .Layer3.VPN.with.MPLS.on.VyOS,.w
21380 65 20 73 68 6f 75 6c 64 20 6d 65 65 74 20 61 20 63 6f 75 70 6c 65 20 72 65 71 75 69 72 65 6d 65 e.should.meet.a.couple.requireme
213a0 6e 74 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 70 72 6f 70 65 72 6c 79 20 69 6d 70 6c 65 6d 65 nts.in.order.to.properly.impleme
213c0 6e 74 20 74 68 65 20 73 6f 6c 75 74 69 6f 6e 2e 20 57 65 27 6c 6c 20 75 73 65 20 74 68 65 20 66 nt.the.solution..We'll.use.the.f
213e0 6f 6c 6c 6f 77 69 6e 67 20 6e 6f 64 65 73 20 69 6e 20 6f 75 72 20 4c 41 42 20 65 6e 76 69 72 6f ollowing.nodes.in.our.LAB.enviro
21400 6e 6d 65 6e 74 3a 00 54 6f 20 68 61 76 65 20 62 61 73 69 63 20 70 72 6f 74 65 63 74 69 6f 6e 20 nment:.To.have.basic.protection.
21420 77 68 69 6c 65 20 6b 65 65 70 69 6e 67 20 49 50 76 36 20 6e 65 74 77 6f 72 6b 20 66 75 6e 63 74 while.keeping.IPv6.network.funct
21440 69 6f 6e 61 6c 2c 20 77 65 20 6e 65 65 64 20 74 6f 3a 00 54 6f 20 72 65 61 63 68 20 74 68 65 20 ional,.we.need.to:.To.reach.the.
21460 6e 65 74 77 6f 72 6b 2c 20 61 20 72 6f 75 74 65 20 6d 75 73 74 20 62 65 20 73 65 74 20 6f 6e 20 network,.a.route.must.be.set.on.
21480 65 61 63 68 20 56 79 4f 53 20 68 6f 73 74 2e 20 49 6e 20 74 68 69 73 20 73 74 72 75 63 74 75 72 each.VyOS.host..In.this.structur
214a0 65 2c 20 61 20 73 74 61 74 69 63 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 77 69 6c 6c e,.a.static.interface.route.will
214c0 20 66 69 74 20 74 68 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 2e 00 54 6f 70 6f 6c 6f 67 79 00 .fit.the.requirements..Topology.
214e0 54 6f 70 6f 6c 6f 67 79 20 63 6f 6e 73 69 73 74 73 20 6f 66 3a 00 54 72 61 66 66 69 63 20 66 6c Topology.consists.of:.Traffic.fl
21500 6f 77 73 20 66 72 6f 6d 20 7a 6f 6e 65 20 41 20 74 6f 20 7a 6f 6e 65 20 42 2e 20 54 68 61 74 20 ows.from.zone.A.to.zone.B..That.
21520 66 6c 6f 77 20 69 73 20 77 68 61 74 20 49 20 72 65 66 65 72 20 74 6f 20 61 73 20 61 20 7a 6f 6e flow.is.what.I.refer.to.as.a.zon
21540 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 2e 20 65 67 2e 20 41 2d 3e 42 20 61 6e 64 20 42 e-pair-direction..eg..A->B.and.B
21560 2d 3e 41 20 61 72 65 20 74 77 6f 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 65 73 74 69 6e 61 74 69 6f ->A.are.two.zone-pair-destinatio
21580 6e 73 2e 00 54 72 61 6e 73 70 6f 72 74 3a 00 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 74 6f 70 6f ns..Transport:.Tunnelbroker.topo
215a0 6c 6f 67 79 20 69 6d 61 67 65 00 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 28 49 50 76 logy.image.Tunnelbroker.net.(IPv
215c0 36 29 00 54 77 6f 20 56 79 4f 53 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 70 75 62 6c 69 63 20 6).Two.VyOS.routers.with.public.
215e0 49 50 20 61 64 64 72 65 73 73 2e 00 54 77 6f 20 72 75 6c 65 73 20 77 69 6c 6c 20 62 65 20 63 72 IP.address..Two.rules.will.be.cr
21600 65 61 74 65 64 2c 20 74 68 65 20 66 69 72 73 74 20 72 75 6c 65 20 64 69 72 65 63 74 73 20 74 72 eated,.the.first.rule.directs.tr
21620 61 66 66 69 63 20 63 6f 6d 69 6e 67 20 69 6e 20 66 72 6f 6d 20 65 74 68 32 20 74 6f 20 65 74 68 affic.coming.in.from.eth2.to.eth
21640 30 20 61 6e 64 20 74 68 65 20 73 65 63 6f 6e 64 20 72 75 6c 65 20 64 69 72 65 63 74 73 20 74 68 0.and.the.second.rule.directs.th
21660 65 20 74 72 61 66 66 69 63 20 74 6f 20 65 74 68 31 2e 20 49 66 20 65 74 68 30 20 66 61 69 6c 73 e.traffic.to.eth1..If.eth0.fails
21680 20 74 68 65 20 66 69 72 73 74 20 72 75 6c 65 20 69 73 20 62 79 70 61 73 73 65 64 20 61 6e 64 20 .the.first.rule.is.bypassed.and.
216a0 74 68 65 20 73 65 63 6f 6e 64 20 72 75 6c 65 20 6d 61 74 63 68 65 73 2c 20 64 69 72 65 63 74 69 the.second.rule.matches,.directi
216c0 6e 67 20 74 72 61 66 66 69 63 20 74 6f 20 65 74 68 31 2e 00 55 6e 6c 69 6b 65 20 49 50 76 34 2c ng.traffic.to.eth1..Unlike.IPv4,
216e0 20 49 50 76 36 20 69 73 20 72 65 61 6c 6c 79 20 6e 6f 74 20 64 65 73 69 67 6e 65 64 20 74 6f 20 .IPv6.is.really.not.designed.to.
21700 62 65 20 62 72 6f 6b 65 6e 20 75 70 20 73 6d 61 6c 6c 65 72 20 74 68 61 6e 20 2f 36 34 2e 20 53 be.broken.up.smaller.than./64..S
21720 6f 20 69 66 20 79 6f 75 20 65 76 65 72 20 77 61 6e 74 20 74 6f 20 68 61 76 65 20 6d 75 6c 74 69 o.if.you.ever.want.to.have.multi
21740 70 6c 65 20 4c 41 4e 73 2c 20 56 4c 41 4e 73 2c 20 44 4d 5a 2c 20 65 74 63 2c 20 79 6f 75 27 6c ple.LANs,.VLANs,.DMZ,.etc,.you'l
21760 6c 20 77 61 6e 74 20 74 6f 20 69 67 6e 6f 72 65 20 74 68 65 20 61 73 73 69 67 6e 65 64 20 2f 36 l.want.to.ignore.the.assigned./6
21780 34 2c 20 61 6e 64 20 72 65 71 75 65 73 74 20 74 68 65 20 2f 34 38 20 61 6e 64 20 75 73 65 20 74 4,.and.request.the./48.and.use.t
217a0 68 61 74 2e 00 55 73 69 6e 67 20 74 68 65 20 67 65 6e 65 72 61 6c 20 73 63 68 65 6d 61 20 66 6f hat..Using.the.general.schema.fo
217c0 72 20 65 78 61 6d 70 6c 65 3a 00 55 73 69 6e 67 20 74 68 69 73 20 63 6f 6d 6d 61 6e 64 20 77 65 r.example:.Using.this.command.we
217e0 20 61 72 65 20 61 6c 73 6f 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 74 72 61 6e .are.also.able.to.check.the.tran
21800 73 70 6f 72 74 20 61 6e 64 20 63 75 73 74 6f 6d 65 72 20 6c 61 62 65 6c 20 28 69 6e 6e 65 72 2f sport.and.customer.label.(inner/
21820 6f 75 74 65 72 29 20 66 6f 72 20 48 75 62 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 20 28 31 outer).for.Hub.network.prefix.(1
21840 30 2e 30 2e 30 2e 31 30 30 2f 33 32 29 3a 00 56 4c 41 4e 20 31 30 30 20 61 6e 64 20 32 30 31 20 0.0.0.100/32):.VLAN.100.and.201.
21860 77 69 6c 6c 20 68 61 76 65 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 65 73 2c will.have.floating.IP.addresses,
21880 20 62 75 74 20 56 4c 41 4e 35 30 20 64 6f 65 73 20 6e 6f 74 2c 20 61 73 20 74 68 69 73 20 69 73 .but.VLAN50.does.not,.as.this.is
218a0 20 74 61 6c 6b 69 6e 67 20 64 69 72 65 63 74 6c 79 20 74 6f 20 75 70 73 74 72 65 61 6d 2e 20 43 .talking.directly.to.upstream..C
218c0 72 65 61 74 65 20 6f 75 72 20 49 50 20 61 64 64 72 65 73 73 20 6f 6e 20 76 6c 61 6e 35 30 2e 00 reate.our.IP.address.on.vlan50..
218e0 56 4c 41 4e 73 00 56 4d 77 61 72 65 3a 20 59 6f 75 20 6d 75 73 74 20 44 49 53 41 42 4c 45 20 53 VLANs.VMware:.You.must.DISABLE.S
21900 45 43 55 52 49 54 59 20 6f 6e 20 74 68 69 73 20 50 6f 72 74 20 67 72 6f 75 70 2e 20 4d 61 6b 65 ECURITY.on.this.Port.group..Make
21920 20 73 75 72 65 20 74 68 61 74 20 60 60 50 72 6f 6d 69 73 63 75 6f 75 73 20 4d 6f 64 65 60 60 5c .sure.that.``Promiscuous.Mode``\
21940 20 2c 20 60 60 4d 41 43 20 61 64 64 72 65 73 73 20 63 68 61 6e 67 65 73 60 60 20 61 6e 64 20 60 .,.``MAC.address.changes``.and.`
21960 60 46 6f 72 67 65 64 20 74 72 61 6e 73 6d 69 74 73 60 60 20 61 72 65 20 65 6e 61 62 6c 65 64 2e `Forged.transmits``.are.enabled.
21980 20 41 6c 6c 20 6f 66 20 74 68 65 73 65 20 77 69 6c 6c 20 62 65 20 64 6f 6e 65 20 61 73 20 70 61 .All.of.these.will.be.done.as.pa
219a0 72 74 20 6f 66 20 66 61 69 6c 6f 76 65 72 2e 00 56 52 46 00 56 52 46 20 4c 41 4e 3a 00 56 52 46 rt.of.failover..VRF.VRF.LAN:.VRF
219c0 20 4d 47 4d 54 3a 00 56 52 46 20 50 52 4f 44 3a 00 56 52 46 20 57 41 4e 3a 00 56 52 46 20 61 6e .MGMT:.VRF.PROD:.VRF.WAN:.VRF.an
219e0 64 20 66 69 72 65 77 61 6c 6c 20 65 78 61 6d 70 6c 65 00 56 52 52 50 20 43 6f 6e 66 69 67 75 72 d.firewall.example.VRRP.Configur
21a00 61 74 69 6f 6e 00 56 61 6c 69 64 61 74 69 6f 6e 00 56 65 72 69 66 69 63 61 74 69 6f 6e 00 56 65 ation.Validation.Verification.Ve
21a20 72 73 69 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 00 rsion:.1.4-rolling-202110310317.
21a40 56 65 72 73 69 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 35 31 30 30 37 33 Version:.1.4-rolling-20230510073
21a60 34 00 56 65 72 73 69 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 32 34 30 4.Version:.1.4-rolling-202308240
21a80 30 32 30 00 56 65 72 73 69 6f 6e 3a 20 31 2e 35 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 34 30 31 31 020.Version:.1.5-rolling-2024011
21aa0 32 31 32 33 39 00 56 65 72 73 69 6f 6e 3a 20 76 79 6f 73 2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 21239.Version:.vyos-1.4-rolling-
21ac0 32 30 32 33 30 32 31 35 30 33 31 37 00 56 79 4f 53 00 56 79 4f 53 20 31 2e 33 20 61 64 64 65 64 202302150317.VyOS.VyOS.1.3.added
21ae0 20 69 6e 69 74 69 61 6c 20 73 75 70 70 6f 72 74 20 66 6f 72 20 56 52 46 73 20 28 69 6e 63 6c 75 .initial.support.for.VRFs.(inclu
21b00 64 69 6e 67 20 49 50 76 34 2f 49 50 76 36 20 73 74 61 74 69 63 20 72 6f 75 74 69 6e 67 29 20 61 ding.IPv4/IPv6.static.routing).a
21b20 6e 64 20 56 79 4f 53 20 31 2e 34 20 6e 6f 77 20 65 6e 61 62 6c 65 73 20 66 75 6c 6c 20 64 79 6e nd.VyOS.1.4.now.enables.full.dyn
21b40 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 73 75 70 70 6f 72 74 20 66 6f amic.routing.protocol.support.fo
21b60 72 20 4f 53 50 46 2c 20 49 53 2d 49 53 2c 20 61 6e 64 20 42 47 50 20 66 6f 72 20 69 6e 64 69 76 r.OSPF,.IS-IS,.and.BGP.for.indiv
21b80 69 64 75 61 6c 20 56 52 46 73 2e 00 56 79 4f 53 20 61 63 74 73 20 61 73 20 44 48 43 50 2c 20 44 idual.VRFs..VyOS.acts.as.DHCP,.D
21ba0 4e 53 20 66 6f 72 77 61 72 64 65 72 2c 20 4e 41 54 2c 20 72 6f 75 74 65 72 20 61 6e 64 20 66 69 NS.forwarder,.NAT,.router.and.fi
21bc0 72 65 77 61 6c 6c 2e 00 56 79 4f 53 20 61 73 20 43 6c 69 65 6e 74 00 56 79 4f 53 20 61 73 20 61 rewall..VyOS.as.Client.VyOS.as.a
21be0 20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 00 56 79 4f 53 20 69 73 20 61 62 6c 65 20 74 6f 20 .OpenVPN.Server.VyOS.is.able.to.
21c00 63 68 65 63 6b 20 4d 53 44 20 70 65 72 20 64 65 76 69 63 65 73 3a 00 56 79 4f 53 2d 43 45 2d 48 check.MSD.per.devices:.VyOS-CE-H
21c20 55 42 20 2d 2d 2d 2d 2d 2d 2d 3e 20 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 00 56 79 4f 53 2d UB.------->.VyOS-CE1-SPOKE.VyOS-
21c40 43 45 2d 48 55 42 20 2d 2d 2d 2d 2d 2d 2d 3e 20 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 00 56 CE-HUB.------->.VyOS-CE2-SPOKE.V
21c60 79 4f 53 2d 43 45 31 2d 48 55 42 3a 00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 20 2d 2d 2d 2d yOS-CE1-HUB:.VyOS-CE1-SPOKE.----
21c80 2d 3e 20 20 20 56 79 4f 53 2d 43 45 2d 48 55 42 00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 3a ->...VyOS-CE-HUB.VyOS-CE1-SPOKE:
21ca0 00 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 20 2d 2d 2d 2d 2d 2d 2d 3e 20 20 56 79 4f 53 2d 43 .VyOS-CE2-SPOKE.------->..VyOS-C
21cc0 45 2d 48 55 42 00 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 3a 00 56 79 4f 53 2d 50 31 3a 00 56 E-HUB.VyOS-CE2-SPOKE:.VyOS-P1:.V
21ce0 79 4f 53 2d 50 32 3a 00 56 79 4f 53 2d 50 33 3a 00 56 79 4f 53 2d 50 34 3a 00 56 79 4f 53 2d 50 yOS-P2:.VyOS-P3:.VyOS-P4:.VyOS-P
21d00 45 31 00 56 79 4f 53 2d 50 45 31 3a 00 56 79 4f 53 2d 50 45 32 00 56 79 4f 53 2d 50 45 32 3a 00 E1.VyOS-PE1:.VyOS-PE2.VyOS-PE2:.
21d20 56 79 4f 53 2d 50 45 33 00 56 79 4f 53 2d 50 45 33 3a 00 56 79 4f 53 2d 52 52 31 2f 52 52 32 00 VyOS-PE3.VyOS-PE3:.VyOS-RR1/RR2.
21d40 56 79 4f 53 2d 52 52 31 3a 00 56 79 4f 53 2d 52 52 32 3a 00 56 79 6f 73 20 41 53 4e 00 56 79 6f VyOS-RR1:.VyOS-RR2:.Vyos.ASN.Vyo
21d60 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 56 79 6f 73 20 70 72 69 76 61 74 65 20 49 50 00 s.configuration.Vyos.private.IP.
21d80 56 79 6f 73 20 70 75 62 6c 69 63 20 49 50 00 57 41 4e 20 49 6e 74 65 72 66 61 63 65 00 57 41 4e Vyos.public.IP.WAN.Interface.WAN
21da0 20 4c 6f 61 64 20 42 61 6c 61 6e 63 65 72 20 65 78 61 6d 70 6c 65 73 00 57 61 6c 6b 74 68 72 6f .Load.Balancer.examples.Walkthro
21dc0 75 67 68 20 73 75 67 67 65 73 74 69 6f 6e 00 57 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 75 ugh.suggestion.We.are.going.to.u
21de0 73 65 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 66 6f 72 20 61 6e 20 27 69 6e 74 65 72 se.10.200.201.0/24.for.an.'inter
21e00 6e 61 6c 27 20 6e 65 74 77 6f 72 6b 20 6f 6e 20 56 4c 41 4e 32 30 31 2e 00 57 65 20 61 72 65 20 nal'.network.on.VLAN201..We.are.
21e20 67 6f 69 6e 67 20 74 6f 20 75 73 65 20 63 75 73 74 6f 6d 20 66 69 72 65 77 61 6c 6c 20 72 75 6c going.to.use.custom.firewall.rul
21e40 65 73 65 74 73 2c 20 6f 6e 65 20 66 6f 72 20 65 61 63 68 20 62 72 69 64 67 65 20 74 68 61 74 20 esets,.one.for.each.bridge.that.
21e60 77 69 6c 6c 20 62 65 20 75 73 65 64 20 69 6e 20 60 60 70 72 65 72 6f 75 74 69 6e 67 60 60 2c 20 will.be.used.in.``prerouting``,.
21e80 61 6e 64 20 6f 6e 65 20 66 6f 72 20 65 61 63 68 20 62 72 69 64 67 65 20 74 68 61 74 20 77 69 6c and.one.for.each.bridge.that.wil
21ea0 6c 20 62 65 20 75 73 65 64 20 69 6e 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 63 68 61 l.be.used.in.the.``forward``.cha
21ec0 69 6e 2e 00 57 65 20 61 72 65 20 73 65 74 74 69 6e 67 20 75 70 20 56 52 52 50 20 73 6f 20 74 68 in..We.are.setting.up.VRRP.so.th
21ee0 61 74 20 69 74 20 64 6f 65 73 20 4e 4f 54 20 66 61 69 6c 20 62 61 63 6b 20 77 68 65 6e 20 61 20 at.it.does.NOT.fail.back.when.a.
21f00 6d 61 63 68 69 6e 65 20 72 65 74 75 72 6e 73 20 69 6e 74 6f 20 73 65 72 76 69 63 65 2c 20 61 6e machine.returns.into.service,.an
21f20 64 20 69 74 20 70 72 69 6f 72 69 74 69 7a 65 73 20 72 6f 75 74 65 72 31 20 6f 76 65 72 20 72 6f d.it.prioritizes.router1.over.ro
21f40 75 74 65 72 32 2e 00 57 65 20 61 72 65 20 75 73 69 6e 67 20 61 20 22 77 68 69 74 65 20 6c 69 73 uter2..We.are.using.a."white.lis
21f60 74 22 20 61 70 70 72 6f 61 63 68 20 62 79 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 77 68 61 t".approach.by.allowing.only.wha
21f80 74 20 69 73 20 6e 65 63 65 73 73 61 72 79 2e 20 49 6e 20 63 61 73 65 20 74 68 61 74 20 6e 65 65 t.is.necessary..In.case.that.nee
21fa0 64 20 74 6f 20 69 6d 70 6c 65 6d 65 6e 74 20 61 20 22 62 6c 61 63 6b 20 6c 69 73 74 22 20 61 70 d.to.implement.a."black.list".ap
21fc0 70 72 6f 61 63 68 20 74 68 65 6e 20 79 6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 63 68 61 proach.then.you.will.need.to.cha
21fe0 6e 67 65 20 74 68 65 20 61 63 74 69 6f 6e 20 69 6e 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 20 nge.the.action.in.the.route-map.
22000 66 6f 72 20 61 20 64 65 6e 79 20 42 55 54 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 61 64 64 20 61 for.a.deny.BUT.you.need.to.add.a
22020 20 72 75 6c 65 20 74 68 61 74 20 70 65 72 6d 69 74 73 20 74 68 65 20 72 65 73 74 20 64 75 65 20 .rule.that.permits.the.rest.due.
22040 74 6f 20 74 68 65 20 69 6d 70 6c 69 63 69 74 20 64 65 6e 79 20 69 6e 20 74 68 65 20 72 6f 75 74 to.the.implicit.deny.in.the.rout
22060 65 2d 6d 61 70 2e 00 57 65 20 63 72 65 61 74 65 20 61 20 70 72 65 66 69 78 2d 6c 69 73 74 20 66 e-map..We.create.a.prefix-list.f
22080 69 72 73 74 20 61 6e 64 20 61 64 64 20 61 6c 6c 20 74 68 65 20 72 6f 75 74 65 73 20 77 65 20 6e irst.and.add.all.the.routes.we.n
220a0 65 65 64 20 74 6f 2e 00 57 65 20 65 78 70 6c 69 63 69 74 6c 79 20 65 78 63 6c 75 64 65 20 74 68 eed.to..We.explicitly.exclude.th
220c0 65 20 70 72 69 6d 61 72 79 20 75 70 73 74 72 65 61 6d 20 6e 65 74 77 6f 72 6b 20 73 6f 20 74 68 e.primary.upstream.network.so.th
220e0 61 74 20 42 47 50 20 6f 72 20 4f 53 50 46 20 74 72 61 66 66 69 63 20 64 6f 65 73 6e 27 74 20 61 at.BGP.or.OSPF.traffic.doesn't.a
22100 63 63 69 64 65 6e 74 61 6c 6c 79 20 67 65 74 20 4e 41 54 27 65 64 2e 00 57 65 20 68 61 76 65 20 ccidentally.get.NAT'ed..We.have.
22120 66 6f 75 72 20 68 6f 73 74 73 20 6f 6e 20 74 68 65 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 four.hosts.on.the.local.network.
22140 31 37 32 2e 31 37 2e 31 2e 30 2f 32 34 2e 20 41 6c 6c 20 68 6f 73 74 73 20 61 72 65 20 6c 61 62 172.17.1.0/24..All.hosts.are.lab
22160 65 6c 65 64 20 43 53 30 20 62 79 20 64 65 66 61 75 6c 74 2e 20 57 65 20 6e 65 65 64 20 74 6f 20 eled.CS0.by.default..We.need.to.
22180 72 65 70 6c 61 63 65 20 6c 61 62 65 6c 73 20 6f 6e 20 61 6c 6c 20 68 6f 73 74 73 20 65 78 63 65 replace.labels.on.all.hosts.exce
221a0 70 74 20 76 70 63 38 2e 20 57 65 20 77 69 6c 6c 20 72 65 70 6c 61 63 65 20 74 68 65 20 6c 61 62 pt.vpc8..We.will.replace.the.lab
221c0 65 6c 73 20 6f 6e 20 74 68 65 20 6e 65 61 72 65 73 74 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f els.on.the.nearest.router....VyO
221e0 53 33 e2 80 9d 20 75 73 69 6e 67 20 74 68 65 20 49 50 20 61 64 64 72 65 73 73 65 73 20 6f 66 20 S3....using.the.IP.addresses.of.
22200 74 68 65 20 73 6f 75 72 63 65 73 2e 00 57 65 20 68 61 76 65 20 66 6f 75 72 20 70 72 65 2d 63 6f the.sources..We.have.four.pre-co
22220 6e 66 69 67 75 72 65 64 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 74 68 69 73 20 63 6f 6e 66 69 nfigured.routers.with.this.confi
22240 67 75 72 61 74 69 6f 6e 3a 00 57 65 20 68 61 76 65 20 74 68 72 65 65 20 6e 65 74 77 6f 72 6b 73 guration:.We.have.three.networks
22260 2e 00 57 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d ..We.keep.the.configuration.from
22280 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 64 65 6c 65 74 65 20 72 75 .the.previous.example,.delete.ru
222a0 6c 65 20 31 30 20 61 6e 64 20 63 72 65 61 74 65 20 74 68 65 20 74 77 6f 20 6e 65 77 20 72 75 6c le.10.and.create.the.two.new.rul
222c0 65 73 20 61 73 20 64 65 73 63 72 69 62 65 64 3a 00 57 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e es.as.described:.We.keep.the.con
222e0 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 figuration.from.the.previous.exa
22300 6d 70 6c 65 2c 20 64 65 6c 65 74 65 20 72 75 6c 65 20 32 30 20 61 6e 64 20 63 72 65 61 74 65 20 mple,.delete.rule.20.and.create.
22320 61 20 6e 65 77 20 72 75 6c 65 20 61 73 20 64 65 73 63 72 69 62 65 64 3a 00 57 65 20 6e 65 65 64 a.new.rule.as.described:.We.need
22340 20 74 6f 20 65 6e 61 62 6c 65 20 72 6f 75 74 65 72 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 .to.enable.router.advertisement.
22360 66 6f 72 20 4c 41 4e 20 6e 65 74 77 6f 72 6b 20 73 6f 20 74 68 61 74 20 50 43 20 63 61 6e 20 72 for.LAN.network.so.that.PC.can.r
22380 65 63 65 69 76 65 20 74 68 65 20 70 72 65 66 69 78 20 61 6e 64 20 75 73 65 20 53 4c 41 41 43 20 eceive.the.prefix.and.use.SLAAC.
223a0 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 61 64 64 72 65 73 73 20 61 75 74 6f 6d 61 74 to.configure.the.address.automat
223c0 69 63 61 6c 6c 79 2e 00 57 65 20 6f 6e 6c 79 20 77 61 6e 74 20 74 6f 20 65 78 70 6f 72 74 20 74 ically..We.only.want.to.export.t
223e0 68 65 20 6e 65 74 77 6f 72 6b 73 20 77 65 20 6b 6e 6f 77 2e 20 41 6c 77 61 79 73 20 64 6f 20 61 he.networks.we.know..Always.do.a
22400 20 77 68 69 74 65 6c 69 73 74 20 6f 6e 20 79 6f 75 72 20 72 6f 75 74 65 20 66 69 6c 74 65 72 73 .whitelist.on.your.route.filters
22420 2c 20 62 6f 74 68 20 69 6d 70 6f 72 74 69 6e 67 20 61 6e 64 20 65 78 70 6f 72 74 69 6e 67 2e 20 ,.both.importing.and.exporting..
22440 41 20 67 6f 6f 64 20 72 75 6c 65 20 6f 66 20 74 68 75 6d 62 20 69 73 20 2a 2a 27 49 66 20 79 6f A.good.rule.of.thumb.is.**'If.yo
22460 75 20 61 72 65 20 6e 6f 74 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 20 66 6f 72 u.are.not.the.default.router.for
22480 20 61 20 6e 65 74 77 6f 72 6b 2c 20 64 6f 6e 27 74 20 61 64 76 65 72 74 69 73 65 20 69 74 27 2a .a.network,.don't.advertise.it'*
224a0 2a 2e 20 54 68 69 73 20 6d 65 61 6e 73 20 77 65 20 65 78 70 6c 69 63 69 74 6c 79 20 64 6f 20 6e *..This.means.we.explicitly.do.n
224c0 6f 74 20 77 61 6e 74 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 74 68 65 20 31 39 32 2e 30 2e 32 ot.want.to.advertise.the.192.0.2
224e0 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 20 28 62 75 74 20 64 6f 20 77 61 6e 74 20 74 6f 20 61 64 .0/24.network.(but.do.want.to.ad
22500 76 65 72 74 69 73 65 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 20 61 6e 64 20 32 30 33 2e 30 2e 31 vertise.10.200.201.0.and.203.0.1
22520 31 33 2e 30 2c 20 77 68 69 63 68 20 77 65 20 41 52 45 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 13.0,.which.we.ARE.the.default.r
22540 6f 75 74 65 20 66 6f 72 29 2e 20 54 68 69 73 20 66 69 6c 74 65 72 20 69 73 20 61 70 70 6c 69 65 oute.for)..This.filter.is.applie
22560 64 20 74 6f 20 60 60 72 65 64 69 73 74 72 69 62 75 74 65 20 63 6f 6e 6e 65 63 74 65 64 60 60 2e d.to.``redistribute.connected``.
22580 20 49 66 20 77 65 20 57 45 52 45 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 69 74 2c 20 74 68 65 .If.we.WERE.to.advertise.it,.the
225a0 20 72 65 6d 6f 74 65 20 6d 61 63 68 69 6e 65 73 20 77 6f 75 6c 64 20 73 65 65 20 31 39 32 2e 30 .remote.machines.would.see.192.0
225c0 2e 32 2e 32 31 20 61 76 61 69 6c 61 62 6c 65 20 76 69 61 20 74 68 65 69 72 20 64 65 66 61 75 6c .2.21.available.via.their.defaul
225e0 74 20 72 6f 75 74 65 2c 20 65 73 74 61 62 6c 69 73 68 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f t.route,.establish.the.connectio
22600 6e 2c 20 61 6e 64 20 74 68 65 6e 20 4f 53 50 46 20 77 6f 75 6c 64 20 73 61 79 20 27 31 39 32 2e n,.and.then.OSPF.would.say.'192.
22620 30 2e 32 2e 30 2f 32 34 20 69 73 20 61 76 61 69 6c 61 62 6c 65 20 76 69 61 20 74 68 69 73 20 74 0.2.0/24.is.available.via.this.t
22640 75 6e 6e 65 6c 27 2c 20 61 74 20 77 68 69 63 68 20 70 6f 69 6e 74 20 74 68 65 20 74 75 6e 6e 65 unnel',.at.which.point.the.tunne
22660 6c 20 77 6f 75 6c 64 20 62 72 65 61 6b 2c 20 4f 53 50 46 20 77 6f 75 6c 64 20 64 72 6f 70 20 74 l.would.break,.OSPF.would.drop.t
22680 68 65 20 72 6f 75 74 65 73 2c 20 61 6e 64 20 74 68 65 6e 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 he.routes,.and.then.192.0.2.0/24
226a0 20 77 6f 75 6c 64 20 62 65 20 72 65 61 63 68 61 62 6c 65 20 76 69 61 20 64 65 66 61 75 6c 74 20 .would.be.reachable.via.default.
226c0 61 67 61 69 6e 2e 20 54 68 69 73 20 69 73 20 63 61 6c 6c 65 64 20 27 66 6c 61 70 70 69 6e 67 27 again..This.is.called.'flapping'
226e0 2e 00 57 65 20 6f 6e 6c 79 20 77 61 6e 74 20 74 6f 20 69 6d 70 6f 72 74 20 6e 65 74 77 6f 72 6b ..We.only.want.to.import.network
22700 73 20 77 65 20 6b 6e 6f 77 2e 20 4f 75 72 20 4f 53 50 46 20 70 65 65 72 20 73 68 6f 75 6c 64 20 s.we.know..Our.OSPF.peer.should.
22720 6f 6e 6c 79 20 62 65 20 61 64 76 65 72 74 69 73 69 6e 67 20 6e 65 74 77 6f 72 6b 73 20 69 6e 20 only.be.advertising.networks.in.
22740 74 68 65 20 31 30 2e 32 30 31 2e 30 2e 30 2f 31 36 20 72 61 6e 67 65 2e 20 4e 6f 74 65 20 74 68 the.10.201.0.0/16.range..Note.th
22760 61 74 20 74 68 69 73 20 69 73 20 61 6e 20 49 4e 56 45 52 53 45 20 4d 41 54 43 48 2e 20 59 6f 75 at.this.is.an.INVERSE.MATCH..You
22780 20 64 65 6e 79 20 69 6e 20 61 63 63 65 73 73 2d 6c 69 73 74 20 31 30 30 20 74 6f 20 61 63 63 65 .deny.in.access-list.100.to.acce
227a0 70 74 20 74 68 65 20 72 6f 75 74 65 2e 00 57 65 20 75 73 65 20 61 20 73 74 61 74 69 63 20 72 6f pt.the.route..We.use.a.static.ro
227c0 75 74 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 6e 20 62 65 74 77 65 65 6e 20 74 68 65 ute.configuration.in.between.the
227e0 20 43 6f 72 65 20 61 6e 64 20 65 61 63 68 20 4c 41 4e 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e .Core.and.each.LAN.and.Managemen
22800 74 20 72 6f 75 74 65 72 2c 20 61 6e 64 20 42 47 50 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f t.router,.and.BGP.between.the.Co
22820 72 65 20 72 6f 75 74 65 72 20 61 6e 64 20 74 68 65 20 49 53 50 20 72 6f 75 74 65 72 20 62 75 74 re.router.and.the.ISP.router.but
22840 20 61 6e 79 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 63 61 .any.dynamic.routing.protocol.ca
22860 6e 20 62 65 20 75 73 65 64 2e 00 57 65 20 75 73 65 20 73 6d 61 6c 6c 20 2f 33 30 27 73 20 66 72 n.be.used..We.use.small./30's.fr
22880 6f 6d 20 31 30 2e 32 35 34 2e 36 30 2f 32 34 20 66 6f 72 20 74 68 65 20 70 6f 69 6e 74 2d 74 6f om.10.254.60/24.for.the.point-to
228a0 2d 70 6f 69 6e 74 20 6c 69 6e 6b 73 2e 00 57 65 20 75 73 65 20 74 68 65 20 66 6f 6c 6c 6f 77 69 -point.links..We.use.the.followi
228c0 6e 67 20 6e 65 74 77 6f 72 6b 20 74 6f 70 6f 6c 6f 67 79 20 69 6e 20 74 68 69 73 20 65 78 61 6d ng.network.topology.in.this.exam
228e0 70 6c 65 3a 00 57 68 65 6e 20 69 6d 70 6f 72 74 69 6e 67 20 72 6f 75 74 65 73 20 75 73 69 6e 67 ple:.When.importing.routes.using
22900 20 4d 50 2d 42 47 50 20 69 74 20 69 73 20 70 6f 73 73 69 62 6c 65 20 74 6f 20 66 69 6c 74 65 72 .MP-BGP.it.is.possible.to.filter
22920 20 61 20 73 75 62 73 65 74 20 6f 66 20 74 68 65 6d 20 62 65 66 6f 72 65 20 61 72 65 20 69 6e 6a .a.subset.of.them.before.are.inj
22940 65 63 74 65 64 20 69 6e 20 74 68 65 20 42 47 50 20 74 61 62 6c 65 2e 20 4f 6e 65 20 6f 66 20 74 ected.in.the.BGP.table..One.of.t
22960 68 65 20 6d 6f 73 74 20 63 6f 6d 6d 6f 6e 20 63 61 73 65 20 69 73 20 74 6f 20 75 73 65 20 61 20 he.most.common.case.is.to.use.a.
22980 72 6f 75 74 65 2d 6d 61 70 20 77 69 74 68 20 61 6e 20 70 72 65 66 69 78 2d 6c 69 73 74 2e 00 57 route-map.with.an.prefix-list..W
229a0 68 65 6e 20 74 72 61 66 66 69 63 20 69 73 20 6f 72 69 67 69 6e 61 74 65 64 20 66 72 6f 6d 20 74 hen.traffic.is.originated.from.t
229c0 68 65 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2c 20 69 74 20 77 he.10.200.201.0/24.network,.it.w
229e0 69 6c 6c 20 62 65 20 6d 61 73 71 75 65 72 61 64 65 64 20 74 6f 20 32 30 33 2e 30 2e 31 31 33 2e ill.be.masqueraded.to.203.0.113.
22a00 31 00 57 68 65 6e 20 75 74 69 6c 69 7a 69 6e 67 20 56 79 4f 53 20 69 6e 20 61 6e 20 65 6e 76 69 1.When.utilizing.VyOS.in.an.envi
22a20 72 6f 6e 6d 65 6e 74 20 77 69 74 68 20 43 69 73 63 6f 20 49 4f 53 2d 58 52 20 67 65 61 72 20 79 ronment.with.Cisco.IOS-XR.gear.y
22a40 6f 75 20 63 61 6e 20 75 73 65 20 74 68 69 73 20 62 6c 75 65 20 70 72 69 6e 74 20 61 73 20 61 6e ou.can.use.this.blue.print.as.an
22a60 20 69 6e 69 74 69 61 6c 20 73 65 74 75 70 20 74 6f 20 67 65 74 20 4d 50 4c 53 20 49 53 49 53 2d .initial.setup.to.get.MPLS.ISIS-
22a80 53 52 20 77 6f 72 6b 69 6e 67 20 62 65 74 77 65 65 6e 20 74 68 6f 73 65 20 74 77 6f 20 64 65 76 SR.working.between.those.two.dev
22aa0 69 63 65 73 2e 54 68 65 20 6c 61 62 20 77 61 73 20 62 75 69 6c 64 20 75 73 69 6e 67 20 3a 61 62 ices.The.lab.was.build.using.:ab
22ac0 62 72 3a 60 45 56 45 2d 4e 47 20 28 45 6d 75 6c 61 74 65 64 20 56 69 72 74 75 61 6c 20 45 6e 76 br:`EVE-NG.(Emulated.Virtual.Env
22ae0 69 72 6f 6e 6d 65 6e 74 20 4e 47 29 60 2e 00 57 68 65 6e 20 79 6f 75 20 68 61 76 65 20 62 6f 74 ironment.NG)`..When.you.have.bot
22b00 68 20 72 6f 75 74 65 72 73 20 75 70 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 h.routers.up,.you.should.be.able
22b20 20 74 6f 20 65 73 74 61 62 6c 69 73 68 20 61 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 72 6f 6d 20 .to.establish.a.connection.from.
22b40 61 20 4e 41 54 27 65 64 20 6d 61 63 68 69 6e 65 20 6f 75 74 20 74 6f 20 74 68 65 20 69 6e 74 65 a.NAT'ed.machine.out.to.the.inte
22b60 72 6e 65 74 2c 20 72 65 62 6f 6f 74 20 74 68 65 20 61 63 74 69 76 65 20 6d 61 63 68 69 6e 65 2c rnet,.reboot.the.active.machine,
22b80 20 61 6e 64 20 74 68 61 74 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 73 68 6f 75 6c 64 20 62 65 20 70 .and.that.connection.should.be.p
22ba0 72 65 73 65 72 76 65 64 2c 20 61 6e 64 20 77 69 6c 6c 20 6e 6f 74 20 64 72 6f 70 20 6f 75 74 2e reserved,.and.will.not.drop.out.
22bc0 00 57 68 65 6e 20 79 6f 75 20 68 61 76 65 20 65 6e 61 62 6c 65 64 20 4f 53 50 46 20 6f 6e 20 62 .When.you.have.enabled.OSPF.on.b
22be0 6f 74 68 20 72 6f 75 74 65 72 73 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 oth.routers,.you.should.be.able.
22c00 74 6f 20 73 65 65 20 65 61 63 68 20 6f 74 68 65 72 20 77 69 74 68 20 74 68 65 20 63 6f 6d 6d 61 to.see.each.other.with.the.comma
22c20 6e 64 20 60 60 73 68 6f 77 20 69 70 20 6f 73 70 66 20 6e 65 69 67 68 62 6f 75 72 60 60 2e 20 54 nd.``show.ip.ospf.neighbour``..T
22c40 68 65 20 73 74 61 74 65 20 6d 75 73 74 20 62 65 20 27 46 75 6c 6c 27 20 6f 72 20 27 32 2d 57 61 he.state.must.be.'Full'.or.'2-Wa
22c60 79 27 2e 20 49 66 20 69 74 20 69 73 20 6e 6f 74 2c 20 74 68 65 6e 20 74 68 65 72 65 20 69 73 20 y'..If.it.is.not,.then.there.is.
22c80 61 20 6e 65 74 77 6f 72 6b 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 73 73 75 65 20 62 65 74 a.network.connectivity.issue.bet
22ca0 77 65 65 6e 20 74 68 65 20 68 6f 73 74 73 2e 20 54 68 69 73 20 69 73 20 6f 66 74 65 6e 20 63 61 ween.the.hosts..This.is.often.ca
22cc0 75 73 65 64 20 62 79 20 4e 41 54 20 6f 72 20 4d 54 55 20 69 73 73 75 65 73 2e 20 59 6f 75 20 73 used.by.NAT.or.MTU.issues..You.s
22ce0 68 6f 75 6c 64 20 6e 6f 74 20 73 65 65 20 61 6e 79 20 6e 65 77 20 72 6f 75 74 65 73 20 28 75 6e hould.not.see.any.new.routes.(un
22d00 6c 65 73 73 20 74 68 69 73 20 69 73 20 74 68 65 20 73 65 63 6f 6e 64 20 70 61 73 73 29 20 69 6e less.this.is.the.second.pass).in
22d20 20 74 68 65 20 6f 75 74 70 75 74 20 6f 66 20 60 60 73 68 6f 77 20 69 70 20 72 6f 75 74 65 60 60 .the.output.of.``show.ip.route``
22d40 00 57 68 69 6c 65 20 74 65 73 74 69 6e 67 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e .While.testing.the.configuration
22d60 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 6c 6f 67 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 ,.we.can.check.logs.in.order.to.
22d80 65 6e 73 75 72 65 20 74 68 61 74 20 77 65 20 61 72 65 20 61 63 63 65 70 74 69 6e 67 20 61 6e 64 ensure.that.we.are.accepting.and
22da0 2f 6f 72 20 62 6c 6f 63 6b 69 6e 67 20 74 68 65 20 63 6f 72 72 65 63 74 20 74 72 61 66 66 69 63 /or.blocking.the.correct.traffic
22dc0 2e 00 57 69 6e 64 6f 77 20 50 50 50 6f 45 20 43 6c 69 65 6e 74 20 43 6f 6e 66 69 67 75 72 61 74 ..Window.PPPoE.Client.Configurat
22de0 69 6f 6e 00 57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 20 32 30 31 39 20 77 69 74 68 20 61 20 72 ion.Windows.Server.2019.with.a.r
22e00 75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 00 57 69 72 65 67 75 61 72 unning.Active.Directory.Wireguar
22e20 64 00 57 69 72 65 67 75 61 72 64 20 64 6f 65 73 6e 27 74 20 68 61 76 65 20 74 68 65 20 63 6f 6e d.Wireguard.doesn't.have.the.con
22e40 63 65 70 74 20 6f 66 20 61 6e 20 75 70 20 6f 72 20 64 6f 77 6e 20 6c 69 6e 6b 2c 20 64 75 65 20 cept.of.an.up.or.down.link,.due.
22e60 74 6f 20 69 74 73 20 64 65 73 69 67 6e 2e 20 54 68 69 73 20 63 6f 6d 70 6c 69 63 61 74 65 73 20 to.its.design..This.complicates.
22e80 41 4e 44 20 73 69 6d 70 6c 69 66 69 65 73 20 75 73 69 6e 67 20 69 74 20 66 6f 72 20 6e 65 74 77 AND.simplifies.using.it.for.netw
22ea0 6f 72 6b 20 74 72 61 6e 73 70 6f 72 74 2c 20 61 73 20 66 6f 72 20 72 65 6c 69 61 62 6c 65 20 73 ork.transport,.as.for.reliable.s
22ec0 74 61 74 65 20 64 65 74 65 63 74 69 6f 6e 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 75 73 65 20 53 tate.detection.you.need.to.use.S
22ee0 4f 4d 45 54 48 49 4e 47 20 74 6f 20 64 65 74 65 63 74 20 77 68 65 6e 20 74 68 65 20 6c 69 6e 6b OMETHING.to.detect.when.the.link
22f00 20 69 73 20 64 6f 77 6e 2e 00 57 69 74 68 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2c .is.down..With.Tunnelbroker.net,
22f20 20 79 6f 75 20 68 61 76 65 20 74 77 6f 20 6f 70 74 69 6f 6e 73 3a 00 57 69 74 68 20 74 68 69 73 .you.have.two.options:.With.this
22f40 20 63 6f 6d 6d 61 6e 64 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 74 68 .command.we.are.able.to.check.th
22f60 65 20 74 72 61 6e 73 70 6f 72 74 20 61 6e 64 20 63 75 73 74 6f 6d 65 72 20 6c 61 62 65 6c 20 28 e.transport.and.customer.label.(
22f80 69 6e 6e 65 72 2f 6f 75 74 65 72 29 20 66 6f 72 20 6e 65 74 77 6f 72 6b 20 73 70 6f 6b 65 73 20 inner/outer).for.network.spokes.
22fa0 70 72 65 66 69 78 65 73 20 31 30 2e 30 2e 30 2e 38 30 2f 33 32 20 2d 20 31 30 2e 30 2e 30 2e 39 prefixes.10.0.0.80/32.-.10.0.0.9
22fc0 30 2f 33 32 00 57 69 74 68 69 6e 20 74 68 65 20 56 52 46 20 77 65 20 73 65 74 20 74 68 65 20 52 0/32.Within.the.VRF.we.set.the.R
22fe0 6f 75 74 65 2d 44 69 73 74 69 6e 67 75 69 73 68 65 72 20 28 52 44 29 20 61 6e 64 20 52 6f 75 74 oute-Distinguisher.(RD).and.Rout
23000 65 2d 54 61 72 67 65 74 73 20 28 52 54 29 2c 20 74 68 65 6e 20 77 65 20 65 6e 61 62 6c 65 20 74 e-Targets.(RT),.then.we.enable.t
23020 68 65 20 65 78 70 6f 72 74 2f 69 6d 70 6f 72 74 20 56 50 4e 2e 00 57 69 74 68 69 6e 20 74 68 65 he.export/import.VPN..Within.the
23040 20 62 72 69 64 67 65 2c 20 61 63 63 65 70 74 20 6f 6e 6c 79 20 6e 65 77 20 49 50 76 34 20 63 6f .bridge,.accept.only.new.IPv4.co
23060 6e 6e 65 63 74 69 6f 6e 73 20 66 72 6f 6d 20 68 6f 73 74 20 31 30 2e 31 2e 31 2e 31 30 32 00 58 nnections.from.host.10.1.1.102.X
23080 52 76 2d 50 33 3a 00 59 6f 75 20 6d 61 6e 61 67 65 64 20 74 6f 20 63 6f 6d 65 20 74 68 69 73 20 Rv-P3:.You.managed.to.come.this.
230a0 66 61 72 2c 20 6e 6f 77 20 77 65 20 77 61 6e 74 20 74 6f 20 73 65 65 20 74 68 65 20 6e 65 74 77 far,.now.we.want.to.see.the.netw
230c0 6f 72 6b 20 61 6e 64 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20 69 6e 20 61 63 74 69 6f 6e ork.and.routing.tables.in.action
230e0 2e 00 59 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 74 6f 20 ..You.should.be.able.to.ping.to.
23100 61 6e 64 20 66 72 6f 6d 20 61 6c 6c 20 74 68 65 20 49 50 73 20 79 6f 75 20 68 61 76 65 20 61 6c and.from.all.the.IPs.you.have.al
23120 6c 6f 63 61 74 65 64 2e 00 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 77 20 62 65 20 61 62 6c 65 20 located..You.should.now.be.able.
23140 74 6f 20 70 69 6e 67 20 73 6f 6d 65 74 68 69 6e 67 20 62 79 20 49 50 76 36 20 44 4e 53 20 6e 61 to.ping.something.by.IPv6.DNS.na
23160 6d 65 3a 00 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 77 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 me:.You.should.now.be.able.to.se
23180 65 20 74 68 65 20 61 64 76 65 72 74 69 73 65 64 20 6e 65 74 77 6f 72 6b 20 6f 6e 20 74 68 65 20 e.the.advertised.network.on.the.
231a0 6f 74 68 65 72 20 68 6f 73 74 2e 00 59 6f 75 20 77 6f 75 6c 64 20 68 61 76 65 20 35 20 7a 6f 6e other.host..You.would.have.5.zon
231c0 65 73 20 69 6e 73 74 65 61 64 20 6f 66 20 6a 75 73 74 20 34 20 61 6e 64 20 79 6f 75 20 77 6f 75 es.instead.of.just.4.and.you.wou
231e0 6c 64 20 63 6f 6e 66 69 67 75 72 65 20 79 6f 75 72 20 76 36 20 72 75 6c 65 73 65 74 20 62 65 74 ld.configure.your.v6.ruleset.bet
23200 77 65 65 6e 20 79 6f 75 72 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 79 ween.your.tunnel.interface.and.y
23220 6f 75 72 20 4c 41 4e 2f 44 4d 5a 20 7a 6f 6e 65 73 20 69 6e 73 74 65 61 64 20 6f 66 20 74 6f 20 our.LAN/DMZ.zones.instead.of.to.
23240 74 68 65 20 57 41 4e 2e 00 59 6f 75 20 77 6f 75 6c 64 20 68 61 76 65 20 74 6f 20 61 64 64 20 61 the.WAN..You.would.have.to.add.a
23260 20 63 6f 75 70 6c 65 20 6f 66 20 72 75 6c 65 73 20 6f 6e 20 79 6f 75 72 20 77 61 6e 2d 6c 6f 63 .couple.of.rules.on.your.wan-loc
23280 61 6c 20 72 75 6c 65 73 65 74 20 74 6f 20 61 6c 6c 6f 77 20 70 72 6f 74 6f 63 6f 6c 20 34 31 20 al.ruleset.to.allow.protocol.41.
232a0 69 6e 2e 00 5a 6f 6e 65 2d 50 6f 6c 69 63 79 20 65 78 61 6d 70 6c 65 00 5a 6f 6e 65 73 20 42 61 in..Zone-Policy.example.Zones.Ba
232c0 73 69 63 73 00 5a 6f 6e 65 73 20 61 6e 64 20 52 75 6c 65 73 65 74 73 20 62 6f 74 68 20 68 61 76 sics.Zones.and.Rulesets.both.hav
232e0 65 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 73 74 61 74 65 6d 65 6e 74 2e 20 57 68 e.a.default.action.statement..Wh
23300 65 6e 20 75 73 69 6e 67 20 5a 6f 6e 65 2d 50 6f 6c 69 63 69 65 73 2c 20 74 68 65 20 64 65 66 61 en.using.Zone-Policies,.the.defa
23320 75 6c 74 20 61 63 74 69 6f 6e 20 69 73 20 73 65 74 20 62 79 20 74 68 65 20 7a 6f 6e 65 2d 70 6f ult.action.is.set.by.the.zone-po
23340 6c 69 63 79 20 73 74 61 74 65 6d 65 6e 74 20 61 6e 64 20 69 73 20 72 65 70 72 65 73 65 6e 74 65 licy.statement.and.is.represente
23360 64 20 62 79 20 72 75 6c 65 20 31 30 30 30 30 2e 00 5a 6f 6e 65 73 20 64 6f 20 6e 6f 74 20 61 6c d.by.rule.10000..Zones.do.not.al
23380 6c 6f 77 20 66 6f 72 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 6f 66 20 61 63 63 65 low.for.a.default.action.of.acce
233a0 70 74 3b 20 65 69 74 68 65 72 20 64 72 6f 70 20 6f 72 20 72 65 6a 65 63 74 2e 20 49 74 20 69 73 pt;.either.drop.or.reject..It.is
233c0 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 72 65 6d 65 6d 62 65 72 20 74 68 69 73 20 62 65 63 61 .important.to.remember.this.beca
233e0 75 73 65 20 69 66 20 79 6f 75 20 61 70 70 6c 79 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 74 6f use.if.you.apply.an.interface.to
23400 20 61 20 7a 6f 6e 65 20 61 6e 64 20 63 6f 6d 6d 69 74 2c 20 61 6e 79 20 61 63 74 69 76 65 20 63 .a.zone.and.commit,.any.active.c
23420 6f 6e 6e 65 63 74 69 6f 6e 73 20 77 69 6c 6c 20 62 65 20 64 72 6f 70 70 65 64 2e 20 53 70 65 63 onnections.will.be.dropped..Spec
23440 69 66 69 63 61 6c 6c 79 2c 20 69 66 20 79 6f 75 20 61 72 65 20 53 53 48 e2 80 99 64 20 69 6e 74 ifically,.if.you.are.SSH...d.int
23460 6f 20 56 79 4f 53 20 61 6e 64 20 61 64 64 20 6c 6f 63 61 6c 20 6f 72 20 74 68 65 20 69 6e 74 65 o.VyOS.and.add.local.or.the.inte
23480 72 66 61 63 65 20 79 6f 75 20 61 72 65 20 63 6f 6e 6e 65 63 74 69 6e 67 20 74 68 72 6f 75 67 68 rface.you.are.connecting.through
234a0 20 74 6f 20 61 20 7a 6f 6e 65 20 61 6e 64 20 64 6f 20 6e 6f 74 20 68 61 76 65 20 72 75 6c 65 73 .to.a.zone.and.do.not.have.rules
234c0 65 74 73 20 69 6e 20 70 6c 61 63 65 20 74 6f 20 61 6c 6c 6f 77 20 53 53 48 20 61 6e 64 20 65 73 ets.in.place.to.allow.SSH.and.es
234e0 74 61 62 6c 69 73 68 65 64 20 73 65 73 73 69 6f 6e 73 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 6f 74 tablished.sessions,.you.will.not
23500 20 62 65 20 61 62 6c 65 20 74 6f 20 63 6f 6e 6e 65 63 74 2e 00 60 32 30 30 31 3a 34 37 30 3a 78 .be.able.to.connect..`2001:470:x
23520 78 78 78 3a 31 3a 3a 2f 36 34 60 3a 20 41 20 73 75 62 6e 65 74 20 73 75 69 74 61 62 6c 65 20 66 xxx:1::/64`:.A.subnet.suitable.f
23540 6f 72 20 61 20 4c 41 4e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 32 3a 3a 2f 36 34 60 3a or.a.LAN.`2001:470:xxxx:2::/64`:
23560 20 41 6e 6f 74 68 65 72 20 73 75 62 6e 65 74 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 3a .Another.subnet.`2001:470:xxxx::
23580 2f 34 38 60 3a 20 54 68 65 20 77 68 6f 6c 65 20 73 75 62 6e 65 74 2e 20 78 78 78 78 20 73 68 6f /48`:.The.whole.subnet..xxxx.sho
235a0 75 6c 64 20 63 6f 6d 65 20 66 72 6f 6d 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 00 60 32 30 30 uld.come.from.Tunnelbroker..`200
235c0 31 3a 34 37 30 3a 78 78 78 78 3a 66 66 66 66 3a 2f 36 34 60 3a 20 54 68 65 20 6c 61 73 74 20 75 1:470:xxxx:ffff:/64`:.The.last.u
235e0 73 61 62 6c 65 20 2f 36 34 20 73 75 62 6e 65 74 2e 00 60 60 73 65 72 76 69 63 65 2d 6e 61 6d 65 sable./64.subnet..``service-name
23600 60 60 20 63 61 6e 20 62 65 20 61 6e 20 61 72 62 69 74 72 61 72 79 20 73 74 72 69 6e 67 2e 00 61 ``.can.be.an.arbitrary.string..a
23620 66 74 65 72 20 61 6c 6c 20 74 68 65 73 65 20 73 74 65 70 73 20 74 68 65 20 63 6f 6e 66 69 67 20 fter.all.these.steps.the.config.
23640 6c 6f 6f 6b 20 6c 69 6b 65 20 74 68 69 73 3a 00 61 66 74 65 72 20 74 68 69 73 20 63 72 65 61 74 look.like.this:.after.this.creat
23660 65 20 61 20 73 69 67 6e 65 64 20 73 65 72 76 65 72 20 61 6e 64 20 61 20 63 6c 69 65 6e 74 20 63 e.a.signed.server.and.a.client.c
23680 65 72 74 69 66 69 63 61 74 65 00 61 6e 64 20 6c 61 73 74 20 74 68 65 20 44 48 20 4b 65 79 00 62 ertificate.and.last.the.DH.Key.b
236a0 6c 75 65 20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 lue.uses.local.routing.table.id.
236c0 61 6e 64 20 56 4e 49 20 32 30 30 30 00 63 68 30 30 73 33 2d 34 2d 73 33 63 75 72 33 2d 70 73 6b and.VNI.2000.ch00s3-4-s3cur3-psk
236e0 00 63 6f 6d 70 75 74 65 31 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 .compute1.(VMware.ESXi.6.5).comp
23700 75 74 65 31 20 2d 20 50 6f 72 74 20 39 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6d ute1.-.Port.9.of.each.switch.com
23720 70 75 74 65 32 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 32 pute2.(VMware.ESXi.6.5).compute2
23740 20 2d 20 50 6f 72 74 20 31 30 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6d 70 75 74 .-.Port.10.of.each.switch.comput
23760 65 33 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 33 20 2d 20 e3.(VMware.ESXi.6.5).compute3.-.
23780 50 6f 72 74 20 31 31 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6e 66 69 67 75 72 65 Port.11.of.each.switch.configure
237a0 20 65 61 63 68 20 68 6f 73 74 20 69 6e 20 74 68 65 20 6c 61 62 00 63 72 65 61 74 65 20 74 68 65 .each.host.in.the.lab.create.the
237c0 20 6c 61 62 20 6f 6e 20 61 20 65 76 65 2d 6e 67 20 73 65 72 76 65 72 00 64 6f 20 73 6f 6d 65 20 .lab.on.a.eve-ng.server.do.some.
237e0 64 65 66 69 6e 65 64 20 74 65 73 74 73 00 65 74 68 30 00 65 74 68 30 20 69 73 20 73 65 74 20 74 defined.tests.eth0.eth0.is.set.t
23800 6f 20 62 65 20 72 65 6d 6f 76 65 64 20 66 72 6f 6d 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e o.be.removed.from.the.load.balan
23820 63 65 72 27 73 20 69 6e 74 65 72 66 61 63 65 20 70 6f 6f 6c 20 61 66 74 65 72 20 35 20 70 69 6e cer's.interface.pool.after.5.pin
23840 67 20 66 61 69 6c 75 72 65 73 2c 20 65 74 68 31 20 77 69 6c 6c 20 62 65 20 72 65 6d 6f 76 65 64 g.failures,.eth1.will.be.removed
23860 20 61 66 74 65 72 20 34 20 70 69 6e 67 20 66 61 69 6c 75 72 65 73 2e 00 65 78 74 65 6e 64 65 64 .after.4.ping.failures..extended
23880 20 63 6f 6d 6d 75 6e 69 74 79 20 61 6e 64 20 72 65 6d 6f 74 65 20 6c 61 62 65 6c 20 6f 66 20 73 .community.and.remote.label.of.s
238a0 70 65 63 69 66 69 63 20 64 65 73 74 69 6e 61 74 69 6f 6e 00 66 69 72 73 74 20 74 68 65 20 50 43 pecific.destination.first.the.PC
238c0 41 00 67 65 6e 65 72 61 74 65 20 74 68 65 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 61 6e 64 A.generate.the.documentation.and
238e0 20 69 6e 63 6c 75 64 65 20 66 69 6c 65 73 00 67 72 65 65 6e 20 75 73 65 73 20 6c 6f 63 61 6c 20 .include.files.green.uses.local.
23900 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20 34 30 30 30 00 69 6e routing.table.id.and.VNI.4000.in
23920 66 6f 72 6d 61 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 50 45 20 61 6e 64 20 43 45 3a 00 6f 70 74 formation.between.PE.and.CE:.opt
23940 69 6f 6e 61 6c 20 64 6f 20 61 6e 20 75 70 67 72 61 64 65 20 74 6f 20 61 20 68 69 67 68 65 72 20 ional.do.an.upgrade.to.a.higher.
23960 76 65 72 73 69 6f 6e 20 61 6e 64 20 64 6f 20 73 74 65 70 20 33 20 61 67 61 69 6e 2e 00 72 65 64 version.and.do.step.3.again..red
23980 20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 .uses.local.routing.table.id.and
239a0 20 56 4e 49 20 33 30 30 30 00 72 6f 75 74 65 72 32 20 28 52 61 6e 64 6f 6d 20 31 52 55 20 6d 61 .VNI.3000.router2.(Random.1RU.ma
239c0 63 68 69 6e 65 20 77 69 74 68 20 34 20 4e 49 43 73 29 00 73 61 76 65 20 74 68 65 20 6f 75 74 70 chine.with.4.NICs).save.the.outp
239e0 75 74 20 74 6f 20 61 20 66 69 6c 65 20 61 6e 64 20 69 6d 70 6f 72 74 20 69 74 20 69 6e 20 6e 65 ut.to.a.file.and.import.it.in.ne
23a00 61 72 6c 79 20 61 6c 6c 20 6f 70 65 6e 76 70 6e 20 63 6c 69 65 6e 74 73 2e 00 73 68 75 74 64 6f arly.all.openvpn.clients..shutdo
23a20 77 6e 20 61 6e 64 20 64 65 73 74 72 6f 79 20 74 68 65 20 6c 61 62 2c 20 69 66 20 74 68 65 72 65 wn.and.destroy.the.lab,.if.there
23a40 20 69 73 20 6e 6f 20 65 72 72 6f 72 00 73 70 65 63 69 66 69 63 20 56 50 4e 76 34 20 64 65 73 74 .is.no.error.specific.VPNv4.dest
23a60 69 6e 61 74 69 6f 6e 20 69 6e 63 6c 75 64 69 6e 67 20 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75 ination.including.extended.commu
23a80 6e 69 74 79 20 61 6e 64 20 72 65 6d 6f 74 65 6c 61 62 65 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e nity.and.remotelabel.information
23aa0 2e 20 54 68 69 73 20 70 72 6f 63 65 64 75 72 65 20 69 73 20 74 68 65 20 73 61 6d 65 20 6f 6e 20 ..This.procedure.is.the.same.on.
23ac0 61 6c 6c 20 53 70 6f 6b 65 20 6e 6f 64 65 73 3a 00 73 77 69 74 63 68 31 20 28 4e 65 78 75 73 20 all.Spoke.nodes:.switch1.(Nexus.
23ae0 31 30 67 62 20 53 77 69 74 63 68 29 00 73 77 69 74 63 68 32 20 28 4e 65 78 75 73 20 31 30 67 62 10gb.Switch).switch2.(Nexus.10gb
23b00 20 53 77 69 74 63 68 29 00 76 36 20 70 61 69 72 73 20 77 6f 75 6c 64 20 62 65 3a 00 76 79 6f 73 .Switch).v6.pairs.would.be:.vyos
23b20 31 30 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 38 00 76 79 6f 73 37 20 2d 20 31 39 32 2e 30 2e 32 10.-.192.0.2.108.vyos7.-.192.0.2
23b40 2e 31 30 35 00 76 79 6f 73 38 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 36 00 76 79 6f 73 39 20 2d .105.vyos8.-.192.0.2.106.vyos9.-
23b60 20 31 39 32 2e 30 2e 32 2e 31 30 37 00 77 65 20 61 72 65 20 75 73 69 6e 67 20 22 73 6f 75 72 63 .192.0.2.107.we.are.using."sourc
23b80 65 2d 61 64 64 72 65 73 73 22 20 6f 70 74 69 6f 6e 20 63 61 75 73 65 20 77 65 20 61 72 65 20 6e e-address".option.cause.we.are.n
23ba0 6f 74 20 72 65 64 69 73 74 72 69 62 75 74 69 6e 67 20 63 6f 6e 6e 65 63 74 65 64 20 69 6e 74 65 ot.redistributing.connected.inte
23bc0 72 66 61 63 65 73 20 69 6e 74 6f 20 42 47 50 20 6f 6e 20 74 68 65 20 43 6f 72 65 20 72 6f 75 74 rfaces.into.BGP.on.the.Core.rout
23be0 65 72 20 68 65 6e 63 65 20 74 68 65 72 65 20 69 73 20 6e 6f 20 63 6f 6d 65 62 61 63 6b 20 72 6f er.hence.there.is.no.comeback.ro
23c00 75 74 65 20 61 6e 64 20 70 69 6e 67 20 77 69 6c 6c 20 66 61 69 6c 2e 00 77 69 74 68 69 6e 20 56 ute.and.ping.will.fail..within.V
23c20 52 46 73 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 RFs:....show.bgp.ipv4.vpn.summar
23c40 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 42 47 50 20 56 50 4e 76 34 20 6e 65 69 67 y....for.checking.BGP.VPNv4.neig
23c60 68 62 6f 72 73 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d hbors:....show.bgp.ipv4.vpn.summ
23c80 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f ary....for.checking.iBGP.neighbo
23ca0 72 73 20 61 67 61 69 6e 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 rs.again....show.bgp.ipv4.vpn.su
23cc0 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67 68 mmary....for.checking.iBGP.neigh
23ce0 62 6f 72 73 20 61 67 61 69 6e 73 74 20 72 6f 75 74 65 2d 72 65 66 6c 65 63 74 6f 72 20 64 65 76 bors.against.route-reflector.dev
23d00 69 63 65 73 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 ices:....show.bgp.ipv4.vpn.x.x.x
23d20 2e 78 2f 33 32 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 62 65 73 74 2d 70 61 74 68 2c .x/32....for.checking.best-path,
23d40 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 33 32 ....show.bgp.ipv4.vpn.x.x.x.x/32
23d60 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 74 68 65 20 62 65 73 74 2d 70 61 74 68 20 74 ....for.checking.the.best-path.t
23d80 6f 20 74 68 65 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 o.the....show.bgp.ipv4.vpn.x.x.x
23da0 2e 78 2f 78 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 62 65 73 74 20 70 61 74 68 20 73 .x/x....for.checking.best.path.s
23dc0 65 6c 65 63 74 65 64 20 66 6f 72 20 73 70 65 63 69 66 69 63 20 56 50 4e 76 34 20 64 65 73 74 69 elected.for.specific.VPNv4.desti
23de0 6e 61 74 69 6f 6e 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e e2 80 9d 20 20 nation....show.bgp.ipv4.vpn.....
23e00 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 56 50 4e 76 34 20 70 72 65 66 69 78 65 73 20 for.checking.all.VPNv4.prefixes.
23e20 69 6e 66 6f 72 6d 61 74 69 6f 6e 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 information:....show.bgp.vrf.BLU
23e40 45 5f 48 55 42 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 E_HUB.summary....for.checking.EB
23e60 47 50 20 6e 65 69 67 68 62 6f 72 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 GP.neighbor....show.bgp.vrf.BLUE
23e80 5f 53 50 4f 4b 45 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 _SPOKE.summary....for.checking.E
23ea0 42 47 50 20 6e 65 69 67 68 62 6f 72 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c BGP.neighbor....show.bgp.vrf.all
23ec0 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 20 ....for.checking.all.the.prefix.
23ee0 6c 65 61 72 6e 69 6e 67 20 6f 6e 20 42 47 50 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 learning.on.BGP....show.bgp.vrf.
23f00 61 6c 6c e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66 all....for.checking.all.the.pref
23f20 69 78 65 73 20 6c 65 61 72 6e 69 6e 67 20 6f 6e 20 42 47 50 00 e2 80 9c 73 68 6f 77 20 69 70 20 ixes.learning.on.BGP....show.ip.
23f40 6f 73 70 66 20 6e 65 69 67 68 62 6f 72 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6f 73 ospf.neighbor....for.checking.os
23f60 70 66 20 72 65 6c 61 74 69 6f 6e 73 68 69 70 00 e2 80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 pf.relationship....show.ip.route
23f80 20 76 72 66 20 42 4c 55 45 5f 48 55 42 e2 80 9d 20 74 6f 20 76 69 65 77 20 74 68 65 20 52 49 42 .vrf.BLUE_HUB....to.view.the.RIB
23fa0 20 69 6e 20 6f 75 72 20 48 75 62 20 50 45 2e 00 22 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 .in.our.Hub.PE.."show.ip.route.v
23fc0 72 66 20 42 4c 55 45 5f 53 50 4f 4b 45 22 2c 20 75 6d 20 64 69 65 20 52 49 42 20 69 6e 20 75 6e rf.BLUE_SPOKE",.um.die.RIB.in.un
23fe0 73 65 72 65 6d 20 53 70 6f 6b 65 20 50 45 20 61 6e 7a 75 7a 65 69 67 65 6e 2e 00 22 73 68 6f 77 serem.Spoke.PE.anzuzeigen.."show
24000 20 6d 70 6c 73 20 6c 64 70 20 62 69 6e 64 69 6e 67 22 20 7a 75 72 20 c3 9c 62 65 72 70 72 c3 bc .mpls.ldp.binding".zur...berpr..
24020 66 75 6e 67 20 64 65 72 20 6d 70 6c 73 2d 4c 61 62 65 6c 2d 5a 75 77 65 69 73 75 6e 67 00 22 73 fung.der.mpls-Label-Zuweisung."s
24040 68 6f 77 20 6d 70 6c 73 20 6c 64 70 20 6e 65 69 67 68 62 6f 72 20 22 20 7a 75 72 20 c3 9c 62 65 how.mpls.ldp.neighbor.".zur...be
24060 72 70 72 c3 bc 66 75 6e 67 20 76 6f 6e 20 6c 64 70 2d 4e 61 63 68 62 61 72 6e 00 rpr..fung.von.ldp-Nachbarn.