configexamples.mo « LC_MESSAGES « ja « _locale « docs - vyos-documentation.git - VyOS readthedocs (mirror of https://github.com/marekm72/vyos-documentation.git)

blob: 195ef913679fa6024b59c3d1c11e205dfccc9994 (plain)

ofs	hex dump	ascii
0000	de 12 04 95 00 00 00 00 af 02 00 00 1c 00 00 00 94 15 00 00 97 03 00 00 0c 2b 00 00 00 00 00 00	.........................+......
0020	68 39 00 00 15 01 00 00 69 39 00 00 43 00 00 00 7f 3a 00 00 49 00 00 00 c3 3a 00 00 28 00 00 00	h9......i9..C....:..I....:..(...
0040	0d 3b 00 00 7c 00 00 00 36 3b 00 00 80 00 00 00 b3 3b 00 00 84 00 00 00 34 3c 00 00 70 00 00 00	.;..\|...6;.......;......4<..p...
0060	b9 3c 00 00 2e 01 00 00 2a 3d 00 00 0c 00 00 00 59 3e 00 00 0b 00 00 00 66 3e 00 00 0b 00 00 00	.<......*=......Y>......f>......
0080	72 3e 00 00 0b 00 00 00 7e 3e 00 00 08 00 00 00 8a 3e 00 00 11 00 00 00 93 3e 00 00 0b 00 00 00	r>......~>.......>.......>......
00a0	a5 3e 00 00 0c 00 00 00 b1 3e 00 00 09 00 00 00 be 3e 00 00 0b 00 00 00 c8 3e 00 00 0f 00 00 00	.>.......>.......>.......>......
00c0	d4 3e 00 00 0f 00 00 00 e4 3e 00 00 0f 00 00 00 f4 3e 00 00 38 00 00 00 04 3f 00 00 0d 00 00 00	.>.......>.......>..8....?......
00e0	3d 3f 00 00 15 00 00 00 4b 3f 00 00 11 00 00 00 61 3f 00 00 19 00 00 00 73 3f 00 00 19 00 00 00	=?......K?......a?......s?......
0100	8d 3f 00 00 15 00 00 00 a7 3f 00 00 15 00 00 00 bd 3f 00 00 1a 00 00 00 d3 3f 00 00 57 00 00 00	.?.......?.......?.......?..W...
0120	ee 3f 00 00 63 00 00 00 46 40 00 00 0e 00 00 00 aa 40 00 00 0c 00 00 00 b9 40 00 00 1f 00 00 00	.?..c...F@.......@.......@......
0140	c6 40 00 00 1f 00 00 00 e6 40 00 00 0e 00 00 00 06 41 00 00 0f 00 00 00 15 41 00 00 0f 00 00 00	.@.......@.......A.......A......
0160	25 41 00 00 0f 00 00 00 35 41 00 00 2e 00 00 00 45 41 00 00 0b 00 00 00 74 41 00 00 0b 00 00 00	%A......5A......EA......tA......
0180	80 41 00 00 1c 00 00 00 8c 41 00 00 1c 00 00 00 a9 41 00 00 1e 00 00 00 c6 41 00 00 3f 00 00 00	.A.......A.......A.......A..?...
01a0	e5 41 00 00 07 00 00 00 25 42 00 00 09 00 00 00 2d 42 00 00 07 00 00 00 37 42 00 00 08 00 00 00	.A......%B......-B......7B......
01c0	3f 42 00 00 05 00 00 00 48 42 00 00 0a 00 00 00 4e 42 00 00 15 00 00 00 59 42 00 00 0a 00 00 00	?B......HB......NB......YB......
01e0	6f 42 00 00 05 00 00 00 7a 42 00 00 4e 02 00 00 80 42 00 00 82 00 00 00 cf 44 00 00 5b 00 00 00	oB......zB..N....B.......D..[...
0200	52 45 00 00 1a 01 00 00 ae 45 00 00 c8 00 00 00 c9 46 00 00 57 00 00 00 92 47 00 00 58 00 00 00	RE.......E.......F..W....G..X...
0220	ea 47 00 00 d4 00 00 00 43 48 00 00 0f 01 00 00 18 49 00 00 f1 00 00 00 28 4a 00 00 30 00 00 00	.G......CH.......I......(J..0...
0240	1a 4b 00 00 30 00 00 00 4b 4b 00 00 30 00 00 00 7c 4b 00 00 28 00 00 00 ad 4b 00 00 22 00 00 00	.K..0...KK..0...\|K..(....K.."...
0260	d6 4b 00 00 1d 00 00 00 f9 4b 00 00 1a 00 00 00 17 4c 00 00 16 00 00 00 32 4c 00 00 46 00 00 00	.K.......K.......L......2L..F...
0280	49 4c 00 00 37 00 00 00 90 4c 00 00 26 00 00 00 c8 4c 00 00 1a 00 00 00 ef 4c 00 00 5d 00 00 00	IL..7....L..&....L.......L..]...
02a0	0a 4d 00 00 7c 00 00 00 68 4d 00 00 4b 00 00 00 e5 4d 00 00 28 00 00 00 31 4e 00 00 97 00 00 00	.M..\|...hM..K....M..(...1N......
02c0	5a 4e 00 00 46 00 00 00 f2 4e 00 00 56 00 00 00 39 4f 00 00 53 00 00 00 90 4f 00 00 1f 00 00 00	ZN..F....N..V...9O..S....O......
02e0	e4 4f 00 00 36 00 00 00 04 50 00 00 3c 00 00 00 3b 50 00 00 2b 00 00 00 78 50 00 00 2d 00 00 00	.O..6....P..<...;P..+...xP..-...
0300	a4 50 00 00 38 00 00 00 d2 50 00 00 30 00 00 00 0b 51 00 00 1d 00 00 00 3c 51 00 00 79 00 00 00	.P..8....P..0....Q......<Q..y...
0320	5a 51 00 00 25 00 00 00 d4 51 00 00 53 02 00 00 fa 51 00 00 16 00 00 00 4e 54 00 00 46 00 00 00	ZQ..%....Q..S....Q......NT..F...
0340	65 54 00 00 18 00 00 00 ac 54 00 00 48 00 00 00 c5 54 00 00 1e 00 00 00 0e 55 00 00 0f 00 00 00	eT.......T..H....T.......U......
0360	2d 55 00 00 8e 00 00 00 3d 55 00 00 0a 00 00 00 cc 55 00 00 0a 00 00 00 d7 55 00 00 12 01 00 00	-U......=U.......U.......U......
0380	e2 55 00 00 8f 00 00 00 f5 56 00 00 df 00 00 00 85 57 00 00 22 00 00 00 65 58 00 00 40 04 00 00	.U.......V.......W.."...eX..@...
03a0	88 58 00 00 48 00 00 00 c9 5c 00 00 1c 00 00 00 12 5d 00 00 52 00 00 00 2f 5d 00 00 fa 00 00 00	.X..H....\.......]..R.../]......
03c0	82 5d 00 00 6d 00 00 00 7d 5e 00 00 87 00 00 00 eb 5e 00 00 ba 00 00 00 73 5f 00 00 5d 00 00 00	.]..m...}^.......^......s_..]...
03e0	2e 60 00 00 a9 00 00 00 8c 60 00 00 09 00 00 00 36 61 00 00 1e 00 00 00 40 61 00 00 1e 00 00 00	.`.......`......6a......@a......
0400	5f 61 00 00 19 00 00 00 7e 61 00 00 1c 00 00 00 98 61 00 00 13 00 00 00 b5 61 00 00 03 00 00 00	_a......~a.......a.......a......
0420	c9 61 00 00 29 00 00 00 cd 61 00 00 4a 00 00 00 f7 61 00 00 08 00 00 00 42 62 00 00 0a 00 00 00	.a..)....a..J....a......Bb......
0440	4b 62 00 00 e9 01 00 00 56 62 00 00 0e 00 00 00 40 64 00 00 19 00 00 00 4f 64 00 00 27 00 00 00	Kb......Vb......@d......Od..'...
0460	69 64 00 00 29 00 00 00 91 64 00 00 1a 00 00 00 bb 64 00 00 48 01 00 00 d6 64 00 00 06 00 00 00	id..)....d.......d..H....d......
0480	1f 66 00 00 86 02 00 00 26 66 00 00 0d 00 00 00 ad 68 00 00 0a 00 00 00 bb 68 00 00 07 00 00 00	.f......&f.......h.......h......
04a0	c6 68 00 00 70 00 00 00 ce 68 00 00 6e 00 00 00 3f 69 00 00 10 00 00 00 ae 69 00 00 26 00 00 00	.h..p....h..n...?i.......i..&...
04c0	bf 69 00 00 11 00 00 00 e6 69 00 00 12 00 00 00 f8 69 00 00 be 00 00 00 0b 6a 00 00 21 00 00 00	.i.......i.......i.......j..!...
04e0	ca 6a 00 00 05 00 00 00 ec 6a 00 00 43 00 00 00 f2 6a 00 00 35 00 00 00 36 6b 00 00 14 00 00 00	.j.......j..C....j..5...6k......
0500	6c 6b 00 00 56 00 00 00 81 6b 00 00 0b 00 00 00 d8 6b 00 00 0d 00 00 00 e4 6b 00 00 13 00 00 00	lk..V....k.......k.......k......
0520	f2 6b 00 00 14 00 00 00 06 6c 00 00 29 00 00 00 1b 6c 00 00 18 00 00 00 45 6c 00 00 23 00 00 00	.k.......l..)....l......El..#...
0540	5e 6c 00 00 24 00 00 00 82 6c 00 00 39 00 00 00 a7 6c 00 00 0e 00 00 00 e1 6c 00 00 0e 00 00 00	^l..$....l..9....l.......l......
0560	f0 6c 00 00 13 00 00 00 ff 6c 00 00 27 00 00 00 13 6d 00 00 2b 00 00 00 3b 6d 00 00 51 00 00 00	.l.......l..'....m..+...;m..Q...
0580	67 6d 00 00 18 00 00 00 b9 6d 00 00 19 00 00 00 d2 6d 00 00 44 00 00 00 ec 6d 00 00 1b 00 00 00	gm.......m.......m..D....m......
05a0	31 6e 00 00 2f 00 00 00 4d 6e 00 00 1b 00 00 00 7d 6e 00 00 a4 00 00 00 99 6e 00 00 ae 00 00 00	1n../...Mn......}n.......n......
05c0	3e 6f 00 00 04 00 00 00 ed 6f 00 00 0b 00 00 00 f2 6f 00 00 0c 00 00 00 fe 6f 00 00 14 00 00 00	>o.......o.......o.......o......
05e0	0b 70 00 00 14 00 00 00 20 70 00 00 16 00 00 00 35 70 00 00 ae 00 00 00 4c 70 00 00 85 00 00 00	.p.......p......5p......Lp......
0600	fb 70 00 00 2b 00 00 00 81 71 00 00 25 00 00 00 ad 71 00 00 43 00 00 00 d3 71 00 00 5a 00 00 00	.p..+....q..%....q..C....q..Z...
0620	17 72 00 00 24 00 00 00 72 72 00 00 dc 00 00 00 97 72 00 00 1c 00 00 00 74 73 00 00 0a 00 00 00	.r..$...rr.......r......ts......
0640	91 73 00 00 0b 00 00 00 9c 73 00 00 0f 00 00 00 a8 73 00 00 20 00 00 00 b8 73 00 00 5d 00 00 00	.s.......s.......s.......s..]...
0660	d9 73 00 00 06 00 00 00 37 74 00 00 08 00 00 00 3e 74 00 00 08 00 00 00 47 74 00 00 17 00 00 00	.s......7t......>t......Gt......
0680	50 74 00 00 f9 00 00 00 68 74 00 00 0c 01 00 00 62 75 00 00 96 00 00 00 6f 76 00 00 78 00 00 00	Pt......ht......bu......ov..x...
06a0	06 77 00 00 14 00 00 00 7f 77 00 00 0b 00 00 00 94 77 00 00 0a 00 00 00 a0 77 00 00 4e 00 00 00	.w.......w.......w.......w..N...
06c0	ab 77 00 00 c4 00 00 00 fa 77 00 00 fa 00 00 00 bf 78 00 00 d1 00 00 00 ba 79 00 00 12 01 00 00	.w.......w.......x.......y......
06e0	8c 7a 00 00 db 00 00 00 9f 7b 00 00 07 00 00 00 7b 7c 00 00 23 00 00 00 83 7c 00 00 2e 00 00 00	.z.......{......{\|..#....\|......
0700	a7 7c 00 00 27 00 00 00 d6 7c 00 00 3a 00 00 00 fe 7c 00 00 2e 00 00 00 39 7d 00 00 0f 00 00 00	.\|..'....\|..:....\|......9}......
0720	68 7d 00 00 48 00 00 00 78 7d 00 00 9f 00 00 00 c1 7d 00 00 34 00 00 00 61 7e 00 00 08 00 00 00	h}..H...x}.......}..4...a~......
0740	96 7e 00 00 17 00 00 00 9f 7e 00 00 bf 00 00 00 b7 7e 00 00 85 00 00 00 77 7f 00 00 45 00 00 00	.~.......~.......~......w...E...
0760	fd 7f 00 00 43 00 00 00 43 80 00 00 21 01 00 00 87 80 00 00 d5 00 00 00 a9 81 00 00 ab 00 00 00	....C...C...!...................
0780	7f 82 00 00 53 00 00 00 2b 83 00 00 78 00 00 00 7f 83 00 00 bd 00 00 00 f8 83 00 00 56 00 00 00	....S...+...x...............V...
07a0	b6 84 00 00 1c 00 00 00 0d 85 00 00 2e 00 00 00 2a 85 00 00 23 00 00 00 59 85 00 00 04 00 00 00	................*...#...Y.......
07c0	7d 85 00 00 67 00 00 00 82 85 00 00 5a 00 00 00 ea 85 00 00 43 00 00 00 45 86 00 00 44 00 00 00	}...g.......Z.......C...E...D...
07e0	89 86 00 00 08 00 00 00 ce 86 00 00 27 00 00 00 d7 86 00 00 2e 00 00 00 ff 86 00 00 4d 00 00 00	............'...............M...
0800	2e 87 00 00 69 00 00 00 7c 87 00 00 83 00 00 00 e6 87 00 00 1d 00 00 00 6a 88 00 00 11 00 00 00	....i...\|...............j.......
0820	88 88 00 00 03 00 00 00 9a 88 00 00 01 02 00 00 9e 88 00 00 ab 00 00 00 a0 8a 00 00 78 00 00 00	............................x...
0840	4c 8b 00 00 83 00 00 00 c5 8b 00 00 e2 00 00 00 49 8c 00 00 09 00 00 00 2c 8d 00 00 5f 03 00 00	L...............I.......,..._...
0860	36 8d 00 00 14 00 00 00 96 90 00 00 06 00 00 00 ab 90 00 00 0c 00 00 00 b2 90 00 00 0c 00 00 00	6...............................
0880	bf 90 00 00 0b 00 00 00 cc 90 00 00 17 00 00 00 d8 90 00 00 0f 00 00 00 f0 90 00 00 03 00 00 00	................................
08a0	00 91 00 00 43 00 00 00 04 91 00 00 67 00 00 00 48 91 00 00 d8 00 00 00 b0 91 00 00 90 00 00 00	....C.......g...H...............
08c0	89 92 00 00 88 00 00 00 1a 93 00 00 ec 00 00 00 a3 93 00 00 33 00 00 00 90 94 00 00 9f 00 00 00	....................3...........
08e0	c4 94 00 00 98 00 00 00 64 95 00 00 bd 00 00 00 fd 95 00 00 99 00 00 00 bb 96 00 00 54 00 00 00	........d...................T...
0900	55 97 00 00 fd 00 00 00 aa 97 00 00 60 00 00 00 a8 98 00 00 a3 00 00 00 09 99 00 00 4d 00 00 00	U...........`...............M...
0920	ad 99 00 00 5e 00 00 00 fb 99 00 00 44 00 00 00 5a 9a 00 00 dc 00 00 00 9f 9a 00 00 ee 00 00 00	....^.......D...Z...............
0940	7c 9b 00 00 75 00 00 00 6b 9c 00 00 67 00 00 00 e1 9c 00 00 6b 00 00 00 49 9d 00 00 5d 00 00 00	\|...u...k...g.......k...I...]...
0960	b5 9d 00 00 9d 00 00 00 13 9e 00 00 98 00 00 00 b1 9e 00 00 20 00 00 00 4a 9f 00 00 33 00 00 00	........................J...3...
0980	6b 9f 00 00 3a 00 00 00 9f 9f 00 00 14 00 00 00 da 9f 00 00 15 00 00 00 ef 9f 00 00 1f 00 00 00	k...:...........................
09a0	05 a0 00 00 6a 01 00 00 25 a0 00 00 24 00 00 00 90 a1 00 00 10 00 00 00 b5 a1 00 00 08 00 00 00	....j...%...$...................
09c0	c6 a1 00 00 23 00 00 00 cf a1 00 00 24 00 00 00 f3 a1 00 00 23 00 00 00 18 a2 00 00 23 00 00 00	....#.......$.......#.......#...
09e0	3c a2 00 00 7a 00 00 00 60 a2 00 00 94 00 00 00 db a2 00 00 21 00 00 00 70 a3 00 00 89 00 00 00	<...z...`...........!...p.......
0a00	92 a3 00 00 98 00 00 00 1c a4 00 00 14 00 00 00 b5 a4 00 00 23 00 00 00 ca a4 00 00 25 00 00 00	....................#.......%...
0a20	ee a4 00 00 2e 00 00 00 14 a5 00 00 05 00 00 00 43 a5 00 00 05 00 00 00 49 a5 00 00 11 00 00 00	................C.......I.......
0a40	4f a5 00 00 3c 00 00 00 61 a5 00 00 1d 00 00 00 9e a5 00 00 25 00 00 00 bc a5 00 00 04 00 00 00	O...<...a...........%...........
0a60	e2 a5 00 00 0c 00 00 00 e7 a5 00 00 0f 00 00 00 f4 a5 00 00 04 00 00 00 04 a6 00 00 63 00 00 00	............................c...
0a80	09 a6 00 00 3c 00 00 00 6d a6 00 00 40 00 00 00 aa a6 00 00 dc 02 00 00 eb a6 00 00 0b 00 00 00	....<...m...@...................
0aa0	c8 a9 00 00 3c 00 00 00 d4 a9 00 00 0a 00 00 00 11 aa 00 00 0e 00 00 00 1c aa 00 00 79 00 00 00	....<.......................y...
0ac0	2b aa 00 00 5d 00 00 00 a5 aa 00 00 0a 00 00 00 03 ab 00 00 16 00 00 00 0e ab 00 00 16 00 00 00	+...]...........................
0ae0	25 ab 00 00 0b 00 00 00 3c ab 00 00 14 00 00 00 48 ab 00 00 0f 00 00 00 5d ab 00 00 10 00 00 00	%.......<.......H.......].......
0b00	6d ab 00 00 18 00 00 00 7e ab 00 00 21 00 00 00 97 ab 00 00 5a 00 00 00 b9 ab 00 00 80 00 00 00	m.......~...!.......Z...........
0b20	14 ac 00 00 44 00 00 00 95 ac 00 00 2b 00 00 00 da ac 00 00 04 00 00 00 06 ad 00 00 40 00 00 00	....D.......+...............@...
0b40	0b ad 00 00 97 00 00 00 4c ad 00 00 42 00 00 00 e4 ad 00 00 5d 00 00 00 27 ae 00 00 3a 00 00 00	........L...B.......]...'...:...
0b60	85 ae 00 00 34 00 00 00 c0 ae 00 00 2e 00 00 00 f5 ae 00 00 26 00 00 00 24 af 00 00 58 00 00 00	....4...............&...$...X...
0b80	4b af 00 00 34 00 00 00 a4 af 00 00 35 00 00 00 d9 af 00 00 13 00 00 00 0f b0 00 00 19 00 00 00	K...4.......5...................
0ba0	23 b0 00 00 85 00 00 00 3d b0 00 00 19 00 00 00 c3 b0 00 00 7a 00 00 00 dd b0 00 00 79 00 00 00	#.......=...........z.......y...
0bc0	58 b1 00 00 53 00 00 00 d2 b1 00 00 68 00 00 00 26 b2 00 00 36 00 00 00 8f b2 00 00 32 00 00 00	X...S.......h...&...6.......2...
0be0	c6 b2 00 00 38 00 00 00 f9 b2 00 00 36 00 00 00 32 b3 00 00 38 00 00 00 69 b3 00 00 11 00 00 00	....8.......6...2...8...i.......
0c00	a2 b3 00 00 20 00 00 00 b4 b3 00 00 16 00 00 00 d5 b3 00 00 38 01 00 00 ec b3 00 00 69 00 00 00	....................8.......i...
0c20	25 b5 00 00 08 00 00 00 8f b5 00 00 03 00 00 00 98 b5 00 00 72 00 00 00 9c b5 00 00 03 00 00 00	%...................r...........
0c40	0f b6 00 00 6c 00 00 00 13 b6 00 00 03 00 00 00 80 b6 00 00 61 00 00 00 84 b6 00 00 27 00 00 00	....l...............a.......'...
0c60	e6 b6 00 00 0b 00 00 00 0e b7 00 00 37 00 00 00 1a b7 00 00 25 00 00 00 52 b7 00 00 6e 00 00 00	............7.......%...R...n...
0c80	78 b7 00 00 b2 00 00 00 e7 b7 00 00 38 00 00 00 9a b8 00 00 0e 00 00 00 d3 b8 00 00 0d 00 00 00	x...........8...................
0ca0	e2 b8 00 00 0a 00 00 00 f0 b8 00 00 67 00 00 00 fb b8 00 00 0e 00 00 00 63 b9 00 00 0b 00 00 00	............g...........c.......
0cc0	72 b9 00 00 02 00 00 00 7e b9 00 00 0e 00 00 00 81 b9 00 00 02 00 00 00 90 b9 00 00 09 00 00 00	r.......~.......................
0ce0	93 b9 00 00 09 00 00 00 9d b9 00 00 42 01 00 00 a7 b9 00 00 0f 00 00 00 ea ba 00 00 47 00 00 00	............B...............G...
0d00	fa ba 00 00 81 00 00 00 42 bb 00 00 07 00 00 00 c4 bb 00 00 04 00 00 00 cc bb 00 00 46 00 00 00	........B...................F...
0d20	d1 bb 00 00 3c 00 00 00 18 bc 00 00 0f 00 00 00 55 bc 00 00 96 00 00 00 65 bc 00 00 7c 00 00 00	....<...........U.......e...\|...
0d40	fc bc 00 00 09 00 00 00 79 bd 00 00 14 00 00 00 83 bd 00 00 09 00 00 00 98 bd 00 00 1b 00 00 00	........y.......................
0d60	a2 bd 00 00 2c 00 00 00 be bd 00 00 1d 00 00 00 eb bd 00 00 a8 00 00 00 09 be 00 00 d7 00 00 00	....,...........................
0d80	b2 be 00 00 42 00 00 00 8a bf 00 00 7d 00 00 00 cd bf 00 00 77 00 00 00 4b c0 00 00 49 00 00 00	....B.......}.......w...K...I...
0da0	c3 c0 00 00 48 00 00 00 0d c1 00 00 24 00 00 00 56 c1 00 00 9b 00 00 00 7b c1 00 00 43 00 00 00	....H.......$...V.......{...C...
0dc0	17 c2 00 00 34 00 00 00 5b c2 00 00 18 00 00 00 90 c2 00 00 9e 00 00 00 a9 c2 00 00 92 00 00 00	....4...[.......................
0de0	48 c3 00 00 17 01 00 00 db c3 00 00 3f 00 00 00 f3 c4 00 00 10 00 00 00 33 c5 00 00 5a 00 00 00	H...........?...........3...Z...
0e00	44 c5 00 00 2d 00 00 00 9f c5 00 00 4b 00 00 00 cd c5 00 00 0f 00 00 00 19 c6 00 00 05 00 00 00	D...-.......K...................
0e20	29 c6 00 00 40 00 00 00 2f c6 00 00 13 00 00 00 70 c6 00 00 4b 02 00 00 84 c6 00 00 31 00 00 00	)...@.../.......p...K.......1...
0e40	d0 c8 00 00 26 00 00 00 02 c9 00 00 19 00 00 00 29 c9 00 00 1f 00 00 00 43 c9 00 00 2d 00 00 00	....&...........).......C...-...
0e60	63 c9 00 00 30 00 00 00 91 c9 00 00 2a 00 00 00 c2 c9 00 00 1c 00 00 00 ed c9 00 00 14 00 00 00	c...0.......*...................
0e80	0a ca 00 00 16 00 00 00 1f ca 00 00 09 00 00 00 36 ca 00 00 0e 00 00 00 40 ca 00 00 0f 00 00 00	................6.......@.......
0ea0	4f ca 00 00 14 00 00 00 5f ca 00 00 14 00 00 00 74 ca 00 00 14 00 00 00 89 ca 00 00 14 00 00 00	O......._.......t...............
0ec0	9e ca 00 00 07 00 00 00 b3 ca 00 00 15 00 00 00 bb ca 00 00 e6 00 00 00 d1 ca 00 00 8e 00 00 00	................................
0ee0	b8 cb 00 00 1d 00 00 00 47 cc 00 00 85 00 00 00 65 cc 00 00 cd 00 00 00 eb cc 00 00 b8 00 00 00	........G.......e...............
0f00	b9 cd 00 00 75 00 00 00 72 ce 00 00 a7 00 00 00 e8 ce 00 00 6d 00 00 00 90 cf 00 00 4d 00 00 00	....u...r...........m.......M...
0f20	fe cf 00 00 be 00 00 00 4c d0 00 00 41 00 00 00 0b d1 00 00 5d 00 00 00 4d d1 00 00 1e 00 00 00	........L...A.......]...M.......
0f40	ab d1 00 00 75 00 00 00 ca d1 00 00 1f 00 00 00 40 d2 00 00 45 00 00 00 60 d2 00 00 9d 00 00 00	....u...........@...E...`.......
0f60	a6 d2 00 00 28 00 00 00 44 d3 00 00 5f 00 00 00 6d d3 00 00 41 00 00 00 cd d3 00 00 50 00 00 00	....(...D..._...m...A.......P...
0f80	0f d4 00 00 df 00 00 00 60 d4 00 00 b7 00 00 00 40 d5 00 00 9b 00 00 00 f8 d5 00 00 5b 00 00 00	........`.......@...........[...
0fa0	94 d6 00 00 c3 00 00 00 f0 d6 00 00 7f 00 00 00 b4 d7 00 00 94 00 00 00 34 d8 00 00 b4 00 00 00	........................4.......
0fc0	c9 d8 00 00 25 00 00 00 7e d9 00 00 a8 00 00 00 a4 d9 00 00 50 00 00 00 4d da 00 00 1f 00 00 00	....%...~...........P...M.......
0fe0	9e da 00 00 35 00 00 00 be da 00 00 3b 00 00 00 f4 da 00 00 a8 00 00 00 30 db 00 00 15 01 00 00	....5.......;...........0.......
1000	d9 db 00 00 ce 00 00 00 ef dc 00 00 a9 00 00 00 be dd 00 00 24 00 00 00 68 de 00 00 42 00 00 00	....................$...h...B...
1020	8d de 00 00 8f 00 00 00 d0 de 00 00 95 00 00 00 60 df 00 00 7b 00 00 00 f6 df 00 00 76 00 00 00	................`...{.......v...
1040	72 e0 00 00 57 00 00 00 e9 e0 00 00 aa 00 00 00 41 e1 00 00 f8 00 00 00 ec e1 00 00 2b 00 00 00	r...W...........A...........+...
1060	e5 e2 00 00 9e 01 00 00 11 e3 00 00 46 00 00 00 b0 e4 00 00 65 00 00 00 f7 e4 00 00 ad 00 00 00	............F.......e...........
1080	5d e5 00 00 6c 00 00 00 0b e6 00 00 9f 00 00 00 78 e6 00 00 b9 00 00 00 18 e7 00 00 60 00 00 00	]...l...........x...........`...
10a0	d2 e7 00 00 56 00 00 00 33 e8 00 00 28 00 00 00 8a e8 00 00 42 00 00 00 b3 e8 00 00 7d 00 00 00	....V...3...(.......B.......}...
10c0	f6 e8 00 00 27 00 00 00 74 e9 00 00 ac 00 00 00 9c e9 00 00 b1 00 00 00 49 ea 00 00 4b 00 00 00	....'...t...............I...K...
10e0	fb ea 00 00 83 00 00 00 47 eb 00 00 08 00 00 00 cb eb 00 00 8d 00 00 00 d4 eb 00 00 0a 00 00 00	........G.......................
1100	62 ec 00 00 1b 00 00 00 6d ec 00 00 17 00 00 00 89 ec 00 00 28 00 00 00 a1 ec 00 00 e7 00 00 00	b.......m...........(...........
1120	ca ec 00 00 d0 00 00 00 b2 ed 00 00 25 00 00 00 83 ee 00 00 83 00 00 00 a9 ee 00 00 90 00 00 00	............%...................
1140	2d ef 00 00 05 00 00 00 be ef 00 00 c9 00 00 00 c4 ef 00 00 03 00 00 00 8e f0 00 00 12 00 00 00	-...............................
1160	92 f0 00 00 0c 00 00 00 a5 f0 00 00 21 00 00 00 b2 f0 00 00 21 00 00 00 d4 f0 00 00 21 00 00 00	............!.......!.......!...
1180	f6 f0 00 00 21 00 00 00 18 f1 00 00 26 00 00 00 3a f1 00 00 04 00 00 00 61 f1 00 00 b9 00 00 00	....!.......&...:.......a.......
11a0	66 f1 00 00 3b 00 00 00 20 f2 00 00 0e 00 00 00 5c f2 00 00 18 00 00 00 6b f2 00 00 26 00 00 00	f...;...........\.......k...&...
11c0	84 f2 00 00 23 00 00 00 ab f2 00 00 23 00 00 00 cf f2 00 00 0d 00 00 00 f3 f2 00 00 23 00 00 00	....#.......#...............#...
11e0	01 f3 00 00 0f 00 00 00 25 f3 00 00 24 00 00 00 35 f3 00 00 0f 00 00 00 5a f3 00 00 08 00 00 00	........%...$...5.......Z.......
1200	6a f3 00 00 08 00 00 00 73 f3 00 00 08 00 00 00 7c f3 00 00 08 00 00 00 85 f3 00 00 08 00 00 00	j.......s.......\|...............
1220	8e f3 00 00 09 00 00 00 97 f3 00 00 08 00 00 00 a1 f3 00 00 09 00 00 00 aa f3 00 00 08 00 00 00	................................
1240	b4 f3 00 00 09 00 00 00 bd f3 00 00 0c 00 00 00 c7 f3 00 00 09 00 00 00 d4 f3 00 00 09 00 00 00	................................
1260	de f3 00 00 08 00 00 00 e8 f3 00 00 12 00 00 00 f1 f3 00 00 0f 00 00 00 04 f4 00 00 0e 00 00 00	................................
1280	14 f4 00 00 0d 00 00 00 23 f4 00 00 1a 00 00 00 31 f4 00 00 16 00 00 00 4c f4 00 00 49 00 00 00	........#.......1.......L...I...
12a0	63 f4 00 00 82 00 00 00 ad f4 00 00 1f 01 00 00 30 f5 00 00 40 00 00 00 50 f6 00 00 6f 00 00 00	c...............0...@...P...o...
12c0	91 f6 00 00 f4 00 00 00 01 f7 00 00 3c 00 00 00 f6 f7 00 00 17 00 00 00 33 f8 00 00 6e 00 00 00	............<...........3...n...
12e0	4b f8 00 00 67 00 00 00 ba f8 00 00 8e 00 00 00 22 f9 00 00 19 03 00 00 b1 f9 00 00 cb 00 00 00	K...g..........."...............
1300	cb fc 00 00 bc 00 00 00 97 fd 00 00 42 00 00 00 54 fe 00 00 36 00 00 00 97 fe 00 00 b9 00 00 00	............B...T...6...........
1320	ce fe 00 00 62 00 00 00 88 ff 00 00 ec 00 00 00 eb ff 00 00 d1 00 00 00 d8 00 01 00 7f 01 00 00	....b...........................
1340	aa 01 01 00 33 00 00 00 2a 03 01 00 09 00 00 00 5e 03 01 00 e7 00 00 00 68 03 01 00 2c 00 00 00	....3...*.......^.......h...,...
1360	50 04 01 00 8d 00 00 00 7d 04 01 00 70 00 00 00 0b 05 01 00 07 00 00 00 7c 05 01 00 5a 00 00 00	P.......}...p...........\|...Z...
1380	84 05 01 00 46 00 00 00 df 05 01 00 3a 00 00 00 26 06 01 00 47 00 00 00 61 06 01 00 9c 00 00 00	....F.......:...&...G...a.......
13a0	a9 06 01 00 5a 00 00 00 46 07 01 00 13 00 00 00 a1 07 01 00 0c 00 00 00 b5 07 01 00 ab 00 00 00	....Z...F.......................
13c0	c2 07 01 00 a3 01 00 00 6e 08 01 00 33 00 00 00 12 0a 01 00 26 00 00 00 46 0a 01 00 4b 00 00 00	........n...3.......&...F...K...
13e0	6d 0a 01 00 35 00 00 00 b9 0a 01 00 2c 00 00 00 ef 0a 01 00 30 00 00 00 1c 0b 01 00 3a 00 00 00	m...5.......,.......0.......:...
1400	4d 0b 01 00 13 00 00 00 88 0b 01 00 2d 00 00 00 9c 0b 01 00 13 00 00 00 ca 0b 01 00 1a 00 00 00	M...........-...................
1420	de 0b 01 00 20 00 00 00 f9 0b 01 00 1a 00 00 00 1a 0c 01 00 21 00 00 00 35 0c 01 00 1a 00 00 00	....................!...5.......
1440	57 0c 01 00 21 00 00 00 72 0c 01 00 1e 00 00 00 94 0c 01 00 21 00 00 00 b3 0c 01 00 15 00 00 00	W...!...r...........!...........
1460	d5 0c 01 00 04 00 00 00 eb 0c 01 00 84 00 00 00 f0 0c 01 00 3b 00 00 00 75 0d 01 00 0d 00 00 00	....................;...u.......
1480	b1 0d 01 00 2c 00 00 00 bf 0d 01 00 2e 00 00 00 ec 0d 01 00 1e 00 00 00 1b 0e 01 00 3f 00 00 00	....,.......................?...
14a0	3a 0e 01 00 2c 00 00 00 7a 0e 01 00 28 00 00 00 a7 0e 01 00 46 00 00 00 d0 0e 01 00 32 00 00 00	:...,...z...(.......F.......2...
14c0	17 0f 01 00 83 00 00 00 4a 0f 01 00 1b 00 00 00 ce 0f 01 00 1b 00 00 00 ea 0f 01 00 12 00 00 00	........J.......................
14e0	06 10 01 00 14 00 00 00 19 10 01 00 13 00 00 00 2e 10 01 00 13 00 00 00 42 10 01 00 13 00 00 00	........................B.......
1500	56 10 01 00 aa 00 00 00 6a 10 01 00 0c 00 00 00 15 11 01 00 41 00 00 00 22 11 01 00 41 00 00 00	V.......j...........A..."...A...
1520	64 11 01 00 5c 00 00 00 a6 11 01 00 3a 00 00 00 03 12 01 00 44 00 00 00 3e 12 01 00 60 00 00 00	d...\.......:.......D...>...`...
1540	83 12 01 00 45 00 00 00 e4 12 01 00 3e 00 00 00 2a 13 01 00 40 00 00 00 69 13 01 00 42 00 00 00	....E.......>...*...@...i...B...
1560	aa 13 01 00 44 00 00 00 ed 13 01 00 3a 00 00 00 32 14 01 00 3f 00 00 00 6d 14 01 00 47 00 00 00	....D.......:...2...?...m...G...
1580	ad 14 01 00 3e 00 00 00 f5 14 01 00 38 00 00 00 34 15 01 00 cd 00 00 00 6d 15 01 00 15 01 00 00	....>.......8...4.......m.......
15a0	3b 16 01 00 43 00 00 00 51 17 01 00 49 00 00 00 95 17 01 00 28 00 00 00 df 17 01 00 7c 00 00 00	;...C...Q...I.......(.......\|...
15c0	08 18 01 00 80 00 00 00 85 18 01 00 84 00 00 00 06 19 01 00 70 00 00 00 8b 19 01 00 2e 01 00 00	....................p...........
15e0	fc 19 01 00 0c 00 00 00 2b 1b 01 00 0b 00 00 00 38 1b 01 00 0b 00 00 00 44 1b 01 00 0b 00 00 00	........+.......8.......D.......
1600	50 1b 01 00 08 00 00 00 5c 1b 01 00 11 00 00 00 65 1b 01 00 0b 00 00 00 77 1b 01 00 0c 00 00 00	P.......\.......e.......w.......
1620	83 1b 01 00 09 00 00 00 90 1b 01 00 0b 00 00 00 9a 1b 01 00 0f 00 00 00 a6 1b 01 00 0f 00 00 00	................................
1640	b6 1b 01 00 0f 00 00 00 c6 1b 01 00 38 00 00 00 d6 1b 01 00 0d 00 00 00 0f 1c 01 00 15 00 00 00	............8...................
1660	1d 1c 01 00 11 00 00 00 33 1c 01 00 19 00 00 00 45 1c 01 00 19 00 00 00 5f 1c 01 00 15 00 00 00	........3.......E......._.......
1680	79 1c 01 00 15 00 00 00 8f 1c 01 00 1a 00 00 00 a5 1c 01 00 57 00 00 00 c0 1c 01 00 63 00 00 00	y...................W.......c...
16a0	18 1d 01 00 0e 00 00 00 7c 1d 01 00 0c 00 00 00 8b 1d 01 00 1f 00 00 00 98 1d 01 00 1f 00 00 00	........\|.......................
16c0	b8 1d 01 00 0e 00 00 00 d8 1d 01 00 0f 00 00 00 e7 1d 01 00 0f 00 00 00 f7 1d 01 00 0f 00 00 00	................................
16e0	07 1e 01 00 2e 00 00 00 17 1e 01 00 0b 00 00 00 46 1e 01 00 0b 00 00 00 52 1e 01 00 1c 00 00 00	................F.......R.......
1700	5e 1e 01 00 1c 00 00 00 7b 1e 01 00 1e 00 00 00 98 1e 01 00 3f 00 00 00 b7 1e 01 00 07 00 00 00	^.......{...........?...........
1720	f7 1e 01 00 09 00 00 00 ff 1e 01 00 07 00 00 00 09 1f 01 00 08 00 00 00 11 1f 01 00 05 00 00 00	................................
1740	1a 1f 01 00 0a 00 00 00 20 1f 01 00 15 00 00 00 2b 1f 01 00 0a 00 00 00 41 1f 01 00 05 00 00 00	................+.......A.......
1760	4c 1f 01 00 4e 02 00 00 52 1f 01 00 82 00 00 00 a1 21 01 00 5b 00 00 00 24 22 01 00 1a 01 00 00	L...N...R........!..[...$"......
1780	80 22 01 00 c8 00 00 00 9b 23 01 00 57 00 00 00 64 24 01 00 58 00 00 00 bc 24 01 00 d4 00 00 00	.".......#..W...d$..X....$......
17a0	15 25 01 00 0f 01 00 00 ea 25 01 00 f1 00 00 00 fa 26 01 00 30 00 00 00 ec 27 01 00 30 00 00 00	.%.......%.......&..0....'..0...
17c0	1d 28 01 00 30 00 00 00 4e 28 01 00 28 00 00 00 7f 28 01 00 22 00 00 00 a8 28 01 00 1d 00 00 00	.(..0...N(..(....(.."....(......
17e0	cb 28 01 00 1a 00 00 00 e9 28 01 00 16 00 00 00 04 29 01 00 46 00 00 00 1b 29 01 00 37 00 00 00	.(.......(.......)..F....)..7...
1800	62 29 01 00 26 00 00 00 9a 29 01 00 1a 00 00 00 c1 29 01 00 5d 00 00 00 dc 29 01 00 7c 00 00 00	b)..&....).......)..]....)..\|...
1820	3a 2a 01 00 4b 00 00 00 b7 2a 01 00 28 00 00 00 03 2b 01 00 97 00 00 00 2c 2b 01 00 46 00 00 00	:..K......(....+......,+..F...
1840	c4 2b 01 00 56 00 00 00 0b 2c 01 00 53 00 00 00 62 2c 01 00 1f 00 00 00 b6 2c 01 00 36 00 00 00	.+..V....,..S...b,.......,..6...
1860	d6 2c 01 00 3c 00 00 00 0d 2d 01 00 2b 00 00 00 4a 2d 01 00 2d 00 00 00 76 2d 01 00 38 00 00 00	.,..<....-..+...J-..-...v-..8...
1880	a4 2d 01 00 30 00 00 00 dd 2d 01 00 1d 00 00 00 0e 2e 01 00 79 00 00 00 2c 2e 01 00 25 00 00 00	.-..0....-..........y...,...%...
18a0	a6 2e 01 00 53 02 00 00 cc 2e 01 00 16 00 00 00 20 31 01 00 46 00 00 00 37 31 01 00 18 00 00 00	....S............1..F...71......
18c0	7e 31 01 00 48 00 00 00 97 31 01 00 1e 00 00 00 e0 31 01 00 0f 00 00 00 ff 31 01 00 8e 00 00 00	~1..H....1.......1.......1......
18e0	0f 32 01 00 0a 00 00 00 9e 32 01 00 0a 00 00 00 a9 32 01 00 12 01 00 00 b4 32 01 00 8f 00 00 00	.2.......2.......2.......2......
1900	c7 33 01 00 df 00 00 00 57 34 01 00 22 00 00 00 37 35 01 00 40 04 00 00 5a 35 01 00 48 00 00 00	.3......W4.."...75..@...Z5..H...
1920	9b 39 01 00 1c 00 00 00 e4 39 01 00 52 00 00 00 01 3a 01 00 fa 00 00 00 54 3a 01 00 6d 00 00 00	.9.......9..R....:......T:..m...
1940	4f 3b 01 00 87 00 00 00 bd 3b 01 00 ba 00 00 00 45 3c 01 00 5d 00 00 00 00 3d 01 00 a9 00 00 00	O;.......;......E<..]....=......
1960	5e 3d 01 00 09 00 00 00 08 3e 01 00 1e 00 00 00 12 3e 01 00 1e 00 00 00 31 3e 01 00 19 00 00 00	^=.......>.......>......1>......
1980	50 3e 01 00 1c 00 00 00 6a 3e 01 00 13 00 00 00 87 3e 01 00 03 00 00 00 9b 3e 01 00 29 00 00 00	P>......j>.......>.......>..)...
19a0	9f 3e 01 00 4a 00 00 00 c9 3e 01 00 08 00 00 00 14 3f 01 00 0a 00 00 00 1d 3f 01 00 e9 01 00 00	.>..J....>.......?.......?......
19c0	28 3f 01 00 0e 00 00 00 12 41 01 00 19 00 00 00 21 41 01 00 27 00 00 00 3b 41 01 00 29 00 00 00	(?.......A......!A..'...;A..)...
19e0	63 41 01 00 1a 00 00 00 8d 41 01 00 48 01 00 00 a8 41 01 00 06 00 00 00 f1 42 01 00 86 02 00 00	cA.......A..H....A.......B......
1a00	f8 42 01 00 0d 00 00 00 7f 45 01 00 0a 00 00 00 8d 45 01 00 07 00 00 00 98 45 01 00 70 00 00 00	.B.......E.......E.......E..p...
1a20	a0 45 01 00 6e 00 00 00 11 46 01 00 10 00 00 00 80 46 01 00 26 00 00 00 91 46 01 00 11 00 00 00	.E..n....F.......F..&....F......
1a40	b8 46 01 00 12 00 00 00 ca 46 01 00 be 00 00 00 dd 46 01 00 21 00 00 00 9c 47 01 00 05 00 00 00	.F.......F.......F..!....G......
1a60	be 47 01 00 43 00 00 00 c4 47 01 00 35 00 00 00 08 48 01 00 14 00 00 00 3e 48 01 00 56 00 00 00	.G..C....G..5....H......>H..V...
1a80	53 48 01 00 0b 00 00 00 aa 48 01 00 0d 00 00 00 b6 48 01 00 13 00 00 00 c4 48 01 00 14 00 00 00	SH.......H.......H.......H......
1aa0	d8 48 01 00 29 00 00 00 ed 48 01 00 18 00 00 00 17 49 01 00 23 00 00 00 30 49 01 00 24 00 00 00	.H..)....H.......I..#...0I..$...
1ac0	54 49 01 00 39 00 00 00 79 49 01 00 0e 00 00 00 b3 49 01 00 0e 00 00 00 c2 49 01 00 13 00 00 00	TI..9...yI.......I.......I......
1ae0	d1 49 01 00 27 00 00 00 e5 49 01 00 2b 00 00 00 0d 4a 01 00 51 00 00 00 39 4a 01 00 18 00 00 00	.I..'....I..+....J..Q...9J......
1b00	8b 4a 01 00 19 00 00 00 a4 4a 01 00 44 00 00 00 be 4a 01 00 1b 00 00 00 03 4b 01 00 2f 00 00 00	.J.......J..D....J.......K../...
1b20	1f 4b 01 00 1b 00 00 00 4f 4b 01 00 a4 00 00 00 6b 4b 01 00 ae 00 00 00 10 4c 01 00 04 00 00 00	.K......OK......kK.......L......
1b40	bf 4c 01 00 0b 00 00 00 c4 4c 01 00 0c 00 00 00 d0 4c 01 00 14 00 00 00 dd 4c 01 00 14 00 00 00	.L.......L.......L.......L......
1b60	f2 4c 01 00 16 00 00 00 07 4d 01 00 ae 00 00 00 1e 4d 01 00 85 00 00 00 cd 4d 01 00 2b 00 00 00	.L.......M.......M.......M..+...
1b80	53 4e 01 00 25 00 00 00 7f 4e 01 00 43 00 00 00 a5 4e 01 00 5a 00 00 00 e9 4e 01 00 24 00 00 00	SN..%....N..C....N..Z....N..$...
1ba0	44 4f 01 00 dc 00 00 00 69 4f 01 00 1c 00 00 00 46 50 01 00 0a 00 00 00 63 50 01 00 0b 00 00 00	DO......iO......FP......cP......
1bc0	6e 50 01 00 0f 00 00 00 7a 50 01 00 20 00 00 00 8a 50 01 00 5d 00 00 00 ab 50 01 00 06 00 00 00	nP......zP.......P..]....P......
1be0	09 51 01 00 08 00 00 00 10 51 01 00 08 00 00 00 19 51 01 00 17 00 00 00 22 51 01 00 f9 00 00 00	.Q.......Q.......Q......"Q......
1c00	3a 51 01 00 0c 01 00 00 34 52 01 00 96 00 00 00 41 53 01 00 78 00 00 00 d8 53 01 00 14 00 00 00	:Q......4R......AS..x....S......
1c20	51 54 01 00 0b 00 00 00 66 54 01 00 0a 00 00 00 72 54 01 00 4e 00 00 00 7d 54 01 00 c4 00 00 00	QT......fT......rT..N...}T......
1c40	cc 54 01 00 fa 00 00 00 91 55 01 00 d1 00 00 00 8c 56 01 00 12 01 00 00 5e 57 01 00 db 00 00 00	.T.......U.......V......^W......
1c60	71 58 01 00 07 00 00 00 4d 59 01 00 23 00 00 00 55 59 01 00 2e 00 00 00 79 59 01 00 27 00 00 00	qX......MY..#...UY......yY..'...
1c80	a8 59 01 00 3a 00 00 00 d0 59 01 00 2e 00 00 00 0b 5a 01 00 0f 00 00 00 3a 5a 01 00 48 00 00 00	.Y..:....Y.......Z......:Z..H...
1ca0	4a 5a 01 00 9f 00 00 00 93 5a 01 00 34 00 00 00 33 5b 01 00 08 00 00 00 68 5b 01 00 17 00 00 00	JZ.......Z..4...3[......h[......
1cc0	71 5b 01 00 bf 00 00 00 89 5b 01 00 85 00 00 00 49 5c 01 00 45 00 00 00 cf 5c 01 00 43 00 00 00	q[.......[......I\..E....\..C...
1ce0	15 5d 01 00 21 01 00 00 59 5d 01 00 d5 00 00 00 7b 5e 01 00 ab 00 00 00 51 5f 01 00 53 00 00 00	.]..!...Y]......{^......Q_..S...
1d00	fd 5f 01 00 78 00 00 00 51 60 01 00 bd 00 00 00 ca 60 01 00 56 00 00 00 88 61 01 00 1c 00 00 00	._..x...Q`.......`..V....a......
1d20	df 61 01 00 2e 00 00 00 fc 61 01 00 23 00 00 00 2b 62 01 00 04 00 00 00 4f 62 01 00 67 00 00 00	.a.......a..#...+b......Ob..g...
1d40	54 62 01 00 5a 00 00 00 bc 62 01 00 43 00 00 00 17 63 01 00 44 00 00 00 5b 63 01 00 08 00 00 00	Tb..Z....b..C....c..D...[c......
1d60	a0 63 01 00 27 00 00 00 a9 63 01 00 2e 00 00 00 d1 63 01 00 4d 00 00 00 00 64 01 00 69 00 00 00	.c..'....c.......c..M....d..i...
1d80	4e 64 01 00 83 00 00 00 b8 64 01 00 1d 00 00 00 3c 65 01 00 11 00 00 00 5a 65 01 00 03 00 00 00	Nd.......d......<e......Ze......
1da0	6c 65 01 00 01 02 00 00 70 65 01 00 ab 00 00 00 72 67 01 00 78 00 00 00 1e 68 01 00 83 00 00 00	le......pe......rg..x....h......
1dc0	97 68 01 00 e2 00 00 00 1b 69 01 00 09 00 00 00 fe 69 01 00 5f 03 00 00 08 6a 01 00 14 00 00 00	.h.......i.......i.._....j......
1de0	68 6d 01 00 06 00 00 00 7d 6d 01 00 0c 00 00 00 84 6d 01 00 0c 00 00 00 91 6d 01 00 0b 00 00 00	hm......}m.......m.......m......
1e00	9e 6d 01 00 17 00 00 00 aa 6d 01 00 0f 00 00 00 c2 6d 01 00 03 00 00 00 d2 6d 01 00 43 00 00 00	.m.......m.......m.......m..C...
1e20	d6 6d 01 00 67 00 00 00 1a 6e 01 00 d8 00 00 00 82 6e 01 00 90 00 00 00 5b 6f 01 00 88 00 00 00	.m..g....n.......n......[o......
1e40	ec 6f 01 00 ec 00 00 00 75 70 01 00 33 00 00 00 62 71 01 00 9f 00 00 00 96 71 01 00 98 00 00 00	.o......up..3...bq.......q......
1e60	36 72 01 00 bd 00 00 00 cf 72 01 00 99 00 00 00 8d 73 01 00 54 00 00 00 27 74 01 00 fd 00 00 00	6r.......r.......s..T...'t......
1e80	7c 74 01 00 60 00 00 00 7a 75 01 00 a3 00 00 00 db 75 01 00 4d 00 00 00 7f 76 01 00 5e 00 00 00	\|t..`...zu.......u..M....v..^...
1ea0	cd 76 01 00 44 00 00 00 2c 77 01 00 dc 00 00 00 71 77 01 00 ee 00 00 00 4e 78 01 00 75 00 00 00	.v..D...,w......qw......Nx..u...
1ec0	3d 79 01 00 67 00 00 00 b3 79 01 00 6b 00 00 00 1b 7a 01 00 5d 00 00 00 87 7a 01 00 9d 00 00 00	=y..g....y..k....z..]....z......
1ee0	e5 7a 01 00 98 00 00 00 83 7b 01 00 20 00 00 00 1c 7c 01 00 33 00 00 00 3d 7c 01 00 3a 00 00 00	.z.......{.......\|..3...=\|..:...
1f00	71 7c 01 00 14 00 00 00 ac 7c 01 00 15 00 00 00 c1 7c 01 00 1f 00 00 00 d7 7c 01 00 6a 01 00 00	q\|.......\|.......\|.......\|..j...
1f20	f7 7c 01 00 24 00 00 00 62 7e 01 00 10 00 00 00 87 7e 01 00 08 00 00 00 98 7e 01 00 23 00 00 00	.\|..$...b~.......~.......~..#...
1f40	a1 7e 01 00 24 00 00 00 c5 7e 01 00 23 00 00 00 ea 7e 01 00 23 00 00 00 0e 7f 01 00 7a 00 00 00	.~..$....~..#....~..#.......z...
1f60	32 7f 01 00 94 00 00 00 ad 7f 01 00 21 00 00 00 42 80 01 00 89 00 00 00 64 80 01 00 98 00 00 00	2...........!...B.......d.......
1f80	ee 80 01 00 14 00 00 00 87 81 01 00 23 00 00 00 9c 81 01 00 25 00 00 00 c0 81 01 00 2e 00 00 00	............#.......%...........
1fa0	e6 81 01 00 05 00 00 00 15 82 01 00 05 00 00 00 1b 82 01 00 11 00 00 00 21 82 01 00 3c 00 00 00	........................!...<...
1fc0	33 82 01 00 1d 00 00 00 70 82 01 00 25 00 00 00 8e 82 01 00 04 00 00 00 b4 82 01 00 0c 00 00 00	3.......p...%...................
1fe0	b9 82 01 00 0f 00 00 00 c6 82 01 00 04 00 00 00 d6 82 01 00 63 00 00 00 db 82 01 00 3c 00 00 00	....................c.......<...
2000	3f 83 01 00 40 00 00 00 7c 83 01 00 dc 02 00 00 bd 83 01 00 0b 00 00 00 9a 86 01 00 3c 00 00 00	?...@...\|...................<...
2020	a6 86 01 00 0a 00 00 00 e3 86 01 00 0e 00 00 00 ee 86 01 00 79 00 00 00 fd 86 01 00 5d 00 00 00	....................y.......]...
2040	77 87 01 00 0a 00 00 00 d5 87 01 00 16 00 00 00 e0 87 01 00 16 00 00 00 f7 87 01 00 0b 00 00 00	w...............................
2060	0e 88 01 00 14 00 00 00 1a 88 01 00 0f 00 00 00 2f 88 01 00 10 00 00 00 3f 88 01 00 18 00 00 00	................/.......?.......
2080	50 88 01 00 21 00 00 00 69 88 01 00 5a 00 00 00 8b 88 01 00 80 00 00 00 e6 88 01 00 44 00 00 00	P...!...i...Z...............D...
20a0	67 89 01 00 2b 00 00 00 ac 89 01 00 04 00 00 00 d8 89 01 00 40 00 00 00 dd 89 01 00 97 00 00 00	g...+...............@...........
20c0	1e 8a 01 00 42 00 00 00 b6 8a 01 00 5d 00 00 00 f9 8a 01 00 3a 00 00 00 57 8b 01 00 34 00 00 00	....B.......].......:...W...4...
20e0	92 8b 01 00 2e 00 00 00 c7 8b 01 00 26 00 00 00 f6 8b 01 00 58 00 00 00 1d 8c 01 00 34 00 00 00	............&.......X.......4...
2100	76 8c 01 00 35 00 00 00 ab 8c 01 00 13 00 00 00 e1 8c 01 00 19 00 00 00 f5 8c 01 00 85 00 00 00	v...5...........................
2120	0f 8d 01 00 19 00 00 00 95 8d 01 00 7a 00 00 00 af 8d 01 00 79 00 00 00 2a 8e 01 00 53 00 00 00	............z.......y...*...S...
2140	a4 8e 01 00 68 00 00 00 f8 8e 01 00 36 00 00 00 61 8f 01 00 32 00 00 00 98 8f 01 00 38 00 00 00	....h.......6...a...2.......8...
2160	cb 8f 01 00 36 00 00 00 04 90 01 00 38 00 00 00 3b 90 01 00 11 00 00 00 74 90 01 00 20 00 00 00	....6.......8...;.......t.......
2180	86 90 01 00 16 00 00 00 a7 90 01 00 38 01 00 00 be 90 01 00 69 00 00 00 f7 91 01 00 08 00 00 00	............8.......i...........
21a0	61 92 01 00 03 00 00 00 6a 92 01 00 72 00 00 00 6e 92 01 00 03 00 00 00 e1 92 01 00 6c 00 00 00	a.......j...r...n...........l...
21c0	e5 92 01 00 03 00 00 00 52 93 01 00 61 00 00 00 56 93 01 00 27 00 00 00 b8 93 01 00 0b 00 00 00	........R...a...V...'...........
21e0	e0 93 01 00 37 00 00 00 ec 93 01 00 25 00 00 00 24 94 01 00 6e 00 00 00 4a 94 01 00 b2 00 00 00	....7.......%...$...n...J.......
2200	b9 94 01 00 38 00 00 00 6c 95 01 00 0e 00 00 00 a5 95 01 00 0d 00 00 00 b4 95 01 00 0a 00 00 00	....8...l.......................
2220	c2 95 01 00 67 00 00 00 cd 95 01 00 0e 00 00 00 35 96 01 00 0b 00 00 00 44 96 01 00 02 00 00 00	....g...........5.......D.......
2240	50 96 01 00 0e 00 00 00 53 96 01 00 02 00 00 00 62 96 01 00 09 00 00 00 65 96 01 00 09 00 00 00	P.......S.......b.......e.......
2260	6f 96 01 00 42 01 00 00 79 96 01 00 0f 00 00 00 bc 97 01 00 47 00 00 00 cc 97 01 00 81 00 00 00	o...B...y...........G...........
2280	14 98 01 00 07 00 00 00 96 98 01 00 04 00 00 00 9e 98 01 00 46 00 00 00 a3 98 01 00 3c 00 00 00	....................F.......<...
22a0	ea 98 01 00 0f 00 00 00 27 99 01 00 96 00 00 00 37 99 01 00 7c 00 00 00 ce 99 01 00 09 00 00 00	........'.......7...\|...........
22c0	4b 9a 01 00 14 00 00 00 55 9a 01 00 09 00 00 00 6a 9a 01 00 1b 00 00 00 74 9a 01 00 2c 00 00 00	K.......U.......j.......t...,...
22e0	90 9a 01 00 1d 00 00 00 bd 9a 01 00 a8 00 00 00 db 9a 01 00 d7 00 00 00 84 9b 01 00 42 00 00 00	............................B...
2300	5c 9c 01 00 7d 00 00 00 9f 9c 01 00 77 00 00 00 1d 9d 01 00 49 00 00 00 95 9d 01 00 48 00 00 00	\...}.......w.......I.......H...
2320	df 9d 01 00 24 00 00 00 28 9e 01 00 9b 00 00 00 4d 9e 01 00 43 00 00 00 e9 9e 01 00 34 00 00 00	....$...(.......M...C.......4...
2340	2d 9f 01 00 18 00 00 00 62 9f 01 00 9e 00 00 00 7b 9f 01 00 92 00 00 00 1a a0 01 00 17 01 00 00	-.......b.......{...............
2360	ad a0 01 00 3f 00 00 00 c5 a1 01 00 10 00 00 00 05 a2 01 00 5a 00 00 00 16 a2 01 00 2d 00 00 00	....?...............Z.......-...
2380	71 a2 01 00 4b 00 00 00 9f a2 01 00 0f 00 00 00 eb a2 01 00 05 00 00 00 fb a2 01 00 40 00 00 00	q...K.......................@...
23a0	01 a3 01 00 13 00 00 00 42 a3 01 00 4b 02 00 00 56 a3 01 00 31 00 00 00 a2 a5 01 00 26 00 00 00	........B...K...V...1.......&...
23c0	d4 a5 01 00 19 00 00 00 fb a5 01 00 1f 00 00 00 15 a6 01 00 2d 00 00 00 35 a6 01 00 30 00 00 00	....................-...5...0...
23e0	63 a6 01 00 2a 00 00 00 94 a6 01 00 1c 00 00 00 bf a6 01 00 14 00 00 00 dc a6 01 00 16 00 00 00	c...*...........................
2400	f1 a6 01 00 09 00 00 00 08 a7 01 00 0e 00 00 00 12 a7 01 00 0f 00 00 00 21 a7 01 00 14 00 00 00	........................!.......
2420	31 a7 01 00 14 00 00 00 46 a7 01 00 14 00 00 00 5b a7 01 00 14 00 00 00 70 a7 01 00 07 00 00 00	1.......F.......[.......p.......
2440	85 a7 01 00 15 00 00 00 8d a7 01 00 e6 00 00 00 a3 a7 01 00 8e 00 00 00 8a a8 01 00 1d 00 00 00	................................
2460	19 a9 01 00 85 00 00 00 37 a9 01 00 cd 00 00 00 bd a9 01 00 b8 00 00 00 8b aa 01 00 75 00 00 00	........7...................u...
2480	44 ab 01 00 a7 00 00 00 ba ab 01 00 6d 00 00 00 62 ac 01 00 4d 00 00 00 d0 ac 01 00 be 00 00 00	D...........m...b...M...........
24a0	1e ad 01 00 41 00 00 00 dd ad 01 00 5d 00 00 00 1f ae 01 00 1e 00 00 00 7d ae 01 00 75 00 00 00	....A.......]...........}...u...
24c0	9c ae 01 00 1f 00 00 00 12 af 01 00 45 00 00 00 32 af 01 00 9d 00 00 00 78 af 01 00 28 00 00 00	............E...2.......x...(...
24e0	16 b0 01 00 5f 00 00 00 3f b0 01 00 41 00 00 00 9f b0 01 00 50 00 00 00 e1 b0 01 00 df 00 00 00	...._...?...A.......P...........
2500	32 b1 01 00 b7 00 00 00 12 b2 01 00 9b 00 00 00 ca b2 01 00 5b 00 00 00 66 b3 01 00 c3 00 00 00	2...................[...f.......
2520	c2 b3 01 00 7f 00 00 00 86 b4 01 00 94 00 00 00 06 b5 01 00 b4 00 00 00 9b b5 01 00 25 00 00 00	............................%...
2540	50 b6 01 00 a8 00 00 00 76 b6 01 00 50 00 00 00 1f b7 01 00 1f 00 00 00 70 b7 01 00 35 00 00 00	P.......v...P...........p...5...
2560	90 b7 01 00 3b 00 00 00 c6 b7 01 00 a8 00 00 00 02 b8 01 00 15 01 00 00 ab b8 01 00 ce 00 00 00	....;...........................
2580	c1 b9 01 00 a9 00 00 00 90 ba 01 00 24 00 00 00 3a bb 01 00 42 00 00 00 5f bb 01 00 8f 00 00 00	............$...:...B..._.......
25a0	a2 bb 01 00 95 00 00 00 32 bc 01 00 7b 00 00 00 c8 bc 01 00 76 00 00 00 44 bd 01 00 57 00 00 00	........2...{.......v...D...W...
25c0	bb bd 01 00 aa 00 00 00 13 be 01 00 f8 00 00 00 be be 01 00 2b 00 00 00 b7 bf 01 00 9e 01 00 00	....................+...........
25e0	e3 bf 01 00 46 00 00 00 82 c1 01 00 65 00 00 00 c9 c1 01 00 ad 00 00 00 2f c2 01 00 6c 00 00 00	....F.......e.........../...l...
2600	dd c2 01 00 9f 00 00 00 4a c3 01 00 b9 00 00 00 ea c3 01 00 60 00 00 00 a4 c4 01 00 56 00 00 00	........J...........`.......V...
2620	05 c5 01 00 28 00 00 00 5c c5 01 00 42 00 00 00 85 c5 01 00 7d 00 00 00 c8 c5 01 00 27 00 00 00	....(...\...B.......}.......'...
2640	46 c6 01 00 ac 00 00 00 6e c6 01 00 b1 00 00 00 1b c7 01 00 4b 00 00 00 cd c7 01 00 83 00 00 00	F.......n...........K...........
2660	19 c8 01 00 08 00 00 00 9d c8 01 00 8d 00 00 00 a6 c8 01 00 0a 00 00 00 34 c9 01 00 1b 00 00 00	........................4.......
2680	3f c9 01 00 17 00 00 00 5b c9 01 00 28 00 00 00 73 c9 01 00 e7 00 00 00 9c c9 01 00 d0 00 00 00	?.......[...(...s...............
26a0	84 ca 01 00 25 00 00 00 55 cb 01 00 83 00 00 00 7b cb 01 00 90 00 00 00 ff cb 01 00 05 00 00 00	....%...U.......{...............
26c0	90 cc 01 00 c9 00 00 00 96 cc 01 00 03 00 00 00 60 cd 01 00 12 00 00 00 64 cd 01 00 0c 00 00 00	................`.......d.......
26e0	77 cd 01 00 21 00 00 00 84 cd 01 00 21 00 00 00 a6 cd 01 00 21 00 00 00 c8 cd 01 00 21 00 00 00	w...!.......!.......!.......!...
2700	ea cd 01 00 26 00 00 00 0c ce 01 00 04 00 00 00 33 ce 01 00 b9 00 00 00 38 ce 01 00 3b 00 00 00	....&...........3.......8...;...
2720	f2 ce 01 00 0e 00 00 00 2e cf 01 00 18 00 00 00 3d cf 01 00 26 00 00 00 56 cf 01 00 23 00 00 00	................=...&...V...#...
2740	7d cf 01 00 23 00 00 00 a1 cf 01 00 0d 00 00 00 c5 cf 01 00 23 00 00 00 d3 cf 01 00 0f 00 00 00	}...#...............#...........
2760	f7 cf 01 00 24 00 00 00 07 d0 01 00 0f 00 00 00 2c d0 01 00 08 00 00 00 3c d0 01 00 08 00 00 00	....$...........,.......<.......
2780	45 d0 01 00 08 00 00 00 4e d0 01 00 08 00 00 00 57 d0 01 00 08 00 00 00 60 d0 01 00 09 00 00 00	E.......N.......W.......`.......
27a0	69 d0 01 00 08 00 00 00 73 d0 01 00 09 00 00 00 7c d0 01 00 08 00 00 00 86 d0 01 00 09 00 00 00	i.......s.......\|...............
27c0	8f d0 01 00 0c 00 00 00 99 d0 01 00 09 00 00 00 a6 d0 01 00 09 00 00 00 b0 d0 01 00 08 00 00 00	................................
27e0	ba d0 01 00 12 00 00 00 c3 d0 01 00 0f 00 00 00 d6 d0 01 00 0e 00 00 00 e6 d0 01 00 0d 00 00 00	................................
2800	f5 d0 01 00 1a 00 00 00 03 d1 01 00 16 00 00 00 1e d1 01 00 49 00 00 00 35 d1 01 00 82 00 00 00	....................I...5.......
2820	7f d1 01 00 1f 01 00 00 02 d2 01 00 40 00 00 00 22 d3 01 00 6f 00 00 00 63 d3 01 00 f4 00 00 00	............@..."...o...c.......
2840	d3 d3 01 00 3c 00 00 00 c8 d4 01 00 17 00 00 00 05 d5 01 00 6e 00 00 00 1d d5 01 00 67 00 00 00	....<...............n.......g...
2860	8c d5 01 00 8e 00 00 00 f4 d5 01 00 19 03 00 00 83 d6 01 00 cb 00 00 00 9d d9 01 00 bc 00 00 00	................................
2880	69 da 01 00 42 00 00 00 26 db 01 00 36 00 00 00 69 db 01 00 b9 00 00 00 a0 db 01 00 62 00 00 00	i...B...&...6...i...........b...
28a0	5a dc 01 00 ec 00 00 00 bd dc 01 00 d1 00 00 00 aa dd 01 00 7f 01 00 00 7c de 01 00 33 00 00 00	Z.......................\|...3...
28c0	fc df 01 00 09 00 00 00 30 e0 01 00 e7 00 00 00 3a e0 01 00 2c 00 00 00 22 e1 01 00 8d 00 00 00	........0.......:...,...".......
28e0	4f e1 01 00 70 00 00 00 dd e1 01 00 07 00 00 00 4e e2 01 00 5a 00 00 00 56 e2 01 00 46 00 00 00	O...p...........N...Z...V...F...
2900	b1 e2 01 00 3a 00 00 00 f8 e2 01 00 47 00 00 00 33 e3 01 00 9c 00 00 00 7b e3 01 00 5a 00 00 00	....:.......G...3.......{...Z...
2920	18 e4 01 00 13 00 00 00 73 e4 01 00 0c 00 00 00 87 e4 01 00 ab 00 00 00 94 e4 01 00 a3 01 00 00	........s.......................
2940	40 e5 01 00 33 00 00 00 e4 e6 01 00 26 00 00 00 18 e7 01 00 4b 00 00 00 3f e7 01 00 35 00 00 00	@...3.......&.......K...?...5...
2960	8b e7 01 00 2c 00 00 00 c1 e7 01 00 30 00 00 00 ee e7 01 00 3a 00 00 00 1f e8 01 00 13 00 00 00	....,.......0.......:...........
2980	5a e8 01 00 2d 00 00 00 6e e8 01 00 13 00 00 00 9c e8 01 00 1a 00 00 00 b0 e8 01 00 20 00 00 00	Z...-...n.......................
29a0	cb e8 01 00 1a 00 00 00 ec e8 01 00 21 00 00 00 07 e9 01 00 1a 00 00 00 29 e9 01 00 21 00 00 00	............!...........)...!...
29c0	44 e9 01 00 1e 00 00 00 66 e9 01 00 21 00 00 00 85 e9 01 00 15 00 00 00 a7 e9 01 00 04 00 00 00	D.......f...!...................
29e0	bd e9 01 00 84 00 00 00 c2 e9 01 00 3b 00 00 00 47 ea 01 00 0d 00 00 00 83 ea 01 00 2c 00 00 00	............;...G...........,...
2a00	91 ea 01 00 2e 00 00 00 be ea 01 00 1e 00 00 00 ed ea 01 00 3f 00 00 00 0c eb 01 00 2c 00 00 00	....................?.......,...
2a20	4c eb 01 00 28 00 00 00 79 eb 01 00 46 00 00 00 a2 eb 01 00 32 00 00 00 e9 eb 01 00 83 00 00 00	L...(...y...F.......2...........
2a40	1c ec 01 00 1b 00 00 00 a0 ec 01 00 1b 00 00 00 bc ec 01 00 12 00 00 00 d8 ec 01 00 14 00 00 00	................................
2a60	eb ec 01 00 13 00 00 00 00 ed 01 00 13 00 00 00 14 ed 01 00 13 00 00 00 28 ed 01 00 aa 00 00 00	........................(.......
2a80	3c ed 01 00 0c 00 00 00 e7 ed 01 00 41 00 00 00 f4 ed 01 00 41 00 00 00 36 ee 01 00 5c 00 00 00	<...........A.......A...6...\...
2aa0	78 ee 01 00 3a 00 00 00 d5 ee 01 00 44 00 00 00 10 ef 01 00 60 00 00 00 55 ef 01 00 45 00 00 00	x...:.......D.......`...U...E...
2ac0	b6 ef 01 00 3e 00 00 00 fc ef 01 00 40 00 00 00 3b f0 01 00 42 00 00 00 7c f0 01 00 44 00 00 00	....>.......@...;...B...\|...D...
2ae0	bf f0 01 00 3a 00 00 00 04 f1 01 00 3f 00 00 00 3f f1 01 00 47 00 00 00 7f f1 01 00 3e 00 00 00	....:.......?...?...G.......>...
2b00	c7 f1 01 00 38 00 00 00 06 f2 01 00 01 00 00 00 e5 01 00 00 73 01 00 00 00 00 00 00 e9 00 00 00	....8...............s...........
2b20	e5 00 00 00 00 00 00 00 00 00 00 00 47 02 00 00 00 00 00 00 00 00 00 00 c3 00 00 00 52 00 00 00	............G...............R...
2b40	86 02 00 00 f8 01 00 00 00 00 00 00 4d 02 00 00 9c 00 00 00 33 01 00 00 79 00 00 00 7f 02 00 00	............M.......3...y.......
2b60	00 00 00 00 50 00 00 00 f0 00 00 00 00 00 00 00 69 02 00 00 8d 01 00 00 ea 01 00 00 d3 01 00 00	....P...........i...............
2b80	24 01 00 00 00 00 00 00 dd 01 00 00 00 00 00 00 1f 01 00 00 00 00 00 00 00 00 00 00 ca 00 00 00	$...............................
2ba0	3b 02 00 00 80 00 00 00 00 00 00 00 92 01 00 00 bb 00 00 00 53 02 00 00 e7 00 00 00 00 00 00 00	;...................S...........
2bc0	96 02 00 00 9e 00 00 00 8f 00 00 00 00 00 00 00 00 00 00 00 1a 02 00 00 41 00 00 00 00 00 00 00	........................A.......
2be0	62 01 00 00 35 01 00 00 a4 00 00 00 58 02 00 00 44 01 00 00 14 02 00 00 00 00 00 00 38 00 00 00	b...5.......X...D...........8...
2c00	b0 01 00 00 c7 00 00 00 54 02 00 00 49 00 00 00 c1 01 00 00 94 02 00 00 03 00 00 00 99 02 00 00	........T...I...................
2c20	4d 00 00 00 00 00 00 00 16 00 00 00 7a 00 00 00 00 00 00 00 20 01 00 00 00 00 00 00 00 00 00 00	M...........z...................
2c40	00 00 00 00 22 01 00 00 1c 01 00 00 9b 01 00 00 00 00 00 00 5f 00 00 00 fb 01 00 00 25 02 00 00	...."..............._.......%...
2c60	00 00 00 00 b3 01 00 00 00 00 00 00 b7 00 00 00 b5 01 00 00 7f 01 00 00 8a 01 00 00 2f 00 00 00	............................/...
2c80	00 00 00 00 2e 02 00 00 89 02 00 00 47 01 00 00 d0 01 00 00 11 02 00 00 d3 00 00 00 5a 01 00 00	............G...............Z...
2ca0	39 02 00 00 00 00 00 00 68 00 00 00 1d 02 00 00 5b 00 00 00 00 00 00 00 75 01 00 00 ff 00 00 00	9.......h.......[.......u.......
2cc0	1e 02 00 00 a2 02 00 00 66 01 00 00 1f 00 00 00 b6 01 00 00 00 00 00 00 12 00 00 00 1a 00 00 00	........f.......................
2ce0	d8 01 00 00 51 00 00 00 5c 00 00 00 1e 00 00 00 67 02 00 00 17 02 00 00 00 00 00 00 00 00 00 00	....Q...\.......g...............
2d00	72 02 00 00 71 01 00 00 01 02 00 00 00 00 00 00 fb 00 00 00 54 00 00 00 69 00 00 00 bd 00 00 00	r...q...............T...i.......
2d20	40 02 00 00 9f 00 00 00 00 00 00 00 46 02 00 00 00 00 00 00 71 00 00 00 00 00 00 00 00 00 00 00	@...........F.......q...........
2d40	00 00 00 00 00 00 00 00 2b 01 00 00 c0 01 00 00 64 02 00 00 9a 01 00 00 66 00 00 00 37 00 00 00	........+.......d.......f...7...
2d60	86 00 00 00 43 02 00 00 0d 01 00 00 45 02 00 00 00 00 00 00 41 02 00 00 36 00 00 00 7d 02 00 00	....C.......E.......A...6...}...
2d80	a6 02 00 00 1d 01 00 00 18 02 00 00 d8 00 00 00 bf 01 00 00 97 00 00 00 5d 02 00 00 00 00 00 00	........................].......
2da0	28 00 00 00 26 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 16 02 00 00 00 00 00 00 78 02 00 00	(...&.......................x...
2dc0	c6 00 00 00 0e 02 00 00 9c 02 00 00 20 00 00 00 bb 01 00 00 05 02 00 00 00 00 00 00 8d 00 00 00	................................
2de0	00 00 00 00 e4 01 00 00 0a 01 00 00 22 00 00 00 c8 01 00 00 0f 02 00 00 00 00 00 00 00 00 00 00	............"...................
2e00	46 01 00 00 00 00 00 00 35 02 00 00 00 00 00 00 45 01 00 00 12 01 00 00 a6 01 00 00 b9 00 00 00	F.......5.......E...............
2e20	a5 02 00 00 f8 00 00 00 3c 01 00 00 00 00 00 00 00 00 00 00 89 00 00 00 8f 01 00 00 c4 01 00 00	........<.......................
2e40	a8 01 00 00 0b 01 00 00 7e 02 00 00 00 00 00 00 ab 02 00 00 2e 01 00 00 43 00 00 00 42 00 00 00	........~...............C...B...
2e60	00 00 00 00 9f 01 00 00 fe 01 00 00 23 01 00 00 ea 00 00 00 74 00 00 00 00 00 00 00 f4 01 00 00	............#.......t...........
2e80	00 00 00 00 00 00 00 00 b3 00 00 00 2d 02 00 00 76 00 00 00 81 02 00 00 cd 01 00 00 f4 00 00 00	............-...v...............
2ea0	fe 00 00 00 13 02 00 00 e4 00 00 00 4c 01 00 00 00 00 00 00 00 00 00 00 07 01 00 00 dc 01 00 00	............L...................
2ec0	00 00 00 00 da 00 00 00 e3 00 00 00 00 00 00 00 7e 01 00 00 8c 01 00 00 e1 00 00 00 a3 01 00 00	................~...............
2ee0	6f 02 00 00 20 02 00 00 76 01 00 00 55 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 94 01 00 00	o.......v...U...................
2f00	17 01 00 00 a4 01 00 00 00 00 00 00 65 00 00 00 92 00 00 00 95 02 00 00 00 00 00 00 3d 01 00 00	............e...............=...
2f20	01 01 00 00 14 00 00 00 55 00 00 00 79 02 00 00 38 01 00 00 27 00 00 00 11 00 00 00 00 00 00 00	........U...y...8...'...........
2f40	e6 01 00 00 0d 00 00 00 a2 00 00 00 5e 01 00 00 be 00 00 00 52 01 00 00 00 00 00 00 00 00 00 00	............^.......R...........
2f60	7c 02 00 00 39 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 84 01 00 00 dd 00 00 00 a4 02 00 00	\|...9...........................
2f80	e1 01 00 00 1d 00 00 00 c9 01 00 00 e6 00 00 00 26 01 00 00 78 00 00 00 6c 02 00 00 96 00 00 00	................&...x...l.......
2fa0	1b 00 00 00 bc 01 00 00 00 00 00 00 c5 00 00 00 40 00 00 00 87 02 00 00 ba 01 00 00 00 00 00 00	................@...............
2fc0	e0 01 00 00 7b 02 00 00 aa 00 00 00 8f 02 00 00 de 01 00 00 00 00 00 00 9d 00 00 00 8a 02 00 00	....{...........................
2fe0	61 01 00 00 3d 02 00 00 9b 02 00 00 13 01 00 00 43 01 00 00 00 00 00 00 00 00 00 00 6c 01 00 00	a...=...........C...........l...
3000	7e 00 00 00 2b 02 00 00 af 01 00 00 c5 01 00 00 00 01 00 00 00 00 00 00 f1 01 00 00 49 01 00 00	~...+.......................I...
3020	00 00 00 00 5f 01 00 00 57 01 00 00 c0 00 00 00 08 02 00 00 15 00 00 00 24 00 00 00 00 00 00 00	...._...W...............$.......
3040	00 00 00 00 00 00 00 00 f5 01 00 00 ae 02 00 00 5e 00 00 00 e2 01 00 00 70 00 00 00 39 00 00 00	................^.......p...9...
3060	4d 01 00 00 59 02 00 00 91 00 00 00 22 02 00 00 00 00 00 00 7d 01 00 00 88 01 00 00 5e 02 00 00	M...Y.......".......}.......^...
3080	af 02 00 00 0e 00 00 00 cf 01 00 00 15 02 00 00 00 00 00 00 fa 00 00 00 a0 01 00 00 74 01 00 00	............................t...
30a0	a1 01 00 00 35 00 00 00 61 02 00 00 b1 00 00 00 f7 01 00 00 00 00 00 00 a9 00 00 00 eb 00 00 00	....5...a.......................
30c0	cf 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 36 02 00 00 9b 00 00 00 b7 01 00 00 50 02 00 00	................6...........P...
30e0	ce 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 18 00 00 00 f9 00 00 00 53 01 00 00 7a 01 00 00	........................S...z...
3100	00 00 00 00 00 00 00 00 0a 02 00 00 d1 01 00 00 64 01 00 00 63 02 00 00 f7 00 00 00 0c 01 00 00	................d...c...........
3120	46 00 00 00 1c 00 00 00 f3 01 00 00 5b 02 00 00 00 00 00 00 2a 00 00 00 d9 01 00 00 42 02 00 00	F...........[.......*.......B...
3140	00 00 00 00 00 00 00 00 51 01 00 00 5d 01 00 00 cc 01 00 00 c7 01 00 00 cb 00 00 00 a3 00 00 00	........Q...]...................
3160	04 02 00 00 f9 01 00 00 6f 00 00 00 67 00 00 00 06 00 00 00 04 01 00 00 12 02 00 00 44 02 00 00	........o...g...............D...
3180	02 01 00 00 9d 01 00 00 c8 00 00 00 bc 00 00 00 37 02 00 00 8c 02 00 00 e8 00 00 00 00 00 00 00	................7...............
31a0	0c 00 00 00 00 00 00 00 fc 01 00 00 00 00 00 00 32 01 00 00 ff 01 00 00 2c 00 00 00 2d 00 00 00	................2.......,...-...
31c0	ad 00 00 00 f3 00 00 00 f0 01 00 00 19 01 00 00 14 01 00 00 00 00 00 00 a1 00 00 00 00 00 00 00	................................
31e0	30 02 00 00 83 02 00 00 84 00 00 00 90 00 00 00 31 02 00 00 00 00 00 00 36 01 00 00 00 00 00 00	0...............1.......6.......
3200	56 00 00 00 4f 02 00 00 45 00 00 00 65 02 00 00 9e 01 00 00 40 01 00 00 cc 00 00 00 00 00 00 00	V...O...E...e.......@...........
3220	00 00 00 00 00 00 00 00 33 00 00 00 5f 02 00 00 48 02 00 00 24 02 00 00 4a 01 00 00 00 00 00 00	........3..._...H...$...J.......
3240	96 01 00 00 00 00 00 00 00 00 00 00 b4 01 00 00 75 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00	................u...............
3260	98 02 00 00 00 00 00 00 ee 00 00 00 17 00 00 00 fd 01 00 00 00 00 00 00 91 01 00 00 ab 01 00 00	................................
3280	98 01 00 00 a1 02 00 00 70 02 00 00 00 00 00 00 95 01 00 00 1e 01 00 00 27 01 00 00 1c 02 00 00	........p...............'.......
32a0	aa 02 00 00 ef 01 00 00 8e 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 87 00 00 00	................................
32c0	b0 00 00 00 00 00 00 00 3e 01 00 00 09 01 00 00 85 01 00 00 87 01 00 00 99 01 00 00 00 00 00 00	........>.......................
32e0	ad 02 00 00 70 01 00 00 bd 01 00 00 0e 01 00 00 a8 00 00 00 00 00 00 00 e2 00 00 00 80 02 00 00	....p...........................
3300	7c 00 00 00 f5 00 00 00 00 00 00 00 89 01 00 00 10 02 00 00 59 00 00 00 6b 02 00 00 88 02 00 00	\|...................Y...k.......
3320	00 00 00 00 00 00 00 00 30 01 00 00 8e 00 00 00 84 02 00 00 00 00 00 00 73 00 00 00 ec 00 00 00	........0...............s.......
3340	00 00 00 00 5c 01 00 00 5b 01 00 00 d6 00 00 00 00 00 00 00 6b 01 00 00 f6 01 00 00 8c 00 00 00	....\...[...........k...........
3360	8e 02 00 00 0f 01 00 00 1b 01 00 00 00 00 00 00 fd 00 00 00 37 01 00 00 00 00 00 00 ec 01 00 00	....................7...........
3380	62 02 00 00 5a 00 00 00 80 01 00 00 a0 02 00 00 00 00 00 00 00 00 00 00 4b 02 00 00 82 01 00 00	b...Z...................K.......
33a0	00 00 00 00 66 02 00 00 03 02 00 00 63 01 00 00 00 00 00 00 ba 00 00 00 5d 00 00 00 00 00 00 00	....f.......c...........].......
33c0	03 01 00 00 4f 01 00 00 59 01 00 00 7b 01 00 00 18 01 00 00 a9 02 00 00 19 00 00 00 95 00 00 00	....O...Y...{...................
33e0	00 00 00 00 6a 00 00 00 00 00 00 00 61 00 00 00 00 00 00 00 6b 00 00 00 31 00 00 00 b5 00 00 00	....j.......a.......k...1.......
3400	52 02 00 00 2f 02 00 00 69 01 00 00 47 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 86 01 00 00	R.../...i...G...................
3420	00 00 00 00 00 00 00 00 4a 02 00 00 b6 00 00 00 76 02 00 00 6a 01 00 00 4e 02 00 00 8d 02 00 00	........J.......v...j...N.......
3440	eb 01 00 00 00 00 00 00 38 02 00 00 05 00 00 00 2e 00 00 00 d5 00 00 00 a2 01 00 00 b4 00 00 00	........8.......................
3460	00 00 00 00 00 00 00 00 4e 01 00 00 0a 00 00 00 f2 00 00 00 85 00 00 00 8b 02 00 00 00 00 00 00	........N.......................
3480	94 00 00 00 48 00 00 00 79 01 00 00 cd 00 00 00 ee 01 00 00 00 00 00 00 a3 02 00 00 2c 02 00 00	....H...y...................,...
34a0	ef 00 00 00 ac 01 00 00 c1 00 00 00 b9 01 00 00 d7 01 00 00 55 01 00 00 b8 01 00 00 00 00 00 00	....................U...........
34c0	2b 00 00 00 00 00 00 00 6d 02 00 00 00 00 00 00 3a 02 00 00 b8 00 00 00 00 00 00 00 00 00 00 00	+.......m.......:...............
34e0	00 00 00 00 a0 00 00 00 00 00 00 00 28 01 00 00 88 00 00 00 bf 00 00 00 00 00 00 00 00 00 00 00	............(...................
3500	aa 01 00 00 d4 01 00 00 00 00 00 00 09 00 00 00 4b 01 00 00 10 01 00 00 da 01 00 00 05 01 00 00	................K...............
3520	6a 02 00 00 71 02 00 00 98 00 00 00 3d 00 00 00 00 00 00 00 00 00 00 00 81 00 00 00 00 00 00 00	j...q.......=...................
3540	00 00 00 00 00 00 00 00 32 02 00 00 db 00 00 00 9c 01 00 00 00 00 00 00 0b 02 00 00 60 00 00 00	........2...................`...
3560	75 02 00 00 00 00 00 00 83 01 00 00 57 02 00 00 58 00 00 00 6c 00 00 00 00 00 00 00 00 00 00 00	u...........W...X...l...........
3580	07 02 00 00 ac 02 00 00 2a 02 00 00 c2 01 00 00 00 00 00 00 68 02 00 00 00 00 00 00 1a 01 00 00	........*...........h...........
35a0	00 00 00 00 1f 02 00 00 00 00 00 00 7f 00 00 00 49 02 00 00 00 00 00 00 a9 01 00 00 a7 02 00 00	................I...............
35c0	9f 02 00 00 00 00 00 00 00 00 00 00 00 02 00 00 00 00 00 00 2d 01 00 00 4c 00 00 00 00 00 00 00	....................-...L.......
35e0	3b 01 00 00 d1 00 00 00 00 00 00 00 72 00 00 00 e0 00 00 00 00 00 00 00 4c 02 00 00 d9 00 00 00	;...........r...........L.......
3600	82 00 00 00 8b 00 00 00 26 00 00 00 02 02 00 00 00 00 00 00 58 01 00 00 d0 00 00 00 00 00 00 00	........&...........X...........
3620	00 00 00 00 00 00 00 00 f6 00 00 00 90 01 00 00 13 00 00 00 00 00 00 00 15 01 00 00 29 01 00 00	............................)...
3640	08 01 00 00 56 02 00 00 00 00 00 00 06 02 00 00 9d 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00	....V...........................
3660	81 01 00 00 9a 00 00 00 e3 01 00 00 cb 01 00 00 25 01 00 00 50 01 00 00 e9 01 00 00 6e 02 00 00	................%...P.......n...
3680	00 00 00 00 f2 01 00 00 c4 00 00 00 7a 02 00 00 00 00 00 00 c9 00 00 00 29 00 00 00 91 02 00 00	............z...........).......
36a0	e8 01 00 00 3a 00 00 00 d5 01 00 00 27 02 00 00 00 00 00 00 00 00 00 00 33 02 00 00 92 02 00 00	....:.......'...........3.......
36c0	08 00 00 00 82 02 00 00 29 02 00 00 19 02 00 00 48 01 00 00 3c 02 00 00 5c 02 00 00 60 01 00 00	........).......H...<...\...`...
36e0	00 00 00 00 ad 01 00 00 25 00 00 00 83 00 00 00 00 00 00 00 4a 00 00 00 00 00 00 00 7b 00 00 00	........%...........J.......{...
3700	8a 00 00 00 ab 00 00 00 d7 00 00 00 00 00 00 00 dc 00 00 00 00 00 00 00 10 00 00 00 57 00 00 00	............................W...
3720	34 00 00 00 09 02 00 00 00 00 00 00 9e 02 00 00 a7 01 00 00 00 00 00 00 16 01 00 00 73 02 00 00	4...........................s...
3740	3e 00 00 00 00 00 00 00 ac 00 00 00 2c 01 00 00 8b 01 00 00 65 01 00 00 af 00 00 00 00 00 00 00	>...........,.......e...........
3760	02 00 00 00 f1 00 00 00 00 00 00 00 9a 02 00 00 00 00 00 00 04 00 00 00 3e 02 00 00 7d 00 00 00	........................>...}...
3780	11 01 00 00 93 00 00 00 51 02 00 00 1b 02 00 00 00 00 00 00 de 00 00 00 41 01 00 00 68 01 00 00	........Q...............A...h...
37a0	00 00 00 00 00 00 00 00 77 01 00 00 6e 01 00 00 60 02 00 00 ed 00 00 00 0f 00 00 00 00 00 00 00	........w...n...`...............
37c0	df 00 00 00 00 00 00 00 ae 01 00 00 00 00 00 00 07 00 00 00 64 00 00 00 6e 00 00 00 ae 00 00 00	....................d...n.......
37e0	00 00 00 00 db 01 00 00 74 02 00 00 4f 00 00 00 c3 01 00 00 3c 00 00 00 4b 00 00 00 63 00 00 00	........t...O.......<...K...c...
3800	23 00 00 00 3b 00 00 00 00 00 00 00 4e 00 00 00 85 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00	#...;.......N...................
3820	62 00 00 00 b1 01 00 00 ca 01 00 00 0b 00 00 00 67 01 00 00 d2 01 00 00 3a 01 00 00 c6 01 00 00	b...............g.......:.......
3840	d6 01 00 00 fa 01 00 00 93 01 00 00 56 01 00 00 78 01 00 00 d4 00 00 00 00 00 00 00 6f 01 00 00	............V...x...........o...
3860	a6 00 00 00 32 00 00 00 21 00 00 00 3f 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 a8 02 00 00	....2...!...?...................
3880	df 01 00 00 00 00 00 00 00 00 00 00 be 01 00 00 3f 01 00 00 b2 01 00 00 2f 01 00 00 a7 00 00 00	................?......./.......
38a0	34 01 00 00 ce 00 00 00 99 00 00 00 77 00 00 00 00 00 00 00 90 02 00 00 23 02 00 00 54 01 00 00	4...........w...........#...T...
38c0	00 00 00 00 00 00 00 00 00 00 00 00 a5 01 00 00 93 02 00 00 2a 01 00 00 00 00 00 00 00 00 00 00	....................*...........
38e0	7c 01 00 00 21 01 00 00 c2 00 00 00 3f 02 00 00 e7 01 00 00 ed 01 00 00 0d 02 00 00 b2 00 00 00	\|...!.......?...................
3900	d2 00 00 00 34 02 00 00 00 00 00 00 0c 02 00 00 28 02 00 00 77 02 00 00 fc 00 00 00 53 00 00 00	....4...........(...w.......S...
3920	44 00 00 00 31 01 00 00 a5 00 00 00 00 00 00 00 72 01 00 00 97 01 00 00 00 00 00 00 00 00 00 00	D...1...........r...............
3940	97 02 00 00 6d 00 00 00 5a 02 00 00 42 01 00 00 00 00 00 00 6d 01 00 00 06 01 00 00 00 00 00 00	....m...Z...B.......m...........
3960	21 02 00 00 30 00 00 00 00 27 27 49 74 20 69 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 6e 6f	!...0....''It.is.important.to.no
3980	74 65 2c 20 74 68 61 74 20 79 6f 75 20 64 6f 20 6e 6f 74 20 77 61 6e 74 20 74 6f 20 61 64 64 20	te,.that.you.do.not.want.to.add.
39a0	6c 6f 67 67 69 6e 67 20 74 6f 20 74 68 65 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 74 61 74 65	logging.to.the.established.state
39c0	20 72 75 6c 65 20 61 73 20 79 6f 75 20 77 69 6c 6c 20 62 65 20 6c 6f 67 67 69 6e 67 20 62 6f 74	.rule.as.you.will.be.logging.bot
39e0	68 20 74 68 65 20 69 6e 62 6f 75 6e 64 20 61 6e 64 20 6f 75 74 62 6f 75 6e 64 20 70 61 63 6b 65	h.the.inbound.and.outbound.packe
3a00	74 73 20 66 6f 72 20 65 61 63 68 20 73 65 73 73 69 6f 6e 20 69 6e 73 74 65 61 64 20 6f 66 20 6a	ts.for.each.session.instead.of.j
3a20	75 73 74 20 74 68 65 20 69 6e 69 74 69 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 73 65 73 73 69 6f	ust.the.initiation.of.the.sessio
3a40	6e 2e 20 59 6f 75 72 20 6c 6f 67 73 20 77 69 6c 6c 20 62 65 20 6d 61 73 73 69 76 65 20 69 6e 20	n..Your.logs.will.be.massive.in.
3a60	61 20 76 65 72 79 20 73 68 6f 72 74 20 70 65 72 69 6f 64 20 6f 66 20 74 69 6d 65 2e 27 27 00 2a	a.very.short.period.of.time.''.*
3a80	2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 41 64 64 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 72	Important*:.Add.an.interface.r
3aa0	6f 75 74 65 20 74 6f 20 72 65 61 63 68 20 41 7a 75 72 65 27 73 20 42 47 50 20 6c 69 73 74 65 6e	oute.to.reach.Azure's.BGP.listen
3ac0	65 72 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 41 64 64 20 61 6e 20 69 6e 74 65 72 66 61	er.Important:.Add.an.interfa
3ae0	63 65 20 72 6f 75 74 65 20 74 6f 20 72 65 61 63 68 20 62 6f 74 68 20 41 7a 75 72 65 27 73 20 42	ce.route.to.reach.both.Azure's.B
3b00	47 50 20 6c 69 73 74 65 6e 65 72 73 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73 61	GP.listeners.Important:.Disa
3b20	62 6c 65 20 63 6f 6e 6e 65 63 74 65 64 20 63 68 65 63 6b 20 5c 00 2a 2a 49 6d 70 6f 72 74 61 6e	ble.connected.check.\.**Importan
3b40	74 2a 2a 3a 20 44 69 73 61 62 6c 65 20 63 6f 6e 6e 65 63 74 65 64 20 63 68 65 63 6b 2c 20 6f 74	t**:.Disable.connected.check,.ot
3b60	68 65 72 77 69 73 65 20 74 68 65 20 72 6f 75 74 65 73 20 6c 65 61 72 6e 65 64 20 66 72 6f 6d 20	herwise.the.routes.learned.from.
3b80	41 7a 75 72 65 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 69 6d 70 6f 72 74 65 64 20 69 6e 74 6f 20	Azure.will.not.be.imported.into.
3ba0	74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 2e 00 2a 2a 4e 4f 54 45 3a 2a 2a 20 56 79 4f	the.routing.table..NOTE:.VyO
3bc0	53 20 52 6f 75 74 65 72 20 28 74 65 73 74 65 64 20 77 69 74 68 20 56 79 4f 53 20 31 2e 34 2d 72	S.Router.(tested.with.VyOS.1.4-r
3be0	6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 29 20 e2 80 93 20 20 54 68 65 20 63 6f	olling-202110310317)......The.co
3c00	6e 66 69 67 75 72 61 74 69 6f 6e 73 20 62 65 6c 6f 77 20 61 72 65 20 73 70 65 63 69 66 69 63 61	nfigurations.below.are.specifica
3c20	6c 6c 79 20 66 6f 72 20 56 79 4f 53 20 31 2e 34 2e 78 2e 00 2a 2a 4e 6f 74 65 3a 2a 2a 20 41 74	lly.for.VyOS.1.4.x..Note:.At
3c40	20 74 68 65 20 6d 6f 6d 65 6e 74 2c 20 74 72 61 63 65 20 6d 70 6c 73 20 64 6f 65 73 6e e2 80 99	.the.moment,.trace.mpls.doesn...
3c60	74 20 73 68 6f 77 20 6c 61 62 65 6c 73 2f 70 61 74 68 73 2e 20 53 6f 20 77 65 e2 80 99 6c 6c 20	t.show.labels/paths..So.we...ll.
3c80	73 65 65 20 2a 20 2a 20 2a 20 20 66 6f 72 20 74 68 65 20 74 72 61 6e 73 69 74 20 72 6f 75 74 65	see...*..for.the.transit.route
3ca0	72 73 20 6f 66 20 74 68 65 20 6d 70 6c 73 20 62 61 63 6b 62 6f 6e 65 2e 00 2a 2a 54 68 69 73 20	rs.of.the.mpls.backbone..**This.
3cc0	73 70 65 63 69 66 69 63 20 65 78 61 6d 70 6c 65 20 69 73 20 66 6f 72 20 61 20 72 6f 75 74 65 72	specific.example.is.for.a.router
3ce0	20 6f 6e 20 61 20 73 74 69 63 6b 2c 20 62 75 74 20 69 73 20 76 65 72 79 20 65 61 73 69 6c 79 20	.on.a.stick,.but.is.very.easily.
3d00	61 64 61 70 74 65 64 20 66 6f 72 20 68 6f 77 65 76 65 72 20 6d 61 6e 79 20 4e 49 43 73 20 79 6f	adapted.for.however.many.NICs.yo
3d20	75 20 68 61 76 65 2a 2a 3a 00 2a 2a 56 69 72 74 75 61 6c 20 52 6f 75 74 69 6e 67 20 61 6e 64 20	u.have:.Virtual.Routing.and.
3d40	46 6f 72 77 61 72 64 69 6e 67 2a 2a 20 69 73 20 61 20 74 65 63 68 6e 6f 6c 6f 67 79 20 74 68 61	Forwarding**.is.a.technology.tha
3d60	74 20 61 6c 6c 6f 77 20 6d 75 6c 74 69 70 6c 65 20 69 6e 73 74 61 6e 63 65 20 6f 66 20 61 20 72	t.allow.multiple.instance.of.a.r
3d80	6f 75 74 69 6e 67 20 74 61 62 6c 65 20 74 6f 20 65 78 69 73 74 20 77 69 74 68 69 6e 20 61 20 73	outing.table.to.exist.within.a.s
3da0	69 6e 67 6c 65 20 64 65 76 69 63 65 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 6b 65 79 20 61 73 70	ingle.device..One.of.the.key.asp
3dc0	65 63 74 20 6f 66 20 2a 2a 56 52 46 73 2a 2a 20 69 73 20 74 68 61 74 20 64 6f 20 6e 6f 74 20 73	ect.of.VRFs.is.that.do.not.s
3de0	68 61 72 65 20 74 68 65 20 73 61 6d 65 20 72 6f 75 74 65 73 20 6f 72 20 69 6e 74 65 72 66 61 63	hare.the.same.routes.or.interfac
3e00	65 73 2c 20 74 68 65 72 65 66 6f 72 65 20 70 61 63 6b 65 74 73 20 61 72 65 20 66 6f 72 77 61 72	es,.therefore.packets.are.forwar
3e20	64 65 64 20 62 65 74 77 65 65 6e 20 69 6e 74 65 72 66 61 63 65 73 20 74 68 61 74 20 62 65 6c 6f	ded.between.interfaces.that.belo
3e40	6e 67 20 74 6f 20 74 68 65 20 73 61 6d 65 20 56 52 46 20 6f 6e 6c 79 2e 00 2a 2a 6f 66 66 73 69	ng.to.the.same.VRF.only..**offsi
3e60	74 65 31 2a 2a 00 2a 2a 72 6f 75 74 65 72 31 2a 2a 00 2a 2a 72 6f 75 74 65 72 32 2a 2a 00 31 30	te1.router1.router2**.10
3e80	2e 30 2e 30 2e 30 2f 31 36 00 31 30 2e 30 2e 30 2e 34 00 31 30 2e 30 2e 30 2e 34 2c 31 30 2e 30	.0.0.0/16.10.0.0.4.10.0.0.4,10.0
3ea0	2e 30 2e 35 00 31 30 2e 31 2e 31 2e 30 2f 33 30 00 31 30 2e 31 30 2e 30 2e 30 2f 31 36 00 31 30	.0.5.10.1.1.0/30.10.10.0.0/16.10
3ec0	2e 31 30 2e 30 2e 35 00 31 30 2e 32 2e 32 2e 30 2f 33 30 00 31 30 2e 35 30 2e 35 30 2e 31 3a 31	.10.0.5.10.2.2.0/30.10.50.50.1:1
3ee0	30 31 31 00 31 30 2e 36 30 2e 36 30 2e 31 3a 31 30 31 31 00 31 30 2e 38 30 2e 38 30 2e 31 3a 31	011.10.60.60.1:1011.10.80.80.1:1
3f00	30 31 31 00 31 30 30 3a 20 27 50 75 62 6c 69 63 27 20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67	011.100:.'Public'.network,.using
3f20	20 6f 75 72 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2e 00 31 37 32	.our.203.0.113.0/24.network..172
3f40	2e 31 36 2e 32 2e 30 2f 33 30 00 31 37 32 2e 31 37 2e 31 2e 32 20 43 53 30 20 2d 3e 20 43 53 34	.16.2.0/30.172.17.1.2.CS0.->.CS4
3f60	00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 30 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34	.172.17.1.2/24.CS0.172.17.1.2/24
3f80	20 43 53 30 20 2d 20 3e 20 43 53 34 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 34 20 2d	.CS0.-.>.CS4.172.17.1.2/24.CS4.-
3fa0	20 3e 20 43 53 35 00 31 37 32 2e 31 37 2e 31 2e 33 20 43 53 30 20 2d 3e 20 43 53 35 00 31 37 32	.>.CS5.172.17.1.3.CS0.->.CS5.172
3fc0	2e 31 37 2e 31 2e 34 20 43 53 30 20 2d 3e 20 43 53 36 00 31 37 32 2e 31 37 2e 31 2e 34 30 20 43	.17.1.4.CS0.->.CS6.172.17.1.40.C
3fe0	53 30 20 62 79 20 64 65 66 61 75 6c 74 00 31 39 32 2e 31 36 38 2e 31 30 30 2e 31 30 2f 32 30 30	S0.by.default.192.168.100.10/200
4000	31 3a 30 44 42 38 3a 30 3a 41 41 41 41 3a 3a 31 30 20 69 73 20 74 68 65 20 61 64 6d 69 6e 69 73	1:0DB8:0:AAAA::10.is.the.adminis
4020	74 72 61 74 6f 72 27 73 20 63 6f 6e 73 6f 6c 65 2e 20 49 74 20 63 61 6e 20 53 53 48 20 74 6f 20	trator's.console..It.can.SSH.to.
4040	56 79 4f 53 2e 00 31 39 32 2e 31 36 38 2e 32 30 30 2e 32 30 30 2f 32 30 30 31 3a 30 44 42 38 3a	VyOS..192.168.200.200/2001:0DB8:
4060	30 3a 42 42 42 42 3a 3a 32 30 30 20 69 73 20 61 6e 20 69 6e 74 65 72 6e 61 6c 2f 65 78 74 65 72	0:BBBB::200.is.an.internal/exter
4080	6e 61 6c 20 44 4e 53 2c 20 77 65 62 20 61 6e 64 20 6d 61 69 6c 20 28 53 4d 54 50 2f 49 4d 41 50	nal.DNS,.web.and.mail.(SMTP/IMAP
40a0	29 20 73 65 72 76 65 72 2e 00 31 39 32 2e 31 36 38 2e 33 2e 30 2f 33 30 00 31 39 38 2e 35 31 2e	).server..192.168.3.0/30.198.51.
40c0	31 30 30 2e 33 00 32 20 70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20 6f 6e 20 65 61 63 68 20	100.3.2.private.subnets.on.each.
40e0	73 69 74 65 2e 00 32 20 78 20 52 6f 75 74 65 20 72 65 66 6c 65 63 74 6f 72 73 20 28 56 79 4f 53	site..2.x.Route.reflectors.(VyOS
4100	2d 52 52 78 29 00 32 30 30 31 3a 64 62 38 3a 3a 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 32	-RRx).2001:db8::/127.2001:db8::2
4120	2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 34 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 36	/127.2001:db8::4/127.2001:db8::6
4140	2f 31 32 37 00 32 30 31 3a 20 27 49 6e 74 65 72 6e 61 6c 27 20 6e 65 74 77 6f 72 6b 2c 20 75 73	/127.201:.'Internal'.network,.us
4160	69 6e 67 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 00 32 30 33 2e 30 2e 31 31 33 2e 32 00	ing.10.200.201.0/24.203.0.113.2.
4180	32 30 33 2e 30 2e 31 31 33 2e 33 00 33 20 78 20 43 75 73 74 6f 6d 65 72 20 45 64 67 65 20 28 56	203.0.113.3.3.x.Customer.Edge.(V
41a0	79 4f 53 2d 43 45 78 29 00 33 20 78 20 50 72 6f 76 69 64 65 72 20 45 64 67 65 20 28 56 79 4f 73	yOS-CEx).3.x.Provider.Edge.(VyOs
41c0	2d 50 45 78 29 00 34 20 78 20 50 72 6f 76 69 64 65 72 20 72 6f 75 74 65 72 73 20 28 56 79 4f 53	-PEx).4.x.Provider.routers.(VyOS
41e0	2d 50 78 29 00 35 30 3a 20 55 70 73 74 72 65 61 6d 2c 20 75 73 69 6e 67 20 74 68 65 20 31 39 32	-Px).50:.Upstream,.using.the.192
4200	2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 20 61 6c 6c 6f 63 61 74 65 64 20 62 79 20 74	.0.2.0/24.network.allocated.by.t
4220	68 65 6d 2e 00 36 34 34 39 36 3a 31 00 36 34 34 39 36 3a 31 30 30 00 36 34 34 39 36 3a 32 00 36	hem..64496:1.64496:100.64496:2.6
4240	34 34 39 36 3a 35 30 00 36 34 34 39 39 00 36 35 30 33 35 3a 31 30 31 31 00 36 35 30 33 35 3a 31	4496:50.64499.65035:1011.65035:1
4260	30 31 31 20 36 35 30 33 35 3a 31 30 33 30 00 36 35 30 33 35 3a 31 30 33 30 00 36 35 35 34 30 00	011.65035:1030.65035:1030.65540.
4280	41 20 62 72 69 65 66 20 65 78 63 75 72 73 69 6f 6e 20 69 6e 74 6f 20 56 52 46 73 3a 20 54 68 69	A.brief.excursion.into.VRFs:.Thi
42a0	73 20 68 61 73 20 62 65 65 6e 20 6f 6e 65 20 6f 66 20 74 68 65 20 6c 6f 6e 67 65 73 74 2d 73 74	s.has.been.one.of.the.longest-st
42c0	61 6e 64 69 6e 67 20 66 65 61 74 75 72 65 20 72 65 71 75 65 73 74 73 20 6f 66 20 56 79 4f 53 20	anding.feature.requests.of.VyOS.
42e0	28 64 61 74 69 6e 67 20 62 61 63 6b 20 74 6f 20 32 30 31 36 29 20 77 68 69 63 68 20 63 61 6e 20	(dating.back.to.2016).which.can.
4300	62 65 20 64 65 73 63 72 69 62 65 64 20 61 73 20 22 61 20 56 4c 41 4e 20 66 6f 72 20 6c 61 79 65	be.described.as."a.VLAN.for.laye
4320	72 20 32 20 69 73 20 77 68 61 74 20 61 20 56 52 46 20 69 73 20 66 6f 72 20 6c 61 79 65 72 20 33	r.2.is.what.a.VRF.is.for.layer.3
4340	22 2e 20 57 69 74 68 20 56 52 46 73 2c 20 61 20 72 6f 75 74 65 72 2f 73 79 73 74 65 6d 20 63 61	"..With.VRFs,.a.router/system.ca
4360	6e 20 68 6f 6c 64 20 6d 75 6c 74 69 70 6c 65 2c 20 69 73 6f 6c 61 74 65 64 20 72 6f 75 74 69 6e	n.hold.multiple,.isolated.routin
4380	67 20 74 61 62 6c 65 73 20 6f 6e 20 74 68 65 20 73 61 6d 65 20 73 79 73 74 65 6d 2e 20 49 66 20	g.tables.on.the.same.system..If.
43a0	79 6f 75 20 77 6f 6e 64 65 72 20 77 68 61 74 27 73 20 74 68 65 20 64 69 66 66 65 72 65 6e 63 65	you.wonder.what's.the.difference
43c0	20 62 65 74 77 65 65 6e 20 6d 75 6c 74 69 70 6c 65 20 74 61 62 6c 65 73 20 74 68 61 74 20 70 65	.between.multiple.tables.that.pe
43e0	6f 70 6c 65 20 75 73 65 64 20 66 6f 72 20 70 6f 6c 69 63 79 2d 62 61 73 65 64 20 72 6f 75 74 69	ople.used.for.policy-based.routi
4400	6e 67 20 73 69 6e 63 65 20 66 6f 72 65 76 65 72 2c 20 69 74 27 73 20 74 68 61 74 20 61 20 56 52	ng.since.forever,.it's.that.a.VR
4420	46 20 61 6c 73 6f 20 69 73 6f 6c 61 74 65 73 20 63 6f 6e 6e 65 63 74 65 64 20 72 6f 75 74 65 73	F.also.isolates.connected.routes
4440	20 72 61 74 68 65 72 20 74 68 61 6e 20 6a 75 73 74 20 73 74 61 74 69 63 20 61 6e 64 20 64 79 6e	.rather.than.just.static.and.dyn
4460	61 6d 69 63 61 6c 6c 79 20 6c 65 61 72 6e 65 64 20 72 6f 75 74 65 73 2c 20 73 6f 20 69 74 20 61	amically.learned.routes,.so.it.a
4480	6c 6c 6f 77 73 20 4e 49 43 73 20 69 6e 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 74 6f 20	llows.NICs.in.different.VRFs.to.
44a0	75 73 65 20 63 6f 6e 66 6c 69 63 74 69 6e 67 20 6e 65 74 77 6f 72 6b 20 72 61 6e 67 65 73 20 77	use.conflicting.network.ranges.w
44c0	69 74 68 6f 75 74 20 69 73 73 75 65 73 2e 00 41 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 72 65 73 6f	ithout.issues..A.connection.reso
44e0	75 72 63 65 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 41 7a 75 72 65 20 6c 69 6e 6b 69 6e 67 20 74	urce.deployed.in.Azure.linking.t
4500	68 65 20 41 7a 75 72 65 20 56 4e 65 74 20 67 61 74 65 77 61 79 20 61 6e 64 20 74 68 65 20 6c 6f	he.Azure.VNet.gateway.and.the.lo
4520	63 61 6c 20 6e 65 74 77 6f 72 6b 20 67 61 74 65 77 61 79 20 72 65 70 72 65 73 65 6e 74 69 6e 67	cal.network.gateway.representing
4540	20 74 68 65 20 56 79 6f 73 20 64 65 76 69 63 65 2e 00 41 20 68 6f 73 74 20 60 60 76 79 6f 73 2d	.the.Vyos.device..A.host.``vyos-
4560	6f 6f 62 6d 60 60 20 77 69 6c 6c 20 75 73 65 20 61 73 20 61 20 73 73 68 20 70 72 6f 78 79 2e 20	oobm``.will.use.as.a.ssh.proxy..
4580	54 68 69 73 20 68 6f 73 74 20 69 73 20 6a 75 73 74 20 6e 65 63 65 73 73 61 72 79 20 66 6f 72 20	This.host.is.just.necessary.for.
45a0	74 68 65 20 4c 61 62 20 74 65 73 74 2e 00 41 20 6b 65 79 20 70 6f 69 6e 74 20 74 6f 20 75 6e 64	the.Lab.test..A.key.point.to.und
45c0	65 72 73 74 61 6e 64 20 69 73 20 74 68 61 74 20 69 66 20 77 65 20 6e 65 65 64 20 74 77 6f 20 56	erstand.is.that.if.we.need.two.V
45e0	52 46 73 20 74 6f 20 63 6f 6d 6d 75 6e 69 63 61 74 65 20 62 65 74 77 65 65 6e 20 65 61 63 68 20	RFs.to.communicate.between.each.
4600	6f 74 68 65 72 20 45 58 50 4f 52 54 20 72 74 20 66 72 6f 6d 20 56 52 46 31 20 68 61 73 20 74 6f	other.EXPORT.rt.from.VRF1.has.to
4620	20 62 65 20 69 6e 20 74 68 65 20 49 4d 50 4f 52 54 20 72 74 20 6c 69 73 74 20 66 72 6f 6d 20 56	.be.in.the.IMPORT.rt.list.from.V
4640	52 46 32 2e 20 42 75 74 20 74 68 69 73 20 69 73 20 6f 6e 6c 79 20 69 6e 20 4f 4e 45 20 64 69 72	RF2..But.this.is.only.in.ONE.dir
4660	65 63 74 69 6f 6e 2c 20 74 6f 20 63 6f 6d 70 6c 65 74 65 20 74 68 65 20 63 6f 6d 6d 75 6e 69 63	ection,.to.complete.the.communic
4680	61 74 69 6f 6e 20 74 68 65 20 45 58 50 4f 52 54 20 72 74 20 66 72 6f 6d 20 56 52 46 32 20 68 61	ation.the.EXPORT.rt.from.VRF2.ha
46a0	73 20 74 6f 20 62 65 20 69 6e 20 74 68 65 20 49 4d 50 4f 52 54 20 72 74 20 6c 69 73 74 20 66 72	s.to.be.in.the.IMPORT.rt.list.fr
46c0	6f 6d 20 56 52 46 31 2e 00 41 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 67 61 74 65 77 61 79	om.VRF1..A.local.network.gateway
46e0	20 64 65 70 6c 6f 79 65 64 20 69 6e 20 41 7a 75 72 65 20 72 65 70 72 65 73 65 6e 74 69 6e 67 20	.deployed.in.Azure.representing.
4700	74 68 65 20 56 79 6f 73 20 64 65 76 69 63 65 2c 20 6d 61 74 63 68 69 6e 67 20 74 68 65 20 62 65	the.Vyos.device,.matching.the.be
4720	6c 6f 77 20 56 79 6f 73 20 73 65 74 74 69 6e 67 73 20 65 78 63 65 70 74 20 66 6f 72 20 61 64 64	low.Vyos.settings.except.for.add
4740	72 65 73 73 20 73 70 61 63 65 2c 20 77 68 69 63 68 20 6f 6e 6c 79 20 72 65 71 75 69 72 65 73 20	ress.space,.which.only.requires.
4760	74 68 65 20 56 79 6f 73 20 70 72 69 76 61 74 65 20 49 50 2c 20 69 6e 20 74 68 69 73 20 65 78 61	the.Vyos.private.IP,.in.this.exa
4780	6d 70 6c 65 20 31 30 2e 31 30 2e 30 2e 35 2f 33 32 00 41 20 70 61 69 72 20 6f 66 20 41 7a 75 72	mple.10.10.0.5/32.A.pair.of.Azur
47a0	65 20 56 4e 65 74 20 47 61 74 65 77 61 79 73 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 61 63 74 69	e.VNet.Gateways.deployed.in.acti
47c0	76 65 2d 61 63 74 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 42 47 50	ve-active.configuration.with.BGP
47e0	20 65 6e 61 62 6c 65 64 2e 00 41 20 70 61 69 72 20 6f 66 20 41 7a 75 72 65 20 56 4e 65 74 20 47	.enabled..A.pair.of.Azure.VNet.G
4800	61 74 65 77 61 79 73 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 61 63 74 69 76 65 2d 70 61 73 73 69	ateways.deployed.in.active-passi
4820	76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 42 47 50 20 65 6e 61 62 6c 65	ve.configuration.with.BGP.enable
4840	64 2e 00 41 20 70 75 62 6c 69 63 2c 20 72 6f 75 74 61 62 6c 65 20 49 50 76 34 20 61 64 64 72 65	d..A.public,.routable.IPv4.addre
4860	73 73 2e 20 54 68 69 73 20 64 6f 65 73 20 6e 6f 74 20 6e 65 63 65 73 73 61 72 69 6c 79 20 6e 65	ss..This.does.not.necessarily.ne
4880	65 64 20 74 6f 20 62 65 20 73 74 61 74 69 63 2c 20 62 75 74 20 79 6f 75 20 77 69 6c 6c 20 6e 65	ed.to.be.static,.but.you.will.ne
48a0	65 64 20 74 6f 20 75 70 64 61 74 65 20 74 68 65 20 74 75 6e 6e 65 6c 20 65 6e 64 70 6f 69 6e 74	ed.to.update.the.tunnel.endpoint
48c0	20 77 68 65 6e 2f 69 66 20 79 6f 75 72 20 49 50 20 61 64 64 72 65 73 73 20 63 68 61 6e 67 65 73	.when/if.your.IP.address.changes
48e0	2c 20 77 68 69 63 68 20 63 61 6e 20 62 65 20 64 6f 6e 65 20 77 69 74 68 20 61 20 73 63 72 69 70	,.which.can.be.done.with.a.scrip
4900	74 20 61 6e 64 20 61 20 73 63 68 65 64 75 6c 65 64 20 74 61 73 6b 2e 00 41 20 72 75 6c 65 20 6f	t.and.a.scheduled.task..A.rule.o
4920	72 64 65 72 20 66 6f 72 20 70 72 69 6f 72 69 74 69 7a 69 6e 67 20 74 72 61 66 66 69 63 20 69 73	rder.for.prioritizing.traffic.is
4940	20 75 73 65 66 75 6c 20 69 6e 20 73 63 65 6e 61 72 69 6f 73 20 77 68 65 72 65 20 74 68 65 20 73	.useful.in.scenarios.where.the.s
4960	65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 20 68 61 73 20 61 20 6c 6f 77 65 72 20 73 70 65 65 64 20	econdary.link.has.a.lower.speed.
4980	61 6e 64 20 73 68 6f 75 6c 64 20 6f 6e 6c 79 20 63 61 72 72 79 20 68 69 67 68 20 70 72 69 6f 72	and.should.only.carry.high.prior
49a0	69 74 79 20 74 72 61 66 66 69 63 2e 20 49 74 20 69 73 20 61 73 73 75 6d 65 64 20 66 6f 72 20 74	ity.traffic..It.is.assumed.for.t
49c0	68 69 73 20 65 78 61 6d 70 6c 65 20 74 68 61 74 20 65 74 68 31 20 69 73 20 63 6f 6e 6e 65 63 74	his.example.that.eth1.is.connect
49e0	65 64 20 74 6f 20 61 20 73 6c 6f 77 65 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 68 61 6e 20 65	ed.to.a.slower.connection.than.e
4a00	74 68 30 20 61 6e 64 20 73 68 6f 75 6c 64 20 70 72 69 6f 72 69 74 69 7a 65 20 56 6f 49 50 20 74	th0.and.should.prioritize.VoIP.t
4a20	72 61 66 66 69 63 2e 00 41 20 73 69 6d 70 6c 65 20 73 6f 6c 75 74 69 6f 6e 20 63 6f 75 6c 64 20	raffic..A.simple.solution.could.
4a40	62 65 20 75 73 69 6e 67 20 64 69 66 66 65 72 65 6e 74 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65	be.using.different.routing.table
4a60	73 2c 20 6f 72 20 56 52 46 73 20 66 6f 72 20 61 6c 6c 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 20	s,.or.VRFs.for.all.the.networks.
4a80	73 6f 20 77 65 20 63 61 6e 20 6b 65 65 70 20 74 68 65 20 72 6f 75 74 69 6e 67 20 72 65 73 74 72	so.we.can.keep.the.routing.restr
4aa0	69 63 74 69 6f 6e 73 2e 20 42 75 74 20 66 6f 72 20 75 73 20 74 6f 20 72 6f 75 74 65 20 62 65 74	ictions..But.for.us.to.route.bet
4ac0	77 65 65 6e 20 74 68 65 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 77 65 20 77 6f 75 6c 64	ween.the.different.VRFs.we.would
4ae0	20 6e 65 65 64 20 61 20 63 61 62 6c 65 20 6f 72 20 61 20 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65	.need.a.cable.or.a.logical.conne
4b00	63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 3a 00 41 44 44 52 45 53	ction.between.each.other:.ADDRES
4b20	53 31 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 34 20 73 6f 75 72 63 65 20 31 37 32	S10.change.CS0.->.CS4.source.172
4b40	2e 31 37 2e 31 2e 32 2f 33 32 00 41 44 44 52 45 53 53 32 30 20 63 68 61 6e 67 65 20 43 53 30 20	.17.1.2/32.ADDRESS20.change.CS0.
4b60	2d 3e 20 43 53 35 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 33 2f 33 32 00 41 44 44 52	->.CS5.source.172.17.1.3/32.ADDR
4b80	45 53 53 33 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 36 20 73 6f 75 72 63 65 20 31	ESS30.change.CS0.->.CS6.source.1
4ba0	37 32 2e 31 37 2e 31 2e 34 2f 33 32 00 41 63 63 6f 75 6e 74 20 61 74 20 68 74 74 70 73 3a 2f 2f	72.17.1.4/32.Account.at.https://
4bc0	77 77 77 2e 74 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 00 41 63 74 69 76 65 20 44 69 72	www.tunnelbroker.net/.Active.Dir
4be0	65 63 74 6f 72 79 20 6f 6e 20 57 69 6e 64 6f 77 73 20 73 65 72 76 65 72 00 41 64 64 20 28 74 65	ectory.on.Windows.server.Add.(te
4c00	6d 70 6f 72 61 72 79 29 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 00 41 64 64 20 61 6c 6c 20 74	mporary).default.route.Add.all.t
4c20	68 65 20 68 6f 73 74 73 20 6f 66 20 56 79 4f 53 3a 00 41 64 64 20 67 65 6e 65 72 61 6c 20 76 61	he.hosts.of.VyOS:.Add.general.va
4c40	72 69 61 62 6c 65 73 3a 00 41 64 64 20 74 68 65 20 4c 44 41 50 20 70 6c 75 67 69 6e 20 63 6f 6e	riables:.Add.the.LDAP.plugin.con
4c60	66 69 67 75 72 61 74 69 6f 6e 20 66 69 6c 65 20 60 2f 63 6f 6e 66 69 67 2f 61 75 74 68 2f 6c 64	figuration.file.`/config/auth/ld
4c80	61 70 2d 61 75 74 68 2e 63 6f 6e 66 69 67 60 00 41 64 64 20 74 68 65 20 73 69 6d 70 6c 65 20 70	ap-auth.config`.Add.the.simple.p
4ca0	6c 61 79 62 6f 6f 6b 20 77 69 74 68 20 74 68 65 20 74 61 73 6b 73 20 66 6f 72 20 65 61 63 68 20	laybook.with.the.tasks.for.each.
4cc0	72 6f 75 74 65 72 3a 00 41 64 64 69 6e 67 20 61 20 72 75 6c 65 20 66 6f 72 20 74 68 65 20 73 65	router:.Adding.a.rule.for.the.se
4ce0	63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65 00 41 64 76 65 72 74 69 73 65 20 63 6f 6e 6e 65 63 74	cond.interface.Advertise.connect
4d00	65 64 20 72 6f 75 74 65 73 00 41 66 74 65 72 20 61 6c 6c 20 69 73 20 64 6f 6e 65 20 61 6e 64 20	ed.routes.After.all.is.done.and.
4d20	63 6f 6d 6d 69 74 2c 20 6c 65 74 27 73 20 74 61 6b 65 20 61 20 6c 6f 6f 6b 20 69 66 20 74 68 65	commit,.let's.take.a.look.if.the
4d40	20 57 69 72 65 67 75 61 72 64 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 75 70 20 61 6e 64 20 72	.Wireguard.interface.is.up.and.r
4d60	75 6e 6e 69 6e 67 2e 00 41 66 74 65 72 20 63 6f 6e 66 69 67 75 72 65 64 20 61 6c 6c 20 74 68 65	unning..After.configured.all.the
4d80	20 56 52 46 73 20 69 6e 76 6f 6c 76 65 64 20 69 6e 20 74 68 69 73 20 74 6f 70 6f 6c 6f 67 79 20	.VRFs.involved.in.this.topology.
4da0	77 65 20 74 61 6b 65 20 61 20 64 65 65 70 65 72 20 6c 6f 6f 6b 20 61 74 20 62 6f 74 68 20 42 47	we.take.a.deeper.look.at.both.BG
4dc0	50 20 61 6e 64 20 52 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 66 6f 72 20 74 68 65 20 56 52 46 20	P.and.Routing.table.for.the.VRF.
4de0	4c 41 4e 31 00 41 66 74 65 72 20 73 6f 6d 65 20 74 65 73 74 69 6e 67 2c 20 77 65 20 63 61 6e 20	LAN1.After.some.testing,.we.can.
4e00	63 68 65 63 6b 20 69 70 73 65 63 20 73 74 61 74 75 73 2c 20 61 6e 64 20 63 6f 75 6e 74 65 72 20	check.ipsec.status,.and.counter.
4e20	6f 6e 20 65 76 65 72 79 20 74 75 6e 6e 65 6c 3a 00 41 66 74 65 72 20 74 68 65 20 69 6e 74 65 72	on.every.tunnel:.After.the.inter
4e40	66 61 63 65 20 65 74 68 30 20 6f 6e 20 72 6f 75 74 65 72 20 56 79 4f 53 33 00 41 66 74 65 72 20	face.eth0.on.router.VyOS3.After.
4e60	74 68 69 73 2c 20 77 65 20 6e 65 65 64 20 74 68 65 20 44 48 43 50 2d 53 65 72 76 65 72 20 61 6e	this,.we.need.the.DHCP-Server.an
4e80	64 20 52 65 6c 61 79 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 20 54 6f 20 67 65 74 20 61 20	d.Relay.configuration..To.get.a.
4ea0	74 65 73 74 61 62 6c 65 20 72 65 73 75 6c 74 2c 20 77 65 20 6a 75 73 74 20 68 61 76 65 20 6f 6e	testable.result,.we.just.have.on
4ec0	65 20 49 50 20 69 6e 20 74 68 65 20 44 48 43 50 20 72 61 6e 67 65 2e 20 45 78 70 61 6e 64 20 69	e.IP.in.the.DHCP.range..Expand.i
4ee0	74 20 61 73 20 79 6f 75 20 6e 65 65 64 20 69 74 2e 00 41 66 74 65 72 20 79 6f 75 20 68 61 76 65	t.as.you.need.it..After.you.have
4f00	20 65 61 63 68 20 70 75 62 6c 69 63 20 6b 65 79 2e 20 54 68 65 20 77 69 72 65 67 75 61 72 64 20	.each.public.key..The.wireguard.
4f20	69 6e 74 65 72 66 61 63 65 73 20 63 61 6e 20 62 65 20 73 65 74 75 70 2e 00 41 6c 6c 20 6f 75 74	interfaces.can.be.setup..All.out
4f40	67 6f 69 6e 67 20 70 61 63 6b 65 74 73 20 61 72 65 20 61 73 73 69 67 6e 65 64 20 74 68 65 20 73	going.packets.are.assigned.the.s
4f60	6f 75 72 63 65 20 61 64 64 72 65 73 73 20 6f 66 20 74 68 65 20 61 73 73 69 67 6e 65 64 20 69 6e	ource.address.of.the.assigned.in
4f80	74 65 72 66 61 63 65 20 28 53 4e 41 54 29 2e 00 41 6c 6c 20 74 72 61 66 66 69 63 20 63 6f 6d 69	terface.(SNAT)..All.traffic.comi
4fa0	6e 67 20 69 6e 20 74 68 72 6f 75 67 68 20 65 74 68 32 20 69 73 20 62 61 6c 61 6e 63 65 64 20 62	ng.in.through.eth2.is.balanced.b
4fc0	65 74 77 65 65 6e 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 6f 6e 20 74 68 65 20 72 6f 75 74	etween.eth0.and.eth1.on.the.rout
4fe0	65 72 2e 00 41 6c 6c 6f 77 20 44 48 43 50 76 36 20 70 61 63 6b 65 74 73 20 66 6f 72 20 72 6f 75	er..Allow.DHCPv6.packets.for.rou
5000	74 65 72 00 41 6c 6c 6f 77 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 20 6f	ter.Allow.access.to.the.router.o
5020	6e 6c 79 20 66 72 6f 6d 20 74 72 75 73 74 65 64 20 6e 65 74 77 6f 72 6b 73 2e 00 41 6c 6c 6f 77	nly.from.trusted.networks..Allow
5040	20 61 6c 6c 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20 74 72 61	.all.established.and.related.tra
5060	66 66 69 63 20 66 6f 72 20 72 6f 75 74 65 72 20 61 6e 64 20 4c 41 4e 00 41 6c 6c 6f 77 20 61 6c	ffic.for.router.and.LAN.Allow.al
5080	6c 20 69 63 6d 70 76 36 20 70 61 63 6b 65 74 73 20 66 6f 72 20 72 6f 75 74 65 72 20 61 6e 64 20	l.icmpv6.packets.for.router.and.
50a0	4c 41 4e 00 41 6c 6c 6f 77 20 61 6c 6c 20 6e 65 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 66 72	LAN.Allow.all.new.connections.fr
50c0	6f 6d 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 73 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69	om.local.subnets..Allow.connecti
50e0	6f 6e 73 20 66 72 6f 6d 20 4c 41 4e 73 20 74 6f 20 4c 41 4e 73 20 74 68 72 6f 75 67 68 74 20 74	ons.from.LANs.to.LANs.throught.t
5100	68 65 20 74 75 6e 6e 65 6c 2e 00 41 6c 6c 6f 77 20 64 6e 73 20 72 65 71 75 65 73 74 73 20 6f 6e	he.tunnel..Allow.dns.requests.on
5120	6c 79 20 6f 6e 6c 79 20 66 6f 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 73 2e 00 41 6c 6c 6f	ly.only.for.local.networks..Allo
5140	77 20 69 63 6d 70 20 6f 6e 20 61 6c 6c 20 69 6e 74 65 72 66 61 63 65 73 2e 00 41 6c 73 6f 20 77	w.icmp.on.all.interfaces..Also.w
5160	65 20 63 61 6e 20 76 65 72 69 66 79 20 68 6f 77 20 50 45 20 64 65 76 69 63 65 73 20 72 65 63 65	e.can.verify.how.PE.devices.rece
5180	69 76 65 73 20 56 50 4e 76 34 20 6e 65 74 77 6f 72 6b 73 20 66 72 6f 6d 20 74 68 65 20 52 52 73	ives.VPNv4.networks.from.the.RRs
51a0	20 61 6e 64 20 69 6e 73 74 61 6c 6c 69 6e 67 20 74 68 65 6d 20 74 6f 20 74 68 65 20 73 70 65 63	.and.installing.them.to.the.spec
51c0	69 66 69 63 20 63 75 73 74 6f 6d 65 72 20 56 52 46 73 3a 00 41 6c 73 6f 2c 20 77 65 20 63 61 6e	ific.customer.VRFs:.Also,.we.can
51e0	20 63 68 65 63 6b 20 66 69 72 65 77 61 6c 6c 20 63 6f 75 6e 74 65 72 73 3a 00 41 6e 20 4c 33 56	.check.firewall.counters:.An.L3V
5200	50 4e 20 63 6f 6e 73 69 73 74 73 20 6f 66 20 6d 75 6c 74 69 70 6c 65 20 61 63 63 65 73 73 20 6c	PN.consists.of.multiple.access.l
5220	69 6e 6b 73 2c 20 6d 75 6c 74 69 70 6c 65 20 56 50 4e 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 66	inks,.multiple.VPN.routing.and.f
5240	6f 72 77 61 72 64 69 6e 67 20 28 56 52 46 29 20 74 61 62 6c 65 73 2c 20 61 6e 64 20 6d 75 6c 74	orwarding.(VRF).tables,.and.mult
5260	69 70 6c 65 20 4d 50 4c 53 20 70 61 74 68 73 20 6f 72 20 6d 75 6c 74 69 70 6c 65 20 50 32 4d 50	iple.MPLS.paths.or.multiple.P2MP
5280	20 4c 53 50 73 2e 20 41 6e 20 4c 33 56 50 4e 20 63 61 6e 20 62 65 20 63 6f 6e 66 69 67 75 72 65	.LSPs..An.L3VPN.can.be.configure
52a0	64 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 77 6f 20 6f 72 20 6d 6f 72 65 20 63 75 73 74 6f 6d 65	d.to.connect.two.or.more.custome
52c0	72 20 73 69 74 65 73 2e 20 49 6e 20 68 75 62 2d 61 6e 64 2d 73 70 6f 6b 65 20 4d 50 4c 53 20 4c	r.sites..In.hub-and-spoke.MPLS.L
52e0	33 56 50 4e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 73 2c 20 74 68 65 20 73 70 6f 6b 65 20 72 6f 75	3VPN.environments,.the.spoke.rou
5300	74 65 72 73 20 6e 65 65 64 20 74 6f 20 68 61 76 65 20 75 6e 69 71 75 65 20 52 6f 75 74 65 20 44	ters.need.to.have.unique.Route.D
5320	69 73 74 69 6e 67 75 69 73 68 65 72 73 20 28 52 44 73 29 2e 20 49 6e 20 6f 72 64 65 72 20 74 6f	istinguishers.(RDs)..In.order.to
5340	20 75 73 65 20 74 68 65 20 68 75 62 20 73 69 74 65 20 61 73 20 61 20 74 72 61 6e 73 69 74 20 70	.use.the.hub.site.as.a.transit.p
5360	6f 69 6e 74 20 66 6f 72 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 6e 20 73 75 63 68 20 61 6e	oint.for.connectivity.in.such.an
5380	20 65 6e 76 69 72 6f 6e 6d 65 6e 74 2c 20 74 68 65 20 73 70 6f 6b 65 20 73 69 74 65 73 20 65 78	.environment,.the.spoke.sites.ex
53a0	70 6f 72 74 20 74 68 65 69 72 20 72 6f 75 74 65 73 20 74 6f 20 74 68 65 20 68 75 62 2e 20 53 70	port.their.routes.to.the.hub..Sp
53c0	6f 6b 65 73 20 63 61 6e 20 74 61 6c 6b 20 74 6f 20 68 75 62 73 2c 20 62 75 74 20 6e 65 76 65 72	okes.can.talk.to.hubs,.but.never
53e0	20 68 61 76 65 20 64 69 72 65 63 74 20 70 61 74 68 73 20 74 6f 20 6f 74 68 65 72 20 73 70 6f 6b	.have.direct.paths.to.other.spok
5400	65 73 2e 20 41 6c 6c 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 73 70 6f 6b 65 73 20 69	es..All.traffic.between.spokes.i
5420	73 20 63 6f 6e 74 72 6f 6c 6c 65 64 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 6f 76 65 72 20	s.controlled.and.delivered.over.
5440	74 68 65 20 68 75 62 20 73 69 74 65 2e 00 41 6e 64 20 4e 41 54 20 43 6f 6e 66 69 67 75 72 61 74	the.hub.site..And.NAT.Configurat
5460	69 6f 6e 3a 00 41 6e 64 20 70 69 6e 67 20 74 68 65 20 42 72 61 6e 63 68 20 50 43 20 66 72 6f 6d	ion:.And.ping.the.Branch.PC.from
5480	20 79 6f 75 72 20 63 65 6e 74 72 61 6c 20 72 6f 75 74 65 72 20 74 6f 20 63 68 65 63 6b 20 74 68	.your.central.router.to.check.th
54a0	65 20 72 65 73 70 6f 6e 73 65 2e 00 41 6e 64 20 73 68 6f 77 20 61 6c 6c 20 44 48 43 50 20 4c 65	e.response..And.show.all.DHCP.Le
54c0	61 73 65 73 00 41 6e 64 20 74 68 65 20 60 60 63 6c 69 65 6e 74 60 60 20 74 6f 20 72 65 63 65 69	ases.And.the.``client``.to.recei
54e0	76 65 20 61 6e 20 49 50 76 36 20 61 64 64 72 65 73 73 20 77 69 74 68 20 73 74 61 74 65 6c 65 73	ve.an.IPv6.address.with.stateles
5500	73 20 61 75 74 6f 63 6f 6e 66 69 67 2e 00 41 6e 73 69 62 6c 65 20 45 78 61 6d 70 6c 65 20 74 6f	s.autoconfig..Ansible.Example.to
5520	70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 41 6e 73 69 62 6c 65 20 65 78 61 6d 70 6c 65 00 41 6e 79	pology.image.Ansible.example.Any
5540	20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 72 65 6c 61 74 65 64 20 74 6f 20 61 20 56 52 46 20 69 73	.information.related.to.a.VRF.is
5560	20 6e 6f 74 20 65 78 63 68 61 6e 67 65 64 20 62 65 74 77 65 65 6e 20 64 65 76 69 63 65 73 20 2d	.not.exchanged.between.devices.-
5580	6f 72 20 69 6e 20 74 68 65 20 73 61 6d 65 20 64 65 76 69 63 65 2d 20 62 79 20 64 65 66 61 75 6c	or.in.the.same.device-.by.defaul
55a0	74 2c 20 74 68 69 73 20 69 73 20 61 20 74 65 63 68 6e 69 71 75 65 20 63 61 6c 6c 65 64 20 2a 2a	t,.this.is.a.technique.called.**
55c0	56 52 46 2d 4c 69 74 65 2a 2a 2e 00 41 70 70 65 6e 64 69 78 2d 41 00 41 70 70 65 6e 64 69 78 2d	VRF-Lite**..Appendix-A.Appendix-
55e0	42 00 41 73 20 61 20 72 65 6d 69 6e 64 65 72 2c 20 6f 6e 6c 79 20 61 64 76 65 72 74 69 73 65 20	B.As.a.reminder,.only.advertise.
5600	72 6f 75 74 65 73 20 74 68 61 74 20 79 6f 75 20 61 72 65 20 74 68 65 20 64 65 66 61 75 6c 74 20	routes.that.you.are.the.default.
5620	72 6f 75 74 65 72 20 66 6f 72 2e 20 54 68 69 73 20 69 73 20 77 68 79 20 77 65 20 61 72 65 20 4e	router.for..This.is.why.we.are.N
5640	4f 54 20 61 6e 6e 6f 75 6e 63 69 6e 67 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e	OT.announcing.the.192.0.2.0/24.n
5660	65 74 77 6f 72 6b 2c 20 62 65 63 61 75 73 65 20 69 66 20 74 68 61 74 20 77 61 73 20 61 6e 6e 6f	etwork,.because.if.that.was.anno
5680	75 6e 63 65 64 20 69 6e 74 6f 20 4f 53 50 46 2c 20 74 68 65 20 6f 74 68 65 72 20 72 6f 75 74 65	unced.into.OSPF,.the.other.route
56a0	72 73 20 77 6f 75 6c 64 20 74 72 79 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 6f 20 74 68 61 74 20	rs.would.try.to.connect.to.that.
56c0	6e 65 74 77 6f 72 6b 20 6f 76 65 72 20 61 20 74 75 6e 6e 65 6c 20 74 68 61 74 20 63 6f 6e 6e 65	network.over.a.tunnel.that.conne
56e0	63 74 73 20 74 6f 20 74 68 61 74 20 6e 65 74 77 6f 72 6b 21 00 41 73 20 77 65 20 63 61 6e 20 73	cts.to.that.network!.As.we.can.s
5700	65 65 20 65 76 65 6e 20 69 66 20 62 6f 74 68 20 56 52 46 20 4c 41 4e 31 20 61 6e 64 20 4c 41 4e	ee.even.if.both.VRF.LAN1.and.LAN
5720	32 20 68 61 73 20 74 68 65 20 73 61 6d 65 20 69 6d 70 6f 72 74 20 52 54 73 20 77 65 20 61 72 65	2.has.the.same.import.RTs.we.are
5740	20 61 62 6c 65 20 74 6f 20 73 65 6c 65 63 74 20 77 68 69 63 68 20 72 6f 75 74 65 73 20 61 72 65	.able.to.select.which.routes.are
5760	20 65 66 66 65 63 74 69 76 65 6c 79 20 69 6d 70 6f 72 74 65 64 20 61 6e 64 20 69 6e 73 74 61 6c	.effectively.imported.and.instal
5780	6c 65 64 2e 00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 69 6e 20 74 68 65 20 42 47 50 20 74 61	led..As.we.can.see.in.the.BGP.ta
57a0	62 6c 65 20 61 6e 79 20 69 6d 70 6f 72 74 65 64 20 72 6f 75 74 65 20 68 61 73 20 62 65 65 6e 20	ble.any.imported.route.has.been.
57c0	69 6e 6a 65 63 74 65 64 20 77 69 74 68 20 61 20 22 40 22 20 66 6f 6c 6c 6f 77 65 64 20 62 79 20	injected.with.a."@".followed.by.
57e0	74 68 65 20 56 50 4e 20 69 64 3b 20 49 6e 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65	the.VPN.id;.In.the.routing.table
5800	20 6f 66 20 74 68 65 20 56 52 46 2c 20 69 66 20 74 68 65 20 72 6f 75 74 65 20 77 61 73 20 69 6e	.of.the.VRF,.if.the.route.was.in
5820	73 74 61 6c 6c 65 64 2c 20 77 65 20 63 61 6e 20 73 65 65 20 2d 62 65 74 77 65 65 6e 20 72 6f 75	stalled,.we.can.see.-between.rou
5840	6e 64 20 62 72 61 63 6b 65 74 73 2d 20 74 68 65 20 65 78 70 6f 72 74 65 64 20 56 52 46 20 74 61	nd.brackets-.the.exported.VRF.ta
5860	62 6c 65 2e 00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 74 68 69 73 20 69 73 20 75 6e 70 72 61	ble..As.we.can.see.this.is.unpra
5880	63 74 69 63 61 6c 2e 00 41 73 20 77 65 20 6b 6e 6f 77 20 74 68 65 20 6d 61 69 6e 20 61 73 73 75	ctical..As.we.know.the.main.assu
58a0	6d 70 74 69 6f 6e 20 6f 66 20 4c 33 56 50 4e 20 e2 80 9c 48 75 62 20 61 6e 64 20 53 70 6f 6b 65	mption.of.L3VPN....Hub.and.Spoke
58c0	e2 80 9d 20 69 73 2c 20 74 68 61 74 20 74 68 65 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e	....is,.that.the.traffic.between
58e0	20 73 70 6f 6b 65 73 20 68 61 76 65 20 74 6f 20 70 61 73 73 20 76 69 61 20 68 75 62 2c 20 69 6e	.spokes.have.to.pass.via.hub,.in
5900	20 6f 75 72 20 73 63 65 6e 61 72 69 6f 20 56 79 4f 53 2d 50 45 32 20 69 73 20 74 68 65 20 48 75	.our.scenario.VyOS-PE2.is.the.Hu
5920	62 20 50 45 20 61 6e 64 20 74 68 65 20 56 79 4f 53 2d 43 45 31 2d 48 55 42 20 69 73 20 74 68 65	b.PE.and.the.VyOS-CE1-HUB.is.the
5940	20 63 65 6e 74 72 61 6c 20 63 75 73 74 6f 6d 65 72 20 6f 66 66 69 63 65 20 64 65 76 69 63 65 20	.central.customer.office.device.
5960	74 68 61 74 20 69 73 20 72 65 73 70 6f 6e 73 69 62 6c 65 20 66 6f 72 20 63 6f 6e 74 72 6f 6c 6c	that.is.responsible.for.controll
5980	69 6e 67 20 61 63 63 65 73 73 20 62 65 74 77 65 65 6e 20 61 6c 6c 20 73 70 6f 6b 65 73 20 61 6e	ing.access.between.all.spokes.an
59a0	64 20 61 6e 6e 6f 75 6e 63 69 6e 67 20 69 74 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65	d.announcing.its.network.prefixe
59c0	73 20 28 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 29 2e 20 56 79 4f 53 2d 50 45 32 20 68 61 73 20	s.(10.0.0.100/32)..VyOS-PE2.has.
59e0	74 68 65 20 6d 61 69 6e 20 56 52 46 20 28 69 74 73 20 6e 61 6d 65 20 69 73 20 42 4c 55 45 5f 48	the.main.VRF.(its.name.is.BLUE_H
5a00	55 42 29 2c 20 69 74 73 20 6f 77 6e 20 52 6f 75 74 65 2d 44 69 73 74 69 6e 67 75 69 73 68 65 72	UB),.its.own.Route-Distinguisher
5a20	28 52 44 29 20 61 6e 64 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 69 6d 70 6f 72 74 2f 65 78 70	(RD).and.route-target.import/exp
5a40	6f 72 74 20 6c 69 73 74 73 2e 20 4d 75 6c 74 69 70 72 6f 74 6f 63 6f 6c 2d 42 47 50 28 4d 50 2d	ort.lists..Multiprotocol-BGP(MP-
5a60	42 47 50 29 20 64 65 6c 69 76 65 72 73 20 4c 33 56 50 4e 20 72 65 6c 61 74 65 64 20 63 6f 6e 74	BGP).delivers.L3VPN.related.cont
5a80	72 6f 6c 2d 70 6c 61 6e 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 74 6f 20 74 68 65 20 6e 6f 64	rol-plane.information.to.the.nod
5aa0	65 73 20 61 63 72 6f 73 73 20 6e 65 74 77 6f 72 6b 20 77 68 65 72 65 20 50 45 73 20 53 70 6f 6b	es.across.network.where.PEs.Spok
5ac0	65 73 20 69 6d 70 6f 72 74 20 74 68 65 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 36 30 35 33 35	es.import.the.route-target.60535
5ae0	3a 31 30 33 30 20 28 74 68 69 73 20 69 73 20 65 78 70 6f 72 74 20 72 6f 75 74 65 2d 74 61 72 67	:1030.(this.is.export.route-targ
5b00	65 74 20 6f 66 20 76 72 66 20 42 4c 55 45 5f 48 55 42 29 20 61 6e 64 20 65 78 70 6f 72 74 20 69	et.of.vrf.BLUE_HUB).and.export.i
5b20	74 73 20 6f 77 6e 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 36 30 35 33 35 3a 31 30 31 31 28 74	ts.own.route-target.60535:1011(t
5b40	68 69 73 20 69 73 20 76 72 66 20 42 4c 55 45 5f 53 50 4f 4b 45 20 65 78 70 6f 72 74 20 72 6f 75	his.is.vrf.BLUE_SPOKE.export.rou
5b60	74 65 2d 74 61 72 67 65 74 29 2e 20 54 68 65 72 65 66 6f 72 65 2c 20 74 68 65 20 43 75 73 74 6f	te-target)..Therefore,.the.Custo
5b80	6d 65 72 20 65 64 67 65 20 6e 6f 64 65 73 20 63 61 6e 20 6f 6e 6c 79 20 6c 65 61 72 6e 20 74 68	mer.edge.nodes.can.only.learn.th
5ba0	65 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 6f 66 20 74 68 65 20 48 55 42 20 73 69	e.network.prefixes.of.the.HUB.si
5bc0	74 65 20 5b 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 5d 2e 20 46 6f 72 20 74 68 69 73 20 65 78 61	te.[10.0.0.100/32]..For.this.exa
5be0	6d 70 6c 65 20 56 79 4f 53 2d 43 45 31 20 68 61 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78	mple.VyOS-CE1.has.network.prefix
5c00	65 73 20 5b 31 30 2e 30 2e 30 2e 38 30 2f 33 32 5d 20 2f 20 56 79 4f 53 2d 43 45 32 20 68 61 73	es.[10.0.0.80/32]./.VyOS-CE2.has
5c20	20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 5b 31 30 2e 30 2e 30 2e 39 30 2f 33 32 5d	.network.prefixes.[10.0.0.90/32]
5c40	2e 20 52 6f 75 74 65 2d 52 65 66 6c 65 63 74 6f 72 20 64 65 76 69 63 65 73 20 56 79 4f 53 2d 52	..Route-Reflector.devices.VyOS-R
5c60	52 31 20 61 6e 64 20 56 79 4f 53 2d 52 52 32 20 61 72 65 20 75 73 65 64 20 74 6f 20 73 69 6d 70	R1.and.VyOS-RR2.are.used.to.simp
5c80	6c 69 66 79 20 6e 65 74 77 6f 72 6b 20 72 6f 75 74 65 73 20 65 78 63 68 61 6e 67 65 20 61 6e 64	lify.network.routes.exchange.and
5ca0	20 6d 69 6e 69 6d 69 7a 65 20 69 42 47 50 20 70 65 65 72 69 6e 67 73 20 62 65 74 77 65 65 6e 20	.minimize.iBGP.peerings.between.
5cc0	64 65 76 69 63 65 73 2e 00 41 73 20 77 65 20 73 65 65 20 73 68 61 70 65 72 20 69 73 20 77 6f 72	devices..As.we.see.shaper.is.wor
5ce0	6b 69 6e 67 20 61 6e 64 20 74 68 65 20 74 72 61 66 66 69 63 20 77 69 6c 6c 20 6e 6f 74 20 77 6f	king.and.the.traffic.will.not.wo
5d00	72 6b 20 6f 76 65 72 20 35 20 4d 62 69 74 2f 73 2e 00 41 73 73 69 67 6e 20 65 78 74 65 72 6e 61	rk.over.5.Mbit/s..Assign.externa
5d20	6c 20 49 50 20 61 64 64 72 65 73 73 65 73 00 41 73 73 75 6d 69 6e 67 20 74 68 65 20 70 69 6e 67	l.IP.addresses.Assuming.the.ping
5d40	73 20 61 72 65 20 73 75 63 63 65 73 73 66 75 6c 2c 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 61 64	s.are.successful,.you.need.to.ad
5d60	64 20 73 6f 6d 65 20 44 4e 53 20 73 65 72 76 65 72 73 2e 20 53 6f 6d 65 20 6f 70 74 69 6f 6e 73	d.some.DNS.servers..Some.options
5d80	3a 00 41 74 20 74 68 65 20 66 69 72 73 74 20 73 74 65 70 20 77 65 20 6e 65 65 64 20 74 6f 20 63	:.At.the.first.step.we.need.to.c
5da0	6f 6e 66 69 67 75 72 65 20 74 68 65 20 49 50 2f 4d 50 4c 53 20 62 61 63 6b 62 6f 6e 65 20 6e 65	onfigure.the.IP/MPLS.backbone.ne
5dc0	74 77 6f 72 6b 20 75 73 69 6e 67 20 4f 53 50 46 20 61 73 20 49 47 50 20 70 72 6f 74 6f 63 6f 6c	twork.using.OSPF.as.IGP.protocol
5de0	20 61 6e 64 20 4c 44 50 20 61 73 20 6c 61 62 65 6c 2d 73 77 69 74 63 68 69 6e 67 20 70 72 6f 74	.and.LDP.as.label-switching.prot
5e00	6f 63 6f 6c 20 66 6f 72 20 74 68 65 20 62 61 73 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 62	ocol.for.the.base.connectivity.b
5e20	65 74 77 65 65 6e 20 2a 2a 50 2a 2a 20 28 72 6f 76 69 64 65 72 29 2c 20 2a 2a 50 2a 2a 20 28 72	etween.P.(rovider),.P.(r
5e40	6f 76 69 64 65 72 29 20 2a 2a 45 2a 2a 20 28 64 67 65 29 20 61 6e 64 20 2a 2a 52 2a 2a 20 28 6f	ovider).E.(dge).and.R.(o
5e60	75 74 65 29 20 2a 2a 52 2a 2a 20 28 65 66 6c 65 63 74 6f 72 29 20 6e 6f 64 65 73 3a 00 41 74 20	ute).R.(eflector).nodes:.At.
5e80	74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 6e 6f 77 20 6e 65 65 64 20 74 6f 20 63 72 65 61	this.point,.you.now.need.to.crea
5ea0	74 65 20 74 68 65 20 58 20 6c 69 6e 6b 20 62 65 74 77 65 65 6e 20 61 6c 6c 20 66 6f 75 72 20 72	te.the.X.link.between.all.four.r
5ec0	6f 75 74 65 72 73 2e 20 55 73 65 20 61 6d 64 69 66 66 65 72 65 6e 74 20 2f 33 30 20 66 6f 72 20	outers..Use.amdifferent./30.for.
5ee0	65 61 63 68 20 6c 69 6e 6b 2e 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 73 68	each.link..At.this.point,.you.sh
5f00	6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 53 53 48 20 69 6e 74 6f 20 62 6f 74 68 20 6f 66	ould.be.able.to.SSH.into.both.of
5f20	20 74 68 65 6d 2c 20 61 6e 64 20 77 69 6c 6c 20 6e 6f 20 6c 6f 6e 67 65 72 20 6e 65 65 64 20 61	.them,.and.will.no.longer.need.a
5f40	63 63 65 73 73 20 74 6f 20 74 68 65 20 63 6f 6e 73 6f 6c 65 20 28 75 6e 6c 65 73 73 20 79 6f 75	ccess.to.the.console.(unless.you
5f60	20 62 72 65 61 6b 20 73 6f 6d 65 74 68 69 6e 67 21 29 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74	.break.something!).At.this.point
5f80	2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 62 6f 74 68	,.you.should.be.able.to.see.both
5fa0	20 49 50 20 61 64 64 72 65 73 73 65 73 20 77 68 65 6e 20 79 6f 75 20 72 75 6e 20 60 60 73 68 6f	.IP.addresses.when.you.run.``sho
5fc0	77 20 69 6e 74 65 72 66 61 63 65 73 60 60 5c 20 2c 20 61 6e 64 20 60 60 73 68 6f 77 20 76 72 72	w.interfaces``\.,.and.``show.vrr
5fe0	70 60 60 20 73 68 6f 75 6c 64 20 73 68 6f 77 20 62 6f 74 68 20 69 6e 74 65 72 66 61 63 65 73 20	p``.should.show.both.interfaces.
6000	69 6e 20 4d 41 53 54 45 52 20 73 74 61 74 65 20 28 61 6e 64 20 53 4c 41 56 45 20 73 74 61 74 65	in.MASTER.state.(and.SLAVE.state
6020	20 6f 6e 20 72 6f 75 74 65 72 32 29 2e 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75	.on.router2)..At.this.point,.you
6040	72 20 56 79 4f 53 20 69 6e 73 74 61 6c 6c 20 73 68 6f 75 6c 64 20 68 61 76 65 20 66 75 6c 6c 20	r.VyOS.install.should.have.full.
6060	49 50 76 36 2c 20 62 75 74 20 6e 6f 77 20 79 6f 75 72 20 4c 41 4e 20 64 65 76 69 63 65 73 20 6e	IPv6,.but.now.your.LAN.devices.n
6080	65 65 64 20 61 63 63 65 73 73 2e 00 41 74 20 74 68 69 73 20 73 74 65 70 20 77 65 20 61 72 65 20	eed.access..At.this.step.we.are.
60a0	67 6f 69 6e 67 20 74 6f 20 65 6e 61 62 6c 65 20 69 42 47 50 20 70 72 6f 74 6f 63 6f 6c 20 6f 6e	going.to.enable.iBGP.protocol.on
60c0	20 4d 50 4c 53 20 6e 6f 64 65 73 20 61 6e 64 20 52 6f 75 74 65 20 52 65 66 6c 65 63 74 6f 72 73	.MPLS.nodes.and.Route.Reflectors
60e0	20 28 74 77 6f 20 72 6f 75 74 65 72 73 20 66 6f 72 20 72 65 64 75 6e 64 61 6e 63 79 29 20 74 68	.(two.routers.for.redundancy).th
6100	61 74 20 77 69 6c 6c 20 64 65 6c 69 76 65 72 20 49 50 76 34 20 56 50 4e 20 28 4c 33 56 50 4e 29	at.will.deliver.IPv4.VPN.(L3VPN)
6120	20 72 6f 75 74 65 73 20 62 65 74 77 65 65 6e 20 74 68 65 6d 3a 00 41 7a 75 72 65 20 41 53 4e 00	.routes.between.them:.Azure.ASN.
6140	41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 31 20 70 75 62 6c 69 63 20 49 50 00 41	Azure.VNet.Gateway.1.public.IP.A
6160	7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 32 20 70 75 62 6c 69 63 20 49 50 00 41 7a	zure.VNet.Gateway.2.public.IP.Az
6180	75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 42 47 50 20 49 50 00 41 7a 75 72 65 20 56 4e	ure.VNet.Gateway.BGP.IP.Azure.VN
61a0	65 74 20 47 61 74 65 77 61 79 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 61 64 64 72 65	et.Gateway.public.IP.Azure.addre
61c0	73 73 20 73 70 61 63 65 00 42 47 50 00 42 47 50 20 49 50 76 36 20 75 6e 6e 75 6d 62 65 72 65 64	ss.space.BGP.BGP.IPv6.unnumbered
61e0	20 77 69 74 68 20 65 78 74 65 6e 64 65 64 20 6e 65 78 74 68 6f 70 00 42 47 50 20 69 73 20 61 6e	.with.extended.nexthop.BGP.is.an
6200	20 65 78 74 72 65 6d 65 6c 79 20 63 6f 6d 70 6c 65 78 20 6e 65 74 77 6f 72 6b 20 70 72 6f 74 6f	.extremely.complex.network.proto
6220	63 6f 6c 2e 20 41 6e 20 65 78 61 6d 70 6c 65 20 69 73 20 70 72 6f 76 69 64 65 64 20 68 65 72 65	col..An.example.is.provided.here
6240	2e 00 42 4c 55 45 5f 48 55 42 00 42 4c 55 45 5f 53 50 4f 4b 45 00 42 61 73 65 64 20 6f 6e 20 74	..BLUE_HUB.BLUE_SPOKE.Based.on.t
6260	68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 61 6e 6f 74 68 65 72 20 72 75 6c	he.previous.example,.another.rul
6280	65 20 66 6f 72 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 74 68 65 20 73 65 63 6f 6e 64 20 69 6e	e.for.traffic.from.the.second.in
62a0	74 65 72 66 61 63 65 20 65 74 68 33 20 63 61 6e 20 62 65 20 61 64 64 65 64 20 74 6f 20 74 68 65	terface.eth3.can.be.added.to.the
62c0	20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 2e 20 48 6f 77 65 76 65 72 2c 20 74 72 61 66 66 69 63	.load.balancer..However,.traffic
62e0	20 6d 65 61 6e 74 20 74 6f 20 66 6c 6f 77 20 62 65 74 77 65 65 6e 20 74 68 65 20 4c 41 4e 20 73	.meant.to.flow.between.the.LAN.s
6300	75 62 6e 65 74 73 20 77 69 6c 6c 20 62 65 20 73 65 6e 74 20 74 6f 20 65 74 68 30 20 61 6e 64 20	ubnets.will.be.sent.to.eth0.and.
6320	65 74 68 31 20 61 73 20 77 65 6c 6c 2e 20 54 6f 20 70 72 65 76 65 6e 74 20 74 68 69 73 2c 20 61	eth1.as.well..To.prevent.this,.a
6340	6e 6f 74 68 65 72 20 72 75 6c 65 20 69 73 20 72 65 71 75 69 72 65 64 2e 20 54 68 69 73 20 72 75	nother.rule.is.required..This.ru
6360	6c 65 20 65 78 63 6c 75 64 65 73 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 74 68 65 20	le.excludes.traffic.between.the.
6380	6c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20 66 72 6f 6d 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61	local.subnets.from.the.load.bala
63a0	6e 63 65 72 2e 20 49 74 20 61 6c 73 6f 20 65 78 63 6c 75 64 65 73 20 6c 6f 63 61 6c 6c 79 2d 73	ncer..It.also.excludes.locally-s
63c0	6f 75 72 63 65 73 20 70 61 63 6b 65 74 73 20 28 72 65 71 75 69 72 65 64 20 66 6f 72 20 77 65 62	ources.packets.(required.for.web
63e0	20 63 61 63 68 69 6e 67 20 77 69 74 68 20 6c 6f 61 64 20 62 61 6c 61 6e 63 69 6e 67 29 2e 20 65	.caching.with.load.balancing)..e
6400	74 68 2b 20 69 73 20 75 73 65 64 20 61 73 20 61 6e 20 61 6c 69 61 73 20 74 68 61 74 20 72 65 66	th+.is.used.as.an.alias.that.ref
6420	65 72 73 20 74 6f 20 61 6c 6c 20 65 74 68 65 72 6e 65 74 20 69 6e 74 65 72 66 61 63 65 73 3a 00	ers.to.all.ethernet.interfaces:.
6440	42 61 73 69 63 20 46 69 72 65 77 61 6c 6c 00 42 61 73 69 63 20 53 65 74 75 70 20 28 76 69 61 20	Basic.Firewall.Basic.Setup.(via.
6460	63 6f 6e 73 6f 6c 65 29 00 42 61 73 69 6b 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20	console).Basik.configuration.of.
6480	74 68 65 20 61 6e 73 69 62 6c 65 2e 63 66 67 3a 00 42 65 66 6f 72 65 20 74 68 65 20 69 6e 74 65	the.ansible.cfg:.Before.the.inte
64a0	72 66 61 63 65 20 65 74 68 30 20 6f 6e 20 72 6f 75 74 65 72 20 56 79 4f 53 33 00 42 6f 6e 64 69	rface.eth0.on.router.VyOS3.Bondi
64c0	6e 67 20 6f 6e 20 48 61 72 64 77 61 72 65 20 52 6f 75 74 65 72 00 42 6f 74 68 20 4c 41 4e 73 20	ng.on.Hardware.Router.Both.LANs.
64e0	68 61 76 65 20 74 6f 20 62 65 20 61 62 6c 65 20 74 6f 20 72 6f 75 74 65 20 62 65 74 77 65 65 6e	have.to.be.able.to.route.between
6500	20 65 61 63 68 20 6f 74 68 65 72 2c 20 62 6f 74 68 20 77 69 6c 6c 20 68 61 76 65 20 6d 61 6e 61	.each.other,.both.will.have.mana
6520	67 65 64 20 64 65 76 69 63 65 73 20 74 68 72 6f 75 67 68 20 61 20 64 65 64 69 63 61 74 65 64 20	ged.devices.through.a.dedicated.
6540	6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 62 6f 74 68 20 77 69 6c 6c	management.network.and.both.will
6560	20 6e 65 65 64 20 49 6e 74 65 72 6e 65 74 20 61 63 63 65 73 73 20 79 65 74 20 74 68 65 20 4c 41	.need.Internet.access.yet.the.LA
6580	4e 32 20 77 69 6c 6c 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 73 6f 6d 65 20 73 65 74 20	N2.will.need.access.to.some.set.
65a0	6f 66 20 6f 75 74 73 69 64 65 20 6e 65 74 77 6f 72 6b 73 2c 20 6e 6f 74 20 61 6c 6c 2e 20 54 68	of.outside.networks,.not.all..Th
65c0	65 20 6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f 72 6b 20 77 69 6c 6c 20 6e 65 65 64 20 61	e.management.network.will.need.a
65e0	63 63 65 73 73 20 74 6f 20 62 6f 74 68 20 4c 41 4e 73 20 62 75 74 20 63 61 6e 6e 6f 74 20 68 61	ccess.to.both.LANs.but.cannot.ha
6600	76 65 20 61 63 63 65 73 73 20 74 6f 2f 66 72 6f 6d 20 74 68 65 20 6f 75 74 73 69 64 65 2e 00 42	ve.access.to/from.the.outside..B
6620	72 61 6e 63 68 00 42 79 20 64 65 66 61 75 6c 74 2c 20 69 70 74 61 62 6c 65 73 20 64 6f 65 73 20	ranch.By.default,.iptables.does.
6640	6e 6f 74 20 61 6c 6c 6f 77 20 74 72 61 66 66 69 63 20 66 6f 72 20 65 73 74 61 62 6c 69 73 68 65	not.allow.traffic.for.establishe
6660	64 20 73 65 73 73 69 6f 6e 73 20 74 6f 20 72 65 74 75 72 6e 2c 20 73 6f 20 79 6f 75 20 6d 75 73	d.sessions.to.return,.so.you.mus
6680	74 20 65 78 70 6c 69 63 69 74 6c 79 20 61 6c 6c 6f 77 20 74 68 69 73 2e 20 49 20 64 6f 20 74 68	t.explicitly.allow.this..I.do.th
66a0	69 73 20 62 79 20 61 64 64 69 6e 67 20 74 77 6f 20 72 75 6c 65 73 20 74 6f 20 65 76 65 72 79 20	is.by.adding.two.rules.to.every.
66c0	72 75 6c 65 73 65 74 2e 20 31 20 61 6c 6c 6f 77 73 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e	ruleset..1.allows.established.an
66e0	64 20 72 65 6c 61 74 65 64 20 73 74 61 74 65 20 70 61 63 6b 65 74 73 20 74 68 72 6f 75 67 68 20	d.related.state.packets.through.
6700	61 6e 64 20 72 75 6c 65 20 32 20 64 72 6f 70 73 20 61 6e 64 20 6c 6f 67 73 20 69 6e 76 61 6c 69	and.rule.2.drops.and.logs.invali
6720	64 20 73 74 61 74 65 20 70 61 63 6b 65 74 73 2e 20 57 65 20 70 6c 61 63 65 20 74 68 65 20 65 73	d.state.packets..We.place.the.es
6740	74 61 62 6c 69 73 68 65 64 2f 72 65 6c 61 74 65 64 20 72 75 6c 65 20 61 74 20 74 68 65 20 74 6f	tablished/related.rule.at.the.to
6760	70 20 62 65 63 61 75 73 65 20 74 68 65 20 76 61 73 74 20 6d 61 6a 6f 72 69 74 79 20 6f 66 20 74	p.because.the.vast.majority.of.t
6780	72 61 66 66 69 63 20 6f 6e 20 61 20 6e 65 74 77 6f 72 6b 20 69 73 20 65 73 74 61 62 6c 69 73 68	raffic.on.a.network.is.establish
67a0	65 64 20 61 6e 64 20 74 68 65 20 69 6e 76 61 6c 69 64 20 72 75 6c 65 20 74 6f 20 70 72 65 76 65	ed.and.the.invalid.rule.to.preve
67c0	6e 74 20 69 6e 76 61 6c 69 64 20 73 74 61 74 65 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 6d 69	nt.invalid.state.packets.from.mi
67e0	73 74 61 6b 65 6e 6c 79 20 62 65 69 6e 67 20 6d 61 74 63 68 65 64 20 61 67 61 69 6e 73 74 20 6f	stakenly.being.matched.against.o
6800	74 68 65 72 20 72 75 6c 65 73 2e 20 48 61 76 69 6e 67 20 74 68 65 20 6d 6f 73 74 20 6d 61 74 63	ther.rules..Having.the.most.matc
6820	68 65 64 20 72 75 6c 65 20 6c 69 73 74 65 64 20 66 69 72 73 74 20 72 65 64 75 63 65 73 20 43 50	hed.rule.listed.first.reduces.CP
6840	55 20 6c 6f 61 64 20 69 6e 20 68 69 67 68 20 76 6f 6c 75 6d 65 20 65 6e 76 69 72 6f 6e 6d 65 6e	U.load.in.high.volume.environmen
6860	74 73 2e 20 4e 6f 74 65 3a 20 49 20 68 61 76 65 20 66 69 6c 65 64 20 61 20 62 75 67 20 74 6f 20	ts..Note:.I.have.filed.a.bug.to.
6880	68 61 76 65 20 74 68 69 73 20 61 64 64 65 64 20 61 73 20 61 20 64 65 66 61 75 6c 74 20 61 63 74	have.this.added.as.a.default.act
68a0	69 6f 6e 20 61 73 20 77 65 6c 6c 2e 00 43 45 20 48 75 62 20 64 65 76 69 63 65 00 43 53 34 20 2d	ion.as.well..CE.Hub.device.CS4.-
68c0	3e 20 43 53 35 00 43 65 6e 74 72 61 6c 00 43 68 65 63 6b 20 61 6c 6c 20 70 6f 73 73 69 62 6c 65	>.CS5.Central.Check.all.possible
68e0	20 73 65 74 74 69 6e 67 73 20 60 68 65 72 65 20 3c 68 74 74 70 73 3a 2f 2f 67 69 74 68 75 62 2e	.settings.`here.<https://github.
6900	63 6f 6d 2f 74 68 72 65 65 72 69 6e 67 73 2f 6f 70 65 6e 76 70 6e 2d 61 75 74 68 2d 6c 64 61 70	com/threerings/openvpn-auth-ldap
6920	2f 62 6c 6f 62 2f 6d 61 73 74 65 72 2f 61 75 74 68 2d 6c 64 61 70 2e 63 6f 6e 66 3e 60 5f 00 43	/blob/master/auth-ldap.conf>`_.C
6940	68 65 63 6b 20 74 68 65 20 42 47 50 20 56 52 46 20 74 61 62 6c 65 20 61 6e 64 20 76 65 72 69 66	heck.the.BGP.VRF.table.and.verif
6960	79 20 69 66 20 74 68 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 61 72 65 20 69 6e 6a 65 63	y.if.the.static.routes.are.injec
6980	74 65 64 20 73 68 6f 77 69 6e 67 20 74 68 65 20 63 6f 72 72 65 63 74 20 6e 65 78 74 2d 68 6f 70	ted.showing.the.correct.next-hop
69a0	20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 43 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 00 43	.information..Check.the.result.C
69c0	68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 20 6f 6e 20 74 68 65 20 76 79 6f 73 31 30 20 72 6f	heck.the.result.on.the.vyos10.ro
69e0	75 74 65 72 3a 00 43 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 2e 00 43 68 65 63 6b 20 74 68	uter:.Check.the.result..Check.th
6a00	65 20 76 65 72 73 69 6f 6e 3a 00 43 68 65 63 6b 69 6e 67 20 74 68 65 20 72 6f 75 74 69 6e 67 20	e.version:.Checking.the.routing.
6a20	74 61 62 6c 65 20 6f 66 20 74 68 65 20 56 52 46 20 73 68 6f 75 6c 64 20 72 65 76 65 61 6c 20 62	table.of.the.VRF.should.reveal.b
6a40	6f 74 68 20 73 74 61 74 69 63 20 61 6e 64 20 63 6f 6e 6e 65 63 74 65 64 20 65 6e 74 72 69 65 73	oth.static.and.connected.entries
6a60	20 61 63 74 69 76 65 2e 20 41 20 50 49 4e 47 20 74 65 73 74 20 62 65 74 77 65 65 6e 20 74 68 65	.active..A.PING.test.between.the
6a80	20 43 6f 72 65 20 61 6e 64 20 72 65 6d 6f 74 65 20 72 6f 75 74 65 72 20 69 73 20 61 20 77 61 79	.Core.and.remote.router.is.a.way
6aa0	20 74 6f 20 76 61 6c 69 64 61 74 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 77 69 74 68 69 6e	.to.validate.connectivity.within
6ac0	20 74 68 65 20 56 52 46 2e 00 43 68 65 63 6b 69 6e 67 20 74 68 72 6f 75 67 68 20 6f 70 2d 6d 6f	.the.VRF..Checking.through.op-mo
6ae0	64 65 20 63 6f 6d 6d 61 6e 64 73 00 43 69 73 63 6f 00 43 69 73 63 6f 20 56 50 43 20 43 72 6f 73	de.commands.Cisco.Cisco.VPC.Cros
6b00	73 63 6f 6e 6e 65 63 74 20 2d 20 50 6f 72 74 73 20 33 39 20 61 6e 64 20 34 30 20 62 6f 6e 64 65	sconnect.-.Ports.39.and.40.bonde
6b20	64 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 73 77 69 74 63 68 00 43 6c 61 6d 70 20 74 68 65 20	d.between.each.switch.Clamp.the.
6b40	56 54 49 27 73 20 4d 53 53 20 74 6f 20 31 33 35 30 20 74 6f 20 61 76 6f 69 64 20 50 4d 54 55 20	VTI's.MSS.to.1350.to.avoid.PMTU.
6b60	62 6c 61 63 6b 68 6f 6c 65 73 2e 00 43 6c 69 65 6e 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e	blackholes..Client.configuration
6b80	00 43 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 70 72 69 76 61 74 65 20 73	.Communication.between.private.s
6ba0	75 62 6e 65 74 73 20 73 68 6f 75 6c 64 20 62 65 20 64 6f 6e 65 20 74 68 72 6f 75 67 68 20 69 70	ubnets.should.be.done.through.ip
6bc0	73 65 63 20 74 75 6e 6e 65 6c 20 77 69 74 68 6f 75 74 20 6e 61 74 2e 00 43 6f 6e 63 6c 75 73 69	sec.tunnel.without.nat..Conclusi
6be0	6f 6e 73 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20	ons.Configuration.Configuration.
6c00	27 4e 4d 50 27 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27 56 79 4f 53 27 00 43 6f 6e 66 69	'NMP'.Configuration.'VyOS'.Confi
6c20	67 75 72 61 74 69 6f 6e 20 27 64 63 73 70 27 20 61 6e 64 20 73 68 61 70 65 72 20 75 73 69 6e 67	guration.'dcsp'.and.shaper.using
6c40	20 51 6f 53 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 42 6c 75 65 70 72 69 6e 74 73 00 43 6f	.QoS.Configuration.Blueprints.Co
6c60	6e 66 69 67 75 72 61 74 69 6f 6e 20 42 6c 75 65 70 72 69 6e 74 73 20 28 61 75 74 6f 74 65 73 74	nfiguration.Blueprints.(autotest
6c80	29 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 56 79 4f 53 20 61 73 20 4f 70 65 6e 56 50 4e 20	).Configuration.VyOS.as.OpenVPN.
6ca0	53 65 72 76 65 72 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 62 61 73 69 63 20 66 69	Server.Configuration.of.basic.fi
6cc0	72 65 77 61 6c 6c 20 69 6e 20 6f 6e 65 20 73 69 74 65 2c 20 69 6e 20 6f 72 64 65 72 20 74 6f 3a	rewall.in.one.site,.in.order.to:
6ce0	00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 00 43	.Configuration:.Configurations.C
6d00	6f 6e 66 69 67 75 72 65 20 57 69 72 65 67 75 61 72 64 00 43 6f 6e 66 69 67 75 72 65 20 61 20 56	onfigure.Wireguard.Configure.a.V
6d20	54 49 20 77 69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 20 61 64 64 72 65 73 73 00 43 6f 6e 66 69	TI.with.a.dummy.IP.address.Confi
6d40	67 75 72 65 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 20 61 6e 64 20 65 6e 61 62 6c 65 20 68	gure.conntrack-sync.and.enable.h
6d60	65 6c 70 65 72 73 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 49 4b 45 20 61 6e 64 20 45 53 50	elpers.Configure.the.IKE.and.ESP
6d80	20 73 65 74 74 69 6e 67 73 20 74 6f 20 6d 61 74 63 68 20 61 20 73 75 62 73 65 74 20 6f 66 20 74	.settings.to.match.a.subset.of.t
6da0	68 6f 73 65 20 73 75 70 70 6f 72 74 65 64 20 62 79 20 41 7a 75 72 65 3a 00 43 6f 6e 66 69 67 75	hose.supported.by.Azure:.Configu
6dc0	72 65 20 74 68 65 20 56 50 4e 20 74 75 6e 6e 65 6c 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20	re.the.VPN.tunnel.Configure.the.
6de0	56 50 4e 20 74 75 6e 6e 65 6c 73 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 57 41 4e 20 6c 6f	VPN.tunnels.Configure.the.WAN.lo
6e00	61 64 20 62 61 6c 61 6e 63 65 72 20 77 69 74 68 20 74 68 65 20 70 61 72 61 6d 65 74 65 72 73 20	ad.balancer.with.the.parameters.
6e20	64 65 73 63 72 69 62 65 64 20 61 62 6f 76 65 3a 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 6c	described.above:.Configure.the.l
6e40	6f 61 64 20 62 61 6c 61 6e 63 65 72 00 43 6f 6e 66 69 67 75 72 65 20 74 77 6f 20 56 54 49 73 20	oad.balancer.Configure.two.VTIs.
6e60	77 69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 20 61 64 64 72 65 73 73 20 65 61 63 68 00 43 6f 6e	with.a.dummy.IP.address.each.Con
6e80	66 69 67 75 72 65 20 79 6f 75 72 20 42 47 50 20 73 65 74 74 69 6e 67 73 00 43 6f 6e 6e 74 72 61	figure.your.BGP.settings.Conntra
6ea0	63 6b 20 68 65 6c 70 65 72 20 6d 6f 64 75 6c 65 73 20 61 72 65 20 65 6e 61 62 6c 65 64 20 62 79	ck.helper.modules.are.enabled.by
6ec0	20 64 65 66 61 75 6c 74 2c 20 62 75 74 20 74 68 65 79 20 74 65 6e 64 20 74 6f 20 63 61 75 73 65	.default,.but.they.tend.to.cause
6ee0	20 6d 6f 72 65 20 70 72 6f 62 6c 65 6d 73 20 74 68 61 6e 20 74 68 65 79 27 72 65 20 77 6f 72 74	.more.problems.than.they're.wort
6f00	68 20 69 6e 20 63 6f 6d 70 6c 65 78 20 6e 65 74 77 6f 72 6b 73 2e 20 59 6f 75 20 63 61 6e 20 64	h.in.complex.networks..You.can.d
6f20	69 73 61 62 6c 65 20 61 6c 6c 20 6f 66 20 74 68 65 6d 20 61 74 20 6f 6e 65 20 67 6f 2e 00 43 6f	isable.all.of.them.at.one.go..Co
6f40	6e 73 69 64 65 72 20 68 6f 77 20 74 6f 20 71 75 69 63 6b 6c 79 20 73 65 74 20 75 70 20 4e 4d 50	nsider.how.to.quickly.set.up.NMP
6f60	20 61 6e 64 20 56 79 4f 53 20 66 6f 72 20 6d 6f 6e 69 74 6f 72 69 6e 67 2e 20 4e 4d 50 20 69 73	.and.VyOS.for.monitoring..NMP.is
6f80	20 6d 75 6c 74 69 2d 76 65 6e 64 6f 72 20 6e 65 74 77 6f 72 6b 20 6d 6f 6e 69 74 6f 72 69 6e 67	.multi-vendor.network.monitoring
6fa0	20 66 72 6f 6d 20 27 53 6f 6c 61 72 57 69 6e 64 73 27 20 62 75 69 6c 74 20 74 6f 20 73 63 61 6c	.from.'SolarWinds'.built.to.scal
6fc0	65 20 61 6e 64 20 65 78 70 61 6e 64 20 77 69 74 68 20 74 68 65 20 6e 65 65 64 73 20 6f 66 20 79	e.and.expand.with.the.needs.of.y
6fe0	6f 75 72 20 6e 65 74 77 6f 72 6b 2e 00 43 6f 72 65 00 43 6f 72 65 20 52 6f 75 74 65 72 00 43 6f	our.network..Core.Core.Router.Co
7000	72 65 20 6e 65 74 77 6f 72 6b 00 43 72 65 61 74 65 20 45 78 70 6f 72 74 20 46 69 6c 74 65 72 00	re.network.Create.Export.Filter.
7020	43 72 65 61 74 65 20 49 6d 70 6f 72 74 20 46 69 6c 74 65 72 00 43 72 65 61 74 65 20 56 52 52 50	Create.Import.Filter.Create.VRRP
7040	20 73 79 6e 63 2d 67 72 6f 75 70 00 43 72 65 61 74 65 20 61 20 4c 41 43 50 20 62 6f 6e 64 20 6f	.sync-group.Create.a.LACP.bond.o
7060	6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 20 57 65 20 61 72 65 20 61 73	n.the.hardware.router..We.are.as
7080	73 75 6d 69 6e 67 20 74 68 61 74 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 61 72 65 20 63 6f	suming.that.eth0.and.eth1.are.co
70a0	6e 6e 65 63 74 65 64 20 74 6f 20 70 6f 72 74 20 38 20 6f 6e 20 62 6f 74 68 20 73 77 69 74 63 68	nnected.to.port.8.on.both.switch
70c0	65 73 2c 20 61 6e 64 20 74 68 61 74 20 74 68 6f 73 65 20 70 6f 72 74 73 20 61 72 65 20 63 6f 6e	es,.and.that.those.ports.are.con
70e0	66 69 67 75 72 65 64 20 61 73 20 61 20 50 6f 72 74 2d 43 68 61 6e 6e 65 6c 2e 00 43 72 65 61 74	figured.as.a.Port-Channel..Creat
7100	65 20 61 6e 20 27 41 6c 6c 20 56 4c 41 4e 73 27 20 6e 65 74 77 6f 72 6b 20 67 72 6f 75 70 2c 20	e.an.'All.VLANs'.network.group,.
7120	74 68 61 74 20 70 61 73 73 65 73 20 61 6c 6c 20 74 72 75 6e 6b 65 64 20 74 72 61 66 66 69 63 20	that.passes.all.trunked.traffic.
7140	74 68 72 6f 75 67 68 20 74 6f 20 74 68 65 20 56 4d 2e 20 41 74 74 61 63 68 20 74 68 69 73 20 6e	through.to.the.VM..Attach.this.n
7160	65 74 77 6f 72 6b 20 67 72 6f 75 70 20 74 6f 20 72 6f 75 74 65 72 31 20 61 73 20 65 74 68 30 2e	etwork.group.to.router1.as.eth0.
7180	00 43 72 65 61 74 65 20 69 6e 74 65 72 66 61 63 65 20 77 65 69 67 68 74 20 62 61 73 65 64 20 63	.Create.interface.weight.based.c
71a0	6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 72 65 61 74 65 20 72 75 6c 65 20 6f 72 64 65 72 20 62	onfiguration.Create.rule.order.b
71c0	61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 72 65 61 74 65 20 72 75 6c 65 20 6f	ased.configuration.Create.rule.o
71e0	72 64 65 72 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 6c 6f	rder.based.configuration.with.lo
7200	77 20 73 70 65 65 64 20 73 65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 00 43 72 65 61 74 65 20 73 74	w.speed.secondary.link.Create.st
7220	61 74 69 63 20 72 6f 75 74 65 73 20 74 68 72 6f 75 67 68 20 74 68 65 20 74 77 6f 20 49 53 50 73	atic.routes.through.the.two.ISPs
7240	20 74 6f 77 61 72 64 73 20 74 68 65 20 70 69 6e 67 20 74 61 72 67 65 74 73 20 61 6e 64 20 63 6f	.towards.the.ping.targets.and.co
7260	6d 6d 69 74 20 74 68 65 20 63 68 61 6e 67 65 73 3a 00 43 72 65 61 74 65 20 73 74 61 74 69 63 20	mmit.the.changes:.Create.static.
7280	72 6f 75 74 65 73 20 74 6f 20 70 69 6e 67 20 74 61 72 67 65 74 73 00 43 72 65 61 74 65 20 79 6f	routes.to.ping.targets.Create.yo
72a0	75 72 20 72 6f 75 74 65 72 31 20 56 4d 2e 20 53 6f 20 69 74 20 63 61 6e 20 77 69 74 68 73 74 61	ur.router1.VM..So.it.can.withsta
72c0	6e 64 20 61 20 56 4d 20 48 6f 73 74 20 66 61 69 6c 69 6e 67 20 6f 72 20 61 20 6e 65 74 77 6f 72	nd.a.VM.Host.failing.or.a.networ
72e0	6b 20 6c 69 6e 6b 20 66 61 69 6c 69 6e 67 2e 20 55 73 69 6e 67 20 56 4d 77 61 72 65 2c 20 74 68	k.link.failing..Using.VMware,.th
7300	69 73 20 69 73 20 61 63 68 69 65 76 65 64 20 62 79 20 65 6e 61 62 6c 69 6e 67 20 76 53 70 68 65	is.is.achieved.by.enabling.vSphe
7320	72 65 20 44 52 53 2c 20 76 53 70 68 65 72 65 20 41 76 61 69 6c 61 62 69 6c 69 74 79 2c 20 61 6e	re.DRS,.vSphere.Availability,.an
7340	64 20 63 72 65 61 74 69 6e 67 20 61 20 44 69 73 74 72 69 62 75 74 65 64 20 50 6f 72 74 20 47 72	d.creating.a.Distributed.Port.Gr
7360	6f 75 70 20 74 68 61 74 20 75 73 65 73 20 4c 41 43 50 2e 00 44 48 43 50 20 52 65 6c 61 79 20 74	oup.that.uses.LACP..DHCP.Relay.t
7380	72 6f 75 67 68 20 47 52 45 2d 42 72 69 64 67 65 00 44 48 43 50 2d 52 65 6c 61 79 00 44 48 43 50	rough.GRE-Bridge.DHCP-Relay.DHCP
73a0	2d 53 65 72 76 65 72 00 44 48 43 50 76 36 2d 50 44 20 53 65 74 75 70 00 44 4d 5a 20 63 61 6e 6e	-Server.DHCPv6-PD.Setup.DMZ.cann
73c0	6f 74 20 61 63 63 65 73 73 20 4c 41 4e 20 72 65 73 6f 75 72 63 65 73 2e 00 44 4d 5a 2d 4c 41 4e	ot.access.LAN.resources..DMZ-LAN
73e0	20 70 6f 6c 69 63 79 20 69 73 20 4c 41 4e 2d 44 4d 5a 2e 20 59 6f 75 20 63 61 6e 20 67 65 74 20	.policy.is.LAN-DMZ..You.can.get.
7400	61 20 72 68 79 74 68 6d 20 74 6f 20 69 74 20 77 68 65 6e 20 79 6f 75 20 62 75 69 6c 64 20 6f 75	a.rhythm.to.it.when.you.build.ou
7420	74 20 61 20 62 75 6e 63 68 20 61 74 20 6f 6e 65 20 74 69 6d 65 2e 00 44 65 73 69 67 6e 00 44 65	t.a.bunch.at.one.time..Design.De
7440	76 69 63 65 2d 41 00 44 65 76 69 63 65 2d 42 00 44 75 70 6c 69 63 61 74 65 20 63 6f 6e 66 69 67	vice-A.Device-B.Duplicate.config
7460	75 72 61 74 69 6f 6e 00 44 75 72 69 6e 67 20 61 64 64 72 65 73 73 20 63 6f 6e 66 69 67 75 72 61	uration.During.address.configura
7480	74 69 6f 6e 2c 20 69 6e 20 61 64 64 69 74 69 6f 6e 20 74 6f 20 61 73 73 69 67 6e 69 6e 67 20 61	tion,.in.addition.to.assigning.a
74a0	6e 20 61 64 64 72 65 73 73 20 74 6f 20 74 68 65 20 57 41 4e 20 69 6e 74 65 72 66 61 63 65 2c 20	n.address.to.the.WAN.interface,.
74c0	49 53 50 20 61 6c 73 6f 20 70 72 6f 76 69 64 65 73 20 61 20 70 72 65 66 69 78 20 74 6f 20 61 6c	ISP.also.provides.a.prefix.to.al
74e0	6c 6f 77 20 74 68 65 20 72 6f 75 74 65 72 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 64 64 72	low.the.router.to.configure.addr
7500	65 73 73 65 73 20 6f 66 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 6f 74 68 65 72	esses.of.LAN.interface.and.other
7520	20 6e 6f 64 65 73 20 63 6f 6e 6e 65 63 74 69 6e 67 20 74 6f 20 4c 41 4e 2c 20 77 68 69 63 68 20	.nodes.connecting.to.LAN,.which.
7540	69 73 20 63 61 6c 6c 65 64 20 70 72 65 66 69 78 20 64 65 6c 65 67 61 74 69 6f 6e 20 28 50 44 29	is.called.prefix.delegation.(PD)
7560	2e 00 44 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 73 65 64 20 62 65 74 77 65 65 6e 20 43	..Dynamic.routing.used.between.C
7580	45 20 61 6e 64 20 50 45 20 6e 6f 64 65 73 20 61 6e 64 20 65 42 47 50 20 70 65 65 72 69 6e 67 20	E.and.PE.nodes.and.eBGP.peering.
75a0	65 73 74 61 62 6c 69 73 68 65 64 20 66 6f 72 20 74 68 65 20 72 6f 75 74 65 20 65 78 63 68 61 6e	established.for.the.route.exchan
75c0	67 69 6e 67 20 62 65 74 77 65 65 6e 20 74 68 65 6d 2e 20 41 6c 6c 20 72 6f 75 74 65 73 20 72 65	ging.between.them..All.routes.re
75e0	63 65 69 76 65 64 20 62 79 20 50 45 73 20 61 72 65 20 74 68 65 6e 20 65 78 70 6f 72 74 65 64 20	ceived.by.PEs.are.then.exported.
7600	74 6f 20 4c 33 56 50 4e 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 66 72 6f 6d 20 53 70 6f 6b	to.L3VPN.and.delivered.from.Spok
7620	65 20 73 69 74 65 73 20 74 6f 20 48 75 62 20 61 6e 64 20 76 69 73 65 2d 76 65 72 73 61 20 62 61	e.sites.to.Hub.and.vise-versa.ba
7640	73 65 64 20 6f 6e 20 70 72 65 76 69 6f 75 73 6c 79 20 63 6f 6e 66 69 67 75 72 65 64 20 4c 33 56	sed.on.previously.configured.L3V
7660	50 4e 20 70 61 72 61 6d 65 74 65 72 73 2e 00 45 61 63 68 20 69 6e 74 65 72 66 61 63 65 20 69 73	PN.parameters..Each.interface.is
7680	20 61 73 73 69 67 6e 65 64 20 74 6f 20 61 20 7a 6f 6e 65 2e 20 54 68 65 20 69 6e 74 65 72 66 61	.assigned.to.a.zone..The.interfa
76a0	63 65 20 63 61 6e 20 62 65 20 70 68 79 73 69 63 61 6c 20 6f 72 20 76 69 72 74 75 61 6c 20 73 75	ce.can.be.physical.or.virtual.su
76c0	63 68 20 61 73 20 74 75 6e 6e 65 6c 73 20 28 56 50 4e 2c 20 50 50 54 50 2c 20 47 52 45 2c 20 65	ch.as.tunnels.(VPN,.PPTP,.GRE,.e
76e0	74 63 29 20 61 6e 64 20 61 72 65 20 74 72 65 61 74 65 64 20 65 78 61 63 74 6c 79 20 74 68 65 20	tc).and.are.treated.exactly.the.
7700	73 61 6d 65 2e 00 45 61 63 68 20 6c 61 62 20 77 69 6c 6c 20 62 75 69 6c 64 20 61 6e 20 74 65 73	same..Each.lab.will.build.an.tes
7720	74 20 66 72 6f 6d 20 61 6e 20 65 78 74 65 72 6e 61 6c 20 73 63 72 69 70 74 2e 20 54 68 65 20 70	t.from.an.external.script..The.p
7740	61 67 65 20 63 6f 6e 74 65 6e 74 20 77 69 6c 6c 20 67 65 6e 65 72 61 74 65 2c 20 73 6f 20 63 68	age.content.will.generate,.so.ch
7760	61 6e 67 65 73 20 77 69 6c 6c 20 6e 6f 74 20 74 61 6b 65 20 61 6e 20 65 66 66 65 63 74 2e 00 45	anges.will.not.take.an.effect..E
7780	6e 61 62 6c 65 20 49 50 73 65 63 20 6f 6e 20 65 74 68 30 00 45 6e 61 62 6c 65 20 4f 53 50 46 00	nable.IPsec.on.eth0.Enable.OSPF.
77a0	45 6e 61 62 6c 65 20 53 53 48 00 45 6e 61 62 6c 65 20 53 53 48 20 73 6f 20 79 6f 75 20 63 61 6e	Enable.SSH.Enable.SSH.so.you.can
77c0	20 6e 6f 77 20 53 53 48 20 69 6e 74 6f 20 74 68 65 20 72 6f 75 74 65 72 73 2c 20 72 61 74 68 65	.now.SSH.into.the.routers,.rathe
77e0	72 20 74 68 61 6e 20 75 73 69 6e 67 20 74 68 65 20 63 6f 6e 73 6f 6c 65 2e 00 45 6e 61 62 6c 65	r.than.using.the.console..Enable
7800	73 20 72 6f 75 74 65 72 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 73 2e 20 54 68 69 73 20 69 73	s.router.advertisements..This.is
7820	20 61 6e 20 49 50 76 36 20 61 6c 74 65 72 6e 61 74 69 76 65 20 66 6f 72 20 44 48 43 50 20 28 74	.an.IPv6.alternative.for.DHCP.(t
7840	68 6f 75 67 68 20 44 48 43 50 76 36 20 63 61 6e 20 73 74 69 6c 6c 20 62 65 20 75 73 65 64 29 2e	hough.DHCPv6.can.still.be.used).
7860	20 57 69 74 68 20 52 41 73 2c 20 59 6f 75 72 20 64 65 76 69 63 65 73 20 77 69 6c 6c 20 61 75 74	.With.RAs,.Your.devices.will.aut
7880	6f 6d 61 74 69 63 61 6c 6c 79 20 66 69 6e 64 20 74 68 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20	omatically.find.the.information.
78a0	74 68 65 79 20 6e 65 65 64 20 66 6f 72 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 44 4e 53 2e 00 45	they.need.for.routing.and.DNS..E
78c0	76 65 6e 20 69 66 20 74 68 65 20 74 77 6f 20 7a 6f 6e 65 73 20 77 69 6c 6c 20 6e 65 76 65 72 20	ven.if.the.two.zones.will.never.
78e0	63 6f 6d 6d 75 6e 69 63 61 74 65 2c 20 69 74 20 69 73 20 61 20 67 6f 6f 64 20 69 64 65 61 20 74	communicate,.it.is.a.good.idea.t
7900	6f 20 63 72 65 61 74 65 20 74 68 65 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e	o.create.the.zone-pair-direction
7920	20 72 75 6c 65 73 65 74 73 20 61 6e 64 20 73 65 74 20 65 6e 61 62 6c 65 2d 64 65 66 61 75 6c 74	.rulesets.and.set.enable-default
7940	2d 6c 6f 67 2e 20 54 68 69 73 20 77 69 6c 6c 20 61 6c 6c 6f 77 20 79 6f 75 20 74 6f 20 6c 6f 67	-log..This.will.allow.you.to.log
7960	20 61 74 74 65 6d 70 74 73 20 74 6f 20 61 63 63 65 73 73 20 74 68 65 20 6e 65 74 77 6f 72 6b 73	.attempts.to.access.the.networks
7980	2e 20 57 69 74 68 6f 75 74 20 69 74 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 65 76 65 72 20 73 65 65	..Without.it,.you.will.never.see
79a0	20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 61 74 74 65 6d 70 74 73 2e 00 45 76 65 72 79 20	.the.connection.attempts..Every.
79c0	72 6f 75 74 65 72 20 2a 2a 6d 75 73 74 2a 2a 20 68 61 76 65 20 61 20 75 6e 69 71 75 65 20 72 6f	router.must.have.a.unique.ro
79e0	75 74 65 72 2d 69 64 2e 20 54 68 65 20 27 72 65 66 65 72 65 6e 63 65 2d 62 61 6e 64 77 69 64 74	uter-id..The.'reference-bandwidt
7a00	68 27 20 69 73 20 75 73 65 64 20 62 65 63 61 75 73 65 20 77 68 65 6e 20 4f 53 50 46 20 77 61 73	h'.is.used.because.when.OSPF.was
7a20	20 6f 72 69 67 69 6e 61 6c 6c 79 20 64 65 73 69 67 6e 65 64 2c 20 74 68 65 20 69 64 65 61 20 6f	.originally.designed,.the.idea.o
7a40	66 20 61 20 6c 69 6e 6b 20 66 61 73 74 65 72 20 74 68 61 6e 20 31 67 62 69 74 20 77 61 73 20 75	f.a.link.faster.than.1gbit.was.u
7a60	6e 68 65 61 72 64 20 6f 66 2c 20 61 6e 64 20 69 74 20 64 6f 65 73 20 6e 6f 74 20 73 63 61 6c 65	nheard.of,.and.it.does.not.scale
7a80	20 63 6f 72 72 65 63 74 6c 79 2e 00 45 76 65 72 79 20 72 6f 75 74 65 72 20 74 68 61 74 20 70 72	.correctly..Every.router.that.pr
7aa0	6f 76 69 64 65 73 20 61 63 63 65 73 73 20 74 6f 20 61 20 63 75 73 74 6f 6d 65 72 20 6e 65 74 77	ovides.access.to.a.customer.netw
7ac0	6f 72 6b 20 6e 65 65 64 73 20 74 6f 20 68 61 76 65 20 74 68 65 20 63 75 73 74 6f 6d 65 72 20 6e	ork.needs.to.have.the.customer.n
7ae0	65 74 77 6f 72 6b 20 28 56 52 46 20 2b 20 56 4e 49 29 20 63 6f 6e 66 69 67 75 72 65 64 2e 20 54	etwork.(VRF.+.VNI).configured..T
7b00	6f 20 6d 61 6b 65 20 6f 75 72 20 6f 77 6e 20 6c 69 76 65 73 20 65 61 73 69 65 72 2c 20 77 65 20	o.make.our.own.lives.easier,.we.
7b20	75 74 69 6c 69 7a 65 20 74 68 65 20 73 61 6d 65 20 56 52 46 20 74 61 62 6c 65 20 69 64 20 28 6c	utilize.the.same.VRF.table.id.(l
7b40	6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6e 75 6d 62 65 72 29 20 61 6e 64 20 56	ocal.routing.table.number).and.V
7b60	4e 49 20 28 56 69 72 74 75 61 6c 20 4e 65 74 77 6f 72 6b 20 49 64 65 6e 74 69 66 69 65 72 29 20	NI.(Virtual.Network.Identifier).
7b80	70 65 72 20 74 65 6e 61 6e 74 20 6f 6e 20 61 6c 6c 20 6f 75 72 20 72 6f 75 74 65 72 73 2e 00 45	per.tenant.on.all.our.routers..E
7ba0	76 65 72 79 20 74 65 6e 61 6e 74 20 69 73 20 61 73 73 69 67 6e 65 64 20 61 6e 20 69 6e 64 69 76	very.tenant.is.assigned.an.indiv
7bc0	69 64 75 61 6c 20 56 52 46 20 74 68 61 74 20 77 6f 75 6c 64 20 73 75 70 70 6f 72 74 20 6f 76 65	idual.VRF.that.would.support.ove
7be0	72 6c 61 70 70 69 6e 67 20 61 64 64 72 65 73 73 20 72 61 6e 67 65 73 20 66 6f 72 20 63 75 73 74	rlapping.address.ranges.for.cust
7c00	6f 6d 65 72 73 20 62 6c 75 65 2c 20 72 65 64 20 61 6e 64 20 67 72 65 65 6e 2e 20 49 6e 20 6f 75	omers.blue,.red.and.green..In.ou
7c20	72 20 65 78 61 6d 70 6c 65 2c 20 77 65 20 64 6f 20 6e 6f 74 20 75 73 65 20 6f 76 65 72 6c 61 70	r.example,.we.do.not.use.overlap
7c40	70 69 6e 67 20 72 61 6e 67 65 73 20 74 6f 20 6d 61 6b 65 20 69 74 20 65 61 73 69 65 72 20 77 68	ping.ranges.to.make.it.easier.wh
7c60	65 6e 20 73 68 6f 77 69 6e 67 20 64 65 62 75 67 20 63 6f 6d 6d 61 6e 64 73 2e 00 45 78 61 6d 70	en.showing.debug.commands..Examp
7c80	6c 65 00 45 78 61 6d 70 6c 65 20 31 3a 20 44 69 73 74 72 69 62 75 74 69 6e 67 20 6c 6f 61 64 20	le.Example.1:.Distributing.load.
7ca0	65 76 65 6e 6c 79 00 45 78 61 6d 70 6c 65 20 32 3a 20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64	evenly.Example.2:.Failover.based
7cc0	20 6f 6e 20 69 6e 74 65 72 66 61 63 65 20 77 65 69 67 68 74 73 00 45 78 61 6d 70 6c 65 20 33 3a	.on.interface.weights.Example.3:
7ce0	20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 72 75 6c 65 20 6f 72 64 65 72 00 45 78	.Failover.based.on.rule.order.Ex
7d00	61 6d 70 6c 65 20 34 3a 20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 72 75 6c 65 20	ample.4:.Failover.based.on.rule.
7d20	6f 72 64 65 72 20 2d 20 70 72 69 6f 72 69 74 79 20 74 72 61 66 66 69 63 00 45 78 61 6d 70 6c 65	order.-.priority.traffic.Example
7d40	20 35 3a 20 45 78 63 6c 75 64 65 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 6c 6f 61 64 20 62 61	.5:.Exclude.traffic.from.load.ba
7d60	6c 61 6e 63 69 6e 67 00 45 78 61 6d 70 6c 65 20 4e 65 74 77 6f 72 6b 00 46 69 6c 6c 20 60 60 70	lancing.Example.Network.Fill.``p
7d80	61 73 73 77 6f 72 64 60 60 20 61 6e 64 20 60 60 75 73 65 72 60 60 20 77 69 74 68 20 74 68 65 20	assword``.and.``user``.with.the.
7da0	63 72 65 64 65 6e 74 69 61 6c 20 70 72 6f 76 69 64 65 64 20 62 79 20 79 6f 75 72 20 49 53 50 2e	credential.provided.by.your.ISP.
7dc0	00 46 69 6e 61 6c 6c 79 2c 20 64 6f 6e 27 74 20 66 6f 72 67 65 74 20 74 68 65 20 3a 72 65 66 3a	.Finally,.don't.forget.the.:ref:
7de0	60 66 69 72 65 77 61 6c 6c 60 2e 20 54 68 65 20 75 73 61 67 65 20 69 73 20 69 64 65 6e 74 69 63	`firewall`..The.usage.is.identic
7e00	61 6c 2c 20 65 78 63 65 70 74 20 66 6f 72 20 69 6e 73 74 65 61 64 20 6f 66 20 60 73 65 74 20 66	al,.except.for.instead.of.`set.f
7e20	69 72 65 77 61 6c 6c 20 6e 61 6d 65 20 4e 41 4d 45 60 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73	irewall.name.NAME`,.you.would.us
7e40	65 20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d 65 20 4e 41 4d 45 60 2e	e.`set.firewall.ipv6-name.NAME`.
7e60	00 46 69 6e 61 6c 6c 79 2c 20 6c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 74 68 65 20 72 65 61 63	.Finally,.let...s.check.the.reac
7e80	68 61 62 69 6c 69 74 79 20 62 65 74 77 65 65 6e 20 43 45 73 3a 00 46 69 72 65 77 61 6c 6c 00 46	hability.between.CEs:.Firewall.F
7ea0	69 72 65 77 61 6c 6c 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 46 69 72 73 74 20 61 20 43	irewall.Configuration:.First.a.C
7ec0	41 2c 20 61 20 73 69 67 6e 65 64 20 73 65 72 76 65 72 20 61 6e 64 20 63 6c 69 65 6e 74 20 63 65	A,.a.signed.server.and.client.ce
7ee0	66 74 69 66 69 63 61 74 65 20 61 6e 64 20 61 20 44 69 66 66 69 65 2d 48 65 6c 6c 6d 61 6e 20 70	ftificate.and.a.Diffie-Hellman.p
7f00	61 72 61 6d 65 74 65 72 20 6d 75 73 73 74 20 62 65 20 67 65 6e 65 72 61 74 65 64 20 61 6e 64 20	arameter.musst.be.generated.and.
7f20	69 6e 73 74 61 6c 6c 65 64 2e 20 50 6c 65 61 73 65 20 6c 6f 6f 6b 20 3a 72 65 66 3a 60 68 65 72	installed..Please.look.:ref:`her
7f40	65 20 3c 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 70 6b 69 2f 69 6e 64 65 78 3a 70 6b 69 3e 60	e.<configuration/pki/index:pki>`
7f60	20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 46 69 72 73 74 20 70 72 65	.for.more.information..First.pre
7f80	70 61 72 65 20 6f 75 72 20 56 79 4f 53 20 72 6f 75 74 65 72 20 66 6f 72 20 63 6f 6e 6e 65 63 74	pare.our.VyOS.router.for.connect
7fa0	69 6f 6e 20 74 6f 20 4e 4d 50 2e 20 57 65 20 68 61 76 65 20 74 6f 20 73 65 74 20 75 70 20 74 68	ion.to.NMP..We.have.to.set.up.th
7fc0	65 20 53 4e 4d 50 20 70 72 6f 74 6f 63 6f 6c 20 61 6e 64 20 63 6f 6e 6e 65 63 74 69 76 69 74 79	e.SNMP.protocol.and.connectivity
7fe0	20 62 65 74 77 65 65 6e 20 74 68 65 20 72 6f 75 74 65 72 20 61 6e 64 20 4e 4d 50 2e 00 46 69 72	.between.the.router.and.NMP..Fir
8000	73 74 2c 20 77 65 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 60 60 76 79 6f 73 2d 77 61 6e 60	st,.we.configure.the.``vyos-wan`
8020	60 20 69 6e 74 65 72 66 61 63 65 20 74 6f 20 67 65 74 20 61 20 44 48 43 50 20 61 64 64 72 65 73	`.interface.to.get.a.DHCP.addres
8040	73 2e 00 46 69 72 73 74 2c 20 77 65 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 74 72 61 6e 73	s..First,.we.configure.the.trans
8060	70 6f 72 74 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 74 68 65 20 54 75 6e 6e 65 6c 20 69 6e 74 65	port.network.and.the.Tunnel.inte
8080	72 66 61 63 65 2e 00 46 6c 65 78 56 50 4e 20 69 73 20 61 20 6e 65 77 65 72 20 22 73 6f 6c 75 74	rface..FlexVPN.is.a.newer."solut
80a0	69 6f 6e 22 20 66 6f 72 20 64 65 70 6c 6f 79 6d 65 6e 74 20 6f 66 20 56 50 4e 73 20 61 6e 64 20	ion".for.deployment.of.VPNs.and.
80c0	69 74 20 75 74 69 6c 69 7a 65 73 20 49 4b 45 76 32 20 61 73 20 74 68 65 20 6b 65 79 20 65 78 63	it.utilizes.IKEv2.as.the.key.exc
80e0	68 61 6e 67 65 20 70 72 6f 74 6f 63 6f 6c 2e 20 54 68 65 20 72 65 73 75 6c 74 20 69 73 20 61 20	hange.protocol..The.result.is.a.
8100	66 6c 65 78 69 62 6c 65 20 61 6e 64 20 73 63 61 6c 61 62 6c 65 20 56 50 4e 20 73 6f 6c 75 74 69	flexible.and.scalable.VPN.soluti
8120	6f 6e 20 74 68 61 74 20 63 61 6e 20 62 65 20 65 61 73 69 6c 79 20 61 64 61 70 74 65 64 20 74 6f	on.that.can.be.easily.adapted.to
8140	20 66 69 74 20 76 61 72 69 6f 75 73 20 6e 65 74 77 6f 72 6b 20 6e 65 65 64 73 2e 20 49 74 20 63	.fit.various.network.needs..It.c
8160	61 6e 20 61 6c 73 6f 20 73 75 70 70 6f 72 74 20 61 20 76 61 72 69 65 74 79 20 6f 66 20 65 6e 63	an.also.support.a.variety.of.enc
8180	72 79 70 74 69 6f 6e 20 6d 65 74 68 6f 64 73 2c 20 69 6e 63 6c 75 64 69 6e 67 20 41 45 53 20 61	ryption.methods,.including.AES.a
81a0	6e 64 20 33 44 45 53 2e 00 46 6f 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20	nd.3DES..For.connection.between.
81c0	73 69 74 65 73 2c 20 77 65 20 61 72 65 20 72 75 6e 6e 69 6e 67 20 61 20 57 69 72 65 47 75 61 72	sites,.we.are.running.a.WireGuar
81e0	64 20 6c 69 6e 6b 20 74 6f 20 74 77 6f 20 52 45 4d 4f 54 45 20 72 6f 75 74 65 72 73 20 61 6e 64	d.link.to.two.REMOTE.routers.and
8200	20 75 73 69 6e 67 20 4f 53 50 46 20 6f 76 65 72 20 74 68 6f 73 65 20 6c 69 6e 6b 73 20 74 6f 20	.using.OSPF.over.those.links.to.
8220	64 69 73 74 72 69 62 75 74 65 20 72 6f 75 74 65 73 2e 20 54 68 61 74 20 72 65 6d 6f 74 65 20 73	distribute.routes..That.remote.s
8240	69 74 65 20 69 73 20 65 78 70 65 63 74 65 64 20 74 6f 20 73 65 6e 64 20 74 72 61 66 66 69 63 20	ite.is.expected.to.send.traffic.
8260	66 72 6f 6d 20 61 6e 79 74 68 69 6e 67 20 69 6e 20 31 30 2e 32 30 31 2e 30 2e 30 2f 31 36 00 46	from.anything.in.10.201.0.0/16.F
8280	6f 72 20 68 6f 6d 65 20 6e 65 74 77 6f 72 6b 20 75 73 65 72 73 2c 20 6d 6f 73 74 20 6f 66 20 74	or.home.network.users,.most.of.t
82a0	69 6d 65 20 49 53 50 20 6f 6e 6c 79 20 70 72 6f 76 69 64 65 73 20 2f 36 34 20 70 72 65 66 69 78	ime.ISP.only.provides./64.prefix
82c0	2c 20 68 65 6e 63 65 20 74 68 65 72 65 20 69 73 20 6e 6f 20 6e 65 65 64 20 74 6f 20 73 65 74 20	,.hence.there.is.no.need.to.set.
82e0	53 4c 41 20 49 44 20 61 6e 64 20 70 72 65 66 69 78 20 6c 65 6e 67 74 68 2e 20 53 65 65 20 3a 72	SLA.ID.and.prefix.length..See.:r
8300	65 66 3a 60 70 70 70 6f 65 2d 69 6e 74 65 72 66 61 63 65 60 20 66 6f 72 20 6d 6f 72 65 20 69 6e	ef:`pppoe-interface`.for.more.in
8320	66 6f 72 6d 61 74 69 6f 6e 2e 00 46 6f 72 20 72 65 64 75 6e 64 61 6e 74 20 2f 20 61 63 74 69 76	formation..For.redundant./.activ
8340	65 2d 61 63 74 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 73 65 65 20 3a 72 65 66	e-active.configurations.see.:ref
8360	3a 60 65 78 61 6d 70 6c 65 73 2d 61 7a 75 72 65 2d 76 70 6e 2d 64 75 61 6c 2d 62 67 70 60 00 46	:`examples-azure-vpn-dual-bgp`.F
8380	6f 72 20 73 69 6d 70 6c 69 63 69 74 79 2c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 61 6e 64	or.simplicity,.configuration.and
83a0	20 74 65 73 74 73 20 61 72 65 20 64 6f 6e 65 20 6f 6e 6c 79 20 75 73 69 6e 67 20 69 70 76 34 2c	.tests.are.done.only.using.ipv4,
83c0	20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 6e 20 64	.and.firewall.configuration.in.d
83e0	6f 6e 65 20 6f 6e 6c 79 20 6f 6e 20 6f 6e 65 20 72 6f 75 74 65 72 2e 00 46 6f 72 20 74 68 65 20	one.only.on.one.router..For.the.
8400	68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2c 20 72 65 70 6c 61 63 65 20 60 60 65 74 68 30 60	hardware.router,.replace.``eth0`
8420	60 20 77 69 74 68 20 60 60 62 6f 6e 64 30 60 60 2e 20 41 73 20 28 61 6c 6d 6f 73 74 29 20 65 76	`.with.``bond0``..As.(almost).ev
8440	65 72 79 20 63 6f 6d 6d 61 6e 64 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 74 68 69 73 20 77	ery.command.is.identical,.this.w
8460	69 6c 6c 20 6e 6f 74 20 62 65 20 73 70 65 63 69 66 69 65 64 20 75 6e 6c 65 73 73 20 64 69 66 66	ill.not.be.specified.unless.diff
8480	65 72 65 6e 74 20 74 68 69 6e 67 73 20 6e 65 65 64 20 74 6f 20 62 65 20 70 65 72 66 6f 72 6d 65	erent.things.need.to.be.performe
84a0	64 20 6f 6e 20 64 69 66 66 65 72 65 6e 74 20 68 6f 73 74 73 2e 00 46 72 6f 6d 20 44 61 74 61 63	d.on.different.hosts..From.Datac
84c0	65 6e 74 65 72 20 2d 20 54 68 69 73 20 63 6f 6e 6e 65 63 74 73 20 69 6e 74 6f 20 70 6f 72 74 20	enter.-.This.connects.into.port.
84e0	31 20 6f 6e 20 62 6f 74 68 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 69 73 20 74 61 67 67 65	1.on.both.switches,.and.is.tagge
8500	64 20 61 73 20 56 4c 41 4e 20 35 30 00 46 72 6f 6d 20 4d 61 6e 61 67 65 6d 65 6e 74 20 74 6f 20	d.as.VLAN.50.From.Management.to.
8520	4c 41 4e 31 2f 4c 41 4e 32 00 46 72 6f 6d 20 4d 61 6e 61 67 65 6d 65 6e 74 20 74 6f 20 4f 75 74	LAN1/LAN2.From.Management.to.Out
8540	73 69 64 65 20 28 66 61 69 6c 73 20 61 73 20 69 6e 74 65 6e 64 65 64 29 00 46 75 6c 6c 20 63 6f	side.(fails.as.intended).Full.co
8560	6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 61 6c 6c 20 64 65 76 69 63 65 73 00 47 52 45	nfiguration.from.all.devices.GRE
8580	3a 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 4c 33 56 50	:.General.information.about.L3VP
85a0	4e 73 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 63 6f 6e	Ns.can.be.found.in.the.:ref:`con
85c0	66 69 67 75 72 61 74 69 6f 6e 2f 76 72 66 2f 69 6e 64 65 78 3a 4c 33 56 50 4e 20 56 52 46 73 60	figuration/vrf/index:L3VPN.VRFs`
85e0	20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61	.chapter..General.information.ca
8600	6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 63 6f 6e 66 69 67 75 72	n.be.found.in.the.:ref:`configur
8620	61 74 69 6f 6e 2f 76 72 66 2f 69 6e 64 65 78 3a 4c 33 56 50 4e 20 56 52 46 73 60 20 63 68 61 70	ation/vrf/index:L3VPN.VRFs`.chap
8640	74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20	ter..General.information.can.be.
8660	66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 72 6f 75 74 69 6e 67 2d 62 67 70 60 20	found.in.the.:ref:`routing-bgp`.
8680	63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e	chapter..General.information.can
86a0	20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 72 6f 75 74 69 6e 67 2d 6f	.be.found.in.the.:ref:`routing-o
86c0	73 70 66 60 20 63 68 61 70 74 65 72 2e 00 48 61 72 64 77 61 72 65 00 48 61 72 64 77 61 72 65 20	spf`.chapter..Hardware.Hardware.
86e0	52 6f 75 74 65 72 20 2d 20 50 6f 72 74 20 38 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 48	Router.-.Port.8.of.each.switch.H
8700	65 72 65 20 69 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 6e 20 49 50 76 36 20 44 4d 5a	ere.is.an.example.of.an.IPv6.DMZ
8720	2d 57 41 4e 20 72 75 6c 65 73 65 74 2e 00 48 65 72 65 20 69 73 20 74 68 65 20 72 6f 75 74 69 6e	-WAN.ruleset..Here.is.the.routin
8740	67 20 74 61 62 6c 65 73 20 73 68 6f 77 69 6e 67 20 74 68 65 20 4d 50 4c 53 20 73 65 67 6d 65 6e	g.tables.showing.the.MPLS.segmen
8760	74 20 72 6f 75 74 69 6e 67 20 6c 61 62 65 6c 20 6f 70 65 72 61 74 69 6f 6e 73 3a 00 48 65 72 65	t.routing.label.operations:.Here
8780	20 77 65 20 73 65 74 20 74 68 65 20 70 72 65 66 69 78 20 74 6f 20 60 60 3a 3a 2f 36 34 60 60 20	.we.set.the.prefix.to.``::/64``.
87a0	74 6f 20 69 6e 64 69 63 61 74 65 20 61 64 76 65 72 74 69 73 69 6e 67 20 61 6e 79 20 2f 36 34 20	to.indicate.advertising.any./64.
87c0	70 72 65 66 69 78 20 74 68 65 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69	prefix.the.LAN.interface.is.assi
87e0	67 6e 65 64 2e 00 48 65 72 65 20 77 65 20 75 73 65 20 74 68 65 20 70 72 65 66 69 78 20 74 6f 20	gned..Here.we.use.the.prefix.to.
8800	63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 61 64 64 72 65 73 73 20 6f 66 20 65 74 68 31 20 28 4c	configure.the.address.of.eth1.(L
8820	41 4e 29 20 74 6f 20 66 6f 72 6d 20 60 60 3c 70 72 65 66 69 78 3e 3a 3a 36 34 60 60 2c 20 77 68	AN).to.form.``<prefix>::64``,.wh
8840	65 72 65 20 60 60 36 34 60 60 20 69 73 20 68 65 78 61 64 65 63 69 6d 61 6c 20 6f 66 20 61 64 64	ere.``64``.is.hexadecimal.of.add
8860	72 65 73 73 20 31 30 30 2e 00 48 69 67 68 20 41 76 61 69 6c 61 62 69 6c 69 74 79 20 57 61 6c 6b	ress.100..High.Availability.Walk
8880	74 68 72 6f 75 67 68 00 48 6f 77 20 64 6f 65 73 20 69 74 20 77 6f 72 6b 3f 00 48 75 62 00 49 20	through.How.does.it.work?.Hub.I.
88a0	63 68 6f 73 65 20 74 6f 20 72 75 6e 20 4f 53 50 46 20 61 73 20 74 68 65 20 49 47 50 20 28 49 6e	chose.to.run.OSPF.as.the.IGP.(In
88c0	74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f 74 6f 63 6f 6c 29 2e 20 41 6c 6c 20 72 65	terior.Gateway.Protocol)..All.re
88e0	71 75 69 72 65 64 20 42 47 50 20 73 65 73 73 69 6f 6e 73 20 61 72 65 20 65 73 74 61 62 6c 69 73	quired.BGP.sessions.are.establis
8900	68 65 64 20 76 69 61 20 61 20 64 75 6d 6d 79 20 69 6e 74 65 72 66 61 63 65 73 20 28 73 69 6d 69	hed.via.a.dummy.interfaces.(simi
8920	6c 61 72 20 74 6f 20 74 68 65 20 6c 6f 6f 70 62 61 63 6b 2c 20 62 75 74 20 69 6e 20 4c 69 6e 75	lar.to.the.loopback,.but.in.Linu
8940	78 20 79 6f 75 20 63 61 6e 20 68 61 76 65 20 6f 6e 6c 79 20 6f 6e 65 20 6c 6f 6f 70 62 61 63 6b	x.you.can.have.only.one.loopback
8960	2c 20 77 68 69 6c 65 20 74 68 65 72 65 20 63 61 6e 20 62 65 20 6d 61 6e 79 20 64 75 6d 6d 79 20	,.while.there.can.be.many.dummy.
8980	69 6e 74 65 72 66 61 63 65 73 29 20 6f 6e 20 74 68 65 20 50 45 20 72 6f 75 74 65 72 73 2e 20 49	interfaces).on.the.PE.routers..I
89a0	6e 20 63 61 73 65 20 6f 66 20 61 20 6c 69 6e 6b 20 66 61 69 6c 75 72 65 2c 20 74 72 61 66 66 69	n.case.of.a.link.failure,.traffi
89c0	63 20 69 73 20 64 69 76 65 72 74 65 64 20 69 6e 20 74 68 65 20 6f 74 68 65 72 20 64 69 72 65 63	c.is.diverted.in.the.other.direc
89e0	74 69 6f 6e 20 69 6e 20 74 68 69 73 20 74 72 69 61 6e 67 6c 65 20 73 65 74 75 70 20 61 6e 64 20	tion.in.this.triangle.setup.and.
8a00	42 47 50 20 73 65 73 73 69 6f 6e 73 20 77 69 6c 6c 20 6e 6f 74 20 67 6f 20 64 6f 77 6e 2e 20 4f	BGP.sessions.will.not.go.down..O
8a20	6e 65 20 63 6f 75 6c 64 20 65 76 65 6e 20 65 6e 61 62 6c 65 20 42 46 44 20 28 42 69 64 69 72 65	ne.could.even.enable.BFD.(Bidire
8a40	63 74 69 6f 6e 61 6c 20 46 6f 72 77 61 72 64 69 6e 67 20 44 65 74 65 63 74 69 6f 6e 29 20 6f 6e	ctional.Forwarding.Detection).on
8a60	20 74 68 65 20 6c 69 6e 6b 73 20 66 6f 72 20 61 20 66 61 73 74 65 72 20 66 61 69 6c 6f 76 65 72	.the.links.for.a.faster.failover
8a80	20 61 6e 64 20 72 65 73 69 6c 69 65 6e 63 65 20 69 6e 20 74 68 65 20 6e 65 74 77 6f 72 6b 2e 00	.and.resilience.in.the.network..
8aa0	49 20 63 72 65 61 74 65 2f 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65	I.create/configure.the.interface
8ac0	73 20 66 69 72 73 74 2e 20 42 75 69 6c 64 20 6f 75 74 20 74 68 65 20 72 75 6c 65 73 65 74 73 20	s.first..Build.out.the.rulesets.
8ae0	66 6f 72 20 65 61 63 68 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 77 68 69	for.each.zone-pair-direction.whi
8b00	63 68 20 69 6e 63 6c 75 64 65 73 20 61 74 20 6c 65 61 73 74 20 74 68 65 20 74 68 72 65 65 20 73	ch.includes.at.least.the.three.s
8b20	74 61 74 65 20 72 75 6c 65 73 2e 20 54 68 65 6e 20 49 20 73 65 74 75 70 20 74 68 65 20 7a 6f 6e	tate.rules..Then.I.setup.the.zon
8b40	65 2d 70 6f 6c 69 63 69 65 73 2e 00 49 20 6e 61 6d 65 20 72 75 6c 65 20 73 65 74 73 20 74 6f 20	e-policies..I.name.rule.sets.to.
8b60	69 6e 64 69 63 61 74 65 20 77 68 69 63 68 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69	indicate.which.zone-pair-directi
8b80	6f 6e 20 74 68 65 79 20 72 65 70 72 65 73 65 6e 74 2e 20 65 67 2e 20 5a 6f 6e 65 41 2d 5a 6f 6e	on.they.represent..eg..ZoneA-Zon
8ba0	65 42 20 6f 72 20 5a 6f 6e 65 42 2d 5a 6f 6e 65 41 2e 20 4c 41 4e 2d 44 4d 5a 2c 20 44 4d 5a 2d	eB.or.ZoneB-ZoneA..LAN-DMZ,.DMZ-
8bc0	4c 41 4e 2e 00 49 20 6e 61 6d 65 64 20 74 68 65 20 63 75 73 74 6f 6d 65 72 73 20 62 6c 75 65 2c	LAN..I.named.the.customers.blue,
8be0	20 72 65 64 20 61 6e 64 20 67 72 65 65 6e 20 77 68 69 63 68 20 69 73 20 63 6f 6d 6d 6f 6e 20 70	.red.and.green.which.is.common.p
8c00	72 61 63 74 69 63 65 20 69 6e 20 56 52 46 20 28 56 69 72 74 75 61 6c 20 52 6f 75 74 69 6e 67 20	ractice.in.VRF.(Virtual.Routing.
8c20	61 6e 64 20 46 6f 72 77 61 72 64 69 6e 67 29 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 73 63	and.Forwarding).documentation.sc
8c40	65 6e 61 72 69 6f 73 2e 00 49 20 73 70 75 6e 20 75 70 20 61 20 6e 65 77 20 6c 61 62 20 69 6e 20	enarios..I.spun.up.a.new.lab.in.
8c60	45 56 45 2d 4e 47 2c 20 77 68 69 63 68 20 72 65 70 72 65 73 65 6e 74 73 20 74 68 69 73 20 61 73	EVE-NG,.which.represents.this.as
8c80	20 74 68 65 20 22 46 6f 6f 20 42 61 72 20 2d 20 53 65 72 76 69 63 65 20 50 72 6f 76 69 64 65 72	.the."Foo.Bar.-.Service.Provider
8ca0	20 49 6e 63 2e 22 20 74 68 61 74 20 68 61 73 20 33 20 70 6f 69 6e 74 73 20 6f 66 20 70 72 65 73	.Inc.".that.has.3.points.of.pres
8cc0	65 6e 63 65 20 28 50 6f 50 29 20 69 6e 20 72 61 6e 64 6f 6d 20 64 61 74 61 63 65 6e 74 65 72 73	ence.(PoP).in.random.datacenters
8ce0	2f 73 69 74 65 73 20 6e 61 6d 65 64 20 50 45 31 2c 20 50 45 32 2c 20 61 6e 64 20 50 45 33 2e 20	/sites.named.PE1,.PE2,.and.PE3..
8d00	45 61 63 68 20 50 6f 50 20 61 67 67 72 65 67 61 74 65 73 20 61 74 20 6c 65 61 73 74 20 74 77 6f	Each.PoP.aggregates.at.least.two
8d20	20 63 75 73 74 6f 6d 65 72 73 2e 00 49 50 20 53 63 68 65 6d 61 00 49 50 2f 4d 50 4c 53 20 74 65	.customers..IP.Schema.IP/MPLS.te
8d40	63 68 6e 6f 6c 6f 67 79 20 69 73 20 77 69 64 65 6c 79 20 75 73 65 64 20 62 79 20 76 61 72 69 6f	chnology.is.widely.used.by.vario
8d60	75 73 20 73 65 72 76 69 63 65 20 70 72 6f 76 69 64 65 72 73 20 61 6e 64 20 6c 61 72 67 65 20 65	us.service.providers.and.large.e
8d80	6e 74 65 72 70 72 69 73 65 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 61 63 68 69 65 76 65 20 62	nterprises.in.order.to.achieve.b
8da0	65 74 74 65 72 20 6e 65 74 77 6f 72 6b 20 73 63 61 6c 61 62 69 6c 69 74 79 2c 20 6d 61 6e 61 67	etter.network.scalability,.manag
8dc0	65 61 62 69 6c 69 74 79 20 61 6e 64 20 66 6c 65 78 69 62 69 6c 69 74 79 2e 20 49 74 20 61 6c 73	eability.and.flexibility..It.als
8de0	6f 20 70 72 6f 76 69 64 65 73 20 74 68 65 20 70 6f 73 73 69 62 69 6c 69 74 79 20 74 6f 20 64 65	o.provides.the.possibility.to.de
8e00	6c 69 76 65 72 20 64 69 66 66 65 72 65 6e 74 20 73 65 72 76 69 63 65 73 20 66 6f 72 20 74 68 65	liver.different.services.for.the
8e20	20 63 75 73 74 6f 6d 65 72 73 20 69 6e 20 61 20 73 65 61 6d 6c 65 73 73 20 6d 61 6e 6e 65 72 2e	.customers.in.a.seamless.manner.
8e40	20 4c 61 79 65 72 20 33 20 56 50 4e 20 28 4c 33 56 50 4e 29 20 69 73 20 61 20 74 79 70 65 20 6f	.Layer.3.VPN.(L3VPN).is.a.type.o
8e60	66 20 56 50 4e 20 6d 6f 64 65 20 74 68 61 74 20 69 73 20 62 75 69 6c 74 20 61 6e 64 20 64 65 6c	f.VPN.mode.that.is.built.and.del
8e80	69 76 65 72 65 64 20 74 68 72 6f 75 67 68 20 4f 53 49 20 6c 61 79 65 72 20 33 20 6e 65 74 77 6f	ivered.through.OSI.layer.3.netwo
8ea0	72 6b 69 6e 67 20 74 65 63 68 6e 6f 6c 6f 67 69 65 73 2e 20 4f 66 74 65 6e 20 74 68 65 20 62 6f	rking.technologies..Often.the.bo
8ec0	72 64 65 72 20 67 61 74 65 77 61 79 20 70 72 6f 74 6f 63 6f 6c 20 28 42 47 50 29 20 69 73 20 75	rder.gateway.protocol.(BGP).is.u
8ee0	73 65 64 20 74 6f 20 73 65 6e 64 20 61 6e 64 20 72 65 63 65 69 76 65 20 56 50 4e 2d 72 65 6c 61	sed.to.send.and.receive.VPN-rela
8f00	74 65 64 20 64 61 74 61 20 74 68 61 74 20 69 73 20 72 65 73 70 6f 6e 73 69 62 6c 65 20 66 6f 72	ted.data.that.is.responsible.for
8f20	20 74 68 65 20 63 6f 6e 74 72 6f 6c 20 70 6c 61 6e 65 2e 20 4c 33 56 50 4e 20 75 74 69 6c 69 7a	.the.control.plane..L3VPN.utiliz
8f40	65 73 20 76 69 72 74 75 61 6c 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 66 6f 72 77 61 72 64 69 6e	es.virtual.routing.and.forwardin
8f60	67 20 28 56 52 46 29 20 74 65 63 68 6e 69 71 75 65 73 20 74 6f 20 72 65 63 65 69 76 65 20 61 6e	g.(VRF).techniques.to.receive.an
8f80	64 20 64 65 6c 69 76 65 72 20 75 73 65 72 20 64 61 74 61 20 61 73 20 77 65 6c 6c 20 61 73 20 73	d.deliver.user.data.as.well.as.s
8fa0	65 70 61 72 61 74 65 20 64 61 74 61 20 70 6c 61 6e 65 73 20 6f 66 20 74 68 65 20 65 6e 64 2d 75	eparate.data.planes.of.the.end-u
8fc0	73 65 72 73 2e 20 49 74 20 69 73 20 62 75 69 6c 74 20 75 73 69 6e 67 20 61 20 63 6f 6d 62 69 6e	sers..It.is.built.using.a.combin
8fe0	61 74 69 6f 6e 20 6f 66 20 49 50 2d 20 61 6e 64 20 4d 50 4c 53 2d 62 61 73 65 64 20 69 6e 66 6f	ation.of.IP-.and.MPLS-based.info
9000	72 6d 61 74 69 6f 6e 2e 20 47 65 6e 65 72 61 6c 6c 79 2c 20 4c 33 56 50 4e 73 20 61 72 65 20 75	rmation..Generally,.L3VPNs.are.u
9020	73 65 64 20 74 6f 20 73 65 6e 64 20 64 61 74 61 20 6f 6e 20 62 61 63 6b 2d 65 6e 64 20 56 50 4e	sed.to.send.data.on.back-end.VPN
9040	20 69 6e 66 72 61 73 74 72 75 63 74 75 72 65 73 2c 20 73 75 63 68 20 61 73 20 66 6f 72 20 56 50	.infrastructures,.such.as.for.VP
9060	4e 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 62 65 74 77 65 65 6e 20 64 61 74 61 20 63 65 6e 74 72	N.connections.between.data.centr
9080	65 73 2c 20 48 51 73 20 61 6e 64 20 62 72 61 6e 63 68 65 73 2e 00 49 50 53 65 63 20 63 6f 6e 66	es,.HQs.and.branches..IPSec.conf
90a0	69 67 75 72 61 74 69 6f 6e 3a 00 49 50 73 65 63 3a 00 49 50 76 34 20 4e 65 74 77 6f 72 6b 00 49	iguration:.IPsec:.IPv4.Network.I
90c0	50 76 36 20 4e 65 74 77 6f 72 6b 00 49 50 76 36 20 54 75 6e 6e 65 6c 00 49 53 49 53 2d 53 52 20	Pv6.Network.IPv6.Tunnel.ISIS-SR.
90e0	65 78 61 6d 70 6c 65 20 6e 65 74 77 6f 72 6b 00 49 53 49 53 2d 53 52 20 6e 65 74 77 6f 72 6b 00	example.network.ISIS-SR.network.
9100	49 53 50 00 49 66 20 74 68 65 20 63 6c 69 65 6e 74 20 69 73 20 63 6f 6e 6e 65 63 74 20 73 75 63	ISP.If.the.client.is.connect.suc
9120	63 65 73 73 66 75 6c 6c 79 20 79 6f 75 20 63 61 6e 20 63 68 65 63 6b 20 74 68 65 20 6f 75 74 70	cessfully.you.can.check.the.outp
9140	75 74 20 77 69 74 68 00 49 66 20 77 65 20 6e 65 65 64 20 74 6f 20 72 65 74 72 69 65 76 65 20 69	ut.with.If.we.need.to.retrieve.i
9160	6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 61 20 73 70 65 63 69 66 69 63 20 68 6f 73 74	nformation.about.a.specific.host
9180	2f 6e 65 74 77 6f 72 6b 20 69 6e 73 69 64 65 20 74 68 65 20 45 56 50 4e 20 6e 65 74 77 6f 72 6b	/network.inside.the.EVPN.network
91a0	20 77 65 20 6e 65 65 64 20 74 6f 20 72 75 6e 00 49 66 20 79 6f 75 20 61 72 65 20 66 6f 6c 6c 6f	.we.need.to.run.If.you.are.follo
91c0	77 69 6e 67 20 74 68 72 6f 75 67 68 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 2c 20 69 74 20 69	wing.through.this.document,.it.i
91e0	73 20 73 74 72 6f 6e 67 6c 79 20 73 75 67 67 65 73 74 65 64 20 79 6f 75 20 63 6f 6d 70 6c 65 74	s.strongly.suggested.you.complet
9200	65 20 74 68 65 20 65 6e 74 69 72 65 20 64 6f 63 75 6d 65 6e 74 2c 20 4f 4e 4c 59 20 64 6f 69 6e	e.the.entire.document,.ONLY.doin
9220	67 20 74 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 31 20 73 74 65 70 73 2c 20 61 6e 64	g.the.virtual.router1.steps,.and
9240	20 74 68 65 6e 20 63 6f 6d 65 20 62 61 63 6b 20 61 6e 64 20 77 61 6c 6b 20 74 68 72 6f 75 67 68	.then.come.back.and.walk.through
9260	20 69 74 20 41 47 41 49 4e 20 6f 6e 20 74 68 65 20 62 61 63 6b 75 70 20 68 61 72 64 77 61 72 65	.it.AGAIN.on.the.backup.hardware
9280	20 72 6f 75 74 65 72 2e 00 49 66 20 79 6f 75 20 61 72 65 20 75 73 69 6e 67 20 61 20 49 50 76 36	.router..If.you.are.using.a.IPv6
92a0	20 74 75 6e 6e 65 6c 20 66 72 6f 6d 20 48 45 2e 6e 65 74 20 6f 72 20 73 6f 6d 65 6f 6e 65 20 65	.tunnel.from.HE.net.or.someone.e
92c0	6c 73 65 2c 20 74 68 65 20 62 61 73 69 73 20 69 73 20 74 68 65 20 73 61 6d 65 20 65 78 63 65 70	lse,.the.basis.is.the.same.excep
92e0	74 20 79 6f 75 20 68 61 76 65 20 74 77 6f 20 57 41 4e 20 69 6e 74 65 72 66 61 63 65 73 2e 20 4f	t.you.have.two.WAN.interfaces..O
9300	6e 65 20 66 6f 72 20 76 34 20 61 6e 64 20 6f 6e 65 20 66 6f 72 20 76 36 2e 00 49 66 20 79 6f 75	ne.for.v4.and.one.for.v6..If.you
9320	20 75 73 65 20 61 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 69 74 73 65 6c 66 2c 20	.use.a.routing.protocol.itself,.
9340	79 6f 75 20 73 6f 6c 76 65 20 74 77 6f 20 70 72 6f 62 6c 65 6d 73 20 61 74 20 6f 6e 63 65 2e 20	you.solve.two.problems.at.once..
9360	54 68 69 73 20 69 73 20 6f 6e 6c 79 20 61 20 62 61 73 69 63 20 65 78 61 6d 70 6c 65 2c 20 61 6e	This.is.only.a.basic.example,.an
9380	64 20 69 73 20 70 72 6f 76 69 64 65 64 20 61 73 20 61 20 73 74 61 72 74 69 6e 67 20 70 6f 69 6e	d.is.provided.as.a.starting.poin
93a0	74 2e 00 49 66 20 79 6f 75 72 20 63 6f 6d 70 75 74 65 72 20 69 73 20 6f 6e 20 74 68 65 20 4c 41	t..If.your.computer.is.on.the.LA
93c0	4e 20 61 6e 64 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 53 53 48 20 69 6e 74 6f 20 79 6f 75 72 20	N.and.you.need.to.SSH.into.your.
93e0	56 79 4f 53 20 62 6f 78 2c 20 79 6f 75 20 77 6f 75 6c 64 20 6e 65 65 64 20 61 20 72 75 6c 65 20	VyOS.box,.you.would.need.a.rule.
9400	74 6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e 20 74 68 65 20 4c 41 4e 2d 4c 6f 63 61 6c 20 72 75 6c	to.allow.it.in.the.LAN-Local.rul
9420	65 73 65 74 2e 20 49 66 20 79 6f 75 20 77 61 6e 74 20 74 6f 20 61 63 63 65 73 73 20 61 20 77 65	eset..If.you.want.to.access.a.we
9440	62 70 61 67 65 20 66 72 6f 6d 20 79 6f 75 72 20 56 79 4f 53 20 62 6f 78 2c 20 79 6f 75 20 6e 65	bpage.from.your.VyOS.box,.you.ne
9460	65 64 20 61 20 72 75 6c 65 20 74 6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e 20 74 68 65 20 4c 6f 63	ed.a.rule.to.allow.it.in.the.Loc
9480	61 6c 2d 4c 41 4e 20 72 75 6c 65 73 65 74 2e 00 49 6d 61 67 65 20 6e 61 6d 65 3a 20 76 79 6f 73	al-LAN.ruleset..Image.name:.vyos
94a0	2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 2d 61 6d 64 36 34 2e	-1.4-rolling-202110310317-amd64.
94c0	69 73 6f 00 49 6e 20 3a 76 79 74 61 73 6b 3a 60 54 32 31 39 39 60 20 74 68 65 20 73 79 6e 74 61	iso.In.:vytask:`T2199`.the.synta
94e0	78 20 6f 66 20 74 68 65 20 7a 6f 6e 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 61 73 20	x.of.the.zone.configuration.was.
9500	63 68 61 6e 67 65 64 2e 20 54 68 65 20 7a 6f 6e 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20	changed..The.zone.configuration.
9520	6d 6f 76 65 64 20 66 72 6f 6d 20 60 60 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 7a 6f 6e 65 20 3c 6e	moved.from.``zone-policy.zone.<n
9540	61 6d 65 3e 60 60 20 74 6f 20 60 60 66 69 72 65 77 61 6c 6c 20 7a 6f 6e 65 20 3c 6e 61 6d 65 3e	ame>``.to.``firewall.zone.<name>
9560	60 60 2e 00 49 6e 20 56 79 4f 53 20 79 6f 75 20 6d 75 73 74 20 68 61 76 65 20 74 68 65 20 69 6e	``..In.VyOS.you.must.have.the.in
9580	74 65 72 66 61 63 65 73 20 63 72 65 61 74 65 64 20 62 65 66 6f 72 65 20 79 6f 75 20 63 61 6e 20	terfaces.created.before.you.can.
95a0	61 70 70 6c 79 20 69 74 20 74 6f 20 74 68 65 20 7a 6f 6e 65 20 61 6e 64 20 74 68 65 20 72 75 6c	apply.it.to.the.zone.and.the.rul
95c0	65 73 65 74 73 20 6d 75 73 74 20 62 65 20 63 72 65 61 74 65 64 20 70 72 69 6f 72 20 74 6f 20 61	esets.must.be.created.prior.to.a
95e0	70 70 6c 79 69 6e 67 20 69 74 20 74 6f 20 61 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 2e 00 49 6e 20	pplying.it.to.a.zone-policy..In.
9600	56 79 4f 53 2c 20 79 6f 75 20 68 61 76 65 20 74 6f 20 68 61 76 65 20 75 6e 69 71 75 65 20 52 75	VyOS,.you.have.to.have.unique.Ru
9620	6c 65 73 65 74 20 6e 61 6d 65 73 2e 20 49 6e 20 74 68 65 20 65 76 65 6e 74 20 6f 66 20 6f 76 65	leset.names..In.the.event.of.ove
9640	72 6c 61 70 2c 20 49 20 61 64 64 20 61 20 22 2d 36 22 20 74 6f 20 74 68 65 20 65 6e 64 20 6f 66	rlap,.I.add.a."-6".to.the.end.of
9660	20 76 36 20 72 75 6c 65 73 65 74 73 2e 20 65 67 2e 20 4c 41 4e 2d 44 4d 5a 2c 20 4c 41 4e 2d 44	.v6.rulesets..eg..LAN-DMZ,.LAN-D
9680	4d 5a 2d 36 2e 20 54 68 69 73 20 61 6c 6c 6f 77 73 20 66 6f 72 20 65 61 63 68 20 61 75 74 6f 2d	MZ-6..This.allows.for.each.auto-
96a0	63 6f 6d 70 6c 65 74 69 6f 6e 20 61 6e 64 20 75 6e 69 71 75 65 6e 65 73 73 2e 00 49 6e 20 72 75	completion.and.uniqueness..In.ru
96c0	6c 65 73 2c 20 69 74 20 69 73 20 67 6f 6f 64 20 74 6f 20 6b 65 65 70 20 74 68 65 6d 20 6e 61 6d	les,.it.is.good.to.keep.them.nam
96e0	65 64 20 63 6f 6e 73 69 73 74 65 6e 74 6c 79 2e 20 41 73 20 74 68 65 20 6e 75 6d 62 65 72 20 6f	ed.consistently..As.the.number.o
9700	66 20 72 75 6c 65 73 20 79 6f 75 20 68 61 76 65 20 67 72 6f 77 73 2c 20 74 68 65 20 6d 6f 72 65	f.rules.you.have.grows,.the.more
9720	20 63 6f 6e 73 69 73 74 65 6e 63 79 20 79 6f 75 20 68 61 76 65 2c 20 74 68 65 20 65 61 73 69 65	.consistency.you.have,.the.easie
9740	72 20 79 6f 75 72 20 6c 69 66 65 20 77 69 6c 6c 20 62 65 2e 00 49 6e 20 74 68 65 20 61 62 6f 76	r.your.life.will.be..In.the.abov
9760	65 20 65 78 61 6d 70 6c 65 73 2c 20 31 2c 32 2c 66 66 66 66 20 61 72 65 20 61 6c 6c 20 63 68 6f	e.examples,.1,2,ffff.are.all.cho
9780	73 65 6e 20 62 79 20 79 6f 75 2e 20 59 6f 75 20 63 61 6e 20 75 73 65 20 31 2d 66 66 66 66 20 28	sen.by.you..You.can.use.1-ffff.(
97a0	31 2d 36 35 35 33 35 29 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 6f 6e 20 74 68 65 20 72 6f 75	1-65535)..In.the.end,.on.the.rou
97c0	74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 77 65 20 77 69 6c 6c 20 73 65 74 20 6f 75 74 67	ter....VyOS2....we.will.set.outg
97e0	6f 69 6e 67 20 62 61 6e 64 77 69 64 74 68 20 6c 69 6d 69 74 73 20 62 65 74 77 65 65 6e 20 74 68	oing.bandwidth.limits.between.th
9800	65 20 e2 80 9c 56 79 4f 53 33 e2 80 9d 20 61 6e 64 20 e2 80 9c 56 79 4f 53 31 e2 80 9d 20 72 6f	e....VyOS3....and....VyOS1....ro
9820	75 74 65 72 73 2e 20 4c 65 74 27 73 20 73 65 74 20 61 20 6c 69 6d 69 74 20 66 6f 72 20 49 50 20	uters..Let's.set.a.limit.for.IP.
9840	31 30 2e 31 2e 31 2e 31 30 30 20 3d 20 35 20 4d 62 70 73 28 54 78 29 2e 20 57 65 20 77 69 6c 6c	10.1.1.100.=.5.Mbps(Tx)..We.will
9860	20 63 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 20 6f 66 20 74 68 65 20 77 6f 72 6b 20 77 69	.check.the.result.of.the.work.wi
9880	74 68 20 74 68 65 20 68 65 6c 70 20 6f 66 20 74 68 65 20 e2 80 9c 69 50 65 72 66 e2 80 9d 20 75	th.the.help.of.the....iPerf....u
98a0	74 69 6c 69 74 79 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 77 65 20 77 69 6c 6c 20 63 6f 6e 66	tility..In.the.end,.we.will.conf
98c0	69 67 75 72 65 20 74 68 65 20 74 72 61 66 66 69 63 20 73 68 61 70 65 72 20 75 73 69 6e 67 20 51	igure.the.traffic.shaper.using.Q
98e0	6f 53 20 6d 65 63 68 61 6e 69 73 6d 73 20 6f 6e 20 74 68 65 20 e2 80 9c 56 59 4f 53 32 e2 80 9d	oS.mechanisms.on.the....VYOS2...
9900	20 72 6f 75 74 65 72 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 79 6f 75 20 77 69 6c 6c 20 65 6e	.router..In.the.end,.you.will.en
9920	64 20 75 70 20 77 69 74 68 20 73 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 20 74 68 69 73 20 63 6f	d.up.with.something.like.this.co
9940	6e 66 69 67 2e 20 49 20 74 6f 6f 6b 20 6f 75 74 20 65 76 65 72 79 74 68 69 6e 67 20 62 75 74 20	nfig..I.took.out.everything.but.
9960	74 68 65 20 46 69 72 65 77 61 6c 6c 2c 20 49 6e 74 65 72 66 61 63 65 73 2c 20 61 6e 64 20 7a 6f	the.Firewall,.Interfaces,.and.zo
9980	6e 65 2d 70 6f 6c 69 63 79 20 73 65 63 74 69 6f 6e 73 2e 20 49 74 20 69 73 20 6c 6f 6e 67 20 65	ne-policy.sections..It.is.long.e
99a0	6e 6f 75 67 68 20 61 73 20 69 73 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 79 6f 75 27 6c 6c 20	nough.as.is..In.the.end,.you'll.
99c0	67 65 74 20 61 20 70 6f 77 65 72 66 75 6c 20 69 6e 73 74 72 75 6d 65 6e 74 20 66 6f 72 20 6d 6f	get.a.powerful.instrument.for.mo
99e0	6e 69 74 6f 72 69 6e 67 20 74 68 65 20 56 79 4f 53 20 73 79 73 74 65 6d 73 2e 00 49 6e 20 74 68	nitoring.the.VyOS.systems..In.th
9a00	65 20 6e 65 78 74 20 63 68 61 70 74 65 72 20 6f 66 20 74 68 65 20 65 78 61 6d 70 6c 65 2c 20 77	e.next.chapter.of.the.example,.w
9a20	65 27 6c 6c 20 75 73 65 20 74 68 65 20 41 6e 73 69 62 6c 65 20 77 69 74 68 20 6a 69 6e 6a 61 32	e'll.use.the.Ansible.with.jinja2
9a40	20 74 65 6d 70 6c 61 74 65 73 20 61 6e 64 20 76 61 72 69 61 62 6c 65 73 2e 00 49 6e 20 74 68 69	.templates.and.variables..In.thi
9a60	73 20 63 61 73 65 2c 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 20 68 61 73 20	s.case,.the.hardware.router.has.
9a80	61 20 64 69 66 66 65 72 65 6e 74 20 49 50 2c 20 73 6f 20 69 74 20 77 6f 75 6c 64 20 62 65 00 49	a.different.IP,.so.it.would.be.I
9aa0	6e 20 74 68 69 73 20 63 61 73 65 2c 20 77 65 20 61 72 65 20 73 65 74 74 69 6e 67 20 74 68 65 20	n.this.case,.we.are.setting.the.
9ac0	76 36 20 72 75 6c 65 73 65 74 20 74 68 61 74 20 72 65 70 72 65 73 65 6e 74 73 20 74 72 61 66 66	v6.ruleset.that.represents.traff
9ae0	69 63 20 73 6f 75 72 63 65 64 20 66 72 6f 6d 20 74 68 65 20 4c 41 4e 2c 20 64 65 73 74 69 6e 65	ic.sourced.from.the.LAN,.destine
9b00	64 20 66 6f 72 20 74 68 65 20 44 4d 5a 2e 20 42 65 63 61 75 73 65 20 74 68 65 20 7a 6f 6e 65 2d	d.for.the.DMZ..Because.the.zone-
9b20	70 6f 6c 69 63 79 20 66 69 72 65 77 61 6c 6c 20 73 79 6e 74 61 78 20 69 73 20 61 20 6c 69 74 74	policy.firewall.syntax.is.a.litt
9b40	6c 65 20 61 77 6b 77 61 72 64 2c 20 49 20 6b 65 65 70 20 69 74 20 73 74 72 61 69 67 68 74 20 62	le.awkward,.I.keep.it.straight.b
9b60	79 20 74 68 69 6e 6b 69 6e 67 20 6f 66 20 69 74 20 62 61 63 6b 77 61 72 64 73 2e 00 49 6e 20 74	y.thinking.of.it.backwards..In.t
9b80	68 69 73 20 63 61 73 65 2c 20 77 65 27 6c 6c 20 74 72 79 20 74 6f 20 6d 61 6b 65 20 61 20 73 69	his.case,.we'll.try.to.make.a.si
9ba0	6d 70 6c 65 20 6c 61 62 20 75 73 69 6e 67 20 51 6f 53 20 61 6e 64 20 74 68 65 20 67 65 6e 65 72	mple.lab.using.QoS.and.the.gener
9bc0	61 6c 20 61 62 69 6c 69 74 79 20 6f 66 20 74 68 65 20 56 79 4f 53 20 73 79 73 74 65 6d 2e 20 57	al.ability.of.the.VyOS.system..W
9be0	65 20 72 65 63 6f 6d 6d 65 6e 64 20 79 6f 75 20 74 6f 20 67 6f 20 74 68 72 6f 75 67 68 20 74 68	e.recommend.you.to.go.through.th
9c00	65 20 6d 61 69 6e 20 61 72 74 69 63 6c 65 20 61 62 6f 75 74 20 60 51 6f 53 20 3c 68 74 74 70 73	e.main.article.about.`QoS.<https
9c20	3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f 6e 66 69 67	://docs.vyos.io/en/latest/config
9c40	75 72 61 74 69 6f 6e 2f 74 72 61 66 66 69 63 70 6f 6c 69 63 79 2f 69 6e 64 65 78 2e 68 74 6d 6c	uration/trafficpolicy/index.html
9c60	3e 60 5f 20 66 69 72 73 74 2e 00 49 6e 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 2c 20 77 65 20	>`_.first..In.this.document,.we.
9c80	68 61 76 65 20 62 65 65 6e 20 61 6c 6c 6f 63 61 74 65 64 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f	have.been.allocated.203.0.113.0/
9ca0	32 34 20 62 79 20 6f 75 72 20 75 70 73 74 72 65 61 6d 20 70 72 6f 76 69 64 65 72 2c 20 77 68 69	24.by.our.upstream.provider,.whi
9cc0	63 68 20 77 65 20 61 72 65 20 70 75 62 6c 69 73 68 69 6e 67 20 6f 6e 20 56 4c 41 4e 31 30 30 2e	ch.we.are.publishing.on.VLAN100.
9ce0	00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 4f 70 65 6e 56 50 4e 20 77 69 6c 6c 20 62 65	.In.this.example.OpenVPN.will.be
9d00	20 73 65 74 75 70 20 77 69 74 68 20 61 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65	.setup.with.a.client.certificate
9d20	20 61 6e 64 20 75 73 65 72 6e 61 6d 65 20 2f 20 70 61 73 73 77 6f 72 64 20 61 75 74 68 65 6e 74	.and.username./.password.authent
9d40	69 63 61 74 69 6f 6e 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 74 77 6f 20 4c 41 4e	ication..In.this.example.two.LAN
9d60	20 69 6e 74 65 72 66 61 63 65 73 20 65 78 69 73 74 20 69 6e 20 64 69 66 66 65 72 65 6e 74 20 73	.interfaces.exist.in.different.s
9d80	75 62 6e 65 74 73 20 69 6e 73 74 65 61 64 20 6f 66 20 6f 6e 65 20 6c 69 6b 65 20 69 6e 20 74 68	ubnets.instead.of.one.like.in.th
9da0	65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 73 3a 00 49 6e 20 74 68 69 73 20 65 78 61	e.previous.examples:.In.this.exa
9dc0	6d 70 6c 65 20 77 65 20 68 61 76 65 20 34 20 7a 6f 6e 65 73 2e 20 4c 41 4e 2c 20 57 41 4e 2c 20	mple.we.have.4.zones..LAN,.WAN,.
9de0	44 4d 5a 2c 20 4c 6f 63 61 6c 2e 20 54 68 65 20 6c 6f 63 61 6c 20 7a 6f 6e 65 20 69 73 20 74 68	DMZ,.Local..The.local.zone.is.th
9e00	65 20 66 69 72 65 77 61 6c 6c 20 69 74 73 65 6c 66 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70	e.firewall.itself..In.this.examp
9e20	6c 65 2c 20 65 74 68 30 20 69 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 69 6e 74 65 72 66 61 63	le,.eth0.is.the.primary.interfac
9e40	65 20 61 6e 64 20 65 74 68 31 20 69 73 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 69 6e 74 65	e.and.eth1.is.the.secondary.inte
9e60	72 66 61 63 65 2e 20 54 6f 20 70 72 6f 76 69 64 65 20 73 69 6d 70 6c 65 20 66 61 69 6c 6f 76 65	rface..To.provide.simple.failove
9e80	72 20 66 75 6e 63 74 69 6f 6e 61 6c 69 74 79 2e 20 49 66 20 65 74 68 30 20 66 61 69 6c 73 2c 20	r.functionality..If.eth0.fails,.
9ea0	65 74 68 31 20 74 61 6b 65 73 20 6f 76 65 72 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65	eth1.takes.over..In.this.example
9ec0	2c 20 77 65 20 77 69 6c 6c 20 73 65 74 20 75 70 20 61 20 73 69 6d 70 6c 65 20 75 73 65 20 6f 66	,.we.will.set.up.a.simple.use.of
9ee0	20 41 6e 73 69 62 6c 65 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 6d 75 6c 74 69 70 6c 65 20 56	.Ansible.to.configure.multiple.V
9f00	79 6f 53 20 72 6f 75 74 65 72 73 2e 20 57 65 20 68 61 76 65 20 66 6f 75 72 20 70 72 65 2d 63 6f	yoS.routers..We.have.four.pre-co
9f20	6e 66 69 67 75 72 65 64 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 74 68 69 73 20 63 6f 6e 66 69	nfigured.routers.with.this.confi
9f40	67 75 72 61 74 69 6f 6e 3a 00 49 6e 62 6f 75 6e 64 20 57 41 4e 20 63 6f 6e 6e 65 63 74 20 74 6f	guration:.Inbound.WAN.connect.to
9f60	20 44 4d 5a 20 68 6f 73 74 2e 00 49 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 45 74 68	.DMZ.host..Information.about.Eth
9f80	65 72 6e 65 74 20 56 69 72 74 75 61 6c 20 50 72 69 76 61 74 65 20 4e 65 74 77 6f 72 6b 73 00 49	ernet.Virtual.Private.Networks.I
9fa0	6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 70 72 65 66 69 78 2d 73 69 64 20 61 6e 64 20	nformation.about.prefix-sid.and.
9fc0	6c 61 62 65 6c 2d 6f 70 65 72 61 74 69 6f 6e 20 66 72 6f 6d 20 56 79 4f 53 00 49 6e 73 74 61 6c	label-operation.from.VyOS.Instal
9fe0	6c 20 74 68 65 20 41 6e 73 69 62 6c 65 3a 00 49 6e 73 74 61 6c 6c 20 74 68 65 20 70 61 72 61 6d	l.the.Ansible:.Install.the.param
a000	69 6b 6f 3a 00 49 6e 74 65 72 2d 56 52 46 20 52 6f 75 74 69 6e 67 20 6f 76 65 72 20 56 52 46 20	iko:.Inter-VRF.Routing.over.VRF.
a020	4c 69 74 65 00 49 6e 74 65 72 2d 56 52 46 20 72 6f 75 74 69 6e 67 20 69 73 20 61 20 77 65 6c 6c	Lite.Inter-VRF.routing.is.a.well
a040	2d 6b 6e 6f 77 6e 20 73 6f 6c 75 74 69 6f 6e 20 74 6f 20 61 64 64 72 65 73 73 20 63 6f 6d 70 6c	-known.solution.to.address.compl
a060	65 78 20 72 6f 75 74 69 6e 67 20 73 63 65 6e 61 72 69 6f 73 20 74 68 61 74 20 65 6e 61 62 6c 65	ex.routing.scenarios.that.enable
a080	20 2d 69 6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61 79 2d 20 74 6f 20 6c 65 61 6b 20 72 6f 75 74	.-in.a.dynamic.way-.to.leak.rout
a0a0	65 73 20 62 65 74 77 65 65 6e 20 56 52 46 73 2e 20 49 73 20 72 65 63 6f 6d 6d 65 6e 64 65 64 20	es.between.VRFs..Is.recommended.
a0c0	74 6f 20 74 61 6b 65 20 73 70 65 63 69 61 6c 20 63 6f 6e 73 69 64 65 72 61 74 69 6f 6e 20 77 68	to.take.special.consideration.wh
a0e0	69 6c 65 20 64 65 73 69 67 6e 69 6e 67 20 72 6f 75 74 65 2d 74 61 72 67 65 74 73 20 61 6e 64 20	ile.designing.route-targets.and.
a100	69 74 73 20 61 70 70 6c 69 63 61 74 69 6f 6e 20 61 73 20 69 74 20 63 61 6e 20 6d 69 6e 69 6d 69	its.application.as.it.can.minimi
a120	7a 65 20 66 75 74 75 72 65 20 69 6e 74 65 72 76 65 6e 74 69 6f 6e 73 20 77 68 69 6c 65 20 63 72	ze.future.interventions.while.cr
a140	65 61 74 69 6e 67 20 61 20 6e 65 77 20 56 52 46 20 77 69 6c 6c 20 61 75 74 6f 6d 61 74 69 63 61	eating.a.new.VRF.will.automatica
a160	6c 6c 79 20 74 61 6b 65 20 74 68 65 20 64 65 73 69 72 65 64 20 65 66 66 65 63 74 20 69 6e 20 69	lly.take.the.desired.effect.in.i
a180	74 73 20 70 72 6f 70 61 67 61 74 69 6f 6e 2e 00 49 6e 74 65 72 66 61 63 65 20 61 6e 64 20 72 6f	ts.propagation..Interface.and.ro
a1a0	75 74 69 6e 67 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 6e 74 65 72 6e 61 6c 20 4e 65	uting.configuration:.Internal.Ne
a1c0	74 77 6f 72 6b 00 49 6e 74 65 72 6e 65 74 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36	twork.Internet.Internet.-.192.16
a1e0	38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 32 35 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39	8.200.100.-.TCP/25.Internet.-.19
a200	32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 34 34 33 00 49 6e 74 65 72 6e 65 74	2.168.200.100.-.TCP/443.Internet
a220	20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 35 33 00 49 6e 74 65	.-.192.168.200.100.-.TCP/53.Inte
a240	72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 38 30 00	rnet.-.192.168.200.100.-.TCP/80.
a260	49 74 20 69 73 20 61 73 73 75 6d 65 64 20 74 68 61 74 20 74 68 65 20 72 6f 75 74 65 72 73 20 70	It.is.assumed.that.the.routers.p
a280	72 6f 76 69 64 65 64 20 62 79 20 75 70 73 74 72 65 61 6d 20 61 72 65 20 63 61 70 61 62 6c 65 20	rovided.by.upstream.are.capable.
a2a0	6f 66 20 61 63 74 69 6e 67 20 61 73 20 61 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 2c 20 61	of.acting.as.a.default.router,.a
a2c0	64 64 20 74 68 61 74 20 61 73 20 61 20 73 74 61 74 69 63 20 72 6f 75 74 65 2e 00 49 74 20 69 73	dd.that.as.a.static.route..It.is
a2e0	20 67 6f 6f 64 20 70 72 61 63 74 69 63 65 20 74 6f 20 6c 6f 67 20 62 6f 74 68 20 61 63 63 65 70	.good.practice.to.log.both.accep
a300	74 65 64 20 61 6e 64 20 64 65 6e 69 65 64 20 74 72 61 66 66 69 63 2e 20 49 74 20 63 61 6e 20 73	ted.and.denied.traffic..It.can.s
a320	61 76 65 20 79 6f 75 20 73 69 67 6e 69 66 69 63 61 6e 74 20 68 65 61 64 61 63 68 65 73 20 77 68	ave.you.significant.headaches.wh
a340	65 6e 20 74 72 79 69 6e 67 20 74 6f 20 74 72 6f 75 62 6c 65 73 68 6f 6f 74 20 61 20 63 6f 6e 6e	en.trying.to.troubleshoot.a.conn
a360	65 63 74 69 76 69 74 79 20 69 73 73 75 65 2e 00 49 74 20 77 69 6c 6c 20 6c 6f 6f 6b 20 73 6f 6d	ectivity.issue..It.will.look.som
a380	65 74 68 69 6e 67 20 6c 69 6b 65 20 74 68 69 73 3a 00 49 74 27 73 20 69 6d 70 6f 72 74 61 6e 74	ething.like.this:.It's.important
a3a0	20 74 6f 20 6e 6f 74 65 20 74 68 61 74 20 61 6c 6c 20 79 6f 75 72 20 65 78 69 73 74 69 6e 67 20	.to.note.that.all.your.existing.
a3c0	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 77 69 6c 6c 20 62 65 20 6d 69 67 72 61 74 65 64 20	configurations.will.be.migrated.
a3e0	61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 20 6f 6e 20 69 6d 61 67 65 20 75 70 67 72 61 64 65 2e 20	automatically.on.image.upgrade..
a400	4e 6f 74 68 69 6e 67 20 74 6f 20 64 6f 20 6f 6e 20 79 6f 75 72 20 73 69 64 65 2e 00 4b 65 65 70	Nothing.to.do.on.your.side..Keep
a420	20 6e 65 74 77 6f 72 6b 73 20 69 73 6f 6c 61 74 65 64 20 69 73 20 2d 69 6e 20 67 65 6e 65 72 61	.networks.isolated.is.-in.genera
a440	6c 2d 20 61 20 67 6f 6f 64 20 70 72 69 6e 63 69 70 6c 65 2c 20 62 75 74 20 74 68 65 72 65 20 61	l-.a.good.principle,.but.there.a
a460	72 65 20 63 61 73 65 73 20 77 68 65 72 65 20 79 6f 75 20 6d 69 67 68 74 20 6e 65 65 64 20 74 68	re.cases.where.you.might.need.th
a480	61 74 20 73 6f 6d 65 20 6e 65 74 77 6f 72 6b 20 63 61 6e 20 61 63 63 65 73 73 20 6f 74 68 65 72	at.some.network.can.access.other
a4a0	20 69 6e 20 61 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 2e 00 4c 33 56 50 4e 20 45 56 50 4e 20	.in.a.different.VRF..L3VPN.EVPN.
a4c0	77 69 74 68 20 56 79 4f 53 00 4c 33 56 50 4e 20 45 56 50 4e 20 77 69 74 68 20 56 79 4f 53 20 74	with.VyOS.L3VPN.EVPN.with.VyOS.t
a4e0	6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 4c 33 56 50 4e 20 63 6f 6e 66 69 67 75 72 61 74 69 6f	opology.image.L3VPN.configuratio
a500	6e 20 70 61 72 61 6d 65 74 65 72 73 20 74 61 62 6c 65 3a 00 4c 33 56 50 4e 20 66 6f 72 20 48 75	n.parameters.table:.L3VPN.for.Hu
a520	62 2d 61 6e 64 2d 53 70 6f 6b 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 77 69 74 68 20 56 79	b-and-Spoke.connectivity.with.Vy
a540	4f 53 00 4c 41 4e 20 31 00 4c 41 4e 20 32 00 4c 41 4e 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e	OS.LAN.1.LAN.2.LAN.Configuration
a560	00 4c 41 4e 20 61 6e 64 20 44 4d 5a 20 68 6f 73 74 73 20 68 61 76 65 20 62 61 73 69 63 20 6f 75	.LAN.and.DMZ.hosts.have.basic.ou
a580	74 62 6f 75 6e 64 20 61 63 63 65 73 73 3a 20 57 65 62 2c 20 46 54 50 2c 20 53 53 48 2e 00 4c 41	tbound.access:.Web,.FTP,.SSH..LA
a5a0	4e 20 63 61 6e 20 61 63 63 65 73 73 20 44 4d 5a 20 72 65 73 6f 75 72 63 65 73 2e 00 4c 41 4e 2c	N.can.access.DMZ.resources..LAN,
a5c0	20 57 41 4e 2c 20 44 4d 5a 2c 20 6c 6f 63 61 6c 20 61 6e 64 20 54 55 4e 20 28 74 75 6e 6e 65 6c	.WAN,.DMZ,.local.and.TUN.(tunnel
a5e0	29 00 4c 41 4e 31 00 4c 41 4e 31 20 74 6f 20 4c 41 4e 32 00 4c 41 4e 31 20 74 6f 20 4f 75 74 73	).LAN1.LAN1.to.LAN2.LAN1.to.Outs
a600	69 64 65 00 4c 41 4e 32 00 4c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 49 50 76 34 20 72 6f 75 74	ide.LAN2.Let...s.check.IPv4.rout
a620	69 6e 67 20 61 6e 64 20 4d 50 4c 53 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 6f 6e 20 70 72 6f 76	ing.and.MPLS.information.on.prov
a640	69 64 65 72 20 6e 6f 64 65 73 20 28 73 61 6d 65 20 70 72 6f 63 65 64 75 72 65 20 66 6f 72 20 61	ider.nodes.(same.procedure.for.a
a660	6c 6c 20 50 20 6e 6f 64 65 73 29 3a 00 4c 65 74 e2 80 99 73 20 73 61 79 20 77 65 20 68 61 76 65	ll.P.nodes):.Let...s.say.we.have
a680	20 61 20 72 65 71 75 69 72 65 6d 65 6e 74 20 74 6f 20 68 61 76 65 20 6d 75 6c 74 69 70 6c 65 20	.a.requirement.to.have.multiple.
a6a0	6e 65 74 77 6f 72 6b 73 2e 00 4c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20 73 68 6f 75 6c 64 20 62	networks..Local.subnets.should.b
a6c0	65 20 61 62 6c 65 20 74 6f 20 72 65 61 63 68 20 69 6e 74 65 72 6e 65 74 20 75 73 69 6e 67 20 73	e.able.to.reach.internet.using.s
a6e0	6f 75 72 63 65 20 6e 61 74 2e 00 4d 50 2d 42 47 50 20 6f 72 20 4d 75 6c 74 69 50 72 6f 74 6f 63	ource.nat..MP-BGP.or.MultiProtoc
a700	6f 6c 20 42 47 50 20 69 6e 74 72 6f 64 75 63 65 73 20 74 77 6f 20 6d 61 69 6e 20 63 6f 6e 63 65	ol.BGP.introduces.two.main.conce
a720	70 74 73 20 74 6f 20 73 6f 6c 76 65 20 74 68 69 73 20 6c 69 6d 69 74 61 74 69 6f 6e 3a 20 2d 20	pts.to.solve.this.limitation:.-.
a740	52 6f 75 74 65 20 44 69 73 74 69 6e 67 75 69 73 68 65 72 20 28 52 44 29 3a 20 49 73 20 75 73 65	Route.Distinguisher.(RD):.Is.use
a760	64 20 74 6f 20 64 69 73 74 69 6e 67 75 69 73 68 20 62 65 74 77 65 65 6e 20 64 69 66 66 65 72 65	d.to.distinguish.between.differe
a780	6e 74 20 56 52 46 73 20 e2 80 93 63 61 6c 6c 65 64 20 56 50 4e 73 2d 20 69 6e 73 69 64 65 20 74	nt.VRFs....called.VPNs-.inside.t
a7a0	68 65 20 42 47 50 20 50 72 6f 63 65 73 73 2e 20 54 68 65 20 52 44 20 69 73 20 61 70 70 65 6e 64	he.BGP.Process..The.RD.is.append
a7c0	65 64 20 74 6f 20 65 61 63 68 20 49 50 76 34 20 4e 65 74 77 6f 72 6b 20 74 68 61 74 20 69 73 20	ed.to.each.IPv4.Network.that.is.
a7e0	61 64 76 65 72 74 69 73 65 64 20 69 6e 74 6f 20 42 47 50 20 66 6f 72 20 74 68 61 74 20 56 50 4e	advertised.into.BGP.for.that.VPN
a800	20 6d 61 6b 69 6e 67 20 69 74 20 61 20 75 6e 69 71 75 65 20 56 50 4e 76 34 20 72 6f 75 74 65 2e	.making.it.a.unique.VPNv4.route.
a820	20 2d 20 52 6f 75 74 65 20 54 61 72 67 65 74 20 28 52 54 29 3a 20 54 68 69 73 20 69 73 20 61 6e	.-.Route.Target.(RT):.This.is.an
a840	20 65 78 74 65 6e 64 65 64 20 42 47 50 20 63 6f 6d 6d 75 6e 69 74 79 20 61 70 70 65 6e 64 20 74	.extended.BGP.community.append.t
a860	6f 20 74 68 65 20 56 50 4e 76 34 20 72 6f 75 74 65 20 69 6e 20 74 68 65 20 49 6d 70 6f 72 74 2f	o.the.VPNv4.route.in.the.Import/
a880	45 78 70 6f 72 74 20 70 72 6f 63 65 73 73 2e 20 57 68 65 6e 20 61 20 72 6f 75 74 65 20 70 61 73	Export.process..When.a.route.pas
a8a0	73 65 73 20 66 72 6f 6d 20 74 68 65 20 56 52 46 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69	ses.from.the.VRF.routing.table.i
a8c0	6e 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 20 69 74 20 77 69 6c 6c 20 61 64 64 20	nto.the.BGP.process.it.will.add.
a8e0	74 68 65 20 63 6f 6e 66 69 67 75 72 65 64 20 65 78 70 6f 72 74 20 65 78 74 65 6e 64 65 64 20 63	the.configured.export.extended.c
a900	6f 6d 6d 75 6e 69 74 79 28 69 65 73 29 20 66 6f 72 20 74 68 61 74 20 56 50 4e 2e 20 57 68 65 6e	ommunity(ies).for.that.VPN..When
a920	20 74 68 61 74 20 72 6f 75 74 65 20 6e 65 65 64 73 20 74 6f 20 67 6f 20 66 72 6f 6d 20 42 47 50	.that.route.needs.to.go.from.BGP
a940	20 69 6e 74 6f 20 74 68 65 20 56 52 46 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 77 69 6c 6c	.into.the.VRF.routing.table.will
a960	20 6f 6e 6c 79 20 70 61 73 73 20 69 66 20 74 68 61 74 20 67 69 76 65 6e 20 56 50 4e 20 69 6d 70	.only.pass.if.that.given.VPN.imp
a980	6f 72 74 20 70 6f 6c 69 63 79 20 6d 61 74 63 68 65 73 20 61 6e 79 20 6f 66 20 74 68 65 20 61 70	ort.policy.matches.any.of.the.ap
a9a0	70 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 28 69 65 73 29 20 69 6e 74 6f 20 74 68 61 74 20	pended.community(ies).into.that.
a9c0	70 72 65 66 69 78 2e 00 4d 61 69 6e 20 72 75 6c 65 73 3a 00 4d 61 6b 65 20 73 75 72 65 20 79 6f	prefix..Main.rules:.Make.sure.yo
a9e0	75 20 63 61 6e 20 70 69 6e 67 20 31 30 2e 32 35 34 2e 36 30 2e 31 20 61 6e 64 20 2e 32 20 66 72	u.can.ping.10.254.60.1.and..2.fr
aa00	6f 6d 20 62 6f 74 68 20 72 6f 75 74 65 72 73 2e 00 4d 61 6e 61 67 65 6d 65 6e 74 00 4d 61 6e 61	om.both.routers..Management.Mana
aa20	67 65 6d 65 6e 74 20 56 52 46 00 4d 61 6e 79 20 6f 74 68 65 72 20 48 79 70 65 72 76 69 73 6f 72	gement.VRF.Many.other.Hypervisor
aa40	73 20 64 6f 20 74 68 69 73 2c 20 61 6e 64 20 49 27 6d 20 68 6f 70 69 6e 67 20 74 68 61 74 20 74	s.do.this,.and.I'm.hoping.that.t
aa60	68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77 69 6c 6c 20 62 65 20 65 78 70 61 6e 64 65 64 20 74 6f	his.document.will.be.expanded.to
aa80	20 64 6f 63 75 6d 65 6e 74 20 68 6f 77 20 74 6f 20 64 6f 20 74 68 69 73 20 66 6f 72 20 6f 74 68	.document.how.to.do.this.for.oth
aaa0	65 72 73 2e 00 4d 61 73 71 75 65 72 61 64 65 20 54 72 61 66 66 69 63 20 6f 72 69 67 69 6e 61 74	ers..Masquerade.Traffic.originat
aac0	69 6e 67 20 66 72 6f 6d 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 74 68 61 74 20 69 73	ing.from.10.200.201.0/24.that.is
aae0	20 68 65 61 64 69 6e 67 20 6f 75 74 20 74 68 65 20 70 75 62 6c 69 63 20 69 6e 74 65 72 66 61 63	.heading.out.the.public.interfac
ab00	65 2e 00 4d 6f 6e 69 74 6f 72 69 6e 67 00 4d 75 6c 74 69 70 6c 65 20 4c 41 4e 2f 44 4d 5a 20 53	e..Monitoring.Multiple.LAN/DMZ.S
ab20	65 74 75 70 00 4e 41 54 20 61 6e 64 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 00 4e 4d 50 20	etup.NAT.and.conntrack-sync.NMP.
ab40	65 78 61 6d 70 6c 65 00 4e 61 74 69 76 65 20 49 50 76 34 20 61 6e 64 20 49 50 76 36 00 4e 65 74	example.Native.IPv4.and.IPv6.Net
ab60	77 6f 72 6b 20 43 61 62 6c 69 6e 67 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 00 4e 65	work.Cabling.Network.Topology.Ne
ab80	74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 20 44 69 61 67 72 61 6d 00 4e 65 74 77 6f 72 6b 20 54	twork.Topology.Diagram.Network.T
aba0	6f 70 6f 6c 6f 67 79 20 61 6e 64 20 72 65 71 75 69 72 65 6d 65 6e 74 73 00 4e 65 78 74 20 6f 6e	opology.and.requirements.Next.on
abc0	20 74 68 65 20 72 6f 75 74 65 72 20 56 79 4f 53 32 20 77 65 20 77 69 6c 6c 20 63 68 61 6e 67 65	.the.router.VyOS2.we.will.change
abe0	20 6c 61 62 65 6c 73 20 6f 6e 20 61 6c 6c 20 69 6e 63 6f 6d 69 6e 67 20 74 72 61 66 66 69 63 20	.labels.on.all.incoming.traffic.
ac00	6f 6e 6c 79 20 66 72 6f 6d 20 43 53 34 2d 3e 20 43 53 36 00 4e 65 78 74 20 74 68 69 6e 67 20 74	only.from.CS4->.CS6.Next.thing.t
ac20	6f 20 64 6f 2c 20 69 73 20 74 6f 20 63 72 65 61 74 65 20 61 20 77 69 72 65 67 75 61 72 64 20 6b	o.do,.is.to.create.a.wireguard.k
ac40	65 79 70 61 69 72 20 6f 6e 20 65 61 63 68 20 73 69 64 65 2e 20 41 66 74 65 72 20 74 68 69 73 2c	eypair.on.each.side..After.this,
ac60	20 74 68 65 20 70 75 62 6c 69 63 20 6b 65 79 20 63 61 6e 20 62 65 20 64 69 73 70 6c 61 79 65 64	.the.public.key.can.be.displayed
ac80	2c 20 74 6f 20 73 61 76 65 20 66 6f 72 20 6c 61 74 65 72 2e 00 4e 65 78 74 2c 20 77 65 20 77 69	,.to.save.for.later..Next,.we.wi
aca0	6c 6c 20 72 65 70 6c 61 63 65 20 6f 6e 6c 79 20 61 6c 6c 20 43 53 34 20 6c 61 62 65 6c 73 20 6f	ll.replace.only.all.CS4.labels.o
acc0	6e 20 74 68 65 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 72 6f 75 74 65 72 2e 00 4e 65 78 74 2c 20	n.the....VyOS2....router..Next,.
ace0	79 6f 75 20 6a 75 73 74 20 20 73 68 6f 75 6c 64 20 66 6f 6c 6c 6f 77 20 74 68 65 20 70 69 63 74	you.just..should.follow.the.pict
ad00	75 72 65 73 3a 00 4e 6f 64 65 00 4e 6f 74 65 20 74 68 61 74 20 72 6f 75 74 65 72 31 20 69 73 20	ures:.Node.Note.that.router1.is.
ad20	61 20 56 4d 20 74 68 61 74 20 72 75 6e 73 20 6f 6e 20 6f 6e 65 20 6f 66 20 74 68 65 20 63 6f 6d	a.VM.that.runs.on.one.of.the.com
ad40	70 75 74 65 20 6e 6f 64 65 73 2e 00 4e 6f 74 65 20 74 6f 20 61 6c 6c 6f 77 20 74 68 65 20 72 6f	pute.nodes..Note.to.allow.the.ro
ad60	75 74 65 72 20 74 6f 20 72 65 63 65 69 76 65 20 44 48 43 50 76 36 20 72 65 73 70 6f 6e 73 65 20	uter.to.receive.DHCPv6.response.
ad80	66 72 6f 6d 20 49 53 50 2e 20 57 65 20 6e 65 65 64 20 74 6f 20 61 6c 6c 6f 77 20 70 61 63 6b 65	from.ISP..We.need.to.allow.packe
ada0	74 73 20 77 69 74 68 20 73 6f 75 72 63 65 20 70 6f 72 74 20 35 34 37 20 28 73 65 72 76 65 72 29	ts.with.source.port.547.(server)
adc0	20 61 6e 64 20 64 65 73 74 69 6e 61 74 69 6f 6e 20 70 6f 72 74 20 35 34 36 20 28 63 6c 69 65 6e	.and.destination.port.546.(clien
ade0	74 29 2e 00 4e 6f 74 69 63 65 2c 20 6e 6f 6e 65 20 67 6f 20 74 6f 20 57 41 4e 20 73 69 6e 63 65	t)..Notice,.none.go.to.WAN.since
ae00	20 57 41 4e 20 77 6f 75 6c 64 6e 27 74 20 68 61 76 65 20 61 20 76 36 20 61 64 64 72 65 73 73 20	.WAN.wouldn't.have.a.v6.address.
ae20	6f 6e 20 69 74 2e 00 4e 6f 77 20 65 6e 61 62 6c 65 20 72 65 70 6c 69 63 61 74 69 6f 6e 20 62 65	on.it..Now.enable.replication.be
ae40	74 77 65 65 6e 20 6e 6f 64 65 73 2e 20 52 65 70 6c 61 63 65 20 65 74 68 30 2e 32 30 31 20 77 69	tween.nodes..Replace.eth0.201.wi
ae60	74 68 20 62 6f 6e 64 30 2e 32 30 31 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75	th.bond0.201.on.the.hardware.rou
ae80	74 65 72 2e 00 4e 6f 77 20 67 65 6e 65 72 61 74 65 20 61 6c 6c 20 72 65 71 75 69 72 65 64 20 63	ter..Now.generate.all.required.c
aea0	65 72 74 69 66 69 63 61 74 65 73 20 6f 6e 20 74 68 65 20 6f 76 70 6e 2d 73 65 72 76 65 72 3a 00	ertificates.on.the.ovpn-server:.
aec0	4e 6f 77 20 74 68 65 20 43 6c 69 65 6e 74 20 69 73 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 61	Now.the.Client.is.able.to.ping.a
aee0	20 70 75 62 6c 69 63 20 49 50 76 36 20 61 64 64 72 65 73 73 00 4e 6f 77 20 77 65 20 61 72 65 20	.public.IPv6.address.Now.we.are.
af00	61 62 6c 65 20 74 6f 20 73 65 74 75 70 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61	able.to.setup.the.tunnel.interfa
af20	63 65 2e 00 4e 6f 77 20 77 65 20 70 65 72 66 6f 72 6d 20 73 6f 6d 65 20 65 6e 64 2d 74 6f 2d 65	ce..Now.we.perform.some.end-to-e
af40	6e 64 20 74 65 73 74 69 6e 67 00 4e 6f 77 20 77 65 e2 80 99 72 65 20 63 68 65 63 6b 69 6e 67 20	nd.testing.Now.we...re.checking.
af60	69 42 47 50 20 73 74 61 74 75 73 20 61 6e 64 20 72 6f 75 74 65 73 20 66 72 6f 6d 20 72 6f 75 74	iBGP.status.and.routes.from.rout
af80	65 2d 72 65 66 6c 65 63 74 6f 72 20 6e 6f 64 65 73 20 74 6f 20 6f 74 68 65 72 20 64 65 76 69 63	e-reflector.nodes.to.other.devic
afa0	65 73 3a 00 4e 6f 77 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69	es:.Now.you.should.be.able.to.pi
afc0	6e 67 20 61 20 70 75 62 6c 69 63 20 49 50 76 36 20 41 64 64 72 65 73 73 00 4e 6f 77 2c 20 6c 65	ng.a.public.IPv6.Address.Now,.le
afe0	74 e2 80 99 73 20 63 68 65 63 6b 20 72 6f 75 74 69 6e 67 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20	t...s.check.routing.information.
b000	6f 6e 20 6f 75 74 20 48 75 62 20 50 45 3a 00 4f 53 50 46 20 4f 76 65 72 20 57 69 72 65 47 75 61	on.out.Hub.PE:.OSPF.Over.WireGua
b020	72 64 00 4f 53 50 46 20 75 6e 6e 75 6d 62 65 72 65 64 20 77 69 74 68 20 45 43 4d 50 00 4f 6e 20	rd.OSPF.unnumbered.with.ECMP.On.
b040	74 68 65 20 72 6f 75 74 65 72 2c 20 56 79 4f 53 34 20 73 65 74 20 61 6c 6c 20 74 72 61 66 66 69	the.router,.VyOS4.set.all.traffi
b060	63 20 61 73 20 43 53 34 2e 20 57 65 20 68 61 76 65 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74	c.as.CS4..We.have.to.configure.t
b080	68 65 20 64 65 66 61 75 6c 74 20 63 6c 61 73 73 20 61 6e 64 20 63 6c 61 73 73 20 66 6f 72 20 63	he.default.class.and.class.for.c
b0a0	68 61 6e 67 69 6e 67 20 61 6c 6c 20 6c 61 62 65 6c 73 20 66 72 6f 6d 20 43 53 30 20 74 6f 20 43	hanging.all.labels.from.CS0.to.C
b0c0	53 34 00 4f 6e 2d 70 72 65 6d 69 73 65 73 20 61 64 64 72 65 73 73 20 73 70 61 63 65 00 4f 6e 63	S4.On-premises.address.space.Onc
b0e0	65 20 61 6c 6c 20 72 6f 75 74 65 72 73 20 63 61 6e 20 62 65 20 73 61 66 65 6c 79 20 72 65 6d 6f	e.all.routers.can.be.safely.remo
b100	74 65 6c 79 20 6d 61 6e 61 67 65 64 20 61 6e 64 20 74 68 65 20 63 6f 72 65 20 6e 65 74 77 6f 72	tely.managed.and.the.core.networ
b120	6b 20 69 73 20 6f 70 65 72 61 74 69 6f 6e 61 6c 2c 20 77 65 20 63 61 6e 20 6e 6f 77 20 73 65 74	k.is.operational,.we.can.now.set
b140	75 70 20 74 68 65 20 74 65 6e 61 6e 74 20 6e 65 74 77 6f 72 6b 73 2e 00 4f 6e 63 65 20 61 6c 6c	up.the.tenant.networks..Once.all
b160	20 74 68 65 20 72 65 71 75 69 72 65 64 20 63 65 72 74 69 66 69 63 61 74 65 73 20 61 6e 64 20 6b	.the.required.certificates.and.k
b180	65 79 73 20 61 72 65 20 69 6e 73 74 61 6c 6c 65 64 2c 20 74 68 65 20 72 65 6d 61 69 6e 69 6e 67	eys.are.installed,.the.remaining
b1a0	20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 61	.OpenVPN.Server.configuration.ca
b1c0	6e 20 62 65 20 63 61 72 72 69 65 64 20 6f 75 74 2e 00 4f 6e 63 65 20 79 6f 75 20 68 61 76 65 20	n.be.carried.out..Once.you.have.
b1e0	61 6c 6c 20 6f 66 20 79 6f 75 72 20 72 75 6c 65 73 65 74 73 20 62 75 69 6c 74 2c 20 74 68 65 6e	all.of.your.rulesets.built,.then
b200	20 79 6f 75 20 6e 65 65 64 20 74 6f 20 63 72 65 61 74 65 20 79 6f 75 72 20 7a 6f 6e 65 2d 70 6f	.you.need.to.create.your.zone-po
b220	6c 69 63 79 2e 00 4f 6e 65 20 61 64 76 61 6e 74 61 67 65 20 6f 66 20 68 61 76 69 6e 67 20 74 68	licy..One.advantage.of.having.th
b240	65 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65 20 73 74 6f 72 65 64 20 69 73 20 74	e.client.certificate.stored.is.t
b260	68 65 20 61 62 69 6c 69 74 79 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 63 6c 69 65 6e 74 20	he.ability.to.create.the.client.
b280	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c	configuration..One.cable/logical
b2a0	20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 49 6e 74	.connection.between.LAN1.and.Int
b2c0	65 72 6e 65 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69	ernet.One.cable/logical.connecti
b2e0	6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 4c 41 4e 32 00 4f 6e 65 20 63 61 62	on.between.LAN1.and.LAN2.One.cab
b300	6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41	le/logical.connection.between.LA
b320	4e 31 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69	N1.and.Management.One.cable/logi
b340	63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 32 20 61 6e 64 20	cal.connection.between.LAN2.and.
b360	49 6e 74 65 72 6e 65 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65	Internet.One.cable/logical.conne
b380	63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 32 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e	ction.between.LAN2.and.Managemen
b3a0	74 00 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 4c 44 41 50 00 4f 70 65 6e 56 50 4e 20 77 69 74 68	t.OpenVPN.with.LDAP.OpenVPN.with
b3c0	20 4c 44 41 50 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 4f 70 65 72 61 74 69 6e 67 20 73	.LDAP.topology.image.Operating.s
b3e0	79 73 74 65 6d 3a 20 56 79 4f 53 00 4f 75 72 20 69 6d 70 6c 65 6d 65 6e 74 61 74 69 6f 6e 20 75	ystem:.VyOS.Our.implementation.u
b400	73 65 73 20 56 4d 77 61 72 65 27 73 20 44 69 73 74 72 69 62 75 74 65 64 20 50 6f 72 74 20 47 72	ses.VMware's.Distributed.Port.Gr
b420	6f 75 70 73 2c 20 77 68 69 63 68 20 61 6c 6c 6f 77 73 20 56 4d 77 61 72 65 20 74 6f 20 75 73 65	oups,.which.allows.VMware.to.use
b440	20 4c 41 43 50 2e 20 54 68 69 73 20 69 73 20 61 20 70 61 72 74 20 6f 66 20 74 68 65 20 45 4e 54	.LACP..This.is.a.part.of.the.ENT
b460	45 52 50 52 49 53 45 20 6c 69 63 65 6e 63 65 2c 20 61 6e 64 20 69 73 20 6e 6f 74 20 61 76 61 69	ERPRISE.licence,.and.is.not.avai
b480	6c 61 62 6c 65 20 6f 6e 20 61 20 66 72 65 65 20 6c 69 63 65 6e 63 65 2e 20 49 66 20 79 6f 75 20	lable.on.a.free.licence..If.you.
b4a0	61 72 65 20 69 6d 70 6c 65 6d 65 6e 74 69 6e 67 20 74 68 69 73 20 61 6e 64 20 64 6f 20 6e 6f 74	are.implementing.this.and.do.not
b4c0	20 68 61 76 65 20 61 63 63 65 73 73 20 74 6f 20 44 50 47 73 2c 20 79 6f 75 20 73 68 6f 75 6c 64	.have.access.to.DPGs,.you.should
b4e0	20 6e 6f 74 20 75 73 65 20 56 4d 77 61 72 65 2c 20 61 6e 64 20 75 73 65 20 73 6f 6d 65 20 6f 74	.not.use.VMware,.and.use.some.ot
b500	68 65 72 20 76 69 72 74 75 61 6c 69 7a 61 74 69 6f 6e 20 70 6c 61 74 66 6f 72 6d 20 69 6e 73 74	her.virtualization.platform.inst
b520	65 61 64 2e 00 4f 75 72 20 72 6f 75 74 65 72 73 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 68 61	ead..Our.routers.are.going.to.ha
b540	76 65 20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 32 30 33 2e	ve.a.floating.IP.address.of.203.
b560	30 2e 31 31 33 2e 31 2c 20 61 6e 64 20 75 73 65 20 2e 32 20 61 6e 64 20 2e 33 20 61 73 20 74 68	0.113.1,.and.use..2.and..3.as.th
b580	65 69 72 20 66 69 78 65 64 20 49 50 73 2e 00 4f 76 65 72 76 69 65 77 00 50 45 31 00 50 45 31 20	eir.fixed.IPs..Overview.PE1.PE1.
b5a0	69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 6e 20 69 6e 64 75 73 74 72 69 61 6c 20 61 72 65 61	is.located.in.an.industrial.area
b5c0	20 74 68 61 74 20 68 6f 6c 64 73 20 6d 75 6c 74 69 70 6c 65 20 6f 66 66 69 63 65 20 62 75 69 6c	.that.holds.multiple.office.buil
b5e0	64 69 6e 67 73 2e 20 41 6c 6c 20 63 75 73 74 6f 6d 65 72 73 20 68 61 76 65 20 61 20 73 69 74 65	dings..All.customers.have.a.site
b600	20 69 6e 20 74 68 69 73 20 61 72 65 61 2e 00 50 45 32 00 50 45 32 20 69 73 20 6c 6f 63 61 74 65	.in.this.area..PE2.PE2.is.locate
b620	64 20 69 6e 20 61 20 73 6d 61 6c 6c 65 72 20 61 72 65 61 20 77 68 65 72 65 20 62 79 20 63 6f 69	d.in.a.smaller.area.where.by.coi
b640	6e 63 69 64 65 6e 63 65 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 73 20 28 62 6c 75 65 20 61 6e 64	ncidence.two.customers.(blue.and
b660	20 72 65 64 29 20 73 68 61 72 65 20 61 6e 20 6f 66 66 69 63 65 20 62 75 69 6c 64 69 6e 67 2e 00	.red).share.an.office.building..
b680	50 45 33 00 50 45 33 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 20 73 6d 61 6c 6c 65 72 20	PE3.PE3.is.located.in.a.smaller.
b6a0	61 72 65 61 20 77 68 65 72 65 20 62 79 20 63 6f 69 6e 63 69 64 65 6e 63 65 20 74 77 6f 20 63 75	area.where.by.coincidence.two.cu
b6c0	73 74 6f 6d 65 72 73 20 28 62 6c 75 65 20 61 6e 64 20 67 72 65 65 6e 29 20 61 72 65 20 6c 6f 63	stomers.(blue.and.green).are.loc
b6e0	61 74 65 64 2e 00 50 50 50 6f 45 20 49 50 76 36 20 42 61 73 69 63 20 53 65 74 75 70 20 66 6f 72	ated..PPPoE.IPv6.Basic.Setup.for
b700	20 48 6f 6d 65 20 4e 65 74 77 6f 72 6b 00 50 50 50 6f 45 20 53 65 74 75 70 00 50 69 6e 67 20 62	.Home.Network.PPPoE.Setup.Ping.b
b720	65 74 77 65 65 6e 20 56 79 4f 53 2d 50 31 20 2f 20 56 79 4f 53 2d 50 32 20 74 6f 20 63 6f 6e 66	etween.VyOS-P1./.VyOS-P2.to.conf
b740	69 72 6d 20 72 65 61 63 68 61 62 69 6c 69 74 79 3a 00 50 69 6e 67 20 74 68 65 20 43 6c 69 65 6e	irm.reachability:.Ping.the.Clien
b760	74 20 66 72 6f 6d 20 74 68 65 20 44 48 43 50 20 53 65 72 76 65 72 2e 00 50 69 6e 67 73 20 77 69	t.from.the.DHCP.Server..Pings.wi
b780	6c 6c 20 62 65 20 73 65 6e 74 20 74 6f 20 66 6f 75 72 20 74 61 72 67 65 74 73 20 66 6f 72 20 68	ll.be.sent.to.four.targets.for.h
b7a0	65 61 6c 74 68 20 74 65 73 74 69 6e 67 20 28 33 33 2e 34 34 2e 35 35 2e 36 36 2c 20 34 34 2e 35	ealth.testing.(33.44.55.66,.44.5
b7c0	35 2e 36 36 2e 37 37 2c 20 35 35 2e 36 36 2e 37 37 2e 38 38 20 61 6e 64 20 36 36 2e 37 37 2e 38	5.66.77,.55.66.77.88.and.66.77.8
b7e0	38 2e 39 39 29 2e 00 50 6c 65 61 73 65 20 6e 6f 74 65 2c 20 27 61 75 74 6f 6e 6f 6d 6f 75 73 2d	8.99)..Please.note,.'autonomous-
b800	66 6c 61 67 27 20 61 6e 64 20 27 6f 6e 2d 6c 69 6e 6b 2d 66 6c 61 67 27 20 61 72 65 20 65 6e 61	flag'.and.'on-link-flag'.are.ena
b820	62 6c 65 64 20 62 79 20 64 65 66 61 75 6c 74 2c 20 27 76 61 6c 69 64 2d 6c 69 66 65 74 69 6d 65	bled.by.default,.'valid-lifetime
b840	27 20 61 6e 64 20 27 70 72 65 66 65 72 72 65 64 2d 6c 69 66 65 74 69 6d 65 27 20 61 72 65 20 73	'.and.'preferred-lifetime'.are.s
b860	65 74 20 74 6f 20 64 65 66 61 75 6c 74 20 76 61 6c 75 65 73 20 6f 66 20 33 30 20 64 61 79 73 20	et.to.default.values.of.30.days.
b880	61 6e 64 20 34 20 68 6f 75 72 73 20 72 65 73 70 65 63 74 69 76 65 6c 79 2e 00 50 6f 6c 69 63 79	and.4.hours.respectively..Policy
b8a0	2d 42 61 73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 61 6e 64 20 46 69 72 65	-Based.Site-to-Site.VPN.and.Fire
b8c0	77 61 6c 6c 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 50 72 65 2d 73 68 61 72 65 64 20 6b 65	wall.Configuration.Pre-shared.ke
b8e0	79 00 50 72 65 72 65 71 75 69 73 69 74 65 73 00 50 72 69 6f 72 69 74 69 65 73 00 50 72 6f 74 65	y.Prerequisites.Priorities.Prote
b900	63 74 20 74 68 65 20 72 6f 75 74 65 72 20 6f 6e 20 27 57 41 4e 27 20 69 6e 74 65 72 66 61 63 65	ct.the.router.on.'WAN'.interface
b920	2c 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 69 70 73 65 63 20 63 6f 6e 6e 65 63 74 69 6f 6e	,.allowing.only.ipsec.connection
b940	73 20 61 6e 64 20 73 73 68 20 61 63 63 65 73 73 20 66 72 6f 6d 20 74 72 75 73 74 65 64 20 69 70	s.and.ssh.access.from.trusted.ip
b960	73 2e 00 50 75 62 6c 69 63 20 4e 65 74 77 6f 72 6b 00 51 6f 53 20 65 78 61 6d 70 6c 65 00 52 44	s..Public.Network.QoS.example.RD
b980	00 52 44 20 26 20 52 54 20 53 63 68 65 6d 61 00 52 54 00 52 54 20 65 78 70 6f 72 74 00 52 54 20	.RD.&.RT.Schema.RT.RT.export.RT.
b9a0	69 6d 70 6f 72 74 00 52 65 67 75 6c 61 72 20 56 79 4f 53 20 75 73 65 72 73 20 77 69 6c 6c 20 6e	import.Regular.VyOS.users.will.n
b9c0	6f 74 69 63 65 20 74 68 61 74 20 74 68 65 20 42 47 50 20 73 79 6e 74 61 78 20 68 61 73 20 63 68	otice.that.the.BGP.syntax.has.ch
b9e0	61 6e 67 65 64 20 69 6e 20 56 79 4f 53 20 31 2e 34 20 66 72 6f 6d 20 65 76 65 6e 20 74 68 65 20	anged.in.VyOS.1.4.from.even.the.
ba00	70 72 69 6f 72 20 70 6f 73 74 20 61 62 6f 75 74 20 74 68 69 73 20 73 75 62 6a 65 63 74 2e 20 54	prior.post.about.this.subject..T
ba20	68 69 73 20 69 73 20 64 75 65 20 74 6f 20 54 31 37 31 31 2c 20 77 68 65 72 65 20 69 74 20 77 61	his.is.due.to.T1711,.where.it.wa
ba40	73 20 66 69 6e 61 6c 6c 79 20 64 65 63 69 64 65 64 20 74 6f 20 67 65 74 20 72 69 64 20 6f 66 20	s.finally.decided.to.get.rid.of.
ba60	74 68 65 20 72 65 64 75 6e 64 61 6e 74 20 42 47 50 20 41 53 4e 20 28 41 75 74 6f 6e 6f 6d 6f 75	the.redundant.BGP.ASN.(Autonomou
ba80	73 20 53 79 73 74 65 6d 20 4e 75 6d 62 65 72 29 20 73 70 65 63 69 66 69 63 61 74 69 6f 6e 20 6f	s.System.Number).specification.o
baa0	6e 20 74 68 65 20 43 4c 49 20 61 6e 64 20 6d 6f 76 65 20 69 74 20 74 6f 20 61 20 73 69 6e 67 6c	n.the.CLI.and.move.it.to.a.singl
bac0	65 20 6c 65 61 66 20 6e 6f 64 65 20 28 73 65 74 20 70 72 6f 74 6f 63 6f 6c 73 20 62 67 70 20 6c	e.leaf.node.(set.protocols.bgp.l
bae0	6f 63 61 6c 2d 61 73 29 2e 00 52 65 6d 6f 74 65 20 4e 65 74 77 6f 72 6b 73 00 52 65 70 6c 61 63	ocal-as)..Remote.Networks.Replac
bb00	65 20 74 68 65 20 32 30 33 2e 30 2e 31 31 33 2e 33 20 77 69 74 68 20 77 68 61 74 65 76 65 72 20	e.the.203.0.113.3.with.whatever.
bb20	74 68 65 20 6f 74 68 65 72 20 72 6f 75 74 65 72 27 73 20 49 50 20 61 64 64 72 65 73 73 20 69 73	the.other.router's.IP.address.is
bb40	2e 00 52 65 71 75 65 73 74 65 64 20 61 20 22 52 65 67 75 6c 61 72 20 54 75 6e 6e 65 6c 22 2e 20	..Requested.a."Regular.Tunnel"..
bb60	59 6f 75 20 77 61 6e 74 20 74 6f 20 63 68 6f 6f 73 65 20 61 20 6c 6f 63 61 74 69 6f 6e 20 74 68	You.want.to.choose.a.location.th
bb80	61 74 20 69 73 20 63 6c 6f 73 65 73 74 20 74 6f 20 79 6f 75 72 20 70 68 79 73 69 63 61 6c 20 6c	at.is.closest.to.your.physical.l
bba0	6f 63 61 74 69 6f 6e 20 66 6f 72 20 74 68 65 20 62 65 73 74 20 72 65 73 70 6f 6e 73 65 20 74 69	ocation.for.the.best.response.ti
bbc0	6d 65 2e 00 52 65 73 75 6c 74 73 00 52 6f 6c 65 00 52 6f 75 74 65 2d 42 61 73 65 64 20 52 65 64	me..Results.Role.Route-Based.Red
bbe0	75 6e 64 61 6e 74 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65	undant.Site-to-Site.VPN.to.Azure
bc00	20 28 42 47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f 49 50 73 65 63 29 00 52 6f 75 74 65 2d 42 61	.(BGP.over.IKEv2/IPsec).Route-Ba
bc20	73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 28 42	sed.Site-to-Site.VPN.to.Azure.(B
bc40	47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f 49 50 73 65 63 29 00 52 6f 75 74 65 2d 46 69 6c 74 65	GP.over.IKEv2/IPsec).Route-Filte
bc60	72 69 6e 67 00 52 6f 75 74 65 64 20 2f 34 38 2e 20 54 68 69 73 20 69 73 20 73 6f 6d 65 74 68 69	ring.Routed./48..This.is.somethi
bc80	6e 67 20 79 6f 75 20 63 61 6e 20 72 65 71 75 65 73 74 20 62 79 20 63 6c 69 63 6b 69 6e 67 20 74	ng.you.can.request.by.clicking.t
bca0	68 65 20 22 41 73 73 69 67 6e 20 2f 34 38 22 20 6c 69 6e 6b 20 69 6e 20 74 68 65 20 54 75 6e 6e	he."Assign./48".link.in.the.Tunn
bcc0	65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 74 75 6e 6e 65 6c 20 63 6f 6e 66 69 67 2e 20 49 74 20 61	elbroker.net.tunnel.config..It.a
bce0	6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 68 61 76 65 20 75 70 20 74 6f 20 36 35 6b 00 52 6f 75 74	llows.you.to.have.up.to.65k.Rout
bd00	65 64 20 2f 36 34 2e 20 54 68 69 73 20 69 73 20 74 68 65 20 64 65 66 61 75 6c 74 20 61 73 73 69	ed./64..This.is.the.default.assi
bd20	67 6e 6d 65 6e 74 2e 20 49 6e 20 49 50 76 36 2d 6c 61 6e 64 2c 20 69 74 27 73 20 67 6f 6f 64 20	gnment..In.IPv6-land,.it's.good.
bd40	66 6f 72 20 61 20 73 69 6e 67 6c 65 20 22 4c 41 4e 22 2c 20 61 6e 64 20 69 73 20 73 6f 6d 65 77	for.a.single."LAN",.and.is.somew
bd60	68 61 74 20 65 71 75 69 76 61 6c 65 6e 74 20 74 6f 20 61 20 2f 32 34 2e 00 52 6f 75 74 65 72 20	hat.equivalent.to.a./24..Router.
bd80	41 3a 00 52 6f 75 74 65 72 20 41 64 76 65 72 74 69 73 65 6d 65 6e 74 00 52 6f 75 74 65 72 20 42	A:.Router.Advertisement.Router.B
bda0	3a 00 52 6f 75 74 65 72 20 69 64 27 73 20 6d 75 73 74 20 62 65 20 75 6e 69 71 75 65 2e 00 52 75	:.Router.id's.must.be.unique..Ru
bdc0	6c 65 73 65 74 20 61 72 65 20 63 72 65 61 74 65 64 20 70 65 72 20 7a 6f 6e 65 2d 70 61 69 72 2d	leset.are.created.per.zone-pair-
bde0	64 69 72 65 63 74 69 6f 6e 2e 00 53 65 67 6d 65 6e 74 2d 72 6f 75 74 69 6e 67 20 49 53 2d 49 53	direction..Segment-routing.IS-IS
be00	20 65 78 61 6d 70 6c 65 00 53 65 74 20 44 4e 53 20 73 65 72 76 65 72 20 61 64 64 72 65 73 73 20	.example.Set.DNS.server.address.
be20	69 6e 20 74 68 65 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 73 6f 20 74 68 61 74 20 63 6c 69	in.the.advertisement.so.that.cli
be40	65 6e 74 73 20 63 61 6e 20 6f 62 74 61 69 6e 20 69 74 20 62 79 20 75 73 69 6e 67 20 52 44 4e 53	ents.can.obtain.it.by.using.RDNS
be60	53 20 6f 70 74 69 6f 6e 2e 20 4d 6f 73 74 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 73	S.option..Most.operating.systems
be80	20 28 57 69 6e 64 6f 77 73 2c 20 4c 69 6e 75 78 2c 20 4d 61 63 29 20 73 68 6f 75 6c 64 20 61 6c	.(Windows,.Linux,.Mac).should.al
bea0	72 65 61 64 79 20 73 75 70 70 6f 72 74 20 69 74 2e 00 53 65 74 20 49 50 20 61 64 64 72 65 73 73	ready.support.it..Set.IP.address
bec0	65 73 20 6f 6e 20 61 6c 6c 20 56 50 43 73 20 61 6e 64 20 61 20 64 65 66 61 75 6c 74 20 67 61 74	es.on.all.VPCs.and.a.default.gat
bee0	65 77 61 79 20 31 37 32 2e 31 37 2e 31 2e 31 2e 20 57 65 27 6c 6c 20 75 73 65 20 69 6e 20 74 68	eway.172.17.1.1..We'll.use.in.th
bf00	69 73 20 63 61 73 65 20 6f 6e 6c 79 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 2e 20 4f 6e 20 74	is.case.only.static.routes..On.t
bf20	68 65 20 56 79 4f 53 33 20 72 6f 75 74 65 72 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 63 68 61 6e	he.VyOS3.router,.we.need.to.chan
bf40	67 65 20 74 68 65 20 27 64 73 63 70 27 20 6c 61 62 65 6c 73 20 66 6f 72 20 74 68 65 20 56 50 43	ge.the.'dscp'.labels.for.the.VPC
bf60	73 2e 20 54 6f 20 64 6f 20 74 68 69 73 2c 20 77 65 20 75 73 65 20 74 68 69 73 20 63 6f 6e 66 69	s..To.do.this,.we.use.this.confi
bf80	67 75 72 61 74 69 6f 6e 2e 00 53 65 74 20 4d 54 55 20 69 6e 20 61 64 76 65 72 74 69 73 65 6d 65	guration..Set.MTU.in.advertiseme
bfa0	6e 74 20 74 6f 20 31 34 39 32 20 62 65 63 61 75 73 65 20 6f 66 20 50 50 50 6f 45 20 68 65 61 64	nt.to.1492.because.of.PPPoE.head
bfc0	65 72 20 6f 76 65 72 68 65 61 64 2e 00 53 65 74 20 74 68 65 20 56 52 46 20 6e 61 6d 65 20 61 6e	er.overhead..Set.the.VRF.name.an
bfe0	64 20 54 61 62 6c 65 20 49 44 2c 20 73 65 74 20 69 6e 74 65 72 66 61 63 65 20 61 64 64 72 65 73	d.Table.ID,.set.interface.addres
c000	73 20 61 6e 64 20 62 69 6e 64 20 69 74 20 74 6f 20 74 68 65 20 56 52 46 2e 20 4c 61 73 74 20 61	s.and.bind.it.to.the.VRF..Last.a
c020	64 64 20 74 68 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 20 74 6f 20 74 68 65 20 72 65 6d 6f 74	dd.the.static.route.to.the.remot
c040	65 20 6e 65 74 77 6f 72 6b 2e 00 53 65 74 20 74 68 65 20 63 6f 73 74 20 6f 6e 20 74 68 65 20 73	e.network..Set.the.cost.on.the.s
c060	65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 73 20 74 6f 20 62 65 20 32 30 30 2e 20 54 68 69 73 20 6d	econdary.links.to.be.200..This.m
c080	65 61 6e 73 20 74 68 61 74 20 74 68 65 79 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 75 73 65 64 20	eans.that.they.will.not.be.used.
c0a0	75 6e 6c 65 73 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 6c 69 6e 6b 73 20 61 72 65 20 64 6f 77	unless.the.primary.links.are.dow
c0c0	6e 2e 00 53 65 74 20 74 68 65 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 20 6f 6e 20 65 74 68 32 20	n..Set.the.local.subnet.on.eth2.
c0e0	61 6e 64 20 74 68 65 20 70 75 62 6c 69 63 20 69 70 20 61 64 64 72 65 73 73 20 65 74 68 31 20 6f	and.the.public.ip.address.eth1.o
c100	6e 20 65 61 63 68 20 73 69 74 65 2e 00 53 65 74 20 75 70 20 62 61 6e 64 77 69 64 74 68 20 6c 69	n.each.site..Set.up.bandwidth.li
c120	6d 69 74 73 20 6f 6e 20 74 68 65 20 65 74 68 32 20 69 6e 74 65 72 66 61 63 65 20 6f 66 20 74 68	mits.on.the.eth2.interface.of.th
c140	65 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 2e 00 53 65 74 73 20 79 6f 75 72 20	e.router....VyOS2.....Sets.your.
c160	4c 41 4e 20 69 6e 74 65 72 66 61 63 65 27 73 20 49 50 20 61 64 64 72 65 73 73 00 53 65 74 74 69	LAN.interface's.IP.address.Setti
c180	6e 67 20 42 47 50 20 67 6c 6f 62 61 6c 20 6c 6f 63 61 6c 2d 61 73 20 61 73 20 77 65 6c 6c 20 69	ng.BGP.global.local-as.as.well.i
c1a0	6e 73 69 64 65 20 74 68 65 20 56 52 46 2e 20 52 65 64 69 73 74 72 69 62 75 74 65 20 73 74 61 74	nside.the.VRF..Redistribute.stat
c1c0	69 63 20 72 6f 75 74 65 73 20 74 6f 20 69 6e 6a 65 63 74 20 63 6f 6e 66 69 67 75 72 65 64 20 6e	ic.routes.to.inject.configured.n
c1e0	65 74 77 6f 72 6b 73 20 69 6e 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 20 62 75 74	etworks.into.the.BGP.process.but
c200	20 73 74 69 6c 6c 20 69 6e 73 69 64 65 20 74 68 65 20 56 52 46 2e 00 53 65 74 74 69 6e 67 20 75	.still.inside.the.VRF..Setting.u
c220	70 20 41 6e 73 69 62 6c 65 20 6f 6e 20 61 20 73 65 72 76 65 72 20 72 75 6e 6e 69 6e 67 20 74 68	p.Ansible.on.a.server.running.th
c240	65 20 44 65 62 69 61 6e 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 2e 00 53 65 74 75 70	e.Debian.operating.system..Setup
c260	20 74 68 65 20 69 70 76 36 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 74 6f 20 74 68 65 20 74	.the.ipv6.default.route.to.the.t
c280	75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 00 53 68 6f 77 20 72 6f 75 74 65 73 20 66 6f 72 20	unnel.interface.Show.routes.for.
c2a0	61 6c 6c 20 56 52 46 73 00 53 69 6d 69 6c 61 72 6c 79 2c 20 74 6f 20 61 74 74 61 63 68 20 74 68	all.VRFs.Similarly,.to.attach.th
c2c0	65 20 66 69 72 65 77 61 6c 6c 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 69	e.firewall,.you.would.use.`set.i
c2e0	6e 74 65 72 66 61 63 65 73 20 65 74 68 65 72 6e 65 74 20 65 74 68 30 20 66 69 72 65 77 61 6c 6c	nterfaces.ethernet.eth0.firewall
c300	20 69 6e 20 69 70 76 36 2d 6e 61 6d 65 60 20 6f 72 20 60 65 74 20 66 69 72 65 77 61 6c 6c 20 7a	.in.ipv6-name`.or.`et.firewall.z
c320	6f 6e 65 20 4c 4f 43 41 4c 20 66 72 6f 6d 20 57 41 4e 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36	one.LOCAL.from.WAN.firewall.ipv6
c340	2d 6e 61 6d 65 60 2e 00 53 69 6e 63 65 20 73 6f 6d 65 20 49 53 50 73 20 64 69 73 63 6f 6e 6e 65	-name`..Since.some.ISPs.disconne
c360	63 74 73 20 63 6f 6e 74 69 6e 75 6f 75 73 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 6f 72 20 65 76	cts.continuous.connection.for.ev
c380	65 72 79 20 32 7e 33 20 64 61 79 73 2c 20 77 65 20 73 65 74 20 60 60 76 61 6c 69 64 2d 6c 69 66	ery.2~3.days,.we.set.``valid-lif
c3a0	65 74 69 6d 65 60 60 20 74 6f 20 32 20 64 61 79 73 20 74 6f 20 61 6c 6c 6f 77 20 50 43 20 66 6f	etime``.to.2.days.to.allow.PC.fo
c3c0	72 20 70 68 61 73 69 6e 67 20 6f 75 74 20 6f 6c 64 20 61 64 64 72 65 73 73 2e 00 53 69 6e 63 65	r.phasing.out.old.address..Since
c3e0	20 74 68 65 20 74 75 6e 6e 65 6c 20 69 73 20 61 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20	.the.tunnel.is.a.point-to-point.
c400	47 52 45 20 74 75 6e 6e 65 6c 2c 20 69 74 20 62 65 68 61 76 65 73 20 6c 69 6b 65 20 61 6e 79 20	GRE.tunnel,.it.behaves.like.any.
c420	6f 74 68 65 72 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20 69 6e 74 65 72 66 61 63 65 20 28	other.point-to-point.interface.(
c440	66 6f 72 20 65 78 61 6d 70 6c 65 3a 20 73 65 72 69 61 6c 2c 20 64 69 61 6c 65 72 29 2c 20 61 6e	for.example:.serial,.dialer),.an
c460	64 20 69 74 20 69 73 20 70 6f 73 73 69 62 6c 65 20 74 6f 20 72 75 6e 20 61 6e 79 20 49 6e 74 65	d.it.is.possible.to.run.any.Inte
c480	72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f 74 6f 63 6f 6c 20 28 49 47 50 29 2f 45 78 74 65	rior.Gateway.Protocol.(IGP)/Exte
c4a0	72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f 74 6f 63 6f 6c 20 28 45 47 50 29 20 6f 76 65 72	rior.Gateway.Protocol.(EGP).over
c4c0	20 74 68 65 20 6c 69 6e 6b 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 65 78 63 68 61 6e 67 65 20 72	.the.link.in.order.to.exchange.r
c4e0	6f 75 74 69 6e 67 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 00 53 69 6e 63 65 20 77 65 20 68 61 76 65	outing.information.Since.we.have
c500	20 34 20 7a 6f 6e 65 73 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 73 65 74 75 70 20 74 68 65 20 66	.4.zones,.we.need.to.setup.the.f
c520	6f 6c 6c 6f 77 69 6e 67 20 72 75 6c 65 73 65 74 73 2e 00 53 69 6e 67 6c 65 20 4c 41 4e 20 53 65	ollowing.rulesets..Single.LAN.Se
c540	74 75 70 00 53 69 6e 67 6c 65 20 4c 41 4e 20 73 65 74 75 70 20 77 68 65 72 65 20 65 74 68 32 20	tup.Single.LAN.setup.where.eth2.
c560	69 73 20 79 6f 75 72 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 2e 20 55 73 65 20 74 68 65 20 54	is.your.LAN.interface..Use.the.T
c580	75 6e 6e 65 6c 62 72 6f 6b 65 72 20 52 6f 75 74 65 64 20 2f 36 34 20 70 72 65 66 69 78 3a 00 53	unnelbroker.Routed./64.prefix:.S
c5a0	69 74 65 2d 74 6f 2d 53 69 74 65 20 49 50 53 65 63 20 56 50 4e 20 74 6f 20 43 69 73 63 6f 20 75	ite-to-Site.IPSec.VPN.to.Cisco.u
c5c0	73 69 6e 67 20 46 6c 65 78 56 50 4e 00 53 6f 2c 20 77 68 65 6e 20 79 6f 75 72 20 4c 41 4e 20 69	sing.FlexVPN.So,.when.your.LAN.i
c5e0	73 20 65 74 68 31 2c 20 79 6f 75 72 20 44 4d 5a 20 69 73 20 65 74 68 32 2c 20 79 6f 75 72 20 63	s.eth1,.your.DMZ.is.eth2,.your.c
c600	61 6d 65 72 61 73 20 61 72 65 20 6f 6e 20 65 74 68 33 2c 20 65 74 63 3a 00 53 6f 6d 65 74 68 69	ameras.are.on.eth3,.etc:.Somethi
c620	6e 67 20 6c 69 6b 65 3a 00 53 70 6f 6b 65 00 53 74 61 72 74 20 62 79 20 73 65 74 74 69 6e 67 20	ng.like:.Spoke.Start.by.setting.
c640	74 68 65 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e	the.interface.and.default.action
c660	20 66 6f 72 20 65 61 63 68 20 7a 6f 6e 65 2e 00 53 74 61 72 74 20 74 68 65 20 70 6c 61 79 62 6f	.for.each.zone..Start.the.playbo
c680	6f 6b 3a 00 53 74 61 72 74 69 6e 67 20 66 72 6f 6d 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69	ok:.Starting.from.VyOS.1.4-rolli
c6a0	6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 2c 20 61 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20	ng-202308040557,.a.new.firewall.
c6c0	73 74 72 75 63 74 75 72 65 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 6f 6e 20 61 6c 6c 20 76 79	structure.can.be.found.on.all.vy
c6e0	6f 73 20 69 6e 73 74 61 6c 61 74 69 6f 6e 73 2c 20 61 6e 64 20 7a 6f 6e 65 20 62 61 73 65 64 20	os.instalations,.and.zone.based.
c700	66 69 72 65 77 61 6c 6c 20 69 73 20 6e 6f 20 6c 6f 6e 67 65 72 20 73 75 70 70 6f 72 74 65 64 2e	firewall.is.no.longer.supported.
c720	20 44 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 66 6f 72 20 6d 6f 73 74 20 6f 66 20 74 68 65 20 6e	.Documentation.for.most.of.the.n
c740	65 77 20 66 69 72 65 77 61 6c 6c 20 43 4c 49 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20	ew.firewall.CLI.can.be.found.in.
c760	74 68 65 20 60 66 69 72 65 77 61 6c 6c 20 3c 68 74 74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73	the.`firewall.<https://docs.vyos
c780	2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 66 69 72 65	.io/en/latest/configuration/fire
c7a0	77 61 6c 6c 2f 67 65 6e 65 72 61 6c 2e 68 74 6d 6c 3e 60 5f 20 63 68 61 70 74 65 72 2e 20 54 68	wall/general.html>`_.chapter..Th
c7c0	65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 69 73 20 73 74 69 6c 6c 20 61 76 61 69 6c	e.legacy.firewall.is.still.avail
c7e0	61 62 6c 65 20 66 6f 72 20 76 65 72 73 69 6f 6e 73 20 62 65 66 6f 72 65 20 31 2e 34 2d 72 6f 6c	able.for.versions.before.1.4-rol
c800	6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 20 61 6e 64 20 63 61 6e 20 62 65 20 66 6f 75	ling-202308040557.and.can.be.fou
c820	6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 2d 6c 65 67 61 63 79 60	nd.in.the.:ref:`firewall-legacy`
c840	20 63 68 61 70 74 65 72 2e 20 54 68 65 20 65 78 61 6d 70 6c 65 73 20 69 6e 20 74 68 69 73 20 73	.chapter..The.examples.in.this.s
c860	65 63 74 69 6f 6e 20 75 73 65 20 74 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 63	ection.use.the.legacy.firewall.c
c880	6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 6f 6d 6d 61 6e 64 73 2c 20 73 69 6e 63 65 20 74 68 69	onfiguration.commands,.since.thi
c8a0	73 20 66 65 61 74 75 72 65 20 68 61 73 20 62 65 65 6e 20 72 65 6d 6f 76 65 64 20 69 6e 20 65 61	s.feature.has.been.removed.in.ea
c8c0	72 6c 69 65 72 20 72 65 6c 65 61 73 65 73 2e 00 53 74 65 70 20 31 3a 20 56 52 46 20 61 6e 64 20	rlier.releases..Step.1:.VRF.and.
c8e0	43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 74 6f 20 72 65 6d 6f 74 65 20 6e 65 74 77 6f 72 6b	Configurations.to.remote.network
c900	73 00 53 74 65 70 20 32 3a 20 42 47 50 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 6f 72 20	s.Step.2:.BGP.Configuration.for.
c920	56 52 46 2d 4c 69 74 65 00 53 74 65 70 20 33 3a 20 56 50 4e 20 43 6f 6e 66 69 67 75 72 61 74 69	VRF-Lite.Step.3:.VPN.Configurati
c940	6f 6e 00 53 74 65 70 20 34 3a 20 45 6e 64 20 74 6f 20 45 6e 64 20 76 65 72 69 66 69 63 61 74 69	on.Step.4:.End.to.End.verificati
c960	6f 6e 00 53 74 65 70 2d 31 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 49 47 50 20 61 6e 64 20 65	on.Step-1:.Configuring.IGP.and.e
c980	6e 61 62 6c 69 6e 67 20 4d 50 4c 53 20 4c 44 50 00 53 74 65 70 2d 32 3a 20 43 6f 6e 66 69 67 75	nabling.MPLS.LDP.Step-2:.Configu
c9a0	72 69 6e 67 20 69 42 47 50 20 66 6f 72 20 4c 33 56 50 4e 20 63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e	ring.iBGP.for.L3VPN.control-plan
c9c0	65 00 53 74 65 70 2d 33 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 4c 33 56 50 4e 20 56 52 46 73	e.Step-3:.Configuring.L3VPN.VRFs
c9e0	20 6f 6e 20 50 45 20 6e 6f 64 65 73 00 53 74 65 70 2d 34 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67	.on.PE.nodes.Step-4:.Configuring
ca00	20 43 45 20 6e 6f 64 65 73 00 53 74 65 70 2d 35 3a 20 56 65 72 69 66 69 63 61 74 69 6f 6e 00 54	.CE.nodes.Step-5:.Verification.T
ca20	65 6e 61 6e 74 20 6e 65 74 77 6f 72 6b 73 20 28 56 52 46 73 29 00 54 65 73 74 20 4f 53 50 46 00	enant.networks.(VRFs).Test.OSPF.
ca40	54 65 73 74 20 57 69 72 65 47 75 61 72 64 00 54 65 73 74 20 74 68 65 20 72 65 73 75 6c 74 00 54	Test.WireGuard.Test.the.result.T
ca60	65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 32 2d 32 34 00 54 65 73 74 64 61 74 65 3a 20 32 30	estdate:.2023-02-24.Testdate:.20
ca80	32 33 2d 30 35 2d 31 31 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 38 2d 33 31 00 54 65	23-05-11.Testdate:.2023-08-31.Te
caa0	73 74 64 61 74 65 3a 20 32 30 32 34 2d 30 31 2d 31 33 00 54 65 73 74 69 6e 67 00 54 65 73 74 69	stdate:.2024-01-13.Testing.Testi
cac0	6e 67 20 61 6e 64 20 64 65 62 75 67 67 69 6e 67 00 54 68 61 74 27 73 20 68 6f 77 20 79 6f 75 20	ng.and.debugging.That's.how.you.
cae0	63 61 6e 20 65 78 70 61 6e 64 20 74 68 65 20 65 78 61 6d 70 6c 65 20 61 62 6f 76 65 2e 20 55 73	can.expand.the.example.above..Us
cb00	65 20 74 68 65 20 60 52 6f 75 74 65 64 20 2f 34 38 60 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20	e.the.`Routed./48`.information..
cb20	54 68 69 73 20 61 6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 61 73 73 69 67 6e 20 61 20 64 69 66 66	This.allows.you.to.assign.a.diff
cb40	65 72 65 6e 74 20 2f 36 34 20 74 6f 20 65 76 65 72 79 20 69 6e 74 65 72 66 61 63 65 2c 20 4c 41	erent./64.to.every.interface,.LA
cb60	4e 2c 20 6f 72 20 65 76 65 6e 20 64 65 76 69 63 65 2e 20 4f 72 20 79 6f 75 20 63 6f 75 6c 64 20	N,.or.even.device..Or.you.could.
cb80	62 72 65 61 6b 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 20 69 6e 74 6f 20 73 6d 61 6c 6c 65 72 20	break.your.network.into.smaller.
cba0	63 68 75 6e 6b 73 20 6c 69 6b 65 20 2f 35 36 20 6f 72 20 2f 36 30 2e 00 54 68 65 20 4c 61 62 20	chunks.like./56.or./60..The.Lab.
cbc0	61 73 75 6d 65 20 61 20 66 75 6c 6c 20 72 75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20 44 69 72 65	asume.a.full.running.Active.Dire
cbe0	63 74 6f 72 79 20 6f 6e 20 74 68 65 20 57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 2e 20 48 65 72	ctory.on.the.Windows.Server..Her
cc00	65 20 61 72 65 20 73 6f 6d 65 20 50 6f 77 65 72 53 68 65 6c 6c 20 63 6f 6d 6d 61 6e 64 73 20 74	e.are.some.PowerShell.commands.t
cc20	6f 20 71 75 69 63 6b 6c 79 20 61 64 64 20 61 20 54 65 73 74 20 41 63 74 69 76 65 20 44 69 72 65	o.quickly.add.a.Test.Active.Dire
cc40	63 74 6f 72 79 2e 00 54 68 65 20 54 6f 70 6f 6c 6f 67 79 20 61 72 65 20 63 6f 6e 73 69 73 74 73	ctory..The.Topology.are.consists
cc60	20 6f 66 3a 00 54 68 65 20 56 79 4f 53 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67	.of:.The.VyOS.interface.is.assig
cc80	6e 65 64 20 74 68 65 20 2e 31 2f 3a 31 20 61 64 64 72 65 73 73 20 6f 66 20 74 68 65 69 72 20 72	ned.the..1/:1.address.of.their.r
cca0	65 73 70 65 63 74 69 76 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 41 4e 20 69 73 20 6f 6e 20 56 4c	espective.networks..WAN.is.on.VL
ccc0	41 4e 20 31 30 2c 20 4c 41 4e 20 6f 6e 20 56 4c 41 4e 20 32 30 2c 20 61 6e 64 20 44 4d 5a 20 6f	AN.10,.LAN.on.VLAN.20,.and.DMZ.o
cce0	6e 20 56 4c 41 4e 20 33 30 2e 00 54 68 65 20 60 60 63 6f 6d 6d 69 74 60 60 20 63 6f 6d 6d 61 6e	n.VLAN.30..The.``commit``.comman
cd00	64 20 69 73 20 69 6d 70 6c 69 65 64 20 61 66 74 65 72 20 65 76 65 72 79 20 73 65 63 74 69 6f 6e	d.is.implied.after.every.section
cd20	2e 20 49 66 20 79 6f 75 20 6d 61 6b 65 20 61 6e 20 65 72 72 6f 72 2c 20 60 60 63 6f 6d 6d 69 74	..If.you.make.an.error,.``commit
cd40	60 60 20 77 69 6c 6c 20 77 61 72 6e 20 79 6f 75 20 61 6e 64 20 79 6f 75 20 63 61 6e 20 66 69 78	``.will.warn.you.and.you.can.fix
cd60	20 69 74 20 62 65 66 6f 72 65 20 67 65 74 74 69 6e 67 20 74 6f 6f 20 66 61 72 20 69 6e 74 6f 20	.it.before.getting.too.far.into.
cd80	74 68 69 6e 67 73 2e 20 50 6c 65 61 73 65 20 65 6e 73 75 72 65 20 79 6f 75 20 63 6f 6d 6d 69 74	things..Please.ensure.you.commit
cda0	20 65 61 72 6c 79 20 61 6e 64 20 63 6f 6d 6d 69 74 20 6f 66 74 65 6e 2e 00 54 68 65 20 60 60 72	.early.and.commit.often..The.``r
cdc0	65 64 69 73 74 72 69 62 75 74 65 20 6f 73 70 66 60 60 20 63 6f 6d 6d 61 6e 64 20 69 73 20 74 68	edistribute.ospf``.command.is.th
cde0	65 72 65 20 70 75 72 65 6c 79 20 61 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 68 6f 77 20	ere.purely.as.an.example.of.how.
ce00	74 68 69 73 20 63 61 6e 20 62 65 20 65 78 70 61 6e 64 65 64 2e 20 49 6e 20 74 68 69 73 20 77 61	this.can.be.expanded..In.this.wa
ce20	6c 6b 74 68 72 6f 75 67 68 2c 20 69 74 20 77 69 6c 6c 20 62 65 20 66 69 6c 74 65 72 65 64 20 62	lkthrough,.it.will.be.filtered.b
ce40	79 20 42 47 50 4f 55 54 20 72 75 6c 65 20 31 30 30 30 30 2c 20 61 73 20 69 74 20 69 73 20 6e 6f	y.BGPOUT.rule.10000,.as.it.is.no
ce60	74 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32 34 2e 00 54 68 65 20 62 65 6c 6f 77 20 63 6f 6e 66	t.203.0.113.0/24..The.below.conf
ce80	69 67 75 72 61 74 69 6f 6e 20 69 73 20 75 73 65 64 20 61 73 20 65 78 61 6d 70 6c 65 20 77 68 65	iguration.is.used.as.example.whe
cea0	72 65 20 77 65 20 6b 65 65 70 20 66 6f 63 75 73 20 6f 6e 20 56 79 4f 53 2d 50 31 2f 56 79 4f 53	re.we.keep.focus.on.VyOS-P1/VyOS
cec0	2d 50 32 2f 58 52 76 2d 50 33 20 77 68 69 63 68 20 77 65 20 73 68 61 72 65 20 74 68 65 20 73 65	-P2/XRv-P3.which.we.share.the.se
cee0	74 74 69 6e 67 73 2e 00 54 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 73 74 65 70 73 20	ttings..The.configuration.steps.
cf00	61 72 65 20 74 68 65 20 73 61 6d 65 20 61 73 20 69 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20	are.the.same.as.in.the.previous.
cf20	65 78 61 6d 70 6c 65 2c 20 65 78 63 65 70 74 20 72 75 6c 65 20 31 30 2e 20 53 6f 20 77 65 20 6b	example,.except.rule.10..So.we.k
cf40	65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2c 20 72 65 6d 6f 76 65 20 72 75	eep.the.configuration,.remove.ru
cf60	6c 65 20 31 30 20 61 6e 64 20 61 64 64 20 61 20 6e 65 77 20 72 75 6c 65 20 66 6f 72 20 74 68 65	le.10.and.add.a.new.rule.for.the
cf80	20 66 61 69 6c 6f 76 65 72 20 6d 6f 64 65 3a 00 54 68 65 20 65 78 61 6d 70 6c 65 20 74 6f 70 6f	.failover.mode:.The.example.topo
cfa0	6c 6f 67 79 20 68 61 73 20 32 20 56 79 4f 53 20 72 6f 75 74 65 72 73 2e 20 4f 6e 65 20 61 73 20	logy.has.2.VyOS.routers..One.as.
cfc0	54 68 65 20 57 41 4e 20 52 6f 75 74 65 72 20 61 6e 64 20 6f 6e 20 61 73 20 61 20 43 6c 69 65 6e	The.WAN.Router.and.on.as.a.Clien
cfe0	74 2c 20 74 6f 20 74 65 73 74 20 61 20 73 69 6e 67 6c 65 20 4c 41 4e 20 73 65 74 75 70 00 54 68	t,.to.test.a.single.LAN.setup.Th
d000	65 20 66 69 72 73 74 20 74 77 6f 20 72 75 6c 65 73 20 61 72 65 20 74 6f 20 64 65 61 6c 20 77 69	e.first.two.rules.are.to.deal.wi
d020	74 68 20 74 68 65 20 69 64 69 6f 73 79 6e 63 72 61 73 69 65 73 20 6f 66 20 56 79 4f 53 20 61 6e	th.the.idiosyncrasies.of.VyOS.an
d040	64 20 69 70 74 61 62 6c 65 73 2e 00 54 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 61 72 65 20 74 68	d.iptables..The.following.are.th
d060	65 20 72 75 6c 65 73 20 74 68 61 74 20 77 65 72 65 20 63 72 65 61 74 65 64 20 66 6f 72 20 74 68	e.rules.that.were.created.for.th
d080	69 73 20 65 78 61 6d 70 6c 65 20 28 6d 61 79 20 6e 6f 74 20 62 65 20 63 6f 6d 70 6c 65 74 65 29	is.example.(may.not.be.complete)
d0a0	2c 20 62 6f 74 68 20 69 6e 20 49 50 76 34 20 61 6e 64 20 49 50 76 36 2e 20 49 66 20 74 68 65 72	,.both.in.IPv4.and.IPv6..If.ther
d0c0	65 20 69 73 20 6e 6f 20 49 50 20 73 70 65 63 69 66 69 65 64 2c 20 74 68 65 6e 20 74 68 65 20 73	e.is.no.IP.specified,.then.the.s
d0e0	6f 75 72 63 65 2f 64 65 73 74 69 6e 61 74 69 6f 6e 20 61 64 64 72 65 73 73 20 69 73 20 6e 6f 74	ource/destination.address.is.not
d100	20 65 78 70 6c 69 63 69 74 2e 00 54 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 73 6f 66 74 77 61 72	.explicit..The.following.softwar
d120	65 20 77 61 73 20 75 73 65 64 20 69 6e 20 74 68 65 20 63 72 65 61 74 69 6f 6e 20 6f 66 20 74 68	e.was.used.in.the.creation.of.th
d140	69 73 20 64 6f 63 75 6d 65 6e 74 3a 00 54 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 74 65 6d 70 6c	is.document:.The.following.templ
d160	61 74 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 75 73 65 64 20 69 6e	ate.configuration.can.be.used.in
d180	20 65 61 63 68 20 72 65 6d 6f 74 65 20 72 6f 75 74 65 72 20 62 61 73 65 64 20 69 6e 20 6f 75 72	.each.remote.router.based.in.our
d1a0	20 74 6f 70 6f 6c 6f 67 79 2e 00 54 68 65 20 66 6f 72 6d 61 74 20 6f 66 20 74 68 65 73 65 20 61	.topology..The.format.of.these.a
d1c0	64 64 72 65 73 73 65 73 3a 00 54 68 65 20 6c 61 62 20 49 20 62 75 69 6c 74 20 69 73 20 75 73 69	ddresses:.The.lab.I.built.is.usi
d1e0	6e 67 20 61 20 56 52 46 20 28 63 61 6c 6c 65 64 20 2a 2a 6d 67 6d 74 2a 2a 29 20 74 6f 20 70 72	ng.a.VRF.(called.mgmt).to.pr
d200	6f 76 69 64 65 20 6f 75 74 2d 6f 66 2d 62 61 6e 64 20 53 53 48 20 61 63 63 65 73 73 20 74 6f 20	ovide.out-of-band.SSH.access.to.
d220	74 68 65 20 50 45 20 28 50 72 6f 76 69 64 65 72 20 45 64 67 65 29 20 72 6f 75 74 65 72 73 2e 00	the.PE.(Provider.Edge).routers..
d240	54 68 65 20 6c 61 62 20 77 61 73 20 62 75 69 6c 74 20 75 73 69 6e 67 20 45 56 45 2d 4e 47 2e 00	The.lab.was.built.using.EVE-NG..
d260	54 68 65 20 6e 65 78 74 20 70 61 67 65 73 20 63 6f 6e 74 61 69 6e 73 20 61 75 74 6f 6d 61 74 69	The.next.pages.contains.automati
d280	63 20 66 75 6c 6c 20 74 65 73 74 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d	c.full.tested.configuration.exam
d2a0	70 6c 65 73 2e 00 54 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 20 75 73 65 64 20	ples..The.previous.example.used.
d2c0	74 68 65 20 66 61 69 6c 6f 76 65 72 20 63 6f 6d 6d 61 6e 64 20 74 6f 20 73 65 6e 64 20 74 72 61	the.failover.command.to.send.tra
d2e0	66 66 69 63 20 74 68 72 6f 75 67 68 20 65 74 68 31 20 69 66 20 65 74 68 30 20 66 61 69 6c 73 2e	ffic.through.eth1.if.eth0.fails.
d300	20 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 2c 20 66 61 69 6c 6f 76 65 72 20 66 75 6e 63 74	.In.this.example,.failover.funct
d320	69 6f 6e 61 6c 69 74 79 20 69 73 20 70 72 6f 76 69 64 65 64 20 62 79 20 72 75 6c 65 20 6f 72 64	ionality.is.provided.by.rule.ord
d340	65 72 2e 00 54 68 65 20 70 72 6f 63 65 73 73 20 77 69 6c 6c 20 64 6f 20 74 68 65 20 66 6f 6c 6c	er..The.process.will.do.the.foll
d360	6f 77 69 6e 67 20 73 74 65 70 73 3a 00 54 68 65 20 73 63 6f 70 65 20 6f 66 20 74 68 69 73 20 64	owing.steps:.The.scope.of.this.d
d380	6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 63 6f 76 65 72 20 73 75 63 68 20 63 61 73 65 73 20 69	ocument.is.to.cover.such.cases.i
d3a0	6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61 79 20 77 69 74 68 6f 75 74 20 74 68 65 20 75 73 65 20	n.a.dynamic.way.without.the.use.
d3c0	6f 66 20 4d 50 4c 53 2d 4c 44 50 2e 00 54 68 65 20 73 65 74 75 70 20 75 73 65 64 20 69 6e 20 74	of.MPLS-LDP..The.setup.used.in.t
d3e0	68 69 73 20 65 78 61 6d 70 6c 65 20 69 73 20 73 68 6f 77 6e 20 69 6e 20 74 68 65 20 66 6f 6c 6c	his.example.is.shown.in.the.foll
d400	6f 77 69 6e 67 20 64 69 61 67 72 61 6d 3a 00 54 68 65 20 73 69 6d 70 6c 65 20 77 61 79 20 77 69	owing.diagram:.The.simple.way.wi
d420	74 68 6f 75 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 68 6f 73 74 6e	thout.configuration.of.the.hostn
d440	61 6d 65 20 28 6f 6e 65 20 74 61 73 6b 20 66 6f 72 20 61 6c 6c 20 72 6f 75 74 65 72 73 29 3a 00	ame.(one.task.for.all.routers):.
d460	54 68 65 20 73 69 6d 70 6c 65 73 74 20 77 61 79 20 74 6f 20 74 65 73 74 20 69 73 20 74 6f 20 6c	The.simplest.way.to.test.is.to.l
d480	6f 6f 6b 20 61 74 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 72 61 63 6b 69 6e 67 20 73	ook.at.the.connection.tracking.s
d4a0	74 61 74 73 20 6f 6e 20 74 68 65 20 73 74 61 6e 64 62 79 20 68 61 72 64 77 61 72 65 20 72 6f 75	tats.on.the.standby.hardware.rou
d4c0	74 65 72 20 77 69 74 68 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 68 6f 77 20 63 6f 6e 6e	ter.with.the.command.``show.conn
d4e0	74 72 61 63 6b 2d 73 79 6e 63 20 73 74 61 74 69 73 74 69 63 73 60 60 2e 20 54 68 65 20 6e 75 6d	track-sync.statistics``..The.num
d500	62 65 72 73 20 73 68 6f 75 6c 64 20 62 65 20 76 65 72 79 20 63 6c 6f 73 65 20 74 6f 20 74 68 65	bers.should.be.very.close.to.the
d520	20 6e 75 6d 62 65 72 73 20 6f 6e 20 74 68 65 20 70 72 69 6d 61 72 79 20 72 6f 75 74 65 72 2e 00	.numbers.on.the.primary.router..
d540	54 68 65 20 73 79 6e 63 20 67 72 6f 75 70 20 69 73 20 75 73 65 64 20 74 6f 20 72 65 70 6c 69 63	The.sync.group.is.used.to.replic
d560	61 74 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 72 61 63 6b 69 6e 67 2e 20 49 74 20 6e 65 65 64	ate.connection.tracking..It.need
d580	73 20 74 6f 20 62 65 20 61 73 73 69 67 6e 65 64 20 74 6f 20 61 20 72 61 6e 64 6f 6d 20 56 52 52	s.to.be.assigned.to.a.random.VRR
d5a0	50 20 67 72 6f 75 70 2c 20 61 6e 64 20 77 65 20 61 72 65 20 63 72 65 61 74 69 6e 67 20 61 20 73	P.group,.and.we.are.creating.a.s
d5c0	79 6e 63 20 67 72 6f 75 70 20 63 61 6c 6c 65 64 20 60 60 73 79 6e 63 60 60 20 75 73 69 6e 67 20	ync.group.called.``sync``.using.
d5e0	74 68 65 20 76 72 72 70 20 67 72 6f 75 70 20 60 60 69 6e 74 60 60 2e 00 54 68 65 20 74 6f 70 6f	the.vrrp.group.``int``..The.topo
d600	6c 6f 67 79 20 68 61 73 20 33 20 56 79 4f 53 20 72 6f 75 74 65 72 73 20 61 6e 64 20 6f 6e 65 20	logy.has.3.VyOS.routers.and.one.
d620	63 6c 69 65 6e 74 2e 20 42 65 74 77 65 65 6e 20 74 68 65 20 44 48 43 50 20 53 65 72 76 65 72 20	client..Between.the.DHCP.Server.
d640	61 6e 64 20 74 68 65 20 44 48 43 50 20 52 65 6c 61 79 20 69 73 20 61 20 47 52 45 20 74 75 6e 6e	and.the.DHCP.Relay.is.a.GRE.tunn
d660	65 6c 2e 20 54 68 65 20 60 74 72 61 6e 73 70 6f 72 74 60 20 56 79 4f 53 20 72 65 70 72 65 73 65	el..The.`transport`.VyOS.represe
d680	6e 74 20 61 20 6c 61 72 67 65 20 4e 65 74 77 6f 72 6b 2e 00 54 68 65 20 74 6f 70 6f 6c 6f 67 79	nt.a.large.Network..The.topology
d6a0	20 68 61 76 65 20 61 20 63 65 6e 74 72 61 6c 20 61 6e 64 20 61 20 62 72 61 6e 63 68 20 56 79 4f	.have.a.central.and.a.branch.VyO
d6c0	53 20 72 6f 75 74 65 72 20 61 6e 64 20 6f 6e 65 20 63 6c 69 65 6e 74 2c 20 74 6f 20 74 65 73 74	S.router.and.one.client,.to.test
d6e0	2c 20 69 6e 20 65 61 63 68 20 73 69 74 65 2e 00 54 68 65 6e 20 61 64 64 20 61 20 72 6f 75 74 65	,.in.each.site..Then.add.a.route
d700	2d 6d 61 70 20 61 6e 64 20 72 65 66 65 72 65 6e 63 65 20 74 6f 20 61 62 6f 76 65 20 70 72 65 66	-map.and.reference.to.above.pref
d720	69 78 2e 20 43 6f 6e 73 69 64 65 72 20 74 68 61 74 20 74 68 65 20 61 63 74 69 6f 6e 73 20 74 61	ix..Consider.that.the.actions.ta
d740	6b 65 6e 20 69 6e 73 69 64 65 20 74 68 65 20 70 72 65 66 69 78 20 77 69 6c 6c 20 4d 41 54 43 48	ken.inside.the.prefix.will.MATCH
d760	20 74 68 65 20 72 6f 75 74 65 73 20 74 68 61 74 20 77 69 6c 6c 20 62 65 20 61 66 66 65 63 74 65	.the.routes.that.will.be.affecte
d780	64 20 62 79 20 74 68 65 20 61 63 74 69 6f 6e 73 20 69 6e 73 69 64 65 20 74 68 65 20 72 75 6c 65	d.by.the.actions.inside.the.rule
d7a0	73 20 6f 66 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 2e 00 54 68 65 6e 20 77 65 20 6e 65 65 64	s.of.the.route-map..Then.we.need
d7c0	20 74 6f 20 61 74 74 61 63 68 20 74 68 65 20 70 6f 6c 69 63 79 20 74 6f 20 74 68 65 20 42 47 50	.to.attach.the.policy.to.the.BGP
d7e0	20 70 72 6f 63 65 73 73 2e 20 54 68 69 73 20 6e 65 65 64 73 20 74 6f 20 62 65 20 75 6e 64 65 72	.process..This.needs.to.be.under
d800	20 74 68 65 20 69 6d 70 6f 72 74 20 73 74 61 74 65 6d 65 6e 74 20 69 6e 20 74 68 65 20 76 72 66	.the.import.statement.in.the.vrf
d820	20 77 65 20 6e 65 65 64 20 74 6f 20 66 69 6c 74 65 72 2e 00 54 68 65 72 65 20 61 72 65 20 73 6f	.we.need.to.filter..There.are.so
d840	6d 65 20 63 61 73 65 73 20 77 68 65 72 65 20 74 68 69 73 20 69 73 20 6e 6f 74 20 6e 65 65 64 65	me.cases.where.this.is.not.neede
d860	64 20 2d 66 6f 72 20 65 78 61 6d 70 6c 65 2c 20 69 6e 20 73 6f 6d 65 20 44 44 6f 53 20 61 70 70	d.-for.example,.in.some.DDoS.app
d880	6c 69 61 6e 63 65 2d 20 62 75 74 20 6d 6f 73 74 20 69 6e 74 65 72 2d 76 72 66 20 72 6f 75 74 69	liance-.but.most.inter-vrf.routi
d8a0	6e 67 20 64 65 73 69 67 6e 73 20 75 73 65 20 74 68 65 20 61 62 6f 76 65 20 63 6f 6e 66 69 67 75	ng.designs.use.the.above.configu
d8c0	72 61 74 69 6f 6e 73 2e 00 54 68 65 72 65 20 69 73 20 70 6c 65 6e 74 79 20 6f 66 20 69 6e 73 74	rations..There.is.plenty.of.inst
d8e0	72 75 63 74 69 6f 6e 73 20 61 6e 64 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 6f 6e 20 73 65	ructions.and.documentation.on.se
d900	74 74 69 6e 67 20 75 70 20 57 69 72 65 67 75 61 72 64 2e 20 54 68 65 20 6f 6e 6c 79 20 69 6d 70	tting.up.Wireguard..The.only.imp
d920	6f 72 74 61 6e 74 20 74 68 69 6e 67 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 72 65 6d 65 6d 62 65	ortant.thing.you.need.to.remembe
d940	72 20 69 73 20 74 6f 20 6f 6e 6c 79 20 75 73 65 20 6f 6e 65 20 57 69 72 65 47 75 61 72 64 20 69	r.is.to.only.use.one.WireGuard.i
d960	6e 74 65 72 66 61 63 65 20 70 65 72 20 4f 53 50 46 20 63 6f 6e 6e 65 63 74 69 6f 6e 2e 00 54 68	nterface.per.OSPF.connection..Th
d980	65 73 65 20 61 72 65 20 74 68 65 20 76 6c 61 6e 73 20 77 65 20 77 69 6c 6c 20 62 65 20 75 73 69	ese.are.the.vlans.we.will.be.usi
d9a0	6e 67 3a 00 54 68 65 79 20 77 61 6e 74 20 75 73 20 74 6f 20 65 73 74 61 62 6c 69 73 68 20 61 20	ng:.They.want.us.to.establish.a.
d9c0	42 47 50 20 73 65 73 73 69 6f 6e 20 74 6f 20 74 68 65 69 72 20 72 6f 75 74 65 72 73 20 6f 6e 20	BGP.session.to.their.routers.on.
d9e0	31 39 32 2e 30 2e 32 2e 31 31 20 61 6e 64 20 31 39 32 2e 30 2e 32 2e 31 32 20 66 72 6f 6d 20 6f	192.0.2.11.and.192.0.2.12.from.o
da00	75 72 20 72 6f 75 74 65 72 73 20 31 39 32 2e 30 2e 32 2e 32 31 20 61 6e 64 20 31 39 32 2e 30 2e	ur.routers.192.0.2.21.and.192.0.
da20	32 2e 32 32 2e 20 54 68 65 79 20 61 72 65 20 41 53 20 36 35 35 35 30 20 61 6e 64 20 77 65 20 61	2.22..They.are.AS.65550.and.we.a
da40	72 65 20 41 53 20 36 35 35 35 31 2e 00 54 68 69 73 20 4c 41 42 20 73 68 6f 77 20 68 6f 77 20 74	re.AS.65551..This.LAB.show.how.t
da60	6f 20 75 77 65 20 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 61 20 41 63 74 69 76 65 20 44 69 72 65	o.uwe.OpenVPN.with.a.Active.Dire
da80	63 74 6f 72 79 20 61 75 74 68 65 6e 74 69 63 61 74 69 6f 6e 20 62 61 63 6b 65 6e 64 2e 00 54 68	ctory.authentication.backend..Th
daa0	69 73 20 61 63 63 6f 6d 70 6c 69 73 68 65 73 20 61 20 66 65 77 20 74 68 69 6e 67 73 3a 00 54 68	is.accomplishes.a.few.things:.Th
dac0	69 73 20 63 68 61 70 74 65 72 20 63 6f 6e 74 61 69 6e 73 20 76 61 72 69 6f 75 73 20 63 6f 6e 66	is.chapter.contains.various.conf
dae0	69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 73 3a 00 54 68 69 73 20 63 6f 6e 66 69 67 75	iguration.examples:.This.configu
db00	72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 20 61 6e 64 20 74 68 65 20 72 65 71 75 69 72 6d 65 6e	ration.example.and.the.requirmen
db20	74 73 20 63 6f 6e 73 69 73 74 73 20 6f 6e 3a 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 61 69	ts.consists.on:.This.document.ai
db40	6d 73 20 74 6f 20 77 61 6c 6b 20 79 6f 75 20 74 68 72 6f 75 67 68 20 73 65 74 74 69 6e 67 20 65	ms.to.walk.you.through.setting.e
db60	76 65 72 79 74 68 69 6e 67 20 75 70 2c 20 73 6f 20 61 74 20 61 20 70 6f 69 6e 74 20 77 68 65 72	verything.up,.so.at.a.point.wher
db80	65 20 79 6f 75 20 63 61 6e 20 72 65 62 6f 6f 74 20 61 6e 79 20 6d 61 63 68 69 6e 65 20 61 6e 64	e.you.can.reboot.any.machine.and
dba0	20 6e 6f 74 20 6c 6f 73 65 20 6d 6f 72 65 20 74 68 61 6e 20 61 20 66 65 77 20 73 65 63 6f 6e 64	.not.lose.more.than.a.few.second
dbc0	73 20 77 6f 72 74 68 20 6f 66 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 2e 00 54 68 69 73 20 64 6f	s.worth.of.connectivity..This.do
dbe0	63 75 6d 65 6e 74 20 69 73 20 74 6f 20 64 65 73 63 72 69 62 65 20 61 20 62 61 73 69 63 20 73 65	cument.is.to.describe.a.basic.se
dc00	74 75 70 20 75 73 69 6e 67 20 50 50 50 6f 45 20 77 69 74 68 20 44 48 43 50 76 36 2d 50 44 20 2b	tup.using.PPPoE.with.DHCPv6-PD.+
dc20	20 53 4c 41 41 43 20 74 6f 20 63 6f 6e 73 74 72 75 63 74 20 61 20 74 79 70 69 63 61 6c 20 68 6f	.SLAAC.to.construct.a.typical.ho
dc40	6d 65 20 6e 65 74 77 6f 72 6b 2e 20 54 68 65 20 75 73 65 72 20 63 61 6e 20 66 6f 6c 6c 6f 77 20	me.network..The.user.can.follow.
dc60	74 68 65 20 73 74 65 70 73 20 64 65 73 63 72 69 62 65 64 20 68 65 72 65 20 74 6f 20 71 75 69 63	the.steps.described.here.to.quic
dc80	6b 6c 79 20 73 65 74 75 70 20 61 20 77 6f 72 6b 69 6e 67 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20	kly.setup.a.working.network.and.
dca0	75 73 65 20 74 68 69 73 20 61 73 20 61 20 73 74 61 72 74 69 6e 67 20 70 6f 69 6e 74 20 74 6f 20	use.this.as.a.starting.point.to.
dcc0	66 75 72 74 68 65 72 20 63 6f 6e 66 69 67 75 72 65 20 6f 72 20 66 69 6e 65 2d 74 75 6e 65 20 6f	further.configure.or.fine-tune.o
dce0	74 68 65 72 20 73 65 74 74 69 6e 67 73 2e 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77 61 6c	ther.settings..This.document.wal
dd00	6b 73 20 79 6f 75 20 74 68 72 6f 75 67 68 20 61 20 63 6f 6d 70 6c 65 74 65 20 48 41 20 73 65 74	ks.you.through.a.complete.HA.set
dd20	75 70 20 6f 66 20 74 77 6f 20 56 79 4f 53 20 6d 61 63 68 69 6e 65 73 2e 20 54 68 69 73 20 64 65	up.of.two.VyOS.machines..This.de
dd40	73 69 67 6e 20 69 73 20 62 61 73 65 64 20 6f 6e 20 61 20 56 4d 20 61 73 20 74 68 65 20 70 72 69	sign.is.based.on.a.VM.as.the.pri
dd60	6d 61 72 79 20 72 6f 75 74 65 72 20 61 6e 64 20 61 20 70 68 79 73 69 63 61 6c 20 6d 61 63 68 69	mary.router.and.a.physical.machi
dd80	6e 65 20 61 73 20 61 20 62 61 63 6b 75 70 2c 20 75 73 69 6e 67 20 56 52 52 50 2c 20 42 47 50 2c	ne.as.a.backup,.using.VRRP,.BGP,
dda0	20 4f 53 50 46 2c 20 61 6e 64 20 63 6f 6e 6e 74 72 61 63 6b 20 73 68 61 72 69 6e 67 2e 00 54 68	.OSPF,.and.conntrack.sharing..Th
ddc0	69 73 20 65 6e 73 75 72 65 73 20 79 6f 75 20 64 6f 6e 27 74 20 67 6f 20 74 6f 6f 20 66 61 73 74	is.ensures.you.don't.go.too.fast
dde0	20 6f 72 20 6d 69 73 73 20 61 20 73 74 65 70 2e 20 48 6f 77 65 76 65 72 2c 20 69 74 20 77 69 6c	.or.miss.a.step..However,.it.wil
de00	6c 20 6d 61 6b 65 20 79 6f 75 72 20 6c 69 66 65 20 65 61 73 69 65 72 20 74 6f 20 63 6f 6e 66 69	l.make.your.life.easier.to.confi
de20	67 75 72 65 20 74 68 65 20 66 69 78 65 64 20 49 50 20 61 64 64 72 65 73 73 20 61 6e 64 20 64 65	gure.the.fixed.IP.address.and.de
de40	66 61 75 6c 74 20 72 6f 75 74 65 20 6e 6f 77 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20	fault.route.now.on.the.hardware.
de60	72 6f 75 74 65 72 2e 00 54 68 69 73 20 65 78 61 6d 70 6c 65 20 75 73 65 73 20 74 68 65 20 66 61	router..This.example.uses.the.fa
de80	69 6c 6f 76 65 72 20 6d 6f 64 65 2e 00 54 68 69 73 20 67 69 76 65 73 20 75 73 20 4d 50 4c 53 20	ilover.mode..This.gives.us.MPLS.
dea0	73 65 67 6d 65 6e 74 20 72 6f 75 74 69 6e 67 20 65 6e 61 62 6c 65 64 20 61 6e 64 20 6c 61 62 65	segment.routing.enabled.and.labe
dec0	6c 73 20 66 6f 72 77 61 72 64 69 6e 67 20 3a 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73	ls.forwarding.:.This.guide.shows
dee0	20 61 20 73 61 6d 70 6c 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 6f 72 20 46 6c 65 78	.a.sample.configuration.for.Flex
df00	56 50 4e 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 49 6e 74 65 72 6e 65 74 20 50 72 6f 74 6f 63	VPN.site-to-site.Internet.Protoc
df20	6f 6c 20 53 65 63 75 72 69 74 79 20 28 49 50 73 65 63 29 2f 47 65 6e 65 72 69 63 20 52 6f 75 74	ol.Security.(IPsec)/Generic.Rout
df40	69 6e 67 20 45 6e 63 61 70 73 75 6c 61 74 69 6f 6e 20 28 47 52 45 29 20 74 75 6e 6e 65 6c 2e 00	ing.Encapsulation.(GRE).tunnel..
df60	54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61	This.guide.shows.an.example.of.a
df80	20 72 65 64 75 6e 64 61 6e 74 20 28 61 63 74 69 76 65 2d 61 63 74 69 76 65 29 20 72 6f 75 74 65	.redundant.(active-active).route
dfa0	2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 74 6f	-based.IKEv2.site-to-site.VPN.to
dfc0	20 41 7a 75 72 65 20 75 73 69 6e 67 20 56 54 49 20 61 6e 64 20 42 47 50 20 66 6f 72 20 64 79 6e	.Azure.using.VTI.and.BGP.for.dyn
dfe0	61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 70 64 61 74 65 73 2e 00 54 68 69 73 20 67 75 69 64 65	amic.routing.updates..This.guide
e000	20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 20 72 6f 75 74 65 2d 62 61 73	.shows.an.example.of.a.route-bas
e020	65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75	ed.IKEv2.site-to-site.VPN.to.Azu
e040	72 65 20 75 73 69 6e 67 20 56 54 49 20 61 6e 64 20 42 47 50 20 66 6f 72 20 64 79 6e 61 6d 69 63	re.using.VTI.and.BGP.for.dynamic
e060	20 72 6f 75 74 69 6e 67 20 75 70 64 61 74 65 73 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f	.routing.updates..This.guide.sho
e080	77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 70 6f 6c 69 63 79 2d 62 61 73 65 64 20 49 4b 45 76 32	ws.an.example.policy-based.IKEv2
e0a0	20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 62 65 74 77 65 65 6e 20 74 77 6f 20 56 79	.site-to-site.VPN.between.two.Vy
e0c0	4f 53 20 72 6f 75 74 65 72 73 2c 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 69	OS.routers,.and.firewall.configi
e0e0	75 72 61 74 69 6f 6e 2e 00 54 68 69 73 20 67 75 69 64 65 20 77 61 6c 6b 73 20 74 68 72 6f 75 67	uration..This.guide.walks.throug
e100	68 20 74 68 65 20 73 65 74 75 70 20 6f 66 20 68 74 74 70 73 3a 2f 2f 77 77 77 2e 74 75 6e 6e 65	h.the.setup.of.https://www.tunne
e120	6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 20 66 6f 72 20 61 6e 20 49 50 76 36 20 54 75 6e 6e 65 6c 2e	lbroker.net/.for.an.IPv6.Tunnel.
e140	00 54 68 69 73 20 68 61 73 20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20	.This.has.a.floating.IP.address.
e160	6f 66 20 31 30 2e 32 30 30 2e 32 30 31 2e 31 2f 32 34 2c 20 75 73 69 6e 67 20 76 69 72 74 75 61	of.10.200.201.1/24,.using.virtua
e180	6c 20 72 6f 75 74 65 72 20 49 44 20 32 30 31 2e 20 54 68 65 20 64 69 66 66 65 72 65 6e 63 65 20	l.router.ID.201..The.difference.
e1a0	62 65 74 77 65 65 6e 20 74 68 65 6d 20 69 73 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 6e 61	between.them.is.the.interface.na
e1c0	6d 65 2c 20 68 65 6c 6c 6f 2d 73 6f 75 72 63 65 2d 61 64 64 72 65 73 73 2c 20 61 6e 64 20 70 65	me,.hello-source-address,.and.pe
e1e0	65 72 2d 61 64 64 72 65 73 73 2e 00 54 68 69 73 20 68 61 73 20 61 20 66 6c 6f 61 74 69 6e 67 20	er-address..This.has.a.floating.
e200	49 50 20 61 64 64 72 65 73 73 20 6f 66 20 32 30 33 2e 30 2e 31 31 33 2e 31 2f 32 34 2c 20 75 73	IP.address.of.203.0.113.1/24,.us
e220	69 6e 67 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 31 31 33 2e 20 54 68 65 20 76	ing.virtual.router.ID.113..The.v
e240	69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 69 73 20 6a 75 73 74 20 61 20 72 61 6e 64 6f	irtual.router.ID.is.just.a.rando
e260	6d 20 6e 75 6d 62 65 72 20 62 65 74 77 65 65 6e 20 31 20 61 6e 64 20 32 35 34 2c 20 61 6e 64 20	m.number.between.1.and.254,.and.
e280	63 61 6e 20 62 65 20 73 65 74 20 74 6f 20 77 68 61 74 65 76 65 72 20 79 6f 75 20 77 61 6e 74 2e	can.be.set.to.whatever.you.want.
e2a0	20 42 65 73 74 20 70 72 61 63 74 69 63 65 73 20 73 75 67 67 65 73 74 20 79 6f 75 20 74 72 79 20	.Best.practices.suggest.you.try.
e2c0	74 6f 20 6b 65 65 70 20 74 68 65 6d 20 75 6e 69 71 75 65 20 65 6e 74 65 72 70 72 69 73 65 2d 77	to.keep.them.unique.enterprise-w
e2e0	69 64 65 2e 00 54 68 69 73 20 69 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 74 68 65 20 74	ide..This.is.an.example.of.the.t
e300	68 72 65 65 20 62 61 73 65 20 72 75 6c 65 73 2e 00 54 68 69 73 20 69 73 20 62 61 73 65 64 20 6f	hree.base.rules..This.is.based.o
e320	6e 20 61 20 72 65 61 6c 2d 6c 69 66 65 20 70 72 6f 64 75 63 74 69 6f 6e 20 64 65 73 69 67 6e 2e	n.a.real-life.production.design.
e340	20 4f 6e 65 20 6f 66 20 74 68 65 20 63 6f 6d 70 6c 65 78 20 69 73 73 75 65 73 20 69 73 20 65 6e	.One.of.the.complex.issues.is.en
e360	73 75 72 69 6e 67 20 79 6f 75 20 68 61 76 65 20 72 65 64 75 6e 64 61 6e 74 20 64 61 74 61 20 49	suring.you.have.redundant.data.I
e380	4e 54 4f 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 2e 20 57 65 20 64 6f 20 74 68 69 73 20 77 69 74	NTO.your.network..We.do.this.wit
e3a0	68 20 61 20 70 61 69 72 20 6f 66 20 43 69 73 63 6f 20 4e 65 78 75 73 20 73 77 69 74 63 68 65 73	h.a.pair.of.Cisco.Nexus.switches
e3c0	20 61 6e 64 20 75 73 69 6e 67 20 56 69 72 74 75 61 6c 20 50 6f 72 74 43 68 61 6e 6e 65 6c 73 20	.and.using.Virtual.PortChannels.
e3e0	74 68 61 74 20 61 72 65 20 73 70 61 6e 6e 65 64 20 61 63 72 6f 73 73 20 74 68 65 6d 2e 20 41 73	that.are.spanned.across.them..As
e400	20 61 20 62 6f 6e 75 73 2c 20 74 68 69 73 20 61 6c 73 6f 20 61 6c 6c 6f 77 73 20 66 6f 72 20 63	.a.bonus,.this.also.allows.for.c
e420	6f 6d 70 6c 65 74 65 20 73 77 69 74 63 68 20 66 61 69 6c 75 72 65 20 77 69 74 68 6f 75 74 20 61	omplete.switch.failure.without.a
e440	6e 20 6f 75 74 61 67 65 2e 20 48 6f 77 20 79 6f 75 20 61 63 68 69 65 76 65 20 74 68 69 73 20 79	n.outage..How.you.achieve.this.y
e460	6f 75 72 73 65 6c 66 20 69 73 20 6c 65 66 74 20 61 73 20 61 6e 20 65 78 65 72 63 69 73 65 20 74	ourself.is.left.as.an.exercise.t
e480	6f 20 74 68 65 20 72 65 61 64 65 72 2e 20 42 75 74 20 6f 75 72 20 73 65 74 75 70 20 69 73 20 64	o.the.reader..But.our.setup.is.d
e4a0	6f 63 75 6d 65 6e 74 65 64 20 68 65 72 65 2e 00 54 68 69 73 20 69 73 20 63 6f 6e 6e 65 63 74 69	ocumented.here..This.is.connecti
e4c0	6e 67 20 62 61 63 6b 20 74 6f 20 74 68 65 20 53 54 41 54 49 43 20 49 50 20 6f 66 20 72 6f 75 74	ng.back.to.the.STATIC.IP.of.rout
e4e0	65 72 31 2c 20 6e 6f 74 20 74 68 65 20 66 6c 6f 61 74 69 6e 67 2e 00 54 68 69 73 20 69 73 20 69	er1,.not.the.floating..This.is.i
e500	64 65 6e 74 69 63 61 6c 2c 20 62 75 74 20 79 6f 75 20 75 73 65 20 74 68 65 20 42 47 50 50 52 45	dentical,.but.you.use.the.BGPPRE
e520	50 45 4e 44 4f 55 54 20 72 6f 75 74 65 2d 6d 61 70 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 74	PENDOUT.route-map.to.advertise.t
e540	68 65 20 72 6f 75 74 65 20 77 69 74 68 20 61 20 6c 6f 6e 67 65 72 20 70 61 74 68 2e 00 54 68 69	he.route.with.a.longer.path..Thi
e560	73 20 69 73 20 69 67 6e 6f 72 69 6e 67 20 74 68 65 20 65 78 74 72 61 20 4f 75 74 2d 6f 66 2d 62	s.is.ignoring.the.extra.Out-of-b
e580	61 6e 64 20 6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f 72 6b 69 6e 67 2c 20 77 68 69 63 68	and.management.networking,.which
e5a0	20 73 68 6f 75 6c 64 20 62 65 20 6f 6e 20 74 6f 74 61 6c 6c 79 20 64 69 66 66 65 72 65 6e 74 20	.should.be.on.totally.different.
e5c0	73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 61 20 64 69 66 66 65 72 65 6e 74 20 66 65 65 64 20 69	switches,.and.a.different.feed.i
e5e0	6e 74 6f 20 74 68 65 20 72 61 63 6b 2c 20 61 6e 64 20 69 73 20 6f 75 74 20 6f 66 20 73 63 6f 70	nto.the.rack,.and.is.out.of.scop
e600	65 20 6f 66 20 74 68 69 73 2e 00 54 68 69 73 20 73 63 65 6e 61 72 69 6f 20 63 6f 75 6c 64 20 62	e.of.this..This.scenario.could.b
e620	65 20 61 20 6e 69 67 68 74 6d 61 72 65 20 61 70 70 6c 79 69 6e 67 20 72 65 67 75 6c 61 72 20 72	e.a.nightmare.applying.regular.r
e640	6f 75 74 69 6e 67 20 61 6e 64 20 6d 69 67 68 74 20 6e 65 65 64 20 66 69 6c 74 65 72 69 6e 67 20	outing.and.might.need.filtering.
e660	69 6e 20 6d 75 6c 74 69 70 6c 65 20 69 6e 74 65 72 66 61 63 65 73 2e 00 54 68 69 73 20 73 65 63	in.multiple.interfaces..This.sec
e680	74 69 6f 6e 20 64 65 73 63 72 69 62 65 73 20 76 65 72 69 66 69 63 61 74 69 6f 6e 20 63 6f 6d 6d	tion.describes.verification.comm
e6a0	61 6e 64 73 20 66 6f 72 20 4d 50 4c 53 2f 42 47 50 2f 4c 44 50 20 70 72 6f 74 6f 63 6f 6c 73 20	ands.for.MPLS/BGP/LDP.protocols.
e6c0	61 6e 64 20 4c 33 56 50 4e 20 72 65 6c 61 74 65 64 20 72 6f 75 74 65 73 20 61 73 20 77 65 6c 6c	and.L3VPN.related.routes.as.well
e6e0	20 61 73 20 64 69 61 67 6e 6f 73 69 73 20 61 6e 64 20 72 65 61 63 68 61 62 69 6c 69 74 79 20 63	.as.diagnosis.and.reachability.c
e700	68 65 63 6b 73 20 62 65 74 77 65 65 6e 20 43 45 20 6e 6f 64 65 73 2e 00 54 68 69 73 20 73 65 63	hecks.between.CE.nodes..This.sec
e720	74 69 6f 6e 20 70 72 6f 76 69 64 65 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 73 74 65 70	tion.provides.configuration.step
e740	73 20 66 6f 72 20 73 65 74 74 69 6e 67 20 75 70 20 56 52 46 73 20 6f 6e 20 6f 75 72 20 50 45 20	s.for.setting.up.VRFs.on.our.PE.
e760	6e 6f 64 65 73 20 69 6e 63 6c 75 64 69 6e 67 20 43 45 20 66 61 63 69 6e 67 20 69 6e 74 65 72 66	nodes.including.CE.facing.interf
e780	61 63 65 73 2c 20 42 47 50 2c 20 72 64 20 61 6e 64 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 69	aces,.BGP,.rd.and.route-target.i
e7a0	6d 70 6f 72 74 2f 65 78 70 6f 72 74 20 62 61 73 65 64 20 6f 6e 20 74 68 65 20 70 72 65 2d 64 65	mport/export.based.on.the.pre-de
e7c0	66 69 6e 65 64 20 70 61 72 61 6d 65 74 65 72 73 2e 00 54 68 69 73 20 73 69 6d 70 6c 65 20 73 74	fined.parameters..This.simple.st
e7e0	72 75 63 74 75 72 65 20 73 68 6f 77 20 68 6f 77 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 77 6f 20	ructure.show.how.to.connect.two.
e800	6f 66 66 69 63 65 73 2e 20 4f 6e 65 20 72 65 6d 6f 74 65 20 62 72 61 6e 63 68 20 61 6e 64 20 74	offices..One.remote.branch.and.t
e820	68 65 20 63 65 6e 74 72 61 6c 20 6f 66 66 69 63 65 2e 00 54 68 69 73 20 73 69 6d 70 6c 65 20 73	he.central.office..This.simple.s
e840	74 72 75 63 74 75 72 65 20 73 68 6f 77 73 20 68 6f 77 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20	tructure.shows.how.to.configure.
e860	61 20 44 48 43 50 20 52 65 6c 61 79 20 6f 76 65 72 20 61 20 47 52 45 20 42 72 69 64 67 65 20 69	a.DHCP.Relay.over.a.GRE.Bridge.i
e880	6e 74 65 72 66 61 63 65 2e 00 54 68 69 73 20 77 69 6c 6c 20 62 65 20 76 69 73 69 62 6c 65 20 69	nterface..This.will.be.visible.i
e8a0	6e 20 27 73 68 6f 77 20 69 70 20 72 6f 75 74 65 27 2e 00 54 68 75 73 20 79 6f 75 20 63 61 6e 20	n.'show.ip.route'..Thus.you.can.
e8c0	65 61 73 69 6c 79 20 6d 61 74 63 68 20 69 74 20 74 6f 20 6f 6e 65 20 6f 66 20 74 68 65 20 64 65	easily.match.it.to.one.of.the.de
e8e0	76 69 63 65 73 2f 6e 65 74 77 6f 72 6b 73 20 62 65 6c 6f 77 2e 00 54 6f 20 61 63 68 69 65 76 65	vices/networks.below..To.achieve
e900	20 74 68 69 73 2c 20 79 6f 75 72 20 49 53 50 20 69 73 20 72 65 71 75 69 72 65 64 20 74 6f 20 73	.this,.your.ISP.is.required.to.s
e920	75 70 70 6f 72 74 20 44 48 43 50 76 36 2d 50 44 2e 20 49 66 20 79 6f 75 27 72 65 20 6e 6f 74 20	upport.DHCPv6-PD..If.you're.not.
e940	73 75 72 65 2c 20 70 6c 65 61 73 65 20 63 6f 6e 74 61 63 74 20 79 6f 75 72 20 49 53 50 20 66 6f	sure,.please.contact.your.ISP.fo
e960	72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 54 6f 20 61 64 64 20 6c 6f 67 67 69	r.more.information..To.add.loggi
e980	6e 67 20 74 6f 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 75 6c 65 2c 20 64 6f 3a 00 54 6f 20 61	ng.to.the.default.rule,.do:.To.a
e9a0	64 64 72 65 73 73 20 74 68 69 73 20 73 63 65 6e 61 72 69 6f 20 77 65 20 77 69 6c 6c 20 75 73 65	ddress.this.scenario.we.will.use
e9c0	20 74 6f 20 6f 75 72 20 61 64 76 61 6e 74 61 67 65 20 61 6e 20 65 78 74 65 6e 73 69 6f 6e 20 6f	.to.our.advantage.an.extension.o
e9e0	66 20 74 68 65 20 42 47 50 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 74 68 61 74 20	f.the.BGP.routing.protocol.that.
ea00	77 69 6c 6c 20 68 65 6c 70 20 75 73 20 69 6e 20 74 68 65 20 e2 80 9c 45 78 70 6f 72 74 e2 80 9d	will.help.us.in.the....Export...
ea20	20 62 65 74 77 65 65 6e 20 56 52 46 73 20 77 69 74 68 6f 75 74 20 74 68 65 20 6e 65 65 64 20 66	.between.VRFs.without.the.need.f
ea40	6f 72 20 4d 50 4c 53 2e 00 54 6f 20 64 65 70 6c 6f 79 20 61 20 4c 61 79 65 72 33 20 56 50 4e 20	or.MPLS..To.deploy.a.Layer3.VPN.
ea60	77 69 74 68 20 4d 50 4c 53 20 6f 6e 20 56 79 4f 53 2c 20 77 65 20 73 68 6f 75 6c 64 20 6d 65 65	with.MPLS.on.VyOS,.we.should.mee
ea80	74 20 61 20 63 6f 75 70 6c 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 69 6e 20 6f 72 64 65 72	t.a.couple.requirements.in.order
eaa0	20 74 6f 20 70 72 6f 70 65 72 6c 79 20 69 6d 70 6c 65 6d 65 6e 74 20 74 68 65 20 73 6f 6c 75 74	.to.properly.implement.the.solut
eac0	69 6f 6e 2e 20 57 65 27 6c 6c 20 75 73 65 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 6e 6f 64	ion..We'll.use.the.following.nod
eae0	65 73 20 69 6e 20 6f 75 72 20 4c 41 42 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 3a 00 54 6f 20 68 61	es.in.our.LAB.environment:.To.ha
eb00	76 65 20 62 61 73 69 63 20 70 72 6f 74 65 63 74 69 6f 6e 20 77 68 69 6c 65 20 6b 65 65 70 69 6e	ve.basic.protection.while.keepin
eb20	67 20 49 50 76 36 20 6e 65 74 77 6f 72 6b 20 66 75 6e 63 74 69 6f 6e 61 6c 2c 20 77 65 20 6e 65	g.IPv6.network.functional,.we.ne
eb40	65 64 20 74 6f 3a 00 54 6f 20 72 65 61 63 68 20 74 68 65 20 6e 65 74 77 6f 72 6b 2c 20 61 20 72	ed.to:.To.reach.the.network,.a.r
eb60	6f 75 74 65 20 6d 75 73 74 20 62 65 20 73 65 74 20 6f 6e 20 65 61 63 68 20 56 79 4f 53 20 68 6f	oute.must.be.set.on.each.VyOS.ho
eb80	73 74 2e 20 49 6e 20 74 68 69 73 20 73 74 72 75 63 74 75 72 65 2c 20 61 20 73 74 61 74 69 63 20	st..In.this.structure,.a.static.
eba0	69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 77 69 6c 6c 20 66 69 74 20 74 68 65 20 72 65 71	interface.route.will.fit.the.req
ebc0	75 69 72 65 6d 65 6e 74 73 2e 00 54 6f 70 6f 6c 6f 67 79 00 54 72 61 66 66 69 63 20 66 6c 6f 77	uirements..Topology.Traffic.flow
ebe0	73 20 66 72 6f 6d 20 7a 6f 6e 65 20 41 20 74 6f 20 7a 6f 6e 65 20 42 2e 20 54 68 61 74 20 66 6c	s.from.zone.A.to.zone.B..That.fl
ec00	6f 77 20 69 73 20 77 68 61 74 20 49 20 72 65 66 65 72 20 74 6f 20 61 73 20 61 20 7a 6f 6e 65 2d	ow.is.what.I.refer.to.as.a.zone-
ec20	70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 2e 20 65 67 2e 20 41 2d 3e 42 20 61 6e 64 20 42 2d 3e	pair-direction..eg..A->B.and.B->
ec40	41 20 61 72 65 20 74 77 6f 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 65 73 74 69 6e 61 74 69 6f 6e 73	A.are.two.zone-pair-destinations
ec60	2e 00 54 72 61 6e 73 70 6f 72 74 3a 00 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 74 6f 70 6f 6c 6f	..Transport:.Tunnelbroker.topolo
ec80	67 79 20 69 6d 61 67 65 00 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 28 49 50 76 36 29	gy.image.Tunnelbroker.net.(IPv6)
eca0	00 54 77 6f 20 56 79 4f 53 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 70 75 62 6c 69 63 20 49 50	.Two.VyOS.routers.with.public.IP
ecc0	20 61 64 64 72 65 73 73 2e 00 54 77 6f 20 72 75 6c 65 73 20 77 69 6c 6c 20 62 65 20 63 72 65 61	.address..Two.rules.will.be.crea
ece0	74 65 64 2c 20 74 68 65 20 66 69 72 73 74 20 72 75 6c 65 20 64 69 72 65 63 74 73 20 74 72 61 66	ted,.the.first.rule.directs.traf
ed00	66 69 63 20 63 6f 6d 69 6e 67 20 69 6e 20 66 72 6f 6d 20 65 74 68 32 20 74 6f 20 65 74 68 30 20	fic.coming.in.from.eth2.to.eth0.
ed20	61 6e 64 20 74 68 65 20 73 65 63 6f 6e 64 20 72 75 6c 65 20 64 69 72 65 63 74 73 20 74 68 65 20	and.the.second.rule.directs.the.
ed40	74 72 61 66 66 69 63 20 74 6f 20 65 74 68 31 2e 20 49 66 20 65 74 68 30 20 66 61 69 6c 73 20 74	traffic.to.eth1..If.eth0.fails.t
ed60	68 65 20 66 69 72 73 74 20 72 75 6c 65 20 69 73 20 62 79 70 61 73 73 65 64 20 61 6e 64 20 74 68	he.first.rule.is.bypassed.and.th
ed80	65 20 73 65 63 6f 6e 64 20 72 75 6c 65 20 6d 61 74 63 68 65 73 2c 20 64 69 72 65 63 74 69 6e 67	e.second.rule.matches,.directing
eda0	20 74 72 61 66 66 69 63 20 74 6f 20 65 74 68 31 2e 00 55 6e 6c 69 6b 65 20 49 50 76 34 2c 20 49	.traffic.to.eth1..Unlike.IPv4,.I
edc0	50 76 36 20 69 73 20 72 65 61 6c 6c 79 20 6e 6f 74 20 64 65 73 69 67 6e 65 64 20 74 6f 20 62 65	Pv6.is.really.not.designed.to.be
ede0	20 62 72 6f 6b 65 6e 20 75 70 20 73 6d 61 6c 6c 65 72 20 74 68 61 6e 20 2f 36 34 2e 20 53 6f 20	.broken.up.smaller.than./64..So.
ee00	69 66 20 79 6f 75 20 65 76 65 72 20 77 61 6e 74 20 74 6f 20 68 61 76 65 20 6d 75 6c 74 69 70 6c	if.you.ever.want.to.have.multipl
ee20	65 20 4c 41 4e 73 2c 20 56 4c 41 4e 73 2c 20 44 4d 5a 2c 20 65 74 63 2c 20 79 6f 75 27 6c 6c 20	e.LANs,.VLANs,.DMZ,.etc,.you'll.
ee40	77 61 6e 74 20 74 6f 20 69 67 6e 6f 72 65 20 74 68 65 20 61 73 73 69 67 6e 65 64 20 2f 36 34 2c	want.to.ignore.the.assigned./64,
ee60	20 61 6e 64 20 72 65 71 75 65 73 74 20 74 68 65 20 2f 34 38 20 61 6e 64 20 75 73 65 20 74 68 61	.and.request.the./48.and.use.tha
ee80	74 2e 00 55 73 69 6e 67 20 74 68 65 20 67 65 6e 65 72 61 6c 20 73 63 68 65 6d 61 20 66 6f 72 20	t..Using.the.general.schema.for.
eea0	65 78 61 6d 70 6c 65 3a 00 55 73 69 6e 67 20 74 68 69 73 20 63 6f 6d 6d 61 6e 64 20 77 65 20 61	example:.Using.this.command.we.a
eec0	72 65 20 61 6c 73 6f 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 74 72 61 6e 73 70	re.also.able.to.check.the.transp
eee0	6f 72 74 20 61 6e 64 20 63 75 73 74 6f 6d 65 72 20 6c 61 62 65 6c 20 28 69 6e 6e 65 72 2f 6f 75	ort.and.customer.label.(inner/ou
ef00	74 65 72 29 20 66 6f 72 20 48 75 62 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 20 28 31 30 2e	ter).for.Hub.network.prefix.(10.
ef20	30 2e 30 2e 31 30 30 2f 33 32 29 3a 00 56 4c 41 4e 20 31 30 30 20 61 6e 64 20 32 30 31 20 77 69	0.0.100/32):.VLAN.100.and.201.wi
ef40	6c 6c 20 68 61 76 65 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 65 73 2c 20 62	ll.have.floating.IP.addresses,.b
ef60	75 74 20 56 4c 41 4e 35 30 20 64 6f 65 73 20 6e 6f 74 2c 20 61 73 20 74 68 69 73 20 69 73 20 74	ut.VLAN50.does.not,.as.this.is.t
ef80	61 6c 6b 69 6e 67 20 64 69 72 65 63 74 6c 79 20 74 6f 20 75 70 73 74 72 65 61 6d 2e 20 43 72 65	alking.directly.to.upstream..Cre
efa0	61 74 65 20 6f 75 72 20 49 50 20 61 64 64 72 65 73 73 20 6f 6e 20 76 6c 61 6e 35 30 2e 00 56 4c	ate.our.IP.address.on.vlan50..VL
efc0	41 4e 73 00 56 4d 77 61 72 65 3a 20 59 6f 75 20 6d 75 73 74 20 44 49 53 41 42 4c 45 20 53 45 43	ANs.VMware:.You.must.DISABLE.SEC
efe0	55 52 49 54 59 20 6f 6e 20 74 68 69 73 20 50 6f 72 74 20 67 72 6f 75 70 2e 20 4d 61 6b 65 20 73	URITY.on.this.Port.group..Make.s
f000	75 72 65 20 74 68 61 74 20 60 60 50 72 6f 6d 69 73 63 75 6f 75 73 20 4d 6f 64 65 60 60 5c 20 2c	ure.that.``Promiscuous.Mode``\.,
f020	20 60 60 4d 41 43 20 61 64 64 72 65 73 73 20 63 68 61 6e 67 65 73 60 60 20 61 6e 64 20 60 60 46	.``MAC.address.changes``.and.``F
f040	6f 72 67 65 64 20 74 72 61 6e 73 6d 69 74 73 60 60 20 61 72 65 20 65 6e 61 62 6c 65 64 2e 20 41	orged.transmits``.are.enabled..A
f060	6c 6c 20 6f 66 20 74 68 65 73 65 20 77 69 6c 6c 20 62 65 20 64 6f 6e 65 20 61 73 20 70 61 72 74	ll.of.these.will.be.done.as.part
f080	20 6f 66 20 66 61 69 6c 6f 76 65 72 2e 00 56 52 46 00 56 52 52 50 20 43 6f 6e 66 69 67 75 72 61	.of.failover..VRF.VRRP.Configura
f0a0	74 69 6f 6e 00 56 65 72 69 66 69 63 61 74 69 6f 6e 00 56 65 72 73 69 6f 6e 3a 20 31 2e 34 2d 72	tion.Verification.Version:.1.4-r
f0c0	6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 00 56 65 72 73 69 6f 6e 3a 20 31 2e 34	olling-202110310317.Version:.1.4
f0e0	2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 35 31 30 30 37 33 34 00 56 65 72 73 69 6f 6e 3a 20 31	-rolling-202305100734.Version:.1
f100	2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 32 34 30 30 32 30 00 56 65 72 73 69 6f 6e 3a	.4-rolling-202308240020.Version:
f120	20 31 2e 35 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 34 30 31 31 32 31 32 33 39 00 56 65 72 73 69 6f	.1.5-rolling-202401121239.Versio
f140	6e 3a 20 76 79 6f 73 2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 32 31 35 30 33 31 37	n:.vyos-1.4-rolling-202302150317
f160	00 56 79 4f 53 00 56 79 4f 53 20 31 2e 33 20 61 64 64 65 64 20 69 6e 69 74 69 61 6c 20 73 75 70	.VyOS.VyOS.1.3.added.initial.sup
f180	70 6f 72 74 20 66 6f 72 20 56 52 46 73 20 28 69 6e 63 6c 75 64 69 6e 67 20 49 50 76 34 2f 49 50	port.for.VRFs.(including.IPv4/IP
f1a0	76 36 20 73 74 61 74 69 63 20 72 6f 75 74 69 6e 67 29 20 61 6e 64 20 56 79 4f 53 20 31 2e 34 20	v6.static.routing).and.VyOS.1.4.
f1c0	6e 6f 77 20 65 6e 61 62 6c 65 73 20 66 75 6c 6c 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67	now.enables.full.dynamic.routing
f1e0	20 70 72 6f 74 6f 63 6f 6c 20 73 75 70 70 6f 72 74 20 66 6f 72 20 4f 53 50 46 2c 20 49 53 2d 49	.protocol.support.for.OSPF,.IS-I
f200	53 2c 20 61 6e 64 20 42 47 50 20 66 6f 72 20 69 6e 64 69 76 69 64 75 61 6c 20 56 52 46 73 2e 00	S,.and.BGP.for.individual.VRFs..
f220	56 79 4f 53 20 61 63 74 73 20 61 73 20 44 48 43 50 2c 20 44 4e 53 20 66 6f 72 77 61 72 64 65 72	VyOS.acts.as.DHCP,.DNS.forwarder
f240	2c 20 4e 41 54 2c 20 72 6f 75 74 65 72 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 2e 00 56 79 4f 53	,.NAT,.router.and.firewall..VyOS
f260	20 61 73 20 43 6c 69 65 6e 74 00 56 79 4f 53 20 61 73 20 61 20 4f 70 65 6e 56 50 4e 20 53 65 72	.as.Client.VyOS.as.a.OpenVPN.Ser
f280	76 65 72 00 56 79 4f 53 20 69 73 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 4d 53 44 20 70 65	ver.VyOS.is.able.to.check.MSD.pe
f2a0	72 20 64 65 76 69 63 65 73 3a 00 56 79 4f 53 2d 43 45 2d 48 55 42 20 2d 2d 2d 2d 2d 2d 2d 3e 20	r.devices:.VyOS-CE-HUB.------->.
f2c0	56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 00 56 79 4f 53 2d 43 45 2d 48 55 42 20 2d 2d 2d 2d 2d	VyOS-CE1-SPOKE.VyOS-CE-HUB.-----
f2e0	2d 2d 3e 20 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 00 56 79 4f 53 2d 43 45 31 2d 48 55 42 3a	-->.VyOS-CE2-SPOKE.VyOS-CE1-HUB:
f300	00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 20 2d 2d 2d 2d 2d 3e 20 20 20 56 79 4f 53 2d 43 45	.VyOS-CE1-SPOKE.----->...VyOS-CE
f320	2d 48 55 42 00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 3a 00 56 79 4f 53 2d 43 45 32 2d 53 50	-HUB.VyOS-CE1-SPOKE:.VyOS-CE2-SP
f340	4f 4b 45 20 2d 2d 2d 2d 2d 2d 2d 3e 20 20 56 79 4f 53 2d 43 45 2d 48 55 42 00 56 79 4f 53 2d 43	OKE.------->..VyOS-CE-HUB.VyOS-C
f360	45 32 2d 53 50 4f 4b 45 3a 00 56 79 4f 53 2d 50 31 3a 00 56 79 4f 53 2d 50 32 3a 00 56 79 4f 53	E2-SPOKE:.VyOS-P1:.VyOS-P2:.VyOS
f380	2d 50 33 3a 00 56 79 4f 53 2d 50 34 3a 00 56 79 4f 53 2d 50 45 31 00 56 79 4f 53 2d 50 45 31 3a	-P3:.VyOS-P4:.VyOS-PE1.VyOS-PE1:
f3a0	00 56 79 4f 53 2d 50 45 32 00 56 79 4f 53 2d 50 45 32 3a 00 56 79 4f 53 2d 50 45 33 00 56 79 4f	.VyOS-PE2.VyOS-PE2:.VyOS-PE3.VyO
f3c0	53 2d 50 45 33 3a 00 56 79 4f 53 2d 52 52 31 2f 52 52 32 00 56 79 4f 53 2d 52 52 31 3a 00 56 79	S-PE3:.VyOS-RR1/RR2.VyOS-RR1:.Vy
f3e0	4f 53 2d 52 52 32 3a 00 56 79 6f 73 20 41 53 4e 00 56 79 6f 73 20 63 6f 6e 66 69 67 75 72 61 74	OS-RR2:.Vyos.ASN.Vyos.configurat
f400	69 6f 6e 00 56 79 6f 73 20 70 72 69 76 61 74 65 20 49 50 00 56 79 6f 73 20 70 75 62 6c 69 63 20	ion.Vyos.private.IP.Vyos.public.
f420	49 50 00 57 41 4e 20 49 6e 74 65 72 66 61 63 65 00 57 41 4e 20 4c 6f 61 64 20 42 61 6c 61 6e 63	IP.WAN.Interface.WAN.Load.Balanc
f440	65 72 20 65 78 61 6d 70 6c 65 73 00 57 61 6c 6b 74 68 72 6f 75 67 68 20 73 75 67 67 65 73 74 69	er.examples.Walkthrough.suggesti
f460	6f 6e 00 57 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 75 73 65 20 31 30 2e 32 30 30 2e 32 30	on.We.are.going.to.use.10.200.20
f480	31 2e 30 2f 32 34 20 66 6f 72 20 61 6e 20 27 69 6e 74 65 72 6e 61 6c 27 20 6e 65 74 77 6f 72 6b	1.0/24.for.an.'internal'.network
f4a0	20 6f 6e 20 56 4c 41 4e 32 30 31 2e 00 57 65 20 61 72 65 20 73 65 74 74 69 6e 67 20 75 70 20 56	.on.VLAN201..We.are.setting.up.V
f4c0	52 52 50 20 73 6f 20 74 68 61 74 20 69 74 20 64 6f 65 73 20 4e 4f 54 20 66 61 69 6c 20 62 61 63	RRP.so.that.it.does.NOT.fail.bac
f4e0	6b 20 77 68 65 6e 20 61 20 6d 61 63 68 69 6e 65 20 72 65 74 75 72 6e 73 20 69 6e 74 6f 20 73 65	k.when.a.machine.returns.into.se
f500	72 76 69 63 65 2c 20 61 6e 64 20 69 74 20 70 72 69 6f 72 69 74 69 7a 65 73 20 72 6f 75 74 65 72	rvice,.and.it.prioritizes.router
f520	31 20 6f 76 65 72 20 72 6f 75 74 65 72 32 2e 00 57 65 20 61 72 65 20 75 73 69 6e 67 20 61 20 22	1.over.router2..We.are.using.a."
f540	77 68 69 74 65 20 6c 69 73 74 22 20 61 70 70 72 6f 61 63 68 20 62 79 20 61 6c 6c 6f 77 69 6e 67	white.list".approach.by.allowing
f560	20 6f 6e 6c 79 20 77 68 61 74 20 69 73 20 6e 65 63 65 73 73 61 72 79 2e 20 49 6e 20 63 61 73 65	.only.what.is.necessary..In.case
f580	20 74 68 61 74 20 6e 65 65 64 20 74 6f 20 69 6d 70 6c 65 6d 65 6e 74 20 61 20 22 62 6c 61 63 6b	.that.need.to.implement.a."black
f5a0	20 6c 69 73 74 22 20 61 70 70 72 6f 61 63 68 20 74 68 65 6e 20 79 6f 75 20 77 69 6c 6c 20 6e 65	.list".approach.then.you.will.ne
f5c0	65 64 20 74 6f 20 63 68 61 6e 67 65 20 74 68 65 20 61 63 74 69 6f 6e 20 69 6e 20 74 68 65 20 72	ed.to.change.the.action.in.the.r
f5e0	6f 75 74 65 2d 6d 61 70 20 66 6f 72 20 61 20 64 65 6e 79 20 42 55 54 20 79 6f 75 20 6e 65 65 64	oute-map.for.a.deny.BUT.you.need
f600	20 74 6f 20 61 64 64 20 61 20 72 75 6c 65 20 74 68 61 74 20 70 65 72 6d 69 74 73 20 74 68 65 20	.to.add.a.rule.that.permits.the.
f620	72 65 73 74 20 64 75 65 20 74 6f 20 74 68 65 20 69 6d 70 6c 69 63 69 74 20 64 65 6e 79 20 69 6e	rest.due.to.the.implicit.deny.in
f640	20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 2e 00 57 65 20 63 72 65 61 74 65 20 61 20 70 72 65 66	.the.route-map..We.create.a.pref
f660	69 78 2d 6c 69 73 74 20 66 69 72 73 74 20 61 6e 64 20 61 64 64 20 61 6c 6c 20 74 68 65 20 72 6f	ix-list.first.and.add.all.the.ro
f680	75 74 65 73 20 77 65 20 6e 65 65 64 20 74 6f 2e 00 57 65 20 65 78 70 6c 69 63 69 74 6c 79 20 65	utes.we.need.to..We.explicitly.e
f6a0	78 63 6c 75 64 65 20 74 68 65 20 70 72 69 6d 61 72 79 20 75 70 73 74 72 65 61 6d 20 6e 65 74 77	xclude.the.primary.upstream.netw
f6c0	6f 72 6b 20 73 6f 20 74 68 61 74 20 42 47 50 20 6f 72 20 4f 53 50 46 20 74 72 61 66 66 69 63 20	ork.so.that.BGP.or.OSPF.traffic.
f6e0	64 6f 65 73 6e 27 74 20 61 63 63 69 64 65 6e 74 61 6c 6c 79 20 67 65 74 20 4e 41 54 27 65 64 2e	doesn't.accidentally.get.NAT'ed.
f700	00 57 65 20 68 61 76 65 20 66 6f 75 72 20 68 6f 73 74 73 20 6f 6e 20 74 68 65 20 6c 6f 63 61 6c	.We.have.four.hosts.on.the.local
f720	20 6e 65 74 77 6f 72 6b 20 31 37 32 2e 31 37 2e 31 2e 30 2f 32 34 2e 20 41 6c 6c 20 68 6f 73 74	.network.172.17.1.0/24..All.host
f740	73 20 61 72 65 20 6c 61 62 65 6c 65 64 20 43 53 30 20 62 79 20 64 65 66 61 75 6c 74 2e 20 57 65	s.are.labeled.CS0.by.default..We
f760	20 6e 65 65 64 20 74 6f 20 72 65 70 6c 61 63 65 20 6c 61 62 65 6c 73 20 6f 6e 20 61 6c 6c 20 68	.need.to.replace.labels.on.all.h
f780	6f 73 74 73 20 65 78 63 65 70 74 20 76 70 63 38 2e 20 57 65 20 77 69 6c 6c 20 72 65 70 6c 61 63	osts.except.vpc8..We.will.replac
f7a0	65 20 74 68 65 20 6c 61 62 65 6c 73 20 6f 6e 20 74 68 65 20 6e 65 61 72 65 73 74 20 72 6f 75 74	e.the.labels.on.the.nearest.rout
f7c0	65 72 20 e2 80 9c 56 79 4f 53 33 e2 80 9d 20 75 73 69 6e 67 20 74 68 65 20 49 50 20 61 64 64 72	er....VyOS3....using.the.IP.addr
f7e0	65 73 73 65 73 20 6f 66 20 74 68 65 20 73 6f 75 72 63 65 73 2e 00 57 65 20 68 61 76 65 20 66 6f	esses.of.the.sources..We.have.fo
f800	75 72 20 70 72 65 2d 63 6f 6e 66 69 67 75 72 65 64 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 74	ur.pre-configured.routers.with.t
f820	68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 57 65 20 68 61 76 65 20 74 68 72 65 65	his.configuration:.We.have.three
f840	20 6e 65 74 77 6f 72 6b 73 2e 00 57 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61	.networks..We.keep.the.configura
f860	74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20	tion.from.the.previous.example,.
f880	64 65 6c 65 74 65 20 72 75 6c 65 20 31 30 20 61 6e 64 20 63 72 65 61 74 65 20 74 68 65 20 74 77	delete.rule.10.and.create.the.tw
f8a0	6f 20 6e 65 77 20 72 75 6c 65 73 20 61 73 20 64 65 73 63 72 69 62 65 64 3a 00 57 65 20 6b 65 65	o.new.rules.as.described:.We.kee
f8c0	70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20 70 72 65	p.the.configuration.from.the.pre
f8e0	76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 64 65 6c 65 74 65 20 72 75 6c 65 20 32 30 20 61 6e	vious.example,.delete.rule.20.an
f900	64 20 63 72 65 61 74 65 20 61 20 6e 65 77 20 72 75 6c 65 20 61 73 20 64 65 73 63 72 69 62 65 64	d.create.a.new.rule.as.described
f920	3a 00 57 65 20 6e 65 65 64 20 74 6f 20 65 6e 61 62 6c 65 20 72 6f 75 74 65 72 20 61 64 76 65 72	:.We.need.to.enable.router.adver
f940	74 69 73 65 6d 65 6e 74 20 66 6f 72 20 4c 41 4e 20 6e 65 74 77 6f 72 6b 20 73 6f 20 74 68 61 74	tisement.for.LAN.network.so.that
f960	20 50 43 20 63 61 6e 20 72 65 63 65 69 76 65 20 74 68 65 20 70 72 65 66 69 78 20 61 6e 64 20 75	.PC.can.receive.the.prefix.and.u
f980	73 65 20 53 4c 41 41 43 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 61 64 64 72 65 73	se.SLAAC.to.configure.the.addres
f9a0	73 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 2e 00 57 65 20 6f 6e 6c 79 20 77 61 6e 74 20 74 6f	s.automatically..We.only.want.to
f9c0	20 65 78 70 6f 72 74 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 20 77 65 20 6b 6e 6f 77 2e 20 41 6c	.export.the.networks.we.know..Al
f9e0	77 61 79 73 20 64 6f 20 61 20 77 68 69 74 65 6c 69 73 74 20 6f 6e 20 79 6f 75 72 20 72 6f 75 74	ways.do.a.whitelist.on.your.rout
fa00	65 20 66 69 6c 74 65 72 73 2c 20 62 6f 74 68 20 69 6d 70 6f 72 74 69 6e 67 20 61 6e 64 20 65 78	e.filters,.both.importing.and.ex
fa20	70 6f 72 74 69 6e 67 2e 20 41 20 67 6f 6f 64 20 72 75 6c 65 20 6f 66 20 74 68 75 6d 62 20 69 73	porting..A.good.rule.of.thumb.is
fa40	20 2a 2a 27 49 66 20 79 6f 75 20 61 72 65 20 6e 6f 74 20 74 68 65 20 64 65 66 61 75 6c 74 20 72	.**'If.you.are.not.the.default.r
fa60	6f 75 74 65 72 20 66 6f 72 20 61 20 6e 65 74 77 6f 72 6b 2c 20 64 6f 6e 27 74 20 61 64 76 65 72	outer.for.a.network,.don't.adver
fa80	74 69 73 65 20 69 74 27 2a 2a 2e 20 54 68 69 73 20 6d 65 61 6e 73 20 77 65 20 65 78 70 6c 69 63	tise.it'**..This.means.we.explic
faa0	69 74 6c 79 20 64 6f 20 6e 6f 74 20 77 61 6e 74 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 74 68	itly.do.not.want.to.advertise.th
fac0	65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 20 28 62 75 74 20 64 6f 20 77	e.192.0.2.0/24.network.(but.do.w
fae0	61 6e 74 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 20 61 6e	ant.to.advertise.10.200.201.0.an
fb00	64 20 32 30 33 2e 30 2e 31 31 33 2e 30 2c 20 77 68 69 63 68 20 77 65 20 41 52 45 20 74 68 65 20	d.203.0.113.0,.which.we.ARE.the.
fb20	64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 66 6f 72 29 2e 20 54 68 69 73 20 66 69 6c 74 65 72 20	default.route.for)..This.filter.
fb40	69 73 20 61 70 70 6c 69 65 64 20 74 6f 20 60 60 72 65 64 69 73 74 72 69 62 75 74 65 20 63 6f 6e	is.applied.to.``redistribute.con
fb60	6e 65 63 74 65 64 60 60 2e 20 49 66 20 77 65 20 57 45 52 45 20 74 6f 20 61 64 76 65 72 74 69 73	nected``..If.we.WERE.to.advertis
fb80	65 20 69 74 2c 20 74 68 65 20 72 65 6d 6f 74 65 20 6d 61 63 68 69 6e 65 73 20 77 6f 75 6c 64 20	e.it,.the.remote.machines.would.
fba0	73 65 65 20 31 39 32 2e 30 2e 32 2e 32 31 20 61 76 61 69 6c 61 62 6c 65 20 76 69 61 20 74 68 65	see.192.0.2.21.available.via.the
fbc0	69 72 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 2c 20 65 73 74 61 62 6c 69 73 68 20 74 68 65 20	ir.default.route,.establish.the.
fbe0	63 6f 6e 6e 65 63 74 69 6f 6e 2c 20 61 6e 64 20 74 68 65 6e 20 4f 53 50 46 20 77 6f 75 6c 64 20	connection,.and.then.OSPF.would.
fc00	73 61 79 20 27 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 69 73 20 61 76 61 69 6c 61 62 6c 65 20 76	say.'192.0.2.0/24.is.available.v
fc20	69 61 20 74 68 69 73 20 74 75 6e 6e 65 6c 27 2c 20 61 74 20 77 68 69 63 68 20 70 6f 69 6e 74 20	ia.this.tunnel',.at.which.point.
fc40	74 68 65 20 74 75 6e 6e 65 6c 20 77 6f 75 6c 64 20 62 72 65 61 6b 2c 20 4f 53 50 46 20 77 6f 75	the.tunnel.would.break,.OSPF.wou
fc60	6c 64 20 64 72 6f 70 20 74 68 65 20 72 6f 75 74 65 73 2c 20 61 6e 64 20 74 68 65 6e 20 31 39 32	ld.drop.the.routes,.and.then.192
fc80	2e 30 2e 32 2e 30 2f 32 34 20 77 6f 75 6c 64 20 62 65 20 72 65 61 63 68 61 62 6c 65 20 76 69 61	.0.2.0/24.would.be.reachable.via
fca0	20 64 65 66 61 75 6c 74 20 61 67 61 69 6e 2e 20 54 68 69 73 20 69 73 20 63 61 6c 6c 65 64 20 27	.default.again..This.is.called.'
fcc0	66 6c 61 70 70 69 6e 67 27 2e 00 57 65 20 6f 6e 6c 79 20 77 61 6e 74 20 74 6f 20 69 6d 70 6f 72	flapping'..We.only.want.to.impor
fce0	74 20 6e 65 74 77 6f 72 6b 73 20 77 65 20 6b 6e 6f 77 2e 20 4f 75 72 20 4f 53 50 46 20 70 65 65	t.networks.we.know..Our.OSPF.pee
fd00	72 20 73 68 6f 75 6c 64 20 6f 6e 6c 79 20 62 65 20 61 64 76 65 72 74 69 73 69 6e 67 20 6e 65 74	r.should.only.be.advertising.net
fd20	77 6f 72 6b 73 20 69 6e 20 74 68 65 20 31 30 2e 32 30 31 2e 30 2e 30 2f 31 36 20 72 61 6e 67 65	works.in.the.10.201.0.0/16.range
fd40	2e 20 4e 6f 74 65 20 74 68 61 74 20 74 68 69 73 20 69 73 20 61 6e 20 49 4e 56 45 52 53 45 20 4d	..Note.that.this.is.an.INVERSE.M
fd60	41 54 43 48 2e 20 59 6f 75 20 64 65 6e 79 20 69 6e 20 61 63 63 65 73 73 2d 6c 69 73 74 20 31 30	ATCH..You.deny.in.access-list.10
fd80	30 20 74 6f 20 61 63 63 65 70 74 20 74 68 65 20 72 6f 75 74 65 2e 00 57 65 20 75 73 65 20 61 20	0.to.accept.the.route..We.use.a.
fda0	73 74 61 74 69 63 20 72 6f 75 74 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 6e 20 62 65	static.route.configuration.in.be
fdc0	74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 61 6e 64 20 65 61 63 68 20 4c 41 4e 20 61 6e 64 20	tween.the.Core.and.each.LAN.and.
fde0	4d 61 6e 61 67 65 6d 65 6e 74 20 72 6f 75 74 65 72 2c 20 61 6e 64 20 42 47 50 20 62 65 74 77 65	Management.router,.and.BGP.betwe
fe00	65 6e 20 74 68 65 20 43 6f 72 65 20 72 6f 75 74 65 72 20 61 6e 64 20 74 68 65 20 49 53 50 20 72	en.the.Core.router.and.the.ISP.r
fe20	6f 75 74 65 72 20 62 75 74 20 61 6e 79 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 70 72	outer.but.any.dynamic.routing.pr
fe40	6f 74 6f 63 6f 6c 20 63 61 6e 20 62 65 20 75 73 65 64 2e 00 57 65 20 75 73 65 20 73 6d 61 6c 6c	otocol.can.be.used..We.use.small
fe60	20 2f 33 30 27 73 20 66 72 6f 6d 20 31 30 2e 32 35 34 2e 36 30 2f 32 34 20 66 6f 72 20 74 68 65	./30's.from.10.254.60/24.for.the
fe80	20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20 6c 69 6e 6b 73 2e 00 57 65 20 75 73 65 20 74 68	.point-to-point.links..We.use.th
fea0	65 20 66 6f 6c 6c 6f 77 69 6e 67 20 6e 65 74 77 6f 72 6b 20 74 6f 70 6f 6c 6f 67 79 20 69 6e 20	e.following.network.topology.in.
fec0	74 68 69 73 20 65 78 61 6d 70 6c 65 3a 00 57 68 65 6e 20 69 6d 70 6f 72 74 69 6e 67 20 72 6f 75	this.example:.When.importing.rou
fee0	74 65 73 20 75 73 69 6e 67 20 4d 50 2d 42 47 50 20 69 74 20 69 73 20 70 6f 73 73 69 62 6c 65 20	tes.using.MP-BGP.it.is.possible.
ff00	74 6f 20 66 69 6c 74 65 72 20 61 20 73 75 62 73 65 74 20 6f 66 20 74 68 65 6d 20 62 65 66 6f 72	to.filter.a.subset.of.them.befor
ff20	65 20 61 72 65 20 69 6e 6a 65 63 74 65 64 20 69 6e 20 74 68 65 20 42 47 50 20 74 61 62 6c 65 2e	e.are.injected.in.the.BGP.table.
ff40	20 4f 6e 65 20 6f 66 20 74 68 65 20 6d 6f 73 74 20 63 6f 6d 6d 6f 6e 20 63 61 73 65 20 69 73 20	.One.of.the.most.common.case.is.
ff60	74 6f 20 75 73 65 20 61 20 72 6f 75 74 65 2d 6d 61 70 20 77 69 74 68 20 61 6e 20 70 72 65 66 69	to.use.a.route-map.with.an.prefi
ff80	78 2d 6c 69 73 74 2e 00 57 68 65 6e 20 74 72 61 66 66 69 63 20 69 73 20 6f 72 69 67 69 6e 61 74	x-list..When.traffic.is.originat
ffa0	65 64 20 66 72 6f 6d 20 74 68 65 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 6e 65 74 77	ed.from.the.10.200.201.0/24.netw
ffc0	6f 72 6b 2c 20 69 74 20 77 69 6c 6c 20 62 65 20 6d 61 73 71 75 65 72 61 64 65 64 20 74 6f 20 32	ork,.it.will.be.masqueraded.to.2
ffe0	30 33 2e 30 2e 31 31 33 2e 31 00 57 68 65 6e 20 75 74 69 6c 69 7a 69 6e 67 20 56 79 4f 53 20 69	03.0.113.1.When.utilizing.VyOS.i
10000	6e 20 61 6e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 20 77 69 74 68 20 43 69 73 63 6f 20 49 4f 53 2d	n.an.environment.with.Cisco.IOS-
10020	58 52 20 67 65 61 72 20 79 6f 75 20 63 61 6e 20 75 73 65 20 74 68 69 73 20 62 6c 75 65 20 70 72	XR.gear.you.can.use.this.blue.pr
10040	69 6e 74 20 61 73 20 61 6e 20 69 6e 69 74 69 61 6c 20 73 65 74 75 70 20 74 6f 20 67 65 74 20 4d	int.as.an.initial.setup.to.get.M
10060	50 4c 53 20 49 53 49 53 2d 53 52 20 77 6f 72 6b 69 6e 67 20 62 65 74 77 65 65 6e 20 74 68 6f 73	PLS.ISIS-SR.working.between.thos
10080	65 20 74 77 6f 20 64 65 76 69 63 65 73 2e 54 68 65 20 6c 61 62 20 77 61 73 20 62 75 69 6c 64 20	e.two.devices.The.lab.was.build.
100a0	75 73 69 6e 67 20 3a 61 62 62 72 3a 60 45 56 45 2d 4e 47 20 28 45 6d 75 6c 61 74 65 64 20 56 69	using.:abbr:`EVE-NG.(Emulated.Vi
100c0	72 74 75 61 6c 20 45 6e 76 69 72 6f 6e 6d 65 6e 74 20 4e 47 29 60 2e 00 57 68 65 6e 20 79 6f 75	rtual.Environment.NG)`..When.you
100e0	20 68 61 76 65 20 62 6f 74 68 20 72 6f 75 74 65 72 73 20 75 70 2c 20 79 6f 75 20 73 68 6f 75 6c	.have.both.routers.up,.you.shoul
10100	64 20 62 65 20 61 62 6c 65 20 74 6f 20 65 73 74 61 62 6c 69 73 68 20 61 20 63 6f 6e 6e 65 63 74	d.be.able.to.establish.a.connect
10120	69 6f 6e 20 66 72 6f 6d 20 61 20 4e 41 54 27 65 64 20 6d 61 63 68 69 6e 65 20 6f 75 74 20 74 6f	ion.from.a.NAT'ed.machine.out.to
10140	20 74 68 65 20 69 6e 74 65 72 6e 65 74 2c 20 72 65 62 6f 6f 74 20 74 68 65 20 61 63 74 69 76 65	.the.internet,.reboot.the.active
10160	20 6d 61 63 68 69 6e 65 2c 20 61 6e 64 20 74 68 61 74 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 73 68	.machine,.and.that.connection.sh
10180	6f 75 6c 64 20 62 65 20 70 72 65 73 65 72 76 65 64 2c 20 61 6e 64 20 77 69 6c 6c 20 6e 6f 74 20	ould.be.preserved,.and.will.not.
101a0	64 72 6f 70 20 6f 75 74 2e 00 57 68 65 6e 20 79 6f 75 20 68 61 76 65 20 65 6e 61 62 6c 65 64 20	drop.out..When.you.have.enabled.
101c0	4f 53 50 46 20 6f 6e 20 62 6f 74 68 20 72 6f 75 74 65 72 73 2c 20 79 6f 75 20 73 68 6f 75 6c 64	OSPF.on.both.routers,.you.should
101e0	20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 65 61 63 68 20 6f 74 68 65 72 20 77 69 74 68 20	.be.able.to.see.each.other.with.
10200	74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 68 6f 77 20 69 70 20 6f 73 70 66 20 6e 65 69 67 68	the.command.``show.ip.ospf.neigh
10220	62 6f 75 72 60 60 2e 20 54 68 65 20 73 74 61 74 65 20 6d 75 73 74 20 62 65 20 27 46 75 6c 6c 27	bour``..The.state.must.be.'Full'
10240	20 6f 72 20 27 32 2d 57 61 79 27 2e 20 49 66 20 69 74 20 69 73 20 6e 6f 74 2c 20 74 68 65 6e 20	.or.'2-Way'..If.it.is.not,.then.
10260	74 68 65 72 65 20 69 73 20 61 20 6e 65 74 77 6f 72 6b 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20	there.is.a.network.connectivity.
10280	69 73 73 75 65 20 62 65 74 77 65 65 6e 20 74 68 65 20 68 6f 73 74 73 2e 20 54 68 69 73 20 69 73	issue.between.the.hosts..This.is
102a0	20 6f 66 74 65 6e 20 63 61 75 73 65 64 20 62 79 20 4e 41 54 20 6f 72 20 4d 54 55 20 69 73 73 75	.often.caused.by.NAT.or.MTU.issu
102c0	65 73 2e 20 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 74 20 73 65 65 20 61 6e 79 20 6e 65 77 20 72	es..You.should.not.see.any.new.r
102e0	6f 75 74 65 73 20 28 75 6e 6c 65 73 73 20 74 68 69 73 20 69 73 20 74 68 65 20 73 65 63 6f 6e 64	outes.(unless.this.is.the.second
10300	20 70 61 73 73 29 20 69 6e 20 74 68 65 20 6f 75 74 70 75 74 20 6f 66 20 60 60 73 68 6f 77 20 69	.pass).in.the.output.of.``show.i
10320	70 20 72 6f 75 74 65 60 60 00 57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 20 32 30 31 39 20 77 69	p.route``.Windows.Server.2019.wi
10340	74 68 20 61 20 72 75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 00 57 69	th.a.running.Active.Directory.Wi
10360	72 65 67 75 61 72 64 00 57 69 72 65 67 75 61 72 64 20 64 6f 65 73 6e 27 74 20 68 61 76 65 20 74	reguard.Wireguard.doesn't.have.t
10380	68 65 20 63 6f 6e 63 65 70 74 20 6f 66 20 61 6e 20 75 70 20 6f 72 20 64 6f 77 6e 20 6c 69 6e 6b	he.concept.of.an.up.or.down.link
103a0	2c 20 64 75 65 20 74 6f 20 69 74 73 20 64 65 73 69 67 6e 2e 20 54 68 69 73 20 63 6f 6d 70 6c 69	,.due.to.its.design..This.compli
103c0	63 61 74 65 73 20 41 4e 44 20 73 69 6d 70 6c 69 66 69 65 73 20 75 73 69 6e 67 20 69 74 20 66 6f	cates.AND.simplifies.using.it.fo
103e0	72 20 6e 65 74 77 6f 72 6b 20 74 72 61 6e 73 70 6f 72 74 2c 20 61 73 20 66 6f 72 20 72 65 6c 69	r.network.transport,.as.for.reli
10400	61 62 6c 65 20 73 74 61 74 65 20 64 65 74 65 63 74 69 6f 6e 20 79 6f 75 20 6e 65 65 64 20 74 6f	able.state.detection.you.need.to
10420	20 75 73 65 20 53 4f 4d 45 54 48 49 4e 47 20 74 6f 20 64 65 74 65 63 74 20 77 68 65 6e 20 74 68	.use.SOMETHING.to.detect.when.th
10440	65 20 6c 69 6e 6b 20 69 73 20 64 6f 77 6e 2e 00 57 69 74 68 20 54 75 6e 6e 65 6c 62 72 6f 6b 65	e.link.is.down..With.Tunnelbroke
10460	72 2e 6e 65 74 2c 20 79 6f 75 20 68 61 76 65 20 74 77 6f 20 6f 70 74 69 6f 6e 73 3a 00 57 69 74	r.net,.you.have.two.options:.Wit
10480	68 20 74 68 69 73 20 63 6f 6d 6d 61 6e 64 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 63 68	h.this.command.we.are.able.to.ch
104a0	65 63 6b 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 61 6e 64 20 63 75 73 74 6f 6d 65 72 20 6c	eck.the.transport.and.customer.l
104c0	61 62 65 6c 20 28 69 6e 6e 65 72 2f 6f 75 74 65 72 29 20 66 6f 72 20 6e 65 74 77 6f 72 6b 20 73	abel.(inner/outer).for.network.s
104e0	70 6f 6b 65 73 20 70 72 65 66 69 78 65 73 20 31 30 2e 30 2e 30 2e 38 30 2f 33 32 20 2d 20 31 30	pokes.prefixes.10.0.0.80/32.-.10
10500	2e 30 2e 30 2e 39 30 2f 33 32 00 57 69 74 68 69 6e 20 74 68 65 20 56 52 46 20 77 65 20 73 65 74	.0.0.90/32.Within.the.VRF.we.set
10520	20 74 68 65 20 52 6f 75 74 65 2d 44 69 73 74 69 6e 67 75 69 73 68 65 72 20 28 52 44 29 20 61 6e	.the.Route-Distinguisher.(RD).an
10540	64 20 52 6f 75 74 65 2d 54 61 72 67 65 74 73 20 28 52 54 29 2c 20 74 68 65 6e 20 77 65 20 65 6e	d.Route-Targets.(RT),.then.we.en
10560	61 62 6c 65 20 74 68 65 20 65 78 70 6f 72 74 2f 69 6d 70 6f 72 74 20 56 50 4e 2e 00 58 52 76 2d	able.the.export/import.VPN..XRv-
10580	50 33 3a 00 59 6f 75 20 6d 61 6e 61 67 65 64 20 74 6f 20 63 6f 6d 65 20 74 68 69 73 20 66 61 72	P3:.You.managed.to.come.this.far
105a0	2c 20 6e 6f 77 20 77 65 20 77 61 6e 74 20 74 6f 20 73 65 65 20 74 68 65 20 6e 65 74 77 6f 72 6b	,.now.we.want.to.see.the.network
105c0	20 61 6e 64 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20 69 6e 20 61 63 74 69 6f 6e 2e 00 59	.and.routing.tables.in.action..Y
105e0	6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 74 6f 20 61 6e 64	ou.should.be.able.to.ping.to.and
10600	20 66 72 6f 6d 20 61 6c 6c 20 74 68 65 20 49 50 73 20 79 6f 75 20 68 61 76 65 20 61 6c 6c 6f 63	.from.all.the.IPs.you.have.alloc
10620	61 74 65 64 2e 00 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 77 20 62 65 20 61 62 6c 65 20 74 6f 20	ated..You.should.now.be.able.to.
10640	70 69 6e 67 20 73 6f 6d 65 74 68 69 6e 67 20 62 79 20 49 50 76 36 20 44 4e 53 20 6e 61 6d 65 3a	ping.something.by.IPv6.DNS.name:
10660	00 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 77 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 74	.You.should.now.be.able.to.see.t
10680	68 65 20 61 64 76 65 72 74 69 73 65 64 20 6e 65 74 77 6f 72 6b 20 6f 6e 20 74 68 65 20 6f 74 68	he.advertised.network.on.the.oth
106a0	65 72 20 68 6f 73 74 2e 00 59 6f 75 20 77 6f 75 6c 64 20 68 61 76 65 20 35 20 7a 6f 6e 65 73 20	er.host..You.would.have.5.zones.
106c0	69 6e 73 74 65 61 64 20 6f 66 20 6a 75 73 74 20 34 20 61 6e 64 20 79 6f 75 20 77 6f 75 6c 64 20	instead.of.just.4.and.you.would.
106e0	63 6f 6e 66 69 67 75 72 65 20 79 6f 75 72 20 76 36 20 72 75 6c 65 73 65 74 20 62 65 74 77 65 65	configure.your.v6.ruleset.betwee
10700	6e 20 79 6f 75 72 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 79 6f 75 72	n.your.tunnel.interface.and.your
10720	20 4c 41 4e 2f 44 4d 5a 20 7a 6f 6e 65 73 20 69 6e 73 74 65 61 64 20 6f 66 20 74 6f 20 74 68 65	.LAN/DMZ.zones.instead.of.to.the
10740	20 57 41 4e 2e 00 59 6f 75 20 77 6f 75 6c 64 20 68 61 76 65 20 74 6f 20 61 64 64 20 61 20 63 6f	.WAN..You.would.have.to.add.a.co
10760	75 70 6c 65 20 6f 66 20 72 75 6c 65 73 20 6f 6e 20 79 6f 75 72 20 77 61 6e 2d 6c 6f 63 61 6c 20	uple.of.rules.on.your.wan-local.
10780	72 75 6c 65 73 65 74 20 74 6f 20 61 6c 6c 6f 77 20 70 72 6f 74 6f 63 6f 6c 20 34 31 20 69 6e 2e	ruleset.to.allow.protocol.41.in.
107a0	00 5a 6f 6e 65 2d 50 6f 6c 69 63 79 20 65 78 61 6d 70 6c 65 00 5a 6f 6e 65 73 20 42 61 73 69 63	.Zone-Policy.example.Zones.Basic
107c0	73 00 5a 6f 6e 65 73 20 61 6e 64 20 52 75 6c 65 73 65 74 73 20 62 6f 74 68 20 68 61 76 65 20 61	s.Zones.and.Rulesets.both.have.a
107e0	20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 73 74 61 74 65 6d 65 6e 74 2e 20 57 68 65 6e 20	.default.action.statement..When.
10800	75 73 69 6e 67 20 5a 6f 6e 65 2d 50 6f 6c 69 63 69 65 73 2c 20 74 68 65 20 64 65 66 61 75 6c 74	using.Zone-Policies,.the.default
10820	20 61 63 74 69 6f 6e 20 69 73 20 73 65 74 20 62 79 20 74 68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63	.action.is.set.by.the.zone-polic
10840	79 20 73 74 61 74 65 6d 65 6e 74 20 61 6e 64 20 69 73 20 72 65 70 72 65 73 65 6e 74 65 64 20 62	y.statement.and.is.represented.b
10860	79 20 72 75 6c 65 20 31 30 30 30 30 2e 00 5a 6f 6e 65 73 20 64 6f 20 6e 6f 74 20 61 6c 6c 6f 77	y.rule.10000..Zones.do.not.allow
10880	20 66 6f 72 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 6f 66 20 61 63 63 65 70 74 3b	.for.a.default.action.of.accept;
108a0	20 65 69 74 68 65 72 20 64 72 6f 70 20 6f 72 20 72 65 6a 65 63 74 2e 20 49 74 20 69 73 20 69 6d	.either.drop.or.reject..It.is.im
108c0	70 6f 72 74 61 6e 74 20 74 6f 20 72 65 6d 65 6d 62 65 72 20 74 68 69 73 20 62 65 63 61 75 73 65	portant.to.remember.this.because
108e0	20 69 66 20 79 6f 75 20 61 70 70 6c 79 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 74 6f 20 61 20	.if.you.apply.an.interface.to.a.
10900	7a 6f 6e 65 20 61 6e 64 20 63 6f 6d 6d 69 74 2c 20 61 6e 79 20 61 63 74 69 76 65 20 63 6f 6e 6e	zone.and.commit,.any.active.conn
10920	65 63 74 69 6f 6e 73 20 77 69 6c 6c 20 62 65 20 64 72 6f 70 70 65 64 2e 20 53 70 65 63 69 66 69	ections.will.be.dropped..Specifi
10940	63 61 6c 6c 79 2c 20 69 66 20 79 6f 75 20 61 72 65 20 53 53 48 e2 80 99 64 20 69 6e 74 6f 20 56	cally,.if.you.are.SSH...d.into.V
10960	79 4f 53 20 61 6e 64 20 61 64 64 20 6c 6f 63 61 6c 20 6f 72 20 74 68 65 20 69 6e 74 65 72 66 61	yOS.and.add.local.or.the.interfa
10980	63 65 20 79 6f 75 20 61 72 65 20 63 6f 6e 6e 65 63 74 69 6e 67 20 74 68 72 6f 75 67 68 20 74 6f	ce.you.are.connecting.through.to
109a0	20 61 20 7a 6f 6e 65 20 61 6e 64 20 64 6f 20 6e 6f 74 20 68 61 76 65 20 72 75 6c 65 73 65 74 73	.a.zone.and.do.not.have.rulesets
109c0	20 69 6e 20 70 6c 61 63 65 20 74 6f 20 61 6c 6c 6f 77 20 53 53 48 20 61 6e 64 20 65 73 74 61 62	.in.place.to.allow.SSH.and.estab
109e0	6c 69 73 68 65 64 20 73 65 73 73 69 6f 6e 73 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 6f 74 20 62 65	lished.sessions,.you.will.not.be
10a00	20 61 62 6c 65 20 74 6f 20 63 6f 6e 6e 65 63 74 2e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78	.able.to.connect..`2001:470:xxxx
10a20	3a 31 3a 3a 2f 36 34 60 3a 20 41 20 73 75 62 6e 65 74 20 73 75 69 74 61 62 6c 65 20 66 6f 72 20	:1::/64`:.A.subnet.suitable.for.
10a40	61 20 4c 41 4e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 32 3a 3a 2f 36 34 60 3a 20 41 6e	a.LAN.`2001:470:xxxx:2::/64`:.An
10a60	6f 74 68 65 72 20 73 75 62 6e 65 74 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 3a 2f 34 38	other.subnet.`2001:470:xxxx::/48
10a80	60 3a 20 54 68 65 20 77 68 6f 6c 65 20 73 75 62 6e 65 74 2e 20 78 78 78 78 20 73 68 6f 75 6c 64	`:.The.whole.subnet..xxxx.should
10aa0	20 63 6f 6d 65 20 66 72 6f 6d 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 00 60 32 30 30 31 3a 34	.come.from.Tunnelbroker..`2001:4
10ac0	37 30 3a 78 78 78 78 3a 66 66 66 66 3a 2f 36 34 60 3a 20 54 68 65 20 6c 61 73 74 20 75 73 61 62	70:xxxx:ffff:/64`:.The.last.usab
10ae0	6c 65 20 2f 36 34 20 73 75 62 6e 65 74 2e 00 60 60 73 65 72 76 69 63 65 2d 6e 61 6d 65 60 60 20	le./64.subnet..``service-name``.
10b00	63 61 6e 20 62 65 20 61 6e 20 61 72 62 69 74 72 61 72 79 20 73 74 72 69 6e 67 2e 00 61 66 74 65	can.be.an.arbitrary.string..afte
10b20	72 20 61 6c 6c 20 74 68 65 73 65 20 73 74 65 70 73 20 74 68 65 20 63 6f 6e 66 69 67 20 6c 6f 6f	r.all.these.steps.the.config.loo
10b40	6b 20 6c 69 6b 65 20 74 68 69 73 3a 00 61 66 74 65 72 20 74 68 69 73 20 63 72 65 61 74 65 20 61	k.like.this:.after.this.create.a
10b60	20 73 69 67 6e 65 64 20 73 65 72 76 65 72 20 61 6e 64 20 61 20 63 6c 69 65 6e 74 20 63 65 72 74	.signed.server.and.a.client.cert
10b80	69 66 69 63 61 74 65 00 61 6e 64 20 6c 61 73 74 20 74 68 65 20 44 48 20 4b 65 79 00 62 6c 75 65	ificate.and.last.the.DH.Key.blue
10ba0	20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64	.uses.local.routing.table.id.and
10bc0	20 56 4e 49 20 32 30 30 30 00 63 68 30 30 73 33 2d 34 2d 73 33 63 75 72 33 2d 70 73 6b 00 63 6f	.VNI.2000.ch00s3-4-s3cur3-psk.co
10be0	6d 70 75 74 65 31 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65	mpute1.(VMware.ESXi.6.5).compute
10c00	31 20 2d 20 50 6f 72 74 20 39 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6d 70 75 74	1.-.Port.9.of.each.switch.comput
10c20	65 32 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 32 20 2d 20	e2.(VMware.ESXi.6.5).compute2.-.
10c40	50 6f 72 74 20 31 30 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6d 70 75 74 65 33 20	Port.10.of.each.switch.compute3.
10c60	28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 33 20 2d 20 50 6f 72	(VMware.ESXi.6.5).compute3.-.Por
10c80	74 20 31 31 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6e 66 69 67 75 72 65 20 65 61	t.11.of.each.switch.configure.ea
10ca0	63 68 20 68 6f 73 74 20 69 6e 20 74 68 65 20 6c 61 62 00 63 72 65 61 74 65 20 74 68 65 20 6c 61	ch.host.in.the.lab.create.the.la
10cc0	62 20 6f 6e 20 61 20 65 76 65 2d 6e 67 20 73 65 72 76 65 72 00 64 6f 20 73 6f 6d 65 20 64 65 66	b.on.a.eve-ng.server.do.some.def
10ce0	69 6e 65 64 20 74 65 73 74 73 00 65 74 68 30 00 65 74 68 30 20 69 73 20 73 65 74 20 74 6f 20 62	ined.tests.eth0.eth0.is.set.to.b
10d00	65 20 72 65 6d 6f 76 65 64 20 66 72 6f 6d 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72	e.removed.from.the.load.balancer
10d20	27 73 20 69 6e 74 65 72 66 61 63 65 20 70 6f 6f 6c 20 61 66 74 65 72 20 35 20 70 69 6e 67 20 66	's.interface.pool.after.5.ping.f
10d40	61 69 6c 75 72 65 73 2c 20 65 74 68 31 20 77 69 6c 6c 20 62 65 20 72 65 6d 6f 76 65 64 20 61 66	ailures,.eth1.will.be.removed.af
10d60	74 65 72 20 34 20 70 69 6e 67 20 66 61 69 6c 75 72 65 73 2e 00 65 78 74 65 6e 64 65 64 20 63 6f	ter.4.ping.failures..extended.co
10d80	6d 6d 75 6e 69 74 79 20 61 6e 64 20 72 65 6d 6f 74 65 20 6c 61 62 65 6c 20 6f 66 20 73 70 65 63	mmunity.and.remote.label.of.spec
10da0	69 66 69 63 20 64 65 73 74 69 6e 61 74 69 6f 6e 00 66 69 72 73 74 20 74 68 65 20 50 43 41 00 67	ific.destination.first.the.PCA.g
10dc0	65 6e 65 72 61 74 65 20 74 68 65 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 61 6e 64 20 69 6e	enerate.the.documentation.and.in
10de0	63 6c 75 64 65 20 66 69 6c 65 73 00 67 72 65 65 6e 20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75	clude.files.green.uses.local.rou
10e00	74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20 34 30 30 30 00 69 6e 66 6f 72	ting.table.id.and.VNI.4000.infor
10e20	6d 61 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 50 45 20 61 6e 64 20 43 45 3a 00 6f 70 74 69 6f 6e	mation.between.PE.and.CE:.option
10e40	61 6c 20 64 6f 20 61 6e 20 75 70 67 72 61 64 65 20 74 6f 20 61 20 68 69 67 68 65 72 20 76 65 72	al.do.an.upgrade.to.a.higher.ver
10e60	73 69 6f 6e 20 61 6e 64 20 64 6f 20 73 74 65 70 20 33 20 61 67 61 69 6e 2e 00 72 65 64 20 75 73	sion.and.do.step.3.again..red.us
10e80	65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e	es.local.routing.table.id.and.VN
10ea0	49 20 33 30 30 30 00 72 6f 75 74 65 72 32 20 28 52 61 6e 64 6f 6d 20 31 52 55 20 6d 61 63 68 69	I.3000.router2.(Random.1RU.machi
10ec0	6e 65 20 77 69 74 68 20 34 20 4e 49 43 73 29 00 73 61 76 65 20 74 68 65 20 6f 75 74 70 75 74 20	ne.with.4.NICs).save.the.output.
10ee0	74 6f 20 61 20 66 69 6c 65 20 61 6e 64 20 69 6d 70 6f 72 74 20 69 74 20 69 6e 20 6e 65 61 72 6c	to.a.file.and.import.it.in.nearl
10f00	79 20 61 6c 6c 20 6f 70 65 6e 76 70 6e 20 63 6c 69 65 6e 74 73 2e 00 73 68 75 74 64 6f 77 6e 20	y.all.openvpn.clients..shutdown.
10f20	61 6e 64 20 64 65 73 74 72 6f 79 20 74 68 65 20 6c 61 62 2c 20 69 66 20 74 68 65 72 65 20 69 73	and.destroy.the.lab,.if.there.is
10f40	20 6e 6f 20 65 72 72 6f 72 00 73 70 65 63 69 66 69 63 20 56 50 4e 76 34 20 64 65 73 74 69 6e 61	.no.error.specific.VPNv4.destina
10f60	74 69 6f 6e 20 69 6e 63 6c 75 64 69 6e 67 20 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74	tion.including.extended.communit
10f80	79 20 61 6e 64 20 72 65 6d 6f 74 65 6c 61 62 65 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 54	y.and.remotelabel.information..T
10fa0	68 69 73 20 70 72 6f 63 65 64 75 72 65 20 69 73 20 74 68 65 20 73 61 6d 65 20 6f 6e 20 61 6c 6c	his.procedure.is.the.same.on.all
10fc0	20 53 70 6f 6b 65 20 6e 6f 64 65 73 3a 00 73 77 69 74 63 68 31 20 28 4e 65 78 75 73 20 31 30 67	.Spoke.nodes:.switch1.(Nexus.10g
10fe0	62 20 53 77 69 74 63 68 29 00 73 77 69 74 63 68 32 20 28 4e 65 78 75 73 20 31 30 67 62 20 53 77	b.Switch).switch2.(Nexus.10gb.Sw
11000	69 74 63 68 29 00 76 36 20 70 61 69 72 73 20 77 6f 75 6c 64 20 62 65 3a 00 76 79 6f 73 31 30 20	itch).v6.pairs.would.be:.vyos10.
11020	2d 20 31 39 32 2e 30 2e 32 2e 31 30 38 00 76 79 6f 73 37 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30	-.192.0.2.108.vyos7.-.192.0.2.10
11040	35 00 76 79 6f 73 38 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 36 00 76 79 6f 73 39 20 2d 20 31 39	5.vyos8.-.192.0.2.106.vyos9.-.19
11060	32 2e 30 2e 32 2e 31 30 37 00 77 65 20 61 72 65 20 75 73 69 6e 67 20 22 73 6f 75 72 63 65 2d 61	2.0.2.107.we.are.using."source-a
11080	64 64 72 65 73 73 22 20 6f 70 74 69 6f 6e 20 63 61 75 73 65 20 77 65 20 61 72 65 20 6e 6f 74 20	ddress".option.cause.we.are.not.
110a0	72 65 64 69 73 74 72 69 62 75 74 69 6e 67 20 63 6f 6e 6e 65 63 74 65 64 20 69 6e 74 65 72 66 61	redistributing.connected.interfa
110c0	63 65 73 20 69 6e 74 6f 20 42 47 50 20 6f 6e 20 74 68 65 20 43 6f 72 65 20 72 6f 75 74 65 72 20	ces.into.BGP.on.the.Core.router.
110e0	68 65 6e 63 65 20 74 68 65 72 65 20 69 73 20 6e 6f 20 63 6f 6d 65 62 61 63 6b 20 72 6f 75 74 65	hence.there.is.no.comeback.route
11100	20 61 6e 64 20 70 69 6e 67 20 77 69 6c 6c 20 66 61 69 6c 2e 00 77 69 74 68 69 6e 20 56 52 46 73	.and.ping.will.fail..within.VRFs
11120	3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80	:....show.bgp.ipv4.vpn.summary..
11140	9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 42 47 50 20 56 50 4e 76 34 20 6e 65 69 67 68 62 6f	..for.checking.BGP.VPNv4.neighbo
11160	72 73 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79	rs:....show.bgp.ipv4.vpn.summary
11180	e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f 72 73 20	....for.checking.iBGP.neighbors.
111a0	61 67 61 69 6e 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61	again....show.bgp.ipv4.vpn.summa
111c0	72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f 72	ry....for.checking.iBGP.neighbor
111e0	73 20 61 67 61 69 6e 73 74 20 72 6f 75 74 65 2d 72 65 66 6c 65 63 74 6f 72 20 64 65 76 69 63 65	s.against.route-reflector.device
11200	73 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f	s:....show.bgp.ipv4.vpn.x.x.x.x/
11220	33 32 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 62 65 73 74 2d 70 61 74 68 2c 00 e2 80	32....for.checking.best-path,...
11240	9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 33 32 e2 80 9d	.show.bgp.ipv4.vpn.x.x.x.x/32...
11260	20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 74 68 65 20 62 65 73 74 2d 70 61 74 68 20 74 6f 20 74	.for.checking.the.best-path.to.t
11280	68 65 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f	he....show.bgp.ipv4.vpn.x.x.x.x/
112a0	78 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 62 65 73 74 20 70 61 74 68 20 73 65 6c 65	x....for.checking.best.path.sele
112c0	63 74 65 64 20 66 6f 72 20 73 70 65 63 69 66 69 63 20 56 50 4e 76 34 20 64 65 73 74 69 6e 61 74	cted.for.specific.VPNv4.destinat
112e0	69 6f 6e 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e e2 80 9d 20 20 66 6f 72	ion....show.bgp.ipv4.vpn.....for
11300	20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 56 50 4e 76 34 20 70 72 65 66 69 78 65 73 20 69 6e 66	.checking.all.VPNv4.prefixes.inf
11320	6f 72 6d 61 74 69 6f 6e 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 5f 48	ormation:....show.bgp.vrf.BLUE_H
11340	55 42 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 47 50 20	UB.summary....for.checking.EBGP.
11360	6e 65 69 67 68 62 6f 72 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 5f 53 50	neighbor....show.bgp.vrf.BLUE_SP
11380	4f 4b 45 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 47 50	OKE.summary....for.checking.EBGP
113a0	20 6e 65 69 67 68 62 6f 72 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c e2 80 9d	.neighbor....show.bgp.vrf.all...
113c0	20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 20 6c 65 61	.for.checking.all.the.prefix.lea
113e0	72 6e 69 6e 67 20 6f 6e 20 42 47 50 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c	rning.on.BGP....show.bgp.vrf.all
11400	e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 65	....for.checking.all.the.prefixe
11420	73 20 6c 65 61 72 6e 69 6e 67 20 6f 6e 20 42 47 50 00 e2 80 9c 73 68 6f 77 20 69 70 20 6f 73 70	s.learning.on.BGP....show.ip.osp
11440	66 20 6e 65 69 67 68 62 6f 72 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6f 73 70 66 20	f.neighbor....for.checking.ospf.
11460	72 65 6c 61 74 69 6f 6e 73 68 69 70 00 e2 80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 72	relationship....show.ip.route.vr
11480	66 20 42 4c 55 45 5f 48 55 42 e2 80 9d 20 74 6f 20 76 69 65 77 20 74 68 65 20 52 49 42 20 69 6e	f.BLUE_HUB....to.view.the.RIB.in
114a0	20 6f 75 72 20 48 75 62 20 50 45 2e 00 e2 80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 72	.our.Hub.PE.....show.ip.route.vr
114c0	66 20 42 4c 55 45 5f 53 50 4f 4b 45 e2 80 9d 20 66 6f 72 20 76 69 65 77 69 6e 67 20 74 68 65 20	f.BLUE_SPOKE....for.viewing.the.
114e0	52 49 42 20 69 6e 20 6f 75 72 20 53 70 6f 6b 65 20 50 45 2e 00 e2 80 9c 73 68 6f 77 20 6d 70 6c	RIB.in.our.Spoke.PE.....show.mpl
11500	73 20 6c 64 70 20 62 69 6e 64 69 6e 67 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6d 70	s.ldp.binding....for.checking.mp
11520	6c 73 20 6c 61 62 65 6c 20 61 73 73 69 67 6e 6d 65 6e 74 00 e2 80 9c 73 68 6f 77 20 6d 70 6c 73	ls.label.assignment....show.mpls
11540	20 6c 64 70 20 6e 65 69 67 68 62 6f 72 20 e2 80 9c 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6c	.ldp.neighbor.....for.checking.l
11560	64 70 20 6e 65 69 67 68 62 6f 72 73 00 4d 49 4d 45 2d 56 65 72 73 69 6f 6e 3a 20 31 2e 30 0a 43	dp.neighbors.MIME-Version:.1.0.C
11580	6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 74 65 78 74 2f 70 6c 61 69 6e 3b 20 63 68 61 72 73 65 74	ontent-Type:.text/plain;.charset
115a0	3d 55 54 46 2d 38 0a 43 6f 6e 74 65 6e 74 2d 54 72 61 6e 73 66 65 72 2d 45 6e 63 6f 64 69 6e 67	=UTF-8.Content-Transfer-Encoding
115c0	3a 20 38 62 69 74 0a 58 2d 47 65 6e 65 72 61 74 6f 72 3a 20 4c 6f 63 61 6c 61 7a 79 20 28 68 74	:.8bit.X-Generator:.Localazy.(ht
115e0	74 70 73 3a 2f 2f 6c 6f 63 61 6c 61 7a 79 2e 63 6f 6d 29 0a 50 72 6f 6a 65 63 74 2d 49 64 2d 56	tps://localazy.com).Project-Id-V
11600	65 72 73 69 6f 6e 3a 20 0a 4c 61 6e 67 75 61 67 65 3a 20 6a 61 0a 50 6c 75 72 61 6c 2d 46 6f 72	ersion:..Language:.ja.Plural-For
11620	6d 73 3a 20 6e 70 6c 75 72 61 6c 73 3d 31 3b 20 70 6c 75 72 61 6c 3d 30 3b 0a 00 27 27 49 74 20	ms:.nplurals=1;.plural=0;..''It.
11640	69 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 6e 6f 74 65 2c 20 74 68 61 74 20 79 6f 75 20 64	is.important.to.note,.that.you.d
11660	6f 20 6e 6f 74 20 77 61 6e 74 20 74 6f 20 61 64 64 20 6c 6f 67 67 69 6e 67 20 74 6f 20 74 68 65	o.not.want.to.add.logging.to.the
11680	20 65 73 74 61 62 6c 69 73 68 65 64 20 73 74 61 74 65 20 72 75 6c 65 20 61 73 20 79 6f 75 20 77	.established.state.rule.as.you.w
116a0	69 6c 6c 20 62 65 20 6c 6f 67 67 69 6e 67 20 62 6f 74 68 20 74 68 65 20 69 6e 62 6f 75 6e 64 20	ill.be.logging.both.the.inbound.
116c0	61 6e 64 20 6f 75 74 62 6f 75 6e 64 20 70 61 63 6b 65 74 73 20 66 6f 72 20 65 61 63 68 20 73 65	and.outbound.packets.for.each.se
116e0	73 73 69 6f 6e 20 69 6e 73 74 65 61 64 20 6f 66 20 6a 75 73 74 20 74 68 65 20 69 6e 69 74 69 61	ssion.instead.of.just.the.initia
11700	74 69 6f 6e 20 6f 66 20 74 68 65 20 73 65 73 73 69 6f 6e 2e 20 59 6f 75 72 20 6c 6f 67 73 20 77	tion.of.the.session..Your.logs.w
11720	69 6c 6c 20 62 65 20 6d 61 73 73 69 76 65 20 69 6e 20 61 20 76 65 72 79 20 73 68 6f 72 74 20 70	ill.be.massive.in.a.very.short.p
11740	65 72 69 6f 64 20 6f 66 20 74 69 6d 65 2e 27 27 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20	eriod.of.time.''.Important:.
11760	41 64 64 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 74 6f 20 72 65 61 63 68 20	Add.an.interface.route.to.reach.
11780	41 7a 75 72 65 27 73 20 42 47 50 20 6c 69 73 74 65 6e 65 72 00 2a 2a 49 6d 70 6f 72 74 61 6e 74	Azure's.BGP.listener.**Important
117a0	2a 2a 3a 20 41 64 64 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 74 6f 20 72 65	**:.Add.an.interface.route.to.re
117c0	61 63 68 20 62 6f 74 68 20 41 7a 75 72 65 27 73 20 42 47 50 20 6c 69 73 74 65 6e 65 72 73 00 2a	ach.both.Azure's.BGP.listeners.*
117e0	2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73 61 62 6c 65 20 63 6f 6e 6e 65 63 74 65 64 20	Important*:.Disable.connected.
11800	63 68 65 63 6b 20 5c 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73 61 62 6c 65 20 63	check.\.Important:.Disable.c
11820	6f 6e 6e 65 63 74 65 64 20 63 68 65 63 6b 2c 20 6f 74 68 65 72 77 69 73 65 20 74 68 65 20 72 6f	onnected.check,.otherwise.the.ro
11840	75 74 65 73 20 6c 65 61 72 6e 65 64 20 66 72 6f 6d 20 41 7a 75 72 65 20 77 69 6c 6c 20 6e 6f 74	utes.learned.from.Azure.will.not
11860	20 62 65 20 69 6d 70 6f 72 74 65 64 20 69 6e 74 6f 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61	.be.imported.into.the.routing.ta
11880	62 6c 65 2e 00 2a 2a 4e 4f 54 45 3a 2a 2a 20 56 79 4f 53 20 52 6f 75 74 65 72 20 28 74 65 73 74	ble..NOTE:.VyOS.Router.(test
118a0	65 64 20 77 69 74 68 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33	ed.with.VyOS.1.4-rolling-2021103
118c0	31 30 33 31 37 29 20 e2 80 93 20 20 54 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 62	10317)......The.configurations.b
118e0	65 6c 6f 77 20 61 72 65 20 73 70 65 63 69 66 69 63 61 6c 6c 79 20 66 6f 72 20 56 79 4f 53 20 31	elow.are.specifically.for.VyOS.1
11900	2e 34 2e 78 2e 00 2a 2a 4e 6f 74 65 3a 2a 2a 20 41 74 20 74 68 65 20 6d 6f 6d 65 6e 74 2c 20 74	.4.x..Note:.At.the.moment,.t
11920	72 61 63 65 20 6d 70 6c 73 20 64 6f 65 73 6e e2 80 99 74 20 73 68 6f 77 20 6c 61 62 65 6c 73 2f	race.mpls.doesn...t.show.labels/
11940	70 61 74 68 73 2e 20 53 6f 20 77 65 e2 80 99 6c 6c 20 73 65 65 20 2a 20 2a 20 2a 20 20 66 6f 72	paths..So.we...ll.see...*..for
11960	20 74 68 65 20 74 72 61 6e 73 69 74 20 72 6f 75 74 65 72 73 20 6f 66 20 74 68 65 20 6d 70 6c 73	.the.transit.routers.of.the.mpls
11980	20 62 61 63 6b 62 6f 6e 65 2e 00 2a 2a 54 68 69 73 20 73 70 65 63 69 66 69 63 20 65 78 61 6d 70	.backbone..**This.specific.examp
119a0	6c 65 20 69 73 20 66 6f 72 20 61 20 72 6f 75 74 65 72 20 6f 6e 20 61 20 73 74 69 63 6b 2c 20 62	le.is.for.a.router.on.a.stick,.b
119c0	75 74 20 69 73 20 76 65 72 79 20 65 61 73 69 6c 79 20 61 64 61 70 74 65 64 20 66 6f 72 20 68 6f	ut.is.very.easily.adapted.for.ho
119e0	77 65 76 65 72 20 6d 61 6e 79 20 4e 49 43 73 20 79 6f 75 20 68 61 76 65 2a 2a 3a 00 2a 2a 56 69	wever.many.NICs.you.have:.Vi
11a00	72 74 75 61 6c 20 52 6f 75 74 69 6e 67 20 61 6e 64 20 46 6f 72 77 61 72 64 69 6e 67 2a 2a 20 69	rtual.Routing.and.Forwarding**.i
11a20	73 20 61 20 74 65 63 68 6e 6f 6c 6f 67 79 20 74 68 61 74 20 61 6c 6c 6f 77 20 6d 75 6c 74 69 70	s.a.technology.that.allow.multip
11a40	6c 65 20 69 6e 73 74 61 6e 63 65 20 6f 66 20 61 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 74	le.instance.of.a.routing.table.t
11a60	6f 20 65 78 69 73 74 20 77 69 74 68 69 6e 20 61 20 73 69 6e 67 6c 65 20 64 65 76 69 63 65 2e 20	o.exist.within.a.single.device..
11a80	4f 6e 65 20 6f 66 20 74 68 65 20 6b 65 79 20 61 73 70 65 63 74 20 6f 66 20 2a 2a 56 52 46 73 2a	One.of.the.key.aspect.of.*VRFs
11aa0	2a 20 69 73 20 74 68 61 74 20 64 6f 20 6e 6f 74 20 73 68 61 72 65 20 74 68 65 20 73 61 6d 65 20	*.is.that.do.not.share.the.same.
11ac0	72 6f 75 74 65 73 20 6f 72 20 69 6e 74 65 72 66 61 63 65 73 2c 20 74 68 65 72 65 66 6f 72 65 20	routes.or.interfaces,.therefore.
11ae0	70 61 63 6b 65 74 73 20 61 72 65 20 66 6f 72 77 61 72 64 65 64 20 62 65 74 77 65 65 6e 20 69 6e	packets.are.forwarded.between.in
11b00	74 65 72 66 61 63 65 73 20 74 68 61 74 20 62 65 6c 6f 6e 67 20 74 6f 20 74 68 65 20 73 61 6d 65	terfaces.that.belong.to.the.same
11b20	20 56 52 46 20 6f 6e 6c 79 2e 00 2a 2a 6f 66 66 73 69 74 65 31 2a 2a 00 2a 2a 72 6f 75 74 65 72	.VRF.only..offsite1.**router
11b40	31 2a 2a 00 2a 2a 72 6f 75 74 65 72 32 2a 2a 00 31 30 2e 30 2e 30 2e 30 2f 31 36 00 31 30 2e 30	1.router2**.10.0.0.0/16.10.0
11b60	2e 30 2e 34 00 31 30 2e 30 2e 30 2e 34 2c 31 30 2e 30 2e 30 2e 35 00 31 30 2e 31 2e 31 2e 30 2f	.0.4.10.0.0.4,10.0.0.5.10.1.1.0/
11b80	33 30 00 31 30 2e 31 30 2e 30 2e 30 2f 31 36 00 31 30 2e 31 30 2e 30 2e 35 00 31 30 2e 32 2e 32	30.10.10.0.0/16.10.10.0.5.10.2.2
11ba0	2e 30 2f 33 30 00 31 30 2e 35 30 2e 35 30 2e 31 3a 31 30 31 31 00 31 30 2e 36 30 2e 36 30 2e 31	.0/30.10.50.50.1:1011.10.60.60.1
11bc0	3a 31 30 31 31 00 31 30 2e 38 30 2e 38 30 2e 31 3a 31 30 31 31 00 31 30 30 3a 20 27 50 75 62 6c	:1011.10.80.80.1:1011.100:.'Publ
11be0	69 63 27 20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67 20 6f 75 72 20 32 30 33 2e 30 2e 31 31 33	ic'.network,.using.our.203.0.113
11c00	2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2e 00 31 37 32 2e 31 36 2e 32 2e 30 2f 33 30 00 31 37 32	.0/24.network..172.16.2.0/30.172
11c20	2e 31 37 2e 31 2e 32 20 43 53 30 20 2d 3e 20 43 53 34 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34	.17.1.2.CS0.->.CS4.172.17.1.2/24
11c40	20 43 53 30 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 30 20 2d 20 3e 20 43 53 34 00 31	.CS0.172.17.1.2/24.CS0.-.>.CS4.1
11c60	37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 34 20 2d 20 3e 20 43 53 35 00 31 37 32 2e 31 37 2e	72.17.1.2/24.CS4.-.>.CS5.172.17.
11c80	31 2e 33 20 43 53 30 20 2d 3e 20 43 53 35 00 31 37 32 2e 31 37 2e 31 2e 34 20 43 53 30 20 2d 3e	1.3.CS0.->.CS5.172.17.1.4.CS0.->
11ca0	20 43 53 36 00 31 37 32 2e 31 37 2e 31 2e 34 30 20 43 53 30 20 62 79 20 64 65 66 61 75 6c 74 00	.CS6.172.17.1.40.CS0.by.default.
11cc0	31 39 32 2e 31 36 38 2e 31 30 30 2e 31 30 2f 32 30 30 31 3a 30 44 42 38 3a 30 3a 41 41 41 41 3a	192.168.100.10/2001:0DB8:0:AAAA:
11ce0	3a 31 30 20 69 73 20 74 68 65 20 61 64 6d 69 6e 69 73 74 72 61 74 6f 72 27 73 20 63 6f 6e 73 6f	:10.is.the.administrator's.conso
11d00	6c 65 2e 20 49 74 20 63 61 6e 20 53 53 48 20 74 6f 20 56 79 4f 53 2e 00 31 39 32 2e 31 36 38 2e	le..It.can.SSH.to.VyOS..192.168.
11d20	32 30 30 2e 32 30 30 2f 32 30 30 31 3a 30 44 42 38 3a 30 3a 42 42 42 42 3a 3a 32 30 30 20 69 73	200.200/2001:0DB8:0:BBBB::200.is
11d40	20 61 6e 20 69 6e 74 65 72 6e 61 6c 2f 65 78 74 65 72 6e 61 6c 20 44 4e 53 2c 20 77 65 62 20 61	.an.internal/external.DNS,.web.a
11d60	6e 64 20 6d 61 69 6c 20 28 53 4d 54 50 2f 49 4d 41 50 29 20 73 65 72 76 65 72 2e 00 31 39 32 2e	nd.mail.(SMTP/IMAP).server..192.
11d80	31 36 38 2e 33 2e 30 2f 33 30 00 31 39 38 2e 35 31 2e 31 30 30 2e 33 00 32 20 70 72 69 76 61 74	168.3.0/30.198.51.100.3.2.privat
11da0	65 20 73 75 62 6e 65 74 73 20 6f 6e 20 65 61 63 68 20 73 69 74 65 2e 00 32 20 78 20 52 6f 75 74	e.subnets.on.each.site..2.x.Rout
11dc0	65 20 72 65 66 6c 65 63 74 6f 72 73 20 28 56 79 4f 53 2d 52 52 78 29 00 32 30 30 31 3a 64 62 38	e.reflectors.(VyOS-RRx).2001:db8
11de0	3a 3a 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 32 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a	::/127.2001:db8::2/127.2001:db8:
11e00	3a 34 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 36 2f 31 32 37 00 32 30 31 3a 20 27 49 6e 74	:4/127.2001:db8::6/127.201:.'Int
11e20	65 72 6e 61 6c 27 20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67 20 31 30 2e 32 30 30 2e 32 30 31	ernal'.network,.using.10.200.201
11e40	2e 30 2f 32 34 00 32 30 33 2e 30 2e 31 31 33 2e 32 00 32 30 33 2e 30 2e 31 31 33 2e 33 00 33 20	.0/24.203.0.113.2.203.0.113.3.3.
11e60	78 20 43 75 73 74 6f 6d 65 72 20 45 64 67 65 20 28 56 79 4f 53 2d 43 45 78 29 00 33 20 78 20 50	x.Customer.Edge.(VyOS-CEx).3.x.P
11e80	72 6f 76 69 64 65 72 20 45 64 67 65 20 28 56 79 4f 73 2d 50 45 78 29 00 34 20 78 20 50 72 6f 76	rovider.Edge.(VyOs-PEx).4.x.Prov
11ea0	69 64 65 72 20 72 6f 75 74 65 72 73 20 28 56 79 4f 53 2d 50 78 29 00 35 30 3a 20 55 70 73 74 72	ider.routers.(VyOS-Px).50:.Upstr
11ec0	65 61 6d 2c 20 75 73 69 6e 67 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77	eam,.using.the.192.0.2.0/24.netw
11ee0	6f 72 6b 20 61 6c 6c 6f 63 61 74 65 64 20 62 79 20 74 68 65 6d 2e 00 36 34 34 39 36 3a 31 00 36	ork.allocated.by.them..64496:1.6
11f00	34 34 39 36 3a 31 30 30 00 36 34 34 39 36 3a 32 00 36 34 34 39 36 3a 35 30 00 36 34 34 39 39 00	4496:100.64496:2.64496:50.64499.
11f20	36 35 30 33 35 3a 31 30 31 31 00 36 35 30 33 35 3a 31 30 31 31 20 36 35 30 33 35 3a 31 30 33 30	65035:1011.65035:1011.65035:1030
11f40	00 36 35 30 33 35 3a 31 30 33 30 00 36 35 35 34 30 00 41 20 62 72 69 65 66 20 65 78 63 75 72 73	.65035:1030.65540.A.brief.excurs
11f60	69 6f 6e 20 69 6e 74 6f 20 56 52 46 73 3a 20 54 68 69 73 20 68 61 73 20 62 65 65 6e 20 6f 6e 65	ion.into.VRFs:.This.has.been.one
11f80	20 6f 66 20 74 68 65 20 6c 6f 6e 67 65 73 74 2d 73 74 61 6e 64 69 6e 67 20 66 65 61 74 75 72 65	.of.the.longest-standing.feature
11fa0	20 72 65 71 75 65 73 74 73 20 6f 66 20 56 79 4f 53 20 28 64 61 74 69 6e 67 20 62 61 63 6b 20 74	.requests.of.VyOS.(dating.back.t
11fc0	6f 20 32 30 31 36 29 20 77 68 69 63 68 20 63 61 6e 20 62 65 20 64 65 73 63 72 69 62 65 64 20 61	o.2016).which.can.be.described.a
11fe0	73 20 22 61 20 56 4c 41 4e 20 66 6f 72 20 6c 61 79 65 72 20 32 20 69 73 20 77 68 61 74 20 61 20	s."a.VLAN.for.layer.2.is.what.a.
12000	56 52 46 20 69 73 20 66 6f 72 20 6c 61 79 65 72 20 33 22 2e 20 57 69 74 68 20 56 52 46 73 2c 20	VRF.is.for.layer.3"..With.VRFs,.
12020	61 20 72 6f 75 74 65 72 2f 73 79 73 74 65 6d 20 63 61 6e 20 68 6f 6c 64 20 6d 75 6c 74 69 70 6c	a.router/system.can.hold.multipl
12040	65 2c 20 69 73 6f 6c 61 74 65 64 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20 6f 6e 20 74 68	e,.isolated.routing.tables.on.th
12060	65 20 73 61 6d 65 20 73 79 73 74 65 6d 2e 20 49 66 20 79 6f 75 20 77 6f 6e 64 65 72 20 77 68 61	e.same.system..If.you.wonder.wha
12080	74 27 73 20 74 68 65 20 64 69 66 66 65 72 65 6e 63 65 20 62 65 74 77 65 65 6e 20 6d 75 6c 74 69	t's.the.difference.between.multi
120a0	70 6c 65 20 74 61 62 6c 65 73 20 74 68 61 74 20 70 65 6f 70 6c 65 20 75 73 65 64 20 66 6f 72 20	ple.tables.that.people.used.for.
120c0	70 6f 6c 69 63 79 2d 62 61 73 65 64 20 72 6f 75 74 69 6e 67 20 73 69 6e 63 65 20 66 6f 72 65 76	policy-based.routing.since.forev
120e0	65 72 2c 20 69 74 27 73 20 74 68 61 74 20 61 20 56 52 46 20 61 6c 73 6f 20 69 73 6f 6c 61 74 65	er,.it's.that.a.VRF.also.isolate
12100	73 20 63 6f 6e 6e 65 63 74 65 64 20 72 6f 75 74 65 73 20 72 61 74 68 65 72 20 74 68 61 6e 20 6a	s.connected.routes.rather.than.j
12120	75 73 74 20 73 74 61 74 69 63 20 61 6e 64 20 64 79 6e 61 6d 69 63 61 6c 6c 79 20 6c 65 61 72 6e	ust.static.and.dynamically.learn
12140	65 64 20 72 6f 75 74 65 73 2c 20 73 6f 20 69 74 20 61 6c 6c 6f 77 73 20 4e 49 43 73 20 69 6e 20	ed.routes,.so.it.allows.NICs.in.
12160	64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 74 6f 20 75 73 65 20 63 6f 6e 66 6c 69 63 74 69 6e	different.VRFs.to.use.conflictin
12180	67 20 6e 65 74 77 6f 72 6b 20 72 61 6e 67 65 73 20 77 69 74 68 6f 75 74 20 69 73 73 75 65 73 2e	g.network.ranges.without.issues.
121a0	00 41 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 72 65 73 6f 75 72 63 65 20 64 65 70 6c 6f 79 65 64 20	.A.connection.resource.deployed.
121c0	69 6e 20 41 7a 75 72 65 20 6c 69 6e 6b 69 6e 67 20 74 68 65 20 41 7a 75 72 65 20 56 4e 65 74 20	in.Azure.linking.the.Azure.VNet.
121e0	67 61 74 65 77 61 79 20 61 6e 64 20 74 68 65 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 67 61	gateway.and.the.local.network.ga
12200	74 65 77 61 79 20 72 65 70 72 65 73 65 6e 74 69 6e 67 20 74 68 65 20 56 79 6f 73 20 64 65 76 69	teway.representing.the.Vyos.devi
12220	63 65 2e 00 41 20 68 6f 73 74 20 60 60 76 79 6f 73 2d 6f 6f 62 6d 60 60 20 77 69 6c 6c 20 75 73	ce..A.host.``vyos-oobm``.will.us
12240	65 20 61 73 20 61 20 73 73 68 20 70 72 6f 78 79 2e 20 54 68 69 73 20 68 6f 73 74 20 69 73 20 6a	e.as.a.ssh.proxy..This.host.is.j
12260	75 73 74 20 6e 65 63 65 73 73 61 72 79 20 66 6f 72 20 74 68 65 20 4c 61 62 20 74 65 73 74 2e 00	ust.necessary.for.the.Lab.test..
12280	41 20 6b 65 79 20 70 6f 69 6e 74 20 74 6f 20 75 6e 64 65 72 73 74 61 6e 64 20 69 73 20 74 68 61	A.key.point.to.understand.is.tha
122a0	74 20 69 66 20 77 65 20 6e 65 65 64 20 74 77 6f 20 56 52 46 73 20 74 6f 20 63 6f 6d 6d 75 6e 69	t.if.we.need.two.VRFs.to.communi
122c0	63 61 74 65 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 20 45 58 50 4f 52 54 20 72	cate.between.each.other.EXPORT.r
122e0	74 20 66 72 6f 6d 20 56 52 46 31 20 68 61 73 20 74 6f 20 62 65 20 69 6e 20 74 68 65 20 49 4d 50	t.from.VRF1.has.to.be.in.the.IMP
12300	4f 52 54 20 72 74 20 6c 69 73 74 20 66 72 6f 6d 20 56 52 46 32 2e 20 42 75 74 20 74 68 69 73 20	ORT.rt.list.from.VRF2..But.this.
12320	69 73 20 6f 6e 6c 79 20 69 6e 20 4f 4e 45 20 64 69 72 65 63 74 69 6f 6e 2c 20 74 6f 20 63 6f 6d	is.only.in.ONE.direction,.to.com
12340	70 6c 65 74 65 20 74 68 65 20 63 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 74 68 65 20 45 58 50 4f	plete.the.communication.the.EXPO
12360	52 54 20 72 74 20 66 72 6f 6d 20 56 52 46 32 20 68 61 73 20 74 6f 20 62 65 20 69 6e 20 74 68 65	RT.rt.from.VRF2.has.to.be.in.the
12380	20 49 4d 50 4f 52 54 20 72 74 20 6c 69 73 74 20 66 72 6f 6d 20 56 52 46 31 2e 00 41 20 6c 6f 63	.IMPORT.rt.list.from.VRF1..A.loc
123a0	61 6c 20 6e 65 74 77 6f 72 6b 20 67 61 74 65 77 61 79 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 41	al.network.gateway.deployed.in.A
123c0	7a 75 72 65 20 72 65 70 72 65 73 65 6e 74 69 6e 67 20 74 68 65 20 56 79 6f 73 20 64 65 76 69 63	zure.representing.the.Vyos.devic
123e0	65 2c 20 6d 61 74 63 68 69 6e 67 20 74 68 65 20 62 65 6c 6f 77 20 56 79 6f 73 20 73 65 74 74 69	e,.matching.the.below.Vyos.setti
12400	6e 67 73 20 65 78 63 65 70 74 20 66 6f 72 20 61 64 64 72 65 73 73 20 73 70 61 63 65 2c 20 77 68	ngs.except.for.address.space,.wh
12420	69 63 68 20 6f 6e 6c 79 20 72 65 71 75 69 72 65 73 20 74 68 65 20 56 79 6f 73 20 70 72 69 76 61	ich.only.requires.the.Vyos.priva
12440	74 65 20 49 50 2c 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 31 30 2e 31 30 2e 30 2e 35	te.IP,.in.this.example.10.10.0.5
12460	2f 33 32 00 41 20 70 61 69 72 20 6f 66 20 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79	/32.A.pair.of.Azure.VNet.Gateway
12480	73 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 61 63 74 69 76 65 2d 61 63 74 69 76 65 20 63 6f 6e 66	s.deployed.in.active-active.conf
124a0	69 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 42 47 50 20 65 6e 61 62 6c 65 64 2e 00 41 20 70 61	iguration.with.BGP.enabled..A.pa
124c0	69 72 20 6f 66 20 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 73 20 64 65 70 6c 6f 79	ir.of.Azure.VNet.Gateways.deploy
124e0	65 64 20 69 6e 20 61 63 74 69 76 65 2d 70 61 73 73 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69	ed.in.active-passive.configurati
12500	6f 6e 20 77 69 74 68 20 42 47 50 20 65 6e 61 62 6c 65 64 2e 00 41 20 70 75 62 6c 69 63 2c 20 72	on.with.BGP.enabled..A.public,.r
12520	6f 75 74 61 62 6c 65 20 49 50 76 34 20 61 64 64 72 65 73 73 2e 20 54 68 69 73 20 64 6f 65 73 20	outable.IPv4.address..This.does.
12540	6e 6f 74 20 6e 65 63 65 73 73 61 72 69 6c 79 20 6e 65 65 64 20 74 6f 20 62 65 20 73 74 61 74 69	not.necessarily.need.to.be.stati
12560	63 2c 20 62 75 74 20 79 6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 75 70 64 61 74 65 20 74	c,.but.you.will.need.to.update.t
12580	68 65 20 74 75 6e 6e 65 6c 20 65 6e 64 70 6f 69 6e 74 20 77 68 65 6e 2f 69 66 20 79 6f 75 72 20	he.tunnel.endpoint.when/if.your.
125a0	49 50 20 61 64 64 72 65 73 73 20 63 68 61 6e 67 65 73 2c 20 77 68 69 63 68 20 63 61 6e 20 62 65	IP.address.changes,.which.can.be
125c0	20 64 6f 6e 65 20 77 69 74 68 20 61 20 73 63 72 69 70 74 20 61 6e 64 20 61 20 73 63 68 65 64 75	.done.with.a.script.and.a.schedu
125e0	6c 65 64 20 74 61 73 6b 2e 00 41 20 72 75 6c 65 20 6f 72 64 65 72 20 66 6f 72 20 70 72 69 6f 72	led.task..A.rule.order.for.prior
12600	69 74 69 7a 69 6e 67 20 74 72 61 66 66 69 63 20 69 73 20 75 73 65 66 75 6c 20 69 6e 20 73 63 65	itizing.traffic.is.useful.in.sce
12620	6e 61 72 69 6f 73 20 77 68 65 72 65 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 20	narios.where.the.secondary.link.
12640	68 61 73 20 61 20 6c 6f 77 65 72 20 73 70 65 65 64 20 61 6e 64 20 73 68 6f 75 6c 64 20 6f 6e 6c	has.a.lower.speed.and.should.onl
12660	79 20 63 61 72 72 79 20 68 69 67 68 20 70 72 69 6f 72 69 74 79 20 74 72 61 66 66 69 63 2e 20 49	y.carry.high.priority.traffic..I
12680	74 20 69 73 20 61 73 73 75 6d 65 64 20 66 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 74 68	t.is.assumed.for.this.example.th
126a0	61 74 20 65 74 68 31 20 69 73 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 61 20 73 6c 6f 77 65 72	at.eth1.is.connected.to.a.slower
126c0	20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 68 61 6e 20 65 74 68 30 20 61 6e 64 20 73 68 6f 75 6c 64	.connection.than.eth0.and.should
126e0	20 70 72 69 6f 72 69 74 69 7a 65 20 56 6f 49 50 20 74 72 61 66 66 69 63 2e 00 41 20 73 69 6d 70	.prioritize.VoIP.traffic..A.simp
12700	6c 65 20 73 6f 6c 75 74 69 6f 6e 20 63 6f 75 6c 64 20 62 65 20 75 73 69 6e 67 20 64 69 66 66 65	le.solution.could.be.using.diffe
12720	72 65 6e 74 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 2c 20 6f 72 20 56 52 46 73 20 66 6f 72	rent.routing.tables,.or.VRFs.for
12740	20 61 6c 6c 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 20 73 6f 20 77 65 20 63 61 6e 20 6b 65 65 70	.all.the.networks.so.we.can.keep
12760	20 74 68 65 20 72 6f 75 74 69 6e 67 20 72 65 73 74 72 69 63 74 69 6f 6e 73 2e 20 42 75 74 20 66	.the.routing.restrictions..But.f
12780	6f 72 20 75 73 20 74 6f 20 72 6f 75 74 65 20 62 65 74 77 65 65 6e 20 74 68 65 20 64 69 66 66 65	or.us.to.route.between.the.diffe
127a0	72 65 6e 74 20 56 52 46 73 20 77 65 20 77 6f 75 6c 64 20 6e 65 65 64 20 61 20 63 61 62 6c 65 20	rent.VRFs.we.would.need.a.cable.
127c0	6f 72 20 61 20 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20	or.a.logical.connection.between.
127e0	65 61 63 68 20 6f 74 68 65 72 3a 00 41 44 44 52 45 53 53 31 30 20 63 68 61 6e 67 65 20 43 53 30	each.other:.ADDRESS10.change.CS0
12800	20 2d 3e 20 43 53 34 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 32 2f 33 32 00 41 44 44	.->.CS4.source.172.17.1.2/32.ADD
12820	52 45 53 53 32 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 35 20 73 6f 75 72 63 65 20	RESS20.change.CS0.->.CS5.source.
12840	31 37 32 2e 31 37 2e 31 2e 33 2f 33 32 00 41 44 44 52 45 53 53 33 30 20 63 68 61 6e 67 65 20 43	172.17.1.3/32.ADDRESS30.change.C
12860	53 30 20 2d 3e 20 43 53 36 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 34 2f 33 32 00 41	S0.->.CS6.source.172.17.1.4/32.A
12880	63 63 6f 75 6e 74 20 61 74 20 68 74 74 70 73 3a 2f 2f 77 77 77 2e 74 75 6e 6e 65 6c 62 72 6f 6b	ccount.at.https://www.tunnelbrok
128a0	65 72 2e 6e 65 74 2f 00 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 6f 6e 20 57 69 6e 64	er.net/.Active.Directory.on.Wind
128c0	6f 77 73 20 73 65 72 76 65 72 00 41 64 64 20 28 74 65 6d 70 6f 72 61 72 79 29 20 64 65 66 61 75	ows.server.Add.(temporary).defau
128e0	6c 74 20 72 6f 75 74 65 00 41 64 64 20 61 6c 6c 20 74 68 65 20 68 6f 73 74 73 20 6f 66 20 56 79	lt.route.Add.all.the.hosts.of.Vy
12900	4f 53 3a 00 41 64 64 20 67 65 6e 65 72 61 6c 20 76 61 72 69 61 62 6c 65 73 3a 00 41 64 64 20 74	OS:.Add.general.variables:.Add.t
12920	68 65 20 4c 44 41 50 20 70 6c 75 67 69 6e 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 69 6c	he.LDAP.plugin.configuration.fil
12940	65 20 60 2f 63 6f 6e 66 69 67 2f 61 75 74 68 2f 6c 64 61 70 2d 61 75 74 68 2e 63 6f 6e 66 69 67	e.`/config/auth/ldap-auth.config
12960	60 00 41 64 64 20 74 68 65 20 73 69 6d 70 6c 65 20 70 6c 61 79 62 6f 6f 6b 20 77 69 74 68 20 74	`.Add.the.simple.playbook.with.t
12980	68 65 20 74 61 73 6b 73 20 66 6f 72 20 65 61 63 68 20 72 6f 75 74 65 72 3a 00 41 64 64 69 6e 67	he.tasks.for.each.router:.Adding
129a0	20 61 20 72 75 6c 65 20 66 6f 72 20 74 68 65 20 73 65 63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65	.a.rule.for.the.second.interface
129c0	00 41 64 76 65 72 74 69 73 65 20 63 6f 6e 6e 65 63 74 65 64 20 72 6f 75 74 65 73 00 41 66 74 65	.Advertise.connected.routes.Afte
129e0	72 20 61 6c 6c 20 69 73 20 64 6f 6e 65 20 61 6e 64 20 63 6f 6d 6d 69 74 2c 20 6c 65 74 27 73 20	r.all.is.done.and.commit,.let's.
12a00	74 61 6b 65 20 61 20 6c 6f 6f 6b 20 69 66 20 74 68 65 20 57 69 72 65 67 75 61 72 64 20 69 6e 74	take.a.look.if.the.Wireguard.int
12a20	65 72 66 61 63 65 20 69 73 20 75 70 20 61 6e 64 20 72 75 6e 6e 69 6e 67 2e 00 41 66 74 65 72 20	erface.is.up.and.running..After.
12a40	63 6f 6e 66 69 67 75 72 65 64 20 61 6c 6c 20 74 68 65 20 56 52 46 73 20 69 6e 76 6f 6c 76 65 64	configured.all.the.VRFs.involved
12a60	20 69 6e 20 74 68 69 73 20 74 6f 70 6f 6c 6f 67 79 20 77 65 20 74 61 6b 65 20 61 20 64 65 65 70	.in.this.topology.we.take.a.deep
12a80	65 72 20 6c 6f 6f 6b 20 61 74 20 62 6f 74 68 20 42 47 50 20 61 6e 64 20 52 6f 75 74 69 6e 67 20	er.look.at.both.BGP.and.Routing.
12aa0	74 61 62 6c 65 20 66 6f 72 20 74 68 65 20 56 52 46 20 4c 41 4e 31 00 41 66 74 65 72 20 73 6f 6d	table.for.the.VRF.LAN1.After.som
12ac0	65 20 74 65 73 74 69 6e 67 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 69 70 73 65 63 20 73 74	e.testing,.we.can.check.ipsec.st
12ae0	61 74 75 73 2c 20 61 6e 64 20 63 6f 75 6e 74 65 72 20 6f 6e 20 65 76 65 72 79 20 74 75 6e 6e 65	atus,.and.counter.on.every.tunne
12b00	6c 3a 00 41 66 74 65 72 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 30 20 6f 6e 20 72	l:.After.the.interface.eth0.on.r
12b20	6f 75 74 65 72 20 56 79 4f 53 33 00 41 66 74 65 72 20 74 68 69 73 2c 20 77 65 20 6e 65 65 64 20	outer.VyOS3.After.this,.we.need.
12b40	74 68 65 20 44 48 43 50 2d 53 65 72 76 65 72 20 61 6e 64 20 52 65 6c 61 79 20 63 6f 6e 66 69 67	the.DHCP-Server.and.Relay.config
12b60	75 72 61 74 69 6f 6e 2e 20 54 6f 20 67 65 74 20 61 20 74 65 73 74 61 62 6c 65 20 72 65 73 75 6c	uration..To.get.a.testable.resul
12b80	74 2c 20 77 65 20 6a 75 73 74 20 68 61 76 65 20 6f 6e 65 20 49 50 20 69 6e 20 74 68 65 20 44 48	t,.we.just.have.one.IP.in.the.DH
12ba0	43 50 20 72 61 6e 67 65 2e 20 45 78 70 61 6e 64 20 69 74 20 61 73 20 79 6f 75 20 6e 65 65 64 20	CP.range..Expand.it.as.you.need.
12bc0	69 74 2e 00 41 66 74 65 72 20 79 6f 75 20 68 61 76 65 20 65 61 63 68 20 70 75 62 6c 69 63 20 6b	it..After.you.have.each.public.k
12be0	65 79 2e 20 54 68 65 20 77 69 72 65 67 75 61 72 64 20 69 6e 74 65 72 66 61 63 65 73 20 63 61 6e	ey..The.wireguard.interfaces.can
12c00	20 62 65 20 73 65 74 75 70 2e 00 41 6c 6c 20 6f 75 74 67 6f 69 6e 67 20 70 61 63 6b 65 74 73 20	.be.setup..All.outgoing.packets.
12c20	61 72 65 20 61 73 73 69 67 6e 65 64 20 74 68 65 20 73 6f 75 72 63 65 20 61 64 64 72 65 73 73 20	are.assigned.the.source.address.
12c40	6f 66 20 74 68 65 20 61 73 73 69 67 6e 65 64 20 69 6e 74 65 72 66 61 63 65 20 28 53 4e 41 54 29	of.the.assigned.interface.(SNAT)
12c60	2e 00 41 6c 6c 20 74 72 61 66 66 69 63 20 63 6f 6d 69 6e 67 20 69 6e 20 74 68 72 6f 75 67 68 20	..All.traffic.coming.in.through.
12c80	65 74 68 32 20 69 73 20 62 61 6c 61 6e 63 65 64 20 62 65 74 77 65 65 6e 20 65 74 68 30 20 61 6e	eth2.is.balanced.between.eth0.an
12ca0	64 20 65 74 68 31 20 6f 6e 20 74 68 65 20 72 6f 75 74 65 72 2e 00 41 6c 6c 6f 77 20 44 48 43 50	d.eth1.on.the.router..Allow.DHCP
12cc0	76 36 20 70 61 63 6b 65 74 73 20 66 6f 72 20 72 6f 75 74 65 72 00 41 6c 6c 6f 77 20 61 63 63 65	v6.packets.for.router.Allow.acce
12ce0	73 73 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 20 6f 6e 6c 79 20 66 72 6f 6d 20 74 72 75 73 74	ss.to.the.router.only.from.trust
12d00	65 64 20 6e 65 74 77 6f 72 6b 73 2e 00 41 6c 6c 6f 77 20 61 6c 6c 20 65 73 74 61 62 6c 69 73 68	ed.networks..Allow.all.establish
12d20	65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20 74 72 61 66 66 69 63 20 66 6f 72 20 72 6f 75 74 65	ed.and.related.traffic.for.route
12d40	72 20 61 6e 64 20 4c 41 4e 00 41 6c 6c 6f 77 20 61 6c 6c 20 69 63 6d 70 76 36 20 70 61 63 6b 65	r.and.LAN.Allow.all.icmpv6.packe
12d60	74 73 20 66 6f 72 20 72 6f 75 74 65 72 20 61 6e 64 20 4c 41 4e 00 41 6c 6c 6f 77 20 61 6c 6c 20	ts.for.router.and.LAN.Allow.all.
12d80	6e 65 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 66 72 6f 6d 20 6c 6f 63 61 6c 20 73 75 62 6e 65	new.connections.from.local.subne
12da0	74 73 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 66 72 6f 6d 20 4c 41 4e 73 20	ts..Allow.connections.from.LANs.
12dc0	74 6f 20 4c 41 4e 73 20 74 68 72 6f 75 67 68 74 20 74 68 65 20 74 75 6e 6e 65 6c 2e 00 41 6c 6c	to.LANs.throught.the.tunnel..All
12de0	6f 77 20 64 6e 73 20 72 65 71 75 65 73 74 73 20 6f 6e 6c 79 20 6f 6e 6c 79 20 66 6f 72 20 6c 6f	ow.dns.requests.only.only.for.lo
12e00	63 61 6c 20 6e 65 74 77 6f 72 6b 73 2e 00 41 6c 6c 6f 77 20 69 63 6d 70 20 6f 6e 20 61 6c 6c 20	cal.networks..Allow.icmp.on.all.
12e20	69 6e 74 65 72 66 61 63 65 73 2e 00 41 6c 73 6f 20 77 65 20 63 61 6e 20 76 65 72 69 66 79 20 68	interfaces..Also.we.can.verify.h
12e40	6f 77 20 50 45 20 64 65 76 69 63 65 73 20 72 65 63 65 69 76 65 73 20 56 50 4e 76 34 20 6e 65 74	ow.PE.devices.receives.VPNv4.net
12e60	77 6f 72 6b 73 20 66 72 6f 6d 20 74 68 65 20 52 52 73 20 61 6e 64 20 69 6e 73 74 61 6c 6c 69 6e	works.from.the.RRs.and.installin
12e80	67 20 74 68 65 6d 20 74 6f 20 74 68 65 20 73 70 65 63 69 66 69 63 20 63 75 73 74 6f 6d 65 72 20	g.them.to.the.specific.customer.
12ea0	56 52 46 73 3a 00 41 6c 73 6f 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 66 69 72 65 77 61 6c	VRFs:.Also,.we.can.check.firewal
12ec0	6c 20 63 6f 75 6e 74 65 72 73 3a 00 41 6e 20 4c 33 56 50 4e 20 63 6f 6e 73 69 73 74 73 20 6f 66	l.counters:.An.L3VPN.consists.of
12ee0	20 6d 75 6c 74 69 70 6c 65 20 61 63 63 65 73 73 20 6c 69 6e 6b 73 2c 20 6d 75 6c 74 69 70 6c 65	.multiple.access.links,.multiple
12f00	20 56 50 4e 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 66 6f 72 77 61 72 64 69 6e 67 20 28 56 52 46	.VPN.routing.and.forwarding.(VRF
12f20	29 20 74 61 62 6c 65 73 2c 20 61 6e 64 20 6d 75 6c 74 69 70 6c 65 20 4d 50 4c 53 20 70 61 74 68	).tables,.and.multiple.MPLS.path
12f40	73 20 6f 72 20 6d 75 6c 74 69 70 6c 65 20 50 32 4d 50 20 4c 53 50 73 2e 20 41 6e 20 4c 33 56 50	s.or.multiple.P2MP.LSPs..An.L3VP
12f60	4e 20 63 61 6e 20 62 65 20 63 6f 6e 66 69 67 75 72 65 64 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74	N.can.be.configured.to.connect.t
12f80	77 6f 20 6f 72 20 6d 6f 72 65 20 63 75 73 74 6f 6d 65 72 20 73 69 74 65 73 2e 20 49 6e 20 68 75	wo.or.more.customer.sites..In.hu
12fa0	62 2d 61 6e 64 2d 73 70 6f 6b 65 20 4d 50 4c 53 20 4c 33 56 50 4e 20 65 6e 76 69 72 6f 6e 6d 65	b-and-spoke.MPLS.L3VPN.environme
12fc0	6e 74 73 2c 20 74 68 65 20 73 70 6f 6b 65 20 72 6f 75 74 65 72 73 20 6e 65 65 64 20 74 6f 20 68	nts,.the.spoke.routers.need.to.h
12fe0	61 76 65 20 75 6e 69 71 75 65 20 52 6f 75 74 65 20 44 69 73 74 69 6e 67 75 69 73 68 65 72 73 20	ave.unique.Route.Distinguishers.
13000	28 52 44 73 29 2e 20 49 6e 20 6f 72 64 65 72 20 74 6f 20 75 73 65 20 74 68 65 20 68 75 62 20 73	(RDs)..In.order.to.use.the.hub.s
13020	69 74 65 20 61 73 20 61 20 74 72 61 6e 73 69 74 20 70 6f 69 6e 74 20 66 6f 72 20 63 6f 6e 6e 65	ite.as.a.transit.point.for.conne
13040	63 74 69 76 69 74 79 20 69 6e 20 73 75 63 68 20 61 6e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 2c 20	ctivity.in.such.an.environment,.
13060	74 68 65 20 73 70 6f 6b 65 20 73 69 74 65 73 20 65 78 70 6f 72 74 20 74 68 65 69 72 20 72 6f 75	the.spoke.sites.export.their.rou
13080	74 65 73 20 74 6f 20 74 68 65 20 68 75 62 2e 20 53 70 6f 6b 65 73 20 63 61 6e 20 74 61 6c 6b 20	tes.to.the.hub..Spokes.can.talk.
130a0	74 6f 20 68 75 62 73 2c 20 62 75 74 20 6e 65 76 65 72 20 68 61 76 65 20 64 69 72 65 63 74 20 70	to.hubs,.but.never.have.direct.p
130c0	61 74 68 73 20 74 6f 20 6f 74 68 65 72 20 73 70 6f 6b 65 73 2e 20 41 6c 6c 20 74 72 61 66 66 69	aths.to.other.spokes..All.traffi
130e0	63 20 62 65 74 77 65 65 6e 20 73 70 6f 6b 65 73 20 69 73 20 63 6f 6e 74 72 6f 6c 6c 65 64 20 61	c.between.spokes.is.controlled.a
13100	6e 64 20 64 65 6c 69 76 65 72 65 64 20 6f 76 65 72 20 74 68 65 20 68 75 62 20 73 69 74 65 2e 00	nd.delivered.over.the.hub.site..
13120	41 6e 64 20 4e 41 54 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 41 6e 64 20 70 69 6e 67 20	And.NAT.Configuration:.And.ping.
13140	74 68 65 20 42 72 61 6e 63 68 20 50 43 20 66 72 6f 6d 20 79 6f 75 72 20 63 65 6e 74 72 61 6c 20	the.Branch.PC.from.your.central.
13160	72 6f 75 74 65 72 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 72 65 73 70 6f 6e 73 65 2e 00 41 6e	router.to.check.the.response..An
13180	64 20 73 68 6f 77 20 61 6c 6c 20 44 48 43 50 20 4c 65 61 73 65 73 00 41 6e 64 20 74 68 65 20 60	d.show.all.DHCP.Leases.And.the.`
131a0	60 63 6c 69 65 6e 74 60 60 20 74 6f 20 72 65 63 65 69 76 65 20 61 6e 20 49 50 76 36 20 61 64 64	`client``.to.receive.an.IPv6.add
131c0	72 65 73 73 20 77 69 74 68 20 73 74 61 74 65 6c 65 73 73 20 61 75 74 6f 63 6f 6e 66 69 67 2e 00	ress.with.stateless.autoconfig..
131e0	41 6e 73 69 62 6c 65 20 45 78 61 6d 70 6c 65 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 41	Ansible.Example.topology.image.A
13200	6e 73 69 62 6c 65 20 65 78 61 6d 70 6c 65 00 41 6e 79 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 72	nsible.example.Any.information.r
13220	65 6c 61 74 65 64 20 74 6f 20 61 20 56 52 46 20 69 73 20 6e 6f 74 20 65 78 63 68 61 6e 67 65 64	elated.to.a.VRF.is.not.exchanged
13240	20 62 65 74 77 65 65 6e 20 64 65 76 69 63 65 73 20 2d 6f 72 20 69 6e 20 74 68 65 20 73 61 6d 65	.between.devices.-or.in.the.same
13260	20 64 65 76 69 63 65 2d 20 62 79 20 64 65 66 61 75 6c 74 2c 20 74 68 69 73 20 69 73 20 61 20 74	.device-.by.default,.this.is.a.t
13280	65 63 68 6e 69 71 75 65 20 63 61 6c 6c 65 64 20 2a 2a 56 52 46 2d 4c 69 74 65 2a 2a 2e 00 41 70	echnique.called.VRF-Lite..Ap
132a0	70 65 6e 64 69 78 2d 41 00 41 70 70 65 6e 64 69 78 2d 42 00 41 73 20 61 20 72 65 6d 69 6e 64 65	pendix-A.Appendix-B.As.a.reminde
132c0	72 2c 20 6f 6e 6c 79 20 61 64 76 65 72 74 69 73 65 20 72 6f 75 74 65 73 20 74 68 61 74 20 79 6f	r,.only.advertise.routes.that.yo
132e0	75 20 61 72 65 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 20 66 6f 72 2e 20 54 68	u.are.the.default.router.for..Th
13300	69 73 20 69 73 20 77 68 79 20 77 65 20 61 72 65 20 4e 4f 54 20 61 6e 6e 6f 75 6e 63 69 6e 67 20	is.is.why.we.are.NOT.announcing.
13320	74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2c 20 62 65 63 61 75 73	the.192.0.2.0/24.network,.becaus
13340	65 20 69 66 20 74 68 61 74 20 77 61 73 20 61 6e 6e 6f 75 6e 63 65 64 20 69 6e 74 6f 20 4f 53 50	e.if.that.was.announced.into.OSP
13360	46 2c 20 74 68 65 20 6f 74 68 65 72 20 72 6f 75 74 65 72 73 20 77 6f 75 6c 64 20 74 72 79 20 74	F,.the.other.routers.would.try.t
13380	6f 20 63 6f 6e 6e 65 63 74 20 74 6f 20 74 68 61 74 20 6e 65 74 77 6f 72 6b 20 6f 76 65 72 20 61	o.connect.to.that.network.over.a
133a0	20 74 75 6e 6e 65 6c 20 74 68 61 74 20 63 6f 6e 6e 65 63 74 73 20 74 6f 20 74 68 61 74 20 6e 65	.tunnel.that.connects.to.that.ne
133c0	74 77 6f 72 6b 21 00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 65 76 65 6e 20 69 66 20 62 6f 74	twork!.As.we.can.see.even.if.bot
133e0	68 20 56 52 46 20 4c 41 4e 31 20 61 6e 64 20 4c 41 4e 32 20 68 61 73 20 74 68 65 20 73 61 6d 65	h.VRF.LAN1.and.LAN2.has.the.same
13400	20 69 6d 70 6f 72 74 20 52 54 73 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 73 65 6c 65 63	.import.RTs.we.are.able.to.selec
13420	74 20 77 68 69 63 68 20 72 6f 75 74 65 73 20 61 72 65 20 65 66 66 65 63 74 69 76 65 6c 79 20 69	t.which.routes.are.effectively.i
13440	6d 70 6f 72 74 65 64 20 61 6e 64 20 69 6e 73 74 61 6c 6c 65 64 2e 00 41 73 20 77 65 20 63 61 6e	mported.and.installed..As.we.can
13460	20 73 65 65 20 69 6e 20 74 68 65 20 42 47 50 20 74 61 62 6c 65 20 61 6e 79 20 69 6d 70 6f 72 74	.see.in.the.BGP.table.any.import
13480	65 64 20 72 6f 75 74 65 20 68 61 73 20 62 65 65 6e 20 69 6e 6a 65 63 74 65 64 20 77 69 74 68 20	ed.route.has.been.injected.with.
134a0	61 20 22 40 22 20 66 6f 6c 6c 6f 77 65 64 20 62 79 20 74 68 65 20 56 50 4e 20 69 64 3b 20 49 6e	a."@".followed.by.the.VPN.id;.In
134c0	20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6f 66 20 74 68 65 20 56 52 46 2c 20 69	.the.routing.table.of.the.VRF,.i
134e0	66 20 74 68 65 20 72 6f 75 74 65 20 77 61 73 20 69 6e 73 74 61 6c 6c 65 64 2c 20 77 65 20 63 61	f.the.route.was.installed,.we.ca
13500	6e 20 73 65 65 20 2d 62 65 74 77 65 65 6e 20 72 6f 75 6e 64 20 62 72 61 63 6b 65 74 73 2d 20 74	n.see.-between.round.brackets-.t
13520	68 65 20 65 78 70 6f 72 74 65 64 20 56 52 46 20 74 61 62 6c 65 2e 00 41 73 20 77 65 20 63 61 6e	he.exported.VRF.table..As.we.can
13540	20 73 65 65 20 74 68 69 73 20 69 73 20 75 6e 70 72 61 63 74 69 63 61 6c 2e 00 41 73 20 77 65 20	.see.this.is.unpractical..As.we.
13560	6b 6e 6f 77 20 74 68 65 20 6d 61 69 6e 20 61 73 73 75 6d 70 74 69 6f 6e 20 6f 66 20 4c 33 56 50	know.the.main.assumption.of.L3VP
13580	4e 20 e2 80 9c 48 75 62 20 61 6e 64 20 53 70 6f 6b 65 e2 80 9d 20 69 73 2c 20 74 68 61 74 20 74	N....Hub.and.Spoke....is,.that.t
135a0	68 65 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 73 70 6f 6b 65 73 20 68 61 76 65 20 74	he.traffic.between.spokes.have.t
135c0	6f 20 70 61 73 73 20 76 69 61 20 68 75 62 2c 20 69 6e 20 6f 75 72 20 73 63 65 6e 61 72 69 6f 20	o.pass.via.hub,.in.our.scenario.
135e0	56 79 4f 53 2d 50 45 32 20 69 73 20 74 68 65 20 48 75 62 20 50 45 20 61 6e 64 20 74 68 65 20 56	VyOS-PE2.is.the.Hub.PE.and.the.V
13600	79 4f 53 2d 43 45 31 2d 48 55 42 20 69 73 20 74 68 65 20 63 65 6e 74 72 61 6c 20 63 75 73 74 6f	yOS-CE1-HUB.is.the.central.custo
13620	6d 65 72 20 6f 66 66 69 63 65 20 64 65 76 69 63 65 20 74 68 61 74 20 69 73 20 72 65 73 70 6f 6e	mer.office.device.that.is.respon
13640	73 69 62 6c 65 20 66 6f 72 20 63 6f 6e 74 72 6f 6c 6c 69 6e 67 20 61 63 63 65 73 73 20 62 65 74	sible.for.controlling.access.bet
13660	77 65 65 6e 20 61 6c 6c 20 73 70 6f 6b 65 73 20 61 6e 64 20 61 6e 6e 6f 75 6e 63 69 6e 67 20 69	ween.all.spokes.and.announcing.i
13680	74 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 28 31 30 2e 30 2e 30 2e 31 30 30 2f	ts.network.prefixes.(10.0.0.100/
136a0	33 32 29 2e 20 56 79 4f 53 2d 50 45 32 20 68 61 73 20 74 68 65 20 6d 61 69 6e 20 56 52 46 20 28	32)..VyOS-PE2.has.the.main.VRF.(
136c0	69 74 73 20 6e 61 6d 65 20 69 73 20 42 4c 55 45 5f 48 55 42 29 2c 20 69 74 73 20 6f 77 6e 20 52	its.name.is.BLUE_HUB),.its.own.R
136e0	6f 75 74 65 2d 44 69 73 74 69 6e 67 75 69 73 68 65 72 28 52 44 29 20 61 6e 64 20 72 6f 75 74 65	oute-Distinguisher(RD).and.route
13700	2d 74 61 72 67 65 74 20 69 6d 70 6f 72 74 2f 65 78 70 6f 72 74 20 6c 69 73 74 73 2e 20 4d 75 6c	-target.import/export.lists..Mul
13720	74 69 70 72 6f 74 6f 63 6f 6c 2d 42 47 50 28 4d 50 2d 42 47 50 29 20 64 65 6c 69 76 65 72 73 20	tiprotocol-BGP(MP-BGP).delivers.
13740	4c 33 56 50 4e 20 72 65 6c 61 74 65 64 20 63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e 65 20 69 6e 66 6f	L3VPN.related.control-plane.info
13760	72 6d 61 74 69 6f 6e 20 74 6f 20 74 68 65 20 6e 6f 64 65 73 20 61 63 72 6f 73 73 20 6e 65 74 77	rmation.to.the.nodes.across.netw
13780	6f 72 6b 20 77 68 65 72 65 20 50 45 73 20 53 70 6f 6b 65 73 20 69 6d 70 6f 72 74 20 74 68 65 20	ork.where.PEs.Spokes.import.the.
137a0	72 6f 75 74 65 2d 74 61 72 67 65 74 20 36 30 35 33 35 3a 31 30 33 30 20 28 74 68 69 73 20 69 73	route-target.60535:1030.(this.is
137c0	20 65 78 70 6f 72 74 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 6f 66 20 76 72 66 20 42 4c 55 45	.export.route-target.of.vrf.BLUE
137e0	5f 48 55 42 29 20 61 6e 64 20 65 78 70 6f 72 74 20 69 74 73 20 6f 77 6e 20 72 6f 75 74 65 2d 74	_HUB).and.export.its.own.route-t
13800	61 72 67 65 74 20 36 30 35 33 35 3a 31 30 31 31 28 74 68 69 73 20 69 73 20 76 72 66 20 42 4c 55	arget.60535:1011(this.is.vrf.BLU
13820	45 5f 53 50 4f 4b 45 20 65 78 70 6f 72 74 20 72 6f 75 74 65 2d 74 61 72 67 65 74 29 2e 20 54 68	E_SPOKE.export.route-target)..Th
13840	65 72 65 66 6f 72 65 2c 20 74 68 65 20 43 75 73 74 6f 6d 65 72 20 65 64 67 65 20 6e 6f 64 65 73	erefore,.the.Customer.edge.nodes
13860	20 63 61 6e 20 6f 6e 6c 79 20 6c 65 61 72 6e 20 74 68 65 20 6e 65 74 77 6f 72 6b 20 70 72 65 66	.can.only.learn.the.network.pref
13880	69 78 65 73 20 6f 66 20 74 68 65 20 48 55 42 20 73 69 74 65 20 5b 31 30 2e 30 2e 30 2e 31 30 30	ixes.of.the.HUB.site.[10.0.0.100
138a0	2f 33 32 5d 2e 20 46 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 56 79 4f 53 2d 43 45 31 20	/32]..For.this.example.VyOS-CE1.
138c0	68 61 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 5b 31 30 2e 30 2e 30 2e 38 30 2f	has.network.prefixes.[10.0.0.80/
138e0	33 32 5d 20 2f 20 56 79 4f 53 2d 43 45 32 20 68 61 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69	32]./.VyOS-CE2.has.network.prefi
13900	78 65 73 20 5b 31 30 2e 30 2e 30 2e 39 30 2f 33 32 5d 2e 20 52 6f 75 74 65 2d 52 65 66 6c 65 63	xes.[10.0.0.90/32]..Route-Reflec
13920	74 6f 72 20 64 65 76 69 63 65 73 20 56 79 4f 53 2d 52 52 31 20 61 6e 64 20 56 79 4f 53 2d 52 52	tor.devices.VyOS-RR1.and.VyOS-RR
13940	32 20 61 72 65 20 75 73 65 64 20 74 6f 20 73 69 6d 70 6c 69 66 79 20 6e 65 74 77 6f 72 6b 20 72	2.are.used.to.simplify.network.r
13960	6f 75 74 65 73 20 65 78 63 68 61 6e 67 65 20 61 6e 64 20 6d 69 6e 69 6d 69 7a 65 20 69 42 47 50	outes.exchange.and.minimize.iBGP
13980	20 70 65 65 72 69 6e 67 73 20 62 65 74 77 65 65 6e 20 64 65 76 69 63 65 73 2e 00 41 73 20 77 65	.peerings.between.devices..As.we
139a0	20 73 65 65 20 73 68 61 70 65 72 20 69 73 20 77 6f 72 6b 69 6e 67 20 61 6e 64 20 74 68 65 20 74	.see.shaper.is.working.and.the.t
139c0	72 61 66 66 69 63 20 77 69 6c 6c 20 6e 6f 74 20 77 6f 72 6b 20 6f 76 65 72 20 35 20 4d 62 69 74	raffic.will.not.work.over.5.Mbit
139e0	2f 73 2e 00 41 73 73 69 67 6e 20 65 78 74 65 72 6e 61 6c 20 49 50 20 61 64 64 72 65 73 73 65 73	/s..Assign.external.IP.addresses
13a00	00 41 73 73 75 6d 69 6e 67 20 74 68 65 20 70 69 6e 67 73 20 61 72 65 20 73 75 63 63 65 73 73 66	.Assuming.the.pings.are.successf
13a20	75 6c 2c 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 61 64 64 20 73 6f 6d 65 20 44 4e 53 20 73 65 72	ul,.you.need.to.add.some.DNS.ser
13a40	76 65 72 73 2e 20 53 6f 6d 65 20 6f 70 74 69 6f 6e 73 3a 00 41 74 20 74 68 65 20 66 69 72 73 74	vers..Some.options:.At.the.first
13a60	20 73 74 65 70 20 77 65 20 6e 65 65 64 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 49	.step.we.need.to.configure.the.I
13a80	50 2f 4d 50 4c 53 20 62 61 63 6b 62 6f 6e 65 20 6e 65 74 77 6f 72 6b 20 75 73 69 6e 67 20 4f 53	P/MPLS.backbone.network.using.OS
13aa0	50 46 20 61 73 20 49 47 50 20 70 72 6f 74 6f 63 6f 6c 20 61 6e 64 20 4c 44 50 20 61 73 20 6c 61	PF.as.IGP.protocol.and.LDP.as.la
13ac0	62 65 6c 2d 73 77 69 74 63 68 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 66 6f 72 20 74 68 65 20 62	bel-switching.protocol.for.the.b
13ae0	61 73 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 62 65 74 77 65 65 6e 20 2a 2a 50 2a 2a 20 28	ase.connectivity.between.P.(
13b00	72 6f 76 69 64 65 72 29 2c 20 2a 2a 50 2a 2a 20 28 72 6f 76 69 64 65 72 29 20 2a 2a 45 2a 2a 20	rovider),.P.(rovider).E.
13b20	28 64 67 65 29 20 61 6e 64 20 2a 2a 52 2a 2a 20 28 6f 75 74 65 29 20 2a 2a 52 2a 2a 20 28 65 66	(dge).and.R.(oute).R.(ef
13b40	6c 65 63 74 6f 72 29 20 6e 6f 64 65 73 3a 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f	lector).nodes:.At.this.point,.yo
13b60	75 20 6e 6f 77 20 6e 65 65 64 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 58 20 6c 69 6e 6b 20	u.now.need.to.create.the.X.link.
13b80	62 65 74 77 65 65 6e 20 61 6c 6c 20 66 6f 75 72 20 72 6f 75 74 65 72 73 2e 20 55 73 65 20 61 6d	between.all.four.routers..Use.am
13ba0	64 69 66 66 65 72 65 6e 74 20 2f 33 30 20 66 6f 72 20 65 61 63 68 20 6c 69 6e 6b 2e 00 41 74 20	different./30.for.each.link..At.
13bc0	74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74	this.point,.you.should.be.able.t
13be0	6f 20 53 53 48 20 69 6e 74 6f 20 62 6f 74 68 20 6f 66 20 74 68 65 6d 2c 20 61 6e 64 20 77 69 6c	o.SSH.into.both.of.them,.and.wil
13c00	6c 20 6e 6f 20 6c 6f 6e 67 65 72 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 63	l.no.longer.need.access.to.the.c
13c20	6f 6e 73 6f 6c 65 20 28 75 6e 6c 65 73 73 20 79 6f 75 20 62 72 65 61 6b 20 73 6f 6d 65 74 68 69	onsole.(unless.you.break.somethi
13c40	6e 67 21 29 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62	ng!).At.this.point,.you.should.b
13c60	65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 62 6f 74 68 20 49 50 20 61 64 64 72 65 73 73 65 73 20	e.able.to.see.both.IP.addresses.
13c80	77 68 65 6e 20 79 6f 75 20 72 75 6e 20 60 60 73 68 6f 77 20 69 6e 74 65 72 66 61 63 65 73 60 60	when.you.run.``show.interfaces``
13ca0	5c 20 2c 20 61 6e 64 20 60 60 73 68 6f 77 20 76 72 72 70 60 60 20 73 68 6f 75 6c 64 20 73 68 6f	\.,.and.``show.vrrp``.should.sho
13cc0	77 20 62 6f 74 68 20 69 6e 74 65 72 66 61 63 65 73 20 69 6e 20 4d 41 53 54 45 52 20 73 74 61 74	w.both.interfaces.in.MASTER.stat
13ce0	65 20 28 61 6e 64 20 53 4c 41 56 45 20 73 74 61 74 65 20 6f 6e 20 72 6f 75 74 65 72 32 29 2e 00	e.(and.SLAVE.state.on.router2)..
13d00	41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 72 20 56 79 4f 53 20 69 6e 73 74 61 6c 6c	At.this.point,.your.VyOS.install
13d20	20 73 68 6f 75 6c 64 20 68 61 76 65 20 66 75 6c 6c 20 49 50 76 36 2c 20 62 75 74 20 6e 6f 77 20	.should.have.full.IPv6,.but.now.
13d40	79 6f 75 72 20 4c 41 4e 20 64 65 76 69 63 65 73 20 6e 65 65 64 20 61 63 63 65 73 73 2e 00 41 74	your.LAN.devices.need.access..At
13d60	20 74 68 69 73 20 73 74 65 70 20 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 65 6e 61 62 6c	.this.step.we.are.going.to.enabl
13d80	65 20 69 42 47 50 20 70 72 6f 74 6f 63 6f 6c 20 6f 6e 20 4d 50 4c 53 20 6e 6f 64 65 73 20 61 6e	e.iBGP.protocol.on.MPLS.nodes.an
13da0	64 20 52 6f 75 74 65 20 52 65 66 6c 65 63 74 6f 72 73 20 28 74 77 6f 20 72 6f 75 74 65 72 73 20	d.Route.Reflectors.(two.routers.
13dc0	66 6f 72 20 72 65 64 75 6e 64 61 6e 63 79 29 20 74 68 61 74 20 77 69 6c 6c 20 64 65 6c 69 76 65	for.redundancy).that.will.delive
13de0	72 20 49 50 76 34 20 56 50 4e 20 28 4c 33 56 50 4e 29 20 72 6f 75 74 65 73 20 62 65 74 77 65 65	r.IPv4.VPN.(L3VPN).routes.betwee
13e00	6e 20 74 68 65 6d 3a 00 41 7a 75 72 65 20 41 53 4e 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74	n.them:.Azure.ASN.Azure.VNet.Gat
13e20	65 77 61 79 20 31 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65	eway.1.public.IP.Azure.VNet.Gate
13e40	77 61 79 20 32 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77	way.2.public.IP.Azure.VNet.Gatew
13e60	61 79 20 42 47 50 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 70 75 62	ay.BGP.IP.Azure.VNet.Gateway.pub
13e80	6c 69 63 20 49 50 00 41 7a 75 72 65 20 61 64 64 72 65 73 73 20 73 70 61 63 65 00 42 47 50 00 42	lic.IP.Azure.address.space.BGP.B
13ea0	47 50 20 49 50 76 36 20 75 6e 6e 75 6d 62 65 72 65 64 20 77 69 74 68 20 65 78 74 65 6e 64 65 64	GP.IPv6.unnumbered.with.extended
13ec0	20 6e 65 78 74 68 6f 70 00 42 47 50 20 69 73 20 61 6e 20 65 78 74 72 65 6d 65 6c 79 20 63 6f 6d	.nexthop.BGP.is.an.extremely.com
13ee0	70 6c 65 78 20 6e 65 74 77 6f 72 6b 20 70 72 6f 74 6f 63 6f 6c 2e 20 41 6e 20 65 78 61 6d 70 6c	plex.network.protocol..An.exampl
13f00	65 20 69 73 20 70 72 6f 76 69 64 65 64 20 68 65 72 65 2e 00 42 4c 55 45 5f 48 55 42 00 42 4c 55	e.is.provided.here..BLUE_HUB.BLU
13f20	45 5f 53 50 4f 4b 45 00 42 61 73 65 64 20 6f 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78	E_SPOKE.Based.on.the.previous.ex
13f40	61 6d 70 6c 65 2c 20 61 6e 6f 74 68 65 72 20 72 75 6c 65 20 66 6f 72 20 74 72 61 66 66 69 63 20	ample,.another.rule.for.traffic.
13f60	66 72 6f 6d 20 74 68 65 20 73 65 63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 33 20 63	from.the.second.interface.eth3.c
13f80	61 6e 20 62 65 20 61 64 64 65 64 20 74 6f 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72	an.be.added.to.the.load.balancer
13fa0	2e 20 48 6f 77 65 76 65 72 2c 20 74 72 61 66 66 69 63 20 6d 65 61 6e 74 20 74 6f 20 66 6c 6f 77	..However,.traffic.meant.to.flow
13fc0	20 62 65 74 77 65 65 6e 20 74 68 65 20 4c 41 4e 20 73 75 62 6e 65 74 73 20 77 69 6c 6c 20 62 65	.between.the.LAN.subnets.will.be
13fe0	20 73 65 6e 74 20 74 6f 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 61 73 20 77 65 6c 6c 2e 20	.sent.to.eth0.and.eth1.as.well..
14000	54 6f 20 70 72 65 76 65 6e 74 20 74 68 69 73 2c 20 61 6e 6f 74 68 65 72 20 72 75 6c 65 20 69 73	To.prevent.this,.another.rule.is
14020	20 72 65 71 75 69 72 65 64 2e 20 54 68 69 73 20 72 75 6c 65 20 65 78 63 6c 75 64 65 73 20 74 72	.required..This.rule.excludes.tr
14040	61 66 66 69 63 20 62 65 74 77 65 65 6e 20 74 68 65 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20	affic.between.the.local.subnets.
14060	66 72 6f 6d 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 2e 20 49 74 20 61 6c 73 6f 20	from.the.load.balancer..It.also.
14080	65 78 63 6c 75 64 65 73 20 6c 6f 63 61 6c 6c 79 2d 73 6f 75 72 63 65 73 20 70 61 63 6b 65 74 73	excludes.locally-sources.packets
140a0	20 28 72 65 71 75 69 72 65 64 20 66 6f 72 20 77 65 62 20 63 61 63 68 69 6e 67 20 77 69 74 68 20	.(required.for.web.caching.with.
140c0	6c 6f 61 64 20 62 61 6c 61 6e 63 69 6e 67 29 2e 20 65 74 68 2b 20 69 73 20 75 73 65 64 20 61 73	load.balancing)..eth+.is.used.as
140e0	20 61 6e 20 61 6c 69 61 73 20 74 68 61 74 20 72 65 66 65 72 73 20 74 6f 20 61 6c 6c 20 65 74 68	.an.alias.that.refers.to.all.eth
14100	65 72 6e 65 74 20 69 6e 74 65 72 66 61 63 65 73 3a 00 42 61 73 69 63 20 46 69 72 65 77 61 6c 6c	ernet.interfaces:.Basic.Firewall
14120	00 42 61 73 69 63 20 53 65 74 75 70 20 28 76 69 61 20 63 6f 6e 73 6f 6c 65 29 00 42 61 73 69 6b	.Basic.Setup.(via.console).Basik
14140	20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 61 6e 73 69 62 6c 65 2e 63 66	.configuration.of.the.ansible.cf
14160	67 3a 00 42 65 66 6f 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 30 20 6f 6e 20	g:.Before.the.interface.eth0.on.
14180	72 6f 75 74 65 72 20 56 79 4f 53 33 00 42 6f 6e 64 69 6e 67 20 6f 6e 20 48 61 72 64 77 61 72 65	router.VyOS3.Bonding.on.Hardware
141a0	20 52 6f 75 74 65 72 00 42 6f 74 68 20 4c 41 4e 73 20 68 61 76 65 20 74 6f 20 62 65 20 61 62 6c	.Router.Both.LANs.have.to.be.abl
141c0	65 20 74 6f 20 72 6f 75 74 65 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 2c 20 62	e.to.route.between.each.other,.b
141e0	6f 74 68 20 77 69 6c 6c 20 68 61 76 65 20 6d 61 6e 61 67 65 64 20 64 65 76 69 63 65 73 20 74 68	oth.will.have.managed.devices.th
14200	72 6f 75 67 68 20 61 20 64 65 64 69 63 61 74 65 64 20 6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74	rough.a.dedicated.management.net
14220	77 6f 72 6b 20 61 6e 64 20 62 6f 74 68 20 77 69 6c 6c 20 6e 65 65 64 20 49 6e 74 65 72 6e 65 74	work.and.both.will.need.Internet
14240	20 61 63 63 65 73 73 20 79 65 74 20 74 68 65 20 4c 41 4e 32 20 77 69 6c 6c 20 6e 65 65 64 20 61	.access.yet.the.LAN2.will.need.a
14260	63 63 65 73 73 20 74 6f 20 73 6f 6d 65 20 73 65 74 20 6f 66 20 6f 75 74 73 69 64 65 20 6e 65 74	ccess.to.some.set.of.outside.net
14280	77 6f 72 6b 73 2c 20 6e 6f 74 20 61 6c 6c 2e 20 54 68 65 20 6d 61 6e 61 67 65 6d 65 6e 74 20 6e	works,.not.all..The.management.n
142a0	65 74 77 6f 72 6b 20 77 69 6c 6c 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 62 6f 74 68 20	etwork.will.need.access.to.both.
142c0	4c 41 4e 73 20 62 75 74 20 63 61 6e 6e 6f 74 20 68 61 76 65 20 61 63 63 65 73 73 20 74 6f 2f 66	LANs.but.cannot.have.access.to/f
142e0	72 6f 6d 20 74 68 65 20 6f 75 74 73 69 64 65 2e 00 42 72 61 6e 63 68 00 42 79 20 64 65 66 61 75	rom.the.outside..Branch.By.defau
14300	6c 74 2c 20 69 70 74 61 62 6c 65 73 20 64 6f 65 73 20 6e 6f 74 20 61 6c 6c 6f 77 20 74 72 61 66	lt,.iptables.does.not.allow.traf
14320	66 69 63 20 66 6f 72 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 65 73 73 69 6f 6e 73 20 74 6f 20	fic.for.established.sessions.to.
14340	72 65 74 75 72 6e 2c 20 73 6f 20 79 6f 75 20 6d 75 73 74 20 65 78 70 6c 69 63 69 74 6c 79 20 61	return,.so.you.must.explicitly.a
14360	6c 6c 6f 77 20 74 68 69 73 2e 20 49 20 64 6f 20 74 68 69 73 20 62 79 20 61 64 64 69 6e 67 20 74	llow.this..I.do.this.by.adding.t
14380	77 6f 20 72 75 6c 65 73 20 74 6f 20 65 76 65 72 79 20 72 75 6c 65 73 65 74 2e 20 31 20 61 6c 6c	wo.rules.to.every.ruleset..1.all
143a0	6f 77 73 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20 73 74 61 74	ows.established.and.related.stat
143c0	65 20 70 61 63 6b 65 74 73 20 74 68 72 6f 75 67 68 20 61 6e 64 20 72 75 6c 65 20 32 20 64 72 6f	e.packets.through.and.rule.2.dro
143e0	70 73 20 61 6e 64 20 6c 6f 67 73 20 69 6e 76 61 6c 69 64 20 73 74 61 74 65 20 70 61 63 6b 65 74	ps.and.logs.invalid.state.packet
14400	73 2e 20 57 65 20 70 6c 61 63 65 20 74 68 65 20 65 73 74 61 62 6c 69 73 68 65 64 2f 72 65 6c 61	s..We.place.the.established/rela
14420	74 65 64 20 72 75 6c 65 20 61 74 20 74 68 65 20 74 6f 70 20 62 65 63 61 75 73 65 20 74 68 65 20	ted.rule.at.the.top.because.the.
14440	76 61 73 74 20 6d 61 6a 6f 72 69 74 79 20 6f 66 20 74 72 61 66 66 69 63 20 6f 6e 20 61 20 6e 65	vast.majority.of.traffic.on.a.ne
14460	74 77 6f 72 6b 20 69 73 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 74 68 65 20 69 6e 76	twork.is.established.and.the.inv
14480	61 6c 69 64 20 72 75 6c 65 20 74 6f 20 70 72 65 76 65 6e 74 20 69 6e 76 61 6c 69 64 20 73 74 61	alid.rule.to.prevent.invalid.sta
144a0	74 65 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 6d 69 73 74 61 6b 65 6e 6c 79 20 62 65 69 6e 67	te.packets.from.mistakenly.being
144c0	20 6d 61 74 63 68 65 64 20 61 67 61 69 6e 73 74 20 6f 74 68 65 72 20 72 75 6c 65 73 2e 20 48 61	.matched.against.other.rules..Ha
144e0	76 69 6e 67 20 74 68 65 20 6d 6f 73 74 20 6d 61 74 63 68 65 64 20 72 75 6c 65 20 6c 69 73 74 65	ving.the.most.matched.rule.liste
14500	64 20 66 69 72 73 74 20 72 65 64 75 63 65 73 20 43 50 55 20 6c 6f 61 64 20 69 6e 20 68 69 67 68	d.first.reduces.CPU.load.in.high
14520	20 76 6f 6c 75 6d 65 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 73 2e 20 4e 6f 74 65 3a 20 49 20 68 61	.volume.environments..Note:.I.ha
14540	76 65 20 66 69 6c 65 64 20 61 20 62 75 67 20 74 6f 20 68 61 76 65 20 74 68 69 73 20 61 64 64 65	ve.filed.a.bug.to.have.this.adde
14560	64 20 61 73 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 61 73 20 77 65 6c 6c 2e 00 43	d.as.a.default.action.as.well..C
14580	45 20 48 75 62 20 64 65 76 69 63 65 00 43 53 34 20 2d 3e 20 43 53 35 00 43 65 6e 74 72 61 6c 00	E.Hub.device.CS4.->.CS5.Central.
145a0	43 68 65 63 6b 20 61 6c 6c 20 70 6f 73 73 69 62 6c 65 20 73 65 74 74 69 6e 67 73 20 60 68 65 72	Check.all.possible.settings.`her
145c0	65 20 3c 68 74 74 70 73 3a 2f 2f 67 69 74 68 75 62 2e 63 6f 6d 2f 74 68 72 65 65 72 69 6e 67 73	e.<https://github.com/threerings
145e0	2f 6f 70 65 6e 76 70 6e 2d 61 75 74 68 2d 6c 64 61 70 2f 62 6c 6f 62 2f 6d 61 73 74 65 72 2f 61	/openvpn-auth-ldap/blob/master/a
14600	75 74 68 2d 6c 64 61 70 2e 63 6f 6e 66 3e 60 5f 00 43 68 65 63 6b 20 74 68 65 20 42 47 50 20 56	uth-ldap.conf>`_.Check.the.BGP.V
14620	52 46 20 74 61 62 6c 65 20 61 6e 64 20 76 65 72 69 66 79 20 69 66 20 74 68 65 20 73 74 61 74 69	RF.table.and.verify.if.the.stati
14640	63 20 72 6f 75 74 65 73 20 61 72 65 20 69 6e 6a 65 63 74 65 64 20 73 68 6f 77 69 6e 67 20 74 68	c.routes.are.injected.showing.th
14660	65 20 63 6f 72 72 65 63 74 20 6e 65 78 74 2d 68 6f 70 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00	e.correct.next-hop.information..
14680	43 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 00 43 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c	Check.the.result.Check.the.resul
146a0	74 20 6f 6e 20 74 68 65 20 76 79 6f 73 31 30 20 72 6f 75 74 65 72 3a 00 43 68 65 63 6b 20 74 68	t.on.the.vyos10.router:.Check.th
146c0	65 20 72 65 73 75 6c 74 2e 00 43 68 65 63 6b 20 74 68 65 20 76 65 72 73 69 6f 6e 3a 00 43 68 65	e.result..Check.the.version:.Che
146e0	63 6b 69 6e 67 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6f 66 20 74 68 65 20 56	cking.the.routing.table.of.the.V
14700	52 46 20 73 68 6f 75 6c 64 20 72 65 76 65 61 6c 20 62 6f 74 68 20 73 74 61 74 69 63 20 61 6e 64	RF.should.reveal.both.static.and
14720	20 63 6f 6e 6e 65 63 74 65 64 20 65 6e 74 72 69 65 73 20 61 63 74 69 76 65 2e 20 41 20 50 49 4e	.connected.entries.active..A.PIN
14740	47 20 74 65 73 74 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 61 6e 64 20 72 65 6d 6f	G.test.between.the.Core.and.remo
14760	74 65 20 72 6f 75 74 65 72 20 69 73 20 61 20 77 61 79 20 74 6f 20 76 61 6c 69 64 61 74 65 20 63	te.router.is.a.way.to.validate.c
14780	6f 6e 6e 65 63 74 69 76 69 74 79 20 77 69 74 68 69 6e 20 74 68 65 20 56 52 46 2e 00 43 68 65 63	onnectivity.within.the.VRF..Chec
147a0	6b 69 6e 67 20 74 68 72 6f 75 67 68 20 6f 70 2d 6d 6f 64 65 20 63 6f 6d 6d 61 6e 64 73 00 43 69	king.through.op-mode.commands.Ci
147c0	73 63 6f 00 43 69 73 63 6f 20 56 50 43 20 43 72 6f 73 73 63 6f 6e 6e 65 63 74 20 2d 20 50 6f 72	sco.Cisco.VPC.Crossconnect.-.Por
147e0	74 73 20 33 39 20 61 6e 64 20 34 30 20 62 6f 6e 64 65 64 20 62 65 74 77 65 65 6e 20 65 61 63 68	ts.39.and.40.bonded.between.each
14800	20 73 77 69 74 63 68 00 43 6c 61 6d 70 20 74 68 65 20 56 54 49 27 73 20 4d 53 53 20 74 6f 20 31	.switch.Clamp.the.VTI's.MSS.to.1
14820	33 35 30 20 74 6f 20 61 76 6f 69 64 20 50 4d 54 55 20 62 6c 61 63 6b 68 6f 6c 65 73 2e 00 43 6c	350.to.avoid.PMTU.blackholes..Cl
14840	69 65 6e 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e	ient.configuration.Communication
14860	20 62 65 74 77 65 65 6e 20 70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20 73 68 6f 75 6c 64 20	.between.private.subnets.should.
14880	62 65 20 64 6f 6e 65 20 74 68 72 6f 75 67 68 20 69 70 73 65 63 20 74 75 6e 6e 65 6c 20 77 69 74	be.done.through.ipsec.tunnel.wit
148a0	68 6f 75 74 20 6e 61 74 2e 00 43 6f 6e 63 6c 75 73 69 6f 6e 73 00 43 6f 6e 66 69 67 75 72 61 74	hout.nat..Conclusions.Configurat
148c0	69 6f 6e 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27 4e 4d 50 27 00 43 6f 6e 66 69 67 75 72	ion.Configuration.'NMP'.Configur
148e0	61 74 69 6f 6e 20 27 56 79 4f 53 27 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27 64 63 73 70	ation.'VyOS'.Configuration.'dcsp
14900	27 20 61 6e 64 20 73 68 61 70 65 72 20 75 73 69 6e 67 20 51 6f 53 00 43 6f 6e 66 69 67 75 72 61	'.and.shaper.using.QoS.Configura
14920	74 69 6f 6e 20 42 6c 75 65 70 72 69 6e 74 73 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 42 6c	tion.Blueprints.Configuration.Bl
14940	75 65 70 72 69 6e 74 73 20 28 61 75 74 6f 74 65 73 74 29 00 43 6f 6e 66 69 67 75 72 61 74 69 6f	ueprints.(autotest).Configuratio
14960	6e 20 56 79 4f 53 20 61 73 20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 00 43 6f 6e 66 69 67 75	n.VyOS.as.OpenVPN.Server.Configu
14980	72 61 74 69 6f 6e 20 6f 66 20 62 61 73 69 63 20 66 69 72 65 77 61 6c 6c 20 69 6e 20 6f 6e 65 20	ration.of.basic.firewall.in.one.
149a0	73 69 74 65 2c 20 69 6e 20 6f 72 64 65 72 20 74 6f 3a 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e	site,.in.order.to:.Configuration
149c0	3a 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 00 43 6f 6e 66 69 67 75 72 65 20 57 69 72 65 67	:.Configurations.Configure.Wireg
149e0	75 61 72 64 00 43 6f 6e 66 69 67 75 72 65 20 61 20 56 54 49 20 77 69 74 68 20 61 20 64 75 6d 6d	uard.Configure.a.VTI.with.a.dumm
14a00	79 20 49 50 20 61 64 64 72 65 73 73 00 43 6f 6e 66 69 67 75 72 65 20 63 6f 6e 6e 74 72 61 63 6b	y.IP.address.Configure.conntrack
14a20	2d 73 79 6e 63 20 61 6e 64 20 65 6e 61 62 6c 65 20 68 65 6c 70 65 72 73 00 43 6f 6e 66 69 67 75	-sync.and.enable.helpers.Configu
14a40	72 65 20 74 68 65 20 49 4b 45 20 61 6e 64 20 45 53 50 20 73 65 74 74 69 6e 67 73 20 74 6f 20 6d	re.the.IKE.and.ESP.settings.to.m
14a60	61 74 63 68 20 61 20 73 75 62 73 65 74 20 6f 66 20 74 68 6f 73 65 20 73 75 70 70 6f 72 74 65 64	atch.a.subset.of.those.supported
14a80	20 62 79 20 41 7a 75 72 65 3a 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 56 50 4e 20 74 75 6e	.by.Azure:.Configure.the.VPN.tun
14aa0	6e 65 6c 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 56 50 4e 20 74 75 6e 6e 65 6c 73 00 43 6f	nel.Configure.the.VPN.tunnels.Co
14ac0	6e 66 69 67 75 72 65 20 74 68 65 20 57 41 4e 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 20 77 69	nfigure.the.WAN.load.balancer.wi
14ae0	74 68 20 74 68 65 20 70 61 72 61 6d 65 74 65 72 73 20 64 65 73 63 72 69 62 65 64 20 61 62 6f 76	th.the.parameters.described.abov
14b00	65 3a 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 00 43	e:.Configure.the.load.balancer.C
14b20	6f 6e 66 69 67 75 72 65 20 74 77 6f 20 56 54 49 73 20 77 69 74 68 20 61 20 64 75 6d 6d 79 20 49	onfigure.two.VTIs.with.a.dummy.I
14b40	50 20 61 64 64 72 65 73 73 20 65 61 63 68 00 43 6f 6e 66 69 67 75 72 65 20 79 6f 75 72 20 42 47	P.address.each.Configure.your.BG
14b60	50 20 73 65 74 74 69 6e 67 73 00 43 6f 6e 6e 74 72 61 63 6b 20 68 65 6c 70 65 72 20 6d 6f 64 75	P.settings.Conntrack.helper.modu
14b80	6c 65 73 20 61 72 65 20 65 6e 61 62 6c 65 64 20 62 79 20 64 65 66 61 75 6c 74 2c 20 62 75 74 20	les.are.enabled.by.default,.but.
14ba0	74 68 65 79 20 74 65 6e 64 20 74 6f 20 63 61 75 73 65 20 6d 6f 72 65 20 70 72 6f 62 6c 65 6d 73	they.tend.to.cause.more.problems
14bc0	20 74 68 61 6e 20 74 68 65 79 27 72 65 20 77 6f 72 74 68 20 69 6e 20 63 6f 6d 70 6c 65 78 20 6e	.than.they're.worth.in.complex.n
14be0	65 74 77 6f 72 6b 73 2e 20 59 6f 75 20 63 61 6e 20 64 69 73 61 62 6c 65 20 61 6c 6c 20 6f 66 20	etworks..You.can.disable.all.of.
14c00	74 68 65 6d 20 61 74 20 6f 6e 65 20 67 6f 2e 00 43 6f 6e 73 69 64 65 72 20 68 6f 77 20 74 6f 20	them.at.one.go..Consider.how.to.
14c20	71 75 69 63 6b 6c 79 20 73 65 74 20 75 70 20 4e 4d 50 20 61 6e 64 20 56 79 4f 53 20 66 6f 72 20	quickly.set.up.NMP.and.VyOS.for.
14c40	6d 6f 6e 69 74 6f 72 69 6e 67 2e 20 4e 4d 50 20 69 73 20 6d 75 6c 74 69 2d 76 65 6e 64 6f 72 20	monitoring..NMP.is.multi-vendor.
14c60	6e 65 74 77 6f 72 6b 20 6d 6f 6e 69 74 6f 72 69 6e 67 20 66 72 6f 6d 20 27 53 6f 6c 61 72 57 69	network.monitoring.from.'SolarWi
14c80	6e 64 73 27 20 62 75 69 6c 74 20 74 6f 20 73 63 61 6c 65 20 61 6e 64 20 65 78 70 61 6e 64 20 77	nds'.built.to.scale.and.expand.w
14ca0	69 74 68 20 74 68 65 20 6e 65 65 64 73 20 6f 66 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 2e 00 43	ith.the.needs.of.your.network..C
14cc0	6f 72 65 00 43 6f 72 65 20 52 6f 75 74 65 72 00 43 6f 72 65 20 6e 65 74 77 6f 72 6b 00 43 72 65	ore.Core.Router.Core.network.Cre
14ce0	61 74 65 20 45 78 70 6f 72 74 20 46 69 6c 74 65 72 00 43 72 65 61 74 65 20 49 6d 70 6f 72 74 20	ate.Export.Filter.Create.Import.
14d00	46 69 6c 74 65 72 00 43 72 65 61 74 65 20 56 52 52 50 20 73 79 6e 63 2d 67 72 6f 75 70 00 43 72	Filter.Create.VRRP.sync-group.Cr
14d20	65 61 74 65 20 61 20 4c 41 43 50 20 62 6f 6e 64 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65	eate.a.LACP.bond.on.the.hardware
14d40	20 72 6f 75 74 65 72 2e 20 57 65 20 61 72 65 20 61 73 73 75 6d 69 6e 67 20 74 68 61 74 20 65 74	.router..We.are.assuming.that.et
14d60	68 30 20 61 6e 64 20 65 74 68 31 20 61 72 65 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 70 6f 72	h0.and.eth1.are.connected.to.por
14d80	74 20 38 20 6f 6e 20 62 6f 74 68 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 74 68 61 74 20 74	t.8.on.both.switches,.and.that.t
14da0	68 6f 73 65 20 70 6f 72 74 73 20 61 72 65 20 63 6f 6e 66 69 67 75 72 65 64 20 61 73 20 61 20 50	hose.ports.are.configured.as.a.P
14dc0	6f 72 74 2d 43 68 61 6e 6e 65 6c 2e 00 43 72 65 61 74 65 20 61 6e 20 27 41 6c 6c 20 56 4c 41 4e	ort-Channel..Create.an.'All.VLAN
14de0	73 27 20 6e 65 74 77 6f 72 6b 20 67 72 6f 75 70 2c 20 74 68 61 74 20 70 61 73 73 65 73 20 61 6c	s'.network.group,.that.passes.al
14e00	6c 20 74 72 75 6e 6b 65 64 20 74 72 61 66 66 69 63 20 74 68 72 6f 75 67 68 20 74 6f 20 74 68 65	l.trunked.traffic.through.to.the
14e20	20 56 4d 2e 20 41 74 74 61 63 68 20 74 68 69 73 20 6e 65 74 77 6f 72 6b 20 67 72 6f 75 70 20 74	.VM..Attach.this.network.group.t
14e40	6f 20 72 6f 75 74 65 72 31 20 61 73 20 65 74 68 30 2e 00 43 72 65 61 74 65 20 69 6e 74 65 72 66	o.router1.as.eth0..Create.interf
14e60	61 63 65 20 77 65 69 67 68 74 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43	ace.weight.based.configuration.C
14e80	72 65 61 74 65 20 72 75 6c 65 20 6f 72 64 65 72 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61	reate.rule.order.based.configura
14ea0	74 69 6f 6e 00 43 72 65 61 74 65 20 72 75 6c 65 20 6f 72 64 65 72 20 62 61 73 65 64 20 63 6f 6e	tion.Create.rule.order.based.con
14ec0	66 69 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 6c 6f 77 20 73 70 65 65 64 20 73 65 63 6f 6e 64	figuration.with.low.speed.second
14ee0	61 72 79 20 6c 69 6e 6b 00 43 72 65 61 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 68	ary.link.Create.static.routes.th
14f00	72 6f 75 67 68 20 74 68 65 20 74 77 6f 20 49 53 50 73 20 74 6f 77 61 72 64 73 20 74 68 65 20 70	rough.the.two.ISPs.towards.the.p
14f20	69 6e 67 20 74 61 72 67 65 74 73 20 61 6e 64 20 63 6f 6d 6d 69 74 20 74 68 65 20 63 68 61 6e 67	ing.targets.and.commit.the.chang
14f40	65 73 3a 00 43 72 65 61 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 6f 20 70 69 6e 67	es:.Create.static.routes.to.ping
14f60	20 74 61 72 67 65 74 73 00 43 72 65 61 74 65 20 79 6f 75 72 20 72 6f 75 74 65 72 31 20 56 4d 2e	.targets.Create.your.router1.VM.
14f80	20 53 6f 20 69 74 20 63 61 6e 20 77 69 74 68 73 74 61 6e 64 20 61 20 56 4d 20 48 6f 73 74 20 66	.So.it.can.withstand.a.VM.Host.f
14fa0	61 69 6c 69 6e 67 20 6f 72 20 61 20 6e 65 74 77 6f 72 6b 20 6c 69 6e 6b 20 66 61 69 6c 69 6e 67	ailing.or.a.network.link.failing
14fc0	2e 20 55 73 69 6e 67 20 56 4d 77 61 72 65 2c 20 74 68 69 73 20 69 73 20 61 63 68 69 65 76 65 64	..Using.VMware,.this.is.achieved
14fe0	20 62 79 20 65 6e 61 62 6c 69 6e 67 20 76 53 70 68 65 72 65 20 44 52 53 2c 20 76 53 70 68 65 72	.by.enabling.vSphere.DRS,.vSpher
15000	65 20 41 76 61 69 6c 61 62 69 6c 69 74 79 2c 20 61 6e 64 20 63 72 65 61 74 69 6e 67 20 61 20 44	e.Availability,.and.creating.a.D
15020	69 73 74 72 69 62 75 74 65 64 20 50 6f 72 74 20 47 72 6f 75 70 20 74 68 61 74 20 75 73 65 73 20	istributed.Port.Group.that.uses.
15040	4c 41 43 50 2e 00 44 48 43 50 20 52 65 6c 61 79 20 74 72 6f 75 67 68 20 47 52 45 2d 42 72 69 64	LACP..DHCP.Relay.trough.GRE-Brid
15060	67 65 00 44 48 43 50 2d 52 65 6c 61 79 00 44 48 43 50 2d 53 65 72 76 65 72 00 44 48 43 50 76 36	ge.DHCP-Relay.DHCP-Server.DHCPv6
15080	2d 50 44 20 53 65 74 75 70 00 44 4d 5a 20 63 61 6e 6e 6f 74 20 61 63 63 65 73 73 20 4c 41 4e 20	-PD.Setup.DMZ.cannot.access.LAN.
150a0	72 65 73 6f 75 72 63 65 73 2e 00 44 4d 5a 2d 4c 41 4e 20 70 6f 6c 69 63 79 20 69 73 20 4c 41 4e	resources..DMZ-LAN.policy.is.LAN
150c0	2d 44 4d 5a 2e 20 59 6f 75 20 63 61 6e 20 67 65 74 20 61 20 72 68 79 74 68 6d 20 74 6f 20 69 74	-DMZ..You.can.get.a.rhythm.to.it
150e0	20 77 68 65 6e 20 79 6f 75 20 62 75 69 6c 64 20 6f 75 74 20 61 20 62 75 6e 63 68 20 61 74 20 6f	.when.you.build.out.a.bunch.at.o
15100	6e 65 20 74 69 6d 65 2e 00 44 65 73 69 67 6e 00 44 65 76 69 63 65 2d 41 00 44 65 76 69 63 65 2d	ne.time..Design.Device-A.Device-
15120	42 00 44 75 70 6c 69 63 61 74 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 44 75 72 69 6e 67	B.Duplicate.configuration.During
15140	20 61 64 64 72 65 73 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2c 20 69 6e 20 61 64 64 69 74	.address.configuration,.in.addit
15160	69 6f 6e 20 74 6f 20 61 73 73 69 67 6e 69 6e 67 20 61 6e 20 61 64 64 72 65 73 73 20 74 6f 20 74	ion.to.assigning.an.address.to.t
15180	68 65 20 57 41 4e 20 69 6e 74 65 72 66 61 63 65 2c 20 49 53 50 20 61 6c 73 6f 20 70 72 6f 76 69	he.WAN.interface,.ISP.also.provi
151a0	64 65 73 20 61 20 70 72 65 66 69 78 20 74 6f 20 61 6c 6c 6f 77 20 74 68 65 20 72 6f 75 74 65 72	des.a.prefix.to.allow.the.router
151c0	20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 64 64 72 65 73 73 65 73 20 6f 66 20 4c 41 4e 20 69	.to.configure.addresses.of.LAN.i
151e0	6e 74 65 72 66 61 63 65 20 61 6e 64 20 6f 74 68 65 72 20 6e 6f 64 65 73 20 63 6f 6e 6e 65 63 74	nterface.and.other.nodes.connect
15200	69 6e 67 20 74 6f 20 4c 41 4e 2c 20 77 68 69 63 68 20 69 73 20 63 61 6c 6c 65 64 20 70 72 65 66	ing.to.LAN,.which.is.called.pref
15220	69 78 20 64 65 6c 65 67 61 74 69 6f 6e 20 28 50 44 29 2e 00 44 79 6e 61 6d 69 63 20 72 6f 75 74	ix.delegation.(PD)..Dynamic.rout
15240	69 6e 67 20 75 73 65 64 20 62 65 74 77 65 65 6e 20 43 45 20 61 6e 64 20 50 45 20 6e 6f 64 65 73	ing.used.between.CE.and.PE.nodes
15260	20 61 6e 64 20 65 42 47 50 20 70 65 65 72 69 6e 67 20 65 73 74 61 62 6c 69 73 68 65 64 20 66 6f	.and.eBGP.peering.established.fo
15280	72 20 74 68 65 20 72 6f 75 74 65 20 65 78 63 68 61 6e 67 69 6e 67 20 62 65 74 77 65 65 6e 20 74	r.the.route.exchanging.between.t
152a0	68 65 6d 2e 20 41 6c 6c 20 72 6f 75 74 65 73 20 72 65 63 65 69 76 65 64 20 62 79 20 50 45 73 20	hem..All.routes.received.by.PEs.
152c0	61 72 65 20 74 68 65 6e 20 65 78 70 6f 72 74 65 64 20 74 6f 20 4c 33 56 50 4e 20 61 6e 64 20 64	are.then.exported.to.L3VPN.and.d
152e0	65 6c 69 76 65 72 65 64 20 66 72 6f 6d 20 53 70 6f 6b 65 20 73 69 74 65 73 20 74 6f 20 48 75 62	elivered.from.Spoke.sites.to.Hub
15300	20 61 6e 64 20 76 69 73 65 2d 76 65 72 73 61 20 62 61 73 65 64 20 6f 6e 20 70 72 65 76 69 6f 75	.and.vise-versa.based.on.previou
15320	73 6c 79 20 63 6f 6e 66 69 67 75 72 65 64 20 4c 33 56 50 4e 20 70 61 72 61 6d 65 74 65 72 73 2e	sly.configured.L3VPN.parameters.
15340	00 45 61 63 68 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 20 74 6f 20 61	.Each.interface.is.assigned.to.a
15360	20 7a 6f 6e 65 2e 20 54 68 65 20 69 6e 74 65 72 66 61 63 65 20 63 61 6e 20 62 65 20 70 68 79 73	.zone..The.interface.can.be.phys
15380	69 63 61 6c 20 6f 72 20 76 69 72 74 75 61 6c 20 73 75 63 68 20 61 73 20 74 75 6e 6e 65 6c 73 20	ical.or.virtual.such.as.tunnels.
153a0	28 56 50 4e 2c 20 50 50 54 50 2c 20 47 52 45 2c 20 65 74 63 29 20 61 6e 64 20 61 72 65 20 74 72	(VPN,.PPTP,.GRE,.etc).and.are.tr
153c0	65 61 74 65 64 20 65 78 61 63 74 6c 79 20 74 68 65 20 73 61 6d 65 2e 00 45 61 63 68 20 6c 61 62	eated.exactly.the.same..Each.lab
153e0	20 77 69 6c 6c 20 62 75 69 6c 64 20 61 6e 20 74 65 73 74 20 66 72 6f 6d 20 61 6e 20 65 78 74 65	.will.build.an.test.from.an.exte
15400	72 6e 61 6c 20 73 63 72 69 70 74 2e 20 54 68 65 20 70 61 67 65 20 63 6f 6e 74 65 6e 74 20 77 69	rnal.script..The.page.content.wi
15420	6c 6c 20 67 65 6e 65 72 61 74 65 2c 20 73 6f 20 63 68 61 6e 67 65 73 20 77 69 6c 6c 20 6e 6f 74	ll.generate,.so.changes.will.not
15440	20 74 61 6b 65 20 61 6e 20 65 66 66 65 63 74 2e 00 45 6e 61 62 6c 65 20 49 50 73 65 63 20 6f 6e	.take.an.effect..Enable.IPsec.on
15460	20 65 74 68 30 00 45 6e 61 62 6c 65 20 4f 53 50 46 00 45 6e 61 62 6c 65 20 53 53 48 00 45 6e 61	.eth0.Enable.OSPF.Enable.SSH.Ena
15480	62 6c 65 20 53 53 48 20 73 6f 20 79 6f 75 20 63 61 6e 20 6e 6f 77 20 53 53 48 20 69 6e 74 6f 20	ble.SSH.so.you.can.now.SSH.into.
154a0	74 68 65 20 72 6f 75 74 65 72 73 2c 20 72 61 74 68 65 72 20 74 68 61 6e 20 75 73 69 6e 67 20 74	the.routers,.rather.than.using.t
154c0	68 65 20 63 6f 6e 73 6f 6c 65 2e 00 45 6e 61 62 6c 65 73 20 72 6f 75 74 65 72 20 61 64 76 65 72	he.console..Enables.router.adver
154e0	74 69 73 65 6d 65 6e 74 73 2e 20 54 68 69 73 20 69 73 20 61 6e 20 49 50 76 36 20 61 6c 74 65 72	tisements..This.is.an.IPv6.alter
15500	6e 61 74 69 76 65 20 66 6f 72 20 44 48 43 50 20 28 74 68 6f 75 67 68 20 44 48 43 50 76 36 20 63	native.for.DHCP.(though.DHCPv6.c
15520	61 6e 20 73 74 69 6c 6c 20 62 65 20 75 73 65 64 29 2e 20 57 69 74 68 20 52 41 73 2c 20 59 6f 75	an.still.be.used)..With.RAs,.You
15540	72 20 64 65 76 69 63 65 73 20 77 69 6c 6c 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 20 66 69 6e	r.devices.will.automatically.fin
15560	64 20 74 68 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 74 68 65 79 20 6e 65 65 64 20 66 6f 72 20	d.the.information.they.need.for.
15580	72 6f 75 74 69 6e 67 20 61 6e 64 20 44 4e 53 2e 00 45 76 65 6e 20 69 66 20 74 68 65 20 74 77 6f	routing.and.DNS..Even.if.the.two
155a0	20 7a 6f 6e 65 73 20 77 69 6c 6c 20 6e 65 76 65 72 20 63 6f 6d 6d 75 6e 69 63 61 74 65 2c 20 69	.zones.will.never.communicate,.i
155c0	74 20 69 73 20 61 20 67 6f 6f 64 20 69 64 65 61 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 7a	t.is.a.good.idea.to.create.the.z
155e0	6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 72 75 6c 65 73 65 74 73 20 61 6e 64 20	one-pair-direction.rulesets.and.
15600	73 65 74 20 65 6e 61 62 6c 65 2d 64 65 66 61 75 6c 74 2d 6c 6f 67 2e 20 54 68 69 73 20 77 69 6c	set.enable-default-log..This.wil
15620	6c 20 61 6c 6c 6f 77 20 79 6f 75 20 74 6f 20 6c 6f 67 20 61 74 74 65 6d 70 74 73 20 74 6f 20 61	l.allow.you.to.log.attempts.to.a
15640	63 63 65 73 73 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 69 74 68 6f 75 74 20 69 74 2c 20	ccess.the.networks..Without.it,.
15660	79 6f 75 20 77 69 6c 6c 20 6e 65 76 65 72 20 73 65 65 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f	you.will.never.see.the.connectio
15680	6e 20 61 74 74 65 6d 70 74 73 2e 00 45 76 65 72 79 20 72 6f 75 74 65 72 20 2a 2a 6d 75 73 74 2a	n.attempts..Every.router.*must
156a0	2a 20 68 61 76 65 20 61 20 75 6e 69 71 75 65 20 72 6f 75 74 65 72 2d 69 64 2e 20 54 68 65 20 27	*.have.a.unique.router-id..The.'
156c0	72 65 66 65 72 65 6e 63 65 2d 62 61 6e 64 77 69 64 74 68 27 20 69 73 20 75 73 65 64 20 62 65 63	reference-bandwidth'.is.used.bec
156e0	61 75 73 65 20 77 68 65 6e 20 4f 53 50 46 20 77 61 73 20 6f 72 69 67 69 6e 61 6c 6c 79 20 64 65	ause.when.OSPF.was.originally.de
15700	73 69 67 6e 65 64 2c 20 74 68 65 20 69 64 65 61 20 6f 66 20 61 20 6c 69 6e 6b 20 66 61 73 74 65	signed,.the.idea.of.a.link.faste
15720	72 20 74 68 61 6e 20 31 67 62 69 74 20 77 61 73 20 75 6e 68 65 61 72 64 20 6f 66 2c 20 61 6e 64	r.than.1gbit.was.unheard.of,.and
15740	20 69 74 20 64 6f 65 73 20 6e 6f 74 20 73 63 61 6c 65 20 63 6f 72 72 65 63 74 6c 79 2e 00 45 76	.it.does.not.scale.correctly..Ev
15760	65 72 79 20 72 6f 75 74 65 72 20 74 68 61 74 20 70 72 6f 76 69 64 65 73 20 61 63 63 65 73 73 20	ery.router.that.provides.access.
15780	74 6f 20 61 20 63 75 73 74 6f 6d 65 72 20 6e 65 74 77 6f 72 6b 20 6e 65 65 64 73 20 74 6f 20 68	to.a.customer.network.needs.to.h
157a0	61 76 65 20 74 68 65 20 63 75 73 74 6f 6d 65 72 20 6e 65 74 77 6f 72 6b 20 28 56 52 46 20 2b 20	ave.the.customer.network.(VRF.+.
157c0	56 4e 49 29 20 63 6f 6e 66 69 67 75 72 65 64 2e 20 54 6f 20 6d 61 6b 65 20 6f 75 72 20 6f 77 6e	VNI).configured..To.make.our.own
157e0	20 6c 69 76 65 73 20 65 61 73 69 65 72 2c 20 77 65 20 75 74 69 6c 69 7a 65 20 74 68 65 20 73 61	.lives.easier,.we.utilize.the.sa
15800	6d 65 20 56 52 46 20 74 61 62 6c 65 20 69 64 20 28 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74	me.VRF.table.id.(local.routing.t
15820	61 62 6c 65 20 6e 75 6d 62 65 72 29 20 61 6e 64 20 56 4e 49 20 28 56 69 72 74 75 61 6c 20 4e 65	able.number).and.VNI.(Virtual.Ne
15840	74 77 6f 72 6b 20 49 64 65 6e 74 69 66 69 65 72 29 20 70 65 72 20 74 65 6e 61 6e 74 20 6f 6e 20	twork.Identifier).per.tenant.on.
15860	61 6c 6c 20 6f 75 72 20 72 6f 75 74 65 72 73 2e 00 45 76 65 72 79 20 74 65 6e 61 6e 74 20 69 73	all.our.routers..Every.tenant.is
15880	20 61 73 73 69 67 6e 65 64 20 61 6e 20 69 6e 64 69 76 69 64 75 61 6c 20 56 52 46 20 74 68 61 74	.assigned.an.individual.VRF.that
158a0	20 77 6f 75 6c 64 20 73 75 70 70 6f 72 74 20 6f 76 65 72 6c 61 70 70 69 6e 67 20 61 64 64 72 65	.would.support.overlapping.addre
158c0	73 73 20 72 61 6e 67 65 73 20 66 6f 72 20 63 75 73 74 6f 6d 65 72 73 20 62 6c 75 65 2c 20 72 65	ss.ranges.for.customers.blue,.re
158e0	64 20 61 6e 64 20 67 72 65 65 6e 2e 20 49 6e 20 6f 75 72 20 65 78 61 6d 70 6c 65 2c 20 77 65 20	d.and.green..In.our.example,.we.
15900	64 6f 20 6e 6f 74 20 75 73 65 20 6f 76 65 72 6c 61 70 70 69 6e 67 20 72 61 6e 67 65 73 20 74 6f	do.not.use.overlapping.ranges.to
15920	20 6d 61 6b 65 20 69 74 20 65 61 73 69 65 72 20 77 68 65 6e 20 73 68 6f 77 69 6e 67 20 64 65 62	.make.it.easier.when.showing.deb
15940	75 67 20 63 6f 6d 6d 61 6e 64 73 2e 00 45 78 61 6d 70 6c 65 00 45 78 61 6d 70 6c 65 20 31 3a 20	ug.commands..Example.Example.1:.
15960	44 69 73 74 72 69 62 75 74 69 6e 67 20 6c 6f 61 64 20 65 76 65 6e 6c 79 00 45 78 61 6d 70 6c 65	Distributing.load.evenly.Example
15980	20 32 3a 20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 69 6e 74 65 72 66 61 63 65 20	.2:.Failover.based.on.interface.
159a0	77 65 69 67 68 74 73 00 45 78 61 6d 70 6c 65 20 33 3a 20 46 61 69 6c 6f 76 65 72 20 62 61 73 65	weights.Example.3:.Failover.base
159c0	64 20 6f 6e 20 72 75 6c 65 20 6f 72 64 65 72 00 45 78 61 6d 70 6c 65 20 34 3a 20 46 61 69 6c 6f	d.on.rule.order.Example.4:.Failo
159e0	76 65 72 20 62 61 73 65 64 20 6f 6e 20 72 75 6c 65 20 6f 72 64 65 72 20 2d 20 70 72 69 6f 72 69	ver.based.on.rule.order.-.priori
15a00	74 79 20 74 72 61 66 66 69 63 00 45 78 61 6d 70 6c 65 20 35 3a 20 45 78 63 6c 75 64 65 20 74 72	ty.traffic.Example.5:.Exclude.tr
15a20	61 66 66 69 63 20 66 72 6f 6d 20 6c 6f 61 64 20 62 61 6c 61 6e 63 69 6e 67 00 45 78 61 6d 70 6c	affic.from.load.balancing.Exampl
15a40	65 20 4e 65 74 77 6f 72 6b 00 46 69 6c 6c 20 60 60 70 61 73 73 77 6f 72 64 60 60 20 61 6e 64 20	e.Network.Fill.``password``.and.
15a60	60 60 75 73 65 72 60 60 20 77 69 74 68 20 74 68 65 20 63 72 65 64 65 6e 74 69 61 6c 20 70 72 6f	``user``.with.the.credential.pro
15a80	76 69 64 65 64 20 62 79 20 79 6f 75 72 20 49 53 50 2e 00 46 69 6e 61 6c 6c 79 2c 20 64 6f 6e 27	vided.by.your.ISP..Finally,.don'
15aa0	74 20 66 6f 72 67 65 74 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 60 2e 20 54 68	t.forget.the.:ref:`firewall`..Th
15ac0	65 20 75 73 61 67 65 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 65 78 63 65 70 74 20 66 6f 72	e.usage.is.identical,.except.for
15ae0	20 69 6e 73 74 65 61 64 20 6f 66 20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 6e 61 6d 65 20 4e	.instead.of.`set.firewall.name.N
15b00	41 4d 45 60 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 66 69 72 65 77 61 6c	AME`,.you.would.use.`set.firewal
15b20	6c 20 69 70 76 36 2d 6e 61 6d 65 20 4e 41 4d 45 60 2e 00 46 69 6e 61 6c 6c 79 2c 20 6c 65 74 e2	l.ipv6-name.NAME`..Finally,.let.
15b40	80 99 73 20 63 68 65 63 6b 20 74 68 65 20 72 65 61 63 68 61 62 69 6c 69 74 79 20 62 65 74 77 65	..s.check.the.reachability.betwe
15b60	65 6e 20 43 45 73 3a 00 46 69 72 65 77 61 6c 6c 00 46 69 72 65 77 61 6c 6c 20 43 6f 6e 66 69 67	en.CEs:.Firewall.Firewall.Config
15b80	75 72 61 74 69 6f 6e 3a 00 46 69 72 73 74 20 61 20 43 41 2c 20 61 20 73 69 67 6e 65 64 20 73 65	uration:.First.a.CA,.a.signed.se
15ba0	72 76 65 72 20 61 6e 64 20 63 6c 69 65 6e 74 20 63 65 66 74 69 66 69 63 61 74 65 20 61 6e 64 20	rver.and.client.ceftificate.and.
15bc0	61 20 44 69 66 66 69 65 2d 48 65 6c 6c 6d 61 6e 20 70 61 72 61 6d 65 74 65 72 20 6d 75 73 73 74	a.Diffie-Hellman.parameter.musst
15be0	20 62 65 20 67 65 6e 65 72 61 74 65 64 20 61 6e 64 20 69 6e 73 74 61 6c 6c 65 64 2e 20 50 6c 65	.be.generated.and.installed..Ple
15c00	61 73 65 20 6c 6f 6f 6b 20 3a 72 65 66 3a 60 68 65 72 65 20 3c 63 6f 6e 66 69 67 75 72 61 74 69	ase.look.:ref:`here.<configurati
15c20	6f 6e 2f 70 6b 69 2f 69 6e 64 65 78 3a 70 6b 69 3e 60 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f	on/pki/index:pki>`.for.more.info
15c40	72 6d 61 74 69 6f 6e 2e 00 46 69 72 73 74 20 70 72 65 70 61 72 65 20 6f 75 72 20 56 79 4f 53 20	rmation..First.prepare.our.VyOS.
15c60	72 6f 75 74 65 72 20 66 6f 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 6f 20 4e 4d 50 2e 20 57 65	router.for.connection.to.NMP..We
15c80	20 68 61 76 65 20 74 6f 20 73 65 74 20 75 70 20 74 68 65 20 53 4e 4d 50 20 70 72 6f 74 6f 63 6f	.have.to.set.up.the.SNMP.protoco
15ca0	6c 20 61 6e 64 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 62 65 74 77 65 65 6e 20 74 68 65 20 72	l.and.connectivity.between.the.r
15cc0	6f 75 74 65 72 20 61 6e 64 20 4e 4d 50 2e 00 46 69 72 73 74 2c 20 77 65 20 63 6f 6e 66 69 67 75	outer.and.NMP..First,.we.configu
15ce0	72 65 20 74 68 65 20 60 60 76 79 6f 73 2d 77 61 6e 60 60 20 69 6e 74 65 72 66 61 63 65 20 74 6f	re.the.``vyos-wan``.interface.to
15d00	20 67 65 74 20 61 20 44 48 43 50 20 61 64 64 72 65 73 73 2e 00 46 69 72 73 74 2c 20 77 65 20 63	.get.a.DHCP.address..First,.we.c
15d20	6f 6e 66 69 67 75 72 65 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 6e 65 74 77 6f 72 6b 20 61	onfigure.the.transport.network.a
15d40	6e 64 20 74 68 65 20 54 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 2e 00 46 6c 65 78 56 50 4e	nd.the.Tunnel.interface..FlexVPN
15d60	20 69 73 20 61 20 6e 65 77 65 72 20 22 73 6f 6c 75 74 69 6f 6e 22 20 66 6f 72 20 64 65 70 6c 6f	.is.a.newer."solution".for.deplo
15d80	79 6d 65 6e 74 20 6f 66 20 56 50 4e 73 20 61 6e 64 20 69 74 20 75 74 69 6c 69 7a 65 73 20 49 4b	yment.of.VPNs.and.it.utilizes.IK
15da0	45 76 32 20 61 73 20 74 68 65 20 6b 65 79 20 65 78 63 68 61 6e 67 65 20 70 72 6f 74 6f 63 6f 6c	Ev2.as.the.key.exchange.protocol
15dc0	2e 20 54 68 65 20 72 65 73 75 6c 74 20 69 73 20 61 20 66 6c 65 78 69 62 6c 65 20 61 6e 64 20 73	..The.result.is.a.flexible.and.s
15de0	63 61 6c 61 62 6c 65 20 56 50 4e 20 73 6f 6c 75 74 69 6f 6e 20 74 68 61 74 20 63 61 6e 20 62 65	calable.VPN.solution.that.can.be
15e00	20 65 61 73 69 6c 79 20 61 64 61 70 74 65 64 20 74 6f 20 66 69 74 20 76 61 72 69 6f 75 73 20 6e	.easily.adapted.to.fit.various.n
15e20	65 74 77 6f 72 6b 20 6e 65 65 64 73 2e 20 49 74 20 63 61 6e 20 61 6c 73 6f 20 73 75 70 70 6f 72	etwork.needs..It.can.also.suppor
15e40	74 20 61 20 76 61 72 69 65 74 79 20 6f 66 20 65 6e 63 72 79 70 74 69 6f 6e 20 6d 65 74 68 6f 64	t.a.variety.of.encryption.method
15e60	73 2c 20 69 6e 63 6c 75 64 69 6e 67 20 41 45 53 20 61 6e 64 20 33 44 45 53 2e 00 46 6f 72 20 63	s,.including.AES.and.3DES..For.c
15e80	6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 73 69 74 65 73 2c 20 77 65 20 61 72 65 20	onnection.between.sites,.we.are.
15ea0	72 75 6e 6e 69 6e 67 20 61 20 57 69 72 65 47 75 61 72 64 20 6c 69 6e 6b 20 74 6f 20 74 77 6f 20	running.a.WireGuard.link.to.two.
15ec0	52 45 4d 4f 54 45 20 72 6f 75 74 65 72 73 20 61 6e 64 20 75 73 69 6e 67 20 4f 53 50 46 20 6f 76	REMOTE.routers.and.using.OSPF.ov
15ee0	65 72 20 74 68 6f 73 65 20 6c 69 6e 6b 73 20 74 6f 20 64 69 73 74 72 69 62 75 74 65 20 72 6f 75	er.those.links.to.distribute.rou
15f00	74 65 73 2e 20 54 68 61 74 20 72 65 6d 6f 74 65 20 73 69 74 65 20 69 73 20 65 78 70 65 63 74 65	tes..That.remote.site.is.expecte
15f20	64 20 74 6f 20 73 65 6e 64 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 61 6e 79 74 68 69 6e 67 20	d.to.send.traffic.from.anything.
15f40	69 6e 20 31 30 2e 32 30 31 2e 30 2e 30 2f 31 36 00 46 6f 72 20 68 6f 6d 65 20 6e 65 74 77 6f 72	in.10.201.0.0/16.For.home.networ
15f60	6b 20 75 73 65 72 73 2c 20 6d 6f 73 74 20 6f 66 20 74 69 6d 65 20 49 53 50 20 6f 6e 6c 79 20 70	k.users,.most.of.time.ISP.only.p
15f80	72 6f 76 69 64 65 73 20 2f 36 34 20 70 72 65 66 69 78 2c 20 68 65 6e 63 65 20 74 68 65 72 65 20	rovides./64.prefix,.hence.there.
15fa0	69 73 20 6e 6f 20 6e 65 65 64 20 74 6f 20 73 65 74 20 53 4c 41 20 49 44 20 61 6e 64 20 70 72 65	is.no.need.to.set.SLA.ID.and.pre
15fc0	66 69 78 20 6c 65 6e 67 74 68 2e 20 53 65 65 20 3a 72 65 66 3a 60 70 70 70 6f 65 2d 69 6e 74 65	fix.length..See.:ref:`pppoe-inte
15fe0	72 66 61 63 65 60 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 46 6f 72	rface`.for.more.information..For
16000	20 72 65 64 75 6e 64 61 6e 74 20 2f 20 61 63 74 69 76 65 2d 61 63 74 69 76 65 20 63 6f 6e 66 69	.redundant./.active-active.confi
16020	67 75 72 61 74 69 6f 6e 73 20 73 65 65 20 3a 72 65 66 3a 60 65 78 61 6d 70 6c 65 73 2d 61 7a 75	gurations.see.:ref:`examples-azu
16040	72 65 2d 76 70 6e 2d 64 75 61 6c 2d 62 67 70 60 00 46 6f 72 20 73 69 6d 70 6c 69 63 69 74 79 2c	re-vpn-dual-bgp`.For.simplicity,
16060	20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 61 6e 64 20 74 65 73 74 73 20 61 72 65 20 64 6f 6e	.configuration.and.tests.are.don
16080	65 20 6f 6e 6c 79 20 75 73 69 6e 67 20 69 70 76 34 2c 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20	e.only.using.ipv4,.and.firewall.
160a0	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 6e 20 64 6f 6e 65 20 6f 6e 6c 79 20 6f 6e 20 6f 6e	configuration.in.done.only.on.on
160c0	65 20 72 6f 75 74 65 72 2e 00 46 6f 72 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65	e.router..For.the.hardware.route
160e0	72 2c 20 72 65 70 6c 61 63 65 20 60 60 65 74 68 30 60 60 20 77 69 74 68 20 60 60 62 6f 6e 64 30	r,.replace.``eth0``.with.``bond0
16100	60 60 2e 20 41 73 20 28 61 6c 6d 6f 73 74 29 20 65 76 65 72 79 20 63 6f 6d 6d 61 6e 64 20 69 73	``..As.(almost).every.command.is
16120	20 69 64 65 6e 74 69 63 61 6c 2c 20 74 68 69 73 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 73 70 65	.identical,.this.will.not.be.spe
16140	63 69 66 69 65 64 20 75 6e 6c 65 73 73 20 64 69 66 66 65 72 65 6e 74 20 74 68 69 6e 67 73 20 6e	cified.unless.different.things.n
16160	65 65 64 20 74 6f 20 62 65 20 70 65 72 66 6f 72 6d 65 64 20 6f 6e 20 64 69 66 66 65 72 65 6e 74	eed.to.be.performed.on.different
16180	20 68 6f 73 74 73 2e 00 46 72 6f 6d 20 44 61 74 61 63 65 6e 74 65 72 20 2d 20 54 68 69 73 20 63	.hosts..From.Datacenter.-.This.c
161a0	6f 6e 6e 65 63 74 73 20 69 6e 74 6f 20 70 6f 72 74 20 31 20 6f 6e 20 62 6f 74 68 20 73 77 69 74	onnects.into.port.1.on.both.swit
161c0	63 68 65 73 2c 20 61 6e 64 20 69 73 20 74 61 67 67 65 64 20 61 73 20 56 4c 41 4e 20 35 30 00 46	ches,.and.is.tagged.as.VLAN.50.F
161e0	72 6f 6d 20 4d 61 6e 61 67 65 6d 65 6e 74 20 74 6f 20 4c 41 4e 31 2f 4c 41 4e 32 00 46 72 6f 6d	rom.Management.to.LAN1/LAN2.From
16200	20 4d 61 6e 61 67 65 6d 65 6e 74 20 74 6f 20 4f 75 74 73 69 64 65 20 28 66 61 69 6c 73 20 61 73	.Management.to.Outside.(fails.as
16220	20 69 6e 74 65 6e 64 65 64 29 00 46 75 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72	.intended).Full.configuration.fr
16240	6f 6d 20 61 6c 6c 20 64 65 76 69 63 65 73 00 47 52 45 3a 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f	om.all.devices.GRE:.General.info
16260	72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 4c 33 56 50 4e 73 20 63 61 6e 20 62 65 20 66 6f 75 6e	rmation.about.L3VPNs.can.be.foun
16280	64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 76 72 66	d.in.the.:ref:`configuration/vrf
162a0	2f 69 6e 64 65 78 3a 4c 33 56 50 4e 20 56 52 46 73 60 20 63 68 61 70 74 65 72 2e 00 47 65 6e 65	/index:L3VPN.VRFs`.chapter..Gene
162c0	72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20	ral.information.can.be.found.in.
162e0	74 68 65 20 3a 72 65 66 3a 60 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 76 72 66 2f 69 6e 64 65	the.:ref:`configuration/vrf/inde
16300	78 3a 4c 33 56 50 4e 20 56 52 46 73 60 20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69	x:L3VPN.VRFs`.chapter..General.i
16320	6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a	nformation.can.be.found.in.the.:
16340	72 65 66 3a 60 72 6f 75 74 69 6e 67 2d 62 67 70 60 20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72	ref:`routing-bgp`.chapter..Gener
16360	61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74	al.information.can.be.found.in.t
16380	68 65 20 3a 72 65 66 3a 60 72 6f 75 74 69 6e 67 2d 6f 73 70 66 60 20 63 68 61 70 74 65 72 2e 00	he.:ref:`routing-ospf`.chapter..
163a0	48 61 72 64 77 61 72 65 00 48 61 72 64 77 61 72 65 20 52 6f 75 74 65 72 20 2d 20 50 6f 72 74 20	Hardware.Hardware.Router.-.Port.
163c0	38 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 48 65 72 65 20 69 73 20 61 6e 20 65 78 61 6d	8.of.each.switch.Here.is.an.exam
163e0	70 6c 65 20 6f 66 20 61 6e 20 49 50 76 36 20 44 4d 5a 2d 57 41 4e 20 72 75 6c 65 73 65 74 2e 00	ple.of.an.IPv6.DMZ-WAN.ruleset..
16400	48 65 72 65 20 69 73 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20 73 68 6f 77 69	Here.is.the.routing.tables.showi
16420	6e 67 20 74 68 65 20 4d 50 4c 53 20 73 65 67 6d 65 6e 74 20 72 6f 75 74 69 6e 67 20 6c 61 62 65	ng.the.MPLS.segment.routing.labe
16440	6c 20 6f 70 65 72 61 74 69 6f 6e 73 3a 00 48 65 72 65 20 77 65 20 73 65 74 20 74 68 65 20 70 72	l.operations:.Here.we.set.the.pr
16460	65 66 69 78 20 74 6f 20 60 60 3a 3a 2f 36 34 60 60 20 74 6f 20 69 6e 64 69 63 61 74 65 20 61 64	efix.to.``::/64``.to.indicate.ad
16480	76 65 72 74 69 73 69 6e 67 20 61 6e 79 20 2f 36 34 20 70 72 65 66 69 78 20 74 68 65 20 4c 41 4e	vertising.any./64.prefix.the.LAN
164a0	20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 2e 00 48 65 72 65 20 77 65 20	.interface.is.assigned..Here.we.
164c0	75 73 65 20 74 68 65 20 70 72 65 66 69 78 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20	use.the.prefix.to.configure.the.
164e0	61 64 64 72 65 73 73 20 6f 66 20 65 74 68 31 20 28 4c 41 4e 29 20 74 6f 20 66 6f 72 6d 20 60 60	address.of.eth1.(LAN).to.form.``
16500	3c 70 72 65 66 69 78 3e 3a 3a 36 34 60 60 2c 20 77 68 65 72 65 20 60 60 36 34 60 60 20 69 73 20	<prefix>::64``,.where.``64``.is.
16520	68 65 78 61 64 65 63 69 6d 61 6c 20 6f 66 20 61 64 64 72 65 73 73 20 31 30 30 2e 00 48 69 67 68	hexadecimal.of.address.100..High
16540	20 41 76 61 69 6c 61 62 69 6c 69 74 79 20 57 61 6c 6b 74 68 72 6f 75 67 68 00 48 6f 77 20 64 6f	.Availability.Walkthrough.How.do
16560	65 73 20 69 74 20 77 6f 72 6b 3f 00 48 75 62 00 49 20 63 68 6f 73 65 20 74 6f 20 72 75 6e 20 4f	es.it.work?.Hub.I.chose.to.run.O
16580	53 50 46 20 61 73 20 74 68 65 20 49 47 50 20 28 49 6e 74 65 72 69 6f 72 20 47 61 74 65 77 61 79	SPF.as.the.IGP.(Interior.Gateway
165a0	20 50 72 6f 74 6f 63 6f 6c 29 2e 20 41 6c 6c 20 72 65 71 75 69 72 65 64 20 42 47 50 20 73 65 73	.Protocol)..All.required.BGP.ses
165c0	73 69 6f 6e 73 20 61 72 65 20 65 73 74 61 62 6c 69 73 68 65 64 20 76 69 61 20 61 20 64 75 6d 6d	sions.are.established.via.a.dumm
165e0	79 20 69 6e 74 65 72 66 61 63 65 73 20 28 73 69 6d 69 6c 61 72 20 74 6f 20 74 68 65 20 6c 6f 6f	y.interfaces.(similar.to.the.loo
16600	70 62 61 63 6b 2c 20 62 75 74 20 69 6e 20 4c 69 6e 75 78 20 79 6f 75 20 63 61 6e 20 68 61 76 65	pback,.but.in.Linux.you.can.have
16620	20 6f 6e 6c 79 20 6f 6e 65 20 6c 6f 6f 70 62 61 63 6b 2c 20 77 68 69 6c 65 20 74 68 65 72 65 20	.only.one.loopback,.while.there.
16640	63 61 6e 20 62 65 20 6d 61 6e 79 20 64 75 6d 6d 79 20 69 6e 74 65 72 66 61 63 65 73 29 20 6f 6e	can.be.many.dummy.interfaces).on
16660	20 74 68 65 20 50 45 20 72 6f 75 74 65 72 73 2e 20 49 6e 20 63 61 73 65 20 6f 66 20 61 20 6c 69	.the.PE.routers..In.case.of.a.li
16680	6e 6b 20 66 61 69 6c 75 72 65 2c 20 74 72 61 66 66 69 63 20 69 73 20 64 69 76 65 72 74 65 64 20	nk.failure,.traffic.is.diverted.
166a0	69 6e 20 74 68 65 20 6f 74 68 65 72 20 64 69 72 65 63 74 69 6f 6e 20 69 6e 20 74 68 69 73 20 74	in.the.other.direction.in.this.t
166c0	72 69 61 6e 67 6c 65 20 73 65 74 75 70 20 61 6e 64 20 42 47 50 20 73 65 73 73 69 6f 6e 73 20 77	riangle.setup.and.BGP.sessions.w
166e0	69 6c 6c 20 6e 6f 74 20 67 6f 20 64 6f 77 6e 2e 20 4f 6e 65 20 63 6f 75 6c 64 20 65 76 65 6e 20	ill.not.go.down..One.could.even.
16700	65 6e 61 62 6c 65 20 42 46 44 20 28 42 69 64 69 72 65 63 74 69 6f 6e 61 6c 20 46 6f 72 77 61 72	enable.BFD.(Bidirectional.Forwar
16720	64 69 6e 67 20 44 65 74 65 63 74 69 6f 6e 29 20 6f 6e 20 74 68 65 20 6c 69 6e 6b 73 20 66 6f 72	ding.Detection).on.the.links.for
16740	20 61 20 66 61 73 74 65 72 20 66 61 69 6c 6f 76 65 72 20 61 6e 64 20 72 65 73 69 6c 69 65 6e 63	.a.faster.failover.and.resilienc
16760	65 20 69 6e 20 74 68 65 20 6e 65 74 77 6f 72 6b 2e 00 49 20 63 72 65 61 74 65 2f 63 6f 6e 66 69	e.in.the.network..I.create/confi
16780	67 75 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 66 69 72 73 74 2e 20 42 75 69 6c 64	gure.the.interfaces.first..Build
167a0	20 6f 75 74 20 74 68 65 20 72 75 6c 65 73 65 74 73 20 66 6f 72 20 65 61 63 68 20 7a 6f 6e 65 2d	.out.the.rulesets.for.each.zone-
167c0	70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 77 68 69 63 68 20 69 6e 63 6c 75 64 65 73 20 61 74	pair-direction.which.includes.at
167e0	20 6c 65 61 73 74 20 74 68 65 20 74 68 72 65 65 20 73 74 61 74 65 20 72 75 6c 65 73 2e 20 54 68	.least.the.three.state.rules..Th
16800	65 6e 20 49 20 73 65 74 75 70 20 74 68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63 69 65 73 2e 00 49 20	en.I.setup.the.zone-policies..I.
16820	6e 61 6d 65 20 72 75 6c 65 20 73 65 74 73 20 74 6f 20 69 6e 64 69 63 61 74 65 20 77 68 69 63 68	name.rule.sets.to.indicate.which
16840	20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 74 68 65 79 20 72 65 70 72 65 73	.zone-pair-direction.they.repres
16860	65 6e 74 2e 20 65 67 2e 20 5a 6f 6e 65 41 2d 5a 6f 6e 65 42 20 6f 72 20 5a 6f 6e 65 42 2d 5a 6f	ent..eg..ZoneA-ZoneB.or.ZoneB-Zo
16880	6e 65 41 2e 20 4c 41 4e 2d 44 4d 5a 2c 20 44 4d 5a 2d 4c 41 4e 2e 00 49 20 6e 61 6d 65 64 20 74	neA..LAN-DMZ,.DMZ-LAN..I.named.t
168a0	68 65 20 63 75 73 74 6f 6d 65 72 73 20 62 6c 75 65 2c 20 72 65 64 20 61 6e 64 20 67 72 65 65 6e	he.customers.blue,.red.and.green
168c0	20 77 68 69 63 68 20 69 73 20 63 6f 6d 6d 6f 6e 20 70 72 61 63 74 69 63 65 20 69 6e 20 56 52 46	.which.is.common.practice.in.VRF
168e0	20 28 56 69 72 74 75 61 6c 20 52 6f 75 74 69 6e 67 20 61 6e 64 20 46 6f 72 77 61 72 64 69 6e 67	.(Virtual.Routing.and.Forwarding
16900	29 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 73 63 65 6e 61 72 69 6f 73 2e 00 49 20 73 70 75	).documentation.scenarios..I.spu
16920	6e 20 75 70 20 61 20 6e 65 77 20 6c 61 62 20 69 6e 20 45 56 45 2d 4e 47 2c 20 77 68 69 63 68 20	n.up.a.new.lab.in.EVE-NG,.which.
16940	72 65 70 72 65 73 65 6e 74 73 20 74 68 69 73 20 61 73 20 74 68 65 20 22 46 6f 6f 20 42 61 72 20	represents.this.as.the."Foo.Bar.
16960	2d 20 53 65 72 76 69 63 65 20 50 72 6f 76 69 64 65 72 20 49 6e 63 2e 22 20 74 68 61 74 20 68 61	-.Service.Provider.Inc.".that.ha
16980	73 20 33 20 70 6f 69 6e 74 73 20 6f 66 20 70 72 65 73 65 6e 63 65 20 28 50 6f 50 29 20 69 6e 20	s.3.points.of.presence.(PoP).in.
169a0	72 61 6e 64 6f 6d 20 64 61 74 61 63 65 6e 74 65 72 73 2f 73 69 74 65 73 20 6e 61 6d 65 64 20 50	random.datacenters/sites.named.P
169c0	45 31 2c 20 50 45 32 2c 20 61 6e 64 20 50 45 33 2e 20 45 61 63 68 20 50 6f 50 20 61 67 67 72 65	E1,.PE2,.and.PE3..Each.PoP.aggre
169e0	67 61 74 65 73 20 61 74 20 6c 65 61 73 74 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 73 2e 00 49 50	gates.at.least.two.customers..IP
16a00	20 53 63 68 65 6d 61 00 49 50 2f 4d 50 4c 53 20 74 65 63 68 6e 6f 6c 6f 67 79 20 69 73 20 77 69	.Schema.IP/MPLS.technology.is.wi
16a20	64 65 6c 79 20 75 73 65 64 20 62 79 20 76 61 72 69 6f 75 73 20 73 65 72 76 69 63 65 20 70 72 6f	dely.used.by.various.service.pro
16a40	76 69 64 65 72 73 20 61 6e 64 20 6c 61 72 67 65 20 65 6e 74 65 72 70 72 69 73 65 73 20 69 6e 20	viders.and.large.enterprises.in.
16a60	6f 72 64 65 72 20 74 6f 20 61 63 68 69 65 76 65 20 62 65 74 74 65 72 20 6e 65 74 77 6f 72 6b 20	order.to.achieve.better.network.
16a80	73 63 61 6c 61 62 69 6c 69 74 79 2c 20 6d 61 6e 61 67 65 61 62 69 6c 69 74 79 20 61 6e 64 20 66	scalability,.manageability.and.f
16aa0	6c 65 78 69 62 69 6c 69 74 79 2e 20 49 74 20 61 6c 73 6f 20 70 72 6f 76 69 64 65 73 20 74 68 65	lexibility..It.also.provides.the
16ac0	20 70 6f 73 73 69 62 69 6c 69 74 79 20 74 6f 20 64 65 6c 69 76 65 72 20 64 69 66 66 65 72 65 6e	.possibility.to.deliver.differen
16ae0	74 20 73 65 72 76 69 63 65 73 20 66 6f 72 20 74 68 65 20 63 75 73 74 6f 6d 65 72 73 20 69 6e 20	t.services.for.the.customers.in.
16b00	61 20 73 65 61 6d 6c 65 73 73 20 6d 61 6e 6e 65 72 2e 20 4c 61 79 65 72 20 33 20 56 50 4e 20 28	a.seamless.manner..Layer.3.VPN.(
16b20	4c 33 56 50 4e 29 20 69 73 20 61 20 74 79 70 65 20 6f 66 20 56 50 4e 20 6d 6f 64 65 20 74 68 61	L3VPN).is.a.type.of.VPN.mode.tha
16b40	74 20 69 73 20 62 75 69 6c 74 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 74 68 72 6f 75 67 68	t.is.built.and.delivered.through
16b60	20 4f 53 49 20 6c 61 79 65 72 20 33 20 6e 65 74 77 6f 72 6b 69 6e 67 20 74 65 63 68 6e 6f 6c 6f	.OSI.layer.3.networking.technolo
16b80	67 69 65 73 2e 20 4f 66 74 65 6e 20 74 68 65 20 62 6f 72 64 65 72 20 67 61 74 65 77 61 79 20 70	gies..Often.the.border.gateway.p
16ba0	72 6f 74 6f 63 6f 6c 20 28 42 47 50 29 20 69 73 20 75 73 65 64 20 74 6f 20 73 65 6e 64 20 61 6e	rotocol.(BGP).is.used.to.send.an
16bc0	64 20 72 65 63 65 69 76 65 20 56 50 4e 2d 72 65 6c 61 74 65 64 20 64 61 74 61 20 74 68 61 74 20	d.receive.VPN-related.data.that.
16be0	69 73 20 72 65 73 70 6f 6e 73 69 62 6c 65 20 66 6f 72 20 74 68 65 20 63 6f 6e 74 72 6f 6c 20 70	is.responsible.for.the.control.p
16c00	6c 61 6e 65 2e 20 4c 33 56 50 4e 20 75 74 69 6c 69 7a 65 73 20 76 69 72 74 75 61 6c 20 72 6f 75	lane..L3VPN.utilizes.virtual.rou
16c20	74 69 6e 67 20 61 6e 64 20 66 6f 72 77 61 72 64 69 6e 67 20 28 56 52 46 29 20 74 65 63 68 6e 69	ting.and.forwarding.(VRF).techni
16c40	71 75 65 73 20 74 6f 20 72 65 63 65 69 76 65 20 61 6e 64 20 64 65 6c 69 76 65 72 20 75 73 65 72	ques.to.receive.and.deliver.user
16c60	20 64 61 74 61 20 61 73 20 77 65 6c 6c 20 61 73 20 73 65 70 61 72 61 74 65 20 64 61 74 61 20 70	.data.as.well.as.separate.data.p
16c80	6c 61 6e 65 73 20 6f 66 20 74 68 65 20 65 6e 64 2d 75 73 65 72 73 2e 20 49 74 20 69 73 20 62 75	lanes.of.the.end-users..It.is.bu
16ca0	69 6c 74 20 75 73 69 6e 67 20 61 20 63 6f 6d 62 69 6e 61 74 69 6f 6e 20 6f 66 20 49 50 2d 20 61	ilt.using.a.combination.of.IP-.a
16cc0	6e 64 20 4d 50 4c 53 2d 62 61 73 65 64 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 47 65 6e 65 72	nd.MPLS-based.information..Gener
16ce0	61 6c 6c 79 2c 20 4c 33 56 50 4e 73 20 61 72 65 20 75 73 65 64 20 74 6f 20 73 65 6e 64 20 64 61	ally,.L3VPNs.are.used.to.send.da
16d00	74 61 20 6f 6e 20 62 61 63 6b 2d 65 6e 64 20 56 50 4e 20 69 6e 66 72 61 73 74 72 75 63 74 75 72	ta.on.back-end.VPN.infrastructur
16d20	65 73 2c 20 73 75 63 68 20 61 73 20 66 6f 72 20 56 50 4e 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20	es,.such.as.for.VPN.connections.
16d40	62 65 74 77 65 65 6e 20 64 61 74 61 20 63 65 6e 74 72 65 73 2c 20 48 51 73 20 61 6e 64 20 62 72	between.data.centres,.HQs.and.br
16d60	61 6e 63 68 65 73 2e 00 49 50 53 65 63 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 50 73	anches..IPSec.configuration:.IPs
16d80	65 63 3a 00 49 50 76 34 20 4e 65 74 77 6f 72 6b 00 49 50 76 36 20 4e 65 74 77 6f 72 6b 00 49 50	ec:.IPv4.Network.IPv6.Network.IP
16da0	76 36 20 54 75 6e 6e 65 6c 00 49 53 49 53 2d 53 52 20 65 78 61 6d 70 6c 65 20 6e 65 74 77 6f 72	v6.Tunnel.ISIS-SR.example.networ
16dc0	6b 00 49 53 49 53 2d 53 52 20 6e 65 74 77 6f 72 6b 00 49 53 50 00 49 66 20 74 68 65 20 63 6c 69	k.ISIS-SR.network.ISP.If.the.cli
16de0	65 6e 74 20 69 73 20 63 6f 6e 6e 65 63 74 20 73 75 63 63 65 73 73 66 75 6c 6c 79 20 79 6f 75 20	ent.is.connect.successfully.you.
16e00	63 61 6e 20 63 68 65 63 6b 20 74 68 65 20 6f 75 74 70 75 74 20 77 69 74 68 00 49 66 20 77 65 20	can.check.the.output.with.If.we.
16e20	6e 65 65 64 20 74 6f 20 72 65 74 72 69 65 76 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f	need.to.retrieve.information.abo
16e40	75 74 20 61 20 73 70 65 63 69 66 69 63 20 68 6f 73 74 2f 6e 65 74 77 6f 72 6b 20 69 6e 73 69 64	ut.a.specific.host/network.insid
16e60	65 20 74 68 65 20 45 56 50 4e 20 6e 65 74 77 6f 72 6b 20 77 65 20 6e 65 65 64 20 74 6f 20 72 75	e.the.EVPN.network.we.need.to.ru
16e80	6e 00 49 66 20 79 6f 75 20 61 72 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 74 68 72 6f 75 67 68 20 74	n.If.you.are.following.through.t
16ea0	68 69 73 20 64 6f 63 75 6d 65 6e 74 2c 20 69 74 20 69 73 20 73 74 72 6f 6e 67 6c 79 20 73 75 67	his.document,.it.is.strongly.sug
16ec0	67 65 73 74 65 64 20 79 6f 75 20 63 6f 6d 70 6c 65 74 65 20 74 68 65 20 65 6e 74 69 72 65 20 64	gested.you.complete.the.entire.d
16ee0	6f 63 75 6d 65 6e 74 2c 20 4f 4e 4c 59 20 64 6f 69 6e 67 20 74 68 65 20 76 69 72 74 75 61 6c 20	ocument,.ONLY.doing.the.virtual.
16f00	72 6f 75 74 65 72 31 20 73 74 65 70 73 2c 20 61 6e 64 20 74 68 65 6e 20 63 6f 6d 65 20 62 61 63	router1.steps,.and.then.come.bac
16f20	6b 20 61 6e 64 20 77 61 6c 6b 20 74 68 72 6f 75 67 68 20 69 74 20 41 47 41 49 4e 20 6f 6e 20 74	k.and.walk.through.it.AGAIN.on.t
16f40	68 65 20 62 61 63 6b 75 70 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 49 66 20 79 6f	he.backup.hardware.router..If.yo
16f60	75 20 61 72 65 20 75 73 69 6e 67 20 61 20 49 50 76 36 20 74 75 6e 6e 65 6c 20 66 72 6f 6d 20 48	u.are.using.a.IPv6.tunnel.from.H
16f80	45 2e 6e 65 74 20 6f 72 20 73 6f 6d 65 6f 6e 65 20 65 6c 73 65 2c 20 74 68 65 20 62 61 73 69 73	E.net.or.someone.else,.the.basis
16fa0	20 69 73 20 74 68 65 20 73 61 6d 65 20 65 78 63 65 70 74 20 79 6f 75 20 68 61 76 65 20 74 77 6f	.is.the.same.except.you.have.two
16fc0	20 57 41 4e 20 69 6e 74 65 72 66 61 63 65 73 2e 20 4f 6e 65 20 66 6f 72 20 76 34 20 61 6e 64 20	.WAN.interfaces..One.for.v4.and.
16fe0	6f 6e 65 20 66 6f 72 20 76 36 2e 00 49 66 20 79 6f 75 20 75 73 65 20 61 20 72 6f 75 74 69 6e 67	one.for.v6..If.you.use.a.routing
17000	20 70 72 6f 74 6f 63 6f 6c 20 69 74 73 65 6c 66 2c 20 79 6f 75 20 73 6f 6c 76 65 20 74 77 6f 20	.protocol.itself,.you.solve.two.
17020	70 72 6f 62 6c 65 6d 73 20 61 74 20 6f 6e 63 65 2e 20 54 68 69 73 20 69 73 20 6f 6e 6c 79 20 61	problems.at.once..This.is.only.a
17040	20 62 61 73 69 63 20 65 78 61 6d 70 6c 65 2c 20 61 6e 64 20 69 73 20 70 72 6f 76 69 64 65 64 20	.basic.example,.and.is.provided.
17060	61 73 20 61 20 73 74 61 72 74 69 6e 67 20 70 6f 69 6e 74 2e 00 49 66 20 79 6f 75 72 20 63 6f 6d	as.a.starting.point..If.your.com
17080	70 75 74 65 72 20 69 73 20 6f 6e 20 74 68 65 20 4c 41 4e 20 61 6e 64 20 79 6f 75 20 6e 65 65 64	puter.is.on.the.LAN.and.you.need
170a0	20 74 6f 20 53 53 48 20 69 6e 74 6f 20 79 6f 75 72 20 56 79 4f 53 20 62 6f 78 2c 20 79 6f 75 20	.to.SSH.into.your.VyOS.box,.you.
170c0	77 6f 75 6c 64 20 6e 65 65 64 20 61 20 72 75 6c 65 20 74 6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e	would.need.a.rule.to.allow.it.in
170e0	20 74 68 65 20 4c 41 4e 2d 4c 6f 63 61 6c 20 72 75 6c 65 73 65 74 2e 20 49 66 20 79 6f 75 20 77	.the.LAN-Local.ruleset..If.you.w
17100	61 6e 74 20 74 6f 20 61 63 63 65 73 73 20 61 20 77 65 62 70 61 67 65 20 66 72 6f 6d 20 79 6f 75	ant.to.access.a.webpage.from.you
17120	72 20 56 79 4f 53 20 62 6f 78 2c 20 79 6f 75 20 6e 65 65 64 20 61 20 72 75 6c 65 20 74 6f 20 61	r.VyOS.box,.you.need.a.rule.to.a
17140	6c 6c 6f 77 20 69 74 20 69 6e 20 74 68 65 20 4c 6f 63 61 6c 2d 4c 41 4e 20 72 75 6c 65 73 65 74	llow.it.in.the.Local-LAN.ruleset
17160	2e 00 49 6d 61 67 65 20 6e 61 6d 65 3a 20 76 79 6f 73 2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32	..Image.name:.vyos-1.4-rolling-2
17180	30 32 31 31 30 33 31 30 33 31 37 2d 61 6d 64 36 34 2e 69 73 6f 00 49 6e 20 3a 76 79 74 61 73 6b	02110310317-amd64.iso.In.:vytask
171a0	3a 60 54 32 31 39 39 60 20 74 68 65 20 73 79 6e 74 61 78 20 6f 66 20 74 68 65 20 7a 6f 6e 65 20	:`T2199`.the.syntax.of.the.zone.
171c0	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 61 73 20 63 68 61 6e 67 65 64 2e 20 54 68 65 20 7a	configuration.was.changed..The.z
171e0	6f 6e 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6d 6f 76 65 64 20 66 72 6f 6d 20 60 60 7a	one.configuration.moved.from.``z
17200	6f 6e 65 2d 70 6f 6c 69 63 79 20 7a 6f 6e 65 20 3c 6e 61 6d 65 3e 60 60 20 74 6f 20 60 60 66 69	one-policy.zone.<name>``.to.``fi
17220	72 65 77 61 6c 6c 20 7a 6f 6e 65 20 3c 6e 61 6d 65 3e 60 60 2e 00 49 6e 20 56 79 4f 53 20 79 6f	rewall.zone.<name>``..In.VyOS.yo
17240	75 20 6d 75 73 74 20 68 61 76 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 63 72 65 61 74	u.must.have.the.interfaces.creat
17260	65 64 20 62 65 66 6f 72 65 20 79 6f 75 20 63 61 6e 20 61 70 70 6c 79 20 69 74 20 74 6f 20 74 68	ed.before.you.can.apply.it.to.th
17280	65 20 7a 6f 6e 65 20 61 6e 64 20 74 68 65 20 72 75 6c 65 73 65 74 73 20 6d 75 73 74 20 62 65 20	e.zone.and.the.rulesets.must.be.
172a0	63 72 65 61 74 65 64 20 70 72 69 6f 72 20 74 6f 20 61 70 70 6c 79 69 6e 67 20 69 74 20 74 6f 20	created.prior.to.applying.it.to.
172c0	61 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 2e 00 49 6e 20 56 79 4f 53 2c 20 79 6f 75 20 68 61 76 65	a.zone-policy..In.VyOS,.you.have
172e0	20 74 6f 20 68 61 76 65 20 75 6e 69 71 75 65 20 52 75 6c 65 73 65 74 20 6e 61 6d 65 73 2e 20 49	.to.have.unique.Ruleset.names..I
17300	6e 20 74 68 65 20 65 76 65 6e 74 20 6f 66 20 6f 76 65 72 6c 61 70 2c 20 49 20 61 64 64 20 61 20	n.the.event.of.overlap,.I.add.a.
17320	22 2d 36 22 20 74 6f 20 74 68 65 20 65 6e 64 20 6f 66 20 76 36 20 72 75 6c 65 73 65 74 73 2e 20	"-6".to.the.end.of.v6.rulesets..
17340	65 67 2e 20 4c 41 4e 2d 44 4d 5a 2c 20 4c 41 4e 2d 44 4d 5a 2d 36 2e 20 54 68 69 73 20 61 6c 6c	eg..LAN-DMZ,.LAN-DMZ-6..This.all
17360	6f 77 73 20 66 6f 72 20 65 61 63 68 20 61 75 74 6f 2d 63 6f 6d 70 6c 65 74 69 6f 6e 20 61 6e 64	ows.for.each.auto-completion.and
17380	20 75 6e 69 71 75 65 6e 65 73 73 2e 00 49 6e 20 72 75 6c 65 73 2c 20 69 74 20 69 73 20 67 6f 6f	.uniqueness..In.rules,.it.is.goo
173a0	64 20 74 6f 20 6b 65 65 70 20 74 68 65 6d 20 6e 61 6d 65 64 20 63 6f 6e 73 69 73 74 65 6e 74 6c	d.to.keep.them.named.consistentl
173c0	79 2e 20 41 73 20 74 68 65 20 6e 75 6d 62 65 72 20 6f 66 20 72 75 6c 65 73 20 79 6f 75 20 68 61	y..As.the.number.of.rules.you.ha
173e0	76 65 20 67 72 6f 77 73 2c 20 74 68 65 20 6d 6f 72 65 20 63 6f 6e 73 69 73 74 65 6e 63 79 20 79	ve.grows,.the.more.consistency.y
17400	6f 75 20 68 61 76 65 2c 20 74 68 65 20 65 61 73 69 65 72 20 79 6f 75 72 20 6c 69 66 65 20 77 69	ou.have,.the.easier.your.life.wi
17420	6c 6c 20 62 65 2e 00 49 6e 20 74 68 65 20 61 62 6f 76 65 20 65 78 61 6d 70 6c 65 73 2c 20 31 2c	ll.be..In.the.above.examples,.1,
17440	32 2c 66 66 66 66 20 61 72 65 20 61 6c 6c 20 63 68 6f 73 65 6e 20 62 79 20 79 6f 75 2e 20 59 6f	2,ffff.are.all.chosen.by.you..Yo
17460	75 20 63 61 6e 20 75 73 65 20 31 2d 66 66 66 66 20 28 31 2d 36 35 35 33 35 29 2e 00 49 6e 20 74	u.can.use.1-ffff.(1-65535)..In.t
17480	68 65 20 65 6e 64 2c 20 6f 6e 20 74 68 65 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80	he.end,.on.the.router....VyOS2..
174a0	9d 20 77 65 20 77 69 6c 6c 20 73 65 74 20 6f 75 74 67 6f 69 6e 67 20 62 61 6e 64 77 69 64 74 68	..we.will.set.outgoing.bandwidth
174c0	20 6c 69 6d 69 74 73 20 62 65 74 77 65 65 6e 20 74 68 65 20 e2 80 9c 56 79 4f 53 33 e2 80 9d 20	.limits.between.the....VyOS3....
174e0	61 6e 64 20 e2 80 9c 56 79 4f 53 31 e2 80 9d 20 72 6f 75 74 65 72 73 2e 20 4c 65 74 27 73 20 73	and....VyOS1....routers..Let's.s
17500	65 74 20 61 20 6c 69 6d 69 74 20 66 6f 72 20 49 50 20 31 30 2e 31 2e 31 2e 31 30 30 20 3d 20 35	et.a.limit.for.IP.10.1.1.100.=.5
17520	20 4d 62 70 73 28 54 78 29 2e 20 57 65 20 77 69 6c 6c 20 63 68 65 63 6b 20 74 68 65 20 72 65 73	.Mbps(Tx)..We.will.check.the.res
17540	75 6c 74 20 6f 66 20 74 68 65 20 77 6f 72 6b 20 77 69 74 68 20 74 68 65 20 68 65 6c 70 20 6f 66	ult.of.the.work.with.the.help.of
17560	20 74 68 65 20 e2 80 9c 69 50 65 72 66 e2 80 9d 20 75 74 69 6c 69 74 79 2e 00 49 6e 20 74 68 65	.the....iPerf....utility..In.the
17580	20 65 6e 64 2c 20 77 65 20 77 69 6c 6c 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 74 72 61 66	.end,.we.will.configure.the.traf
175a0	66 69 63 20 73 68 61 70 65 72 20 75 73 69 6e 67 20 51 6f 53 20 6d 65 63 68 61 6e 69 73 6d 73 20	fic.shaper.using.QoS.mechanisms.
175c0	6f 6e 20 74 68 65 20 e2 80 9c 56 59 4f 53 32 e2 80 9d 20 72 6f 75 74 65 72 2e 00 49 6e 20 74 68	on.the....VYOS2....router..In.th
175e0	65 20 65 6e 64 2c 20 79 6f 75 20 77 69 6c 6c 20 65 6e 64 20 75 70 20 77 69 74 68 20 73 6f 6d 65	e.end,.you.will.end.up.with.some
17600	74 68 69 6e 67 20 6c 69 6b 65 20 74 68 69 73 20 63 6f 6e 66 69 67 2e 20 49 20 74 6f 6f 6b 20 6f	thing.like.this.config..I.took.o
17620	75 74 20 65 76 65 72 79 74 68 69 6e 67 20 62 75 74 20 74 68 65 20 46 69 72 65 77 61 6c 6c 2c 20	ut.everything.but.the.Firewall,.
17640	49 6e 74 65 72 66 61 63 65 73 2c 20 61 6e 64 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 73 65 63 74	Interfaces,.and.zone-policy.sect
17660	69 6f 6e 73 2e 20 49 74 20 69 73 20 6c 6f 6e 67 20 65 6e 6f 75 67 68 20 61 73 20 69 73 2e 00 49	ions..It.is.long.enough.as.is..I
17680	6e 20 74 68 65 20 65 6e 64 2c 20 79 6f 75 27 6c 6c 20 67 65 74 20 61 20 70 6f 77 65 72 66 75 6c	n.the.end,.you'll.get.a.powerful
176a0	20 69 6e 73 74 72 75 6d 65 6e 74 20 66 6f 72 20 6d 6f 6e 69 74 6f 72 69 6e 67 20 74 68 65 20 56	.instrument.for.monitoring.the.V
176c0	79 4f 53 20 73 79 73 74 65 6d 73 2e 00 49 6e 20 74 68 65 20 6e 65 78 74 20 63 68 61 70 74 65 72	yOS.systems..In.the.next.chapter
176e0	20 6f 66 20 74 68 65 20 65 78 61 6d 70 6c 65 2c 20 77 65 27 6c 6c 20 75 73 65 20 74 68 65 20 41	.of.the.example,.we'll.use.the.A
17700	6e 73 69 62 6c 65 20 77 69 74 68 20 6a 69 6e 6a 61 32 20 74 65 6d 70 6c 61 74 65 73 20 61 6e 64	nsible.with.jinja2.templates.and
17720	20 76 61 72 69 61 62 6c 65 73 2e 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 74 68 65 20 68 61	.variables..In.this.case,.the.ha
17740	72 64 77 61 72 65 20 72 6f 75 74 65 72 20 68 61 73 20 61 20 64 69 66 66 65 72 65 6e 74 20 49 50	rdware.router.has.a.different.IP
17760	2c 20 73 6f 20 69 74 20 77 6f 75 6c 64 20 62 65 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 77	,.so.it.would.be.In.this.case,.w
17780	65 20 61 72 65 20 73 65 74 74 69 6e 67 20 74 68 65 20 76 36 20 72 75 6c 65 73 65 74 20 74 68 61	e.are.setting.the.v6.ruleset.tha
177a0	74 20 72 65 70 72 65 73 65 6e 74 73 20 74 72 61 66 66 69 63 20 73 6f 75 72 63 65 64 20 66 72 6f	t.represents.traffic.sourced.fro
177c0	6d 20 74 68 65 20 4c 41 4e 2c 20 64 65 73 74 69 6e 65 64 20 66 6f 72 20 74 68 65 20 44 4d 5a 2e	m.the.LAN,.destined.for.the.DMZ.
177e0	20 42 65 63 61 75 73 65 20 74 68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 66 69 72 65 77 61 6c	.Because.the.zone-policy.firewal
17800	6c 20 73 79 6e 74 61 78 20 69 73 20 61 20 6c 69 74 74 6c 65 20 61 77 6b 77 61 72 64 2c 20 49 20	l.syntax.is.a.little.awkward,.I.
17820	6b 65 65 70 20 69 74 20 73 74 72 61 69 67 68 74 20 62 79 20 74 68 69 6e 6b 69 6e 67 20 6f 66 20	keep.it.straight.by.thinking.of.
17840	69 74 20 62 61 63 6b 77 61 72 64 73 2e 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 77 65 27 6c	it.backwards..In.this.case,.we'l
17860	6c 20 74 72 79 20 74 6f 20 6d 61 6b 65 20 61 20 73 69 6d 70 6c 65 20 6c 61 62 20 75 73 69 6e 67	l.try.to.make.a.simple.lab.using
17880	20 51 6f 53 20 61 6e 64 20 74 68 65 20 67 65 6e 65 72 61 6c 20 61 62 69 6c 69 74 79 20 6f 66 20	.QoS.and.the.general.ability.of.
178a0	74 68 65 20 56 79 4f 53 20 73 79 73 74 65 6d 2e 20 57 65 20 72 65 63 6f 6d 6d 65 6e 64 20 79 6f	the.VyOS.system..We.recommend.yo
178c0	75 20 74 6f 20 67 6f 20 74 68 72 6f 75 67 68 20 74 68 65 20 6d 61 69 6e 20 61 72 74 69 63 6c 65	u.to.go.through.the.main.article
178e0	20 61 62 6f 75 74 20 60 51 6f 53 20 3c 68 74 74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69	.about.`QoS.<https://docs.vyos.i
17900	6f 2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 74 72 61 66 66 69	o/en/latest/configuration/traffi
17920	63 70 6f 6c 69 63 79 2f 69 6e 64 65 78 2e 68 74 6d 6c 3e 60 5f 20 66 69 72 73 74 2e 00 49 6e 20	cpolicy/index.html>`_.first..In.
17940	74 68 69 73 20 64 6f 63 75 6d 65 6e 74 2c 20 77 65 20 68 61 76 65 20 62 65 65 6e 20 61 6c 6c 6f	this.document,.we.have.been.allo
17960	63 61 74 65 64 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32 34 20 62 79 20 6f 75 72 20 75 70 73 74	cated.203.0.113.0/24.by.our.upst
17980	72 65 61 6d 20 70 72 6f 76 69 64 65 72 2c 20 77 68 69 63 68 20 77 65 20 61 72 65 20 70 75 62 6c	ream.provider,.which.we.are.publ
179a0	69 73 68 69 6e 67 20 6f 6e 20 56 4c 41 4e 31 30 30 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70	ishing.on.VLAN100..In.this.examp
179c0	6c 65 20 4f 70 65 6e 56 50 4e 20 77 69 6c 6c 20 62 65 20 73 65 74 75 70 20 77 69 74 68 20 61 20	le.OpenVPN.will.be.setup.with.a.
179e0	63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65 20 61 6e 64 20 75 73 65 72 6e 61 6d 65 20	client.certificate.and.username.
17a00	2f 20 70 61 73 73 77 6f 72 64 20 61 75 74 68 65 6e 74 69 63 61 74 69 6f 6e 2e 00 49 6e 20 74 68	/.password.authentication..In.th
17a20	69 73 20 65 78 61 6d 70 6c 65 20 74 77 6f 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 73 20 65 78	is.example.two.LAN.interfaces.ex
17a40	69 73 74 20 69 6e 20 64 69 66 66 65 72 65 6e 74 20 73 75 62 6e 65 74 73 20 69 6e 73 74 65 61 64	ist.in.different.subnets.instead
17a60	20 6f 66 20 6f 6e 65 20 6c 69 6b 65 20 69 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61	.of.one.like.in.the.previous.exa
17a80	6d 70 6c 65 73 3a 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 77 65 20 68 61 76 65 20 34	mples:.In.this.example.we.have.4
17aa0	20 7a 6f 6e 65 73 2e 20 4c 41 4e 2c 20 57 41 4e 2c 20 44 4d 5a 2c 20 4c 6f 63 61 6c 2e 20 54 68	.zones..LAN,.WAN,.DMZ,.Local..Th
17ac0	65 20 6c 6f 63 61 6c 20 7a 6f 6e 65 20 69 73 20 74 68 65 20 66 69 72 65 77 61 6c 6c 20 69 74 73	e.local.zone.is.the.firewall.its
17ae0	65 6c 66 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 2c 20 65 74 68 30 20 69 73 20 74 68	elf..In.this.example,.eth0.is.th
17b00	65 20 70 72 69 6d 61 72 79 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 65 74 68 31 20 69 73 20	e.primary.interface.and.eth1.is.
17b20	74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 69 6e 74 65 72 66 61 63 65 2e 20 54 6f 20 70 72 6f 76	the.secondary.interface..To.prov
17b40	69 64 65 20 73 69 6d 70 6c 65 20 66 61 69 6c 6f 76 65 72 20 66 75 6e 63 74 69 6f 6e 61 6c 69 74	ide.simple.failover.functionalit
17b60	79 2e 20 49 66 20 65 74 68 30 20 66 61 69 6c 73 2c 20 65 74 68 31 20 74 61 6b 65 73 20 6f 76 65	y..If.eth0.fails,.eth1.takes.ove
17b80	72 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 2c 20 77 65 20 77 69 6c 6c 20 73 65 74 20	r..In.this.example,.we.will.set.
17ba0	75 70 20 61 20 73 69 6d 70 6c 65 20 75 73 65 20 6f 66 20 41 6e 73 69 62 6c 65 20 74 6f 20 63 6f	up.a.simple.use.of.Ansible.to.co
17bc0	6e 66 69 67 75 72 65 20 6d 75 6c 74 69 70 6c 65 20 56 79 6f 53 20 72 6f 75 74 65 72 73 2e 20 57	nfigure.multiple.VyoS.routers..W
17be0	65 20 68 61 76 65 20 66 6f 75 72 20 70 72 65 2d 63 6f 6e 66 69 67 75 72 65 64 20 72 6f 75 74 65	e.have.four.pre-configured.route
17c00	72 73 20 77 69 74 68 20 74 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 6e 62 6f	rs.with.this.configuration:.Inbo
17c20	75 6e 64 20 57 41 4e 20 63 6f 6e 6e 65 63 74 20 74 6f 20 44 4d 5a 20 68 6f 73 74 2e 00 49 6e 66	und.WAN.connect.to.DMZ.host..Inf
17c40	6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 45 74 68 65 72 6e 65 74 20 56 69 72 74 75 61 6c 20	ormation.about.Ethernet.Virtual.
17c60	50 72 69 76 61 74 65 20 4e 65 74 77 6f 72 6b 73 00 49 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f	Private.Networks.Information.abo
17c80	75 74 20 70 72 65 66 69 78 2d 73 69 64 20 61 6e 64 20 6c 61 62 65 6c 2d 6f 70 65 72 61 74 69 6f	ut.prefix-sid.and.label-operatio
17ca0	6e 20 66 72 6f 6d 20 56 79 4f 53 00 49 6e 73 74 61 6c 6c 20 74 68 65 20 41 6e 73 69 62 6c 65 3a	n.from.VyOS.Install.the.Ansible:
17cc0	00 49 6e 73 74 61 6c 6c 20 74 68 65 20 70 61 72 61 6d 69 6b 6f 3a 00 49 6e 74 65 72 2d 56 52 46	.Install.the.paramiko:.Inter-VRF
17ce0	20 52 6f 75 74 69 6e 67 20 6f 76 65 72 20 56 52 46 20 4c 69 74 65 00 49 6e 74 65 72 2d 56 52 46	.Routing.over.VRF.Lite.Inter-VRF
17d00	20 72 6f 75 74 69 6e 67 20 69 73 20 61 20 77 65 6c 6c 2d 6b 6e 6f 77 6e 20 73 6f 6c 75 74 69 6f	.routing.is.a.well-known.solutio
17d20	6e 20 74 6f 20 61 64 64 72 65 73 73 20 63 6f 6d 70 6c 65 78 20 72 6f 75 74 69 6e 67 20 73 63 65	n.to.address.complex.routing.sce
17d40	6e 61 72 69 6f 73 20 74 68 61 74 20 65 6e 61 62 6c 65 20 2d 69 6e 20 61 20 64 79 6e 61 6d 69 63	narios.that.enable.-in.a.dynamic
17d60	20 77 61 79 2d 20 74 6f 20 6c 65 61 6b 20 72 6f 75 74 65 73 20 62 65 74 77 65 65 6e 20 56 52 46	.way-.to.leak.routes.between.VRF
17d80	73 2e 20 49 73 20 72 65 63 6f 6d 6d 65 6e 64 65 64 20 74 6f 20 74 61 6b 65 20 73 70 65 63 69 61	s..Is.recommended.to.take.specia
17da0	6c 20 63 6f 6e 73 69 64 65 72 61 74 69 6f 6e 20 77 68 69 6c 65 20 64 65 73 69 67 6e 69 6e 67 20	l.consideration.while.designing.
17dc0	72 6f 75 74 65 2d 74 61 72 67 65 74 73 20 61 6e 64 20 69 74 73 20 61 70 70 6c 69 63 61 74 69 6f	route-targets.and.its.applicatio
17de0	6e 20 61 73 20 69 74 20 63 61 6e 20 6d 69 6e 69 6d 69 7a 65 20 66 75 74 75 72 65 20 69 6e 74 65	n.as.it.can.minimize.future.inte
17e00	72 76 65 6e 74 69 6f 6e 73 20 77 68 69 6c 65 20 63 72 65 61 74 69 6e 67 20 61 20 6e 65 77 20 56	rventions.while.creating.a.new.V
17e20	52 46 20 77 69 6c 6c 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 20 74 61 6b 65 20 74 68 65 20 64	RF.will.automatically.take.the.d
17e40	65 73 69 72 65 64 20 65 66 66 65 63 74 20 69 6e 20 69 74 73 20 70 72 6f 70 61 67 61 74 69 6f 6e	esired.effect.in.its.propagation
17e60	2e 00 49 6e 74 65 72 66 61 63 65 20 61 6e 64 20 72 6f 75 74 69 6e 67 20 63 6f 6e 66 69 67 75 72	..Interface.and.routing.configur
17e80	61 74 69 6f 6e 3a 00 49 6e 74 65 72 6e 61 6c 20 4e 65 74 77 6f 72 6b 00 49 6e 74 65 72 6e 65 74	ation:.Internal.Network.Internet
17ea0	00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43	.Internet.-.192.168.200.100.-.TC
17ec0	50 2f 32 35 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20	P/25.Internet.-.192.168.200.100.
17ee0	2d 20 54 43 50 2f 34 34 33 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30	-.TCP/443.Internet.-.192.168.200
17f00	2e 31 30 30 20 2d 20 54 43 50 2f 35 33 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38	.100.-.TCP/53.Internet.-.192.168
17f20	2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 38 30 00 49 74 20 69 73 20 61 73 73 75 6d 65 64 20	.200.100.-.TCP/80.It.is.assumed.
17f40	74 68 61 74 20 74 68 65 20 72 6f 75 74 65 72 73 20 70 72 6f 76 69 64 65 64 20 62 79 20 75 70 73	that.the.routers.provided.by.ups
17f60	74 72 65 61 6d 20 61 72 65 20 63 61 70 61 62 6c 65 20 6f 66 20 61 63 74 69 6e 67 20 61 73 20 61	tream.are.capable.of.acting.as.a
17f80	20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 2c 20 61 64 64 20 74 68 61 74 20 61 73 20 61 20 73	.default.router,.add.that.as.a.s
17fa0	74 61 74 69 63 20 72 6f 75 74 65 2e 00 49 74 20 69 73 20 67 6f 6f 64 20 70 72 61 63 74 69 63 65	tatic.route..It.is.good.practice
17fc0	20 74 6f 20 6c 6f 67 20 62 6f 74 68 20 61 63 63 65 70 74 65 64 20 61 6e 64 20 64 65 6e 69 65 64	.to.log.both.accepted.and.denied
17fe0	20 74 72 61 66 66 69 63 2e 20 49 74 20 63 61 6e 20 73 61 76 65 20 79 6f 75 20 73 69 67 6e 69 66	.traffic..It.can.save.you.signif
18000	69 63 61 6e 74 20 68 65 61 64 61 63 68 65 73 20 77 68 65 6e 20 74 72 79 69 6e 67 20 74 6f 20 74	icant.headaches.when.trying.to.t
18020	72 6f 75 62 6c 65 73 68 6f 6f 74 20 61 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 73 73 75 65	roubleshoot.a.connectivity.issue
18040	2e 00 49 74 20 77 69 6c 6c 20 6c 6f 6f 6b 20 73 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 20 74 68	..It.will.look.something.like.th
18060	69 73 3a 00 49 74 27 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 6e 6f 74 65 20 74 68 61 74 20	is:.It's.important.to.note.that.
18080	61 6c 6c 20 79 6f 75 72 20 65 78 69 73 74 69 6e 67 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73	all.your.existing.configurations
180a0	20 77 69 6c 6c 20 62 65 20 6d 69 67 72 61 74 65 64 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 20	.will.be.migrated.automatically.
180c0	6f 6e 20 69 6d 61 67 65 20 75 70 67 72 61 64 65 2e 20 4e 6f 74 68 69 6e 67 20 74 6f 20 64 6f 20	on.image.upgrade..Nothing.to.do.
180e0	6f 6e 20 79 6f 75 72 20 73 69 64 65 2e 00 4b 65 65 70 20 6e 65 74 77 6f 72 6b 73 20 69 73 6f 6c	on.your.side..Keep.networks.isol
18100	61 74 65 64 20 69 73 20 2d 69 6e 20 67 65 6e 65 72 61 6c 2d 20 61 20 67 6f 6f 64 20 70 72 69 6e	ated.is.-in.general-.a.good.prin
18120	63 69 70 6c 65 2c 20 62 75 74 20 74 68 65 72 65 20 61 72 65 20 63 61 73 65 73 20 77 68 65 72 65	ciple,.but.there.are.cases.where
18140	20 79 6f 75 20 6d 69 67 68 74 20 6e 65 65 64 20 74 68 61 74 20 73 6f 6d 65 20 6e 65 74 77 6f 72	.you.might.need.that.some.networ
18160	6b 20 63 61 6e 20 61 63 63 65 73 73 20 6f 74 68 65 72 20 69 6e 20 61 20 64 69 66 66 65 72 65 6e	k.can.access.other.in.a.differen
18180	74 20 56 52 46 2e 00 4c 33 56 50 4e 20 45 56 50 4e 20 77 69 74 68 20 56 79 4f 53 00 4c 33 56 50	t.VRF..L3VPN.EVPN.with.VyOS.L3VP
181a0	4e 20 45 56 50 4e 20 77 69 74 68 20 56 79 4f 53 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00	N.EVPN.with.VyOS.topology.image.
181c0	4c 33 56 50 4e 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 70 61 72 61 6d 65 74 65 72 73 20 74	L3VPN.configuration.parameters.t
181e0	61 62 6c 65 3a 00 4c 33 56 50 4e 20 66 6f 72 20 48 75 62 2d 61 6e 64 2d 53 70 6f 6b 65 20 63 6f	able:.L3VPN.for.Hub-and-Spoke.co
18200	6e 6e 65 63 74 69 76 69 74 79 20 77 69 74 68 20 56 79 4f 53 00 4c 41 4e 20 31 00 4c 41 4e 20 32	nnectivity.with.VyOS.LAN.1.LAN.2
18220	00 4c 41 4e 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 4c 41 4e 20 61 6e 64 20 44 4d 5a 20 68	.LAN.Configuration.LAN.and.DMZ.h
18240	6f 73 74 73 20 68 61 76 65 20 62 61 73 69 63 20 6f 75 74 62 6f 75 6e 64 20 61 63 63 65 73 73 3a	osts.have.basic.outbound.access:
18260	20 57 65 62 2c 20 46 54 50 2c 20 53 53 48 2e 00 4c 41 4e 20 63 61 6e 20 61 63 63 65 73 73 20 44	.Web,.FTP,.SSH..LAN.can.access.D
18280	4d 5a 20 72 65 73 6f 75 72 63 65 73 2e 00 4c 41 4e 2c 20 57 41 4e 2c 20 44 4d 5a 2c 20 6c 6f 63	MZ.resources..LAN,.WAN,.DMZ,.loc
182a0	61 6c 20 61 6e 64 20 54 55 4e 20 28 74 75 6e 6e 65 6c 29 00 4c 41 4e 31 00 4c 41 4e 31 20 74 6f	al.and.TUN.(tunnel).LAN1.LAN1.to
182c0	20 4c 41 4e 32 00 4c 41 4e 31 20 74 6f 20 4f 75 74 73 69 64 65 00 4c 41 4e 32 00 4c 65 74 e2 80	.LAN2.LAN1.to.Outside.LAN2.Let..
182e0	99 73 20 63 68 65 63 6b 20 49 50 76 34 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 4d 50 4c 53 20 69	.s.check.IPv4.routing.and.MPLS.i
18300	6e 66 6f 72 6d 61 74 69 6f 6e 20 6f 6e 20 70 72 6f 76 69 64 65 72 20 6e 6f 64 65 73 20 28 73 61	nformation.on.provider.nodes.(sa
18320	6d 65 20 70 72 6f 63 65 64 75 72 65 20 66 6f 72 20 61 6c 6c 20 50 20 6e 6f 64 65 73 29 3a 00 4c	me.procedure.for.all.P.nodes):.L
18340	65 74 e2 80 99 73 20 73 61 79 20 77 65 20 68 61 76 65 20 61 20 72 65 71 75 69 72 65 6d 65 6e 74	et...s.say.we.have.a.requirement
18360	20 74 6f 20 68 61 76 65 20 6d 75 6c 74 69 70 6c 65 20 6e 65 74 77 6f 72 6b 73 2e 00 4c 6f 63 61	.to.have.multiple.networks..Loca
18380	6c 20 73 75 62 6e 65 74 73 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 72 65 61 63	l.subnets.should.be.able.to.reac
183a0	68 20 69 6e 74 65 72 6e 65 74 20 75 73 69 6e 67 20 73 6f 75 72 63 65 20 6e 61 74 2e 00 4d 50 2d	h.internet.using.source.nat..MP-
183c0	42 47 50 20 6f 72 20 4d 75 6c 74 69 50 72 6f 74 6f 63 6f 6c 20 42 47 50 20 69 6e 74 72 6f 64 75	BGP.or.MultiProtocol.BGP.introdu
183e0	63 65 73 20 74 77 6f 20 6d 61 69 6e 20 63 6f 6e 63 65 70 74 73 20 74 6f 20 73 6f 6c 76 65 20 74	ces.two.main.concepts.to.solve.t
18400	68 69 73 20 6c 69 6d 69 74 61 74 69 6f 6e 3a 20 2d 20 52 6f 75 74 65 20 44 69 73 74 69 6e 67 75	his.limitation:.-.Route.Distingu
18420	69 73 68 65 72 20 28 52 44 29 3a 20 49 73 20 75 73 65 64 20 74 6f 20 64 69 73 74 69 6e 67 75 69	isher.(RD):.Is.used.to.distingui
18440	73 68 20 62 65 74 77 65 65 6e 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 e2 80 93 63 61 6c	sh.between.different.VRFs....cal
18460	6c 65 64 20 56 50 4e 73 2d 20 69 6e 73 69 64 65 20 74 68 65 20 42 47 50 20 50 72 6f 63 65 73 73	led.VPNs-.inside.the.BGP.Process
18480	2e 20 54 68 65 20 52 44 20 69 73 20 61 70 70 65 6e 64 65 64 20 74 6f 20 65 61 63 68 20 49 50 76	..The.RD.is.appended.to.each.IPv
184a0	34 20 4e 65 74 77 6f 72 6b 20 74 68 61 74 20 69 73 20 61 64 76 65 72 74 69 73 65 64 20 69 6e 74	4.Network.that.is.advertised.int
184c0	6f 20 42 47 50 20 66 6f 72 20 74 68 61 74 20 56 50 4e 20 6d 61 6b 69 6e 67 20 69 74 20 61 20 75	o.BGP.for.that.VPN.making.it.a.u
184e0	6e 69 71 75 65 20 56 50 4e 76 34 20 72 6f 75 74 65 2e 20 2d 20 52 6f 75 74 65 20 54 61 72 67 65	nique.VPNv4.route..-.Route.Targe
18500	74 20 28 52 54 29 3a 20 54 68 69 73 20 69 73 20 61 6e 20 65 78 74 65 6e 64 65 64 20 42 47 50 20	t.(RT):.This.is.an.extended.BGP.
18520	63 6f 6d 6d 75 6e 69 74 79 20 61 70 70 65 6e 64 20 74 6f 20 74 68 65 20 56 50 4e 76 34 20 72 6f	community.append.to.the.VPNv4.ro
18540	75 74 65 20 69 6e 20 74 68 65 20 49 6d 70 6f 72 74 2f 45 78 70 6f 72 74 20 70 72 6f 63 65 73 73	ute.in.the.Import/Export.process
18560	2e 20 57 68 65 6e 20 61 20 72 6f 75 74 65 20 70 61 73 73 65 73 20 66 72 6f 6d 20 74 68 65 20 56	..When.a.route.passes.from.the.V
18580	52 46 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 6e 74 6f 20 74 68 65 20 42 47 50 20 70 72	RF.routing.table.into.the.BGP.pr
185a0	6f 63 65 73 73 20 69 74 20 77 69 6c 6c 20 61 64 64 20 74 68 65 20 63 6f 6e 66 69 67 75 72 65 64	ocess.it.will.add.the.configured
185c0	20 65 78 70 6f 72 74 20 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 28 69 65 73 29 20	.export.extended.community(ies).
185e0	66 6f 72 20 74 68 61 74 20 56 50 4e 2e 20 57 68 65 6e 20 74 68 61 74 20 72 6f 75 74 65 20 6e 65	for.that.VPN..When.that.route.ne
18600	65 64 73 20 74 6f 20 67 6f 20 66 72 6f 6d 20 42 47 50 20 69 6e 74 6f 20 74 68 65 20 56 52 46 20	eds.to.go.from.BGP.into.the.VRF.
18620	72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 77 69 6c 6c 20 6f 6e 6c 79 20 70 61 73 73 20 69 66 20	routing.table.will.only.pass.if.
18640	74 68 61 74 20 67 69 76 65 6e 20 56 50 4e 20 69 6d 70 6f 72 74 20 70 6f 6c 69 63 79 20 6d 61 74	that.given.VPN.import.policy.mat
18660	63 68 65 73 20 61 6e 79 20 6f 66 20 74 68 65 20 61 70 70 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69	ches.any.of.the.appended.communi
18680	74 79 28 69 65 73 29 20 69 6e 74 6f 20 74 68 61 74 20 70 72 65 66 69 78 2e 00 4d 61 69 6e 20 72	ty(ies).into.that.prefix..Main.r
186a0	75 6c 65 73 3a 00 4d 61 6b 65 20 73 75 72 65 20 79 6f 75 20 63 61 6e 20 70 69 6e 67 20 31 30 2e	ules:.Make.sure.you.can.ping.10.
186c0	32 35 34 2e 36 30 2e 31 20 61 6e 64 20 2e 32 20 66 72 6f 6d 20 62 6f 74 68 20 72 6f 75 74 65 72	254.60.1.and..2.from.both.router
186e0	73 2e 00 4d 61 6e 61 67 65 6d 65 6e 74 00 4d 61 6e 61 67 65 6d 65 6e 74 20 56 52 46 00 4d 61 6e	s..Management.Management.VRF.Man
18700	79 20 6f 74 68 65 72 20 48 79 70 65 72 76 69 73 6f 72 73 20 64 6f 20 74 68 69 73 2c 20 61 6e 64	y.other.Hypervisors.do.this,.and
18720	20 49 27 6d 20 68 6f 70 69 6e 67 20 74 68 61 74 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77	.I'm.hoping.that.this.document.w
18740	69 6c 6c 20 62 65 20 65 78 70 61 6e 64 65 64 20 74 6f 20 64 6f 63 75 6d 65 6e 74 20 68 6f 77 20	ill.be.expanded.to.document.how.
18760	74 6f 20 64 6f 20 74 68 69 73 20 66 6f 72 20 6f 74 68 65 72 73 2e 00 4d 61 73 71 75 65 72 61 64	to.do.this.for.others..Masquerad
18780	65 20 54 72 61 66 66 69 63 20 6f 72 69 67 69 6e 61 74 69 6e 67 20 66 72 6f 6d 20 31 30 2e 32 30	e.Traffic.originating.from.10.20
187a0	30 2e 32 30 31 2e 30 2f 32 34 20 74 68 61 74 20 69 73 20 68 65 61 64 69 6e 67 20 6f 75 74 20 74	0.201.0/24.that.is.heading.out.t
187c0	68 65 20 70 75 62 6c 69 63 20 69 6e 74 65 72 66 61 63 65 2e 00 4d 6f 6e 69 74 6f 72 69 6e 67 00	he.public.interface..Monitoring.
187e0	4d 75 6c 74 69 70 6c 65 20 4c 41 4e 2f 44 4d 5a 20 53 65 74 75 70 00 4e 41 54 20 61 6e 64 20 63	Multiple.LAN/DMZ.Setup.NAT.and.c
18800	6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 00 4e 4d 50 20 65 78 61 6d 70 6c 65 00 4e 61 74 69 76 65	onntrack-sync.NMP.example.Native
18820	20 49 50 76 34 20 61 6e 64 20 49 50 76 36 00 4e 65 74 77 6f 72 6b 20 43 61 62 6c 69 6e 67 00 4e	.IPv4.and.IPv6.Network.Cabling.N
18840	65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79	etwork.Topology.Network.Topology
18860	20 44 69 61 67 72 61 6d 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 20 61 6e 64 20 72 65	.Diagram.Network.Topology.and.re
18880	71 75 69 72 65 6d 65 6e 74 73 00 4e 65 78 74 20 6f 6e 20 74 68 65 20 72 6f 75 74 65 72 20 56 79	quirements.Next.on.the.router.Vy
188a0	4f 53 32 20 77 65 20 77 69 6c 6c 20 63 68 61 6e 67 65 20 6c 61 62 65 6c 73 20 6f 6e 20 61 6c 6c	OS2.we.will.change.labels.on.all
188c0	20 69 6e 63 6f 6d 69 6e 67 20 74 72 61 66 66 69 63 20 6f 6e 6c 79 20 66 72 6f 6d 20 43 53 34 2d	.incoming.traffic.only.from.CS4-
188e0	3e 20 43 53 36 00 4e 65 78 74 20 74 68 69 6e 67 20 74 6f 20 64 6f 2c 20 69 73 20 74 6f 20 63 72	>.CS6.Next.thing.to.do,.is.to.cr
18900	65 61 74 65 20 61 20 77 69 72 65 67 75 61 72 64 20 6b 65 79 70 61 69 72 20 6f 6e 20 65 61 63 68	eate.a.wireguard.keypair.on.each
18920	20 73 69 64 65 2e 20 41 66 74 65 72 20 74 68 69 73 2c 20 74 68 65 20 70 75 62 6c 69 63 20 6b 65	.side..After.this,.the.public.ke
18940	79 20 63 61 6e 20 62 65 20 64 69 73 70 6c 61 79 65 64 2c 20 74 6f 20 73 61 76 65 20 66 6f 72 20	y.can.be.displayed,.to.save.for.
18960	6c 61 74 65 72 2e 00 4e 65 78 74 2c 20 77 65 20 77 69 6c 6c 20 72 65 70 6c 61 63 65 20 6f 6e 6c	later..Next,.we.will.replace.onl
18980	79 20 61 6c 6c 20 43 53 34 20 6c 61 62 65 6c 73 20 6f 6e 20 74 68 65 20 e2 80 9c 56 79 4f 53 32	y.all.CS4.labels.on.the....VyOS2
189a0	e2 80 9d 20 72 6f 75 74 65 72 2e 00 4e 65 78 74 2c 20 79 6f 75 20 6a 75 73 74 20 20 73 68 6f 75	....router..Next,.you.just..shou
189c0	6c 64 20 66 6f 6c 6c 6f 77 20 74 68 65 20 70 69 63 74 75 72 65 73 3a 00 4e 6f 64 65 00 4e 6f 74	ld.follow.the.pictures:.Node.Not
189e0	65 20 74 68 61 74 20 72 6f 75 74 65 72 31 20 69 73 20 61 20 56 4d 20 74 68 61 74 20 72 75 6e 73	e.that.router1.is.a.VM.that.runs
18a00	20 6f 6e 20 6f 6e 65 20 6f 66 20 74 68 65 20 63 6f 6d 70 75 74 65 20 6e 6f 64 65 73 2e 00 4e 6f	.on.one.of.the.compute.nodes..No
18a20	74 65 20 74 6f 20 61 6c 6c 6f 77 20 74 68 65 20 72 6f 75 74 65 72 20 74 6f 20 72 65 63 65 69 76	te.to.allow.the.router.to.receiv
18a40	65 20 44 48 43 50 76 36 20 72 65 73 70 6f 6e 73 65 20 66 72 6f 6d 20 49 53 50 2e 20 57 65 20 6e	e.DHCPv6.response.from.ISP..We.n
18a60	65 65 64 20 74 6f 20 61 6c 6c 6f 77 20 70 61 63 6b 65 74 73 20 77 69 74 68 20 73 6f 75 72 63 65	eed.to.allow.packets.with.source
18a80	20 70 6f 72 74 20 35 34 37 20 28 73 65 72 76 65 72 29 20 61 6e 64 20 64 65 73 74 69 6e 61 74 69	.port.547.(server).and.destinati
18aa0	6f 6e 20 70 6f 72 74 20 35 34 36 20 28 63 6c 69 65 6e 74 29 2e 00 4e 6f 74 69 63 65 2c 20 6e 6f	on.port.546.(client)..Notice,.no
18ac0	6e 65 20 67 6f 20 74 6f 20 57 41 4e 20 73 69 6e 63 65 20 57 41 4e 20 77 6f 75 6c 64 6e 27 74 20	ne.go.to.WAN.since.WAN.wouldn't.
18ae0	68 61 76 65 20 61 20 76 36 20 61 64 64 72 65 73 73 20 6f 6e 20 69 74 2e 00 4e 6f 77 20 65 6e 61	have.a.v6.address.on.it..Now.ena
18b00	62 6c 65 20 72 65 70 6c 69 63 61 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 6e 6f 64 65 73 2e 20 52	ble.replication.between.nodes..R
18b20	65 70 6c 61 63 65 20 65 74 68 30 2e 32 30 31 20 77 69 74 68 20 62 6f 6e 64 30 2e 32 30 31 20 6f	eplace.eth0.201.with.bond0.201.o
18b40	6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 4e 6f 77 20 67 65 6e 65 72	n.the.hardware.router..Now.gener
18b60	61 74 65 20 61 6c 6c 20 72 65 71 75 69 72 65 64 20 63 65 72 74 69 66 69 63 61 74 65 73 20 6f 6e	ate.all.required.certificates.on
18b80	20 74 68 65 20 6f 76 70 6e 2d 73 65 72 76 65 72 3a 00 4e 6f 77 20 74 68 65 20 43 6c 69 65 6e 74	.the.ovpn-server:.Now.the.Client
18ba0	20 69 73 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 61 20 70 75 62 6c 69 63 20 49 50 76 36 20 61	.is.able.to.ping.a.public.IPv6.a
18bc0	64 64 72 65 73 73 00 4e 6f 77 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 73 65 74 75 70 20	ddress.Now.we.are.able.to.setup.
18be0	74 68 65 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 2e 00 4e 6f 77 20 77 65 20 70 65 72	the.tunnel.interface..Now.we.per
18c00	66 6f 72 6d 20 73 6f 6d 65 20 65 6e 64 2d 74 6f 2d 65 6e 64 20 74 65 73 74 69 6e 67 00 4e 6f 77	form.some.end-to-end.testing.Now
18c20	20 77 65 e2 80 99 72 65 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 73 74 61 74 75 73 20 61 6e	.we...re.checking.iBGP.status.an
18c40	64 20 72 6f 75 74 65 73 20 66 72 6f 6d 20 72 6f 75 74 65 2d 72 65 66 6c 65 63 74 6f 72 20 6e 6f	d.routes.from.route-reflector.no
18c60	64 65 73 20 74 6f 20 6f 74 68 65 72 20 64 65 76 69 63 65 73 3a 00 4e 6f 77 20 79 6f 75 20 73 68	des.to.other.devices:.Now.you.sh
18c80	6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 61 20 70 75 62 6c 69 63 20 49 50	ould.be.able.to.ping.a.public.IP
18ca0	76 36 20 41 64 64 72 65 73 73 00 4e 6f 77 2c 20 6c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 72 6f	v6.Address.Now,.let...s.check.ro
18cc0	75 74 69 6e 67 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 6f 6e 20 6f 75 74 20 48 75 62 20 50 45 3a	uting.information.on.out.Hub.PE:
18ce0	00 4f 53 50 46 20 4f 76 65 72 20 57 69 72 65 47 75 61 72 64 00 4f 53 50 46 20 75 6e 6e 75 6d 62	.OSPF.Over.WireGuard.OSPF.unnumb
18d00	65 72 65 64 20 77 69 74 68 20 45 43 4d 50 00 4f 6e 20 74 68 65 20 72 6f 75 74 65 72 2c 20 56 79	ered.with.ECMP.On.the.router,.Vy
18d20	4f 53 34 20 73 65 74 20 61 6c 6c 20 74 72 61 66 66 69 63 20 61 73 20 43 53 34 2e 20 57 65 20 68	OS4.set.all.traffic.as.CS4..We.h
18d40	61 76 65 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 64 65 66 61 75 6c 74 20 63 6c 61	ave.to.configure.the.default.cla
18d60	73 73 20 61 6e 64 20 63 6c 61 73 73 20 66 6f 72 20 63 68 61 6e 67 69 6e 67 20 61 6c 6c 20 6c 61	ss.and.class.for.changing.all.la
18d80	62 65 6c 73 20 66 72 6f 6d 20 43 53 30 20 74 6f 20 43 53 34 00 4f 6e 2d 70 72 65 6d 69 73 65 73	bels.from.CS0.to.CS4.On-premises
18da0	20 61 64 64 72 65 73 73 20 73 70 61 63 65 00 4f 6e 63 65 20 61 6c 6c 20 72 6f 75 74 65 72 73 20	.address.space.Once.all.routers.
18dc0	63 61 6e 20 62 65 20 73 61 66 65 6c 79 20 72 65 6d 6f 74 65 6c 79 20 6d 61 6e 61 67 65 64 20 61	can.be.safely.remotely.managed.a
18de0	6e 64 20 74 68 65 20 63 6f 72 65 20 6e 65 74 77 6f 72 6b 20 69 73 20 6f 70 65 72 61 74 69 6f 6e	nd.the.core.network.is.operation
18e00	61 6c 2c 20 77 65 20 63 61 6e 20 6e 6f 77 20 73 65 74 75 70 20 74 68 65 20 74 65 6e 61 6e 74 20	al,.we.can.now.setup.the.tenant.
18e20	6e 65 74 77 6f 72 6b 73 2e 00 4f 6e 63 65 20 61 6c 6c 20 74 68 65 20 72 65 71 75 69 72 65 64 20	networks..Once.all.the.required.
18e40	63 65 72 74 69 66 69 63 61 74 65 73 20 61 6e 64 20 6b 65 79 73 20 61 72 65 20 69 6e 73 74 61 6c	certificates.and.keys.are.instal
18e60	6c 65 64 2c 20 74 68 65 20 72 65 6d 61 69 6e 69 6e 67 20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65	led,.the.remaining.OpenVPN.Serve
18e80	72 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 63 61 72 72 69 65 64 20 6f	r.configuration.can.be.carried.o
18ea0	75 74 2e 00 4f 6e 63 65 20 79 6f 75 20 68 61 76 65 20 61 6c 6c 20 6f 66 20 79 6f 75 72 20 72 75	ut..Once.you.have.all.of.your.ru
18ec0	6c 65 73 65 74 73 20 62 75 69 6c 74 2c 20 74 68 65 6e 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 63	lesets.built,.then.you.need.to.c
18ee0	72 65 61 74 65 20 79 6f 75 72 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 2e 00 4f 6e 65 20 61 64 76 61	reate.your.zone-policy..One.adva
18f00	6e 74 61 67 65 20 6f 66 20 68 61 76 69 6e 67 20 74 68 65 20 63 6c 69 65 6e 74 20 63 65 72 74 69	ntage.of.having.the.client.certi
18f20	66 69 63 61 74 65 20 73 74 6f 72 65 64 20 69 73 20 74 68 65 20 61 62 69 6c 69 74 79 20 74 6f 20	ficate.stored.is.the.ability.to.
18f40	63 72 65 61 74 65 20 74 68 65 20 63 6c 69 65 6e 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e	create.the.client.configuration.
18f60	00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65	.One.cable/logical.connection.be
18f80	74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 49 6e 74 65 72 6e 65 74 00 4f 6e 65 20 63 61 62 6c	tween.LAN1.and.Internet.One.cabl
18fa0	65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e	e/logical.connection.between.LAN
18fc0	31 20 61 6e 64 20 4c 41 4e 32 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e	1.and.LAN2.One.cable/logical.con
18fe0	6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 4d 61 6e 61 67 65 6d	nection.between.LAN1.and.Managem
19000	65 6e 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e	ent.One.cable/logical.connection
19020	20 62 65 74 77 65 65 6e 20 4c 41 4e 32 20 61 6e 64 20 49 6e 74 65 72 6e 65 74 00 4f 6e 65 20 63	.between.LAN2.and.Internet.One.c
19040	61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20	able/logical.connection.between.
19060	4c 41 4e 32 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 00 4f 70 65 6e 56 50 4e 20 77 69 74 68	LAN2.and.Management.OpenVPN.with
19080	20 4c 44 41 50 00 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 4c 44 41 50 20 74 6f 70 6f 6c 6f 67 79	.LDAP.OpenVPN.with.LDAP.topology
190a0	20 69 6d 61 67 65 00 4f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 3a 20 56 79 4f 53 00 4f 75	.image.Operating.system:.VyOS.Ou
190c0	72 20 69 6d 70 6c 65 6d 65 6e 74 61 74 69 6f 6e 20 75 73 65 73 20 56 4d 77 61 72 65 27 73 20 44	r.implementation.uses.VMware's.D
190e0	69 73 74 72 69 62 75 74 65 64 20 50 6f 72 74 20 47 72 6f 75 70 73 2c 20 77 68 69 63 68 20 61 6c	istributed.Port.Groups,.which.al
19100	6c 6f 77 73 20 56 4d 77 61 72 65 20 74 6f 20 75 73 65 20 4c 41 43 50 2e 20 54 68 69 73 20 69 73	lows.VMware.to.use.LACP..This.is
19120	20 61 20 70 61 72 74 20 6f 66 20 74 68 65 20 45 4e 54 45 52 50 52 49 53 45 20 6c 69 63 65 6e 63	.a.part.of.the.ENTERPRISE.licenc
19140	65 2c 20 61 6e 64 20 69 73 20 6e 6f 74 20 61 76 61 69 6c 61 62 6c 65 20 6f 6e 20 61 20 66 72 65	e,.and.is.not.available.on.a.fre
19160	65 20 6c 69 63 65 6e 63 65 2e 20 49 66 20 79 6f 75 20 61 72 65 20 69 6d 70 6c 65 6d 65 6e 74 69	e.licence..If.you.are.implementi
19180	6e 67 20 74 68 69 73 20 61 6e 64 20 64 6f 20 6e 6f 74 20 68 61 76 65 20 61 63 63 65 73 73 20 74	ng.this.and.do.not.have.access.t
191a0	6f 20 44 50 47 73 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 74 20 75 73 65 20 56 4d 77 61 72	o.DPGs,.you.should.not.use.VMwar
191c0	65 2c 20 61 6e 64 20 75 73 65 20 73 6f 6d 65 20 6f 74 68 65 72 20 76 69 72 74 75 61 6c 69 7a 61	e,.and.use.some.other.virtualiza
191e0	74 69 6f 6e 20 70 6c 61 74 66 6f 72 6d 20 69 6e 73 74 65 61 64 2e 00 4f 75 72 20 72 6f 75 74 65	tion.platform.instead..Our.route
19200	72 73 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 68 61 76 65 20 61 20 66 6c 6f 61 74 69 6e 67 20	rs.are.going.to.have.a.floating.
19220	49 50 20 61 64 64 72 65 73 73 20 6f 66 20 32 30 33 2e 30 2e 31 31 33 2e 31 2c 20 61 6e 64 20 75	IP.address.of.203.0.113.1,.and.u
19240	73 65 20 2e 32 20 61 6e 64 20 2e 33 20 61 73 20 74 68 65 69 72 20 66 69 78 65 64 20 49 50 73 2e	se..2.and..3.as.their.fixed.IPs.
19260	00 4f 76 65 72 76 69 65 77 00 50 45 31 00 50 45 31 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20	.Overview.PE1.PE1.is.located.in.
19280	61 6e 20 69 6e 64 75 73 74 72 69 61 6c 20 61 72 65 61 20 74 68 61 74 20 68 6f 6c 64 73 20 6d 75	an.industrial.area.that.holds.mu
192a0	6c 74 69 70 6c 65 20 6f 66 66 69 63 65 20 62 75 69 6c 64 69 6e 67 73 2e 20 41 6c 6c 20 63 75 73	ltiple.office.buildings..All.cus
192c0	74 6f 6d 65 72 73 20 68 61 76 65 20 61 20 73 69 74 65 20 69 6e 20 74 68 69 73 20 61 72 65 61 2e	tomers.have.a.site.in.this.area.
192e0	00 50 45 32 00 50 45 32 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 20 73 6d 61 6c 6c 65 72	.PE2.PE2.is.located.in.a.smaller
19300	20 61 72 65 61 20 77 68 65 72 65 20 62 79 20 63 6f 69 6e 63 69 64 65 6e 63 65 20 74 77 6f 20 63	.area.where.by.coincidence.two.c
19320	75 73 74 6f 6d 65 72 73 20 28 62 6c 75 65 20 61 6e 64 20 72 65 64 29 20 73 68 61 72 65 20 61 6e	ustomers.(blue.and.red).share.an
19340	20 6f 66 66 69 63 65 20 62 75 69 6c 64 69 6e 67 2e 00 50 45 33 00 50 45 33 20 69 73 20 6c 6f 63	.office.building..PE3.PE3.is.loc
19360	61 74 65 64 20 69 6e 20 61 20 73 6d 61 6c 6c 65 72 20 61 72 65 61 20 77 68 65 72 65 20 62 79 20	ated.in.a.smaller.area.where.by.
19380	63 6f 69 6e 63 69 64 65 6e 63 65 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 73 20 28 62 6c 75 65 20	coincidence.two.customers.(blue.
193a0	61 6e 64 20 67 72 65 65 6e 29 20 61 72 65 20 6c 6f 63 61 74 65 64 2e 00 50 50 50 6f 45 20 49 50	and.green).are.located..PPPoE.IP
193c0	76 36 20 42 61 73 69 63 20 53 65 74 75 70 20 66 6f 72 20 48 6f 6d 65 20 4e 65 74 77 6f 72 6b 00	v6.Basic.Setup.for.Home.Network.
193e0	50 50 50 6f 45 20 53 65 74 75 70 00 50 69 6e 67 20 62 65 74 77 65 65 6e 20 56 79 4f 53 2d 50 31	PPPoE.Setup.Ping.between.VyOS-P1
19400	20 2f 20 56 79 4f 53 2d 50 32 20 74 6f 20 63 6f 6e 66 69 72 6d 20 72 65 61 63 68 61 62 69 6c 69	./.VyOS-P2.to.confirm.reachabili
19420	74 79 3a 00 50 69 6e 67 20 74 68 65 20 43 6c 69 65 6e 74 20 66 72 6f 6d 20 74 68 65 20 44 48 43	ty:.Ping.the.Client.from.the.DHC
19440	50 20 53 65 72 76 65 72 2e 00 50 69 6e 67 73 20 77 69 6c 6c 20 62 65 20 73 65 6e 74 20 74 6f 20	P.Server..Pings.will.be.sent.to.
19460	66 6f 75 72 20 74 61 72 67 65 74 73 20 66 6f 72 20 68 65 61 6c 74 68 20 74 65 73 74 69 6e 67 20	four.targets.for.health.testing.
19480	28 33 33 2e 34 34 2e 35 35 2e 36 36 2c 20 34 34 2e 35 35 2e 36 36 2e 37 37 2c 20 35 35 2e 36 36	(33.44.55.66,.44.55.66.77,.55.66
194a0	2e 37 37 2e 38 38 20 61 6e 64 20 36 36 2e 37 37 2e 38 38 2e 39 39 29 2e 00 50 6c 65 61 73 65 20	.77.88.and.66.77.88.99)..Please.
194c0	6e 6f 74 65 2c 20 27 61 75 74 6f 6e 6f 6d 6f 75 73 2d 66 6c 61 67 27 20 61 6e 64 20 27 6f 6e 2d	note,.'autonomous-flag'.and.'on-
194e0	6c 69 6e 6b 2d 66 6c 61 67 27 20 61 72 65 20 65 6e 61 62 6c 65 64 20 62 79 20 64 65 66 61 75 6c	link-flag'.are.enabled.by.defaul
19500	74 2c 20 27 76 61 6c 69 64 2d 6c 69 66 65 74 69 6d 65 27 20 61 6e 64 20 27 70 72 65 66 65 72 72	t,.'valid-lifetime'.and.'preferr
19520	65 64 2d 6c 69 66 65 74 69 6d 65 27 20 61 72 65 20 73 65 74 20 74 6f 20 64 65 66 61 75 6c 74 20	ed-lifetime'.are.set.to.default.
19540	76 61 6c 75 65 73 20 6f 66 20 33 30 20 64 61 79 73 20 61 6e 64 20 34 20 68 6f 75 72 73 20 72 65	values.of.30.days.and.4.hours.re
19560	73 70 65 63 74 69 76 65 6c 79 2e 00 50 6f 6c 69 63 79 2d 42 61 73 65 64 20 53 69 74 65 2d 74 6f	spectively..Policy-Based.Site-to
19580	2d 53 69 74 65 20 56 50 4e 20 61 6e 64 20 46 69 72 65 77 61 6c 6c 20 43 6f 6e 66 69 67 75 72 61	-Site.VPN.and.Firewall.Configura
195a0	74 69 6f 6e 00 50 72 65 2d 73 68 61 72 65 64 20 6b 65 79 00 50 72 65 72 65 71 75 69 73 69 74 65	tion.Pre-shared.key.Prerequisite
195c0	73 00 50 72 69 6f 72 69 74 69 65 73 00 50 72 6f 74 65 63 74 20 74 68 65 20 72 6f 75 74 65 72 20	s.Priorities.Protect.the.router.
195e0	6f 6e 20 27 57 41 4e 27 20 69 6e 74 65 72 66 61 63 65 2c 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c	on.'WAN'.interface,.allowing.onl
19600	79 20 69 70 73 65 63 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 61 6e 64 20 73 73 68 20 61 63 63 65	y.ipsec.connections.and.ssh.acce
19620	73 73 20 66 72 6f 6d 20 74 72 75 73 74 65 64 20 69 70 73 2e 00 50 75 62 6c 69 63 20 4e 65 74 77	ss.from.trusted.ips..Public.Netw
19640	6f 72 6b 00 51 6f 53 20 65 78 61 6d 70 6c 65 00 52 44 00 52 44 20 26 20 52 54 20 53 63 68 65 6d	ork.QoS.example.RD.RD.&.RT.Schem
19660	61 00 52 54 00 52 54 20 65 78 70 6f 72 74 00 52 54 20 69 6d 70 6f 72 74 00 52 65 67 75 6c 61 72	a.RT.RT.export.RT.import.Regular
19680	20 56 79 4f 53 20 75 73 65 72 73 20 77 69 6c 6c 20 6e 6f 74 69 63 65 20 74 68 61 74 20 74 68 65	.VyOS.users.will.notice.that.the
196a0	20 42 47 50 20 73 79 6e 74 61 78 20 68 61 73 20 63 68 61 6e 67 65 64 20 69 6e 20 56 79 4f 53 20	.BGP.syntax.has.changed.in.VyOS.
196c0	31 2e 34 20 66 72 6f 6d 20 65 76 65 6e 20 74 68 65 20 70 72 69 6f 72 20 70 6f 73 74 20 61 62 6f	1.4.from.even.the.prior.post.abo
196e0	75 74 20 74 68 69 73 20 73 75 62 6a 65 63 74 2e 20 54 68 69 73 20 69 73 20 64 75 65 20 74 6f 20	ut.this.subject..This.is.due.to.
19700	54 31 37 31 31 2c 20 77 68 65 72 65 20 69 74 20 77 61 73 20 66 69 6e 61 6c 6c 79 20 64 65 63 69	T1711,.where.it.was.finally.deci
19720	64 65 64 20 74 6f 20 67 65 74 20 72 69 64 20 6f 66 20 74 68 65 20 72 65 64 75 6e 64 61 6e 74 20	ded.to.get.rid.of.the.redundant.
19740	42 47 50 20 41 53 4e 20 28 41 75 74 6f 6e 6f 6d 6f 75 73 20 53 79 73 74 65 6d 20 4e 75 6d 62 65	BGP.ASN.(Autonomous.System.Numbe
19760	72 29 20 73 70 65 63 69 66 69 63 61 74 69 6f 6e 20 6f 6e 20 74 68 65 20 43 4c 49 20 61 6e 64 20	r).specification.on.the.CLI.and.
19780	6d 6f 76 65 20 69 74 20 74 6f 20 61 20 73 69 6e 67 6c 65 20 6c 65 61 66 20 6e 6f 64 65 20 28 73	move.it.to.a.single.leaf.node.(s
197a0	65 74 20 70 72 6f 74 6f 63 6f 6c 73 20 62 67 70 20 6c 6f 63 61 6c 2d 61 73 29 2e 00 52 65 6d 6f	et.protocols.bgp.local-as)..Remo
197c0	74 65 20 4e 65 74 77 6f 72 6b 73 00 52 65 70 6c 61 63 65 20 74 68 65 20 32 30 33 2e 30 2e 31 31	te.Networks.Replace.the.203.0.11
197e0	33 2e 33 20 77 69 74 68 20 77 68 61 74 65 76 65 72 20 74 68 65 20 6f 74 68 65 72 20 72 6f 75 74	3.3.with.whatever.the.other.rout
19800	65 72 27 73 20 49 50 20 61 64 64 72 65 73 73 20 69 73 2e 00 52 65 71 75 65 73 74 65 64 20 61 20	er's.IP.address.is..Requested.a.
19820	22 52 65 67 75 6c 61 72 20 54 75 6e 6e 65 6c 22 2e 20 59 6f 75 20 77 61 6e 74 20 74 6f 20 63 68	"Regular.Tunnel"..You.want.to.ch
19840	6f 6f 73 65 20 61 20 6c 6f 63 61 74 69 6f 6e 20 74 68 61 74 20 69 73 20 63 6c 6f 73 65 73 74 20	oose.a.location.that.is.closest.
19860	74 6f 20 79 6f 75 72 20 70 68 79 73 69 63 61 6c 20 6c 6f 63 61 74 69 6f 6e 20 66 6f 72 20 74 68	to.your.physical.location.for.th
19880	65 20 62 65 73 74 20 72 65 73 70 6f 6e 73 65 20 74 69 6d 65 2e 00 52 65 73 75 6c 74 73 00 52 6f	e.best.response.time..Results.Ro
198a0	6c 65 00 52 6f 75 74 65 2d 42 61 73 65 64 20 52 65 64 75 6e 64 61 6e 74 20 53 69 74 65 2d 74 6f	le.Route-Based.Redundant.Site-to
198c0	2d 53 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 28 42 47 50 20 6f 76 65 72 20 49 4b 45	-Site.VPN.to.Azure.(BGP.over.IKE
198e0	76 32 2f 49 50 73 65 63 29 00 52 6f 75 74 65 2d 42 61 73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69	v2/IPsec).Route-Based.Site-to-Si
19900	74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 28 42 47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f	te.VPN.to.Azure.(BGP.over.IKEv2/
19920	49 50 73 65 63 29 00 52 6f 75 74 65 2d 46 69 6c 74 65 72 69 6e 67 00 52 6f 75 74 65 64 20 2f 34	IPsec).Route-Filtering.Routed./4
19940	38 2e 20 54 68 69 73 20 69 73 20 73 6f 6d 65 74 68 69 6e 67 20 79 6f 75 20 63 61 6e 20 72 65 71	8..This.is.something.you.can.req
19960	75 65 73 74 20 62 79 20 63 6c 69 63 6b 69 6e 67 20 74 68 65 20 22 41 73 73 69 67 6e 20 2f 34 38	uest.by.clicking.the."Assign./48
19980	22 20 6c 69 6e 6b 20 69 6e 20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 74	".link.in.the.Tunnelbroker.net.t
199a0	75 6e 6e 65 6c 20 63 6f 6e 66 69 67 2e 20 49 74 20 61 6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 68	unnel.config..It.allows.you.to.h
199c0	61 76 65 20 75 70 20 74 6f 20 36 35 6b 00 52 6f 75 74 65 64 20 2f 36 34 2e 20 54 68 69 73 20 69	ave.up.to.65k.Routed./64..This.i
199e0	73 20 74 68 65 20 64 65 66 61 75 6c 74 20 61 73 73 69 67 6e 6d 65 6e 74 2e 20 49 6e 20 49 50 76	s.the.default.assignment..In.IPv
19a00	36 2d 6c 61 6e 64 2c 20 69 74 27 73 20 67 6f 6f 64 20 66 6f 72 20 61 20 73 69 6e 67 6c 65 20 22	6-land,.it's.good.for.a.single."
19a20	4c 41 4e 22 2c 20 61 6e 64 20 69 73 20 73 6f 6d 65 77 68 61 74 20 65 71 75 69 76 61 6c 65 6e 74	LAN",.and.is.somewhat.equivalent
19a40	20 74 6f 20 61 20 2f 32 34 2e 00 52 6f 75 74 65 72 20 41 3a 00 52 6f 75 74 65 72 20 41 64 76 65	.to.a./24..Router.A:.Router.Adve
19a60	72 74 69 73 65 6d 65 6e 74 00 52 6f 75 74 65 72 20 42 3a 00 52 6f 75 74 65 72 20 69 64 27 73 20	rtisement.Router.B:.Router.id's.
19a80	6d 75 73 74 20 62 65 20 75 6e 69 71 75 65 2e 00 52 75 6c 65 73 65 74 20 61 72 65 20 63 72 65 61	must.be.unique..Ruleset.are.crea
19aa0	74 65 64 20 70 65 72 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 2e 00 53 65 67	ted.per.zone-pair-direction..Seg
19ac0	6d 65 6e 74 2d 72 6f 75 74 69 6e 67 20 49 53 2d 49 53 20 65 78 61 6d 70 6c 65 00 53 65 74 20 44	ment-routing.IS-IS.example.Set.D
19ae0	4e 53 20 73 65 72 76 65 72 20 61 64 64 72 65 73 73 20 69 6e 20 74 68 65 20 61 64 76 65 72 74 69	NS.server.address.in.the.adverti
19b00	73 65 6d 65 6e 74 20 73 6f 20 74 68 61 74 20 63 6c 69 65 6e 74 73 20 63 61 6e 20 6f 62 74 61 69	sement.so.that.clients.can.obtai
19b20	6e 20 69 74 20 62 79 20 75 73 69 6e 67 20 52 44 4e 53 53 20 6f 70 74 69 6f 6e 2e 20 4d 6f 73 74	n.it.by.using.RDNSS.option..Most
19b40	20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 73 20 28 57 69 6e 64 6f 77 73 2c 20 4c 69 6e	.operating.systems.(Windows,.Lin
19b60	75 78 2c 20 4d 61 63 29 20 73 68 6f 75 6c 64 20 61 6c 72 65 61 64 79 20 73 75 70 70 6f 72 74 20	ux,.Mac).should.already.support.
19b80	69 74 2e 00 53 65 74 20 49 50 20 61 64 64 72 65 73 73 65 73 20 6f 6e 20 61 6c 6c 20 56 50 43 73	it..Set.IP.addresses.on.all.VPCs
19ba0	20 61 6e 64 20 61 20 64 65 66 61 75 6c 74 20 67 61 74 65 77 61 79 20 31 37 32 2e 31 37 2e 31 2e	.and.a.default.gateway.172.17.1.
19bc0	31 2e 20 57 65 27 6c 6c 20 75 73 65 20 69 6e 20 74 68 69 73 20 63 61 73 65 20 6f 6e 6c 79 20 73	1..We'll.use.in.this.case.only.s
19be0	74 61 74 69 63 20 72 6f 75 74 65 73 2e 20 4f 6e 20 74 68 65 20 56 79 4f 53 33 20 72 6f 75 74 65	tatic.routes..On.the.VyOS3.route
19c00	72 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 63 68 61 6e 67 65 20 74 68 65 20 27 64 73 63 70 27 20	r,.we.need.to.change.the.'dscp'.
19c20	6c 61 62 65 6c 73 20 66 6f 72 20 74 68 65 20 56 50 43 73 2e 20 54 6f 20 64 6f 20 74 68 69 73 2c	labels.for.the.VPCs..To.do.this,
19c40	20 77 65 20 75 73 65 20 74 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 53 65 74 20	.we.use.this.configuration..Set.
19c60	4d 54 55 20 69 6e 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 74 6f 20 31 34 39 32 20 62 65 63	MTU.in.advertisement.to.1492.bec
19c80	61 75 73 65 20 6f 66 20 50 50 50 6f 45 20 68 65 61 64 65 72 20 6f 76 65 72 68 65 61 64 2e 00 53	ause.of.PPPoE.header.overhead..S
19ca0	65 74 20 74 68 65 20 56 52 46 20 6e 61 6d 65 20 61 6e 64 20 54 61 62 6c 65 20 49 44 2c 20 73 65	et.the.VRF.name.and.Table.ID,.se
19cc0	74 20 69 6e 74 65 72 66 61 63 65 20 61 64 64 72 65 73 73 20 61 6e 64 20 62 69 6e 64 20 69 74 20	t.interface.address.and.bind.it.
19ce0	74 6f 20 74 68 65 20 56 52 46 2e 20 4c 61 73 74 20 61 64 64 20 74 68 65 20 73 74 61 74 69 63 20	to.the.VRF..Last.add.the.static.
19d00	72 6f 75 74 65 20 74 6f 20 74 68 65 20 72 65 6d 6f 74 65 20 6e 65 74 77 6f 72 6b 2e 00 53 65 74	route.to.the.remote.network..Set
19d20	20 74 68 65 20 63 6f 73 74 20 6f 6e 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 73	.the.cost.on.the.secondary.links
19d40	20 74 6f 20 62 65 20 32 30 30 2e 20 54 68 69 73 20 6d 65 61 6e 73 20 74 68 61 74 20 74 68 65 79	.to.be.200..This.means.that.they
19d60	20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 75 73 65 64 20 75 6e 6c 65 73 73 20 74 68 65 20 70 72 69	.will.not.be.used.unless.the.pri
19d80	6d 61 72 79 20 6c 69 6e 6b 73 20 61 72 65 20 64 6f 77 6e 2e 00 53 65 74 20 74 68 65 20 6c 6f 63	mary.links.are.down..Set.the.loc
19da0	61 6c 20 73 75 62 6e 65 74 20 6f 6e 20 65 74 68 32 20 61 6e 64 20 74 68 65 20 70 75 62 6c 69 63	al.subnet.on.eth2.and.the.public
19dc0	20 69 70 20 61 64 64 72 65 73 73 20 65 74 68 31 20 6f 6e 20 65 61 63 68 20 73 69 74 65 2e 00 53	.ip.address.eth1.on.each.site..S
19de0	65 74 20 75 70 20 62 61 6e 64 77 69 64 74 68 20 6c 69 6d 69 74 73 20 6f 6e 20 74 68 65 20 65 74	et.up.bandwidth.limits.on.the.et
19e00	68 32 20 69 6e 74 65 72 66 61 63 65 20 6f 66 20 74 68 65 20 72 6f 75 74 65 72 20 e2 80 9c 56 79	h2.interface.of.the.router....Vy
19e20	4f 53 32 e2 80 9d 2e 00 53 65 74 73 20 79 6f 75 72 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 27	OS2.....Sets.your.LAN.interface'
19e40	73 20 49 50 20 61 64 64 72 65 73 73 00 53 65 74 74 69 6e 67 20 42 47 50 20 67 6c 6f 62 61 6c 20	s.IP.address.Setting.BGP.global.
19e60	6c 6f 63 61 6c 2d 61 73 20 61 73 20 77 65 6c 6c 20 69 6e 73 69 64 65 20 74 68 65 20 56 52 46 2e	local-as.as.well.inside.the.VRF.
19e80	20 52 65 64 69 73 74 72 69 62 75 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 6f 20 69	.Redistribute.static.routes.to.i
19ea0	6e 6a 65 63 74 20 63 6f 6e 66 69 67 75 72 65 64 20 6e 65 74 77 6f 72 6b 73 20 69 6e 74 6f 20 74	nject.configured.networks.into.t
19ec0	68 65 20 42 47 50 20 70 72 6f 63 65 73 73 20 62 75 74 20 73 74 69 6c 6c 20 69 6e 73 69 64 65 20	he.BGP.process.but.still.inside.
19ee0	74 68 65 20 56 52 46 2e 00 53 65 74 74 69 6e 67 20 75 70 20 41 6e 73 69 62 6c 65 20 6f 6e 20 61	the.VRF..Setting.up.Ansible.on.a
19f00	20 73 65 72 76 65 72 20 72 75 6e 6e 69 6e 67 20 74 68 65 20 44 65 62 69 61 6e 20 6f 70 65 72 61	.server.running.the.Debian.opera
19f20	74 69 6e 67 20 73 79 73 74 65 6d 2e 00 53 65 74 75 70 20 74 68 65 20 69 70 76 36 20 64 65 66 61	ting.system..Setup.the.ipv6.defa
19f40	75 6c 74 20 72 6f 75 74 65 20 74 6f 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63	ult.route.to.the.tunnel.interfac
19f60	65 00 53 68 6f 77 20 72 6f 75 74 65 73 20 66 6f 72 20 61 6c 6c 20 56 52 46 73 00 53 69 6d 69 6c	e.Show.routes.for.all.VRFs.Simil
19f80	61 72 6c 79 2c 20 74 6f 20 61 74 74 61 63 68 20 74 68 65 20 66 69 72 65 77 61 6c 6c 2c 20 79 6f	arly,.to.attach.the.firewall,.yo
19fa0	75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 69 6e 74 65 72 66 61 63 65 73 20 65 74 68 65	u.would.use.`set.interfaces.ethe
19fc0	72 6e 65 74 20 65 74 68 30 20 66 69 72 65 77 61 6c 6c 20 69 6e 20 69 70 76 36 2d 6e 61 6d 65 60	rnet.eth0.firewall.in.ipv6-name`
19fe0	20 6f 72 20 60 65 74 20 66 69 72 65 77 61 6c 6c 20 7a 6f 6e 65 20 4c 4f 43 41 4c 20 66 72 6f 6d	.or.`et.firewall.zone.LOCAL.from
1a000	20 57 41 4e 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d 65 60 2e 00 53 69 6e 63 65 20	.WAN.firewall.ipv6-name`..Since.
1a020	73 6f 6d 65 20 49 53 50 73 20 64 69 73 63 6f 6e 6e 65 63 74 73 20 63 6f 6e 74 69 6e 75 6f 75 73	some.ISPs.disconnects.continuous
1a040	20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 6f 72 20 65 76 65 72 79 20 32 7e 33 20 64 61 79 73 2c 20	.connection.for.every.2~3.days,.
1a060	77 65 20 73 65 74 20 60 60 76 61 6c 69 64 2d 6c 69 66 65 74 69 6d 65 60 60 20 74 6f 20 32 20 64	we.set.``valid-lifetime``.to.2.d
1a080	61 79 73 20 74 6f 20 61 6c 6c 6f 77 20 50 43 20 66 6f 72 20 70 68 61 73 69 6e 67 20 6f 75 74 20	ays.to.allow.PC.for.phasing.out.
1a0a0	6f 6c 64 20 61 64 64 72 65 73 73 2e 00 53 69 6e 63 65 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 73	old.address..Since.the.tunnel.is
1a0c0	20 61 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20 47 52 45 20 74 75 6e 6e 65 6c 2c 20 69 74	.a.point-to-point.GRE.tunnel,.it
1a0e0	20 62 65 68 61 76 65 73 20 6c 69 6b 65 20 61 6e 79 20 6f 74 68 65 72 20 70 6f 69 6e 74 2d 74 6f	.behaves.like.any.other.point-to
1a100	2d 70 6f 69 6e 74 20 69 6e 74 65 72 66 61 63 65 20 28 66 6f 72 20 65 78 61 6d 70 6c 65 3a 20 73	-point.interface.(for.example:.s
1a120	65 72 69 61 6c 2c 20 64 69 61 6c 65 72 29 2c 20 61 6e 64 20 69 74 20 69 73 20 70 6f 73 73 69 62	erial,.dialer),.and.it.is.possib
1a140	6c 65 20 74 6f 20 72 75 6e 20 61 6e 79 20 49 6e 74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20 50	le.to.run.any.Interior.Gateway.P
1a160	72 6f 74 6f 63 6f 6c 20 28 49 47 50 29 2f 45 78 74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20 50	rotocol.(IGP)/Exterior.Gateway.P
1a180	72 6f 74 6f 63 6f 6c 20 28 45 47 50 29 20 6f 76 65 72 20 74 68 65 20 6c 69 6e 6b 20 69 6e 20 6f	rotocol.(EGP).over.the.link.in.o
1a1a0	72 64 65 72 20 74 6f 20 65 78 63 68 61 6e 67 65 20 72 6f 75 74 69 6e 67 20 69 6e 66 6f 72 6d 61	rder.to.exchange.routing.informa
1a1c0	74 69 6f 6e 00 53 69 6e 63 65 20 77 65 20 68 61 76 65 20 34 20 7a 6f 6e 65 73 2c 20 77 65 20 6e	tion.Since.we.have.4.zones,.we.n
1a1e0	65 65 64 20 74 6f 20 73 65 74 75 70 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 72 75 6c 65 73	eed.to.setup.the.following.rules
1a200	65 74 73 2e 00 53 69 6e 67 6c 65 20 4c 41 4e 20 53 65 74 75 70 00 53 69 6e 67 6c 65 20 4c 41 4e	ets..Single.LAN.Setup.Single.LAN
1a220	20 73 65 74 75 70 20 77 68 65 72 65 20 65 74 68 32 20 69 73 20 79 6f 75 72 20 4c 41 4e 20 69 6e	.setup.where.eth2.is.your.LAN.in
1a240	74 65 72 66 61 63 65 2e 20 55 73 65 20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 52 6f	terface..Use.the.Tunnelbroker.Ro
1a260	75 74 65 64 20 2f 36 34 20 70 72 65 66 69 78 3a 00 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 49 50	uted./64.prefix:.Site-to-Site.IP
1a280	53 65 63 20 56 50 4e 20 74 6f 20 43 69 73 63 6f 20 75 73 69 6e 67 20 46 6c 65 78 56 50 4e 00 53	Sec.VPN.to.Cisco.using.FlexVPN.S
1a2a0	6f 2c 20 77 68 65 6e 20 79 6f 75 72 20 4c 41 4e 20 69 73 20 65 74 68 31 2c 20 79 6f 75 72 20 44	o,.when.your.LAN.is.eth1,.your.D
1a2c0	4d 5a 20 69 73 20 65 74 68 32 2c 20 79 6f 75 72 20 63 61 6d 65 72 61 73 20 61 72 65 20 6f 6e 20	MZ.is.eth2,.your.cameras.are.on.
1a2e0	65 74 68 33 2c 20 65 74 63 3a 00 53 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 3a 00 53 70 6f 6b 65	eth3,.etc:.Something.like:.Spoke
1a300	00 53 74 61 72 74 20 62 79 20 73 65 74 74 69 6e 67 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20	.Start.by.setting.the.interface.
1a320	61 6e 64 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 66 6f 72 20 65 61 63 68 20 7a 6f 6e 65	and.default.action.for.each.zone
1a340	2e 00 53 74 61 72 74 20 74 68 65 20 70 6c 61 79 62 6f 6f 6b 3a 00 53 74 61 72 74 69 6e 67 20 66	..Start.the.playbook:.Starting.f
1a360	72 6f 6d 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35	rom.VyOS.1.4-rolling-20230804055
1a380	37 2c 20 61 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 73 74 72 75 63 74 75 72 65 20 63 61 6e 20	7,.a.new.firewall.structure.can.
1a3a0	62 65 20 66 6f 75 6e 64 20 6f 6e 20 61 6c 6c 20 76 79 6f 73 20 69 6e 73 74 61 6c 61 74 69 6f 6e	be.found.on.all.vyos.instalation
1a3c0	73 2c 20 61 6e 64 20 7a 6f 6e 65 20 62 61 73 65 64 20 66 69 72 65 77 61 6c 6c 20 69 73 20 6e 6f	s,.and.zone.based.firewall.is.no
1a3e0	20 6c 6f 6e 67 65 72 20 73 75 70 70 6f 72 74 65 64 2e 20 44 6f 63 75 6d 65 6e 74 61 74 69 6f 6e	.longer.supported..Documentation
1a400	20 66 6f 72 20 6d 6f 73 74 20 6f 66 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 43 4c	.for.most.of.the.new.firewall.CL
1a420	49 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 60 66 69 72 65 77 61 6c 6c 20	I.can.be.found.in.the.`firewall.
1a440	3c 68 74 74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f	<https://docs.vyos.io/en/latest/
1a460	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 66 69 72 65 77 61 6c 6c 2f 67 65 6e 65 72 61 6c 2e 68	configuration/firewall/general.h
1a480	74 6d 6c 3e 60 5f 20 63 68 61 70 74 65 72 2e 20 54 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77	tml>`_.chapter..The.legacy.firew
1a4a0	61 6c 6c 20 69 73 20 73 74 69 6c 6c 20 61 76 61 69 6c 61 62 6c 65 20 66 6f 72 20 76 65 72 73 69	all.is.still.available.for.versi
1a4c0	6f 6e 73 20 62 65 66 6f 72 65 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30	ons.before.1.4-rolling-202308040
1a4e0	35 35 37 20 61 6e 64 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66	557.and.can.be.found.in.the.:ref
1a500	3a 60 66 69 72 65 77 61 6c 6c 2d 6c 65 67 61 63 79 60 20 63 68 61 70 74 65 72 2e 20 54 68 65 20	:`firewall-legacy`.chapter..The.
1a520	65 78 61 6d 70 6c 65 73 20 69 6e 20 74 68 69 73 20 73 65 63 74 69 6f 6e 20 75 73 65 20 74 68 65	examples.in.this.section.use.the
1a540	20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63	.legacy.firewall.configuration.c
1a560	6f 6d 6d 61 6e 64 73 2c 20 73 69 6e 63 65 20 74 68 69 73 20 66 65 61 74 75 72 65 20 68 61 73 20	ommands,.since.this.feature.has.
1a580	62 65 65 6e 20 72 65 6d 6f 76 65 64 20 69 6e 20 65 61 72 6c 69 65 72 20 72 65 6c 65 61 73 65 73	been.removed.in.earlier.releases
1a5a0	2e 00 53 74 65 70 20 31 3a 20 56 52 46 20 61 6e 64 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73	..Step.1:.VRF.and.Configurations
1a5c0	20 74 6f 20 72 65 6d 6f 74 65 20 6e 65 74 77 6f 72 6b 73 00 53 74 65 70 20 32 3a 20 42 47 50 20	.to.remote.networks.Step.2:.BGP.
1a5e0	43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 6f 72 20 56 52 46 2d 4c 69 74 65 00 53 74 65 70 20	Configuration.for.VRF-Lite.Step.
1a600	33 3a 20 56 50 4e 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 53 74 65 70 20 34 3a 20 45 6e 64	3:.VPN.Configuration.Step.4:.End
1a620	20 74 6f 20 45 6e 64 20 76 65 72 69 66 69 63 61 74 69 6f 6e 00 53 74 65 70 2d 31 3a 20 43 6f 6e	.to.End.verification.Step-1:.Con
1a640	66 69 67 75 72 69 6e 67 20 49 47 50 20 61 6e 64 20 65 6e 61 62 6c 69 6e 67 20 4d 50 4c 53 20 4c	figuring.IGP.and.enabling.MPLS.L
1a660	44 50 00 53 74 65 70 2d 32 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 69 42 47 50 20 66 6f 72 20	DP.Step-2:.Configuring.iBGP.for.
1a680	4c 33 56 50 4e 20 63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e 65 00 53 74 65 70 2d 33 3a 20 43 6f 6e 66	L3VPN.control-plane.Step-3:.Conf
1a6a0	69 67 75 72 69 6e 67 20 4c 33 56 50 4e 20 56 52 46 73 20 6f 6e 20 50 45 20 6e 6f 64 65 73 00 53	iguring.L3VPN.VRFs.on.PE.nodes.S
1a6c0	74 65 70 2d 34 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 43 45 20 6e 6f 64 65 73 00 53 74 65 70	tep-4:.Configuring.CE.nodes.Step
1a6e0	2d 35 3a 20 56 65 72 69 66 69 63 61 74 69 6f 6e 00 54 65 6e 61 6e 74 20 6e 65 74 77 6f 72 6b 73	-5:.Verification.Tenant.networks
1a700	20 28 56 52 46 73 29 00 54 65 73 74 20 4f 53 50 46 00 54 65 73 74 20 57 69 72 65 47 75 61 72 64	.(VRFs).Test.OSPF.Test.WireGuard
1a720	00 54 65 73 74 20 74 68 65 20 72 65 73 75 6c 74 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d	.Test.the.result.Testdate:.2023-
1a740	30 32 2d 32 34 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 35 2d 31 31 00 54 65 73 74 64	02-24.Testdate:.2023-05-11.Testd
1a760	61 74 65 3a 20 32 30 32 33 2d 30 38 2d 33 31 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 34 2d 30	ate:.2023-08-31.Testdate:.2024-0
1a780	31 2d 31 33 00 54 65 73 74 69 6e 67 00 54 65 73 74 69 6e 67 20 61 6e 64 20 64 65 62 75 67 67 69	1-13.Testing.Testing.and.debuggi
1a7a0	6e 67 00 54 68 61 74 27 73 20 68 6f 77 20 79 6f 75 20 63 61 6e 20 65 78 70 61 6e 64 20 74 68 65	ng.That's.how.you.can.expand.the
1a7c0	20 65 78 61 6d 70 6c 65 20 61 62 6f 76 65 2e 20 55 73 65 20 74 68 65 20 60 52 6f 75 74 65 64 20	.example.above..Use.the.`Routed.
1a7e0	2f 34 38 60 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 54 68 69 73 20 61 6c 6c 6f 77 73 20 79 6f	/48`.information..This.allows.yo
1a800	75 20 74 6f 20 61 73 73 69 67 6e 20 61 20 64 69 66 66 65 72 65 6e 74 20 2f 36 34 20 74 6f 20 65	u.to.assign.a.different./64.to.e
1a820	76 65 72 79 20 69 6e 74 65 72 66 61 63 65 2c 20 4c 41 4e 2c 20 6f 72 20 65 76 65 6e 20 64 65 76	very.interface,.LAN,.or.even.dev
1a840	69 63 65 2e 20 4f 72 20 79 6f 75 20 63 6f 75 6c 64 20 62 72 65 61 6b 20 79 6f 75 72 20 6e 65 74	ice..Or.you.could.break.your.net
1a860	77 6f 72 6b 20 69 6e 74 6f 20 73 6d 61 6c 6c 65 72 20 63 68 75 6e 6b 73 20 6c 69 6b 65 20 2f 35	work.into.smaller.chunks.like./5
1a880	36 20 6f 72 20 2f 36 30 2e 00 54 68 65 20 4c 61 62 20 61 73 75 6d 65 20 61 20 66 75 6c 6c 20 72	6.or./60..The.Lab.asume.a.full.r
1a8a0	75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 6f 6e 20 74 68 65 20 57	unning.Active.Directory.on.the.W
1a8c0	69 6e 64 6f 77 73 20 53 65 72 76 65 72 2e 20 48 65 72 65 20 61 72 65 20 73 6f 6d 65 20 50 6f 77	indows.Server..Here.are.some.Pow
1a8e0	65 72 53 68 65 6c 6c 20 63 6f 6d 6d 61 6e 64 73 20 74 6f 20 71 75 69 63 6b 6c 79 20 61 64 64 20	erShell.commands.to.quickly.add.
1a900	61 20 54 65 73 74 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 2e 00 54 68 65 20 54 6f 70	a.Test.Active.Directory..The.Top
1a920	6f 6c 6f 67 79 20 61 72 65 20 63 6f 6e 73 69 73 74 73 20 6f 66 3a 00 54 68 65 20 56 79 4f 53 20	ology.are.consists.of:.The.VyOS.
1a940	69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 20 74 68 65 20 2e 31 2f 3a 31 20	interface.is.assigned.the..1/:1.
1a960	61 64 64 72 65 73 73 20 6f 66 20 74 68 65 69 72 20 72 65 73 70 65 63 74 69 76 65 20 6e 65 74 77	address.of.their.respective.netw
1a980	6f 72 6b 73 2e 20 57 41 4e 20 69 73 20 6f 6e 20 56 4c 41 4e 20 31 30 2c 20 4c 41 4e 20 6f 6e 20	orks..WAN.is.on.VLAN.10,.LAN.on.
1a9a0	56 4c 41 4e 20 32 30 2c 20 61 6e 64 20 44 4d 5a 20 6f 6e 20 56 4c 41 4e 20 33 30 2e 00 54 68 65	VLAN.20,.and.DMZ.on.VLAN.30..The
1a9c0	20 60 60 63 6f 6d 6d 69 74 60 60 20 63 6f 6d 6d 61 6e 64 20 69 73 20 69 6d 70 6c 69 65 64 20 61	.``commit``.command.is.implied.a
1a9e0	66 74 65 72 20 65 76 65 72 79 20 73 65 63 74 69 6f 6e 2e 20 49 66 20 79 6f 75 20 6d 61 6b 65 20	fter.every.section..If.you.make.
1aa00	61 6e 20 65 72 72 6f 72 2c 20 60 60 63 6f 6d 6d 69 74 60 60 20 77 69 6c 6c 20 77 61 72 6e 20 79	an.error,.``commit``.will.warn.y
1aa20	6f 75 20 61 6e 64 20 79 6f 75 20 63 61 6e 20 66 69 78 20 69 74 20 62 65 66 6f 72 65 20 67 65 74	ou.and.you.can.fix.it.before.get
1aa40	74 69 6e 67 20 74 6f 6f 20 66 61 72 20 69 6e 74 6f 20 74 68 69 6e 67 73 2e 20 50 6c 65 61 73 65	ting.too.far.into.things..Please
1aa60	20 65 6e 73 75 72 65 20 79 6f 75 20 63 6f 6d 6d 69 74 20 65 61 72 6c 79 20 61 6e 64 20 63 6f 6d	.ensure.you.commit.early.and.com
1aa80	6d 69 74 20 6f 66 74 65 6e 2e 00 54 68 65 20 60 60 72 65 64 69 73 74 72 69 62 75 74 65 20 6f 73	mit.often..The.``redistribute.os
1aaa0	70 66 60 60 20 63 6f 6d 6d 61 6e 64 20 69 73 20 74 68 65 72 65 20 70 75 72 65 6c 79 20 61 73 20	pf``.command.is.there.purely.as.
1aac0	61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 68 6f 77 20 74 68 69 73 20 63 61 6e 20 62 65 20 65 78	an.example.of.how.this.can.be.ex
1aae0	70 61 6e 64 65 64 2e 20 49 6e 20 74 68 69 73 20 77 61 6c 6b 74 68 72 6f 75 67 68 2c 20 69 74 20	panded..In.this.walkthrough,.it.
1ab00	77 69 6c 6c 20 62 65 20 66 69 6c 74 65 72 65 64 20 62 79 20 42 47 50 4f 55 54 20 72 75 6c 65 20	will.be.filtered.by.BGPOUT.rule.
1ab20	31 30 30 30 30 2c 20 61 73 20 69 74 20 69 73 20 6e 6f 74 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f	10000,.as.it.is.not.203.0.113.0/
1ab40	32 34 2e 00 54 68 65 20 62 65 6c 6f 77 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 73 20 75	24..The.below.configuration.is.u
1ab60	73 65 64 20 61 73 20 65 78 61 6d 70 6c 65 20 77 68 65 72 65 20 77 65 20 6b 65 65 70 20 66 6f 63	sed.as.example.where.we.keep.foc
1ab80	75 73 20 6f 6e 20 56 79 4f 53 2d 50 31 2f 56 79 4f 53 2d 50 32 2f 58 52 76 2d 50 33 20 77 68 69	us.on.VyOS-P1/VyOS-P2/XRv-P3.whi
1aba0	63 68 20 77 65 20 73 68 61 72 65 20 74 68 65 20 73 65 74 74 69 6e 67 73 2e 00 54 68 65 20 63 6f	ch.we.share.the.settings..The.co
1abc0	6e 66 69 67 75 72 61 74 69 6f 6e 20 73 74 65 70 73 20 61 72 65 20 74 68 65 20 73 61 6d 65 20 61	nfiguration.steps.are.the.same.a
1abe0	73 20 69 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 65 78 63 65 70	s.in.the.previous.example,.excep
1ac00	74 20 72 75 6c 65 20 31 30 2e 20 53 6f 20 77 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67	t.rule.10..So.we.keep.the.config
1ac20	75 72 61 74 69 6f 6e 2c 20 72 65 6d 6f 76 65 20 72 75 6c 65 20 31 30 20 61 6e 64 20 61 64 64 20	uration,.remove.rule.10.and.add.
1ac40	61 20 6e 65 77 20 72 75 6c 65 20 66 6f 72 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 6d 6f 64 65	a.new.rule.for.the.failover.mode
1ac60	3a 00 54 68 65 20 65 78 61 6d 70 6c 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 73 20 32 20 56 79 4f	:.The.example.topology.has.2.VyO
1ac80	53 20 72 6f 75 74 65 72 73 2e 20 4f 6e 65 20 61 73 20 54 68 65 20 57 41 4e 20 52 6f 75 74 65 72	S.routers..One.as.The.WAN.Router
1aca0	20 61 6e 64 20 6f 6e 20 61 73 20 61 20 43 6c 69 65 6e 74 2c 20 74 6f 20 74 65 73 74 20 61 20 73	.and.on.as.a.Client,.to.test.a.s
1acc0	69 6e 67 6c 65 20 4c 41 4e 20 73 65 74 75 70 00 54 68 65 20 66 69 72 73 74 20 74 77 6f 20 72 75	ingle.LAN.setup.The.first.two.ru
1ace0	6c 65 73 20 61 72 65 20 74 6f 20 64 65 61 6c 20 77 69 74 68 20 74 68 65 20 69 64 69 6f 73 79 6e	les.are.to.deal.with.the.idiosyn
1ad00	63 72 61 73 69 65 73 20 6f 66 20 56 79 4f 53 20 61 6e 64 20 69 70 74 61 62 6c 65 73 2e 00 54 68	crasies.of.VyOS.and.iptables..Th
1ad20	65 20 66 6f 6c 6c 6f 77 69 6e 67 20 61 72 65 20 74 68 65 20 72 75 6c 65 73 20 74 68 61 74 20 77	e.following.are.the.rules.that.w
1ad40	65 72 65 20 63 72 65 61 74 65 64 20 66 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 28 6d 61	ere.created.for.this.example.(ma
1ad60	79 20 6e 6f 74 20 62 65 20 63 6f 6d 70 6c 65 74 65 29 2c 20 62 6f 74 68 20 69 6e 20 49 50 76 34	y.not.be.complete),.both.in.IPv4
1ad80	20 61 6e 64 20 49 50 76 36 2e 20 49 66 20 74 68 65 72 65 20 69 73 20 6e 6f 20 49 50 20 73 70 65	.and.IPv6..If.there.is.no.IP.spe
1ada0	63 69 66 69 65 64 2c 20 74 68 65 6e 20 74 68 65 20 73 6f 75 72 63 65 2f 64 65 73 74 69 6e 61 74	cified,.then.the.source/destinat
1adc0	69 6f 6e 20 61 64 64 72 65 73 73 20 69 73 20 6e 6f 74 20 65 78 70 6c 69 63 69 74 2e 00 54 68 65	ion.address.is.not.explicit..The
1ade0	20 66 6f 6c 6c 6f 77 69 6e 67 20 73 6f 66 74 77 61 72 65 20 77 61 73 20 75 73 65 64 20 69 6e 20	.following.software.was.used.in.
1ae00	74 68 65 20 63 72 65 61 74 69 6f 6e 20 6f 66 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 3a 00 54	the.creation.of.this.document:.T
1ae20	68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 74 65 6d 70 6c 61 74 65 20 63 6f 6e 66 69 67 75 72 61 74	he.following.template.configurat
1ae40	69 6f 6e 20 63 61 6e 20 62 65 20 75 73 65 64 20 69 6e 20 65 61 63 68 20 72 65 6d 6f 74 65 20 72	ion.can.be.used.in.each.remote.r
1ae60	6f 75 74 65 72 20 62 61 73 65 64 20 69 6e 20 6f 75 72 20 74 6f 70 6f 6c 6f 67 79 2e 00 54 68 65	outer.based.in.our.topology..The
1ae80	20 66 6f 72 6d 61 74 20 6f 66 20 74 68 65 73 65 20 61 64 64 72 65 73 73 65 73 3a 00 54 68 65 20	.format.of.these.addresses:.The.
1aea0	6c 61 62 20 49 20 62 75 69 6c 74 20 69 73 20 75 73 69 6e 67 20 61 20 56 52 46 20 28 63 61 6c 6c	lab.I.built.is.using.a.VRF.(call
1aec0	65 64 20 2a 2a 6d 67 6d 74 2a 2a 29 20 74 6f 20 70 72 6f 76 69 64 65 20 6f 75 74 2d 6f 66 2d 62	ed.mgmt).to.provide.out-of-b
1aee0	61 6e 64 20 53 53 48 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 50 45 20 28 50 72 6f 76 69 64	and.SSH.access.to.the.PE.(Provid
1af00	65 72 20 45 64 67 65 29 20 72 6f 75 74 65 72 73 2e 00 54 68 65 20 6c 61 62 20 77 61 73 20 62 75	er.Edge).routers..The.lab.was.bu
1af20	69 6c 74 20 75 73 69 6e 67 20 45 56 45 2d 4e 47 2e 00 54 68 65 20 6e 65 78 74 20 70 61 67 65 73	ilt.using.EVE-NG..The.next.pages
1af40	20 63 6f 6e 74 61 69 6e 73 20 61 75 74 6f 6d 61 74 69 63 20 66 75 6c 6c 20 74 65 73 74 65 64 20	.contains.automatic.full.tested.
1af60	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 73 2e 00 54 68 65 20 70 72 65 76	configuration.examples..The.prev
1af80	69 6f 75 73 20 65 78 61 6d 70 6c 65 20 75 73 65 64 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 63	ious.example.used.the.failover.c
1afa0	6f 6d 6d 61 6e 64 20 74 6f 20 73 65 6e 64 20 74 72 61 66 66 69 63 20 74 68 72 6f 75 67 68 20 65	ommand.to.send.traffic.through.e
1afc0	74 68 31 20 69 66 20 65 74 68 30 20 66 61 69 6c 73 2e 20 49 6e 20 74 68 69 73 20 65 78 61 6d 70	th1.if.eth0.fails..In.this.examp
1afe0	6c 65 2c 20 66 61 69 6c 6f 76 65 72 20 66 75 6e 63 74 69 6f 6e 61 6c 69 74 79 20 69 73 20 70 72	le,.failover.functionality.is.pr
1b000	6f 76 69 64 65 64 20 62 79 20 72 75 6c 65 20 6f 72 64 65 72 2e 00 54 68 65 20 70 72 6f 63 65 73	ovided.by.rule.order..The.proces
1b020	73 20 77 69 6c 6c 20 64 6f 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 73 74 65 70 73 3a 00 54	s.will.do.the.following.steps:.T
1b040	68 65 20 73 63 6f 70 65 20 6f 66 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20	he.scope.of.this.document.is.to.
1b060	63 6f 76 65 72 20 73 75 63 68 20 63 61 73 65 73 20 69 6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61	cover.such.cases.in.a.dynamic.wa
1b080	79 20 77 69 74 68 6f 75 74 20 74 68 65 20 75 73 65 20 6f 66 20 4d 50 4c 53 2d 4c 44 50 2e 00 54	y.without.the.use.of.MPLS-LDP..T
1b0a0	68 65 20 73 65 74 75 70 20 75 73 65 64 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 69 73	he.setup.used.in.this.example.is
1b0c0	20 73 68 6f 77 6e 20 69 6e 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 64 69 61 67 72 61 6d 3a	.shown.in.the.following.diagram:
1b0e0	00 54 68 65 20 73 69 6d 70 6c 65 20 77 61 79 20 77 69 74 68 6f 75 74 20 63 6f 6e 66 69 67 75 72	.The.simple.way.without.configur
1b100	61 74 69 6f 6e 20 6f 66 20 74 68 65 20 68 6f 73 74 6e 61 6d 65 20 28 6f 6e 65 20 74 61 73 6b 20	ation.of.the.hostname.(one.task.
1b120	66 6f 72 20 61 6c 6c 20 72 6f 75 74 65 72 73 29 3a 00 54 68 65 20 73 69 6d 70 6c 65 73 74 20 77	for.all.routers):.The.simplest.w
1b140	61 79 20 74 6f 20 74 65 73 74 20 69 73 20 74 6f 20 6c 6f 6f 6b 20 61 74 20 74 68 65 20 63 6f 6e	ay.to.test.is.to.look.at.the.con
1b160	6e 65 63 74 69 6f 6e 20 74 72 61 63 6b 69 6e 67 20 73 74 61 74 73 20 6f 6e 20 74 68 65 20 73 74	nection.tracking.stats.on.the.st
1b180	61 6e 64 62 79 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 20 77 69 74 68 20 74 68 65 20 63	andby.hardware.router.with.the.c
1b1a0	6f 6d 6d 61 6e 64 20 60 60 73 68 6f 77 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 20 73 74 61	ommand.``show.conntrack-sync.sta
1b1c0	74 69 73 74 69 63 73 60 60 2e 20 54 68 65 20 6e 75 6d 62 65 72 73 20 73 68 6f 75 6c 64 20 62 65	tistics``..The.numbers.should.be
1b1e0	20 76 65 72 79 20 63 6c 6f 73 65 20 74 6f 20 74 68 65 20 6e 75 6d 62 65 72 73 20 6f 6e 20 74 68	.very.close.to.the.numbers.on.th
1b200	65 20 70 72 69 6d 61 72 79 20 72 6f 75 74 65 72 2e 00 54 68 65 20 73 79 6e 63 20 67 72 6f 75 70	e.primary.router..The.sync.group
1b220	20 69 73 20 75 73 65 64 20 74 6f 20 72 65 70 6c 69 63 61 74 65 20 63 6f 6e 6e 65 63 74 69 6f 6e	.is.used.to.replicate.connection
1b240	20 74 72 61 63 6b 69 6e 67 2e 20 49 74 20 6e 65 65 64 73 20 74 6f 20 62 65 20 61 73 73 69 67 6e	.tracking..It.needs.to.be.assign
1b260	65 64 20 74 6f 20 61 20 72 61 6e 64 6f 6d 20 56 52 52 50 20 67 72 6f 75 70 2c 20 61 6e 64 20 77	ed.to.a.random.VRRP.group,.and.w
1b280	65 20 61 72 65 20 63 72 65 61 74 69 6e 67 20 61 20 73 79 6e 63 20 67 72 6f 75 70 20 63 61 6c 6c	e.are.creating.a.sync.group.call
1b2a0	65 64 20 60 60 73 79 6e 63 60 60 20 75 73 69 6e 67 20 74 68 65 20 76 72 72 70 20 67 72 6f 75 70	ed.``sync``.using.the.vrrp.group
1b2c0	20 60 60 69 6e 74 60 60 2e 00 54 68 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 73 20 33 20 56 79 4f	.``int``..The.topology.has.3.VyO
1b2e0	53 20 72 6f 75 74 65 72 73 20 61 6e 64 20 6f 6e 65 20 63 6c 69 65 6e 74 2e 20 42 65 74 77 65 65	S.routers.and.one.client..Betwee
1b300	6e 20 74 68 65 20 44 48 43 50 20 53 65 72 76 65 72 20 61 6e 64 20 74 68 65 20 44 48 43 50 20 52	n.the.DHCP.Server.and.the.DHCP.R
1b320	65 6c 61 79 20 69 73 20 61 20 47 52 45 20 74 75 6e 6e 65 6c 2e 20 54 68 65 20 60 74 72 61 6e 73	elay.is.a.GRE.tunnel..The.`trans
1b340	70 6f 72 74 60 20 56 79 4f 53 20 72 65 70 72 65 73 65 6e 74 20 61 20 6c 61 72 67 65 20 4e 65 74	port`.VyOS.represent.a.large.Net
1b360	77 6f 72 6b 2e 00 54 68 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 76 65 20 61 20 63 65 6e 74 72 61	work..The.topology.have.a.centra
1b380	6c 20 61 6e 64 20 61 20 62 72 61 6e 63 68 20 56 79 4f 53 20 72 6f 75 74 65 72 20 61 6e 64 20 6f	l.and.a.branch.VyOS.router.and.o
1b3a0	6e 65 20 63 6c 69 65 6e 74 2c 20 74 6f 20 74 65 73 74 2c 20 69 6e 20 65 61 63 68 20 73 69 74 65	ne.client,.to.test,.in.each.site
1b3c0	2e 00 54 68 65 6e 20 61 64 64 20 61 20 72 6f 75 74 65 2d 6d 61 70 20 61 6e 64 20 72 65 66 65 72	..Then.add.a.route-map.and.refer
1b3e0	65 6e 63 65 20 74 6f 20 61 62 6f 76 65 20 70 72 65 66 69 78 2e 20 43 6f 6e 73 69 64 65 72 20 74	ence.to.above.prefix..Consider.t
1b400	68 61 74 20 74 68 65 20 61 63 74 69 6f 6e 73 20 74 61 6b 65 6e 20 69 6e 73 69 64 65 20 74 68 65	hat.the.actions.taken.inside.the
1b420	20 70 72 65 66 69 78 20 77 69 6c 6c 20 4d 41 54 43 48 20 74 68 65 20 72 6f 75 74 65 73 20 74 68	.prefix.will.MATCH.the.routes.th
1b440	61 74 20 77 69 6c 6c 20 62 65 20 61 66 66 65 63 74 65 64 20 62 79 20 74 68 65 20 61 63 74 69 6f	at.will.be.affected.by.the.actio
1b460	6e 73 20 69 6e 73 69 64 65 20 74 68 65 20 72 75 6c 65 73 20 6f 66 20 74 68 65 20 72 6f 75 74 65	ns.inside.the.rules.of.the.route
1b480	2d 6d 61 70 2e 00 54 68 65 6e 20 77 65 20 6e 65 65 64 20 74 6f 20 61 74 74 61 63 68 20 74 68 65	-map..Then.we.need.to.attach.the
1b4a0	20 70 6f 6c 69 63 79 20 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 2e 20 54 68 69 73	.policy.to.the.BGP.process..This
1b4c0	20 6e 65 65 64 73 20 74 6f 20 62 65 20 75 6e 64 65 72 20 74 68 65 20 69 6d 70 6f 72 74 20 73 74	.needs.to.be.under.the.import.st
1b4e0	61 74 65 6d 65 6e 74 20 69 6e 20 74 68 65 20 76 72 66 20 77 65 20 6e 65 65 64 20 74 6f 20 66 69	atement.in.the.vrf.we.need.to.fi
1b500	6c 74 65 72 2e 00 54 68 65 72 65 20 61 72 65 20 73 6f 6d 65 20 63 61 73 65 73 20 77 68 65 72 65	lter..There.are.some.cases.where
1b520	20 74 68 69 73 20 69 73 20 6e 6f 74 20 6e 65 65 64 65 64 20 2d 66 6f 72 20 65 78 61 6d 70 6c 65	.this.is.not.needed.-for.example
1b540	2c 20 69 6e 20 73 6f 6d 65 20 44 44 6f 53 20 61 70 70 6c 69 61 6e 63 65 2d 20 62 75 74 20 6d 6f	,.in.some.DDoS.appliance-.but.mo
1b560	73 74 20 69 6e 74 65 72 2d 76 72 66 20 72 6f 75 74 69 6e 67 20 64 65 73 69 67 6e 73 20 75 73 65	st.inter-vrf.routing.designs.use
1b580	20 74 68 65 20 61 62 6f 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 2e 00 54 68 65 72 65	.the.above.configurations..There
1b5a0	20 69 73 20 70 6c 65 6e 74 79 20 6f 66 20 69 6e 73 74 72 75 63 74 69 6f 6e 73 20 61 6e 64 20 64	.is.plenty.of.instructions.and.d
1b5c0	6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 6f 6e 20 73 65 74 74 69 6e 67 20 75 70 20 57 69 72 65 67	ocumentation.on.setting.up.Wireg
1b5e0	75 61 72 64 2e 20 54 68 65 20 6f 6e 6c 79 20 69 6d 70 6f 72 74 61 6e 74 20 74 68 69 6e 67 20 79	uard..The.only.important.thing.y
1b600	6f 75 20 6e 65 65 64 20 74 6f 20 72 65 6d 65 6d 62 65 72 20 69 73 20 74 6f 20 6f 6e 6c 79 20 75	ou.need.to.remember.is.to.only.u
1b620	73 65 20 6f 6e 65 20 57 69 72 65 47 75 61 72 64 20 69 6e 74 65 72 66 61 63 65 20 70 65 72 20 4f	se.one.WireGuard.interface.per.O
1b640	53 50 46 20 63 6f 6e 6e 65 63 74 69 6f 6e 2e 00 54 68 65 73 65 20 61 72 65 20 74 68 65 20 76 6c	SPF.connection..These.are.the.vl
1b660	61 6e 73 20 77 65 20 77 69 6c 6c 20 62 65 20 75 73 69 6e 67 3a 00 54 68 65 79 20 77 61 6e 74 20	ans.we.will.be.using:.They.want.
1b680	75 73 20 74 6f 20 65 73 74 61 62 6c 69 73 68 20 61 20 42 47 50 20 73 65 73 73 69 6f 6e 20 74 6f	us.to.establish.a.BGP.session.to
1b6a0	20 74 68 65 69 72 20 72 6f 75 74 65 72 73 20 6f 6e 20 31 39 32 2e 30 2e 32 2e 31 31 20 61 6e 64	.their.routers.on.192.0.2.11.and
1b6c0	20 31 39 32 2e 30 2e 32 2e 31 32 20 66 72 6f 6d 20 6f 75 72 20 72 6f 75 74 65 72 73 20 31 39 32	.192.0.2.12.from.our.routers.192
1b6e0	2e 30 2e 32 2e 32 31 20 61 6e 64 20 31 39 32 2e 30 2e 32 2e 32 32 2e 20 54 68 65 79 20 61 72 65	.0.2.21.and.192.0.2.22..They.are
1b700	20 41 53 20 36 35 35 35 30 20 61 6e 64 20 77 65 20 61 72 65 20 41 53 20 36 35 35 35 31 2e 00 54	.AS.65550.and.we.are.AS.65551..T
1b720	68 69 73 20 4c 41 42 20 73 68 6f 77 20 68 6f 77 20 74 6f 20 75 77 65 20 4f 70 65 6e 56 50 4e 20	his.LAB.show.how.to.uwe.OpenVPN.
1b740	77 69 74 68 20 61 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 61 75 74 68 65 6e 74 69	with.a.Active.Directory.authenti
1b760	63 61 74 69 6f 6e 20 62 61 63 6b 65 6e 64 2e 00 54 68 69 73 20 61 63 63 6f 6d 70 6c 69 73 68 65	cation.backend..This.accomplishe
1b780	73 20 61 20 66 65 77 20 74 68 69 6e 67 73 3a 00 54 68 69 73 20 63 68 61 70 74 65 72 20 63 6f 6e	s.a.few.things:.This.chapter.con
1b7a0	74 61 69 6e 73 20 76 61 72 69 6f 75 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d	tains.various.configuration.exam
1b7c0	70 6c 65 73 3a 00 54 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65	ples:.This.configuration.example
1b7e0	20 61 6e 64 20 74 68 65 20 72 65 71 75 69 72 6d 65 6e 74 73 20 63 6f 6e 73 69 73 74 73 20 6f 6e	.and.the.requirments.consists.on
1b800	3a 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 61 69 6d 73 20 74 6f 20 77 61 6c 6b 20 79 6f 75	:.This.document.aims.to.walk.you
1b820	20 74 68 72 6f 75 67 68 20 73 65 74 74 69 6e 67 20 65 76 65 72 79 74 68 69 6e 67 20 75 70 2c 20	.through.setting.everything.up,.
1b840	73 6f 20 61 74 20 61 20 70 6f 69 6e 74 20 77 68 65 72 65 20 79 6f 75 20 63 61 6e 20 72 65 62 6f	so.at.a.point.where.you.can.rebo
1b860	6f 74 20 61 6e 79 20 6d 61 63 68 69 6e 65 20 61 6e 64 20 6e 6f 74 20 6c 6f 73 65 20 6d 6f 72 65	ot.any.machine.and.not.lose.more
1b880	20 74 68 61 6e 20 61 20 66 65 77 20 73 65 63 6f 6e 64 73 20 77 6f 72 74 68 20 6f 66 20 63 6f 6e	.than.a.few.seconds.worth.of.con
1b8a0	6e 65 63 74 69 76 69 74 79 2e 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 64	nectivity..This.document.is.to.d
1b8c0	65 73 63 72 69 62 65 20 61 20 62 61 73 69 63 20 73 65 74 75 70 20 75 73 69 6e 67 20 50 50 50 6f	escribe.a.basic.setup.using.PPPo
1b8e0	45 20 77 69 74 68 20 44 48 43 50 76 36 2d 50 44 20 2b 20 53 4c 41 41 43 20 74 6f 20 63 6f 6e 73	E.with.DHCPv6-PD.+.SLAAC.to.cons
1b900	74 72 75 63 74 20 61 20 74 79 70 69 63 61 6c 20 68 6f 6d 65 20 6e 65 74 77 6f 72 6b 2e 20 54 68	truct.a.typical.home.network..Th
1b920	65 20 75 73 65 72 20 63 61 6e 20 66 6f 6c 6c 6f 77 20 74 68 65 20 73 74 65 70 73 20 64 65 73 63	e.user.can.follow.the.steps.desc
1b940	72 69 62 65 64 20 68 65 72 65 20 74 6f 20 71 75 69 63 6b 6c 79 20 73 65 74 75 70 20 61 20 77 6f	ribed.here.to.quickly.setup.a.wo
1b960	72 6b 69 6e 67 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 75 73 65 20 74 68 69 73 20 61 73 20 61 20	rking.network.and.use.this.as.a.
1b980	73 74 61 72 74 69 6e 67 20 70 6f 69 6e 74 20 74 6f 20 66 75 72 74 68 65 72 20 63 6f 6e 66 69 67	starting.point.to.further.config
1b9a0	75 72 65 20 6f 72 20 66 69 6e 65 2d 74 75 6e 65 20 6f 74 68 65 72 20 73 65 74 74 69 6e 67 73 2e	ure.or.fine-tune.other.settings.
1b9c0	00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77 61 6c 6b 73 20 79 6f 75 20 74 68 72 6f 75 67 68	.This.document.walks.you.through
1b9e0	20 61 20 63 6f 6d 70 6c 65 74 65 20 48 41 20 73 65 74 75 70 20 6f 66 20 74 77 6f 20 56 79 4f 53	.a.complete.HA.setup.of.two.VyOS
1ba00	20 6d 61 63 68 69 6e 65 73 2e 20 54 68 69 73 20 64 65 73 69 67 6e 20 69 73 20 62 61 73 65 64 20	.machines..This.design.is.based.
1ba20	6f 6e 20 61 20 56 4d 20 61 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 72 6f 75 74 65 72 20 61 6e	on.a.VM.as.the.primary.router.an
1ba40	64 20 61 20 70 68 79 73 69 63 61 6c 20 6d 61 63 68 69 6e 65 20 61 73 20 61 20 62 61 63 6b 75 70	d.a.physical.machine.as.a.backup
1ba60	2c 20 75 73 69 6e 67 20 56 52 52 50 2c 20 42 47 50 2c 20 4f 53 50 46 2c 20 61 6e 64 20 63 6f 6e	,.using.VRRP,.BGP,.OSPF,.and.con
1ba80	6e 74 72 61 63 6b 20 73 68 61 72 69 6e 67 2e 00 54 68 69 73 20 65 6e 73 75 72 65 73 20 79 6f 75	ntrack.sharing..This.ensures.you
1baa0	20 64 6f 6e 27 74 20 67 6f 20 74 6f 6f 20 66 61 73 74 20 6f 72 20 6d 69 73 73 20 61 20 73 74 65	.don't.go.too.fast.or.miss.a.ste
1bac0	70 2e 20 48 6f 77 65 76 65 72 2c 20 69 74 20 77 69 6c 6c 20 6d 61 6b 65 20 79 6f 75 72 20 6c 69	p..However,.it.will.make.your.li
1bae0	66 65 20 65 61 73 69 65 72 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 66 69 78 65 64	fe.easier.to.configure.the.fixed
1bb00	20 49 50 20 61 64 64 72 65 73 73 20 61 6e 64 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 6e 6f	.IP.address.and.default.route.no
1bb20	77 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 54 68 69 73 20 65	w.on.the.hardware.router..This.e
1bb40	78 61 6d 70 6c 65 20 75 73 65 73 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 6d 6f 64 65 2e 00 54	xample.uses.the.failover.mode..T
1bb60	68 69 73 20 67 69 76 65 73 20 75 73 20 4d 50 4c 53 20 73 65 67 6d 65 6e 74 20 72 6f 75 74 69 6e	his.gives.us.MPLS.segment.routin
1bb80	67 20 65 6e 61 62 6c 65 64 20 61 6e 64 20 6c 61 62 65 6c 73 20 66 6f 72 77 61 72 64 69 6e 67 20	g.enabled.and.labels.forwarding.
1bba0	3a 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 20 73 61 6d 70 6c 65 20 63 6f 6e 66	:.This.guide.shows.a.sample.conf
1bbc0	69 67 75 72 61 74 69 6f 6e 20 66 6f 72 20 46 6c 65 78 56 50 4e 20 73 69 74 65 2d 74 6f 2d 73 69	iguration.for.FlexVPN.site-to-si
1bbe0	74 65 20 49 6e 74 65 72 6e 65 74 20 50 72 6f 74 6f 63 6f 6c 20 53 65 63 75 72 69 74 79 20 28 49	te.Internet.Protocol.Security.(I
1bc00	50 73 65 63 29 2f 47 65 6e 65 72 69 63 20 52 6f 75 74 69 6e 67 20 45 6e 63 61 70 73 75 6c 61 74	Psec)/Generic.Routing.Encapsulat
1bc20	69 6f 6e 20 28 47 52 45 29 20 74 75 6e 6e 65 6c 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f	ion.(GRE).tunnel..This.guide.sho
1bc40	77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 20 72 65 64 75 6e 64 61 6e 74 20 28 61 63	ws.an.example.of.a.redundant.(ac
1bc60	74 69 76 65 2d 61 63 74 69 76 65 29 20 72 6f 75 74 65 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73	tive-active).route-based.IKEv2.s
1bc80	69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 75 73 69 6e 67 20 56	ite-to-site.VPN.to.Azure.using.V
1bca0	54 49 20 61 6e 64 20 42 47 50 20 66 6f 72 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75	TI.and.BGP.for.dynamic.routing.u
1bcc0	70 64 61 74 65 73 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d	pdates..This.guide.shows.an.exam
1bce0	70 6c 65 20 6f 66 20 61 20 72 6f 75 74 65 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d	ple.of.a.route-based.IKEv2.site-
1bd00	74 6f 2d 73 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 75 73 69 6e 67 20 56 54 49 20 61	to-site.VPN.to.Azure.using.VTI.a
1bd20	6e 64 20 42 47 50 20 66 6f 72 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 70 64 61 74	nd.BGP.for.dynamic.routing.updat
1bd40	65 73 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20	es..This.guide.shows.an.example.
1bd60	70 6f 6c 69 63 79 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20	policy-based.IKEv2.site-to-site.
1bd80	56 50 4e 20 62 65 74 77 65 65 6e 20 74 77 6f 20 56 79 4f 53 20 72 6f 75 74 65 72 73 2c 20 61 6e	VPN.between.two.VyOS.routers,.an
1bda0	64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 69 75 72 61 74 69 6f 6e 2e 00 54 68 69 73 20	d.firewall.configiuration..This.
1bdc0	67 75 69 64 65 20 77 61 6c 6b 73 20 74 68 72 6f 75 67 68 20 74 68 65 20 73 65 74 75 70 20 6f 66	guide.walks.through.the.setup.of
1bde0	20 68 74 74 70 73 3a 2f 2f 77 77 77 2e 74 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 20 66	.https://www.tunnelbroker.net/.f
1be00	6f 72 20 61 6e 20 49 50 76 36 20 54 75 6e 6e 65 6c 2e 00 54 68 69 73 20 68 61 73 20 61 20 66 6c	or.an.IPv6.Tunnel..This.has.a.fl
1be20	6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 31 30 2e 32 30 30 2e 32 30 31 2e	oating.IP.address.of.10.200.201.
1be40	31 2f 32 34 2c 20 75 73 69 6e 67 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 32 30	1/24,.using.virtual.router.ID.20
1be60	31 2e 20 54 68 65 20 64 69 66 66 65 72 65 6e 63 65 20 62 65 74 77 65 65 6e 20 74 68 65 6d 20 69	1..The.difference.between.them.i
1be80	73 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 6e 61 6d 65 2c 20 68 65 6c 6c 6f 2d 73 6f 75 72	s.the.interface.name,.hello-sour
1bea0	63 65 2d 61 64 64 72 65 73 73 2c 20 61 6e 64 20 70 65 65 72 2d 61 64 64 72 65 73 73 2e 00 54 68	ce-address,.and.peer-address..Th
1bec0	69 73 20 68 61 73 20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20	is.has.a.floating.IP.address.of.
1bee0	32 30 33 2e 30 2e 31 31 33 2e 31 2f 32 34 2c 20 75 73 69 6e 67 20 76 69 72 74 75 61 6c 20 72 6f	203.0.113.1/24,.using.virtual.ro
1bf00	75 74 65 72 20 49 44 20 31 31 33 2e 20 54 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20	uter.ID.113..The.virtual.router.
1bf20	49 44 20 69 73 20 6a 75 73 74 20 61 20 72 61 6e 64 6f 6d 20 6e 75 6d 62 65 72 20 62 65 74 77 65	ID.is.just.a.random.number.betwe
1bf40	65 6e 20 31 20 61 6e 64 20 32 35 34 2c 20 61 6e 64 20 63 61 6e 20 62 65 20 73 65 74 20 74 6f 20	en.1.and.254,.and.can.be.set.to.
1bf60	77 68 61 74 65 76 65 72 20 79 6f 75 20 77 61 6e 74 2e 20 42 65 73 74 20 70 72 61 63 74 69 63 65	whatever.you.want..Best.practice
1bf80	73 20 73 75 67 67 65 73 74 20 79 6f 75 20 74 72 79 20 74 6f 20 6b 65 65 70 20 74 68 65 6d 20 75	s.suggest.you.try.to.keep.them.u
1bfa0	6e 69 71 75 65 20 65 6e 74 65 72 70 72 69 73 65 2d 77 69 64 65 2e 00 54 68 69 73 20 69 73 20 61	nique.enterprise-wide..This.is.a
1bfc0	6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 74 68 65 20 74 68 72 65 65 20 62 61 73 65 20 72 75 6c 65	n.example.of.the.three.base.rule
1bfe0	73 2e 00 54 68 69 73 20 69 73 20 62 61 73 65 64 20 6f 6e 20 61 20 72 65 61 6c 2d 6c 69 66 65 20	s..This.is.based.on.a.real-life.
1c000	70 72 6f 64 75 63 74 69 6f 6e 20 64 65 73 69 67 6e 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 63 6f	production.design..One.of.the.co
1c020	6d 70 6c 65 78 20 69 73 73 75 65 73 20 69 73 20 65 6e 73 75 72 69 6e 67 20 79 6f 75 20 68 61 76	mplex.issues.is.ensuring.you.hav
1c040	65 20 72 65 64 75 6e 64 61 6e 74 20 64 61 74 61 20 49 4e 54 4f 20 79 6f 75 72 20 6e 65 74 77 6f	e.redundant.data.INTO.your.netwo
1c060	72 6b 2e 20 57 65 20 64 6f 20 74 68 69 73 20 77 69 74 68 20 61 20 70 61 69 72 20 6f 66 20 43 69	rk..We.do.this.with.a.pair.of.Ci
1c080	73 63 6f 20 4e 65 78 75 73 20 73 77 69 74 63 68 65 73 20 61 6e 64 20 75 73 69 6e 67 20 56 69 72	sco.Nexus.switches.and.using.Vir
1c0a0	74 75 61 6c 20 50 6f 72 74 43 68 61 6e 6e 65 6c 73 20 74 68 61 74 20 61 72 65 20 73 70 61 6e 6e	tual.PortChannels.that.are.spann
1c0c0	65 64 20 61 63 72 6f 73 73 20 74 68 65 6d 2e 20 41 73 20 61 20 62 6f 6e 75 73 2c 20 74 68 69 73	ed.across.them..As.a.bonus,.this
1c0e0	20 61 6c 73 6f 20 61 6c 6c 6f 77 73 20 66 6f 72 20 63 6f 6d 70 6c 65 74 65 20 73 77 69 74 63 68	.also.allows.for.complete.switch
1c100	20 66 61 69 6c 75 72 65 20 77 69 74 68 6f 75 74 20 61 6e 20 6f 75 74 61 67 65 2e 20 48 6f 77 20	.failure.without.an.outage..How.
1c120	79 6f 75 20 61 63 68 69 65 76 65 20 74 68 69 73 20 79 6f 75 72 73 65 6c 66 20 69 73 20 6c 65 66	you.achieve.this.yourself.is.lef
1c140	74 20 61 73 20 61 6e 20 65 78 65 72 63 69 73 65 20 74 6f 20 74 68 65 20 72 65 61 64 65 72 2e 20	t.as.an.exercise.to.the.reader..
1c160	42 75 74 20 6f 75 72 20 73 65 74 75 70 20 69 73 20 64 6f 63 75 6d 65 6e 74 65 64 20 68 65 72 65	But.our.setup.is.documented.here
1c180	2e 00 54 68 69 73 20 69 73 20 63 6f 6e 6e 65 63 74 69 6e 67 20 62 61 63 6b 20 74 6f 20 74 68 65	..This.is.connecting.back.to.the
1c1a0	20 53 54 41 54 49 43 20 49 50 20 6f 66 20 72 6f 75 74 65 72 31 2c 20 6e 6f 74 20 74 68 65 20 66	.STATIC.IP.of.router1,.not.the.f
1c1c0	6c 6f 61 74 69 6e 67 2e 00 54 68 69 73 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 62 75 74 20	loating..This.is.identical,.but.
1c1e0	79 6f 75 20 75 73 65 20 74 68 65 20 42 47 50 50 52 45 50 45 4e 44 4f 55 54 20 72 6f 75 74 65 2d	you.use.the.BGPPREPENDOUT.route-
1c200	6d 61 70 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 74 68 65 20 72 6f 75 74 65 20 77 69 74 68 20	map.to.advertise.the.route.with.
1c220	61 20 6c 6f 6e 67 65 72 20 70 61 74 68 2e 00 54 68 69 73 20 69 73 20 69 67 6e 6f 72 69 6e 67 20	a.longer.path..This.is.ignoring.
1c240	74 68 65 20 65 78 74 72 61 20 4f 75 74 2d 6f 66 2d 62 61 6e 64 20 6d 61 6e 61 67 65 6d 65 6e 74	the.extra.Out-of-band.management
1c260	20 6e 65 74 77 6f 72 6b 69 6e 67 2c 20 77 68 69 63 68 20 73 68 6f 75 6c 64 20 62 65 20 6f 6e 20	.networking,.which.should.be.on.
1c280	74 6f 74 61 6c 6c 79 20 64 69 66 66 65 72 65 6e 74 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20	totally.different.switches,.and.
1c2a0	61 20 64 69 66 66 65 72 65 6e 74 20 66 65 65 64 20 69 6e 74 6f 20 74 68 65 20 72 61 63 6b 2c 20	a.different.feed.into.the.rack,.
1c2c0	61 6e 64 20 69 73 20 6f 75 74 20 6f 66 20 73 63 6f 70 65 20 6f 66 20 74 68 69 73 2e 00 54 68 69	and.is.out.of.scope.of.this..Thi
1c2e0	73 20 73 63 65 6e 61 72 69 6f 20 63 6f 75 6c 64 20 62 65 20 61 20 6e 69 67 68 74 6d 61 72 65 20	s.scenario.could.be.a.nightmare.
1c300	61 70 70 6c 79 69 6e 67 20 72 65 67 75 6c 61 72 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 6d 69 67	applying.regular.routing.and.mig
1c320	68 74 20 6e 65 65 64 20 66 69 6c 74 65 72 69 6e 67 20 69 6e 20 6d 75 6c 74 69 70 6c 65 20 69 6e	ht.need.filtering.in.multiple.in
1c340	74 65 72 66 61 63 65 73 2e 00 54 68 69 73 20 73 65 63 74 69 6f 6e 20 64 65 73 63 72 69 62 65 73	terfaces..This.section.describes
1c360	20 76 65 72 69 66 69 63 61 74 69 6f 6e 20 63 6f 6d 6d 61 6e 64 73 20 66 6f 72 20 4d 50 4c 53 2f	.verification.commands.for.MPLS/
1c380	42 47 50 2f 4c 44 50 20 70 72 6f 74 6f 63 6f 6c 73 20 61 6e 64 20 4c 33 56 50 4e 20 72 65 6c 61	BGP/LDP.protocols.and.L3VPN.rela
1c3a0	74 65 64 20 72 6f 75 74 65 73 20 61 73 20 77 65 6c 6c 20 61 73 20 64 69 61 67 6e 6f 73 69 73 20	ted.routes.as.well.as.diagnosis.
1c3c0	61 6e 64 20 72 65 61 63 68 61 62 69 6c 69 74 79 20 63 68 65 63 6b 73 20 62 65 74 77 65 65 6e 20	and.reachability.checks.between.
1c3e0	43 45 20 6e 6f 64 65 73 2e 00 54 68 69 73 20 73 65 63 74 69 6f 6e 20 70 72 6f 76 69 64 65 73 20	CE.nodes..This.section.provides.
1c400	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 73 74 65 70 73 20 66 6f 72 20 73 65 74 74 69 6e 67 20	configuration.steps.for.setting.
1c420	75 70 20 56 52 46 73 20 6f 6e 20 6f 75 72 20 50 45 20 6e 6f 64 65 73 20 69 6e 63 6c 75 64 69 6e	up.VRFs.on.our.PE.nodes.includin
1c440	67 20 43 45 20 66 61 63 69 6e 67 20 69 6e 74 65 72 66 61 63 65 73 2c 20 42 47 50 2c 20 72 64 20	g.CE.facing.interfaces,.BGP,.rd.
1c460	61 6e 64 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 69 6d 70 6f 72 74 2f 65 78 70 6f 72 74 20 62	and.route-target.import/export.b
1c480	61 73 65 64 20 6f 6e 20 74 68 65 20 70 72 65 2d 64 65 66 69 6e 65 64 20 70 61 72 61 6d 65 74 65	ased.on.the.pre-defined.paramete
1c4a0	72 73 2e 00 54 68 69 73 20 73 69 6d 70 6c 65 20 73 74 72 75 63 74 75 72 65 20 73 68 6f 77 20 68	rs..This.simple.structure.show.h
1c4c0	6f 77 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 77 6f 20 6f 66 66 69 63 65 73 2e 20 4f 6e 65 20 72	ow.to.connect.two.offices..One.r
1c4e0	65 6d 6f 74 65 20 62 72 61 6e 63 68 20 61 6e 64 20 74 68 65 20 63 65 6e 74 72 61 6c 20 6f 66 66	emote.branch.and.the.central.off
1c500	69 63 65 2e 00 54 68 69 73 20 73 69 6d 70 6c 65 20 73 74 72 75 63 74 75 72 65 20 73 68 6f 77 73	ice..This.simple.structure.shows
1c520	20 68 6f 77 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 20 44 48 43 50 20 52 65 6c 61 79 20 6f	.how.to.configure.a.DHCP.Relay.o
1c540	76 65 72 20 61 20 47 52 45 20 42 72 69 64 67 65 20 69 6e 74 65 72 66 61 63 65 2e 00 54 68 69 73	ver.a.GRE.Bridge.interface..This
1c560	20 77 69 6c 6c 20 62 65 20 76 69 73 69 62 6c 65 20 69 6e 20 27 73 68 6f 77 20 69 70 20 72 6f 75	.will.be.visible.in.'show.ip.rou
1c580	74 65 27 2e 00 54 68 75 73 20 79 6f 75 20 63 61 6e 20 65 61 73 69 6c 79 20 6d 61 74 63 68 20 69	te'..Thus.you.can.easily.match.i
1c5a0	74 20 74 6f 20 6f 6e 65 20 6f 66 20 74 68 65 20 64 65 76 69 63 65 73 2f 6e 65 74 77 6f 72 6b 73	t.to.one.of.the.devices/networks
1c5c0	20 62 65 6c 6f 77 2e 00 54 6f 20 61 63 68 69 65 76 65 20 74 68 69 73 2c 20 79 6f 75 72 20 49 53	.below..To.achieve.this,.your.IS
1c5e0	50 20 69 73 20 72 65 71 75 69 72 65 64 20 74 6f 20 73 75 70 70 6f 72 74 20 44 48 43 50 76 36 2d	P.is.required.to.support.DHCPv6-
1c600	50 44 2e 20 49 66 20 79 6f 75 27 72 65 20 6e 6f 74 20 73 75 72 65 2c 20 70 6c 65 61 73 65 20 63	PD..If.you're.not.sure,.please.c
1c620	6f 6e 74 61 63 74 20 79 6f 75 72 20 49 53 50 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61	ontact.your.ISP.for.more.informa
1c640	74 69 6f 6e 2e 00 54 6f 20 61 64 64 20 6c 6f 67 67 69 6e 67 20 74 6f 20 74 68 65 20 64 65 66 61	tion..To.add.logging.to.the.defa
1c660	75 6c 74 20 72 75 6c 65 2c 20 64 6f 3a 00 54 6f 20 61 64 64 72 65 73 73 20 74 68 69 73 20 73 63	ult.rule,.do:.To.address.this.sc
1c680	65 6e 61 72 69 6f 20 77 65 20 77 69 6c 6c 20 75 73 65 20 74 6f 20 6f 75 72 20 61 64 76 61 6e 74	enario.we.will.use.to.our.advant
1c6a0	61 67 65 20 61 6e 20 65 78 74 65 6e 73 69 6f 6e 20 6f 66 20 74 68 65 20 42 47 50 20 72 6f 75 74	age.an.extension.of.the.BGP.rout
1c6c0	69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 74 68 61 74 20 77 69 6c 6c 20 68 65 6c 70 20 75 73 20 69	ing.protocol.that.will.help.us.i
1c6e0	6e 20 74 68 65 20 e2 80 9c 45 78 70 6f 72 74 e2 80 9d 20 62 65 74 77 65 65 6e 20 56 52 46 73 20	n.the....Export....between.VRFs.
1c700	77 69 74 68 6f 75 74 20 74 68 65 20 6e 65 65 64 20 66 6f 72 20 4d 50 4c 53 2e 00 54 6f 20 64 65	without.the.need.for.MPLS..To.de
1c720	70 6c 6f 79 20 61 20 4c 61 79 65 72 33 20 56 50 4e 20 77 69 74 68 20 4d 50 4c 53 20 6f 6e 20 56	ploy.a.Layer3.VPN.with.MPLS.on.V
1c740	79 4f 53 2c 20 77 65 20 73 68 6f 75 6c 64 20 6d 65 65 74 20 61 20 63 6f 75 70 6c 65 20 72 65 71	yOS,.we.should.meet.a.couple.req
1c760	75 69 72 65 6d 65 6e 74 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 70 72 6f 70 65 72 6c 79 20 69	uirements.in.order.to.properly.i
1c780	6d 70 6c 65 6d 65 6e 74 20 74 68 65 20 73 6f 6c 75 74 69 6f 6e 2e 20 57 65 27 6c 6c 20 75 73 65	mplement.the.solution..We'll.use
1c7a0	20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 6e 6f 64 65 73 20 69 6e 20 6f 75 72 20 4c 41 42 20	.the.following.nodes.in.our.LAB.
1c7c0	65 6e 76 69 72 6f 6e 6d 65 6e 74 3a 00 54 6f 20 68 61 76 65 20 62 61 73 69 63 20 70 72 6f 74 65	environment:.To.have.basic.prote
1c7e0	63 74 69 6f 6e 20 77 68 69 6c 65 20 6b 65 65 70 69 6e 67 20 49 50 76 36 20 6e 65 74 77 6f 72 6b	ction.while.keeping.IPv6.network
1c800	20 66 75 6e 63 74 69 6f 6e 61 6c 2c 20 77 65 20 6e 65 65 64 20 74 6f 3a 00 54 6f 20 72 65 61 63	.functional,.we.need.to:.To.reac
1c820	68 20 74 68 65 20 6e 65 74 77 6f 72 6b 2c 20 61 20 72 6f 75 74 65 20 6d 75 73 74 20 62 65 20 73	h.the.network,.a.route.must.be.s
1c840	65 74 20 6f 6e 20 65 61 63 68 20 56 79 4f 53 20 68 6f 73 74 2e 20 49 6e 20 74 68 69 73 20 73 74	et.on.each.VyOS.host..In.this.st
1c860	72 75 63 74 75 72 65 2c 20 61 20 73 74 61 74 69 63 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74	ructure,.a.static.interface.rout
1c880	65 20 77 69 6c 6c 20 66 69 74 20 74 68 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 2e 00 54 6f 70	e.will.fit.the.requirements..Top
1c8a0	6f 6c 6f 67 79 00 54 72 61 66 66 69 63 20 66 6c 6f 77 73 20 66 72 6f 6d 20 7a 6f 6e 65 20 41 20	ology.Traffic.flows.from.zone.A.
1c8c0	74 6f 20 7a 6f 6e 65 20 42 2e 20 54 68 61 74 20 66 6c 6f 77 20 69 73 20 77 68 61 74 20 49 20 72	to.zone.B..That.flow.is.what.I.r
1c8e0	65 66 65 72 20 74 6f 20 61 73 20 61 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e	efer.to.as.a.zone-pair-direction
1c900	2e 20 65 67 2e 20 41 2d 3e 42 20 61 6e 64 20 42 2d 3e 41 20 61 72 65 20 74 77 6f 20 7a 6f 6e 65	..eg..A->B.and.B->A.are.two.zone
1c920	2d 70 61 69 72 2d 64 65 73 74 69 6e 61 74 69 6f 6e 73 2e 00 54 72 61 6e 73 70 6f 72 74 3a 00 54	-pair-destinations..Transport:.T
1c940	75 6e 6e 65 6c 62 72 6f 6b 65 72 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 54 75 6e 6e 65	unnelbroker.topology.image.Tunne
1c960	6c 62 72 6f 6b 65 72 2e 6e 65 74 20 28 49 50 76 36 29 00 54 77 6f 20 56 79 4f 53 20 72 6f 75 74	lbroker.net.(IPv6).Two.VyOS.rout
1c980	65 72 73 20 77 69 74 68 20 70 75 62 6c 69 63 20 49 50 20 61 64 64 72 65 73 73 2e 00 54 77 6f 20	ers.with.public.IP.address..Two.
1c9a0	72 75 6c 65 73 20 77 69 6c 6c 20 62 65 20 63 72 65 61 74 65 64 2c 20 74 68 65 20 66 69 72 73 74	rules.will.be.created,.the.first
1c9c0	20 72 75 6c 65 20 64 69 72 65 63 74 73 20 74 72 61 66 66 69 63 20 63 6f 6d 69 6e 67 20 69 6e 20	.rule.directs.traffic.coming.in.
1c9e0	66 72 6f 6d 20 65 74 68 32 20 74 6f 20 65 74 68 30 20 61 6e 64 20 74 68 65 20 73 65 63 6f 6e 64	from.eth2.to.eth0.and.the.second
1ca00	20 72 75 6c 65 20 64 69 72 65 63 74 73 20 74 68 65 20 74 72 61 66 66 69 63 20 74 6f 20 65 74 68	.rule.directs.the.traffic.to.eth
1ca20	31 2e 20 49 66 20 65 74 68 30 20 66 61 69 6c 73 20 74 68 65 20 66 69 72 73 74 20 72 75 6c 65 20	1..If.eth0.fails.the.first.rule.
1ca40	69 73 20 62 79 70 61 73 73 65 64 20 61 6e 64 20 74 68 65 20 73 65 63 6f 6e 64 20 72 75 6c 65 20	is.bypassed.and.the.second.rule.
1ca60	6d 61 74 63 68 65 73 2c 20 64 69 72 65 63 74 69 6e 67 20 74 72 61 66 66 69 63 20 74 6f 20 65 74	matches,.directing.traffic.to.et
1ca80	68 31 2e 00 55 6e 6c 69 6b 65 20 49 50 76 34 2c 20 49 50 76 36 20 69 73 20 72 65 61 6c 6c 79 20	h1..Unlike.IPv4,.IPv6.is.really.
1caa0	6e 6f 74 20 64 65 73 69 67 6e 65 64 20 74 6f 20 62 65 20 62 72 6f 6b 65 6e 20 75 70 20 73 6d 61	not.designed.to.be.broken.up.sma
1cac0	6c 6c 65 72 20 74 68 61 6e 20 2f 36 34 2e 20 53 6f 20 69 66 20 79 6f 75 20 65 76 65 72 20 77 61	ller.than./64..So.if.you.ever.wa
1cae0	6e 74 20 74 6f 20 68 61 76 65 20 6d 75 6c 74 69 70 6c 65 20 4c 41 4e 73 2c 20 56 4c 41 4e 73 2c	nt.to.have.multiple.LANs,.VLANs,
1cb00	20 44 4d 5a 2c 20 65 74 63 2c 20 79 6f 75 27 6c 6c 20 77 61 6e 74 20 74 6f 20 69 67 6e 6f 72 65	.DMZ,.etc,.you'll.want.to.ignore
1cb20	20 74 68 65 20 61 73 73 69 67 6e 65 64 20 2f 36 34 2c 20 61 6e 64 20 72 65 71 75 65 73 74 20 74	.the.assigned./64,.and.request.t
1cb40	68 65 20 2f 34 38 20 61 6e 64 20 75 73 65 20 74 68 61 74 2e 00 55 73 69 6e 67 20 74 68 65 20 67	he./48.and.use.that..Using.the.g
1cb60	65 6e 65 72 61 6c 20 73 63 68 65 6d 61 20 66 6f 72 20 65 78 61 6d 70 6c 65 3a 00 55 73 69 6e 67	eneral.schema.for.example:.Using
1cb80	20 74 68 69 73 20 63 6f 6d 6d 61 6e 64 20 77 65 20 61 72 65 20 61 6c 73 6f 20 61 62 6c 65 20 74	.this.command.we.are.also.able.t
1cba0	6f 20 63 68 65 63 6b 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 61 6e 64 20 63 75 73 74 6f 6d	o.check.the.transport.and.custom
1cbc0	65 72 20 6c 61 62 65 6c 20 28 69 6e 6e 65 72 2f 6f 75 74 65 72 29 20 66 6f 72 20 48 75 62 20 6e	er.label.(inner/outer).for.Hub.n
1cbe0	65 74 77 6f 72 6b 20 70 72 65 66 69 78 20 28 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 29 3a 00 56	etwork.prefix.(10.0.0.100/32):.V
1cc00	4c 41 4e 20 31 30 30 20 61 6e 64 20 32 30 31 20 77 69 6c 6c 20 68 61 76 65 20 66 6c 6f 61 74 69	LAN.100.and.201.will.have.floati
1cc20	6e 67 20 49 50 20 61 64 64 72 65 73 73 65 73 2c 20 62 75 74 20 56 4c 41 4e 35 30 20 64 6f 65 73	ng.IP.addresses,.but.VLAN50.does
1cc40	20 6e 6f 74 2c 20 61 73 20 74 68 69 73 20 69 73 20 74 61 6c 6b 69 6e 67 20 64 69 72 65 63 74 6c	.not,.as.this.is.talking.directl
1cc60	79 20 74 6f 20 75 70 73 74 72 65 61 6d 2e 20 43 72 65 61 74 65 20 6f 75 72 20 49 50 20 61 64 64	y.to.upstream..Create.our.IP.add
1cc80	72 65 73 73 20 6f 6e 20 76 6c 61 6e 35 30 2e 00 56 4c 41 4e 73 00 56 4d 77 61 72 65 3a 20 59 6f	ress.on.vlan50..VLANs.VMware:.Yo
1cca0	75 20 6d 75 73 74 20 44 49 53 41 42 4c 45 20 53 45 43 55 52 49 54 59 20 6f 6e 20 74 68 69 73 20	u.must.DISABLE.SECURITY.on.this.
1ccc0	50 6f 72 74 20 67 72 6f 75 70 2e 20 4d 61 6b 65 20 73 75 72 65 20 74 68 61 74 20 60 60 50 72 6f	Port.group..Make.sure.that.``Pro
1cce0	6d 69 73 63 75 6f 75 73 20 4d 6f 64 65 60 60 5c 20 2c 20 60 60 4d 41 43 20 61 64 64 72 65 73 73	miscuous.Mode``\.,.``MAC.address
1cd00	20 63 68 61 6e 67 65 73 60 60 20 61 6e 64 20 60 60 46 6f 72 67 65 64 20 74 72 61 6e 73 6d 69 74	.changes``.and.``Forged.transmit
1cd20	73 60 60 20 61 72 65 20 65 6e 61 62 6c 65 64 2e 20 41 6c 6c 20 6f 66 20 74 68 65 73 65 20 77 69	s``.are.enabled..All.of.these.wi
1cd40	6c 6c 20 62 65 20 64 6f 6e 65 20 61 73 20 70 61 72 74 20 6f 66 20 66 61 69 6c 6f 76 65 72 2e 00	ll.be.done.as.part.of.failover..
1cd60	56 52 46 00 56 52 52 50 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 56 65 72 69 66 69 63 61 74	VRF.VRRP.Configuration.Verificat
1cd80	69 6f 6e 00 56 65 72 73 69 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33	ion.Version:.1.4-rolling-2021103
1cda0	31 30 33 31 37 00 56 65 72 73 69 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30	10317.Version:.1.4-rolling-20230
1cdc0	35 31 30 30 37 33 34 00 56 65 72 73 69 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32	5100734.Version:.1.4-rolling-202
1cde0	33 30 38 32 34 30 30 32 30 00 56 65 72 73 69 6f 6e 3a 20 31 2e 35 2d 72 6f 6c 6c 69 6e 67 2d 32	308240020.Version:.1.5-rolling-2
1ce00	30 32 34 30 31 31 32 31 32 33 39 00 56 65 72 73 69 6f 6e 3a 20 76 79 6f 73 2d 31 2e 34 2d 72 6f	02401121239.Version:.vyos-1.4-ro
1ce20	6c 6c 69 6e 67 2d 32 30 32 33 30 32 31 35 30 33 31 37 00 56 79 4f 53 00 56 79 4f 53 20 31 2e 33	lling-202302150317.VyOS.VyOS.1.3
1ce40	20 61 64 64 65 64 20 69 6e 69 74 69 61 6c 20 73 75 70 70 6f 72 74 20 66 6f 72 20 56 52 46 73 20	.added.initial.support.for.VRFs.
1ce60	28 69 6e 63 6c 75 64 69 6e 67 20 49 50 76 34 2f 49 50 76 36 20 73 74 61 74 69 63 20 72 6f 75 74	(including.IPv4/IPv6.static.rout
1ce80	69 6e 67 29 20 61 6e 64 20 56 79 4f 53 20 31 2e 34 20 6e 6f 77 20 65 6e 61 62 6c 65 73 20 66 75	ing).and.VyOS.1.4.now.enables.fu
1cea0	6c 6c 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 73 75 70 70	ll.dynamic.routing.protocol.supp
1cec0	6f 72 74 20 66 6f 72 20 4f 53 50 46 2c 20 49 53 2d 49 53 2c 20 61 6e 64 20 42 47 50 20 66 6f 72	ort.for.OSPF,.IS-IS,.and.BGP.for
1cee0	20 69 6e 64 69 76 69 64 75 61 6c 20 56 52 46 73 2e 00 56 79 4f 53 20 61 63 74 73 20 61 73 20 44	.individual.VRFs..VyOS.acts.as.D
1cf00	48 43 50 2c 20 44 4e 53 20 66 6f 72 77 61 72 64 65 72 2c 20 4e 41 54 2c 20 72 6f 75 74 65 72 20	HCP,.DNS.forwarder,.NAT,.router.
1cf20	61 6e 64 20 66 69 72 65 77 61 6c 6c 2e 00 56 79 4f 53 20 61 73 20 43 6c 69 65 6e 74 00 56 79 4f	and.firewall..VyOS.as.Client.VyO
1cf40	53 20 61 73 20 61 20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 00 56 79 4f 53 20 69 73 20 61 62	S.as.a.OpenVPN.Server.VyOS.is.ab
1cf60	6c 65 20 74 6f 20 63 68 65 63 6b 20 4d 53 44 20 70 65 72 20 64 65 76 69 63 65 73 3a 00 56 79 4f	le.to.check.MSD.per.devices:.VyO
1cf80	53 2d 43 45 2d 48 55 42 20 2d 2d 2d 2d 2d 2d 2d 3e 20 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45	S-CE-HUB.------->.VyOS-CE1-SPOKE
1cfa0	00 56 79 4f 53 2d 43 45 2d 48 55 42 20 2d 2d 2d 2d 2d 2d 2d 3e 20 56 79 4f 53 2d 43 45 32 2d 53	.VyOS-CE-HUB.------->.VyOS-CE2-S
1cfc0	50 4f 4b 45 00 56 79 4f 53 2d 43 45 31 2d 48 55 42 3a 00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b	POKE.VyOS-CE1-HUB:.VyOS-CE1-SPOK
1cfe0	45 20 2d 2d 2d 2d 2d 3e 20 20 20 56 79 4f 53 2d 43 45 2d 48 55 42 00 56 79 4f 53 2d 43 45 31 2d	E.----->...VyOS-CE-HUB.VyOS-CE1-
1d000	53 50 4f 4b 45 3a 00 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 20 2d 2d 2d 2d 2d 2d 2d 3e 20 20	SPOKE:.VyOS-CE2-SPOKE.------->..
1d020	56 79 4f 53 2d 43 45 2d 48 55 42 00 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 3a 00 56 79 4f 53	VyOS-CE-HUB.VyOS-CE2-SPOKE:.VyOS
1d040	2d 50 31 3a 00 56 79 4f 53 2d 50 32 3a 00 56 79 4f 53 2d 50 33 3a 00 56 79 4f 53 2d 50 34 3a 00	-P1:.VyOS-P2:.VyOS-P3:.VyOS-P4:.
1d060	56 79 4f 53 2d 50 45 31 00 56 79 4f 53 2d 50 45 31 3a 00 56 79 4f 53 2d 50 45 32 00 56 79 4f 53	VyOS-PE1.VyOS-PE1:.VyOS-PE2.VyOS
1d080	2d 50 45 32 3a 00 56 79 4f 53 2d 50 45 33 00 56 79 4f 53 2d 50 45 33 3a 00 56 79 4f 53 2d 52 52	-PE2:.VyOS-PE3.VyOS-PE3:.VyOS-RR
1d0a0	31 2f 52 52 32 00 56 79 4f 53 2d 52 52 31 3a 00 56 79 4f 53 2d 52 52 32 3a 00 56 79 6f 73 20 41	1/RR2.VyOS-RR1:.VyOS-RR2:.Vyos.A
1d0c0	53 4e 00 56 79 6f 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 56 79 6f 73 20 70 72 69 76 61	SN.Vyos.configuration.Vyos.priva
1d0e0	74 65 20 49 50 00 56 79 6f 73 20 70 75 62 6c 69 63 20 49 50 00 57 41 4e 20 49 6e 74 65 72 66 61	te.IP.Vyos.public.IP.WAN.Interfa
1d100	63 65 00 57 41 4e 20 4c 6f 61 64 20 42 61 6c 61 6e 63 65 72 20 65 78 61 6d 70 6c 65 73 00 57 61	ce.WAN.Load.Balancer.examples.Wa
1d120	6c 6b 74 68 72 6f 75 67 68 20 73 75 67 67 65 73 74 69 6f 6e 00 57 65 20 61 72 65 20 67 6f 69 6e	lkthrough.suggestion.We.are.goin
1d140	67 20 74 6f 20 75 73 65 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 66 6f 72 20 61 6e 20	g.to.use.10.200.201.0/24.for.an.
1d160	27 69 6e 74 65 72 6e 61 6c 27 20 6e 65 74 77 6f 72 6b 20 6f 6e 20 56 4c 41 4e 32 30 31 2e 00 57	'internal'.network.on.VLAN201..W
1d180	65 20 61 72 65 20 73 65 74 74 69 6e 67 20 75 70 20 56 52 52 50 20 73 6f 20 74 68 61 74 20 69 74	e.are.setting.up.VRRP.so.that.it
1d1a0	20 64 6f 65 73 20 4e 4f 54 20 66 61 69 6c 20 62 61 63 6b 20 77 68 65 6e 20 61 20 6d 61 63 68 69	.does.NOT.fail.back.when.a.machi
1d1c0	6e 65 20 72 65 74 75 72 6e 73 20 69 6e 74 6f 20 73 65 72 76 69 63 65 2c 20 61 6e 64 20 69 74 20	ne.returns.into.service,.and.it.
1d1e0	70 72 69 6f 72 69 74 69 7a 65 73 20 72 6f 75 74 65 72 31 20 6f 76 65 72 20 72 6f 75 74 65 72 32	prioritizes.router1.over.router2
1d200	2e 00 57 65 20 61 72 65 20 75 73 69 6e 67 20 61 20 22 77 68 69 74 65 20 6c 69 73 74 22 20 61 70	..We.are.using.a."white.list".ap
1d220	70 72 6f 61 63 68 20 62 79 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 77 68 61 74 20 69 73 20	proach.by.allowing.only.what.is.
1d240	6e 65 63 65 73 73 61 72 79 2e 20 49 6e 20 63 61 73 65 20 74 68 61 74 20 6e 65 65 64 20 74 6f 20	necessary..In.case.that.need.to.
1d260	69 6d 70 6c 65 6d 65 6e 74 20 61 20 22 62 6c 61 63 6b 20 6c 69 73 74 22 20 61 70 70 72 6f 61 63	implement.a."black.list".approac
1d280	68 20 74 68 65 6e 20 79 6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 63 68 61 6e 67 65 20 74	h.then.you.will.need.to.change.t
1d2a0	68 65 20 61 63 74 69 6f 6e 20 69 6e 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 20 66 6f 72 20 61	he.action.in.the.route-map.for.a
1d2c0	20 64 65 6e 79 20 42 55 54 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 61 64 64 20 61 20 72 75 6c 65	.deny.BUT.you.need.to.add.a.rule
1d2e0	20 74 68 61 74 20 70 65 72 6d 69 74 73 20 74 68 65 20 72 65 73 74 20 64 75 65 20 74 6f 20 74 68	.that.permits.the.rest.due.to.th
1d300	65 20 69 6d 70 6c 69 63 69 74 20 64 65 6e 79 20 69 6e 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70	e.implicit.deny.in.the.route-map
1d320	2e 00 57 65 20 63 72 65 61 74 65 20 61 20 70 72 65 66 69 78 2d 6c 69 73 74 20 66 69 72 73 74 20	..We.create.a.prefix-list.first.
1d340	61 6e 64 20 61 64 64 20 61 6c 6c 20 74 68 65 20 72 6f 75 74 65 73 20 77 65 20 6e 65 65 64 20 74	and.add.all.the.routes.we.need.t
1d360	6f 2e 00 57 65 20 65 78 70 6c 69 63 69 74 6c 79 20 65 78 63 6c 75 64 65 20 74 68 65 20 70 72 69	o..We.explicitly.exclude.the.pri
1d380	6d 61 72 79 20 75 70 73 74 72 65 61 6d 20 6e 65 74 77 6f 72 6b 20 73 6f 20 74 68 61 74 20 42 47	mary.upstream.network.so.that.BG
1d3a0	50 20 6f 72 20 4f 53 50 46 20 74 72 61 66 66 69 63 20 64 6f 65 73 6e 27 74 20 61 63 63 69 64 65	P.or.OSPF.traffic.doesn't.accide
1d3c0	6e 74 61 6c 6c 79 20 67 65 74 20 4e 41 54 27 65 64 2e 00 57 65 20 68 61 76 65 20 66 6f 75 72 20	ntally.get.NAT'ed..We.have.four.
1d3e0	68 6f 73 74 73 20 6f 6e 20 74 68 65 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 31 37 32 2e 31	hosts.on.the.local.network.172.1
1d400	37 2e 31 2e 30 2f 32 34 2e 20 41 6c 6c 20 68 6f 73 74 73 20 61 72 65 20 6c 61 62 65 6c 65 64 20	7.1.0/24..All.hosts.are.labeled.
1d420	43 53 30 20 62 79 20 64 65 66 61 75 6c 74 2e 20 57 65 20 6e 65 65 64 20 74 6f 20 72 65 70 6c 61	CS0.by.default..We.need.to.repla
1d440	63 65 20 6c 61 62 65 6c 73 20 6f 6e 20 61 6c 6c 20 68 6f 73 74 73 20 65 78 63 65 70 74 20 76 70	ce.labels.on.all.hosts.except.vp
1d460	63 38 2e 20 57 65 20 77 69 6c 6c 20 72 65 70 6c 61 63 65 20 74 68 65 20 6c 61 62 65 6c 73 20 6f	c8..We.will.replace.the.labels.o
1d480	6e 20 74 68 65 20 6e 65 61 72 65 73 74 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 33 e2 80 9d	n.the.nearest.router....VyOS3...
1d4a0	20 75 73 69 6e 67 20 74 68 65 20 49 50 20 61 64 64 72 65 73 73 65 73 20 6f 66 20 74 68 65 20 73	.using.the.IP.addresses.of.the.s
1d4c0	6f 75 72 63 65 73 2e 00 57 65 20 68 61 76 65 20 66 6f 75 72 20 70 72 65 2d 63 6f 6e 66 69 67 75	ources..We.have.four.pre-configu
1d4e0	72 65 64 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 74 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74	red.routers.with.this.configurat
1d500	69 6f 6e 3a 00 57 65 20 68 61 76 65 20 74 68 72 65 65 20 6e 65 74 77 6f 72 6b 73 2e 00 57 65 20	ion:.We.have.three.networks..We.
1d520	6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20	keep.the.configuration.from.the.
1d540	70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 64 65 6c 65 74 65 20 72 75 6c 65 20 31 30	previous.example,.delete.rule.10
1d560	20 61 6e 64 20 63 72 65 61 74 65 20 74 68 65 20 74 77 6f 20 6e 65 77 20 72 75 6c 65 73 20 61 73	.and.create.the.two.new.rules.as
1d580	20 64 65 73 63 72 69 62 65 64 3a 00 57 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72	.described:.We.keep.the.configur
1d5a0	61 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c	ation.from.the.previous.example,
1d5c0	20 64 65 6c 65 74 65 20 72 75 6c 65 20 32 30 20 61 6e 64 20 63 72 65 61 74 65 20 61 20 6e 65 77	.delete.rule.20.and.create.a.new
1d5e0	20 72 75 6c 65 20 61 73 20 64 65 73 63 72 69 62 65 64 3a 00 57 65 20 6e 65 65 64 20 74 6f 20 65	.rule.as.described:.We.need.to.e
1d600	6e 61 62 6c 65 20 72 6f 75 74 65 72 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 66 6f 72 20 4c	nable.router.advertisement.for.L
1d620	41 4e 20 6e 65 74 77 6f 72 6b 20 73 6f 20 74 68 61 74 20 50 43 20 63 61 6e 20 72 65 63 65 69 76	AN.network.so.that.PC.can.receiv
1d640	65 20 74 68 65 20 70 72 65 66 69 78 20 61 6e 64 20 75 73 65 20 53 4c 41 41 43 20 74 6f 20 63 6f	e.the.prefix.and.use.SLAAC.to.co
1d660	6e 66 69 67 75 72 65 20 74 68 65 20 61 64 64 72 65 73 73 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c	nfigure.the.address.automaticall
1d680	79 2e 00 57 65 20 6f 6e 6c 79 20 77 61 6e 74 20 74 6f 20 65 78 70 6f 72 74 20 74 68 65 20 6e 65	y..We.only.want.to.export.the.ne
1d6a0	74 77 6f 72 6b 73 20 77 65 20 6b 6e 6f 77 2e 20 41 6c 77 61 79 73 20 64 6f 20 61 20 77 68 69 74	tworks.we.know..Always.do.a.whit
1d6c0	65 6c 69 73 74 20 6f 6e 20 79 6f 75 72 20 72 6f 75 74 65 20 66 69 6c 74 65 72 73 2c 20 62 6f 74	elist.on.your.route.filters,.bot
1d6e0	68 20 69 6d 70 6f 72 74 69 6e 67 20 61 6e 64 20 65 78 70 6f 72 74 69 6e 67 2e 20 41 20 67 6f 6f	h.importing.and.exporting..A.goo
1d700	64 20 72 75 6c 65 20 6f 66 20 74 68 75 6d 62 20 69 73 20 2a 2a 27 49 66 20 79 6f 75 20 61 72 65	d.rule.of.thumb.is.**'If.you.are
1d720	20 6e 6f 74 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 20 66 6f 72 20 61 20 6e 65	.not.the.default.router.for.a.ne
1d740	74 77 6f 72 6b 2c 20 64 6f 6e 27 74 20 61 64 76 65 72 74 69 73 65 20 69 74 27 2a 2a 2e 20 54 68	twork,.don't.advertise.it'**..Th
1d760	69 73 20 6d 65 61 6e 73 20 77 65 20 65 78 70 6c 69 63 69 74 6c 79 20 64 6f 20 6e 6f 74 20 77 61	is.means.we.explicitly.do.not.wa
1d780	6e 74 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34	nt.to.advertise.the.192.0.2.0/24
1d7a0	20 6e 65 74 77 6f 72 6b 20 28 62 75 74 20 64 6f 20 77 61 6e 74 20 74 6f 20 61 64 76 65 72 74 69	.network.(but.do.want.to.adverti
1d7c0	73 65 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 20 61 6e 64 20 32 30 33 2e 30 2e 31 31 33 2e 30 2c	se.10.200.201.0.and.203.0.113.0,
1d7e0	20 77 68 69 63 68 20 77 65 20 41 52 45 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20	.which.we.ARE.the.default.route.
1d800	66 6f 72 29 2e 20 54 68 69 73 20 66 69 6c 74 65 72 20 69 73 20 61 70 70 6c 69 65 64 20 74 6f 20	for)..This.filter.is.applied.to.
1d820	60 60 72 65 64 69 73 74 72 69 62 75 74 65 20 63 6f 6e 6e 65 63 74 65 64 60 60 2e 20 49 66 20 77	``redistribute.connected``..If.w
1d840	65 20 57 45 52 45 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 69 74 2c 20 74 68 65 20 72 65 6d 6f	e.WERE.to.advertise.it,.the.remo
1d860	74 65 20 6d 61 63 68 69 6e 65 73 20 77 6f 75 6c 64 20 73 65 65 20 31 39 32 2e 30 2e 32 2e 32 31	te.machines.would.see.192.0.2.21
1d880	20 61 76 61 69 6c 61 62 6c 65 20 76 69 61 20 74 68 65 69 72 20 64 65 66 61 75 6c 74 20 72 6f 75	.available.via.their.default.rou
1d8a0	74 65 2c 20 65 73 74 61 62 6c 69 73 68 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 2c 20 61 6e	te,.establish.the.connection,.an
1d8c0	64 20 74 68 65 6e 20 4f 53 50 46 20 77 6f 75 6c 64 20 73 61 79 20 27 31 39 32 2e 30 2e 32 2e 30	d.then.OSPF.would.say.'192.0.2.0
1d8e0	2f 32 34 20 69 73 20 61 76 61 69 6c 61 62 6c 65 20 76 69 61 20 74 68 69 73 20 74 75 6e 6e 65 6c	/24.is.available.via.this.tunnel
1d900	27 2c 20 61 74 20 77 68 69 63 68 20 70 6f 69 6e 74 20 74 68 65 20 74 75 6e 6e 65 6c 20 77 6f 75	',.at.which.point.the.tunnel.wou
1d920	6c 64 20 62 72 65 61 6b 2c 20 4f 53 50 46 20 77 6f 75 6c 64 20 64 72 6f 70 20 74 68 65 20 72 6f	ld.break,.OSPF.would.drop.the.ro
1d940	75 74 65 73 2c 20 61 6e 64 20 74 68 65 6e 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 77 6f 75 6c	utes,.and.then.192.0.2.0/24.woul
1d960	64 20 62 65 20 72 65 61 63 68 61 62 6c 65 20 76 69 61 20 64 65 66 61 75 6c 74 20 61 67 61 69 6e	d.be.reachable.via.default.again
1d980	2e 20 54 68 69 73 20 69 73 20 63 61 6c 6c 65 64 20 27 66 6c 61 70 70 69 6e 67 27 2e 00 57 65 20	..This.is.called.'flapping'..We.
1d9a0	6f 6e 6c 79 20 77 61 6e 74 20 74 6f 20 69 6d 70 6f 72 74 20 6e 65 74 77 6f 72 6b 73 20 77 65 20	only.want.to.import.networks.we.
1d9c0	6b 6e 6f 77 2e 20 4f 75 72 20 4f 53 50 46 20 70 65 65 72 20 73 68 6f 75 6c 64 20 6f 6e 6c 79 20	know..Our.OSPF.peer.should.only.
1d9e0	62 65 20 61 64 76 65 72 74 69 73 69 6e 67 20 6e 65 74 77 6f 72 6b 73 20 69 6e 20 74 68 65 20 31	be.advertising.networks.in.the.1
1da00	30 2e 32 30 31 2e 30 2e 30 2f 31 36 20 72 61 6e 67 65 2e 20 4e 6f 74 65 20 74 68 61 74 20 74 68	0.201.0.0/16.range..Note.that.th
1da20	69 73 20 69 73 20 61 6e 20 49 4e 56 45 52 53 45 20 4d 41 54 43 48 2e 20 59 6f 75 20 64 65 6e 79	is.is.an.INVERSE.MATCH..You.deny
1da40	20 69 6e 20 61 63 63 65 73 73 2d 6c 69 73 74 20 31 30 30 20 74 6f 20 61 63 63 65 70 74 20 74 68	.in.access-list.100.to.accept.th
1da60	65 20 72 6f 75 74 65 2e 00 57 65 20 75 73 65 20 61 20 73 74 61 74 69 63 20 72 6f 75 74 65 20 63	e.route..We.use.a.static.route.c
1da80	6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 6e 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65	onfiguration.in.between.the.Core
1daa0	20 61 6e 64 20 65 61 63 68 20 4c 41 4e 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 20 72 6f 75	.and.each.LAN.and.Management.rou
1dac0	74 65 72 2c 20 61 6e 64 20 42 47 50 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 72 6f	ter,.and.BGP.between.the.Core.ro
1dae0	75 74 65 72 20 61 6e 64 20 74 68 65 20 49 53 50 20 72 6f 75 74 65 72 20 62 75 74 20 61 6e 79 20	uter.and.the.ISP.router.but.any.
1db00	64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 63 61 6e 20 62 65 20	dynamic.routing.protocol.can.be.
1db20	75 73 65 64 2e 00 57 65 20 75 73 65 20 73 6d 61 6c 6c 20 2f 33 30 27 73 20 66 72 6f 6d 20 31 30	used..We.use.small./30's.from.10
1db40	2e 32 35 34 2e 36 30 2f 32 34 20 66 6f 72 20 74 68 65 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e	.254.60/24.for.the.point-to-poin
1db60	74 20 6c 69 6e 6b 73 2e 00 57 65 20 75 73 65 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 6e 65	t.links..We.use.the.following.ne
1db80	74 77 6f 72 6b 20 74 6f 70 6f 6c 6f 67 79 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 3a 00	twork.topology.in.this.example:.
1dba0	57 68 65 6e 20 69 6d 70 6f 72 74 69 6e 67 20 72 6f 75 74 65 73 20 75 73 69 6e 67 20 4d 50 2d 42	When.importing.routes.using.MP-B
1dbc0	47 50 20 69 74 20 69 73 20 70 6f 73 73 69 62 6c 65 20 74 6f 20 66 69 6c 74 65 72 20 61 20 73 75	GP.it.is.possible.to.filter.a.su
1dbe0	62 73 65 74 20 6f 66 20 74 68 65 6d 20 62 65 66 6f 72 65 20 61 72 65 20 69 6e 6a 65 63 74 65 64	bset.of.them.before.are.injected
1dc00	20 69 6e 20 74 68 65 20 42 47 50 20 74 61 62 6c 65 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 6d 6f	.in.the.BGP.table..One.of.the.mo
1dc20	73 74 20 63 6f 6d 6d 6f 6e 20 63 61 73 65 20 69 73 20 74 6f 20 75 73 65 20 61 20 72 6f 75 74 65	st.common.case.is.to.use.a.route
1dc40	2d 6d 61 70 20 77 69 74 68 20 61 6e 20 70 72 65 66 69 78 2d 6c 69 73 74 2e 00 57 68 65 6e 20 74	-map.with.an.prefix-list..When.t
1dc60	72 61 66 66 69 63 20 69 73 20 6f 72 69 67 69 6e 61 74 65 64 20 66 72 6f 6d 20 74 68 65 20 31 30	raffic.is.originated.from.the.10
1dc80	2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2c 20 69 74 20 77 69 6c 6c 20 62	.200.201.0/24.network,.it.will.b
1dca0	65 20 6d 61 73 71 75 65 72 61 64 65 64 20 74 6f 20 32 30 33 2e 30 2e 31 31 33 2e 31 00 57 68 65	e.masqueraded.to.203.0.113.1.Whe
1dcc0	6e 20 75 74 69 6c 69 7a 69 6e 67 20 56 79 4f 53 20 69 6e 20 61 6e 20 65 6e 76 69 72 6f 6e 6d 65	n.utilizing.VyOS.in.an.environme
1dce0	6e 74 20 77 69 74 68 20 43 69 73 63 6f 20 49 4f 53 2d 58 52 20 67 65 61 72 20 79 6f 75 20 63 61	nt.with.Cisco.IOS-XR.gear.you.ca
1dd00	6e 20 75 73 65 20 74 68 69 73 20 62 6c 75 65 20 70 72 69 6e 74 20 61 73 20 61 6e 20 69 6e 69 74	n.use.this.blue.print.as.an.init
1dd20	69 61 6c 20 73 65 74 75 70 20 74 6f 20 67 65 74 20 4d 50 4c 53 20 49 53 49 53 2d 53 52 20 77 6f	ial.setup.to.get.MPLS.ISIS-SR.wo
1dd40	72 6b 69 6e 67 20 62 65 74 77 65 65 6e 20 74 68 6f 73 65 20 74 77 6f 20 64 65 76 69 63 65 73 2e	rking.between.those.two.devices.
1dd60	54 68 65 20 6c 61 62 20 77 61 73 20 62 75 69 6c 64 20 75 73 69 6e 67 20 3a 61 62 62 72 3a 60 45	The.lab.was.build.using.:abbr:`E
1dd80	56 45 2d 4e 47 20 28 45 6d 75 6c 61 74 65 64 20 56 69 72 74 75 61 6c 20 45 6e 76 69 72 6f 6e 6d	VE-NG.(Emulated.Virtual.Environm
1dda0	65 6e 74 20 4e 47 29 60 2e 00 57 68 65 6e 20 79 6f 75 20 68 61 76 65 20 62 6f 74 68 20 72 6f 75	ent.NG)`..When.you.have.both.rou
1ddc0	74 65 72 73 20 75 70 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 65	ters.up,.you.should.be.able.to.e
1dde0	73 74 61 62 6c 69 73 68 20 61 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 72 6f 6d 20 61 20 4e 41 54	stablish.a.connection.from.a.NAT
1de00	27 65 64 20 6d 61 63 68 69 6e 65 20 6f 75 74 20 74 6f 20 74 68 65 20 69 6e 74 65 72 6e 65 74 2c	'ed.machine.out.to.the.internet,
1de20	20 72 65 62 6f 6f 74 20 74 68 65 20 61 63 74 69 76 65 20 6d 61 63 68 69 6e 65 2c 20 61 6e 64 20	.reboot.the.active.machine,.and.
1de40	74 68 61 74 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 73 68 6f 75 6c 64 20 62 65 20 70 72 65 73 65 72	that.connection.should.be.preser
1de60	76 65 64 2c 20 61 6e 64 20 77 69 6c 6c 20 6e 6f 74 20 64 72 6f 70 20 6f 75 74 2e 00 57 68 65 6e	ved,.and.will.not.drop.out..When
1de80	20 79 6f 75 20 68 61 76 65 20 65 6e 61 62 6c 65 64 20 4f 53 50 46 20 6f 6e 20 62 6f 74 68 20 72	.you.have.enabled.OSPF.on.both.r
1dea0	6f 75 74 65 72 73 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65	outers,.you.should.be.able.to.se
1dec0	65 20 65 61 63 68 20 6f 74 68 65 72 20 77 69 74 68 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60	e.each.other.with.the.command.``
1dee0	73 68 6f 77 20 69 70 20 6f 73 70 66 20 6e 65 69 67 68 62 6f 75 72 60 60 2e 20 54 68 65 20 73 74	show.ip.ospf.neighbour``..The.st
1df00	61 74 65 20 6d 75 73 74 20 62 65 20 27 46 75 6c 6c 27 20 6f 72 20 27 32 2d 57 61 79 27 2e 20 49	ate.must.be.'Full'.or.'2-Way'..I
1df20	66 20 69 74 20 69 73 20 6e 6f 74 2c 20 74 68 65 6e 20 74 68 65 72 65 20 69 73 20 61 20 6e 65 74	f.it.is.not,.then.there.is.a.net
1df40	77 6f 72 6b 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 73 73 75 65 20 62 65 74 77 65 65 6e 20	work.connectivity.issue.between.
1df60	74 68 65 20 68 6f 73 74 73 2e 20 54 68 69 73 20 69 73 20 6f 66 74 65 6e 20 63 61 75 73 65 64 20	the.hosts..This.is.often.caused.
1df80	62 79 20 4e 41 54 20 6f 72 20 4d 54 55 20 69 73 73 75 65 73 2e 20 59 6f 75 20 73 68 6f 75 6c 64	by.NAT.or.MTU.issues..You.should
1dfa0	20 6e 6f 74 20 73 65 65 20 61 6e 79 20 6e 65 77 20 72 6f 75 74 65 73 20 28 75 6e 6c 65 73 73 20	.not.see.any.new.routes.(unless.
1dfc0	74 68 69 73 20 69 73 20 74 68 65 20 73 65 63 6f 6e 64 20 70 61 73 73 29 20 69 6e 20 74 68 65 20	this.is.the.second.pass).in.the.
1dfe0	6f 75 74 70 75 74 20 6f 66 20 60 60 73 68 6f 77 20 69 70 20 72 6f 75 74 65 60 60 00 57 69 6e 64	output.of.``show.ip.route``.Wind
1e000	6f 77 73 20 53 65 72 76 65 72 20 32 30 31 39 20 77 69 74 68 20 61 20 72 75 6e 6e 69 6e 67 20 41	ows.Server.2019.with.a.running.A
1e020	63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 00 57 69 72 65 67 75 61 72 64 00 57 69 72 65 67 75	ctive.Directory.Wireguard.Wiregu
1e040	61 72 64 20 64 6f 65 73 6e 27 74 20 68 61 76 65 20 74 68 65 20 63 6f 6e 63 65 70 74 20 6f 66 20	ard.doesn't.have.the.concept.of.
1e060	61 6e 20 75 70 20 6f 72 20 64 6f 77 6e 20 6c 69 6e 6b 2c 20 64 75 65 20 74 6f 20 69 74 73 20 64	an.up.or.down.link,.due.to.its.d
1e080	65 73 69 67 6e 2e 20 54 68 69 73 20 63 6f 6d 70 6c 69 63 61 74 65 73 20 41 4e 44 20 73 69 6d 70	esign..This.complicates.AND.simp
1e0a0	6c 69 66 69 65 73 20 75 73 69 6e 67 20 69 74 20 66 6f 72 20 6e 65 74 77 6f 72 6b 20 74 72 61 6e	lifies.using.it.for.network.tran
1e0c0	73 70 6f 72 74 2c 20 61 73 20 66 6f 72 20 72 65 6c 69 61 62 6c 65 20 73 74 61 74 65 20 64 65 74	sport,.as.for.reliable.state.det
1e0e0	65 63 74 69 6f 6e 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 75 73 65 20 53 4f 4d 45 54 48 49 4e 47	ection.you.need.to.use.SOMETHING
1e100	20 74 6f 20 64 65 74 65 63 74 20 77 68 65 6e 20 74 68 65 20 6c 69 6e 6b 20 69 73 20 64 6f 77 6e	.to.detect.when.the.link.is.down
1e120	2e 00 57 69 74 68 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2c 20 79 6f 75 20 68 61 76	..With.Tunnelbroker.net,.you.hav
1e140	65 20 74 77 6f 20 6f 70 74 69 6f 6e 73 3a 00 57 69 74 68 20 74 68 69 73 20 63 6f 6d 6d 61 6e 64	e.two.options:.With.this.command
1e160	20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 74 72 61 6e 73 70	.we.are.able.to.check.the.transp
1e180	6f 72 74 20 61 6e 64 20 63 75 73 74 6f 6d 65 72 20 6c 61 62 65 6c 20 28 69 6e 6e 65 72 2f 6f 75	ort.and.customer.label.(inner/ou
1e1a0	74 65 72 29 20 66 6f 72 20 6e 65 74 77 6f 72 6b 20 73 70 6f 6b 65 73 20 70 72 65 66 69 78 65 73	ter).for.network.spokes.prefixes
1e1c0	20 31 30 2e 30 2e 30 2e 38 30 2f 33 32 20 2d 20 31 30 2e 30 2e 30 2e 39 30 2f 33 32 00 57 69 74	.10.0.0.80/32.-.10.0.0.90/32.Wit
1e1e0	68 69 6e 20 74 68 65 20 56 52 46 20 77 65 20 73 65 74 20 74 68 65 20 52 6f 75 74 65 2d 44 69 73	hin.the.VRF.we.set.the.Route-Dis
1e200	74 69 6e 67 75 69 73 68 65 72 20 28 52 44 29 20 61 6e 64 20 52 6f 75 74 65 2d 54 61 72 67 65 74	tinguisher.(RD).and.Route-Target
1e220	73 20 28 52 54 29 2c 20 74 68 65 6e 20 77 65 20 65 6e 61 62 6c 65 20 74 68 65 20 65 78 70 6f 72	s.(RT),.then.we.enable.the.expor
1e240	74 2f 69 6d 70 6f 72 74 20 56 50 4e 2e 00 58 52 76 2d 50 33 3a 00 59 6f 75 20 6d 61 6e 61 67 65	t/import.VPN..XRv-P3:.You.manage
1e260	64 20 74 6f 20 63 6f 6d 65 20 74 68 69 73 20 66 61 72 2c 20 6e 6f 77 20 77 65 20 77 61 6e 74 20	d.to.come.this.far,.now.we.want.
1e280	74 6f 20 73 65 65 20 74 68 65 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 72 6f 75 74 69 6e 67 20 74	to.see.the.network.and.routing.t
1e2a0	61 62 6c 65 73 20 69 6e 20 61 63 74 69 6f 6e 2e 00 59 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61	ables.in.action..You.should.be.a
1e2c0	62 6c 65 20 74 6f 20 70 69 6e 67 20 74 6f 20 61 6e 64 20 66 72 6f 6d 20 61 6c 6c 20 74 68 65 20	ble.to.ping.to.and.from.all.the.
1e2e0	49 50 73 20 79 6f 75 20 68 61 76 65 20 61 6c 6c 6f 63 61 74 65 64 2e 00 59 6f 75 20 73 68 6f 75	IPs.you.have.allocated..You.shou
1e300	6c 64 20 6e 6f 77 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 73 6f 6d 65 74 68 69 6e 67	ld.now.be.able.to.ping.something
1e320	20 62 79 20 49 50 76 36 20 44 4e 53 20 6e 61 6d 65 3a 00 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f	.by.IPv6.DNS.name:.You.should.no
1e340	77 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 74 68 65 20 61 64 76 65 72 74 69 73 65 64 20	w.be.able.to.see.the.advertised.
1e360	6e 65 74 77 6f 72 6b 20 6f 6e 20 74 68 65 20 6f 74 68 65 72 20 68 6f 73 74 2e 00 59 6f 75 20 77	network.on.the.other.host..You.w
1e380	6f 75 6c 64 20 68 61 76 65 20 35 20 7a 6f 6e 65 73 20 69 6e 73 74 65 61 64 20 6f 66 20 6a 75 73	ould.have.5.zones.instead.of.jus
1e3a0	74 20 34 20 61 6e 64 20 79 6f 75 20 77 6f 75 6c 64 20 63 6f 6e 66 69 67 75 72 65 20 79 6f 75 72	t.4.and.you.would.configure.your
1e3c0	20 76 36 20 72 75 6c 65 73 65 74 20 62 65 74 77 65 65 6e 20 79 6f 75 72 20 74 75 6e 6e 65 6c 20	.v6.ruleset.between.your.tunnel.
1e3e0	69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 79 6f 75 72 20 4c 41 4e 2f 44 4d 5a 20 7a 6f 6e 65 73	interface.and.your.LAN/DMZ.zones
1e400	20 69 6e 73 74 65 61 64 20 6f 66 20 74 6f 20 74 68 65 20 57 41 4e 2e 00 59 6f 75 20 77 6f 75 6c	.instead.of.to.the.WAN..You.woul
1e420	64 20 68 61 76 65 20 74 6f 20 61 64 64 20 61 20 63 6f 75 70 6c 65 20 6f 66 20 72 75 6c 65 73 20	d.have.to.add.a.couple.of.rules.
1e440	6f 6e 20 79 6f 75 72 20 77 61 6e 2d 6c 6f 63 61 6c 20 72 75 6c 65 73 65 74 20 74 6f 20 61 6c 6c	on.your.wan-local.ruleset.to.all
1e460	6f 77 20 70 72 6f 74 6f 63 6f 6c 20 34 31 20 69 6e 2e 00 5a 6f 6e 65 2d 50 6f 6c 69 63 79 20 65	ow.protocol.41.in..Zone-Policy.e
1e480	78 61 6d 70 6c 65 00 5a 6f 6e 65 73 20 42 61 73 69 63 73 00 5a 6f 6e 65 73 20 61 6e 64 20 52 75	xample.Zones.Basics.Zones.and.Ru
1e4a0	6c 65 73 65 74 73 20 62 6f 74 68 20 68 61 76 65 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f	lesets.both.have.a.default.actio
1e4c0	6e 20 73 74 61 74 65 6d 65 6e 74 2e 20 57 68 65 6e 20 75 73 69 6e 67 20 5a 6f 6e 65 2d 50 6f 6c	n.statement..When.using.Zone-Pol
1e4e0	69 63 69 65 73 2c 20 74 68 65 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 69 73 20 73 65 74	icies,.the.default.action.is.set
1e500	20 62 79 20 74 68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 73 74 61 74 65 6d 65 6e 74 20 61 6e	.by.the.zone-policy.statement.an
1e520	64 20 69 73 20 72 65 70 72 65 73 65 6e 74 65 64 20 62 79 20 72 75 6c 65 20 31 30 30 30 30 2e 00	d.is.represented.by.rule.10000..
1e540	5a 6f 6e 65 73 20 64 6f 20 6e 6f 74 20 61 6c 6c 6f 77 20 66 6f 72 20 61 20 64 65 66 61 75 6c 74	Zones.do.not.allow.for.a.default
1e560	20 61 63 74 69 6f 6e 20 6f 66 20 61 63 63 65 70 74 3b 20 65 69 74 68 65 72 20 64 72 6f 70 20 6f	.action.of.accept;.either.drop.o
1e580	72 20 72 65 6a 65 63 74 2e 20 49 74 20 69 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 72 65 6d	r.reject..It.is.important.to.rem
1e5a0	65 6d 62 65 72 20 74 68 69 73 20 62 65 63 61 75 73 65 20 69 66 20 79 6f 75 20 61 70 70 6c 79 20	ember.this.because.if.you.apply.
1e5c0	61 6e 20 69 6e 74 65 72 66 61 63 65 20 74 6f 20 61 20 7a 6f 6e 65 20 61 6e 64 20 63 6f 6d 6d 69	an.interface.to.a.zone.and.commi
1e5e0	74 2c 20 61 6e 79 20 61 63 74 69 76 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 77 69 6c 6c 20 62	t,.any.active.connections.will.b
1e600	65 20 64 72 6f 70 70 65 64 2e 20 53 70 65 63 69 66 69 63 61 6c 6c 79 2c 20 69 66 20 79 6f 75 20	e.dropped..Specifically,.if.you.
1e620	61 72 65 20 53 53 48 e2 80 99 64 20 69 6e 74 6f 20 56 79 4f 53 20 61 6e 64 20 61 64 64 20 6c 6f	are.SSH...d.into.VyOS.and.add.lo
1e640	63 61 6c 20 6f 72 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 79 6f 75 20 61 72 65 20 63 6f 6e	cal.or.the.interface.you.are.con
1e660	6e 65 63 74 69 6e 67 20 74 68 72 6f 75 67 68 20 74 6f 20 61 20 7a 6f 6e 65 20 61 6e 64 20 64 6f	necting.through.to.a.zone.and.do
1e680	20 6e 6f 74 20 68 61 76 65 20 72 75 6c 65 73 65 74 73 20 69 6e 20 70 6c 61 63 65 20 74 6f 20 61	.not.have.rulesets.in.place.to.a
1e6a0	6c 6c 6f 77 20 53 53 48 20 61 6e 64 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 65 73 73 69 6f 6e	llow.SSH.and.established.session
1e6c0	73 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 61 62 6c 65 20 74 6f 20 63 6f 6e 6e 65	s,.you.will.not.be.able.to.conne
1e6e0	63 74 2e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 31 3a 3a 2f 36 34 60 3a 20 41 20 73 75	ct..`2001:470:xxxx:1::/64`:.A.su
1e700	62 6e 65 74 20 73 75 69 74 61 62 6c 65 20 66 6f 72 20 61 20 4c 41 4e 00 60 32 30 30 31 3a 34 37	bnet.suitable.for.a.LAN.`2001:47
1e720	30 3a 78 78 78 78 3a 32 3a 3a 2f 36 34 60 3a 20 41 6e 6f 74 68 65 72 20 73 75 62 6e 65 74 00 60	0:xxxx:2::/64`:.Another.subnet.`
1e740	32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 3a 2f 34 38 60 3a 20 54 68 65 20 77 68 6f 6c 65 20 73	2001:470:xxxx::/48`:.The.whole.s
1e760	75 62 6e 65 74 2e 20 78 78 78 78 20 73 68 6f 75 6c 64 20 63 6f 6d 65 20 66 72 6f 6d 20 54 75 6e	ubnet..xxxx.should.come.from.Tun
1e780	6e 65 6c 62 72 6f 6b 65 72 2e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 66 66 66 66 3a 2f	nelbroker..`2001:470:xxxx:ffff:/
1e7a0	36 34 60 3a 20 54 68 65 20 6c 61 73 74 20 75 73 61 62 6c 65 20 2f 36 34 20 73 75 62 6e 65 74 2e	64`:.The.last.usable./64.subnet.
1e7c0	00 60 60 73 65 72 76 69 63 65 2d 6e 61 6d 65 60 60 20 63 61 6e 20 62 65 20 61 6e 20 61 72 62 69	.``service-name``.can.be.an.arbi
1e7e0	74 72 61 72 79 20 73 74 72 69 6e 67 2e 00 61 66 74 65 72 20 61 6c 6c 20 74 68 65 73 65 20 73 74	trary.string..after.all.these.st
1e800	65 70 73 20 74 68 65 20 63 6f 6e 66 69 67 20 6c 6f 6f 6b 20 6c 69 6b 65 20 74 68 69 73 3a 00 61	eps.the.config.look.like.this:.a
1e820	66 74 65 72 20 74 68 69 73 20 63 72 65 61 74 65 20 61 20 73 69 67 6e 65 64 20 73 65 72 76 65 72	fter.this.create.a.signed.server
1e840	20 61 6e 64 20 61 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65 00 61 6e 64 20 6c 61	.and.a.client.certificate.and.la
1e860	73 74 20 74 68 65 20 44 48 20 4b 65 79 00 62 6c 75 65 20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f	st.the.DH.Key.blue.uses.local.ro
1e880	75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20 32 30 30 30 00 63 68 30 30	uting.table.id.and.VNI.2000.ch00
1e8a0	73 33 2d 34 2d 73 33 63 75 72 33 2d 70 73 6b 00 63 6f 6d 70 75 74 65 31 20 28 56 4d 77 61 72 65	s3-4-s3cur3-psk.compute1.(VMware
1e8c0	20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 31 20 2d 20 50 6f 72 74 20 39 20 6f 66 20	.ESXi.6.5).compute1.-.Port.9.of.
1e8e0	65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6d 70 75 74 65 32 20 28 56 4d 77 61 72 65 20 45 53 58	each.switch.compute2.(VMware.ESX
1e900	69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 32 20 2d 20 50 6f 72 74 20 31 30 20 6f 66 20 65 61 63	i.6.5).compute2.-.Port.10.of.eac
1e920	68 20 73 77 69 74 63 68 00 63 6f 6d 70 75 74 65 33 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36	h.switch.compute3.(VMware.ESXi.6
1e940	2e 35 29 00 63 6f 6d 70 75 74 65 33 20 2d 20 50 6f 72 74 20 31 31 20 6f 66 20 65 61 63 68 20 73	.5).compute3.-.Port.11.of.each.s
1e960	77 69 74 63 68 00 63 6f 6e 66 69 67 75 72 65 20 65 61 63 68 20 68 6f 73 74 20 69 6e 20 74 68 65	witch.configure.each.host.in.the
1e980	20 6c 61 62 00 63 72 65 61 74 65 20 74 68 65 20 6c 61 62 20 6f 6e 20 61 20 65 76 65 2d 6e 67 20	.lab.create.the.lab.on.a.eve-ng.
1e9a0	73 65 72 76 65 72 00 64 6f 20 73 6f 6d 65 20 64 65 66 69 6e 65 64 20 74 65 73 74 73 00 65 74 68	server.do.some.defined.tests.eth
1e9c0	30 00 65 74 68 30 20 69 73 20 73 65 74 20 74 6f 20 62 65 20 72 65 6d 6f 76 65 64 20 66 72 6f 6d	0.eth0.is.set.to.be.removed.from
1e9e0	20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 27 73 20 69 6e 74 65 72 66 61 63 65 20 70	.the.load.balancer's.interface.p
1ea00	6f 6f 6c 20 61 66 74 65 72 20 35 20 70 69 6e 67 20 66 61 69 6c 75 72 65 73 2c 20 65 74 68 31 20	ool.after.5.ping.failures,.eth1.
1ea20	77 69 6c 6c 20 62 65 20 72 65 6d 6f 76 65 64 20 61 66 74 65 72 20 34 20 70 69 6e 67 20 66 61 69	will.be.removed.after.4.ping.fai
1ea40	6c 75 72 65 73 2e 00 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 20 61 6e 64 20 72 65	lures..extended.community.and.re
1ea60	6d 6f 74 65 20 6c 61 62 65 6c 20 6f 66 20 73 70 65 63 69 66 69 63 20 64 65 73 74 69 6e 61 74 69	mote.label.of.specific.destinati
1ea80	6f 6e 00 66 69 72 73 74 20 74 68 65 20 50 43 41 00 67 65 6e 65 72 61 74 65 20 74 68 65 20 64 6f	on.first.the.PCA.generate.the.do
1eaa0	63 75 6d 65 6e 74 61 74 69 6f 6e 20 61 6e 64 20 69 6e 63 6c 75 64 65 20 66 69 6c 65 73 00 67 72	cumentation.and.include.files.gr
1eac0	65 65 6e 20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20	een.uses.local.routing.table.id.
1eae0	61 6e 64 20 56 4e 49 20 34 30 30 30 00 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 62 65 74 77 65 65 6e	and.VNI.4000.information.between
1eb00	20 50 45 20 61 6e 64 20 43 45 3a 00 6f 70 74 69 6f 6e 61 6c 20 64 6f 20 61 6e 20 75 70 67 72 61	.PE.and.CE:.optional.do.an.upgra
1eb20	64 65 20 74 6f 20 61 20 68 69 67 68 65 72 20 76 65 72 73 69 6f 6e 20 61 6e 64 20 64 6f 20 73 74	de.to.a.higher.version.and.do.st
1eb40	65 70 20 33 20 61 67 61 69 6e 2e 00 72 65 64 20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69	ep.3.again..red.uses.local.routi
1eb60	6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20 33 30 30 30 00 72 6f 75 74 65 72 32	ng.table.id.and.VNI.3000.router2
1eb80	20 28 52 61 6e 64 6f 6d 20 31 52 55 20 6d 61 63 68 69 6e 65 20 77 69 74 68 20 34 20 4e 49 43 73	.(Random.1RU.machine.with.4.NICs
1eba0	29 00 73 61 76 65 20 74 68 65 20 6f 75 74 70 75 74 20 74 6f 20 61 20 66 69 6c 65 20 61 6e 64 20	).save.the.output.to.a.file.and.
1ebc0	69 6d 70 6f 72 74 20 69 74 20 69 6e 20 6e 65 61 72 6c 79 20 61 6c 6c 20 6f 70 65 6e 76 70 6e 20	import.it.in.nearly.all.openvpn.
1ebe0	63 6c 69 65 6e 74 73 2e 00 73 68 75 74 64 6f 77 6e 20 61 6e 64 20 64 65 73 74 72 6f 79 20 74 68	clients..shutdown.and.destroy.th
1ec00	65 20 6c 61 62 2c 20 69 66 20 74 68 65 72 65 20 69 73 20 6e 6f 20 65 72 72 6f 72 00 73 70 65 63	e.lab,.if.there.is.no.error.spec
1ec20	69 66 69 63 20 56 50 4e 76 34 20 64 65 73 74 69 6e 61 74 69 6f 6e 20 69 6e 63 6c 75 64 69 6e 67	ific.VPNv4.destination.including
1ec40	20 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 20 61 6e 64 20 72 65 6d 6f 74 65 6c 61	.extended.community.and.remotela
1ec60	62 65 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 54 68 69 73 20 70 72 6f 63 65 64 75 72 65 20	bel.information..This.procedure.
1ec80	69 73 20 74 68 65 20 73 61 6d 65 20 6f 6e 20 61 6c 6c 20 53 70 6f 6b 65 20 6e 6f 64 65 73 3a 00	is.the.same.on.all.Spoke.nodes:.
1eca0	73 77 69 74 63 68 31 20 28 4e 65 78 75 73 20 31 30 67 62 20 53 77 69 74 63 68 29 00 73 77 69 74	switch1.(Nexus.10gb.Switch).swit
1ecc0	63 68 32 20 28 4e 65 78 75 73 20 31 30 67 62 20 53 77 69 74 63 68 29 00 76 36 20 70 61 69 72 73	ch2.(Nexus.10gb.Switch).v6.pairs
1ece0	20 77 6f 75 6c 64 20 62 65 3a 00 76 79 6f 73 31 30 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 38 00	.would.be:.vyos10.-.192.0.2.108.
1ed00	76 79 6f 73 37 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 35 00 76 79 6f 73 38 20 2d 20 31 39 32 2e	vyos7.-.192.0.2.105.vyos8.-.192.
1ed20	30 2e 32 2e 31 30 36 00 76 79 6f 73 39 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 37 00 77 65 20 61	0.2.106.vyos9.-.192.0.2.107.we.a
1ed40	72 65 20 75 73 69 6e 67 20 22 73 6f 75 72 63 65 2d 61 64 64 72 65 73 73 22 20 6f 70 74 69 6f 6e	re.using."source-address".option
1ed60	20 63 61 75 73 65 20 77 65 20 61 72 65 20 6e 6f 74 20 72 65 64 69 73 74 72 69 62 75 74 69 6e 67	.cause.we.are.not.redistributing
1ed80	20 63 6f 6e 6e 65 63 74 65 64 20 69 6e 74 65 72 66 61 63 65 73 20 69 6e 74 6f 20 42 47 50 20 6f	.connected.interfaces.into.BGP.o
1eda0	6e 20 74 68 65 20 43 6f 72 65 20 72 6f 75 74 65 72 20 68 65 6e 63 65 20 74 68 65 72 65 20 69 73	n.the.Core.router.hence.there.is
1edc0	20 6e 6f 20 63 6f 6d 65 62 61 63 6b 20 72 6f 75 74 65 20 61 6e 64 20 70 69 6e 67 20 77 69 6c 6c	.no.comeback.route.and.ping.will
1ede0	20 66 61 69 6c 2e 00 77 69 74 68 69 6e 20 56 52 46 73 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20	.fail..within.VRFs:....show.bgp.
1ee00	69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67	ipv4.vpn.summary....for.checking
1ee20	20 42 47 50 20 56 50 4e 76 34 20 6e 65 69 67 68 62 6f 72 73 3a 00 e2 80 9c 73 68 6f 77 20 62 67	.BGP.VPNv4.neighbors:....show.bg
1ee40	70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69	p.ipv4.vpn.summary....for.checki
1ee60	6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f 72 73 20 61 67 61 69 6e 00 e2 80 9c 73 68 6f 77 20	ng.iBGP.neighbors.again....show.
1ee80	62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63	bgp.ipv4.vpn.summary....for.chec
1eea0	6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f 72 73 20 61 67 61 69 6e 73 74 20 72 6f 75 74	king.iBGP.neighbors.against.rout
1eec0	65 2d 72 65 66 6c 65 63 74 6f 72 20 64 65 76 69 63 65 73 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70	e-reflector.devices:....show.bgp
1eee0	20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 33 32 e2 80 9d 20 66 6f 72 20 63 68 65 63	.ipv4.vpn.x.x.x.x/32....for.chec
1ef00	6b 69 6e 67 20 62 65 73 74 2d 70 61 74 68 2c 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34	king.best-path,....show.bgp.ipv4
1ef20	20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 33 32 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20	.vpn.x.x.x.x/32....for.checking.
1ef40	74 68 65 20 62 65 73 74 2d 70 61 74 68 20 74 6f 20 74 68 65 00 e2 80 9c 73 68 6f 77 20 62 67 70	the.best-path.to.the....show.bgp
1ef60	20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 78 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b	.ipv4.vpn.x.x.x.x/x....for.check
1ef80	69 6e 67 20 62 65 73 74 20 70 61 74 68 20 73 65 6c 65 63 74 65 64 20 66 6f 72 20 73 70 65 63 69	ing.best.path.selected.for.speci
1efa0	66 69 63 20 56 50 4e 76 34 20 64 65 73 74 69 6e 61 74 69 6f 6e 00 e2 80 9c 73 68 6f 77 20 62 67	fic.VPNv4.destination....show.bg
1efc0	70 20 69 70 76 34 20 76 70 6e e2 80 9d 20 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20	p.ipv4.vpn.....for.checking.all.
1efe0	56 50 4e 76 34 20 70 72 65 66 69 78 65 73 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 3a 00 e2 80 9c 73	VPNv4.prefixes.information:....s
1f000	68 6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 5f 48 55 42 20 73 75 6d 6d 61 72 79 e2 80 9d 20	how.bgp.vrf.BLUE_HUB.summary....
1f020	66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 47 50 20 6e 65 69 67 68 62 6f 72 00 e2 80 9c 73 68	for.checking.EBGP.neighbor....sh
1f040	6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 5f 53 50 4f 4b 45 20 73 75 6d 6d 61 72 79 e2 80 9d	ow.bgp.vrf.BLUE_SPOKE.summary...
1f060	20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 47 50 20 6e 65 69 67 68 62 6f 72 00 e2 80 9c 73	.for.checking.EBGP.neighbor....s
1f080	68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20	how.bgp.vrf.all....for.checking.
1f0a0	61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 20 6c 65 61 72 6e 69 6e 67 20 6f 6e 20 42 47 50 00 e2	all.the.prefix.learning.on.BGP..
1f0c0	80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69	..show.bgp.vrf.all....for.checki
1f0e0	6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 65 73 20 6c 65 61 72 6e 69 6e 67 20 6f 6e 20	ng.all.the.prefixes.learning.on.
1f100	42 47 50 00 e2 80 9c 73 68 6f 77 20 69 70 20 6f 73 70 66 20 6e 65 69 67 68 62 6f 72 e2 80 9d 20	BGP....show.ip.ospf.neighbor....
1f120	66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6f 73 70 66 20 72 65 6c 61 74 69 6f 6e 73 68 69 70 00 e2	for.checking.ospf.relationship..
1f140	80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 72 66 20 42 4c 55 45 5f 48 55 42 e2 80 9d 20	..show.ip.route.vrf.BLUE_HUB....
1f160	74 6f 20 76 69 65 77 20 74 68 65 20 52 49 42 20 69 6e 20 6f 75 72 20 48 75 62 20 50 45 2e 00 e2	to.view.the.RIB.in.our.Hub.PE...
1f180	80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 72 66 20 42 4c 55 45 5f 53 50 4f 4b 45 e2 80	..show.ip.route.vrf.BLUE_SPOKE..
1f1a0	9d 20 66 6f 72 20 76 69 65 77 69 6e 67 20 74 68 65 20 52 49 42 20 69 6e 20 6f 75 72 20 53 70 6f	..for.viewing.the.RIB.in.our.Spo
1f1c0	6b 65 20 50 45 2e 00 e2 80 9c 73 68 6f 77 20 6d 70 6c 73 20 6c 64 70 20 62 69 6e 64 69 6e 67 e2	ke.PE.....show.mpls.ldp.binding.
1f1e0	80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6d 70 6c 73 20 6c 61 62 65 6c 20 61 73 73 69 67	...for.checking.mpls.label.assig
1f200	6e 6d 65 6e 74 00 e2 80 9c 73 68 6f 77 20 6d 70 6c 73 20 6c 64 70 20 6e 65 69 67 68 62 6f 72 20	nment....show.mpls.ldp.neighbor.
1f220	e2 80 9c 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6c 64 70 20 6e 65 69 67 68 62 6f 72 73 00	....for.checking.ldp.neighbors.