configexamples.mo « LC_MESSAGES « ja « _locale « docs - vyos-documentation.git - VyOS readthedocs (mirror of https://github.com/marekm72/vyos-documentation.git)

blob: 37d252a2980ee362ab42878674765fa5726afbd3 (plain)

ofs	hex dump	ascii
0000	de 12 04 95 00 00 00 00 1f 03 00 00 1c 00 00 00 14 19 00 00 2d 04 00 00 0c 32 00 00 00 00 00 00	....................-....2......
0020	c0 42 00 00 15 01 00 00 c1 42 00 00 43 00 00 00 d7 43 00 00 49 00 00 00 1b 44 00 00 28 00 00 00	.B.......B..C....C..I....D..(...
0040	65 44 00 00 7c 00 00 00 8e 44 00 00 80 00 00 00 0b 45 00 00 84 00 00 00 8c 45 00 00 70 00 00 00	eD..\|....D.......E.......E..p...
0060	11 46 00 00 2e 01 00 00 82 46 00 00 0c 00 00 00 b1 47 00 00 0b 00 00 00 be 47 00 00 0b 00 00 00	.F.......F.......G.......G......
0080	ca 47 00 00 0b 00 00 00 d6 47 00 00 08 00 00 00 e2 47 00 00 11 00 00 00 eb 47 00 00 0b 00 00 00	.G.......G.......G.......G......
00a0	fd 47 00 00 0c 00 00 00 09 48 00 00 09 00 00 00 16 48 00 00 0b 00 00 00 20 48 00 00 0f 00 00 00	.G.......H.......H.......H......
00c0	2c 48 00 00 0f 00 00 00 3c 48 00 00 0f 00 00 00 4c 48 00 00 38 00 00 00 5c 48 00 00 0d 00 00 00	,H......<H......LH..8...\H......
00e0	95 48 00 00 15 00 00 00 a3 48 00 00 11 00 00 00 b9 48 00 00 19 00 00 00 cb 48 00 00 19 00 00 00	.H.......H.......H.......H......
0100	e5 48 00 00 15 00 00 00 ff 48 00 00 15 00 00 00 15 49 00 00 1a 00 00 00 2b 49 00 00 57 00 00 00	.H.......H.......I......+I..W...
0120	46 49 00 00 63 00 00 00 9e 49 00 00 0e 00 00 00 02 4a 00 00 0c 00 00 00 11 4a 00 00 1f 00 00 00	FI..c....I.......J.......J......
0140	1e 4a 00 00 1f 00 00 00 3e 4a 00 00 0e 00 00 00 5e 4a 00 00 0f 00 00 00 6d 4a 00 00 0f 00 00 00	.J......>J......^J......mJ......
0160	7d 4a 00 00 0f 00 00 00 8d 4a 00 00 2e 00 00 00 9d 4a 00 00 0b 00 00 00 cc 4a 00 00 0b 00 00 00	}J.......J.......J.......J......
0180	d8 4a 00 00 1c 00 00 00 e4 4a 00 00 1c 00 00 00 01 4b 00 00 1e 00 00 00 1e 4b 00 00 3f 00 00 00	.J.......J.......K.......K..?...
01a0	3d 4b 00 00 07 00 00 00 7d 4b 00 00 09 00 00 00 85 4b 00 00 07 00 00 00 8f 4b 00 00 08 00 00 00	=K......}K.......K.......K......
01c0	97 4b 00 00 05 00 00 00 a0 4b 00 00 0a 00 00 00 a6 4b 00 00 15 00 00 00 b1 4b 00 00 0a 00 00 00	.K.......K.......K.......K......
01e0	c7 4b 00 00 05 00 00 00 d2 4b 00 00 4e 02 00 00 d8 4b 00 00 82 00 00 00 27 4e 00 00 5b 00 00 00	.K.......K..N....K......'N..[...
0200	aa 4e 00 00 1a 01 00 00 06 4f 00 00 c8 00 00 00 21 50 00 00 57 00 00 00 ea 50 00 00 58 00 00 00	.N.......O......!P..W....P..X...
0220	42 51 00 00 d4 00 00 00 9b 51 00 00 0f 01 00 00 70 52 00 00 f1 00 00 00 80 53 00 00 30 00 00 00	BQ.......Q......pR.......S..0...
0240	72 54 00 00 30 00 00 00 a3 54 00 00 30 00 00 00 d4 54 00 00 1f 00 00 00 05 55 00 00 17 00 00 00	rT..0....T..0....T.......U......
0260	25 55 00 00 21 00 00 00 3d 55 00 00 1c 00 00 00 5f 55 00 00 45 00 00 00 7c 55 00 00 32 00 00 00	%U..!...=U......_U..E...\|U..2...
0280	c2 55 00 00 78 00 00 00 f5 55 00 00 28 00 00 00 6e 56 00 00 22 00 00 00 97 56 00 00 1d 00 00 00	.U..x....U..(...nV.."....V......
02a0	ba 56 00 00 35 00 00 00 d8 56 00 00 17 00 00 00 0e 57 00 00 1a 00 00 00 26 57 00 00 16 00 00 00	.V..5....V.......W......&W......
02c0	41 57 00 00 46 00 00 00 58 57 00 00 37 00 00 00 9f 57 00 00 26 00 00 00 d7 57 00 00 1a 00 00 00	AW..F...XW..7....W..&....W......
02e0	fe 57 00 00 5d 00 00 00 19 58 00 00 7c 00 00 00 77 58 00 00 4b 00 00 00 f4 58 00 00 4b 00 00 00	.W..]....X..\|...wX..K....X..K...
0300	40 59 00 00 28 00 00 00 8c 59 00 00 97 00 00 00 b5 59 00 00 46 00 00 00 4d 5a 00 00 56 00 00 00	@Y..(....Y.......Y..F...MZ..V...
0320	94 5a 00 00 53 00 00 00 eb 5a 00 00 1f 00 00 00 3f 5b 00 00 30 00 00 00 5f 5b 00 00 1d 00 00 00	.Z..S....Z......?[..0..._[......
0340	90 5b 00 00 36 00 00 00 ae 5b 00 00 3c 00 00 00 e5 5b 00 00 2b 00 00 00 22 5c 00 00 2d 00 00 00	.[..6....[..<....[..+..."\..-...
0360	4e 5c 00 00 19 00 00 00 7c 5c 00 00 37 00 00 00 96 5c 00 00 38 00 00 00 ce 5c 00 00 22 00 00 00	N\......\|\..7....\..8....\.."...
0380	07 5d 00 00 1a 00 00 00 2a 5d 00 00 20 00 00 00 45 5d 00 00 1d 00 00 00 66 5d 00 00 23 00 00 00	.]......*]......E]......f]..#...
03a0	84 5d 00 00 1e 00 00 00 a8 5d 00 00 20 00 00 00 c7 5d 00 00 30 00 00 00 e8 5d 00 00 1d 00 00 00	.].......].......]..0....]......
03c0	19 5e 00 00 79 00 00 00 37 5e 00 00 83 00 00 00 b1 5e 00 00 64 00 00 00 35 5f 00 00 25 00 00 00	.^..y...7^.......^..d...5_..%...
03e0	9a 5f 00 00 53 02 00 00 c0 5f 00 00 16 00 00 00 14 62 00 00 03 01 00 00 2b 62 00 00 58 00 00 00	._..S...._.......b......+b..X...
0400	2f 63 00 00 28 01 00 00 88 63 00 00 46 00 00 00 b1 64 00 00 18 00 00 00 f8 64 00 00 48 00 00 00	/c..(....c..F....d.......d..H...
0420	11 65 00 00 27 00 00 00 5a 65 00 00 24 00 00 00 82 65 00 00 57 00 00 00 a7 65 00 00 1e 00 00 00	.e..'...Ze..$....e..W....e......
0440	ff 65 00 00 0f 00 00 00 1e 66 00 00 8e 00 00 00 2e 66 00 00 0a 00 00 00 bd 66 00 00 0a 00 00 00	.e.......f.......f.......f......
0460	c8 66 00 00 f0 00 00 00 d3 66 00 00 12 01 00 00 c4 67 00 00 83 00 00 00 d7 68 00 00 2b 01 00 00	.f.......f.......g.......h..+...
0480	5b 69 00 00 8f 00 00 00 87 6a 00 00 df 00 00 00 17 6b 00 00 22 00 00 00 f7 6b 00 00 40 04 00 00	[i.......j.......k.."....k..@...
04a0	1a 6c 00 00 48 00 00 00 5b 70 00 00 1c 00 00 00 a4 70 00 00 52 00 00 00 c1 70 00 00 fa 00 00 00	.l..H...[p.......p..R....p......
04c0	14 71 00 00 6d 00 00 00 0f 72 00 00 87 00 00 00 7d 72 00 00 ba 00 00 00 05 73 00 00 5d 00 00 00	.q..m....r......}r.......s..]...
04e0	c0 73 00 00 a9 00 00 00 1e 74 00 00 09 00 00 00 c8 74 00 00 1e 00 00 00 d2 74 00 00 1e 00 00 00	.s.......t.......t.......t......
0500	f1 74 00 00 19 00 00 00 10 75 00 00 1c 00 00 00 2a 75 00 00 13 00 00 00 47 75 00 00 03 00 00 00	.t.......u......*u......Gu......
0520	5b 75 00 00 29 00 00 00 5f 75 00 00 4a 00 00 00 89 75 00 00 08 00 00 00 d4 75 00 00 0a 00 00 00	[u..)..._u..J....u.......u......
0540	dd 75 00 00 e9 01 00 00 e8 75 00 00 0e 00 00 00 d2 77 00 00 19 00 00 00 e1 77 00 00 23 00 00 00	.u.......u.......w.......w..#...
0560	fb 77 00 00 27 00 00 00 1f 78 00 00 29 00 00 00 47 78 00 00 1a 00 00 00 71 78 00 00 48 01 00 00	.w..'....x..)...Gx......qx..H...
0580	8c 78 00 00 06 00 00 00 d5 79 00 00 1b 00 00 00 dc 79 00 00 0b 00 00 00 f8 79 00 00 0b 00 00 00	.x.......y.......y.......y......
05a0	04 7a 00 00 0b 00 00 00 10 7a 00 00 1d 00 00 00 1c 7a 00 00 17 00 00 00 3a 7a 00 00 24 00 00 00	.z.......z.......z......:z..$...
05c0	52 7a 00 00 86 02 00 00 77 7a 00 00 0d 00 00 00 fe 7c 00 00 0a 00 00 00 0c 7d 00 00 07 00 00 00	Rz......wz.......\|.......}......
05e0	17 7d 00 00 70 00 00 00 1f 7d 00 00 6e 00 00 00 90 7d 00 00 10 00 00 00 ff 7d 00 00 26 00 00 00	.}..p....}..n....}.......}..&...
0600	10 7e 00 00 11 00 00 00 37 7e 00 00 12 00 00 00 49 7e 00 00 be 00 00 00 5c 7e 00 00 21 00 00 00	.~......7~......I~......\~..!...
0620	1b 7f 00 00 05 00 00 00 3d 7f 00 00 43 00 00 00 43 7f 00 00 35 00 00 00 87 7f 00 00 06 00 00 00	........=...C...C...5...........
0640	bd 7f 00 00 14 00 00 00 c4 7f 00 00 56 00 00 00 d9 7f 00 00 56 00 00 00 30 80 00 00 0b 00 00 00	............V.......V...0.......
0660	87 80 00 00 0d 00 00 00 93 80 00 00 13 00 00 00 a1 80 00 00 14 00 00 00 b5 80 00 00 29 00 00 00	............................)...
0680	ca 80 00 00 18 00 00 00 f4 80 00 00 23 00 00 00 0d 81 00 00 24 00 00 00 31 81 00 00 39 00 00 00	............#.......$...1...9...
06a0	56 81 00 00 0e 00 00 00 90 81 00 00 0e 00 00 00 9f 81 00 00 20 00 00 00 ae 81 00 00 18 00 00 00	V...............................
06c0	cf 81 00 00 13 00 00 00 e8 81 00 00 27 00 00 00 fc 81 00 00 2b 00 00 00 24 82 00 00 51 00 00 00	............'.......+...$...Q...
06e0	50 82 00 00 18 00 00 00 a2 82 00 00 19 00 00 00 bb 82 00 00 44 00 00 00 d5 82 00 00 1b 00 00 00	P...................D...........
0700	1a 83 00 00 2f 00 00 00 36 83 00 00 1b 00 00 00 66 83 00 00 a4 00 00 00 82 83 00 00 ae 00 00 00	..../...6.......f...............
0720	27 84 00 00 04 00 00 00 d6 84 00 00 0b 00 00 00 db 84 00 00 0c 00 00 00 e7 84 00 00 14 00 00 00	'...............................
0740	f4 84 00 00 14 00 00 00 09 85 00 00 16 00 00 00 1e 85 00 00 ae 00 00 00 35 85 00 00 85 00 00 00	........................5.......
0760	e4 85 00 00 2b 00 00 00 6a 86 00 00 25 00 00 00 96 86 00 00 43 00 00 00 bc 86 00 00 5a 00 00 00	....+...j...%.......C.......Z...
0780	00 87 00 00 24 00 00 00 5b 87 00 00 dc 00 00 00 80 87 00 00 1c 00 00 00 5d 88 00 00 0a 00 00 00	....$...[...............].......
07a0	7a 88 00 00 0b 00 00 00 85 88 00 00 0f 00 00 00 91 88 00 00 20 00 00 00 a1 88 00 00 5d 00 00 00	z...........................]...
07c0	c2 88 00 00 1a 00 00 00 20 89 00 00 22 00 00 00 3b 89 00 00 06 00 00 00 5e 89 00 00 08 00 00 00	............"...;.......^.......
07e0	65 89 00 00 08 00 00 00 6e 89 00 00 1d 00 00 00 77 89 00 00 1f 00 00 00 95 89 00 00 1a 00 00 00	e.......n.......w...............
0800	b5 89 00 00 20 00 00 00 d0 89 00 00 1f 00 00 00 f1 89 00 00 17 00 00 00 11 8a 00 00 f9 00 00 00	................................
0820	29 8a 00 00 0c 01 00 00 23 8b 00 00 96 00 00 00 30 8c 00 00 78 00 00 00 c7 8c 00 00 14 00 00 00	).......#.......0...x...........
0840	40 8d 00 00 0b 00 00 00 55 8d 00 00 0a 00 00 00 61 8d 00 00 4e 00 00 00 6c 8d 00 00 c4 00 00 00	@.......U.......a...N...l.......
0860	bb 8d 00 00 f3 00 00 00 80 8e 00 00 fa 00 00 00 74 8f 00 00 d1 00 00 00 6f 90 00 00 12 01 00 00	................t.......o.......
0880	41 91 00 00 db 00 00 00 54 92 00 00 07 00 00 00 30 93 00 00 23 00 00 00 38 93 00 00 2e 00 00 00	A.......T.......0...#...8.......
08a0	5c 93 00 00 27 00 00 00 8b 93 00 00 3a 00 00 00 b3 93 00 00 2e 00 00 00 ee 93 00 00 0f 00 00 00	\...'.......:...................
08c0	1d 94 00 00 48 00 00 00 2d 94 00 00 c6 00 00 00 76 94 00 00 9f 00 00 00 3d 95 00 00 34 00 00 00	....H...-.......v.......=...4...
08e0	dd 95 00 00 08 00 00 00 12 96 00 00 17 00 00 00 1b 96 00 00 11 00 00 00 33 96 00 00 bf 00 00 00	........................3.......
0900	45 96 00 00 85 00 00 00 05 97 00 00 0c 00 00 00 8b 97 00 00 45 00 00 00 98 97 00 00 43 00 00 00	E...................E.......C...
0920	de 97 00 00 34 00 00 00 22 98 00 00 37 00 00 00 57 98 00 00 21 01 00 00 8f 98 00 00 5e 00 00 00	....4..."...7...W...!.......^...
0940	b1 99 00 00 63 00 00 00 10 9a 00 00 d5 00 00 00 74 9a 00 00 b9 00 00 00 4a 9b 00 00 ab 00 00 00	....c...........t.......J.......
0960	04 9c 00 00 53 00 00 00 b0 9c 00 00 78 00 00 00 04 9d 00 00 78 00 00 00 7d 9d 00 00 bd 00 00 00	....S.......x.......x...}.......
0980	f6 9d 00 00 56 00 00 00 b4 9e 00 00 1c 00 00 00 0b 9f 00 00 2e 00 00 00 28 9f 00 00 23 00 00 00	....V...................(...#...
09a0	57 9f 00 00 04 00 00 00 7b 9f 00 00 67 00 00 00 80 9f 00 00 5a 00 00 00 e8 9f 00 00 43 00 00 00	W.......{...g.......Z.......C...
09c0	43 a0 00 00 44 00 00 00 87 a0 00 00 08 00 00 00 cc a0 00 00 27 00 00 00 d5 a0 00 00 2e 00 00 00	C...D...............'...........
09e0	fd a0 00 00 4d 00 00 00 2c a1 00 00 69 00 00 00 7a a1 00 00 83 00 00 00 e4 a1 00 00 1d 00 00 00	....M...,...i...z...............
0a00	68 a2 00 00 11 00 00 00 86 a2 00 00 03 00 00 00 98 a2 00 00 01 02 00 00 9c a2 00 00 ab 00 00 00	h...............................
0a20	9e a4 00 00 78 00 00 00 4a a5 00 00 83 00 00 00 c3 a5 00 00 e2 00 00 00 47 a6 00 00 09 00 00 00	....x...J...............G.......
0a40	2a a7 00 00 19 00 00 00 34 a7 00 00 5f 03 00 00 4e a7 00 00 14 00 00 00 ae aa 00 00 06 00 00 00	*.......4..._...N...............
0a60	c3 aa 00 00 0c 00 00 00 ca aa 00 00 15 00 00 00 d7 aa 00 00 0c 00 00 00 ed aa 00 00 0b 00 00 00	................................
0a80	fa aa 00 00 17 00 00 00 06 ab 00 00 0f 00 00 00 1e ab 00 00 03 00 00 00 2e ab 00 00 d8 00 00 00	................................
0aa0	32 ab 00 00 43 00 00 00 0b ac 00 00 40 00 00 00 4f ac 00 00 67 00 00 00 90 ac 00 00 d8 00 00 00	2...C.......@...O...g...........
0ac0	f8 ac 00 00 90 00 00 00 d1 ad 00 00 88 00 00 00 62 ae 00 00 ec 00 00 00 eb ae 00 00 33 00 00 00	................b...........3...
0ae0	d8 af 00 00 9f 00 00 00 0c b0 00 00 98 00 00 00 ac b0 00 00 bd 00 00 00 45 b1 00 00 99 00 00 00	........................E.......
0b00	03 b2 00 00 54 00 00 00 9d b2 00 00 fd 00 00 00 f2 b2 00 00 60 00 00 00 f0 b3 00 00 a3 00 00 00	....T...............`...........
0b20	51 b4 00 00 4d 00 00 00 f5 b4 00 00 5a 00 00 00 43 b5 00 00 5e 00 00 00 9e b5 00 00 44 00 00 00	Q...M.......Z...C...^.......D...
0b40	fd b5 00 00 dc 00 00 00 42 b6 00 00 ee 00 00 00 1f b7 00 00 75 00 00 00 0e b8 00 00 67 00 00 00	........B...........u.......g...
0b60	84 b8 00 00 6b 00 00 00 ec b8 00 00 5d 00 00 00 58 b9 00 00 80 00 00 00 b6 b9 00 00 9d 00 00 00	....k.......]...X...............
0b80	37 ba 00 00 98 00 00 00 d5 ba 00 00 28 00 00 00 6e bb 00 00 94 00 00 00 97 bb 00 00 20 00 00 00	7...........(...n...............
0ba0	2c bc 00 00 33 00 00 00 4d bc 00 00 3a 00 00 00 81 bc 00 00 10 00 00 00 bc bc 00 00 11 00 00 00	,...3...M...:...................
0bc0	cd bc 00 00 14 00 00 00 df bc 00 00 15 00 00 00 f4 bc 00 00 1f 00 00 00 0a bd 00 00 6a 01 00 00	............................j...
0be0	2a bd 00 00 24 00 00 00 95 be 00 00 10 00 00 00 ba be 00 00 08 00 00 00 cb be 00 00 23 00 00 00	*...$.......................#...
0c00	d4 be 00 00 24 00 00 00 f8 be 00 00 23 00 00 00 1d bf 00 00 23 00 00 00 41 bf 00 00 18 00 00 00	....$.......#.......#...A.......
0c20	65 bf 00 00 7a 00 00 00 7e bf 00 00 94 00 00 00 f9 bf 00 00 21 00 00 00 8e c0 00 00 89 00 00 00	e...z...~...........!...........
0c40	b0 c0 00 00 98 00 00 00 3a c1 00 00 14 00 00 00 d3 c1 00 00 23 00 00 00 e8 c1 00 00 25 00 00 00	........:...........#.......%...
0c60	0c c2 00 00 2e 00 00 00 32 c2 00 00 03 00 00 00 61 c2 00 00 05 00 00 00 65 c2 00 00 05 00 00 00	........2.......a.......e.......
0c80	6b c2 00 00 11 00 00 00 71 c2 00 00 3c 00 00 00 83 c2 00 00 1d 00 00 00 c0 c2 00 00 25 00 00 00	k.......q...<...............%...
0ca0	de c2 00 00 04 00 00 00 04 c3 00 00 0c 00 00 00 09 c3 00 00 0f 00 00 00 16 c3 00 00 04 00 00 00	................................
0cc0	26 c3 00 00 03 00 00 00 2b c3 00 00 63 00 00 00 2f c3 00 00 3c 00 00 00 93 c3 00 00 40 00 00 00	&.......+...c.../...<.......@...
0ce0	d0 c3 00 00 40 00 00 00 11 c4 00 00 dc 02 00 00 52 c4 00 00 0b 00 00 00 2f c7 00 00 3c 00 00 00	....@...........R......./...<...
0d00	3b c7 00 00 0a 00 00 00 78 c7 00 00 0e 00 00 00 83 c7 00 00 79 00 00 00 92 c7 00 00 5d 00 00 00	;.......x...........y.......]...
0d20	0c c8 00 00 0a 00 00 00 6a c8 00 00 16 00 00 00 75 c8 00 00 16 00 00 00 8c c8 00 00 20 00 00 00	........j.......u...............
0d40	a3 c8 00 00 16 00 00 00 c4 c8 00 00 16 00 00 00 db c8 00 00 0b 00 00 00 f2 c8 00 00 14 00 00 00	................................
0d60	fe c8 00 00 0f 00 00 00 13 c9 00 00 10 00 00 00 23 c9 00 00 18 00 00 00 34 c9 00 00 21 00 00 00	................#.......4...!...
0d80	4d c9 00 00 5a 00 00 00 6f c9 00 00 80 00 00 00 ca c9 00 00 6f 00 00 00 4b ca 00 00 44 00 00 00	M...Z...o...........o...K...D...
0da0	bb ca 00 00 2b 00 00 00 00 cb 00 00 04 00 00 00 2c cb 00 00 40 00 00 00 31 cb 00 00 97 00 00 00	....+...........,...@...1.......
0dc0	72 cb 00 00 42 00 00 00 0a cc 00 00 5d 00 00 00 4d cc 00 00 3a 00 00 00 ab cc 00 00 34 00 00 00	r...B.......]...M...:.......4...
0de0	e6 cc 00 00 2e 00 00 00 1b cd 00 00 26 00 00 00 4a cd 00 00 58 00 00 00 71 cd 00 00 34 00 00 00	............&...J...X...q...4...
0e00	ca cd 00 00 d4 00 00 00 ff cd 00 00 35 00 00 00 d4 ce 00 00 13 00 00 00 0a cf 00 00 19 00 00 00	............5...................
0e20	1e cf 00 00 85 00 00 00 38 cf 00 00 19 00 00 00 be cf 00 00 7a 00 00 00 d8 cf 00 00 79 00 00 00	........8...........z.......y...
0e40	53 d0 00 00 53 00 00 00 cd d0 00 00 68 00 00 00 21 d1 00 00 36 00 00 00 8a d1 00 00 32 00 00 00	S...S.......h...!...6.......2...
0e60	c1 d1 00 00 38 00 00 00 f4 d1 00 00 36 00 00 00 2d d2 00 00 38 00 00 00 64 d2 00 00 19 00 00 00	....8.......6...-...8...d.......
0e80	9d d2 00 00 11 00 00 00 b7 d2 00 00 20 00 00 00 c9 d2 00 00 16 00 00 00 ea d2 00 00 38 01 00 00	............................8...
0ea0	01 d3 00 00 69 00 00 00 3a d4 00 00 08 00 00 00 a4 d4 00 00 03 00 00 00 ad d4 00 00 72 00 00 00	....i...:...................r...
0ec0	b1 d4 00 00 03 00 00 00 24 d5 00 00 6c 00 00 00 28 d5 00 00 03 00 00 00 95 d5 00 00 61 00 00 00	........$...l...(...........a...
0ee0	99 d5 00 00 27 00 00 00 fb d5 00 00 0b 00 00 00 23 d6 00 00 0f 00 00 00 2f d6 00 00 37 00 00 00	....'...........#......./...7...
0f00	3f d6 00 00 25 00 00 00 77 d6 00 00 6e 00 00 00 9d d6 00 00 b2 00 00 00 0c d7 00 00 38 00 00 00	?...%...w...n...............8...
0f20	bf d7 00 00 0e 00 00 00 f8 d7 00 00 0d 00 00 00 07 d8 00 00 0a 00 00 00 15 d8 00 00 67 00 00 00	............................g...
0f40	20 d8 00 00 67 00 00 00 88 d8 00 00 0e 00 00 00 f0 d8 00 00 0b 00 00 00 ff d8 00 00 02 00 00 00	....g...........................
0f60	0b d9 00 00 0e 00 00 00 0e d9 00 00 02 00 00 00 1d d9 00 00 09 00 00 00 20 d9 00 00 09 00 00 00	................................
0f80	2a d9 00 00 42 01 00 00 34 d9 00 00 0f 00 00 00 77 da 00 00 47 00 00 00 87 da 00 00 81 00 00 00	*...B...4.......w...G...........
0fa0	cf da 00 00 07 00 00 00 51 db 00 00 04 00 00 00 59 db 00 00 46 00 00 00 5e db 00 00 3c 00 00 00	........Q.......Y...F...^...<...
0fc0	a5 db 00 00 0f 00 00 00 e2 db 00 00 96 00 00 00 f2 db 00 00 7c 00 00 00 89 dc 00 00 09 00 00 00	....................\|...........
0fe0	06 dd 00 00 14 00 00 00 10 dd 00 00 09 00 00 00 25 dd 00 00 1b 00 00 00 2f dd 00 00 2c 00 00 00	................%......./...,...
1000	4b dd 00 00 19 00 00 00 78 dd 00 00 1d 00 00 00 92 dd 00 00 a8 00 00 00 b0 dd 00 00 d7 00 00 00	K.......x.......................
1020	59 de 00 00 42 00 00 00 31 df 00 00 7d 00 00 00 74 df 00 00 77 00 00 00 f2 df 00 00 49 00 00 00	Y...B...1...}...t...w.......I...
1040	6a e0 00 00 48 00 00 00 b4 e0 00 00 24 00 00 00 fd e0 00 00 9b 00 00 00 22 e1 00 00 43 00 00 00	j...H.......$..........."...C...
1060	be e1 00 00 34 00 00 00 02 e2 00 00 34 00 00 00 37 e2 00 00 18 00 00 00 6c e2 00 00 9e 00 00 00	....4.......4...7.......l.......
1080	85 e2 00 00 9f 00 00 00 24 e3 00 00 92 00 00 00 c4 e3 00 00 16 01 00 00 57 e4 00 00 17 01 00 00	........$...............W.......
10a0	6e e5 00 00 3f 00 00 00 86 e6 00 00 10 00 00 00 c6 e6 00 00 5a 00 00 00 d7 e6 00 00 2d 00 00 00	n...?...............Z.......-...
10c0	32 e7 00 00 3e 00 00 00 60 e7 00 00 4b 00 00 00 9f e7 00 00 0f 00 00 00 eb e7 00 00 05 00 00 00	2...>...`...K...................
10e0	fb e7 00 00 40 00 00 00 01 e8 00 00 13 00 00 00 42 e8 00 00 4b 02 00 00 56 e8 00 00 4c 02 00 00	....@...........B...K...V...L...
1100	a2 ea 00 00 31 00 00 00 ef ec 00 00 26 00 00 00 21 ed 00 00 19 00 00 00 48 ed 00 00 1f 00 00 00	....1.......&...!.......H.......
1120	62 ed 00 00 2d 00 00 00 82 ed 00 00 30 00 00 00 b0 ed 00 00 2a 00 00 00 e1 ed 00 00 1c 00 00 00	b...-.......0.......*...........
1140	0c ee 00 00 14 00 00 00 29 ee 00 00 16 00 00 00 3e ee 00 00 09 00 00 00 55 ee 00 00 0e 00 00 00	........).......>.......U.......
1160	5f ee 00 00 0f 00 00 00 6e ee 00 00 14 00 00 00 7e ee 00 00 14 00 00 00 93 ee 00 00 14 00 00 00	_.......n.......~...............
1180	a8 ee 00 00 14 00 00 00 bd ee 00 00 07 00 00 00 d2 ee 00 00 15 00 00 00 da ee 00 00 e6 00 00 00	................................
11a0	f0 ee 00 00 8e 00 00 00 d7 ef 00 00 1d 00 00 00 66 f0 00 00 85 00 00 00 84 f0 00 00 cd 00 00 00	................f...............
11c0	0a f1 00 00 b8 00 00 00 d8 f1 00 00 72 00 00 00 91 f2 00 00 75 00 00 00 04 f3 00 00 a7 00 00 00	............r.......u...........
11e0	7a f3 00 00 6d 00 00 00 22 f4 00 00 4d 00 00 00 90 f4 00 00 be 00 00 00 de f4 00 00 41 00 00 00	z...m..."...M...............A...
1200	9d f5 00 00 5d 00 00 00 df f5 00 00 1e 00 00 00 3d f6 00 00 75 00 00 00 5c f6 00 00 90 00 00 00	....]...........=...u...\.......
1220	d2 f6 00 00 1f 00 00 00 63 f7 00 00 45 00 00 00 83 f7 00 00 9d 00 00 00 c9 f7 00 00 28 00 00 00	........c...E...............(...
1240	67 f8 00 00 5f 00 00 00 90 f8 00 00 41 00 00 00 f0 f8 00 00 50 00 00 00 32 f9 00 00 df 00 00 00	g..._.......A.......P...2.......
1260	83 f9 00 00 b7 00 00 00 63 fa 00 00 9b 00 00 00 1b fb 00 00 5b 00 00 00 b7 fb 00 00 c3 00 00 00	........c...........[...........
1280	13 fc 00 00 7f 00 00 00 d7 fc 00 00 94 00 00 00 57 fd 00 00 b4 00 00 00 ec fd 00 00 25 00 00 00	................W...........%...
12a0	a1 fe 00 00 a8 00 00 00 c7 fe 00 00 50 00 00 00 70 ff 00 00 50 00 00 00 c1 ff 00 00 1f 00 00 00	............P...p...P...........
12c0	12 00 01 00 35 00 00 00 32 00 01 00 3c 00 00 00 68 00 01 00 3b 00 00 00 a5 00 01 00 3b 00 00 00	....5...2...<...h...;.......;...
12e0	e1 00 01 00 a8 00 00 00 1d 01 01 00 62 01 00 00 c6 01 01 00 15 01 00 00 29 03 01 00 ce 00 00 00	............b...........).......
1300	3f 04 01 00 a9 00 00 00 0e 05 01 00 4f 00 00 00 b8 05 01 00 5c 00 00 00 08 06 01 00 24 00 00 00	?...........O.......\.......$...
1320	65 06 01 00 42 00 00 00 8a 06 01 00 8f 00 00 00 cd 06 01 00 95 00 00 00 5d 07 01 00 7b 00 00 00	e...B...................]...{...
1340	f3 07 01 00 76 00 00 00 6f 08 01 00 75 00 00 00 e6 08 01 00 57 00 00 00 5c 09 01 00 aa 00 00 00	....v...o...u.......W...\.......
1360	b4 09 01 00 f8 00 00 00 5f 0a 01 00 2b 00 00 00 58 0b 01 00 9e 01 00 00 84 0b 01 00 46 00 00 00	........_...+...X...........F...
1380	23 0d 01 00 65 00 00 00 6a 0d 01 00 ad 00 00 00 d0 0d 01 00 6c 00 00 00 7e 0e 01 00 52 00 00 00	#...e...j...........l...~...R...
13a0	eb 0e 01 00 9f 00 00 00 3e 0f 01 00 b9 00 00 00 de 0f 01 00 a0 00 00 00 98 10 01 00 60 00 00 00	........>...................`...
13c0	39 11 01 00 56 00 00 00 9a 11 01 00 28 00 00 00 f1 11 01 00 5f 00 00 00 1a 12 01 00 42 00 00 00	9...V.......(......._.......B...
13e0	7a 12 01 00 7d 00 00 00 bd 12 01 00 27 00 00 00 3b 13 01 00 ac 00 00 00 63 13 01 00 b1 00 00 00	z...}.......'...;.......c.......
1400	10 14 01 00 4b 00 00 00 c2 14 01 00 83 00 00 00 0e 15 01 00 08 00 00 00 92 15 01 00 15 00 00 00	....K...........................
1420	9b 15 01 00 8d 00 00 00 b1 15 01 00 0a 00 00 00 3f 16 01 00 1b 00 00 00 4a 16 01 00 17 00 00 00	................?.......J.......
1440	66 16 01 00 28 00 00 00 7e 16 01 00 e7 00 00 00 a7 16 01 00 d0 00 00 00 8f 17 01 00 25 00 00 00	f...(...~...................%...
1460	60 18 01 00 83 00 00 00 86 18 01 00 90 00 00 00 0a 19 01 00 05 00 00 00 9b 19 01 00 c9 00 00 00	`...............................
1480	a1 19 01 00 03 00 00 00 6b 1a 01 00 08 00 00 00 6f 1a 01 00 09 00 00 00 78 1a 01 00 09 00 00 00	........k.......o.......x.......
14a0	82 1a 01 00 08 00 00 00 8c 1a 01 00 18 00 00 00 95 1a 01 00 12 00 00 00 ae 1a 01 00 0a 00 00 00	................................
14c0	c1 1a 01 00 0c 00 00 00 cc 1a 01 00 21 00 00 00 d9 1a 01 00 21 00 00 00 fb 1a 01 00 21 00 00 00	............!.......!.......!...
14e0	1d 1b 01 00 21 00 00 00 3f 1b 01 00 26 00 00 00 61 1b 01 00 04 00 00 00 88 1b 01 00 b9 00 00 00	....!...?...&...a...............
1500	8d 1b 01 00 3b 00 00 00 47 1c 01 00 0e 00 00 00 83 1c 01 00 18 00 00 00 92 1c 01 00 26 00 00 00	....;...G...................&...
1520	ab 1c 01 00 23 00 00 00 d2 1c 01 00 23 00 00 00 f6 1c 01 00 0d 00 00 00 1a 1d 01 00 23 00 00 00	....#.......#...............#...
1540	28 1d 01 00 0f 00 00 00 4c 1d 01 00 24 00 00 00 5c 1d 01 00 0f 00 00 00 81 1d 01 00 08 00 00 00	(.......L...$...\...............
1560	91 1d 01 00 08 00 00 00 9a 1d 01 00 08 00 00 00 a3 1d 01 00 08 00 00 00 ac 1d 01 00 08 00 00 00	................................
1580	b5 1d 01 00 09 00 00 00 be 1d 01 00 08 00 00 00 c8 1d 01 00 09 00 00 00 d1 1d 01 00 08 00 00 00	................................
15a0	db 1d 01 00 09 00 00 00 e4 1d 01 00 0c 00 00 00 ee 1d 01 00 09 00 00 00 fb 1d 01 00 09 00 00 00	................................
15c0	05 1e 01 00 08 00 00 00 0f 1e 01 00 12 00 00 00 18 1e 01 00 0f 00 00 00 2b 1e 01 00 0e 00 00 00	........................+.......
15e0	3b 1e 01 00 0d 00 00 00 4a 1e 01 00 1a 00 00 00 58 1e 01 00 16 00 00 00 73 1e 01 00 49 00 00 00	;.......J.......X.......s...I...
1600	8a 1e 01 00 aa 00 00 00 d4 1e 01 00 82 00 00 00 7f 1f 01 00 1f 01 00 00 02 20 01 00 40 00 00 00	............................@...
1620	22 21 01 00 6f 00 00 00 63 21 01 00 f4 00 00 00 d3 21 01 00 3c 00 00 00 c8 22 01 00 17 00 00 00	"!..o...c!.......!..<...."......
1640	05 23 01 00 6e 00 00 00 1d 23 01 00 67 00 00 00 8c 23 01 00 8e 00 00 00 f4 23 01 00 19 03 00 00	.#..n....#..g....#.......#......
1660	83 24 01 00 cb 00 00 00 9d 27 01 00 bc 00 00 00 69 28 01 00 42 00 00 00 26 29 01 00 36 00 00 00	.$.......'......i(..B...&)..6...
1680	69 29 01 00 b9 00 00 00 a0 29 01 00 62 00 00 00 5a 2a 01 00 ec 00 00 00 bd 2a 01 00 d1 00 00 00	i).......)..b...Z.............
16a0	aa 2b 01 00 7f 01 00 00 7c 2c 01 00 80 00 00 00 fc 2d 01 00 21 00 00 00 7d 2e 01 00 33 00 00 00	.+......\|,.......-..!...}...3...
16c0	9f 2e 01 00 09 00 00 00 d3 2e 01 00 e7 00 00 00 dd 2e 01 00 2c 00 00 00 c5 2f 01 00 8d 00 00 00	....................,..../......
16e0	f2 2f 01 00 70 00 00 00 80 30 01 00 48 00 00 00 f1 30 01 00 07 00 00 00 3a 31 01 00 5a 00 00 00	./..p....0..H....0......:1..Z...
1700	42 31 01 00 46 00 00 00 9d 31 01 00 3a 00 00 00 e4 31 01 00 47 00 00 00 1f 32 01 00 9c 00 00 00	B1..F....1..:....1..G....2......
1720	67 32 01 00 5a 00 00 00 04 33 01 00 13 00 00 00 5f 33 01 00 0c 00 00 00 73 33 01 00 ab 00 00 00	g2..Z....3......_3......s3......
1740	80 33 01 00 a3 01 00 00 2c 34 01 00 33 00 00 00 d0 35 01 00 26 00 00 00 04 36 01 00 4b 00 00 00	.3......,4..3....5..&....6..K...
1760	2b 36 01 00 35 00 00 00 77 36 01 00 2c 00 00 00 ad 36 01 00 30 00 00 00 da 36 01 00 3a 00 00 00	+6..5...w6..,....6..0....6..:...
1780	0b 37 01 00 13 00 00 00 46 37 01 00 2d 00 00 00 5a 37 01 00 13 00 00 00 88 37 01 00 1a 00 00 00	.7......F7..-...Z7.......7......
17a0	9c 37 01 00 20 00 00 00 b7 37 01 00 1a 00 00 00 d8 37 01 00 21 00 00 00 f3 37 01 00 1a 00 00 00	.7.......7.......7..!....7......
17c0	15 38 01 00 21 00 00 00 30 38 01 00 1e 00 00 00 52 38 01 00 21 00 00 00 71 38 01 00 15 00 00 00	.8..!...08......R8..!...q8......
17e0	93 38 01 00 04 00 00 00 a9 38 01 00 84 00 00 00 ae 38 01 00 3b 00 00 00 33 39 01 00 0d 00 00 00	.8.......8.......8..;...39......
1800	6f 39 01 00 2c 00 00 00 7d 39 01 00 2e 00 00 00 aa 39 01 00 1e 00 00 00 d9 39 01 00 3f 00 00 00	o9..,...}9.......9.......9..?...
1820	f8 39 01 00 2c 00 00 00 38 3a 01 00 28 00 00 00 65 3a 01 00 46 00 00 00 8e 3a 01 00 32 00 00 00	.9..,...8:..(...e:..F....:..2...
1840	d5 3a 01 00 83 00 00 00 08 3b 01 00 1b 00 00 00 8c 3b 01 00 1b 00 00 00 a8 3b 01 00 12 00 00 00	.:.......;.......;.......;......
1860	c4 3b 01 00 14 00 00 00 d7 3b 01 00 13 00 00 00 ec 3b 01 00 13 00 00 00 00 3c 01 00 13 00 00 00	.;.......;.......;.......<......
1880	14 3c 01 00 aa 00 00 00 28 3c 01 00 0c 00 00 00 d3 3c 01 00 41 00 00 00 e0 3c 01 00 41 00 00 00	.<......(<.......<..A....<..A...
18a0	22 3d 01 00 5c 00 00 00 64 3d 01 00 3a 00 00 00 c1 3d 01 00 44 00 00 00 fc 3d 01 00 60 00 00 00	"=..\...d=..:....=..D....=..`...
18c0	41 3e 01 00 45 00 00 00 a2 3e 01 00 3e 00 00 00 e8 3e 01 00 40 00 00 00 27 3f 01 00 42 00 00 00	A>..E....>..>....>..@...'?..B...
18e0	68 3f 01 00 44 00 00 00 ab 3f 01 00 3a 00 00 00 f0 3f 01 00 3f 00 00 00 2b 40 01 00 47 00 00 00	h?..D....?..:....?..?...+@..G...
1900	6b 40 01 00 3e 00 00 00 b3 40 01 00 38 00 00 00 f2 40 01 00 cd 00 00 00 2b 41 01 00 15 01 00 00	k@..>....@..8....@......+A......
1920	f9 41 01 00 43 00 00 00 0f 43 01 00 49 00 00 00 53 43 01 00 28 00 00 00 9d 43 01 00 7c 00 00 00	.A..C....C..I...SC..(....C..\|...
1940	c6 43 01 00 80 00 00 00 43 44 01 00 84 00 00 00 c4 44 01 00 70 00 00 00 49 45 01 00 2e 01 00 00	.C......CD.......D..p...IE......
1960	ba 45 01 00 0c 00 00 00 e9 46 01 00 0b 00 00 00 f6 46 01 00 0b 00 00 00 02 47 01 00 0b 00 00 00	.E.......F.......F.......G......
1980	0e 47 01 00 08 00 00 00 1a 47 01 00 11 00 00 00 23 47 01 00 0b 00 00 00 35 47 01 00 0c 00 00 00	.G.......G......#G......5G......
19a0	41 47 01 00 09 00 00 00 4e 47 01 00 0b 00 00 00 58 47 01 00 0f 00 00 00 64 47 01 00 0f 00 00 00	AG......NG......XG......dG......
19c0	74 47 01 00 0f 00 00 00 84 47 01 00 38 00 00 00 94 47 01 00 0d 00 00 00 cd 47 01 00 15 00 00 00	tG.......G..8....G.......G......
19e0	db 47 01 00 11 00 00 00 f1 47 01 00 19 00 00 00 03 48 01 00 19 00 00 00 1d 48 01 00 15 00 00 00	.G.......G.......H.......H......
1a00	37 48 01 00 15 00 00 00 4d 48 01 00 1a 00 00 00 63 48 01 00 57 00 00 00 7e 48 01 00 63 00 00 00	7H......MH......cH..W...~H..c...
1a20	d6 48 01 00 0e 00 00 00 3a 49 01 00 0c 00 00 00 49 49 01 00 1f 00 00 00 56 49 01 00 1f 00 00 00	.H......:I......II......VI......
1a40	76 49 01 00 0e 00 00 00 96 49 01 00 0f 00 00 00 a5 49 01 00 0f 00 00 00 b5 49 01 00 0f 00 00 00	vI.......I.......I.......I......
1a60	c5 49 01 00 2e 00 00 00 d5 49 01 00 0b 00 00 00 04 4a 01 00 0b 00 00 00 10 4a 01 00 1c 00 00 00	.I.......I.......J.......J......
1a80	1c 4a 01 00 1c 00 00 00 39 4a 01 00 1e 00 00 00 56 4a 01 00 3f 00 00 00 75 4a 01 00 07 00 00 00	.J......9J......VJ..?...uJ......
1aa0	b5 4a 01 00 09 00 00 00 bd 4a 01 00 07 00 00 00 c7 4a 01 00 08 00 00 00 cf 4a 01 00 05 00 00 00	.J.......J.......J.......J......
1ac0	d8 4a 01 00 0a 00 00 00 de 4a 01 00 15 00 00 00 e9 4a 01 00 0a 00 00 00 ff 4a 01 00 05 00 00 00	.J.......J.......J.......J......
1ae0	0a 4b 01 00 4e 02 00 00 10 4b 01 00 82 00 00 00 5f 4d 01 00 5b 00 00 00 e2 4d 01 00 1a 01 00 00	.K..N....K......_M..[....M......
1b00	3e 4e 01 00 c8 00 00 00 59 4f 01 00 57 00 00 00 22 50 01 00 58 00 00 00 7a 50 01 00 d4 00 00 00	>N......YO..W..."P..X...zP......
1b20	d3 50 01 00 0f 01 00 00 a8 51 01 00 f1 00 00 00 b8 52 01 00 30 00 00 00 aa 53 01 00 30 00 00 00	.P.......Q.......R..0....S..0...
1b40	db 53 01 00 30 00 00 00 0c 54 01 00 1f 00 00 00 3d 54 01 00 17 00 00 00 5d 54 01 00 21 00 00 00	.S..0....T......=T......]T..!...
1b60	75 54 01 00 1c 00 00 00 97 54 01 00 45 00 00 00 b4 54 01 00 32 00 00 00 fa 54 01 00 78 00 00 00	uT.......T..E....T..2....T..x...
1b80	2d 55 01 00 28 00 00 00 a6 55 01 00 22 00 00 00 cf 55 01 00 1d 00 00 00 f2 55 01 00 35 00 00 00	-U..(....U.."....U.......U..5...
1ba0	10 56 01 00 17 00 00 00 46 56 01 00 1a 00 00 00 5e 56 01 00 16 00 00 00 79 56 01 00 46 00 00 00	.V......FV......^V......yV..F...
1bc0	90 56 01 00 37 00 00 00 d7 56 01 00 26 00 00 00 0f 57 01 00 1a 00 00 00 36 57 01 00 5d 00 00 00	.V..7....V..&....W......6W..]...
1be0	51 57 01 00 7c 00 00 00 af 57 01 00 4b 00 00 00 2c 58 01 00 4b 00 00 00 78 58 01 00 28 00 00 00	QW..\|....W..K...,X..K...xX..(...
1c00	c4 58 01 00 97 00 00 00 ed 58 01 00 46 00 00 00 85 59 01 00 56 00 00 00 cc 59 01 00 53 00 00 00	.X.......X..F....Y..V....Y..S...
1c20	23 5a 01 00 1f 00 00 00 77 5a 01 00 30 00 00 00 97 5a 01 00 1d 00 00 00 c8 5a 01 00 36 00 00 00	#Z......wZ..0....Z.......Z..6...
1c40	e6 5a 01 00 3c 00 00 00 1d 5b 01 00 2b 00 00 00 5a 5b 01 00 2d 00 00 00 86 5b 01 00 19 00 00 00	.Z..<....[..+...Z[..-....[......
1c60	b4 5b 01 00 37 00 00 00 ce 5b 01 00 38 00 00 00 06 5c 01 00 22 00 00 00 3f 5c 01 00 1a 00 00 00	.[..7....[..8....\.."...?\......
1c80	62 5c 01 00 20 00 00 00 7d 5c 01 00 1d 00 00 00 9e 5c 01 00 23 00 00 00 bc 5c 01 00 1e 00 00 00	b\......}\.......\..#....\......
1ca0	e0 5c 01 00 20 00 00 00 ff 5c 01 00 30 00 00 00 20 5d 01 00 1d 00 00 00 51 5d 01 00 79 00 00 00	.\.......\..0....]......Q]..y...
1cc0	6f 5d 01 00 83 00 00 00 e9 5d 01 00 64 00 00 00 6d 5e 01 00 25 00 00 00 d2 5e 01 00 53 02 00 00	o].......]..d...m^..%....^..S...
1ce0	f8 5e 01 00 16 00 00 00 4c 61 01 00 03 01 00 00 63 61 01 00 58 00 00 00 67 62 01 00 28 01 00 00	.^......La......ca..X...gb..(...
1d00	c0 62 01 00 46 00 00 00 e9 63 01 00 18 00 00 00 30 64 01 00 48 00 00 00 49 64 01 00 27 00 00 00	.b..F....c......0d..H...Id..'...
1d20	92 64 01 00 24 00 00 00 ba 64 01 00 57 00 00 00 df 64 01 00 1e 00 00 00 37 65 01 00 0f 00 00 00	.d..$....d..W....d......7e......
1d40	56 65 01 00 8e 00 00 00 66 65 01 00 0a 00 00 00 f5 65 01 00 0a 00 00 00 00 66 01 00 f0 00 00 00	Ve......fe.......e.......f......
1d60	0b 66 01 00 12 01 00 00 fc 66 01 00 83 00 00 00 0f 68 01 00 2b 01 00 00 93 68 01 00 8f 00 00 00	.f.......f.......h..+....h......
1d80	bf 69 01 00 df 00 00 00 4f 6a 01 00 22 00 00 00 2f 6b 01 00 40 04 00 00 52 6b 01 00 48 00 00 00	.i......Oj..".../k..@...Rk..H...
1da0	93 6f 01 00 1c 00 00 00 dc 6f 01 00 52 00 00 00 f9 6f 01 00 fa 00 00 00 4c 70 01 00 6d 00 00 00	.o.......o..R....o......Lp..m...
1dc0	47 71 01 00 87 00 00 00 b5 71 01 00 ba 00 00 00 3d 72 01 00 5d 00 00 00 f8 72 01 00 a9 00 00 00	Gq.......q......=r..]....r......
1de0	56 73 01 00 09 00 00 00 00 74 01 00 1e 00 00 00 0a 74 01 00 1e 00 00 00 29 74 01 00 19 00 00 00	Vs.......t.......t......)t......
1e00	48 74 01 00 1c 00 00 00 62 74 01 00 13 00 00 00 7f 74 01 00 03 00 00 00 93 74 01 00 29 00 00 00	Ht......bt.......t.......t..)...
1e20	97 74 01 00 4a 00 00 00 c1 74 01 00 08 00 00 00 0c 75 01 00 0a 00 00 00 15 75 01 00 e9 01 00 00	.t..J....t.......u.......u......
1e40	20 75 01 00 0e 00 00 00 0a 77 01 00 19 00 00 00 19 77 01 00 23 00 00 00 33 77 01 00 27 00 00 00	.u.......w.......w..#...3w..'...
1e60	57 77 01 00 29 00 00 00 7f 77 01 00 1a 00 00 00 a9 77 01 00 48 01 00 00 c4 77 01 00 06 00 00 00	Ww..)....w.......w..H....w......
1e80	0d 79 01 00 1b 00 00 00 14 79 01 00 0b 00 00 00 30 79 01 00 0b 00 00 00 3c 79 01 00 0b 00 00 00	.y.......y......0y......<y......
1ea0	48 79 01 00 1d 00 00 00 54 79 01 00 17 00 00 00 72 79 01 00 24 00 00 00 8a 79 01 00 86 02 00 00	Hy......Ty......ry..$....y......
1ec0	af 79 01 00 0d 00 00 00 36 7c 01 00 0a 00 00 00 44 7c 01 00 07 00 00 00 4f 7c 01 00 70 00 00 00	.y......6\|......D\|......O\|..p...
1ee0	57 7c 01 00 6e 00 00 00 c8 7c 01 00 10 00 00 00 37 7d 01 00 26 00 00 00 48 7d 01 00 11 00 00 00	W\|..n....\|......7}..&...H}......
1f00	6f 7d 01 00 12 00 00 00 81 7d 01 00 be 00 00 00 94 7d 01 00 21 00 00 00 53 7e 01 00 05 00 00 00	o}.......}.......}..!...S~......
1f20	75 7e 01 00 43 00 00 00 7b 7e 01 00 35 00 00 00 bf 7e 01 00 06 00 00 00 f5 7e 01 00 14 00 00 00	u~..C...{~..5....~.......~......
1f40	fc 7e 01 00 56 00 00 00 11 7f 01 00 56 00 00 00 68 7f 01 00 0b 00 00 00 bf 7f 01 00 0d 00 00 00	.~..V.......V...h...............
1f60	cb 7f 01 00 13 00 00 00 d9 7f 01 00 14 00 00 00 ed 7f 01 00 29 00 00 00 02 80 01 00 18 00 00 00	....................)...........
1f80	2c 80 01 00 23 00 00 00 45 80 01 00 24 00 00 00 69 80 01 00 39 00 00 00 8e 80 01 00 0e 00 00 00	,...#...E...$...i...9...........
1fa0	c8 80 01 00 0e 00 00 00 d7 80 01 00 20 00 00 00 e6 80 01 00 18 00 00 00 07 81 01 00 13 00 00 00	................................
1fc0	20 81 01 00 27 00 00 00 34 81 01 00 2b 00 00 00 5c 81 01 00 51 00 00 00 88 81 01 00 18 00 00 00	....'...4...+...\...Q...........
1fe0	da 81 01 00 19 00 00 00 f3 81 01 00 44 00 00 00 0d 82 01 00 1b 00 00 00 52 82 01 00 2f 00 00 00	............D...........R.../...
2000	6e 82 01 00 1b 00 00 00 9e 82 01 00 a4 00 00 00 ba 82 01 00 ae 00 00 00 5f 83 01 00 04 00 00 00	n......................._.......
2020	0e 84 01 00 0b 00 00 00 13 84 01 00 0c 00 00 00 1f 84 01 00 14 00 00 00 2c 84 01 00 14 00 00 00	........................,.......
2040	41 84 01 00 16 00 00 00 56 84 01 00 ae 00 00 00 6d 84 01 00 85 00 00 00 1c 85 01 00 2b 00 00 00	A.......V.......m...........+...
2060	a2 85 01 00 25 00 00 00 ce 85 01 00 43 00 00 00 f4 85 01 00 5a 00 00 00 38 86 01 00 24 00 00 00	....%.......C.......Z...8...$...
2080	93 86 01 00 dc 00 00 00 b8 86 01 00 1c 00 00 00 95 87 01 00 0a 00 00 00 b2 87 01 00 0b 00 00 00	................................
20a0	bd 87 01 00 0f 00 00 00 c9 87 01 00 20 00 00 00 d9 87 01 00 5d 00 00 00 fa 87 01 00 1a 00 00 00	....................]...........
20c0	58 88 01 00 22 00 00 00 73 88 01 00 06 00 00 00 96 88 01 00 08 00 00 00 9d 88 01 00 08 00 00 00	X..."...s.......................
20e0	a6 88 01 00 1d 00 00 00 af 88 01 00 1f 00 00 00 cd 88 01 00 1a 00 00 00 ed 88 01 00 20 00 00 00	................................
2100	08 89 01 00 1f 00 00 00 29 89 01 00 17 00 00 00 49 89 01 00 f9 00 00 00 61 89 01 00 0c 01 00 00	........).......I.......a.......
2120	5b 8a 01 00 96 00 00 00 68 8b 01 00 78 00 00 00 ff 8b 01 00 14 00 00 00 78 8c 01 00 0b 00 00 00	[.......h...x...........x.......
2140	8d 8c 01 00 0a 00 00 00 99 8c 01 00 4e 00 00 00 a4 8c 01 00 c4 00 00 00 f3 8c 01 00 f3 00 00 00	............N...................
2160	b8 8d 01 00 fa 00 00 00 ac 8e 01 00 d1 00 00 00 a7 8f 01 00 12 01 00 00 79 90 01 00 db 00 00 00	........................y.......
2180	8c 91 01 00 07 00 00 00 68 92 01 00 23 00 00 00 70 92 01 00 2e 00 00 00 94 92 01 00 27 00 00 00	........h...#...p...........'...
21a0	c3 92 01 00 3a 00 00 00 eb 92 01 00 2e 00 00 00 26 93 01 00 0f 00 00 00 55 93 01 00 48 00 00 00	....:...........&.......U...H...
21c0	65 93 01 00 c6 00 00 00 ae 93 01 00 9f 00 00 00 75 94 01 00 34 00 00 00 15 95 01 00 08 00 00 00	e...............u...4...........
21e0	4a 95 01 00 17 00 00 00 53 95 01 00 11 00 00 00 6b 95 01 00 bf 00 00 00 7d 95 01 00 85 00 00 00	J.......S.......k.......}.......
2200	3d 96 01 00 0c 00 00 00 c3 96 01 00 45 00 00 00 d0 96 01 00 43 00 00 00 16 97 01 00 34 00 00 00	=...........E.......C.......4...
2220	5a 97 01 00 37 00 00 00 8f 97 01 00 21 01 00 00 c7 97 01 00 5e 00 00 00 e9 98 01 00 63 00 00 00	Z...7.......!.......^.......c...
2240	48 99 01 00 d5 00 00 00 ac 99 01 00 b9 00 00 00 82 9a 01 00 ab 00 00 00 3c 9b 01 00 53 00 00 00	H.......................<...S...
2260	e8 9b 01 00 78 00 00 00 3c 9c 01 00 78 00 00 00 b5 9c 01 00 bd 00 00 00 2e 9d 01 00 56 00 00 00	....x...<...x...............V...
2280	ec 9d 01 00 1c 00 00 00 43 9e 01 00 2e 00 00 00 60 9e 01 00 23 00 00 00 8f 9e 01 00 04 00 00 00	........C.......`...#...........
22a0	b3 9e 01 00 67 00 00 00 b8 9e 01 00 5a 00 00 00 20 9f 01 00 43 00 00 00 7b 9f 01 00 44 00 00 00	....g.......Z.......C...{...D...
22c0	bf 9f 01 00 08 00 00 00 04 a0 01 00 27 00 00 00 0d a0 01 00 2e 00 00 00 35 a0 01 00 4d 00 00 00	............'...........5...M...
22e0	64 a0 01 00 69 00 00 00 b2 a0 01 00 83 00 00 00 1c a1 01 00 1d 00 00 00 a0 a1 01 00 11 00 00 00	d...i...........................
2300	be a1 01 00 03 00 00 00 d0 a1 01 00 01 02 00 00 d4 a1 01 00 ab 00 00 00 d6 a3 01 00 78 00 00 00	............................x...
2320	82 a4 01 00 83 00 00 00 fb a4 01 00 e2 00 00 00 7f a5 01 00 09 00 00 00 62 a6 01 00 19 00 00 00	........................b.......
2340	6c a6 01 00 5f 03 00 00 86 a6 01 00 14 00 00 00 e6 a9 01 00 06 00 00 00 fb a9 01 00 0c 00 00 00	l..._...........................
2360	02 aa 01 00 15 00 00 00 0f aa 01 00 0c 00 00 00 25 aa 01 00 0b 00 00 00 32 aa 01 00 17 00 00 00	................%.......2.......
2380	3e aa 01 00 0f 00 00 00 56 aa 01 00 03 00 00 00 66 aa 01 00 d8 00 00 00 6a aa 01 00 43 00 00 00	>.......V.......f.......j...C...
23a0	43 ab 01 00 40 00 00 00 87 ab 01 00 67 00 00 00 c8 ab 01 00 d8 00 00 00 30 ac 01 00 90 00 00 00	C...@.......g...........0.......
23c0	09 ad 01 00 88 00 00 00 9a ad 01 00 ec 00 00 00 23 ae 01 00 33 00 00 00 10 af 01 00 9f 00 00 00	................#...3...........
23e0	44 af 01 00 98 00 00 00 e4 af 01 00 bd 00 00 00 7d b0 01 00 99 00 00 00 3b b1 01 00 54 00 00 00	D...............}.......;...T...
2400	d5 b1 01 00 fd 00 00 00 2a b2 01 00 60 00 00 00 28 b3 01 00 a3 00 00 00 89 b3 01 00 4d 00 00 00	........*...`...(...........M...
2420	2d b4 01 00 5a 00 00 00 7b b4 01 00 5e 00 00 00 d6 b4 01 00 44 00 00 00 35 b5 01 00 dc 00 00 00	-...Z...{...^.......D...5.......
2440	7a b5 01 00 ee 00 00 00 57 b6 01 00 75 00 00 00 46 b7 01 00 67 00 00 00 bc b7 01 00 6b 00 00 00	z.......W...u...F...g.......k...
2460	24 b8 01 00 5d 00 00 00 90 b8 01 00 80 00 00 00 ee b8 01 00 9d 00 00 00 6f b9 01 00 98 00 00 00	$...]...................o.......
2480	0d ba 01 00 28 00 00 00 a6 ba 01 00 94 00 00 00 cf ba 01 00 20 00 00 00 64 bb 01 00 33 00 00 00	....(...................d...3...
24a0	85 bb 01 00 3a 00 00 00 b9 bb 01 00 10 00 00 00 f4 bb 01 00 11 00 00 00 05 bc 01 00 14 00 00 00	....:...........................
24c0	17 bc 01 00 15 00 00 00 2c bc 01 00 1f 00 00 00 42 bc 01 00 6a 01 00 00 62 bc 01 00 24 00 00 00	........,.......B...j...b...$...
24e0	cd bd 01 00 10 00 00 00 f2 bd 01 00 08 00 00 00 03 be 01 00 23 00 00 00 0c be 01 00 24 00 00 00	....................#.......$...
2500	30 be 01 00 23 00 00 00 55 be 01 00 23 00 00 00 79 be 01 00 18 00 00 00 9d be 01 00 7a 00 00 00	0...#...U...#...y...........z...
2520	b6 be 01 00 94 00 00 00 31 bf 01 00 21 00 00 00 c6 bf 01 00 89 00 00 00 e8 bf 01 00 98 00 00 00	........1...!...................
2540	72 c0 01 00 14 00 00 00 0b c1 01 00 23 00 00 00 20 c1 01 00 25 00 00 00 44 c1 01 00 2e 00 00 00	r...........#.......%...D.......
2560	6a c1 01 00 03 00 00 00 99 c1 01 00 05 00 00 00 9d c1 01 00 05 00 00 00 a3 c1 01 00 11 00 00 00	j...............................
2580	a9 c1 01 00 3c 00 00 00 bb c1 01 00 1d 00 00 00 f8 c1 01 00 25 00 00 00 16 c2 01 00 04 00 00 00	....<...............%...........
25a0	3c c2 01 00 0c 00 00 00 41 c2 01 00 0f 00 00 00 4e c2 01 00 04 00 00 00 5e c2 01 00 03 00 00 00	<.......A.......N.......^.......
25c0	63 c2 01 00 63 00 00 00 67 c2 01 00 3c 00 00 00 cb c2 01 00 40 00 00 00 08 c3 01 00 40 00 00 00	c...c...g...<.......@.......@...
25e0	49 c3 01 00 dc 02 00 00 8a c3 01 00 0b 00 00 00 67 c6 01 00 3c 00 00 00 73 c6 01 00 0a 00 00 00	I...............g...<...s.......
2600	b0 c6 01 00 0e 00 00 00 bb c6 01 00 79 00 00 00 ca c6 01 00 5d 00 00 00 44 c7 01 00 0a 00 00 00	............y.......]...D.......
2620	a2 c7 01 00 16 00 00 00 ad c7 01 00 16 00 00 00 c4 c7 01 00 20 00 00 00 db c7 01 00 16 00 00 00	................................
2640	fc c7 01 00 16 00 00 00 13 c8 01 00 0b 00 00 00 2a c8 01 00 14 00 00 00 36 c8 01 00 0f 00 00 00	................*.......6.......
2660	4b c8 01 00 10 00 00 00 5b c8 01 00 18 00 00 00 6c c8 01 00 21 00 00 00 85 c8 01 00 5a 00 00 00	K.......[.......l...!.......Z...
2680	a7 c8 01 00 80 00 00 00 02 c9 01 00 6f 00 00 00 83 c9 01 00 44 00 00 00 f3 c9 01 00 2b 00 00 00	............o.......D.......+...
26a0	38 ca 01 00 04 00 00 00 64 ca 01 00 40 00 00 00 69 ca 01 00 97 00 00 00 aa ca 01 00 42 00 00 00	8.......d...@...i...........B...
26c0	42 cb 01 00 5d 00 00 00 85 cb 01 00 3a 00 00 00 e3 cb 01 00 34 00 00 00 1e cc 01 00 2e 00 00 00	B...].......:.......4...........
26e0	53 cc 01 00 26 00 00 00 82 cc 01 00 58 00 00 00 a9 cc 01 00 34 00 00 00 02 cd 01 00 d4 00 00 00	S...&.......X.......4...........
2700	37 cd 01 00 35 00 00 00 0c ce 01 00 13 00 00 00 42 ce 01 00 19 00 00 00 56 ce 01 00 85 00 00 00	7...5...........B.......V.......
2720	70 ce 01 00 19 00 00 00 f6 ce 01 00 7a 00 00 00 10 cf 01 00 79 00 00 00 8b cf 01 00 53 00 00 00	p...........z.......y.......S...
2740	05 d0 01 00 68 00 00 00 59 d0 01 00 36 00 00 00 c2 d0 01 00 32 00 00 00 f9 d0 01 00 38 00 00 00	....h...Y...6.......2.......8...
2760	2c d1 01 00 36 00 00 00 65 d1 01 00 38 00 00 00 9c d1 01 00 19 00 00 00 d5 d1 01 00 11 00 00 00	,...6...e...8...................
2780	ef d1 01 00 20 00 00 00 01 d2 01 00 16 00 00 00 22 d2 01 00 38 01 00 00 39 d2 01 00 69 00 00 00	................"...8...9...i...
27a0	72 d3 01 00 08 00 00 00 dc d3 01 00 03 00 00 00 e5 d3 01 00 72 00 00 00 e9 d3 01 00 03 00 00 00	r...................r...........
27c0	5c d4 01 00 6c 00 00 00 60 d4 01 00 03 00 00 00 cd d4 01 00 61 00 00 00 d1 d4 01 00 27 00 00 00	\...l...`...........a.......'...
27e0	33 d5 01 00 0b 00 00 00 5b d5 01 00 0f 00 00 00 67 d5 01 00 37 00 00 00 77 d5 01 00 25 00 00 00	3.......[.......g...7...w...%...
2800	af d5 01 00 6e 00 00 00 d5 d5 01 00 b2 00 00 00 44 d6 01 00 38 00 00 00 f7 d6 01 00 0e 00 00 00	....n...........D...8...........
2820	30 d7 01 00 0d 00 00 00 3f d7 01 00 0a 00 00 00 4d d7 01 00 67 00 00 00 58 d7 01 00 67 00 00 00	0.......?.......M...g...X...g...
2840	c0 d7 01 00 0e 00 00 00 28 d8 01 00 0b 00 00 00 37 d8 01 00 02 00 00 00 43 d8 01 00 0e 00 00 00	........(.......7.......C.......
2860	46 d8 01 00 02 00 00 00 55 d8 01 00 09 00 00 00 58 d8 01 00 09 00 00 00 62 d8 01 00 42 01 00 00	F.......U.......X.......b...B...
2880	6c d8 01 00 0f 00 00 00 af d9 01 00 47 00 00 00 bf d9 01 00 81 00 00 00 07 da 01 00 07 00 00 00	l...........G...................
28a0	89 da 01 00 04 00 00 00 91 da 01 00 46 00 00 00 96 da 01 00 3c 00 00 00 dd da 01 00 0f 00 00 00	............F.......<...........
28c0	1a db 01 00 96 00 00 00 2a db 01 00 7c 00 00 00 c1 db 01 00 09 00 00 00 3e dc 01 00 14 00 00 00	........*...\|...........>.......
28e0	48 dc 01 00 09 00 00 00 5d dc 01 00 1b 00 00 00 67 dc 01 00 2c 00 00 00 83 dc 01 00 19 00 00 00	H.......].......g...,...........
2900	b0 dc 01 00 1d 00 00 00 ca dc 01 00 a8 00 00 00 e8 dc 01 00 d7 00 00 00 91 dd 01 00 42 00 00 00	............................B...
2920	69 de 01 00 7d 00 00 00 ac de 01 00 77 00 00 00 2a df 01 00 49 00 00 00 a2 df 01 00 48 00 00 00	i...}.......w...*...I.......H...
2940	ec df 01 00 24 00 00 00 35 e0 01 00 9b 00 00 00 5a e0 01 00 43 00 00 00 f6 e0 01 00 34 00 00 00	....$...5.......Z...C.......4...
2960	3a e1 01 00 34 00 00 00 6f e1 01 00 18 00 00 00 a4 e1 01 00 9e 00 00 00 bd e1 01 00 9f 00 00 00	:...4...o.......................
2980	5c e2 01 00 92 00 00 00 fc e2 01 00 16 01 00 00 8f e3 01 00 17 01 00 00 a6 e4 01 00 3f 00 00 00	\...........................?...
29a0	be e5 01 00 10 00 00 00 fe e5 01 00 5a 00 00 00 0f e6 01 00 2d 00 00 00 6a e6 01 00 3e 00 00 00	............Z.......-...j...>...
29c0	98 e6 01 00 4b 00 00 00 d7 e6 01 00 0f 00 00 00 23 e7 01 00 05 00 00 00 33 e7 01 00 40 00 00 00	....K...........#.......3...@...
29e0	39 e7 01 00 13 00 00 00 7a e7 01 00 4b 02 00 00 8e e7 01 00 4c 02 00 00 da e9 01 00 31 00 00 00	9.......z...K.......L.......1...
2a00	27 ec 01 00 26 00 00 00 59 ec 01 00 19 00 00 00 80 ec 01 00 1f 00 00 00 9a ec 01 00 2d 00 00 00	'...&...Y...................-...
2a20	ba ec 01 00 30 00 00 00 e8 ec 01 00 2a 00 00 00 19 ed 01 00 1c 00 00 00 44 ed 01 00 14 00 00 00	....0.......*...........D.......
2a40	61 ed 01 00 16 00 00 00 76 ed 01 00 09 00 00 00 8d ed 01 00 0e 00 00 00 97 ed 01 00 0f 00 00 00	a.......v.......................
2a60	a6 ed 01 00 14 00 00 00 b6 ed 01 00 14 00 00 00 cb ed 01 00 14 00 00 00 e0 ed 01 00 14 00 00 00	................................
2a80	f5 ed 01 00 07 00 00 00 0a ee 01 00 15 00 00 00 12 ee 01 00 e6 00 00 00 28 ee 01 00 8e 00 00 00	........................(.......
2aa0	0f ef 01 00 1d 00 00 00 9e ef 01 00 85 00 00 00 bc ef 01 00 cd 00 00 00 42 f0 01 00 b8 00 00 00	........................B.......
2ac0	10 f1 01 00 72 00 00 00 c9 f1 01 00 75 00 00 00 3c f2 01 00 a7 00 00 00 b2 f2 01 00 6d 00 00 00	....r.......u...<...........m...
2ae0	5a f3 01 00 4d 00 00 00 c8 f3 01 00 be 00 00 00 16 f4 01 00 41 00 00 00 d5 f4 01 00 5d 00 00 00	Z...M...............A.......]...
2b00	17 f5 01 00 1e 00 00 00 75 f5 01 00 75 00 00 00 94 f5 01 00 90 00 00 00 0a f6 01 00 1f 00 00 00	........u...u...................
2b20	9b f6 01 00 45 00 00 00 bb f6 01 00 9d 00 00 00 01 f7 01 00 28 00 00 00 9f f7 01 00 5f 00 00 00	....E...............(......._...
2b40	c8 f7 01 00 41 00 00 00 28 f8 01 00 50 00 00 00 6a f8 01 00 df 00 00 00 bb f8 01 00 b7 00 00 00	....A...(...P...j...............
2b60	9b f9 01 00 9b 00 00 00 53 fa 01 00 5b 00 00 00 ef fa 01 00 c3 00 00 00 4b fb 01 00 7f 00 00 00	........S...[...........K.......
2b80	0f fc 01 00 94 00 00 00 8f fc 01 00 b4 00 00 00 24 fd 01 00 25 00 00 00 d9 fd 01 00 a8 00 00 00	................$...%...........
2ba0	ff fd 01 00 50 00 00 00 a8 fe 01 00 50 00 00 00 f9 fe 01 00 1f 00 00 00 4a ff 01 00 35 00 00 00	....P.......P...........J...5...
2bc0	6a ff 01 00 3c 00 00 00 a0 ff 01 00 3b 00 00 00 dd ff 01 00 3b 00 00 00 19 00 02 00 a8 00 00 00	j...<.......;.......;...........
2be0	55 00 02 00 62 01 00 00 fe 00 02 00 15 01 00 00 61 02 02 00 ce 00 00 00 77 03 02 00 a9 00 00 00	U...b...........a.......w.......
2c00	46 04 02 00 4f 00 00 00 f0 04 02 00 5c 00 00 00 40 05 02 00 24 00 00 00 9d 05 02 00 42 00 00 00	F...O.......\...@...$.......B...
2c20	c2 05 02 00 8f 00 00 00 05 06 02 00 95 00 00 00 95 06 02 00 7b 00 00 00 2b 07 02 00 76 00 00 00	....................{...+...v...
2c40	a7 07 02 00 75 00 00 00 1e 08 02 00 57 00 00 00 94 08 02 00 aa 00 00 00 ec 08 02 00 f8 00 00 00	....u.......W...................
2c60	97 09 02 00 2b 00 00 00 90 0a 02 00 9e 01 00 00 bc 0a 02 00 46 00 00 00 5b 0c 02 00 65 00 00 00	....+...............F...[...e...
2c80	a2 0c 02 00 ad 00 00 00 08 0d 02 00 6c 00 00 00 b6 0d 02 00 52 00 00 00 23 0e 02 00 9f 00 00 00	............l.......R...#.......
2ca0	76 0e 02 00 b9 00 00 00 16 0f 02 00 a0 00 00 00 d0 0f 02 00 60 00 00 00 71 10 02 00 56 00 00 00	v...................`...q...V...
2cc0	d2 10 02 00 28 00 00 00 29 11 02 00 5f 00 00 00 52 11 02 00 42 00 00 00 b2 11 02 00 7d 00 00 00	....(...)..._...R...B.......}...
2ce0	f5 11 02 00 27 00 00 00 73 12 02 00 ac 00 00 00 9b 12 02 00 b1 00 00 00 48 13 02 00 4b 00 00 00	....'...s...............H...K...
2d00	fa 13 02 00 83 00 00 00 46 14 02 00 08 00 00 00 ca 14 02 00 15 00 00 00 d3 14 02 00 8d 00 00 00	........F.......................
2d20	e9 14 02 00 0a 00 00 00 77 15 02 00 1b 00 00 00 82 15 02 00 17 00 00 00 9e 15 02 00 28 00 00 00	........w...................(...
2d40	b6 15 02 00 e7 00 00 00 df 15 02 00 d0 00 00 00 c7 16 02 00 25 00 00 00 98 17 02 00 83 00 00 00	....................%...........
2d60	be 17 02 00 90 00 00 00 42 18 02 00 05 00 00 00 d3 18 02 00 c9 00 00 00 d9 18 02 00 03 00 00 00	........B.......................
2d80	a3 19 02 00 08 00 00 00 a7 19 02 00 09 00 00 00 b0 19 02 00 09 00 00 00 ba 19 02 00 08 00 00 00	................................
2da0	c4 19 02 00 18 00 00 00 cd 19 02 00 12 00 00 00 e6 19 02 00 0a 00 00 00 f9 19 02 00 0c 00 00 00	................................
2dc0	04 1a 02 00 21 00 00 00 11 1a 02 00 21 00 00 00 33 1a 02 00 21 00 00 00 55 1a 02 00 21 00 00 00	....!.......!...3...!...U...!...
2de0	77 1a 02 00 26 00 00 00 99 1a 02 00 04 00 00 00 c0 1a 02 00 b9 00 00 00 c5 1a 02 00 3b 00 00 00	w...&.......................;...
2e00	7f 1b 02 00 0e 00 00 00 bb 1b 02 00 18 00 00 00 ca 1b 02 00 26 00 00 00 e3 1b 02 00 23 00 00 00	....................&.......#...
2e20	0a 1c 02 00 23 00 00 00 2e 1c 02 00 0d 00 00 00 52 1c 02 00 23 00 00 00 60 1c 02 00 0f 00 00 00	....#...........R...#...`.......
2e40	84 1c 02 00 24 00 00 00 94 1c 02 00 0f 00 00 00 b9 1c 02 00 08 00 00 00 c9 1c 02 00 08 00 00 00	....$...........................
2e60	d2 1c 02 00 08 00 00 00 db 1c 02 00 08 00 00 00 e4 1c 02 00 08 00 00 00 ed 1c 02 00 09 00 00 00	................................
2e80	f6 1c 02 00 08 00 00 00 00 1d 02 00 09 00 00 00 09 1d 02 00 08 00 00 00 13 1d 02 00 09 00 00 00	................................
2ea0	1c 1d 02 00 0c 00 00 00 26 1d 02 00 09 00 00 00 33 1d 02 00 09 00 00 00 3d 1d 02 00 08 00 00 00	........&.......3.......=.......
2ec0	47 1d 02 00 12 00 00 00 50 1d 02 00 0f 00 00 00 63 1d 02 00 0e 00 00 00 73 1d 02 00 0d 00 00 00	G.......P.......c.......s.......
2ee0	82 1d 02 00 1a 00 00 00 90 1d 02 00 16 00 00 00 ab 1d 02 00 49 00 00 00 c2 1d 02 00 aa 00 00 00	....................I...........
2f00	0c 1e 02 00 82 00 00 00 b7 1e 02 00 1f 01 00 00 3a 1f 02 00 40 00 00 00 5a 20 02 00 6f 00 00 00	................:...@...Z...o...
2f20	9b 20 02 00 f4 00 00 00 0b 21 02 00 3c 00 00 00 00 22 02 00 17 00 00 00 3d 22 02 00 6e 00 00 00	.........!..<...."......="..n...
2f40	55 22 02 00 67 00 00 00 c4 22 02 00 8e 00 00 00 2c 23 02 00 19 03 00 00 bb 23 02 00 cb 00 00 00	U"..g...."......,#.......#......
2f60	d5 26 02 00 bc 00 00 00 a1 27 02 00 42 00 00 00 5e 28 02 00 36 00 00 00 a1 28 02 00 b9 00 00 00	.&.......'..B...^(..6....(......
2f80	d8 28 02 00 62 00 00 00 92 29 02 00 ec 00 00 00 f5 29 02 00 d1 00 00 00 e2 2a 02 00 7f 01 00 00	.(..b....).......).......*......
2fa0	b4 2b 02 00 80 00 00 00 34 2d 02 00 21 00 00 00 b5 2d 02 00 33 00 00 00 d7 2d 02 00 09 00 00 00	.+......4-..!....-..3....-......
2fc0	0b 2e 02 00 e7 00 00 00 15 2e 02 00 2c 00 00 00 fd 2e 02 00 8d 00 00 00 2a 2f 02 00 70 00 00 00	............,...........*/..p...
2fe0	b8 2f 02 00 48 00 00 00 29 30 02 00 07 00 00 00 72 30 02 00 5a 00 00 00 7a 30 02 00 46 00 00 00	./..H...)0......r0..Z...z0..F...
3000	d5 30 02 00 3a 00 00 00 1c 31 02 00 47 00 00 00 57 31 02 00 9c 00 00 00 9f 31 02 00 5a 00 00 00	.0..:....1..G...W1.......1..Z...
3020	3c 32 02 00 13 00 00 00 97 32 02 00 0c 00 00 00 ab 32 02 00 ab 00 00 00 b8 32 02 00 a3 01 00 00	<2.......2.......2.......2......
3040	64 33 02 00 33 00 00 00 08 35 02 00 26 00 00 00 3c 35 02 00 4b 00 00 00 63 35 02 00 35 00 00 00	d3..3....5..&...<5..K...c5..5...
3060	af 35 02 00 2c 00 00 00 e5 35 02 00 30 00 00 00 12 36 02 00 3a 00 00 00 43 36 02 00 13 00 00 00	.5..,....5..0....6..:...C6......
3080	7e 36 02 00 2d 00 00 00 92 36 02 00 13 00 00 00 c0 36 02 00 1a 00 00 00 d4 36 02 00 20 00 00 00	~6..-....6.......6.......6......
30a0	ef 36 02 00 1a 00 00 00 10 37 02 00 21 00 00 00 2b 37 02 00 1a 00 00 00 4d 37 02 00 21 00 00 00	.6.......7..!...+7......M7..!...
30c0	68 37 02 00 1e 00 00 00 8a 37 02 00 21 00 00 00 a9 37 02 00 15 00 00 00 cb 37 02 00 04 00 00 00	h7.......7..!....7.......7......
30e0	e1 37 02 00 84 00 00 00 e6 37 02 00 3b 00 00 00 6b 38 02 00 0d 00 00 00 a7 38 02 00 2c 00 00 00	.7.......7..;...k8.......8..,...
3100	b5 38 02 00 2e 00 00 00 e2 38 02 00 1e 00 00 00 11 39 02 00 3f 00 00 00 30 39 02 00 2c 00 00 00	.8.......8.......9..?...09..,...
3120	70 39 02 00 28 00 00 00 9d 39 02 00 46 00 00 00 c6 39 02 00 32 00 00 00 0d 3a 02 00 83 00 00 00	p9..(....9..F....9..2....:......
3140	40 3a 02 00 1b 00 00 00 c4 3a 02 00 1b 00 00 00 e0 3a 02 00 12 00 00 00 fc 3a 02 00 14 00 00 00	@:.......:.......:.......:......
3160	0f 3b 02 00 13 00 00 00 24 3b 02 00 13 00 00 00 38 3b 02 00 13 00 00 00 4c 3b 02 00 aa 00 00 00	.;......$;......8;......L;......
3180	60 3b 02 00 0c 00 00 00 0b 3c 02 00 41 00 00 00 18 3c 02 00 41 00 00 00 5a 3c 02 00 5c 00 00 00	`;.......<..A....<..A...Z<..\...
31a0	9c 3c 02 00 3a 00 00 00 f9 3c 02 00 44 00 00 00 34 3d 02 00 60 00 00 00 79 3d 02 00 45 00 00 00	.<..:....<..D...4=..`...y=..E...
31c0	da 3d 02 00 3e 00 00 00 20 3e 02 00 40 00 00 00 5f 3e 02 00 42 00 00 00 a0 3e 02 00 44 00 00 00	.=..>....>..@..._>..B....>..D...
31e0	e3 3e 02 00 3a 00 00 00 28 3f 02 00 3f 00 00 00 63 3f 02 00 47 00 00 00 a3 3f 02 00 3e 00 00 00	.>..:...(?..?...c?..G....?..>...
3200	eb 3f 02 00 38 00 00 00 2a 40 02 00 01 00 00 00 00 00 00 00 00 00 00 00 0b 02 00 00 94 02 00 00	.?..8...*@......................
3220	66 02 00 00 46 00 00 00 00 00 00 00 fd 02 00 00 ab 02 00 00 82 00 00 00 68 01 00 00 2a 02 00 00	f...F...................h...*...
3240	78 01 00 00 d9 01 00 00 c6 00 00 00 c0 00 00 00 a1 02 00 00 00 00 00 00 02 01 00 00 00 00 00 00	x...............................
3260	cd 01 00 00 c9 00 00 00 00 00 00 00 4b 02 00 00 00 00 00 00 00 00 00 00 a1 01 00 00 5a 02 00 00	............K...............Z...
3280	00 00 00 00 7d 00 00 00 34 01 00 00 e4 01 00 00 08 01 00 00 ed 02 00 00 92 02 00 00 00 00 00 00	....}...4.......................
32a0	fd 00 00 00 0e 01 00 00 00 00 00 00 5f 02 00 00 64 02 00 00 8d 00 00 00 00 00 00 00 3c 01 00 00	............_...d...........<...
32c0	ca 02 00 00 f0 02 00 00 00 00 00 00 0c 00 00 00 e3 00 00 00 73 01 00 00 67 01 00 00 8e 01 00 00	....................s...g.......
32e0	f1 01 00 00 58 00 00 00 8e 00 00 00 57 02 00 00 00 00 00 00 d1 00 00 00 c5 01 00 00 00 00 00 00	....X.......W...................
3300	84 00 00 00 bf 02 00 00 00 00 00 00 b8 01 00 00 00 00 00 00 00 00 00 00 a0 02 00 00 c0 02 00 00	................................
3320	7c 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 46 01 00 00 00 00 00 00	\|.......................F.......
3340	00 00 00 00 f1 00 00 00 00 00 00 00 26 02 00 00 c3 01 00 00 9e 00 00 00 00 00 00 00 78 00 00 00	............&...............x...
3360	74 02 00 00 1e 03 00 00 00 00 00 00 74 00 00 00 0b 03 00 00 03 00 00 00 3f 01 00 00 a3 02 00 00	t...........t...........?.......
3380	32 01 00 00 45 00 00 00 c3 00 00 00 00 00 00 00 40 02 00 00 00 00 00 00 00 00 00 00 e2 02 00 00	2...E...........@...............
33a0	19 00 00 00 00 00 00 00 38 02 00 00 00 00 00 00 8b 00 00 00 55 02 00 00 00 00 00 00 d6 00 00 00	........8...........U...........
33c0	0b 01 00 00 ef 02 00 00 4c 00 00 00 3d 02 00 00 6e 02 00 00 00 00 00 00 9f 02 00 00 76 00 00 00	........L...=...n...........v...
33e0	3a 00 00 00 e3 01 00 00 00 00 00 00 6d 02 00 00 c2 01 00 00 45 01 00 00 00 00 00 00 3d 00 00 00	:...........m.......E.......=...
3400	6a 02 00 00 b4 01 00 00 0e 00 00 00 52 01 00 00 d3 02 00 00 36 00 00 00 0b 00 00 00 df 01 00 00	j...........R.......6...........
3420	43 02 00 00 fc 00 00 00 81 00 00 00 0f 00 00 00 09 00 00 00 00 00 00 00 04 01 00 00 2f 01 00 00	C.........................../...
3440	05 03 00 00 f8 00 00 00 7f 02 00 00 00 00 00 00 e8 02 00 00 be 02 00 00 00 00 00 00 80 02 00 00	................................
3460	21 01 00 00 00 00 00 00 9f 01 00 00 ed 00 00 00 b7 01 00 00 11 00 00 00 00 00 00 00 23 01 00 00	!...........................#...
3480	e9 00 00 00 d6 02 00 00 63 00 00 00 00 00 00 00 a2 01 00 00 00 00 00 00 20 01 00 00 49 02 00 00	........c...................I...
34a0	00 00 00 00 f4 01 00 00 95 00 00 00 10 03 00 00 ab 01 00 00 b9 00 00 00 00 00 00 00 62 02 00 00	............................b...
34c0	00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 cc 01 00 00 00 00 00 00 0d 01 00 00	................................
34e0	f9 02 00 00 81 01 00 00 4a 00 00 00 04 03 00 00 90 00 00 00 99 02 00 00 4c 01 00 00 33 01 00 00	........J...............L...3...
3500	30 02 00 00 13 00 00 00 ed 01 00 00 50 02 00 00 42 00 00 00 cd 02 00 00 e4 00 00 00 00 00 00 00	0...........P...B...............
3520	00 00 00 00 db 00 00 00 1d 02 00 00 9a 02 00 00 7b 02 00 00 00 00 00 00 0a 01 00 00 65 00 00 00	................{...........e...
3540	00 00 00 00 c9 01 00 00 00 00 00 00 21 00 00 00 1a 00 00 00 5b 02 00 00 06 03 00 00 b3 00 00 00	............!.......[...........
3560	00 00 00 00 5e 01 00 00 b7 02 00 00 67 02 00 00 43 01 00 00 00 00 00 00 3c 02 00 00 e0 02 00 00	....^.......g...C.......<.......
3580	41 01 00 00 90 02 00 00 00 00 00 00 41 02 00 00 cd 00 00 00 4c 02 00 00 b1 01 00 00 09 03 00 00	A...........A.......L...........
35a0	cf 01 00 00 d5 01 00 00 c5 00 00 00 00 00 00 00 71 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00	................q...............
35c0	b9 01 00 00 f6 02 00 00 30 01 00 00 08 00 00 00 5b 00 00 00 00 00 00 00 f3 02 00 00 00 00 00 00	........0.......[...............
35e0	e6 00 00 00 de 01 00 00 f8 01 00 00 0c 03 00 00 94 00 00 00 a3 00 00 00 00 00 00 00 13 01 00 00	................................
3600	d4 01 00 00 d6 01 00 00 d8 01 00 00 a5 02 00 00 00 00 00 00 f3 00 00 00 1c 02 00 00 98 01 00 00	................................
3620	91 01 00 00 9e 02 00 00 43 00 00 00 00 00 00 00 00 00 00 00 1c 00 00 00 55 01 00 00 dc 02 00 00	........C...............U.......
3640	8d 01 00 00 8a 01 00 00 9e 01 00 00 00 00 00 00 99 00 00 00 eb 00 00 00 7c 00 00 00 da 02 00 00	........................\|.......
3660	cf 00 00 00 b6 02 00 00 00 00 00 00 00 00 00 00 cc 02 00 00 3f 02 00 00 e6 01 00 00 00 00 00 00	....................?...........
3680	66 01 00 00 00 00 00 00 00 00 00 00 44 02 00 00 18 01 00 00 05 01 00 00 00 00 00 00 f7 02 00 00	f...........D...................
36a0	19 03 00 00 00 00 00 00 bd 02 00 00 d9 00 00 00 ea 02 00 00 ff 00 00 00 00 00 00 00 b0 01 00 00	................................
36c0	82 02 00 00 00 00 00 00 61 00 00 00 00 00 00 00 13 02 00 00 c1 00 00 00 c6 02 00 00 00 00 00 00	........a.......................
36e0	4d 01 00 00 00 00 00 00 e9 01 00 00 18 00 00 00 00 00 00 00 00 00 00 00 65 02 00 00 74 01 00 00	M.......................e...t...
3700	6e 01 00 00 8c 00 00 00 e0 00 00 00 00 00 00 00 2a 01 00 00 00 00 00 00 1e 00 00 00 01 01 00 00	n...............*...............
3720	00 00 00 00 c4 01 00 00 c0 01 00 00 ad 00 00 00 2e 00 00 00 bb 00 00 00 1b 00 00 00 62 00 00 00	............................b...
3740	00 00 00 00 28 00 00 00 ac 01 00 00 51 00 00 00 fa 01 00 00 ef 00 00 00 fb 01 00 00 c4 02 00 00	....(.......Q...................
3760	48 00 00 00 b5 00 00 00 d5 02 00 00 83 01 00 00 a8 01 00 00 79 00 00 00 ca 01 00 00 fd 01 00 00	H...................y...........
3780	17 03 00 00 7f 00 00 00 e7 02 00 00 77 00 00 00 42 01 00 00 fe 00 00 00 00 00 00 00 00 00 00 00	............w...B...............
37a0	00 00 00 00 88 02 00 00 ad 01 00 00 7f 01 00 00 4e 01 00 00 00 00 00 00 00 00 00 00 0f 03 00 00	................N...............
37c0	16 00 00 00 7d 01 00 00 e8 00 00 00 1a 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 81 02 00 00	....}...........................
37e0	12 03 00 00 16 03 00 00 8c 02 00 00 9b 01 00 00 11 02 00 00 00 00 00 00 a5 01 00 00 00 01 00 00	................................
3800	00 00 00 00 00 00 00 00 5d 01 00 00 00 00 00 00 ee 00 00 00 7a 01 00 00 00 03 00 00 12 00 00 00	........]...........z...........
3820	00 00 00 00 18 02 00 00 15 03 00 00 87 02 00 00 00 00 00 00 00 00 00 00 53 01 00 00 b2 02 00 00	........................S.......
3840	56 01 00 00 00 00 00 00 fb 02 00 00 31 01 00 00 00 00 00 00 93 00 00 00 00 00 00 00 2b 02 00 00	V...........1...............+...
3860	aa 00 00 00 98 02 00 00 26 00 00 00 f0 01 00 00 00 00 00 00 10 01 00 00 cc 00 00 00 6a 01 00 00	........&...................j...
3880	96 00 00 00 00 00 00 00 d8 02 00 00 86 01 00 00 3e 00 00 00 ce 00 00 00 eb 02 00 00 87 00 00 00	................>...............
38a0	d3 01 00 00 f9 01 00 00 46 02 00 00 44 01 00 00 3e 02 00 00 00 00 00 00 00 00 00 00 89 01 00 00	........F...D...>...............
38c0	00 00 00 00 61 01 00 00 00 00 00 00 00 00 00 00 5c 00 00 00 b8 00 00 00 00 00 00 00 f0 00 00 00	....a...........\...............
38e0	63 02 00 00 68 02 00 00 9c 00 00 00 a6 00 00 00 05 00 00 00 5f 00 00 00 db 01 00 00 be 00 00 00	c...h..............._...........
3900	40 01 00 00 00 00 00 00 28 02 00 00 14 00 00 00 00 00 00 00 ce 02 00 00 a4 00 00 00 d2 02 00 00	@.......(.......................
3920	8f 00 00 00 00 00 00 00 00 00 00 00 47 01 00 00 f5 01 00 00 47 02 00 00 de 02 00 00 2d 02 00 00	............G.......G.......-...
3940	6d 00 00 00 49 00 00 00 32 02 00 00 4e 02 00 00 00 00 00 00 1e 02 00 00 54 00 00 00 19 01 00 00	m...I...2...N...........T.......
3960	5a 01 00 00 16 01 00 00 00 00 00 00 13 03 00 00 83 00 00 00 a5 00 00 00 da 01 00 00 96 01 00 00	Z...............................
3980	28 01 00 00 fe 02 00 00 00 00 00 00 a2 00 00 00 00 00 00 00 6b 00 00 00 00 00 00 00 00 00 00 00	(...................k...........
39a0	62 01 00 00 ae 02 00 00 c4 00 00 00 93 01 00 00 00 00 00 00 80 00 00 00 00 00 00 00 14 03 00 00	b...............................
39c0	33 00 00 00 bb 01 00 00 2b 00 00 00 00 00 00 00 f2 02 00 00 d0 02 00 00 be 01 00 00 00 00 00 00	3.......+.......................
39e0	25 00 00 00 94 01 00 00 f4 02 00 00 8b 02 00 00 3f 00 00 00 7c 02 00 00 00 00 00 00 85 01 00 00	%...............?...\|...........
3a00	02 03 00 00 0d 02 00 00 00 00 00 00 00 00 00 00 1f 01 00 00 b2 01 00 00 00 00 00 00 a2 02 00 00	................................
3a20	ae 00 00 00 97 01 00 00 f3 01 00 00 d8 00 00 00 d9 02 00 00 a8 02 00 00 00 00 00 00 78 02 00 00	............................x...
3a40	00 00 00 00 91 02 00 00 dd 01 00 00 a4 01 00 00 73 00 00 00 00 00 00 00 e4 02 00 00 c8 00 00 00	................s...............
3a60	00 00 00 00 fe 01 00 00 e1 02 00 00 5d 00 00 00 17 02 00 00 c6 01 00 00 00 00 00 00 e1 00 00 00	............]...................
3a80	76 01 00 00 8c 01 00 00 8b 01 00 00 7e 02 00 00 ca 00 00 00 e5 01 00 00 c8 02 00 00 7a 02 00 00	v...........~...............z...
3aa0	72 00 00 00 bc 02 00 00 1d 01 00 00 00 00 00 00 86 02 00 00 6c 01 00 00 d0 01 00 00 5c 02 00 00	r...................l.......\...
3ac0	7b 01 00 00 ac 00 00 00 a7 02 00 00 00 00 00 00 32 00 00 00 34 00 00 00 60 01 00 00 00 00 00 00	{...............2...4...`.......
3ae0	00 00 00 00 fa 02 00 00 00 00 00 00 00 00 00 00 2e 02 00 00 a6 02 00 00 82 01 00 00 e6 02 00 00	................................
3b00	2a 00 00 00 00 00 00 00 90 01 00 00 75 01 00 00 00 00 00 00 5c 01 00 00 92 01 00 00 a4 02 00 00	*...........u.......\...........
3b20	6e 00 00 00 c7 01 00 00 8a 00 00 00 58 01 00 00 77 01 00 00 1d 03 00 00 1c 03 00 00 b4 02 00 00	n...........X...w...............
3b40	07 01 00 00 bd 01 00 00 66 00 00 00 9a 01 00 00 bf 01 00 00 6f 02 00 00 87 01 00 00 6a 00 00 00	........f...........o.......j...
3b60	52 02 00 00 05 02 00 00 f7 01 00 00 84 01 00 00 af 01 00 00 02 02 00 00 4a 01 00 00 00 00 00 00	R.......................J.......
3b80	09 01 00 00 00 00 00 00 ec 01 00 00 c7 00 00 00 00 00 00 00 59 02 00 00 00 00 00 00 00 00 00 00	....................Y...........
3ba0	95 02 00 00 36 01 00 00 00 00 00 00 08 03 00 00 4f 01 00 00 3b 00 00 00 00 00 00 00 57 01 00 00	....6...........O...;.......W...
3bc0	1b 03 00 00 00 00 00 00 00 00 00 00 60 00 00 00 3c 00 00 00 51 01 00 00 22 01 00 00 72 02 00 00	............`...<...Q..."...r...
3be0	00 00 00 00 10 02 00 00 2f 02 00 00 aa 01 00 00 00 00 00 00 97 02 00 00 00 00 00 00 00 00 00 00	......../.......................
3c00	51 02 00 00 69 01 00 00 00 00 00 00 e3 02 00 00 d3 00 00 00 00 00 00 00 91 00 00 00 a9 01 00 00	Q...i...........................
3c20	f2 01 00 00 0e 02 00 00 00 00 00 00 7a 00 00 00 4b 00 00 00 00 00 00 00 8f 01 00 00 00 00 00 00	............z...K...............
3c40	68 00 00 00 00 00 00 00 00 00 00 00 15 02 00 00 eb 01 00 00 23 02 00 00 9c 02 00 00 2e 01 00 00	h...................#...........
3c60	df 02 00 00 00 00 00 00 03 03 00 00 59 00 00 00 37 02 00 00 ea 00 00 00 b6 01 00 00 03 01 00 00	............Y...7...............
3c80	00 00 00 00 00 00 00 00 21 02 00 00 e7 00 00 00 84 02 00 00 65 01 00 00 60 02 00 00 f9 00 00 00	........!...........e...`.......
3ca0	fa 00 00 00 00 00 00 00 3d 01 00 00 00 00 00 00 b9 02 00 00 d7 00 00 00 26 01 00 00 00 00 00 00	........=...............&.......
3cc0	00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 d0 00 00 00 5d 02 00 00 00 00 00 00 ff 02 00 00	....................]...........
3ce0	b6 00 00 00 86 00 00 00 2f 00 00 00 17 00 00 00 0d 03 00 00 00 00 00 00 75 00 00 00 b0 00 00 00	......../...............u.......
3d00	dc 00 00 00 00 00 00 00 ea 01 00 00 8f 02 00 00 3b 01 00 00 14 01 00 00 00 00 00 00 4e 00 00 00	................;...........N...
3d20	00 00 00 00 00 00 00 00 00 00 00 00 d2 00 00 00 00 00 00 00 00 00 00 00 42 02 00 00 00 00 00 00	........................B.......
3d40	00 00 00 00 e5 02 00 00 93 02 00 00 00 00 00 00 fb 00 00 00 4b 01 00 00 00 00 00 00 15 01 00 00	....................K...........
3d60	00 00 00 00 dc 01 00 00 3e 01 00 00 a6 01 00 00 ce 01 00 00 00 00 00 00 f6 01 00 00 00 00 00 00	........>.......................
3d80	a0 01 00 00 15 00 00 00 70 00 00 00 d4 00 00 00 b4 00 00 00 00 00 00 00 b3 01 00 00 00 00 00 00	........p.......................
3da0	ec 00 00 00 56 00 00 00 9b 00 00 00 00 00 00 00 00 00 00 00 48 02 00 00 00 00 00 00 00 00 00 00	....V...............H...........
3dc0	c8 01 00 00 89 02 00 00 2b 01 00 00 36 02 00 00 00 00 00 00 3b 02 00 00 7e 01 00 00 ae 01 00 00	........+...6.......;...~.......
3de0	a9 00 00 00 00 00 00 00 5b 01 00 00 00 00 00 00 00 00 00 00 04 00 00 00 af 02 00 00 b1 02 00 00	........[.......................
3e00	24 02 00 00 9d 00 00 00 67 00 00 00 f7 00 00 00 29 01 00 00 47 00 00 00 35 01 00 00 b5 01 00 00	$.......g.......)...G...5.......
3e20	e9 02 00 00 cb 00 00 00 00 00 00 00 bb 02 00 00 9a 00 00 00 ee 02 00 00 6c 02 00 00 b1 00 00 00	........................l.......
3e40	9d 01 00 00 c2 02 00 00 92 00 00 00 6b 01 00 00 e1 01 00 00 9d 02 00 00 e2 00 00 00 4f 02 00 00	............k...............O...
3e60	00 00 00 00 f6 00 00 00 22 02 00 00 00 00 00 00 58 02 00 00 29 02 00 00 00 00 00 00 b2 00 00 00	........".......X...)...........
3e80	c1 01 00 00 d1 02 00 00 1d 00 00 00 39 01 00 00 00 00 00 00 76 02 00 00 01 03 00 00 00 00 00 00	............9.......v...........
3ea0	00 00 00 00 77 02 00 00 6f 00 00 00 a8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 34 02 00 00	....w...o...................4...
3ec0	06 02 00 00 00 00 00 00 ef 01 00 00 0d 00 00 00 00 00 00 00 69 02 00 00 00 00 00 00 00 00 00 00	....................i...........
3ee0	37 01 00 00 0f 01 00 00 16 02 00 00 7d 02 00 00 02 00 00 00 b0 02 00 00 4d 02 00 00 00 00 00 00	7...........}...........M.......
3f00	55 00 00 00 fc 02 00 00 cf 02 00 00 30 00 00 00 23 00 00 00 22 00 00 00 00 00 00 00 59 01 00 00	U...........0...#...".......Y...
3f20	11 03 00 00 0a 02 00 00 5e 00 00 00 f4 00 00 00 79 02 00 00 00 00 00 00 3a 01 00 00 07 00 00 00	........^.......y.......:.......
3f40	d5 00 00 00 bf 00 00 00 38 01 00 00 00 00 00 00 64 00 00 00 39 02 00 00 00 00 00 00 6b 02 00 00	........8.......d...9.......k...
3f60	c5 02 00 00 50 01 00 00 63 01 00 00 20 02 00 00 2c 00 00 00 2d 00 00 00 0f 02 00 00 ad 02 00 00	....P...c.......,...-...........
3f80	00 00 00 00 0a 00 00 00 00 00 00 00 19 02 00 00 39 00 00 00 00 00 00 00 71 01 00 00 ee 01 00 00	................9.......q.......
3fa0	31 02 00 00 ff 01 00 00 0e 03 00 00 8e 02 00 00 44 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00	1...............D...............
3fc0	5e 02 00 00 1f 02 00 00 2c 01 00 00 d4 02 00 00 54 02 00 00 00 00 00 00 4a 02 00 00 d7 02 00 00	^.......,.......T.......J.......
3fe0	00 00 00 00 00 00 00 00 1a 01 00 00 bc 01 00 00 00 00 00 00 8a 02 00 00 17 01 00 00 7b 00 00 00	............................{...
4000	00 00 00 00 3a 02 00 00 00 00 00 00 c1 02 00 00 00 00 00 00 37 00 00 00 00 00 00 00 00 00 00 00	....:...............7...........
4020	c7 02 00 00 75 02 00 00 00 00 00 00 06 01 00 00 de 00 00 00 01 02 00 00 88 01 00 00 57 00 00 00	....u.......................W...
4040	52 00 00 00 9f 00 00 00 2d 01 00 00 bd 00 00 00 f2 00 00 00 70 02 00 00 00 00 00 00 08 02 00 00	R.......-...........p...........
4060	80 01 00 00 00 00 00 00 07 03 00 00 70 01 00 00 96 02 00 00 ec 02 00 00 07 02 00 00 00 00 00 00	............p...................
4080	45 02 00 00 f5 02 00 00 71 00 00 00 00 00 00 00 a3 01 00 00 6c 00 00 00 33 02 00 00 12 02 00 00	E.......q...........l...3.......
40a0	00 00 00 00 00 00 00 00 98 00 00 00 00 00 00 00 41 00 00 00 1b 02 00 00 00 00 00 00 d2 01 00 00	................A...............
40c0	53 02 00 00 1a 03 00 00 7e 00 00 00 97 00 00 00 48 01 00 00 64 01 00 00 06 00 00 00 1b 01 00 00	S.......~.......H...d...........
40e0	1c 01 00 00 31 00 00 00 0c 02 00 00 00 00 00 00 00 00 00 00 12 01 00 00 00 00 00 00 ac 02 00 00	....1...........................
4100	2c 02 00 00 99 01 00 00 00 00 00 00 f8 02 00 00 10 00 00 00 54 01 00 00 14 02 00 00 18 03 00 00	,...................T...........
4120	e0 01 00 00 c9 02 00 00 1e 01 00 00 03 02 00 00 27 00 00 00 25 01 00 00 00 00 00 00 00 00 00 00	................'...%...........
4140	0c 01 00 00 38 00 00 00 6f 01 00 00 49 01 00 00 11 01 00 00 85 02 00 00 00 00 00 00 00 02 00 00	....8...o...I...................
4160	00 00 00 00 df 00 00 00 00 00 00 00 f5 00 00 00 85 00 00 00 00 00 00 00 e5 00 00 00 29 00 00 00	............................)...
4180	20 00 00 00 00 00 00 00 cb 01 00 00 09 02 00 00 c3 02 00 00 00 00 00 00 00 00 00 00 b8 02 00 00	................................
41a0	73 02 00 00 25 02 00 00 9c 01 00 00 00 00 00 00 0a 03 00 00 24 01 00 00 8d 02 00 00 00 00 00 00	s...%...............$...........
41c0	c2 00 00 00 00 00 00 00 ba 01 00 00 a1 00 00 00 35 00 00 00 40 00 00 00 4f 00 00 00 69 00 00 00	................5...@...O...i...
41e0	4d 00 00 00 d7 01 00 00 d1 01 00 00 53 00 00 00 04 02 00 00 27 01 00 00 00 00 00 00 b3 02 00 00	M...........S.......'...........
4200	00 00 00 00 00 00 00 00 79 01 00 00 dd 00 00 00 1f 03 00 00 6d 01 00 00 00 00 00 00 e2 01 00 00	........y...........m...........
4220	ab 00 00 00 aa 02 00 00 61 02 00 00 b5 02 00 00 a7 00 00 00 56 02 00 00 bc 00 00 00 5f 01 00 00	........a...........V......._...
4240	fc 01 00 00 00 00 00 00 f1 02 00 00 27 02 00 00 b7 00 00 00 50 00 00 00 24 00 00 00 e7 01 00 00	............'.......P...$.......
4260	5a 00 00 00 a9 02 00 00 9b 02 00 00 00 00 00 00 88 00 00 00 89 00 00 00 95 01 00 00 a7 01 00 00	Z...............................
4280	ba 00 00 00 1f 00 00 00 a0 00 00 00 00 00 00 00 af 00 00 00 72 01 00 00 dd 02 00 00 cb 02 00 00	....................r...........
42a0	35 02 00 00 e8 01 00 00 83 02 00 00 00 00 00 00 da 00 00 00 00 00 00 00 db 02 00 00 ba 02 00 00	5...............................
42c0	00 27 27 49 74 20 69 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 6e 6f 74 65 2c 20 74 68 61 74	.''It.is.important.to.note,.that
42e0	20 79 6f 75 20 64 6f 20 6e 6f 74 20 77 61 6e 74 20 74 6f 20 61 64 64 20 6c 6f 67 67 69 6e 67 20	.you.do.not.want.to.add.logging.
4300	74 6f 20 74 68 65 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 74 61 74 65 20 72 75 6c 65 20 61 73	to.the.established.state.rule.as
4320	20 79 6f 75 20 77 69 6c 6c 20 62 65 20 6c 6f 67 67 69 6e 67 20 62 6f 74 68 20 74 68 65 20 69 6e	.you.will.be.logging.both.the.in
4340	62 6f 75 6e 64 20 61 6e 64 20 6f 75 74 62 6f 75 6e 64 20 70 61 63 6b 65 74 73 20 66 6f 72 20 65	bound.and.outbound.packets.for.e
4360	61 63 68 20 73 65 73 73 69 6f 6e 20 69 6e 73 74 65 61 64 20 6f 66 20 6a 75 73 74 20 74 68 65 20	ach.session.instead.of.just.the.
4380	69 6e 69 74 69 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 73 65 73 73 69 6f 6e 2e 20 59 6f 75 72 20	initiation.of.the.session..Your.
43a0	6c 6f 67 73 20 77 69 6c 6c 20 62 65 20 6d 61 73 73 69 76 65 20 69 6e 20 61 20 76 65 72 79 20 73	logs.will.be.massive.in.a.very.s
43c0	68 6f 72 74 20 70 65 72 69 6f 64 20 6f 66 20 74 69 6d 65 2e 27 27 00 2a 2a 49 6d 70 6f 72 74 61	hort.period.of.time.''.**Importa
43e0	6e 74 2a 2a 3a 20 41 64 64 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 74 6f 20	nt**:.Add.an.interface.route.to.
4400	72 65 61 63 68 20 41 7a 75 72 65 27 73 20 42 47 50 20 6c 69 73 74 65 6e 65 72 00 2a 2a 49 6d 70	reach.Azure's.BGP.listener.**Imp
4420	6f 72 74 61 6e 74 2a 2a 3a 20 41 64 64 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65	ortant**:.Add.an.interface.route
4440	20 74 6f 20 72 65 61 63 68 20 62 6f 74 68 20 41 7a 75 72 65 27 73 20 42 47 50 20 6c 69 73 74 65	.to.reach.both.Azure's.BGP.liste
4460	6e 65 72 73 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73 61 62 6c 65 20 63 6f 6e 6e	ners.Important:.Disable.conn
4480	65 63 74 65 64 20 63 68 65 63 6b 20 5c 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73	ected.check.\.Important:.Dis
44a0	61 62 6c 65 20 63 6f 6e 6e 65 63 74 65 64 20 63 68 65 63 6b 2c 20 6f 74 68 65 72 77 69 73 65 20	able.connected.check,.otherwise.
44c0	74 68 65 20 72 6f 75 74 65 73 20 6c 65 61 72 6e 65 64 20 66 72 6f 6d 20 41 7a 75 72 65 20 77 69	the.routes.learned.from.Azure.wi
44e0	6c 6c 20 6e 6f 74 20 62 65 20 69 6d 70 6f 72 74 65 64 20 69 6e 74 6f 20 74 68 65 20 72 6f 75 74	ll.not.be.imported.into.the.rout
4500	69 6e 67 20 74 61 62 6c 65 2e 00 2a 2a 4e 4f 54 45 3a 2a 2a 20 56 79 4f 53 20 52 6f 75 74 65 72	ing.table..NOTE:.VyOS.Router
4520	20 28 74 65 73 74 65 64 20 77 69 74 68 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32	.(tested.with.VyOS.1.4-rolling-2
4540	30 32 31 31 30 33 31 30 33 31 37 29 20 e2 80 93 20 20 54 68 65 20 63 6f 6e 66 69 67 75 72 61 74	02110310317)......The.configurat
4560	69 6f 6e 73 20 62 65 6c 6f 77 20 61 72 65 20 73 70 65 63 69 66 69 63 61 6c 6c 79 20 66 6f 72 20	ions.below.are.specifically.for.
4580	56 79 4f 53 20 31 2e 34 2e 78 2e 00 2a 2a 4e 6f 74 65 3a 2a 2a 20 41 74 20 74 68 65 20 6d 6f 6d	VyOS.1.4.x..Note:.At.the.mom
45a0	65 6e 74 2c 20 74 72 61 63 65 20 6d 70 6c 73 20 64 6f 65 73 6e e2 80 99 74 20 73 68 6f 77 20 6c	ent,.trace.mpls.doesn...t.show.l
45c0	61 62 65 6c 73 2f 70 61 74 68 73 2e 20 53 6f 20 77 65 e2 80 99 6c 6c 20 73 65 65 20 2a 20 2a 20	abels/paths..So.we...ll.see...
45e0	2a 20 20 66 6f 72 20 74 68 65 20 74 72 61 6e 73 69 74 20 72 6f 75 74 65 72 73 20 6f 66 20 74 68	*..for.the.transit.routers.of.th
4600	65 20 6d 70 6c 73 20 62 61 63 6b 62 6f 6e 65 2e 00 2a 2a 54 68 69 73 20 73 70 65 63 69 66 69 63	e.mpls.backbone..**This.specific
4620	20 65 78 61 6d 70 6c 65 20 69 73 20 66 6f 72 20 61 20 72 6f 75 74 65 72 20 6f 6e 20 61 20 73 74	.example.is.for.a.router.on.a.st
4640	69 63 6b 2c 20 62 75 74 20 69 73 20 76 65 72 79 20 65 61 73 69 6c 79 20 61 64 61 70 74 65 64 20	ick,.but.is.very.easily.adapted.
4660	66 6f 72 20 68 6f 77 65 76 65 72 20 6d 61 6e 79 20 4e 49 43 73 20 79 6f 75 20 68 61 76 65 2a 2a	for.however.many.NICs.you.have**
4680	3a 00 2a 2a 56 69 72 74 75 61 6c 20 52 6f 75 74 69 6e 67 20 61 6e 64 20 46 6f 72 77 61 72 64 69	:.**Virtual.Routing.and.Forwardi
46a0	6e 67 2a 2a 20 69 73 20 61 20 74 65 63 68 6e 6f 6c 6f 67 79 20 74 68 61 74 20 61 6c 6c 6f 77 20	ng**.is.a.technology.that.allow.
46c0	6d 75 6c 74 69 70 6c 65 20 69 6e 73 74 61 6e 63 65 20 6f 66 20 61 20 72 6f 75 74 69 6e 67 20 74	multiple.instance.of.a.routing.t
46e0	61 62 6c 65 20 74 6f 20 65 78 69 73 74 20 77 69 74 68 69 6e 20 61 20 73 69 6e 67 6c 65 20 64 65	able.to.exist.within.a.single.de
4700	76 69 63 65 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 6b 65 79 20 61 73 70 65 63 74 20 6f 66 20 2a	vice..One.of.the.key.aspect.of.*
4720	2a 56 52 46 73 2a 2a 20 69 73 20 74 68 61 74 20 64 6f 20 6e 6f 74 20 73 68 61 72 65 20 74 68 65	VRFs*.is.that.do.not.share.the
4740	20 73 61 6d 65 20 72 6f 75 74 65 73 20 6f 72 20 69 6e 74 65 72 66 61 63 65 73 2c 20 74 68 65 72	.same.routes.or.interfaces,.ther
4760	65 66 6f 72 65 20 70 61 63 6b 65 74 73 20 61 72 65 20 66 6f 72 77 61 72 64 65 64 20 62 65 74 77	efore.packets.are.forwarded.betw
4780	65 65 6e 20 69 6e 74 65 72 66 61 63 65 73 20 74 68 61 74 20 62 65 6c 6f 6e 67 20 74 6f 20 74 68	een.interfaces.that.belong.to.th
47a0	65 20 73 61 6d 65 20 56 52 46 20 6f 6e 6c 79 2e 00 2a 2a 6f 66 66 73 69 74 65 31 2a 2a 00 2a 2a	e.same.VRF.only..offsite1.**
47c0	72 6f 75 74 65 72 31 2a 2a 00 2a 2a 72 6f 75 74 65 72 32 2a 2a 00 31 30 2e 30 2e 30 2e 30 2f 31	router1.router2**.10.0.0.0/1
47e0	36 00 31 30 2e 30 2e 30 2e 34 00 31 30 2e 30 2e 30 2e 34 2c 31 30 2e 30 2e 30 2e 35 00 31 30 2e	6.10.0.0.4.10.0.0.4,10.0.0.5.10.
4800	31 2e 31 2e 30 2f 33 30 00 31 30 2e 31 30 2e 30 2e 30 2f 31 36 00 31 30 2e 31 30 2e 30 2e 35 00	1.1.0/30.10.10.0.0/16.10.10.0.5.
4820	31 30 2e 32 2e 32 2e 30 2f 33 30 00 31 30 2e 35 30 2e 35 30 2e 31 3a 31 30 31 31 00 31 30 2e 36	10.2.2.0/30.10.50.50.1:1011.10.6
4840	30 2e 36 30 2e 31 3a 31 30 31 31 00 31 30 2e 38 30 2e 38 30 2e 31 3a 31 30 31 31 00 31 30 30 3a	0.60.1:1011.10.80.80.1:1011.100:
4860	20 27 50 75 62 6c 69 63 27 20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67 20 6f 75 72 20 32 30 33	.'Public'.network,.using.our.203
4880	2e 30 2e 31 31 33 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2e 00 31 37 32 2e 31 36 2e 32 2e 30 2f	.0.113.0/24.network..172.16.2.0/
48a0	33 30 00 31 37 32 2e 31 37 2e 31 2e 32 20 43 53 30 20 2d 3e 20 43 53 34 00 31 37 32 2e 31 37 2e	30.172.17.1.2.CS0.->.CS4.172.17.
48c0	31 2e 32 2f 32 34 20 43 53 30 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 30 20 2d 20 3e	1.2/24.CS0.172.17.1.2/24.CS0.-.>
48e0	20 43 53 34 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 34 20 2d 20 3e 20 43 53 35 00 31	.CS4.172.17.1.2/24.CS4.-.>.CS5.1
4900	37 32 2e 31 37 2e 31 2e 33 20 43 53 30 20 2d 3e 20 43 53 35 00 31 37 32 2e 31 37 2e 31 2e 34 20	72.17.1.3.CS0.->.CS5.172.17.1.4.
4920	43 53 30 20 2d 3e 20 43 53 36 00 31 37 32 2e 31 37 2e 31 2e 34 30 20 43 53 30 20 62 79 20 64 65	CS0.->.CS6.172.17.1.40.CS0.by.de
4940	66 61 75 6c 74 00 31 39 32 2e 31 36 38 2e 31 30 30 2e 31 30 2f 32 30 30 31 3a 30 44 42 38 3a 30	fault.192.168.100.10/2001:0DB8:0
4960	3a 41 41 41 41 3a 3a 31 30 20 69 73 20 74 68 65 20 61 64 6d 69 6e 69 73 74 72 61 74 6f 72 27 73	:AAAA::10.is.the.administrator's
4980	20 63 6f 6e 73 6f 6c 65 2e 20 49 74 20 63 61 6e 20 53 53 48 20 74 6f 20 56 79 4f 53 2e 00 31 39	.console..It.can.SSH.to.VyOS..19
49a0	32 2e 31 36 38 2e 32 30 30 2e 32 30 30 2f 32 30 30 31 3a 30 44 42 38 3a 30 3a 42 42 42 42 3a 3a	2.168.200.200/2001:0DB8:0:BBBB::
49c0	32 30 30 20 69 73 20 61 6e 20 69 6e 74 65 72 6e 61 6c 2f 65 78 74 65 72 6e 61 6c 20 44 4e 53 2c	200.is.an.internal/external.DNS,
49e0	20 77 65 62 20 61 6e 64 20 6d 61 69 6c 20 28 53 4d 54 50 2f 49 4d 41 50 29 20 73 65 72 76 65 72	.web.and.mail.(SMTP/IMAP).server
4a00	2e 00 31 39 32 2e 31 36 38 2e 33 2e 30 2f 33 30 00 31 39 38 2e 35 31 2e 31 30 30 2e 33 00 32 20	..192.168.3.0/30.198.51.100.3.2.
4a20	70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20 6f 6e 20 65 61 63 68 20 73 69 74 65 2e 00 32 20	private.subnets.on.each.site..2.
4a40	78 20 52 6f 75 74 65 20 72 65 66 6c 65 63 74 6f 72 73 20 28 56 79 4f 53 2d 52 52 78 29 00 32 30	x.Route.reflectors.(VyOS-RRx).20
4a60	30 31 3a 64 62 38 3a 3a 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 32 2f 31 32 37 00 32 30 30	01:db8::/127.2001:db8::2/127.200
4a80	31 3a 64 62 38 3a 3a 34 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 36 2f 31 32 37 00 32 30 31	1:db8::4/127.2001:db8::6/127.201
4aa0	3a 20 27 49 6e 74 65 72 6e 61 6c 27 20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67 20 31 30 2e 32	:.'Internal'.network,.using.10.2
4ac0	30 30 2e 32 30 31 2e 30 2f 32 34 00 32 30 33 2e 30 2e 31 31 33 2e 32 00 32 30 33 2e 30 2e 31 31	00.201.0/24.203.0.113.2.203.0.11
4ae0	33 2e 33 00 33 20 78 20 43 75 73 74 6f 6d 65 72 20 45 64 67 65 20 28 56 79 4f 53 2d 43 45 78 29	3.3.3.x.Customer.Edge.(VyOS-CEx)
4b00	00 33 20 78 20 50 72 6f 76 69 64 65 72 20 45 64 67 65 20 28 56 79 4f 73 2d 50 45 78 29 00 34 20	.3.x.Provider.Edge.(VyOs-PEx).4.
4b20	78 20 50 72 6f 76 69 64 65 72 20 72 6f 75 74 65 72 73 20 28 56 79 4f 53 2d 50 78 29 00 35 30 3a	x.Provider.routers.(VyOS-Px).50:
4b40	20 55 70 73 74 72 65 61 6d 2c 20 75 73 69 6e 67 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32	.Upstream,.using.the.192.0.2.0/2
4b60	34 20 6e 65 74 77 6f 72 6b 20 61 6c 6c 6f 63 61 74 65 64 20 62 79 20 74 68 65 6d 2e 00 36 34 34	4.network.allocated.by.them..644
4b80	39 36 3a 31 00 36 34 34 39 36 3a 31 30 30 00 36 34 34 39 36 3a 32 00 36 34 34 39 36 3a 35 30 00	96:1.64496:100.64496:2.64496:50.
4ba0	36 34 34 39 39 00 36 35 30 33 35 3a 31 30 31 31 00 36 35 30 33 35 3a 31 30 31 31 20 36 35 30 33	64499.65035:1011.65035:1011.6503
4bc0	35 3a 31 30 33 30 00 36 35 30 33 35 3a 31 30 33 30 00 36 35 35 34 30 00 41 20 62 72 69 65 66 20	5:1030.65035:1030.65540.A.brief.
4be0	65 78 63 75 72 73 69 6f 6e 20 69 6e 74 6f 20 56 52 46 73 3a 20 54 68 69 73 20 68 61 73 20 62 65	excursion.into.VRFs:.This.has.be
4c00	65 6e 20 6f 6e 65 20 6f 66 20 74 68 65 20 6c 6f 6e 67 65 73 74 2d 73 74 61 6e 64 69 6e 67 20 66	en.one.of.the.longest-standing.f
4c20	65 61 74 75 72 65 20 72 65 71 75 65 73 74 73 20 6f 66 20 56 79 4f 53 20 28 64 61 74 69 6e 67 20	eature.requests.of.VyOS.(dating.
4c40	62 61 63 6b 20 74 6f 20 32 30 31 36 29 20 77 68 69 63 68 20 63 61 6e 20 62 65 20 64 65 73 63 72	back.to.2016).which.can.be.descr
4c60	69 62 65 64 20 61 73 20 22 61 20 56 4c 41 4e 20 66 6f 72 20 6c 61 79 65 72 20 32 20 69 73 20 77	ibed.as."a.VLAN.for.layer.2.is.w
4c80	68 61 74 20 61 20 56 52 46 20 69 73 20 66 6f 72 20 6c 61 79 65 72 20 33 22 2e 20 57 69 74 68 20	hat.a.VRF.is.for.layer.3"..With.
4ca0	56 52 46 73 2c 20 61 20 72 6f 75 74 65 72 2f 73 79 73 74 65 6d 20 63 61 6e 20 68 6f 6c 64 20 6d	VRFs,.a.router/system.can.hold.m
4cc0	75 6c 74 69 70 6c 65 2c 20 69 73 6f 6c 61 74 65 64 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73	ultiple,.isolated.routing.tables
4ce0	20 6f 6e 20 74 68 65 20 73 61 6d 65 20 73 79 73 74 65 6d 2e 20 49 66 20 79 6f 75 20 77 6f 6e 64	.on.the.same.system..If.you.wond
4d00	65 72 20 77 68 61 74 27 73 20 74 68 65 20 64 69 66 66 65 72 65 6e 63 65 20 62 65 74 77 65 65 6e	er.what's.the.difference.between
4d20	20 6d 75 6c 74 69 70 6c 65 20 74 61 62 6c 65 73 20 74 68 61 74 20 70 65 6f 70 6c 65 20 75 73 65	.multiple.tables.that.people.use
4d40	64 20 66 6f 72 20 70 6f 6c 69 63 79 2d 62 61 73 65 64 20 72 6f 75 74 69 6e 67 20 73 69 6e 63 65	d.for.policy-based.routing.since
4d60	20 66 6f 72 65 76 65 72 2c 20 69 74 27 73 20 74 68 61 74 20 61 20 56 52 46 20 61 6c 73 6f 20 69	.forever,.it's.that.a.VRF.also.i
4d80	73 6f 6c 61 74 65 73 20 63 6f 6e 6e 65 63 74 65 64 20 72 6f 75 74 65 73 20 72 61 74 68 65 72 20	solates.connected.routes.rather.
4da0	74 68 61 6e 20 6a 75 73 74 20 73 74 61 74 69 63 20 61 6e 64 20 64 79 6e 61 6d 69 63 61 6c 6c 79	than.just.static.and.dynamically
4dc0	20 6c 65 61 72 6e 65 64 20 72 6f 75 74 65 73 2c 20 73 6f 20 69 74 20 61 6c 6c 6f 77 73 20 4e 49	.learned.routes,.so.it.allows.NI
4de0	43 73 20 69 6e 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 74 6f 20 75 73 65 20 63 6f 6e 66	Cs.in.different.VRFs.to.use.conf
4e00	6c 69 63 74 69 6e 67 20 6e 65 74 77 6f 72 6b 20 72 61 6e 67 65 73 20 77 69 74 68 6f 75 74 20 69	licting.network.ranges.without.i
4e20	73 73 75 65 73 2e 00 41 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 72 65 73 6f 75 72 63 65 20 64 65 70	ssues..A.connection.resource.dep
4e40	6c 6f 79 65 64 20 69 6e 20 41 7a 75 72 65 20 6c 69 6e 6b 69 6e 67 20 74 68 65 20 41 7a 75 72 65	loyed.in.Azure.linking.the.Azure
4e60	20 56 4e 65 74 20 67 61 74 65 77 61 79 20 61 6e 64 20 74 68 65 20 6c 6f 63 61 6c 20 6e 65 74 77	.VNet.gateway.and.the.local.netw
4e80	6f 72 6b 20 67 61 74 65 77 61 79 20 72 65 70 72 65 73 65 6e 74 69 6e 67 20 74 68 65 20 56 79 6f	ork.gateway.representing.the.Vyo
4ea0	73 20 64 65 76 69 63 65 2e 00 41 20 68 6f 73 74 20 60 60 76 79 6f 73 2d 6f 6f 62 6d 60 60 20 77	s.device..A.host.``vyos-oobm``.w
4ec0	69 6c 6c 20 75 73 65 20 61 73 20 61 20 73 73 68 20 70 72 6f 78 79 2e 20 54 68 69 73 20 68 6f 73	ill.use.as.a.ssh.proxy..This.hos
4ee0	74 20 69 73 20 6a 75 73 74 20 6e 65 63 65 73 73 61 72 79 20 66 6f 72 20 74 68 65 20 4c 61 62 20	t.is.just.necessary.for.the.Lab.
4f00	74 65 73 74 2e 00 41 20 6b 65 79 20 70 6f 69 6e 74 20 74 6f 20 75 6e 64 65 72 73 74 61 6e 64 20	test..A.key.point.to.understand.
4f20	69 73 20 74 68 61 74 20 69 66 20 77 65 20 6e 65 65 64 20 74 77 6f 20 56 52 46 73 20 74 6f 20 63	is.that.if.we.need.two.VRFs.to.c
4f40	6f 6d 6d 75 6e 69 63 61 74 65 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 20 45 58	ommunicate.between.each.other.EX
4f60	50 4f 52 54 20 72 74 20 66 72 6f 6d 20 56 52 46 31 20 68 61 73 20 74 6f 20 62 65 20 69 6e 20 74	PORT.rt.from.VRF1.has.to.be.in.t
4f80	68 65 20 49 4d 50 4f 52 54 20 72 74 20 6c 69 73 74 20 66 72 6f 6d 20 56 52 46 32 2e 20 42 75 74	he.IMPORT.rt.list.from.VRF2..But
4fa0	20 74 68 69 73 20 69 73 20 6f 6e 6c 79 20 69 6e 20 4f 4e 45 20 64 69 72 65 63 74 69 6f 6e 2c 20	.this.is.only.in.ONE.direction,.
4fc0	74 6f 20 63 6f 6d 70 6c 65 74 65 20 74 68 65 20 63 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 74 68	to.complete.the.communication.th
4fe0	65 20 45 58 50 4f 52 54 20 72 74 20 66 72 6f 6d 20 56 52 46 32 20 68 61 73 20 74 6f 20 62 65 20	e.EXPORT.rt.from.VRF2.has.to.be.
5000	69 6e 20 74 68 65 20 49 4d 50 4f 52 54 20 72 74 20 6c 69 73 74 20 66 72 6f 6d 20 56 52 46 31 2e	in.the.IMPORT.rt.list.from.VRF1.
5020	00 41 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 67 61 74 65 77 61 79 20 64 65 70 6c 6f 79 65	.A.local.network.gateway.deploye
5040	64 20 69 6e 20 41 7a 75 72 65 20 72 65 70 72 65 73 65 6e 74 69 6e 67 20 74 68 65 20 56 79 6f 73	d.in.Azure.representing.the.Vyos
5060	20 64 65 76 69 63 65 2c 20 6d 61 74 63 68 69 6e 67 20 74 68 65 20 62 65 6c 6f 77 20 56 79 6f 73	.device,.matching.the.below.Vyos
5080	20 73 65 74 74 69 6e 67 73 20 65 78 63 65 70 74 20 66 6f 72 20 61 64 64 72 65 73 73 20 73 70 61	.settings.except.for.address.spa
50a0	63 65 2c 20 77 68 69 63 68 20 6f 6e 6c 79 20 72 65 71 75 69 72 65 73 20 74 68 65 20 56 79 6f 73	ce,.which.only.requires.the.Vyos
50c0	20 70 72 69 76 61 74 65 20 49 50 2c 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 31 30 2e	.private.IP,.in.this.example.10.
50e0	31 30 2e 30 2e 35 2f 33 32 00 41 20 70 61 69 72 20 6f 66 20 41 7a 75 72 65 20 56 4e 65 74 20 47	10.0.5/32.A.pair.of.Azure.VNet.G
5100	61 74 65 77 61 79 73 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 61 63 74 69 76 65 2d 61 63 74 69 76	ateways.deployed.in.active-activ
5120	65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 42 47 50 20 65 6e 61 62 6c 65 64	e.configuration.with.BGP.enabled
5140	2e 00 41 20 70 61 69 72 20 6f 66 20 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 73 20	..A.pair.of.Azure.VNet.Gateways.
5160	64 65 70 6c 6f 79 65 64 20 69 6e 20 61 63 74 69 76 65 2d 70 61 73 73 69 76 65 20 63 6f 6e 66 69	deployed.in.active-passive.confi
5180	67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 42 47 50 20 65 6e 61 62 6c 65 64 2e 00 41 20 70 75 62	guration.with.BGP.enabled..A.pub
51a0	6c 69 63 2c 20 72 6f 75 74 61 62 6c 65 20 49 50 76 34 20 61 64 64 72 65 73 73 2e 20 54 68 69 73	lic,.routable.IPv4.address..This
51c0	20 64 6f 65 73 20 6e 6f 74 20 6e 65 63 65 73 73 61 72 69 6c 79 20 6e 65 65 64 20 74 6f 20 62 65	.does.not.necessarily.need.to.be
51e0	20 73 74 61 74 69 63 2c 20 62 75 74 20 79 6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 75 70	.static,.but.you.will.need.to.up
5200	64 61 74 65 20 74 68 65 20 74 75 6e 6e 65 6c 20 65 6e 64 70 6f 69 6e 74 20 77 68 65 6e 2f 69 66	date.the.tunnel.endpoint.when/if
5220	20 79 6f 75 72 20 49 50 20 61 64 64 72 65 73 73 20 63 68 61 6e 67 65 73 2c 20 77 68 69 63 68 20	.your.IP.address.changes,.which.
5240	63 61 6e 20 62 65 20 64 6f 6e 65 20 77 69 74 68 20 61 20 73 63 72 69 70 74 20 61 6e 64 20 61 20	can.be.done.with.a.script.and.a.
5260	73 63 68 65 64 75 6c 65 64 20 74 61 73 6b 2e 00 41 20 72 75 6c 65 20 6f 72 64 65 72 20 66 6f 72	scheduled.task..A.rule.order.for
5280	20 70 72 69 6f 72 69 74 69 7a 69 6e 67 20 74 72 61 66 66 69 63 20 69 73 20 75 73 65 66 75 6c 20	.prioritizing.traffic.is.useful.
52a0	69 6e 20 73 63 65 6e 61 72 69 6f 73 20 77 68 65 72 65 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79	in.scenarios.where.the.secondary
52c0	20 6c 69 6e 6b 20 68 61 73 20 61 20 6c 6f 77 65 72 20 73 70 65 65 64 20 61 6e 64 20 73 68 6f 75	.link.has.a.lower.speed.and.shou
52e0	6c 64 20 6f 6e 6c 79 20 63 61 72 72 79 20 68 69 67 68 20 70 72 69 6f 72 69 74 79 20 74 72 61 66	ld.only.carry.high.priority.traf
5300	66 69 63 2e 20 49 74 20 69 73 20 61 73 73 75 6d 65 64 20 66 6f 72 20 74 68 69 73 20 65 78 61 6d	fic..It.is.assumed.for.this.exam
5320	70 6c 65 20 74 68 61 74 20 65 74 68 31 20 69 73 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 61 20	ple.that.eth1.is.connected.to.a.
5340	73 6c 6f 77 65 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 68 61 6e 20 65 74 68 30 20 61 6e 64 20	slower.connection.than.eth0.and.
5360	73 68 6f 75 6c 64 20 70 72 69 6f 72 69 74 69 7a 65 20 56 6f 49 50 20 74 72 61 66 66 69 63 2e 00	should.prioritize.VoIP.traffic..
5380	41 20 73 69 6d 70 6c 65 20 73 6f 6c 75 74 69 6f 6e 20 63 6f 75 6c 64 20 62 65 20 75 73 69 6e 67	A.simple.solution.could.be.using
53a0	20 64 69 66 66 65 72 65 6e 74 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 2c 20 6f 72 20 56 52	.different.routing.tables,.or.VR
53c0	46 73 20 66 6f 72 20 61 6c 6c 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 20 73 6f 20 77 65 20 63 61	Fs.for.all.the.networks.so.we.ca
53e0	6e 20 6b 65 65 70 20 74 68 65 20 72 6f 75 74 69 6e 67 20 72 65 73 74 72 69 63 74 69 6f 6e 73 2e	n.keep.the.routing.restrictions.
5400	20 42 75 74 20 66 6f 72 20 75 73 20 74 6f 20 72 6f 75 74 65 20 62 65 74 77 65 65 6e 20 74 68 65	.But.for.us.to.route.between.the
5420	20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 77 65 20 77 6f 75 6c 64 20 6e 65 65 64 20 61 20	.different.VRFs.we.would.need.a.
5440	63 61 62 6c 65 20 6f 72 20 61 20 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65	cable.or.a.logical.connection.be
5460	74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 3a 00 41 44 44 52 45 53 53 31 30 20 63 68 61 6e	tween.each.other:.ADDRESS10.chan
5480	67 65 20 43 53 30 20 2d 3e 20 43 53 34 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 32 2f	ge.CS0.->.CS4.source.172.17.1.2/
54a0	33 32 00 41 44 44 52 45 53 53 32 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 35 20 73	32.ADDRESS20.change.CS0.->.CS5.s
54c0	6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 33 2f 33 32 00 41 44 44 52 45 53 53 33 30 20 63 68	ource.172.17.1.3/32.ADDRESS30.ch
54e0	61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 36 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e	ange.CS0.->.CS6.source.172.17.1.
5500	34 2f 33 32 00 41 63 63 65 70 74 20 61 63 63 65 73 73 20 74 6f 20 72 6f 75 74 65 72 20 69 74 73	4/32.Accept.access.to.router.its
5520	65 6c 66 2e 00 41 63 63 65 70 74 20 61 6c 6c 20 41 52 50 20 70 61 63 6b 65 74 73 2e 00 41 63 63	elf..Accept.all.ARP.packets..Acc
5540	65 70 74 20 61 6c 6c 20 44 48 43 50 20 64 69 73 63 6f 76 65 72 20 70 61 63 6b 65 74 73 2e 00 41	ept.all.DHCP.discover.packets..A
5560	63 63 65 70 74 20 61 6c 6c 20 49 50 76 34 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 41 63 63 65	ccept.all.IPv4.connections..Acce
5580	70 74 20 6f 6e 6c 79 20 44 48 43 50 20 6f 66 66 65 72 73 20 66 72 6f 6d 20 76 61 6c 69 64 20 73	pt.only.DHCP.offers.from.valid.s
55a0	65 72 76 65 72 20 61 6e 64 7c 6f 72 20 74 72 75 73 74 65 64 20 62 72 69 64 67 65 20 70 6f 72 74	erver.and\|or.trusted.bridge.port
55c0	2e 00 41 63 63 65 70 74 20 6f 6e 6c 79 20 49 50 76 36 20 63 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e	..Accept.only.IPv6.communication
55e0	20 77 68 69 74 68 69 6e 20 74 68 65 20 62 72 69 64 67 65 2e 00 41 63 63 65 73 73 20 74 6f 20 74	.whithin.the.bridge..Access.to.t
5600	68 65 20 72 6f 75 74 65 72 20 69 74 73 65 6c 66 20 69 73 20 63 6f 6e 74 72 6f 6c 6c 65 64 20 62	he.router.itself.is.controlled.b
5620	79 20 74 68 65 20 62 61 73 65 20 63 68 61 69 6e 20 60 60 69 6e 70 75 74 60 60 2c 20 61 6e 64 20	y.the.base.chain.``input``,.and.
5640	72 75 6c 65 73 20 74 6f 20 61 63 63 6f 6d 70 6c 69 73 68 20 61 6c 6c 20 74 68 65 20 72 65 71 75	rules.to.accomplish.all.the.requ
5660	69 72 65 6d 65 6e 74 73 20 61 72 65 3a 00 41 63 63 6f 75 6e 74 20 61 74 20 68 74 74 70 73 3a 2f	irements.are:.Account.at.https:/
5680	2f 77 77 77 2e 74 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 00 41 63 74 69 76 65 20 44 69	/www.tunnelbroker.net/.Active.Di
56a0	72 65 63 74 6f 72 79 20 6f 6e 20 57 69 6e 64 6f 77 73 20 73 65 72 76 65 72 00 41 64 64 20 28 74	rectory.on.Windows.server.Add.(t
56c0	65 6d 70 6f 72 61 72 79 29 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 00 41 64 64 20 61 20 73 69	emporary).default.route.Add.a.si
56e0	6d 70 6c 65 20 70 6c 61 79 62 6f 6f 6b 20 77 69 74 68 20 74 68 65 20 74 61 73 6b 73 20 66 6f 72	mple.playbook.with.the.tasks.for
5700	20 65 61 63 68 20 72 6f 75 74 65 72 3a 00 41 64 64 20 61 6c 6c 20 74 68 65 20 56 79 4f 53 20 68	.each.router:.Add.all.the.VyOS.h
5720	6f 73 74 73 3a 00 41 64 64 20 61 6c 6c 20 74 68 65 20 68 6f 73 74 73 20 6f 66 20 56 79 4f 53 3a	osts:.Add.all.the.hosts.of.VyOS:
5740	00 41 64 64 20 67 65 6e 65 72 61 6c 20 76 61 72 69 61 62 6c 65 73 3a 00 41 64 64 20 74 68 65 20	.Add.general.variables:.Add.the.
5760	4c 44 41 50 20 70 6c 75 67 69 6e 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 69 6c 65 20 60	LDAP.plugin.configuration.file.`
5780	2f 63 6f 6e 66 69 67 2f 61 75 74 68 2f 6c 64 61 70 2d 61 75 74 68 2e 63 6f 6e 66 69 67 60 00 41	/config/auth/ldap-auth.config`.A
57a0	64 64 20 74 68 65 20 73 69 6d 70 6c 65 20 70 6c 61 79 62 6f 6f 6b 20 77 69 74 68 20 74 68 65 20	dd.the.simple.playbook.with.the.
57c0	74 61 73 6b 73 20 66 6f 72 20 65 61 63 68 20 72 6f 75 74 65 72 3a 00 41 64 64 69 6e 67 20 61 20	tasks.for.each.router:.Adding.a.
57e0	72 75 6c 65 20 66 6f 72 20 74 68 65 20 73 65 63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65 00 41 64	rule.for.the.second.interface.Ad
5800	76 65 72 74 69 73 65 20 63 6f 6e 6e 65 63 74 65 64 20 72 6f 75 74 65 73 00 41 66 74 65 72 20 61	vertise.connected.routes.After.a
5820	6c 6c 20 69 73 20 64 6f 6e 65 20 61 6e 64 20 63 6f 6d 6d 69 74 2c 20 6c 65 74 27 73 20 74 61 6b	ll.is.done.and.commit,.let's.tak
5840	65 20 61 20 6c 6f 6f 6b 20 69 66 20 74 68 65 20 57 69 72 65 67 75 61 72 64 20 69 6e 74 65 72 66	e.a.look.if.the.Wireguard.interf
5860	61 63 65 20 69 73 20 75 70 20 61 6e 64 20 72 75 6e 6e 69 6e 67 2e 00 41 66 74 65 72 20 63 6f 6e	ace.is.up.and.running..After.con
5880	66 69 67 75 72 65 64 20 61 6c 6c 20 74 68 65 20 56 52 46 73 20 69 6e 76 6f 6c 76 65 64 20 69 6e	figured.all.the.VRFs.involved.in
58a0	20 74 68 69 73 20 74 6f 70 6f 6c 6f 67 79 20 77 65 20 74 61 6b 65 20 61 20 64 65 65 70 65 72 20	.this.topology.we.take.a.deeper.
58c0	6c 6f 6f 6b 20 61 74 20 62 6f 74 68 20 42 47 50 20 61 6e 64 20 52 6f 75 74 69 6e 67 20 74 61 62	look.at.both.BGP.and.Routing.tab
58e0	6c 65 20 66 6f 72 20 74 68 65 20 56 52 46 20 4c 41 4e 31 00 41 66 74 65 72 20 73 6f 6d 65 20 74	le.for.the.VRF.LAN1.After.some.t
5900	65 73 74 69 6e 67 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 49 50 53 65 63 20 73 74 61 74 75	esting,.we.can.check.IPSec.statu
5920	73 2c 20 61 6e 64 20 63 6f 75 6e 74 65 72 20 6f 6e 20 65 76 65 72 79 20 74 75 6e 6e 65 6c 3a 00	s,.and.counter.on.every.tunnel:.
5940	41 66 74 65 72 20 73 6f 6d 65 20 74 65 73 74 69 6e 67 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b	After.some.testing,.we.can.check
5960	20 69 70 73 65 63 20 73 74 61 74 75 73 2c 20 61 6e 64 20 63 6f 75 6e 74 65 72 20 6f 6e 20 65 76	.ipsec.status,.and.counter.on.ev
5980	65 72 79 20 74 75 6e 6e 65 6c 3a 00 41 66 74 65 72 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20	ery.tunnel:.After.the.interface.
59a0	65 74 68 30 20 6f 6e 20 72 6f 75 74 65 72 20 56 79 4f 53 33 00 41 66 74 65 72 20 74 68 69 73 2c	eth0.on.router.VyOS3.After.this,
59c0	20 77 65 20 6e 65 65 64 20 74 68 65 20 44 48 43 50 2d 53 65 72 76 65 72 20 61 6e 64 20 52 65 6c	.we.need.the.DHCP-Server.and.Rel
59e0	61 79 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 20 54 6f 20 67 65 74 20 61 20 74 65 73 74 61	ay.configuration..To.get.a.testa
5a00	62 6c 65 20 72 65 73 75 6c 74 2c 20 77 65 20 6a 75 73 74 20 68 61 76 65 20 6f 6e 65 20 49 50 20	ble.result,.we.just.have.one.IP.
5a20	69 6e 20 74 68 65 20 44 48 43 50 20 72 61 6e 67 65 2e 20 45 78 70 61 6e 64 20 69 74 20 61 73 20	in.the.DHCP.range..Expand.it.as.
5a40	79 6f 75 20 6e 65 65 64 20 69 74 2e 00 41 66 74 65 72 20 79 6f 75 20 68 61 76 65 20 65 61 63 68	you.need.it..After.you.have.each
5a60	20 70 75 62 6c 69 63 20 6b 65 79 2e 20 54 68 65 20 77 69 72 65 67 75 61 72 64 20 69 6e 74 65 72	.public.key..The.wireguard.inter
5a80	66 61 63 65 73 20 63 61 6e 20 62 65 20 73 65 74 75 70 2e 00 41 6c 6c 20 6f 75 74 67 6f 69 6e 67	faces.can.be.setup..All.outgoing
5aa0	20 70 61 63 6b 65 74 73 20 61 72 65 20 61 73 73 69 67 6e 65 64 20 74 68 65 20 73 6f 75 72 63 65	.packets.are.assigned.the.source
5ac0	20 61 64 64 72 65 73 73 20 6f 66 20 74 68 65 20 61 73 73 69 67 6e 65 64 20 69 6e 74 65 72 66 61	.address.of.the.assigned.interfa
5ae0	63 65 20 28 53 4e 41 54 29 2e 00 41 6c 6c 20 74 72 61 66 66 69 63 20 63 6f 6d 69 6e 67 20 69 6e	ce.(SNAT)..All.traffic.coming.in
5b00	20 74 68 72 6f 75 67 68 20 65 74 68 32 20 69 73 20 62 61 6c 61 6e 63 65 64 20 62 65 74 77 65 65	.through.eth2.is.balanced.betwee
5b20	6e 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 6f 6e 20 74 68 65 20 72 6f 75 74 65 72 2e 00 41	n.eth0.and.eth1.on.the.router..A
5b40	6c 6c 6f 77 20 44 48 43 50 76 36 20 70 61 63 6b 65 74 73 20 66 6f 72 20 72 6f 75 74 65 72 00 41	llow.DHCPv6.packets.for.router.A
5b60	6c 6c 6f 77 20 44 4e 53 20 72 65 71 75 65 73 74 73 20 6f 6e 6c 79 20 6f 6e 6c 79 20 66 6f 72 20	llow.DNS.requests.only.only.for.
5b80	6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 73 2e 00 41 6c 6c 6f 77 20 49 43 4d 50 20 6f 6e 20 61 6c	local.networks..Allow.ICMP.on.al
5ba0	6c 20 69 6e 74 65 72 66 61 63 65 73 2e 00 41 6c 6c 6f 77 20 61 63 63 65 73 73 20 74 6f 20 74 68	l.interfaces..Allow.access.to.th
5bc0	65 20 72 6f 75 74 65 72 20 6f 6e 6c 79 20 66 72 6f 6d 20 74 72 75 73 74 65 64 20 6e 65 74 77 6f	e.router.only.from.trusted.netwo
5be0	72 6b 73 2e 00 41 6c 6c 6f 77 20 61 6c 6c 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72	rks..Allow.all.established.and.r
5c00	65 6c 61 74 65 64 20 74 72 61 66 66 69 63 20 66 6f 72 20 72 6f 75 74 65 72 20 61 6e 64 20 4c 41	elated.traffic.for.router.and.LA
5c20	4e 00 41 6c 6c 6f 77 20 61 6c 6c 20 69 63 6d 70 76 36 20 70 61 63 6b 65 74 73 20 66 6f 72 20 72	N.Allow.all.icmpv6.packets.for.r
5c40	6f 75 74 65 72 20 61 6e 64 20 4c 41 4e 00 41 6c 6c 6f 77 20 61 6c 6c 20 6e 65 77 20 63 6f 6e 6e	outer.and.LAN.Allow.all.new.conn
5c60	65 63 74 69 6f 6e 73 20 66 72 6f 6d 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 73 2e 00 41 6c 6c 6f	ections.from.local.subnets..Allo
5c80	77 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 6f 20 50 52 4f 44 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e	w.connection.to.PROD..Allow.conn
5ca0	65 63 74 69 6f 6e 73 20 66 72 6f 6d 20 4c 41 4e 73 20 74 6f 20 4c 41 4e 73 20 74 68 72 6f 75 67	ections.from.LANs.to.LANs.throug
5cc0	68 20 74 68 65 20 74 75 6e 6e 65 6c 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20	h.the.tunnel..Allow.connections.
5ce0	66 72 6f 6d 20 4c 41 4e 73 20 74 6f 20 4c 41 4e 73 20 74 68 72 6f 75 67 68 74 20 74 68 65 20 74	from.LANs.to.LANs.throught.the.t
5d00	75 6e 6e 65 6c 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 4c 41 4e 20	unnel..Allow.connections.to.LAN.
5d20	61 6e 64 20 50 52 4f 44 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 50	and.PROD..Allow.connections.to.P
5d40	52 4f 44 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 62 72 69 64 67 65	ROD..Allow.connections.to.bridge
5d60	20 62 72 31 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 69 6e 74 65 72	.br1..Allow.connections.to.inter
5d80	6e 65 74 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 69 6e 74 65 72 6e 65	net.Allow.connections.to.interne
5da0	74 28 57 41 4e 29 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 69 6e 74	t(WAN)..Allow.connections.to.int
5dc0	65 72 6e 65 74 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 74 68 65 20	ernet..Allow.connections.to.the.
5de0	72 6f 75 74 65 72 2e 00 41 6c 6c 6f 77 20 64 6e 73 20 72 65 71 75 65 73 74 73 20 6f 6e 6c 79 20	router..Allow.dns.requests.only.
5e00	6f 6e 6c 79 20 66 6f 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 73 2e 00 41 6c 6c 6f 77 20 69	only.for.local.networks..Allow.i
5e20	63 6d 70 20 6f 6e 20 61 6c 6c 20 69 6e 74 65 72 66 61 63 65 73 2e 00 41 6c 73 6f 20 77 65 20 63	cmp.on.all.interfaces..Also.we.c
5e40	61 6e 20 76 65 72 69 66 79 20 68 6f 77 20 50 45 20 64 65 76 69 63 65 73 20 72 65 63 65 69 76 65	an.verify.how.PE.devices.receive
5e60	73 20 56 50 4e 76 34 20 6e 65 74 77 6f 72 6b 73 20 66 72 6f 6d 20 74 68 65 20 52 52 73 20 61 6e	s.VPNv4.networks.from.the.RRs.an
5e80	64 20 69 6e 73 74 61 6c 6c 69 6e 67 20 74 68 65 6d 20 74 6f 20 74 68 65 20 73 70 65 63 69 66 69	d.installing.them.to.the.specifi
5ea0	63 20 63 75 73 74 6f 6d 65 72 20 56 52 46 73 3a 00 41 6c 73 6f 2c 20 77 65 20 61 72 65 20 61 64	c.customer.VRFs:.Also,.we.are.ad
5ec0	64 69 6e 67 20 67 6c 6f 62 61 6c 20 73 74 61 74 65 20 70 6f 6c 69 63 69 65 73 2c 20 69 6e 20 6f	ding.global.state.policies,.in.o
5ee0	72 64 65 72 20 74 6f 20 61 6c 6c 6f 77 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65	rder.to.allow.established.and.re
5f00	6c 61 74 65 64 20 74 72 61 66 66 69 63 2c 20 69 6e 20 6f 72 64 65 72 20 6e 6f 74 20 74 6f 20 64	lated.traffic,.in.order.not.to.d
5f20	72 6f 70 20 76 61 6c 69 64 20 72 65 73 70 6f 6e 73 65 73 3a 00 41 6c 73 6f 2c 20 77 65 20 61 72	rop.valid.responses:.Also,.we.ar
5f40	65 20 67 6f 69 6e 67 20 74 6f 20 75 73 65 20 66 69 72 65 77 61 6c 6c 20 69 6e 74 65 72 66 61 63	e.going.to.use.firewall.interfac
5f60	65 20 67 72 6f 75 70 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 73 69 6d 70 6c 69 66 79 20 74 68	e.groups.in.order.to.simplify.th
5f80	65 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 41 6c 73 6f 2c 20	e.firewall.configuration..Also,.
5fa0	77 65 20 63 61 6e 20 63 68 65 63 6b 20 66 69 72 65 77 61 6c 6c 20 63 6f 75 6e 74 65 72 73 3a 00	we.can.check.firewall.counters:.
5fc0	41 6e 20 4c 33 56 50 4e 20 63 6f 6e 73 69 73 74 73 20 6f 66 20 6d 75 6c 74 69 70 6c 65 20 61 63	An.L3VPN.consists.of.multiple.ac
5fe0	63 65 73 73 20 6c 69 6e 6b 73 2c 20 6d 75 6c 74 69 70 6c 65 20 56 50 4e 20 72 6f 75 74 69 6e 67	cess.links,.multiple.VPN.routing
6000	20 61 6e 64 20 66 6f 72 77 61 72 64 69 6e 67 20 28 56 52 46 29 20 74 61 62 6c 65 73 2c 20 61 6e	.and.forwarding.(VRF).tables,.an
6020	64 20 6d 75 6c 74 69 70 6c 65 20 4d 50 4c 53 20 70 61 74 68 73 20 6f 72 20 6d 75 6c 74 69 70 6c	d.multiple.MPLS.paths.or.multipl
6040	65 20 50 32 4d 50 20 4c 53 50 73 2e 20 41 6e 20 4c 33 56 50 4e 20 63 61 6e 20 62 65 20 63 6f 6e	e.P2MP.LSPs..An.L3VPN.can.be.con
6060	66 69 67 75 72 65 64 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 77 6f 20 6f 72 20 6d 6f 72 65 20 63	figured.to.connect.two.or.more.c
6080	75 73 74 6f 6d 65 72 20 73 69 74 65 73 2e 20 49 6e 20 68 75 62 2d 61 6e 64 2d 73 70 6f 6b 65 20	ustomer.sites..In.hub-and-spoke.
60a0	4d 50 4c 53 20 4c 33 56 50 4e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 73 2c 20 74 68 65 20 73 70 6f	MPLS.L3VPN.environments,.the.spo
60c0	6b 65 20 72 6f 75 74 65 72 73 20 6e 65 65 64 20 74 6f 20 68 61 76 65 20 75 6e 69 71 75 65 20 52	ke.routers.need.to.have.unique.R
60e0	6f 75 74 65 20 44 69 73 74 69 6e 67 75 69 73 68 65 72 73 20 28 52 44 73 29 2e 20 49 6e 20 6f 72	oute.Distinguishers.(RDs)..In.or
6100	64 65 72 20 74 6f 20 75 73 65 20 74 68 65 20 68 75 62 20 73 69 74 65 20 61 73 20 61 20 74 72 61	der.to.use.the.hub.site.as.a.tra
6120	6e 73 69 74 20 70 6f 69 6e 74 20 66 6f 72 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 6e 20 73	nsit.point.for.connectivity.in.s
6140	75 63 68 20 61 6e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 2c 20 74 68 65 20 73 70 6f 6b 65 20 73 69	uch.an.environment,.the.spoke.si
6160	74 65 73 20 65 78 70 6f 72 74 20 74 68 65 69 72 20 72 6f 75 74 65 73 20 74 6f 20 74 68 65 20 68	tes.export.their.routes.to.the.h
6180	75 62 2e 20 53 70 6f 6b 65 73 20 63 61 6e 20 74 61 6c 6b 20 74 6f 20 68 75 62 73 2c 20 62 75 74	ub..Spokes.can.talk.to.hubs,.but
61a0	20 6e 65 76 65 72 20 68 61 76 65 20 64 69 72 65 63 74 20 70 61 74 68 73 20 74 6f 20 6f 74 68 65	.never.have.direct.paths.to.othe
61c0	72 20 73 70 6f 6b 65 73 2e 20 41 6c 6c 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 73 70	r.spokes..All.traffic.between.sp
61e0	6f 6b 65 73 20 69 73 20 63 6f 6e 74 72 6f 6c 6c 65 64 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64	okes.is.controlled.and.delivered
6200	20 6f 76 65 72 20 74 68 65 20 68 75 62 20 73 69 74 65 2e 00 41 6e 64 20 4e 41 54 20 43 6f 6e 66	.over.the.hub.site..And.NAT.Conf
6220	69 67 75 72 61 74 69 6f 6e 3a 00 41 6e 64 20 62 65 66 6f 72 65 20 66 69 72 65 77 61 6c 6c 20 72	iguration:.And.before.firewall.r
6240	75 6c 65 73 20 61 72 65 20 73 68 6f 77 6e 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 70 61 79 20 61	ules.are.shown,.we.need.to.pay.a
6260	74 74 65 6e 74 69 6f 6e 20 68 6f 77 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 6e 64 20 6d 61	ttention.how.to.configure.and.ma
6280	74 63 68 20 69 6e 74 65 72 66 61 63 65 73 20 61 6e 64 20 56 52 46 73 2e 20 49 6e 20 63 61 73 65	tch.interfaces.and.VRFs..In.case
62a0	20 77 68 65 72 65 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 20	.where.an.interface.is.assigned.
62c0	74 6f 20 61 20 6e 6f 6e 2d 64 65 66 61 75 6c 74 20 56 52 46 2c 20 69 66 20 77 65 20 77 61 6e 74	to.a.non-default.VRF,.if.we.want
62e0	20 74 6f 20 75 73 65 20 69 6e 62 6f 75 6e 64 2d 69 6e 74 65 72 66 61 63 65 20 6f 72 20 6f 75 74	.to.use.inbound-interface.or.out
6300	62 6f 75 6e 64 2d 69 6e 74 65 72 66 61 63 65 20 69 6e 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65	bound-interface.in.firewall.rule
6320	73 2c 20 77 65 20 6e 65 65 64 20 74 6f 3a 00 41 6e 64 20 66 69 6e 61 6c 6c 79 2c 20 77 65 20 6e	s,.we.need.to:.And.finally,.we.n
6340	65 65 64 20 74 6f 20 61 6c 6c 6f 77 20 69 6e 70 75 74 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74	eed.to.allow.input.connections.t
6360	6f 20 74 68 65 20 72 6f 75 74 65 72 20 69 74 73 65 6c 66 20 6f 6e 6c 79 20 66 72 6f 6d 20 76 72	o.the.router.itself.only.from.vr
6380	66 20 4d 47 4d 54 3a 00 41 6e 64 20 66 6f 72 20 74 72 61 66 66 69 63 20 74 68 61 74 20 69 73 20	f.MGMT:.And.for.traffic.that.is.
63a0	67 6f 69 6e 67 20 74 6f 20 6f 74 68 65 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 73 2c 20 61	going.to.other.local.networks,.a
63c0	6e 64 20 74 6f 20 68 65 20 49 6e 74 65 72 6e 65 74 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 75 73	nd.to.he.Internet,.we.need.to.us
63e0	65 20 74 68 65 20 62 61 73 65 20 63 68 61 69 6e 20 60 60 66 6f 72 77 61 72 64 60 60 2e 20 41 73	e.the.base.chain.``forward``..As
6400	20 69 6e 20 74 68 65 20 62 72 69 64 67 65 20 66 69 72 65 77 61 6c 6c 2c 20 77 65 20 61 72 65 20	.in.the.bridge.firewall,.we.are.
6420	67 6f 69 6e 67 20 74 6f 20 75 73 65 20 63 75 73 74 6f 6d 20 72 75 6c 65 73 65 74 73 20 66 6f 72	going.to.use.custom.rulesets.for
6440	20 65 61 63 68 20 62 72 69 64 67 65 2c 20 74 68 61 74 20 77 6f 75 6c 64 20 62 65 20 75 73 65 64	.each.bridge,.that.would.be.used
6460	20 69 6e 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 63 68 61 69 6e 2e 20 54 68 6f 73 65	.in.the.``forward``.chain..Those
6480	20 72 75 6c 65 73 65 74 73 20 61 72 65 20 60 60 69 70 2d 62 72 31 2d 66 77 64 60 60 20 61 6e 64	.rulesets.are.``ip-br1-fwd``.and
64a0	20 60 60 69 70 2d 62 72 32 2d 66 77 64 60 60 3a 00 41 6e 64 20 70 69 6e 67 20 74 68 65 20 42 72	.``ip-br2-fwd``:.And.ping.the.Br
64c0	61 6e 63 68 20 50 43 20 66 72 6f 6d 20 79 6f 75 72 20 63 65 6e 74 72 61 6c 20 72 6f 75 74 65 72	anch.PC.from.your.central.router
64e0	20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 72 65 73 70 6f 6e 73 65 2e 00 41 6e 64 20 73 68 6f 77	.to.check.the.response..And.show
6500	20 61 6c 6c 20 44 48 43 50 20 4c 65 61 73 65 73 00 41 6e 64 20 74 68 65 20 60 60 63 6c 69 65 6e	.all.DHCP.Leases.And.the.``clien
6520	74 60 60 20 74 6f 20 72 65 63 65 69 76 65 20 61 6e 20 49 50 76 36 20 61 64 64 72 65 73 73 20 77	t``.to.receive.an.IPv6.address.w
6540	69 74 68 20 73 74 61 74 65 6c 65 73 73 20 61 75 74 6f 63 6f 6e 66 69 67 2e 00 41 6e 64 20 74 68	ith.stateless.autoconfig..And.th
6560	65 20 63 6f 6e 74 65 6e 74 20 6f 66 20 74 68 65 20 63 75 73 74 6f 6d 20 72 75 6c 65 73 65 74 73	e.content.of.the.custom.rulesets
6580	3a 00 41 6e 64 20 74 68 65 6e 20 63 72 65 61 74 65 20 74 68 65 20 63 75 73 74 6f 6d 20 72 75 6c	:.And.then.create.the.custom.rul
65a0	65 73 65 74 73 3a 00 41 6e 64 20 77 69 74 68 20 6f 70 65 72 61 74 69 6f 6e 61 6c 20 6d 6f 64 65	esets:.And.with.operational.mode
65c0	20 63 6f 6d 6d 61 6e 64 73 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 72 75 6c 65 73 20 6d 61	.commands,.we.can.check.rules.ma
65e0	74 63 68 65 72 73 2c 20 61 63 74 69 6f 6e 73 2c 20 61 6e 64 20 63 6f 75 6e 74 65 72 73 2e 00 41	tchers,.actions,.and.counters..A
6600	6e 73 69 62 6c 65 20 45 78 61 6d 70 6c 65 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 41 6e	nsible.Example.topology.image.An
6620	73 69 62 6c 65 20 65 78 61 6d 70 6c 65 00 41 6e 79 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 72 65	sible.example.Any.information.re
6640	6c 61 74 65 64 20 74 6f 20 61 20 56 52 46 20 69 73 20 6e 6f 74 20 65 78 63 68 61 6e 67 65 64 20	lated.to.a.VRF.is.not.exchanged.
6660	62 65 74 77 65 65 6e 20 64 65 76 69 63 65 73 20 2d 6f 72 20 69 6e 20 74 68 65 20 73 61 6d 65 20	between.devices.-or.in.the.same.
6680	64 65 76 69 63 65 2d 20 62 79 20 64 65 66 61 75 6c 74 2c 20 74 68 69 73 20 69 73 20 61 20 74 65	device-.by.default,.this.is.a.te
66a0	63 68 6e 69 71 75 65 20 63 61 6c 6c 65 64 20 2a 2a 56 52 46 2d 4c 69 74 65 2a 2a 2e 00 41 70 70	chnique.called.VRF-Lite..App
66c0	65 6e 64 69 78 2d 41 00 41 70 70 65 6e 64 69 78 2d 42 00 41 73 20 61 20 72 65 6d 69 6e 64 65 72	endix-A.Appendix-B.As.a.reminder
66e0	2c 20 68 65 72 65 27 73 20 61 20 6c 69 6e 6b 20 74 6f 20 74 68 65 20 3a 64 6f 63 3a 60 66 69 72	,.here's.a.link.to.the.:doc:`fir
6700	65 77 61 6c 6c 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 3c 2f 63 6f 6e 66 69 67 75 72 61 74	ewall.documentation.</configurat
6720	69 6f 6e 2f 66 69 72 65 77 61 6c 6c 2f 69 6e 64 65 78 3e 60 2c 20 77 68 65 72 65 20 79 6f 75 20	ion/firewall/index>`,.where.you.
6740	63 61 6e 20 66 69 6e 64 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20	can.find.more.information.about.
6760	74 68 65 20 70 61 63 6b 65 74 20 66 6c 6f 77 20 66 6f 72 20 74 72 61 66 66 69 63 20 74 68 61 74	the.packet.flow.for.traffic.that
6780	20 63 6f 6d 65 73 20 66 72 6f 6d 20 62 72 69 64 67 65 20 6c 61 79 65 72 20 61 6e 64 20 73 68 6f	.comes.from.bridge.layer.and.sho
67a0	75 6c 64 20 62 65 20 61 6e 61 6c 69 7a 65 64 20 62 79 20 74 68 65 20 49 50 20 66 69 72 65 77 61	uld.be.analized.by.the.IP.firewa
67c0	6c 6c 2e 00 41 73 20 61 20 72 65 6d 69 6e 64 65 72 2c 20 6f 6e 6c 79 20 61 64 76 65 72 74 69 73	ll..As.a.reminder,.only.advertis
67e0	65 20 72 6f 75 74 65 73 20 74 68 61 74 20 79 6f 75 20 61 72 65 20 74 68 65 20 64 65 66 61 75 6c	e.routes.that.you.are.the.defaul
6800	74 20 72 6f 75 74 65 72 20 66 6f 72 2e 20 54 68 69 73 20 69 73 20 77 68 79 20 77 65 20 61 72 65	t.router.for..This.is.why.we.are
6820	20 4e 4f 54 20 61 6e 6e 6f 75 6e 63 69 6e 67 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34	.NOT.announcing.the.192.0.2.0/24
6840	20 6e 65 74 77 6f 72 6b 2c 20 62 65 63 61 75 73 65 20 69 66 20 74 68 61 74 20 77 61 73 20 61 6e	.network,.because.if.that.was.an
6860	6e 6f 75 6e 63 65 64 20 69 6e 74 6f 20 4f 53 50 46 2c 20 74 68 65 20 6f 74 68 65 72 20 72 6f 75	nounced.into.OSPF,.the.other.rou
6880	74 65 72 73 20 77 6f 75 6c 64 20 74 72 79 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 6f 20 74 68 61	ters.would.try.to.connect.to.tha
68a0	74 20 6e 65 74 77 6f 72 6b 20 6f 76 65 72 20 61 20 74 75 6e 6e 65 6c 20 74 68 61 74 20 63 6f 6e	t.network.over.a.tunnel.that.con
68c0	6e 65 63 74 73 20 74 6f 20 74 68 61 74 20 6e 65 74 77 6f 72 6b 21 00 41 73 20 65 78 70 6f 73 65	nects.to.that.network!.As.expose
68e0	64 20 69 6e 20 74 68 65 20 64 69 61 67 72 61 6d 2c 20 74 68 65 72 65 20 61 72 65 20 66 6f 75 72	d.in.the.diagram,.there.are.four
6900	20 56 52 46 73 2e 20 54 68 65 73 65 20 56 52 46 73 20 61 72 65 20 60 60 4d 47 4d 54 60 60 2c 20	.VRFs..These.VRFs.are.``MGMT``,.
6920	60 60 57 41 4e 60 60 2c 20 60 60 4c 41 4e 60 60 20 61 6e 64 20 60 60 50 52 4f 44 60 60 2c 20 61	``WAN``,.``LAN``.and.``PROD``,.a
6940	6e 64 20 74 68 65 69 72 20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 61 72 65 3a 00 41 73 20 73 61	nd.their.requirements.are:.As.sa
6960	69 64 20 62 65 66 6f 72 65 2c 20 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 63 72 65 61 74	id.before,.we.are.going.to.creat
6980	65 20 63 75 73 74 6f 6d 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 65 74 73 20 66 6f 72 20 65	e.custom.firewall.rulesets.for.e
69a0	61 63 68 20 62 72 69 64 67 65 2c 20 74 68 61 74 20 77 69 6c 6c 20 62 65 20 75 73 65 64 20 69 6e	ach.bridge,.that.will.be.used.in
69c0	20 74 68 65 20 60 60 70 72 65 72 6f 75 74 69 6e 67 60 60 20 63 68 61 69 6e 2c 20 69 6e 20 6f 72	.the.``prerouting``.chain,.in.or
69e0	64 65 72 20 74 6f 20 64 72 6f 70 20 61 73 20 6d 75 63 68 20 75 6e 77 61 6e 74 65 64 20 74 72 61	der.to.drop.as.much.unwanted.tra
6a00	66 66 69 63 20 61 73 20 65 61 72 6c 79 20 61 73 20 70 6f 73 73 69 62 6c 65 2e 20 53 6f 2c 20 63	ffic.as.early.as.possible..So,.c
6a20	75 73 74 6f 6d 20 72 75 6c 65 73 65 74 73 20 75 73 65 64 20 69 6e 20 60 60 70 72 65 72 6f 75 74	ustom.rulesets.used.in.``prerout
6a40	69 6e 67 60 60 20 63 68 61 69 6e 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 62 65 20 60 60 62 72	ing``.chain.are.going.to.be.``br
6a60	30 2d 70 72 65 60 60 2c 20 60 60 62 72 31 2d 70 72 65 60 60 2c 20 61 6e 64 20 60 60 62 72 32 2d	0-pre``,.``br1-pre``,.and.``br2-
6a80	70 72 65 60 60 3a 00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 65 76 65 6e 20 69 66 20 62 6f 74	pre``:.As.we.can.see.even.if.bot
6aa0	68 20 56 52 46 20 4c 41 4e 31 20 61 6e 64 20 4c 41 4e 32 20 68 61 73 20 74 68 65 20 73 61 6d 65	h.VRF.LAN1.and.LAN2.has.the.same
6ac0	20 69 6d 70 6f 72 74 20 52 54 73 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 73 65 6c 65 63	.import.RTs.we.are.able.to.selec
6ae0	74 20 77 68 69 63 68 20 72 6f 75 74 65 73 20 61 72 65 20 65 66 66 65 63 74 69 76 65 6c 79 20 69	t.which.routes.are.effectively.i
6b00	6d 70 6f 72 74 65 64 20 61 6e 64 20 69 6e 73 74 61 6c 6c 65 64 2e 00 41 73 20 77 65 20 63 61 6e	mported.and.installed..As.we.can
6b20	20 73 65 65 20 69 6e 20 74 68 65 20 42 47 50 20 74 61 62 6c 65 20 61 6e 79 20 69 6d 70 6f 72 74	.see.in.the.BGP.table.any.import
6b40	65 64 20 72 6f 75 74 65 20 68 61 73 20 62 65 65 6e 20 69 6e 6a 65 63 74 65 64 20 77 69 74 68 20	ed.route.has.been.injected.with.
6b60	61 20 22 40 22 20 66 6f 6c 6c 6f 77 65 64 20 62 79 20 74 68 65 20 56 50 4e 20 69 64 3b 20 49 6e	a."@".followed.by.the.VPN.id;.In
6b80	20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6f 66 20 74 68 65 20 56 52 46 2c 20 69	.the.routing.table.of.the.VRF,.i
6ba0	66 20 74 68 65 20 72 6f 75 74 65 20 77 61 73 20 69 6e 73 74 61 6c 6c 65 64 2c 20 77 65 20 63 61	f.the.route.was.installed,.we.ca
6bc0	6e 20 73 65 65 20 2d 62 65 74 77 65 65 6e 20 72 6f 75 6e 64 20 62 72 61 63 6b 65 74 73 2d 20 74	n.see.-between.round.brackets-.t
6be0	68 65 20 65 78 70 6f 72 74 65 64 20 56 52 46 20 74 61 62 6c 65 2e 00 41 73 20 77 65 20 63 61 6e	he.exported.VRF.table..As.we.can
6c00	20 73 65 65 20 74 68 69 73 20 69 73 20 75 6e 70 72 61 63 74 69 63 61 6c 2e 00 41 73 20 77 65 20	.see.this.is.unpractical..As.we.
6c20	6b 6e 6f 77 20 74 68 65 20 6d 61 69 6e 20 61 73 73 75 6d 70 74 69 6f 6e 20 6f 66 20 4c 33 56 50	know.the.main.assumption.of.L3VP
6c40	4e 20 e2 80 9c 48 75 62 20 61 6e 64 20 53 70 6f 6b 65 e2 80 9d 20 69 73 2c 20 74 68 61 74 20 74	N....Hub.and.Spoke....is,.that.t
6c60	68 65 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 73 70 6f 6b 65 73 20 68 61 76 65 20 74	he.traffic.between.spokes.have.t
6c80	6f 20 70 61 73 73 20 76 69 61 20 68 75 62 2c 20 69 6e 20 6f 75 72 20 73 63 65 6e 61 72 69 6f 20	o.pass.via.hub,.in.our.scenario.
6ca0	56 79 4f 53 2d 50 45 32 20 69 73 20 74 68 65 20 48 75 62 20 50 45 20 61 6e 64 20 74 68 65 20 56	VyOS-PE2.is.the.Hub.PE.and.the.V
6cc0	79 4f 53 2d 43 45 31 2d 48 55 42 20 69 73 20 74 68 65 20 63 65 6e 74 72 61 6c 20 63 75 73 74 6f	yOS-CE1-HUB.is.the.central.custo
6ce0	6d 65 72 20 6f 66 66 69 63 65 20 64 65 76 69 63 65 20 74 68 61 74 20 69 73 20 72 65 73 70 6f 6e	mer.office.device.that.is.respon
6d00	73 69 62 6c 65 20 66 6f 72 20 63 6f 6e 74 72 6f 6c 6c 69 6e 67 20 61 63 63 65 73 73 20 62 65 74	sible.for.controlling.access.bet
6d20	77 65 65 6e 20 61 6c 6c 20 73 70 6f 6b 65 73 20 61 6e 64 20 61 6e 6e 6f 75 6e 63 69 6e 67 20 69	ween.all.spokes.and.announcing.i
6d40	74 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 28 31 30 2e 30 2e 30 2e 31 30 30 2f	ts.network.prefixes.(10.0.0.100/
6d60	33 32 29 2e 20 56 79 4f 53 2d 50 45 32 20 68 61 73 20 74 68 65 20 6d 61 69 6e 20 56 52 46 20 28	32)..VyOS-PE2.has.the.main.VRF.(
6d80	69 74 73 20 6e 61 6d 65 20 69 73 20 42 4c 55 45 5f 48 55 42 29 2c 20 69 74 73 20 6f 77 6e 20 52	its.name.is.BLUE_HUB),.its.own.R
6da0	6f 75 74 65 2d 44 69 73 74 69 6e 67 75 69 73 68 65 72 28 52 44 29 20 61 6e 64 20 72 6f 75 74 65	oute-Distinguisher(RD).and.route
6dc0	2d 74 61 72 67 65 74 20 69 6d 70 6f 72 74 2f 65 78 70 6f 72 74 20 6c 69 73 74 73 2e 20 4d 75 6c	-target.import/export.lists..Mul
6de0	74 69 70 72 6f 74 6f 63 6f 6c 2d 42 47 50 28 4d 50 2d 42 47 50 29 20 64 65 6c 69 76 65 72 73 20	tiprotocol-BGP(MP-BGP).delivers.
6e00	4c 33 56 50 4e 20 72 65 6c 61 74 65 64 20 63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e 65 20 69 6e 66 6f	L3VPN.related.control-plane.info
6e20	72 6d 61 74 69 6f 6e 20 74 6f 20 74 68 65 20 6e 6f 64 65 73 20 61 63 72 6f 73 73 20 6e 65 74 77	rmation.to.the.nodes.across.netw
6e40	6f 72 6b 20 77 68 65 72 65 20 50 45 73 20 53 70 6f 6b 65 73 20 69 6d 70 6f 72 74 20 74 68 65 20	ork.where.PEs.Spokes.import.the.
6e60	72 6f 75 74 65 2d 74 61 72 67 65 74 20 36 30 35 33 35 3a 31 30 33 30 20 28 74 68 69 73 20 69 73	route-target.60535:1030.(this.is
6e80	20 65 78 70 6f 72 74 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 6f 66 20 76 72 66 20 42 4c 55 45	.export.route-target.of.vrf.BLUE
6ea0	5f 48 55 42 29 20 61 6e 64 20 65 78 70 6f 72 74 20 69 74 73 20 6f 77 6e 20 72 6f 75 74 65 2d 74	_HUB).and.export.its.own.route-t
6ec0	61 72 67 65 74 20 36 30 35 33 35 3a 31 30 31 31 28 74 68 69 73 20 69 73 20 76 72 66 20 42 4c 55	arget.60535:1011(this.is.vrf.BLU
6ee0	45 5f 53 50 4f 4b 45 20 65 78 70 6f 72 74 20 72 6f 75 74 65 2d 74 61 72 67 65 74 29 2e 20 54 68	E_SPOKE.export.route-target)..Th
6f00	65 72 65 66 6f 72 65 2c 20 74 68 65 20 43 75 73 74 6f 6d 65 72 20 65 64 67 65 20 6e 6f 64 65 73	erefore,.the.Customer.edge.nodes
6f20	20 63 61 6e 20 6f 6e 6c 79 20 6c 65 61 72 6e 20 74 68 65 20 6e 65 74 77 6f 72 6b 20 70 72 65 66	.can.only.learn.the.network.pref
6f40	69 78 65 73 20 6f 66 20 74 68 65 20 48 55 42 20 73 69 74 65 20 5b 31 30 2e 30 2e 30 2e 31 30 30	ixes.of.the.HUB.site.[10.0.0.100
6f60	2f 33 32 5d 2e 20 46 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 56 79 4f 53 2d 43 45 31 20	/32]..For.this.example.VyOS-CE1.
6f80	68 61 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 5b 31 30 2e 30 2e 30 2e 38 30 2f	has.network.prefixes.[10.0.0.80/
6fa0	33 32 5d 20 2f 20 56 79 4f 53 2d 43 45 32 20 68 61 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69	32]./.VyOS-CE2.has.network.prefi
6fc0	78 65 73 20 5b 31 30 2e 30 2e 30 2e 39 30 2f 33 32 5d 2e 20 52 6f 75 74 65 2d 52 65 66 6c 65 63	xes.[10.0.0.90/32]..Route-Reflec
6fe0	74 6f 72 20 64 65 76 69 63 65 73 20 56 79 4f 53 2d 52 52 31 20 61 6e 64 20 56 79 4f 53 2d 52 52	tor.devices.VyOS-RR1.and.VyOS-RR
7000	32 20 61 72 65 20 75 73 65 64 20 74 6f 20 73 69 6d 70 6c 69 66 79 20 6e 65 74 77 6f 72 6b 20 72	2.are.used.to.simplify.network.r
7020	6f 75 74 65 73 20 65 78 63 68 61 6e 67 65 20 61 6e 64 20 6d 69 6e 69 6d 69 7a 65 20 69 42 47 50	outes.exchange.and.minimize.iBGP
7040	20 70 65 65 72 69 6e 67 73 20 62 65 74 77 65 65 6e 20 64 65 76 69 63 65 73 2e 00 41 73 20 77 65	.peerings.between.devices..As.we
7060	20 73 65 65 20 73 68 61 70 65 72 20 69 73 20 77 6f 72 6b 69 6e 67 20 61 6e 64 20 74 68 65 20 74	.see.shaper.is.working.and.the.t
7080	72 61 66 66 69 63 20 77 69 6c 6c 20 6e 6f 74 20 77 6f 72 6b 20 6f 76 65 72 20 35 20 4d 62 69 74	raffic.will.not.work.over.5.Mbit
70a0	2f 73 2e 00 41 73 73 69 67 6e 20 65 78 74 65 72 6e 61 6c 20 49 50 20 61 64 64 72 65 73 73 65 73	/s..Assign.external.IP.addresses
70c0	00 41 73 73 75 6d 69 6e 67 20 74 68 65 20 70 69 6e 67 73 20 61 72 65 20 73 75 63 63 65 73 73 66	.Assuming.the.pings.are.successf
70e0	75 6c 2c 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 61 64 64 20 73 6f 6d 65 20 44 4e 53 20 73 65 72	ul,.you.need.to.add.some.DNS.ser
7100	76 65 72 73 2e 20 53 6f 6d 65 20 6f 70 74 69 6f 6e 73 3a 00 41 74 20 74 68 65 20 66 69 72 73 74	vers..Some.options:.At.the.first
7120	20 73 74 65 70 20 77 65 20 6e 65 65 64 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 49	.step.we.need.to.configure.the.I
7140	50 2f 4d 50 4c 53 20 62 61 63 6b 62 6f 6e 65 20 6e 65 74 77 6f 72 6b 20 75 73 69 6e 67 20 4f 53	P/MPLS.backbone.network.using.OS
7160	50 46 20 61 73 20 49 47 50 20 70 72 6f 74 6f 63 6f 6c 20 61 6e 64 20 4c 44 50 20 61 73 20 6c 61	PF.as.IGP.protocol.and.LDP.as.la
7180	62 65 6c 2d 73 77 69 74 63 68 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 66 6f 72 20 74 68 65 20 62	bel-switching.protocol.for.the.b
71a0	61 73 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 62 65 74 77 65 65 6e 20 2a 2a 50 2a 2a 20 28	ase.connectivity.between.P.(
71c0	72 6f 76 69 64 65 72 29 2c 20 2a 2a 50 2a 2a 20 28 72 6f 76 69 64 65 72 29 20 2a 2a 45 2a 2a 20	rovider),.P.(rovider).E.
71e0	28 64 67 65 29 20 61 6e 64 20 2a 2a 52 2a 2a 20 28 6f 75 74 65 29 20 2a 2a 52 2a 2a 20 28 65 66	(dge).and.R.(oute).R.(ef
7200	6c 65 63 74 6f 72 29 20 6e 6f 64 65 73 3a 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f	lector).nodes:.At.this.point,.yo
7220	75 20 6e 6f 77 20 6e 65 65 64 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 58 20 6c 69 6e 6b 20	u.now.need.to.create.the.X.link.
7240	62 65 74 77 65 65 6e 20 61 6c 6c 20 66 6f 75 72 20 72 6f 75 74 65 72 73 2e 20 55 73 65 20 61 6d	between.all.four.routers..Use.am
7260	64 69 66 66 65 72 65 6e 74 20 2f 33 30 20 66 6f 72 20 65 61 63 68 20 6c 69 6e 6b 2e 00 41 74 20	different./30.for.each.link..At.
7280	74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74	this.point,.you.should.be.able.t
72a0	6f 20 53 53 48 20 69 6e 74 6f 20 62 6f 74 68 20 6f 66 20 74 68 65 6d 2c 20 61 6e 64 20 77 69 6c	o.SSH.into.both.of.them,.and.wil
72c0	6c 20 6e 6f 20 6c 6f 6e 67 65 72 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 63	l.no.longer.need.access.to.the.c
72e0	6f 6e 73 6f 6c 65 20 28 75 6e 6c 65 73 73 20 79 6f 75 20 62 72 65 61 6b 20 73 6f 6d 65 74 68 69	onsole.(unless.you.break.somethi
7300	6e 67 21 29 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62	ng!).At.this.point,.you.should.b
7320	65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 62 6f 74 68 20 49 50 20 61 64 64 72 65 73 73 65 73 20	e.able.to.see.both.IP.addresses.
7340	77 68 65 6e 20 79 6f 75 20 72 75 6e 20 60 60 73 68 6f 77 20 69 6e 74 65 72 66 61 63 65 73 60 60	when.you.run.``show.interfaces``
7360	5c 20 2c 20 61 6e 64 20 60 60 73 68 6f 77 20 76 72 72 70 60 60 20 73 68 6f 75 6c 64 20 73 68 6f	\.,.and.``show.vrrp``.should.sho
7380	77 20 62 6f 74 68 20 69 6e 74 65 72 66 61 63 65 73 20 69 6e 20 4d 41 53 54 45 52 20 73 74 61 74	w.both.interfaces.in.MASTER.stat
73a0	65 20 28 61 6e 64 20 53 4c 41 56 45 20 73 74 61 74 65 20 6f 6e 20 72 6f 75 74 65 72 32 29 2e 00	e.(and.SLAVE.state.on.router2)..
73c0	41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 72 20 56 79 4f 53 20 69 6e 73 74 61 6c 6c	At.this.point,.your.VyOS.install
73e0	20 73 68 6f 75 6c 64 20 68 61 76 65 20 66 75 6c 6c 20 49 50 76 36 2c 20 62 75 74 20 6e 6f 77 20	.should.have.full.IPv6,.but.now.
7400	79 6f 75 72 20 4c 41 4e 20 64 65 76 69 63 65 73 20 6e 65 65 64 20 61 63 63 65 73 73 2e 00 41 74	your.LAN.devices.need.access..At
7420	20 74 68 69 73 20 73 74 65 70 20 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 65 6e 61 62 6c	.this.step.we.are.going.to.enabl
7440	65 20 69 42 47 50 20 70 72 6f 74 6f 63 6f 6c 20 6f 6e 20 4d 50 4c 53 20 6e 6f 64 65 73 20 61 6e	e.iBGP.protocol.on.MPLS.nodes.an
7460	64 20 52 6f 75 74 65 20 52 65 66 6c 65 63 74 6f 72 73 20 28 74 77 6f 20 72 6f 75 74 65 72 73 20	d.Route.Reflectors.(two.routers.
7480	66 6f 72 20 72 65 64 75 6e 64 61 6e 63 79 29 20 74 68 61 74 20 77 69 6c 6c 20 64 65 6c 69 76 65	for.redundancy).that.will.delive
74a0	72 20 49 50 76 34 20 56 50 4e 20 28 4c 33 56 50 4e 29 20 72 6f 75 74 65 73 20 62 65 74 77 65 65	r.IPv4.VPN.(L3VPN).routes.betwee
74c0	6e 20 74 68 65 6d 3a 00 41 7a 75 72 65 20 41 53 4e 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74	n.them:.Azure.ASN.Azure.VNet.Gat
74e0	65 77 61 79 20 31 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65	eway.1.public.IP.Azure.VNet.Gate
7500	77 61 79 20 32 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77	way.2.public.IP.Azure.VNet.Gatew
7520	61 79 20 42 47 50 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 70 75 62	ay.BGP.IP.Azure.VNet.Gateway.pub
7540	6c 69 63 20 49 50 00 41 7a 75 72 65 20 61 64 64 72 65 73 73 20 73 70 61 63 65 00 42 47 50 00 42	lic.IP.Azure.address.space.BGP.B
7560	47 50 20 49 50 76 36 20 75 6e 6e 75 6d 62 65 72 65 64 20 77 69 74 68 20 65 78 74 65 6e 64 65 64	GP.IPv6.unnumbered.with.extended
7580	20 6e 65 78 74 68 6f 70 00 42 47 50 20 69 73 20 61 6e 20 65 78 74 72 65 6d 65 6c 79 20 63 6f 6d	.nexthop.BGP.is.an.extremely.com
75a0	70 6c 65 78 20 6e 65 74 77 6f 72 6b 20 70 72 6f 74 6f 63 6f 6c 2e 20 41 6e 20 65 78 61 6d 70 6c	plex.network.protocol..An.exampl
75c0	65 20 69 73 20 70 72 6f 76 69 64 65 64 20 68 65 72 65 2e 00 42 4c 55 45 5f 48 55 42 00 42 4c 55	e.is.provided.here..BLUE_HUB.BLU
75e0	45 5f 53 50 4f 4b 45 00 42 61 73 65 64 20 6f 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78	E_SPOKE.Based.on.the.previous.ex
7600	61 6d 70 6c 65 2c 20 61 6e 6f 74 68 65 72 20 72 75 6c 65 20 66 6f 72 20 74 72 61 66 66 69 63 20	ample,.another.rule.for.traffic.
7620	66 72 6f 6d 20 74 68 65 20 73 65 63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 33 20 63	from.the.second.interface.eth3.c
7640	61 6e 20 62 65 20 61 64 64 65 64 20 74 6f 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72	an.be.added.to.the.load.balancer
7660	2e 20 48 6f 77 65 76 65 72 2c 20 74 72 61 66 66 69 63 20 6d 65 61 6e 74 20 74 6f 20 66 6c 6f 77	..However,.traffic.meant.to.flow
7680	20 62 65 74 77 65 65 6e 20 74 68 65 20 4c 41 4e 20 73 75 62 6e 65 74 73 20 77 69 6c 6c 20 62 65	.between.the.LAN.subnets.will.be
76a0	20 73 65 6e 74 20 74 6f 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 61 73 20 77 65 6c 6c 2e 20	.sent.to.eth0.and.eth1.as.well..
76c0	54 6f 20 70 72 65 76 65 6e 74 20 74 68 69 73 2c 20 61 6e 6f 74 68 65 72 20 72 75 6c 65 20 69 73	To.prevent.this,.another.rule.is
76e0	20 72 65 71 75 69 72 65 64 2e 20 54 68 69 73 20 72 75 6c 65 20 65 78 63 6c 75 64 65 73 20 74 72	.required..This.rule.excludes.tr
7700	61 66 66 69 63 20 62 65 74 77 65 65 6e 20 74 68 65 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20	affic.between.the.local.subnets.
7720	66 72 6f 6d 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 2e 20 49 74 20 61 6c 73 6f 20	from.the.load.balancer..It.also.
7740	65 78 63 6c 75 64 65 73 20 6c 6f 63 61 6c 6c 79 2d 73 6f 75 72 63 65 73 20 70 61 63 6b 65 74 73	excludes.locally-sources.packets
7760	20 28 72 65 71 75 69 72 65 64 20 66 6f 72 20 77 65 62 20 63 61 63 68 69 6e 67 20 77 69 74 68 20	.(required.for.web.caching.with.
7780	6c 6f 61 64 20 62 61 6c 61 6e 63 69 6e 67 29 2e 20 65 74 68 2b 20 69 73 20 75 73 65 64 20 61 73	load.balancing)..eth+.is.used.as
77a0	20 61 6e 20 61 6c 69 61 73 20 74 68 61 74 20 72 65 66 65 72 73 20 74 6f 20 61 6c 6c 20 65 74 68	.an.alias.that.refers.to.all.eth
77c0	65 72 6e 65 74 20 69 6e 74 65 72 66 61 63 65 73 3a 00 42 61 73 69 63 20 46 69 72 65 77 61 6c 6c	ernet.interfaces:.Basic.Firewall
77e0	00 42 61 73 69 63 20 53 65 74 75 70 20 28 76 69 61 20 63 6f 6e 73 6f 6c 65 29 00 42 61 73 69 63	.Basic.Setup.(via.console).Basic
7800	20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 61 6e 73 69 62 6c 65 2e 63 66 67 3a 00 42	.configuration.of.ansible.cfg:.B
7820	61 73 69 6b 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 61 6e 73 69 62 6c	asik.configuration.of.the.ansibl
7840	65 2e 63 66 67 3a 00 42 65 66 6f 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 30	e.cfg:.Before.the.interface.eth0
7860	20 6f 6e 20 72 6f 75 74 65 72 20 56 79 4f 53 33 00 42 6f 6e 64 69 6e 67 20 6f 6e 20 48 61 72 64	.on.router.VyOS3.Bonding.on.Hard
7880	77 61 72 65 20 52 6f 75 74 65 72 00 42 6f 74 68 20 4c 41 4e 73 20 68 61 76 65 20 74 6f 20 62 65	ware.Router.Both.LANs.have.to.be
78a0	20 61 62 6c 65 20 74 6f 20 72 6f 75 74 65 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65	.able.to.route.between.each.othe
78c0	72 2c 20 62 6f 74 68 20 77 69 6c 6c 20 68 61 76 65 20 6d 61 6e 61 67 65 64 20 64 65 76 69 63 65	r,.both.will.have.managed.device
78e0	73 20 74 68 72 6f 75 67 68 20 61 20 64 65 64 69 63 61 74 65 64 20 6d 61 6e 61 67 65 6d 65 6e 74	s.through.a.dedicated.management
7900	20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 62 6f 74 68 20 77 69 6c 6c 20 6e 65 65 64 20 49 6e 74 65	.network.and.both.will.need.Inte
7920	72 6e 65 74 20 61 63 63 65 73 73 20 79 65 74 20 74 68 65 20 4c 41 4e 32 20 77 69 6c 6c 20 6e 65	rnet.access.yet.the.LAN2.will.ne
7940	65 64 20 61 63 63 65 73 73 20 74 6f 20 73 6f 6d 65 20 73 65 74 20 6f 66 20 6f 75 74 73 69 64 65	ed.access.to.some.set.of.outside
7960	20 6e 65 74 77 6f 72 6b 73 2c 20 6e 6f 74 20 61 6c 6c 2e 20 54 68 65 20 6d 61 6e 61 67 65 6d 65	.networks,.not.all..The.manageme
7980	6e 74 20 6e 65 74 77 6f 72 6b 20 77 69 6c 6c 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 62	nt.network.will.need.access.to.b
79a0	6f 74 68 20 4c 41 4e 73 20 62 75 74 20 63 61 6e 6e 6f 74 20 68 61 76 65 20 61 63 63 65 73 73 20	oth.LANs.but.cannot.have.access.
79c0	74 6f 2f 66 72 6f 6d 20 74 68 65 20 6f 75 74 73 69 64 65 2e 00 42 72 61 6e 63 68 00 42 72 69 64	to/from.the.outside..Branch.Brid
79e0	67 65 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 65 78 61 6d 70 6c 65 00 42 72 69 64 67 65 20 62	ge.and.firewall.example.Bridge.b
7a00	72 30 3a 00 42 72 69 64 67 65 20 62 72 31 3a 00 42 72 69 64 67 65 20 62 72 32 3a 00 42 72 69 64	r0:.Bridge.br1:.Bridge.br2:.Brid
7a20	67 65 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 42 72 69 64 67 65	ge.firewall.configuration.Bridge
7a40	20 66 69 72 65 77 61 6c 6c 20 72 75 6c 73 65 74 3a 00 42 72 69 64 67 65 73 20 61 6e 64 20 69 6e	.firewall.rulset:.Bridges.and.in
7a60	74 65 72 66 61 63 65 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 42 79 20 64 65 66 61 75 6c	terfaces.configuration.By.defaul
7a80	74 2c 20 69 70 74 61 62 6c 65 73 20 64 6f 65 73 20 6e 6f 74 20 61 6c 6c 6f 77 20 74 72 61 66 66	t,.iptables.does.not.allow.traff
7aa0	69 63 20 66 6f 72 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 65 73 73 69 6f 6e 73 20 74 6f 20 72	ic.for.established.sessions.to.r
7ac0	65 74 75 72 6e 2c 20 73 6f 20 79 6f 75 20 6d 75 73 74 20 65 78 70 6c 69 63 69 74 6c 79 20 61 6c	eturn,.so.you.must.explicitly.al
7ae0	6c 6f 77 20 74 68 69 73 2e 20 49 20 64 6f 20 74 68 69 73 20 62 79 20 61 64 64 69 6e 67 20 74 77	low.this..I.do.this.by.adding.tw
7b00	6f 20 72 75 6c 65 73 20 74 6f 20 65 76 65 72 79 20 72 75 6c 65 73 65 74 2e 20 31 20 61 6c 6c 6f	o.rules.to.every.ruleset..1.allo
7b20	77 73 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20 73 74 61 74 65	ws.established.and.related.state
7b40	20 70 61 63 6b 65 74 73 20 74 68 72 6f 75 67 68 20 61 6e 64 20 72 75 6c 65 20 32 20 64 72 6f 70	.packets.through.and.rule.2.drop
7b60	73 20 61 6e 64 20 6c 6f 67 73 20 69 6e 76 61 6c 69 64 20 73 74 61 74 65 20 70 61 63 6b 65 74 73	s.and.logs.invalid.state.packets
7b80	2e 20 57 65 20 70 6c 61 63 65 20 74 68 65 20 65 73 74 61 62 6c 69 73 68 65 64 2f 72 65 6c 61 74	..We.place.the.established/relat
7ba0	65 64 20 72 75 6c 65 20 61 74 20 74 68 65 20 74 6f 70 20 62 65 63 61 75 73 65 20 74 68 65 20 76	ed.rule.at.the.top.because.the.v
7bc0	61 73 74 20 6d 61 6a 6f 72 69 74 79 20 6f 66 20 74 72 61 66 66 69 63 20 6f 6e 20 61 20 6e 65 74	ast.majority.of.traffic.on.a.net
7be0	77 6f 72 6b 20 69 73 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 74 68 65 20 69 6e 76 61	work.is.established.and.the.inva
7c00	6c 69 64 20 72 75 6c 65 20 74 6f 20 70 72 65 76 65 6e 74 20 69 6e 76 61 6c 69 64 20 73 74 61 74	lid.rule.to.prevent.invalid.stat
7c20	65 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 6d 69 73 74 61 6b 65 6e 6c 79 20 62 65 69 6e 67 20	e.packets.from.mistakenly.being.
7c40	6d 61 74 63 68 65 64 20 61 67 61 69 6e 73 74 20 6f 74 68 65 72 20 72 75 6c 65 73 2e 20 48 61 76	matched.against.other.rules..Hav
7c60	69 6e 67 20 74 68 65 20 6d 6f 73 74 20 6d 61 74 63 68 65 64 20 72 75 6c 65 20 6c 69 73 74 65 64	ing.the.most.matched.rule.listed
7c80	20 66 69 72 73 74 20 72 65 64 75 63 65 73 20 43 50 55 20 6c 6f 61 64 20 69 6e 20 68 69 67 68 20	.first.reduces.CPU.load.in.high.
7ca0	76 6f 6c 75 6d 65 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 73 2e 20 4e 6f 74 65 3a 20 49 20 68 61 76	volume.environments..Note:.I.hav
7cc0	65 20 66 69 6c 65 64 20 61 20 62 75 67 20 74 6f 20 68 61 76 65 20 74 68 69 73 20 61 64 64 65 64	e.filed.a.bug.to.have.this.added
7ce0	20 61 73 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 61 73 20 77 65 6c 6c 2e 00 43 45	.as.a.default.action.as.well..CE
7d00	20 48 75 62 20 64 65 76 69 63 65 00 43 53 34 20 2d 3e 20 43 53 35 00 43 65 6e 74 72 61 6c 00 43	.Hub.device.CS4.->.CS5.Central.C
7d20	68 65 63 6b 20 61 6c 6c 20 70 6f 73 73 69 62 6c 65 20 73 65 74 74 69 6e 67 73 20 60 68 65 72 65	heck.all.possible.settings.`here
7d40	20 3c 68 74 74 70 73 3a 2f 2f 67 69 74 68 75 62 2e 63 6f 6d 2f 74 68 72 65 65 72 69 6e 67 73 2f	.<https://github.com/threerings/
7d60	6f 70 65 6e 76 70 6e 2d 61 75 74 68 2d 6c 64 61 70 2f 62 6c 6f 62 2f 6d 61 73 74 65 72 2f 61 75	openvpn-auth-ldap/blob/master/au
7d80	74 68 2d 6c 64 61 70 2e 63 6f 6e 66 3e 60 5f 00 43 68 65 63 6b 20 74 68 65 20 42 47 50 20 56 52	th-ldap.conf>`_.Check.the.BGP.VR
7da0	46 20 74 61 62 6c 65 20 61 6e 64 20 76 65 72 69 66 79 20 69 66 20 74 68 65 20 73 74 61 74 69 63	F.table.and.verify.if.the.static
7dc0	20 72 6f 75 74 65 73 20 61 72 65 20 69 6e 6a 65 63 74 65 64 20 73 68 6f 77 69 6e 67 20 74 68 65	.routes.are.injected.showing.the
7de0	20 63 6f 72 72 65 63 74 20 6e 65 78 74 2d 68 6f 70 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 43	.correct.next-hop.information..C
7e00	68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 00 43 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74	heck.the.result.Check.the.result
7e20	20 6f 6e 20 74 68 65 20 76 79 6f 73 31 30 20 72 6f 75 74 65 72 3a 00 43 68 65 63 6b 20 74 68 65	.on.the.vyos10.router:.Check.the
7e40	20 72 65 73 75 6c 74 2e 00 43 68 65 63 6b 20 74 68 65 20 76 65 72 73 69 6f 6e 3a 00 43 68 65 63	.result..Check.the.version:.Chec
7e60	6b 69 6e 67 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6f 66 20 74 68 65 20 56 52	king.the.routing.table.of.the.VR
7e80	46 20 73 68 6f 75 6c 64 20 72 65 76 65 61 6c 20 62 6f 74 68 20 73 74 61 74 69 63 20 61 6e 64 20	F.should.reveal.both.static.and.
7ea0	63 6f 6e 6e 65 63 74 65 64 20 65 6e 74 72 69 65 73 20 61 63 74 69 76 65 2e 20 41 20 50 49 4e 47	connected.entries.active..A.PING
7ec0	20 74 65 73 74 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 61 6e 64 20 72 65 6d 6f 74	.test.between.the.Core.and.remot
7ee0	65 20 72 6f 75 74 65 72 20 69 73 20 61 20 77 61 79 20 74 6f 20 76 61 6c 69 64 61 74 65 20 63 6f	e.router.is.a.way.to.validate.co
7f00	6e 6e 65 63 74 69 76 69 74 79 20 77 69 74 68 69 6e 20 74 68 65 20 56 52 46 2e 00 43 68 65 63 6b	nnectivity.within.the.VRF..Check
7f20	69 6e 67 20 74 68 72 6f 75 67 68 20 6f 70 2d 6d 6f 64 65 20 63 6f 6d 6d 61 6e 64 73 00 43 69 73	ing.through.op-mode.commands.Cis
7f40	63 6f 00 43 69 73 63 6f 20 56 50 43 20 43 72 6f 73 73 63 6f 6e 6e 65 63 74 20 2d 20 50 6f 72 74	co.Cisco.VPC.Crossconnect.-.Port
7f60	73 20 33 39 20 61 6e 64 20 34 30 20 62 6f 6e 64 65 64 20 62 65 74 77 65 65 6e 20 65 61 63 68 20	s.39.and.40.bonded.between.each.
7f80	73 77 69 74 63 68 00 43 6c 61 6d 70 20 74 68 65 20 56 54 49 27 73 20 4d 53 53 20 74 6f 20 31 33	switch.Clamp.the.VTI's.MSS.to.13
7fa0	35 30 20 74 6f 20 61 76 6f 69 64 20 50 4d 54 55 20 62 6c 61 63 6b 68 6f 6c 65 73 2e 00 43 6c 69	50.to.avoid.PMTU.blackholes..Cli
7fc0	65 6e 74 00 43 6c 69 65 6e 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 6f 6d 6d 75 6e 69	ent.Client.configuration.Communi
7fe0	63 61 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20 73	cation.between.private.subnets.s
8000	68 6f 75 6c 64 20 62 65 20 64 6f 6e 65 20 74 68 72 6f 75 67 68 20 49 50 53 65 63 20 74 75 6e 6e	hould.be.done.through.IPSec.tunn
8020	65 6c 20 77 69 74 68 6f 75 74 20 4e 41 54 2e 00 43 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 62 65	el.without.NAT..Communication.be
8040	74 77 65 65 6e 20 70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20 73 68 6f 75 6c 64 20 62 65 20	tween.private.subnets.should.be.
8060	64 6f 6e 65 20 74 68 72 6f 75 67 68 20 69 70 73 65 63 20 74 75 6e 6e 65 6c 20 77 69 74 68 6f 75	done.through.ipsec.tunnel.withou
8080	74 20 6e 61 74 2e 00 43 6f 6e 63 6c 75 73 69 6f 6e 73 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e	t.nat..Conclusions.Configuration
80a0	00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27 4e 4d 50 27 00 43 6f 6e 66 69 67 75 72 61 74 69	.Configuration.'NMP'.Configurati
80c0	6f 6e 20 27 56 79 4f 53 27 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27 64 63 73 70 27 20 61	on.'VyOS'.Configuration.'dcsp'.a
80e0	6e 64 20 73 68 61 70 65 72 20 75 73 69 6e 67 20 51 6f 53 00 43 6f 6e 66 69 67 75 72 61 74 69 6f	nd.shaper.using.QoS.Configuratio
8100	6e 20 42 6c 75 65 70 72 69 6e 74 73 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 42 6c 75 65 70	n.Blueprints.Configuration.Bluep
8120	72 69 6e 74 73 20 28 61 75 74 6f 74 65 73 74 29 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 56	rints.(autotest).Configuration.V
8140	79 4f 53 20 61 73 20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 00 43 6f 6e 66 69 67 75 72 61 74	yOS.as.OpenVPN.Server.Configurat
8160	69 6f 6e 20 6f 66 20 62 61 73 69 63 20 66 69 72 65 77 61 6c 6c 20 69 6e 20 6f 6e 65 20 73 69 74	ion.of.basic.firewall.in.one.sit
8180	65 2c 20 69 6e 20 6f 72 64 65 72 20 74 6f 3a 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 43	e,.in.order.to:.Configuration:.C
81a0	6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 00 43 6f 6e 66 69 67 75 72 65 20 56 79 4f 53 20 61 73 20	onfigurations.Configure.VyOS.as.
81c0	4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 00 43 6f 6e 66 69 67 75 72 65 20 56 79 4f 53 20 61 73	OpenVPN.Server.Configure.VyOS.as
81e0	20 63 6c 69 65 6e 74 00 43 6f 6e 66 69 67 75 72 65 20 57 69 72 65 67 75 61 72 64 00 43 6f 6e 66	.client.Configure.Wireguard.Conf
8200	69 67 75 72 65 20 61 20 56 54 49 20 77 69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 20 61 64 64 72	igure.a.VTI.with.a.dummy.IP.addr
8220	65 73 73 00 43 6f 6e 66 69 67 75 72 65 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 20 61 6e 64	ess.Configure.conntrack-sync.and
8240	20 65 6e 61 62 6c 65 20 68 65 6c 70 65 72 73 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 49 4b	.enable.helpers.Configure.the.IK
8260	45 20 61 6e 64 20 45 53 50 20 73 65 74 74 69 6e 67 73 20 74 6f 20 6d 61 74 63 68 20 61 20 73 75	E.and.ESP.settings.to.match.a.su
8280	62 73 65 74 20 6f 66 20 74 68 6f 73 65 20 73 75 70 70 6f 72 74 65 64 20 62 79 20 41 7a 75 72 65	bset.of.those.supported.by.Azure
82a0	3a 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 56 50 4e 20 74 75 6e 6e 65 6c 00 43 6f 6e 66 69	:.Configure.the.VPN.tunnel.Confi
82c0	67 75 72 65 20 74 68 65 20 56 50 4e 20 74 75 6e 6e 65 6c 73 00 43 6f 6e 66 69 67 75 72 65 20 74	gure.the.VPN.tunnels.Configure.t
82e0	68 65 20 57 41 4e 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 20 77 69 74 68 20 74 68 65 20 70 61	he.WAN.load.balancer.with.the.pa
8300	72 61 6d 65 74 65 72 73 20 64 65 73 63 72 69 62 65 64 20 61 62 6f 76 65 3a 00 43 6f 6e 66 69 67	rameters.described.above:.Config
8320	75 72 65 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 00 43 6f 6e 66 69 67 75 72 65 20	ure.the.load.balancer.Configure.
8340	74 77 6f 20 56 54 49 73 20 77 69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 20 61 64 64 72 65 73 73	two.VTIs.with.a.dummy.IP.address
8360	20 65 61 63 68 00 43 6f 6e 66 69 67 75 72 65 20 79 6f 75 72 20 42 47 50 20 73 65 74 74 69 6e 67	.each.Configure.your.BGP.setting
8380	73 00 43 6f 6e 6e 74 72 61 63 6b 20 68 65 6c 70 65 72 20 6d 6f 64 75 6c 65 73 20 61 72 65 20 65	s.Conntrack.helper.modules.are.e
83a0	6e 61 62 6c 65 64 20 62 79 20 64 65 66 61 75 6c 74 2c 20 62 75 74 20 74 68 65 79 20 74 65 6e 64	nabled.by.default,.but.they.tend
83c0	20 74 6f 20 63 61 75 73 65 20 6d 6f 72 65 20 70 72 6f 62 6c 65 6d 73 20 74 68 61 6e 20 74 68 65	.to.cause.more.problems.than.the
83e0	79 27 72 65 20 77 6f 72 74 68 20 69 6e 20 63 6f 6d 70 6c 65 78 20 6e 65 74 77 6f 72 6b 73 2e 20	y're.worth.in.complex.networks..
8400	59 6f 75 20 63 61 6e 20 64 69 73 61 62 6c 65 20 61 6c 6c 20 6f 66 20 74 68 65 6d 20 61 74 20 6f	You.can.disable.all.of.them.at.o
8420	6e 65 20 67 6f 2e 00 43 6f 6e 73 69 64 65 72 20 68 6f 77 20 74 6f 20 71 75 69 63 6b 6c 79 20 73	ne.go..Consider.how.to.quickly.s
8440	65 74 20 75 70 20 4e 4d 50 20 61 6e 64 20 56 79 4f 53 20 66 6f 72 20 6d 6f 6e 69 74 6f 72 69 6e	et.up.NMP.and.VyOS.for.monitorin
8460	67 2e 20 4e 4d 50 20 69 73 20 6d 75 6c 74 69 2d 76 65 6e 64 6f 72 20 6e 65 74 77 6f 72 6b 20 6d	g..NMP.is.multi-vendor.network.m
8480	6f 6e 69 74 6f 72 69 6e 67 20 66 72 6f 6d 20 27 53 6f 6c 61 72 57 69 6e 64 73 27 20 62 75 69 6c	onitoring.from.'SolarWinds'.buil
84a0	74 20 74 6f 20 73 63 61 6c 65 20 61 6e 64 20 65 78 70 61 6e 64 20 77 69 74 68 20 74 68 65 20 6e	t.to.scale.and.expand.with.the.n
84c0	65 65 64 73 20 6f 66 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 2e 00 43 6f 72 65 00 43 6f 72 65 20	eeds.of.your.network..Core.Core.
84e0	52 6f 75 74 65 72 00 43 6f 72 65 20 6e 65 74 77 6f 72 6b 00 43 72 65 61 74 65 20 45 78 70 6f 72	Router.Core.network.Create.Expor
8500	74 20 46 69 6c 74 65 72 00 43 72 65 61 74 65 20 49 6d 70 6f 72 74 20 46 69 6c 74 65 72 00 43 72	t.Filter.Create.Import.Filter.Cr
8520	65 61 74 65 20 56 52 52 50 20 73 79 6e 63 2d 67 72 6f 75 70 00 43 72 65 61 74 65 20 61 20 4c 41	eate.VRRP.sync-group.Create.a.LA
8540	43 50 20 62 6f 6e 64 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 20	CP.bond.on.the.hardware.router..
8560	57 65 20 61 72 65 20 61 73 73 75 6d 69 6e 67 20 74 68 61 74 20 65 74 68 30 20 61 6e 64 20 65 74	We.are.assuming.that.eth0.and.et
8580	68 31 20 61 72 65 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 70 6f 72 74 20 38 20 6f 6e 20 62 6f	h1.are.connected.to.port.8.on.bo
85a0	74 68 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 74 68 61 74 20 74 68 6f 73 65 20 70 6f 72 74	th.switches,.and.that.those.port
85c0	73 20 61 72 65 20 63 6f 6e 66 69 67 75 72 65 64 20 61 73 20 61 20 50 6f 72 74 2d 43 68 61 6e 6e	s.are.configured.as.a.Port-Chann
85e0	65 6c 2e 00 43 72 65 61 74 65 20 61 6e 20 27 41 6c 6c 20 56 4c 41 4e 73 27 20 6e 65 74 77 6f 72	el..Create.an.'All.VLANs'.networ
8600	6b 20 67 72 6f 75 70 2c 20 74 68 61 74 20 70 61 73 73 65 73 20 61 6c 6c 20 74 72 75 6e 6b 65 64	k.group,.that.passes.all.trunked
8620	20 74 72 61 66 66 69 63 20 74 68 72 6f 75 67 68 20 74 6f 20 74 68 65 20 56 4d 2e 20 41 74 74 61	.traffic.through.to.the.VM..Atta
8640	63 68 20 74 68 69 73 20 6e 65 74 77 6f 72 6b 20 67 72 6f 75 70 20 74 6f 20 72 6f 75 74 65 72 31	ch.this.network.group.to.router1
8660	20 61 73 20 65 74 68 30 2e 00 43 72 65 61 74 65 20 69 6e 74 65 72 66 61 63 65 20 77 65 69 67 68	.as.eth0..Create.interface.weigh
8680	74 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 72 65 61 74 65 20 72 75 6c	t.based.configuration.Create.rul
86a0	65 20 6f 72 64 65 72 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 72 65 61	e.order.based.configuration.Crea
86c0	74 65 20 72 75 6c 65 20 6f 72 64 65 72 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f	te.rule.order.based.configuratio
86e0	6e 20 77 69 74 68 20 6c 6f 77 20 73 70 65 65 64 20 73 65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 00	n.with.low.speed.secondary.link.
8700	43 72 65 61 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 68 72 6f 75 67 68 20 74 68 65	Create.static.routes.through.the
8720	20 74 77 6f 20 49 53 50 73 20 74 6f 77 61 72 64 73 20 74 68 65 20 70 69 6e 67 20 74 61 72 67 65	.two.ISPs.towards.the.ping.targe
8740	74 73 20 61 6e 64 20 63 6f 6d 6d 69 74 20 74 68 65 20 63 68 61 6e 67 65 73 3a 00 43 72 65 61 74	ts.and.commit.the.changes:.Creat
8760	65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 6f 20 70 69 6e 67 20 74 61 72 67 65 74 73 00	e.static.routes.to.ping.targets.
8780	43 72 65 61 74 65 20 79 6f 75 72 20 72 6f 75 74 65 72 31 20 56 4d 2e 20 53 6f 20 69 74 20 63 61	Create.your.router1.VM..So.it.ca
87a0	6e 20 77 69 74 68 73 74 61 6e 64 20 61 20 56 4d 20 48 6f 73 74 20 66 61 69 6c 69 6e 67 20 6f 72	n.withstand.a.VM.Host.failing.or
87c0	20 61 20 6e 65 74 77 6f 72 6b 20 6c 69 6e 6b 20 66 61 69 6c 69 6e 67 2e 20 55 73 69 6e 67 20 56	.a.network.link.failing..Using.V
87e0	4d 77 61 72 65 2c 20 74 68 69 73 20 69 73 20 61 63 68 69 65 76 65 64 20 62 79 20 65 6e 61 62 6c	Mware,.this.is.achieved.by.enabl
8800	69 6e 67 20 76 53 70 68 65 72 65 20 44 52 53 2c 20 76 53 70 68 65 72 65 20 41 76 61 69 6c 61 62	ing.vSphere.DRS,.vSphere.Availab
8820	69 6c 69 74 79 2c 20 61 6e 64 20 63 72 65 61 74 69 6e 67 20 61 20 44 69 73 74 72 69 62 75 74 65	ility,.and.creating.a.Distribute
8840	64 20 50 6f 72 74 20 47 72 6f 75 70 20 74 68 61 74 20 75 73 65 73 20 4c 41 43 50 2e 00 44 48 43	d.Port.Group.that.uses.LACP..DHC
8860	50 20 52 65 6c 61 79 20 74 72 6f 75 67 68 20 47 52 45 2d 42 72 69 64 67 65 00 44 48 43 50 2d 52	P.Relay.trough.GRE-Bridge.DHCP-R
8880	65 6c 61 79 00 44 48 43 50 2d 53 65 72 76 65 72 00 44 48 43 50 76 36 2d 50 44 20 53 65 74 75 70	elay.DHCP-Server.DHCPv6-PD.Setup
88a0	00 44 4d 5a 20 63 61 6e 6e 6f 74 20 61 63 63 65 73 73 20 4c 41 4e 20 72 65 73 6f 75 72 63 65 73	.DMZ.cannot.access.LAN.resources
88c0	2e 00 44 4d 5a 2d 4c 41 4e 20 70 6f 6c 69 63 79 20 69 73 20 4c 41 4e 2d 44 4d 5a 2e 20 59 6f 75	..DMZ-LAN.policy.is.LAN-DMZ..You
88e0	20 63 61 6e 20 67 65 74 20 61 20 72 68 79 74 68 6d 20 74 6f 20 69 74 20 77 68 65 6e 20 79 6f 75	.can.get.a.rhythm.to.it.when.you
8900	20 62 75 69 6c 64 20 6f 75 74 20 61 20 62 75 6e 63 68 20 61 74 20 6f 6e 65 20 74 69 6d 65 2e 00	.build.out.a.bunch.at.one.time..
8920	44 65 6e 79 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 2e 00 44 65 6e 79 20	Deny.access.to.the.router..Deny.
8940	63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 69 6e 74 65 72 6e 65 74 28 57 41 4e 29 2e 00 44 65	connections.to.internet(WAN)..De
8960	73 69 67 6e 00 44 65 76 69 63 65 2d 41 00 44 65 76 69 63 65 2d 42 00 44 69 61 67 72 61 6d 20 75	sign.Device-A.Device-B.Diagram.u
8980	73 65 64 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 3a 00 44 72 6f 70 20 61 6c 6c 20 44 48	sed.in.this.example:.Drop.all.DH
89a0	43 50 20 64 69 73 63 6f 76 65 72 20 70 61 63 6b 65 74 73 2e 00 44 72 6f 70 20 61 6c 6c 20 49 50	CP.discover.packets..Drop.all.IP
89c0	76 36 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 44 72 6f 70 20 61 6c 6c 20 6f 74 68 65 72 20 49	v6.connections..Drop.all.other.I
89e0	50 76 34 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 44 72 6f 70 20 63 6f 6e 6e 65 63 74 69 6f 6e	Pv4.connections..Drop.connection
8a00	73 20 74 6f 20 6f 74 68 65 72 20 4c 41 4e 73 2e 00 44 75 70 6c 69 63 61 74 65 20 63 6f 6e 66 69	s.to.other.LANs..Duplicate.confi
8a20	67 75 72 61 74 69 6f 6e 00 44 75 72 69 6e 67 20 61 64 64 72 65 73 73 20 63 6f 6e 66 69 67 75 72	guration.During.address.configur
8a40	61 74 69 6f 6e 2c 20 69 6e 20 61 64 64 69 74 69 6f 6e 20 74 6f 20 61 73 73 69 67 6e 69 6e 67 20	ation,.in.addition.to.assigning.
8a60	61 6e 20 61 64 64 72 65 73 73 20 74 6f 20 74 68 65 20 57 41 4e 20 69 6e 74 65 72 66 61 63 65 2c	an.address.to.the.WAN.interface,
8a80	20 49 53 50 20 61 6c 73 6f 20 70 72 6f 76 69 64 65 73 20 61 20 70 72 65 66 69 78 20 74 6f 20 61	.ISP.also.provides.a.prefix.to.a
8aa0	6c 6c 6f 77 20 74 68 65 20 72 6f 75 74 65 72 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 64 64	llow.the.router.to.configure.add
8ac0	72 65 73 73 65 73 20 6f 66 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 6f 74 68 65	resses.of.LAN.interface.and.othe
8ae0	72 20 6e 6f 64 65 73 20 63 6f 6e 6e 65 63 74 69 6e 67 20 74 6f 20 4c 41 4e 2c 20 77 68 69 63 68	r.nodes.connecting.to.LAN,.which
8b00	20 69 73 20 63 61 6c 6c 65 64 20 70 72 65 66 69 78 20 64 65 6c 65 67 61 74 69 6f 6e 20 28 50 44	.is.called.prefix.delegation.(PD
8b20	29 2e 00 44 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 73 65 64 20 62 65 74 77 65 65 6e 20	)..Dynamic.routing.used.between.
8b40	43 45 20 61 6e 64 20 50 45 20 6e 6f 64 65 73 20 61 6e 64 20 65 42 47 50 20 70 65 65 72 69 6e 67	CE.and.PE.nodes.and.eBGP.peering
8b60	20 65 73 74 61 62 6c 69 73 68 65 64 20 66 6f 72 20 74 68 65 20 72 6f 75 74 65 20 65 78 63 68 61	.established.for.the.route.excha
8b80	6e 67 69 6e 67 20 62 65 74 77 65 65 6e 20 74 68 65 6d 2e 20 41 6c 6c 20 72 6f 75 74 65 73 20 72	nging.between.them..All.routes.r
8ba0	65 63 65 69 76 65 64 20 62 79 20 50 45 73 20 61 72 65 20 74 68 65 6e 20 65 78 70 6f 72 74 65 64	eceived.by.PEs.are.then.exported
8bc0	20 74 6f 20 4c 33 56 50 4e 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 66 72 6f 6d 20 53 70 6f	.to.L3VPN.and.delivered.from.Spo
8be0	6b 65 20 73 69 74 65 73 20 74 6f 20 48 75 62 20 61 6e 64 20 76 69 73 65 2d 76 65 72 73 61 20 62	ke.sites.to.Hub.and.vise-versa.b
8c00	61 73 65 64 20 6f 6e 20 70 72 65 76 69 6f 75 73 6c 79 20 63 6f 6e 66 69 67 75 72 65 64 20 4c 33	ased.on.previously.configured.L3
8c20	56 50 4e 20 70 61 72 61 6d 65 74 65 72 73 2e 00 45 61 63 68 20 69 6e 74 65 72 66 61 63 65 20 69	VPN.parameters..Each.interface.i
8c40	73 20 61 73 73 69 67 6e 65 64 20 74 6f 20 61 20 7a 6f 6e 65 2e 20 54 68 65 20 69 6e 74 65 72 66	s.assigned.to.a.zone..The.interf
8c60	61 63 65 20 63 61 6e 20 62 65 20 70 68 79 73 69 63 61 6c 20 6f 72 20 76 69 72 74 75 61 6c 20 73	ace.can.be.physical.or.virtual.s
8c80	75 63 68 20 61 73 20 74 75 6e 6e 65 6c 73 20 28 56 50 4e 2c 20 50 50 54 50 2c 20 47 52 45 2c 20	uch.as.tunnels.(VPN,.PPTP,.GRE,.
8ca0	65 74 63 29 20 61 6e 64 20 61 72 65 20 74 72 65 61 74 65 64 20 65 78 61 63 74 6c 79 20 74 68 65	etc).and.are.treated.exactly.the
8cc0	20 73 61 6d 65 2e 00 45 61 63 68 20 6c 61 62 20 77 69 6c 6c 20 62 75 69 6c 64 20 61 6e 20 74 65	.same..Each.lab.will.build.an.te
8ce0	73 74 20 66 72 6f 6d 20 61 6e 20 65 78 74 65 72 6e 61 6c 20 73 63 72 69 70 74 2e 20 54 68 65 20	st.from.an.external.script..The.
8d00	70 61 67 65 20 63 6f 6e 74 65 6e 74 20 77 69 6c 6c 20 67 65 6e 65 72 61 74 65 2c 20 73 6f 20 63	page.content.will.generate,.so.c
8d20	68 61 6e 67 65 73 20 77 69 6c 6c 20 6e 6f 74 20 74 61 6b 65 20 61 6e 20 65 66 66 65 63 74 2e 00	hanges.will.not.take.an.effect..
8d40	45 6e 61 62 6c 65 20 49 50 73 65 63 20 6f 6e 20 65 74 68 30 00 45 6e 61 62 6c 65 20 4f 53 50 46	Enable.IPsec.on.eth0.Enable.OSPF
8d60	00 45 6e 61 62 6c 65 20 53 53 48 00 45 6e 61 62 6c 65 20 53 53 48 20 73 6f 20 79 6f 75 20 63 61	.Enable.SSH.Enable.SSH.so.you.ca
8d80	6e 20 6e 6f 77 20 53 53 48 20 69 6e 74 6f 20 74 68 65 20 72 6f 75 74 65 72 73 2c 20 72 61 74 68	n.now.SSH.into.the.routers,.rath
8da0	65 72 20 74 68 61 6e 20 75 73 69 6e 67 20 74 68 65 20 63 6f 6e 73 6f 6c 65 2e 00 45 6e 61 62 6c	er.than.using.the.console..Enabl
8dc0	65 73 20 72 6f 75 74 65 72 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 73 2e 20 54 68 69 73 20 69	es.router.advertisements..This.i
8de0	73 20 61 6e 20 49 50 76 36 20 61 6c 74 65 72 6e 61 74 69 76 65 20 66 6f 72 20 44 48 43 50 20 28	s.an.IPv6.alternative.for.DHCP.(
8e00	74 68 6f 75 67 68 20 44 48 43 50 76 36 20 63 61 6e 20 73 74 69 6c 6c 20 62 65 20 75 73 65 64 29	though.DHCPv6.can.still.be.used)
8e20	2e 20 57 69 74 68 20 52 41 73 2c 20 59 6f 75 72 20 64 65 76 69 63 65 73 20 77 69 6c 6c 20 61 75	..With.RAs,.Your.devices.will.au
8e40	74 6f 6d 61 74 69 63 61 6c 6c 79 20 66 69 6e 64 20 74 68 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e	tomatically.find.the.information
8e60	20 74 68 65 79 20 6e 65 65 64 20 66 6f 72 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 44 4e 53 2e 00	.they.need.for.routing.and.DNS..
8e80	45 76 65 6e 20 69 66 20 74 68 65 20 74 77 6f 20 7a 6f 6e 65 73 20 77 69 6c 6c 20 6e 65 76 65 72	Even.if.the.two.zones.will.never
8ea0	20 63 6f 6d 6d 75 6e 69 63 61 74 65 2c 20 69 74 20 69 73 20 61 20 67 6f 6f 64 20 69 64 65 61 20	.communicate,.it.is.a.good.idea.
8ec0	74 6f 20 63 72 65 61 74 65 20 74 68 65 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f	to.create.the.zone-pair-directio
8ee0	6e 20 72 75 6c 65 73 65 74 73 20 61 6e 64 20 73 65 74 20 64 65 66 61 75 6c 74 2d 6c 6f 67 2e 20	n.rulesets.and.set.default-log..
8f00	54 68 69 73 20 77 69 6c 6c 20 61 6c 6c 6f 77 20 79 6f 75 20 74 6f 20 6c 6f 67 20 61 74 74 65 6d	This.will.allow.you.to.log.attem
8f20	70 74 73 20 74 6f 20 61 63 63 65 73 73 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 69 74 68	pts.to.access.the.networks..With
8f40	6f 75 74 20 69 74 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 65 76 65 72 20 73 65 65 20 74 68 65 20 63	out.it,.you.will.never.see.the.c
8f60	6f 6e 6e 65 63 74 69 6f 6e 20 61 74 74 65 6d 70 74 73 2e 00 45 76 65 6e 20 69 66 20 74 68 65 20	onnection.attempts..Even.if.the.
8f80	74 77 6f 20 7a 6f 6e 65 73 20 77 69 6c 6c 20 6e 65 76 65 72 20 63 6f 6d 6d 75 6e 69 63 61 74 65	two.zones.will.never.communicate
8fa0	2c 20 69 74 20 69 73 20 61 20 67 6f 6f 64 20 69 64 65 61 20 74 6f 20 63 72 65 61 74 65 20 74 68	,.it.is.a.good.idea.to.create.th
8fc0	65 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 72 75 6c 65 73 65 74 73 20 61	e.zone-pair-direction.rulesets.a
8fe0	6e 64 20 73 65 74 20 65 6e 61 62 6c 65 2d 64 65 66 61 75 6c 74 2d 6c 6f 67 2e 20 54 68 69 73 20	nd.set.enable-default-log..This.
9000	77 69 6c 6c 20 61 6c 6c 6f 77 20 79 6f 75 20 74 6f 20 6c 6f 67 20 61 74 74 65 6d 70 74 73 20 74	will.allow.you.to.log.attempts.t
9020	6f 20 61 63 63 65 73 73 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 69 74 68 6f 75 74 20 69	o.access.the.networks..Without.i
9040	74 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 65 76 65 72 20 73 65 65 20 74 68 65 20 63 6f 6e 6e 65 63	t,.you.will.never.see.the.connec
9060	74 69 6f 6e 20 61 74 74 65 6d 70 74 73 2e 00 45 76 65 72 79 20 72 6f 75 74 65 72 20 2a 2a 6d 75	tion.attempts..Every.router.**mu
9080	73 74 2a 2a 20 68 61 76 65 20 61 20 75 6e 69 71 75 65 20 72 6f 75 74 65 72 2d 69 64 2e 20 54 68	st**.have.a.unique.router-id..Th
90a0	65 20 27 72 65 66 65 72 65 6e 63 65 2d 62 61 6e 64 77 69 64 74 68 27 20 69 73 20 75 73 65 64 20	e.'reference-bandwidth'.is.used.
90c0	62 65 63 61 75 73 65 20 77 68 65 6e 20 4f 53 50 46 20 77 61 73 20 6f 72 69 67 69 6e 61 6c 6c 79	because.when.OSPF.was.originally
90e0	20 64 65 73 69 67 6e 65 64 2c 20 74 68 65 20 69 64 65 61 20 6f 66 20 61 20 6c 69 6e 6b 20 66 61	.designed,.the.idea.of.a.link.fa
9100	73 74 65 72 20 74 68 61 6e 20 31 67 62 69 74 20 77 61 73 20 75 6e 68 65 61 72 64 20 6f 66 2c 20	ster.than.1gbit.was.unheard.of,.
9120	61 6e 64 20 69 74 20 64 6f 65 73 20 6e 6f 74 20 73 63 61 6c 65 20 63 6f 72 72 65 63 74 6c 79 2e	and.it.does.not.scale.correctly.
9140	00 45 76 65 72 79 20 72 6f 75 74 65 72 20 74 68 61 74 20 70 72 6f 76 69 64 65 73 20 61 63 63 65	.Every.router.that.provides.acce
9160	73 73 20 74 6f 20 61 20 63 75 73 74 6f 6d 65 72 20 6e 65 74 77 6f 72 6b 20 6e 65 65 64 73 20 74	ss.to.a.customer.network.needs.t
9180	6f 20 68 61 76 65 20 74 68 65 20 63 75 73 74 6f 6d 65 72 20 6e 65 74 77 6f 72 6b 20 28 56 52 46	o.have.the.customer.network.(VRF
91a0	20 2b 20 56 4e 49 29 20 63 6f 6e 66 69 67 75 72 65 64 2e 20 54 6f 20 6d 61 6b 65 20 6f 75 72 20	.+.VNI).configured..To.make.our.
91c0	6f 77 6e 20 6c 69 76 65 73 20 65 61 73 69 65 72 2c 20 77 65 20 75 74 69 6c 69 7a 65 20 74 68 65	own.lives.easier,.we.utilize.the
91e0	20 73 61 6d 65 20 56 52 46 20 74 61 62 6c 65 20 69 64 20 28 6c 6f 63 61 6c 20 72 6f 75 74 69 6e	.same.VRF.table.id.(local.routin
9200	67 20 74 61 62 6c 65 20 6e 75 6d 62 65 72 29 20 61 6e 64 20 56 4e 49 20 28 56 69 72 74 75 61 6c	g.table.number).and.VNI.(Virtual
9220	20 4e 65 74 77 6f 72 6b 20 49 64 65 6e 74 69 66 69 65 72 29 20 70 65 72 20 74 65 6e 61 6e 74 20	.Network.Identifier).per.tenant.
9240	6f 6e 20 61 6c 6c 20 6f 75 72 20 72 6f 75 74 65 72 73 2e 00 45 76 65 72 79 20 74 65 6e 61 6e 74	on.all.our.routers..Every.tenant
9260	20 69 73 20 61 73 73 69 67 6e 65 64 20 61 6e 20 69 6e 64 69 76 69 64 75 61 6c 20 56 52 46 20 74	.is.assigned.an.individual.VRF.t
9280	68 61 74 20 77 6f 75 6c 64 20 73 75 70 70 6f 72 74 20 6f 76 65 72 6c 61 70 70 69 6e 67 20 61 64	hat.would.support.overlapping.ad
92a0	64 72 65 73 73 20 72 61 6e 67 65 73 20 66 6f 72 20 63 75 73 74 6f 6d 65 72 73 20 62 6c 75 65 2c	dress.ranges.for.customers.blue,
92c0	20 72 65 64 20 61 6e 64 20 67 72 65 65 6e 2e 20 49 6e 20 6f 75 72 20 65 78 61 6d 70 6c 65 2c 20	.red.and.green..In.our.example,.
92e0	77 65 20 64 6f 20 6e 6f 74 20 75 73 65 20 6f 76 65 72 6c 61 70 70 69 6e 67 20 72 61 6e 67 65 73	we.do.not.use.overlapping.ranges
9300	20 74 6f 20 6d 61 6b 65 20 69 74 20 65 61 73 69 65 72 20 77 68 65 6e 20 73 68 6f 77 69 6e 67 20	.to.make.it.easier.when.showing.
9320	64 65 62 75 67 20 63 6f 6d 6d 61 6e 64 73 2e 00 45 78 61 6d 70 6c 65 00 45 78 61 6d 70 6c 65 20	debug.commands..Example.Example.
9340	31 3a 20 44 69 73 74 72 69 62 75 74 69 6e 67 20 6c 6f 61 64 20 65 76 65 6e 6c 79 00 45 78 61 6d	1:.Distributing.load.evenly.Exam
9360	70 6c 65 20 32 3a 20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 69 6e 74 65 72 66 61	ple.2:.Failover.based.on.interfa
9380	63 65 20 77 65 69 67 68 74 73 00 45 78 61 6d 70 6c 65 20 33 3a 20 46 61 69 6c 6f 76 65 72 20 62	ce.weights.Example.3:.Failover.b
93a0	61 73 65 64 20 6f 6e 20 72 75 6c 65 20 6f 72 64 65 72 00 45 78 61 6d 70 6c 65 20 34 3a 20 46 61	ased.on.rule.order.Example.4:.Fa
93c0	69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 72 75 6c 65 20 6f 72 64 65 72 20 2d 20 70 72 69	ilover.based.on.rule.order.-.pri
93e0	6f 72 69 74 79 20 74 72 61 66 66 69 63 00 45 78 61 6d 70 6c 65 20 35 3a 20 45 78 63 6c 75 64 65	ority.traffic.Example.5:.Exclude
9400	20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 6c 6f 61 64 20 62 61 6c 61 6e 63 69 6e 67 00 45 78 61	.traffic.from.load.balancing.Exa
9420	6d 70 6c 65 20 4e 65 74 77 6f 72 6b 00 46 69 6c 6c 20 60 60 70 61 73 73 77 6f 72 64 60 60 20 61	mple.Network.Fill.``password``.a
9440	6e 64 20 60 60 75 73 65 72 60 60 20 77 69 74 68 20 74 68 65 20 63 72 65 64 65 6e 74 69 61 6c 20	nd.``user``.with.the.credential.
9460	70 72 6f 76 69 64 65 64 20 62 79 20 79 6f 75 72 20 49 53 50 2e 00 46 69 6e 61 6c 6c 79 2c 20 64	provided.by.your.ISP..Finally,.d
9480	6f 6e 27 74 20 66 6f 72 67 65 74 20 74 68 65 20 3a 72 65 66 3a 60 46 69 72 65 77 61 6c 6c 3c 63	on't.forget.the.:ref:`Firewall<c
94a0	6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 66 69 72 65 77 61 6c 6c 2f 69 6e 64 65 78 3a 46 69 72 65	onfiguration/firewall/index:Fire
94c0	77 61 6c 6c 3e 60 2e 20 54 68 65 20 75 73 61 67 65 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20	wall>`..The.usage.is.identical,.
94e0	65 78 63 65 70 74 20 66 6f 72 20 69 6e 73 74 65 61 64 20 6f 66 20 60 73 65 74 20 66 69 72 65 77	except.for.instead.of.`set.firew
9500	61 6c 6c 20 6e 61 6d 65 20 4e 41 4d 45 60 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73	all.name.NAME`,.you.would.use.`s
9520	65 74 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d 65 20 4e 41 4d 45 60 2e 00 46 69 6e	et.firewall.ipv6-name.NAME`..Fin
9540	61 6c 6c 79 2c 20 64 6f 6e 27 74 20 66 6f 72 67 65 74 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72	ally,.don't.forget.the.:ref:`fir
9560	65 77 61 6c 6c 60 2e 20 54 68 65 20 75 73 61 67 65 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20	ewall`..The.usage.is.identical,.
9580	65 78 63 65 70 74 20 66 6f 72 20 69 6e 73 74 65 61 64 20 6f 66 20 60 73 65 74 20 66 69 72 65 77	except.for.instead.of.`set.firew
95a0	61 6c 6c 20 6e 61 6d 65 20 4e 41 4d 45 60 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73	all.name.NAME`,.you.would.use.`s
95c0	65 74 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d 65 20 4e 41 4d 45 60 2e 00 46 69 6e	et.firewall.ipv6-name.NAME`..Fin
95e0	61 6c 6c 79 2c 20 6c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 74 68 65 20 72 65 61 63 68 61 62 69	ally,.let...s.check.the.reachabi
9600	6c 69 74 79 20 62 65 74 77 65 65 6e 20 43 45 73 3a 00 46 69 72 65 77 61 6c 6c 00 46 69 72 65 77	lity.between.CEs:.Firewall.Firew
9620	61 6c 6c 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 46 69 72 65 77 61 6c 6c 20 45 78 61 6d	all.Configuration:.Firewall.Exam
9640	70 6c 65 73 00 46 69 72 73 74 20 61 20 43 41 2c 20 61 20 73 69 67 6e 65 64 20 73 65 72 76 65 72	ples.First.a.CA,.a.signed.server
9660	20 61 6e 64 20 63 6c 69 65 6e 74 20 63 65 66 74 69 66 69 63 61 74 65 20 61 6e 64 20 61 20 44 69	.and.client.ceftificate.and.a.Di
9680	66 66 69 65 2d 48 65 6c 6c 6d 61 6e 20 70 61 72 61 6d 65 74 65 72 20 6d 75 73 73 74 20 62 65 20	ffie-Hellman.parameter.musst.be.
96a0	67 65 6e 65 72 61 74 65 64 20 61 6e 64 20 69 6e 73 74 61 6c 6c 65 64 2e 20 50 6c 65 61 73 65 20	generated.and.installed..Please.
96c0	6c 6f 6f 6b 20 3a 72 65 66 3a 60 68 65 72 65 20 3c 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 70	look.:ref:`here.<configuration/p
96e0	6b 69 2f 69 6e 64 65 78 3a 70 6b 69 3e 60 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74	ki/index:pki>`.for.more.informat
9700	69 6f 6e 2e 00 46 69 72 73 74 20 70 72 65 70 61 72 65 20 6f 75 72 20 56 79 4f 53 20 72 6f 75 74	ion..First.prepare.our.VyOS.rout
9720	65 72 20 66 6f 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 6f 20 4e 4d 50 2e 20 57 65 20 68 61 76	er.for.connection.to.NMP..We.hav
9740	65 20 74 6f 20 73 65 74 20 75 70 20 74 68 65 20 53 4e 4d 50 20 70 72 6f 74 6f 63 6f 6c 20 61 6e	e.to.set.up.the.SNMP.protocol.an
9760	64 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 62 65 74 77 65 65 6e 20 74 68 65 20 72 6f 75 74 65	d.connectivity.between.the.route
9780	72 20 61 6e 64 20 4e 4d 50 2e 00 46 69 72 73 74 20 74 68 65 20 43 41 00 46 69 72 73 74 2c 20 77	r.and.NMP..First.the.CA.First,.w
97a0	65 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 60 60 76 79 6f 73 2d 77 61 6e 60 60 20 69 6e 74	e.configure.the.``vyos-wan``.int
97c0	65 72 66 61 63 65 20 74 6f 20 67 65 74 20 61 20 44 48 43 50 20 61 64 64 72 65 73 73 2e 00 46 69	erface.to.get.a.DHCP.address..Fi
97e0	72 73 74 2c 20 77 65 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20	rst,.we.configure.the.transport.
9800	6e 65 74 77 6f 72 6b 20 61 6e 64 20 74 68 65 20 54 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65	network.and.the.Tunnel.interface
9820	2e 00 46 69 72 73 74 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68	..First,.we.need.to.configure.th
9840	65 20 69 6e 74 65 72 66 61 63 65 73 20 61 6e 64 20 56 52 46 73 3a 00 46 69 72 73 74 2c 20 77 65	e.interfaces.and.VRFs:.First,.we
9860	20 6e 65 65 64 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65	.need.to.configure.the.interface
9880	73 20 61 6e 64 20 62 72 69 64 67 65 73 3a 00 46 6c 65 78 56 50 4e 20 69 73 20 61 20 6e 65 77 65	s.and.bridges:.FlexVPN.is.a.newe
98a0	72 20 22 73 6f 6c 75 74 69 6f 6e 22 20 66 6f 72 20 64 65 70 6c 6f 79 6d 65 6e 74 20 6f 66 20 56	r."solution".for.deployment.of.V
98c0	50 4e 73 20 61 6e 64 20 69 74 20 75 74 69 6c 69 7a 65 73 20 49 4b 45 76 32 20 61 73 20 74 68 65	PNs.and.it.utilizes.IKEv2.as.the
98e0	20 6b 65 79 20 65 78 63 68 61 6e 67 65 20 70 72 6f 74 6f 63 6f 6c 2e 20 54 68 65 20 72 65 73 75	.key.exchange.protocol..The.resu
9900	6c 74 20 69 73 20 61 20 66 6c 65 78 69 62 6c 65 20 61 6e 64 20 73 63 61 6c 61 62 6c 65 20 56 50	lt.is.a.flexible.and.scalable.VP
9920	4e 20 73 6f 6c 75 74 69 6f 6e 20 74 68 61 74 20 63 61 6e 20 62 65 20 65 61 73 69 6c 79 20 61 64	N.solution.that.can.be.easily.ad
9940	61 70 74 65 64 20 74 6f 20 66 69 74 20 76 61 72 69 6f 75 73 20 6e 65 74 77 6f 72 6b 20 6e 65 65	apted.to.fit.various.network.nee
9960	64 73 2e 20 49 74 20 63 61 6e 20 61 6c 73 6f 20 73 75 70 70 6f 72 74 20 61 20 76 61 72 69 65 74	ds..It.can.also.support.a.variet
9980	79 20 6f 66 20 65 6e 63 72 79 70 74 69 6f 6e 20 6d 65 74 68 6f 64 73 2c 20 69 6e 63 6c 75 64 69	y.of.encryption.methods,.includi
99a0	6e 67 20 41 45 53 20 61 6e 64 20 33 44 45 53 2e 00 46 6f 72 20 2a 2a 69 6e 62 6f 75 6e 64 2d 69	ng.AES.and.3DES..For.**inbound-i
99c0	6e 74 65 72 66 61 63 65 2a 2a 3a 20 75 73 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 6e 61	nterface**:.use.the.interface.na
99e0	6d 65 20 77 69 74 68 20 74 68 65 20 56 52 46 20 6e 61 6d 65 2c 20 6c 69 6b 65 20 60 60 4d 47 4d	me.with.the.VRF.name,.like.``MGM
9a00	54 60 60 20 6f 72 20 60 60 4c 41 4e 60 60 2e 00 46 6f 72 20 2a 2a 6f 75 74 62 6f 75 6e 64 2d 69	T``.or.``LAN``..For.**outbound-i
9a20	6e 74 65 72 66 61 63 65 2a 2a 3a 20 75 73 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 6e 61	nterface**:.use.the.interface.na
9a40	6d 65 2c 20 6c 69 6b 65 20 60 60 65 74 68 30 60 60 2c 20 60 60 76 74 75 6e 30 60 60 2c 20 60 60	me,.like.``eth0``,.``vtun0``,.``
9a60	65 74 68 32 2a 60 60 20 6f 72 20 73 69 6d 69 6c 61 72 2e 00 46 6f 72 20 63 6f 6e 6e 65 63 74 69	eth2*``.or.similar..For.connecti
9a80	6f 6e 20 62 65 74 77 65 65 6e 20 73 69 74 65 73 2c 20 77 65 20 61 72 65 20 72 75 6e 6e 69 6e 67	on.between.sites,.we.are.running
9aa0	20 61 20 57 69 72 65 47 75 61 72 64 20 6c 69 6e 6b 20 74 6f 20 74 77 6f 20 52 45 4d 4f 54 45 20	.a.WireGuard.link.to.two.REMOTE.
9ac0	72 6f 75 74 65 72 73 20 61 6e 64 20 75 73 69 6e 67 20 4f 53 50 46 20 6f 76 65 72 20 74 68 6f 73	routers.and.using.OSPF.over.thos
9ae0	65 20 6c 69 6e 6b 73 20 74 6f 20 64 69 73 74 72 69 62 75 74 65 20 72 6f 75 74 65 73 2e 20 54 68	e.links.to.distribute.routes..Th
9b00	61 74 20 72 65 6d 6f 74 65 20 73 69 74 65 20 69 73 20 65 78 70 65 63 74 65 64 20 74 6f 20 73 65	at.remote.site.is.expected.to.se
9b20	6e 64 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 61 6e 79 74 68 69 6e 67 20 69 6e 20 31 30 2e 32	nd.traffic.from.anything.in.10.2
9b40	30 31 2e 30 2e 30 2f 31 36 00 46 6f 72 20 65 78 61 6d 70 6c 65 2c 20 77 68 69 6c 65 20 61 20 68	01.0.0/16.For.example,.while.a.h
9b60	6f 73 74 20 74 72 69 65 73 20 74 6f 20 67 65 74 20 61 6e 20 49 50 20 61 64 64 72 65 73 73 20 66	ost.tries.to.get.an.IP.address.f
9b80	72 6f 6d 20 61 20 44 48 43 50 20 73 65 72 76 65 72 20 69 6e 20 62 72 31 20 61 6c 6c 20 44 48 43	rom.a.DHCP.server.in.br1.all.DHC
9ba0	50 20 64 69 73 63 6f 76 65 72 20 61 72 65 20 64 72 6f 70 70 65 64 2c 20 61 6e 64 20 69 6e 20 62	P.discover.are.dropped,.and.in.b
9bc0	72 32 2c 20 77 65 20 63 61 6e 20 73 65 65 20 74 68 61 74 20 44 48 43 50 20 6f 66 66 65 72 73 20	r2,.we.can.see.that.DHCP.offers.
9be0	66 72 6f 6d 20 75 6e 74 72 75 73 74 65 64 20 73 65 72 76 65 72 73 20 61 72 65 20 64 72 6f 70 70	from.untrusted.servers.are.dropp
9c00	65 64 3a 00 46 6f 72 20 68 6f 6d 65 20 6e 65 74 77 6f 72 6b 20 75 73 65 72 73 2c 20 6d 6f 73 74	ed:.For.home.network.users,.most
9c20	20 6f 66 20 74 69 6d 65 20 49 53 50 20 6f 6e 6c 79 20 70 72 6f 76 69 64 65 73 20 2f 36 34 20 70	.of.time.ISP.only.provides./64.p
9c40	72 65 66 69 78 2c 20 68 65 6e 63 65 20 74 68 65 72 65 20 69 73 20 6e 6f 20 6e 65 65 64 20 74 6f	refix,.hence.there.is.no.need.to
9c60	20 73 65 74 20 53 4c 41 20 49 44 20 61 6e 64 20 70 72 65 66 69 78 20 6c 65 6e 67 74 68 2e 20 53	.set.SLA.ID.and.prefix.length..S
9c80	65 65 20 3a 72 65 66 3a 60 70 70 70 6f 65 2d 69 6e 74 65 72 66 61 63 65 60 20 66 6f 72 20 6d 6f	ee.:ref:`pppoe-interface`.for.mo
9ca0	72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 46 6f 72 20 72 65 64 75 6e 64 61 6e 74 20 2f 20	re.information..For.redundant./.
9cc0	61 63 74 69 76 65 2d 61 63 74 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 73 65 65	active-active.configurations.see
9ce0	20 3a 72 65 66 3a 60 65 78 61 6d 70 6c 65 73 2d 61 7a 75 72 65 2d 76 70 6e 2d 64 75 61 6c 2d 62	.:ref:`examples-azure-vpn-dual-b
9d00	67 70 60 00 46 6f 72 20 73 69 6d 70 6c 69 63 69 74 79 2c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f	gp`.For.simplicity,.configuratio
9d20	6e 20 61 6e 64 20 74 65 73 74 73 20 61 72 65 20 64 6f 6e 65 20 6f 6e 6c 79 20 75 73 69 6e 67 20	n.and.tests.are.done.only.using.
9d40	49 50 76 34 2c 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e	IPv4,.and.firewall.configuration
9d60	20 69 73 20 64 6f 6e 65 20 6f 6e 6c 79 20 6f 6e 20 6f 6e 65 20 72 6f 75 74 65 72 2e 00 46 6f 72	.is.done.only.on.one.router..For
9d80	20 73 69 6d 70 6c 69 63 69 74 79 2c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 61 6e 64 20 74	.simplicity,.configuration.and.t
9da0	65 73 74 73 20 61 72 65 20 64 6f 6e 65 20 6f 6e 6c 79 20 75 73 69 6e 67 20 69 70 76 34 2c 20 61	ests.are.done.only.using.ipv4,.a
9dc0	6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 6e 20 64 6f 6e	nd.firewall.configuration.in.don
9de0	65 20 6f 6e 6c 79 20 6f 6e 20 6f 6e 65 20 72 6f 75 74 65 72 2e 00 46 6f 72 20 74 68 65 20 68 61	e.only.on.one.router..For.the.ha
9e00	72 64 77 61 72 65 20 72 6f 75 74 65 72 2c 20 72 65 70 6c 61 63 65 20 60 60 65 74 68 30 60 60 20	rdware.router,.replace.``eth0``.
9e20	77 69 74 68 20 60 60 62 6f 6e 64 30 60 60 2e 20 41 73 20 28 61 6c 6d 6f 73 74 29 20 65 76 65 72	with.``bond0``..As.(almost).ever
9e40	79 20 63 6f 6d 6d 61 6e 64 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 74 68 69 73 20 77 69 6c	y.command.is.identical,.this.wil
9e60	6c 20 6e 6f 74 20 62 65 20 73 70 65 63 69 66 69 65 64 20 75 6e 6c 65 73 73 20 64 69 66 66 65 72	l.not.be.specified.unless.differ
9e80	65 6e 74 20 74 68 69 6e 67 73 20 6e 65 65 64 20 74 6f 20 62 65 20 70 65 72 66 6f 72 6d 65 64 20	ent.things.need.to.be.performed.
9ea0	6f 6e 20 64 69 66 66 65 72 65 6e 74 20 68 6f 73 74 73 2e 00 46 72 6f 6d 20 44 61 74 61 63 65 6e	on.different.hosts..From.Datacen
9ec0	74 65 72 20 2d 20 54 68 69 73 20 63 6f 6e 6e 65 63 74 73 20 69 6e 74 6f 20 70 6f 72 74 20 31 20	ter.-.This.connects.into.port.1.
9ee0	6f 6e 20 62 6f 74 68 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 69 73 20 74 61 67 67 65 64 20	on.both.switches,.and.is.tagged.
9f00	61 73 20 56 4c 41 4e 20 35 30 00 46 72 6f 6d 20 4d 61 6e 61 67 65 6d 65 6e 74 20 74 6f 20 4c 41	as.VLAN.50.From.Management.to.LA
9f20	4e 31 2f 4c 41 4e 32 00 46 72 6f 6d 20 4d 61 6e 61 67 65 6d 65 6e 74 20 74 6f 20 4f 75 74 73 69	N1/LAN2.From.Management.to.Outsi
9f40	64 65 20 28 66 61 69 6c 73 20 61 73 20 69 6e 74 65 6e 64 65 64 29 00 46 75 6c 6c 20 63 6f 6e 66	de.(fails.as.intended).Full.conf
9f60	69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 61 6c 6c 20 64 65 76 69 63 65 73 00 47 52 45 3a 00	iguration.from.all.devices.GRE:.
9f80	47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 4c 33 56 50 4e 73	General.information.about.L3VPNs
9fa0	20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 63 6f 6e 66 69	.can.be.found.in.the.:ref:`confi
9fc0	67 75 72 61 74 69 6f 6e 2f 76 72 66 2f 69 6e 64 65 78 3a 4c 33 56 50 4e 20 56 52 46 73 60 20 63	guration/vrf/index:L3VPN.VRFs`.c
9fe0	68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20	hapter..General.information.can.
a000	62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 63 6f 6e 66 69 67 75 72 61 74	be.found.in.the.:ref:`configurat
a020	69 6f 6e 2f 76 72 66 2f 69 6e 64 65 78 3a 4c 33 56 50 4e 20 56 52 46 73 60 20 63 68 61 70 74 65	ion/vrf/index:L3VPN.VRFs`.chapte
a040	72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 66 6f	r..General.information.can.be.fo
a060	75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 72 6f 75 74 69 6e 67 2d 62 67 70 60 20 63 68	und.in.the.:ref:`routing-bgp`.ch
a080	61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62	apter..General.information.can.b
a0a0	65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 72 6f 75 74 69 6e 67 2d 6f 73 70	e.found.in.the.:ref:`routing-osp
a0c0	66 60 20 63 68 61 70 74 65 72 2e 00 48 61 72 64 77 61 72 65 00 48 61 72 64 77 61 72 65 20 52 6f	f`.chapter..Hardware.Hardware.Ro
a0e0	75 74 65 72 20 2d 20 50 6f 72 74 20 38 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 48 65 72	uter.-.Port.8.of.each.switch.Her
a100	65 20 69 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 6e 20 49 50 76 36 20 44 4d 5a 2d 57	e.is.an.example.of.an.IPv6.DMZ-W
a120	41 4e 20 72 75 6c 65 73 65 74 2e 00 48 65 72 65 20 69 73 20 74 68 65 20 72 6f 75 74 69 6e 67 20	AN.ruleset..Here.is.the.routing.
a140	74 61 62 6c 65 73 20 73 68 6f 77 69 6e 67 20 74 68 65 20 4d 50 4c 53 20 73 65 67 6d 65 6e 74 20	tables.showing.the.MPLS.segment.
a160	72 6f 75 74 69 6e 67 20 6c 61 62 65 6c 20 6f 70 65 72 61 74 69 6f 6e 73 3a 00 48 65 72 65 20 77	routing.label.operations:.Here.w
a180	65 20 73 65 74 20 74 68 65 20 70 72 65 66 69 78 20 74 6f 20 60 60 3a 3a 2f 36 34 60 60 20 74 6f	e.set.the.prefix.to.``::/64``.to
a1a0	20 69 6e 64 69 63 61 74 65 20 61 64 76 65 72 74 69 73 69 6e 67 20 61 6e 79 20 2f 36 34 20 70 72	.indicate.advertising.any./64.pr
a1c0	65 66 69 78 20 74 68 65 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e	efix.the.LAN.interface.is.assign
a1e0	65 64 2e 00 48 65 72 65 20 77 65 20 75 73 65 20 74 68 65 20 70 72 65 66 69 78 20 74 6f 20 63 6f	ed..Here.we.use.the.prefix.to.co
a200	6e 66 69 67 75 72 65 20 74 68 65 20 61 64 64 72 65 73 73 20 6f 66 20 65 74 68 31 20 28 4c 41 4e	nfigure.the.address.of.eth1.(LAN
a220	29 20 74 6f 20 66 6f 72 6d 20 60 60 3c 70 72 65 66 69 78 3e 3a 3a 36 34 60 60 2c 20 77 68 65 72	).to.form.``<prefix>::64``,.wher
a240	65 20 60 60 36 34 60 60 20 69 73 20 68 65 78 61 64 65 63 69 6d 61 6c 20 6f 66 20 61 64 64 72 65	e.``64``.is.hexadecimal.of.addre
a260	73 73 20 31 30 30 2e 00 48 69 67 68 20 41 76 61 69 6c 61 62 69 6c 69 74 79 20 57 61 6c 6b 74 68	ss.100..High.Availability.Walkth
a280	72 6f 75 67 68 00 48 6f 77 20 64 6f 65 73 20 69 74 20 77 6f 72 6b 3f 00 48 75 62 00 49 20 63 68	rough.How.does.it.work?.Hub.I.ch
a2a0	6f 73 65 20 74 6f 20 72 75 6e 20 4f 53 50 46 20 61 73 20 74 68 65 20 49 47 50 20 28 49 6e 74 65	ose.to.run.OSPF.as.the.IGP.(Inte
a2c0	72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f 74 6f 63 6f 6c 29 2e 20 41 6c 6c 20 72 65 71 75	rior.Gateway.Protocol)..All.requ
a2e0	69 72 65 64 20 42 47 50 20 73 65 73 73 69 6f 6e 73 20 61 72 65 20 65 73 74 61 62 6c 69 73 68 65	ired.BGP.sessions.are.establishe
a300	64 20 76 69 61 20 61 20 64 75 6d 6d 79 20 69 6e 74 65 72 66 61 63 65 73 20 28 73 69 6d 69 6c 61	d.via.a.dummy.interfaces.(simila
a320	72 20 74 6f 20 74 68 65 20 6c 6f 6f 70 62 61 63 6b 2c 20 62 75 74 20 69 6e 20 4c 69 6e 75 78 20	r.to.the.loopback,.but.in.Linux.
a340	79 6f 75 20 63 61 6e 20 68 61 76 65 20 6f 6e 6c 79 20 6f 6e 65 20 6c 6f 6f 70 62 61 63 6b 2c 20	you.can.have.only.one.loopback,.
a360	77 68 69 6c 65 20 74 68 65 72 65 20 63 61 6e 20 62 65 20 6d 61 6e 79 20 64 75 6d 6d 79 20 69 6e	while.there.can.be.many.dummy.in
a380	74 65 72 66 61 63 65 73 29 20 6f 6e 20 74 68 65 20 50 45 20 72 6f 75 74 65 72 73 2e 20 49 6e 20	terfaces).on.the.PE.routers..In.
a3a0	63 61 73 65 20 6f 66 20 61 20 6c 69 6e 6b 20 66 61 69 6c 75 72 65 2c 20 74 72 61 66 66 69 63 20	case.of.a.link.failure,.traffic.
a3c0	69 73 20 64 69 76 65 72 74 65 64 20 69 6e 20 74 68 65 20 6f 74 68 65 72 20 64 69 72 65 63 74 69	is.diverted.in.the.other.directi
a3e0	6f 6e 20 69 6e 20 74 68 69 73 20 74 72 69 61 6e 67 6c 65 20 73 65 74 75 70 20 61 6e 64 20 42 47	on.in.this.triangle.setup.and.BG
a400	50 20 73 65 73 73 69 6f 6e 73 20 77 69 6c 6c 20 6e 6f 74 20 67 6f 20 64 6f 77 6e 2e 20 4f 6e 65	P.sessions.will.not.go.down..One
a420	20 63 6f 75 6c 64 20 65 76 65 6e 20 65 6e 61 62 6c 65 20 42 46 44 20 28 42 69 64 69 72 65 63 74	.could.even.enable.BFD.(Bidirect
a440	69 6f 6e 61 6c 20 46 6f 72 77 61 72 64 69 6e 67 20 44 65 74 65 63 74 69 6f 6e 29 20 6f 6e 20 74	ional.Forwarding.Detection).on.t
a460	68 65 20 6c 69 6e 6b 73 20 66 6f 72 20 61 20 66 61 73 74 65 72 20 66 61 69 6c 6f 76 65 72 20 61	he.links.for.a.faster.failover.a
a480	6e 64 20 72 65 73 69 6c 69 65 6e 63 65 20 69 6e 20 74 68 65 20 6e 65 74 77 6f 72 6b 2e 00 49 20	nd.resilience.in.the.network..I.
a4a0	63 72 65 61 74 65 2f 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20	create/configure.the.interfaces.
a4c0	66 69 72 73 74 2e 20 42 75 69 6c 64 20 6f 75 74 20 74 68 65 20 72 75 6c 65 73 65 74 73 20 66 6f	first..Build.out.the.rulesets.fo
a4e0	72 20 65 61 63 68 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 77 68 69 63 68	r.each.zone-pair-direction.which
a500	20 69 6e 63 6c 75 64 65 73 20 61 74 20 6c 65 61 73 74 20 74 68 65 20 74 68 72 65 65 20 73 74 61	.includes.at.least.the.three.sta
a520	74 65 20 72 75 6c 65 73 2e 20 54 68 65 6e 20 49 20 73 65 74 75 70 20 74 68 65 20 7a 6f 6e 65 2d	te.rules..Then.I.setup.the.zone-
a540	70 6f 6c 69 63 69 65 73 2e 00 49 20 6e 61 6d 65 20 72 75 6c 65 20 73 65 74 73 20 74 6f 20 69 6e	policies..I.name.rule.sets.to.in
a560	64 69 63 61 74 65 20 77 68 69 63 68 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e	dicate.which.zone-pair-direction
a580	20 74 68 65 79 20 72 65 70 72 65 73 65 6e 74 2e 20 65 67 2e 20 5a 6f 6e 65 41 2d 5a 6f 6e 65 42	.they.represent..eg..ZoneA-ZoneB
a5a0	20 6f 72 20 5a 6f 6e 65 42 2d 5a 6f 6e 65 41 2e 20 4c 41 4e 2d 44 4d 5a 2c 20 44 4d 5a 2d 4c 41	.or.ZoneB-ZoneA..LAN-DMZ,.DMZ-LA
a5c0	4e 2e 00 49 20 6e 61 6d 65 64 20 74 68 65 20 63 75 73 74 6f 6d 65 72 73 20 62 6c 75 65 2c 20 72	N..I.named.the.customers.blue,.r
a5e0	65 64 20 61 6e 64 20 67 72 65 65 6e 20 77 68 69 63 68 20 69 73 20 63 6f 6d 6d 6f 6e 20 70 72 61	ed.and.green.which.is.common.pra
a600	63 74 69 63 65 20 69 6e 20 56 52 46 20 28 56 69 72 74 75 61 6c 20 52 6f 75 74 69 6e 67 20 61 6e	ctice.in.VRF.(Virtual.Routing.an
a620	64 20 46 6f 72 77 61 72 64 69 6e 67 29 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 73 63 65 6e	d.Forwarding).documentation.scen
a640	61 72 69 6f 73 2e 00 49 20 73 70 75 6e 20 75 70 20 61 20 6e 65 77 20 6c 61 62 20 69 6e 20 45 56	arios..I.spun.up.a.new.lab.in.EV
a660	45 2d 4e 47 2c 20 77 68 69 63 68 20 72 65 70 72 65 73 65 6e 74 73 20 74 68 69 73 20 61 73 20 74	E-NG,.which.represents.this.as.t
a680	68 65 20 22 46 6f 6f 20 42 61 72 20 2d 20 53 65 72 76 69 63 65 20 50 72 6f 76 69 64 65 72 20 49	he."Foo.Bar.-.Service.Provider.I
a6a0	6e 63 2e 22 20 74 68 61 74 20 68 61 73 20 33 20 70 6f 69 6e 74 73 20 6f 66 20 70 72 65 73 65 6e	nc.".that.has.3.points.of.presen
a6c0	63 65 20 28 50 6f 50 29 20 69 6e 20 72 61 6e 64 6f 6d 20 64 61 74 61 63 65 6e 74 65 72 73 2f 73	ce.(PoP).in.random.datacenters/s
a6e0	69 74 65 73 20 6e 61 6d 65 64 20 50 45 31 2c 20 50 45 32 2c 20 61 6e 64 20 50 45 33 2e 20 45 61	ites.named.PE1,.PE2,.and.PE3..Ea
a700	63 68 20 50 6f 50 20 61 67 67 72 65 67 61 74 65 73 20 61 74 20 6c 65 61 73 74 20 74 77 6f 20 63	ch.PoP.aggregates.at.least.two.c
a720	75 73 74 6f 6d 65 72 73 2e 00 49 50 20 53 63 68 65 6d 61 00 49 50 20 66 69 72 65 77 61 6c 6c 20	ustomers..IP.Schema.IP.firewall.
a740	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 49 50 2f 4d 50 4c 53 20 74 65 63 68 6e 6f 6c 6f 67 79	configuration.IP/MPLS.technology
a760	20 69 73 20 77 69 64 65 6c 79 20 75 73 65 64 20 62 79 20 76 61 72 69 6f 75 73 20 73 65 72 76 69	.is.widely.used.by.various.servi
a780	63 65 20 70 72 6f 76 69 64 65 72 73 20 61 6e 64 20 6c 61 72 67 65 20 65 6e 74 65 72 70 72 69 73	ce.providers.and.large.enterpris
a7a0	65 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 61 63 68 69 65 76 65 20 62 65 74 74 65 72 20 6e 65	es.in.order.to.achieve.better.ne
a7c0	74 77 6f 72 6b 20 73 63 61 6c 61 62 69 6c 69 74 79 2c 20 6d 61 6e 61 67 65 61 62 69 6c 69 74 79	twork.scalability,.manageability
a7e0	20 61 6e 64 20 66 6c 65 78 69 62 69 6c 69 74 79 2e 20 49 74 20 61 6c 73 6f 20 70 72 6f 76 69 64	.and.flexibility..It.also.provid
a800	65 73 20 74 68 65 20 70 6f 73 73 69 62 69 6c 69 74 79 20 74 6f 20 64 65 6c 69 76 65 72 20 64 69	es.the.possibility.to.deliver.di
a820	66 66 65 72 65 6e 74 20 73 65 72 76 69 63 65 73 20 66 6f 72 20 74 68 65 20 63 75 73 74 6f 6d 65	fferent.services.for.the.custome
a840	72 73 20 69 6e 20 61 20 73 65 61 6d 6c 65 73 73 20 6d 61 6e 6e 65 72 2e 20 4c 61 79 65 72 20 33	rs.in.a.seamless.manner..Layer.3
a860	20 56 50 4e 20 28 4c 33 56 50 4e 29 20 69 73 20 61 20 74 79 70 65 20 6f 66 20 56 50 4e 20 6d 6f	.VPN.(L3VPN).is.a.type.of.VPN.mo
a880	64 65 20 74 68 61 74 20 69 73 20 62 75 69 6c 74 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 74	de.that.is.built.and.delivered.t
a8a0	68 72 6f 75 67 68 20 4f 53 49 20 6c 61 79 65 72 20 33 20 6e 65 74 77 6f 72 6b 69 6e 67 20 74 65	hrough.OSI.layer.3.networking.te
a8c0	63 68 6e 6f 6c 6f 67 69 65 73 2e 20 4f 66 74 65 6e 20 74 68 65 20 62 6f 72 64 65 72 20 67 61 74	chnologies..Often.the.border.gat
a8e0	65 77 61 79 20 70 72 6f 74 6f 63 6f 6c 20 28 42 47 50 29 20 69 73 20 75 73 65 64 20 74 6f 20 73	eway.protocol.(BGP).is.used.to.s
a900	65 6e 64 20 61 6e 64 20 72 65 63 65 69 76 65 20 56 50 4e 2d 72 65 6c 61 74 65 64 20 64 61 74 61	end.and.receive.VPN-related.data
a920	20 74 68 61 74 20 69 73 20 72 65 73 70 6f 6e 73 69 62 6c 65 20 66 6f 72 20 74 68 65 20 63 6f 6e	.that.is.responsible.for.the.con
a940	74 72 6f 6c 20 70 6c 61 6e 65 2e 20 4c 33 56 50 4e 20 75 74 69 6c 69 7a 65 73 20 76 69 72 74 75	trol.plane..L3VPN.utilizes.virtu
a960	61 6c 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 66 6f 72 77 61 72 64 69 6e 67 20 28 56 52 46 29 20	al.routing.and.forwarding.(VRF).
a980	74 65 63 68 6e 69 71 75 65 73 20 74 6f 20 72 65 63 65 69 76 65 20 61 6e 64 20 64 65 6c 69 76 65	techniques.to.receive.and.delive
a9a0	72 20 75 73 65 72 20 64 61 74 61 20 61 73 20 77 65 6c 6c 20 61 73 20 73 65 70 61 72 61 74 65 20	r.user.data.as.well.as.separate.
a9c0	64 61 74 61 20 70 6c 61 6e 65 73 20 6f 66 20 74 68 65 20 65 6e 64 2d 75 73 65 72 73 2e 20 49 74	data.planes.of.the.end-users..It
a9e0	20 69 73 20 62 75 69 6c 74 20 75 73 69 6e 67 20 61 20 63 6f 6d 62 69 6e 61 74 69 6f 6e 20 6f 66	.is.built.using.a.combination.of
aa00	20 49 50 2d 20 61 6e 64 20 4d 50 4c 53 2d 62 61 73 65 64 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e	.IP-.and.MPLS-based.information.
aa20	20 47 65 6e 65 72 61 6c 6c 79 2c 20 4c 33 56 50 4e 73 20 61 72 65 20 75 73 65 64 20 74 6f 20 73	.Generally,.L3VPNs.are.used.to.s
aa40	65 6e 64 20 64 61 74 61 20 6f 6e 20 62 61 63 6b 2d 65 6e 64 20 56 50 4e 20 69 6e 66 72 61 73 74	end.data.on.back-end.VPN.infrast
aa60	72 75 63 74 75 72 65 73 2c 20 73 75 63 68 20 61 73 20 66 6f 72 20 56 50 4e 20 63 6f 6e 6e 65 63	ructures,.such.as.for.VPN.connec
aa80	74 69 6f 6e 73 20 62 65 74 77 65 65 6e 20 64 61 74 61 20 63 65 6e 74 72 65 73 2c 20 48 51 73 20	tions.between.data.centres,.HQs.
aaa0	61 6e 64 20 62 72 61 6e 63 68 65 73 2e 00 49 50 53 65 63 20 63 6f 6e 66 69 67 75 72 61 74 69 6f	and.branches..IPSec.configuratio
aac0	6e 3a 00 49 50 73 65 63 3a 00 49 50 76 34 20 4e 65 74 77 6f 72 6b 00 49 50 76 34 20 66 69 72 65	n:.IPsec:.IPv4.Network.IPv4.fire
aae0	77 61 6c 6c 20 72 75 6c 73 65 74 3a 00 49 50 76 36 20 4e 65 74 77 6f 72 6b 00 49 50 76 36 20 54	wall.rulset:.IPv6.Network.IPv6.T
ab00	75 6e 6e 65 6c 00 49 53 49 53 2d 53 52 20 65 78 61 6d 70 6c 65 20 6e 65 74 77 6f 72 6b 00 49 53	unnel.ISIS-SR.example.network.IS
ab20	49 53 2d 53 52 20 6e 65 74 77 6f 72 6b 00 49 53 50 00 49 66 20 60 73 6f 75 72 63 65 2d 61 64 64	IS-SR.network.ISP.If.`source-add
ab40	72 65 73 73 60 20 69 73 20 20 64 79 6e 61 6d 69 63 2c 20 74 68 65 20 74 75 6e 6e 65 6c 20 77 69	ress`.is..dynamic,.the.tunnel.wi
ab60	6c 6c 20 63 65 61 73 65 20 77 6f 72 6b 69 6e 67 20 6f 6e 63 65 20 74 68 65 20 61 64 64 72 65 73	ll.cease.working.once.the.addres
ab80	73 20 63 68 61 6e 67 65 73 2e 20 54 6f 20 61 76 6f 69 64 20 68 61 76 69 6e 67 20 74 6f 20 6d 61	s.changes..To.avoid.having.to.ma
aba0	6e 75 61 6c 6c 79 20 75 70 64 61 74 65 20 60 73 6f 75 72 63 65 2d 61 64 64 72 65 73 73 60 20 65	nually.update.`source-address`.e
abc0	61 63 68 20 74 69 6d 65 20 74 68 65 20 64 79 6e 61 6d 69 63 20 49 50 20 63 68 61 6e 67 65 73 2c	ach.time.the.dynamic.IP.changes,
abe0	20 61 6e 20 61 64 64 72 65 73 73 20 6f 66 20 27 30 2e 30 2e 30 2e 30 27 20 63 61 6e 20 62 65 20	.an.address.of.'0.0.0.0'.can.be.
ac00	73 70 65 63 69 66 69 65 64 2e 00 49 66 20 74 68 65 20 63 6c 69 65 6e 74 20 69 73 20 63 6f 6e 6e	specified..If.the.client.is.conn
ac20	65 63 74 20 73 75 63 63 65 73 73 66 75 6c 6c 79 20 79 6f 75 20 63 61 6e 20 63 68 65 63 6b 20 74	ect.successfully.you.can.check.t
ac40	68 65 20 6f 75 74 70 75 74 20 77 69 74 68 00 49 66 20 74 68 65 20 63 6c 69 65 6e 74 20 69 73 20	he.output.with.If.the.client.is.
ac60	63 6f 6e 6e 65 63 74 65 64 20 73 75 63 63 65 73 73 66 75 6c 6c 79 20 79 6f 75 20 63 61 6e 20 63	connected.successfully.you.can.c
ac80	68 65 63 6b 20 74 68 65 20 73 74 61 74 75 73 00 49 66 20 77 65 20 6e 65 65 64 20 74 6f 20 72 65	heck.the.status.If.we.need.to.re
aca0	74 72 69 65 76 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 61 20 73 70 65 63 69	trieve.information.about.a.speci
acc0	66 69 63 20 68 6f 73 74 2f 6e 65 74 77 6f 72 6b 20 69 6e 73 69 64 65 20 74 68 65 20 45 56 50 4e	fic.host/network.inside.the.EVPN
ace0	20 6e 65 74 77 6f 72 6b 20 77 65 20 6e 65 65 64 20 74 6f 20 72 75 6e 00 49 66 20 79 6f 75 20 61	.network.we.need.to.run.If.you.a
ad00	72 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 74 68 72 6f 75 67 68 20 74 68 69 73 20 64 6f 63 75 6d 65	re.following.through.this.docume
ad20	6e 74 2c 20 69 74 20 69 73 20 73 74 72 6f 6e 67 6c 79 20 73 75 67 67 65 73 74 65 64 20 79 6f 75	nt,.it.is.strongly.suggested.you
ad40	20 63 6f 6d 70 6c 65 74 65 20 74 68 65 20 65 6e 74 69 72 65 20 64 6f 63 75 6d 65 6e 74 2c 20 4f	.complete.the.entire.document,.O
ad60	4e 4c 59 20 64 6f 69 6e 67 20 74 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 31 20 73 74	NLY.doing.the.virtual.router1.st
ad80	65 70 73 2c 20 61 6e 64 20 74 68 65 6e 20 63 6f 6d 65 20 62 61 63 6b 20 61 6e 64 20 77 61 6c 6b	eps,.and.then.come.back.and.walk
ada0	20 74 68 72 6f 75 67 68 20 69 74 20 41 47 41 49 4e 20 6f 6e 20 74 68 65 20 62 61 63 6b 75 70 20	.through.it.AGAIN.on.the.backup.
adc0	68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 49 66 20 79 6f 75 20 61 72 65 20 75 73 69 6e	hardware.router..If.you.are.usin
ade0	67 20 61 20 49 50 76 36 20 74 75 6e 6e 65 6c 20 66 72 6f 6d 20 48 45 2e 6e 65 74 20 6f 72 20 73	g.a.IPv6.tunnel.from.HE.net.or.s
ae00	6f 6d 65 6f 6e 65 20 65 6c 73 65 2c 20 74 68 65 20 62 61 73 69 73 20 69 73 20 74 68 65 20 73 61	omeone.else,.the.basis.is.the.sa
ae20	6d 65 20 65 78 63 65 70 74 20 79 6f 75 20 68 61 76 65 20 74 77 6f 20 57 41 4e 20 69 6e 74 65 72	me.except.you.have.two.WAN.inter
ae40	66 61 63 65 73 2e 20 4f 6e 65 20 66 6f 72 20 76 34 20 61 6e 64 20 6f 6e 65 20 66 6f 72 20 76 36	faces..One.for.v4.and.one.for.v6
ae60	2e 00 49 66 20 79 6f 75 20 75 73 65 20 61 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20	..If.you.use.a.routing.protocol.
ae80	69 74 73 65 6c 66 2c 20 79 6f 75 20 73 6f 6c 76 65 20 74 77 6f 20 70 72 6f 62 6c 65 6d 73 20 61	itself,.you.solve.two.problems.a
aea0	74 20 6f 6e 63 65 2e 20 54 68 69 73 20 69 73 20 6f 6e 6c 79 20 61 20 62 61 73 69 63 20 65 78 61	t.once..This.is.only.a.basic.exa
aec0	6d 70 6c 65 2c 20 61 6e 64 20 69 73 20 70 72 6f 76 69 64 65 64 20 61 73 20 61 20 73 74 61 72 74	mple,.and.is.provided.as.a.start
aee0	69 6e 67 20 70 6f 69 6e 74 2e 00 49 66 20 79 6f 75 72 20 63 6f 6d 70 75 74 65 72 20 69 73 20 6f	ing.point..If.your.computer.is.o
af00	6e 20 74 68 65 20 4c 41 4e 20 61 6e 64 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 53 53 48 20 69 6e	n.the.LAN.and.you.need.to.SSH.in
af20	74 6f 20 79 6f 75 72 20 56 79 4f 53 20 62 6f 78 2c 20 79 6f 75 20 77 6f 75 6c 64 20 6e 65 65 64	to.your.VyOS.box,.you.would.need
af40	20 61 20 72 75 6c 65 20 74 6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e 20 74 68 65 20 4c 41 4e 2d 4c	.a.rule.to.allow.it.in.the.LAN-L
af60	6f 63 61 6c 20 72 75 6c 65 73 65 74 2e 20 49 66 20 79 6f 75 20 77 61 6e 74 20 74 6f 20 61 63 63	ocal.ruleset..If.you.want.to.acc
af80	65 73 73 20 61 20 77 65 62 70 61 67 65 20 66 72 6f 6d 20 79 6f 75 72 20 56 79 4f 53 20 62 6f 78	ess.a.webpage.from.your.VyOS.box
afa0	2c 20 79 6f 75 20 6e 65 65 64 20 61 20 72 75 6c 65 20 74 6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e	,.you.need.a.rule.to.allow.it.in
afc0	20 74 68 65 20 4c 6f 63 61 6c 2d 4c 41 4e 20 72 75 6c 65 73 65 74 2e 00 49 6d 61 67 65 20 6e 61	.the.Local-LAN.ruleset..Image.na
afe0	6d 65 3a 20 76 79 6f 73 2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31	me:.vyos-1.4-rolling-20211031031
b000	37 2d 61 6d 64 36 34 2e 69 73 6f 00 49 6e 20 3a 76 79 74 61 73 6b 3a 60 54 32 31 39 39 60 20 74	7-amd64.iso.In.:vytask:`T2199`.t
b020	68 65 20 73 79 6e 74 61 78 20 6f 66 20 74 68 65 20 7a 6f 6e 65 20 63 6f 6e 66 69 67 75 72 61 74	he.syntax.of.the.zone.configurat
b040	69 6f 6e 20 77 61 73 20 63 68 61 6e 67 65 64 2e 20 54 68 65 20 7a 6f 6e 65 20 63 6f 6e 66 69 67	ion.was.changed..The.zone.config
b060	75 72 61 74 69 6f 6e 20 6d 6f 76 65 64 20 66 72 6f 6d 20 60 60 7a 6f 6e 65 2d 70 6f 6c 69 63 79	uration.moved.from.``zone-policy
b080	20 7a 6f 6e 65 20 3c 6e 61 6d 65 3e 60 60 20 74 6f 20 60 60 66 69 72 65 77 61 6c 6c 20 7a 6f 6e	.zone.<name>``.to.``firewall.zon
b0a0	65 20 3c 6e 61 6d 65 3e 60 60 2e 00 49 6e 20 56 79 4f 53 20 79 6f 75 20 6d 75 73 74 20 68 61 76	e.<name>``..In.VyOS.you.must.hav
b0c0	65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 63 72 65 61 74 65 64 20 62 65 66 6f 72 65 20	e.the.interfaces.created.before.
b0e0	79 6f 75 20 63 61 6e 20 61 70 70 6c 79 20 69 74 20 74 6f 20 74 68 65 20 7a 6f 6e 65 20 61 6e 64	you.can.apply.it.to.the.zone.and
b100	20 74 68 65 20 72 75 6c 65 73 65 74 73 20 6d 75 73 74 20 62 65 20 63 72 65 61 74 65 64 20 70 72	.the.rulesets.must.be.created.pr
b120	69 6f 72 20 74 6f 20 61 70 70 6c 79 69 6e 67 20 69 74 20 74 6f 20 61 20 7a 6f 6e 65 2d 70 6f 6c	ior.to.applying.it.to.a.zone-pol
b140	69 63 79 2e 00 49 6e 20 56 79 4f 53 2c 20 79 6f 75 20 68 61 76 65 20 74 6f 20 68 61 76 65 20 75	icy..In.VyOS,.you.have.to.have.u
b160	6e 69 71 75 65 20 52 75 6c 65 73 65 74 20 6e 61 6d 65 73 2e 20 49 6e 20 74 68 65 20 65 76 65 6e	nique.Ruleset.names..In.the.even
b180	74 20 6f 66 20 6f 76 65 72 6c 61 70 2c 20 49 20 61 64 64 20 61 20 22 2d 36 22 20 74 6f 20 74 68	t.of.overlap,.I.add.a."-6".to.th
b1a0	65 20 65 6e 64 20 6f 66 20 76 36 20 72 75 6c 65 73 65 74 73 2e 20 65 67 2e 20 4c 41 4e 2d 44 4d	e.end.of.v6.rulesets..eg..LAN-DM
b1c0	5a 2c 20 4c 41 4e 2d 44 4d 5a 2d 36 2e 20 54 68 69 73 20 61 6c 6c 6f 77 73 20 66 6f 72 20 65 61	Z,.LAN-DMZ-6..This.allows.for.ea
b1e0	63 68 20 61 75 74 6f 2d 63 6f 6d 70 6c 65 74 69 6f 6e 20 61 6e 64 20 75 6e 69 71 75 65 6e 65 73	ch.auto-completion.and.uniquenes
b200	73 2e 00 49 6e 20 72 75 6c 65 73 2c 20 69 74 20 69 73 20 67 6f 6f 64 20 74 6f 20 6b 65 65 70 20	s..In.rules,.it.is.good.to.keep.
b220	74 68 65 6d 20 6e 61 6d 65 64 20 63 6f 6e 73 69 73 74 65 6e 74 6c 79 2e 20 41 73 20 74 68 65 20	them.named.consistently..As.the.
b240	6e 75 6d 62 65 72 20 6f 66 20 72 75 6c 65 73 20 79 6f 75 20 68 61 76 65 20 67 72 6f 77 73 2c 20	number.of.rules.you.have.grows,.
b260	74 68 65 20 6d 6f 72 65 20 63 6f 6e 73 69 73 74 65 6e 63 79 20 79 6f 75 20 68 61 76 65 2c 20 74	the.more.consistency.you.have,.t
b280	68 65 20 65 61 73 69 65 72 20 79 6f 75 72 20 6c 69 66 65 20 77 69 6c 6c 20 62 65 2e 00 49 6e 20	he.easier.your.life.will.be..In.
b2a0	74 68 65 20 61 62 6f 76 65 20 65 78 61 6d 70 6c 65 73 2c 20 31 2c 32 2c 66 66 66 66 20 61 72 65	the.above.examples,.1,2,ffff.are
b2c0	20 61 6c 6c 20 63 68 6f 73 65 6e 20 62 79 20 79 6f 75 2e 20 59 6f 75 20 63 61 6e 20 75 73 65 20	.all.chosen.by.you..You.can.use.
b2e0	31 2d 66 66 66 66 20 28 31 2d 36 35 35 33 35 29 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 6f 6e	1-ffff.(1-65535)..In.the.end,.on
b300	20 74 68 65 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 77 65 20 77 69 6c 6c 20	.the.router....VyOS2....we.will.
b320	73 65 74 20 6f 75 74 67 6f 69 6e 67 20 62 61 6e 64 77 69 64 74 68 20 6c 69 6d 69 74 73 20 62 65	set.outgoing.bandwidth.limits.be
b340	74 77 65 65 6e 20 74 68 65 20 e2 80 9c 56 79 4f 53 33 e2 80 9d 20 61 6e 64 20 e2 80 9c 56 79 4f	tween.the....VyOS3....and....VyO
b360	53 31 e2 80 9d 20 72 6f 75 74 65 72 73 2e 20 4c 65 74 27 73 20 73 65 74 20 61 20 6c 69 6d 69 74	S1....routers..Let's.set.a.limit
b380	20 66 6f 72 20 49 50 20 31 30 2e 31 2e 31 2e 31 30 30 20 3d 20 35 20 4d 62 70 73 28 54 78 29 2e	.for.IP.10.1.1.100.=.5.Mbps(Tx).
b3a0	20 57 65 20 77 69 6c 6c 20 63 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 20 6f 66 20 74 68 65	.We.will.check.the.result.of.the
b3c0	20 77 6f 72 6b 20 77 69 74 68 20 74 68 65 20 68 65 6c 70 20 6f 66 20 74 68 65 20 e2 80 9c 69 50	.work.with.the.help.of.the....iP
b3e0	65 72 66 e2 80 9d 20 75 74 69 6c 69 74 79 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 77 65 20 77	erf....utility..In.the.end,.we.w
b400	69 6c 6c 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 74 72 61 66 66 69 63 20 73 68 61 70 65 72	ill.configure.the.traffic.shaper
b420	20 75 73 69 6e 67 20 51 6f 53 20 6d 65 63 68 61 6e 69 73 6d 73 20 6f 6e 20 74 68 65 20 e2 80 9c	.using.QoS.mechanisms.on.the....
b440	56 59 4f 53 32 e2 80 9d 20 72 6f 75 74 65 72 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 79 6f 75	VYOS2....router..In.the.end,.you
b460	20 77 69 6c 6c 20 65 6e 64 20 75 70 20 77 69 74 68 20 73 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65	.will.end.up.with.something.like
b480	20 74 68 69 73 20 63 6f 6e 66 69 67 2e 20 49 20 74 6f 6f 6b 20 6f 75 74 20 65 76 65 72 79 74 68	.this.config..I.took.out.everyth
b4a0	69 6e 67 20 62 75 74 20 74 68 65 20 46 69 72 65 77 61 6c 6c 2c 20 49 6e 74 65 72 66 61 63 65 73	ing.but.the.Firewall,.Interfaces
b4c0	2c 20 61 6e 64 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 73 65 63 74 69 6f 6e 73 2e 20 49 74 20 69	,.and.zone-policy.sections..It.i
b4e0	73 20 6c 6f 6e 67 20 65 6e 6f 75 67 68 20 61 73 20 69 73 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c	s.long.enough.as.is..In.the.end,
b500	20 79 6f 75 27 6c 6c 20 67 65 74 20 61 20 70 6f 77 65 72 66 75 6c 20 69 6e 73 74 72 75 6d 65 6e	.you'll.get.a.powerful.instrumen
b520	74 20 66 6f 72 20 6d 6f 6e 69 74 6f 72 69 6e 67 20 74 68 65 20 56 79 4f 53 20 73 79 73 74 65 6d	t.for.monitoring.the.VyOS.system
b540	73 2e 00 49 6e 20 74 68 65 20 6e 65 78 74 20 63 68 61 70 74 65 72 20 6f 66 20 74 68 65 20 65 78	s..In.the.next.chapter.of.the.ex
b560	61 6d 70 6c 65 2c 20 77 65 27 6c 6c 20 75 73 65 20 41 6e 73 69 62 6c 65 20 77 69 74 68 20 6a 69	ample,.we'll.use.Ansible.with.ji
b580	6e 6a 61 32 20 74 65 6d 70 6c 61 74 65 73 20 61 6e 64 20 76 61 72 69 61 62 6c 65 73 2e 00 49 6e	nja2.templates.and.variables..In
b5a0	20 74 68 65 20 6e 65 78 74 20 63 68 61 70 74 65 72 20 6f 66 20 74 68 65 20 65 78 61 6d 70 6c 65	.the.next.chapter.of.the.example
b5c0	2c 20 77 65 27 6c 6c 20 75 73 65 20 74 68 65 20 41 6e 73 69 62 6c 65 20 77 69 74 68 20 6a 69 6e	,.we'll.use.the.Ansible.with.jin
b5e0	6a 61 32 20 74 65 6d 70 6c 61 74 65 73 20 61 6e 64 20 76 61 72 69 61 62 6c 65 73 2e 00 49 6e 20	ja2.templates.and.variables..In.
b600	74 68 69 73 20 63 61 73 65 2c 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 20 68	this.case,.the.hardware.router.h
b620	61 73 20 61 20 64 69 66 66 65 72 65 6e 74 20 49 50 2c 20 73 6f 20 69 74 20 77 6f 75 6c 64 20 62	as.a.different.IP,.so.it.would.b
b640	65 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 77 65 20 61 72 65 20 73 65 74 74 69 6e 67 20 74	e.In.this.case,.we.are.setting.t
b660	68 65 20 76 36 20 72 75 6c 65 73 65 74 20 74 68 61 74 20 72 65 70 72 65 73 65 6e 74 73 20 74 72	he.v6.ruleset.that.represents.tr
b680	61 66 66 69 63 20 73 6f 75 72 63 65 64 20 66 72 6f 6d 20 74 68 65 20 4c 41 4e 2c 20 64 65 73 74	affic.sourced.from.the.LAN,.dest
b6a0	69 6e 65 64 20 66 6f 72 20 74 68 65 20 44 4d 5a 2e 20 42 65 63 61 75 73 65 20 74 68 65 20 7a 6f	ined.for.the.DMZ..Because.the.zo
b6c0	6e 65 2d 70 6f 6c 69 63 79 20 66 69 72 65 77 61 6c 6c 20 73 79 6e 74 61 78 20 69 73 20 61 20 6c	ne-policy.firewall.syntax.is.a.l
b6e0	69 74 74 6c 65 20 61 77 6b 77 61 72 64 2c 20 49 20 6b 65 65 70 20 69 74 20 73 74 72 61 69 67 68	ittle.awkward,.I.keep.it.straigh
b700	74 20 62 79 20 74 68 69 6e 6b 69 6e 67 20 6f 66 20 69 74 20 62 61 63 6b 77 61 72 64 73 2e 00 49	t.by.thinking.of.it.backwards..I
b720	6e 20 74 68 69 73 20 63 61 73 65 2c 20 77 65 27 6c 6c 20 74 72 79 20 74 6f 20 6d 61 6b 65 20 61	n.this.case,.we'll.try.to.make.a
b740	20 73 69 6d 70 6c 65 20 6c 61 62 20 75 73 69 6e 67 20 51 6f 53 20 61 6e 64 20 74 68 65 20 67 65	.simple.lab.using.QoS.and.the.ge
b760	6e 65 72 61 6c 20 61 62 69 6c 69 74 79 20 6f 66 20 74 68 65 20 56 79 4f 53 20 73 79 73 74 65 6d	neral.ability.of.the.VyOS.system
b780	2e 20 57 65 20 72 65 63 6f 6d 6d 65 6e 64 20 79 6f 75 20 74 6f 20 67 6f 20 74 68 72 6f 75 67 68	..We.recommend.you.to.go.through
b7a0	20 74 68 65 20 6d 61 69 6e 20 61 72 74 69 63 6c 65 20 61 62 6f 75 74 20 60 51 6f 53 20 3c 68 74	.the.main.article.about.`QoS.<ht
b7c0	74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f 6e	tps://docs.vyos.io/en/latest/con
b7e0	66 69 67 75 72 61 74 69 6f 6e 2f 74 72 61 66 66 69 63 70 6f 6c 69 63 79 2f 69 6e 64 65 78 2e 68	figuration/trafficpolicy/index.h
b800	74 6d 6c 3e 60 5f 20 66 69 72 73 74 2e 00 49 6e 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 2c 20	tml>`_.first..In.this.document,.
b820	77 65 20 68 61 76 65 20 62 65 65 6e 20 61 6c 6c 6f 63 61 74 65 64 20 32 30 33 2e 30 2e 31 31 33	we.have.been.allocated.203.0.113
b840	2e 30 2f 32 34 20 62 79 20 6f 75 72 20 75 70 73 74 72 65 61 6d 20 70 72 6f 76 69 64 65 72 2c 20	.0/24.by.our.upstream.provider,.
b860	77 68 69 63 68 20 77 65 20 61 72 65 20 70 75 62 6c 69 73 68 69 6e 67 20 6f 6e 20 56 4c 41 4e 31	which.we.are.publishing.on.VLAN1
b880	30 30 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 4f 70 65 6e 56 50 4e 20 77 69 6c 6c	00..In.this.example.OpenVPN.will
b8a0	20 62 65 20 73 65 74 75 70 20 77 69 74 68 20 61 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63	.be.setup.with.a.client.certific
b8c0	61 74 65 20 61 6e 64 20 75 73 65 72 6e 61 6d 65 20 2f 20 70 61 73 73 77 6f 72 64 20 61 75 74 68	ate.and.username./.password.auth
b8e0	65 6e 74 69 63 61 74 69 6f 6e 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 74 77 6f 20	entication..In.this.example.two.
b900	4c 41 4e 20 69 6e 74 65 72 66 61 63 65 73 20 65 78 69 73 74 20 69 6e 20 64 69 66 66 65 72 65 6e	LAN.interfaces.exist.in.differen
b920	74 20 73 75 62 6e 65 74 73 20 69 6e 73 74 65 61 64 20 6f 66 20 6f 6e 65 20 6c 69 6b 65 20 69 6e	t.subnets.instead.of.one.like.in
b940	20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 73 3a 00 49 6e 20 74 68 69 73 20	.the.previous.examples:.In.this.
b960	65 78 61 6d 70 6c 65 20 77 65 20 68 61 76 65 20 34 20 7a 6f 6e 65 73 2e 20 4c 41 4e 2c 20 57 41	example.we.have.4.zones..LAN,.WA
b980	4e 2c 20 44 4d 5a 2c 20 4c 6f 63 61 6c 2e 20 54 68 65 20 6c 6f 63 61 6c 20 7a 6f 6e 65 20 69 73	N,.DMZ,.Local..The.local.zone.is
b9a0	20 74 68 65 20 66 69 72 65 77 61 6c 6c 20 69 74 73 65 6c 66 2e 00 49 6e 20 74 68 69 73 20 65 78	.the.firewall.itself..In.this.ex
b9c0	61 6d 70 6c 65 20 77 65 20 75 73 65 20 56 79 4f 53 20 31 2e 35 20 61 73 20 4c 4e 53 20 61 6e 64	ample.we.use.VyOS.1.5.as.LNS.and
b9e0	20 43 69 73 63 6f 20 49 4f 53 20 61 73 20 4c 41 43 2e 20 41 6c 6c 20 75 73 65 72 73 20 77 69 74	.Cisco.IOS.as.LAC..All.users.wit
ba00	68 20 64 6f 6d 61 69 6e 20 2a 2a 76 79 6f 73 2e 69 6f 2a 2a 20 77 69 6c 6c 20 62 65 20 74 75 6e	h.domain.vyos.io.will.be.tun
ba20	6e 65 6c 65 64 20 74 6f 20 4c 4e 53 20 76 69 61 20 4c 32 54 50 2e 00 49 6e 20 74 68 69 73 20 65	neled.to.LNS.via.L2TP..In.this.e
ba40	78 61 6d 70 6c 65 2c 20 65 74 68 30 20 69 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 69 6e 74 65	xample,.eth0.is.the.primary.inte
ba60	72 66 61 63 65 20 61 6e 64 20 65 74 68 31 20 69 73 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 20	rface.and.eth1.is.the.secondary.
ba80	69 6e 74 65 72 66 61 63 65 2e 20 54 6f 20 70 72 6f 76 69 64 65 20 73 69 6d 70 6c 65 20 66 61 69	interface..To.provide.simple.fai
baa0	6c 6f 76 65 72 20 66 75 6e 63 74 69 6f 6e 61 6c 69 74 79 2e 20 49 66 20 65 74 68 30 20 66 61 69	lover.functionality..If.eth0.fai
bac0	6c 73 2c 20 65 74 68 31 20 74 61 6b 65 73 20 6f 76 65 72 2e 00 49 6e 20 74 68 69 73 20 65 78 61	ls,.eth1.takes.over..In.this.exa
bae0	6d 70 6c 65 2c 20 77 65 20 77 69 6c 6c 20 73 65 74 20 75 70 20 61 20 73 69 6d 70 6c 65 20 75 73	mple,.we.will.set.up.a.simple.us
bb00	65 20 6f 66 20 41 6e 73 69 62 6c 65 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 6d 75 6c 74 69 70	e.of.Ansible.to.configure.multip
bb20	6c 65 20 56 79 6f 53 20 72 6f 75 74 65 72 73 2e 20 57 65 20 68 61 76 65 20 66 6f 75 72 20 70 72	le.VyoS.routers..We.have.four.pr
bb40	65 2d 63 6f 6e 66 69 67 75 72 65 64 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 74 68 69 73 20 63	e-configured.routers.with.this.c
bb60	6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 6e 20 74 68 69 73 20 6c 61 62 20 77 65 20 75 73 65	onfiguration:.In.this.lab.we.use
bb80	20 57 69 6e 64 6f 77 73 20 50 50 50 6f 45 20 63 6c 69 65 6e 74 2e 00 49 6e 20 74 68 69 73 20 73	.Windows.PPPoE.client..In.this.s
bba0	65 63 74 69 6f 6e 2c 20 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 63 6f 6e 66 69 67 75 72	ection,.we.are.going.to.configur
bbc0	65 20 74 68 65 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 20 74 68 61 74 20 77 69 6c 6c 20 62	e.the.firewall.rules.that.will.b
bbe0	65 20 75 73 65 64 20 69 6e 20 62 72 69 64 67 65 20 66 69 72 65 77 61 6c 6c 2c 20 61 6e 64 20 77	e.used.in.bridge.firewall,.and.w
bc00	69 6c 6c 20 63 6f 6e 74 72 6f 6c 20 74 68 65 20 74 72 61 66 66 69 63 20 77 69 74 68 69 6e 20 65	ill.control.the.traffic.within.e
bc20	61 63 68 20 62 72 69 64 67 65 2e 00 49 6e 62 6f 75 6e 64 20 57 41 4e 20 63 6f 6e 6e 65 63 74 20	ach.bridge..Inbound.WAN.connect.
bc40	74 6f 20 44 4d 5a 20 68 6f 73 74 2e 00 49 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 45	to.DMZ.host..Information.about.E
bc60	74 68 65 72 6e 65 74 20 56 69 72 74 75 61 6c 20 50 72 69 76 61 74 65 20 4e 65 74 77 6f 72 6b 73	thernet.Virtual.Private.Networks
bc80	00 49 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 70 72 65 66 69 78 2d 73 69 64 20 61 6e	.Information.about.prefix-sid.an
bca0	64 20 6c 61 62 65 6c 2d 6f 70 65 72 61 74 69 6f 6e 20 66 72 6f 6d 20 56 79 4f 53 00 49 6e 73 74	d.label-operation.from.VyOS.Inst
bcc0	61 6c 6c 20 41 6e 73 69 62 6c 65 3a 00 49 6e 73 74 61 6c 6c 20 50 61 72 61 6d 69 6b 6f 3a 00 49	all.Ansible:.Install.Paramiko:.I
bce0	6e 73 74 61 6c 6c 20 74 68 65 20 41 6e 73 69 62 6c 65 3a 00 49 6e 73 74 61 6c 6c 20 74 68 65 20	nstall.the.Ansible:.Install.the.
bd00	70 61 72 61 6d 69 6b 6f 3a 00 49 6e 74 65 72 2d 56 52 46 20 52 6f 75 74 69 6e 67 20 6f 76 65 72	paramiko:.Inter-VRF.Routing.over
bd20	20 56 52 46 20 4c 69 74 65 00 49 6e 74 65 72 2d 56 52 46 20 72 6f 75 74 69 6e 67 20 69 73 20 61	.VRF.Lite.Inter-VRF.routing.is.a
bd40	20 77 65 6c 6c 2d 6b 6e 6f 77 6e 20 73 6f 6c 75 74 69 6f 6e 20 74 6f 20 61 64 64 72 65 73 73 20	.well-known.solution.to.address.
bd60	63 6f 6d 70 6c 65 78 20 72 6f 75 74 69 6e 67 20 73 63 65 6e 61 72 69 6f 73 20 74 68 61 74 20 65	complex.routing.scenarios.that.e
bd80	6e 61 62 6c 65 20 2d 69 6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61 79 2d 20 74 6f 20 6c 65 61 6b	nable.-in.a.dynamic.way-.to.leak
bda0	20 72 6f 75 74 65 73 20 62 65 74 77 65 65 6e 20 56 52 46 73 2e 20 49 73 20 72 65 63 6f 6d 6d 65	.routes.between.VRFs..Is.recomme
bdc0	6e 64 65 64 20 74 6f 20 74 61 6b 65 20 73 70 65 63 69 61 6c 20 63 6f 6e 73 69 64 65 72 61 74 69	nded.to.take.special.considerati
bde0	6f 6e 20 77 68 69 6c 65 20 64 65 73 69 67 6e 69 6e 67 20 72 6f 75 74 65 2d 74 61 72 67 65 74 73	on.while.designing.route-targets
be00	20 61 6e 64 20 69 74 73 20 61 70 70 6c 69 63 61 74 69 6f 6e 20 61 73 20 69 74 20 63 61 6e 20 6d	.and.its.application.as.it.can.m
be20	69 6e 69 6d 69 7a 65 20 66 75 74 75 72 65 20 69 6e 74 65 72 76 65 6e 74 69 6f 6e 73 20 77 68 69	inimize.future.interventions.whi
be40	6c 65 20 63 72 65 61 74 69 6e 67 20 61 20 6e 65 77 20 56 52 46 20 77 69 6c 6c 20 61 75 74 6f 6d	le.creating.a.new.VRF.will.autom
be60	61 74 69 63 61 6c 6c 79 20 74 61 6b 65 20 74 68 65 20 64 65 73 69 72 65 64 20 65 66 66 65 63 74	atically.take.the.desired.effect
be80	20 69 6e 20 69 74 73 20 70 72 6f 70 61 67 61 74 69 6f 6e 2e 00 49 6e 74 65 72 66 61 63 65 20 61	.in.its.propagation..Interface.a
bea0	6e 64 20 72 6f 75 74 69 6e 67 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 6e 74 65 72 6e	nd.routing.configuration:.Intern
bec0	61 6c 20 4e 65 74 77 6f 72 6b 00 49 6e 74 65 72 6e 65 74 00 49 6e 74 65 72 6e 65 74 20 2d 20 31	al.Network.Internet.Internet.-.1
bee0	39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 32 35 00 49 6e 74 65 72 6e 65 74	92.168.200.100.-.TCP/25.Internet
bf00	20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 34 34 33 00 49 6e 74	.-.192.168.200.100.-.TCP/443.Int
bf20	65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 35 33	ernet.-.192.168.200.100.-.TCP/53
bf40	00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43	.Internet.-.192.168.200.100.-.TC
bf60	50 2f 38 30 00 49 73 6f 6c 61 74 65 64 20 6c 61 79 65 72 20 32 20 62 72 69 64 67 65 2e 00 49 74	P/80.Isolated.layer.2.bridge..It
bf80	20 69 73 20 61 73 73 75 6d 65 64 20 74 68 61 74 20 74 68 65 20 72 6f 75 74 65 72 73 20 70 72 6f	.is.assumed.that.the.routers.pro
bfa0	76 69 64 65 64 20 62 79 20 75 70 73 74 72 65 61 6d 20 61 72 65 20 63 61 70 61 62 6c 65 20 6f 66	vided.by.upstream.are.capable.of
bfc0	20 61 63 74 69 6e 67 20 61 73 20 61 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 2c 20 61 64 64	.acting.as.a.default.router,.add
bfe0	20 74 68 61 74 20 61 73 20 61 20 73 74 61 74 69 63 20 72 6f 75 74 65 2e 00 49 74 20 69 73 20 67	.that.as.a.static.route..It.is.g
c000	6f 6f 64 20 70 72 61 63 74 69 63 65 20 74 6f 20 6c 6f 67 20 62 6f 74 68 20 61 63 63 65 70 74 65	ood.practice.to.log.both.accepte
c020	64 20 61 6e 64 20 64 65 6e 69 65 64 20 74 72 61 66 66 69 63 2e 20 49 74 20 63 61 6e 20 73 61 76	d.and.denied.traffic..It.can.sav
c040	65 20 79 6f 75 20 73 69 67 6e 69 66 69 63 61 6e 74 20 68 65 61 64 61 63 68 65 73 20 77 68 65 6e	e.you.significant.headaches.when
c060	20 74 72 79 69 6e 67 20 74 6f 20 74 72 6f 75 62 6c 65 73 68 6f 6f 74 20 61 20 63 6f 6e 6e 65 63	.trying.to.troubleshoot.a.connec
c080	74 69 76 69 74 79 20 69 73 73 75 65 2e 00 49 74 20 77 69 6c 6c 20 6c 6f 6f 6b 20 73 6f 6d 65 74	tivity.issue..It.will.look.somet
c0a0	68 69 6e 67 20 6c 69 6b 65 20 74 68 69 73 3a 00 49 74 27 73 20 69 6d 70 6f 72 74 61 6e 74 20 74	hing.like.this:.It's.important.t
c0c0	6f 20 6e 6f 74 65 20 74 68 61 74 20 61 6c 6c 20 79 6f 75 72 20 65 78 69 73 74 69 6e 67 20 63 6f	o.note.that.all.your.existing.co
c0e0	6e 66 69 67 75 72 61 74 69 6f 6e 73 20 77 69 6c 6c 20 62 65 20 6d 69 67 72 61 74 65 64 20 61 75	nfigurations.will.be.migrated.au
c100	74 6f 6d 61 74 69 63 61 6c 6c 79 20 6f 6e 20 69 6d 61 67 65 20 75 70 67 72 61 64 65 2e 20 4e 6f	tomatically.on.image.upgrade..No
c120	74 68 69 6e 67 20 74 6f 20 64 6f 20 6f 6e 20 79 6f 75 72 20 73 69 64 65 2e 00 4b 65 65 70 20 6e	thing.to.do.on.your.side..Keep.n
c140	65 74 77 6f 72 6b 73 20 69 73 6f 6c 61 74 65 64 20 69 73 20 2d 69 6e 20 67 65 6e 65 72 61 6c 2d	etworks.isolated.is.-in.general-
c160	20 61 20 67 6f 6f 64 20 70 72 69 6e 63 69 70 6c 65 2c 20 62 75 74 20 74 68 65 72 65 20 61 72 65	.a.good.principle,.but.there.are
c180	20 63 61 73 65 73 20 77 68 65 72 65 20 79 6f 75 20 6d 69 67 68 74 20 6e 65 65 64 20 74 68 61 74	.cases.where.you.might.need.that
c1a0	20 73 6f 6d 65 20 6e 65 74 77 6f 72 6b 20 63 61 6e 20 61 63 63 65 73 73 20 6f 74 68 65 72 20 69	.some.network.can.access.other.i
c1c0	6e 20 61 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 2e 00 4c 33 56 50 4e 20 45 56 50 4e 20 77 69	n.a.different.VRF..L3VPN.EVPN.wi
c1e0	74 68 20 56 79 4f 53 00 4c 33 56 50 4e 20 45 56 50 4e 20 77 69 74 68 20 56 79 4f 53 20 74 6f 70	th.VyOS.L3VPN.EVPN.with.VyOS.top
c200	6f 6c 6f 67 79 20 69 6d 61 67 65 00 4c 33 56 50 4e 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20	ology.image.L3VPN.configuration.
c220	70 61 72 61 6d 65 74 65 72 73 20 74 61 62 6c 65 3a 00 4c 33 56 50 4e 20 66 6f 72 20 48 75 62 2d	parameters.table:.L3VPN.for.Hub-
c240	61 6e 64 2d 53 70 6f 6b 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 77 69 74 68 20 56 79 4f 53	and-Spoke.connectivity.with.VyOS
c260	00 4c 41 43 00 4c 41 4e 20 31 00 4c 41 4e 20 32 00 4c 41 4e 20 43 6f 6e 66 69 67 75 72 61 74 69	.LAC.LAN.1.LAN.2.LAN.Configurati
c280	6f 6e 00 4c 41 4e 20 61 6e 64 20 44 4d 5a 20 68 6f 73 74 73 20 68 61 76 65 20 62 61 73 69 63 20	on.LAN.and.DMZ.hosts.have.basic.
c2a0	6f 75 74 62 6f 75 6e 64 20 61 63 63 65 73 73 3a 20 57 65 62 2c 20 46 54 50 2c 20 53 53 48 2e 00	outbound.access:.Web,.FTP,.SSH..
c2c0	4c 41 4e 20 63 61 6e 20 61 63 63 65 73 73 20 44 4d 5a 20 72 65 73 6f 75 72 63 65 73 2e 00 4c 41	LAN.can.access.DMZ.resources..LA
c2e0	4e 2c 20 57 41 4e 2c 20 44 4d 5a 2c 20 6c 6f 63 61 6c 20 61 6e 64 20 54 55 4e 20 28 74 75 6e 6e	N,.WAN,.DMZ,.local.and.TUN.(tunn
c300	65 6c 29 00 4c 41 4e 31 00 4c 41 4e 31 20 74 6f 20 4c 41 4e 32 00 4c 41 4e 31 20 74 6f 20 4f 75	el).LAN1.LAN1.to.LAN2.LAN1.to.Ou
c320	74 73 69 64 65 00 4c 41 4e 32 00 4c 4e 53 00 4c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 49 50 76	tside.LAN2.LNS.Let...s.check.IPv
c340	34 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 4d 50 4c 53 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 6f	4.routing.and.MPLS.information.o
c360	6e 20 70 72 6f 76 69 64 65 72 20 6e 6f 64 65 73 20 28 73 61 6d 65 20 70 72 6f 63 65 64 75 72 65	n.provider.nodes.(same.procedure
c380	20 66 6f 72 20 61 6c 6c 20 50 20 6e 6f 64 65 73 29 3a 00 4c 65 74 e2 80 99 73 20 73 61 79 20 77	.for.all.P.nodes):.Let...s.say.w
c3a0	65 20 68 61 76 65 20 61 20 72 65 71 75 69 72 65 6d 65 6e 74 20 74 6f 20 68 61 76 65 20 6d 75 6c	e.have.a.requirement.to.have.mul
c3c0	74 69 70 6c 65 20 6e 65 74 77 6f 72 6b 73 2e 00 4c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20 73 68	tiple.networks..Local.subnets.sh
c3e0	6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 72 65 61 63 68 20 69 6e 74 65 72 6e 65 74 20 75	ould.be.able.to.reach.internet.u
c400	73 69 6e 67 20 73 6f 75 72 63 65 20 4e 41 54 2e 00 4c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20 73	sing.source.NAT..Local.subnets.s
c420	68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 72 65 61 63 68 20 69 6e 74 65 72 6e 65 74 20	hould.be.able.to.reach.internet.
c440	75 73 69 6e 67 20 73 6f 75 72 63 65 20 6e 61 74 2e 00 4d 50 2d 42 47 50 20 6f 72 20 4d 75 6c 74	using.source.nat..MP-BGP.or.Mult
c460	69 50 72 6f 74 6f 63 6f 6c 20 42 47 50 20 69 6e 74 72 6f 64 75 63 65 73 20 74 77 6f 20 6d 61 69	iProtocol.BGP.introduces.two.mai
c480	6e 20 63 6f 6e 63 65 70 74 73 20 74 6f 20 73 6f 6c 76 65 20 74 68 69 73 20 6c 69 6d 69 74 61 74	n.concepts.to.solve.this.limitat
c4a0	69 6f 6e 3a 20 2d 20 52 6f 75 74 65 20 44 69 73 74 69 6e 67 75 69 73 68 65 72 20 28 52 44 29 3a	ion:.-.Route.Distinguisher.(RD):
c4c0	20 49 73 20 75 73 65 64 20 74 6f 20 64 69 73 74 69 6e 67 75 69 73 68 20 62 65 74 77 65 65 6e 20	.Is.used.to.distinguish.between.
c4e0	64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 e2 80 93 63 61 6c 6c 65 64 20 56 50 4e 73 2d 20 69	different.VRFs....called.VPNs-.i
c500	6e 73 69 64 65 20 74 68 65 20 42 47 50 20 50 72 6f 63 65 73 73 2e 20 54 68 65 20 52 44 20 69 73	nside.the.BGP.Process..The.RD.is
c520	20 61 70 70 65 6e 64 65 64 20 74 6f 20 65 61 63 68 20 49 50 76 34 20 4e 65 74 77 6f 72 6b 20 74	.appended.to.each.IPv4.Network.t
c540	68 61 74 20 69 73 20 61 64 76 65 72 74 69 73 65 64 20 69 6e 74 6f 20 42 47 50 20 66 6f 72 20 74	hat.is.advertised.into.BGP.for.t
c560	68 61 74 20 56 50 4e 20 6d 61 6b 69 6e 67 20 69 74 20 61 20 75 6e 69 71 75 65 20 56 50 4e 76 34	hat.VPN.making.it.a.unique.VPNv4
c580	20 72 6f 75 74 65 2e 20 2d 20 52 6f 75 74 65 20 54 61 72 67 65 74 20 28 52 54 29 3a 20 54 68 69	.route..-.Route.Target.(RT):.Thi
c5a0	73 20 69 73 20 61 6e 20 65 78 74 65 6e 64 65 64 20 42 47 50 20 63 6f 6d 6d 75 6e 69 74 79 20 61	s.is.an.extended.BGP.community.a
c5c0	70 70 65 6e 64 20 74 6f 20 74 68 65 20 56 50 4e 76 34 20 72 6f 75 74 65 20 69 6e 20 74 68 65 20	ppend.to.the.VPNv4.route.in.the.
c5e0	49 6d 70 6f 72 74 2f 45 78 70 6f 72 74 20 70 72 6f 63 65 73 73 2e 20 57 68 65 6e 20 61 20 72 6f	Import/Export.process..When.a.ro
c600	75 74 65 20 70 61 73 73 65 73 20 66 72 6f 6d 20 74 68 65 20 56 52 46 20 72 6f 75 74 69 6e 67 20	ute.passes.from.the.VRF.routing.
c620	74 61 62 6c 65 20 69 6e 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 20 69 74 20 77 69	table.into.the.BGP.process.it.wi
c640	6c 6c 20 61 64 64 20 74 68 65 20 63 6f 6e 66 69 67 75 72 65 64 20 65 78 70 6f 72 74 20 65 78 74	ll.add.the.configured.export.ext
c660	65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 28 69 65 73 29 20 66 6f 72 20 74 68 61 74 20 56 50	ended.community(ies).for.that.VP
c680	4e 2e 20 57 68 65 6e 20 74 68 61 74 20 72 6f 75 74 65 20 6e 65 65 64 73 20 74 6f 20 67 6f 20 66	N..When.that.route.needs.to.go.f
c6a0	72 6f 6d 20 42 47 50 20 69 6e 74 6f 20 74 68 65 20 56 52 46 20 72 6f 75 74 69 6e 67 20 74 61 62	rom.BGP.into.the.VRF.routing.tab
c6c0	6c 65 20 77 69 6c 6c 20 6f 6e 6c 79 20 70 61 73 73 20 69 66 20 74 68 61 74 20 67 69 76 65 6e 20	le.will.only.pass.if.that.given.
c6e0	56 50 4e 20 69 6d 70 6f 72 74 20 70 6f 6c 69 63 79 20 6d 61 74 63 68 65 73 20 61 6e 79 20 6f 66	VPN.import.policy.matches.any.of
c700	20 74 68 65 20 61 70 70 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 28 69 65 73 29 20 69 6e 74	.the.appended.community(ies).int
c720	6f 20 74 68 61 74 20 70 72 65 66 69 78 2e 00 4d 61 69 6e 20 72 75 6c 65 73 3a 00 4d 61 6b 65 20	o.that.prefix..Main.rules:.Make.
c740	73 75 72 65 20 79 6f 75 20 63 61 6e 20 70 69 6e 67 20 31 30 2e 32 35 34 2e 36 30 2e 31 20 61 6e	sure.you.can.ping.10.254.60.1.an
c760	64 20 2e 32 20 66 72 6f 6d 20 62 6f 74 68 20 72 6f 75 74 65 72 73 2e 00 4d 61 6e 61 67 65 6d 65	d..2.from.both.routers..Manageme
c780	6e 74 00 4d 61 6e 61 67 65 6d 65 6e 74 20 56 52 46 00 4d 61 6e 79 20 6f 74 68 65 72 20 48 79 70	nt.Management.VRF.Many.other.Hyp
c7a0	65 72 76 69 73 6f 72 73 20 64 6f 20 74 68 69 73 2c 20 61 6e 64 20 49 27 6d 20 68 6f 70 69 6e 67	ervisors.do.this,.and.I'm.hoping
c7c0	20 74 68 61 74 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77 69 6c 6c 20 62 65 20 65 78 70 61	.that.this.document.will.be.expa
c7e0	6e 64 65 64 20 74 6f 20 64 6f 63 75 6d 65 6e 74 20 68 6f 77 20 74 6f 20 64 6f 20 74 68 69 73 20	nded.to.document.how.to.do.this.
c800	66 6f 72 20 6f 74 68 65 72 73 2e 00 4d 61 73 71 75 65 72 61 64 65 20 54 72 61 66 66 69 63 20 6f	for.others..Masquerade.Traffic.o
c820	72 69 67 69 6e 61 74 69 6e 67 20 66 72 6f 6d 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20	riginating.from.10.200.201.0/24.
c840	74 68 61 74 20 69 73 20 68 65 61 64 69 6e 67 20 6f 75 74 20 74 68 65 20 70 75 62 6c 69 63 20 69	that.is.heading.out.the.public.i
c860	6e 74 65 72 66 61 63 65 2e 00 4d 6f 6e 69 74 6f 72 69 6e 67 00 4d 6f 6e 69 74 6f 72 69 6e 67 20	nterface..Monitoring.Monitoring.
c880	6f 6e 20 4c 41 43 20 73 69 64 65 00 4d 6f 6e 69 74 6f 72 69 6e 67 20 6f 6e 20 4c 4e 53 20 73 69	on.LAC.side.Monitoring.on.LNS.si
c8a0	64 65 00 4d 6f 6e 69 74 6f 72 69 6e 67 20 6f 6e 20 52 41 44 49 55 53 20 53 65 72 76 65 72 20 73	de.Monitoring.on.RADIUS.Server.s
c8c0	69 64 65 00 4d 75 6c 74 69 70 6c 65 20 4c 41 4e 2f 44 4d 5a 20 53 65 74 75 70 00 4e 41 54 20 61	ide.Multiple.LAN/DMZ.Setup.NAT.a
c8e0	6e 64 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 00 4e 4d 50 20 65 78 61 6d 70 6c 65 00 4e 61	nd.conntrack-sync.NMP.example.Na
c900	74 69 76 65 20 49 50 76 34 20 61 6e 64 20 49 50 76 36 00 4e 65 74 77 6f 72 6b 20 43 61 62 6c 69	tive.IPv4.and.IPv6.Network.Cabli
c920	6e 67 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f	ng.Network.Topology.Network.Topo
c940	6c 6f 67 79 20 44 69 61 67 72 61 6d 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 20 61 6e	logy.Diagram.Network.Topology.an
c960	64 20 72 65 71 75 69 72 65 6d 65 6e 74 73 00 4e 65 78 74 20 6f 6e 20 74 68 65 20 72 6f 75 74 65	d.requirements.Next.on.the.route
c980	72 20 56 79 4f 53 32 20 77 65 20 77 69 6c 6c 20 63 68 61 6e 67 65 20 6c 61 62 65 6c 73 20 6f 6e	r.VyOS2.we.will.change.labels.on
c9a0	20 61 6c 6c 20 69 6e 63 6f 6d 69 6e 67 20 74 72 61 66 66 69 63 20 6f 6e 6c 79 20 66 72 6f 6d 20	.all.incoming.traffic.only.from.
c9c0	43 53 34 2d 3e 20 43 53 36 00 4e 65 78 74 20 74 68 69 6e 67 20 74 6f 20 64 6f 2c 20 69 73 20 74	CS4->.CS6.Next.thing.to.do,.is.t
c9e0	6f 20 63 72 65 61 74 65 20 61 20 77 69 72 65 67 75 61 72 64 20 6b 65 79 70 61 69 72 20 6f 6e 20	o.create.a.wireguard.keypair.on.
ca00	65 61 63 68 20 73 69 64 65 2e 20 41 66 74 65 72 20 74 68 69 73 2c 20 74 68 65 20 70 75 62 6c 69	each.side..After.this,.the.publi
ca20	63 20 6b 65 79 20 63 61 6e 20 62 65 20 64 69 73 70 6c 61 79 65 64 2c 20 74 6f 20 73 61 76 65 20	c.key.can.be.displayed,.to.save.
ca40	66 6f 72 20 6c 61 74 65 72 2e 00 4e 65 78 74 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 63 6f 6e 66	for.later..Next,.we.need.to.conf
ca60	69 67 75 72 65 20 74 68 65 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 2e 20 46 69 72 73 74 20	igure.the.firewall.rules..First.
ca80	77 65 20 77 69 6c 6c 20 64 65 66 69 6e 65 20 61 6c 6c 20 72 75 6c 65 73 20 66 6f 72 20 74 72 61	we.will.define.all.rules.for.tra
caa0	6e 73 69 74 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 56 52 46 73 2e 00 4e 65 78 74 2c	nsit.traffic.between.VRFs..Next,
cac0	20 77 65 20 77 69 6c 6c 20 72 65 70 6c 61 63 65 20 6f 6e 6c 79 20 61 6c 6c 20 43 53 34 20 6c 61	.we.will.replace.only.all.CS4.la
cae0	62 65 6c 73 20 6f 6e 20 74 68 65 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 72 6f 75 74 65 72 2e 00	bels.on.the....VyOS2....router..
cb00	4e 65 78 74 2c 20 79 6f 75 20 6a 75 73 74 20 20 73 68 6f 75 6c 64 20 66 6f 6c 6c 6f 77 20 74 68	Next,.you.just..should.follow.th
cb20	65 20 70 69 63 74 75 72 65 73 3a 00 4e 6f 64 65 00 4e 6f 74 65 20 74 68 61 74 20 72 6f 75 74 65	e.pictures:.Node.Note.that.route
cb40	72 31 20 69 73 20 61 20 56 4d 20 74 68 61 74 20 72 75 6e 73 20 6f 6e 20 6f 6e 65 20 6f 66 20 74	r1.is.a.VM.that.runs.on.one.of.t
cb60	68 65 20 63 6f 6d 70 75 74 65 20 6e 6f 64 65 73 2e 00 4e 6f 74 65 20 74 6f 20 61 6c 6c 6f 77 20	he.compute.nodes..Note.to.allow.
cb80	74 68 65 20 72 6f 75 74 65 72 20 74 6f 20 72 65 63 65 69 76 65 20 44 48 43 50 76 36 20 72 65 73	the.router.to.receive.DHCPv6.res
cba0	70 6f 6e 73 65 20 66 72 6f 6d 20 49 53 50 2e 20 57 65 20 6e 65 65 64 20 74 6f 20 61 6c 6c 6f 77	ponse.from.ISP..We.need.to.allow
cbc0	20 70 61 63 6b 65 74 73 20 77 69 74 68 20 73 6f 75 72 63 65 20 70 6f 72 74 20 35 34 37 20 28 73	.packets.with.source.port.547.(s
cbe0	65 72 76 65 72 29 20 61 6e 64 20 64 65 73 74 69 6e 61 74 69 6f 6e 20 70 6f 72 74 20 35 34 36 20	erver).and.destination.port.546.
cc00	28 63 6c 69 65 6e 74 29 2e 00 4e 6f 74 69 63 65 2c 20 6e 6f 6e 65 20 67 6f 20 74 6f 20 57 41 4e	(client)..Notice,.none.go.to.WAN
cc20	20 73 69 6e 63 65 20 57 41 4e 20 77 6f 75 6c 64 6e 27 74 20 68 61 76 65 20 61 20 76 36 20 61 64	.since.WAN.wouldn't.have.a.v6.ad
cc40	64 72 65 73 73 20 6f 6e 20 69 74 2e 00 4e 6f 77 20 65 6e 61 62 6c 65 20 72 65 70 6c 69 63 61 74	dress.on.it..Now.enable.replicat
cc60	69 6f 6e 20 62 65 74 77 65 65 6e 20 6e 6f 64 65 73 2e 20 52 65 70 6c 61 63 65 20 65 74 68 30 2e	ion.between.nodes..Replace.eth0.
cc80	32 30 31 20 77 69 74 68 20 62 6f 6e 64 30 2e 32 30 31 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61	201.with.bond0.201.on.the.hardwa
cca0	72 65 20 72 6f 75 74 65 72 2e 00 4e 6f 77 20 67 65 6e 65 72 61 74 65 20 61 6c 6c 20 72 65 71 75	re.router..Now.generate.all.requ
ccc0	69 72 65 64 20 63 65 72 74 69 66 69 63 61 74 65 73 20 6f 6e 20 74 68 65 20 6f 76 70 6e 2d 73 65	ired.certificates.on.the.ovpn-se
cce0	72 76 65 72 3a 00 4e 6f 77 20 74 68 65 20 43 6c 69 65 6e 74 20 69 73 20 61 62 6c 65 20 74 6f 20	rver:.Now.the.Client.is.able.to.
cd00	70 69 6e 67 20 61 20 70 75 62 6c 69 63 20 49 50 76 36 20 61 64 64 72 65 73 73 00 4e 6f 77 20 77	ping.a.public.IPv6.address.Now.w
cd20	65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 73 65 74 75 70 20 74 68 65 20 74 75 6e 6e 65 6c 20 69	e.are.able.to.setup.the.tunnel.i
cd40	6e 74 65 72 66 61 63 65 2e 00 4e 6f 77 20 77 65 20 70 65 72 66 6f 72 6d 20 73 6f 6d 65 20 65 6e	nterface..Now.we.perform.some.en
cd60	64 2d 74 6f 2d 65 6e 64 20 74 65 73 74 69 6e 67 00 4e 6f 77 20 77 65 e2 80 99 72 65 20 63 68 65	d-to-end.testing.Now.we...re.che
cd80	63 6b 69 6e 67 20 69 42 47 50 20 73 74 61 74 75 73 20 61 6e 64 20 72 6f 75 74 65 73 20 66 72 6f	cking.iBGP.status.and.routes.fro
cda0	6d 20 72 6f 75 74 65 2d 72 65 66 6c 65 63 74 6f 72 20 6e 6f 64 65 73 20 74 6f 20 6f 74 68 65 72	m.route-reflector.nodes.to.other
cdc0	20 64 65 76 69 63 65 73 3a 00 4e 6f 77 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65	.devices:.Now.you.should.be.able
cde0	20 74 6f 20 70 69 6e 67 20 61 20 70 75 62 6c 69 63 20 49 50 76 36 20 41 64 64 72 65 73 73 00 4e	.to.ping.a.public.IPv6.Address.N
ce00	6f 77 2c 20 69 6e 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 63 68 61 69 6e 2c 20 77 65	ow,.in.the.``forward``.chain,.we
ce20	20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 64 65 66 69 6e 65 20 73 74 61 74 65 20 70 6f 6c 69 63	.are.going.to.define.state.polic
ce40	69 65 73 2c 20 61 6e 64 20 63 75 73 74 6f 6d 20 72 75 6c 65 73 65 74 73 20 66 6f 72 20 65 61 63	ies,.and.custom.rulesets.for.eac
ce60	68 20 62 72 69 64 67 65 20 74 68 61 74 20 77 6f 75 6c 64 20 62 65 20 75 73 65 64 20 69 6e 20 74	h.bridge.that.would.be.used.in.t
ce80	68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 63 68 61 69 6e 2e 20 54 68 65 73 65 20 72 75 6c 65	he.``forward``.chain..These.rule
cea0	73 65 74 73 20 61 72 65 20 60 60 62 72 30 2d 66 77 64 60 60 2c 20 60 60 62 72 31 2d 66 77 64 60	sets.are.``br0-fwd``,.``br1-fwd`
cec0	60 2c 20 61 6e 64 20 60 60 62 72 32 2d 66 77 64 60 60 3a 00 4e 6f 77 2c 20 6c 65 74 e2 80 99 73	`,.and.``br2-fwd``:.Now,.let...s
cee0	20 63 68 65 63 6b 20 72 6f 75 74 69 6e 67 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 6f 6e 20 6f 75	.check.routing.information.on.ou
cf00	74 20 48 75 62 20 50 45 3a 00 4f 53 50 46 20 4f 76 65 72 20 57 69 72 65 47 75 61 72 64 00 4f 53	t.Hub.PE:.OSPF.Over.WireGuard.OS
cf20	50 46 20 75 6e 6e 75 6d 62 65 72 65 64 20 77 69 74 68 20 45 43 4d 50 00 4f 6e 20 74 68 65 20 72	PF.unnumbered.with.ECMP.On.the.r
cf40	6f 75 74 65 72 2c 20 56 79 4f 53 34 20 73 65 74 20 61 6c 6c 20 74 72 61 66 66 69 63 20 61 73 20	outer,.VyOS4.set.all.traffic.as.
cf60	43 53 34 2e 20 57 65 20 68 61 76 65 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 64 65	CS4..We.have.to.configure.the.de
cf80	66 61 75 6c 74 20 63 6c 61 73 73 20 61 6e 64 20 63 6c 61 73 73 20 66 6f 72 20 63 68 61 6e 67 69	fault.class.and.class.for.changi
cfa0	6e 67 20 61 6c 6c 20 6c 61 62 65 6c 73 20 66 72 6f 6d 20 43 53 30 20 74 6f 20 43 53 34 00 4f 6e	ng.all.labels.from.CS0.to.CS4.On
cfc0	2d 70 72 65 6d 69 73 65 73 20 61 64 64 72 65 73 73 20 73 70 61 63 65 00 4f 6e 63 65 20 61 6c 6c	-premises.address.space.Once.all
cfe0	20 72 6f 75 74 65 72 73 20 63 61 6e 20 62 65 20 73 61 66 65 6c 79 20 72 65 6d 6f 74 65 6c 79 20	.routers.can.be.safely.remotely.
d000	6d 61 6e 61 67 65 64 20 61 6e 64 20 74 68 65 20 63 6f 72 65 20 6e 65 74 77 6f 72 6b 20 69 73 20	managed.and.the.core.network.is.
d020	6f 70 65 72 61 74 69 6f 6e 61 6c 2c 20 77 65 20 63 61 6e 20 6e 6f 77 20 73 65 74 75 70 20 74 68	operational,.we.can.now.setup.th
d040	65 20 74 65 6e 61 6e 74 20 6e 65 74 77 6f 72 6b 73 2e 00 4f 6e 63 65 20 61 6c 6c 20 74 68 65 20	e.tenant.networks..Once.all.the.
d060	72 65 71 75 69 72 65 64 20 63 65 72 74 69 66 69 63 61 74 65 73 20 61 6e 64 20 6b 65 79 73 20 61	required.certificates.and.keys.a
d080	72 65 20 69 6e 73 74 61 6c 6c 65 64 2c 20 74 68 65 20 72 65 6d 61 69 6e 69 6e 67 20 4f 70 65 6e	re.installed,.the.remaining.Open
d0a0	56 50 4e 20 53 65 72 76 65 72 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 61 6e 20 62 65 20	VPN.Server.configuration.can.be.
d0c0	63 61 72 72 69 65 64 20 6f 75 74 2e 00 4f 6e 63 65 20 79 6f 75 20 68 61 76 65 20 61 6c 6c 20 6f	carried.out..Once.you.have.all.o
d0e0	66 20 79 6f 75 72 20 72 75 6c 65 73 65 74 73 20 62 75 69 6c 74 2c 20 74 68 65 6e 20 79 6f 75 20	f.your.rulesets.built,.then.you.
d100	6e 65 65 64 20 74 6f 20 63 72 65 61 74 65 20 79 6f 75 72 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 2e	need.to.create.your.zone-policy.
d120	00 4f 6e 65 20 61 64 76 61 6e 74 61 67 65 20 6f 66 20 68 61 76 69 6e 67 20 74 68 65 20 63 6c 69	.One.advantage.of.having.the.cli
d140	65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65 20 73 74 6f 72 65 64 20 69 73 20 74 68 65 20 61 62	ent.certificate.stored.is.the.ab
d160	69 6c 69 74 79 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 63 6c 69 65 6e 74 20 63 6f 6e 66 69	ility.to.create.the.client.confi
d180	67 75 72 61 74 69 6f 6e 2e 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e	guration..One.cable/logical.conn
d1a0	65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 49 6e 74 65 72 6e 65 74	ection.between.LAN1.and.Internet
d1c0	00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65	.One.cable/logical.connection.be
d1e0	74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 4c 41 4e 32 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f	tween.LAN1.and.LAN2.One.cable/lo
d200	67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e	gical.connection.between.LAN1.an
d220	64 20 4d 61 6e 61 67 65 6d 65 6e 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63	d.Management.One.cable/logical.c
d240	6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 32 20 61 6e 64 20 49 6e 74 65 72	onnection.between.LAN2.and.Inter
d260	6e 65 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e	net.One.cable/logical.connection
d280	20 62 65 74 77 65 65 6e 20 4c 41 4e 32 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 00 4f 6e 6c	.between.LAN2.and.Management.Onl
d2a0	79 20 61 63 63 65 70 74 73 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 4f 70 65 6e 56 50 4e 20 77	y.accepts.connections..OpenVPN.w
d2c0	69 74 68 20 4c 44 41 50 00 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 4c 44 41 50 20 74 6f 70 6f 6c	ith.LDAP.OpenVPN.with.LDAP.topol
d2e0	6f 67 79 20 69 6d 61 67 65 00 4f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 3a 20 56 79 4f 53	ogy.image.Operating.system:.VyOS
d300	00 4f 75 72 20 69 6d 70 6c 65 6d 65 6e 74 61 74 69 6f 6e 20 75 73 65 73 20 56 4d 77 61 72 65 27	.Our.implementation.uses.VMware'
d320	73 20 44 69 73 74 72 69 62 75 74 65 64 20 50 6f 72 74 20 47 72 6f 75 70 73 2c 20 77 68 69 63 68	s.Distributed.Port.Groups,.which
d340	20 61 6c 6c 6f 77 73 20 56 4d 77 61 72 65 20 74 6f 20 75 73 65 20 4c 41 43 50 2e 20 54 68 69 73	.allows.VMware.to.use.LACP..This
d360	20 69 73 20 61 20 70 61 72 74 20 6f 66 20 74 68 65 20 45 4e 54 45 52 50 52 49 53 45 20 6c 69 63	.is.a.part.of.the.ENTERPRISE.lic
d380	65 6e 63 65 2c 20 61 6e 64 20 69 73 20 6e 6f 74 20 61 76 61 69 6c 61 62 6c 65 20 6f 6e 20 61 20	ence,.and.is.not.available.on.a.
d3a0	66 72 65 65 20 6c 69 63 65 6e 63 65 2e 20 49 66 20 79 6f 75 20 61 72 65 20 69 6d 70 6c 65 6d 65	free.licence..If.you.are.impleme
d3c0	6e 74 69 6e 67 20 74 68 69 73 20 61 6e 64 20 64 6f 20 6e 6f 74 20 68 61 76 65 20 61 63 63 65 73	nting.this.and.do.not.have.acces
d3e0	73 20 74 6f 20 44 50 47 73 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 74 20 75 73 65 20 56 4d	s.to.DPGs,.you.should.not.use.VM
d400	77 61 72 65 2c 20 61 6e 64 20 75 73 65 20 73 6f 6d 65 20 6f 74 68 65 72 20 76 69 72 74 75 61 6c	ware,.and.use.some.other.virtual
d420	69 7a 61 74 69 6f 6e 20 70 6c 61 74 66 6f 72 6d 20 69 6e 73 74 65 61 64 2e 00 4f 75 72 20 72 6f	ization.platform.instead..Our.ro
d440	75 74 65 72 73 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 68 61 76 65 20 61 20 66 6c 6f 61 74 69	uters.are.going.to.have.a.floati
d460	6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 32 30 33 2e 30 2e 31 31 33 2e 31 2c 20 61 6e	ng.IP.address.of.203.0.113.1,.an
d480	64 20 75 73 65 20 2e 32 20 61 6e 64 20 2e 33 20 61 73 20 74 68 65 69 72 20 66 69 78 65 64 20 49	d.use..2.and..3.as.their.fixed.I
d4a0	50 73 2e 00 4f 76 65 72 76 69 65 77 00 50 45 31 00 50 45 31 20 69 73 20 6c 6f 63 61 74 65 64 20	Ps..Overview.PE1.PE1.is.located.
d4c0	69 6e 20 61 6e 20 69 6e 64 75 73 74 72 69 61 6c 20 61 72 65 61 20 74 68 61 74 20 68 6f 6c 64 73	in.an.industrial.area.that.holds
d4e0	20 6d 75 6c 74 69 70 6c 65 20 6f 66 66 69 63 65 20 62 75 69 6c 64 69 6e 67 73 2e 20 41 6c 6c 20	.multiple.office.buildings..All.
d500	63 75 73 74 6f 6d 65 72 73 20 68 61 76 65 20 61 20 73 69 74 65 20 69 6e 20 74 68 69 73 20 61 72	customers.have.a.site.in.this.ar
d520	65 61 2e 00 50 45 32 00 50 45 32 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 20 73 6d 61 6c	ea..PE2.PE2.is.located.in.a.smal
d540	6c 65 72 20 61 72 65 61 20 77 68 65 72 65 20 62 79 20 63 6f 69 6e 63 69 64 65 6e 63 65 20 74 77	ler.area.where.by.coincidence.tw
d560	6f 20 63 75 73 74 6f 6d 65 72 73 20 28 62 6c 75 65 20 61 6e 64 20 72 65 64 29 20 73 68 61 72 65	o.customers.(blue.and.red).share
d580	20 61 6e 20 6f 66 66 69 63 65 20 62 75 69 6c 64 69 6e 67 2e 00 50 45 33 00 50 45 33 20 69 73 20	.an.office.building..PE3.PE3.is.
d5a0	6c 6f 63 61 74 65 64 20 69 6e 20 61 20 73 6d 61 6c 6c 65 72 20 61 72 65 61 20 77 68 65 72 65 20	located.in.a.smaller.area.where.
d5c0	62 79 20 63 6f 69 6e 63 69 64 65 6e 63 65 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 73 20 28 62 6c	by.coincidence.two.customers.(bl
d5e0	75 65 20 61 6e 64 20 67 72 65 65 6e 29 20 61 72 65 20 6c 6f 63 61 74 65 64 2e 00 50 50 50 6f 45	ue.and.green).are.located..PPPoE
d600	20 49 50 76 36 20 42 61 73 69 63 20 53 65 74 75 70 20 66 6f 72 20 48 6f 6d 65 20 4e 65 74 77 6f	.IPv6.Basic.Setup.for.Home.Netwo
d620	72 6b 00 50 50 50 6f 45 20 53 65 74 75 70 00 50 50 50 6f 45 20 6f 76 65 72 20 4c 32 54 50 00 50	rk.PPPoE.Setup.PPPoE.over.L2TP.P
d640	69 6e 67 20 62 65 74 77 65 65 6e 20 56 79 4f 53 2d 50 31 20 2f 20 56 79 4f 53 2d 50 32 20 74 6f	ing.between.VyOS-P1./.VyOS-P2.to
d660	20 63 6f 6e 66 69 72 6d 20 72 65 61 63 68 61 62 69 6c 69 74 79 3a 00 50 69 6e 67 20 74 68 65 20	.confirm.reachability:.Ping.the.
d680	43 6c 69 65 6e 74 20 66 72 6f 6d 20 74 68 65 20 44 48 43 50 20 53 65 72 76 65 72 2e 00 50 69 6e	Client.from.the.DHCP.Server..Pin
d6a0	67 73 20 77 69 6c 6c 20 62 65 20 73 65 6e 74 20 74 6f 20 66 6f 75 72 20 74 61 72 67 65 74 73 20	gs.will.be.sent.to.four.targets.
d6c0	66 6f 72 20 68 65 61 6c 74 68 20 74 65 73 74 69 6e 67 20 28 33 33 2e 34 34 2e 35 35 2e 36 36 2c	for.health.testing.(33.44.55.66,
d6e0	20 34 34 2e 35 35 2e 36 36 2e 37 37 2c 20 35 35 2e 36 36 2e 37 37 2e 38 38 20 61 6e 64 20 36 36	.44.55.66.77,.55.66.77.88.and.66
d700	2e 37 37 2e 38 38 2e 39 39 29 2e 00 50 6c 65 61 73 65 20 6e 6f 74 65 2c 20 27 61 75 74 6f 6e 6f	.77.88.99)..Please.note,.'autono
d720	6d 6f 75 73 2d 66 6c 61 67 27 20 61 6e 64 20 27 6f 6e 2d 6c 69 6e 6b 2d 66 6c 61 67 27 20 61 72	mous-flag'.and.'on-link-flag'.ar
d740	65 20 65 6e 61 62 6c 65 64 20 62 79 20 64 65 66 61 75 6c 74 2c 20 27 76 61 6c 69 64 2d 6c 69 66	e.enabled.by.default,.'valid-lif
d760	65 74 69 6d 65 27 20 61 6e 64 20 27 70 72 65 66 65 72 72 65 64 2d 6c 69 66 65 74 69 6d 65 27 20	etime'.and.'preferred-lifetime'.
d780	61 72 65 20 73 65 74 20 74 6f 20 64 65 66 61 75 6c 74 20 76 61 6c 75 65 73 20 6f 66 20 33 30 20	are.set.to.default.values.of.30.
d7a0	64 61 79 73 20 61 6e 64 20 34 20 68 6f 75 72 73 20 72 65 73 70 65 63 74 69 76 65 6c 79 2e 00 50	days.and.4.hours.respectively..P
d7c0	6f 6c 69 63 79 2d 42 61 73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 61 6e 64	olicy-Based.Site-to-Site.VPN.and
d7e0	20 46 69 72 65 77 61 6c 6c 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 50 72 65 2d 73 68 61 72	.Firewall.Configuration.Pre-shar
d800	65 64 20 6b 65 79 00 50 72 65 72 65 71 75 69 73 69 74 65 73 00 50 72 69 6f 72 69 74 69 65 73 00	ed.key.Prerequisites.Priorities.
d820	50 72 6f 74 65 63 74 20 74 68 65 20 72 6f 75 74 65 72 20 6f 6e 20 27 57 41 4e 27 20 69 6e 74 65	Protect.the.router.on.'WAN'.inte
d840	72 66 61 63 65 2c 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 49 50 53 65 63 20 63 6f 6e 6e 65	rface,.allowing.only.IPSec.conne
d860	63 74 69 6f 6e 73 20 61 6e 64 20 53 53 48 20 61 63 63 65 73 73 20 66 72 6f 6d 20 74 72 75 73 74	ctions.and.SSH.access.from.trust
d880	65 64 20 49 50 73 2e 00 50 72 6f 74 65 63 74 20 74 68 65 20 72 6f 75 74 65 72 20 6f 6e 20 27 57	ed.IPs..Protect.the.router.on.'W
d8a0	41 4e 27 20 69 6e 74 65 72 66 61 63 65 2c 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 69 70 73	AN'.interface,.allowing.only.ips
d8c0	65 63 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 61 6e 64 20 73 73 68 20 61 63 63 65 73 73 20 66 72	ec.connections.and.ssh.access.fr
d8e0	6f 6d 20 74 72 75 73 74 65 64 20 69 70 73 2e 00 50 75 62 6c 69 63 20 4e 65 74 77 6f 72 6b 00 51	om.trusted.ips..Public.Network.Q
d900	6f 53 20 65 78 61 6d 70 6c 65 00 52 44 00 52 44 20 26 20 52 54 20 53 63 68 65 6d 61 00 52 54 00	oS.example.RD.RD.&.RT.Schema.RT.
d920	52 54 20 65 78 70 6f 72 74 00 52 54 20 69 6d 70 6f 72 74 00 52 65 67 75 6c 61 72 20 56 79 4f 53	RT.export.RT.import.Regular.VyOS
d940	20 75 73 65 72 73 20 77 69 6c 6c 20 6e 6f 74 69 63 65 20 74 68 61 74 20 74 68 65 20 42 47 50 20	.users.will.notice.that.the.BGP.
d960	73 79 6e 74 61 78 20 68 61 73 20 63 68 61 6e 67 65 64 20 69 6e 20 56 79 4f 53 20 31 2e 34 20 66	syntax.has.changed.in.VyOS.1.4.f
d980	72 6f 6d 20 65 76 65 6e 20 74 68 65 20 70 72 69 6f 72 20 70 6f 73 74 20 61 62 6f 75 74 20 74 68	rom.even.the.prior.post.about.th
d9a0	69 73 20 73 75 62 6a 65 63 74 2e 20 54 68 69 73 20 69 73 20 64 75 65 20 74 6f 20 54 31 37 31 31	is.subject..This.is.due.to.T1711
d9c0	2c 20 77 68 65 72 65 20 69 74 20 77 61 73 20 66 69 6e 61 6c 6c 79 20 64 65 63 69 64 65 64 20 74	,.where.it.was.finally.decided.t
d9e0	6f 20 67 65 74 20 72 69 64 20 6f 66 20 74 68 65 20 72 65 64 75 6e 64 61 6e 74 20 42 47 50 20 41	o.get.rid.of.the.redundant.BGP.A
da00	53 4e 20 28 41 75 74 6f 6e 6f 6d 6f 75 73 20 53 79 73 74 65 6d 20 4e 75 6d 62 65 72 29 20 73 70	SN.(Autonomous.System.Number).sp
da20	65 63 69 66 69 63 61 74 69 6f 6e 20 6f 6e 20 74 68 65 20 43 4c 49 20 61 6e 64 20 6d 6f 76 65 20	ecification.on.the.CLI.and.move.
da40	69 74 20 74 6f 20 61 20 73 69 6e 67 6c 65 20 6c 65 61 66 20 6e 6f 64 65 20 28 73 65 74 20 70 72	it.to.a.single.leaf.node.(set.pr
da60	6f 74 6f 63 6f 6c 73 20 62 67 70 20 6c 6f 63 61 6c 2d 61 73 29 2e 00 52 65 6d 6f 74 65 20 4e 65	otocols.bgp.local-as)..Remote.Ne
da80	74 77 6f 72 6b 73 00 52 65 70 6c 61 63 65 20 74 68 65 20 32 30 33 2e 30 2e 31 31 33 2e 33 20 77	tworks.Replace.the.203.0.113.3.w
daa0	69 74 68 20 77 68 61 74 65 76 65 72 20 74 68 65 20 6f 74 68 65 72 20 72 6f 75 74 65 72 27 73 20	ith.whatever.the.other.router's.
dac0	49 50 20 61 64 64 72 65 73 73 20 69 73 2e 00 52 65 71 75 65 73 74 65 64 20 61 20 22 52 65 67 75	IP.address.is..Requested.a."Regu
dae0	6c 61 72 20 54 75 6e 6e 65 6c 22 2e 20 59 6f 75 20 77 61 6e 74 20 74 6f 20 63 68 6f 6f 73 65 20	lar.Tunnel"..You.want.to.choose.
db00	61 20 6c 6f 63 61 74 69 6f 6e 20 74 68 61 74 20 69 73 20 63 6c 6f 73 65 73 74 20 74 6f 20 79 6f	a.location.that.is.closest.to.yo
db20	75 72 20 70 68 79 73 69 63 61 6c 20 6c 6f 63 61 74 69 6f 6e 20 66 6f 72 20 74 68 65 20 62 65 73	ur.physical.location.for.the.bes
db40	74 20 72 65 73 70 6f 6e 73 65 20 74 69 6d 65 2e 00 52 65 73 75 6c 74 73 00 52 6f 6c 65 00 52 6f	t.response.time..Results.Role.Ro
db60	75 74 65 2d 42 61 73 65 64 20 52 65 64 75 6e 64 61 6e 74 20 53 69 74 65 2d 74 6f 2d 53 69 74 65	ute-Based.Redundant.Site-to-Site
db80	20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 28 42 47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f 49 50	.VPN.to.Azure.(BGP.over.IKEv2/IP
dba0	73 65 63 29 00 52 6f 75 74 65 2d 42 61 73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50	sec).Route-Based.Site-to-Site.VP
dbc0	4e 20 74 6f 20 41 7a 75 72 65 20 28 42 47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f 49 50 73 65 63	N.to.Azure.(BGP.over.IKEv2/IPsec
dbe0	29 00 52 6f 75 74 65 2d 46 69 6c 74 65 72 69 6e 67 00 52 6f 75 74 65 64 20 2f 34 38 2e 20 54 68	).Route-Filtering.Routed./48..Th
dc00	69 73 20 69 73 20 73 6f 6d 65 74 68 69 6e 67 20 79 6f 75 20 63 61 6e 20 72 65 71 75 65 73 74 20	is.is.something.you.can.request.
dc20	62 79 20 63 6c 69 63 6b 69 6e 67 20 74 68 65 20 22 41 73 73 69 67 6e 20 2f 34 38 22 20 6c 69 6e	by.clicking.the."Assign./48".lin
dc40	6b 20 69 6e 20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 74 75 6e 6e 65 6c	k.in.the.Tunnelbroker.net.tunnel
dc60	20 63 6f 6e 66 69 67 2e 20 49 74 20 61 6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 68 61 76 65 20 75	.config..It.allows.you.to.have.u
dc80	70 20 74 6f 20 36 35 6b 00 52 6f 75 74 65 64 20 2f 36 34 2e 20 54 68 69 73 20 69 73 20 74 68 65	p.to.65k.Routed./64..This.is.the
dca0	20 64 65 66 61 75 6c 74 20 61 73 73 69 67 6e 6d 65 6e 74 2e 20 49 6e 20 49 50 76 36 2d 6c 61 6e	.default.assignment..In.IPv6-lan
dcc0	64 2c 20 69 74 27 73 20 67 6f 6f 64 20 66 6f 72 20 61 20 73 69 6e 67 6c 65 20 22 4c 41 4e 22 2c	d,.it's.good.for.a.single."LAN",
dce0	20 61 6e 64 20 69 73 20 73 6f 6d 65 77 68 61 74 20 65 71 75 69 76 61 6c 65 6e 74 20 74 6f 20 61	.and.is.somewhat.equivalent.to.a
dd00	20 2f 32 34 2e 00 52 6f 75 74 65 72 20 41 3a 00 52 6f 75 74 65 72 20 41 64 76 65 72 74 69 73 65	./24..Router.A:.Router.Advertise
dd20	6d 65 6e 74 00 52 6f 75 74 65 72 20 42 3a 00 52 6f 75 74 65 72 20 69 64 27 73 20 6d 75 73 74 20	ment.Router.B:.Router.id's.must.
dd40	62 65 20 75 6e 69 71 75 65 2e 00 52 75 6c 65 73 65 74 20 61 72 65 20 63 72 65 61 74 65 64 20 70	be.unique..Ruleset.are.created.p
dd60	65 72 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 2e 00 53 63 65 6e 61 72 69 6f	er.zone-pair-direction..Scenario
dd80	20 61 6e 64 20 72 65 71 75 69 72 65 6d 65 6e 74 73 00 53 65 67 6d 65 6e 74 2d 72 6f 75 74 69 6e	.and.requirements.Segment-routin
dda0	67 20 49 53 2d 49 53 20 65 78 61 6d 70 6c 65 00 53 65 74 20 44 4e 53 20 73 65 72 76 65 72 20 61	g.IS-IS.example.Set.DNS.server.a
ddc0	64 64 72 65 73 73 20 69 6e 20 74 68 65 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 73 6f 20 74	ddress.in.the.advertisement.so.t
dde0	68 61 74 20 63 6c 69 65 6e 74 73 20 63 61 6e 20 6f 62 74 61 69 6e 20 69 74 20 62 79 20 75 73 69	hat.clients.can.obtain.it.by.usi
de00	6e 67 20 52 44 4e 53 53 20 6f 70 74 69 6f 6e 2e 20 4d 6f 73 74 20 6f 70 65 72 61 74 69 6e 67 20	ng.RDNSS.option..Most.operating.
de20	73 79 73 74 65 6d 73 20 28 57 69 6e 64 6f 77 73 2c 20 4c 69 6e 75 78 2c 20 4d 61 63 29 20 73 68	systems.(Windows,.Linux,.Mac).sh
de40	6f 75 6c 64 20 61 6c 72 65 61 64 79 20 73 75 70 70 6f 72 74 20 69 74 2e 00 53 65 74 20 49 50 20	ould.already.support.it..Set.IP.
de60	61 64 64 72 65 73 73 65 73 20 6f 6e 20 61 6c 6c 20 56 50 43 73 20 61 6e 64 20 61 20 64 65 66 61	addresses.on.all.VPCs.and.a.defa
de80	75 6c 74 20 67 61 74 65 77 61 79 20 31 37 32 2e 31 37 2e 31 2e 31 2e 20 57 65 27 6c 6c 20 75 73	ult.gateway.172.17.1.1..We'll.us
dea0	65 20 69 6e 20 74 68 69 73 20 63 61 73 65 20 6f 6e 6c 79 20 73 74 61 74 69 63 20 72 6f 75 74 65	e.in.this.case.only.static.route
dec0	73 2e 20 4f 6e 20 74 68 65 20 56 79 4f 53 33 20 72 6f 75 74 65 72 2c 20 77 65 20 6e 65 65 64 20	s..On.the.VyOS3.router,.we.need.
dee0	74 6f 20 63 68 61 6e 67 65 20 74 68 65 20 27 64 73 63 70 27 20 6c 61 62 65 6c 73 20 66 6f 72 20	to.change.the.'dscp'.labels.for.
df00	74 68 65 20 56 50 43 73 2e 20 54 6f 20 64 6f 20 74 68 69 73 2c 20 77 65 20 75 73 65 20 74 68 69	the.VPCs..To.do.this,.we.use.thi
df20	73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 53 65 74 20 4d 54 55 20 69 6e 20 61 64 76 65	s.configuration..Set.MTU.in.adve
df40	72 74 69 73 65 6d 65 6e 74 20 74 6f 20 31 34 39 32 20 62 65 63 61 75 73 65 20 6f 66 20 50 50 50	rtisement.to.1492.because.of.PPP
df60	6f 45 20 68 65 61 64 65 72 20 6f 76 65 72 68 65 61 64 2e 00 53 65 74 20 74 68 65 20 56 52 46 20	oE.header.overhead..Set.the.VRF.
df80	6e 61 6d 65 20 61 6e 64 20 54 61 62 6c 65 20 49 44 2c 20 73 65 74 20 69 6e 74 65 72 66 61 63 65	name.and.Table.ID,.set.interface
dfa0	20 61 64 64 72 65 73 73 20 61 6e 64 20 62 69 6e 64 20 69 74 20 74 6f 20 74 68 65 20 56 52 46 2e	.address.and.bind.it.to.the.VRF.
dfc0	20 4c 61 73 74 20 61 64 64 20 74 68 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 20 74 6f 20 74 68	.Last.add.the.static.route.to.th
dfe0	65 20 72 65 6d 6f 74 65 20 6e 65 74 77 6f 72 6b 2e 00 53 65 74 20 74 68 65 20 63 6f 73 74 20 6f	e.remote.network..Set.the.cost.o
e000	6e 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 73 20 74 6f 20 62 65 20 32 30 30 2e	n.the.secondary.links.to.be.200.
e020	20 54 68 69 73 20 6d 65 61 6e 73 20 74 68 61 74 20 74 68 65 79 20 77 69 6c 6c 20 6e 6f 74 20 62	.This.means.that.they.will.not.b
e040	65 20 75 73 65 64 20 75 6e 6c 65 73 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 6c 69 6e 6b 73 20	e.used.unless.the.primary.links.
e060	61 72 65 20 64 6f 77 6e 2e 00 53 65 74 20 74 68 65 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 20 6f	are.down..Set.the.local.subnet.o
e080	6e 20 65 74 68 32 20 61 6e 64 20 74 68 65 20 70 75 62 6c 69 63 20 69 70 20 61 64 64 72 65 73 73	n.eth2.and.the.public.ip.address
e0a0	20 65 74 68 31 20 6f 6e 20 65 61 63 68 20 73 69 74 65 2e 00 53 65 74 20 75 70 20 62 61 6e 64 77	.eth1.on.each.site..Set.up.bandw
e0c0	69 64 74 68 20 6c 69 6d 69 74 73 20 6f 6e 20 74 68 65 20 65 74 68 32 20 69 6e 74 65 72 66 61 63	idth.limits.on.the.eth2.interfac
e0e0	65 20 6f 66 20 74 68 65 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 2e 00 53 65 74	e.of.the.router....VyOS2.....Set
e100	73 20 79 6f 75 72 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 27 73 20 49 50 20 61 64 64 72 65 73	s.your.LAN.interface's.IP.addres
e120	73 00 53 65 74 74 69 6e 67 20 42 47 50 20 67 6c 6f 62 61 6c 20 6c 6f 63 61 6c 2d 61 73 20 61 73	s.Setting.BGP.global.local-as.as
e140	20 77 65 6c 6c 20 69 6e 73 69 64 65 20 74 68 65 20 56 52 46 2e 20 52 65 64 69 73 74 72 69 62 75	.well.inside.the.VRF..Redistribu
e160	74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 6f 20 69 6e 6a 65 63 74 20 63 6f 6e 66 69	te.static.routes.to.inject.confi
e180	67 75 72 65 64 20 6e 65 74 77 6f 72 6b 73 20 69 6e 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63	gured.networks.into.the.BGP.proc
e1a0	65 73 73 20 62 75 74 20 73 74 69 6c 6c 20 69 6e 73 69 64 65 20 74 68 65 20 56 52 46 2e 00 53 65	ess.but.still.inside.the.VRF..Se
e1c0	74 74 69 6e 67 20 75 70 20 41 6e 73 69 62 6c 65 20 6f 6e 20 61 20 73 65 72 76 65 72 20 72 75 6e	tting.up.Ansible.on.a.server.run
e1e0	6e 69 6e 67 20 74 68 65 20 44 65 62 69 61 6e 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d	ning.the.Debian.operating.system
e200	2e 00 53 65 74 75 70 20 74 68 65 20 49 50 76 36 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 74	..Setup.the.IPv6.default.route.t
e220	6f 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 00 53 65 74 75 70 20 74 68 65	o.the.tunnel.interface.Setup.the
e240	20 69 70 76 36 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 74 6f 20 74 68 65 20 74 75 6e 6e 65	.ipv6.default.route.to.the.tunne
e260	6c 20 69 6e 74 65 72 66 61 63 65 00 53 68 6f 77 20 72 6f 75 74 65 73 20 66 6f 72 20 61 6c 6c 20	l.interface.Show.routes.for.all.
e280	56 52 46 73 00 53 69 6d 69 6c 61 72 6c 79 2c 20 74 6f 20 61 74 74 61 63 68 20 74 68 65 20 66 69	VRFs.Similarly,.to.attach.the.fi
e2a0	72 65 77 61 6c 6c 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 69 6e 74 65 72	rewall,.you.would.use.`set.inter
e2c0	66 61 63 65 73 20 65 74 68 65 72 6e 65 74 20 65 74 68 30 20 66 69 72 65 77 61 6c 6c 20 69 6e 20	faces.ethernet.eth0.firewall.in.
e2e0	69 70 76 36 2d 6e 61 6d 65 60 20 6f 72 20 60 65 74 20 66 69 72 65 77 61 6c 6c 20 7a 6f 6e 65 20	ipv6-name`.or.`et.firewall.zone.
e300	4c 4f 43 41 4c 20 66 72 6f 6d 20 57 41 4e 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d	LOCAL.from.WAN.firewall.ipv6-nam
e320	65 60 2e 00 53 69 6d 69 6c 61 72 6c 79 2c 20 74 6f 20 61 74 74 61 63 68 20 74 68 65 20 66 69 72	e`..Similarly,.to.attach.the.fir
e340	65 77 61 6c 6c 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 69 6e 74 65 72 66	ewall,.you.would.use.`set.interf
e360	61 63 65 73 20 65 74 68 65 72 6e 65 74 20 65 74 68 30 20 66 69 72 65 77 61 6c 6c 20 69 6e 20 69	aces.ethernet.eth0.firewall.in.i
e380	70 76 36 2d 6e 61 6d 65 60 20 6f 72 20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 7a 6f 6e 65 20	pv6-name`.or.`set.firewall.zone.
e3a0	4c 4f 43 41 4c 20 66 72 6f 6d 20 57 41 4e 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d	LOCAL.from.WAN.firewall.ipv6-nam
e3c0	65 60 2e 00 53 69 6e 63 65 20 73 6f 6d 65 20 49 53 50 73 20 64 69 73 63 6f 6e 6e 65 63 74 73 20	e`..Since.some.ISPs.disconnects.
e3e0	63 6f 6e 74 69 6e 75 6f 75 73 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 6f 72 20 65 76 65 72 79 20	continuous.connection.for.every.
e400	32 7e 33 20 64 61 79 73 2c 20 77 65 20 73 65 74 20 60 60 76 61 6c 69 64 2d 6c 69 66 65 74 69 6d	2~3.days,.we.set.``valid-lifetim
e420	65 60 60 20 74 6f 20 32 20 64 61 79 73 20 74 6f 20 61 6c 6c 6f 77 20 50 43 20 66 6f 72 20 70 68	e``.to.2.days.to.allow.PC.for.ph
e440	61 73 69 6e 67 20 6f 75 74 20 6f 6c 64 20 61 64 64 72 65 73 73 2e 00 53 69 6e 63 65 20 73 6f 6d	asing.out.old.address..Since.som
e460	65 20 6f 66 20 74 68 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 6c 69 73 74 65 64 20 61 62 6f	e.of.the.requirements.listed.abo
e480	76 65 20 65 78 63 65 65 64 20 74 68 65 20 63 61 70 61 62 69 6c 69 74 69 65 73 20 6f 66 20 74 68	ve.exceed.the.capabilities.of.th
e4a0	65 20 62 72 69 64 67 65 20 66 69 72 65 77 61 6c 6c 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 75 73	e.bridge.firewall,.we.need.to.us
e4c0	65 20 74 68 65 20 49 50 20 66 69 72 65 77 61 6c 6c 20 74 6f 20 69 6d 70 6c 65 6d 65 6e 74 20 74	e.the.IP.firewall.to.implement.t
e4e0	68 65 6d 2e 20 46 6f 72 20 62 72 69 64 67 65 20 62 72 31 20 61 6e 64 20 62 72 32 2c 20 77 65 20	hem..For.bridge.br1.and.br2,.we.
e500	6e 65 65 64 20 74 6f 20 63 6f 6e 74 72 6f 6c 20 74 68 65 20 74 72 61 66 66 69 63 20 74 68 61 74	need.to.control.the.traffic.that
e520	20 69 73 20 67 6f 69 6e 67 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 20 69 74 73 65 6c 66 2c 20	.is.going.to.the.router.itself,.
e540	74 6f 20 6f 74 68 65 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 73 2c 20 61 6e 64 20 74 6f 20	to.other.local.networks,.and.to.
e560	74 68 65 20 49 6e 74 65 72 6e 65 74 2e 00 53 69 6e 63 65 20 74 68 65 20 74 75 6e 6e 65 6c 20 69	the.Internet..Since.the.tunnel.i
e580	73 20 61 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20 47 52 45 20 74 75 6e 6e 65 6c 2c 20 69	s.a.point-to-point.GRE.tunnel,.i
e5a0	74 20 62 65 68 61 76 65 73 20 6c 69 6b 65 20 61 6e 79 20 6f 74 68 65 72 20 70 6f 69 6e 74 2d 74	t.behaves.like.any.other.point-t
e5c0	6f 2d 70 6f 69 6e 74 20 69 6e 74 65 72 66 61 63 65 20 28 66 6f 72 20 65 78 61 6d 70 6c 65 3a 20	o-point.interface.(for.example:.
e5e0	73 65 72 69 61 6c 2c 20 64 69 61 6c 65 72 29 2c 20 61 6e 64 20 69 74 20 69 73 20 70 6f 73 73 69	serial,.dialer),.and.it.is.possi
e600	62 6c 65 20 74 6f 20 72 75 6e 20 61 6e 79 20 49 6e 74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20	ble.to.run.any.Interior.Gateway.
e620	50 72 6f 74 6f 63 6f 6c 20 28 49 47 50 29 2f 45 78 74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20	Protocol.(IGP)/Exterior.Gateway.
e640	50 72 6f 74 6f 63 6f 6c 20 28 45 47 50 29 20 6f 76 65 72 20 74 68 65 20 6c 69 6e 6b 20 69 6e 20	Protocol.(EGP).over.the.link.in.
e660	6f 72 64 65 72 20 74 6f 20 65 78 63 68 61 6e 67 65 20 72 6f 75 74 69 6e 67 20 69 6e 66 6f 72 6d	order.to.exchange.routing.inform
e680	61 74 69 6f 6e 00 53 69 6e 63 65 20 77 65 20 68 61 76 65 20 34 20 7a 6f 6e 65 73 2c 20 77 65 20	ation.Since.we.have.4.zones,.we.
e6a0	6e 65 65 64 20 74 6f 20 73 65 74 75 70 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 72 75 6c 65	need.to.setup.the.following.rule
e6c0	73 65 74 73 2e 00 53 69 6e 67 6c 65 20 4c 41 4e 20 53 65 74 75 70 00 53 69 6e 67 6c 65 20 4c 41	sets..Single.LAN.Setup.Single.LA
e6e0	4e 20 73 65 74 75 70 20 77 68 65 72 65 20 65 74 68 32 20 69 73 20 79 6f 75 72 20 4c 41 4e 20 69	N.setup.where.eth2.is.your.LAN.i
e700	6e 74 65 72 66 61 63 65 2e 20 55 73 65 20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 52	nterface..Use.the.Tunnelbroker.R
e720	6f 75 74 65 64 20 2f 36 34 20 70 72 65 66 69 78 3a 00 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 49	outed./64.prefix:.Site-to-Site.I
e740	50 53 65 63 20 56 50 4e 20 74 6f 20 43 69 73 63 6f 20 75 73 69 6e 67 20 46 6c 65 78 56 50 4e 00	PSec.VPN.to.Cisco.using.FlexVPN.
e760	53 6f 20 66 69 72 73 74 2c 20 6c 65 74 27 73 20 63 72 65 61 74 65 20 74 68 65 20 72 65 71 75 69	So.first,.let's.create.the.requi
e780	72 65 64 20 66 69 72 65 77 61 6c 6c 20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75 70 73 3a 00 53	red.firewall.interface.groups:.S
e7a0	6f 2c 20 77 68 65 6e 20 79 6f 75 72 20 4c 41 4e 20 69 73 20 65 74 68 31 2c 20 79 6f 75 72 20 44	o,.when.your.LAN.is.eth1,.your.D
e7c0	4d 5a 20 69 73 20 65 74 68 32 2c 20 79 6f 75 72 20 63 61 6d 65 72 61 73 20 61 72 65 20 6f 6e 20	MZ.is.eth2,.your.cameras.are.on.
e7e0	65 74 68 33 2c 20 65 74 63 3a 00 53 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 3a 00 53 70 6f 6b 65	eth3,.etc:.Something.like:.Spoke
e800	00 53 74 61 72 74 20 62 79 20 73 65 74 74 69 6e 67 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20	.Start.by.setting.the.interface.
e820	61 6e 64 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 66 6f 72 20 65 61 63 68 20 7a 6f 6e 65	and.default.action.for.each.zone
e840	2e 00 53 74 61 72 74 20 74 68 65 20 70 6c 61 79 62 6f 6f 6b 3a 00 53 74 61 72 74 69 6e 67 20 66	..Start.the.playbook:.Starting.f
e860	72 6f 6d 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35	rom.VyOS.1.4-rolling-20230804055
e880	37 2c 20 61 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 73 74 72 75 63 74 75 72 65 20 63 61 6e 20	7,.a.new.firewall.structure.can.
e8a0	62 65 20 66 6f 75 6e 64 20 6f 6e 20 61 6c 6c 20 76 79 6f 73 20 69 6e 73 74 61 6c 61 74 69 6f 6e	be.found.on.all.vyos.instalation
e8c0	73 2c 20 61 6e 64 20 7a 6f 6e 65 20 62 61 73 65 64 20 66 69 72 65 77 61 6c 6c 20 69 73 20 6e 6f	s,.and.zone.based.firewall.is.no
e8e0	20 6c 6f 6e 67 65 72 20 73 75 70 70 6f 72 74 65 64 2e 20 44 6f 63 75 6d 65 6e 74 61 74 69 6f 6e	.longer.supported..Documentation
e900	20 66 6f 72 20 6d 6f 73 74 20 6f 66 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 43 4c	.for.most.of.the.new.firewall.CL
e920	49 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 60 66 69 72 65 77 61 6c 6c 20	I.can.be.found.in.the.`firewall.
e940	3c 68 74 74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f	<https://docs.vyos.io/en/latest/
e960	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 66 69 72 65 77 61 6c 6c 2f 67 65 6e 65 72 61 6c 2e 68	configuration/firewall/general.h
e980	74 6d 6c 3e 60 5f 20 63 68 61 70 74 65 72 2e 20 54 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77	tml>`_.chapter..The.legacy.firew
e9a0	61 6c 6c 20 69 73 20 73 74 69 6c 6c 20 61 76 61 69 6c 61 62 6c 65 20 66 6f 72 20 76 65 72 73 69	all.is.still.available.for.versi
e9c0	6f 6e 73 20 62 65 66 6f 72 65 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30	ons.before.1.4-rolling-202308040
e9e0	35 35 37 20 61 6e 64 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66	557.and.can.be.found.in.the.:ref
ea00	3a 60 66 69 72 65 77 61 6c 6c 2d 6c 65 67 61 63 79 60 20 63 68 61 70 74 65 72 2e 20 54 68 65 20	:`firewall-legacy`.chapter..The.
ea20	65 78 61 6d 70 6c 65 73 20 69 6e 20 74 68 69 73 20 73 65 63 74 69 6f 6e 20 75 73 65 20 74 68 65	examples.in.this.section.use.the
ea40	20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63	.legacy.firewall.configuration.c
ea60	6f 6d 6d 61 6e 64 73 2c 20 73 69 6e 63 65 20 74 68 69 73 20 66 65 61 74 75 72 65 20 68 61 73 20	ommands,.since.this.feature.has.
ea80	62 65 65 6e 20 72 65 6d 6f 76 65 64 20 69 6e 20 65 61 72 6c 69 65 72 20 72 65 6c 65 61 73 65 73	been.removed.in.earlier.releases
eaa0	2e 00 53 74 61 72 74 69 6e 67 20 66 72 6f 6d 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67	..Starting.from.VyOS.1.4-rolling
eac0	2d 32 30 32 33 30 38 30 34 30 35 35 37 2c 20 61 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 73 74	-202308040557,.a.new.firewall.st
eae0	72 75 63 74 75 72 65 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 6f 6e 20 61 6c 6c 20 76 79 6f 73	ructure.can.be.found.on.all.vyos
eb00	20 69 6e 73 74 61 6c 6c 61 74 69 6f 6e 73 2c 20 61 6e 64 20 7a 6f 6e 65 20 62 61 73 65 64 20 66	.installations,.and.zone.based.f
eb20	69 72 65 77 61 6c 6c 20 69 73 20 6e 6f 20 6c 6f 6e 67 65 72 20 73 75 70 70 6f 72 74 65 64 2e 20	irewall.is.no.longer.supported..
eb40	44 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 66 6f 72 20 6d 6f 73 74 20 6f 66 20 74 68 65 20 6e 65	Documentation.for.most.of.the.ne
eb60	77 20 66 69 72 65 77 61 6c 6c 20 43 4c 49 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74	w.firewall.CLI.can.be.found.in.t
eb80	68 65 20 60 66 69 72 65 77 61 6c 6c 20 3c 68 74 74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e	he.`firewall.<https://docs.vyos.
eba0	69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 66 69 72 65 77	io/en/latest/configuration/firew
ebc0	61 6c 6c 2f 67 65 6e 65 72 61 6c 2e 68 74 6d 6c 3e 60 5f 20 63 68 61 70 74 65 72 2e 20 54 68 65	all/general.html>`_.chapter..The
ebe0	20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 69 73 20 73 74 69 6c 6c 20 61 76 61 69 6c 61	.legacy.firewall.is.still.availa
ec00	62 6c 65 20 66 6f 72 20 76 65 72 73 69 6f 6e 73 20 62 65 66 6f 72 65 20 31 2e 34 2d 72 6f 6c 6c	ble.for.versions.before.1.4-roll
ec20	69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 20 61 6e 64 20 63 61 6e 20 62 65 20 66 6f 75 6e	ing-202308040557.and.can.be.foun
ec40	64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 2d 6c 65 67 61 63 79 60 20	d.in.the.:ref:`firewall-legacy`.
ec60	63 68 61 70 74 65 72 2e 20 54 68 65 20 65 78 61 6d 70 6c 65 73 20 69 6e 20 74 68 69 73 20 73 65	chapter..The.examples.in.this.se
ec80	63 74 69 6f 6e 20 75 73 65 20 74 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 63 6f	ction.use.the.legacy.firewall.co
eca0	6e 66 69 67 75 72 61 74 69 6f 6e 20 63 6f 6d 6d 61 6e 64 73 2c 20 73 69 6e 63 65 20 74 68 69 73	nfiguration.commands,.since.this
ecc0	20 66 65 61 74 75 72 65 20 68 61 73 20 62 65 65 6e 20 72 65 6d 6f 76 65 64 20 69 6e 20 65 61 72	.feature.has.been.removed.in.ear
ece0	6c 69 65 72 20 72 65 6c 65 61 73 65 73 2e 00 53 74 65 70 20 31 3a 20 56 52 46 20 61 6e 64 20 43	lier.releases..Step.1:.VRF.and.C
ed00	6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 74 6f 20 72 65 6d 6f 74 65 20 6e 65 74 77 6f 72 6b 73	onfigurations.to.remote.networks
ed20	00 53 74 65 70 20 32 3a 20 42 47 50 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 6f 72 20 56	.Step.2:.BGP.Configuration.for.V
ed40	52 46 2d 4c 69 74 65 00 53 74 65 70 20 33 3a 20 56 50 4e 20 43 6f 6e 66 69 67 75 72 61 74 69 6f	RF-Lite.Step.3:.VPN.Configuratio
ed60	6e 00 53 74 65 70 20 34 3a 20 45 6e 64 20 74 6f 20 45 6e 64 20 76 65 72 69 66 69 63 61 74 69 6f	n.Step.4:.End.to.End.verificatio
ed80	6e 00 53 74 65 70 2d 31 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 49 47 50 20 61 6e 64 20 65 6e	n.Step-1:.Configuring.IGP.and.en
eda0	61 62 6c 69 6e 67 20 4d 50 4c 53 20 4c 44 50 00 53 74 65 70 2d 32 3a 20 43 6f 6e 66 69 67 75 72	abling.MPLS.LDP.Step-2:.Configur
edc0	69 6e 67 20 69 42 47 50 20 66 6f 72 20 4c 33 56 50 4e 20 63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e 65	ing.iBGP.for.L3VPN.control-plane
ede0	00 53 74 65 70 2d 33 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 4c 33 56 50 4e 20 56 52 46 73 20	.Step-3:.Configuring.L3VPN.VRFs.
ee00	6f 6e 20 50 45 20 6e 6f 64 65 73 00 53 74 65 70 2d 34 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20	on.PE.nodes.Step-4:.Configuring.
ee20	43 45 20 6e 6f 64 65 73 00 53 74 65 70 2d 35 3a 20 56 65 72 69 66 69 63 61 74 69 6f 6e 00 54 65	CE.nodes.Step-5:.Verification.Te
ee40	6e 61 6e 74 20 6e 65 74 77 6f 72 6b 73 20 28 56 52 46 73 29 00 54 65 73 74 20 4f 53 50 46 00 54	nant.networks.(VRFs).Test.OSPF.T
ee60	65 73 74 20 57 69 72 65 47 75 61 72 64 00 54 65 73 74 20 74 68 65 20 72 65 73 75 6c 74 00 54 65	est.WireGuard.Test.the.result.Te
ee80	73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 32 2d 32 34 00 54 65 73 74 64 61 74 65 3a 20 32 30 32	stdate:.2023-02-24.Testdate:.202
eea0	33 2d 30 35 2d 31 31 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 38 2d 33 31 00 54 65 73	3-05-11.Testdate:.2023-08-31.Tes
eec0	74 64 61 74 65 3a 20 32 30 32 34 2d 30 31 2d 31 33 00 54 65 73 74 69 6e 67 00 54 65 73 74 69 6e	tdate:.2024-01-13.Testing.Testin
eee0	67 20 61 6e 64 20 64 65 62 75 67 67 69 6e 67 00 54 68 61 74 27 73 20 68 6f 77 20 79 6f 75 20 63	g.and.debugging.That's.how.you.c
ef00	61 6e 20 65 78 70 61 6e 64 20 74 68 65 20 65 78 61 6d 70 6c 65 20 61 62 6f 76 65 2e 20 55 73 65	an.expand.the.example.above..Use
ef20	20 74 68 65 20 60 52 6f 75 74 65 64 20 2f 34 38 60 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 54	.the.`Routed./48`.information..T
ef40	68 69 73 20 61 6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 61 73 73 69 67 6e 20 61 20 64 69 66 66 65	his.allows.you.to.assign.a.diffe
ef60	72 65 6e 74 20 2f 36 34 20 74 6f 20 65 76 65 72 79 20 69 6e 74 65 72 66 61 63 65 2c 20 4c 41 4e	rent./64.to.every.interface,.LAN
ef80	2c 20 6f 72 20 65 76 65 6e 20 64 65 76 69 63 65 2e 20 4f 72 20 79 6f 75 20 63 6f 75 6c 64 20 62	,.or.even.device..Or.you.could.b
efa0	72 65 61 6b 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 20 69 6e 74 6f 20 73 6d 61 6c 6c 65 72 20 63	reak.your.network.into.smaller.c
efc0	68 75 6e 6b 73 20 6c 69 6b 65 20 2f 35 36 20 6f 72 20 2f 36 30 2e 00 54 68 65 20 4c 61 62 20 61	hunks.like./56.or./60..The.Lab.a
efe0	73 75 6d 65 20 61 20 66 75 6c 6c 20 72 75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20 44 69 72 65 63	sume.a.full.running.Active.Direc
f000	74 6f 72 79 20 6f 6e 20 74 68 65 20 57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 2e 20 48 65 72 65	tory.on.the.Windows.Server..Here
f020	20 61 72 65 20 73 6f 6d 65 20 50 6f 77 65 72 53 68 65 6c 6c 20 63 6f 6d 6d 61 6e 64 73 20 74 6f	.are.some.PowerShell.commands.to
f040	20 71 75 69 63 6b 6c 79 20 61 64 64 20 61 20 54 65 73 74 20 41 63 74 69 76 65 20 44 69 72 65 63	.quickly.add.a.Test.Active.Direc
f060	74 6f 72 79 2e 00 54 68 65 20 54 6f 70 6f 6c 6f 67 79 20 61 72 65 20 63 6f 6e 73 69 73 74 73 20	tory..The.Topology.are.consists.
f080	6f 66 3a 00 54 68 65 20 56 79 4f 53 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e	of:.The.VyOS.interface.is.assign
f0a0	65 64 20 74 68 65 20 2e 31 2f 3a 31 20 61 64 64 72 65 73 73 20 6f 66 20 74 68 65 69 72 20 72 65	ed.the..1/:1.address.of.their.re
f0c0	73 70 65 63 74 69 76 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 41 4e 20 69 73 20 6f 6e 20 56 4c 41	spective.networks..WAN.is.on.VLA
f0e0	4e 20 31 30 2c 20 4c 41 4e 20 6f 6e 20 56 4c 41 4e 20 32 30 2c 20 61 6e 64 20 44 4d 5a 20 6f 6e	N.10,.LAN.on.VLAN.20,.and.DMZ.on
f100	20 56 4c 41 4e 20 33 30 2e 00 54 68 65 20 60 60 63 6f 6d 6d 69 74 60 60 20 63 6f 6d 6d 61 6e 64	.VLAN.30..The.``commit``.command
f120	20 69 73 20 69 6d 70 6c 69 65 64 20 61 66 74 65 72 20 65 76 65 72 79 20 73 65 63 74 69 6f 6e 2e	.is.implied.after.every.section.
f140	20 49 66 20 79 6f 75 20 6d 61 6b 65 20 61 6e 20 65 72 72 6f 72 2c 20 60 60 63 6f 6d 6d 69 74 60	.If.you.make.an.error,.``commit`
f160	60 20 77 69 6c 6c 20 77 61 72 6e 20 79 6f 75 20 61 6e 64 20 79 6f 75 20 63 61 6e 20 66 69 78 20	`.will.warn.you.and.you.can.fix.
f180	69 74 20 62 65 66 6f 72 65 20 67 65 74 74 69 6e 67 20 74 6f 6f 20 66 61 72 20 69 6e 74 6f 20 74	it.before.getting.too.far.into.t
f1a0	68 69 6e 67 73 2e 20 50 6c 65 61 73 65 20 65 6e 73 75 72 65 20 79 6f 75 20 63 6f 6d 6d 69 74 20	hings..Please.ensure.you.commit.
f1c0	65 61 72 6c 79 20 61 6e 64 20 63 6f 6d 6d 69 74 20 6f 66 74 65 6e 2e 00 54 68 65 20 60 60 72 65	early.and.commit.often..The.``re
f1e0	64 69 73 74 72 69 62 75 74 65 20 6f 73 70 66 60 60 20 63 6f 6d 6d 61 6e 64 20 69 73 20 74 68 65	distribute.ospf``.command.is.the
f200	72 65 20 70 75 72 65 6c 79 20 61 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 68 6f 77 20 74	re.purely.as.an.example.of.how.t
f220	68 69 73 20 63 61 6e 20 62 65 20 65 78 70 61 6e 64 65 64 2e 20 49 6e 20 74 68 69 73 20 77 61 6c	his.can.be.expanded..In.this.wal
f240	6b 74 68 72 6f 75 67 68 2c 20 69 74 20 77 69 6c 6c 20 62 65 20 66 69 6c 74 65 72 65 64 20 62 79	kthrough,.it.will.be.filtered.by
f260	20 42 47 50 4f 55 54 20 72 75 6c 65 20 31 30 30 30 30 2c 20 61 73 20 69 74 20 69 73 20 6e 6f 74	.BGPOUT.rule.10000,.as.it.is.not
f280	20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32 34 2e 00 54 68 65 20 60 73 6f 75 72 63 65 2d 61 64 64	.203.0.113.0/24..The.`source-add
f2a0	72 65 73 73 60 20 69 73 20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 63 6c 69 65 6e 74	ress`.is.the.Tunnelbroker.client
f2c0	20 49 50 76 34 20 61 64 64 72 65 73 73 20 6f 72 20 69 66 20 74 68 65 72 65 20 69 73 20 4e 41 54	.IPv4.address.or.if.there.is.NAT
f2e0	20 74 68 65 20 63 75 72 72 65 6e 74 20 57 41 4e 20 69 6e 74 65 72 66 61 63 65 20 61 64 64 72 65	.the.current.WAN.interface.addre
f300	73 73 2e 00 54 68 65 20 62 65 6c 6f 77 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 73 20 75	ss..The.below.configuration.is.u
f320	73 65 64 20 61 73 20 65 78 61 6d 70 6c 65 20 77 68 65 72 65 20 77 65 20 6b 65 65 70 20 66 6f 63	sed.as.example.where.we.keep.foc
f340	75 73 20 6f 6e 20 56 79 4f 53 2d 50 31 2f 56 79 4f 53 2d 50 32 2f 58 52 76 2d 50 33 20 77 68 69	us.on.VyOS-P1/VyOS-P2/XRv-P3.whi
f360	63 68 20 77 65 20 73 68 61 72 65 20 74 68 65 20 73 65 74 74 69 6e 67 73 2e 00 54 68 65 20 63 6f	ch.we.share.the.settings..The.co
f380	6e 66 69 67 75 72 61 74 69 6f 6e 20 73 74 65 70 73 20 61 72 65 20 74 68 65 20 73 61 6d 65 20 61	nfiguration.steps.are.the.same.a
f3a0	73 20 69 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 65 78 63 65 70	s.in.the.previous.example,.excep
f3c0	74 20 72 75 6c 65 20 31 30 2e 20 53 6f 20 77 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67	t.rule.10..So.we.keep.the.config
f3e0	75 72 61 74 69 6f 6e 2c 20 72 65 6d 6f 76 65 20 72 75 6c 65 20 31 30 20 61 6e 64 20 61 64 64 20	uration,.remove.rule.10.and.add.
f400	61 20 6e 65 77 20 72 75 6c 65 20 66 6f 72 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 6d 6f 64 65	a.new.rule.for.the.failover.mode
f420	3a 00 54 68 65 20 65 78 61 6d 70 6c 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 73 20 32 20 56 79 4f	:.The.example.topology.has.2.VyO
f440	53 20 72 6f 75 74 65 72 73 2e 20 4f 6e 65 20 61 73 20 54 68 65 20 57 41 4e 20 52 6f 75 74 65 72	S.routers..One.as.The.WAN.Router
f460	20 61 6e 64 20 6f 6e 20 61 73 20 61 20 43 6c 69 65 6e 74 2c 20 74 6f 20 74 65 73 74 20 61 20 73	.and.on.as.a.Client,.to.test.a.s
f480	69 6e 67 6c 65 20 4c 41 4e 20 73 65 74 75 70 00 54 68 65 20 66 69 72 73 74 20 74 77 6f 20 72 75	ingle.LAN.setup.The.first.two.ru
f4a0	6c 65 73 20 61 72 65 20 74 6f 20 64 65 61 6c 20 77 69 74 68 20 74 68 65 20 69 64 69 6f 73 79 6e	les.are.to.deal.with.the.idiosyn
f4c0	63 72 61 73 69 65 73 20 6f 66 20 56 79 4f 53 20 61 6e 64 20 69 70 74 61 62 6c 65 73 2e 00 54 68	crasies.of.VyOS.and.iptables..Th
f4e0	65 20 66 6f 6c 6c 6f 77 69 6e 67 20 61 72 65 20 74 68 65 20 72 75 6c 65 73 20 74 68 61 74 20 77	e.following.are.the.rules.that.w
f500	65 72 65 20 63 72 65 61 74 65 64 20 66 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 28 6d 61	ere.created.for.this.example.(ma
f520	79 20 6e 6f 74 20 62 65 20 63 6f 6d 70 6c 65 74 65 29 2c 20 62 6f 74 68 20 69 6e 20 49 50 76 34	y.not.be.complete),.both.in.IPv4
f540	20 61 6e 64 20 49 50 76 36 2e 20 49 66 20 74 68 65 72 65 20 69 73 20 6e 6f 20 49 50 20 73 70 65	.and.IPv6..If.there.is.no.IP.spe
f560	63 69 66 69 65 64 2c 20 74 68 65 6e 20 74 68 65 20 73 6f 75 72 63 65 2f 64 65 73 74 69 6e 61 74	cified,.then.the.source/destinat
f580	69 6f 6e 20 61 64 64 72 65 73 73 20 69 73 20 6e 6f 74 20 65 78 70 6c 69 63 69 74 2e 00 54 68 65	ion.address.is.not.explicit..The
f5a0	20 66 6f 6c 6c 6f 77 69 6e 67 20 73 6f 66 74 77 61 72 65 20 77 61 73 20 75 73 65 64 20 69 6e 20	.following.software.was.used.in.
f5c0	74 68 65 20 63 72 65 61 74 69 6f 6e 20 6f 66 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 3a 00 54	the.creation.of.this.document:.T
f5e0	68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 74 65 6d 70 6c 61 74 65 20 63 6f 6e 66 69 67 75 72 61 74	he.following.template.configurat
f600	69 6f 6e 20 63 61 6e 20 62 65 20 75 73 65 64 20 69 6e 20 65 61 63 68 20 72 65 6d 6f 74 65 20 72	ion.can.be.used.in.each.remote.r
f620	6f 75 74 65 72 20 62 61 73 65 64 20 69 6e 20 6f 75 72 20 74 6f 70 6f 6c 6f 67 79 2e 00 54 68 65	outer.based.in.our.topology..The
f640	20 66 6f 72 6d 61 74 20 6f 66 20 74 68 65 73 65 20 61 64 64 72 65 73 73 65 73 3a 00 54 68 65 20	.format.of.these.addresses:.The.
f660	6c 61 62 20 49 20 62 75 69 6c 74 20 69 73 20 75 73 69 6e 67 20 61 20 56 52 46 20 28 63 61 6c 6c	lab.I.built.is.using.a.VRF.(call
f680	65 64 20 2a 2a 6d 67 6d 74 2a 2a 29 20 74 6f 20 70 72 6f 76 69 64 65 20 6f 75 74 2d 6f 66 2d 62	ed.mgmt).to.provide.out-of-b
f6a0	61 6e 64 20 53 53 48 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 50 45 20 28 50 72 6f 76 69 64	and.SSH.access.to.the.PE.(Provid
f6c0	65 72 20 45 64 67 65 29 20 72 6f 75 74 65 72 73 2e 00 54 68 65 20 6c 61 62 20 61 73 73 75 6d 65	er.Edge).routers..The.lab.assume
f6e0	73 20 61 20 66 75 6c 6c 20 72 75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72	s.a.full.running.Active.Director
f700	79 20 6f 6e 20 74 68 65 20 57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 2e 20 48 65 72 65 20 61 72	y.on.the.Windows.Server..Here.ar
f720	65 20 73 6f 6d 65 20 50 6f 77 65 72 53 68 65 6c 6c 20 63 6f 6d 6d 61 6e 64 73 20 74 6f 20 71 75	e.some.PowerShell.commands.to.qu
f740	69 63 6b 6c 79 20 61 64 64 20 61 20 54 65 73 74 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72	ickly.add.a.Test.Active.Director
f760	79 2e 00 54 68 65 20 6c 61 62 20 77 61 73 20 62 75 69 6c 74 20 75 73 69 6e 67 20 45 56 45 2d 4e	y..The.lab.was.built.using.EVE-N
f780	47 2e 00 54 68 65 20 6e 65 78 74 20 70 61 67 65 73 20 63 6f 6e 74 61 69 6e 73 20 61 75 74 6f 6d	G..The.next.pages.contains.autom
f7a0	61 74 69 63 20 66 75 6c 6c 20 74 65 73 74 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65	atic.full.tested.configuration.e
f7c0	78 61 6d 70 6c 65 73 2e 00 54 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 20 75 73	xamples..The.previous.example.us
f7e0	65 64 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 63 6f 6d 6d 61 6e 64 20 74 6f 20 73 65 6e 64 20	ed.the.failover.command.to.send.
f800	74 72 61 66 66 69 63 20 74 68 72 6f 75 67 68 20 65 74 68 31 20 69 66 20 65 74 68 30 20 66 61 69	traffic.through.eth1.if.eth0.fai
f820	6c 73 2e 20 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 2c 20 66 61 69 6c 6f 76 65 72 20 66 75	ls..In.this.example,.failover.fu
f840	6e 63 74 69 6f 6e 61 6c 69 74 79 20 69 73 20 70 72 6f 76 69 64 65 64 20 62 79 20 72 75 6c 65 20	nctionality.is.provided.by.rule.
f860	6f 72 64 65 72 2e 00 54 68 65 20 70 72 6f 63 65 73 73 20 77 69 6c 6c 20 64 6f 20 74 68 65 20 66	order..The.process.will.do.the.f
f880	6f 6c 6c 6f 77 69 6e 67 20 73 74 65 70 73 3a 00 54 68 65 20 73 63 6f 70 65 20 6f 66 20 74 68 69	ollowing.steps:.The.scope.of.thi
f8a0	73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 63 6f 76 65 72 20 73 75 63 68 20 63 61 73 65	s.document.is.to.cover.such.case
f8c0	73 20 69 6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61 79 20 77 69 74 68 6f 75 74 20 74 68 65 20 75	s.in.a.dynamic.way.without.the.u
f8e0	73 65 20 6f 66 20 4d 50 4c 53 2d 4c 44 50 2e 00 54 68 65 20 73 65 74 75 70 20 75 73 65 64 20 69	se.of.MPLS-LDP..The.setup.used.i
f900	6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 69 73 20 73 68 6f 77 6e 20 69 6e 20 74 68 65 20 66	n.this.example.is.shown.in.the.f
f920	6f 6c 6c 6f 77 69 6e 67 20 64 69 61 67 72 61 6d 3a 00 54 68 65 20 73 69 6d 70 6c 65 20 77 61 79	ollowing.diagram:.The.simple.way
f940	20 77 69 74 68 6f 75 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 68 6f	.without.configuration.of.the.ho
f960	73 74 6e 61 6d 65 20 28 6f 6e 65 20 74 61 73 6b 20 66 6f 72 20 61 6c 6c 20 72 6f 75 74 65 72 73	stname.(one.task.for.all.routers
f980	29 3a 00 54 68 65 20 73 69 6d 70 6c 65 73 74 20 77 61 79 20 74 6f 20 74 65 73 74 20 69 73 20 74	):.The.simplest.way.to.test.is.t
f9a0	6f 20 6c 6f 6f 6b 20 61 74 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 72 61 63 6b 69 6e	o.look.at.the.connection.trackin
f9c0	67 20 73 74 61 74 73 20 6f 6e 20 74 68 65 20 73 74 61 6e 64 62 79 20 68 61 72 64 77 61 72 65 20	g.stats.on.the.standby.hardware.
f9e0	72 6f 75 74 65 72 20 77 69 74 68 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 68 6f 77 20 63	router.with.the.command.``show.c
fa00	6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 20 73 74 61 74 69 73 74 69 63 73 60 60 2e 20 54 68 65 20	onntrack-sync.statistics``..The.
fa20	6e 75 6d 62 65 72 73 20 73 68 6f 75 6c 64 20 62 65 20 76 65 72 79 20 63 6c 6f 73 65 20 74 6f 20	numbers.should.be.very.close.to.
fa40	74 68 65 20 6e 75 6d 62 65 72 73 20 6f 6e 20 74 68 65 20 70 72 69 6d 61 72 79 20 72 6f 75 74 65	the.numbers.on.the.primary.route
fa60	72 2e 00 54 68 65 20 73 79 6e 63 20 67 72 6f 75 70 20 69 73 20 75 73 65 64 20 74 6f 20 72 65 70	r..The.sync.group.is.used.to.rep
fa80	6c 69 63 61 74 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 72 61 63 6b 69 6e 67 2e 20 49 74 20 6e	licate.connection.tracking..It.n
faa0	65 65 64 73 20 74 6f 20 62 65 20 61 73 73 69 67 6e 65 64 20 74 6f 20 61 20 72 61 6e 64 6f 6d 20	eeds.to.be.assigned.to.a.random.
fac0	56 52 52 50 20 67 72 6f 75 70 2c 20 61 6e 64 20 77 65 20 61 72 65 20 63 72 65 61 74 69 6e 67 20	VRRP.group,.and.we.are.creating.
fae0	61 20 73 79 6e 63 20 67 72 6f 75 70 20 63 61 6c 6c 65 64 20 60 60 73 79 6e 63 60 60 20 75 73 69	a.sync.group.called.``sync``.usi
fb00	6e 67 20 74 68 65 20 76 72 72 70 20 67 72 6f 75 70 20 60 60 69 6e 74 60 60 2e 00 54 68 65 20 74	ng.the.vrrp.group.``int``..The.t
fb20	6f 70 6f 6c 6f 67 79 20 68 61 73 20 33 20 56 79 4f 53 20 72 6f 75 74 65 72 73 20 61 6e 64 20 6f	opology.has.3.VyOS.routers.and.o
fb40	6e 65 20 63 6c 69 65 6e 74 2e 20 42 65 74 77 65 65 6e 20 74 68 65 20 44 48 43 50 20 53 65 72 76	ne.client..Between.the.DHCP.Serv
fb60	65 72 20 61 6e 64 20 74 68 65 20 44 48 43 50 20 52 65 6c 61 79 20 69 73 20 61 20 47 52 45 20 74	er.and.the.DHCP.Relay.is.a.GRE.t
fb80	75 6e 6e 65 6c 2e 20 54 68 65 20 60 74 72 61 6e 73 70 6f 72 74 60 20 56 79 4f 53 20 72 65 70 72	unnel..The.`transport`.VyOS.repr
fba0	65 73 65 6e 74 20 61 20 6c 61 72 67 65 20 4e 65 74 77 6f 72 6b 2e 00 54 68 65 20 74 6f 70 6f 6c	esent.a.large.Network..The.topol
fbc0	6f 67 79 20 68 61 76 65 20 61 20 63 65 6e 74 72 61 6c 20 61 6e 64 20 61 20 62 72 61 6e 63 68 20	ogy.have.a.central.and.a.branch.
fbe0	56 79 4f 53 20 72 6f 75 74 65 72 20 61 6e 64 20 6f 6e 65 20 63 6c 69 65 6e 74 2c 20 74 6f 20 74	VyOS.router.and.one.client,.to.t
fc00	65 73 74 2c 20 69 6e 20 65 61 63 68 20 73 69 74 65 2e 00 54 68 65 6e 20 61 64 64 20 61 20 72 6f	est,.in.each.site..Then.add.a.ro
fc20	75 74 65 2d 6d 61 70 20 61 6e 64 20 72 65 66 65 72 65 6e 63 65 20 74 6f 20 61 62 6f 76 65 20 70	ute-map.and.reference.to.above.p
fc40	72 65 66 69 78 2e 20 43 6f 6e 73 69 64 65 72 20 74 68 61 74 20 74 68 65 20 61 63 74 69 6f 6e 73	refix..Consider.that.the.actions
fc60	20 74 61 6b 65 6e 20 69 6e 73 69 64 65 20 74 68 65 20 70 72 65 66 69 78 20 77 69 6c 6c 20 4d 41	.taken.inside.the.prefix.will.MA
fc80	54 43 48 20 74 68 65 20 72 6f 75 74 65 73 20 74 68 61 74 20 77 69 6c 6c 20 62 65 20 61 66 66 65	TCH.the.routes.that.will.be.affe
fca0	63 74 65 64 20 62 79 20 74 68 65 20 61 63 74 69 6f 6e 73 20 69 6e 73 69 64 65 20 74 68 65 20 72	cted.by.the.actions.inside.the.r
fcc0	75 6c 65 73 20 6f 66 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 2e 00 54 68 65 6e 20 77 65 20 6e	ules.of.the.route-map..Then.we.n
fce0	65 65 64 20 74 6f 20 61 74 74 61 63 68 20 74 68 65 20 70 6f 6c 69 63 79 20 74 6f 20 74 68 65 20	eed.to.attach.the.policy.to.the.
fd00	42 47 50 20 70 72 6f 63 65 73 73 2e 20 54 68 69 73 20 6e 65 65 64 73 20 74 6f 20 62 65 20 75 6e	BGP.process..This.needs.to.be.un
fd20	64 65 72 20 74 68 65 20 69 6d 70 6f 72 74 20 73 74 61 74 65 6d 65 6e 74 20 69 6e 20 74 68 65 20	der.the.import.statement.in.the.
fd40	76 72 66 20 77 65 20 6e 65 65 64 20 74 6f 20 66 69 6c 74 65 72 2e 00 54 68 65 72 65 20 61 72 65	vrf.we.need.to.filter..There.are
fd60	20 73 6f 6d 65 20 63 61 73 65 73 20 77 68 65 72 65 20 74 68 69 73 20 69 73 20 6e 6f 74 20 6e 65	.some.cases.where.this.is.not.ne
fd80	65 64 65 64 20 2d 66 6f 72 20 65 78 61 6d 70 6c 65 2c 20 69 6e 20 73 6f 6d 65 20 44 44 6f 53 20	eded.-for.example,.in.some.DDoS.
fda0	61 70 70 6c 69 61 6e 63 65 2d 20 62 75 74 20 6d 6f 73 74 20 69 6e 74 65 72 2d 76 72 66 20 72 6f	appliance-.but.most.inter-vrf.ro
fdc0	75 74 69 6e 67 20 64 65 73 69 67 6e 73 20 75 73 65 20 74 68 65 20 61 62 6f 76 65 20 63 6f 6e 66	uting.designs.use.the.above.conf
fde0	69 67 75 72 61 74 69 6f 6e 73 2e 00 54 68 65 72 65 20 69 73 20 70 6c 65 6e 74 79 20 6f 66 20 69	igurations..There.is.plenty.of.i
fe00	6e 73 74 72 75 63 74 69 6f 6e 73 20 61 6e 64 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 6f 6e	nstructions.and.documentation.on
fe20	20 73 65 74 74 69 6e 67 20 75 70 20 57 69 72 65 67 75 61 72 64 2e 20 54 68 65 20 6f 6e 6c 79 20	.setting.up.Wireguard..The.only.
fe40	69 6d 70 6f 72 74 61 6e 74 20 74 68 69 6e 67 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 72 65 6d 65	important.thing.you.need.to.reme
fe60	6d 62 65 72 20 69 73 20 74 6f 20 6f 6e 6c 79 20 75 73 65 20 6f 6e 65 20 57 69 72 65 47 75 61 72	mber.is.to.only.use.one.WireGuar
fe80	64 20 69 6e 74 65 72 66 61 63 65 20 70 65 72 20 4f 53 50 46 20 63 6f 6e 6e 65 63 74 69 6f 6e 2e	d.interface.per.OSPF.connection.
fea0	00 54 68 65 73 65 20 61 72 65 20 74 68 65 20 76 6c 61 6e 73 20 77 65 20 77 69 6c 6c 20 62 65 20	.These.are.the.vlans.we.will.be.
fec0	75 73 69 6e 67 3a 00 54 68 65 79 20 77 61 6e 74 20 75 73 20 74 6f 20 65 73 74 61 62 6c 69 73 68	using:.They.want.us.to.establish
fee0	20 61 20 42 47 50 20 73 65 73 73 69 6f 6e 20 74 6f 20 74 68 65 69 72 20 72 6f 75 74 65 72 73 20	.a.BGP.session.to.their.routers.
ff00	6f 6e 20 31 39 32 2e 30 2e 32 2e 31 31 20 61 6e 64 20 31 39 32 2e 30 2e 32 2e 31 32 20 66 72 6f	on.192.0.2.11.and.192.0.2.12.fro
ff20	6d 20 6f 75 72 20 72 6f 75 74 65 72 73 20 31 39 32 2e 30 2e 32 2e 32 31 20 61 6e 64 20 31 39 32	m.our.routers.192.0.2.21.and.192
ff40	2e 30 2e 32 2e 32 32 2e 20 54 68 65 79 20 61 72 65 20 41 53 20 36 35 35 35 30 20 61 6e 64 20 77	.0.2.22..They.are.AS.65550.and.w
ff60	65 20 61 72 65 20 41 53 20 36 35 35 35 31 2e 00 54 68 69 73 20 4c 41 42 20 73 68 6f 77 20 68 6f	e.are.AS.65551..This.LAB.show.ho
ff80	77 20 74 6f 20 75 77 65 20 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 61 20 41 63 74 69 76 65 20 44	w.to.uwe.OpenVPN.with.a.Active.D
ffa0	69 72 65 63 74 6f 72 79 20 61 75 74 68 65 6e 74 69 63 61 74 69 6f 6e 20 62 61 63 6b 65 6e 64 2e	irectory.authentication.backend.
ffc0	00 54 68 69 73 20 4c 41 42 20 73 68 6f 77 73 20 68 6f 77 20 74 6f 20 75 73 65 20 4f 70 65 6e 56	.This.LAB.shows.how.to.use.OpenV
ffe0	50 4e 20 77 69 74 68 20 61 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 61 75 74 68 65	PN.with.a.Active.Directory.authe
10000	6e 74 69 63 61 74 69 6f 6e 20 6d 65 74 68 6f 64 2e 00 54 68 69 73 20 61 63 63 6f 6d 70 6c 69 73	ntication.method..This.accomplis
10020	68 65 73 20 61 20 66 65 77 20 74 68 69 6e 67 73 3a 00 54 68 69 73 20 63 68 61 70 74 65 72 20 63	hes.a.few.things:.This.chapter.c
10040	6f 6e 74 61 69 6e 73 20 76 61 72 69 6f 75 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78	ontains.various.configuration.ex
10060	61 6d 70 6c 65 73 3a 00 54 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70	amples:.This.configuration.examp
10080	6c 65 20 61 6e 64 20 74 68 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 63 6f 6e 73 69 73 74 73	le.and.the.requirements.consists
100a0	20 6f 66 3a 00 54 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 20	.of:.This.configuration.example.
100c0	61 6e 64 20 74 68 65 20 72 65 71 75 69 72 6d 65 6e 74 73 20 63 6f 6e 73 69 73 74 73 20 6f 66 3a	and.the.requirments.consists.of:
100e0	00 54 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 20 61 6e 64 20	.This.configuration.example.and.
10100	74 68 65 20 72 65 71 75 69 72 6d 65 6e 74 73 20 63 6f 6e 73 69 73 74 73 20 6f 6e 3a 00 54 68 69	the.requirments.consists.on:.Thi
10120	73 20 64 6f 63 75 6d 65 6e 74 20 61 69 6d 73 20 74 6f 20 77 61 6c 6b 20 79 6f 75 20 74 68 72 6f	s.document.aims.to.walk.you.thro
10140	75 67 68 20 73 65 74 74 69 6e 67 20 65 76 65 72 79 74 68 69 6e 67 20 75 70 2c 20 73 6f 20 61 74	ugh.setting.everything.up,.so.at
10160	20 61 20 70 6f 69 6e 74 20 77 68 65 72 65 20 79 6f 75 20 63 61 6e 20 72 65 62 6f 6f 74 20 61 6e	.a.point.where.you.can.reboot.an
10180	79 20 6d 61 63 68 69 6e 65 20 61 6e 64 20 6e 6f 74 20 6c 6f 73 65 20 6d 6f 72 65 20 74 68 61 6e	y.machine.and.not.lose.more.than
101a0	20 61 20 66 65 77 20 73 65 63 6f 6e 64 73 20 77 6f 72 74 68 20 6f 66 20 63 6f 6e 6e 65 63 74 69	.a.few.seconds.worth.of.connecti
101c0	76 69 74 79 2e 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 64 65 73 63 72 69	vity..This.document.is.to.descri
101e0	62 65 20 61 20 62 61 73 69 63 20 73 65 74 75 70 20 75 73 69 6e 67 20 50 50 50 6f 45 20 6f 76 65	be.a.basic.setup.using.PPPoE.ove
10200	72 20 4c 32 54 50 2e 20 4c 41 43 20 61 6e 64 20 4c 4e 53 20 61 72 65 20 63 6f 6d 70 6f 6e 65 6e	r.L2TP..LAC.and.LNS.are.componen
10220	74 73 20 6f 66 20 74 68 65 20 62 72 6f 61 64 62 61 6e 64 20 74 6f 70 6f 6c 6f 67 79 2e 20 4c 41	ts.of.the.broadband.topology..LA
10240	43 20 2d 20 4c 32 54 50 20 61 63 63 65 73 73 20 63 6f 6e 63 65 6e 74 72 61 74 6f 72 20 4c 4e 53	C.-.L2TP.access.concentrator.LNS
10260	20 2d 20 20 4c 32 54 50 20 4e 65 74 77 6f 72 6b 20 53 65 72 76 65 72 20 4c 41 43 20 61 6e 64 20	.-..L2TP.Network.Server.LAC.and.
10280	4c 4e 53 20 66 6f 72 6d 73 20 4c 32 54 50 20 74 75 6e 6e 65 6c 2e 20 4c 41 43 20 72 65 63 65 69	LNS.forms.L2TP.tunnel..LAC.recei
102a0	76 65 73 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 50 50 50 6f 45 20 63 6c 69 65 6e 74 73 20 61	ves.packets.from.PPPoE.clients.a
102c0	6e 64 20 66 6f 72 77 61 72 64 20 74 68 65 6d 20 74 6f 20 4c 4e 53 2e 20 4c 4e 53 20 69 73 20 74	nd.forward.them.to.LNS..LNS.is.t
102e0	68 65 20 74 65 72 6d 69 6e 61 74 69 6f 6e 20 70 6f 69 6e 74 20 74 68 61 74 20 63 6f 6d 65 73 20	he.termination.point.that.comes.
10300	66 72 6f 6d 20 50 50 50 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 74 68 65 20 72 65 6d 6f 74 65	from.PPP.packets.from.the.remote
10320	20 63 6c 69 65 6e 74 2e 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 64 65 73	.client..This.document.is.to.des
10340	63 72 69 62 65 20 61 20 62 61 73 69 63 20 73 65 74 75 70 20 75 73 69 6e 67 20 50 50 50 6f 45 20	cribe.a.basic.setup.using.PPPoE.
10360	77 69 74 68 20 44 48 43 50 76 36 2d 50 44 20 2b 20 53 4c 41 41 43 20 74 6f 20 63 6f 6e 73 74 72	with.DHCPv6-PD.+.SLAAC.to.constr
10380	75 63 74 20 61 20 74 79 70 69 63 61 6c 20 68 6f 6d 65 20 6e 65 74 77 6f 72 6b 2e 20 54 68 65 20	uct.a.typical.home.network..The.
103a0	75 73 65 72 20 63 61 6e 20 66 6f 6c 6c 6f 77 20 74 68 65 20 73 74 65 70 73 20 64 65 73 63 72 69	user.can.follow.the.steps.descri
103c0	62 65 64 20 68 65 72 65 20 74 6f 20 71 75 69 63 6b 6c 79 20 73 65 74 75 70 20 61 20 77 6f 72 6b	bed.here.to.quickly.setup.a.work
103e0	69 6e 67 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 75 73 65 20 74 68 69 73 20 61 73 20 61 20 73 74	ing.network.and.use.this.as.a.st
10400	61 72 74 69 6e 67 20 70 6f 69 6e 74 20 74 6f 20 66 75 72 74 68 65 72 20 63 6f 6e 66 69 67 75 72	arting.point.to.further.configur
10420	65 20 6f 72 20 66 69 6e 65 2d 74 75 6e 65 20 6f 74 68 65 72 20 73 65 74 74 69 6e 67 73 2e 00 54	e.or.fine-tune.other.settings..T
10440	68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77 61 6c 6b 73 20 79 6f 75 20 74 68 72 6f 75 67 68 20 61	his.document.walks.you.through.a
10460	20 63 6f 6d 70 6c 65 74 65 20 48 41 20 73 65 74 75 70 20 6f 66 20 74 77 6f 20 56 79 4f 53 20 6d	.complete.HA.setup.of.two.VyOS.m
10480	61 63 68 69 6e 65 73 2e 20 54 68 69 73 20 64 65 73 69 67 6e 20 69 73 20 62 61 73 65 64 20 6f 6e	achines..This.design.is.based.on
104a0	20 61 20 56 4d 20 61 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 72 6f 75 74 65 72 20 61 6e 64 20	.a.VM.as.the.primary.router.and.
104c0	61 20 70 68 79 73 69 63 61 6c 20 6d 61 63 68 69 6e 65 20 61 73 20 61 20 62 61 63 6b 75 70 2c 20	a.physical.machine.as.a.backup,.
104e0	75 73 69 6e 67 20 56 52 52 50 2c 20 42 47 50 2c 20 4f 53 50 46 2c 20 61 6e 64 20 63 6f 6e 6e 74	using.VRRP,.BGP,.OSPF,.and.connt
10500	72 61 63 6b 20 73 68 61 72 69 6e 67 2e 00 54 68 69 73 20 65 6e 73 75 72 65 73 20 79 6f 75 20 64	rack.sharing..This.ensures.you.d
10520	6f 6e 27 74 20 67 6f 20 74 6f 6f 20 66 61 73 74 20 6f 72 20 6d 69 73 73 20 61 20 73 74 65 70 2e	on't.go.too.fast.or.miss.a.step.
10540	20 48 6f 77 65 76 65 72 2c 20 69 74 20 77 69 6c 6c 20 6d 61 6b 65 20 79 6f 75 72 20 6c 69 66 65	.However,.it.will.make.your.life
10560	20 65 61 73 69 65 72 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 66 69 78 65 64 20 49	.easier.to.configure.the.fixed.I
10580	50 20 61 64 64 72 65 73 73 20 61 6e 64 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 6e 6f 77 20	P.address.and.default.route.now.
105a0	6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 54 68 69 73 20 65 78 61	on.the.hardware.router..This.exa
105c0	6d 70 6c 65 20 73 68 6f 77 73 20 68 6f 77 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 20 56 79	mple.shows.how.to.configure.a.Vy
105e0	4f 53 20 72 6f 75 74 65 72 20 77 69 74 68 20 56 52 46 73 20 61 6e 64 20 66 69 72 65 77 61 6c 6c	OS.router.with.VRFs.and.firewall
10600	20 72 75 6c 65 73 2e 00 54 68 69 73 20 65 78 61 6d 70 6c 65 20 73 68 6f 77 73 20 68 6f 77 20 74	.rules..This.example.shows.how.t
10620	6f 20 63 6f 6e 66 69 67 75 72 65 20 61 20 56 79 4f 53 20 72 6f 75 74 65 72 20 77 69 74 68 20 62	o.configure.a.VyOS.router.with.b
10640	72 69 64 67 65 20 69 6e 74 65 72 66 61 63 65 73 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 72 75	ridge.interfaces.and.firewall.ru
10660	6c 65 73 2e 00 54 68 69 73 20 65 78 61 6d 70 6c 65 20 75 73 65 73 20 74 68 65 20 66 61 69 6c 6f	les..This.example.uses.the.failo
10680	76 65 72 20 6d 6f 64 65 2e 00 54 68 69 73 20 67 69 76 65 73 20 75 73 20 4d 50 4c 53 20 73 65 67	ver.mode..This.gives.us.MPLS.seg
106a0	6d 65 6e 74 20 72 6f 75 74 69 6e 67 20 65 6e 61 62 6c 65 64 20 61 6e 64 20 6c 61 62 65 6c 73 20	ment.routing.enabled.and.labels.
106c0	66 6f 72 77 61 72 64 69 6e 67 20 3a 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 20	forwarding.:.This.guide.shows.a.
106e0	73 61 6d 70 6c 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 6f 72 20 46 6c 65 78 56 50 4e	sample.configuration.for.FlexVPN
10700	20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 49 6e 74 65 72 6e 65 74 20 50 72 6f 74 6f 63 6f 6c 20	.site-to-site.Internet.Protocol.
10720	53 65 63 75 72 69 74 79 20 28 49 50 73 65 63 29 2f 47 65 6e 65 72 69 63 20 52 6f 75 74 69 6e 67	Security.(IPsec)/Generic.Routing
10740	20 45 6e 63 61 70 73 75 6c 61 74 69 6f 6e 20 28 47 52 45 29 20 74 75 6e 6e 65 6c 2e 00 54 68 69	.Encapsulation.(GRE).tunnel..Thi
10760	73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 20 72 65	s.guide.shows.an.example.of.a.re
10780	64 75 6e 64 61 6e 74 20 28 61 63 74 69 76 65 2d 61 63 74 69 76 65 29 20 72 6f 75 74 65 2d 62 61	dundant.(active-active).route-ba
107a0	73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 74 6f 20 41 7a	sed.IKEv2.site-to-site.VPN.to.Az
107c0	75 72 65 20 75 73 69 6e 67 20 56 54 49 20 61 6e 64 20 42 47 50 20 66 6f 72 20 64 79 6e 61 6d 69	ure.using.VTI.and.BGP.for.dynami
107e0	63 20 72 6f 75 74 69 6e 67 20 75 70 64 61 74 65 73 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68	c.routing.updates..This.guide.sh
10800	6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 20 72 6f 75 74 65 2d 62 61 73 65 64 20	ows.an.example.of.a.route-based.
10820	49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20	IKEv2.site-to-site.VPN.to.Azure.
10840	75 73 69 6e 67 20 56 54 49 20 61 6e 64 20 42 47 50 20 66 6f 72 20 64 79 6e 61 6d 69 63 20 72 6f	using.VTI.and.BGP.for.dynamic.ro
10860	75 74 69 6e 67 20 75 70 64 61 74 65 73 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20	uting.updates..This.guide.shows.
10880	61 6e 20 65 78 61 6d 70 6c 65 20 70 6f 6c 69 63 79 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69	an.example.policy-based.IKEv2.si
108a0	74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 62 65 74 77 65 65 6e 20 74 77 6f 20 56 79 4f 53 20	te-to-site.VPN.between.two.VyOS.
108c0	72 6f 75 74 65 72 73 2c 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 69 75 72 61	routers,.and.firewall.configiura
108e0	74 69 6f 6e 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c	tion..This.guide.shows.an.exampl
10900	65 20 70 6f 6c 69 63 79 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74	e.policy-based.IKEv2.site-to-sit
10920	65 20 56 50 4e 20 62 65 74 77 65 65 6e 20 74 77 6f 20 56 79 4f 53 20 72 6f 75 74 65 72 73 2c 20	e.VPN.between.two.VyOS.routers,.
10940	61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 54 68 69 73	and.firewall.configuration..This
10960	20 67 75 69 64 65 20 77 61 6c 6b 73 20 74 68 72 6f 75 67 68 20 74 68 65 20 73 65 74 75 70 20 6f	.guide.walks.through.the.setup.o
10980	66 20 68 74 74 70 73 3a 2f 2f 77 77 77 2e 74 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 20	f.https://www.tunnelbroker.net/.
109a0	66 6f 72 20 61 6e 20 49 50 76 36 20 54 75 6e 6e 65 6c 2e 00 54 68 69 73 20 68 61 73 20 61 20 66	for.an.IPv6.Tunnel..This.has.a.f
109c0	6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 31 30 2e 32 30 30 2e 32 30 31	loating.IP.address.of.10.200.201
109e0	2e 31 2f 32 34 2c 20 75 73 69 6e 67 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 32	.1/24,.using.virtual.router.ID.2
10a00	30 31 2e 20 54 68 65 20 64 69 66 66 65 72 65 6e 63 65 20 62 65 74 77 65 65 6e 20 74 68 65 6d 20	01..The.difference.between.them.
10a20	69 73 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 6e 61 6d 65 2c 20 68 65 6c 6c 6f 2d 73 6f 75	is.the.interface.name,.hello-sou
10a40	72 63 65 2d 61 64 64 72 65 73 73 2c 20 61 6e 64 20 70 65 65 72 2d 61 64 64 72 65 73 73 2e 00 54	rce-address,.and.peer-address..T
10a60	68 69 73 20 68 61 73 20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66	his.has.a.floating.IP.address.of
10a80	20 32 30 33 2e 30 2e 31 31 33 2e 31 2f 32 34 2c 20 75 73 69 6e 67 20 76 69 72 74 75 61 6c 20 72	.203.0.113.1/24,.using.virtual.r
10aa0	6f 75 74 65 72 20 49 44 20 31 31 33 2e 20 54 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72	outer.ID.113..The.virtual.router
10ac0	20 49 44 20 69 73 20 6a 75 73 74 20 61 20 72 61 6e 64 6f 6d 20 6e 75 6d 62 65 72 20 62 65 74 77	.ID.is.just.a.random.number.betw
10ae0	65 65 6e 20 31 20 61 6e 64 20 32 35 34 2c 20 61 6e 64 20 63 61 6e 20 62 65 20 73 65 74 20 74 6f	een.1.and.254,.and.can.be.set.to
10b00	20 77 68 61 74 65 76 65 72 20 79 6f 75 20 77 61 6e 74 2e 20 42 65 73 74 20 70 72 61 63 74 69 63	.whatever.you.want..Best.practic
10b20	65 73 20 73 75 67 67 65 73 74 20 79 6f 75 20 74 72 79 20 74 6f 20 6b 65 65 70 20 74 68 65 6d 20	es.suggest.you.try.to.keep.them.
10b40	75 6e 69 71 75 65 20 65 6e 74 65 72 70 72 69 73 65 2d 77 69 64 65 2e 00 54 68 69 73 20 69 73 20	unique.enterprise-wide..This.is.
10b60	61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 74 68 65 20 74 68 72 65 65 20 62 61 73 65 20 72 75 6c	an.example.of.the.three.base.rul
10b80	65 73 2e 00 54 68 69 73 20 69 73 20 62 61 73 65 64 20 6f 6e 20 61 20 72 65 61 6c 2d 6c 69 66 65	es..This.is.based.on.a.real-life
10ba0	20 70 72 6f 64 75 63 74 69 6f 6e 20 64 65 73 69 67 6e 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 63	.production.design..One.of.the.c
10bc0	6f 6d 70 6c 65 78 20 69 73 73 75 65 73 20 69 73 20 65 6e 73 75 72 69 6e 67 20 79 6f 75 20 68 61	omplex.issues.is.ensuring.you.ha
10be0	76 65 20 72 65 64 75 6e 64 61 6e 74 20 64 61 74 61 20 49 4e 54 4f 20 79 6f 75 72 20 6e 65 74 77	ve.redundant.data.INTO.your.netw
10c00	6f 72 6b 2e 20 57 65 20 64 6f 20 74 68 69 73 20 77 69 74 68 20 61 20 70 61 69 72 20 6f 66 20 43	ork..We.do.this.with.a.pair.of.C
10c20	69 73 63 6f 20 4e 65 78 75 73 20 73 77 69 74 63 68 65 73 20 61 6e 64 20 75 73 69 6e 67 20 56 69	isco.Nexus.switches.and.using.Vi
10c40	72 74 75 61 6c 20 50 6f 72 74 43 68 61 6e 6e 65 6c 73 20 74 68 61 74 20 61 72 65 20 73 70 61 6e	rtual.PortChannels.that.are.span
10c60	6e 65 64 20 61 63 72 6f 73 73 20 74 68 65 6d 2e 20 41 73 20 61 20 62 6f 6e 75 73 2c 20 74 68 69	ned.across.them..As.a.bonus,.thi
10c80	73 20 61 6c 73 6f 20 61 6c 6c 6f 77 73 20 66 6f 72 20 63 6f 6d 70 6c 65 74 65 20 73 77 69 74 63	s.also.allows.for.complete.switc
10ca0	68 20 66 61 69 6c 75 72 65 20 77 69 74 68 6f 75 74 20 61 6e 20 6f 75 74 61 67 65 2e 20 48 6f 77	h.failure.without.an.outage..How
10cc0	20 79 6f 75 20 61 63 68 69 65 76 65 20 74 68 69 73 20 79 6f 75 72 73 65 6c 66 20 69 73 20 6c 65	.you.achieve.this.yourself.is.le
10ce0	66 74 20 61 73 20 61 6e 20 65 78 65 72 63 69 73 65 20 74 6f 20 74 68 65 20 72 65 61 64 65 72 2e	ft.as.an.exercise.to.the.reader.
10d00	20 42 75 74 20 6f 75 72 20 73 65 74 75 70 20 69 73 20 64 6f 63 75 6d 65 6e 74 65 64 20 68 65 72	.But.our.setup.is.documented.her
10d20	65 2e 00 54 68 69 73 20 69 73 20 63 6f 6e 6e 65 63 74 69 6e 67 20 62 61 63 6b 20 74 6f 20 74 68	e..This.is.connecting.back.to.th
10d40	65 20 53 54 41 54 49 43 20 49 50 20 6f 66 20 72 6f 75 74 65 72 31 2c 20 6e 6f 74 20 74 68 65 20	e.STATIC.IP.of.router1,.not.the.
10d60	66 6c 6f 61 74 69 6e 67 2e 00 54 68 69 73 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 62 75 74	floating..This.is.identical,.but
10d80	20 79 6f 75 20 75 73 65 20 74 68 65 20 42 47 50 50 52 45 50 45 4e 44 4f 55 54 20 72 6f 75 74 65	.you.use.the.BGPPREPENDOUT.route
10da0	2d 6d 61 70 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 74 68 65 20 72 6f 75 74 65 20 77 69 74 68	-map.to.advertise.the.route.with
10dc0	20 61 20 6c 6f 6e 67 65 72 20 70 61 74 68 2e 00 54 68 69 73 20 69 73 20 69 67 6e 6f 72 69 6e 67	.a.longer.path..This.is.ignoring
10de0	20 74 68 65 20 65 78 74 72 61 20 4f 75 74 2d 6f 66 2d 62 61 6e 64 20 6d 61 6e 61 67 65 6d 65 6e	.the.extra.Out-of-band.managemen
10e00	74 20 6e 65 74 77 6f 72 6b 69 6e 67 2c 20 77 68 69 63 68 20 73 68 6f 75 6c 64 20 62 65 20 6f 6e	t.networking,.which.should.be.on
10e20	20 74 6f 74 61 6c 6c 79 20 64 69 66 66 65 72 65 6e 74 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64	.totally.different.switches,.and
10e40	20 61 20 64 69 66 66 65 72 65 6e 74 20 66 65 65 64 20 69 6e 74 6f 20 74 68 65 20 72 61 63 6b 2c	.a.different.feed.into.the.rack,
10e60	20 61 6e 64 20 69 73 20 6f 75 74 20 6f 66 20 73 63 6f 70 65 20 6f 66 20 74 68 69 73 2e 00 54 68	.and.is.out.of.scope.of.this..Th
10e80	69 73 20 73 63 65 6e 61 72 69 6f 20 63 6f 75 6c 64 20 62 65 20 61 20 6e 69 67 68 74 6d 61 72 65	is.scenario.could.be.a.nightmare
10ea0	20 61 70 70 6c 79 69 6e 67 20 72 65 67 75 6c 61 72 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 6d 69	.applying.regular.routing.and.mi
10ec0	67 68 74 20 6e 65 65 64 20 66 69 6c 74 65 72 69 6e 67 20 69 6e 20 6d 75 6c 74 69 70 6c 65 20 69	ght.need.filtering.in.multiple.i
10ee0	6e 74 65 72 66 61 63 65 73 2e 00 54 68 69 73 20 73 65 63 74 69 6f 6e 20 63 6f 6e 74 61 69 6e 73	nterfaces..This.section.contains
10f00	20 65 78 61 6d 70 6c 65 73 20 6f 66 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74	.examples.of.firewall.configurat
10f20	69 6f 6e 73 20 66 6f 72 20 76 61 72 69 6f 75 73 20 64 65 70 6c 6f 79 6d 65 6e 74 73 2e 00 54 68	ions.for.various.deployments..Th
10f40	69 73 20 73 65 63 74 69 6f 6e 20 64 65 73 63 72 69 62 65 73 20 76 65 72 69 66 69 63 61 74 69 6f	is.section.describes.verificatio
10f60	6e 20 63 6f 6d 6d 61 6e 64 73 20 66 6f 72 20 4d 50 4c 53 2f 42 47 50 2f 4c 44 50 20 70 72 6f 74	n.commands.for.MPLS/BGP/LDP.prot
10f80	6f 63 6f 6c 73 20 61 6e 64 20 4c 33 56 50 4e 20 72 65 6c 61 74 65 64 20 72 6f 75 74 65 73 20 61	ocols.and.L3VPN.related.routes.a
10fa0	73 20 77 65 6c 6c 20 61 73 20 64 69 61 67 6e 6f 73 69 73 20 61 6e 64 20 72 65 61 63 68 61 62 69	s.well.as.diagnosis.and.reachabi
10fc0	6c 69 74 79 20 63 68 65 63 6b 73 20 62 65 74 77 65 65 6e 20 43 45 20 6e 6f 64 65 73 2e 00 54 68	lity.checks.between.CE.nodes..Th
10fe0	69 73 20 73 65 63 74 69 6f 6e 20 70 72 6f 76 69 64 65 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f	is.section.provides.configuratio
11000	6e 20 73 74 65 70 73 20 66 6f 72 20 73 65 74 74 69 6e 67 20 75 70 20 56 52 46 73 20 6f 6e 20 6f	n.steps.for.setting.up.VRFs.on.o
11020	75 72 20 50 45 20 6e 6f 64 65 73 20 69 6e 63 6c 75 64 69 6e 67 20 43 45 20 66 61 63 69 6e 67 20	ur.PE.nodes.including.CE.facing.
11040	69 6e 74 65 72 66 61 63 65 73 2c 20 42 47 50 2c 20 72 64 20 61 6e 64 20 72 6f 75 74 65 2d 74 61	interfaces,.BGP,.rd.and.route-ta
11060	72 67 65 74 20 69 6d 70 6f 72 74 2f 65 78 70 6f 72 74 20 62 61 73 65 64 20 6f 6e 20 74 68 65 20	rget.import/export.based.on.the.
11080	70 72 65 2d 64 65 66 69 6e 65 64 20 70 61 72 61 6d 65 74 65 72 73 2e 00 54 68 69 73 20 73 65 74	pre-defined.parameters..This.set
110a0	75 70 20 72 65 71 75 69 72 65 73 20 74 68 65 20 43 6f 6d 70 72 65 73 73 69 6f 6e 20 43 6f 6e 74	up.requires.the.Compression.Cont
110c0	72 6f 6c 20 50 72 6f 74 6f 63 6f 6c 20 28 43 43 50 29 20 62 65 69 6e 67 20 64 69 73 61 62 6c 65	rol.Protocol.(CCP).being.disable
110e0	64 2c 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 65 74 20 76 70 6e 20 6c 32 74 70 20 72 65	d,.the.command.``set.vpn.l2tp.re
11100	6d 6f 74 65 2d 61 63 63 65 73 73 20 70 70 70 2d 6f 70 74 69 6f 6e 73 20 64 69 73 61 62 6c 65 2d	mote-access.ppp-options.disable-
11120	63 63 70 60 60 20 61 63 63 6f 6d 70 6c 69 73 68 65 73 20 74 68 61 74 2e 00 54 68 69 73 20 73 69	ccp``.accomplishes.that..This.si
11140	6d 70 6c 65 20 73 74 72 75 63 74 75 72 65 20 73 68 6f 77 20 68 6f 77 20 74 6f 20 63 6f 6e 6e 65	mple.structure.show.how.to.conne
11160	63 74 20 74 77 6f 20 6f 66 66 69 63 65 73 2e 20 4f 6e 65 20 72 65 6d 6f 74 65 20 62 72 61 6e 63	ct.two.offices..One.remote.branc
11180	68 20 61 6e 64 20 74 68 65 20 63 65 6e 74 72 61 6c 20 6f 66 66 69 63 65 2e 00 54 68 69 73 20 73	h.and.the.central.office..This.s
111a0	69 6d 70 6c 65 20 73 74 72 75 63 74 75 72 65 20 73 68 6f 77 73 20 68 6f 77 20 74 6f 20 63 6f 6e	imple.structure.shows.how.to.con
111c0	66 69 67 75 72 65 20 61 20 44 48 43 50 20 52 65 6c 61 79 20 6f 76 65 72 20 61 20 47 52 45 20 42	figure.a.DHCP.Relay.over.a.GRE.B
111e0	72 69 64 67 65 20 69 6e 74 65 72 66 61 63 65 2e 00 54 68 69 73 20 77 69 6c 6c 20 62 65 20 76 69	ridge.interface..This.will.be.vi
11200	73 69 62 6c 65 20 69 6e 20 27 73 68 6f 77 20 69 70 20 72 6f 75 74 65 27 2e 00 54 68 72 65 65 20	sible.in.'show.ip.route'..Three.
11220	6e 6f 6e 20 56 4c 41 4e 2d 61 77 61 72 65 20 62 72 69 64 67 65 73 20 61 72 65 20 67 6f 69 6e 67	non.VLAN-aware.bridges.are.going
11240	20 74 6f 20 62 65 20 63 6f 6e 66 69 67 75 72 65 64 2c 20 61 6e 64 20 65 61 63 68 20 6f 6e 65 20	.to.be.configured,.and.each.one.
11260	68 61 73 20 69 74 73 20 6f 77 6e 20 72 65 71 75 69 72 65 6d 65 6e 74 73 2e 00 54 68 75 73 20 79	has.its.own.requirements..Thus.y
11280	6f 75 20 63 61 6e 20 65 61 73 69 6c 79 20 6d 61 74 63 68 20 69 74 20 74 6f 20 6f 6e 65 20 6f 66	ou.can.easily.match.it.to.one.of
112a0	20 74 68 65 20 64 65 76 69 63 65 73 2f 6e 65 74 77 6f 72 6b 73 20 62 65 6c 6f 77 2e 00 54 6f 20	.the.devices/networks.below..To.
112c0	61 63 68 69 65 76 65 20 74 68 69 73 2c 20 79 6f 75 72 20 49 53 50 20 69 73 20 72 65 71 75 69 72	achieve.this,.your.ISP.is.requir
112e0	65 64 20 74 6f 20 73 75 70 70 6f 72 74 20 44 48 43 50 76 36 2d 50 44 2e 20 49 66 20 79 6f 75 27	ed.to.support.DHCPv6-PD..If.you'
11300	72 65 20 6e 6f 74 20 73 75 72 65 2c 20 70 6c 65 61 73 65 20 63 6f 6e 74 61 63 74 20 79 6f 75 72	re.not.sure,.please.contact.your
11320	20 49 53 50 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 54 6f 20 61 64	.ISP.for.more.information..To.ad
11340	64 20 6c 6f 67 67 69 6e 67 20 74 6f 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 75 6c 65 2c 20 64	d.logging.to.the.default.rule,.d
11360	6f 3a 00 54 6f 20 61 64 64 72 65 73 73 20 74 68 69 73 20 73 63 65 6e 61 72 69 6f 20 77 65 20 77	o:.To.address.this.scenario.we.w
11380	69 6c 6c 20 75 73 65 20 74 6f 20 6f 75 72 20 61 64 76 61 6e 74 61 67 65 20 61 6e 20 65 78 74 65	ill.use.to.our.advantage.an.exte
113a0	6e 73 69 6f 6e 20 6f 66 20 74 68 65 20 42 47 50 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f	nsion.of.the.BGP.routing.protoco
113c0	6c 20 74 68 61 74 20 77 69 6c 6c 20 68 65 6c 70 20 75 73 20 69 6e 20 74 68 65 20 e2 80 9c 45 78	l.that.will.help.us.in.the....Ex
113e0	70 6f 72 74 e2 80 9d 20 62 65 74 77 65 65 6e 20 56 52 46 73 20 77 69 74 68 6f 75 74 20 74 68 65	port....between.VRFs.without.the
11400	20 6e 65 65 64 20 66 6f 72 20 4d 50 4c 53 2e 00 54 6f 20 64 65 70 6c 6f 79 20 61 20 4c 61 79 65	.need.for.MPLS..To.deploy.a.Laye
11420	72 33 20 56 50 4e 20 77 69 74 68 20 4d 50 4c 53 20 6f 6e 20 56 79 4f 53 2c 20 77 65 20 73 68 6f	r3.VPN.with.MPLS.on.VyOS,.we.sho
11440	75 6c 64 20 6d 65 65 74 20 61 20 63 6f 75 70 6c 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 69	uld.meet.a.couple.requirements.i
11460	6e 20 6f 72 64 65 72 20 74 6f 20 70 72 6f 70 65 72 6c 79 20 69 6d 70 6c 65 6d 65 6e 74 20 74 68	n.order.to.properly.implement.th
11480	65 20 73 6f 6c 75 74 69 6f 6e 2e 20 57 65 27 6c 6c 20 75 73 65 20 74 68 65 20 66 6f 6c 6c 6f 77	e.solution..We'll.use.the.follow
114a0	69 6e 67 20 6e 6f 64 65 73 20 69 6e 20 6f 75 72 20 4c 41 42 20 65 6e 76 69 72 6f 6e 6d 65 6e 74	ing.nodes.in.our.LAB.environment
114c0	3a 00 54 6f 20 68 61 76 65 20 62 61 73 69 63 20 70 72 6f 74 65 63 74 69 6f 6e 20 77 68 69 6c 65	:.To.have.basic.protection.while
114e0	20 6b 65 65 70 69 6e 67 20 49 50 76 36 20 6e 65 74 77 6f 72 6b 20 66 75 6e 63 74 69 6f 6e 61 6c	.keeping.IPv6.network.functional
11500	2c 20 77 65 20 6e 65 65 64 20 74 6f 3a 00 54 6f 20 72 65 61 63 68 20 74 68 65 20 6e 65 74 77 6f	,.we.need.to:.To.reach.the.netwo
11520	72 6b 2c 20 61 20 72 6f 75 74 65 20 6d 75 73 74 20 62 65 20 73 65 74 20 6f 6e 20 65 61 63 68 20	rk,.a.route.must.be.set.on.each.
11540	56 79 4f 53 20 68 6f 73 74 2e 20 49 6e 20 74 68 69 73 20 73 74 72 75 63 74 75 72 65 2c 20 61 20	VyOS.host..In.this.structure,.a.
11560	73 74 61 74 69 63 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 77 69 6c 6c 20 66 69 74 20	static.interface.route.will.fit.
11580	74 68 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 2e 00 54 6f 70 6f 6c 6f 67 79 00 54 6f 70 6f 6c	the.requirements..Topology.Topol
115a0	6f 67 79 20 63 6f 6e 73 69 73 74 73 20 6f 66 3a 00 54 72 61 66 66 69 63 20 66 6c 6f 77 73 20 66	ogy.consists.of:.Traffic.flows.f
115c0	72 6f 6d 20 7a 6f 6e 65 20 41 20 74 6f 20 7a 6f 6e 65 20 42 2e 20 54 68 61 74 20 66 6c 6f 77 20	rom.zone.A.to.zone.B..That.flow.
115e0	69 73 20 77 68 61 74 20 49 20 72 65 66 65 72 20 74 6f 20 61 73 20 61 20 7a 6f 6e 65 2d 70 61 69	is.what.I.refer.to.as.a.zone-pai
11600	72 2d 64 69 72 65 63 74 69 6f 6e 2e 20 65 67 2e 20 41 2d 3e 42 20 61 6e 64 20 42 2d 3e 41 20 61	r-direction..eg..A->B.and.B->A.a
11620	72 65 20 74 77 6f 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 65 73 74 69 6e 61 74 69 6f 6e 73 2e 00 54	re.two.zone-pair-destinations..T
11640	72 61 6e 73 70 6f 72 74 3a 00 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 74 6f 70 6f 6c 6f 67 79 20	ransport:.Tunnelbroker.topology.
11660	69 6d 61 67 65 00 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 28 49 50 76 36 29 00 54 77	image.Tunnelbroker.net.(IPv6).Tw
11680	6f 20 56 79 4f 53 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 70 75 62 6c 69 63 20 49 50 20 61 64	o.VyOS.routers.with.public.IP.ad
116a0	64 72 65 73 73 2e 00 54 77 6f 20 72 75 6c 65 73 20 77 69 6c 6c 20 62 65 20 63 72 65 61 74 65 64	dress..Two.rules.will.be.created
116c0	2c 20 74 68 65 20 66 69 72 73 74 20 72 75 6c 65 20 64 69 72 65 63 74 73 20 74 72 61 66 66 69 63	,.the.first.rule.directs.traffic
116e0	20 63 6f 6d 69 6e 67 20 69 6e 20 66 72 6f 6d 20 65 74 68 32 20 74 6f 20 65 74 68 30 20 61 6e 64	.coming.in.from.eth2.to.eth0.and
11700	20 74 68 65 20 73 65 63 6f 6e 64 20 72 75 6c 65 20 64 69 72 65 63 74 73 20 74 68 65 20 74 72 61	.the.second.rule.directs.the.tra
11720	66 66 69 63 20 74 6f 20 65 74 68 31 2e 20 49 66 20 65 74 68 30 20 66 61 69 6c 73 20 74 68 65 20	ffic.to.eth1..If.eth0.fails.the.
11740	66 69 72 73 74 20 72 75 6c 65 20 69 73 20 62 79 70 61 73 73 65 64 20 61 6e 64 20 74 68 65 20 73	first.rule.is.bypassed.and.the.s
11760	65 63 6f 6e 64 20 72 75 6c 65 20 6d 61 74 63 68 65 73 2c 20 64 69 72 65 63 74 69 6e 67 20 74 72	econd.rule.matches,.directing.tr
11780	61 66 66 69 63 20 74 6f 20 65 74 68 31 2e 00 55 6e 6c 69 6b 65 20 49 50 76 34 2c 20 49 50 76 36	affic.to.eth1..Unlike.IPv4,.IPv6
117a0	20 69 73 20 72 65 61 6c 6c 79 20 6e 6f 74 20 64 65 73 69 67 6e 65 64 20 74 6f 20 62 65 20 62 72	.is.really.not.designed.to.be.br
117c0	6f 6b 65 6e 20 75 70 20 73 6d 61 6c 6c 65 72 20 74 68 61 6e 20 2f 36 34 2e 20 53 6f 20 69 66 20	oken.up.smaller.than./64..So.if.
117e0	79 6f 75 20 65 76 65 72 20 77 61 6e 74 20 74 6f 20 68 61 76 65 20 6d 75 6c 74 69 70 6c 65 20 4c	you.ever.want.to.have.multiple.L
11800	41 4e 73 2c 20 56 4c 41 4e 73 2c 20 44 4d 5a 2c 20 65 74 63 2c 20 79 6f 75 27 6c 6c 20 77 61 6e	ANs,.VLANs,.DMZ,.etc,.you'll.wan
11820	74 20 74 6f 20 69 67 6e 6f 72 65 20 74 68 65 20 61 73 73 69 67 6e 65 64 20 2f 36 34 2c 20 61 6e	t.to.ignore.the.assigned./64,.an
11840	64 20 72 65 71 75 65 73 74 20 74 68 65 20 2f 34 38 20 61 6e 64 20 75 73 65 20 74 68 61 74 2e 00	d.request.the./48.and.use.that..
11860	55 73 69 6e 67 20 74 68 65 20 67 65 6e 65 72 61 6c 20 73 63 68 65 6d 61 20 66 6f 72 20 65 78 61	Using.the.general.schema.for.exa
11880	6d 70 6c 65 3a 00 55 73 69 6e 67 20 74 68 69 73 20 63 6f 6d 6d 61 6e 64 20 77 65 20 61 72 65 20	mple:.Using.this.command.we.are.
118a0	61 6c 73 6f 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74	also.able.to.check.the.transport
118c0	20 61 6e 64 20 63 75 73 74 6f 6d 65 72 20 6c 61 62 65 6c 20 28 69 6e 6e 65 72 2f 6f 75 74 65 72	.and.customer.label.(inner/outer
118e0	29 20 66 6f 72 20 48 75 62 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 20 28 31 30 2e 30 2e 30	).for.Hub.network.prefix.(10.0.0
11900	2e 31 30 30 2f 33 32 29 3a 00 56 4c 41 4e 20 31 30 30 20 61 6e 64 20 32 30 31 20 77 69 6c 6c 20	.100/32):.VLAN.100.and.201.will.
11920	68 61 76 65 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 65 73 2c 20 62 75 74 20	have.floating.IP.addresses,.but.
11940	56 4c 41 4e 35 30 20 64 6f 65 73 20 6e 6f 74 2c 20 61 73 20 74 68 69 73 20 69 73 20 74 61 6c 6b	VLAN50.does.not,.as.this.is.talk
11960	69 6e 67 20 64 69 72 65 63 74 6c 79 20 74 6f 20 75 70 73 74 72 65 61 6d 2e 20 43 72 65 61 74 65	ing.directly.to.upstream..Create
11980	20 6f 75 72 20 49 50 20 61 64 64 72 65 73 73 20 6f 6e 20 76 6c 61 6e 35 30 2e 00 56 4c 41 4e 73	.our.IP.address.on.vlan50..VLANs
119a0	00 56 4d 77 61 72 65 3a 20 59 6f 75 20 6d 75 73 74 20 44 49 53 41 42 4c 45 20 53 45 43 55 52 49	.VMware:.You.must.DISABLE.SECURI
119c0	54 59 20 6f 6e 20 74 68 69 73 20 50 6f 72 74 20 67 72 6f 75 70 2e 20 4d 61 6b 65 20 73 75 72 65	TY.on.this.Port.group..Make.sure
119e0	20 74 68 61 74 20 60 60 50 72 6f 6d 69 73 63 75 6f 75 73 20 4d 6f 64 65 60 60 5c 20 2c 20 60 60	.that.``Promiscuous.Mode``\.,.``
11a00	4d 41 43 20 61 64 64 72 65 73 73 20 63 68 61 6e 67 65 73 60 60 20 61 6e 64 20 60 60 46 6f 72 67	MAC.address.changes``.and.``Forg
11a20	65 64 20 74 72 61 6e 73 6d 69 74 73 60 60 20 61 72 65 20 65 6e 61 62 6c 65 64 2e 20 41 6c 6c 20	ed.transmits``.are.enabled..All.
11a40	6f 66 20 74 68 65 73 65 20 77 69 6c 6c 20 62 65 20 64 6f 6e 65 20 61 73 20 70 61 72 74 20 6f 66	of.these.will.be.done.as.part.of
11a60	20 66 61 69 6c 6f 76 65 72 2e 00 56 52 46 00 56 52 46 20 4c 41 4e 3a 00 56 52 46 20 4d 47 4d 54	.failover..VRF.VRF.LAN:.VRF.MGMT
11a80	3a 00 56 52 46 20 50 52 4f 44 3a 00 56 52 46 20 57 41 4e 3a 00 56 52 46 20 61 6e 64 20 66 69 72	:.VRF.PROD:.VRF.WAN:.VRF.and.fir
11aa0	65 77 61 6c 6c 20 65 78 61 6d 70 6c 65 00 56 52 52 50 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e	ewall.example.VRRP.Configuration
11ac0	00 56 61 6c 69 64 61 74 69 6f 6e 00 56 65 72 69 66 69 63 61 74 69 6f 6e 00 56 65 72 73 69 6f 6e	.Validation.Verification.Version
11ae0	3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 00 56 65 72 73 69	:.1.4-rolling-202110310317.Versi
11b00	6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 35 31 30 30 37 33 34 00 56 65 72	on:.1.4-rolling-202305100734.Ver
11b20	73 69 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 32 34 30 30 32 30 00 56	sion:.1.4-rolling-202308240020.V
11b40	65 72 73 69 6f 6e 3a 20 31 2e 35 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 34 30 31 31 32 31 32 33 39	ersion:.1.5-rolling-202401121239
11b60	00 56 65 72 73 69 6f 6e 3a 20 76 79 6f 73 2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30	.Version:.vyos-1.4-rolling-20230
11b80	32 31 35 30 33 31 37 00 56 79 4f 53 00 56 79 4f 53 20 31 2e 33 20 61 64 64 65 64 20 69 6e 69 74	2150317.VyOS.VyOS.1.3.added.init
11ba0	69 61 6c 20 73 75 70 70 6f 72 74 20 66 6f 72 20 56 52 46 73 20 28 69 6e 63 6c 75 64 69 6e 67 20	ial.support.for.VRFs.(including.
11bc0	49 50 76 34 2f 49 50 76 36 20 73 74 61 74 69 63 20 72 6f 75 74 69 6e 67 29 20 61 6e 64 20 56 79	IPv4/IPv6.static.routing).and.Vy
11be0	4f 53 20 31 2e 34 20 6e 6f 77 20 65 6e 61 62 6c 65 73 20 66 75 6c 6c 20 64 79 6e 61 6d 69 63 20	OS.1.4.now.enables.full.dynamic.
11c00	72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 73 75 70 70 6f 72 74 20 66 6f 72 20 4f 53 50	routing.protocol.support.for.OSP
11c20	46 2c 20 49 53 2d 49 53 2c 20 61 6e 64 20 42 47 50 20 66 6f 72 20 69 6e 64 69 76 69 64 75 61 6c	F,.IS-IS,.and.BGP.for.individual
11c40	20 56 52 46 73 2e 00 56 79 4f 53 20 61 63 74 73 20 61 73 20 44 48 43 50 2c 20 44 4e 53 20 66 6f	.VRFs..VyOS.acts.as.DHCP,.DNS.fo
11c60	72 77 61 72 64 65 72 2c 20 4e 41 54 2c 20 72 6f 75 74 65 72 20 61 6e 64 20 66 69 72 65 77 61 6c	rwarder,.NAT,.router.and.firewal
11c80	6c 2e 00 56 79 4f 53 20 61 73 20 43 6c 69 65 6e 74 00 56 79 4f 53 20 61 73 20 61 20 4f 70 65 6e	l..VyOS.as.Client.VyOS.as.a.Open
11ca0	56 50 4e 20 53 65 72 76 65 72 00 56 79 4f 53 20 69 73 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b	VPN.Server.VyOS.is.able.to.check
11cc0	20 4d 53 44 20 70 65 72 20 64 65 76 69 63 65 73 3a 00 56 79 4f 53 2d 43 45 2d 48 55 42 20 2d 2d	.MSD.per.devices:.VyOS-CE-HUB.--
11ce0	2d 2d 2d 2d 2d 3e 20 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 00 56 79 4f 53 2d 43 45 2d 48 55	----->.VyOS-CE1-SPOKE.VyOS-CE-HU
11d00	42 20 2d 2d 2d 2d 2d 2d 2d 3e 20 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 00 56 79 4f 53 2d 43	B.------->.VyOS-CE2-SPOKE.VyOS-C
11d20	45 31 2d 48 55 42 3a 00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 20 2d 2d 2d 2d 2d 3e 20 20 20	E1-HUB:.VyOS-CE1-SPOKE.----->...
11d40	56 79 4f 53 2d 43 45 2d 48 55 42 00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 3a 00 56 79 4f 53	VyOS-CE-HUB.VyOS-CE1-SPOKE:.VyOS
11d60	2d 43 45 32 2d 53 50 4f 4b 45 20 2d 2d 2d 2d 2d 2d 2d 3e 20 20 56 79 4f 53 2d 43 45 2d 48 55 42	-CE2-SPOKE.------->..VyOS-CE-HUB
11d80	00 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 3a 00 56 79 4f 53 2d 50 31 3a 00 56 79 4f 53 2d 50	.VyOS-CE2-SPOKE:.VyOS-P1:.VyOS-P
11da0	32 3a 00 56 79 4f 53 2d 50 33 3a 00 56 79 4f 53 2d 50 34 3a 00 56 79 4f 53 2d 50 45 31 00 56 79	2:.VyOS-P3:.VyOS-P4:.VyOS-PE1.Vy
11dc0	4f 53 2d 50 45 31 3a 00 56 79 4f 53 2d 50 45 32 00 56 79 4f 53 2d 50 45 32 3a 00 56 79 4f 53 2d	OS-PE1:.VyOS-PE2.VyOS-PE2:.VyOS-
11de0	50 45 33 00 56 79 4f 53 2d 50 45 33 3a 00 56 79 4f 53 2d 52 52 31 2f 52 52 32 00 56 79 4f 53 2d	PE3.VyOS-PE3:.VyOS-RR1/RR2.VyOS-
11e00	52 52 31 3a 00 56 79 4f 53 2d 52 52 32 3a 00 56 79 6f 73 20 41 53 4e 00 56 79 6f 73 20 63 6f 6e	RR1:.VyOS-RR2:.Vyos.ASN.Vyos.con
11e20	66 69 67 75 72 61 74 69 6f 6e 00 56 79 6f 73 20 70 72 69 76 61 74 65 20 49 50 00 56 79 6f 73 20	figuration.Vyos.private.IP.Vyos.
11e40	70 75 62 6c 69 63 20 49 50 00 57 41 4e 20 49 6e 74 65 72 66 61 63 65 00 57 41 4e 20 4c 6f 61 64	public.IP.WAN.Interface.WAN.Load
11e60	20 42 61 6c 61 6e 63 65 72 20 65 78 61 6d 70 6c 65 73 00 57 61 6c 6b 74 68 72 6f 75 67 68 20 73	.Balancer.examples.Walkthrough.s
11e80	75 67 67 65 73 74 69 6f 6e 00 57 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 75 73 65 20 31 30	uggestion.We.are.going.to.use.10
11ea0	2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 66 6f 72 20 61 6e 20 27 69 6e 74 65 72 6e 61 6c 27 20	.200.201.0/24.for.an.'internal'.
11ec0	6e 65 74 77 6f 72 6b 20 6f 6e 20 56 4c 41 4e 32 30 31 2e 00 57 65 20 61 72 65 20 67 6f 69 6e 67	network.on.VLAN201..We.are.going
11ee0	20 74 6f 20 75 73 65 20 63 75 73 74 6f 6d 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 65 74 73	.to.use.custom.firewall.rulesets
11f00	2c 20 6f 6e 65 20 66 6f 72 20 65 61 63 68 20 62 72 69 64 67 65 20 74 68 61 74 20 77 69 6c 6c 20	,.one.for.each.bridge.that.will.
11f20	62 65 20 75 73 65 64 20 69 6e 20 60 60 70 72 65 72 6f 75 74 69 6e 67 60 60 2c 20 61 6e 64 20 6f	be.used.in.``prerouting``,.and.o
11f40	6e 65 20 66 6f 72 20 65 61 63 68 20 62 72 69 64 67 65 20 74 68 61 74 20 77 69 6c 6c 20 62 65 20	ne.for.each.bridge.that.will.be.
11f60	75 73 65 64 20 69 6e 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 63 68 61 69 6e 2e 00 57	used.in.the.``forward``.chain..W
11f80	65 20 61 72 65 20 73 65 74 74 69 6e 67 20 75 70 20 56 52 52 50 20 73 6f 20 74 68 61 74 20 69 74	e.are.setting.up.VRRP.so.that.it
11fa0	20 64 6f 65 73 20 4e 4f 54 20 66 61 69 6c 20 62 61 63 6b 20 77 68 65 6e 20 61 20 6d 61 63 68 69	.does.NOT.fail.back.when.a.machi
11fc0	6e 65 20 72 65 74 75 72 6e 73 20 69 6e 74 6f 20 73 65 72 76 69 63 65 2c 20 61 6e 64 20 69 74 20	ne.returns.into.service,.and.it.
11fe0	70 72 69 6f 72 69 74 69 7a 65 73 20 72 6f 75 74 65 72 31 20 6f 76 65 72 20 72 6f 75 74 65 72 32	prioritizes.router1.over.router2
12000	2e 00 57 65 20 61 72 65 20 75 73 69 6e 67 20 61 20 22 77 68 69 74 65 20 6c 69 73 74 22 20 61 70	..We.are.using.a."white.list".ap
12020	70 72 6f 61 63 68 20 62 79 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 77 68 61 74 20 69 73 20	proach.by.allowing.only.what.is.
12040	6e 65 63 65 73 73 61 72 79 2e 20 49 6e 20 63 61 73 65 20 74 68 61 74 20 6e 65 65 64 20 74 6f 20	necessary..In.case.that.need.to.
12060	69 6d 70 6c 65 6d 65 6e 74 20 61 20 22 62 6c 61 63 6b 20 6c 69 73 74 22 20 61 70 70 72 6f 61 63	implement.a."black.list".approac
12080	68 20 74 68 65 6e 20 79 6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 63 68 61 6e 67 65 20 74	h.then.you.will.need.to.change.t
120a0	68 65 20 61 63 74 69 6f 6e 20 69 6e 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 20 66 6f 72 20 61	he.action.in.the.route-map.for.a
120c0	20 64 65 6e 79 20 42 55 54 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 61 64 64 20 61 20 72 75 6c 65	.deny.BUT.you.need.to.add.a.rule
120e0	20 74 68 61 74 20 70 65 72 6d 69 74 73 20 74 68 65 20 72 65 73 74 20 64 75 65 20 74 6f 20 74 68	.that.permits.the.rest.due.to.th
12100	65 20 69 6d 70 6c 69 63 69 74 20 64 65 6e 79 20 69 6e 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70	e.implicit.deny.in.the.route-map
12120	2e 00 57 65 20 63 72 65 61 74 65 20 61 20 70 72 65 66 69 78 2d 6c 69 73 74 20 66 69 72 73 74 20	..We.create.a.prefix-list.first.
12140	61 6e 64 20 61 64 64 20 61 6c 6c 20 74 68 65 20 72 6f 75 74 65 73 20 77 65 20 6e 65 65 64 20 74	and.add.all.the.routes.we.need.t
12160	6f 2e 00 57 65 20 65 78 70 6c 69 63 69 74 6c 79 20 65 78 63 6c 75 64 65 20 74 68 65 20 70 72 69	o..We.explicitly.exclude.the.pri
12180	6d 61 72 79 20 75 70 73 74 72 65 61 6d 20 6e 65 74 77 6f 72 6b 20 73 6f 20 74 68 61 74 20 42 47	mary.upstream.network.so.that.BG
121a0	50 20 6f 72 20 4f 53 50 46 20 74 72 61 66 66 69 63 20 64 6f 65 73 6e 27 74 20 61 63 63 69 64 65	P.or.OSPF.traffic.doesn't.accide
121c0	6e 74 61 6c 6c 79 20 67 65 74 20 4e 41 54 27 65 64 2e 00 57 65 20 68 61 76 65 20 66 6f 75 72 20	ntally.get.NAT'ed..We.have.four.
121e0	68 6f 73 74 73 20 6f 6e 20 74 68 65 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 31 37 32 2e 31	hosts.on.the.local.network.172.1
12200	37 2e 31 2e 30 2f 32 34 2e 20 41 6c 6c 20 68 6f 73 74 73 20 61 72 65 20 6c 61 62 65 6c 65 64 20	7.1.0/24..All.hosts.are.labeled.
12220	43 53 30 20 62 79 20 64 65 66 61 75 6c 74 2e 20 57 65 20 6e 65 65 64 20 74 6f 20 72 65 70 6c 61	CS0.by.default..We.need.to.repla
12240	63 65 20 6c 61 62 65 6c 73 20 6f 6e 20 61 6c 6c 20 68 6f 73 74 73 20 65 78 63 65 70 74 20 76 70	ce.labels.on.all.hosts.except.vp
12260	63 38 2e 20 57 65 20 77 69 6c 6c 20 72 65 70 6c 61 63 65 20 74 68 65 20 6c 61 62 65 6c 73 20 6f	c8..We.will.replace.the.labels.o
12280	6e 20 74 68 65 20 6e 65 61 72 65 73 74 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 33 e2 80 9d	n.the.nearest.router....VyOS3...
122a0	20 75 73 69 6e 67 20 74 68 65 20 49 50 20 61 64 64 72 65 73 73 65 73 20 6f 66 20 74 68 65 20 73	.using.the.IP.addresses.of.the.s
122c0	6f 75 72 63 65 73 2e 00 57 65 20 68 61 76 65 20 66 6f 75 72 20 70 72 65 2d 63 6f 6e 66 69 67 75	ources..We.have.four.pre-configu
122e0	72 65 64 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 74 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74	red.routers.with.this.configurat
12300	69 6f 6e 3a 00 57 65 20 68 61 76 65 20 74 68 72 65 65 20 6e 65 74 77 6f 72 6b 73 2e 00 57 65 20	ion:.We.have.three.networks..We.
12320	6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20	keep.the.configuration.from.the.
12340	70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 64 65 6c 65 74 65 20 72 75 6c 65 20 31 30	previous.example,.delete.rule.10
12360	20 61 6e 64 20 63 72 65 61 74 65 20 74 68 65 20 74 77 6f 20 6e 65 77 20 72 75 6c 65 73 20 61 73	.and.create.the.two.new.rules.as
12380	20 64 65 73 63 72 69 62 65 64 3a 00 57 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72	.described:.We.keep.the.configur
123a0	61 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c	ation.from.the.previous.example,
123c0	20 64 65 6c 65 74 65 20 72 75 6c 65 20 32 30 20 61 6e 64 20 63 72 65 61 74 65 20 61 20 6e 65 77	.delete.rule.20.and.create.a.new
123e0	20 72 75 6c 65 20 61 73 20 64 65 73 63 72 69 62 65 64 3a 00 57 65 20 6e 65 65 64 20 74 6f 20 65	.rule.as.described:.We.need.to.e
12400	6e 61 62 6c 65 20 72 6f 75 74 65 72 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 66 6f 72 20 4c	nable.router.advertisement.for.L
12420	41 4e 20 6e 65 74 77 6f 72 6b 20 73 6f 20 74 68 61 74 20 50 43 20 63 61 6e 20 72 65 63 65 69 76	AN.network.so.that.PC.can.receiv
12440	65 20 74 68 65 20 70 72 65 66 69 78 20 61 6e 64 20 75 73 65 20 53 4c 41 41 43 20 74 6f 20 63 6f	e.the.prefix.and.use.SLAAC.to.co
12460	6e 66 69 67 75 72 65 20 74 68 65 20 61 64 64 72 65 73 73 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c	nfigure.the.address.automaticall
12480	79 2e 00 57 65 20 6f 6e 6c 79 20 77 61 6e 74 20 74 6f 20 65 78 70 6f 72 74 20 74 68 65 20 6e 65	y..We.only.want.to.export.the.ne
124a0	74 77 6f 72 6b 73 20 77 65 20 6b 6e 6f 77 2e 20 41 6c 77 61 79 73 20 64 6f 20 61 20 77 68 69 74	tworks.we.know..Always.do.a.whit
124c0	65 6c 69 73 74 20 6f 6e 20 79 6f 75 72 20 72 6f 75 74 65 20 66 69 6c 74 65 72 73 2c 20 62 6f 74	elist.on.your.route.filters,.bot
124e0	68 20 69 6d 70 6f 72 74 69 6e 67 20 61 6e 64 20 65 78 70 6f 72 74 69 6e 67 2e 20 41 20 67 6f 6f	h.importing.and.exporting..A.goo
12500	64 20 72 75 6c 65 20 6f 66 20 74 68 75 6d 62 20 69 73 20 2a 2a 27 49 66 20 79 6f 75 20 61 72 65	d.rule.of.thumb.is.**'If.you.are
12520	20 6e 6f 74 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 20 66 6f 72 20 61 20 6e 65	.not.the.default.router.for.a.ne
12540	74 77 6f 72 6b 2c 20 64 6f 6e 27 74 20 61 64 76 65 72 74 69 73 65 20 69 74 27 2a 2a 2e 20 54 68	twork,.don't.advertise.it'**..Th
12560	69 73 20 6d 65 61 6e 73 20 77 65 20 65 78 70 6c 69 63 69 74 6c 79 20 64 6f 20 6e 6f 74 20 77 61	is.means.we.explicitly.do.not.wa
12580	6e 74 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34	nt.to.advertise.the.192.0.2.0/24
125a0	20 6e 65 74 77 6f 72 6b 20 28 62 75 74 20 64 6f 20 77 61 6e 74 20 74 6f 20 61 64 76 65 72 74 69	.network.(but.do.want.to.adverti
125c0	73 65 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 20 61 6e 64 20 32 30 33 2e 30 2e 31 31 33 2e 30 2c	se.10.200.201.0.and.203.0.113.0,
125e0	20 77 68 69 63 68 20 77 65 20 41 52 45 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20	.which.we.ARE.the.default.route.
12600	66 6f 72 29 2e 20 54 68 69 73 20 66 69 6c 74 65 72 20 69 73 20 61 70 70 6c 69 65 64 20 74 6f 20	for)..This.filter.is.applied.to.
12620	60 60 72 65 64 69 73 74 72 69 62 75 74 65 20 63 6f 6e 6e 65 63 74 65 64 60 60 2e 20 49 66 20 77	``redistribute.connected``..If.w
12640	65 20 57 45 52 45 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 69 74 2c 20 74 68 65 20 72 65 6d 6f	e.WERE.to.advertise.it,.the.remo
12660	74 65 20 6d 61 63 68 69 6e 65 73 20 77 6f 75 6c 64 20 73 65 65 20 31 39 32 2e 30 2e 32 2e 32 31	te.machines.would.see.192.0.2.21
12680	20 61 76 61 69 6c 61 62 6c 65 20 76 69 61 20 74 68 65 69 72 20 64 65 66 61 75 6c 74 20 72 6f 75	.available.via.their.default.rou
126a0	74 65 2c 20 65 73 74 61 62 6c 69 73 68 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 2c 20 61 6e	te,.establish.the.connection,.an
126c0	64 20 74 68 65 6e 20 4f 53 50 46 20 77 6f 75 6c 64 20 73 61 79 20 27 31 39 32 2e 30 2e 32 2e 30	d.then.OSPF.would.say.'192.0.2.0
126e0	2f 32 34 20 69 73 20 61 76 61 69 6c 61 62 6c 65 20 76 69 61 20 74 68 69 73 20 74 75 6e 6e 65 6c	/24.is.available.via.this.tunnel
12700	27 2c 20 61 74 20 77 68 69 63 68 20 70 6f 69 6e 74 20 74 68 65 20 74 75 6e 6e 65 6c 20 77 6f 75	',.at.which.point.the.tunnel.wou
12720	6c 64 20 62 72 65 61 6b 2c 20 4f 53 50 46 20 77 6f 75 6c 64 20 64 72 6f 70 20 74 68 65 20 72 6f	ld.break,.OSPF.would.drop.the.ro
12740	75 74 65 73 2c 20 61 6e 64 20 74 68 65 6e 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 77 6f 75 6c	utes,.and.then.192.0.2.0/24.woul
12760	64 20 62 65 20 72 65 61 63 68 61 62 6c 65 20 76 69 61 20 64 65 66 61 75 6c 74 20 61 67 61 69 6e	d.be.reachable.via.default.again
12780	2e 20 54 68 69 73 20 69 73 20 63 61 6c 6c 65 64 20 27 66 6c 61 70 70 69 6e 67 27 2e 00 57 65 20	..This.is.called.'flapping'..We.
127a0	6f 6e 6c 79 20 77 61 6e 74 20 74 6f 20 69 6d 70 6f 72 74 20 6e 65 74 77 6f 72 6b 73 20 77 65 20	only.want.to.import.networks.we.
127c0	6b 6e 6f 77 2e 20 4f 75 72 20 4f 53 50 46 20 70 65 65 72 20 73 68 6f 75 6c 64 20 6f 6e 6c 79 20	know..Our.OSPF.peer.should.only.
127e0	62 65 20 61 64 76 65 72 74 69 73 69 6e 67 20 6e 65 74 77 6f 72 6b 73 20 69 6e 20 74 68 65 20 31	be.advertising.networks.in.the.1
12800	30 2e 32 30 31 2e 30 2e 30 2f 31 36 20 72 61 6e 67 65 2e 20 4e 6f 74 65 20 74 68 61 74 20 74 68	0.201.0.0/16.range..Note.that.th
12820	69 73 20 69 73 20 61 6e 20 49 4e 56 45 52 53 45 20 4d 41 54 43 48 2e 20 59 6f 75 20 64 65 6e 79	is.is.an.INVERSE.MATCH..You.deny
12840	20 69 6e 20 61 63 63 65 73 73 2d 6c 69 73 74 20 31 30 30 20 74 6f 20 61 63 63 65 70 74 20 74 68	.in.access-list.100.to.accept.th
12860	65 20 72 6f 75 74 65 2e 00 57 65 20 75 73 65 20 61 20 73 74 61 74 69 63 20 72 6f 75 74 65 20 63	e.route..We.use.a.static.route.c
12880	6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 6e 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65	onfiguration.in.between.the.Core
128a0	20 61 6e 64 20 65 61 63 68 20 4c 41 4e 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 20 72 6f 75	.and.each.LAN.and.Management.rou
128c0	74 65 72 2c 20 61 6e 64 20 42 47 50 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 72 6f	ter,.and.BGP.between.the.Core.ro
128e0	75 74 65 72 20 61 6e 64 20 74 68 65 20 49 53 50 20 72 6f 75 74 65 72 20 62 75 74 20 61 6e 79 20	uter.and.the.ISP.router.but.any.
12900	64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 63 61 6e 20 62 65 20	dynamic.routing.protocol.can.be.
12920	75 73 65 64 2e 00 57 65 20 75 73 65 20 73 6d 61 6c 6c 20 2f 33 30 27 73 20 66 72 6f 6d 20 31 30	used..We.use.small./30's.from.10
12940	2e 32 35 34 2e 36 30 2f 32 34 20 66 6f 72 20 74 68 65 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e	.254.60/24.for.the.point-to-poin
12960	74 20 6c 69 6e 6b 73 2e 00 57 65 20 75 73 65 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 6e 65	t.links..We.use.the.following.ne
12980	74 77 6f 72 6b 20 74 6f 70 6f 6c 6f 67 79 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 3a 00	twork.topology.in.this.example:.
129a0	57 68 65 6e 20 69 6d 70 6f 72 74 69 6e 67 20 72 6f 75 74 65 73 20 75 73 69 6e 67 20 4d 50 2d 42	When.importing.routes.using.MP-B
129c0	47 50 20 69 74 20 69 73 20 70 6f 73 73 69 62 6c 65 20 74 6f 20 66 69 6c 74 65 72 20 61 20 73 75	GP.it.is.possible.to.filter.a.su
129e0	62 73 65 74 20 6f 66 20 74 68 65 6d 20 62 65 66 6f 72 65 20 61 72 65 20 69 6e 6a 65 63 74 65 64	bset.of.them.before.are.injected
12a00	20 69 6e 20 74 68 65 20 42 47 50 20 74 61 62 6c 65 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 6d 6f	.in.the.BGP.table..One.of.the.mo
12a20	73 74 20 63 6f 6d 6d 6f 6e 20 63 61 73 65 20 69 73 20 74 6f 20 75 73 65 20 61 20 72 6f 75 74 65	st.common.case.is.to.use.a.route
12a40	2d 6d 61 70 20 77 69 74 68 20 61 6e 20 70 72 65 66 69 78 2d 6c 69 73 74 2e 00 57 68 65 6e 20 74	-map.with.an.prefix-list..When.t
12a60	72 61 66 66 69 63 20 69 73 20 6f 72 69 67 69 6e 61 74 65 64 20 66 72 6f 6d 20 74 68 65 20 31 30	raffic.is.originated.from.the.10
12a80	2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2c 20 69 74 20 77 69 6c 6c 20 62	.200.201.0/24.network,.it.will.b
12aa0	65 20 6d 61 73 71 75 65 72 61 64 65 64 20 74 6f 20 32 30 33 2e 30 2e 31 31 33 2e 31 00 57 68 65	e.masqueraded.to.203.0.113.1.Whe
12ac0	6e 20 75 74 69 6c 69 7a 69 6e 67 20 56 79 4f 53 20 69 6e 20 61 6e 20 65 6e 76 69 72 6f 6e 6d 65	n.utilizing.VyOS.in.an.environme
12ae0	6e 74 20 77 69 74 68 20 43 69 73 63 6f 20 49 4f 53 2d 58 52 20 67 65 61 72 20 79 6f 75 20 63 61	nt.with.Cisco.IOS-XR.gear.you.ca
12b00	6e 20 75 73 65 20 74 68 69 73 20 62 6c 75 65 20 70 72 69 6e 74 20 61 73 20 61 6e 20 69 6e 69 74	n.use.this.blue.print.as.an.init
12b20	69 61 6c 20 73 65 74 75 70 20 74 6f 20 67 65 74 20 4d 50 4c 53 20 49 53 49 53 2d 53 52 20 77 6f	ial.setup.to.get.MPLS.ISIS-SR.wo
12b40	72 6b 69 6e 67 20 62 65 74 77 65 65 6e 20 74 68 6f 73 65 20 74 77 6f 20 64 65 76 69 63 65 73 2e	rking.between.those.two.devices.
12b60	54 68 65 20 6c 61 62 20 77 61 73 20 62 75 69 6c 64 20 75 73 69 6e 67 20 3a 61 62 62 72 3a 60 45	The.lab.was.build.using.:abbr:`E
12b80	56 45 2d 4e 47 20 28 45 6d 75 6c 61 74 65 64 20 56 69 72 74 75 61 6c 20 45 6e 76 69 72 6f 6e 6d	VE-NG.(Emulated.Virtual.Environm
12ba0	65 6e 74 20 4e 47 29 60 2e 00 57 68 65 6e 20 79 6f 75 20 68 61 76 65 20 62 6f 74 68 20 72 6f 75	ent.NG)`..When.you.have.both.rou
12bc0	74 65 72 73 20 75 70 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 65	ters.up,.you.should.be.able.to.e
12be0	73 74 61 62 6c 69 73 68 20 61 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 72 6f 6d 20 61 20 4e 41 54	stablish.a.connection.from.a.NAT
12c00	27 65 64 20 6d 61 63 68 69 6e 65 20 6f 75 74 20 74 6f 20 74 68 65 20 69 6e 74 65 72 6e 65 74 2c	'ed.machine.out.to.the.internet,
12c20	20 72 65 62 6f 6f 74 20 74 68 65 20 61 63 74 69 76 65 20 6d 61 63 68 69 6e 65 2c 20 61 6e 64 20	.reboot.the.active.machine,.and.
12c40	74 68 61 74 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 73 68 6f 75 6c 64 20 62 65 20 70 72 65 73 65 72	that.connection.should.be.preser
12c60	76 65 64 2c 20 61 6e 64 20 77 69 6c 6c 20 6e 6f 74 20 64 72 6f 70 20 6f 75 74 2e 00 57 68 65 6e	ved,.and.will.not.drop.out..When
12c80	20 79 6f 75 20 68 61 76 65 20 65 6e 61 62 6c 65 64 20 4f 53 50 46 20 6f 6e 20 62 6f 74 68 20 72	.you.have.enabled.OSPF.on.both.r
12ca0	6f 75 74 65 72 73 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65	outers,.you.should.be.able.to.se
12cc0	65 20 65 61 63 68 20 6f 74 68 65 72 20 77 69 74 68 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60	e.each.other.with.the.command.``
12ce0	73 68 6f 77 20 69 70 20 6f 73 70 66 20 6e 65 69 67 68 62 6f 75 72 60 60 2e 20 54 68 65 20 73 74	show.ip.ospf.neighbour``..The.st
12d00	61 74 65 20 6d 75 73 74 20 62 65 20 27 46 75 6c 6c 27 20 6f 72 20 27 32 2d 57 61 79 27 2e 20 49	ate.must.be.'Full'.or.'2-Way'..I
12d20	66 20 69 74 20 69 73 20 6e 6f 74 2c 20 74 68 65 6e 20 74 68 65 72 65 20 69 73 20 61 20 6e 65 74	f.it.is.not,.then.there.is.a.net
12d40	77 6f 72 6b 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 73 73 75 65 20 62 65 74 77 65 65 6e 20	work.connectivity.issue.between.
12d60	74 68 65 20 68 6f 73 74 73 2e 20 54 68 69 73 20 69 73 20 6f 66 74 65 6e 20 63 61 75 73 65 64 20	the.hosts..This.is.often.caused.
12d80	62 79 20 4e 41 54 20 6f 72 20 4d 54 55 20 69 73 73 75 65 73 2e 20 59 6f 75 20 73 68 6f 75 6c 64	by.NAT.or.MTU.issues..You.should
12da0	20 6e 6f 74 20 73 65 65 20 61 6e 79 20 6e 65 77 20 72 6f 75 74 65 73 20 28 75 6e 6c 65 73 73 20	.not.see.any.new.routes.(unless.
12dc0	74 68 69 73 20 69 73 20 74 68 65 20 73 65 63 6f 6e 64 20 70 61 73 73 29 20 69 6e 20 74 68 65 20	this.is.the.second.pass).in.the.
12de0	6f 75 74 70 75 74 20 6f 66 20 60 60 73 68 6f 77 20 69 70 20 72 6f 75 74 65 60 60 00 57 68 69 6c	output.of.``show.ip.route``.Whil
12e00	65 20 74 65 73 74 69 6e 67 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2c 20 77 65 20	e.testing.the.configuration,.we.
12e20	63 61 6e 20 63 68 65 63 6b 20 6c 6f 67 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 65 6e 73 75 72	can.check.logs.in.order.to.ensur
12e40	65 20 74 68 61 74 20 77 65 20 61 72 65 20 61 63 63 65 70 74 69 6e 67 20 61 6e 64 2f 6f 72 20 62	e.that.we.are.accepting.and/or.b
12e60	6c 6f 63 6b 69 6e 67 20 74 68 65 20 63 6f 72 72 65 63 74 20 74 72 61 66 66 69 63 2e 00 57 69 6e	locking.the.correct.traffic..Win
12e80	64 6f 77 20 50 50 50 6f 45 20 43 6c 69 65 6e 74 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 57	dow.PPPoE.Client.Configuration.W
12ea0	69 6e 64 6f 77 73 20 53 65 72 76 65 72 20 32 30 31 39 20 77 69 74 68 20 61 20 72 75 6e 6e 69 6e	indows.Server.2019.with.a.runnin
12ec0	67 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 00 57 69 72 65 67 75 61 72 64 00 57 69 72	g.Active.Directory.Wireguard.Wir
12ee0	65 67 75 61 72 64 20 64 6f 65 73 6e 27 74 20 68 61 76 65 20 74 68 65 20 63 6f 6e 63 65 70 74 20	eguard.doesn't.have.the.concept.
12f00	6f 66 20 61 6e 20 75 70 20 6f 72 20 64 6f 77 6e 20 6c 69 6e 6b 2c 20 64 75 65 20 74 6f 20 69 74	of.an.up.or.down.link,.due.to.it
12f20	73 20 64 65 73 69 67 6e 2e 20 54 68 69 73 20 63 6f 6d 70 6c 69 63 61 74 65 73 20 41 4e 44 20 73	s.design..This.complicates.AND.s
12f40	69 6d 70 6c 69 66 69 65 73 20 75 73 69 6e 67 20 69 74 20 66 6f 72 20 6e 65 74 77 6f 72 6b 20 74	implifies.using.it.for.network.t
12f60	72 61 6e 73 70 6f 72 74 2c 20 61 73 20 66 6f 72 20 72 65 6c 69 61 62 6c 65 20 73 74 61 74 65 20	ransport,.as.for.reliable.state.
12f80	64 65 74 65 63 74 69 6f 6e 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 75 73 65 20 53 4f 4d 45 54 48	detection.you.need.to.use.SOMETH
12fa0	49 4e 47 20 74 6f 20 64 65 74 65 63 74 20 77 68 65 6e 20 74 68 65 20 6c 69 6e 6b 20 69 73 20 64	ING.to.detect.when.the.link.is.d
12fc0	6f 77 6e 2e 00 57 69 74 68 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2c 20 79 6f 75 20	own..With.Tunnelbroker.net,.you.
12fe0	68 61 76 65 20 74 77 6f 20 6f 70 74 69 6f 6e 73 3a 00 57 69 74 68 20 74 68 69 73 20 63 6f 6d 6d	have.two.options:.With.this.comm
13000	61 6e 64 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 74 72 61	and.we.are.able.to.check.the.tra
13020	6e 73 70 6f 72 74 20 61 6e 64 20 63 75 73 74 6f 6d 65 72 20 6c 61 62 65 6c 20 28 69 6e 6e 65 72	nsport.and.customer.label.(inner
13040	2f 6f 75 74 65 72 29 20 66 6f 72 20 6e 65 74 77 6f 72 6b 20 73 70 6f 6b 65 73 20 70 72 65 66 69	/outer).for.network.spokes.prefi
13060	78 65 73 20 31 30 2e 30 2e 30 2e 38 30 2f 33 32 20 2d 20 31 30 2e 30 2e 30 2e 39 30 2f 33 32 00	xes.10.0.0.80/32.-.10.0.0.90/32.
13080	57 69 74 68 69 6e 20 74 68 65 20 56 52 46 20 77 65 20 73 65 74 20 74 68 65 20 52 6f 75 74 65 2d	Within.the.VRF.we.set.the.Route-
130a0	44 69 73 74 69 6e 67 75 69 73 68 65 72 20 28 52 44 29 20 61 6e 64 20 52 6f 75 74 65 2d 54 61 72	Distinguisher.(RD).and.Route-Tar
130c0	67 65 74 73 20 28 52 54 29 2c 20 74 68 65 6e 20 77 65 20 65 6e 61 62 6c 65 20 74 68 65 20 65 78	gets.(RT),.then.we.enable.the.ex
130e0	70 6f 72 74 2f 69 6d 70 6f 72 74 20 56 50 4e 2e 00 57 69 74 68 69 6e 20 74 68 65 20 62 72 69 64	port/import.VPN..Within.the.brid
13100	67 65 2c 20 61 63 63 65 70 74 20 6f 6e 6c 79 20 6e 65 77 20 49 50 76 34 20 63 6f 6e 6e 65 63 74	ge,.accept.only.new.IPv4.connect
13120	69 6f 6e 73 20 66 72 6f 6d 20 68 6f 73 74 20 31 30 2e 31 2e 31 2e 31 30 32 00 58 52 76 2d 50 33	ions.from.host.10.1.1.102.XRv-P3
13140	3a 00 59 6f 75 20 6d 61 6e 61 67 65 64 20 74 6f 20 63 6f 6d 65 20 74 68 69 73 20 66 61 72 2c 20	:.You.managed.to.come.this.far,.
13160	6e 6f 77 20 77 65 20 77 61 6e 74 20 74 6f 20 73 65 65 20 74 68 65 20 6e 65 74 77 6f 72 6b 20 61	now.we.want.to.see.the.network.a
13180	6e 64 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20 69 6e 20 61 63 74 69 6f 6e 2e 00 59 6f 75	nd.routing.tables.in.action..You
131a0	20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 74 6f 20 61 6e 64 20 66	.should.be.able.to.ping.to.and.f
131c0	72 6f 6d 20 61 6c 6c 20 74 68 65 20 49 50 73 20 79 6f 75 20 68 61 76 65 20 61 6c 6c 6f 63 61 74	rom.all.the.IPs.you.have.allocat
131e0	65 64 2e 00 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 77 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69	ed..You.should.now.be.able.to.pi
13200	6e 67 20 73 6f 6d 65 74 68 69 6e 67 20 62 79 20 49 50 76 36 20 44 4e 53 20 6e 61 6d 65 3a 00 59	ng.something.by.IPv6.DNS.name:.Y
13220	6f 75 20 73 68 6f 75 6c 64 20 6e 6f 77 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 74 68 65	ou.should.now.be.able.to.see.the
13240	20 61 64 76 65 72 74 69 73 65 64 20 6e 65 74 77 6f 72 6b 20 6f 6e 20 74 68 65 20 6f 74 68 65 72	.advertised.network.on.the.other
13260	20 68 6f 73 74 2e 00 59 6f 75 20 77 6f 75 6c 64 20 68 61 76 65 20 35 20 7a 6f 6e 65 73 20 69 6e	.host..You.would.have.5.zones.in
13280	73 74 65 61 64 20 6f 66 20 6a 75 73 74 20 34 20 61 6e 64 20 79 6f 75 20 77 6f 75 6c 64 20 63 6f	stead.of.just.4.and.you.would.co
132a0	6e 66 69 67 75 72 65 20 79 6f 75 72 20 76 36 20 72 75 6c 65 73 65 74 20 62 65 74 77 65 65 6e 20	nfigure.your.v6.ruleset.between.
132c0	79 6f 75 72 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 79 6f 75 72 20 4c	your.tunnel.interface.and.your.L
132e0	41 4e 2f 44 4d 5a 20 7a 6f 6e 65 73 20 69 6e 73 74 65 61 64 20 6f 66 20 74 6f 20 74 68 65 20 57	AN/DMZ.zones.instead.of.to.the.W
13300	41 4e 2e 00 59 6f 75 20 77 6f 75 6c 64 20 68 61 76 65 20 74 6f 20 61 64 64 20 61 20 63 6f 75 70	AN..You.would.have.to.add.a.coup
13320	6c 65 20 6f 66 20 72 75 6c 65 73 20 6f 6e 20 79 6f 75 72 20 77 61 6e 2d 6c 6f 63 61 6c 20 72 75	le.of.rules.on.your.wan-local.ru
13340	6c 65 73 65 74 20 74 6f 20 61 6c 6c 6f 77 20 70 72 6f 74 6f 63 6f 6c 20 34 31 20 69 6e 2e 00 5a	leset.to.allow.protocol.41.in..Z
13360	6f 6e 65 2d 50 6f 6c 69 63 79 20 65 78 61 6d 70 6c 65 00 5a 6f 6e 65 73 20 42 61 73 69 63 73 00	one-Policy.example.Zones.Basics.
13380	5a 6f 6e 65 73 20 61 6e 64 20 52 75 6c 65 73 65 74 73 20 62 6f 74 68 20 68 61 76 65 20 61 20 64	Zones.and.Rulesets.both.have.a.d
133a0	65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 73 74 61 74 65 6d 65 6e 74 2e 20 57 68 65 6e 20 75 73	efault.action.statement..When.us
133c0	69 6e 67 20 5a 6f 6e 65 2d 50 6f 6c 69 63 69 65 73 2c 20 74 68 65 20 64 65 66 61 75 6c 74 20 61	ing.Zone-Policies,.the.default.a
133e0	63 74 69 6f 6e 20 69 73 20 73 65 74 20 62 79 20 74 68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20	ction.is.set.by.the.zone-policy.
13400	73 74 61 74 65 6d 65 6e 74 20 61 6e 64 20 69 73 20 72 65 70 72 65 73 65 6e 74 65 64 20 62 79 20	statement.and.is.represented.by.
13420	72 75 6c 65 20 31 30 30 30 30 2e 00 5a 6f 6e 65 73 20 64 6f 20 6e 6f 74 20 61 6c 6c 6f 77 20 66	rule.10000..Zones.do.not.allow.f
13440	6f 72 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 6f 66 20 61 63 63 65 70 74 3b 20 65	or.a.default.action.of.accept;.e
13460	69 74 68 65 72 20 64 72 6f 70 20 6f 72 20 72 65 6a 65 63 74 2e 20 49 74 20 69 73 20 69 6d 70 6f	ither.drop.or.reject..It.is.impo
13480	72 74 61 6e 74 20 74 6f 20 72 65 6d 65 6d 62 65 72 20 74 68 69 73 20 62 65 63 61 75 73 65 20 69	rtant.to.remember.this.because.i
134a0	66 20 79 6f 75 20 61 70 70 6c 79 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 74 6f 20 61 20 7a 6f	f.you.apply.an.interface.to.a.zo
134c0	6e 65 20 61 6e 64 20 63 6f 6d 6d 69 74 2c 20 61 6e 79 20 61 63 74 69 76 65 20 63 6f 6e 6e 65 63	ne.and.commit,.any.active.connec
134e0	74 69 6f 6e 73 20 77 69 6c 6c 20 62 65 20 64 72 6f 70 70 65 64 2e 20 53 70 65 63 69 66 69 63 61	tions.will.be.dropped..Specifica
13500	6c 6c 79 2c 20 69 66 20 79 6f 75 20 61 72 65 20 53 53 48 e2 80 99 64 20 69 6e 74 6f 20 56 79 4f	lly,.if.you.are.SSH...d.into.VyO
13520	53 20 61 6e 64 20 61 64 64 20 6c 6f 63 61 6c 20 6f 72 20 74 68 65 20 69 6e 74 65 72 66 61 63 65	S.and.add.local.or.the.interface
13540	20 79 6f 75 20 61 72 65 20 63 6f 6e 6e 65 63 74 69 6e 67 20 74 68 72 6f 75 67 68 20 74 6f 20 61	.you.are.connecting.through.to.a
13560	20 7a 6f 6e 65 20 61 6e 64 20 64 6f 20 6e 6f 74 20 68 61 76 65 20 72 75 6c 65 73 65 74 73 20 69	.zone.and.do.not.have.rulesets.i
13580	6e 20 70 6c 61 63 65 20 74 6f 20 61 6c 6c 6f 77 20 53 53 48 20 61 6e 64 20 65 73 74 61 62 6c 69	n.place.to.allow.SSH.and.establi
135a0	73 68 65 64 20 73 65 73 73 69 6f 6e 73 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 61	shed.sessions,.you.will.not.be.a
135c0	62 6c 65 20 74 6f 20 63 6f 6e 6e 65 63 74 2e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 31	ble.to.connect..`2001:470:xxxx:1
135e0	3a 3a 2f 36 34 60 3a 20 41 20 73 75 62 6e 65 74 20 73 75 69 74 61 62 6c 65 20 66 6f 72 20 61 20	::/64`:.A.subnet.suitable.for.a.
13600	4c 41 4e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 32 3a 3a 2f 36 34 60 3a 20 41 6e 6f 74	LAN.`2001:470:xxxx:2::/64`:.Anot
13620	68 65 72 20 73 75 62 6e 65 74 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 3a 2f 34 38 60 3a	her.subnet.`2001:470:xxxx::/48`:
13640	20 54 68 65 20 77 68 6f 6c 65 20 73 75 62 6e 65 74 2e 20 78 78 78 78 20 73 68 6f 75 6c 64 20 63	.The.whole.subnet..xxxx.should.c
13660	6f 6d 65 20 66 72 6f 6d 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 00 60 32 30 30 31 3a 34 37 30	ome.from.Tunnelbroker..`2001:470
13680	3a 78 78 78 78 3a 66 66 66 66 3a 2f 36 34 60 3a 20 54 68 65 20 6c 61 73 74 20 75 73 61 62 6c 65	:xxxx:ffff:/64`:.The.last.usable
136a0	20 2f 36 34 20 73 75 62 6e 65 74 2e 00 60 60 73 65 72 76 69 63 65 2d 6e 61 6d 65 60 60 20 63 61	./64.subnet..``service-name``.ca
136c0	6e 20 62 65 20 61 6e 20 61 72 62 69 74 72 61 72 79 20 73 74 72 69 6e 67 2e 00 61 66 74 65 72 20	n.be.an.arbitrary.string..after.
136e0	61 6c 6c 20 74 68 65 73 65 20 73 74 65 70 73 20 74 68 65 20 63 6f 6e 66 69 67 20 6c 6f 6f 6b 20	all.these.steps.the.config.look.
13700	6c 69 6b 65 20 74 68 69 73 3a 00 61 66 74 65 72 20 74 68 69 73 20 63 72 65 61 74 65 20 61 20 73	like.this:.after.this.create.a.s
13720	69 67 6e 65 64 20 73 65 72 76 65 72 20 61 6e 64 20 61 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66	igned.server.and.a.client.certif
13740	69 63 61 74 65 00 61 6e 64 20 6c 61 73 74 20 74 68 65 20 44 48 20 4b 65 79 00 62 6c 75 65 20 75	icate.and.last.the.DH.Key.blue.u
13760	73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56	ses.local.routing.table.id.and.V
13780	4e 49 20 32 30 30 30 00 63 68 30 30 73 33 2d 34 2d 73 33 63 75 72 33 2d 70 73 6b 00 63 6f 6d 70	NI.2000.ch00s3-4-s3cur3-psk.comp
137a0	75 74 65 31 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 31 20	ute1.(VMware.ESXi.6.5).compute1.
137c0	2d 20 50 6f 72 74 20 39 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6d 70 75 74 65 32	-.Port.9.of.each.switch.compute2
137e0	20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 32 20 2d 20 50 6f	.(VMware.ESXi.6.5).compute2.-.Po
13800	72 74 20 31 30 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6d 70 75 74 65 33 20 28 56	rt.10.of.each.switch.compute3.(V
13820	4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 33 20 2d 20 50 6f 72 74 20	Mware.ESXi.6.5).compute3.-.Port.
13840	31 31 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6e 66 69 67 75 72 65 20 65 61 63 68	11.of.each.switch.configure.each
13860	20 68 6f 73 74 20 69 6e 20 74 68 65 20 6c 61 62 00 63 72 65 61 74 65 20 74 68 65 20 6c 61 62 20	.host.in.the.lab.create.the.lab.
13880	6f 6e 20 61 20 65 76 65 2d 6e 67 20 73 65 72 76 65 72 00 64 6f 20 73 6f 6d 65 20 64 65 66 69 6e	on.a.eve-ng.server.do.some.defin
138a0	65 64 20 74 65 73 74 73 00 65 74 68 30 00 65 74 68 30 20 69 73 20 73 65 74 20 74 6f 20 62 65 20	ed.tests.eth0.eth0.is.set.to.be.
138c0	72 65 6d 6f 76 65 64 20 66 72 6f 6d 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 27 73	removed.from.the.load.balancer's
138e0	20 69 6e 74 65 72 66 61 63 65 20 70 6f 6f 6c 20 61 66 74 65 72 20 35 20 70 69 6e 67 20 66 61 69	.interface.pool.after.5.ping.fai
13900	6c 75 72 65 73 2c 20 65 74 68 31 20 77 69 6c 6c 20 62 65 20 72 65 6d 6f 76 65 64 20 61 66 74 65	lures,.eth1.will.be.removed.afte
13920	72 20 34 20 70 69 6e 67 20 66 61 69 6c 75 72 65 73 2e 00 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d	r.4.ping.failures..extended.comm
13940	75 6e 69 74 79 20 61 6e 64 20 72 65 6d 6f 74 65 20 6c 61 62 65 6c 20 6f 66 20 73 70 65 63 69 66	unity.and.remote.label.of.specif
13960	69 63 20 64 65 73 74 69 6e 61 74 69 6f 6e 00 66 69 72 73 74 20 74 68 65 20 50 43 41 00 67 65 6e	ic.destination.first.the.PCA.gen
13980	65 72 61 74 65 20 74 68 65 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 61 6e 64 20 69 6e 63 6c	erate.the.documentation.and.incl
139a0	75 64 65 20 66 69 6c 65 73 00 67 72 65 65 6e 20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69	ude.files.green.uses.local.routi
139c0	6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20 34 30 30 30 00 69 6e 66 6f 72 6d 61	ng.table.id.and.VNI.4000.informa
139e0	74 69 6f 6e 20 62 65 74 77 65 65 6e 20 50 45 20 61 6e 64 20 43 45 3a 00 6f 70 74 69 6f 6e 61 6c	tion.between.PE.and.CE:.optional
13a00	20 64 6f 20 61 6e 20 75 70 67 72 61 64 65 20 74 6f 20 61 20 68 69 67 68 65 72 20 76 65 72 73 69	.do.an.upgrade.to.a.higher.versi
13a20	6f 6e 20 61 6e 64 20 64 6f 20 73 74 65 70 20 33 20 61 67 61 69 6e 2e 00 72 65 64 20 75 73 65 73	on.and.do.step.3.again..red.uses
13a40	20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20	.local.routing.table.id.and.VNI.
13a60	33 30 30 30 00 72 6f 75 74 65 72 32 20 28 52 61 6e 64 6f 6d 20 31 52 55 20 6d 61 63 68 69 6e 65	3000.router2.(Random.1RU.machine
13a80	20 77 69 74 68 20 34 20 4e 49 43 73 29 00 73 61 76 65 20 74 68 65 20 6f 75 74 70 75 74 20 74 6f	.with.4.NICs).save.the.output.to
13aa0	20 61 20 66 69 6c 65 20 61 6e 64 20 69 6d 70 6f 72 74 20 69 74 20 69 6e 20 6e 65 61 72 6c 79 20	.a.file.and.import.it.in.nearly.
13ac0	61 6c 6c 20 6f 70 65 6e 76 70 6e 20 63 6c 69 65 6e 74 73 2e 00 73 68 75 74 64 6f 77 6e 20 61 6e	all.openvpn.clients..shutdown.an
13ae0	64 20 64 65 73 74 72 6f 79 20 74 68 65 20 6c 61 62 2c 20 69 66 20 74 68 65 72 65 20 69 73 20 6e	d.destroy.the.lab,.if.there.is.n
13b00	6f 20 65 72 72 6f 72 00 73 70 65 63 69 66 69 63 20 56 50 4e 76 34 20 64 65 73 74 69 6e 61 74 69	o.error.specific.VPNv4.destinati
13b20	6f 6e 20 69 6e 63 6c 75 64 69 6e 67 20 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 20	on.including.extended.community.
13b40	61 6e 64 20 72 65 6d 6f 74 65 6c 61 62 65 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 54 68 69	and.remotelabel.information..Thi
13b60	73 20 70 72 6f 63 65 64 75 72 65 20 69 73 20 74 68 65 20 73 61 6d 65 20 6f 6e 20 61 6c 6c 20 53	s.procedure.is.the.same.on.all.S
13b80	70 6f 6b 65 20 6e 6f 64 65 73 3a 00 73 77 69 74 63 68 31 20 28 4e 65 78 75 73 20 31 30 67 62 20	poke.nodes:.switch1.(Nexus.10gb.
13ba0	53 77 69 74 63 68 29 00 73 77 69 74 63 68 32 20 28 4e 65 78 75 73 20 31 30 67 62 20 53 77 69 74	Switch).switch2.(Nexus.10gb.Swit
13bc0	63 68 29 00 76 36 20 70 61 69 72 73 20 77 6f 75 6c 64 20 62 65 3a 00 76 79 6f 73 31 30 20 2d 20	ch).v6.pairs.would.be:.vyos10.-.
13be0	31 39 32 2e 30 2e 32 2e 31 30 38 00 76 79 6f 73 37 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 35 00	192.0.2.108.vyos7.-.192.0.2.105.
13c00	76 79 6f 73 38 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 36 00 76 79 6f 73 39 20 2d 20 31 39 32 2e	vyos8.-.192.0.2.106.vyos9.-.192.
13c20	30 2e 32 2e 31 30 37 00 77 65 20 61 72 65 20 75 73 69 6e 67 20 22 73 6f 75 72 63 65 2d 61 64 64	0.2.107.we.are.using."source-add
13c40	72 65 73 73 22 20 6f 70 74 69 6f 6e 20 63 61 75 73 65 20 77 65 20 61 72 65 20 6e 6f 74 20 72 65	ress".option.cause.we.are.not.re
13c60	64 69 73 74 72 69 62 75 74 69 6e 67 20 63 6f 6e 6e 65 63 74 65 64 20 69 6e 74 65 72 66 61 63 65	distributing.connected.interface
13c80	73 20 69 6e 74 6f 20 42 47 50 20 6f 6e 20 74 68 65 20 43 6f 72 65 20 72 6f 75 74 65 72 20 68 65	s.into.BGP.on.the.Core.router.he
13ca0	6e 63 65 20 74 68 65 72 65 20 69 73 20 6e 6f 20 63 6f 6d 65 62 61 63 6b 20 72 6f 75 74 65 20 61	nce.there.is.no.comeback.route.a
13cc0	6e 64 20 70 69 6e 67 20 77 69 6c 6c 20 66 61 69 6c 2e 00 77 69 74 68 69 6e 20 56 52 46 73 3a 00	nd.ping.will.fail..within.VRFs:.
13ce0	e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20	...show.bgp.ipv4.vpn.summary....
13d00	66 6f 72 20 63 68 65 63 6b 69 6e 67 20 42 47 50 20 56 50 4e 76 34 20 6e 65 69 67 68 62 6f 72 73	for.checking.BGP.VPNv4.neighbors
13d20	3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80	:....show.bgp.ipv4.vpn.summary..
13d40	9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f 72 73 20 61 67	..for.checking.iBGP.neighbors.ag
13d60	61 69 6e 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79	ain....show.bgp.ipv4.vpn.summary
13d80	e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f 72 73 20	....for.checking.iBGP.neighbors.
13da0	61 67 61 69 6e 73 74 20 72 6f 75 74 65 2d 72 65 66 6c 65 63 74 6f 72 20 64 65 76 69 63 65 73 3a	against.route-reflector.devices:
13dc0	00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 33 32	....show.bgp.ipv4.vpn.x.x.x.x/32
13de0	e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 62 65 73 74 2d 70 61 74 68 2c 00 e2 80 9c 73	....for.checking.best-path,....s
13e00	68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 33 32 e2 80 9d 20 66	how.bgp.ipv4.vpn.x.x.x.x/32....f
13e20	6f 72 20 63 68 65 63 6b 69 6e 67 20 74 68 65 20 62 65 73 74 2d 70 61 74 68 20 74 6f 20 74 68 65	or.checking.the.best-path.to.the
13e40	00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 78 e2	....show.bgp.ipv4.vpn.x.x.x.x/x.
13e60	80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 62 65 73 74 20 70 61 74 68 20 73 65 6c 65 63 74	...for.checking.best.path.select
13e80	65 64 20 66 6f 72 20 73 70 65 63 69 66 69 63 20 56 50 4e 76 34 20 64 65 73 74 69 6e 61 74 69 6f	ed.for.specific.VPNv4.destinatio
13ea0	6e 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e e2 80 9d 20 20 66 6f 72 20 63	n....show.bgp.ipv4.vpn.....for.c
13ec0	68 65 63 6b 69 6e 67 20 61 6c 6c 20 56 50 4e 76 34 20 70 72 65 66 69 78 65 73 20 69 6e 66 6f 72	hecking.all.VPNv4.prefixes.infor
13ee0	6d 61 74 69 6f 6e 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 5f 48 55 42	mation:....show.bgp.vrf.BLUE_HUB
13f00	20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 47 50 20 6e 65	.summary....for.checking.EBGP.ne
13f20	69 67 68 62 6f 72 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 5f 53 50 4f 4b	ighbor....show.bgp.vrf.BLUE_SPOK
13f40	45 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 47 50 20 6e	E.summary....for.checking.EBGP.n
13f60	65 69 67 68 62 6f 72 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c e2 80 9d 20 66	eighbor....show.bgp.vrf.all....f
13f80	6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 20 6c 65 61 72 6e	or.checking.all.the.prefix.learn
13fa0	69 6e 67 20 6f 6e 20 42 47 50 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c e2 80	ing.on.BGP....show.bgp.vrf.all..
13fc0	9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 65 73 20	..for.checking.all.the.prefixes.
13fe0	6c 65 61 72 6e 69 6e 67 20 6f 6e 20 42 47 50 00 e2 80 9c 73 68 6f 77 20 69 70 20 6f 73 70 66 20	learning.on.BGP....show.ip.ospf.
14000	6e 65 69 67 68 62 6f 72 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6f 73 70 66 20 72 65	neighbor....for.checking.ospf.re
14020	6c 61 74 69 6f 6e 73 68 69 70 00 e2 80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 72 66 20	lationship....show.ip.route.vrf.
14040	42 4c 55 45 5f 48 55 42 e2 80 9d 20 74 6f 20 76 69 65 77 20 74 68 65 20 52 49 42 20 69 6e 20 6f	BLUE_HUB....to.view.the.RIB.in.o
14060	75 72 20 48 75 62 20 50 45 2e 00 e2 80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 72 66 20	ur.Hub.PE.....show.ip.route.vrf.
14080	42 4c 55 45 5f 53 50 4f 4b 45 e2 80 9d 20 66 6f 72 20 76 69 65 77 69 6e 67 20 74 68 65 20 52 49	BLUE_SPOKE....for.viewing.the.RI
140a0	42 20 69 6e 20 6f 75 72 20 53 70 6f 6b 65 20 50 45 2e 00 e2 80 9c 73 68 6f 77 20 6d 70 6c 73 20	B.in.our.Spoke.PE.....show.mpls.
140c0	6c 64 70 20 62 69 6e 64 69 6e 67 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6d 70 6c 73	ldp.binding....for.checking.mpls
140e0	20 6c 61 62 65 6c 20 61 73 73 69 67 6e 6d 65 6e 74 00 e2 80 9c 73 68 6f 77 20 6d 70 6c 73 20 6c	.label.assignment....show.mpls.l
14100	64 70 20 6e 65 69 67 68 62 6f 72 20 e2 80 9c 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6c 64 70	dp.neighbor.....for.checking.ldp
14120	20 6e 65 69 67 68 62 6f 72 73 00 4d 49 4d 45 2d 56 65 72 73 69 6f 6e 3a 20 31 2e 30 0a 43 6f 6e	.neighbors.MIME-Version:.1.0.Con
14140	74 65 6e 74 2d 54 79 70 65 3a 20 74 65 78 74 2f 70 6c 61 69 6e 3b 20 63 68 61 72 73 65 74 3d 55	tent-Type:.text/plain;.charset=U
14160	54 46 2d 38 0a 43 6f 6e 74 65 6e 74 2d 54 72 61 6e 73 66 65 72 2d 45 6e 63 6f 64 69 6e 67 3a 20	TF-8.Content-Transfer-Encoding:.
14180	38 62 69 74 0a 58 2d 47 65 6e 65 72 61 74 6f 72 3a 20 4c 6f 63 61 6c 61 7a 79 20 28 68 74 74 70	8bit.X-Generator:.Localazy.(http
141a0	73 3a 2f 2f 6c 6f 63 61 6c 61 7a 79 2e 63 6f 6d 29 0a 50 72 6f 6a 65 63 74 2d 49 64 2d 56 65 72	s://localazy.com).Project-Id-Ver
141c0	73 69 6f 6e 3a 20 0a 4c 61 6e 67 75 61 67 65 3a 20 6a 61 0a 50 6c 75 72 61 6c 2d 46 6f 72 6d 73	sion:..Language:.ja.Plural-Forms
141e0	3a 20 6e 70 6c 75 72 61 6c 73 3d 31 3b 20 70 6c 75 72 61 6c 3d 30 3b 0a 00 27 27 49 74 20 69 73	:.nplurals=1;.plural=0;..''It.is
14200	20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 6e 6f 74 65 2c 20 74 68 61 74 20 79 6f 75 20 64 6f 20	.important.to.note,.that.you.do.
14220	6e 6f 74 20 77 61 6e 74 20 74 6f 20 61 64 64 20 6c 6f 67 67 69 6e 67 20 74 6f 20 74 68 65 20 65	not.want.to.add.logging.to.the.e
14240	73 74 61 62 6c 69 73 68 65 64 20 73 74 61 74 65 20 72 75 6c 65 20 61 73 20 79 6f 75 20 77 69 6c	stablished.state.rule.as.you.wil
14260	6c 20 62 65 20 6c 6f 67 67 69 6e 67 20 62 6f 74 68 20 74 68 65 20 69 6e 62 6f 75 6e 64 20 61 6e	l.be.logging.both.the.inbound.an
14280	64 20 6f 75 74 62 6f 75 6e 64 20 70 61 63 6b 65 74 73 20 66 6f 72 20 65 61 63 68 20 73 65 73 73	d.outbound.packets.for.each.sess
142a0	69 6f 6e 20 69 6e 73 74 65 61 64 20 6f 66 20 6a 75 73 74 20 74 68 65 20 69 6e 69 74 69 61 74 69	ion.instead.of.just.the.initiati
142c0	6f 6e 20 6f 66 20 74 68 65 20 73 65 73 73 69 6f 6e 2e 20 59 6f 75 72 20 6c 6f 67 73 20 77 69 6c	on.of.the.session..Your.logs.wil
142e0	6c 20 62 65 20 6d 61 73 73 69 76 65 20 69 6e 20 61 20 76 65 72 79 20 73 68 6f 72 74 20 70 65 72	l.be.massive.in.a.very.short.per
14300	69 6f 64 20 6f 66 20 74 69 6d 65 2e 27 27 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 41 64	iod.of.time.''.Important:.Ad
14320	64 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 74 6f 20 72 65 61 63 68 20 41 7a	d.an.interface.route.to.reach.Az
14340	75 72 65 27 73 20 42 47 50 20 6c 69 73 74 65 6e 65 72 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a	ure's.BGP.listener.Important
14360	3a 20 41 64 64 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 74 6f 20 72 65 61 63	:.Add.an.interface.route.to.reac
14380	68 20 62 6f 74 68 20 41 7a 75 72 65 27 73 20 42 47 50 20 6c 69 73 74 65 6e 65 72 73 00 2a 2a 49	h.both.Azure's.BGP.listeners.**I
143a0	6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73 61 62 6c 65 20 63 6f 6e 6e 65 63 74 65 64 20 63 68	mportant**:.Disable.connected.ch
143c0	65 63 6b 20 5c 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73 61 62 6c 65 20 63 6f 6e	eck.\.Important:.Disable.con
143e0	6e 65 63 74 65 64 20 63 68 65 63 6b 2c 20 6f 74 68 65 72 77 69 73 65 20 74 68 65 20 72 6f 75 74	nected.check,.otherwise.the.rout
14400	65 73 20 6c 65 61 72 6e 65 64 20 66 72 6f 6d 20 41 7a 75 72 65 20 77 69 6c 6c 20 6e 6f 74 20 62	es.learned.from.Azure.will.not.b
14420	65 20 69 6d 70 6f 72 74 65 64 20 69 6e 74 6f 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c	e.imported.into.the.routing.tabl
14440	65 2e 00 2a 2a 4e 4f 54 45 3a 2a 2a 20 56 79 4f 53 20 52 6f 75 74 65 72 20 28 74 65 73 74 65 64	e..NOTE:.VyOS.Router.(tested
14460	20 77 69 74 68 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30	.with.VyOS.1.4-rolling-202110310
14480	33 31 37 29 20 e2 80 93 20 20 54 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 62 65 6c	317)......The.configurations.bel
144a0	6f 77 20 61 72 65 20 73 70 65 63 69 66 69 63 61 6c 6c 79 20 66 6f 72 20 56 79 4f 53 20 31 2e 34	ow.are.specifically.for.VyOS.1.4
144c0	2e 78 2e 00 2a 2a 4e 6f 74 65 3a 2a 2a 20 41 74 20 74 68 65 20 6d 6f 6d 65 6e 74 2c 20 74 72 61	.x..Note:.At.the.moment,.tra
144e0	63 65 20 6d 70 6c 73 20 64 6f 65 73 6e e2 80 99 74 20 73 68 6f 77 20 6c 61 62 65 6c 73 2f 70 61	ce.mpls.doesn...t.show.labels/pa
14500	74 68 73 2e 20 53 6f 20 77 65 e2 80 99 6c 6c 20 73 65 65 20 2a 20 2a 20 2a 20 20 66 6f 72 20 74	ths..So.we...ll.see...*..for.t
14520	68 65 20 74 72 61 6e 73 69 74 20 72 6f 75 74 65 72 73 20 6f 66 20 74 68 65 20 6d 70 6c 73 20 62	he.transit.routers.of.the.mpls.b
14540	61 63 6b 62 6f 6e 65 2e 00 2a 2a 54 68 69 73 20 73 70 65 63 69 66 69 63 20 65 78 61 6d 70 6c 65	ackbone..**This.specific.example
14560	20 69 73 20 66 6f 72 20 61 20 72 6f 75 74 65 72 20 6f 6e 20 61 20 73 74 69 63 6b 2c 20 62 75 74	.is.for.a.router.on.a.stick,.but
14580	20 69 73 20 76 65 72 79 20 65 61 73 69 6c 79 20 61 64 61 70 74 65 64 20 66 6f 72 20 68 6f 77 65	.is.very.easily.adapted.for.howe
145a0	76 65 72 20 6d 61 6e 79 20 4e 49 43 73 20 79 6f 75 20 68 61 76 65 2a 2a 3a 00 2a 2a 56 69 72 74	ver.many.NICs.you.have:.Virt
145c0	75 61 6c 20 52 6f 75 74 69 6e 67 20 61 6e 64 20 46 6f 72 77 61 72 64 69 6e 67 2a 2a 20 69 73 20	ual.Routing.and.Forwarding**.is.
145e0	61 20 74 65 63 68 6e 6f 6c 6f 67 79 20 74 68 61 74 20 61 6c 6c 6f 77 20 6d 75 6c 74 69 70 6c 65	a.technology.that.allow.multiple
14600	20 69 6e 73 74 61 6e 63 65 20 6f 66 20 61 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 74 6f 20	.instance.of.a.routing.table.to.
14620	65 78 69 73 74 20 77 69 74 68 69 6e 20 61 20 73 69 6e 67 6c 65 20 64 65 76 69 63 65 2e 20 4f 6e	exist.within.a.single.device..On
14640	65 20 6f 66 20 74 68 65 20 6b 65 79 20 61 73 70 65 63 74 20 6f 66 20 2a 2a 56 52 46 73 2a 2a 20	e.of.the.key.aspect.of.VRFs.
14660	69 73 20 74 68 61 74 20 64 6f 20 6e 6f 74 20 73 68 61 72 65 20 74 68 65 20 73 61 6d 65 20 72 6f	is.that.do.not.share.the.same.ro
14680	75 74 65 73 20 6f 72 20 69 6e 74 65 72 66 61 63 65 73 2c 20 74 68 65 72 65 66 6f 72 65 20 70 61	utes.or.interfaces,.therefore.pa
146a0	63 6b 65 74 73 20 61 72 65 20 66 6f 72 77 61 72 64 65 64 20 62 65 74 77 65 65 6e 20 69 6e 74 65	ckets.are.forwarded.between.inte
146c0	72 66 61 63 65 73 20 74 68 61 74 20 62 65 6c 6f 6e 67 20 74 6f 20 74 68 65 20 73 61 6d 65 20 56	rfaces.that.belong.to.the.same.V
146e0	52 46 20 6f 6e 6c 79 2e 00 2a 2a 6f 66 66 73 69 74 65 31 2a 2a 00 2a 2a 72 6f 75 74 65 72 31 2a	RF.only..offsite1.*router1
14700	2a 00 2a 2a 72 6f 75 74 65 72 32 2a 2a 00 31 30 2e 30 2e 30 2e 30 2f 31 36 00 31 30 2e 30 2e 30	.router2*.10.0.0.0/16.10.0.0
14720	2e 34 00 31 30 2e 30 2e 30 2e 34 2c 31 30 2e 30 2e 30 2e 35 00 31 30 2e 31 2e 31 2e 30 2f 33 30	.4.10.0.0.4,10.0.0.5.10.1.1.0/30
14740	00 31 30 2e 31 30 2e 30 2e 30 2f 31 36 00 31 30 2e 31 30 2e 30 2e 35 00 31 30 2e 32 2e 32 2e 30	.10.10.0.0/16.10.10.0.5.10.2.2.0
14760	2f 33 30 00 31 30 2e 35 30 2e 35 30 2e 31 3a 31 30 31 31 00 31 30 2e 36 30 2e 36 30 2e 31 3a 31	/30.10.50.50.1:1011.10.60.60.1:1
14780	30 31 31 00 31 30 2e 38 30 2e 38 30 2e 31 3a 31 30 31 31 00 31 30 30 3a 20 27 50 75 62 6c 69 63	011.10.80.80.1:1011.100:.'Public
147a0	27 20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67 20 6f 75 72 20 32 30 33 2e 30 2e 31 31 33 2e 30	'.network,.using.our.203.0.113.0
147c0	2f 32 34 20 6e 65 74 77 6f 72 6b 2e 00 31 37 32 2e 31 36 2e 32 2e 30 2f 33 30 00 31 37 32 2e 31	/24.network..172.16.2.0/30.172.1
147e0	37 2e 31 2e 32 20 43 53 30 20 2d 3e 20 43 53 34 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43	7.1.2.CS0.->.CS4.172.17.1.2/24.C
14800	53 30 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 30 20 2d 20 3e 20 43 53 34 00 31 37 32	S0.172.17.1.2/24.CS0.-.>.CS4.172
14820	2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 34 20 2d 20 3e 20 43 53 35 00 31 37 32 2e 31 37 2e 31 2e	.17.1.2/24.CS4.-.>.CS5.172.17.1.
14840	33 20 43 53 30 20 2d 3e 20 43 53 35 00 31 37 32 2e 31 37 2e 31 2e 34 20 43 53 30 20 2d 3e 20 43	3.CS0.->.CS5.172.17.1.4.CS0.->.C
14860	53 36 00 31 37 32 2e 31 37 2e 31 2e 34 30 20 43 53 30 20 62 79 20 64 65 66 61 75 6c 74 00 31 39	S6.172.17.1.40.CS0.by.default.19
14880	32 2e 31 36 38 2e 31 30 30 2e 31 30 2f 32 30 30 31 3a 30 44 42 38 3a 30 3a 41 41 41 41 3a 3a 31	2.168.100.10/2001:0DB8:0:AAAA::1
148a0	30 20 69 73 20 74 68 65 20 61 64 6d 69 6e 69 73 74 72 61 74 6f 72 27 73 20 63 6f 6e 73 6f 6c 65	0.is.the.administrator's.console
148c0	2e 20 49 74 20 63 61 6e 20 53 53 48 20 74 6f 20 56 79 4f 53 2e 00 31 39 32 2e 31 36 38 2e 32 30	..It.can.SSH.to.VyOS..192.168.20
148e0	30 2e 32 30 30 2f 32 30 30 31 3a 30 44 42 38 3a 30 3a 42 42 42 42 3a 3a 32 30 30 20 69 73 20 61	0.200/2001:0DB8:0:BBBB::200.is.a
14900	6e 20 69 6e 74 65 72 6e 61 6c 2f 65 78 74 65 72 6e 61 6c 20 44 4e 53 2c 20 77 65 62 20 61 6e 64	n.internal/external.DNS,.web.and
14920	20 6d 61 69 6c 20 28 53 4d 54 50 2f 49 4d 41 50 29 20 73 65 72 76 65 72 2e 00 31 39 32 2e 31 36	.mail.(SMTP/IMAP).server..192.16
14940	38 2e 33 2e 30 2f 33 30 00 31 39 38 2e 35 31 2e 31 30 30 2e 33 00 32 20 70 72 69 76 61 74 65 20	8.3.0/30.198.51.100.3.2.private.
14960	73 75 62 6e 65 74 73 20 6f 6e 20 65 61 63 68 20 73 69 74 65 2e 00 32 20 78 20 52 6f 75 74 65 20	subnets.on.each.site..2.x.Route.
14980	72 65 66 6c 65 63 74 6f 72 73 20 28 56 79 4f 53 2d 52 52 78 29 00 32 30 30 31 3a 64 62 38 3a 3a	reflectors.(VyOS-RRx).2001:db8::
149a0	2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 32 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 34	/127.2001:db8::2/127.2001:db8::4
149c0	2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 36 2f 31 32 37 00 32 30 31 3a 20 27 49 6e 74 65 72	/127.2001:db8::6/127.201:.'Inter
149e0	6e 61 6c 27 20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67 20 31 30 2e 32 30 30 2e 32 30 31 2e 30	nal'.network,.using.10.200.201.0
14a00	2f 32 34 00 32 30 33 2e 30 2e 31 31 33 2e 32 00 32 30 33 2e 30 2e 31 31 33 2e 33 00 33 20 78 20	/24.203.0.113.2.203.0.113.3.3.x.
14a20	43 75 73 74 6f 6d 65 72 20 45 64 67 65 20 28 56 79 4f 53 2d 43 45 78 29 00 33 20 78 20 50 72 6f	Customer.Edge.(VyOS-CEx).3.x.Pro
14a40	76 69 64 65 72 20 45 64 67 65 20 28 56 79 4f 73 2d 50 45 78 29 00 34 20 78 20 50 72 6f 76 69 64	vider.Edge.(VyOs-PEx).4.x.Provid
14a60	65 72 20 72 6f 75 74 65 72 73 20 28 56 79 4f 53 2d 50 78 29 00 35 30 3a 20 55 70 73 74 72 65 61	er.routers.(VyOS-Px).50:.Upstrea
14a80	6d 2c 20 75 73 69 6e 67 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77 6f 72	m,.using.the.192.0.2.0/24.networ
14aa0	6b 20 61 6c 6c 6f 63 61 74 65 64 20 62 79 20 74 68 65 6d 2e 00 36 34 34 39 36 3a 31 00 36 34 34	k.allocated.by.them..64496:1.644
14ac0	39 36 3a 31 30 30 00 36 34 34 39 36 3a 32 00 36 34 34 39 36 3a 35 30 00 36 34 34 39 39 00 36 35	96:100.64496:2.64496:50.64499.65
14ae0	30 33 35 3a 31 30 31 31 00 36 35 30 33 35 3a 31 30 31 31 20 36 35 30 33 35 3a 31 30 33 30 00 36	035:1011.65035:1011.65035:1030.6
14b00	35 30 33 35 3a 31 30 33 30 00 36 35 35 34 30 00 41 20 62 72 69 65 66 20 65 78 63 75 72 73 69 6f	5035:1030.65540.A.brief.excursio
14b20	6e 20 69 6e 74 6f 20 56 52 46 73 3a 20 54 68 69 73 20 68 61 73 20 62 65 65 6e 20 6f 6e 65 20 6f	n.into.VRFs:.This.has.been.one.o
14b40	66 20 74 68 65 20 6c 6f 6e 67 65 73 74 2d 73 74 61 6e 64 69 6e 67 20 66 65 61 74 75 72 65 20 72	f.the.longest-standing.feature.r
14b60	65 71 75 65 73 74 73 20 6f 66 20 56 79 4f 53 20 28 64 61 74 69 6e 67 20 62 61 63 6b 20 74 6f 20	equests.of.VyOS.(dating.back.to.
14b80	32 30 31 36 29 20 77 68 69 63 68 20 63 61 6e 20 62 65 20 64 65 73 63 72 69 62 65 64 20 61 73 20	2016).which.can.be.described.as.
14ba0	22 61 20 56 4c 41 4e 20 66 6f 72 20 6c 61 79 65 72 20 32 20 69 73 20 77 68 61 74 20 61 20 56 52	"a.VLAN.for.layer.2.is.what.a.VR
14bc0	46 20 69 73 20 66 6f 72 20 6c 61 79 65 72 20 33 22 2e 20 57 69 74 68 20 56 52 46 73 2c 20 61 20	F.is.for.layer.3"..With.VRFs,.a.
14be0	72 6f 75 74 65 72 2f 73 79 73 74 65 6d 20 63 61 6e 20 68 6f 6c 64 20 6d 75 6c 74 69 70 6c 65 2c	router/system.can.hold.multiple,
14c00	20 69 73 6f 6c 61 74 65 64 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20 6f 6e 20 74 68 65 20	.isolated.routing.tables.on.the.
14c20	73 61 6d 65 20 73 79 73 74 65 6d 2e 20 49 66 20 79 6f 75 20 77 6f 6e 64 65 72 20 77 68 61 74 27	same.system..If.you.wonder.what'
14c40	73 20 74 68 65 20 64 69 66 66 65 72 65 6e 63 65 20 62 65 74 77 65 65 6e 20 6d 75 6c 74 69 70 6c	s.the.difference.between.multipl
14c60	65 20 74 61 62 6c 65 73 20 74 68 61 74 20 70 65 6f 70 6c 65 20 75 73 65 64 20 66 6f 72 20 70 6f	e.tables.that.people.used.for.po
14c80	6c 69 63 79 2d 62 61 73 65 64 20 72 6f 75 74 69 6e 67 20 73 69 6e 63 65 20 66 6f 72 65 76 65 72	licy-based.routing.since.forever
14ca0	2c 20 69 74 27 73 20 74 68 61 74 20 61 20 56 52 46 20 61 6c 73 6f 20 69 73 6f 6c 61 74 65 73 20	,.it's.that.a.VRF.also.isolates.
14cc0	63 6f 6e 6e 65 63 74 65 64 20 72 6f 75 74 65 73 20 72 61 74 68 65 72 20 74 68 61 6e 20 6a 75 73	connected.routes.rather.than.jus
14ce0	74 20 73 74 61 74 69 63 20 61 6e 64 20 64 79 6e 61 6d 69 63 61 6c 6c 79 20 6c 65 61 72 6e 65 64	t.static.and.dynamically.learned
14d00	20 72 6f 75 74 65 73 2c 20 73 6f 20 69 74 20 61 6c 6c 6f 77 73 20 4e 49 43 73 20 69 6e 20 64 69	.routes,.so.it.allows.NICs.in.di
14d20	66 66 65 72 65 6e 74 20 56 52 46 73 20 74 6f 20 75 73 65 20 63 6f 6e 66 6c 69 63 74 69 6e 67 20	fferent.VRFs.to.use.conflicting.
14d40	6e 65 74 77 6f 72 6b 20 72 61 6e 67 65 73 20 77 69 74 68 6f 75 74 20 69 73 73 75 65 73 2e 00 41	network.ranges.without.issues..A
14d60	20 63 6f 6e 6e 65 63 74 69 6f 6e 20 72 65 73 6f 75 72 63 65 20 64 65 70 6c 6f 79 65 64 20 69 6e	.connection.resource.deployed.in
14d80	20 41 7a 75 72 65 20 6c 69 6e 6b 69 6e 67 20 74 68 65 20 41 7a 75 72 65 20 56 4e 65 74 20 67 61	.Azure.linking.the.Azure.VNet.ga
14da0	74 65 77 61 79 20 61 6e 64 20 74 68 65 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 67 61 74 65	teway.and.the.local.network.gate
14dc0	77 61 79 20 72 65 70 72 65 73 65 6e 74 69 6e 67 20 74 68 65 20 56 79 6f 73 20 64 65 76 69 63 65	way.representing.the.Vyos.device
14de0	2e 00 41 20 68 6f 73 74 20 60 60 76 79 6f 73 2d 6f 6f 62 6d 60 60 20 77 69 6c 6c 20 75 73 65 20	..A.host.``vyos-oobm``.will.use.
14e00	61 73 20 61 20 73 73 68 20 70 72 6f 78 79 2e 20 54 68 69 73 20 68 6f 73 74 20 69 73 20 6a 75 73	as.a.ssh.proxy..This.host.is.jus
14e20	74 20 6e 65 63 65 73 73 61 72 79 20 66 6f 72 20 74 68 65 20 4c 61 62 20 74 65 73 74 2e 00 41 20	t.necessary.for.the.Lab.test..A.
14e40	6b 65 79 20 70 6f 69 6e 74 20 74 6f 20 75 6e 64 65 72 73 74 61 6e 64 20 69 73 20 74 68 61 74 20	key.point.to.understand.is.that.
14e60	69 66 20 77 65 20 6e 65 65 64 20 74 77 6f 20 56 52 46 73 20 74 6f 20 63 6f 6d 6d 75 6e 69 63 61	if.we.need.two.VRFs.to.communica
14e80	74 65 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 20 45 58 50 4f 52 54 20 72 74 20	te.between.each.other.EXPORT.rt.
14ea0	66 72 6f 6d 20 56 52 46 31 20 68 61 73 20 74 6f 20 62 65 20 69 6e 20 74 68 65 20 49 4d 50 4f 52	from.VRF1.has.to.be.in.the.IMPOR
14ec0	54 20 72 74 20 6c 69 73 74 20 66 72 6f 6d 20 56 52 46 32 2e 20 42 75 74 20 74 68 69 73 20 69 73	T.rt.list.from.VRF2..But.this.is
14ee0	20 6f 6e 6c 79 20 69 6e 20 4f 4e 45 20 64 69 72 65 63 74 69 6f 6e 2c 20 74 6f 20 63 6f 6d 70 6c	.only.in.ONE.direction,.to.compl
14f00	65 74 65 20 74 68 65 20 63 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 74 68 65 20 45 58 50 4f 52 54	ete.the.communication.the.EXPORT
14f20	20 72 74 20 66 72 6f 6d 20 56 52 46 32 20 68 61 73 20 74 6f 20 62 65 20 69 6e 20 74 68 65 20 49	.rt.from.VRF2.has.to.be.in.the.I
14f40	4d 50 4f 52 54 20 72 74 20 6c 69 73 74 20 66 72 6f 6d 20 56 52 46 31 2e 00 41 20 6c 6f 63 61 6c	MPORT.rt.list.from.VRF1..A.local
14f60	20 6e 65 74 77 6f 72 6b 20 67 61 74 65 77 61 79 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 41 7a 75	.network.gateway.deployed.in.Azu
14f80	72 65 20 72 65 70 72 65 73 65 6e 74 69 6e 67 20 74 68 65 20 56 79 6f 73 20 64 65 76 69 63 65 2c	re.representing.the.Vyos.device,
14fa0	20 6d 61 74 63 68 69 6e 67 20 74 68 65 20 62 65 6c 6f 77 20 56 79 6f 73 20 73 65 74 74 69 6e 67	.matching.the.below.Vyos.setting
14fc0	73 20 65 78 63 65 70 74 20 66 6f 72 20 61 64 64 72 65 73 73 20 73 70 61 63 65 2c 20 77 68 69 63	s.except.for.address.space,.whic
14fe0	68 20 6f 6e 6c 79 20 72 65 71 75 69 72 65 73 20 74 68 65 20 56 79 6f 73 20 70 72 69 76 61 74 65	h.only.requires.the.Vyos.private
15000	20 49 50 2c 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 31 30 2e 31 30 2e 30 2e 35 2f 33	.IP,.in.this.example.10.10.0.5/3
15020	32 00 41 20 70 61 69 72 20 6f 66 20 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 73 20	2.A.pair.of.Azure.VNet.Gateways.
15040	64 65 70 6c 6f 79 65 64 20 69 6e 20 61 63 74 69 76 65 2d 61 63 74 69 76 65 20 63 6f 6e 66 69 67	deployed.in.active-active.config
15060	75 72 61 74 69 6f 6e 20 77 69 74 68 20 42 47 50 20 65 6e 61 62 6c 65 64 2e 00 41 20 70 61 69 72	uration.with.BGP.enabled..A.pair
15080	20 6f 66 20 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 73 20 64 65 70 6c 6f 79 65 64	.of.Azure.VNet.Gateways.deployed
150a0	20 69 6e 20 61 63 74 69 76 65 2d 70 61 73 73 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e	.in.active-passive.configuration
150c0	20 77 69 74 68 20 42 47 50 20 65 6e 61 62 6c 65 64 2e 00 41 20 70 75 62 6c 69 63 2c 20 72 6f 75	.with.BGP.enabled..A.public,.rou
150e0	74 61 62 6c 65 20 49 50 76 34 20 61 64 64 72 65 73 73 2e 20 54 68 69 73 20 64 6f 65 73 20 6e 6f	table.IPv4.address..This.does.no
15100	74 20 6e 65 63 65 73 73 61 72 69 6c 79 20 6e 65 65 64 20 74 6f 20 62 65 20 73 74 61 74 69 63 2c	t.necessarily.need.to.be.static,
15120	20 62 75 74 20 79 6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 75 70 64 61 74 65 20 74 68 65	.but.you.will.need.to.update.the
15140	20 74 75 6e 6e 65 6c 20 65 6e 64 70 6f 69 6e 74 20 77 68 65 6e 2f 69 66 20 79 6f 75 72 20 49 50	.tunnel.endpoint.when/if.your.IP
15160	20 61 64 64 72 65 73 73 20 63 68 61 6e 67 65 73 2c 20 77 68 69 63 68 20 63 61 6e 20 62 65 20 64	.address.changes,.which.can.be.d
15180	6f 6e 65 20 77 69 74 68 20 61 20 73 63 72 69 70 74 20 61 6e 64 20 61 20 73 63 68 65 64 75 6c 65	one.with.a.script.and.a.schedule
151a0	64 20 74 61 73 6b 2e 00 41 20 72 75 6c 65 20 6f 72 64 65 72 20 66 6f 72 20 70 72 69 6f 72 69 74	d.task..A.rule.order.for.priorit
151c0	69 7a 69 6e 67 20 74 72 61 66 66 69 63 20 69 73 20 75 73 65 66 75 6c 20 69 6e 20 73 63 65 6e 61	izing.traffic.is.useful.in.scena
151e0	72 69 6f 73 20 77 68 65 72 65 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 20 68 61	rios.where.the.secondary.link.ha
15200	73 20 61 20 6c 6f 77 65 72 20 73 70 65 65 64 20 61 6e 64 20 73 68 6f 75 6c 64 20 6f 6e 6c 79 20	s.a.lower.speed.and.should.only.
15220	63 61 72 72 79 20 68 69 67 68 20 70 72 69 6f 72 69 74 79 20 74 72 61 66 66 69 63 2e 20 49 74 20	carry.high.priority.traffic..It.
15240	69 73 20 61 73 73 75 6d 65 64 20 66 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 74 68 61 74	is.assumed.for.this.example.that
15260	20 65 74 68 31 20 69 73 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 61 20 73 6c 6f 77 65 72 20 63	.eth1.is.connected.to.a.slower.c
15280	6f 6e 6e 65 63 74 69 6f 6e 20 74 68 61 6e 20 65 74 68 30 20 61 6e 64 20 73 68 6f 75 6c 64 20 70	onnection.than.eth0.and.should.p
152a0	72 69 6f 72 69 74 69 7a 65 20 56 6f 49 50 20 74 72 61 66 66 69 63 2e 00 41 20 73 69 6d 70 6c 65	rioritize.VoIP.traffic..A.simple
152c0	20 73 6f 6c 75 74 69 6f 6e 20 63 6f 75 6c 64 20 62 65 20 75 73 69 6e 67 20 64 69 66 66 65 72 65	.solution.could.be.using.differe
152e0	6e 74 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 2c 20 6f 72 20 56 52 46 73 20 66 6f 72 20 61	nt.routing.tables,.or.VRFs.for.a
15300	6c 6c 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 20 73 6f 20 77 65 20 63 61 6e 20 6b 65 65 70 20 74	ll.the.networks.so.we.can.keep.t
15320	68 65 20 72 6f 75 74 69 6e 67 20 72 65 73 74 72 69 63 74 69 6f 6e 73 2e 20 42 75 74 20 66 6f 72	he.routing.restrictions..But.for
15340	20 75 73 20 74 6f 20 72 6f 75 74 65 20 62 65 74 77 65 65 6e 20 74 68 65 20 64 69 66 66 65 72 65	.us.to.route.between.the.differe
15360	6e 74 20 56 52 46 73 20 77 65 20 77 6f 75 6c 64 20 6e 65 65 64 20 61 20 63 61 62 6c 65 20 6f 72	nt.VRFs.we.would.need.a.cable.or
15380	20 61 20 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 65 61	.a.logical.connection.between.ea
153a0	63 68 20 6f 74 68 65 72 3a 00 41 44 44 52 45 53 53 31 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d	ch.other:.ADDRESS10.change.CS0.-
153c0	3e 20 43 53 34 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 32 2f 33 32 00 41 44 44 52 45	>.CS4.source.172.17.1.2/32.ADDRE
153e0	53 53 32 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 35 20 73 6f 75 72 63 65 20 31 37	SS20.change.CS0.->.CS5.source.17
15400	32 2e 31 37 2e 31 2e 33 2f 33 32 00 41 44 44 52 45 53 53 33 30 20 63 68 61 6e 67 65 20 43 53 30	2.17.1.3/32.ADDRESS30.change.CS0
15420	20 2d 3e 20 43 53 36 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 34 2f 33 32 00 41 63 63	.->.CS6.source.172.17.1.4/32.Acc
15440	65 70 74 20 61 63 63 65 73 73 20 74 6f 20 72 6f 75 74 65 72 20 69 74 73 65 6c 66 2e 00 41 63 63	ept.access.to.router.itself..Acc
15460	65 70 74 20 61 6c 6c 20 41 52 50 20 70 61 63 6b 65 74 73 2e 00 41 63 63 65 70 74 20 61 6c 6c 20	ept.all.ARP.packets..Accept.all.
15480	44 48 43 50 20 64 69 73 63 6f 76 65 72 20 70 61 63 6b 65 74 73 2e 00 41 63 63 65 70 74 20 61 6c	DHCP.discover.packets..Accept.al
154a0	6c 20 49 50 76 34 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 41 63 63 65 70 74 20 6f 6e 6c 79 20	l.IPv4.connections..Accept.only.
154c0	44 48 43 50 20 6f 66 66 65 72 73 20 66 72 6f 6d 20 76 61 6c 69 64 20 73 65 72 76 65 72 20 61 6e	DHCP.offers.from.valid.server.an
154e0	64 7c 6f 72 20 74 72 75 73 74 65 64 20 62 72 69 64 67 65 20 70 6f 72 74 2e 00 41 63 63 65 70 74	d\|or.trusted.bridge.port..Accept
15500	20 6f 6e 6c 79 20 49 50 76 36 20 63 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 77 68 69 74 68 69 6e	.only.IPv6.communication.whithin
15520	20 74 68 65 20 62 72 69 64 67 65 2e 00 41 63 63 65 73 73 20 74 6f 20 74 68 65 20 72 6f 75 74 65	.the.bridge..Access.to.the.route
15540	72 20 69 74 73 65 6c 66 20 69 73 20 63 6f 6e 74 72 6f 6c 6c 65 64 20 62 79 20 74 68 65 20 62 61	r.itself.is.controlled.by.the.ba
15560	73 65 20 63 68 61 69 6e 20 60 60 69 6e 70 75 74 60 60 2c 20 61 6e 64 20 72 75 6c 65 73 20 74 6f	se.chain.``input``,.and.rules.to
15580	20 61 63 63 6f 6d 70 6c 69 73 68 20 61 6c 6c 20 74 68 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73	.accomplish.all.the.requirements
155a0	20 61 72 65 3a 00 41 63 63 6f 75 6e 74 20 61 74 20 68 74 74 70 73 3a 2f 2f 77 77 77 2e 74 75 6e	.are:.Account.at.https://www.tun
155c0	6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 00 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20	nelbroker.net/.Active.Directory.
155e0	6f 6e 20 57 69 6e 64 6f 77 73 20 73 65 72 76 65 72 00 41 64 64 20 28 74 65 6d 70 6f 72 61 72 79	on.Windows.server.Add.(temporary
15600	29 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 00 41 64 64 20 61 20 73 69 6d 70 6c 65 20 70 6c 61	).default.route.Add.a.simple.pla
15620	79 62 6f 6f 6b 20 77 69 74 68 20 74 68 65 20 74 61 73 6b 73 20 66 6f 72 20 65 61 63 68 20 72 6f	ybook.with.the.tasks.for.each.ro
15640	75 74 65 72 3a 00 41 64 64 20 61 6c 6c 20 74 68 65 20 56 79 4f 53 20 68 6f 73 74 73 3a 00 41 64	uter:.Add.all.the.VyOS.hosts:.Ad
15660	64 20 61 6c 6c 20 74 68 65 20 68 6f 73 74 73 20 6f 66 20 56 79 4f 53 3a 00 41 64 64 20 67 65 6e	d.all.the.hosts.of.VyOS:.Add.gen
15680	65 72 61 6c 20 76 61 72 69 61 62 6c 65 73 3a 00 41 64 64 20 74 68 65 20 4c 44 41 50 20 70 6c 75	eral.variables:.Add.the.LDAP.plu
156a0	67 69 6e 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 69 6c 65 20 60 2f 63 6f 6e 66 69 67 2f	gin.configuration.file.`/config/
156c0	61 75 74 68 2f 6c 64 61 70 2d 61 75 74 68 2e 63 6f 6e 66 69 67 60 00 41 64 64 20 74 68 65 20 73	auth/ldap-auth.config`.Add.the.s
156e0	69 6d 70 6c 65 20 70 6c 61 79 62 6f 6f 6b 20 77 69 74 68 20 74 68 65 20 74 61 73 6b 73 20 66 6f	imple.playbook.with.the.tasks.fo
15700	72 20 65 61 63 68 20 72 6f 75 74 65 72 3a 00 41 64 64 69 6e 67 20 61 20 72 75 6c 65 20 66 6f 72	r.each.router:.Adding.a.rule.for
15720	20 74 68 65 20 73 65 63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65 00 41 64 76 65 72 74 69 73 65 20	.the.second.interface.Advertise.
15740	63 6f 6e 6e 65 63 74 65 64 20 72 6f 75 74 65 73 00 41 66 74 65 72 20 61 6c 6c 20 69 73 20 64 6f	connected.routes.After.all.is.do
15760	6e 65 20 61 6e 64 20 63 6f 6d 6d 69 74 2c 20 6c 65 74 27 73 20 74 61 6b 65 20 61 20 6c 6f 6f 6b	ne.and.commit,.let's.take.a.look
15780	20 69 66 20 74 68 65 20 57 69 72 65 67 75 61 72 64 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 75	.if.the.Wireguard.interface.is.u
157a0	70 20 61 6e 64 20 72 75 6e 6e 69 6e 67 2e 00 41 66 74 65 72 20 63 6f 6e 66 69 67 75 72 65 64 20	p.and.running..After.configured.
157c0	61 6c 6c 20 74 68 65 20 56 52 46 73 20 69 6e 76 6f 6c 76 65 64 20 69 6e 20 74 68 69 73 20 74 6f	all.the.VRFs.involved.in.this.to
157e0	70 6f 6c 6f 67 79 20 77 65 20 74 61 6b 65 20 61 20 64 65 65 70 65 72 20 6c 6f 6f 6b 20 61 74 20	pology.we.take.a.deeper.look.at.
15800	62 6f 74 68 20 42 47 50 20 61 6e 64 20 52 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 66 6f 72 20 74	both.BGP.and.Routing.table.for.t
15820	68 65 20 56 52 46 20 4c 41 4e 31 00 41 66 74 65 72 20 73 6f 6d 65 20 74 65 73 74 69 6e 67 2c 20	he.VRF.LAN1.After.some.testing,.
15840	77 65 20 63 61 6e 20 63 68 65 63 6b 20 49 50 53 65 63 20 73 74 61 74 75 73 2c 20 61 6e 64 20 63	we.can.check.IPSec.status,.and.c
15860	6f 75 6e 74 65 72 20 6f 6e 20 65 76 65 72 79 20 74 75 6e 6e 65 6c 3a 00 41 66 74 65 72 20 73 6f	ounter.on.every.tunnel:.After.so
15880	6d 65 20 74 65 73 74 69 6e 67 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 69 70 73 65 63 20 73	me.testing,.we.can.check.ipsec.s
158a0	74 61 74 75 73 2c 20 61 6e 64 20 63 6f 75 6e 74 65 72 20 6f 6e 20 65 76 65 72 79 20 74 75 6e 6e	tatus,.and.counter.on.every.tunn
158c0	65 6c 3a 00 41 66 74 65 72 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 30 20 6f 6e 20	el:.After.the.interface.eth0.on.
158e0	72 6f 75 74 65 72 20 56 79 4f 53 33 00 41 66 74 65 72 20 74 68 69 73 2c 20 77 65 20 6e 65 65 64	router.VyOS3.After.this,.we.need
15900	20 74 68 65 20 44 48 43 50 2d 53 65 72 76 65 72 20 61 6e 64 20 52 65 6c 61 79 20 63 6f 6e 66 69	.the.DHCP-Server.and.Relay.confi
15920	67 75 72 61 74 69 6f 6e 2e 20 54 6f 20 67 65 74 20 61 20 74 65 73 74 61 62 6c 65 20 72 65 73 75	guration..To.get.a.testable.resu
15940	6c 74 2c 20 77 65 20 6a 75 73 74 20 68 61 76 65 20 6f 6e 65 20 49 50 20 69 6e 20 74 68 65 20 44	lt,.we.just.have.one.IP.in.the.D
15960	48 43 50 20 72 61 6e 67 65 2e 20 45 78 70 61 6e 64 20 69 74 20 61 73 20 79 6f 75 20 6e 65 65 64	HCP.range..Expand.it.as.you.need
15980	20 69 74 2e 00 41 66 74 65 72 20 79 6f 75 20 68 61 76 65 20 65 61 63 68 20 70 75 62 6c 69 63 20	.it..After.you.have.each.public.
159a0	6b 65 79 2e 20 54 68 65 20 77 69 72 65 67 75 61 72 64 20 69 6e 74 65 72 66 61 63 65 73 20 63 61	key..The.wireguard.interfaces.ca
159c0	6e 20 62 65 20 73 65 74 75 70 2e 00 41 6c 6c 20 6f 75 74 67 6f 69 6e 67 20 70 61 63 6b 65 74 73	n.be.setup..All.outgoing.packets
159e0	20 61 72 65 20 61 73 73 69 67 6e 65 64 20 74 68 65 20 73 6f 75 72 63 65 20 61 64 64 72 65 73 73	.are.assigned.the.source.address
15a00	20 6f 66 20 74 68 65 20 61 73 73 69 67 6e 65 64 20 69 6e 74 65 72 66 61 63 65 20 28 53 4e 41 54	.of.the.assigned.interface.(SNAT
15a20	29 2e 00 41 6c 6c 20 74 72 61 66 66 69 63 20 63 6f 6d 69 6e 67 20 69 6e 20 74 68 72 6f 75 67 68	)..All.traffic.coming.in.through
15a40	20 65 74 68 32 20 69 73 20 62 61 6c 61 6e 63 65 64 20 62 65 74 77 65 65 6e 20 65 74 68 30 20 61	.eth2.is.balanced.between.eth0.a
15a60	6e 64 20 65 74 68 31 20 6f 6e 20 74 68 65 20 72 6f 75 74 65 72 2e 00 41 6c 6c 6f 77 20 44 48 43	nd.eth1.on.the.router..Allow.DHC
15a80	50 76 36 20 70 61 63 6b 65 74 73 20 66 6f 72 20 72 6f 75 74 65 72 00 41 6c 6c 6f 77 20 44 4e 53	Pv6.packets.for.router.Allow.DNS
15aa0	20 72 65 71 75 65 73 74 73 20 6f 6e 6c 79 20 6f 6e 6c 79 20 66 6f 72 20 6c 6f 63 61 6c 20 6e 65	.requests.only.only.for.local.ne
15ac0	74 77 6f 72 6b 73 2e 00 41 6c 6c 6f 77 20 49 43 4d 50 20 6f 6e 20 61 6c 6c 20 69 6e 74 65 72 66	tworks..Allow.ICMP.on.all.interf
15ae0	61 63 65 73 2e 00 41 6c 6c 6f 77 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72	aces..Allow.access.to.the.router
15b00	20 6f 6e 6c 79 20 66 72 6f 6d 20 74 72 75 73 74 65 64 20 6e 65 74 77 6f 72 6b 73 2e 00 41 6c 6c	.only.from.trusted.networks..All
15b20	6f 77 20 61 6c 6c 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20 74	ow.all.established.and.related.t
15b40	72 61 66 66 69 63 20 66 6f 72 20 72 6f 75 74 65 72 20 61 6e 64 20 4c 41 4e 00 41 6c 6c 6f 77 20	raffic.for.router.and.LAN.Allow.
15b60	61 6c 6c 20 69 63 6d 70 76 36 20 70 61 63 6b 65 74 73 20 66 6f 72 20 72 6f 75 74 65 72 20 61 6e	all.icmpv6.packets.for.router.an
15b80	64 20 4c 41 4e 00 41 6c 6c 6f 77 20 61 6c 6c 20 6e 65 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20	d.LAN.Allow.all.new.connections.
15ba0	66 72 6f 6d 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 73 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63	from.local.subnets..Allow.connec
15bc0	74 69 6f 6e 20 74 6f 20 50 52 4f 44 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20	tion.to.PROD..Allow.connections.
15be0	66 72 6f 6d 20 4c 41 4e 73 20 74 6f 20 4c 41 4e 73 20 74 68 72 6f 75 67 68 20 74 68 65 20 74 75	from.LANs.to.LANs.through.the.tu
15c00	6e 6e 65 6c 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 66 72 6f 6d 20 4c 41 4e	nnel..Allow.connections.from.LAN
15c20	73 20 74 6f 20 4c 41 4e 73 20 74 68 72 6f 75 67 68 74 20 74 68 65 20 74 75 6e 6e 65 6c 2e 00 41	s.to.LANs.throught.the.tunnel..A
15c40	6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 4c 41 4e 20 61 6e 64 20 50 52 4f 44	llow.connections.to.LAN.and.PROD
15c60	2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 50 52 4f 44 2e 00 41 6c 6c	..Allow.connections.to.PROD..All
15c80	6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 62 72 69 64 67 65 20 62 72 31 2e 00 41 6c	ow.connections.to.bridge.br1..Al
15ca0	6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 69 6e 74 65 72 6e 65 74 00 41 6c 6c 6f	low.connections.to.internet.Allo
15cc0	77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 69 6e 74 65 72 6e 65 74 28 57 41 4e 29 2e 00	w.connections.to.internet(WAN)..
15ce0	41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 69 6e 74 65 72 6e 65 74 2e 00 41	Allow.connections.to.internet..A
15d00	6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 2e 00	llow.connections.to.the.router..
15d20	41 6c 6c 6f 77 20 64 6e 73 20 72 65 71 75 65 73 74 73 20 6f 6e 6c 79 20 6f 6e 6c 79 20 66 6f 72	Allow.dns.requests.only.only.for
15d40	20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 73 2e 00 41 6c 6c 6f 77 20 69 63 6d 70 20 6f 6e 20 61	.local.networks..Allow.icmp.on.a
15d60	6c 6c 20 69 6e 74 65 72 66 61 63 65 73 2e 00 41 6c 73 6f 20 77 65 20 63 61 6e 20 76 65 72 69 66	ll.interfaces..Also.we.can.verif
15d80	79 20 68 6f 77 20 50 45 20 64 65 76 69 63 65 73 20 72 65 63 65 69 76 65 73 20 56 50 4e 76 34 20	y.how.PE.devices.receives.VPNv4.
15da0	6e 65 74 77 6f 72 6b 73 20 66 72 6f 6d 20 74 68 65 20 52 52 73 20 61 6e 64 20 69 6e 73 74 61 6c	networks.from.the.RRs.and.instal
15dc0	6c 69 6e 67 20 74 68 65 6d 20 74 6f 20 74 68 65 20 73 70 65 63 69 66 69 63 20 63 75 73 74 6f 6d	ling.them.to.the.specific.custom
15de0	65 72 20 56 52 46 73 3a 00 41 6c 73 6f 2c 20 77 65 20 61 72 65 20 61 64 64 69 6e 67 20 67 6c 6f	er.VRFs:.Also,.we.are.adding.glo
15e00	62 61 6c 20 73 74 61 74 65 20 70 6f 6c 69 63 69 65 73 2c 20 69 6e 20 6f 72 64 65 72 20 74 6f 20	bal.state.policies,.in.order.to.
15e20	61 6c 6c 6f 77 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20 74 72	allow.established.and.related.tr
15e40	61 66 66 69 63 2c 20 69 6e 20 6f 72 64 65 72 20 6e 6f 74 20 74 6f 20 64 72 6f 70 20 76 61 6c 69	affic,.in.order.not.to.drop.vali
15e60	64 20 72 65 73 70 6f 6e 73 65 73 3a 00 41 6c 73 6f 2c 20 77 65 20 61 72 65 20 67 6f 69 6e 67 20	d.responses:.Also,.we.are.going.
15e80	74 6f 20 75 73 65 20 66 69 72 65 77 61 6c 6c 20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75 70 73	to.use.firewall.interface.groups
15ea0	20 69 6e 20 6f 72 64 65 72 20 74 6f 20 73 69 6d 70 6c 69 66 79 20 74 68 65 20 66 69 72 65 77 61	.in.order.to.simplify.the.firewa
15ec0	6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 41 6c 73 6f 2c 20 77 65 20 63 61 6e 20 63	ll.configuration..Also,.we.can.c
15ee0	68 65 63 6b 20 66 69 72 65 77 61 6c 6c 20 63 6f 75 6e 74 65 72 73 3a 00 41 6e 20 4c 33 56 50 4e	heck.firewall.counters:.An.L3VPN
15f00	20 63 6f 6e 73 69 73 74 73 20 6f 66 20 6d 75 6c 74 69 70 6c 65 20 61 63 63 65 73 73 20 6c 69 6e	.consists.of.multiple.access.lin
15f20	6b 73 2c 20 6d 75 6c 74 69 70 6c 65 20 56 50 4e 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 66 6f 72	ks,.multiple.VPN.routing.and.for
15f40	77 61 72 64 69 6e 67 20 28 56 52 46 29 20 74 61 62 6c 65 73 2c 20 61 6e 64 20 6d 75 6c 74 69 70	warding.(VRF).tables,.and.multip
15f60	6c 65 20 4d 50 4c 53 20 70 61 74 68 73 20 6f 72 20 6d 75 6c 74 69 70 6c 65 20 50 32 4d 50 20 4c	le.MPLS.paths.or.multiple.P2MP.L
15f80	53 50 73 2e 20 41 6e 20 4c 33 56 50 4e 20 63 61 6e 20 62 65 20 63 6f 6e 66 69 67 75 72 65 64 20	SPs..An.L3VPN.can.be.configured.
15fa0	74 6f 20 63 6f 6e 6e 65 63 74 20 74 77 6f 20 6f 72 20 6d 6f 72 65 20 63 75 73 74 6f 6d 65 72 20	to.connect.two.or.more.customer.
15fc0	73 69 74 65 73 2e 20 49 6e 20 68 75 62 2d 61 6e 64 2d 73 70 6f 6b 65 20 4d 50 4c 53 20 4c 33 56	sites..In.hub-and-spoke.MPLS.L3V
15fe0	50 4e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 73 2c 20 74 68 65 20 73 70 6f 6b 65 20 72 6f 75 74 65	PN.environments,.the.spoke.route
16000	72 73 20 6e 65 65 64 20 74 6f 20 68 61 76 65 20 75 6e 69 71 75 65 20 52 6f 75 74 65 20 44 69 73	rs.need.to.have.unique.Route.Dis
16020	74 69 6e 67 75 69 73 68 65 72 73 20 28 52 44 73 29 2e 20 49 6e 20 6f 72 64 65 72 20 74 6f 20 75	tinguishers.(RDs)..In.order.to.u
16040	73 65 20 74 68 65 20 68 75 62 20 73 69 74 65 20 61 73 20 61 20 74 72 61 6e 73 69 74 20 70 6f 69	se.the.hub.site.as.a.transit.poi
16060	6e 74 20 66 6f 72 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 6e 20 73 75 63 68 20 61 6e 20 65	nt.for.connectivity.in.such.an.e
16080	6e 76 69 72 6f 6e 6d 65 6e 74 2c 20 74 68 65 20 73 70 6f 6b 65 20 73 69 74 65 73 20 65 78 70 6f	nvironment,.the.spoke.sites.expo
160a0	72 74 20 74 68 65 69 72 20 72 6f 75 74 65 73 20 74 6f 20 74 68 65 20 68 75 62 2e 20 53 70 6f 6b	rt.their.routes.to.the.hub..Spok
160c0	65 73 20 63 61 6e 20 74 61 6c 6b 20 74 6f 20 68 75 62 73 2c 20 62 75 74 20 6e 65 76 65 72 20 68	es.can.talk.to.hubs,.but.never.h
160e0	61 76 65 20 64 69 72 65 63 74 20 70 61 74 68 73 20 74 6f 20 6f 74 68 65 72 20 73 70 6f 6b 65 73	ave.direct.paths.to.other.spokes
16100	2e 20 41 6c 6c 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 73 70 6f 6b 65 73 20 69 73 20	..All.traffic.between.spokes.is.
16120	63 6f 6e 74 72 6f 6c 6c 65 64 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 6f 76 65 72 20 74 68	controlled.and.delivered.over.th
16140	65 20 68 75 62 20 73 69 74 65 2e 00 41 6e 64 20 4e 41 54 20 43 6f 6e 66 69 67 75 72 61 74 69 6f	e.hub.site..And.NAT.Configuratio
16160	6e 3a 00 41 6e 64 20 62 65 66 6f 72 65 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 20 61 72 65	n:.And.before.firewall.rules.are
16180	20 73 68 6f 77 6e 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 70 61 79 20 61 74 74 65 6e 74 69 6f 6e	.shown,.we.need.to.pay.attention
161a0	20 68 6f 77 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 6e 64 20 6d 61 74 63 68 20 69 6e 74 65	.how.to.configure.and.match.inte
161c0	72 66 61 63 65 73 20 61 6e 64 20 56 52 46 73 2e 20 49 6e 20 63 61 73 65 20 77 68 65 72 65 20 61	rfaces.and.VRFs..In.case.where.a
161e0	6e 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 20 74 6f 20 61 20 6e 6f 6e	n.interface.is.assigned.to.a.non
16200	2d 64 65 66 61 75 6c 74 20 56 52 46 2c 20 69 66 20 77 65 20 77 61 6e 74 20 74 6f 20 75 73 65 20	-default.VRF,.if.we.want.to.use.
16220	69 6e 62 6f 75 6e 64 2d 69 6e 74 65 72 66 61 63 65 20 6f 72 20 6f 75 74 62 6f 75 6e 64 2d 69 6e	inbound-interface.or.outbound-in
16240	74 65 72 66 61 63 65 20 69 6e 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 2c 20 77 65 20 6e 65	terface.in.firewall.rules,.we.ne
16260	65 64 20 74 6f 3a 00 41 6e 64 20 66 69 6e 61 6c 6c 79 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 61	ed.to:.And.finally,.we.need.to.a
16280	6c 6c 6f 77 20 69 6e 70 75 74 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 74 68 65 20 72 6f	llow.input.connections.to.the.ro
162a0	75 74 65 72 20 69 74 73 65 6c 66 20 6f 6e 6c 79 20 66 72 6f 6d 20 76 72 66 20 4d 47 4d 54 3a 00	uter.itself.only.from.vrf.MGMT:.
162c0	41 6e 64 20 66 6f 72 20 74 72 61 66 66 69 63 20 74 68 61 74 20 69 73 20 67 6f 69 6e 67 20 74 6f	And.for.traffic.that.is.going.to
162e0	20 6f 74 68 65 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 73 2c 20 61 6e 64 20 74 6f 20 68 65	.other.local.networks,.and.to.he
16300	20 49 6e 74 65 72 6e 65 74 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 75 73 65 20 74 68 65 20 62 61	.Internet,.we.need.to.use.the.ba
16320	73 65 20 63 68 61 69 6e 20 60 60 66 6f 72 77 61 72 64 60 60 2e 20 41 73 20 69 6e 20 74 68 65 20	se.chain.``forward``..As.in.the.
16340	62 72 69 64 67 65 20 66 69 72 65 77 61 6c 6c 2c 20 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f	bridge.firewall,.we.are.going.to
16360	20 75 73 65 20 63 75 73 74 6f 6d 20 72 75 6c 65 73 65 74 73 20 66 6f 72 20 65 61 63 68 20 62 72	.use.custom.rulesets.for.each.br
16380	69 64 67 65 2c 20 74 68 61 74 20 77 6f 75 6c 64 20 62 65 20 75 73 65 64 20 69 6e 20 74 68 65 20	idge,.that.would.be.used.in.the.
163a0	60 60 66 6f 72 77 61 72 64 60 60 20 63 68 61 69 6e 2e 20 54 68 6f 73 65 20 72 75 6c 65 73 65 74	``forward``.chain..Those.ruleset
163c0	73 20 61 72 65 20 60 60 69 70 2d 62 72 31 2d 66 77 64 60 60 20 61 6e 64 20 60 60 69 70 2d 62 72	s.are.``ip-br1-fwd``.and.``ip-br
163e0	32 2d 66 77 64 60 60 3a 00 41 6e 64 20 70 69 6e 67 20 74 68 65 20 42 72 61 6e 63 68 20 50 43 20	2-fwd``:.And.ping.the.Branch.PC.
16400	66 72 6f 6d 20 79 6f 75 72 20 63 65 6e 74 72 61 6c 20 72 6f 75 74 65 72 20 74 6f 20 63 68 65 63	from.your.central.router.to.chec
16420	6b 20 74 68 65 20 72 65 73 70 6f 6e 73 65 2e 00 41 6e 64 20 73 68 6f 77 20 61 6c 6c 20 44 48 43	k.the.response..And.show.all.DHC
16440	50 20 4c 65 61 73 65 73 00 41 6e 64 20 74 68 65 20 60 60 63 6c 69 65 6e 74 60 60 20 74 6f 20 72	P.Leases.And.the.``client``.to.r
16460	65 63 65 69 76 65 20 61 6e 20 49 50 76 36 20 61 64 64 72 65 73 73 20 77 69 74 68 20 73 74 61 74	eceive.an.IPv6.address.with.stat
16480	65 6c 65 73 73 20 61 75 74 6f 63 6f 6e 66 69 67 2e 00 41 6e 64 20 74 68 65 20 63 6f 6e 74 65 6e	eless.autoconfig..And.the.conten
164a0	74 20 6f 66 20 74 68 65 20 63 75 73 74 6f 6d 20 72 75 6c 65 73 65 74 73 3a 00 41 6e 64 20 74 68	t.of.the.custom.rulesets:.And.th
164c0	65 6e 20 63 72 65 61 74 65 20 74 68 65 20 63 75 73 74 6f 6d 20 72 75 6c 65 73 65 74 73 3a 00 41	en.create.the.custom.rulesets:.A
164e0	6e 64 20 77 69 74 68 20 6f 70 65 72 61 74 69 6f 6e 61 6c 20 6d 6f 64 65 20 63 6f 6d 6d 61 6e 64	nd.with.operational.mode.command
16500	73 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 72 75 6c 65 73 20 6d 61 74 63 68 65 72 73 2c 20	s,.we.can.check.rules.matchers,.
16520	61 63 74 69 6f 6e 73 2c 20 61 6e 64 20 63 6f 75 6e 74 65 72 73 2e 00 41 6e 73 69 62 6c 65 20 45	actions,.and.counters..Ansible.E
16540	78 61 6d 70 6c 65 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 41 6e 73 69 62 6c 65 20 65 78	xample.topology.image.Ansible.ex
16560	61 6d 70 6c 65 00 41 6e 79 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 72 65 6c 61 74 65 64 20 74 6f	ample.Any.information.related.to
16580	20 61 20 56 52 46 20 69 73 20 6e 6f 74 20 65 78 63 68 61 6e 67 65 64 20 62 65 74 77 65 65 6e 20	.a.VRF.is.not.exchanged.between.
165a0	64 65 76 69 63 65 73 20 2d 6f 72 20 69 6e 20 74 68 65 20 73 61 6d 65 20 64 65 76 69 63 65 2d 20	devices.-or.in.the.same.device-.
165c0	62 79 20 64 65 66 61 75 6c 74 2c 20 74 68 69 73 20 69 73 20 61 20 74 65 63 68 6e 69 71 75 65 20	by.default,.this.is.a.technique.
165e0	63 61 6c 6c 65 64 20 2a 2a 56 52 46 2d 4c 69 74 65 2a 2a 2e 00 41 70 70 65 6e 64 69 78 2d 41 00	called.VRF-Lite..Appendix-A.
16600	41 70 70 65 6e 64 69 78 2d 42 00 41 73 20 61 20 72 65 6d 69 6e 64 65 72 2c 20 68 65 72 65 27 73	Appendix-B.As.a.reminder,.here's
16620	20 61 20 6c 69 6e 6b 20 74 6f 20 74 68 65 20 3a 64 6f 63 3a 60 66 69 72 65 77 61 6c 6c 20 64 6f	.a.link.to.the.:doc:`firewall.do
16640	63 75 6d 65 6e 74 61 74 69 6f 6e 20 3c 2f 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 66 69 72 65	cumentation.</configuration/fire
16660	77 61 6c 6c 2f 69 6e 64 65 78 3e 60 2c 20 77 68 65 72 65 20 79 6f 75 20 63 61 6e 20 66 69 6e 64	wall/index>`,.where.you.can.find
16680	20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 74 68 65 20 70 61 63 6b	.more.information.about.the.pack
166a0	65 74 20 66 6c 6f 77 20 66 6f 72 20 74 72 61 66 66 69 63 20 74 68 61 74 20 63 6f 6d 65 73 20 66	et.flow.for.traffic.that.comes.f
166c0	72 6f 6d 20 62 72 69 64 67 65 20 6c 61 79 65 72 20 61 6e 64 20 73 68 6f 75 6c 64 20 62 65 20 61	rom.bridge.layer.and.should.be.a
166e0	6e 61 6c 69 7a 65 64 20 62 79 20 74 68 65 20 49 50 20 66 69 72 65 77 61 6c 6c 2e 00 41 73 20 61	nalized.by.the.IP.firewall..As.a
16700	20 72 65 6d 69 6e 64 65 72 2c 20 6f 6e 6c 79 20 61 64 76 65 72 74 69 73 65 20 72 6f 75 74 65 73	.reminder,.only.advertise.routes
16720	20 74 68 61 74 20 79 6f 75 20 61 72 65 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72	.that.you.are.the.default.router
16740	20 66 6f 72 2e 20 54 68 69 73 20 69 73 20 77 68 79 20 77 65 20 61 72 65 20 4e 4f 54 20 61 6e 6e	.for..This.is.why.we.are.NOT.ann
16760	6f 75 6e 63 69 6e 67 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b	ouncing.the.192.0.2.0/24.network
16780	2c 20 62 65 63 61 75 73 65 20 69 66 20 74 68 61 74 20 77 61 73 20 61 6e 6e 6f 75 6e 63 65 64 20	,.because.if.that.was.announced.
167a0	69 6e 74 6f 20 4f 53 50 46 2c 20 74 68 65 20 6f 74 68 65 72 20 72 6f 75 74 65 72 73 20 77 6f 75	into.OSPF,.the.other.routers.wou
167c0	6c 64 20 74 72 79 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 6f 20 74 68 61 74 20 6e 65 74 77 6f 72	ld.try.to.connect.to.that.networ
167e0	6b 20 6f 76 65 72 20 61 20 74 75 6e 6e 65 6c 20 74 68 61 74 20 63 6f 6e 6e 65 63 74 73 20 74 6f	k.over.a.tunnel.that.connects.to
16800	20 74 68 61 74 20 6e 65 74 77 6f 72 6b 21 00 41 73 20 65 78 70 6f 73 65 64 20 69 6e 20 74 68 65	.that.network!.As.exposed.in.the
16820	20 64 69 61 67 72 61 6d 2c 20 74 68 65 72 65 20 61 72 65 20 66 6f 75 72 20 56 52 46 73 2e 20 54	.diagram,.there.are.four.VRFs..T
16840	68 65 73 65 20 56 52 46 73 20 61 72 65 20 60 60 4d 47 4d 54 60 60 2c 20 60 60 57 41 4e 60 60 2c	hese.VRFs.are.``MGMT``,.``WAN``,
16860	20 60 60 4c 41 4e 60 60 20 61 6e 64 20 60 60 50 52 4f 44 60 60 2c 20 61 6e 64 20 74 68 65 69 72	.``LAN``.and.``PROD``,.and.their
16880	20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 61 72 65 3a 00 41 73 20 73 61 69 64 20 62 65 66 6f 72	.requirements.are:.As.said.befor
168a0	65 2c 20 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 63 72 65 61 74 65 20 63 75 73 74 6f 6d	e,.we.are.going.to.create.custom
168c0	20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 65 74 73 20 66 6f 72 20 65 61 63 68 20 62 72 69 64	.firewall.rulesets.for.each.brid
168e0	67 65 2c 20 74 68 61 74 20 77 69 6c 6c 20 62 65 20 75 73 65 64 20 69 6e 20 74 68 65 20 60 60 70	ge,.that.will.be.used.in.the.``p
16900	72 65 72 6f 75 74 69 6e 67 60 60 20 63 68 61 69 6e 2c 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 64	rerouting``.chain,.in.order.to.d
16920	72 6f 70 20 61 73 20 6d 75 63 68 20 75 6e 77 61 6e 74 65 64 20 74 72 61 66 66 69 63 20 61 73 20	rop.as.much.unwanted.traffic.as.
16940	65 61 72 6c 79 20 61 73 20 70 6f 73 73 69 62 6c 65 2e 20 53 6f 2c 20 63 75 73 74 6f 6d 20 72 75	early.as.possible..So,.custom.ru
16960	6c 65 73 65 74 73 20 75 73 65 64 20 69 6e 20 60 60 70 72 65 72 6f 75 74 69 6e 67 60 60 20 63 68	lesets.used.in.``prerouting``.ch
16980	61 69 6e 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 62 65 20 60 60 62 72 30 2d 70 72 65 60 60 2c	ain.are.going.to.be.``br0-pre``,
169a0	20 60 60 62 72 31 2d 70 72 65 60 60 2c 20 61 6e 64 20 60 60 62 72 32 2d 70 72 65 60 60 3a 00 41	.``br1-pre``,.and.``br2-pre``:.A
169c0	73 20 77 65 20 63 61 6e 20 73 65 65 20 65 76 65 6e 20 69 66 20 62 6f 74 68 20 56 52 46 20 4c 41	s.we.can.see.even.if.both.VRF.LA
169e0	4e 31 20 61 6e 64 20 4c 41 4e 32 20 68 61 73 20 74 68 65 20 73 61 6d 65 20 69 6d 70 6f 72 74 20	N1.and.LAN2.has.the.same.import.
16a00	52 54 73 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 73 65 6c 65 63 74 20 77 68 69 63 68 20	RTs.we.are.able.to.select.which.
16a20	72 6f 75 74 65 73 20 61 72 65 20 65 66 66 65 63 74 69 76 65 6c 79 20 69 6d 70 6f 72 74 65 64 20	routes.are.effectively.imported.
16a40	61 6e 64 20 69 6e 73 74 61 6c 6c 65 64 2e 00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 69 6e 20	and.installed..As.we.can.see.in.
16a60	74 68 65 20 42 47 50 20 74 61 62 6c 65 20 61 6e 79 20 69 6d 70 6f 72 74 65 64 20 72 6f 75 74 65	the.BGP.table.any.imported.route
16a80	20 68 61 73 20 62 65 65 6e 20 69 6e 6a 65 63 74 65 64 20 77 69 74 68 20 61 20 22 40 22 20 66 6f	.has.been.injected.with.a."@".fo
16aa0	6c 6c 6f 77 65 64 20 62 79 20 74 68 65 20 56 50 4e 20 69 64 3b 20 49 6e 20 74 68 65 20 72 6f 75	llowed.by.the.VPN.id;.In.the.rou
16ac0	74 69 6e 67 20 74 61 62 6c 65 20 6f 66 20 74 68 65 20 56 52 46 2c 20 69 66 20 74 68 65 20 72 6f	ting.table.of.the.VRF,.if.the.ro
16ae0	75 74 65 20 77 61 73 20 69 6e 73 74 61 6c 6c 65 64 2c 20 77 65 20 63 61 6e 20 73 65 65 20 2d 62	ute.was.installed,.we.can.see.-b
16b00	65 74 77 65 65 6e 20 72 6f 75 6e 64 20 62 72 61 63 6b 65 74 73 2d 20 74 68 65 20 65 78 70 6f 72	etween.round.brackets-.the.expor
16b20	74 65 64 20 56 52 46 20 74 61 62 6c 65 2e 00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 74 68 69	ted.VRF.table..As.we.can.see.thi
16b40	73 20 69 73 20 75 6e 70 72 61 63 74 69 63 61 6c 2e 00 41 73 20 77 65 20 6b 6e 6f 77 20 74 68 65	s.is.unpractical..As.we.know.the
16b60	20 6d 61 69 6e 20 61 73 73 75 6d 70 74 69 6f 6e 20 6f 66 20 4c 33 56 50 4e 20 e2 80 9c 48 75 62	.main.assumption.of.L3VPN....Hub
16b80	20 61 6e 64 20 53 70 6f 6b 65 e2 80 9d 20 69 73 2c 20 74 68 61 74 20 74 68 65 20 74 72 61 66 66	.and.Spoke....is,.that.the.traff
16ba0	69 63 20 62 65 74 77 65 65 6e 20 73 70 6f 6b 65 73 20 68 61 76 65 20 74 6f 20 70 61 73 73 20 76	ic.between.spokes.have.to.pass.v
16bc0	69 61 20 68 75 62 2c 20 69 6e 20 6f 75 72 20 73 63 65 6e 61 72 69 6f 20 56 79 4f 53 2d 50 45 32	ia.hub,.in.our.scenario.VyOS-PE2
16be0	20 69 73 20 74 68 65 20 48 75 62 20 50 45 20 61 6e 64 20 74 68 65 20 56 79 4f 53 2d 43 45 31 2d	.is.the.Hub.PE.and.the.VyOS-CE1-
16c00	48 55 42 20 69 73 20 74 68 65 20 63 65 6e 74 72 61 6c 20 63 75 73 74 6f 6d 65 72 20 6f 66 66 69	HUB.is.the.central.customer.offi
16c20	63 65 20 64 65 76 69 63 65 20 74 68 61 74 20 69 73 20 72 65 73 70 6f 6e 73 69 62 6c 65 20 66 6f	ce.device.that.is.responsible.fo
16c40	72 20 63 6f 6e 74 72 6f 6c 6c 69 6e 67 20 61 63 63 65 73 73 20 62 65 74 77 65 65 6e 20 61 6c 6c	r.controlling.access.between.all
16c60	20 73 70 6f 6b 65 73 20 61 6e 64 20 61 6e 6e 6f 75 6e 63 69 6e 67 20 69 74 73 20 6e 65 74 77 6f	.spokes.and.announcing.its.netwo
16c80	72 6b 20 70 72 65 66 69 78 65 73 20 28 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 29 2e 20 56 79 4f	rk.prefixes.(10.0.0.100/32)..VyO
16ca0	53 2d 50 45 32 20 68 61 73 20 74 68 65 20 6d 61 69 6e 20 56 52 46 20 28 69 74 73 20 6e 61 6d 65	S-PE2.has.the.main.VRF.(its.name
16cc0	20 69 73 20 42 4c 55 45 5f 48 55 42 29 2c 20 69 74 73 20 6f 77 6e 20 52 6f 75 74 65 2d 44 69 73	.is.BLUE_HUB),.its.own.Route-Dis
16ce0	74 69 6e 67 75 69 73 68 65 72 28 52 44 29 20 61 6e 64 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20	tinguisher(RD).and.route-target.
16d00	69 6d 70 6f 72 74 2f 65 78 70 6f 72 74 20 6c 69 73 74 73 2e 20 4d 75 6c 74 69 70 72 6f 74 6f 63	import/export.lists..Multiprotoc
16d20	6f 6c 2d 42 47 50 28 4d 50 2d 42 47 50 29 20 64 65 6c 69 76 65 72 73 20 4c 33 56 50 4e 20 72 65	ol-BGP(MP-BGP).delivers.L3VPN.re
16d40	6c 61 74 65 64 20 63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20	lated.control-plane.information.
16d60	74 6f 20 74 68 65 20 6e 6f 64 65 73 20 61 63 72 6f 73 73 20 6e 65 74 77 6f 72 6b 20 77 68 65 72	to.the.nodes.across.network.wher
16d80	65 20 50 45 73 20 53 70 6f 6b 65 73 20 69 6d 70 6f 72 74 20 74 68 65 20 72 6f 75 74 65 2d 74 61	e.PEs.Spokes.import.the.route-ta
16da0	72 67 65 74 20 36 30 35 33 35 3a 31 30 33 30 20 28 74 68 69 73 20 69 73 20 65 78 70 6f 72 74 20	rget.60535:1030.(this.is.export.
16dc0	72 6f 75 74 65 2d 74 61 72 67 65 74 20 6f 66 20 76 72 66 20 42 4c 55 45 5f 48 55 42 29 20 61 6e	route-target.of.vrf.BLUE_HUB).an
16de0	64 20 65 78 70 6f 72 74 20 69 74 73 20 6f 77 6e 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 36 30	d.export.its.own.route-target.60
16e00	35 33 35 3a 31 30 31 31 28 74 68 69 73 20 69 73 20 76 72 66 20 42 4c 55 45 5f 53 50 4f 4b 45 20	535:1011(this.is.vrf.BLUE_SPOKE.
16e20	65 78 70 6f 72 74 20 72 6f 75 74 65 2d 74 61 72 67 65 74 29 2e 20 54 68 65 72 65 66 6f 72 65 2c	export.route-target)..Therefore,
16e40	20 74 68 65 20 43 75 73 74 6f 6d 65 72 20 65 64 67 65 20 6e 6f 64 65 73 20 63 61 6e 20 6f 6e 6c	.the.Customer.edge.nodes.can.onl
16e60	79 20 6c 65 61 72 6e 20 74 68 65 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 6f 66 20	y.learn.the.network.prefixes.of.
16e80	74 68 65 20 48 55 42 20 73 69 74 65 20 5b 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 5d 2e 20 46 6f	the.HUB.site.[10.0.0.100/32]..Fo
16ea0	72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 56 79 4f 53 2d 43 45 31 20 68 61 73 20 6e 65 74 77	r.this.example.VyOS-CE1.has.netw
16ec0	6f 72 6b 20 70 72 65 66 69 78 65 73 20 5b 31 30 2e 30 2e 30 2e 38 30 2f 33 32 5d 20 2f 20 56 79	ork.prefixes.[10.0.0.80/32]./.Vy
16ee0	4f 53 2d 43 45 32 20 68 61 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 5b 31 30 2e	OS-CE2.has.network.prefixes.[10.
16f00	30 2e 30 2e 39 30 2f 33 32 5d 2e 20 52 6f 75 74 65 2d 52 65 66 6c 65 63 74 6f 72 20 64 65 76 69	0.0.90/32]..Route-Reflector.devi
16f20	63 65 73 20 56 79 4f 53 2d 52 52 31 20 61 6e 64 20 56 79 4f 53 2d 52 52 32 20 61 72 65 20 75 73	ces.VyOS-RR1.and.VyOS-RR2.are.us
16f40	65 64 20 74 6f 20 73 69 6d 70 6c 69 66 79 20 6e 65 74 77 6f 72 6b 20 72 6f 75 74 65 73 20 65 78	ed.to.simplify.network.routes.ex
16f60	63 68 61 6e 67 65 20 61 6e 64 20 6d 69 6e 69 6d 69 7a 65 20 69 42 47 50 20 70 65 65 72 69 6e 67	change.and.minimize.iBGP.peering
16f80	73 20 62 65 74 77 65 65 6e 20 64 65 76 69 63 65 73 2e 00 41 73 20 77 65 20 73 65 65 20 73 68 61	s.between.devices..As.we.see.sha
16fa0	70 65 72 20 69 73 20 77 6f 72 6b 69 6e 67 20 61 6e 64 20 74 68 65 20 74 72 61 66 66 69 63 20 77	per.is.working.and.the.traffic.w
16fc0	69 6c 6c 20 6e 6f 74 20 77 6f 72 6b 20 6f 76 65 72 20 35 20 4d 62 69 74 2f 73 2e 00 41 73 73 69	ill.not.work.over.5.Mbit/s..Assi
16fe0	67 6e 20 65 78 74 65 72 6e 61 6c 20 49 50 20 61 64 64 72 65 73 73 65 73 00 41 73 73 75 6d 69 6e	gn.external.IP.addresses.Assumin
17000	67 20 74 68 65 20 70 69 6e 67 73 20 61 72 65 20 73 75 63 63 65 73 73 66 75 6c 2c 20 79 6f 75 20	g.the.pings.are.successful,.you.
17020	6e 65 65 64 20 74 6f 20 61 64 64 20 73 6f 6d 65 20 44 4e 53 20 73 65 72 76 65 72 73 2e 20 53 6f	need.to.add.some.DNS.servers..So
17040	6d 65 20 6f 70 74 69 6f 6e 73 3a 00 41 74 20 74 68 65 20 66 69 72 73 74 20 73 74 65 70 20 77 65	me.options:.At.the.first.step.we
17060	20 6e 65 65 64 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 49 50 2f 4d 50 4c 53 20 62	.need.to.configure.the.IP/MPLS.b
17080	61 63 6b 62 6f 6e 65 20 6e 65 74 77 6f 72 6b 20 75 73 69 6e 67 20 4f 53 50 46 20 61 73 20 49 47	ackbone.network.using.OSPF.as.IG
170a0	50 20 70 72 6f 74 6f 63 6f 6c 20 61 6e 64 20 4c 44 50 20 61 73 20 6c 61 62 65 6c 2d 73 77 69 74	P.protocol.and.LDP.as.label-swit
170c0	63 68 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 66 6f 72 20 74 68 65 20 62 61 73 65 20 63 6f 6e 6e	ching.protocol.for.the.base.conn
170e0	65 63 74 69 76 69 74 79 20 62 65 74 77 65 65 6e 20 2a 2a 50 2a 2a 20 28 72 6f 76 69 64 65 72 29	ectivity.between.P.(rovider)
17100	2c 20 2a 2a 50 2a 2a 20 28 72 6f 76 69 64 65 72 29 20 2a 2a 45 2a 2a 20 28 64 67 65 29 20 61 6e	,.P.(rovider).E.(dge).an
17120	64 20 2a 2a 52 2a 2a 20 28 6f 75 74 65 29 20 2a 2a 52 2a 2a 20 28 65 66 6c 65 63 74 6f 72 29 20	d.R.(oute).R.(eflector).
17140	6e 6f 64 65 73 3a 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 6e 6f 77 20 6e 65	nodes:.At.this.point,.you.now.ne
17160	65 64 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 58 20 6c 69 6e 6b 20 62 65 74 77 65 65 6e 20	ed.to.create.the.X.link.between.
17180	61 6c 6c 20 66 6f 75 72 20 72 6f 75 74 65 72 73 2e 20 55 73 65 20 61 6d 64 69 66 66 65 72 65 6e	all.four.routers..Use.amdifferen
171a0	74 20 2f 33 30 20 66 6f 72 20 65 61 63 68 20 6c 69 6e 6b 2e 00 41 74 20 74 68 69 73 20 70 6f 69	t./30.for.each.link..At.this.poi
171c0	6e 74 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 53 53 48 20 69 6e	nt,.you.should.be.able.to.SSH.in
171e0	74 6f 20 62 6f 74 68 20 6f 66 20 74 68 65 6d 2c 20 61 6e 64 20 77 69 6c 6c 20 6e 6f 20 6c 6f 6e	to.both.of.them,.and.will.no.lon
17200	67 65 72 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 63 6f 6e 73 6f 6c 65 20 28	ger.need.access.to.the.console.(
17220	75 6e 6c 65 73 73 20 79 6f 75 20 62 72 65 61 6b 20 73 6f 6d 65 74 68 69 6e 67 21 29 00 41 74 20	unless.you.break.something!).At.
17240	74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74	this.point,.you.should.be.able.t
17260	6f 20 73 65 65 20 62 6f 74 68 20 49 50 20 61 64 64 72 65 73 73 65 73 20 77 68 65 6e 20 79 6f 75	o.see.both.IP.addresses.when.you
17280	20 72 75 6e 20 60 60 73 68 6f 77 20 69 6e 74 65 72 66 61 63 65 73 60 60 5c 20 2c 20 61 6e 64 20	.run.``show.interfaces``\.,.and.
172a0	60 60 73 68 6f 77 20 76 72 72 70 60 60 20 73 68 6f 75 6c 64 20 73 68 6f 77 20 62 6f 74 68 20 69	``show.vrrp``.should.show.both.i
172c0	6e 74 65 72 66 61 63 65 73 20 69 6e 20 4d 41 53 54 45 52 20 73 74 61 74 65 20 28 61 6e 64 20 53	nterfaces.in.MASTER.state.(and.S
172e0	4c 41 56 45 20 73 74 61 74 65 20 6f 6e 20 72 6f 75 74 65 72 32 29 2e 00 41 74 20 74 68 69 73 20	LAVE.state.on.router2)..At.this.
17300	70 6f 69 6e 74 2c 20 79 6f 75 72 20 56 79 4f 53 20 69 6e 73 74 61 6c 6c 20 73 68 6f 75 6c 64 20	point,.your.VyOS.install.should.
17320	68 61 76 65 20 66 75 6c 6c 20 49 50 76 36 2c 20 62 75 74 20 6e 6f 77 20 79 6f 75 72 20 4c 41 4e	have.full.IPv6,.but.now.your.LAN
17340	20 64 65 76 69 63 65 73 20 6e 65 65 64 20 61 63 63 65 73 73 2e 00 41 74 20 74 68 69 73 20 73 74	.devices.need.access..At.this.st
17360	65 70 20 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 65 6e 61 62 6c 65 20 69 42 47 50 20 70	ep.we.are.going.to.enable.iBGP.p
17380	72 6f 74 6f 63 6f 6c 20 6f 6e 20 4d 50 4c 53 20 6e 6f 64 65 73 20 61 6e 64 20 52 6f 75 74 65 20	rotocol.on.MPLS.nodes.and.Route.
173a0	52 65 66 6c 65 63 74 6f 72 73 20 28 74 77 6f 20 72 6f 75 74 65 72 73 20 66 6f 72 20 72 65 64 75	Reflectors.(two.routers.for.redu
173c0	6e 64 61 6e 63 79 29 20 74 68 61 74 20 77 69 6c 6c 20 64 65 6c 69 76 65 72 20 49 50 76 34 20 56	ndancy).that.will.deliver.IPv4.V
173e0	50 4e 20 28 4c 33 56 50 4e 29 20 72 6f 75 74 65 73 20 62 65 74 77 65 65 6e 20 74 68 65 6d 3a 00	PN.(L3VPN).routes.between.them:.
17400	41 7a 75 72 65 20 41 53 4e 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 31 20 70	Azure.ASN.Azure.VNet.Gateway.1.p
17420	75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 32 20 70 75	ublic.IP.Azure.VNet.Gateway.2.pu
17440	62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 42 47 50 20 49	blic.IP.Azure.VNet.Gateway.BGP.I
17460	50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 70 75 62 6c 69 63 20 49 50 00 41	P.Azure.VNet.Gateway.public.IP.A
17480	7a 75 72 65 20 61 64 64 72 65 73 73 20 73 70 61 63 65 00 42 47 50 00 42 47 50 20 49 50 76 36 20	zure.address.space.BGP.BGP.IPv6.
174a0	75 6e 6e 75 6d 62 65 72 65 64 20 77 69 74 68 20 65 78 74 65 6e 64 65 64 20 6e 65 78 74 68 6f 70	unnumbered.with.extended.nexthop
174c0	00 42 47 50 20 69 73 20 61 6e 20 65 78 74 72 65 6d 65 6c 79 20 63 6f 6d 70 6c 65 78 20 6e 65 74	.BGP.is.an.extremely.complex.net
174e0	77 6f 72 6b 20 70 72 6f 74 6f 63 6f 6c 2e 20 41 6e 20 65 78 61 6d 70 6c 65 20 69 73 20 70 72 6f	work.protocol..An.example.is.pro
17500	76 69 64 65 64 20 68 65 72 65 2e 00 42 4c 55 45 5f 48 55 42 00 42 4c 55 45 5f 53 50 4f 4b 45 00	vided.here..BLUE_HUB.BLUE_SPOKE.
17520	42 61 73 65 64 20 6f 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 61	Based.on.the.previous.example,.a
17540	6e 6f 74 68 65 72 20 72 75 6c 65 20 66 6f 72 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 74 68 65	nother.rule.for.traffic.from.the
17560	20 73 65 63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 33 20 63 61 6e 20 62 65 20 61 64	.second.interface.eth3.can.be.ad
17580	64 65 64 20 74 6f 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 2e 20 48 6f 77 65 76 65	ded.to.the.load.balancer..Howeve
175a0	72 2c 20 74 72 61 66 66 69 63 20 6d 65 61 6e 74 20 74 6f 20 66 6c 6f 77 20 62 65 74 77 65 65 6e	r,.traffic.meant.to.flow.between
175c0	20 74 68 65 20 4c 41 4e 20 73 75 62 6e 65 74 73 20 77 69 6c 6c 20 62 65 20 73 65 6e 74 20 74 6f	.the.LAN.subnets.will.be.sent.to
175e0	20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 61 73 20 77 65 6c 6c 2e 20 54 6f 20 70 72 65 76 65	.eth0.and.eth1.as.well..To.preve
17600	6e 74 20 74 68 69 73 2c 20 61 6e 6f 74 68 65 72 20 72 75 6c 65 20 69 73 20 72 65 71 75 69 72 65	nt.this,.another.rule.is.require
17620	64 2e 20 54 68 69 73 20 72 75 6c 65 20 65 78 63 6c 75 64 65 73 20 74 72 61 66 66 69 63 20 62 65	d..This.rule.excludes.traffic.be
17640	74 77 65 65 6e 20 74 68 65 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20 66 72 6f 6d 20 74 68 65	tween.the.local.subnets.from.the
17660	20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 2e 20 49 74 20 61 6c 73 6f 20 65 78 63 6c 75 64 65 73	.load.balancer..It.also.excludes
17680	20 6c 6f 63 61 6c 6c 79 2d 73 6f 75 72 63 65 73 20 70 61 63 6b 65 74 73 20 28 72 65 71 75 69 72	.locally-sources.packets.(requir
176a0	65 64 20 66 6f 72 20 77 65 62 20 63 61 63 68 69 6e 67 20 77 69 74 68 20 6c 6f 61 64 20 62 61 6c	ed.for.web.caching.with.load.bal
176c0	61 6e 63 69 6e 67 29 2e 20 65 74 68 2b 20 69 73 20 75 73 65 64 20 61 73 20 61 6e 20 61 6c 69 61	ancing)..eth+.is.used.as.an.alia
176e0	73 20 74 68 61 74 20 72 65 66 65 72 73 20 74 6f 20 61 6c 6c 20 65 74 68 65 72 6e 65 74 20 69 6e	s.that.refers.to.all.ethernet.in
17700	74 65 72 66 61 63 65 73 3a 00 42 61 73 69 63 20 46 69 72 65 77 61 6c 6c 00 42 61 73 69 63 20 53	terfaces:.Basic.Firewall.Basic.S
17720	65 74 75 70 20 28 76 69 61 20 63 6f 6e 73 6f 6c 65 29 00 42 61 73 69 63 20 63 6f 6e 66 69 67 75	etup.(via.console).Basic.configu
17740	72 61 74 69 6f 6e 20 6f 66 20 61 6e 73 69 62 6c 65 2e 63 66 67 3a 00 42 61 73 69 6b 20 63 6f 6e	ration.of.ansible.cfg:.Basik.con
17760	66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 61 6e 73 69 62 6c 65 2e 63 66 67 3a 00 42	figuration.of.the.ansible.cfg:.B
17780	65 66 6f 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 30 20 6f 6e 20 72 6f 75 74	efore.the.interface.eth0.on.rout
177a0	65 72 20 56 79 4f 53 33 00 42 6f 6e 64 69 6e 67 20 6f 6e 20 48 61 72 64 77 61 72 65 20 52 6f 75	er.VyOS3.Bonding.on.Hardware.Rou
177c0	74 65 72 00 42 6f 74 68 20 4c 41 4e 73 20 68 61 76 65 20 74 6f 20 62 65 20 61 62 6c 65 20 74 6f	ter.Both.LANs.have.to.be.able.to
177e0	20 72 6f 75 74 65 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 2c 20 62 6f 74 68 20	.route.between.each.other,.both.
17800	77 69 6c 6c 20 68 61 76 65 20 6d 61 6e 61 67 65 64 20 64 65 76 69 63 65 73 20 74 68 72 6f 75 67	will.have.managed.devices.throug
17820	68 20 61 20 64 65 64 69 63 61 74 65 64 20 6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f 72 6b	h.a.dedicated.management.network
17840	20 61 6e 64 20 62 6f 74 68 20 77 69 6c 6c 20 6e 65 65 64 20 49 6e 74 65 72 6e 65 74 20 61 63 63	.and.both.will.need.Internet.acc
17860	65 73 73 20 79 65 74 20 74 68 65 20 4c 41 4e 32 20 77 69 6c 6c 20 6e 65 65 64 20 61 63 63 65 73	ess.yet.the.LAN2.will.need.acces
17880	73 20 74 6f 20 73 6f 6d 65 20 73 65 74 20 6f 66 20 6f 75 74 73 69 64 65 20 6e 65 74 77 6f 72 6b	s.to.some.set.of.outside.network
178a0	73 2c 20 6e 6f 74 20 61 6c 6c 2e 20 54 68 65 20 6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f	s,.not.all..The.management.netwo
178c0	72 6b 20 77 69 6c 6c 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 62 6f 74 68 20 4c 41 4e 73	rk.will.need.access.to.both.LANs
178e0	20 62 75 74 20 63 61 6e 6e 6f 74 20 68 61 76 65 20 61 63 63 65 73 73 20 74 6f 2f 66 72 6f 6d 20	.but.cannot.have.access.to/from.
17900	74 68 65 20 6f 75 74 73 69 64 65 2e 00 42 72 61 6e 63 68 00 42 72 69 64 67 65 20 61 6e 64 20 66	the.outside..Branch.Bridge.and.f
17920	69 72 65 77 61 6c 6c 20 65 78 61 6d 70 6c 65 00 42 72 69 64 67 65 20 62 72 30 3a 00 42 72 69 64	irewall.example.Bridge.br0:.Brid
17940	67 65 20 62 72 31 3a 00 42 72 69 64 67 65 20 62 72 32 3a 00 42 72 69 64 67 65 20 66 69 72 65 77	ge.br1:.Bridge.br2:.Bridge.firew
17960	61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 42 72 69 64 67 65 20 66 69 72 65 77 61 6c	all.configuration.Bridge.firewal
17980	6c 20 72 75 6c 73 65 74 3a 00 42 72 69 64 67 65 73 20 61 6e 64 20 69 6e 74 65 72 66 61 63 65 73	l.rulset:.Bridges.and.interfaces
179a0	20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 42 79 20 64 65 66 61 75 6c 74 2c 20 69 70 74 61 62	.configuration.By.default,.iptab
179c0	6c 65 73 20 64 6f 65 73 20 6e 6f 74 20 61 6c 6c 6f 77 20 74 72 61 66 66 69 63 20 66 6f 72 20 65	les.does.not.allow.traffic.for.e
179e0	73 74 61 62 6c 69 73 68 65 64 20 73 65 73 73 69 6f 6e 73 20 74 6f 20 72 65 74 75 72 6e 2c 20 73	stablished.sessions.to.return,.s
17a00	6f 20 79 6f 75 20 6d 75 73 74 20 65 78 70 6c 69 63 69 74 6c 79 20 61 6c 6c 6f 77 20 74 68 69 73	o.you.must.explicitly.allow.this
17a20	2e 20 49 20 64 6f 20 74 68 69 73 20 62 79 20 61 64 64 69 6e 67 20 74 77 6f 20 72 75 6c 65 73 20	..I.do.this.by.adding.two.rules.
17a40	74 6f 20 65 76 65 72 79 20 72 75 6c 65 73 65 74 2e 20 31 20 61 6c 6c 6f 77 73 20 65 73 74 61 62	to.every.ruleset..1.allows.estab
17a60	6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20 73 74 61 74 65 20 70 61 63 6b 65 74 73	lished.and.related.state.packets
17a80	20 74 68 72 6f 75 67 68 20 61 6e 64 20 72 75 6c 65 20 32 20 64 72 6f 70 73 20 61 6e 64 20 6c 6f	.through.and.rule.2.drops.and.lo
17aa0	67 73 20 69 6e 76 61 6c 69 64 20 73 74 61 74 65 20 70 61 63 6b 65 74 73 2e 20 57 65 20 70 6c 61	gs.invalid.state.packets..We.pla
17ac0	63 65 20 74 68 65 20 65 73 74 61 62 6c 69 73 68 65 64 2f 72 65 6c 61 74 65 64 20 72 75 6c 65 20	ce.the.established/related.rule.
17ae0	61 74 20 74 68 65 20 74 6f 70 20 62 65 63 61 75 73 65 20 74 68 65 20 76 61 73 74 20 6d 61 6a 6f	at.the.top.because.the.vast.majo
17b00	72 69 74 79 20 6f 66 20 74 72 61 66 66 69 63 20 6f 6e 20 61 20 6e 65 74 77 6f 72 6b 20 69 73 20	rity.of.traffic.on.a.network.is.
17b20	65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 74 68 65 20 69 6e 76 61 6c 69 64 20 72 75 6c 65	established.and.the.invalid.rule
17b40	20 74 6f 20 70 72 65 76 65 6e 74 20 69 6e 76 61 6c 69 64 20 73 74 61 74 65 20 70 61 63 6b 65 74	.to.prevent.invalid.state.packet
17b60	73 20 66 72 6f 6d 20 6d 69 73 74 61 6b 65 6e 6c 79 20 62 65 69 6e 67 20 6d 61 74 63 68 65 64 20	s.from.mistakenly.being.matched.
17b80	61 67 61 69 6e 73 74 20 6f 74 68 65 72 20 72 75 6c 65 73 2e 20 48 61 76 69 6e 67 20 74 68 65 20	against.other.rules..Having.the.
17ba0	6d 6f 73 74 20 6d 61 74 63 68 65 64 20 72 75 6c 65 20 6c 69 73 74 65 64 20 66 69 72 73 74 20 72	most.matched.rule.listed.first.r
17bc0	65 64 75 63 65 73 20 43 50 55 20 6c 6f 61 64 20 69 6e 20 68 69 67 68 20 76 6f 6c 75 6d 65 20 65	educes.CPU.load.in.high.volume.e
17be0	6e 76 69 72 6f 6e 6d 65 6e 74 73 2e 20 4e 6f 74 65 3a 20 49 20 68 61 76 65 20 66 69 6c 65 64 20	nvironments..Note:.I.have.filed.
17c00	61 20 62 75 67 20 74 6f 20 68 61 76 65 20 74 68 69 73 20 61 64 64 65 64 20 61 73 20 61 20 64 65	a.bug.to.have.this.added.as.a.de
17c20	66 61 75 6c 74 20 61 63 74 69 6f 6e 20 61 73 20 77 65 6c 6c 2e 00 43 45 20 48 75 62 20 64 65 76	fault.action.as.well..CE.Hub.dev
17c40	69 63 65 00 43 53 34 20 2d 3e 20 43 53 35 00 43 65 6e 74 72 61 6c 00 43 68 65 63 6b 20 61 6c 6c	ice.CS4.->.CS5.Central.Check.all
17c60	20 70 6f 73 73 69 62 6c 65 20 73 65 74 74 69 6e 67 73 20 60 68 65 72 65 20 3c 68 74 74 70 73 3a	.possible.settings.`here.<https:
17c80	2f 2f 67 69 74 68 75 62 2e 63 6f 6d 2f 74 68 72 65 65 72 69 6e 67 73 2f 6f 70 65 6e 76 70 6e 2d	//github.com/threerings/openvpn-
17ca0	61 75 74 68 2d 6c 64 61 70 2f 62 6c 6f 62 2f 6d 61 73 74 65 72 2f 61 75 74 68 2d 6c 64 61 70 2e	auth-ldap/blob/master/auth-ldap.
17cc0	63 6f 6e 66 3e 60 5f 00 43 68 65 63 6b 20 74 68 65 20 42 47 50 20 56 52 46 20 74 61 62 6c 65 20	conf>`_.Check.the.BGP.VRF.table.
17ce0	61 6e 64 20 76 65 72 69 66 79 20 69 66 20 74 68 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20	and.verify.if.the.static.routes.
17d00	61 72 65 20 69 6e 6a 65 63 74 65 64 20 73 68 6f 77 69 6e 67 20 74 68 65 20 63 6f 72 72 65 63 74	are.injected.showing.the.correct
17d20	20 6e 65 78 74 2d 68 6f 70 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 43 68 65 63 6b 20 74 68 65	.next-hop.information..Check.the
17d40	20 72 65 73 75 6c 74 00 43 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 20 6f 6e 20 74 68 65 20	.result.Check.the.result.on.the.
17d60	76 79 6f 73 31 30 20 72 6f 75 74 65 72 3a 00 43 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 2e	vyos10.router:.Check.the.result.
17d80	00 43 68 65 63 6b 20 74 68 65 20 76 65 72 73 69 6f 6e 3a 00 43 68 65 63 6b 69 6e 67 20 74 68 65	.Check.the.version:.Checking.the
17da0	20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6f 66 20 74 68 65 20 56 52 46 20 73 68 6f 75 6c 64	.routing.table.of.the.VRF.should
17dc0	20 72 65 76 65 61 6c 20 62 6f 74 68 20 73 74 61 74 69 63 20 61 6e 64 20 63 6f 6e 6e 65 63 74 65	.reveal.both.static.and.connecte
17de0	64 20 65 6e 74 72 69 65 73 20 61 63 74 69 76 65 2e 20 41 20 50 49 4e 47 20 74 65 73 74 20 62 65	d.entries.active..A.PING.test.be
17e00	74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 61 6e 64 20 72 65 6d 6f 74 65 20 72 6f 75 74 65 72	tween.the.Core.and.remote.router
17e20	20 69 73 20 61 20 77 61 79 20 74 6f 20 76 61 6c 69 64 61 74 65 20 63 6f 6e 6e 65 63 74 69 76 69	.is.a.way.to.validate.connectivi
17e40	74 79 20 77 69 74 68 69 6e 20 74 68 65 20 56 52 46 2e 00 43 68 65 63 6b 69 6e 67 20 74 68 72 6f	ty.within.the.VRF..Checking.thro
17e60	75 67 68 20 6f 70 2d 6d 6f 64 65 20 63 6f 6d 6d 61 6e 64 73 00 43 69 73 63 6f 00 43 69 73 63 6f	ugh.op-mode.commands.Cisco.Cisco
17e80	20 56 50 43 20 43 72 6f 73 73 63 6f 6e 6e 65 63 74 20 2d 20 50 6f 72 74 73 20 33 39 20 61 6e 64	.VPC.Crossconnect.-.Ports.39.and
17ea0	20 34 30 20 62 6f 6e 64 65 64 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 73 77 69 74 63 68 00 43	.40.bonded.between.each.switch.C
17ec0	6c 61 6d 70 20 74 68 65 20 56 54 49 27 73 20 4d 53 53 20 74 6f 20 31 33 35 30 20 74 6f 20 61 76	lamp.the.VTI's.MSS.to.1350.to.av
17ee0	6f 69 64 20 50 4d 54 55 20 62 6c 61 63 6b 68 6f 6c 65 73 2e 00 43 6c 69 65 6e 74 00 43 6c 69 65	oid.PMTU.blackholes..Client.Clie
17f00	6e 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 62	nt.configuration.Communication.b
17f20	65 74 77 65 65 6e 20 70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20 73 68 6f 75 6c 64 20 62 65	etween.private.subnets.should.be
17f40	20 64 6f 6e 65 20 74 68 72 6f 75 67 68 20 49 50 53 65 63 20 74 75 6e 6e 65 6c 20 77 69 74 68 6f	.done.through.IPSec.tunnel.witho
17f60	75 74 20 4e 41 54 2e 00 43 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 70 72	ut.NAT..Communication.between.pr
17f80	69 76 61 74 65 20 73 75 62 6e 65 74 73 20 73 68 6f 75 6c 64 20 62 65 20 64 6f 6e 65 20 74 68 72	ivate.subnets.should.be.done.thr
17fa0	6f 75 67 68 20 69 70 73 65 63 20 74 75 6e 6e 65 6c 20 77 69 74 68 6f 75 74 20 6e 61 74 2e 00 43	ough.ipsec.tunnel.without.nat..C
17fc0	6f 6e 63 6c 75 73 69 6f 6e 73 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 6f 6e 66 69 67 75	onclusions.Configuration.Configu
17fe0	72 61 74 69 6f 6e 20 27 4e 4d 50 27 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27 56 79 4f 53	ration.'NMP'.Configuration.'VyOS
18000	27 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27 64 63 73 70 27 20 61 6e 64 20 73 68 61 70 65	'.Configuration.'dcsp'.and.shape
18020	72 20 75 73 69 6e 67 20 51 6f 53 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 42 6c 75 65 70 72	r.using.QoS.Configuration.Bluepr
18040	69 6e 74 73 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 42 6c 75 65 70 72 69 6e 74 73 20 28 61	ints.Configuration.Blueprints.(a
18060	75 74 6f 74 65 73 74 29 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 56 79 4f 53 20 61 73 20 4f	utotest).Configuration.VyOS.as.O
18080	70 65 6e 56 50 4e 20 53 65 72 76 65 72 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 62	penVPN.Server.Configuration.of.b
180a0	61 73 69 63 20 66 69 72 65 77 61 6c 6c 20 69 6e 20 6f 6e 65 20 73 69 74 65 2c 20 69 6e 20 6f 72	asic.firewall.in.one.site,.in.or
180c0	64 65 72 20 74 6f 3a 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 43 6f 6e 66 69 67 75 72 61	der.to:.Configuration:.Configura
180e0	74 69 6f 6e 73 00 43 6f 6e 66 69 67 75 72 65 20 56 79 4f 53 20 61 73 20 4f 70 65 6e 56 50 4e 20	tions.Configure.VyOS.as.OpenVPN.
18100	53 65 72 76 65 72 00 43 6f 6e 66 69 67 75 72 65 20 56 79 4f 53 20 61 73 20 63 6c 69 65 6e 74 00	Server.Configure.VyOS.as.client.
18120	43 6f 6e 66 69 67 75 72 65 20 57 69 72 65 67 75 61 72 64 00 43 6f 6e 66 69 67 75 72 65 20 61 20	Configure.Wireguard.Configure.a.
18140	56 54 49 20 77 69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 20 61 64 64 72 65 73 73 00 43 6f 6e 66	VTI.with.a.dummy.IP.address.Conf
18160	69 67 75 72 65 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 20 61 6e 64 20 65 6e 61 62 6c 65 20	igure.conntrack-sync.and.enable.
18180	68 65 6c 70 65 72 73 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 49 4b 45 20 61 6e 64 20 45 53	helpers.Configure.the.IKE.and.ES
181a0	50 20 73 65 74 74 69 6e 67 73 20 74 6f 20 6d 61 74 63 68 20 61 20 73 75 62 73 65 74 20 6f 66 20	P.settings.to.match.a.subset.of.
181c0	74 68 6f 73 65 20 73 75 70 70 6f 72 74 65 64 20 62 79 20 41 7a 75 72 65 3a 00 43 6f 6e 66 69 67	those.supported.by.Azure:.Config
181e0	75 72 65 20 74 68 65 20 56 50 4e 20 74 75 6e 6e 65 6c 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65	ure.the.VPN.tunnel.Configure.the
18200	20 56 50 4e 20 74 75 6e 6e 65 6c 73 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 57 41 4e 20 6c	.VPN.tunnels.Configure.the.WAN.l
18220	6f 61 64 20 62 61 6c 61 6e 63 65 72 20 77 69 74 68 20 74 68 65 20 70 61 72 61 6d 65 74 65 72 73	oad.balancer.with.the.parameters
18240	20 64 65 73 63 72 69 62 65 64 20 61 62 6f 76 65 3a 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20	.described.above:.Configure.the.
18260	6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 00 43 6f 6e 66 69 67 75 72 65 20 74 77 6f 20 56 54 49 73	load.balancer.Configure.two.VTIs
18280	20 77 69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 20 61 64 64 72 65 73 73 20 65 61 63 68 00 43 6f	.with.a.dummy.IP.address.each.Co
182a0	6e 66 69 67 75 72 65 20 79 6f 75 72 20 42 47 50 20 73 65 74 74 69 6e 67 73 00 43 6f 6e 6e 74 72	nfigure.your.BGP.settings.Conntr
182c0	61 63 6b 20 68 65 6c 70 65 72 20 6d 6f 64 75 6c 65 73 20 61 72 65 20 65 6e 61 62 6c 65 64 20 62	ack.helper.modules.are.enabled.b
182e0	79 20 64 65 66 61 75 6c 74 2c 20 62 75 74 20 74 68 65 79 20 74 65 6e 64 20 74 6f 20 63 61 75 73	y.default,.but.they.tend.to.caus
18300	65 20 6d 6f 72 65 20 70 72 6f 62 6c 65 6d 73 20 74 68 61 6e 20 74 68 65 79 27 72 65 20 77 6f 72	e.more.problems.than.they're.wor
18320	74 68 20 69 6e 20 63 6f 6d 70 6c 65 78 20 6e 65 74 77 6f 72 6b 73 2e 20 59 6f 75 20 63 61 6e 20	th.in.complex.networks..You.can.
18340	64 69 73 61 62 6c 65 20 61 6c 6c 20 6f 66 20 74 68 65 6d 20 61 74 20 6f 6e 65 20 67 6f 2e 00 43	disable.all.of.them.at.one.go..C
18360	6f 6e 73 69 64 65 72 20 68 6f 77 20 74 6f 20 71 75 69 63 6b 6c 79 20 73 65 74 20 75 70 20 4e 4d	onsider.how.to.quickly.set.up.NM
18380	50 20 61 6e 64 20 56 79 4f 53 20 66 6f 72 20 6d 6f 6e 69 74 6f 72 69 6e 67 2e 20 4e 4d 50 20 69	P.and.VyOS.for.monitoring..NMP.i
183a0	73 20 6d 75 6c 74 69 2d 76 65 6e 64 6f 72 20 6e 65 74 77 6f 72 6b 20 6d 6f 6e 69 74 6f 72 69 6e	s.multi-vendor.network.monitorin
183c0	67 20 66 72 6f 6d 20 27 53 6f 6c 61 72 57 69 6e 64 73 27 20 62 75 69 6c 74 20 74 6f 20 73 63 61	g.from.'SolarWinds'.built.to.sca
183e0	6c 65 20 61 6e 64 20 65 78 70 61 6e 64 20 77 69 74 68 20 74 68 65 20 6e 65 65 64 73 20 6f 66 20	le.and.expand.with.the.needs.of.
18400	79 6f 75 72 20 6e 65 74 77 6f 72 6b 2e 00 43 6f 72 65 00 43 6f 72 65 20 52 6f 75 74 65 72 00 43	your.network..Core.Core.Router.C
18420	6f 72 65 20 6e 65 74 77 6f 72 6b 00 43 72 65 61 74 65 20 45 78 70 6f 72 74 20 46 69 6c 74 65 72	ore.network.Create.Export.Filter
18440	00 43 72 65 61 74 65 20 49 6d 70 6f 72 74 20 46 69 6c 74 65 72 00 43 72 65 61 74 65 20 56 52 52	.Create.Import.Filter.Create.VRR
18460	50 20 73 79 6e 63 2d 67 72 6f 75 70 00 43 72 65 61 74 65 20 61 20 4c 41 43 50 20 62 6f 6e 64 20	P.sync-group.Create.a.LACP.bond.
18480	6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 20 57 65 20 61 72 65 20 61	on.the.hardware.router..We.are.a
184a0	73 73 75 6d 69 6e 67 20 74 68 61 74 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 61 72 65 20 63	ssuming.that.eth0.and.eth1.are.c
184c0	6f 6e 6e 65 63 74 65 64 20 74 6f 20 70 6f 72 74 20 38 20 6f 6e 20 62 6f 74 68 20 73 77 69 74 63	onnected.to.port.8.on.both.switc
184e0	68 65 73 2c 20 61 6e 64 20 74 68 61 74 20 74 68 6f 73 65 20 70 6f 72 74 73 20 61 72 65 20 63 6f	hes,.and.that.those.ports.are.co
18500	6e 66 69 67 75 72 65 64 20 61 73 20 61 20 50 6f 72 74 2d 43 68 61 6e 6e 65 6c 2e 00 43 72 65 61	nfigured.as.a.Port-Channel..Crea
18520	74 65 20 61 6e 20 27 41 6c 6c 20 56 4c 41 4e 73 27 20 6e 65 74 77 6f 72 6b 20 67 72 6f 75 70 2c	te.an.'All.VLANs'.network.group,
18540	20 74 68 61 74 20 70 61 73 73 65 73 20 61 6c 6c 20 74 72 75 6e 6b 65 64 20 74 72 61 66 66 69 63	.that.passes.all.trunked.traffic
18560	20 74 68 72 6f 75 67 68 20 74 6f 20 74 68 65 20 56 4d 2e 20 41 74 74 61 63 68 20 74 68 69 73 20	.through.to.the.VM..Attach.this.
18580	6e 65 74 77 6f 72 6b 20 67 72 6f 75 70 20 74 6f 20 72 6f 75 74 65 72 31 20 61 73 20 65 74 68 30	network.group.to.router1.as.eth0
185a0	2e 00 43 72 65 61 74 65 20 69 6e 74 65 72 66 61 63 65 20 77 65 69 67 68 74 20 62 61 73 65 64 20	..Create.interface.weight.based.
185c0	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 72 65 61 74 65 20 72 75 6c 65 20 6f 72 64 65 72 20	configuration.Create.rule.order.
185e0	62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 72 65 61 74 65 20 72 75 6c 65 20	based.configuration.Create.rule.
18600	6f 72 64 65 72 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 6c	order.based.configuration.with.l
18620	6f 77 20 73 70 65 65 64 20 73 65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 00 43 72 65 61 74 65 20 73	ow.speed.secondary.link.Create.s
18640	74 61 74 69 63 20 72 6f 75 74 65 73 20 74 68 72 6f 75 67 68 20 74 68 65 20 74 77 6f 20 49 53 50	tatic.routes.through.the.two.ISP
18660	73 20 74 6f 77 61 72 64 73 20 74 68 65 20 70 69 6e 67 20 74 61 72 67 65 74 73 20 61 6e 64 20 63	s.towards.the.ping.targets.and.c
18680	6f 6d 6d 69 74 20 74 68 65 20 63 68 61 6e 67 65 73 3a 00 43 72 65 61 74 65 20 73 74 61 74 69 63	ommit.the.changes:.Create.static
186a0	20 72 6f 75 74 65 73 20 74 6f 20 70 69 6e 67 20 74 61 72 67 65 74 73 00 43 72 65 61 74 65 20 79	.routes.to.ping.targets.Create.y
186c0	6f 75 72 20 72 6f 75 74 65 72 31 20 56 4d 2e 20 53 6f 20 69 74 20 63 61 6e 20 77 69 74 68 73 74	our.router1.VM..So.it.can.withst
186e0	61 6e 64 20 61 20 56 4d 20 48 6f 73 74 20 66 61 69 6c 69 6e 67 20 6f 72 20 61 20 6e 65 74 77 6f	and.a.VM.Host.failing.or.a.netwo
18700	72 6b 20 6c 69 6e 6b 20 66 61 69 6c 69 6e 67 2e 20 55 73 69 6e 67 20 56 4d 77 61 72 65 2c 20 74	rk.link.failing..Using.VMware,.t
18720	68 69 73 20 69 73 20 61 63 68 69 65 76 65 64 20 62 79 20 65 6e 61 62 6c 69 6e 67 20 76 53 70 68	his.is.achieved.by.enabling.vSph
18740	65 72 65 20 44 52 53 2c 20 76 53 70 68 65 72 65 20 41 76 61 69 6c 61 62 69 6c 69 74 79 2c 20 61	ere.DRS,.vSphere.Availability,.a
18760	6e 64 20 63 72 65 61 74 69 6e 67 20 61 20 44 69 73 74 72 69 62 75 74 65 64 20 50 6f 72 74 20 47	nd.creating.a.Distributed.Port.G
18780	72 6f 75 70 20 74 68 61 74 20 75 73 65 73 20 4c 41 43 50 2e 00 44 48 43 50 20 52 65 6c 61 79 20	roup.that.uses.LACP..DHCP.Relay.
187a0	74 72 6f 75 67 68 20 47 52 45 2d 42 72 69 64 67 65 00 44 48 43 50 2d 52 65 6c 61 79 00 44 48 43	trough.GRE-Bridge.DHCP-Relay.DHC
187c0	50 2d 53 65 72 76 65 72 00 44 48 43 50 76 36 2d 50 44 20 53 65 74 75 70 00 44 4d 5a 20 63 61 6e	P-Server.DHCPv6-PD.Setup.DMZ.can
187e0	6e 6f 74 20 61 63 63 65 73 73 20 4c 41 4e 20 72 65 73 6f 75 72 63 65 73 2e 00 44 4d 5a 2d 4c 41	not.access.LAN.resources..DMZ-LA
18800	4e 20 70 6f 6c 69 63 79 20 69 73 20 4c 41 4e 2d 44 4d 5a 2e 20 59 6f 75 20 63 61 6e 20 67 65 74	N.policy.is.LAN-DMZ..You.can.get
18820	20 61 20 72 68 79 74 68 6d 20 74 6f 20 69 74 20 77 68 65 6e 20 79 6f 75 20 62 75 69 6c 64 20 6f	.a.rhythm.to.it.when.you.build.o
18840	75 74 20 61 20 62 75 6e 63 68 20 61 74 20 6f 6e 65 20 74 69 6d 65 2e 00 44 65 6e 79 20 61 63 63	ut.a.bunch.at.one.time..Deny.acc
18860	65 73 73 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 2e 00 44 65 6e 79 20 63 6f 6e 6e 65 63 74 69	ess.to.the.router..Deny.connecti
18880	6f 6e 73 20 74 6f 20 69 6e 74 65 72 6e 65 74 28 57 41 4e 29 2e 00 44 65 73 69 67 6e 00 44 65 76	ons.to.internet(WAN)..Design.Dev
188a0	69 63 65 2d 41 00 44 65 76 69 63 65 2d 42 00 44 69 61 67 72 61 6d 20 75 73 65 64 20 69 6e 20 74	ice-A.Device-B.Diagram.used.in.t
188c0	68 69 73 20 65 78 61 6d 70 6c 65 3a 00 44 72 6f 70 20 61 6c 6c 20 44 48 43 50 20 64 69 73 63 6f	his.example:.Drop.all.DHCP.disco
188e0	76 65 72 20 70 61 63 6b 65 74 73 2e 00 44 72 6f 70 20 61 6c 6c 20 49 50 76 36 20 63 6f 6e 6e 65	ver.packets..Drop.all.IPv6.conne
18900	63 74 69 6f 6e 73 2e 00 44 72 6f 70 20 61 6c 6c 20 6f 74 68 65 72 20 49 50 76 34 20 63 6f 6e 6e	ctions..Drop.all.other.IPv4.conn
18920	65 63 74 69 6f 6e 73 2e 00 44 72 6f 70 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 74 6f 20 6f 74 68	ections..Drop.connections.to.oth
18940	65 72 20 4c 41 4e 73 2e 00 44 75 70 6c 69 63 61 74 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e	er.LANs..Duplicate.configuration
18960	00 44 75 72 69 6e 67 20 61 64 64 72 65 73 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2c 20 69	.During.address.configuration,.i
18980	6e 20 61 64 64 69 74 69 6f 6e 20 74 6f 20 61 73 73 69 67 6e 69 6e 67 20 61 6e 20 61 64 64 72 65	n.addition.to.assigning.an.addre
189a0	73 73 20 74 6f 20 74 68 65 20 57 41 4e 20 69 6e 74 65 72 66 61 63 65 2c 20 49 53 50 20 61 6c 73	ss.to.the.WAN.interface,.ISP.als
189c0	6f 20 70 72 6f 76 69 64 65 73 20 61 20 70 72 65 66 69 78 20 74 6f 20 61 6c 6c 6f 77 20 74 68 65	o.provides.a.prefix.to.allow.the
189e0	20 72 6f 75 74 65 72 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 64 64 72 65 73 73 65 73 20 6f	.router.to.configure.addresses.o
18a00	66 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 6f 74 68 65 72 20 6e 6f 64 65 73 20	f.LAN.interface.and.other.nodes.
18a20	63 6f 6e 6e 65 63 74 69 6e 67 20 74 6f 20 4c 41 4e 2c 20 77 68 69 63 68 20 69 73 20 63 61 6c 6c	connecting.to.LAN,.which.is.call
18a40	65 64 20 70 72 65 66 69 78 20 64 65 6c 65 67 61 74 69 6f 6e 20 28 50 44 29 2e 00 44 79 6e 61 6d	ed.prefix.delegation.(PD)..Dynam
18a60	69 63 20 72 6f 75 74 69 6e 67 20 75 73 65 64 20 62 65 74 77 65 65 6e 20 43 45 20 61 6e 64 20 50	ic.routing.used.between.CE.and.P
18a80	45 20 6e 6f 64 65 73 20 61 6e 64 20 65 42 47 50 20 70 65 65 72 69 6e 67 20 65 73 74 61 62 6c 69	E.nodes.and.eBGP.peering.establi
18aa0	73 68 65 64 20 66 6f 72 20 74 68 65 20 72 6f 75 74 65 20 65 78 63 68 61 6e 67 69 6e 67 20 62 65	shed.for.the.route.exchanging.be
18ac0	74 77 65 65 6e 20 74 68 65 6d 2e 20 41 6c 6c 20 72 6f 75 74 65 73 20 72 65 63 65 69 76 65 64 20	tween.them..All.routes.received.
18ae0	62 79 20 50 45 73 20 61 72 65 20 74 68 65 6e 20 65 78 70 6f 72 74 65 64 20 74 6f 20 4c 33 56 50	by.PEs.are.then.exported.to.L3VP
18b00	4e 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 66 72 6f 6d 20 53 70 6f 6b 65 20 73 69 74 65 73	N.and.delivered.from.Spoke.sites
18b20	20 74 6f 20 48 75 62 20 61 6e 64 20 76 69 73 65 2d 76 65 72 73 61 20 62 61 73 65 64 20 6f 6e 20	.to.Hub.and.vise-versa.based.on.
18b40	70 72 65 76 69 6f 75 73 6c 79 20 63 6f 6e 66 69 67 75 72 65 64 20 4c 33 56 50 4e 20 70 61 72 61	previously.configured.L3VPN.para
18b60	6d 65 74 65 72 73 2e 00 45 61 63 68 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e	meters..Each.interface.is.assign
18b80	65 64 20 74 6f 20 61 20 7a 6f 6e 65 2e 20 54 68 65 20 69 6e 74 65 72 66 61 63 65 20 63 61 6e 20	ed.to.a.zone..The.interface.can.
18ba0	62 65 20 70 68 79 73 69 63 61 6c 20 6f 72 20 76 69 72 74 75 61 6c 20 73 75 63 68 20 61 73 20 74	be.physical.or.virtual.such.as.t
18bc0	75 6e 6e 65 6c 73 20 28 56 50 4e 2c 20 50 50 54 50 2c 20 47 52 45 2c 20 65 74 63 29 20 61 6e 64	unnels.(VPN,.PPTP,.GRE,.etc).and
18be0	20 61 72 65 20 74 72 65 61 74 65 64 20 65 78 61 63 74 6c 79 20 74 68 65 20 73 61 6d 65 2e 00 45	.are.treated.exactly.the.same..E
18c00	61 63 68 20 6c 61 62 20 77 69 6c 6c 20 62 75 69 6c 64 20 61 6e 20 74 65 73 74 20 66 72 6f 6d 20	ach.lab.will.build.an.test.from.
18c20	61 6e 20 65 78 74 65 72 6e 61 6c 20 73 63 72 69 70 74 2e 20 54 68 65 20 70 61 67 65 20 63 6f 6e	an.external.script..The.page.con
18c40	74 65 6e 74 20 77 69 6c 6c 20 67 65 6e 65 72 61 74 65 2c 20 73 6f 20 63 68 61 6e 67 65 73 20 77	tent.will.generate,.so.changes.w
18c60	69 6c 6c 20 6e 6f 74 20 74 61 6b 65 20 61 6e 20 65 66 66 65 63 74 2e 00 45 6e 61 62 6c 65 20 49	ill.not.take.an.effect..Enable.I
18c80	50 73 65 63 20 6f 6e 20 65 74 68 30 00 45 6e 61 62 6c 65 20 4f 53 50 46 00 45 6e 61 62 6c 65 20	Psec.on.eth0.Enable.OSPF.Enable.
18ca0	53 53 48 00 45 6e 61 62 6c 65 20 53 53 48 20 73 6f 20 79 6f 75 20 63 61 6e 20 6e 6f 77 20 53 53	SSH.Enable.SSH.so.you.can.now.SS
18cc0	48 20 69 6e 74 6f 20 74 68 65 20 72 6f 75 74 65 72 73 2c 20 72 61 74 68 65 72 20 74 68 61 6e 20	H.into.the.routers,.rather.than.
18ce0	75 73 69 6e 67 20 74 68 65 20 63 6f 6e 73 6f 6c 65 2e 00 45 6e 61 62 6c 65 73 20 72 6f 75 74 65	using.the.console..Enables.route
18d00	72 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 73 2e 20 54 68 69 73 20 69 73 20 61 6e 20 49 50 76	r.advertisements..This.is.an.IPv
18d20	36 20 61 6c 74 65 72 6e 61 74 69 76 65 20 66 6f 72 20 44 48 43 50 20 28 74 68 6f 75 67 68 20 44	6.alternative.for.DHCP.(though.D
18d40	48 43 50 76 36 20 63 61 6e 20 73 74 69 6c 6c 20 62 65 20 75 73 65 64 29 2e 20 57 69 74 68 20 52	HCPv6.can.still.be.used)..With.R
18d60	41 73 2c 20 59 6f 75 72 20 64 65 76 69 63 65 73 20 77 69 6c 6c 20 61 75 74 6f 6d 61 74 69 63 61	As,.Your.devices.will.automatica
18d80	6c 6c 79 20 66 69 6e 64 20 74 68 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 74 68 65 79 20 6e 65	lly.find.the.information.they.ne
18da0	65 64 20 66 6f 72 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 44 4e 53 2e 00 45 76 65 6e 20 69 66 20	ed.for.routing.and.DNS..Even.if.
18dc0	74 68 65 20 74 77 6f 20 7a 6f 6e 65 73 20 77 69 6c 6c 20 6e 65 76 65 72 20 63 6f 6d 6d 75 6e 69	the.two.zones.will.never.communi
18de0	63 61 74 65 2c 20 69 74 20 69 73 20 61 20 67 6f 6f 64 20 69 64 65 61 20 74 6f 20 63 72 65 61 74	cate,.it.is.a.good.idea.to.creat
18e00	65 20 74 68 65 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 72 75 6c 65 73 65	e.the.zone-pair-direction.rulese
18e20	74 73 20 61 6e 64 20 73 65 74 20 64 65 66 61 75 6c 74 2d 6c 6f 67 2e 20 54 68 69 73 20 77 69 6c	ts.and.set.default-log..This.wil
18e40	6c 20 61 6c 6c 6f 77 20 79 6f 75 20 74 6f 20 6c 6f 67 20 61 74 74 65 6d 70 74 73 20 74 6f 20 61	l.allow.you.to.log.attempts.to.a
18e60	63 63 65 73 73 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 69 74 68 6f 75 74 20 69 74 2c 20	ccess.the.networks..Without.it,.
18e80	79 6f 75 20 77 69 6c 6c 20 6e 65 76 65 72 20 73 65 65 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f	you.will.never.see.the.connectio
18ea0	6e 20 61 74 74 65 6d 70 74 73 2e 00 45 76 65 6e 20 69 66 20 74 68 65 20 74 77 6f 20 7a 6f 6e 65	n.attempts..Even.if.the.two.zone
18ec0	73 20 77 69 6c 6c 20 6e 65 76 65 72 20 63 6f 6d 6d 75 6e 69 63 61 74 65 2c 20 69 74 20 69 73 20	s.will.never.communicate,.it.is.
18ee0	61 20 67 6f 6f 64 20 69 64 65 61 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 7a 6f 6e 65 2d 70	a.good.idea.to.create.the.zone-p
18f00	61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 72 75 6c 65 73 65 74 73 20 61 6e 64 20 73 65 74 20 65	air-direction.rulesets.and.set.e
18f20	6e 61 62 6c 65 2d 64 65 66 61 75 6c 74 2d 6c 6f 67 2e 20 54 68 69 73 20 77 69 6c 6c 20 61 6c 6c	nable-default-log..This.will.all
18f40	6f 77 20 79 6f 75 20 74 6f 20 6c 6f 67 20 61 74 74 65 6d 70 74 73 20 74 6f 20 61 63 63 65 73 73	ow.you.to.log.attempts.to.access
18f60	20 74 68 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 69 74 68 6f 75 74 20 69 74 2c 20 79 6f 75 20 77	.the.networks..Without.it,.you.w
18f80	69 6c 6c 20 6e 65 76 65 72 20 73 65 65 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 61 74 74	ill.never.see.the.connection.att
18fa0	65 6d 70 74 73 2e 00 45 76 65 72 79 20 72 6f 75 74 65 72 20 2a 2a 6d 75 73 74 2a 2a 20 68 61 76	empts..Every.router.must.hav
18fc0	65 20 61 20 75 6e 69 71 75 65 20 72 6f 75 74 65 72 2d 69 64 2e 20 54 68 65 20 27 72 65 66 65 72	e.a.unique.router-id..The.'refer
18fe0	65 6e 63 65 2d 62 61 6e 64 77 69 64 74 68 27 20 69 73 20 75 73 65 64 20 62 65 63 61 75 73 65 20	ence-bandwidth'.is.used.because.
19000	77 68 65 6e 20 4f 53 50 46 20 77 61 73 20 6f 72 69 67 69 6e 61 6c 6c 79 20 64 65 73 69 67 6e 65	when.OSPF.was.originally.designe
19020	64 2c 20 74 68 65 20 69 64 65 61 20 6f 66 20 61 20 6c 69 6e 6b 20 66 61 73 74 65 72 20 74 68 61	d,.the.idea.of.a.link.faster.tha
19040	6e 20 31 67 62 69 74 20 77 61 73 20 75 6e 68 65 61 72 64 20 6f 66 2c 20 61 6e 64 20 69 74 20 64	n.1gbit.was.unheard.of,.and.it.d
19060	6f 65 73 20 6e 6f 74 20 73 63 61 6c 65 20 63 6f 72 72 65 63 74 6c 79 2e 00 45 76 65 72 79 20 72	oes.not.scale.correctly..Every.r
19080	6f 75 74 65 72 20 74 68 61 74 20 70 72 6f 76 69 64 65 73 20 61 63 63 65 73 73 20 74 6f 20 61 20	outer.that.provides.access.to.a.
190a0	63 75 73 74 6f 6d 65 72 20 6e 65 74 77 6f 72 6b 20 6e 65 65 64 73 20 74 6f 20 68 61 76 65 20 74	customer.network.needs.to.have.t
190c0	68 65 20 63 75 73 74 6f 6d 65 72 20 6e 65 74 77 6f 72 6b 20 28 56 52 46 20 2b 20 56 4e 49 29 20	he.customer.network.(VRF.+.VNI).
190e0	63 6f 6e 66 69 67 75 72 65 64 2e 20 54 6f 20 6d 61 6b 65 20 6f 75 72 20 6f 77 6e 20 6c 69 76 65	configured..To.make.our.own.live
19100	73 20 65 61 73 69 65 72 2c 20 77 65 20 75 74 69 6c 69 7a 65 20 74 68 65 20 73 61 6d 65 20 56 52	s.easier,.we.utilize.the.same.VR
19120	46 20 74 61 62 6c 65 20 69 64 20 28 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20	F.table.id.(local.routing.table.
19140	6e 75 6d 62 65 72 29 20 61 6e 64 20 56 4e 49 20 28 56 69 72 74 75 61 6c 20 4e 65 74 77 6f 72 6b	number).and.VNI.(Virtual.Network
19160	20 49 64 65 6e 74 69 66 69 65 72 29 20 70 65 72 20 74 65 6e 61 6e 74 20 6f 6e 20 61 6c 6c 20 6f	.Identifier).per.tenant.on.all.o
19180	75 72 20 72 6f 75 74 65 72 73 2e 00 45 76 65 72 79 20 74 65 6e 61 6e 74 20 69 73 20 61 73 73 69	ur.routers..Every.tenant.is.assi
191a0	67 6e 65 64 20 61 6e 20 69 6e 64 69 76 69 64 75 61 6c 20 56 52 46 20 74 68 61 74 20 77 6f 75 6c	gned.an.individual.VRF.that.woul
191c0	64 20 73 75 70 70 6f 72 74 20 6f 76 65 72 6c 61 70 70 69 6e 67 20 61 64 64 72 65 73 73 20 72 61	d.support.overlapping.address.ra
191e0	6e 67 65 73 20 66 6f 72 20 63 75 73 74 6f 6d 65 72 73 20 62 6c 75 65 2c 20 72 65 64 20 61 6e 64	nges.for.customers.blue,.red.and
19200	20 67 72 65 65 6e 2e 20 49 6e 20 6f 75 72 20 65 78 61 6d 70 6c 65 2c 20 77 65 20 64 6f 20 6e 6f	.green..In.our.example,.we.do.no
19220	74 20 75 73 65 20 6f 76 65 72 6c 61 70 70 69 6e 67 20 72 61 6e 67 65 73 20 74 6f 20 6d 61 6b 65	t.use.overlapping.ranges.to.make
19240	20 69 74 20 65 61 73 69 65 72 20 77 68 65 6e 20 73 68 6f 77 69 6e 67 20 64 65 62 75 67 20 63 6f	.it.easier.when.showing.debug.co
19260	6d 6d 61 6e 64 73 2e 00 45 78 61 6d 70 6c 65 00 45 78 61 6d 70 6c 65 20 31 3a 20 44 69 73 74 72	mmands..Example.Example.1:.Distr
19280	69 62 75 74 69 6e 67 20 6c 6f 61 64 20 65 76 65 6e 6c 79 00 45 78 61 6d 70 6c 65 20 32 3a 20 46	ibuting.load.evenly.Example.2:.F
192a0	61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 69 6e 74 65 72 66 61 63 65 20 77 65 69 67 68	ailover.based.on.interface.weigh
192c0	74 73 00 45 78 61 6d 70 6c 65 20 33 3a 20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20	ts.Example.3:.Failover.based.on.
192e0	72 75 6c 65 20 6f 72 64 65 72 00 45 78 61 6d 70 6c 65 20 34 3a 20 46 61 69 6c 6f 76 65 72 20 62	rule.order.Example.4:.Failover.b
19300	61 73 65 64 20 6f 6e 20 72 75 6c 65 20 6f 72 64 65 72 20 2d 20 70 72 69 6f 72 69 74 79 20 74 72	ased.on.rule.order.-.priority.tr
19320	61 66 66 69 63 00 45 78 61 6d 70 6c 65 20 35 3a 20 45 78 63 6c 75 64 65 20 74 72 61 66 66 69 63	affic.Example.5:.Exclude.traffic
19340	20 66 72 6f 6d 20 6c 6f 61 64 20 62 61 6c 61 6e 63 69 6e 67 00 45 78 61 6d 70 6c 65 20 4e 65 74	.from.load.balancing.Example.Net
19360	77 6f 72 6b 00 46 69 6c 6c 20 60 60 70 61 73 73 77 6f 72 64 60 60 20 61 6e 64 20 60 60 75 73 65	work.Fill.``password``.and.``use
19380	72 60 60 20 77 69 74 68 20 74 68 65 20 63 72 65 64 65 6e 74 69 61 6c 20 70 72 6f 76 69 64 65 64	r``.with.the.credential.provided
193a0	20 62 79 20 79 6f 75 72 20 49 53 50 2e 00 46 69 6e 61 6c 6c 79 2c 20 64 6f 6e 27 74 20 66 6f 72	.by.your.ISP..Finally,.don't.for
193c0	67 65 74 20 74 68 65 20 3a 72 65 66 3a 60 46 69 72 65 77 61 6c 6c 3c 63 6f 6e 66 69 67 75 72 61	get.the.:ref:`Firewall<configura
193e0	74 69 6f 6e 2f 66 69 72 65 77 61 6c 6c 2f 69 6e 64 65 78 3a 46 69 72 65 77 61 6c 6c 3e 60 2e 20	tion/firewall/index:Firewall>`..
19400	54 68 65 20 75 73 61 67 65 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 65 78 63 65 70 74 20 66	The.usage.is.identical,.except.f
19420	6f 72 20 69 6e 73 74 65 61 64 20 6f 66 20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 6e 61 6d 65	or.instead.of.`set.firewall.name
19440	20 4e 41 4d 45 60 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 66 69 72 65 77	.NAME`,.you.would.use.`set.firew
19460	61 6c 6c 20 69 70 76 36 2d 6e 61 6d 65 20 4e 41 4d 45 60 2e 00 46 69 6e 61 6c 6c 79 2c 20 64 6f	all.ipv6-name.NAME`..Finally,.do
19480	6e 27 74 20 66 6f 72 67 65 74 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 60 2e 20	n't.forget.the.:ref:`firewall`..
194a0	54 68 65 20 75 73 61 67 65 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 65 78 63 65 70 74 20 66	The.usage.is.identical,.except.f
194c0	6f 72 20 69 6e 73 74 65 61 64 20 6f 66 20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 6e 61 6d 65	or.instead.of.`set.firewall.name
194e0	20 4e 41 4d 45 60 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 66 69 72 65 77	.NAME`,.you.would.use.`set.firew
19500	61 6c 6c 20 69 70 76 36 2d 6e 61 6d 65 20 4e 41 4d 45 60 2e 00 46 69 6e 61 6c 6c 79 2c 20 6c 65	all.ipv6-name.NAME`..Finally,.le
19520	74 e2 80 99 73 20 63 68 65 63 6b 20 74 68 65 20 72 65 61 63 68 61 62 69 6c 69 74 79 20 62 65 74	t...s.check.the.reachability.bet
19540	77 65 65 6e 20 43 45 73 3a 00 46 69 72 65 77 61 6c 6c 00 46 69 72 65 77 61 6c 6c 20 43 6f 6e 66	ween.CEs:.Firewall.Firewall.Conf
19560	69 67 75 72 61 74 69 6f 6e 3a 00 46 69 72 65 77 61 6c 6c 20 45 78 61 6d 70 6c 65 73 00 46 69 72	iguration:.Firewall.Examples.Fir
19580	73 74 20 61 20 43 41 2c 20 61 20 73 69 67 6e 65 64 20 73 65 72 76 65 72 20 61 6e 64 20 63 6c 69	st.a.CA,.a.signed.server.and.cli
195a0	65 6e 74 20 63 65 66 74 69 66 69 63 61 74 65 20 61 6e 64 20 61 20 44 69 66 66 69 65 2d 48 65 6c	ent.ceftificate.and.a.Diffie-Hel
195c0	6c 6d 61 6e 20 70 61 72 61 6d 65 74 65 72 20 6d 75 73 73 74 20 62 65 20 67 65 6e 65 72 61 74 65	lman.parameter.musst.be.generate
195e0	64 20 61 6e 64 20 69 6e 73 74 61 6c 6c 65 64 2e 20 50 6c 65 61 73 65 20 6c 6f 6f 6b 20 3a 72 65	d.and.installed..Please.look.:re
19600	66 3a 60 68 65 72 65 20 3c 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 70 6b 69 2f 69 6e 64 65 78	f:`here.<configuration/pki/index
19620	3a 70 6b 69 3e 60 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 46 69 72	:pki>`.for.more.information..Fir
19640	73 74 20 70 72 65 70 61 72 65 20 6f 75 72 20 56 79 4f 53 20 72 6f 75 74 65 72 20 66 6f 72 20 63	st.prepare.our.VyOS.router.for.c
19660	6f 6e 6e 65 63 74 69 6f 6e 20 74 6f 20 4e 4d 50 2e 20 57 65 20 68 61 76 65 20 74 6f 20 73 65 74	onnection.to.NMP..We.have.to.set
19680	20 75 70 20 74 68 65 20 53 4e 4d 50 20 70 72 6f 74 6f 63 6f 6c 20 61 6e 64 20 63 6f 6e 6e 65 63	.up.the.SNMP.protocol.and.connec
196a0	74 69 76 69 74 79 20 62 65 74 77 65 65 6e 20 74 68 65 20 72 6f 75 74 65 72 20 61 6e 64 20 4e 4d	tivity.between.the.router.and.NM
196c0	50 2e 00 46 69 72 73 74 20 74 68 65 20 43 41 00 46 69 72 73 74 2c 20 77 65 20 63 6f 6e 66 69 67	P..First.the.CA.First,.we.config
196e0	75 72 65 20 74 68 65 20 60 60 76 79 6f 73 2d 77 61 6e 60 60 20 69 6e 74 65 72 66 61 63 65 20 74	ure.the.``vyos-wan``.interface.t
19700	6f 20 67 65 74 20 61 20 44 48 43 50 20 61 64 64 72 65 73 73 2e 00 46 69 72 73 74 2c 20 77 65 20	o.get.a.DHCP.address..First,.we.
19720	63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 6e 65 74 77 6f 72 6b 20	configure.the.transport.network.
19740	61 6e 64 20 74 68 65 20 54 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 2e 00 46 69 72 73 74 2c	and.the.Tunnel.interface..First,
19760	20 77 65 20 6e 65 65 64 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 69 6e 74 65 72 66	.we.need.to.configure.the.interf
19780	61 63 65 73 20 61 6e 64 20 56 52 46 73 3a 00 46 69 72 73 74 2c 20 77 65 20 6e 65 65 64 20 74 6f	aces.and.VRFs:.First,.we.need.to
197a0	20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 61 6e 64 20 62 72	.configure.the.interfaces.and.br
197c0	69 64 67 65 73 3a 00 46 6c 65 78 56 50 4e 20 69 73 20 61 20 6e 65 77 65 72 20 22 73 6f 6c 75 74	idges:.FlexVPN.is.a.newer."solut
197e0	69 6f 6e 22 20 66 6f 72 20 64 65 70 6c 6f 79 6d 65 6e 74 20 6f 66 20 56 50 4e 73 20 61 6e 64 20	ion".for.deployment.of.VPNs.and.
19800	69 74 20 75 74 69 6c 69 7a 65 73 20 49 4b 45 76 32 20 61 73 20 74 68 65 20 6b 65 79 20 65 78 63	it.utilizes.IKEv2.as.the.key.exc
19820	68 61 6e 67 65 20 70 72 6f 74 6f 63 6f 6c 2e 20 54 68 65 20 72 65 73 75 6c 74 20 69 73 20 61 20	hange.protocol..The.result.is.a.
19840	66 6c 65 78 69 62 6c 65 20 61 6e 64 20 73 63 61 6c 61 62 6c 65 20 56 50 4e 20 73 6f 6c 75 74 69	flexible.and.scalable.VPN.soluti
19860	6f 6e 20 74 68 61 74 20 63 61 6e 20 62 65 20 65 61 73 69 6c 79 20 61 64 61 70 74 65 64 20 74 6f	on.that.can.be.easily.adapted.to
19880	20 66 69 74 20 76 61 72 69 6f 75 73 20 6e 65 74 77 6f 72 6b 20 6e 65 65 64 73 2e 20 49 74 20 63	.fit.various.network.needs..It.c
198a0	61 6e 20 61 6c 73 6f 20 73 75 70 70 6f 72 74 20 61 20 76 61 72 69 65 74 79 20 6f 66 20 65 6e 63	an.also.support.a.variety.of.enc
198c0	72 79 70 74 69 6f 6e 20 6d 65 74 68 6f 64 73 2c 20 69 6e 63 6c 75 64 69 6e 67 20 41 45 53 20 61	ryption.methods,.including.AES.a
198e0	6e 64 20 33 44 45 53 2e 00 46 6f 72 20 2a 2a 69 6e 62 6f 75 6e 64 2d 69 6e 74 65 72 66 61 63 65	nd.3DES..For.**inbound-interface
19900	2a 2a 3a 20 75 73 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 6e 61 6d 65 20 77 69 74 68 20	**:.use.the.interface.name.with.
19920	74 68 65 20 56 52 46 20 6e 61 6d 65 2c 20 6c 69 6b 65 20 60 60 4d 47 4d 54 60 60 20 6f 72 20 60	the.VRF.name,.like.``MGMT``.or.`
19940	60 4c 41 4e 60 60 2e 00 46 6f 72 20 2a 2a 6f 75 74 62 6f 75 6e 64 2d 69 6e 74 65 72 66 61 63 65	`LAN``..For.**outbound-interface
19960	2a 2a 3a 20 75 73 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 6e 61 6d 65 2c 20 6c 69 6b 65	**:.use.the.interface.name,.like
19980	20 60 60 65 74 68 30 60 60 2c 20 60 60 76 74 75 6e 30 60 60 2c 20 60 60 65 74 68 32 2a 60 60 20	.``eth0``,.``vtun0``,.``eth2*``.
199a0	6f 72 20 73 69 6d 69 6c 61 72 2e 00 46 6f 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65	or.similar..For.connection.betwe
199c0	65 6e 20 73 69 74 65 73 2c 20 77 65 20 61 72 65 20 72 75 6e 6e 69 6e 67 20 61 20 57 69 72 65 47	en.sites,.we.are.running.a.WireG
199e0	75 61 72 64 20 6c 69 6e 6b 20 74 6f 20 74 77 6f 20 52 45 4d 4f 54 45 20 72 6f 75 74 65 72 73 20	uard.link.to.two.REMOTE.routers.
19a00	61 6e 64 20 75 73 69 6e 67 20 4f 53 50 46 20 6f 76 65 72 20 74 68 6f 73 65 20 6c 69 6e 6b 73 20	and.using.OSPF.over.those.links.
19a20	74 6f 20 64 69 73 74 72 69 62 75 74 65 20 72 6f 75 74 65 73 2e 20 54 68 61 74 20 72 65 6d 6f 74	to.distribute.routes..That.remot
19a40	65 20 73 69 74 65 20 69 73 20 65 78 70 65 63 74 65 64 20 74 6f 20 73 65 6e 64 20 74 72 61 66 66	e.site.is.expected.to.send.traff
19a60	69 63 20 66 72 6f 6d 20 61 6e 79 74 68 69 6e 67 20 69 6e 20 31 30 2e 32 30 31 2e 30 2e 30 2f 31	ic.from.anything.in.10.201.0.0/1
19a80	36 00 46 6f 72 20 65 78 61 6d 70 6c 65 2c 20 77 68 69 6c 65 20 61 20 68 6f 73 74 20 74 72 69 65	6.For.example,.while.a.host.trie
19aa0	73 20 74 6f 20 67 65 74 20 61 6e 20 49 50 20 61 64 64 72 65 73 73 20 66 72 6f 6d 20 61 20 44 48	s.to.get.an.IP.address.from.a.DH
19ac0	43 50 20 73 65 72 76 65 72 20 69 6e 20 62 72 31 20 61 6c 6c 20 44 48 43 50 20 64 69 73 63 6f 76	CP.server.in.br1.all.DHCP.discov
19ae0	65 72 20 61 72 65 20 64 72 6f 70 70 65 64 2c 20 61 6e 64 20 69 6e 20 62 72 32 2c 20 77 65 20 63	er.are.dropped,.and.in.br2,.we.c
19b00	61 6e 20 73 65 65 20 74 68 61 74 20 44 48 43 50 20 6f 66 66 65 72 73 20 66 72 6f 6d 20 75 6e 74	an.see.that.DHCP.offers.from.unt
19b20	72 75 73 74 65 64 20 73 65 72 76 65 72 73 20 61 72 65 20 64 72 6f 70 70 65 64 3a 00 46 6f 72 20	rusted.servers.are.dropped:.For.
19b40	68 6f 6d 65 20 6e 65 74 77 6f 72 6b 20 75 73 65 72 73 2c 20 6d 6f 73 74 20 6f 66 20 74 69 6d 65	home.network.users,.most.of.time
19b60	20 49 53 50 20 6f 6e 6c 79 20 70 72 6f 76 69 64 65 73 20 2f 36 34 20 70 72 65 66 69 78 2c 20 68	.ISP.only.provides./64.prefix,.h
19b80	65 6e 63 65 20 74 68 65 72 65 20 69 73 20 6e 6f 20 6e 65 65 64 20 74 6f 20 73 65 74 20 53 4c 41	ence.there.is.no.need.to.set.SLA
19ba0	20 49 44 20 61 6e 64 20 70 72 65 66 69 78 20 6c 65 6e 67 74 68 2e 20 53 65 65 20 3a 72 65 66 3a	.ID.and.prefix.length..See.:ref:
19bc0	60 70 70 70 6f 65 2d 69 6e 74 65 72 66 61 63 65 60 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72	`pppoe-interface`.for.more.infor
19be0	6d 61 74 69 6f 6e 2e 00 46 6f 72 20 72 65 64 75 6e 64 61 6e 74 20 2f 20 61 63 74 69 76 65 2d 61	mation..For.redundant./.active-a
19c00	63 74 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 73 65 65 20 3a 72 65 66 3a 60 65	ctive.configurations.see.:ref:`e
19c20	78 61 6d 70 6c 65 73 2d 61 7a 75 72 65 2d 76 70 6e 2d 64 75 61 6c 2d 62 67 70 60 00 46 6f 72 20	xamples-azure-vpn-dual-bgp`.For.
19c40	73 69 6d 70 6c 69 63 69 74 79 2c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 61 6e 64 20 74 65	simplicity,.configuration.and.te
19c60	73 74 73 20 61 72 65 20 64 6f 6e 65 20 6f 6e 6c 79 20 75 73 69 6e 67 20 49 50 76 34 2c 20 61 6e	sts.are.done.only.using.IPv4,.an
19c80	64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 73 20 64 6f 6e 65	d.firewall.configuration.is.done
19ca0	20 6f 6e 6c 79 20 6f 6e 20 6f 6e 65 20 72 6f 75 74 65 72 2e 00 46 6f 72 20 73 69 6d 70 6c 69 63	.only.on.one.router..For.simplic
19cc0	69 74 79 2c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 61 6e 64 20 74 65 73 74 73 20 61 72 65	ity,.configuration.and.tests.are
19ce0	20 64 6f 6e 65 20 6f 6e 6c 79 20 75 73 69 6e 67 20 69 70 76 34 2c 20 61 6e 64 20 66 69 72 65 77	.done.only.using.ipv4,.and.firew
19d00	61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 6e 20 64 6f 6e 65 20 6f 6e 6c 79 20 6f	all.configuration.in.done.only.o
19d20	6e 20 6f 6e 65 20 72 6f 75 74 65 72 2e 00 46 6f 72 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72	n.one.router..For.the.hardware.r
19d40	6f 75 74 65 72 2c 20 72 65 70 6c 61 63 65 20 60 60 65 74 68 30 60 60 20 77 69 74 68 20 60 60 62	outer,.replace.``eth0``.with.``b
19d60	6f 6e 64 30 60 60 2e 20 41 73 20 28 61 6c 6d 6f 73 74 29 20 65 76 65 72 79 20 63 6f 6d 6d 61 6e	ond0``..As.(almost).every.comman
19d80	64 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 74 68 69 73 20 77 69 6c 6c 20 6e 6f 74 20 62 65	d.is.identical,.this.will.not.be
19da0	20 73 70 65 63 69 66 69 65 64 20 75 6e 6c 65 73 73 20 64 69 66 66 65 72 65 6e 74 20 74 68 69 6e	.specified.unless.different.thin
19dc0	67 73 20 6e 65 65 64 20 74 6f 20 62 65 20 70 65 72 66 6f 72 6d 65 64 20 6f 6e 20 64 69 66 66 65	gs.need.to.be.performed.on.diffe
19de0	72 65 6e 74 20 68 6f 73 74 73 2e 00 46 72 6f 6d 20 44 61 74 61 63 65 6e 74 65 72 20 2d 20 54 68	rent.hosts..From.Datacenter.-.Th
19e00	69 73 20 63 6f 6e 6e 65 63 74 73 20 69 6e 74 6f 20 70 6f 72 74 20 31 20 6f 6e 20 62 6f 74 68 20	is.connects.into.port.1.on.both.
19e20	73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 69 73 20 74 61 67 67 65 64 20 61 73 20 56 4c 41 4e 20	switches,.and.is.tagged.as.VLAN.
19e40	35 30 00 46 72 6f 6d 20 4d 61 6e 61 67 65 6d 65 6e 74 20 74 6f 20 4c 41 4e 31 2f 4c 41 4e 32 00	50.From.Management.to.LAN1/LAN2.
19e60	46 72 6f 6d 20 4d 61 6e 61 67 65 6d 65 6e 74 20 74 6f 20 4f 75 74 73 69 64 65 20 28 66 61 69 6c	From.Management.to.Outside.(fail
19e80	73 20 61 73 20 69 6e 74 65 6e 64 65 64 29 00 46 75 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f	s.as.intended).Full.configuratio
19ea0	6e 20 66 72 6f 6d 20 61 6c 6c 20 64 65 76 69 63 65 73 00 47 52 45 3a 00 47 65 6e 65 72 61 6c 20	n.from.all.devices.GRE:.General.
19ec0	69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 4c 33 56 50 4e 73 20 63 61 6e 20 62 65 20	information.about.L3VPNs.can.be.
19ee0	66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e	found.in.the.:ref:`configuration
19f00	2f 76 72 66 2f 69 6e 64 65 78 3a 4c 33 56 50 4e 20 56 52 46 73 60 20 63 68 61 70 74 65 72 2e 00	/vrf/index:L3VPN.VRFs`.chapter..
19f20	47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 66 6f 75 6e 64	General.information.can.be.found
19f40	20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 76 72 66 2f	.in.the.:ref:`configuration/vrf/
19f60	69 6e 64 65 78 3a 4c 33 56 50 4e 20 56 52 46 73 60 20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72	index:L3VPN.VRFs`.chapter..Gener
19f80	61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74	al.information.can.be.found.in.t
19fa0	68 65 20 3a 72 65 66 3a 60 72 6f 75 74 69 6e 67 2d 62 67 70 60 20 63 68 61 70 74 65 72 2e 00 47	he.:ref:`routing-bgp`.chapter..G
19fc0	65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20	eneral.information.can.be.found.
19fe0	69 6e 20 74 68 65 20 3a 72 65 66 3a 60 72 6f 75 74 69 6e 67 2d 6f 73 70 66 60 20 63 68 61 70 74	in.the.:ref:`routing-ospf`.chapt
1a000	65 72 2e 00 48 61 72 64 77 61 72 65 00 48 61 72 64 77 61 72 65 20 52 6f 75 74 65 72 20 2d 20 50	er..Hardware.Hardware.Router.-.P
1a020	6f 72 74 20 38 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 48 65 72 65 20 69 73 20 61 6e 20	ort.8.of.each.switch.Here.is.an.
1a040	65 78 61 6d 70 6c 65 20 6f 66 20 61 6e 20 49 50 76 36 20 44 4d 5a 2d 57 41 4e 20 72 75 6c 65 73	example.of.an.IPv6.DMZ-WAN.rules
1a060	65 74 2e 00 48 65 72 65 20 69 73 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20 73	et..Here.is.the.routing.tables.s
1a080	68 6f 77 69 6e 67 20 74 68 65 20 4d 50 4c 53 20 73 65 67 6d 65 6e 74 20 72 6f 75 74 69 6e 67 20	howing.the.MPLS.segment.routing.
1a0a0	6c 61 62 65 6c 20 6f 70 65 72 61 74 69 6f 6e 73 3a 00 48 65 72 65 20 77 65 20 73 65 74 20 74 68	label.operations:.Here.we.set.th
1a0c0	65 20 70 72 65 66 69 78 20 74 6f 20 60 60 3a 3a 2f 36 34 60 60 20 74 6f 20 69 6e 64 69 63 61 74	e.prefix.to.``::/64``.to.indicat
1a0e0	65 20 61 64 76 65 72 74 69 73 69 6e 67 20 61 6e 79 20 2f 36 34 20 70 72 65 66 69 78 20 74 68 65	e.advertising.any./64.prefix.the
1a100	20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 2e 00 48 65 72 65	.LAN.interface.is.assigned..Here
1a120	20 77 65 20 75 73 65 20 74 68 65 20 70 72 65 66 69 78 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20	.we.use.the.prefix.to.configure.
1a140	74 68 65 20 61 64 64 72 65 73 73 20 6f 66 20 65 74 68 31 20 28 4c 41 4e 29 20 74 6f 20 66 6f 72	the.address.of.eth1.(LAN).to.for
1a160	6d 20 60 60 3c 70 72 65 66 69 78 3e 3a 3a 36 34 60 60 2c 20 77 68 65 72 65 20 60 60 36 34 60 60	m.``<prefix>::64``,.where.``64``
1a180	20 69 73 20 68 65 78 61 64 65 63 69 6d 61 6c 20 6f 66 20 61 64 64 72 65 73 73 20 31 30 30 2e 00	.is.hexadecimal.of.address.100..
1a1a0	48 69 67 68 20 41 76 61 69 6c 61 62 69 6c 69 74 79 20 57 61 6c 6b 74 68 72 6f 75 67 68 00 48 6f	High.Availability.Walkthrough.Ho
1a1c0	77 20 64 6f 65 73 20 69 74 20 77 6f 72 6b 3f 00 48 75 62 00 49 20 63 68 6f 73 65 20 74 6f 20 72	w.does.it.work?.Hub.I.chose.to.r
1a1e0	75 6e 20 4f 53 50 46 20 61 73 20 74 68 65 20 49 47 50 20 28 49 6e 74 65 72 69 6f 72 20 47 61 74	un.OSPF.as.the.IGP.(Interior.Gat
1a200	65 77 61 79 20 50 72 6f 74 6f 63 6f 6c 29 2e 20 41 6c 6c 20 72 65 71 75 69 72 65 64 20 42 47 50	eway.Protocol)..All.required.BGP
1a220	20 73 65 73 73 69 6f 6e 73 20 61 72 65 20 65 73 74 61 62 6c 69 73 68 65 64 20 76 69 61 20 61 20	.sessions.are.established.via.a.
1a240	64 75 6d 6d 79 20 69 6e 74 65 72 66 61 63 65 73 20 28 73 69 6d 69 6c 61 72 20 74 6f 20 74 68 65	dummy.interfaces.(similar.to.the
1a260	20 6c 6f 6f 70 62 61 63 6b 2c 20 62 75 74 20 69 6e 20 4c 69 6e 75 78 20 79 6f 75 20 63 61 6e 20	.loopback,.but.in.Linux.you.can.
1a280	68 61 76 65 20 6f 6e 6c 79 20 6f 6e 65 20 6c 6f 6f 70 62 61 63 6b 2c 20 77 68 69 6c 65 20 74 68	have.only.one.loopback,.while.th
1a2a0	65 72 65 20 63 61 6e 20 62 65 20 6d 61 6e 79 20 64 75 6d 6d 79 20 69 6e 74 65 72 66 61 63 65 73	ere.can.be.many.dummy.interfaces
1a2c0	29 20 6f 6e 20 74 68 65 20 50 45 20 72 6f 75 74 65 72 73 2e 20 49 6e 20 63 61 73 65 20 6f 66 20	).on.the.PE.routers..In.case.of.
1a2e0	61 20 6c 69 6e 6b 20 66 61 69 6c 75 72 65 2c 20 74 72 61 66 66 69 63 20 69 73 20 64 69 76 65 72	a.link.failure,.traffic.is.diver
1a300	74 65 64 20 69 6e 20 74 68 65 20 6f 74 68 65 72 20 64 69 72 65 63 74 69 6f 6e 20 69 6e 20 74 68	ted.in.the.other.direction.in.th
1a320	69 73 20 74 72 69 61 6e 67 6c 65 20 73 65 74 75 70 20 61 6e 64 20 42 47 50 20 73 65 73 73 69 6f	is.triangle.setup.and.BGP.sessio
1a340	6e 73 20 77 69 6c 6c 20 6e 6f 74 20 67 6f 20 64 6f 77 6e 2e 20 4f 6e 65 20 63 6f 75 6c 64 20 65	ns.will.not.go.down..One.could.e
1a360	76 65 6e 20 65 6e 61 62 6c 65 20 42 46 44 20 28 42 69 64 69 72 65 63 74 69 6f 6e 61 6c 20 46 6f	ven.enable.BFD.(Bidirectional.Fo
1a380	72 77 61 72 64 69 6e 67 20 44 65 74 65 63 74 69 6f 6e 29 20 6f 6e 20 74 68 65 20 6c 69 6e 6b 73	rwarding.Detection).on.the.links
1a3a0	20 66 6f 72 20 61 20 66 61 73 74 65 72 20 66 61 69 6c 6f 76 65 72 20 61 6e 64 20 72 65 73 69 6c	.for.a.faster.failover.and.resil
1a3c0	69 65 6e 63 65 20 69 6e 20 74 68 65 20 6e 65 74 77 6f 72 6b 2e 00 49 20 63 72 65 61 74 65 2f 63	ience.in.the.network..I.create/c
1a3e0	6f 6e 66 69 67 75 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 66 69 72 73 74 2e 20 42	onfigure.the.interfaces.first..B
1a400	75 69 6c 64 20 6f 75 74 20 74 68 65 20 72 75 6c 65 73 65 74 73 20 66 6f 72 20 65 61 63 68 20 7a	uild.out.the.rulesets.for.each.z
1a420	6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 77 68 69 63 68 20 69 6e 63 6c 75 64 65	one-pair-direction.which.include
1a440	73 20 61 74 20 6c 65 61 73 74 20 74 68 65 20 74 68 72 65 65 20 73 74 61 74 65 20 72 75 6c 65 73	s.at.least.the.three.state.rules
1a460	2e 20 54 68 65 6e 20 49 20 73 65 74 75 70 20 74 68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63 69 65 73	..Then.I.setup.the.zone-policies
1a480	2e 00 49 20 6e 61 6d 65 20 72 75 6c 65 20 73 65 74 73 20 74 6f 20 69 6e 64 69 63 61 74 65 20 77	..I.name.rule.sets.to.indicate.w
1a4a0	68 69 63 68 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 74 68 65 79 20 72 65	hich.zone-pair-direction.they.re
1a4c0	70 72 65 73 65 6e 74 2e 20 65 67 2e 20 5a 6f 6e 65 41 2d 5a 6f 6e 65 42 20 6f 72 20 5a 6f 6e 65	present..eg..ZoneA-ZoneB.or.Zone
1a4e0	42 2d 5a 6f 6e 65 41 2e 20 4c 41 4e 2d 44 4d 5a 2c 20 44 4d 5a 2d 4c 41 4e 2e 00 49 20 6e 61 6d	B-ZoneA..LAN-DMZ,.DMZ-LAN..I.nam
1a500	65 64 20 74 68 65 20 63 75 73 74 6f 6d 65 72 73 20 62 6c 75 65 2c 20 72 65 64 20 61 6e 64 20 67	ed.the.customers.blue,.red.and.g
1a520	72 65 65 6e 20 77 68 69 63 68 20 69 73 20 63 6f 6d 6d 6f 6e 20 70 72 61 63 74 69 63 65 20 69 6e	reen.which.is.common.practice.in
1a540	20 56 52 46 20 28 56 69 72 74 75 61 6c 20 52 6f 75 74 69 6e 67 20 61 6e 64 20 46 6f 72 77 61 72	.VRF.(Virtual.Routing.and.Forwar
1a560	64 69 6e 67 29 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 73 63 65 6e 61 72 69 6f 73 2e 00 49	ding).documentation.scenarios..I
1a580	20 73 70 75 6e 20 75 70 20 61 20 6e 65 77 20 6c 61 62 20 69 6e 20 45 56 45 2d 4e 47 2c 20 77 68	.spun.up.a.new.lab.in.EVE-NG,.wh
1a5a0	69 63 68 20 72 65 70 72 65 73 65 6e 74 73 20 74 68 69 73 20 61 73 20 74 68 65 20 22 46 6f 6f 20	ich.represents.this.as.the."Foo.
1a5c0	42 61 72 20 2d 20 53 65 72 76 69 63 65 20 50 72 6f 76 69 64 65 72 20 49 6e 63 2e 22 20 74 68 61	Bar.-.Service.Provider.Inc.".tha
1a5e0	74 20 68 61 73 20 33 20 70 6f 69 6e 74 73 20 6f 66 20 70 72 65 73 65 6e 63 65 20 28 50 6f 50 29	t.has.3.points.of.presence.(PoP)
1a600	20 69 6e 20 72 61 6e 64 6f 6d 20 64 61 74 61 63 65 6e 74 65 72 73 2f 73 69 74 65 73 20 6e 61 6d	.in.random.datacenters/sites.nam
1a620	65 64 20 50 45 31 2c 20 50 45 32 2c 20 61 6e 64 20 50 45 33 2e 20 45 61 63 68 20 50 6f 50 20 61	ed.PE1,.PE2,.and.PE3..Each.PoP.a
1a640	67 67 72 65 67 61 74 65 73 20 61 74 20 6c 65 61 73 74 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 73	ggregates.at.least.two.customers
1a660	2e 00 49 50 20 53 63 68 65 6d 61 00 49 50 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72	..IP.Schema.IP.firewall.configur
1a680	61 74 69 6f 6e 00 49 50 2f 4d 50 4c 53 20 74 65 63 68 6e 6f 6c 6f 67 79 20 69 73 20 77 69 64 65	ation.IP/MPLS.technology.is.wide
1a6a0	6c 79 20 75 73 65 64 20 62 79 20 76 61 72 69 6f 75 73 20 73 65 72 76 69 63 65 20 70 72 6f 76 69	ly.used.by.various.service.provi
1a6c0	64 65 72 73 20 61 6e 64 20 6c 61 72 67 65 20 65 6e 74 65 72 70 72 69 73 65 73 20 69 6e 20 6f 72	ders.and.large.enterprises.in.or
1a6e0	64 65 72 20 74 6f 20 61 63 68 69 65 76 65 20 62 65 74 74 65 72 20 6e 65 74 77 6f 72 6b 20 73 63	der.to.achieve.better.network.sc
1a700	61 6c 61 62 69 6c 69 74 79 2c 20 6d 61 6e 61 67 65 61 62 69 6c 69 74 79 20 61 6e 64 20 66 6c 65	alability,.manageability.and.fle
1a720	78 69 62 69 6c 69 74 79 2e 20 49 74 20 61 6c 73 6f 20 70 72 6f 76 69 64 65 73 20 74 68 65 20 70	xibility..It.also.provides.the.p
1a740	6f 73 73 69 62 69 6c 69 74 79 20 74 6f 20 64 65 6c 69 76 65 72 20 64 69 66 66 65 72 65 6e 74 20	ossibility.to.deliver.different.
1a760	73 65 72 76 69 63 65 73 20 66 6f 72 20 74 68 65 20 63 75 73 74 6f 6d 65 72 73 20 69 6e 20 61 20	services.for.the.customers.in.a.
1a780	73 65 61 6d 6c 65 73 73 20 6d 61 6e 6e 65 72 2e 20 4c 61 79 65 72 20 33 20 56 50 4e 20 28 4c 33	seamless.manner..Layer.3.VPN.(L3
1a7a0	56 50 4e 29 20 69 73 20 61 20 74 79 70 65 20 6f 66 20 56 50 4e 20 6d 6f 64 65 20 74 68 61 74 20	VPN).is.a.type.of.VPN.mode.that.
1a7c0	69 73 20 62 75 69 6c 74 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 74 68 72 6f 75 67 68 20 4f	is.built.and.delivered.through.O
1a7e0	53 49 20 6c 61 79 65 72 20 33 20 6e 65 74 77 6f 72 6b 69 6e 67 20 74 65 63 68 6e 6f 6c 6f 67 69	SI.layer.3.networking.technologi
1a800	65 73 2e 20 4f 66 74 65 6e 20 74 68 65 20 62 6f 72 64 65 72 20 67 61 74 65 77 61 79 20 70 72 6f	es..Often.the.border.gateway.pro
1a820	74 6f 63 6f 6c 20 28 42 47 50 29 20 69 73 20 75 73 65 64 20 74 6f 20 73 65 6e 64 20 61 6e 64 20	tocol.(BGP).is.used.to.send.and.
1a840	72 65 63 65 69 76 65 20 56 50 4e 2d 72 65 6c 61 74 65 64 20 64 61 74 61 20 74 68 61 74 20 69 73	receive.VPN-related.data.that.is
1a860	20 72 65 73 70 6f 6e 73 69 62 6c 65 20 66 6f 72 20 74 68 65 20 63 6f 6e 74 72 6f 6c 20 70 6c 61	.responsible.for.the.control.pla
1a880	6e 65 2e 20 4c 33 56 50 4e 20 75 74 69 6c 69 7a 65 73 20 76 69 72 74 75 61 6c 20 72 6f 75 74 69	ne..L3VPN.utilizes.virtual.routi
1a8a0	6e 67 20 61 6e 64 20 66 6f 72 77 61 72 64 69 6e 67 20 28 56 52 46 29 20 74 65 63 68 6e 69 71 75	ng.and.forwarding.(VRF).techniqu
1a8c0	65 73 20 74 6f 20 72 65 63 65 69 76 65 20 61 6e 64 20 64 65 6c 69 76 65 72 20 75 73 65 72 20 64	es.to.receive.and.deliver.user.d
1a8e0	61 74 61 20 61 73 20 77 65 6c 6c 20 61 73 20 73 65 70 61 72 61 74 65 20 64 61 74 61 20 70 6c 61	ata.as.well.as.separate.data.pla
1a900	6e 65 73 20 6f 66 20 74 68 65 20 65 6e 64 2d 75 73 65 72 73 2e 20 49 74 20 69 73 20 62 75 69 6c	nes.of.the.end-users..It.is.buil
1a920	74 20 75 73 69 6e 67 20 61 20 63 6f 6d 62 69 6e 61 74 69 6f 6e 20 6f 66 20 49 50 2d 20 61 6e 64	t.using.a.combination.of.IP-.and
1a940	20 4d 50 4c 53 2d 62 61 73 65 64 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 47 65 6e 65 72 61 6c	.MPLS-based.information..General
1a960	6c 79 2c 20 4c 33 56 50 4e 73 20 61 72 65 20 75 73 65 64 20 74 6f 20 73 65 6e 64 20 64 61 74 61	ly,.L3VPNs.are.used.to.send.data
1a980	20 6f 6e 20 62 61 63 6b 2d 65 6e 64 20 56 50 4e 20 69 6e 66 72 61 73 74 72 75 63 74 75 72 65 73	.on.back-end.VPN.infrastructures
1a9a0	2c 20 73 75 63 68 20 61 73 20 66 6f 72 20 56 50 4e 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 62 65	,.such.as.for.VPN.connections.be
1a9c0	74 77 65 65 6e 20 64 61 74 61 20 63 65 6e 74 72 65 73 2c 20 48 51 73 20 61 6e 64 20 62 72 61 6e	tween.data.centres,.HQs.and.bran
1a9e0	63 68 65 73 2e 00 49 50 53 65 63 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 50 73 65 63	ches..IPSec.configuration:.IPsec
1aa00	3a 00 49 50 76 34 20 4e 65 74 77 6f 72 6b 00 49 50 76 34 20 66 69 72 65 77 61 6c 6c 20 72 75 6c	:.IPv4.Network.IPv4.firewall.rul
1aa20	73 65 74 3a 00 49 50 76 36 20 4e 65 74 77 6f 72 6b 00 49 50 76 36 20 54 75 6e 6e 65 6c 00 49 53	set:.IPv6.Network.IPv6.Tunnel.IS
1aa40	49 53 2d 53 52 20 65 78 61 6d 70 6c 65 20 6e 65 74 77 6f 72 6b 00 49 53 49 53 2d 53 52 20 6e 65	IS-SR.example.network.ISIS-SR.ne
1aa60	74 77 6f 72 6b 00 49 53 50 00 49 66 20 60 73 6f 75 72 63 65 2d 61 64 64 72 65 73 73 60 20 69 73	twork.ISP.If.`source-address`.is
1aa80	20 20 64 79 6e 61 6d 69 63 2c 20 74 68 65 20 74 75 6e 6e 65 6c 20 77 69 6c 6c 20 63 65 61 73 65	..dynamic,.the.tunnel.will.cease
1aaa0	20 77 6f 72 6b 69 6e 67 20 6f 6e 63 65 20 74 68 65 20 61 64 64 72 65 73 73 20 63 68 61 6e 67 65	.working.once.the.address.change
1aac0	73 2e 20 54 6f 20 61 76 6f 69 64 20 68 61 76 69 6e 67 20 74 6f 20 6d 61 6e 75 61 6c 6c 79 20 75	s..To.avoid.having.to.manually.u
1aae0	70 64 61 74 65 20 60 73 6f 75 72 63 65 2d 61 64 64 72 65 73 73 60 20 65 61 63 68 20 74 69 6d 65	pdate.`source-address`.each.time
1ab00	20 74 68 65 20 64 79 6e 61 6d 69 63 20 49 50 20 63 68 61 6e 67 65 73 2c 20 61 6e 20 61 64 64 72	.the.dynamic.IP.changes,.an.addr
1ab20	65 73 73 20 6f 66 20 27 30 2e 30 2e 30 2e 30 27 20 63 61 6e 20 62 65 20 73 70 65 63 69 66 69 65	ess.of.'0.0.0.0'.can.be.specifie
1ab40	64 2e 00 49 66 20 74 68 65 20 63 6c 69 65 6e 74 20 69 73 20 63 6f 6e 6e 65 63 74 20 73 75 63 63	d..If.the.client.is.connect.succ
1ab60	65 73 73 66 75 6c 6c 79 20 79 6f 75 20 63 61 6e 20 63 68 65 63 6b 20 74 68 65 20 6f 75 74 70 75	essfully.you.can.check.the.outpu
1ab80	74 20 77 69 74 68 00 49 66 20 74 68 65 20 63 6c 69 65 6e 74 20 69 73 20 63 6f 6e 6e 65 63 74 65	t.with.If.the.client.is.connecte
1aba0	64 20 73 75 63 63 65 73 73 66 75 6c 6c 79 20 79 6f 75 20 63 61 6e 20 63 68 65 63 6b 20 74 68 65	d.successfully.you.can.check.the
1abc0	20 73 74 61 74 75 73 00 49 66 20 77 65 20 6e 65 65 64 20 74 6f 20 72 65 74 72 69 65 76 65 20 69	.status.If.we.need.to.retrieve.i
1abe0	6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 61 20 73 70 65 63 69 66 69 63 20 68 6f 73 74	nformation.about.a.specific.host
1ac00	2f 6e 65 74 77 6f 72 6b 20 69 6e 73 69 64 65 20 74 68 65 20 45 56 50 4e 20 6e 65 74 77 6f 72 6b	/network.inside.the.EVPN.network
1ac20	20 77 65 20 6e 65 65 64 20 74 6f 20 72 75 6e 00 49 66 20 79 6f 75 20 61 72 65 20 66 6f 6c 6c 6f	.we.need.to.run.If.you.are.follo
1ac40	77 69 6e 67 20 74 68 72 6f 75 67 68 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 2c 20 69 74 20 69	wing.through.this.document,.it.i
1ac60	73 20 73 74 72 6f 6e 67 6c 79 20 73 75 67 67 65 73 74 65 64 20 79 6f 75 20 63 6f 6d 70 6c 65 74	s.strongly.suggested.you.complet
1ac80	65 20 74 68 65 20 65 6e 74 69 72 65 20 64 6f 63 75 6d 65 6e 74 2c 20 4f 4e 4c 59 20 64 6f 69 6e	e.the.entire.document,.ONLY.doin
1aca0	67 20 74 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 31 20 73 74 65 70 73 2c 20 61 6e 64	g.the.virtual.router1.steps,.and
1acc0	20 74 68 65 6e 20 63 6f 6d 65 20 62 61 63 6b 20 61 6e 64 20 77 61 6c 6b 20 74 68 72 6f 75 67 68	.then.come.back.and.walk.through
1ace0	20 69 74 20 41 47 41 49 4e 20 6f 6e 20 74 68 65 20 62 61 63 6b 75 70 20 68 61 72 64 77 61 72 65	.it.AGAIN.on.the.backup.hardware
1ad00	20 72 6f 75 74 65 72 2e 00 49 66 20 79 6f 75 20 61 72 65 20 75 73 69 6e 67 20 61 20 49 50 76 36	.router..If.you.are.using.a.IPv6
1ad20	20 74 75 6e 6e 65 6c 20 66 72 6f 6d 20 48 45 2e 6e 65 74 20 6f 72 20 73 6f 6d 65 6f 6e 65 20 65	.tunnel.from.HE.net.or.someone.e
1ad40	6c 73 65 2c 20 74 68 65 20 62 61 73 69 73 20 69 73 20 74 68 65 20 73 61 6d 65 20 65 78 63 65 70	lse,.the.basis.is.the.same.excep
1ad60	74 20 79 6f 75 20 68 61 76 65 20 74 77 6f 20 57 41 4e 20 69 6e 74 65 72 66 61 63 65 73 2e 20 4f	t.you.have.two.WAN.interfaces..O
1ad80	6e 65 20 66 6f 72 20 76 34 20 61 6e 64 20 6f 6e 65 20 66 6f 72 20 76 36 2e 00 49 66 20 79 6f 75	ne.for.v4.and.one.for.v6..If.you
1ada0	20 75 73 65 20 61 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 69 74 73 65 6c 66 2c 20	.use.a.routing.protocol.itself,.
1adc0	79 6f 75 20 73 6f 6c 76 65 20 74 77 6f 20 70 72 6f 62 6c 65 6d 73 20 61 74 20 6f 6e 63 65 2e 20	you.solve.two.problems.at.once..
1ade0	54 68 69 73 20 69 73 20 6f 6e 6c 79 20 61 20 62 61 73 69 63 20 65 78 61 6d 70 6c 65 2c 20 61 6e	This.is.only.a.basic.example,.an
1ae00	64 20 69 73 20 70 72 6f 76 69 64 65 64 20 61 73 20 61 20 73 74 61 72 74 69 6e 67 20 70 6f 69 6e	d.is.provided.as.a.starting.poin
1ae20	74 2e 00 49 66 20 79 6f 75 72 20 63 6f 6d 70 75 74 65 72 20 69 73 20 6f 6e 20 74 68 65 20 4c 41	t..If.your.computer.is.on.the.LA
1ae40	4e 20 61 6e 64 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 53 53 48 20 69 6e 74 6f 20 79 6f 75 72 20	N.and.you.need.to.SSH.into.your.
1ae60	56 79 4f 53 20 62 6f 78 2c 20 79 6f 75 20 77 6f 75 6c 64 20 6e 65 65 64 20 61 20 72 75 6c 65 20	VyOS.box,.you.would.need.a.rule.
1ae80	74 6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e 20 74 68 65 20 4c 41 4e 2d 4c 6f 63 61 6c 20 72 75 6c	to.allow.it.in.the.LAN-Local.rul
1aea0	65 73 65 74 2e 20 49 66 20 79 6f 75 20 77 61 6e 74 20 74 6f 20 61 63 63 65 73 73 20 61 20 77 65	eset..If.you.want.to.access.a.we
1aec0	62 70 61 67 65 20 66 72 6f 6d 20 79 6f 75 72 20 56 79 4f 53 20 62 6f 78 2c 20 79 6f 75 20 6e 65	bpage.from.your.VyOS.box,.you.ne
1aee0	65 64 20 61 20 72 75 6c 65 20 74 6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e 20 74 68 65 20 4c 6f 63	ed.a.rule.to.allow.it.in.the.Loc
1af00	61 6c 2d 4c 41 4e 20 72 75 6c 65 73 65 74 2e 00 49 6d 61 67 65 20 6e 61 6d 65 3a 20 76 79 6f 73	al-LAN.ruleset..Image.name:.vyos
1af20	2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 2d 61 6d 64 36 34 2e	-1.4-rolling-202110310317-amd64.
1af40	69 73 6f 00 49 6e 20 3a 76 79 74 61 73 6b 3a 60 54 32 31 39 39 60 20 74 68 65 20 73 79 6e 74 61	iso.In.:vytask:`T2199`.the.synta
1af60	78 20 6f 66 20 74 68 65 20 7a 6f 6e 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 61 73 20	x.of.the.zone.configuration.was.
1af80	63 68 61 6e 67 65 64 2e 20 54 68 65 20 7a 6f 6e 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20	changed..The.zone.configuration.
1afa0	6d 6f 76 65 64 20 66 72 6f 6d 20 60 60 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 7a 6f 6e 65 20 3c 6e	moved.from.``zone-policy.zone.<n
1afc0	61 6d 65 3e 60 60 20 74 6f 20 60 60 66 69 72 65 77 61 6c 6c 20 7a 6f 6e 65 20 3c 6e 61 6d 65 3e	ame>``.to.``firewall.zone.<name>
1afe0	60 60 2e 00 49 6e 20 56 79 4f 53 20 79 6f 75 20 6d 75 73 74 20 68 61 76 65 20 74 68 65 20 69 6e	``..In.VyOS.you.must.have.the.in
1b000	74 65 72 66 61 63 65 73 20 63 72 65 61 74 65 64 20 62 65 66 6f 72 65 20 79 6f 75 20 63 61 6e 20	terfaces.created.before.you.can.
1b020	61 70 70 6c 79 20 69 74 20 74 6f 20 74 68 65 20 7a 6f 6e 65 20 61 6e 64 20 74 68 65 20 72 75 6c	apply.it.to.the.zone.and.the.rul
1b040	65 73 65 74 73 20 6d 75 73 74 20 62 65 20 63 72 65 61 74 65 64 20 70 72 69 6f 72 20 74 6f 20 61	esets.must.be.created.prior.to.a
1b060	70 70 6c 79 69 6e 67 20 69 74 20 74 6f 20 61 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 2e 00 49 6e 20	pplying.it.to.a.zone-policy..In.
1b080	56 79 4f 53 2c 20 79 6f 75 20 68 61 76 65 20 74 6f 20 68 61 76 65 20 75 6e 69 71 75 65 20 52 75	VyOS,.you.have.to.have.unique.Ru
1b0a0	6c 65 73 65 74 20 6e 61 6d 65 73 2e 20 49 6e 20 74 68 65 20 65 76 65 6e 74 20 6f 66 20 6f 76 65	leset.names..In.the.event.of.ove
1b0c0	72 6c 61 70 2c 20 49 20 61 64 64 20 61 20 22 2d 36 22 20 74 6f 20 74 68 65 20 65 6e 64 20 6f 66	rlap,.I.add.a."-6".to.the.end.of
1b0e0	20 76 36 20 72 75 6c 65 73 65 74 73 2e 20 65 67 2e 20 4c 41 4e 2d 44 4d 5a 2c 20 4c 41 4e 2d 44	.v6.rulesets..eg..LAN-DMZ,.LAN-D
1b100	4d 5a 2d 36 2e 20 54 68 69 73 20 61 6c 6c 6f 77 73 20 66 6f 72 20 65 61 63 68 20 61 75 74 6f 2d	MZ-6..This.allows.for.each.auto-
1b120	63 6f 6d 70 6c 65 74 69 6f 6e 20 61 6e 64 20 75 6e 69 71 75 65 6e 65 73 73 2e 00 49 6e 20 72 75	completion.and.uniqueness..In.ru
1b140	6c 65 73 2c 20 69 74 20 69 73 20 67 6f 6f 64 20 74 6f 20 6b 65 65 70 20 74 68 65 6d 20 6e 61 6d	les,.it.is.good.to.keep.them.nam
1b160	65 64 20 63 6f 6e 73 69 73 74 65 6e 74 6c 79 2e 20 41 73 20 74 68 65 20 6e 75 6d 62 65 72 20 6f	ed.consistently..As.the.number.o
1b180	66 20 72 75 6c 65 73 20 79 6f 75 20 68 61 76 65 20 67 72 6f 77 73 2c 20 74 68 65 20 6d 6f 72 65	f.rules.you.have.grows,.the.more
1b1a0	20 63 6f 6e 73 69 73 74 65 6e 63 79 20 79 6f 75 20 68 61 76 65 2c 20 74 68 65 20 65 61 73 69 65	.consistency.you.have,.the.easie
1b1c0	72 20 79 6f 75 72 20 6c 69 66 65 20 77 69 6c 6c 20 62 65 2e 00 49 6e 20 74 68 65 20 61 62 6f 76	r.your.life.will.be..In.the.abov
1b1e0	65 20 65 78 61 6d 70 6c 65 73 2c 20 31 2c 32 2c 66 66 66 66 20 61 72 65 20 61 6c 6c 20 63 68 6f	e.examples,.1,2,ffff.are.all.cho
1b200	73 65 6e 20 62 79 20 79 6f 75 2e 20 59 6f 75 20 63 61 6e 20 75 73 65 20 31 2d 66 66 66 66 20 28	sen.by.you..You.can.use.1-ffff.(
1b220	31 2d 36 35 35 33 35 29 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 6f 6e 20 74 68 65 20 72 6f 75	1-65535)..In.the.end,.on.the.rou
1b240	74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 77 65 20 77 69 6c 6c 20 73 65 74 20 6f 75 74 67	ter....VyOS2....we.will.set.outg
1b260	6f 69 6e 67 20 62 61 6e 64 77 69 64 74 68 20 6c 69 6d 69 74 73 20 62 65 74 77 65 65 6e 20 74 68	oing.bandwidth.limits.between.th
1b280	65 20 e2 80 9c 56 79 4f 53 33 e2 80 9d 20 61 6e 64 20 e2 80 9c 56 79 4f 53 31 e2 80 9d 20 72 6f	e....VyOS3....and....VyOS1....ro
1b2a0	75 74 65 72 73 2e 20 4c 65 74 27 73 20 73 65 74 20 61 20 6c 69 6d 69 74 20 66 6f 72 20 49 50 20	uters..Let's.set.a.limit.for.IP.
1b2c0	31 30 2e 31 2e 31 2e 31 30 30 20 3d 20 35 20 4d 62 70 73 28 54 78 29 2e 20 57 65 20 77 69 6c 6c	10.1.1.100.=.5.Mbps(Tx)..We.will
1b2e0	20 63 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 20 6f 66 20 74 68 65 20 77 6f 72 6b 20 77 69	.check.the.result.of.the.work.wi
1b300	74 68 20 74 68 65 20 68 65 6c 70 20 6f 66 20 74 68 65 20 e2 80 9c 69 50 65 72 66 e2 80 9d 20 75	th.the.help.of.the....iPerf....u
1b320	74 69 6c 69 74 79 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 77 65 20 77 69 6c 6c 20 63 6f 6e 66	tility..In.the.end,.we.will.conf
1b340	69 67 75 72 65 20 74 68 65 20 74 72 61 66 66 69 63 20 73 68 61 70 65 72 20 75 73 69 6e 67 20 51	igure.the.traffic.shaper.using.Q
1b360	6f 53 20 6d 65 63 68 61 6e 69 73 6d 73 20 6f 6e 20 74 68 65 20 e2 80 9c 56 59 4f 53 32 e2 80 9d	oS.mechanisms.on.the....VYOS2...
1b380	20 72 6f 75 74 65 72 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 79 6f 75 20 77 69 6c 6c 20 65 6e	.router..In.the.end,.you.will.en
1b3a0	64 20 75 70 20 77 69 74 68 20 73 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 20 74 68 69 73 20 63 6f	d.up.with.something.like.this.co
1b3c0	6e 66 69 67 2e 20 49 20 74 6f 6f 6b 20 6f 75 74 20 65 76 65 72 79 74 68 69 6e 67 20 62 75 74 20	nfig..I.took.out.everything.but.
1b3e0	74 68 65 20 46 69 72 65 77 61 6c 6c 2c 20 49 6e 74 65 72 66 61 63 65 73 2c 20 61 6e 64 20 7a 6f	the.Firewall,.Interfaces,.and.zo
1b400	6e 65 2d 70 6f 6c 69 63 79 20 73 65 63 74 69 6f 6e 73 2e 20 49 74 20 69 73 20 6c 6f 6e 67 20 65	ne-policy.sections..It.is.long.e
1b420	6e 6f 75 67 68 20 61 73 20 69 73 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 79 6f 75 27 6c 6c 20	nough.as.is..In.the.end,.you'll.
1b440	67 65 74 20 61 20 70 6f 77 65 72 66 75 6c 20 69 6e 73 74 72 75 6d 65 6e 74 20 66 6f 72 20 6d 6f	get.a.powerful.instrument.for.mo
1b460	6e 69 74 6f 72 69 6e 67 20 74 68 65 20 56 79 4f 53 20 73 79 73 74 65 6d 73 2e 00 49 6e 20 74 68	nitoring.the.VyOS.systems..In.th
1b480	65 20 6e 65 78 74 20 63 68 61 70 74 65 72 20 6f 66 20 74 68 65 20 65 78 61 6d 70 6c 65 2c 20 77	e.next.chapter.of.the.example,.w
1b4a0	65 27 6c 6c 20 75 73 65 20 41 6e 73 69 62 6c 65 20 77 69 74 68 20 6a 69 6e 6a 61 32 20 74 65 6d	e'll.use.Ansible.with.jinja2.tem
1b4c0	70 6c 61 74 65 73 20 61 6e 64 20 76 61 72 69 61 62 6c 65 73 2e 00 49 6e 20 74 68 65 20 6e 65 78	plates.and.variables..In.the.nex
1b4e0	74 20 63 68 61 70 74 65 72 20 6f 66 20 74 68 65 20 65 78 61 6d 70 6c 65 2c 20 77 65 27 6c 6c 20	t.chapter.of.the.example,.we'll.
1b500	75 73 65 20 74 68 65 20 41 6e 73 69 62 6c 65 20 77 69 74 68 20 6a 69 6e 6a 61 32 20 74 65 6d 70	use.the.Ansible.with.jinja2.temp
1b520	6c 61 74 65 73 20 61 6e 64 20 76 61 72 69 61 62 6c 65 73 2e 00 49 6e 20 74 68 69 73 20 63 61 73	lates.and.variables..In.this.cas
1b540	65 2c 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 20 68 61 73 20 61 20 64 69 66	e,.the.hardware.router.has.a.dif
1b560	66 65 72 65 6e 74 20 49 50 2c 20 73 6f 20 69 74 20 77 6f 75 6c 64 20 62 65 00 49 6e 20 74 68 69	ferent.IP,.so.it.would.be.In.thi
1b580	73 20 63 61 73 65 2c 20 77 65 20 61 72 65 20 73 65 74 74 69 6e 67 20 74 68 65 20 76 36 20 72 75	s.case,.we.are.setting.the.v6.ru
1b5a0	6c 65 73 65 74 20 74 68 61 74 20 72 65 70 72 65 73 65 6e 74 73 20 74 72 61 66 66 69 63 20 73 6f	leset.that.represents.traffic.so
1b5c0	75 72 63 65 64 20 66 72 6f 6d 20 74 68 65 20 4c 41 4e 2c 20 64 65 73 74 69 6e 65 64 20 66 6f 72	urced.from.the.LAN,.destined.for
1b5e0	20 74 68 65 20 44 4d 5a 2e 20 42 65 63 61 75 73 65 20 74 68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63	.the.DMZ..Because.the.zone-polic
1b600	79 20 66 69 72 65 77 61 6c 6c 20 73 79 6e 74 61 78 20 69 73 20 61 20 6c 69 74 74 6c 65 20 61 77	y.firewall.syntax.is.a.little.aw
1b620	6b 77 61 72 64 2c 20 49 20 6b 65 65 70 20 69 74 20 73 74 72 61 69 67 68 74 20 62 79 20 74 68 69	kward,.I.keep.it.straight.by.thi
1b640	6e 6b 69 6e 67 20 6f 66 20 69 74 20 62 61 63 6b 77 61 72 64 73 2e 00 49 6e 20 74 68 69 73 20 63	nking.of.it.backwards..In.this.c
1b660	61 73 65 2c 20 77 65 27 6c 6c 20 74 72 79 20 74 6f 20 6d 61 6b 65 20 61 20 73 69 6d 70 6c 65 20	ase,.we'll.try.to.make.a.simple.
1b680	6c 61 62 20 75 73 69 6e 67 20 51 6f 53 20 61 6e 64 20 74 68 65 20 67 65 6e 65 72 61 6c 20 61 62	lab.using.QoS.and.the.general.ab
1b6a0	69 6c 69 74 79 20 6f 66 20 74 68 65 20 56 79 4f 53 20 73 79 73 74 65 6d 2e 20 57 65 20 72 65 63	ility.of.the.VyOS.system..We.rec
1b6c0	6f 6d 6d 65 6e 64 20 79 6f 75 20 74 6f 20 67 6f 20 74 68 72 6f 75 67 68 20 74 68 65 20 6d 61 69	ommend.you.to.go.through.the.mai
1b6e0	6e 20 61 72 74 69 63 6c 65 20 61 62 6f 75 74 20 60 51 6f 53 20 3c 68 74 74 70 73 3a 2f 2f 64 6f	n.article.about.`QoS.<https://do
1b700	63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f 6e 66 69 67 75 72 61 74 69	cs.vyos.io/en/latest/configurati
1b720	6f 6e 2f 74 72 61 66 66 69 63 70 6f 6c 69 63 79 2f 69 6e 64 65 78 2e 68 74 6d 6c 3e 60 5f 20 66	on/trafficpolicy/index.html>`_.f
1b740	69 72 73 74 2e 00 49 6e 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 2c 20 77 65 20 68 61 76 65 20	irst..In.this.document,.we.have.
1b760	62 65 65 6e 20 61 6c 6c 6f 63 61 74 65 64 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32 34 20 62 79	been.allocated.203.0.113.0/24.by
1b780	20 6f 75 72 20 75 70 73 74 72 65 61 6d 20 70 72 6f 76 69 64 65 72 2c 20 77 68 69 63 68 20 77 65	.our.upstream.provider,.which.we
1b7a0	20 61 72 65 20 70 75 62 6c 69 73 68 69 6e 67 20 6f 6e 20 56 4c 41 4e 31 30 30 2e 00 49 6e 20 74	.are.publishing.on.VLAN100..In.t
1b7c0	68 69 73 20 65 78 61 6d 70 6c 65 20 4f 70 65 6e 56 50 4e 20 77 69 6c 6c 20 62 65 20 73 65 74 75	his.example.OpenVPN.will.be.setu
1b7e0	70 20 77 69 74 68 20 61 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65 20 61 6e 64 20	p.with.a.client.certificate.and.
1b800	75 73 65 72 6e 61 6d 65 20 2f 20 70 61 73 73 77 6f 72 64 20 61 75 74 68 65 6e 74 69 63 61 74 69	username./.password.authenticati
1b820	6f 6e 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 74 77 6f 20 4c 41 4e 20 69 6e 74 65	on..In.this.example.two.LAN.inte
1b840	72 66 61 63 65 73 20 65 78 69 73 74 20 69 6e 20 64 69 66 66 65 72 65 6e 74 20 73 75 62 6e 65 74	rfaces.exist.in.different.subnet
1b860	73 20 69 6e 73 74 65 61 64 20 6f 66 20 6f 6e 65 20 6c 69 6b 65 20 69 6e 20 74 68 65 20 70 72 65	s.instead.of.one.like.in.the.pre
1b880	76 69 6f 75 73 20 65 78 61 6d 70 6c 65 73 3a 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20	vious.examples:.In.this.example.
1b8a0	77 65 20 68 61 76 65 20 34 20 7a 6f 6e 65 73 2e 20 4c 41 4e 2c 20 57 41 4e 2c 20 44 4d 5a 2c 20	we.have.4.zones..LAN,.WAN,.DMZ,.
1b8c0	4c 6f 63 61 6c 2e 20 54 68 65 20 6c 6f 63 61 6c 20 7a 6f 6e 65 20 69 73 20 74 68 65 20 66 69 72	Local..The.local.zone.is.the.fir
1b8e0	65 77 61 6c 6c 20 69 74 73 65 6c 66 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 77 65	ewall.itself..In.this.example.we
1b900	20 75 73 65 20 56 79 4f 53 20 31 2e 35 20 61 73 20 4c 4e 53 20 61 6e 64 20 43 69 73 63 6f 20 49	.use.VyOS.1.5.as.LNS.and.Cisco.I
1b920	4f 53 20 61 73 20 4c 41 43 2e 20 41 6c 6c 20 75 73 65 72 73 20 77 69 74 68 20 64 6f 6d 61 69 6e	OS.as.LAC..All.users.with.domain
1b940	20 2a 2a 76 79 6f 73 2e 69 6f 2a 2a 20 77 69 6c 6c 20 62 65 20 74 75 6e 6e 65 6c 65 64 20 74 6f	.vyos.io.will.be.tunneled.to
1b960	20 4c 4e 53 20 76 69 61 20 4c 32 54 50 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 2c 20	.LNS.via.L2TP..In.this.example,.
1b980	65 74 68 30 20 69 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 69 6e 74 65 72 66 61 63 65 20 61 6e	eth0.is.the.primary.interface.an
1b9a0	64 20 65 74 68 31 20 69 73 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 69 6e 74 65 72 66 61 63	d.eth1.is.the.secondary.interfac
1b9c0	65 2e 20 54 6f 20 70 72 6f 76 69 64 65 20 73 69 6d 70 6c 65 20 66 61 69 6c 6f 76 65 72 20 66 75	e..To.provide.simple.failover.fu
1b9e0	6e 63 74 69 6f 6e 61 6c 69 74 79 2e 20 49 66 20 65 74 68 30 20 66 61 69 6c 73 2c 20 65 74 68 31	nctionality..If.eth0.fails,.eth1
1ba00	20 74 61 6b 65 73 20 6f 76 65 72 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 2c 20 77 65	.takes.over..In.this.example,.we
1ba20	20 77 69 6c 6c 20 73 65 74 20 75 70 20 61 20 73 69 6d 70 6c 65 20 75 73 65 20 6f 66 20 41 6e 73	.will.set.up.a.simple.use.of.Ans
1ba40	69 62 6c 65 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 6d 75 6c 74 69 70 6c 65 20 56 79 6f 53 20	ible.to.configure.multiple.VyoS.
1ba60	72 6f 75 74 65 72 73 2e 20 57 65 20 68 61 76 65 20 66 6f 75 72 20 70 72 65 2d 63 6f 6e 66 69 67	routers..We.have.four.pre-config
1ba80	75 72 65 64 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 74 68 69 73 20 63 6f 6e 66 69 67 75 72 61	ured.routers.with.this.configura
1baa0	74 69 6f 6e 3a 00 49 6e 20 74 68 69 73 20 6c 61 62 20 77 65 20 75 73 65 20 57 69 6e 64 6f 77 73	tion:.In.this.lab.we.use.Windows
1bac0	20 50 50 50 6f 45 20 63 6c 69 65 6e 74 2e 00 49 6e 20 74 68 69 73 20 73 65 63 74 69 6f 6e 2c 20	.PPPoE.client..In.this.section,.
1bae0	77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 66 69	we.are.going.to.configure.the.fi
1bb00	72 65 77 61 6c 6c 20 72 75 6c 65 73 20 74 68 61 74 20 77 69 6c 6c 20 62 65 20 75 73 65 64 20 69	rewall.rules.that.will.be.used.i
1bb20	6e 20 62 72 69 64 67 65 20 66 69 72 65 77 61 6c 6c 2c 20 61 6e 64 20 77 69 6c 6c 20 63 6f 6e 74	n.bridge.firewall,.and.will.cont
1bb40	72 6f 6c 20 74 68 65 20 74 72 61 66 66 69 63 20 77 69 74 68 69 6e 20 65 61 63 68 20 62 72 69 64	rol.the.traffic.within.each.brid
1bb60	67 65 2e 00 49 6e 62 6f 75 6e 64 20 57 41 4e 20 63 6f 6e 6e 65 63 74 20 74 6f 20 44 4d 5a 20 68	ge..Inbound.WAN.connect.to.DMZ.h
1bb80	6f 73 74 2e 00 49 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 45 74 68 65 72 6e 65 74 20	ost..Information.about.Ethernet.
1bba0	56 69 72 74 75 61 6c 20 50 72 69 76 61 74 65 20 4e 65 74 77 6f 72 6b 73 00 49 6e 66 6f 72 6d 61	Virtual.Private.Networks.Informa
1bbc0	74 69 6f 6e 20 61 62 6f 75 74 20 70 72 65 66 69 78 2d 73 69 64 20 61 6e 64 20 6c 61 62 65 6c 2d	tion.about.prefix-sid.and.label-
1bbe0	6f 70 65 72 61 74 69 6f 6e 20 66 72 6f 6d 20 56 79 4f 53 00 49 6e 73 74 61 6c 6c 20 41 6e 73 69	operation.from.VyOS.Install.Ansi
1bc00	62 6c 65 3a 00 49 6e 73 74 61 6c 6c 20 50 61 72 61 6d 69 6b 6f 3a 00 49 6e 73 74 61 6c 6c 20 74	ble:.Install.Paramiko:.Install.t
1bc20	68 65 20 41 6e 73 69 62 6c 65 3a 00 49 6e 73 74 61 6c 6c 20 74 68 65 20 70 61 72 61 6d 69 6b 6f	he.Ansible:.Install.the.paramiko
1bc40	3a 00 49 6e 74 65 72 2d 56 52 46 20 52 6f 75 74 69 6e 67 20 6f 76 65 72 20 56 52 46 20 4c 69 74	:.Inter-VRF.Routing.over.VRF.Lit
1bc60	65 00 49 6e 74 65 72 2d 56 52 46 20 72 6f 75 74 69 6e 67 20 69 73 20 61 20 77 65 6c 6c 2d 6b 6e	e.Inter-VRF.routing.is.a.well-kn
1bc80	6f 77 6e 20 73 6f 6c 75 74 69 6f 6e 20 74 6f 20 61 64 64 72 65 73 73 20 63 6f 6d 70 6c 65 78 20	own.solution.to.address.complex.
1bca0	72 6f 75 74 69 6e 67 20 73 63 65 6e 61 72 69 6f 73 20 74 68 61 74 20 65 6e 61 62 6c 65 20 2d 69	routing.scenarios.that.enable.-i
1bcc0	6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61 79 2d 20 74 6f 20 6c 65 61 6b 20 72 6f 75 74 65 73 20	n.a.dynamic.way-.to.leak.routes.
1bce0	62 65 74 77 65 65 6e 20 56 52 46 73 2e 20 49 73 20 72 65 63 6f 6d 6d 65 6e 64 65 64 20 74 6f 20	between.VRFs..Is.recommended.to.
1bd00	74 61 6b 65 20 73 70 65 63 69 61 6c 20 63 6f 6e 73 69 64 65 72 61 74 69 6f 6e 20 77 68 69 6c 65	take.special.consideration.while
1bd20	20 64 65 73 69 67 6e 69 6e 67 20 72 6f 75 74 65 2d 74 61 72 67 65 74 73 20 61 6e 64 20 69 74 73	.designing.route-targets.and.its
1bd40	20 61 70 70 6c 69 63 61 74 69 6f 6e 20 61 73 20 69 74 20 63 61 6e 20 6d 69 6e 69 6d 69 7a 65 20	.application.as.it.can.minimize.
1bd60	66 75 74 75 72 65 20 69 6e 74 65 72 76 65 6e 74 69 6f 6e 73 20 77 68 69 6c 65 20 63 72 65 61 74	future.interventions.while.creat
1bd80	69 6e 67 20 61 20 6e 65 77 20 56 52 46 20 77 69 6c 6c 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79	ing.a.new.VRF.will.automatically
1bda0	20 74 61 6b 65 20 74 68 65 20 64 65 73 69 72 65 64 20 65 66 66 65 63 74 20 69 6e 20 69 74 73 20	.take.the.desired.effect.in.its.
1bdc0	70 72 6f 70 61 67 61 74 69 6f 6e 2e 00 49 6e 74 65 72 66 61 63 65 20 61 6e 64 20 72 6f 75 74 69	propagation..Interface.and.routi
1bde0	6e 67 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 6e 74 65 72 6e 61 6c 20 4e 65 74 77 6f	ng.configuration:.Internal.Netwo
1be00	72 6b 00 49 6e 74 65 72 6e 65 74 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32	rk.Internet.Internet.-.192.168.2
1be20	30 30 2e 31 30 30 20 2d 20 54 43 50 2f 32 35 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31	00.100.-.TCP/25.Internet.-.192.1
1be40	36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 34 34 33 00 49 6e 74 65 72 6e 65 74 20 2d 20	68.200.100.-.TCP/443.Internet.-.
1be60	31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 35 33 00 49 6e 74 65 72 6e 65	192.168.200.100.-.TCP/53.Interne
1be80	74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 38 30 00 49 73 6f	t.-.192.168.200.100.-.TCP/80.Iso
1bea0	6c 61 74 65 64 20 6c 61 79 65 72 20 32 20 62 72 69 64 67 65 2e 00 49 74 20 69 73 20 61 73 73 75	lated.layer.2.bridge..It.is.assu
1bec0	6d 65 64 20 74 68 61 74 20 74 68 65 20 72 6f 75 74 65 72 73 20 70 72 6f 76 69 64 65 64 20 62 79	med.that.the.routers.provided.by
1bee0	20 75 70 73 74 72 65 61 6d 20 61 72 65 20 63 61 70 61 62 6c 65 20 6f 66 20 61 63 74 69 6e 67 20	.upstream.are.capable.of.acting.
1bf00	61 73 20 61 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 2c 20 61 64 64 20 74 68 61 74 20 61 73	as.a.default.router,.add.that.as
1bf20	20 61 20 73 74 61 74 69 63 20 72 6f 75 74 65 2e 00 49 74 20 69 73 20 67 6f 6f 64 20 70 72 61 63	.a.static.route..It.is.good.prac
1bf40	74 69 63 65 20 74 6f 20 6c 6f 67 20 62 6f 74 68 20 61 63 63 65 70 74 65 64 20 61 6e 64 20 64 65	tice.to.log.both.accepted.and.de
1bf60	6e 69 65 64 20 74 72 61 66 66 69 63 2e 20 49 74 20 63 61 6e 20 73 61 76 65 20 79 6f 75 20 73 69	nied.traffic..It.can.save.you.si
1bf80	67 6e 69 66 69 63 61 6e 74 20 68 65 61 64 61 63 68 65 73 20 77 68 65 6e 20 74 72 79 69 6e 67 20	gnificant.headaches.when.trying.
1bfa0	74 6f 20 74 72 6f 75 62 6c 65 73 68 6f 6f 74 20 61 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69	to.troubleshoot.a.connectivity.i
1bfc0	73 73 75 65 2e 00 49 74 20 77 69 6c 6c 20 6c 6f 6f 6b 20 73 6f 6d 65 74 68 69 6e 67 20 6c 69 6b	ssue..It.will.look.something.lik
1bfe0	65 20 74 68 69 73 3a 00 49 74 27 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 6e 6f 74 65 20 74	e.this:.It's.important.to.note.t
1c000	68 61 74 20 61 6c 6c 20 79 6f 75 72 20 65 78 69 73 74 69 6e 67 20 63 6f 6e 66 69 67 75 72 61 74	hat.all.your.existing.configurat
1c020	69 6f 6e 73 20 77 69 6c 6c 20 62 65 20 6d 69 67 72 61 74 65 64 20 61 75 74 6f 6d 61 74 69 63 61	ions.will.be.migrated.automatica
1c040	6c 6c 79 20 6f 6e 20 69 6d 61 67 65 20 75 70 67 72 61 64 65 2e 20 4e 6f 74 68 69 6e 67 20 74 6f	lly.on.image.upgrade..Nothing.to
1c060	20 64 6f 20 6f 6e 20 79 6f 75 72 20 73 69 64 65 2e 00 4b 65 65 70 20 6e 65 74 77 6f 72 6b 73 20	.do.on.your.side..Keep.networks.
1c080	69 73 6f 6c 61 74 65 64 20 69 73 20 2d 69 6e 20 67 65 6e 65 72 61 6c 2d 20 61 20 67 6f 6f 64 20	isolated.is.-in.general-.a.good.
1c0a0	70 72 69 6e 63 69 70 6c 65 2c 20 62 75 74 20 74 68 65 72 65 20 61 72 65 20 63 61 73 65 73 20 77	principle,.but.there.are.cases.w
1c0c0	68 65 72 65 20 79 6f 75 20 6d 69 67 68 74 20 6e 65 65 64 20 74 68 61 74 20 73 6f 6d 65 20 6e 65	here.you.might.need.that.some.ne
1c0e0	74 77 6f 72 6b 20 63 61 6e 20 61 63 63 65 73 73 20 6f 74 68 65 72 20 69 6e 20 61 20 64 69 66 66	twork.can.access.other.in.a.diff
1c100	65 72 65 6e 74 20 56 52 46 2e 00 4c 33 56 50 4e 20 45 56 50 4e 20 77 69 74 68 20 56 79 4f 53 00	erent.VRF..L3VPN.EVPN.with.VyOS.
1c120	4c 33 56 50 4e 20 45 56 50 4e 20 77 69 74 68 20 56 79 4f 53 20 74 6f 70 6f 6c 6f 67 79 20 69 6d	L3VPN.EVPN.with.VyOS.topology.im
1c140	61 67 65 00 4c 33 56 50 4e 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 70 61 72 61 6d 65 74 65	age.L3VPN.configuration.paramete
1c160	72 73 20 74 61 62 6c 65 3a 00 4c 33 56 50 4e 20 66 6f 72 20 48 75 62 2d 61 6e 64 2d 53 70 6f 6b	rs.table:.L3VPN.for.Hub-and-Spok
1c180	65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 77 69 74 68 20 56 79 4f 53 00 4c 41 43 00 4c 41 4e	e.connectivity.with.VyOS.LAC.LAN
1c1a0	20 31 00 4c 41 4e 20 32 00 4c 41 4e 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 4c 41 4e 20 61	.1.LAN.2.LAN.Configuration.LAN.a
1c1c0	6e 64 20 44 4d 5a 20 68 6f 73 74 73 20 68 61 76 65 20 62 61 73 69 63 20 6f 75 74 62 6f 75 6e 64	nd.DMZ.hosts.have.basic.outbound
1c1e0	20 61 63 63 65 73 73 3a 20 57 65 62 2c 20 46 54 50 2c 20 53 53 48 2e 00 4c 41 4e 20 63 61 6e 20	.access:.Web,.FTP,.SSH..LAN.can.
1c200	61 63 63 65 73 73 20 44 4d 5a 20 72 65 73 6f 75 72 63 65 73 2e 00 4c 41 4e 2c 20 57 41 4e 2c 20	access.DMZ.resources..LAN,.WAN,.
1c220	44 4d 5a 2c 20 6c 6f 63 61 6c 20 61 6e 64 20 54 55 4e 20 28 74 75 6e 6e 65 6c 29 00 4c 41 4e 31	DMZ,.local.and.TUN.(tunnel).LAN1
1c240	00 4c 41 4e 31 20 74 6f 20 4c 41 4e 32 00 4c 41 4e 31 20 74 6f 20 4f 75 74 73 69 64 65 00 4c 41	.LAN1.to.LAN2.LAN1.to.Outside.LA
1c260	4e 32 00 4c 4e 53 00 4c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 49 50 76 34 20 72 6f 75 74 69 6e	N2.LNS.Let...s.check.IPv4.routin
1c280	67 20 61 6e 64 20 4d 50 4c 53 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 6f 6e 20 70 72 6f 76 69 64	g.and.MPLS.information.on.provid
1c2a0	65 72 20 6e 6f 64 65 73 20 28 73 61 6d 65 20 70 72 6f 63 65 64 75 72 65 20 66 6f 72 20 61 6c 6c	er.nodes.(same.procedure.for.all
1c2c0	20 50 20 6e 6f 64 65 73 29 3a 00 4c 65 74 e2 80 99 73 20 73 61 79 20 77 65 20 68 61 76 65 20 61	.P.nodes):.Let...s.say.we.have.a
1c2e0	20 72 65 71 75 69 72 65 6d 65 6e 74 20 74 6f 20 68 61 76 65 20 6d 75 6c 74 69 70 6c 65 20 6e 65	.requirement.to.have.multiple.ne
1c300	74 77 6f 72 6b 73 2e 00 4c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20 73 68 6f 75 6c 64 20 62 65 20	tworks..Local.subnets.should.be.
1c320	61 62 6c 65 20 74 6f 20 72 65 61 63 68 20 69 6e 74 65 72 6e 65 74 20 75 73 69 6e 67 20 73 6f 75	able.to.reach.internet.using.sou
1c340	72 63 65 20 4e 41 54 2e 00 4c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20 73 68 6f 75 6c 64 20 62 65	rce.NAT..Local.subnets.should.be
1c360	20 61 62 6c 65 20 74 6f 20 72 65 61 63 68 20 69 6e 74 65 72 6e 65 74 20 75 73 69 6e 67 20 73 6f	.able.to.reach.internet.using.so
1c380	75 72 63 65 20 6e 61 74 2e 00 4d 50 2d 42 47 50 20 6f 72 20 4d 75 6c 74 69 50 72 6f 74 6f 63 6f	urce.nat..MP-BGP.or.MultiProtoco
1c3a0	6c 20 42 47 50 20 69 6e 74 72 6f 64 75 63 65 73 20 74 77 6f 20 6d 61 69 6e 20 63 6f 6e 63 65 70	l.BGP.introduces.two.main.concep
1c3c0	74 73 20 74 6f 20 73 6f 6c 76 65 20 74 68 69 73 20 6c 69 6d 69 74 61 74 69 6f 6e 3a 20 2d 20 52	ts.to.solve.this.limitation:.-.R
1c3e0	6f 75 74 65 20 44 69 73 74 69 6e 67 75 69 73 68 65 72 20 28 52 44 29 3a 20 49 73 20 75 73 65 64	oute.Distinguisher.(RD):.Is.used
1c400	20 74 6f 20 64 69 73 74 69 6e 67 75 69 73 68 20 62 65 74 77 65 65 6e 20 64 69 66 66 65 72 65 6e	.to.distinguish.between.differen
1c420	74 20 56 52 46 73 20 e2 80 93 63 61 6c 6c 65 64 20 56 50 4e 73 2d 20 69 6e 73 69 64 65 20 74 68	t.VRFs....called.VPNs-.inside.th
1c440	65 20 42 47 50 20 50 72 6f 63 65 73 73 2e 20 54 68 65 20 52 44 20 69 73 20 61 70 70 65 6e 64 65	e.BGP.Process..The.RD.is.appende
1c460	64 20 74 6f 20 65 61 63 68 20 49 50 76 34 20 4e 65 74 77 6f 72 6b 20 74 68 61 74 20 69 73 20 61	d.to.each.IPv4.Network.that.is.a
1c480	64 76 65 72 74 69 73 65 64 20 69 6e 74 6f 20 42 47 50 20 66 6f 72 20 74 68 61 74 20 56 50 4e 20	dvertised.into.BGP.for.that.VPN.
1c4a0	6d 61 6b 69 6e 67 20 69 74 20 61 20 75 6e 69 71 75 65 20 56 50 4e 76 34 20 72 6f 75 74 65 2e 20	making.it.a.unique.VPNv4.route..
1c4c0	2d 20 52 6f 75 74 65 20 54 61 72 67 65 74 20 28 52 54 29 3a 20 54 68 69 73 20 69 73 20 61 6e 20	-.Route.Target.(RT):.This.is.an.
1c4e0	65 78 74 65 6e 64 65 64 20 42 47 50 20 63 6f 6d 6d 75 6e 69 74 79 20 61 70 70 65 6e 64 20 74 6f	extended.BGP.community.append.to
1c500	20 74 68 65 20 56 50 4e 76 34 20 72 6f 75 74 65 20 69 6e 20 74 68 65 20 49 6d 70 6f 72 74 2f 45	.the.VPNv4.route.in.the.Import/E
1c520	78 70 6f 72 74 20 70 72 6f 63 65 73 73 2e 20 57 68 65 6e 20 61 20 72 6f 75 74 65 20 70 61 73 73	xport.process..When.a.route.pass
1c540	65 73 20 66 72 6f 6d 20 74 68 65 20 56 52 46 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 6e	es.from.the.VRF.routing.table.in
1c560	74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 20 69 74 20 77 69 6c 6c 20 61 64 64 20 74	to.the.BGP.process.it.will.add.t
1c580	68 65 20 63 6f 6e 66 69 67 75 72 65 64 20 65 78 70 6f 72 74 20 65 78 74 65 6e 64 65 64 20 63 6f	he.configured.export.extended.co
1c5a0	6d 6d 75 6e 69 74 79 28 69 65 73 29 20 66 6f 72 20 74 68 61 74 20 56 50 4e 2e 20 57 68 65 6e 20	mmunity(ies).for.that.VPN..When.
1c5c0	74 68 61 74 20 72 6f 75 74 65 20 6e 65 65 64 73 20 74 6f 20 67 6f 20 66 72 6f 6d 20 42 47 50 20	that.route.needs.to.go.from.BGP.
1c5e0	69 6e 74 6f 20 74 68 65 20 56 52 46 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 77 69 6c 6c 20	into.the.VRF.routing.table.will.
1c600	6f 6e 6c 79 20 70 61 73 73 20 69 66 20 74 68 61 74 20 67 69 76 65 6e 20 56 50 4e 20 69 6d 70 6f	only.pass.if.that.given.VPN.impo
1c620	72 74 20 70 6f 6c 69 63 79 20 6d 61 74 63 68 65 73 20 61 6e 79 20 6f 66 20 74 68 65 20 61 70 70	rt.policy.matches.any.of.the.app
1c640	65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 28 69 65 73 29 20 69 6e 74 6f 20 74 68 61 74 20 70	ended.community(ies).into.that.p
1c660	72 65 66 69 78 2e 00 4d 61 69 6e 20 72 75 6c 65 73 3a 00 4d 61 6b 65 20 73 75 72 65 20 79 6f 75	refix..Main.rules:.Make.sure.you
1c680	20 63 61 6e 20 70 69 6e 67 20 31 30 2e 32 35 34 2e 36 30 2e 31 20 61 6e 64 20 2e 32 20 66 72 6f	.can.ping.10.254.60.1.and..2.fro
1c6a0	6d 20 62 6f 74 68 20 72 6f 75 74 65 72 73 2e 00 4d 61 6e 61 67 65 6d 65 6e 74 00 4d 61 6e 61 67	m.both.routers..Management.Manag
1c6c0	65 6d 65 6e 74 20 56 52 46 00 4d 61 6e 79 20 6f 74 68 65 72 20 48 79 70 65 72 76 69 73 6f 72 73	ement.VRF.Many.other.Hypervisors
1c6e0	20 64 6f 20 74 68 69 73 2c 20 61 6e 64 20 49 27 6d 20 68 6f 70 69 6e 67 20 74 68 61 74 20 74 68	.do.this,.and.I'm.hoping.that.th
1c700	69 73 20 64 6f 63 75 6d 65 6e 74 20 77 69 6c 6c 20 62 65 20 65 78 70 61 6e 64 65 64 20 74 6f 20	is.document.will.be.expanded.to.
1c720	64 6f 63 75 6d 65 6e 74 20 68 6f 77 20 74 6f 20 64 6f 20 74 68 69 73 20 66 6f 72 20 6f 74 68 65	document.how.to.do.this.for.othe
1c740	72 73 2e 00 4d 61 73 71 75 65 72 61 64 65 20 54 72 61 66 66 69 63 20 6f 72 69 67 69 6e 61 74 69	rs..Masquerade.Traffic.originati
1c760	6e 67 20 66 72 6f 6d 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 74 68 61 74 20 69 73 20	ng.from.10.200.201.0/24.that.is.
1c780	68 65 61 64 69 6e 67 20 6f 75 74 20 74 68 65 20 70 75 62 6c 69 63 20 69 6e 74 65 72 66 61 63 65	heading.out.the.public.interface
1c7a0	2e 00 4d 6f 6e 69 74 6f 72 69 6e 67 00 4d 6f 6e 69 74 6f 72 69 6e 67 20 6f 6e 20 4c 41 43 20 73	..Monitoring.Monitoring.on.LAC.s
1c7c0	69 64 65 00 4d 6f 6e 69 74 6f 72 69 6e 67 20 6f 6e 20 4c 4e 53 20 73 69 64 65 00 4d 6f 6e 69 74	ide.Monitoring.on.LNS.side.Monit
1c7e0	6f 72 69 6e 67 20 6f 6e 20 52 41 44 49 55 53 20 53 65 72 76 65 72 20 73 69 64 65 00 4d 75 6c 74	oring.on.RADIUS.Server.side.Mult
1c800	69 70 6c 65 20 4c 41 4e 2f 44 4d 5a 20 53 65 74 75 70 00 4e 41 54 20 61 6e 64 20 63 6f 6e 6e 74	iple.LAN/DMZ.Setup.NAT.and.connt
1c820	72 61 63 6b 2d 73 79 6e 63 00 4e 4d 50 20 65 78 61 6d 70 6c 65 00 4e 61 74 69 76 65 20 49 50 76	rack-sync.NMP.example.Native.IPv
1c840	34 20 61 6e 64 20 49 50 76 36 00 4e 65 74 77 6f 72 6b 20 43 61 62 6c 69 6e 67 00 4e 65 74 77 6f	4.and.IPv6.Network.Cabling.Netwo
1c860	72 6b 20 54 6f 70 6f 6c 6f 67 79 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 20 44 69 61	rk.Topology.Network.Topology.Dia
1c880	67 72 61 6d 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 20 61 6e 64 20 72 65 71 75 69 72	gram.Network.Topology.and.requir
1c8a0	65 6d 65 6e 74 73 00 4e 65 78 74 20 6f 6e 20 74 68 65 20 72 6f 75 74 65 72 20 56 79 4f 53 32 20	ements.Next.on.the.router.VyOS2.
1c8c0	77 65 20 77 69 6c 6c 20 63 68 61 6e 67 65 20 6c 61 62 65 6c 73 20 6f 6e 20 61 6c 6c 20 69 6e 63	we.will.change.labels.on.all.inc
1c8e0	6f 6d 69 6e 67 20 74 72 61 66 66 69 63 20 6f 6e 6c 79 20 66 72 6f 6d 20 43 53 34 2d 3e 20 43 53	oming.traffic.only.from.CS4->.CS
1c900	36 00 4e 65 78 74 20 74 68 69 6e 67 20 74 6f 20 64 6f 2c 20 69 73 20 74 6f 20 63 72 65 61 74 65	6.Next.thing.to.do,.is.to.create
1c920	20 61 20 77 69 72 65 67 75 61 72 64 20 6b 65 79 70 61 69 72 20 6f 6e 20 65 61 63 68 20 73 69 64	.a.wireguard.keypair.on.each.sid
1c940	65 2e 20 41 66 74 65 72 20 74 68 69 73 2c 20 74 68 65 20 70 75 62 6c 69 63 20 6b 65 79 20 63 61	e..After.this,.the.public.key.ca
1c960	6e 20 62 65 20 64 69 73 70 6c 61 79 65 64 2c 20 74 6f 20 73 61 76 65 20 66 6f 72 20 6c 61 74 65	n.be.displayed,.to.save.for.late
1c980	72 2e 00 4e 65 78 74 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68	r..Next,.we.need.to.configure.th
1c9a0	65 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 2e 20 46 69 72 73 74 20 77 65 20 77 69 6c 6c 20	e.firewall.rules..First.we.will.
1c9c0	64 65 66 69 6e 65 20 61 6c 6c 20 72 75 6c 65 73 20 66 6f 72 20 74 72 61 6e 73 69 74 20 74 72 61	define.all.rules.for.transit.tra
1c9e0	66 66 69 63 20 62 65 74 77 65 65 6e 20 56 52 46 73 2e 00 4e 65 78 74 2c 20 77 65 20 77 69 6c 6c	ffic.between.VRFs..Next,.we.will
1ca00	20 72 65 70 6c 61 63 65 20 6f 6e 6c 79 20 61 6c 6c 20 43 53 34 20 6c 61 62 65 6c 73 20 6f 6e 20	.replace.only.all.CS4.labels.on.
1ca20	74 68 65 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 72 6f 75 74 65 72 2e 00 4e 65 78 74 2c 20 79 6f	the....VyOS2....router..Next,.yo
1ca40	75 20 6a 75 73 74 20 20 73 68 6f 75 6c 64 20 66 6f 6c 6c 6f 77 20 74 68 65 20 70 69 63 74 75 72	u.just..should.follow.the.pictur
1ca60	65 73 3a 00 4e 6f 64 65 00 4e 6f 74 65 20 74 68 61 74 20 72 6f 75 74 65 72 31 20 69 73 20 61 20	es:.Node.Note.that.router1.is.a.
1ca80	56 4d 20 74 68 61 74 20 72 75 6e 73 20 6f 6e 20 6f 6e 65 20 6f 66 20 74 68 65 20 63 6f 6d 70 75	VM.that.runs.on.one.of.the.compu
1caa0	74 65 20 6e 6f 64 65 73 2e 00 4e 6f 74 65 20 74 6f 20 61 6c 6c 6f 77 20 74 68 65 20 72 6f 75 74	te.nodes..Note.to.allow.the.rout
1cac0	65 72 20 74 6f 20 72 65 63 65 69 76 65 20 44 48 43 50 76 36 20 72 65 73 70 6f 6e 73 65 20 66 72	er.to.receive.DHCPv6.response.fr
1cae0	6f 6d 20 49 53 50 2e 20 57 65 20 6e 65 65 64 20 74 6f 20 61 6c 6c 6f 77 20 70 61 63 6b 65 74 73	om.ISP..We.need.to.allow.packets
1cb00	20 77 69 74 68 20 73 6f 75 72 63 65 20 70 6f 72 74 20 35 34 37 20 28 73 65 72 76 65 72 29 20 61	.with.source.port.547.(server).a
1cb20	6e 64 20 64 65 73 74 69 6e 61 74 69 6f 6e 20 70 6f 72 74 20 35 34 36 20 28 63 6c 69 65 6e 74 29	nd.destination.port.546.(client)
1cb40	2e 00 4e 6f 74 69 63 65 2c 20 6e 6f 6e 65 20 67 6f 20 74 6f 20 57 41 4e 20 73 69 6e 63 65 20 57	..Notice,.none.go.to.WAN.since.W
1cb60	41 4e 20 77 6f 75 6c 64 6e 27 74 20 68 61 76 65 20 61 20 76 36 20 61 64 64 72 65 73 73 20 6f 6e	AN.wouldn't.have.a.v6.address.on
1cb80	20 69 74 2e 00 4e 6f 77 20 65 6e 61 62 6c 65 20 72 65 70 6c 69 63 61 74 69 6f 6e 20 62 65 74 77	.it..Now.enable.replication.betw
1cba0	65 65 6e 20 6e 6f 64 65 73 2e 20 52 65 70 6c 61 63 65 20 65 74 68 30 2e 32 30 31 20 77 69 74 68	een.nodes..Replace.eth0.201.with
1cbc0	20 62 6f 6e 64 30 2e 32 30 31 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65	.bond0.201.on.the.hardware.route
1cbe0	72 2e 00 4e 6f 77 20 67 65 6e 65 72 61 74 65 20 61 6c 6c 20 72 65 71 75 69 72 65 64 20 63 65 72	r..Now.generate.all.required.cer
1cc00	74 69 66 69 63 61 74 65 73 20 6f 6e 20 74 68 65 20 6f 76 70 6e 2d 73 65 72 76 65 72 3a 00 4e 6f	tificates.on.the.ovpn-server:.No
1cc20	77 20 74 68 65 20 43 6c 69 65 6e 74 20 69 73 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 61 20 70	w.the.Client.is.able.to.ping.a.p
1cc40	75 62 6c 69 63 20 49 50 76 36 20 61 64 64 72 65 73 73 00 4e 6f 77 20 77 65 20 61 72 65 20 61 62	ublic.IPv6.address.Now.we.are.ab
1cc60	6c 65 20 74 6f 20 73 65 74 75 70 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65	le.to.setup.the.tunnel.interface
1cc80	2e 00 4e 6f 77 20 77 65 20 70 65 72 66 6f 72 6d 20 73 6f 6d 65 20 65 6e 64 2d 74 6f 2d 65 6e 64	..Now.we.perform.some.end-to-end
1cca0	20 74 65 73 74 69 6e 67 00 4e 6f 77 20 77 65 e2 80 99 72 65 20 63 68 65 63 6b 69 6e 67 20 69 42	.testing.Now.we...re.checking.iB
1ccc0	47 50 20 73 74 61 74 75 73 20 61 6e 64 20 72 6f 75 74 65 73 20 66 72 6f 6d 20 72 6f 75 74 65 2d	GP.status.and.routes.from.route-
1cce0	72 65 66 6c 65 63 74 6f 72 20 6e 6f 64 65 73 20 74 6f 20 6f 74 68 65 72 20 64 65 76 69 63 65 73	reflector.nodes.to.other.devices
1cd00	3a 00 4e 6f 77 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67	:.Now.you.should.be.able.to.ping
1cd20	20 61 20 70 75 62 6c 69 63 20 49 50 76 36 20 41 64 64 72 65 73 73 00 4e 6f 77 2c 20 69 6e 20 74	.a.public.IPv6.Address.Now,.in.t
1cd40	68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 63 68 61 69 6e 2c 20 77 65 20 61 72 65 20 67 6f 69	he.``forward``.chain,.we.are.goi
1cd60	6e 67 20 74 6f 20 64 65 66 69 6e 65 20 73 74 61 74 65 20 70 6f 6c 69 63 69 65 73 2c 20 61 6e 64	ng.to.define.state.policies,.and
1cd80	20 63 75 73 74 6f 6d 20 72 75 6c 65 73 65 74 73 20 66 6f 72 20 65 61 63 68 20 62 72 69 64 67 65	.custom.rulesets.for.each.bridge
1cda0	20 74 68 61 74 20 77 6f 75 6c 64 20 62 65 20 75 73 65 64 20 69 6e 20 74 68 65 20 60 60 66 6f 72	.that.would.be.used.in.the.``for
1cdc0	77 61 72 64 60 60 20 63 68 61 69 6e 2e 20 54 68 65 73 65 20 72 75 6c 65 73 65 74 73 20 61 72 65	ward``.chain..These.rulesets.are
1cde0	20 60 60 62 72 30 2d 66 77 64 60 60 2c 20 60 60 62 72 31 2d 66 77 64 60 60 2c 20 61 6e 64 20 60	.``br0-fwd``,.``br1-fwd``,.and.`
1ce00	60 62 72 32 2d 66 77 64 60 60 3a 00 4e 6f 77 2c 20 6c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 72	`br2-fwd``:.Now,.let...s.check.r
1ce20	6f 75 74 69 6e 67 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 6f 6e 20 6f 75 74 20 48 75 62 20 50 45	outing.information.on.out.Hub.PE
1ce40	3a 00 4f 53 50 46 20 4f 76 65 72 20 57 69 72 65 47 75 61 72 64 00 4f 53 50 46 20 75 6e 6e 75 6d	:.OSPF.Over.WireGuard.OSPF.unnum
1ce60	62 65 72 65 64 20 77 69 74 68 20 45 43 4d 50 00 4f 6e 20 74 68 65 20 72 6f 75 74 65 72 2c 20 56	bered.with.ECMP.On.the.router,.V
1ce80	79 4f 53 34 20 73 65 74 20 61 6c 6c 20 74 72 61 66 66 69 63 20 61 73 20 43 53 34 2e 20 57 65 20	yOS4.set.all.traffic.as.CS4..We.
1cea0	68 61 76 65 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 64 65 66 61 75 6c 74 20 63 6c	have.to.configure.the.default.cl
1cec0	61 73 73 20 61 6e 64 20 63 6c 61 73 73 20 66 6f 72 20 63 68 61 6e 67 69 6e 67 20 61 6c 6c 20 6c	ass.and.class.for.changing.all.l
1cee0	61 62 65 6c 73 20 66 72 6f 6d 20 43 53 30 20 74 6f 20 43 53 34 00 4f 6e 2d 70 72 65 6d 69 73 65	abels.from.CS0.to.CS4.On-premise
1cf00	73 20 61 64 64 72 65 73 73 20 73 70 61 63 65 00 4f 6e 63 65 20 61 6c 6c 20 72 6f 75 74 65 72 73	s.address.space.Once.all.routers
1cf20	20 63 61 6e 20 62 65 20 73 61 66 65 6c 79 20 72 65 6d 6f 74 65 6c 79 20 6d 61 6e 61 67 65 64 20	.can.be.safely.remotely.managed.
1cf40	61 6e 64 20 74 68 65 20 63 6f 72 65 20 6e 65 74 77 6f 72 6b 20 69 73 20 6f 70 65 72 61 74 69 6f	and.the.core.network.is.operatio
1cf60	6e 61 6c 2c 20 77 65 20 63 61 6e 20 6e 6f 77 20 73 65 74 75 70 20 74 68 65 20 74 65 6e 61 6e 74	nal,.we.can.now.setup.the.tenant
1cf80	20 6e 65 74 77 6f 72 6b 73 2e 00 4f 6e 63 65 20 61 6c 6c 20 74 68 65 20 72 65 71 75 69 72 65 64	.networks..Once.all.the.required
1cfa0	20 63 65 72 74 69 66 69 63 61 74 65 73 20 61 6e 64 20 6b 65 79 73 20 61 72 65 20 69 6e 73 74 61	.certificates.and.keys.are.insta
1cfc0	6c 6c 65 64 2c 20 74 68 65 20 72 65 6d 61 69 6e 69 6e 67 20 4f 70 65 6e 56 50 4e 20 53 65 72 76	lled,.the.remaining.OpenVPN.Serv
1cfe0	65 72 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 63 61 72 72 69 65 64 20	er.configuration.can.be.carried.
1d000	6f 75 74 2e 00 4f 6e 63 65 20 79 6f 75 20 68 61 76 65 20 61 6c 6c 20 6f 66 20 79 6f 75 72 20 72	out..Once.you.have.all.of.your.r
1d020	75 6c 65 73 65 74 73 20 62 75 69 6c 74 2c 20 74 68 65 6e 20 79 6f 75 20 6e 65 65 64 20 74 6f 20	ulesets.built,.then.you.need.to.
1d040	63 72 65 61 74 65 20 79 6f 75 72 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 2e 00 4f 6e 65 20 61 64 76	create.your.zone-policy..One.adv
1d060	61 6e 74 61 67 65 20 6f 66 20 68 61 76 69 6e 67 20 74 68 65 20 63 6c 69 65 6e 74 20 63 65 72 74	antage.of.having.the.client.cert
1d080	69 66 69 63 61 74 65 20 73 74 6f 72 65 64 20 69 73 20 74 68 65 20 61 62 69 6c 69 74 79 20 74 6f	ificate.stored.is.the.ability.to
1d0a0	20 63 72 65 61 74 65 20 74 68 65 20 63 6c 69 65 6e 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e	.create.the.client.configuration
1d0c0	2e 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62	..One.cable/logical.connection.b
1d0e0	65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 49 6e 74 65 72 6e 65 74 00 4f 6e 65 20 63 61 62	etween.LAN1.and.Internet.One.cab
1d100	6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41	le/logical.connection.between.LA
1d120	4e 31 20 61 6e 64 20 4c 41 4e 32 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f	N1.and.LAN2.One.cable/logical.co
1d140	6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 4d 61 6e 61 67 65	nnection.between.LAN1.and.Manage
1d160	6d 65 6e 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f	ment.One.cable/logical.connectio
1d180	6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 32 20 61 6e 64 20 49 6e 74 65 72 6e 65 74 00 4f 6e 65 20	n.between.LAN2.and.Internet.One.
1d1a0	63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e	cable/logical.connection.between
1d1c0	20 4c 41 4e 32 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 00 4f 6e 6c 79 20 61 63 63 65 70 74	.LAN2.and.Management.Only.accept
1d1e0	73 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 4c 44 41 50	s.connections..OpenVPN.with.LDAP
1d200	00 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 4c 44 41 50 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67	.OpenVPN.with.LDAP.topology.imag
1d220	65 00 4f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 3a 20 56 79 4f 53 00 4f 75 72 20 69 6d 70	e.Operating.system:.VyOS.Our.imp
1d240	6c 65 6d 65 6e 74 61 74 69 6f 6e 20 75 73 65 73 20 56 4d 77 61 72 65 27 73 20 44 69 73 74 72 69	lementation.uses.VMware's.Distri
1d260	62 75 74 65 64 20 50 6f 72 74 20 47 72 6f 75 70 73 2c 20 77 68 69 63 68 20 61 6c 6c 6f 77 73 20	buted.Port.Groups,.which.allows.
1d280	56 4d 77 61 72 65 20 74 6f 20 75 73 65 20 4c 41 43 50 2e 20 54 68 69 73 20 69 73 20 61 20 70 61	VMware.to.use.LACP..This.is.a.pa
1d2a0	72 74 20 6f 66 20 74 68 65 20 45 4e 54 45 52 50 52 49 53 45 20 6c 69 63 65 6e 63 65 2c 20 61 6e	rt.of.the.ENTERPRISE.licence,.an
1d2c0	64 20 69 73 20 6e 6f 74 20 61 76 61 69 6c 61 62 6c 65 20 6f 6e 20 61 20 66 72 65 65 20 6c 69 63	d.is.not.available.on.a.free.lic
1d2e0	65 6e 63 65 2e 20 49 66 20 79 6f 75 20 61 72 65 20 69 6d 70 6c 65 6d 65 6e 74 69 6e 67 20 74 68	ence..If.you.are.implementing.th
1d300	69 73 20 61 6e 64 20 64 6f 20 6e 6f 74 20 68 61 76 65 20 61 63 63 65 73 73 20 74 6f 20 44 50 47	is.and.do.not.have.access.to.DPG
1d320	73 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 74 20 75 73 65 20 56 4d 77 61 72 65 2c 20 61 6e	s,.you.should.not.use.VMware,.an
1d340	64 20 75 73 65 20 73 6f 6d 65 20 6f 74 68 65 72 20 76 69 72 74 75 61 6c 69 7a 61 74 69 6f 6e 20	d.use.some.other.virtualization.
1d360	70 6c 61 74 66 6f 72 6d 20 69 6e 73 74 65 61 64 2e 00 4f 75 72 20 72 6f 75 74 65 72 73 20 61 72	platform.instead..Our.routers.ar
1d380	65 20 67 6f 69 6e 67 20 74 6f 20 68 61 76 65 20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64	e.going.to.have.a.floating.IP.ad
1d3a0	64 72 65 73 73 20 6f 66 20 32 30 33 2e 30 2e 31 31 33 2e 31 2c 20 61 6e 64 20 75 73 65 20 2e 32	dress.of.203.0.113.1,.and.use..2
1d3c0	20 61 6e 64 20 2e 33 20 61 73 20 74 68 65 69 72 20 66 69 78 65 64 20 49 50 73 2e 00 4f 76 65 72	.and..3.as.their.fixed.IPs..Over
1d3e0	76 69 65 77 00 50 45 31 00 50 45 31 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 6e 20 69 6e	view.PE1.PE1.is.located.in.an.in
1d400	64 75 73 74 72 69 61 6c 20 61 72 65 61 20 74 68 61 74 20 68 6f 6c 64 73 20 6d 75 6c 74 69 70 6c	dustrial.area.that.holds.multipl
1d420	65 20 6f 66 66 69 63 65 20 62 75 69 6c 64 69 6e 67 73 2e 20 41 6c 6c 20 63 75 73 74 6f 6d 65 72	e.office.buildings..All.customer
1d440	73 20 68 61 76 65 20 61 20 73 69 74 65 20 69 6e 20 74 68 69 73 20 61 72 65 61 2e 00 50 45 32 00	s.have.a.site.in.this.area..PE2.
1d460	50 45 32 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 20 73 6d 61 6c 6c 65 72 20 61 72 65 61	PE2.is.located.in.a.smaller.area
1d480	20 77 68 65 72 65 20 62 79 20 63 6f 69 6e 63 69 64 65 6e 63 65 20 74 77 6f 20 63 75 73 74 6f 6d	.where.by.coincidence.two.custom
1d4a0	65 72 73 20 28 62 6c 75 65 20 61 6e 64 20 72 65 64 29 20 73 68 61 72 65 20 61 6e 20 6f 66 66 69	ers.(blue.and.red).share.an.offi
1d4c0	63 65 20 62 75 69 6c 64 69 6e 67 2e 00 50 45 33 00 50 45 33 20 69 73 20 6c 6f 63 61 74 65 64 20	ce.building..PE3.PE3.is.located.
1d4e0	69 6e 20 61 20 73 6d 61 6c 6c 65 72 20 61 72 65 61 20 77 68 65 72 65 20 62 79 20 63 6f 69 6e 63	in.a.smaller.area.where.by.coinc
1d500	69 64 65 6e 63 65 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 73 20 28 62 6c 75 65 20 61 6e 64 20 67	idence.two.customers.(blue.and.g
1d520	72 65 65 6e 29 20 61 72 65 20 6c 6f 63 61 74 65 64 2e 00 50 50 50 6f 45 20 49 50 76 36 20 42 61	reen).are.located..PPPoE.IPv6.Ba
1d540	73 69 63 20 53 65 74 75 70 20 66 6f 72 20 48 6f 6d 65 20 4e 65 74 77 6f 72 6b 00 50 50 50 6f 45	sic.Setup.for.Home.Network.PPPoE
1d560	20 53 65 74 75 70 00 50 50 50 6f 45 20 6f 76 65 72 20 4c 32 54 50 00 50 69 6e 67 20 62 65 74 77	.Setup.PPPoE.over.L2TP.Ping.betw
1d580	65 65 6e 20 56 79 4f 53 2d 50 31 20 2f 20 56 79 4f 53 2d 50 32 20 74 6f 20 63 6f 6e 66 69 72 6d	een.VyOS-P1./.VyOS-P2.to.confirm
1d5a0	20 72 65 61 63 68 61 62 69 6c 69 74 79 3a 00 50 69 6e 67 20 74 68 65 20 43 6c 69 65 6e 74 20 66	.reachability:.Ping.the.Client.f
1d5c0	72 6f 6d 20 74 68 65 20 44 48 43 50 20 53 65 72 76 65 72 2e 00 50 69 6e 67 73 20 77 69 6c 6c 20	rom.the.DHCP.Server..Pings.will.
1d5e0	62 65 20 73 65 6e 74 20 74 6f 20 66 6f 75 72 20 74 61 72 67 65 74 73 20 66 6f 72 20 68 65 61 6c	be.sent.to.four.targets.for.heal
1d600	74 68 20 74 65 73 74 69 6e 67 20 28 33 33 2e 34 34 2e 35 35 2e 36 36 2c 20 34 34 2e 35 35 2e 36	th.testing.(33.44.55.66,.44.55.6
1d620	36 2e 37 37 2c 20 35 35 2e 36 36 2e 37 37 2e 38 38 20 61 6e 64 20 36 36 2e 37 37 2e 38 38 2e 39	6.77,.55.66.77.88.and.66.77.88.9
1d640	39 29 2e 00 50 6c 65 61 73 65 20 6e 6f 74 65 2c 20 27 61 75 74 6f 6e 6f 6d 6f 75 73 2d 66 6c 61	9)..Please.note,.'autonomous-fla
1d660	67 27 20 61 6e 64 20 27 6f 6e 2d 6c 69 6e 6b 2d 66 6c 61 67 27 20 61 72 65 20 65 6e 61 62 6c 65	g'.and.'on-link-flag'.are.enable
1d680	64 20 62 79 20 64 65 66 61 75 6c 74 2c 20 27 76 61 6c 69 64 2d 6c 69 66 65 74 69 6d 65 27 20 61	d.by.default,.'valid-lifetime'.a
1d6a0	6e 64 20 27 70 72 65 66 65 72 72 65 64 2d 6c 69 66 65 74 69 6d 65 27 20 61 72 65 20 73 65 74 20	nd.'preferred-lifetime'.are.set.
1d6c0	74 6f 20 64 65 66 61 75 6c 74 20 76 61 6c 75 65 73 20 6f 66 20 33 30 20 64 61 79 73 20 61 6e 64	to.default.values.of.30.days.and
1d6e0	20 34 20 68 6f 75 72 73 20 72 65 73 70 65 63 74 69 76 65 6c 79 2e 00 50 6f 6c 69 63 79 2d 42 61	.4.hours.respectively..Policy-Ba
1d700	73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 61 6e 64 20 46 69 72 65 77 61 6c	sed.Site-to-Site.VPN.and.Firewal
1d720	6c 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 50 72 65 2d 73 68 61 72 65 64 20 6b 65 79 00 50	l.Configuration.Pre-shared.key.P
1d740	72 65 72 65 71 75 69 73 69 74 65 73 00 50 72 69 6f 72 69 74 69 65 73 00 50 72 6f 74 65 63 74 20	rerequisites.Priorities.Protect.
1d760	74 68 65 20 72 6f 75 74 65 72 20 6f 6e 20 27 57 41 4e 27 20 69 6e 74 65 72 66 61 63 65 2c 20 61	the.router.on.'WAN'.interface,.a
1d780	6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 49 50 53 65 63 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 61	llowing.only.IPSec.connections.a
1d7a0	6e 64 20 53 53 48 20 61 63 63 65 73 73 20 66 72 6f 6d 20 74 72 75 73 74 65 64 20 49 50 73 2e 00	nd.SSH.access.from.trusted.IPs..
1d7c0	50 72 6f 74 65 63 74 20 74 68 65 20 72 6f 75 74 65 72 20 6f 6e 20 27 57 41 4e 27 20 69 6e 74 65	Protect.the.router.on.'WAN'.inte
1d7e0	72 66 61 63 65 2c 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 69 70 73 65 63 20 63 6f 6e 6e 65	rface,.allowing.only.ipsec.conne
1d800	63 74 69 6f 6e 73 20 61 6e 64 20 73 73 68 20 61 63 63 65 73 73 20 66 72 6f 6d 20 74 72 75 73 74	ctions.and.ssh.access.from.trust
1d820	65 64 20 69 70 73 2e 00 50 75 62 6c 69 63 20 4e 65 74 77 6f 72 6b 00 51 6f 53 20 65 78 61 6d 70	ed.ips..Public.Network.QoS.examp
1d840	6c 65 00 52 44 00 52 44 20 26 20 52 54 20 53 63 68 65 6d 61 00 52 54 00 52 54 20 65 78 70 6f 72	le.RD.RD.&.RT.Schema.RT.RT.expor
1d860	74 00 52 54 20 69 6d 70 6f 72 74 00 52 65 67 75 6c 61 72 20 56 79 4f 53 20 75 73 65 72 73 20 77	t.RT.import.Regular.VyOS.users.w
1d880	69 6c 6c 20 6e 6f 74 69 63 65 20 74 68 61 74 20 74 68 65 20 42 47 50 20 73 79 6e 74 61 78 20 68	ill.notice.that.the.BGP.syntax.h
1d8a0	61 73 20 63 68 61 6e 67 65 64 20 69 6e 20 56 79 4f 53 20 31 2e 34 20 66 72 6f 6d 20 65 76 65 6e	as.changed.in.VyOS.1.4.from.even
1d8c0	20 74 68 65 20 70 72 69 6f 72 20 70 6f 73 74 20 61 62 6f 75 74 20 74 68 69 73 20 73 75 62 6a 65	.the.prior.post.about.this.subje
1d8e0	63 74 2e 20 54 68 69 73 20 69 73 20 64 75 65 20 74 6f 20 54 31 37 31 31 2c 20 77 68 65 72 65 20	ct..This.is.due.to.T1711,.where.
1d900	69 74 20 77 61 73 20 66 69 6e 61 6c 6c 79 20 64 65 63 69 64 65 64 20 74 6f 20 67 65 74 20 72 69	it.was.finally.decided.to.get.ri
1d920	64 20 6f 66 20 74 68 65 20 72 65 64 75 6e 64 61 6e 74 20 42 47 50 20 41 53 4e 20 28 41 75 74 6f	d.of.the.redundant.BGP.ASN.(Auto
1d940	6e 6f 6d 6f 75 73 20 53 79 73 74 65 6d 20 4e 75 6d 62 65 72 29 20 73 70 65 63 69 66 69 63 61 74	nomous.System.Number).specificat
1d960	69 6f 6e 20 6f 6e 20 74 68 65 20 43 4c 49 20 61 6e 64 20 6d 6f 76 65 20 69 74 20 74 6f 20 61 20	ion.on.the.CLI.and.move.it.to.a.
1d980	73 69 6e 67 6c 65 20 6c 65 61 66 20 6e 6f 64 65 20 28 73 65 74 20 70 72 6f 74 6f 63 6f 6c 73 20	single.leaf.node.(set.protocols.
1d9a0	62 67 70 20 6c 6f 63 61 6c 2d 61 73 29 2e 00 52 65 6d 6f 74 65 20 4e 65 74 77 6f 72 6b 73 00 52	bgp.local-as)..Remote.Networks.R
1d9c0	65 70 6c 61 63 65 20 74 68 65 20 32 30 33 2e 30 2e 31 31 33 2e 33 20 77 69 74 68 20 77 68 61 74	eplace.the.203.0.113.3.with.what
1d9e0	65 76 65 72 20 74 68 65 20 6f 74 68 65 72 20 72 6f 75 74 65 72 27 73 20 49 50 20 61 64 64 72 65	ever.the.other.router's.IP.addre
1da00	73 73 20 69 73 2e 00 52 65 71 75 65 73 74 65 64 20 61 20 22 52 65 67 75 6c 61 72 20 54 75 6e 6e	ss.is..Requested.a."Regular.Tunn
1da20	65 6c 22 2e 20 59 6f 75 20 77 61 6e 74 20 74 6f 20 63 68 6f 6f 73 65 20 61 20 6c 6f 63 61 74 69	el"..You.want.to.choose.a.locati
1da40	6f 6e 20 74 68 61 74 20 69 73 20 63 6c 6f 73 65 73 74 20 74 6f 20 79 6f 75 72 20 70 68 79 73 69	on.that.is.closest.to.your.physi
1da60	63 61 6c 20 6c 6f 63 61 74 69 6f 6e 20 66 6f 72 20 74 68 65 20 62 65 73 74 20 72 65 73 70 6f 6e	cal.location.for.the.best.respon
1da80	73 65 20 74 69 6d 65 2e 00 52 65 73 75 6c 74 73 00 52 6f 6c 65 00 52 6f 75 74 65 2d 42 61 73 65	se.time..Results.Role.Route-Base
1daa0	64 20 52 65 64 75 6e 64 61 6e 74 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 74 6f 20	d.Redundant.Site-to-Site.VPN.to.
1dac0	41 7a 75 72 65 20 28 42 47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f 49 50 73 65 63 29 00 52 6f 75	Azure.(BGP.over.IKEv2/IPsec).Rou
1dae0	74 65 2d 42 61 73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75	te-Based.Site-to-Site.VPN.to.Azu
1db00	72 65 20 28 42 47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f 49 50 73 65 63 29 00 52 6f 75 74 65 2d	re.(BGP.over.IKEv2/IPsec).Route-
1db20	46 69 6c 74 65 72 69 6e 67 00 52 6f 75 74 65 64 20 2f 34 38 2e 20 54 68 69 73 20 69 73 20 73 6f	Filtering.Routed./48..This.is.so
1db40	6d 65 74 68 69 6e 67 20 79 6f 75 20 63 61 6e 20 72 65 71 75 65 73 74 20 62 79 20 63 6c 69 63 6b	mething.you.can.request.by.click
1db60	69 6e 67 20 74 68 65 20 22 41 73 73 69 67 6e 20 2f 34 38 22 20 6c 69 6e 6b 20 69 6e 20 74 68 65	ing.the."Assign./48".link.in.the
1db80	20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 74 75 6e 6e 65 6c 20 63 6f 6e 66 69 67 2e	.Tunnelbroker.net.tunnel.config.
1dba0	20 49 74 20 61 6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 68 61 76 65 20 75 70 20 74 6f 20 36 35 6b	.It.allows.you.to.have.up.to.65k
1dbc0	00 52 6f 75 74 65 64 20 2f 36 34 2e 20 54 68 69 73 20 69 73 20 74 68 65 20 64 65 66 61 75 6c 74	.Routed./64..This.is.the.default
1dbe0	20 61 73 73 69 67 6e 6d 65 6e 74 2e 20 49 6e 20 49 50 76 36 2d 6c 61 6e 64 2c 20 69 74 27 73 20	.assignment..In.IPv6-land,.it's.
1dc00	67 6f 6f 64 20 66 6f 72 20 61 20 73 69 6e 67 6c 65 20 22 4c 41 4e 22 2c 20 61 6e 64 20 69 73 20	good.for.a.single."LAN",.and.is.
1dc20	73 6f 6d 65 77 68 61 74 20 65 71 75 69 76 61 6c 65 6e 74 20 74 6f 20 61 20 2f 32 34 2e 00 52 6f	somewhat.equivalent.to.a./24..Ro
1dc40	75 74 65 72 20 41 3a 00 52 6f 75 74 65 72 20 41 64 76 65 72 74 69 73 65 6d 65 6e 74 00 52 6f 75	uter.A:.Router.Advertisement.Rou
1dc60	74 65 72 20 42 3a 00 52 6f 75 74 65 72 20 69 64 27 73 20 6d 75 73 74 20 62 65 20 75 6e 69 71 75	ter.B:.Router.id's.must.be.uniqu
1dc80	65 2e 00 52 75 6c 65 73 65 74 20 61 72 65 20 63 72 65 61 74 65 64 20 70 65 72 20 7a 6f 6e 65 2d	e..Ruleset.are.created.per.zone-
1dca0	70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 2e 00 53 63 65 6e 61 72 69 6f 20 61 6e 64 20 72 65 71	pair-direction..Scenario.and.req
1dcc0	75 69 72 65 6d 65 6e 74 73 00 53 65 67 6d 65 6e 74 2d 72 6f 75 74 69 6e 67 20 49 53 2d 49 53 20	uirements.Segment-routing.IS-IS.
1dce0	65 78 61 6d 70 6c 65 00 53 65 74 20 44 4e 53 20 73 65 72 76 65 72 20 61 64 64 72 65 73 73 20 69	example.Set.DNS.server.address.i
1dd00	6e 20 74 68 65 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 73 6f 20 74 68 61 74 20 63 6c 69 65	n.the.advertisement.so.that.clie
1dd20	6e 74 73 20 63 61 6e 20 6f 62 74 61 69 6e 20 69 74 20 62 79 20 75 73 69 6e 67 20 52 44 4e 53 53	nts.can.obtain.it.by.using.RDNSS
1dd40	20 6f 70 74 69 6f 6e 2e 20 4d 6f 73 74 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 73 20	.option..Most.operating.systems.
1dd60	28 57 69 6e 64 6f 77 73 2c 20 4c 69 6e 75 78 2c 20 4d 61 63 29 20 73 68 6f 75 6c 64 20 61 6c 72	(Windows,.Linux,.Mac).should.alr
1dd80	65 61 64 79 20 73 75 70 70 6f 72 74 20 69 74 2e 00 53 65 74 20 49 50 20 61 64 64 72 65 73 73 65	eady.support.it..Set.IP.addresse
1dda0	73 20 6f 6e 20 61 6c 6c 20 56 50 43 73 20 61 6e 64 20 61 20 64 65 66 61 75 6c 74 20 67 61 74 65	s.on.all.VPCs.and.a.default.gate
1ddc0	77 61 79 20 31 37 32 2e 31 37 2e 31 2e 31 2e 20 57 65 27 6c 6c 20 75 73 65 20 69 6e 20 74 68 69	way.172.17.1.1..We'll.use.in.thi
1dde0	73 20 63 61 73 65 20 6f 6e 6c 79 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 2e 20 4f 6e 20 74 68	s.case.only.static.routes..On.th
1de00	65 20 56 79 4f 53 33 20 72 6f 75 74 65 72 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 63 68 61 6e 67	e.VyOS3.router,.we.need.to.chang
1de20	65 20 74 68 65 20 27 64 73 63 70 27 20 6c 61 62 65 6c 73 20 66 6f 72 20 74 68 65 20 56 50 43 73	e.the.'dscp'.labels.for.the.VPCs
1de40	2e 20 54 6f 20 64 6f 20 74 68 69 73 2c 20 77 65 20 75 73 65 20 74 68 69 73 20 63 6f 6e 66 69 67	..To.do.this,.we.use.this.config
1de60	75 72 61 74 69 6f 6e 2e 00 53 65 74 20 4d 54 55 20 69 6e 20 61 64 76 65 72 74 69 73 65 6d 65 6e	uration..Set.MTU.in.advertisemen
1de80	74 20 74 6f 20 31 34 39 32 20 62 65 63 61 75 73 65 20 6f 66 20 50 50 50 6f 45 20 68 65 61 64 65	t.to.1492.because.of.PPPoE.heade
1dea0	72 20 6f 76 65 72 68 65 61 64 2e 00 53 65 74 20 74 68 65 20 56 52 46 20 6e 61 6d 65 20 61 6e 64	r.overhead..Set.the.VRF.name.and
1dec0	20 54 61 62 6c 65 20 49 44 2c 20 73 65 74 20 69 6e 74 65 72 66 61 63 65 20 61 64 64 72 65 73 73	.Table.ID,.set.interface.address
1dee0	20 61 6e 64 20 62 69 6e 64 20 69 74 20 74 6f 20 74 68 65 20 56 52 46 2e 20 4c 61 73 74 20 61 64	.and.bind.it.to.the.VRF..Last.ad
1df00	64 20 74 68 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 20 74 6f 20 74 68 65 20 72 65 6d 6f 74 65	d.the.static.route.to.the.remote
1df20	20 6e 65 74 77 6f 72 6b 2e 00 53 65 74 20 74 68 65 20 63 6f 73 74 20 6f 6e 20 74 68 65 20 73 65	.network..Set.the.cost.on.the.se
1df40	63 6f 6e 64 61 72 79 20 6c 69 6e 6b 73 20 74 6f 20 62 65 20 32 30 30 2e 20 54 68 69 73 20 6d 65	condary.links.to.be.200..This.me
1df60	61 6e 73 20 74 68 61 74 20 74 68 65 79 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 75 73 65 64 20 75	ans.that.they.will.not.be.used.u
1df80	6e 6c 65 73 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 6c 69 6e 6b 73 20 61 72 65 20 64 6f 77 6e	nless.the.primary.links.are.down
1dfa0	2e 00 53 65 74 20 74 68 65 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 20 6f 6e 20 65 74 68 32 20 61	..Set.the.local.subnet.on.eth2.a
1dfc0	6e 64 20 74 68 65 20 70 75 62 6c 69 63 20 69 70 20 61 64 64 72 65 73 73 20 65 74 68 31 20 6f 6e	nd.the.public.ip.address.eth1.on
1dfe0	20 65 61 63 68 20 73 69 74 65 2e 00 53 65 74 20 75 70 20 62 61 6e 64 77 69 64 74 68 20 6c 69 6d	.each.site..Set.up.bandwidth.lim
1e000	69 74 73 20 6f 6e 20 74 68 65 20 65 74 68 32 20 69 6e 74 65 72 66 61 63 65 20 6f 66 20 74 68 65	its.on.the.eth2.interface.of.the
1e020	20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 2e 00 53 65 74 73 20 79 6f 75 72 20 4c	.router....VyOS2.....Sets.your.L
1e040	41 4e 20 69 6e 74 65 72 66 61 63 65 27 73 20 49 50 20 61 64 64 72 65 73 73 00 53 65 74 74 69 6e	AN.interface's.IP.address.Settin
1e060	67 20 42 47 50 20 67 6c 6f 62 61 6c 20 6c 6f 63 61 6c 2d 61 73 20 61 73 20 77 65 6c 6c 20 69 6e	g.BGP.global.local-as.as.well.in
1e080	73 69 64 65 20 74 68 65 20 56 52 46 2e 20 52 65 64 69 73 74 72 69 62 75 74 65 20 73 74 61 74 69	side.the.VRF..Redistribute.stati
1e0a0	63 20 72 6f 75 74 65 73 20 74 6f 20 69 6e 6a 65 63 74 20 63 6f 6e 66 69 67 75 72 65 64 20 6e 65	c.routes.to.inject.configured.ne
1e0c0	74 77 6f 72 6b 73 20 69 6e 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 20 62 75 74 20	tworks.into.the.BGP.process.but.
1e0e0	73 74 69 6c 6c 20 69 6e 73 69 64 65 20 74 68 65 20 56 52 46 2e 00 53 65 74 74 69 6e 67 20 75 70	still.inside.the.VRF..Setting.up
1e100	20 41 6e 73 69 62 6c 65 20 6f 6e 20 61 20 73 65 72 76 65 72 20 72 75 6e 6e 69 6e 67 20 74 68 65	.Ansible.on.a.server.running.the
1e120	20 44 65 62 69 61 6e 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 2e 00 53 65 74 75 70 20	.Debian.operating.system..Setup.
1e140	74 68 65 20 49 50 76 36 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 74 6f 20 74 68 65 20 74 75	the.IPv6.default.route.to.the.tu
1e160	6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 00 53 65 74 75 70 20 74 68 65 20 69 70 76 36 20 64 65	nnel.interface.Setup.the.ipv6.de
1e180	66 61 75 6c 74 20 72 6f 75 74 65 20 74 6f 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66	fault.route.to.the.tunnel.interf
1e1a0	61 63 65 00 53 68 6f 77 20 72 6f 75 74 65 73 20 66 6f 72 20 61 6c 6c 20 56 52 46 73 00 53 69 6d	ace.Show.routes.for.all.VRFs.Sim
1e1c0	69 6c 61 72 6c 79 2c 20 74 6f 20 61 74 74 61 63 68 20 74 68 65 20 66 69 72 65 77 61 6c 6c 2c 20	ilarly,.to.attach.the.firewall,.
1e1e0	79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 69 6e 74 65 72 66 61 63 65 73 20 65 74	you.would.use.`set.interfaces.et
1e200	68 65 72 6e 65 74 20 65 74 68 30 20 66 69 72 65 77 61 6c 6c 20 69 6e 20 69 70 76 36 2d 6e 61 6d	hernet.eth0.firewall.in.ipv6-nam
1e220	65 60 20 6f 72 20 60 65 74 20 66 69 72 65 77 61 6c 6c 20 7a 6f 6e 65 20 4c 4f 43 41 4c 20 66 72	e`.or.`et.firewall.zone.LOCAL.fr
1e240	6f 6d 20 57 41 4e 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d 65 60 2e 00 53 69 6d 69	om.WAN.firewall.ipv6-name`..Simi
1e260	6c 61 72 6c 79 2c 20 74 6f 20 61 74 74 61 63 68 20 74 68 65 20 66 69 72 65 77 61 6c 6c 2c 20 79	larly,.to.attach.the.firewall,.y
1e280	6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 69 6e 74 65 72 66 61 63 65 73 20 65 74 68	ou.would.use.`set.interfaces.eth
1e2a0	65 72 6e 65 74 20 65 74 68 30 20 66 69 72 65 77 61 6c 6c 20 69 6e 20 69 70 76 36 2d 6e 61 6d 65	ernet.eth0.firewall.in.ipv6-name
1e2c0	60 20 6f 72 20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 7a 6f 6e 65 20 4c 4f 43 41 4c 20 66 72	`.or.`set.firewall.zone.LOCAL.fr
1e2e0	6f 6d 20 57 41 4e 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d 65 60 2e 00 53 69 6e 63	om.WAN.firewall.ipv6-name`..Sinc
1e300	65 20 73 6f 6d 65 20 49 53 50 73 20 64 69 73 63 6f 6e 6e 65 63 74 73 20 63 6f 6e 74 69 6e 75 6f	e.some.ISPs.disconnects.continuo
1e320	75 73 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 6f 72 20 65 76 65 72 79 20 32 7e 33 20 64 61 79 73	us.connection.for.every.2~3.days
1e340	2c 20 77 65 20 73 65 74 20 60 60 76 61 6c 69 64 2d 6c 69 66 65 74 69 6d 65 60 60 20 74 6f 20 32	,.we.set.``valid-lifetime``.to.2
1e360	20 64 61 79 73 20 74 6f 20 61 6c 6c 6f 77 20 50 43 20 66 6f 72 20 70 68 61 73 69 6e 67 20 6f 75	.days.to.allow.PC.for.phasing.ou
1e380	74 20 6f 6c 64 20 61 64 64 72 65 73 73 2e 00 53 69 6e 63 65 20 73 6f 6d 65 20 6f 66 20 74 68 65	t.old.address..Since.some.of.the
1e3a0	20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 6c 69 73 74 65 64 20 61 62 6f 76 65 20 65 78 63 65 65	.requirements.listed.above.excee
1e3c0	64 20 74 68 65 20 63 61 70 61 62 69 6c 69 74 69 65 73 20 6f 66 20 74 68 65 20 62 72 69 64 67 65	d.the.capabilities.of.the.bridge
1e3e0	20 66 69 72 65 77 61 6c 6c 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 75 73 65 20 74 68 65 20 49 50	.firewall,.we.need.to.use.the.IP
1e400	20 66 69 72 65 77 61 6c 6c 20 74 6f 20 69 6d 70 6c 65 6d 65 6e 74 20 74 68 65 6d 2e 20 46 6f 72	.firewall.to.implement.them..For
1e420	20 62 72 69 64 67 65 20 62 72 31 20 61 6e 64 20 62 72 32 2c 20 77 65 20 6e 65 65 64 20 74 6f 20	.bridge.br1.and.br2,.we.need.to.
1e440	63 6f 6e 74 72 6f 6c 20 74 68 65 20 74 72 61 66 66 69 63 20 74 68 61 74 20 69 73 20 67 6f 69 6e	control.the.traffic.that.is.goin
1e460	67 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 20 69 74 73 65 6c 66 2c 20 74 6f 20 6f 74 68 65 72	g.to.the.router.itself,.to.other
1e480	20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 73 2c 20 61 6e 64 20 74 6f 20 74 68 65 20 49 6e 74 65	.local.networks,.and.to.the.Inte
1e4a0	72 6e 65 74 2e 00 53 69 6e 63 65 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 73 20 61 20 70 6f 69 6e	rnet..Since.the.tunnel.is.a.poin
1e4c0	74 2d 74 6f 2d 70 6f 69 6e 74 20 47 52 45 20 74 75 6e 6e 65 6c 2c 20 69 74 20 62 65 68 61 76 65	t-to-point.GRE.tunnel,.it.behave
1e4e0	73 20 6c 69 6b 65 20 61 6e 79 20 6f 74 68 65 72 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20	s.like.any.other.point-to-point.
1e500	69 6e 74 65 72 66 61 63 65 20 28 66 6f 72 20 65 78 61 6d 70 6c 65 3a 20 73 65 72 69 61 6c 2c 20	interface.(for.example:.serial,.
1e520	64 69 61 6c 65 72 29 2c 20 61 6e 64 20 69 74 20 69 73 20 70 6f 73 73 69 62 6c 65 20 74 6f 20 72	dialer),.and.it.is.possible.to.r
1e540	75 6e 20 61 6e 79 20 49 6e 74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f 74 6f 63 6f 6c	un.any.Interior.Gateway.Protocol
1e560	20 28 49 47 50 29 2f 45 78 74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f 74 6f 63 6f 6c	.(IGP)/Exterior.Gateway.Protocol
1e580	20 28 45 47 50 29 20 6f 76 65 72 20 74 68 65 20 6c 69 6e 6b 20 69 6e 20 6f 72 64 65 72 20 74 6f	.(EGP).over.the.link.in.order.to
1e5a0	20 65 78 63 68 61 6e 67 65 20 72 6f 75 74 69 6e 67 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 00 53 69	.exchange.routing.information.Si
1e5c0	6e 63 65 20 77 65 20 68 61 76 65 20 34 20 7a 6f 6e 65 73 2c 20 77 65 20 6e 65 65 64 20 74 6f 20	nce.we.have.4.zones,.we.need.to.
1e5e0	73 65 74 75 70 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 72 75 6c 65 73 65 74 73 2e 00 53 69	setup.the.following.rulesets..Si
1e600	6e 67 6c 65 20 4c 41 4e 20 53 65 74 75 70 00 53 69 6e 67 6c 65 20 4c 41 4e 20 73 65 74 75 70 20	ngle.LAN.Setup.Single.LAN.setup.
1e620	77 68 65 72 65 20 65 74 68 32 20 69 73 20 79 6f 75 72 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65	where.eth2.is.your.LAN.interface
1e640	2e 20 55 73 65 20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 52 6f 75 74 65 64 20 2f 36	..Use.the.Tunnelbroker.Routed./6
1e660	34 20 70 72 65 66 69 78 3a 00 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 49 50 53 65 63 20 56 50 4e	4.prefix:.Site-to-Site.IPSec.VPN
1e680	20 74 6f 20 43 69 73 63 6f 20 75 73 69 6e 67 20 46 6c 65 78 56 50 4e 00 53 6f 20 66 69 72 73 74	.to.Cisco.using.FlexVPN.So.first
1e6a0	2c 20 6c 65 74 27 73 20 63 72 65 61 74 65 20 74 68 65 20 72 65 71 75 69 72 65 64 20 66 69 72 65	,.let's.create.the.required.fire
1e6c0	77 61 6c 6c 20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75 70 73 3a 00 53 6f 2c 20 77 68 65 6e 20	wall.interface.groups:.So,.when.
1e6e0	79 6f 75 72 20 4c 41 4e 20 69 73 20 65 74 68 31 2c 20 79 6f 75 72 20 44 4d 5a 20 69 73 20 65 74	your.LAN.is.eth1,.your.DMZ.is.et
1e700	68 32 2c 20 79 6f 75 72 20 63 61 6d 65 72 61 73 20 61 72 65 20 6f 6e 20 65 74 68 33 2c 20 65 74	h2,.your.cameras.are.on.eth3,.et
1e720	63 3a 00 53 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 3a 00 53 70 6f 6b 65 00 53 74 61 72 74 20 62	c:.Something.like:.Spoke.Start.b
1e740	79 20 73 65 74 74 69 6e 67 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 64 65 66 61	y.setting.the.interface.and.defa
1e760	75 6c 74 20 61 63 74 69 6f 6e 20 66 6f 72 20 65 61 63 68 20 7a 6f 6e 65 2e 00 53 74 61 72 74 20	ult.action.for.each.zone..Start.
1e780	74 68 65 20 70 6c 61 79 62 6f 6f 6b 3a 00 53 74 61 72 74 69 6e 67 20 66 72 6f 6d 20 56 79 4f 53	the.playbook:.Starting.from.VyOS
1e7a0	20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 2c 20 61 20 6e 65 77	.1.4-rolling-202308040557,.a.new
1e7c0	20 66 69 72 65 77 61 6c 6c 20 73 74 72 75 63 74 75 72 65 20 63 61 6e 20 62 65 20 66 6f 75 6e 64	.firewall.structure.can.be.found
1e7e0	20 6f 6e 20 61 6c 6c 20 76 79 6f 73 20 69 6e 73 74 61 6c 61 74 69 6f 6e 73 2c 20 61 6e 64 20 7a	.on.all.vyos.instalations,.and.z
1e800	6f 6e 65 20 62 61 73 65 64 20 66 69 72 65 77 61 6c 6c 20 69 73 20 6e 6f 20 6c 6f 6e 67 65 72 20	one.based.firewall.is.no.longer.
1e820	73 75 70 70 6f 72 74 65 64 2e 20 44 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 66 6f 72 20 6d 6f 73	supported..Documentation.for.mos
1e840	74 20 6f 66 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 43 4c 49 20 63 61 6e 20 62 65	t.of.the.new.firewall.CLI.can.be
1e860	20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 60 66 69 72 65 77 61 6c 6c 20 3c 68 74 74 70 73 3a 2f	.found.in.the.`firewall.<https:/
1e880	2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f 6e 66 69 67 75 72	/docs.vyos.io/en/latest/configur
1e8a0	61 74 69 6f 6e 2f 66 69 72 65 77 61 6c 6c 2f 67 65 6e 65 72 61 6c 2e 68 74 6d 6c 3e 60 5f 20 63	ation/firewall/general.html>`_.c
1e8c0	68 61 70 74 65 72 2e 20 54 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 69 73 20 73	hapter..The.legacy.firewall.is.s
1e8e0	74 69 6c 6c 20 61 76 61 69 6c 61 62 6c 65 20 66 6f 72 20 76 65 72 73 69 6f 6e 73 20 62 65 66 6f	till.available.for.versions.befo
1e900	72 65 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 20 61 6e 64 20	re.1.4-rolling-202308040557.and.
1e920	63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 65 77 61	can.be.found.in.the.:ref:`firewa
1e940	6c 6c 2d 6c 65 67 61 63 79 60 20 63 68 61 70 74 65 72 2e 20 54 68 65 20 65 78 61 6d 70 6c 65 73	ll-legacy`.chapter..The.examples
1e960	20 69 6e 20 74 68 69 73 20 73 65 63 74 69 6f 6e 20 75 73 65 20 74 68 65 20 6c 65 67 61 63 79 20	.in.this.section.use.the.legacy.
1e980	66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 6f 6d 6d 61 6e 64 73 2c	firewall.configuration.commands,
1e9a0	20 73 69 6e 63 65 20 74 68 69 73 20 66 65 61 74 75 72 65 20 68 61 73 20 62 65 65 6e 20 72 65 6d	.since.this.feature.has.been.rem
1e9c0	6f 76 65 64 20 69 6e 20 65 61 72 6c 69 65 72 20 72 65 6c 65 61 73 65 73 2e 00 53 74 61 72 74 69	oved.in.earlier.releases..Starti
1e9e0	6e 67 20 66 72 6f 6d 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30	ng.from.VyOS.1.4-rolling-2023080
1ea00	34 30 35 35 37 2c 20 61 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 73 74 72 75 63 74 75 72 65 20	40557,.a.new.firewall.structure.
1ea20	63 61 6e 20 62 65 20 66 6f 75 6e 64 20 6f 6e 20 61 6c 6c 20 76 79 6f 73 20 69 6e 73 74 61 6c 6c	can.be.found.on.all.vyos.install
1ea40	61 74 69 6f 6e 73 2c 20 61 6e 64 20 7a 6f 6e 65 20 62 61 73 65 64 20 66 69 72 65 77 61 6c 6c 20	ations,.and.zone.based.firewall.
1ea60	69 73 20 6e 6f 20 6c 6f 6e 67 65 72 20 73 75 70 70 6f 72 74 65 64 2e 20 44 6f 63 75 6d 65 6e 74	is.no.longer.supported..Document
1ea80	61 74 69 6f 6e 20 66 6f 72 20 6d 6f 73 74 20 6f 66 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61	ation.for.most.of.the.new.firewa
1eaa0	6c 6c 20 43 4c 49 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 60 66 69 72 65	ll.CLI.can.be.found.in.the.`fire
1eac0	77 61 6c 6c 20 3c 68 74 74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61	wall.<https://docs.vyos.io/en/la
1eae0	74 65 73 74 2f 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 66 69 72 65 77 61 6c 6c 2f 67 65 6e 65	test/configuration/firewall/gene
1eb00	72 61 6c 2e 68 74 6d 6c 3e 60 5f 20 63 68 61 70 74 65 72 2e 20 54 68 65 20 6c 65 67 61 63 79 20	ral.html>`_.chapter..The.legacy.
1eb20	66 69 72 65 77 61 6c 6c 20 69 73 20 73 74 69 6c 6c 20 61 76 61 69 6c 61 62 6c 65 20 66 6f 72 20	firewall.is.still.available.for.
1eb40	76 65 72 73 69 6f 6e 73 20 62 65 66 6f 72 65 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33	versions.before.1.4-rolling-2023
1eb60	30 38 30 34 30 35 35 37 20 61 6e 64 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65	08040557.and.can.be.found.in.the
1eb80	20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 2d 6c 65 67 61 63 79 60 20 63 68 61 70 74 65 72 2e	.:ref:`firewall-legacy`.chapter.
1eba0	20 54 68 65 20 65 78 61 6d 70 6c 65 73 20 69 6e 20 74 68 69 73 20 73 65 63 74 69 6f 6e 20 75 73	.The.examples.in.this.section.us
1ebc0	65 20 74 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74	e.the.legacy.firewall.configurat
1ebe0	69 6f 6e 20 63 6f 6d 6d 61 6e 64 73 2c 20 73 69 6e 63 65 20 74 68 69 73 20 66 65 61 74 75 72 65	ion.commands,.since.this.feature
1ec00	20 68 61 73 20 62 65 65 6e 20 72 65 6d 6f 76 65 64 20 69 6e 20 65 61 72 6c 69 65 72 20 72 65 6c	.has.been.removed.in.earlier.rel
1ec20	65 61 73 65 73 2e 00 53 74 65 70 20 31 3a 20 56 52 46 20 61 6e 64 20 43 6f 6e 66 69 67 75 72 61	eases..Step.1:.VRF.and.Configura
1ec40	74 69 6f 6e 73 20 74 6f 20 72 65 6d 6f 74 65 20 6e 65 74 77 6f 72 6b 73 00 53 74 65 70 20 32 3a	tions.to.remote.networks.Step.2:
1ec60	20 42 47 50 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 6f 72 20 56 52 46 2d 4c 69 74 65 00	.BGP.Configuration.for.VRF-Lite.
1ec80	53 74 65 70 20 33 3a 20 56 50 4e 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 53 74 65 70 20 34	Step.3:.VPN.Configuration.Step.4
1eca0	3a 20 45 6e 64 20 74 6f 20 45 6e 64 20 76 65 72 69 66 69 63 61 74 69 6f 6e 00 53 74 65 70 2d 31	:.End.to.End.verification.Step-1
1ecc0	3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 49 47 50 20 61 6e 64 20 65 6e 61 62 6c 69 6e 67 20 4d	:.Configuring.IGP.and.enabling.M
1ece0	50 4c 53 20 4c 44 50 00 53 74 65 70 2d 32 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 69 42 47 50	PLS.LDP.Step-2:.Configuring.iBGP
1ed00	20 66 6f 72 20 4c 33 56 50 4e 20 63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e 65 00 53 74 65 70 2d 33 3a	.for.L3VPN.control-plane.Step-3:
1ed20	20 43 6f 6e 66 69 67 75 72 69 6e 67 20 4c 33 56 50 4e 20 56 52 46 73 20 6f 6e 20 50 45 20 6e 6f	.Configuring.L3VPN.VRFs.on.PE.no
1ed40	64 65 73 00 53 74 65 70 2d 34 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 43 45 20 6e 6f 64 65 73	des.Step-4:.Configuring.CE.nodes
1ed60	00 53 74 65 70 2d 35 3a 20 56 65 72 69 66 69 63 61 74 69 6f 6e 00 54 65 6e 61 6e 74 20 6e 65 74	.Step-5:.Verification.Tenant.net
1ed80	77 6f 72 6b 73 20 28 56 52 46 73 29 00 54 65 73 74 20 4f 53 50 46 00 54 65 73 74 20 57 69 72 65	works.(VRFs).Test.OSPF.Test.Wire
1eda0	47 75 61 72 64 00 54 65 73 74 20 74 68 65 20 72 65 73 75 6c 74 00 54 65 73 74 64 61 74 65 3a 20	Guard.Test.the.result.Testdate:.
1edc0	32 30 32 33 2d 30 32 2d 32 34 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 35 2d 31 31 00	2023-02-24.Testdate:.2023-05-11.
1ede0	54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 38 2d 33 31 00 54 65 73 74 64 61 74 65 3a 20 32	Testdate:.2023-08-31.Testdate:.2
1ee00	30 32 34 2d 30 31 2d 31 33 00 54 65 73 74 69 6e 67 00 54 65 73 74 69 6e 67 20 61 6e 64 20 64 65	024-01-13.Testing.Testing.and.de
1ee20	62 75 67 67 69 6e 67 00 54 68 61 74 27 73 20 68 6f 77 20 79 6f 75 20 63 61 6e 20 65 78 70 61 6e	bugging.That's.how.you.can.expan
1ee40	64 20 74 68 65 20 65 78 61 6d 70 6c 65 20 61 62 6f 76 65 2e 20 55 73 65 20 74 68 65 20 60 52 6f	d.the.example.above..Use.the.`Ro
1ee60	75 74 65 64 20 2f 34 38 60 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 54 68 69 73 20 61 6c 6c 6f	uted./48`.information..This.allo
1ee80	77 73 20 79 6f 75 20 74 6f 20 61 73 73 69 67 6e 20 61 20 64 69 66 66 65 72 65 6e 74 20 2f 36 34	ws.you.to.assign.a.different./64
1eea0	20 74 6f 20 65 76 65 72 79 20 69 6e 74 65 72 66 61 63 65 2c 20 4c 41 4e 2c 20 6f 72 20 65 76 65	.to.every.interface,.LAN,.or.eve
1eec0	6e 20 64 65 76 69 63 65 2e 20 4f 72 20 79 6f 75 20 63 6f 75 6c 64 20 62 72 65 61 6b 20 79 6f 75	n.device..Or.you.could.break.you
1eee0	72 20 6e 65 74 77 6f 72 6b 20 69 6e 74 6f 20 73 6d 61 6c 6c 65 72 20 63 68 75 6e 6b 73 20 6c 69	r.network.into.smaller.chunks.li
1ef00	6b 65 20 2f 35 36 20 6f 72 20 2f 36 30 2e 00 54 68 65 20 4c 61 62 20 61 73 75 6d 65 20 61 20 66	ke./56.or./60..The.Lab.asume.a.f
1ef20	75 6c 6c 20 72 75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 6f 6e 20	ull.running.Active.Directory.on.
1ef40	74 68 65 20 57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 2e 20 48 65 72 65 20 61 72 65 20 73 6f 6d	the.Windows.Server..Here.are.som
1ef60	65 20 50 6f 77 65 72 53 68 65 6c 6c 20 63 6f 6d 6d 61 6e 64 73 20 74 6f 20 71 75 69 63 6b 6c 79	e.PowerShell.commands.to.quickly
1ef80	20 61 64 64 20 61 20 54 65 73 74 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 2e 00 54 68	.add.a.Test.Active.Directory..Th
1efa0	65 20 54 6f 70 6f 6c 6f 67 79 20 61 72 65 20 63 6f 6e 73 69 73 74 73 20 6f 66 3a 00 54 68 65 20	e.Topology.are.consists.of:.The.
1efc0	56 79 4f 53 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 20 74 68 65 20 2e	VyOS.interface.is.assigned.the..
1efe0	31 2f 3a 31 20 61 64 64 72 65 73 73 20 6f 66 20 74 68 65 69 72 20 72 65 73 70 65 63 74 69 76 65	1/:1.address.of.their.respective
1f000	20 6e 65 74 77 6f 72 6b 73 2e 20 57 41 4e 20 69 73 20 6f 6e 20 56 4c 41 4e 20 31 30 2c 20 4c 41	.networks..WAN.is.on.VLAN.10,.LA
1f020	4e 20 6f 6e 20 56 4c 41 4e 20 32 30 2c 20 61 6e 64 20 44 4d 5a 20 6f 6e 20 56 4c 41 4e 20 33 30	N.on.VLAN.20,.and.DMZ.on.VLAN.30
1f040	2e 00 54 68 65 20 60 60 63 6f 6d 6d 69 74 60 60 20 63 6f 6d 6d 61 6e 64 20 69 73 20 69 6d 70 6c	..The.``commit``.command.is.impl
1f060	69 65 64 20 61 66 74 65 72 20 65 76 65 72 79 20 73 65 63 74 69 6f 6e 2e 20 49 66 20 79 6f 75 20	ied.after.every.section..If.you.
1f080	6d 61 6b 65 20 61 6e 20 65 72 72 6f 72 2c 20 60 60 63 6f 6d 6d 69 74 60 60 20 77 69 6c 6c 20 77	make.an.error,.``commit``.will.w
1f0a0	61 72 6e 20 79 6f 75 20 61 6e 64 20 79 6f 75 20 63 61 6e 20 66 69 78 20 69 74 20 62 65 66 6f 72	arn.you.and.you.can.fix.it.befor
1f0c0	65 20 67 65 74 74 69 6e 67 20 74 6f 6f 20 66 61 72 20 69 6e 74 6f 20 74 68 69 6e 67 73 2e 20 50	e.getting.too.far.into.things..P
1f0e0	6c 65 61 73 65 20 65 6e 73 75 72 65 20 79 6f 75 20 63 6f 6d 6d 69 74 20 65 61 72 6c 79 20 61 6e	lease.ensure.you.commit.early.an
1f100	64 20 63 6f 6d 6d 69 74 20 6f 66 74 65 6e 2e 00 54 68 65 20 60 60 72 65 64 69 73 74 72 69 62 75	d.commit.often..The.``redistribu
1f120	74 65 20 6f 73 70 66 60 60 20 63 6f 6d 6d 61 6e 64 20 69 73 20 74 68 65 72 65 20 70 75 72 65 6c	te.ospf``.command.is.there.purel
1f140	79 20 61 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 68 6f 77 20 74 68 69 73 20 63 61 6e 20	y.as.an.example.of.how.this.can.
1f160	62 65 20 65 78 70 61 6e 64 65 64 2e 20 49 6e 20 74 68 69 73 20 77 61 6c 6b 74 68 72 6f 75 67 68	be.expanded..In.this.walkthrough
1f180	2c 20 69 74 20 77 69 6c 6c 20 62 65 20 66 69 6c 74 65 72 65 64 20 62 79 20 42 47 50 4f 55 54 20	,.it.will.be.filtered.by.BGPOUT.
1f1a0	72 75 6c 65 20 31 30 30 30 30 2c 20 61 73 20 69 74 20 69 73 20 6e 6f 74 20 32 30 33 2e 30 2e 31	rule.10000,.as.it.is.not.203.0.1
1f1c0	31 33 2e 30 2f 32 34 2e 00 54 68 65 20 60 73 6f 75 72 63 65 2d 61 64 64 72 65 73 73 60 20 69 73	13.0/24..The.`source-address`.is
1f1e0	20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 63 6c 69 65 6e 74 20 49 50 76 34 20 61 64	.the.Tunnelbroker.client.IPv4.ad
1f200	64 72 65 73 73 20 6f 72 20 69 66 20 74 68 65 72 65 20 69 73 20 4e 41 54 20 74 68 65 20 63 75 72	dress.or.if.there.is.NAT.the.cur
1f220	72 65 6e 74 20 57 41 4e 20 69 6e 74 65 72 66 61 63 65 20 61 64 64 72 65 73 73 2e 00 54 68 65 20	rent.WAN.interface.address..The.
1f240	62 65 6c 6f 77 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 73 20 75 73 65 64 20 61 73 20 65	below.configuration.is.used.as.e
1f260	78 61 6d 70 6c 65 20 77 68 65 72 65 20 77 65 20 6b 65 65 70 20 66 6f 63 75 73 20 6f 6e 20 56 79	xample.where.we.keep.focus.on.Vy
1f280	4f 53 2d 50 31 2f 56 79 4f 53 2d 50 32 2f 58 52 76 2d 50 33 20 77 68 69 63 68 20 77 65 20 73 68	OS-P1/VyOS-P2/XRv-P3.which.we.sh
1f2a0	61 72 65 20 74 68 65 20 73 65 74 74 69 6e 67 73 2e 00 54 68 65 20 63 6f 6e 66 69 67 75 72 61 74	are.the.settings..The.configurat
1f2c0	69 6f 6e 20 73 74 65 70 73 20 61 72 65 20 74 68 65 20 73 61 6d 65 20 61 73 20 69 6e 20 74 68 65	ion.steps.are.the.same.as.in.the
1f2e0	20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 65 78 63 65 70 74 20 72 75 6c 65 20 31	.previous.example,.except.rule.1
1f300	30 2e 20 53 6f 20 77 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2c	0..So.we.keep.the.configuration,
1f320	20 72 65 6d 6f 76 65 20 72 75 6c 65 20 31 30 20 61 6e 64 20 61 64 64 20 61 20 6e 65 77 20 72 75	.remove.rule.10.and.add.a.new.ru
1f340	6c 65 20 66 6f 72 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 6d 6f 64 65 3a 00 54 68 65 20 65 78	le.for.the.failover.mode:.The.ex
1f360	61 6d 70 6c 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 73 20 32 20 56 79 4f 53 20 72 6f 75 74 65 72	ample.topology.has.2.VyOS.router
1f380	73 2e 20 4f 6e 65 20 61 73 20 54 68 65 20 57 41 4e 20 52 6f 75 74 65 72 20 61 6e 64 20 6f 6e 20	s..One.as.The.WAN.Router.and.on.
1f3a0	61 73 20 61 20 43 6c 69 65 6e 74 2c 20 74 6f 20 74 65 73 74 20 61 20 73 69 6e 67 6c 65 20 4c 41	as.a.Client,.to.test.a.single.LA
1f3c0	4e 20 73 65 74 75 70 00 54 68 65 20 66 69 72 73 74 20 74 77 6f 20 72 75 6c 65 73 20 61 72 65 20	N.setup.The.first.two.rules.are.
1f3e0	74 6f 20 64 65 61 6c 20 77 69 74 68 20 74 68 65 20 69 64 69 6f 73 79 6e 63 72 61 73 69 65 73 20	to.deal.with.the.idiosyncrasies.
1f400	6f 66 20 56 79 4f 53 20 61 6e 64 20 69 70 74 61 62 6c 65 73 2e 00 54 68 65 20 66 6f 6c 6c 6f 77	of.VyOS.and.iptables..The.follow
1f420	69 6e 67 20 61 72 65 20 74 68 65 20 72 75 6c 65 73 20 74 68 61 74 20 77 65 72 65 20 63 72 65 61	ing.are.the.rules.that.were.crea
1f440	74 65 64 20 66 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 28 6d 61 79 20 6e 6f 74 20 62 65	ted.for.this.example.(may.not.be
1f460	20 63 6f 6d 70 6c 65 74 65 29 2c 20 62 6f 74 68 20 69 6e 20 49 50 76 34 20 61 6e 64 20 49 50 76	.complete),.both.in.IPv4.and.IPv
1f480	36 2e 20 49 66 20 74 68 65 72 65 20 69 73 20 6e 6f 20 49 50 20 73 70 65 63 69 66 69 65 64 2c 20	6..If.there.is.no.IP.specified,.
1f4a0	74 68 65 6e 20 74 68 65 20 73 6f 75 72 63 65 2f 64 65 73 74 69 6e 61 74 69 6f 6e 20 61 64 64 72	then.the.source/destination.addr
1f4c0	65 73 73 20 69 73 20 6e 6f 74 20 65 78 70 6c 69 63 69 74 2e 00 54 68 65 20 66 6f 6c 6c 6f 77 69	ess.is.not.explicit..The.followi
1f4e0	6e 67 20 73 6f 66 74 77 61 72 65 20 77 61 73 20 75 73 65 64 20 69 6e 20 74 68 65 20 63 72 65 61	ng.software.was.used.in.the.crea
1f500	74 69 6f 6e 20 6f 66 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 3a 00 54 68 65 20 66 6f 6c 6c 6f	tion.of.this.document:.The.follo
1f520	77 69 6e 67 20 74 65 6d 70 6c 61 74 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 61 6e 20	wing.template.configuration.can.
1f540	62 65 20 75 73 65 64 20 69 6e 20 65 61 63 68 20 72 65 6d 6f 74 65 20 72 6f 75 74 65 72 20 62 61	be.used.in.each.remote.router.ba
1f560	73 65 64 20 69 6e 20 6f 75 72 20 74 6f 70 6f 6c 6f 67 79 2e 00 54 68 65 20 66 6f 72 6d 61 74 20	sed.in.our.topology..The.format.
1f580	6f 66 20 74 68 65 73 65 20 61 64 64 72 65 73 73 65 73 3a 00 54 68 65 20 6c 61 62 20 49 20 62 75	of.these.addresses:.The.lab.I.bu
1f5a0	69 6c 74 20 69 73 20 75 73 69 6e 67 20 61 20 56 52 46 20 28 63 61 6c 6c 65 64 20 2a 2a 6d 67 6d	ilt.is.using.a.VRF.(called.**mgm
1f5c0	74 2a 2a 29 20 74 6f 20 70 72 6f 76 69 64 65 20 6f 75 74 2d 6f 66 2d 62 61 6e 64 20 53 53 48 20	t**).to.provide.out-of-band.SSH.
1f5e0	61 63 63 65 73 73 20 74 6f 20 74 68 65 20 50 45 20 28 50 72 6f 76 69 64 65 72 20 45 64 67 65 29	access.to.the.PE.(Provider.Edge)
1f600	20 72 6f 75 74 65 72 73 2e 00 54 68 65 20 6c 61 62 20 61 73 73 75 6d 65 73 20 61 20 66 75 6c 6c	.routers..The.lab.assumes.a.full
1f620	20 72 75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 6f 6e 20 74 68 65	.running.Active.Directory.on.the
1f640	20 57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 2e 20 48 65 72 65 20 61 72 65 20 73 6f 6d 65 20 50	.Windows.Server..Here.are.some.P
1f660	6f 77 65 72 53 68 65 6c 6c 20 63 6f 6d 6d 61 6e 64 73 20 74 6f 20 71 75 69 63 6b 6c 79 20 61 64	owerShell.commands.to.quickly.ad
1f680	64 20 61 20 54 65 73 74 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 2e 00 54 68 65 20 6c	d.a.Test.Active.Directory..The.l
1f6a0	61 62 20 77 61 73 20 62 75 69 6c 74 20 75 73 69 6e 67 20 45 56 45 2d 4e 47 2e 00 54 68 65 20 6e	ab.was.built.using.EVE-NG..The.n
1f6c0	65 78 74 20 70 61 67 65 73 20 63 6f 6e 74 61 69 6e 73 20 61 75 74 6f 6d 61 74 69 63 20 66 75 6c	ext.pages.contains.automatic.ful
1f6e0	6c 20 74 65 73 74 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 73 2e	l.tested.configuration.examples.
1f700	00 54 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 20 75 73 65 64 20 74 68 65 20 66	.The.previous.example.used.the.f
1f720	61 69 6c 6f 76 65 72 20 63 6f 6d 6d 61 6e 64 20 74 6f 20 73 65 6e 64 20 74 72 61 66 66 69 63 20	ailover.command.to.send.traffic.
1f740	74 68 72 6f 75 67 68 20 65 74 68 31 20 69 66 20 65 74 68 30 20 66 61 69 6c 73 2e 20 49 6e 20 74	through.eth1.if.eth0.fails..In.t
1f760	68 69 73 20 65 78 61 6d 70 6c 65 2c 20 66 61 69 6c 6f 76 65 72 20 66 75 6e 63 74 69 6f 6e 61 6c	his.example,.failover.functional
1f780	69 74 79 20 69 73 20 70 72 6f 76 69 64 65 64 20 62 79 20 72 75 6c 65 20 6f 72 64 65 72 2e 00 54	ity.is.provided.by.rule.order..T
1f7a0	68 65 20 70 72 6f 63 65 73 73 20 77 69 6c 6c 20 64 6f 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67	he.process.will.do.the.following
1f7c0	20 73 74 65 70 73 3a 00 54 68 65 20 73 63 6f 70 65 20 6f 66 20 74 68 69 73 20 64 6f 63 75 6d 65	.steps:.The.scope.of.this.docume
1f7e0	6e 74 20 69 73 20 74 6f 20 63 6f 76 65 72 20 73 75 63 68 20 63 61 73 65 73 20 69 6e 20 61 20 64	nt.is.to.cover.such.cases.in.a.d
1f800	79 6e 61 6d 69 63 20 77 61 79 20 77 69 74 68 6f 75 74 20 74 68 65 20 75 73 65 20 6f 66 20 4d 50	ynamic.way.without.the.use.of.MP
1f820	4c 53 2d 4c 44 50 2e 00 54 68 65 20 73 65 74 75 70 20 75 73 65 64 20 69 6e 20 74 68 69 73 20 65	LS-LDP..The.setup.used.in.this.e
1f840	78 61 6d 70 6c 65 20 69 73 20 73 68 6f 77 6e 20 69 6e 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67	xample.is.shown.in.the.following
1f860	20 64 69 61 67 72 61 6d 3a 00 54 68 65 20 73 69 6d 70 6c 65 20 77 61 79 20 77 69 74 68 6f 75 74	.diagram:.The.simple.way.without
1f880	20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 68 6f 73 74 6e 61 6d 65 20 28	.configuration.of.the.hostname.(
1f8a0	6f 6e 65 20 74 61 73 6b 20 66 6f 72 20 61 6c 6c 20 72 6f 75 74 65 72 73 29 3a 00 54 68 65 20 73	one.task.for.all.routers):.The.s
1f8c0	69 6d 70 6c 65 73 74 20 77 61 79 20 74 6f 20 74 65 73 74 20 69 73 20 74 6f 20 6c 6f 6f 6b 20 61	implest.way.to.test.is.to.look.a
1f8e0	74 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 72 61 63 6b 69 6e 67 20 73 74 61 74 73 20	t.the.connection.tracking.stats.
1f900	6f 6e 20 74 68 65 20 73 74 61 6e 64 62 79 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 20 77	on.the.standby.hardware.router.w
1f920	69 74 68 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 68 6f 77 20 63 6f 6e 6e 74 72 61 63 6b	ith.the.command.``show.conntrack
1f940	2d 73 79 6e 63 20 73 74 61 74 69 73 74 69 63 73 60 60 2e 20 54 68 65 20 6e 75 6d 62 65 72 73 20	-sync.statistics``..The.numbers.
1f960	73 68 6f 75 6c 64 20 62 65 20 76 65 72 79 20 63 6c 6f 73 65 20 74 6f 20 74 68 65 20 6e 75 6d 62	should.be.very.close.to.the.numb
1f980	65 72 73 20 6f 6e 20 74 68 65 20 70 72 69 6d 61 72 79 20 72 6f 75 74 65 72 2e 00 54 68 65 20 73	ers.on.the.primary.router..The.s
1f9a0	79 6e 63 20 67 72 6f 75 70 20 69 73 20 75 73 65 64 20 74 6f 20 72 65 70 6c 69 63 61 74 65 20 63	ync.group.is.used.to.replicate.c
1f9c0	6f 6e 6e 65 63 74 69 6f 6e 20 74 72 61 63 6b 69 6e 67 2e 20 49 74 20 6e 65 65 64 73 20 74 6f 20	onnection.tracking..It.needs.to.
1f9e0	62 65 20 61 73 73 69 67 6e 65 64 20 74 6f 20 61 20 72 61 6e 64 6f 6d 20 56 52 52 50 20 67 72 6f	be.assigned.to.a.random.VRRP.gro
1fa00	75 70 2c 20 61 6e 64 20 77 65 20 61 72 65 20 63 72 65 61 74 69 6e 67 20 61 20 73 79 6e 63 20 67	up,.and.we.are.creating.a.sync.g
1fa20	72 6f 75 70 20 63 61 6c 6c 65 64 20 60 60 73 79 6e 63 60 60 20 75 73 69 6e 67 20 74 68 65 20 76	roup.called.``sync``.using.the.v
1fa40	72 72 70 20 67 72 6f 75 70 20 60 60 69 6e 74 60 60 2e 00 54 68 65 20 74 6f 70 6f 6c 6f 67 79 20	rrp.group.``int``..The.topology.
1fa60	68 61 73 20 33 20 56 79 4f 53 20 72 6f 75 74 65 72 73 20 61 6e 64 20 6f 6e 65 20 63 6c 69 65 6e	has.3.VyOS.routers.and.one.clien
1fa80	74 2e 20 42 65 74 77 65 65 6e 20 74 68 65 20 44 48 43 50 20 53 65 72 76 65 72 20 61 6e 64 20 74	t..Between.the.DHCP.Server.and.t
1faa0	68 65 20 44 48 43 50 20 52 65 6c 61 79 20 69 73 20 61 20 47 52 45 20 74 75 6e 6e 65 6c 2e 20 54	he.DHCP.Relay.is.a.GRE.tunnel..T
1fac0	68 65 20 60 74 72 61 6e 73 70 6f 72 74 60 20 56 79 4f 53 20 72 65 70 72 65 73 65 6e 74 20 61 20	he.`transport`.VyOS.represent.a.
1fae0	6c 61 72 67 65 20 4e 65 74 77 6f 72 6b 2e 00 54 68 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 76 65	large.Network..The.topology.have
1fb00	20 61 20 63 65 6e 74 72 61 6c 20 61 6e 64 20 61 20 62 72 61 6e 63 68 20 56 79 4f 53 20 72 6f 75	.a.central.and.a.branch.VyOS.rou
1fb20	74 65 72 20 61 6e 64 20 6f 6e 65 20 63 6c 69 65 6e 74 2c 20 74 6f 20 74 65 73 74 2c 20 69 6e 20	ter.and.one.client,.to.test,.in.
1fb40	65 61 63 68 20 73 69 74 65 2e 00 54 68 65 6e 20 61 64 64 20 61 20 72 6f 75 74 65 2d 6d 61 70 20	each.site..Then.add.a.route-map.
1fb60	61 6e 64 20 72 65 66 65 72 65 6e 63 65 20 74 6f 20 61 62 6f 76 65 20 70 72 65 66 69 78 2e 20 43	and.reference.to.above.prefix..C
1fb80	6f 6e 73 69 64 65 72 20 74 68 61 74 20 74 68 65 20 61 63 74 69 6f 6e 73 20 74 61 6b 65 6e 20 69	onsider.that.the.actions.taken.i
1fba0	6e 73 69 64 65 20 74 68 65 20 70 72 65 66 69 78 20 77 69 6c 6c 20 4d 41 54 43 48 20 74 68 65 20	nside.the.prefix.will.MATCH.the.
1fbc0	72 6f 75 74 65 73 20 74 68 61 74 20 77 69 6c 6c 20 62 65 20 61 66 66 65 63 74 65 64 20 62 79 20	routes.that.will.be.affected.by.
1fbe0	74 68 65 20 61 63 74 69 6f 6e 73 20 69 6e 73 69 64 65 20 74 68 65 20 72 75 6c 65 73 20 6f 66 20	the.actions.inside.the.rules.of.
1fc00	74 68 65 20 72 6f 75 74 65 2d 6d 61 70 2e 00 54 68 65 6e 20 77 65 20 6e 65 65 64 20 74 6f 20 61	the.route-map..Then.we.need.to.a
1fc20	74 74 61 63 68 20 74 68 65 20 70 6f 6c 69 63 79 20 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63	ttach.the.policy.to.the.BGP.proc
1fc40	65 73 73 2e 20 54 68 69 73 20 6e 65 65 64 73 20 74 6f 20 62 65 20 75 6e 64 65 72 20 74 68 65 20	ess..This.needs.to.be.under.the.
1fc60	69 6d 70 6f 72 74 20 73 74 61 74 65 6d 65 6e 74 20 69 6e 20 74 68 65 20 76 72 66 20 77 65 20 6e	import.statement.in.the.vrf.we.n
1fc80	65 65 64 20 74 6f 20 66 69 6c 74 65 72 2e 00 54 68 65 72 65 20 61 72 65 20 73 6f 6d 65 20 63 61	eed.to.filter..There.are.some.ca
1fca0	73 65 73 20 77 68 65 72 65 20 74 68 69 73 20 69 73 20 6e 6f 74 20 6e 65 65 64 65 64 20 2d 66 6f	ses.where.this.is.not.needed.-fo
1fcc0	72 20 65 78 61 6d 70 6c 65 2c 20 69 6e 20 73 6f 6d 65 20 44 44 6f 53 20 61 70 70 6c 69 61 6e 63	r.example,.in.some.DDoS.applianc
1fce0	65 2d 20 62 75 74 20 6d 6f 73 74 20 69 6e 74 65 72 2d 76 72 66 20 72 6f 75 74 69 6e 67 20 64 65	e-.but.most.inter-vrf.routing.de
1fd00	73 69 67 6e 73 20 75 73 65 20 74 68 65 20 61 62 6f 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f	signs.use.the.above.configuratio
1fd20	6e 73 2e 00 54 68 65 72 65 20 69 73 20 70 6c 65 6e 74 79 20 6f 66 20 69 6e 73 74 72 75 63 74 69	ns..There.is.plenty.of.instructi
1fd40	6f 6e 73 20 61 6e 64 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 6f 6e 20 73 65 74 74 69 6e 67	ons.and.documentation.on.setting
1fd60	20 75 70 20 57 69 72 65 67 75 61 72 64 2e 20 54 68 65 20 6f 6e 6c 79 20 69 6d 70 6f 72 74 61 6e	.up.Wireguard..The.only.importan
1fd80	74 20 74 68 69 6e 67 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 72 65 6d 65 6d 62 65 72 20 69 73 20	t.thing.you.need.to.remember.is.
1fda0	74 6f 20 6f 6e 6c 79 20 75 73 65 20 6f 6e 65 20 57 69 72 65 47 75 61 72 64 20 69 6e 74 65 72 66	to.only.use.one.WireGuard.interf
1fdc0	61 63 65 20 70 65 72 20 4f 53 50 46 20 63 6f 6e 6e 65 63 74 69 6f 6e 2e 00 54 68 65 73 65 20 61	ace.per.OSPF.connection..These.a
1fde0	72 65 20 74 68 65 20 76 6c 61 6e 73 20 77 65 20 77 69 6c 6c 20 62 65 20 75 73 69 6e 67 3a 00 54	re.the.vlans.we.will.be.using:.T
1fe00	68 65 79 20 77 61 6e 74 20 75 73 20 74 6f 20 65 73 74 61 62 6c 69 73 68 20 61 20 42 47 50 20 73	hey.want.us.to.establish.a.BGP.s
1fe20	65 73 73 69 6f 6e 20 74 6f 20 74 68 65 69 72 20 72 6f 75 74 65 72 73 20 6f 6e 20 31 39 32 2e 30	ession.to.their.routers.on.192.0
1fe40	2e 32 2e 31 31 20 61 6e 64 20 31 39 32 2e 30 2e 32 2e 31 32 20 66 72 6f 6d 20 6f 75 72 20 72 6f	.2.11.and.192.0.2.12.from.our.ro
1fe60	75 74 65 72 73 20 31 39 32 2e 30 2e 32 2e 32 31 20 61 6e 64 20 31 39 32 2e 30 2e 32 2e 32 32 2e	uters.192.0.2.21.and.192.0.2.22.
1fe80	20 54 68 65 79 20 61 72 65 20 41 53 20 36 35 35 35 30 20 61 6e 64 20 77 65 20 61 72 65 20 41 53	.They.are.AS.65550.and.we.are.AS
1fea0	20 36 35 35 35 31 2e 00 54 68 69 73 20 4c 41 42 20 73 68 6f 77 20 68 6f 77 20 74 6f 20 75 77 65	.65551..This.LAB.show.how.to.uwe
1fec0	20 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 61 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79	.OpenVPN.with.a.Active.Directory
1fee0	20 61 75 74 68 65 6e 74 69 63 61 74 69 6f 6e 20 62 61 63 6b 65 6e 64 2e 00 54 68 69 73 20 4c 41	.authentication.backend..This.LA
1ff00	42 20 73 68 6f 77 73 20 68 6f 77 20 74 6f 20 75 73 65 20 4f 70 65 6e 56 50 4e 20 77 69 74 68 20	B.shows.how.to.use.OpenVPN.with.
1ff20	61 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 61 75 74 68 65 6e 74 69 63 61 74 69 6f	a.Active.Directory.authenticatio
1ff40	6e 20 6d 65 74 68 6f 64 2e 00 54 68 69 73 20 61 63 63 6f 6d 70 6c 69 73 68 65 73 20 61 20 66 65	n.method..This.accomplishes.a.fe
1ff60	77 20 74 68 69 6e 67 73 3a 00 54 68 69 73 20 63 68 61 70 74 65 72 20 63 6f 6e 74 61 69 6e 73 20	w.things:.This.chapter.contains.
1ff80	76 61 72 69 6f 75 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 73 3a 00	various.configuration.examples:.
1ffa0	54 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 20 61 6e 64 20 74	This.configuration.example.and.t
1ffc0	68 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 63 6f 6e 73 69 73 74 73 20 6f 66 3a 00 54 68 69	he.requirements.consists.of:.Thi
1ffe0	73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 20 61 6e 64 20 74 68 65 20	s.configuration.example.and.the.
20000	72 65 71 75 69 72 6d 65 6e 74 73 20 63 6f 6e 73 69 73 74 73 20 6f 66 3a 00 54 68 69 73 20 63 6f	requirments.consists.of:.This.co
20020	6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 20 61 6e 64 20 74 68 65 20 72 65 71 75	nfiguration.example.and.the.requ
20040	69 72 6d 65 6e 74 73 20 63 6f 6e 73 69 73 74 73 20 6f 6e 3a 00 54 68 69 73 20 64 6f 63 75 6d 65	irments.consists.on:.This.docume
20060	6e 74 20 61 69 6d 73 20 74 6f 20 77 61 6c 6b 20 79 6f 75 20 74 68 72 6f 75 67 68 20 73 65 74 74	nt.aims.to.walk.you.through.sett
20080	69 6e 67 20 65 76 65 72 79 74 68 69 6e 67 20 75 70 2c 20 73 6f 20 61 74 20 61 20 70 6f 69 6e 74	ing.everything.up,.so.at.a.point
200a0	20 77 68 65 72 65 20 79 6f 75 20 63 61 6e 20 72 65 62 6f 6f 74 20 61 6e 79 20 6d 61 63 68 69 6e	.where.you.can.reboot.any.machin
200c0	65 20 61 6e 64 20 6e 6f 74 20 6c 6f 73 65 20 6d 6f 72 65 20 74 68 61 6e 20 61 20 66 65 77 20 73	e.and.not.lose.more.than.a.few.s
200e0	65 63 6f 6e 64 73 20 77 6f 72 74 68 20 6f 66 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 2e 00 54 68	econds.worth.of.connectivity..Th
20100	69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 64 65 73 63 72 69 62 65 20 61 20 62 61 73	is.document.is.to.describe.a.bas
20120	69 63 20 73 65 74 75 70 20 75 73 69 6e 67 20 50 50 50 6f 45 20 6f 76 65 72 20 4c 32 54 50 2e 20	ic.setup.using.PPPoE.over.L2TP..
20140	4c 41 43 20 61 6e 64 20 4c 4e 53 20 61 72 65 20 63 6f 6d 70 6f 6e 65 6e 74 73 20 6f 66 20 74 68	LAC.and.LNS.are.components.of.th
20160	65 20 62 72 6f 61 64 62 61 6e 64 20 74 6f 70 6f 6c 6f 67 79 2e 20 4c 41 43 20 2d 20 4c 32 54 50	e.broadband.topology..LAC.-.L2TP
20180	20 61 63 63 65 73 73 20 63 6f 6e 63 65 6e 74 72 61 74 6f 72 20 4c 4e 53 20 2d 20 20 4c 32 54 50	.access.concentrator.LNS.-..L2TP
201a0	20 4e 65 74 77 6f 72 6b 20 53 65 72 76 65 72 20 4c 41 43 20 61 6e 64 20 4c 4e 53 20 66 6f 72 6d	.Network.Server.LAC.and.LNS.form
201c0	73 20 4c 32 54 50 20 74 75 6e 6e 65 6c 2e 20 4c 41 43 20 72 65 63 65 69 76 65 73 20 70 61 63 6b	s.L2TP.tunnel..LAC.receives.pack
201e0	65 74 73 20 66 72 6f 6d 20 50 50 50 6f 45 20 63 6c 69 65 6e 74 73 20 61 6e 64 20 66 6f 72 77 61	ets.from.PPPoE.clients.and.forwa
20200	72 64 20 74 68 65 6d 20 74 6f 20 4c 4e 53 2e 20 4c 4e 53 20 69 73 20 74 68 65 20 74 65 72 6d 69	rd.them.to.LNS..LNS.is.the.termi
20220	6e 61 74 69 6f 6e 20 70 6f 69 6e 74 20 74 68 61 74 20 63 6f 6d 65 73 20 66 72 6f 6d 20 50 50 50	nation.point.that.comes.from.PPP
20240	20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 74 68 65 20 72 65 6d 6f 74 65 20 63 6c 69 65 6e 74 2e	.packets.from.the.remote.client.
20260	00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 64 65 73 63 72 69 62 65 20 61 20	.This.document.is.to.describe.a.
20280	62 61 73 69 63 20 73 65 74 75 70 20 75 73 69 6e 67 20 50 50 50 6f 45 20 77 69 74 68 20 44 48 43	basic.setup.using.PPPoE.with.DHC
202a0	50 76 36 2d 50 44 20 2b 20 53 4c 41 41 43 20 74 6f 20 63 6f 6e 73 74 72 75 63 74 20 61 20 74 79	Pv6-PD.+.SLAAC.to.construct.a.ty
202c0	70 69 63 61 6c 20 68 6f 6d 65 20 6e 65 74 77 6f 72 6b 2e 20 54 68 65 20 75 73 65 72 20 63 61 6e	pical.home.network..The.user.can
202e0	20 66 6f 6c 6c 6f 77 20 74 68 65 20 73 74 65 70 73 20 64 65 73 63 72 69 62 65 64 20 68 65 72 65	.follow.the.steps.described.here
20300	20 74 6f 20 71 75 69 63 6b 6c 79 20 73 65 74 75 70 20 61 20 77 6f 72 6b 69 6e 67 20 6e 65 74 77	.to.quickly.setup.a.working.netw
20320	6f 72 6b 20 61 6e 64 20 75 73 65 20 74 68 69 73 20 61 73 20 61 20 73 74 61 72 74 69 6e 67 20 70	ork.and.use.this.as.a.starting.p
20340	6f 69 6e 74 20 74 6f 20 66 75 72 74 68 65 72 20 63 6f 6e 66 69 67 75 72 65 20 6f 72 20 66 69 6e	oint.to.further.configure.or.fin
20360	65 2d 74 75 6e 65 20 6f 74 68 65 72 20 73 65 74 74 69 6e 67 73 2e 00 54 68 69 73 20 64 6f 63 75	e-tune.other.settings..This.docu
20380	6d 65 6e 74 20 77 61 6c 6b 73 20 79 6f 75 20 74 68 72 6f 75 67 68 20 61 20 63 6f 6d 70 6c 65 74	ment.walks.you.through.a.complet
203a0	65 20 48 41 20 73 65 74 75 70 20 6f 66 20 74 77 6f 20 56 79 4f 53 20 6d 61 63 68 69 6e 65 73 2e	e.HA.setup.of.two.VyOS.machines.
203c0	20 54 68 69 73 20 64 65 73 69 67 6e 20 69 73 20 62 61 73 65 64 20 6f 6e 20 61 20 56 4d 20 61 73	.This.design.is.based.on.a.VM.as
203e0	20 74 68 65 20 70 72 69 6d 61 72 79 20 72 6f 75 74 65 72 20 61 6e 64 20 61 20 70 68 79 73 69 63	.the.primary.router.and.a.physic
20400	61 6c 20 6d 61 63 68 69 6e 65 20 61 73 20 61 20 62 61 63 6b 75 70 2c 20 75 73 69 6e 67 20 56 52	al.machine.as.a.backup,.using.VR
20420	52 50 2c 20 42 47 50 2c 20 4f 53 50 46 2c 20 61 6e 64 20 63 6f 6e 6e 74 72 61 63 6b 20 73 68 61	RP,.BGP,.OSPF,.and.conntrack.sha
20440	72 69 6e 67 2e 00 54 68 69 73 20 65 6e 73 75 72 65 73 20 79 6f 75 20 64 6f 6e 27 74 20 67 6f 20	ring..This.ensures.you.don't.go.
20460	74 6f 6f 20 66 61 73 74 20 6f 72 20 6d 69 73 73 20 61 20 73 74 65 70 2e 20 48 6f 77 65 76 65 72	too.fast.or.miss.a.step..However
20480	2c 20 69 74 20 77 69 6c 6c 20 6d 61 6b 65 20 79 6f 75 72 20 6c 69 66 65 20 65 61 73 69 65 72 20	,.it.will.make.your.life.easier.
204a0	74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 66 69 78 65 64 20 49 50 20 61 64 64 72 65 73	to.configure.the.fixed.IP.addres
204c0	73 20 61 6e 64 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 6e 6f 77 20 6f 6e 20 74 68 65 20 68	s.and.default.route.now.on.the.h
204e0	61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 54 68 69 73 20 65 78 61 6d 70 6c 65 20 73 68 6f	ardware.router..This.example.sho
20500	77 73 20 68 6f 77 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 20 56 79 4f 53 20 72 6f 75 74 65	ws.how.to.configure.a.VyOS.route
20520	72 20 77 69 74 68 20 56 52 46 73 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 2e 00	r.with.VRFs.and.firewall.rules..
20540	54 68 69 73 20 65 78 61 6d 70 6c 65 20 73 68 6f 77 73 20 68 6f 77 20 74 6f 20 63 6f 6e 66 69 67	This.example.shows.how.to.config
20560	75 72 65 20 61 20 56 79 4f 53 20 72 6f 75 74 65 72 20 77 69 74 68 20 62 72 69 64 67 65 20 69 6e	ure.a.VyOS.router.with.bridge.in
20580	74 65 72 66 61 63 65 73 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 2e 00 54 68 69	terfaces.and.firewall.rules..Thi
205a0	73 20 65 78 61 6d 70 6c 65 20 75 73 65 73 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 6d 6f 64 65	s.example.uses.the.failover.mode
205c0	2e 00 54 68 69 73 20 67 69 76 65 73 20 75 73 20 4d 50 4c 53 20 73 65 67 6d 65 6e 74 20 72 6f 75	..This.gives.us.MPLS.segment.rou
205e0	74 69 6e 67 20 65 6e 61 62 6c 65 64 20 61 6e 64 20 6c 61 62 65 6c 73 20 66 6f 72 77 61 72 64 69	ting.enabled.and.labels.forwardi
20600	6e 67 20 3a 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 20 73 61 6d 70 6c 65 20 63	ng.:.This.guide.shows.a.sample.c
20620	6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 6f 72 20 46 6c 65 78 56 50 4e 20 73 69 74 65 2d 74 6f	onfiguration.for.FlexVPN.site-to
20640	2d 73 69 74 65 20 49 6e 74 65 72 6e 65 74 20 50 72 6f 74 6f 63 6f 6c 20 53 65 63 75 72 69 74 79	-site.Internet.Protocol.Security
20660	20 28 49 50 73 65 63 29 2f 47 65 6e 65 72 69 63 20 52 6f 75 74 69 6e 67 20 45 6e 63 61 70 73 75	.(IPsec)/Generic.Routing.Encapsu
20680	6c 61 74 69 6f 6e 20 28 47 52 45 29 20 74 75 6e 6e 65 6c 2e 00 54 68 69 73 20 67 75 69 64 65 20	lation.(GRE).tunnel..This.guide.
206a0	73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 20 72 65 64 75 6e 64 61 6e 74 20	shows.an.example.of.a.redundant.
206c0	28 61 63 74 69 76 65 2d 61 63 74 69 76 65 29 20 72 6f 75 74 65 2d 62 61 73 65 64 20 49 4b 45 76	(active-active).route-based.IKEv
206e0	32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 75 73 69 6e	2.site-to-site.VPN.to.Azure.usin
20700	67 20 56 54 49 20 61 6e 64 20 42 47 50 20 66 6f 72 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e	g.VTI.and.BGP.for.dynamic.routin
20720	67 20 75 70 64 61 74 65 73 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65	g.updates..This.guide.shows.an.e
20740	78 61 6d 70 6c 65 20 6f 66 20 61 20 72 6f 75 74 65 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69	xample.of.a.route-based.IKEv2.si
20760	74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 75 73 69 6e 67 20 56 54	te-to-site.VPN.to.Azure.using.VT
20780	49 20 61 6e 64 20 42 47 50 20 66 6f 72 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 70	I.and.BGP.for.dynamic.routing.up
207a0	64 61 74 65 73 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70	dates..This.guide.shows.an.examp
207c0	6c 65 20 70 6f 6c 69 63 79 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69	le.policy-based.IKEv2.site-to-si
207e0	74 65 20 56 50 4e 20 62 65 74 77 65 65 6e 20 74 77 6f 20 56 79 4f 53 20 72 6f 75 74 65 72 73 2c	te.VPN.between.two.VyOS.routers,
20800	20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 69 75 72 61 74 69 6f 6e 2e 00 54 68	.and.firewall.configiuration..Th
20820	69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 70 6f 6c 69 63 79	is.guide.shows.an.example.policy
20840	2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 62 65	-based.IKEv2.site-to-site.VPN.be
20860	74 77 65 65 6e 20 74 77 6f 20 56 79 4f 53 20 72 6f 75 74 65 72 73 2c 20 61 6e 64 20 66 69 72 65	tween.two.VyOS.routers,.and.fire
20880	77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 54 68 69 73 20 67 75 69 64 65 20 77	wall.configuration..This.guide.w
208a0	61 6c 6b 73 20 74 68 72 6f 75 67 68 20 74 68 65 20 73 65 74 75 70 20 6f 66 20 68 74 74 70 73 3a	alks.through.the.setup.of.https:
208c0	2f 2f 77 77 77 2e 74 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 20 66 6f 72 20 61 6e 20 49	//www.tunnelbroker.net/.for.an.I
208e0	50 76 36 20 54 75 6e 6e 65 6c 2e 00 54 68 69 73 20 68 61 73 20 61 20 66 6c 6f 61 74 69 6e 67 20	Pv6.Tunnel..This.has.a.floating.
20900	49 50 20 61 64 64 72 65 73 73 20 6f 66 20 31 30 2e 32 30 30 2e 32 30 31 2e 31 2f 32 34 2c 20 75	IP.address.of.10.200.201.1/24,.u
20920	73 69 6e 67 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 32 30 31 2e 20 54 68 65 20	sing.virtual.router.ID.201..The.
20940	64 69 66 66 65 72 65 6e 63 65 20 62 65 74 77 65 65 6e 20 74 68 65 6d 20 69 73 20 74 68 65 20 69	difference.between.them.is.the.i
20960	6e 74 65 72 66 61 63 65 20 6e 61 6d 65 2c 20 68 65 6c 6c 6f 2d 73 6f 75 72 63 65 2d 61 64 64 72	nterface.name,.hello-source-addr
20980	65 73 73 2c 20 61 6e 64 20 70 65 65 72 2d 61 64 64 72 65 73 73 2e 00 54 68 69 73 20 68 61 73 20	ess,.and.peer-address..This.has.
209a0	61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 32 30 33 2e 30 2e 31	a.floating.IP.address.of.203.0.1
209c0	31 33 2e 31 2f 32 34 2c 20 75 73 69 6e 67 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44	13.1/24,.using.virtual.router.ID
209e0	20 31 31 33 2e 20 54 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 69 73 20 6a	.113..The.virtual.router.ID.is.j
20a00	75 73 74 20 61 20 72 61 6e 64 6f 6d 20 6e 75 6d 62 65 72 20 62 65 74 77 65 65 6e 20 31 20 61 6e	ust.a.random.number.between.1.an
20a20	64 20 32 35 34 2c 20 61 6e 64 20 63 61 6e 20 62 65 20 73 65 74 20 74 6f 20 77 68 61 74 65 76 65	d.254,.and.can.be.set.to.whateve
20a40	72 20 79 6f 75 20 77 61 6e 74 2e 20 42 65 73 74 20 70 72 61 63 74 69 63 65 73 20 73 75 67 67 65	r.you.want..Best.practices.sugge
20a60	73 74 20 79 6f 75 20 74 72 79 20 74 6f 20 6b 65 65 70 20 74 68 65 6d 20 75 6e 69 71 75 65 20 65	st.you.try.to.keep.them.unique.e
20a80	6e 74 65 72 70 72 69 73 65 2d 77 69 64 65 2e 00 54 68 69 73 20 69 73 20 61 6e 20 65 78 61 6d 70	nterprise-wide..This.is.an.examp
20aa0	6c 65 20 6f 66 20 74 68 65 20 74 68 72 65 65 20 62 61 73 65 20 72 75 6c 65 73 2e 00 54 68 69 73	le.of.the.three.base.rules..This
20ac0	20 69 73 20 62 61 73 65 64 20 6f 6e 20 61 20 72 65 61 6c 2d 6c 69 66 65 20 70 72 6f 64 75 63 74	.is.based.on.a.real-life.product
20ae0	69 6f 6e 20 64 65 73 69 67 6e 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 63 6f 6d 70 6c 65 78 20 69	ion.design..One.of.the.complex.i
20b00	73 73 75 65 73 20 69 73 20 65 6e 73 75 72 69 6e 67 20 79 6f 75 20 68 61 76 65 20 72 65 64 75 6e	ssues.is.ensuring.you.have.redun
20b20	64 61 6e 74 20 64 61 74 61 20 49 4e 54 4f 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 2e 20 57 65 20	dant.data.INTO.your.network..We.
20b40	64 6f 20 74 68 69 73 20 77 69 74 68 20 61 20 70 61 69 72 20 6f 66 20 43 69 73 63 6f 20 4e 65 78	do.this.with.a.pair.of.Cisco.Nex
20b60	75 73 20 73 77 69 74 63 68 65 73 20 61 6e 64 20 75 73 69 6e 67 20 56 69 72 74 75 61 6c 20 50 6f	us.switches.and.using.Virtual.Po
20b80	72 74 43 68 61 6e 6e 65 6c 73 20 74 68 61 74 20 61 72 65 20 73 70 61 6e 6e 65 64 20 61 63 72 6f	rtChannels.that.are.spanned.acro
20ba0	73 73 20 74 68 65 6d 2e 20 41 73 20 61 20 62 6f 6e 75 73 2c 20 74 68 69 73 20 61 6c 73 6f 20 61	ss.them..As.a.bonus,.this.also.a
20bc0	6c 6c 6f 77 73 20 66 6f 72 20 63 6f 6d 70 6c 65 74 65 20 73 77 69 74 63 68 20 66 61 69 6c 75 72	llows.for.complete.switch.failur
20be0	65 20 77 69 74 68 6f 75 74 20 61 6e 20 6f 75 74 61 67 65 2e 20 48 6f 77 20 79 6f 75 20 61 63 68	e.without.an.outage..How.you.ach
20c00	69 65 76 65 20 74 68 69 73 20 79 6f 75 72 73 65 6c 66 20 69 73 20 6c 65 66 74 20 61 73 20 61 6e	ieve.this.yourself.is.left.as.an
20c20	20 65 78 65 72 63 69 73 65 20 74 6f 20 74 68 65 20 72 65 61 64 65 72 2e 20 42 75 74 20 6f 75 72	.exercise.to.the.reader..But.our
20c40	20 73 65 74 75 70 20 69 73 20 64 6f 63 75 6d 65 6e 74 65 64 20 68 65 72 65 2e 00 54 68 69 73 20	.setup.is.documented.here..This.
20c60	69 73 20 63 6f 6e 6e 65 63 74 69 6e 67 20 62 61 63 6b 20 74 6f 20 74 68 65 20 53 54 41 54 49 43	is.connecting.back.to.the.STATIC
20c80	20 49 50 20 6f 66 20 72 6f 75 74 65 72 31 2c 20 6e 6f 74 20 74 68 65 20 66 6c 6f 61 74 69 6e 67	.IP.of.router1,.not.the.floating
20ca0	2e 00 54 68 69 73 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 62 75 74 20 79 6f 75 20 75 73 65	..This.is.identical,.but.you.use
20cc0	20 74 68 65 20 42 47 50 50 52 45 50 45 4e 44 4f 55 54 20 72 6f 75 74 65 2d 6d 61 70 20 74 6f 20	.the.BGPPREPENDOUT.route-map.to.
20ce0	61 64 76 65 72 74 69 73 65 20 74 68 65 20 72 6f 75 74 65 20 77 69 74 68 20 61 20 6c 6f 6e 67 65	advertise.the.route.with.a.longe
20d00	72 20 70 61 74 68 2e 00 54 68 69 73 20 69 73 20 69 67 6e 6f 72 69 6e 67 20 74 68 65 20 65 78 74	r.path..This.is.ignoring.the.ext
20d20	72 61 20 4f 75 74 2d 6f 66 2d 62 61 6e 64 20 6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f 72	ra.Out-of-band.management.networ
20d40	6b 69 6e 67 2c 20 77 68 69 63 68 20 73 68 6f 75 6c 64 20 62 65 20 6f 6e 20 74 6f 74 61 6c 6c 79	king,.which.should.be.on.totally
20d60	20 64 69 66 66 65 72 65 6e 74 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 61 20 64 69 66 66 65	.different.switches,.and.a.diffe
20d80	72 65 6e 74 20 66 65 65 64 20 69 6e 74 6f 20 74 68 65 20 72 61 63 6b 2c 20 61 6e 64 20 69 73 20	rent.feed.into.the.rack,.and.is.
20da0	6f 75 74 20 6f 66 20 73 63 6f 70 65 20 6f 66 20 74 68 69 73 2e 00 54 68 69 73 20 73 63 65 6e 61	out.of.scope.of.this..This.scena
20dc0	72 69 6f 20 63 6f 75 6c 64 20 62 65 20 61 20 6e 69 67 68 74 6d 61 72 65 20 61 70 70 6c 79 69 6e	rio.could.be.a.nightmare.applyin
20de0	67 20 72 65 67 75 6c 61 72 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 6d 69 67 68 74 20 6e 65 65 64	g.regular.routing.and.might.need
20e00	20 66 69 6c 74 65 72 69 6e 67 20 69 6e 20 6d 75 6c 74 69 70 6c 65 20 69 6e 74 65 72 66 61 63 65	.filtering.in.multiple.interface
20e20	73 2e 00 54 68 69 73 20 73 65 63 74 69 6f 6e 20 63 6f 6e 74 61 69 6e 73 20 65 78 61 6d 70 6c 65	s..This.section.contains.example
20e40	73 20 6f 66 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 66 6f 72	s.of.firewall.configurations.for
20e60	20 76 61 72 69 6f 75 73 20 64 65 70 6c 6f 79 6d 65 6e 74 73 2e 00 54 68 69 73 20 73 65 63 74 69	.various.deployments..This.secti
20e80	6f 6e 20 64 65 73 63 72 69 62 65 73 20 76 65 72 69 66 69 63 61 74 69 6f 6e 20 63 6f 6d 6d 61 6e	on.describes.verification.comman
20ea0	64 73 20 66 6f 72 20 4d 50 4c 53 2f 42 47 50 2f 4c 44 50 20 70 72 6f 74 6f 63 6f 6c 73 20 61 6e	ds.for.MPLS/BGP/LDP.protocols.an
20ec0	64 20 4c 33 56 50 4e 20 72 65 6c 61 74 65 64 20 72 6f 75 74 65 73 20 61 73 20 77 65 6c 6c 20 61	d.L3VPN.related.routes.as.well.a
20ee0	73 20 64 69 61 67 6e 6f 73 69 73 20 61 6e 64 20 72 65 61 63 68 61 62 69 6c 69 74 79 20 63 68 65	s.diagnosis.and.reachability.che
20f00	63 6b 73 20 62 65 74 77 65 65 6e 20 43 45 20 6e 6f 64 65 73 2e 00 54 68 69 73 20 73 65 63 74 69	cks.between.CE.nodes..This.secti
20f20	6f 6e 20 70 72 6f 76 69 64 65 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 73 74 65 70 73 20	on.provides.configuration.steps.
20f40	66 6f 72 20 73 65 74 74 69 6e 67 20 75 70 20 56 52 46 73 20 6f 6e 20 6f 75 72 20 50 45 20 6e 6f	for.setting.up.VRFs.on.our.PE.no
20f60	64 65 73 20 69 6e 63 6c 75 64 69 6e 67 20 43 45 20 66 61 63 69 6e 67 20 69 6e 74 65 72 66 61 63	des.including.CE.facing.interfac
20f80	65 73 2c 20 42 47 50 2c 20 72 64 20 61 6e 64 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 69 6d 70	es,.BGP,.rd.and.route-target.imp
20fa0	6f 72 74 2f 65 78 70 6f 72 74 20 62 61 73 65 64 20 6f 6e 20 74 68 65 20 70 72 65 2d 64 65 66 69	ort/export.based.on.the.pre-defi
20fc0	6e 65 64 20 70 61 72 61 6d 65 74 65 72 73 2e 00 54 68 69 73 20 73 65 74 75 70 20 72 65 71 75 69	ned.parameters..This.setup.requi
20fe0	72 65 73 20 74 68 65 20 43 6f 6d 70 72 65 73 73 69 6f 6e 20 43 6f 6e 74 72 6f 6c 20 50 72 6f 74	res.the.Compression.Control.Prot
21000	6f 63 6f 6c 20 28 43 43 50 29 20 62 65 69 6e 67 20 64 69 73 61 62 6c 65 64 2c 20 74 68 65 20 63	ocol.(CCP).being.disabled,.the.c
21020	6f 6d 6d 61 6e 64 20 60 60 73 65 74 20 76 70 6e 20 6c 32 74 70 20 72 65 6d 6f 74 65 2d 61 63 63	ommand.``set.vpn.l2tp.remote-acc
21040	65 73 73 20 70 70 70 2d 6f 70 74 69 6f 6e 73 20 64 69 73 61 62 6c 65 2d 63 63 70 60 60 20 61 63	ess.ppp-options.disable-ccp``.ac
21060	63 6f 6d 70 6c 69 73 68 65 73 20 74 68 61 74 2e 00 54 68 69 73 20 73 69 6d 70 6c 65 20 73 74 72	complishes.that..This.simple.str
21080	75 63 74 75 72 65 20 73 68 6f 77 20 68 6f 77 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 77 6f 20 6f	ucture.show.how.to.connect.two.o
210a0	66 66 69 63 65 73 2e 20 4f 6e 65 20 72 65 6d 6f 74 65 20 62 72 61 6e 63 68 20 61 6e 64 20 74 68	ffices..One.remote.branch.and.th
210c0	65 20 63 65 6e 74 72 61 6c 20 6f 66 66 69 63 65 2e 00 54 68 69 73 20 73 69 6d 70 6c 65 20 73 74	e.central.office..This.simple.st
210e0	72 75 63 74 75 72 65 20 73 68 6f 77 73 20 68 6f 77 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61	ructure.shows.how.to.configure.a
21100	20 44 48 43 50 20 52 65 6c 61 79 20 6f 76 65 72 20 61 20 47 52 45 20 42 72 69 64 67 65 20 69 6e	.DHCP.Relay.over.a.GRE.Bridge.in
21120	74 65 72 66 61 63 65 2e 00 54 68 69 73 20 77 69 6c 6c 20 62 65 20 76 69 73 69 62 6c 65 20 69 6e	terface..This.will.be.visible.in
21140	20 27 73 68 6f 77 20 69 70 20 72 6f 75 74 65 27 2e 00 54 68 72 65 65 20 6e 6f 6e 20 56 4c 41 4e	.'show.ip.route'..Three.non.VLAN
21160	2d 61 77 61 72 65 20 62 72 69 64 67 65 73 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 62 65 20 63	-aware.bridges.are.going.to.be.c
21180	6f 6e 66 69 67 75 72 65 64 2c 20 61 6e 64 20 65 61 63 68 20 6f 6e 65 20 68 61 73 20 69 74 73 20	onfigured,.and.each.one.has.its.
211a0	6f 77 6e 20 72 65 71 75 69 72 65 6d 65 6e 74 73 2e 00 54 68 75 73 20 79 6f 75 20 63 61 6e 20 65	own.requirements..Thus.you.can.e
211c0	61 73 69 6c 79 20 6d 61 74 63 68 20 69 74 20 74 6f 20 6f 6e 65 20 6f 66 20 74 68 65 20 64 65 76	asily.match.it.to.one.of.the.dev
211e0	69 63 65 73 2f 6e 65 74 77 6f 72 6b 73 20 62 65 6c 6f 77 2e 00 54 6f 20 61 63 68 69 65 76 65 20	ices/networks.below..To.achieve.
21200	74 68 69 73 2c 20 79 6f 75 72 20 49 53 50 20 69 73 20 72 65 71 75 69 72 65 64 20 74 6f 20 73 75	this,.your.ISP.is.required.to.su
21220	70 70 6f 72 74 20 44 48 43 50 76 36 2d 50 44 2e 20 49 66 20 79 6f 75 27 72 65 20 6e 6f 74 20 73	pport.DHCPv6-PD..If.you're.not.s
21240	75 72 65 2c 20 70 6c 65 61 73 65 20 63 6f 6e 74 61 63 74 20 79 6f 75 72 20 49 53 50 20 66 6f 72	ure,.please.contact.your.ISP.for
21260	20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 54 6f 20 61 64 64 20 6c 6f 67 67 69 6e	.more.information..To.add.loggin
21280	67 20 74 6f 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 75 6c 65 2c 20 64 6f 3a 00 54 6f 20 61 64	g.to.the.default.rule,.do:.To.ad
212a0	64 72 65 73 73 20 74 68 69 73 20 73 63 65 6e 61 72 69 6f 20 77 65 20 77 69 6c 6c 20 75 73 65 20	dress.this.scenario.we.will.use.
212c0	74 6f 20 6f 75 72 20 61 64 76 61 6e 74 61 67 65 20 61 6e 20 65 78 74 65 6e 73 69 6f 6e 20 6f 66	to.our.advantage.an.extension.of
212e0	20 74 68 65 20 42 47 50 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 74 68 61 74 20 77	.the.BGP.routing.protocol.that.w
21300	69 6c 6c 20 68 65 6c 70 20 75 73 20 69 6e 20 74 68 65 20 e2 80 9c 45 78 70 6f 72 74 e2 80 9d 20	ill.help.us.in.the....Export....
21320	62 65 74 77 65 65 6e 20 56 52 46 73 20 77 69 74 68 6f 75 74 20 74 68 65 20 6e 65 65 64 20 66 6f	between.VRFs.without.the.need.fo
21340	72 20 4d 50 4c 53 2e 00 54 6f 20 64 65 70 6c 6f 79 20 61 20 4c 61 79 65 72 33 20 56 50 4e 20 77	r.MPLS..To.deploy.a.Layer3.VPN.w
21360	69 74 68 20 4d 50 4c 53 20 6f 6e 20 56 79 4f 53 2c 20 77 65 20 73 68 6f 75 6c 64 20 6d 65 65 74	ith.MPLS.on.VyOS,.we.should.meet
21380	20 61 20 63 6f 75 70 6c 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 69 6e 20 6f 72 64 65 72 20	.a.couple.requirements.in.order.
213a0	74 6f 20 70 72 6f 70 65 72 6c 79 20 69 6d 70 6c 65 6d 65 6e 74 20 74 68 65 20 73 6f 6c 75 74 69	to.properly.implement.the.soluti
213c0	6f 6e 2e 20 57 65 27 6c 6c 20 75 73 65 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 6e 6f 64 65	on..We'll.use.the.following.node
213e0	73 20 69 6e 20 6f 75 72 20 4c 41 42 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 3a 00 54 6f 20 68 61 76	s.in.our.LAB.environment:.To.hav
21400	65 20 62 61 73 69 63 20 70 72 6f 74 65 63 74 69 6f 6e 20 77 68 69 6c 65 20 6b 65 65 70 69 6e 67	e.basic.protection.while.keeping
21420	20 49 50 76 36 20 6e 65 74 77 6f 72 6b 20 66 75 6e 63 74 69 6f 6e 61 6c 2c 20 77 65 20 6e 65 65	.IPv6.network.functional,.we.nee
21440	64 20 74 6f 3a 00 54 6f 20 72 65 61 63 68 20 74 68 65 20 6e 65 74 77 6f 72 6b 2c 20 61 20 72 6f	d.to:.To.reach.the.network,.a.ro
21460	75 74 65 20 6d 75 73 74 20 62 65 20 73 65 74 20 6f 6e 20 65 61 63 68 20 56 79 4f 53 20 68 6f 73	ute.must.be.set.on.each.VyOS.hos
21480	74 2e 20 49 6e 20 74 68 69 73 20 73 74 72 75 63 74 75 72 65 2c 20 61 20 73 74 61 74 69 63 20 69	t..In.this.structure,.a.static.i
214a0	6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 77 69 6c 6c 20 66 69 74 20 74 68 65 20 72 65 71 75	nterface.route.will.fit.the.requ
214c0	69 72 65 6d 65 6e 74 73 2e 00 54 6f 70 6f 6c 6f 67 79 00 54 6f 70 6f 6c 6f 67 79 20 63 6f 6e 73	irements..Topology.Topology.cons
214e0	69 73 74 73 20 6f 66 3a 00 54 72 61 66 66 69 63 20 66 6c 6f 77 73 20 66 72 6f 6d 20 7a 6f 6e 65	ists.of:.Traffic.flows.from.zone
21500	20 41 20 74 6f 20 7a 6f 6e 65 20 42 2e 20 54 68 61 74 20 66 6c 6f 77 20 69 73 20 77 68 61 74 20	.A.to.zone.B..That.flow.is.what.
21520	49 20 72 65 66 65 72 20 74 6f 20 61 73 20 61 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74	I.refer.to.as.a.zone-pair-direct
21540	69 6f 6e 2e 20 65 67 2e 20 41 2d 3e 42 20 61 6e 64 20 42 2d 3e 41 20 61 72 65 20 74 77 6f 20 7a	ion..eg..A->B.and.B->A.are.two.z
21560	6f 6e 65 2d 70 61 69 72 2d 64 65 73 74 69 6e 61 74 69 6f 6e 73 2e 00 54 72 61 6e 73 70 6f 72 74	one-pair-destinations..Transport
21580	3a 00 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 54 75	:.Tunnelbroker.topology.image.Tu
215a0	6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 28 49 50 76 36 29 00 54 77 6f 20 56 79 4f 53 20 72	nnelbroker.net.(IPv6).Two.VyOS.r
215c0	6f 75 74 65 72 73 20 77 69 74 68 20 70 75 62 6c 69 63 20 49 50 20 61 64 64 72 65 73 73 2e 00 54	outers.with.public.IP.address..T
215e0	77 6f 20 72 75 6c 65 73 20 77 69 6c 6c 20 62 65 20 63 72 65 61 74 65 64 2c 20 74 68 65 20 66 69	wo.rules.will.be.created,.the.fi
21600	72 73 74 20 72 75 6c 65 20 64 69 72 65 63 74 73 20 74 72 61 66 66 69 63 20 63 6f 6d 69 6e 67 20	rst.rule.directs.traffic.coming.
21620	69 6e 20 66 72 6f 6d 20 65 74 68 32 20 74 6f 20 65 74 68 30 20 61 6e 64 20 74 68 65 20 73 65 63	in.from.eth2.to.eth0.and.the.sec
21640	6f 6e 64 20 72 75 6c 65 20 64 69 72 65 63 74 73 20 74 68 65 20 74 72 61 66 66 69 63 20 74 6f 20	ond.rule.directs.the.traffic.to.
21660	65 74 68 31 2e 20 49 66 20 65 74 68 30 20 66 61 69 6c 73 20 74 68 65 20 66 69 72 73 74 20 72 75	eth1..If.eth0.fails.the.first.ru
21680	6c 65 20 69 73 20 62 79 70 61 73 73 65 64 20 61 6e 64 20 74 68 65 20 73 65 63 6f 6e 64 20 72 75	le.is.bypassed.and.the.second.ru
216a0	6c 65 20 6d 61 74 63 68 65 73 2c 20 64 69 72 65 63 74 69 6e 67 20 74 72 61 66 66 69 63 20 74 6f	le.matches,.directing.traffic.to
216c0	20 65 74 68 31 2e 00 55 6e 6c 69 6b 65 20 49 50 76 34 2c 20 49 50 76 36 20 69 73 20 72 65 61 6c	.eth1..Unlike.IPv4,.IPv6.is.real
216e0	6c 79 20 6e 6f 74 20 64 65 73 69 67 6e 65 64 20 74 6f 20 62 65 20 62 72 6f 6b 65 6e 20 75 70 20	ly.not.designed.to.be.broken.up.
21700	73 6d 61 6c 6c 65 72 20 74 68 61 6e 20 2f 36 34 2e 20 53 6f 20 69 66 20 79 6f 75 20 65 76 65 72	smaller.than./64..So.if.you.ever
21720	20 77 61 6e 74 20 74 6f 20 68 61 76 65 20 6d 75 6c 74 69 70 6c 65 20 4c 41 4e 73 2c 20 56 4c 41	.want.to.have.multiple.LANs,.VLA
21740	4e 73 2c 20 44 4d 5a 2c 20 65 74 63 2c 20 79 6f 75 27 6c 6c 20 77 61 6e 74 20 74 6f 20 69 67 6e	Ns,.DMZ,.etc,.you'll.want.to.ign
21760	6f 72 65 20 74 68 65 20 61 73 73 69 67 6e 65 64 20 2f 36 34 2c 20 61 6e 64 20 72 65 71 75 65 73	ore.the.assigned./64,.and.reques
21780	74 20 74 68 65 20 2f 34 38 20 61 6e 64 20 75 73 65 20 74 68 61 74 2e 00 55 73 69 6e 67 20 74 68	t.the./48.and.use.that..Using.th
217a0	65 20 67 65 6e 65 72 61 6c 20 73 63 68 65 6d 61 20 66 6f 72 20 65 78 61 6d 70 6c 65 3a 00 55 73	e.general.schema.for.example:.Us
217c0	69 6e 67 20 74 68 69 73 20 63 6f 6d 6d 61 6e 64 20 77 65 20 61 72 65 20 61 6c 73 6f 20 61 62 6c	ing.this.command.we.are.also.abl
217e0	65 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 61 6e 64 20 63 75 73	e.to.check.the.transport.and.cus
21800	74 6f 6d 65 72 20 6c 61 62 65 6c 20 28 69 6e 6e 65 72 2f 6f 75 74 65 72 29 20 66 6f 72 20 48 75	tomer.label.(inner/outer).for.Hu
21820	62 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 20 28 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 29	b.network.prefix.(10.0.0.100/32)
21840	3a 00 56 4c 41 4e 20 31 30 30 20 61 6e 64 20 32 30 31 20 77 69 6c 6c 20 68 61 76 65 20 66 6c 6f	:.VLAN.100.and.201.will.have.flo
21860	61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 65 73 2c 20 62 75 74 20 56 4c 41 4e 35 30 20 64	ating.IP.addresses,.but.VLAN50.d
21880	6f 65 73 20 6e 6f 74 2c 20 61 73 20 74 68 69 73 20 69 73 20 74 61 6c 6b 69 6e 67 20 64 69 72 65	oes.not,.as.this.is.talking.dire
218a0	63 74 6c 79 20 74 6f 20 75 70 73 74 72 65 61 6d 2e 20 43 72 65 61 74 65 20 6f 75 72 20 49 50 20	ctly.to.upstream..Create.our.IP.
218c0	61 64 64 72 65 73 73 20 6f 6e 20 76 6c 61 6e 35 30 2e 00 56 4c 41 4e 73 00 56 4d 77 61 72 65 3a	address.on.vlan50..VLANs.VMware:
218e0	20 59 6f 75 20 6d 75 73 74 20 44 49 53 41 42 4c 45 20 53 45 43 55 52 49 54 59 20 6f 6e 20 74 68	.You.must.DISABLE.SECURITY.on.th
21900	69 73 20 50 6f 72 74 20 67 72 6f 75 70 2e 20 4d 61 6b 65 20 73 75 72 65 20 74 68 61 74 20 60 60	is.Port.group..Make.sure.that.``
21920	50 72 6f 6d 69 73 63 75 6f 75 73 20 4d 6f 64 65 60 60 5c 20 2c 20 60 60 4d 41 43 20 61 64 64 72	Promiscuous.Mode``\.,.``MAC.addr
21940	65 73 73 20 63 68 61 6e 67 65 73 60 60 20 61 6e 64 20 60 60 46 6f 72 67 65 64 20 74 72 61 6e 73	ess.changes``.and.``Forged.trans
21960	6d 69 74 73 60 60 20 61 72 65 20 65 6e 61 62 6c 65 64 2e 20 41 6c 6c 20 6f 66 20 74 68 65 73 65	mits``.are.enabled..All.of.these
21980	20 77 69 6c 6c 20 62 65 20 64 6f 6e 65 20 61 73 20 70 61 72 74 20 6f 66 20 66 61 69 6c 6f 76 65	.will.be.done.as.part.of.failove
219a0	72 2e 00 56 52 46 00 56 52 46 20 4c 41 4e 3a 00 56 52 46 20 4d 47 4d 54 3a 00 56 52 46 20 50 52	r..VRF.VRF.LAN:.VRF.MGMT:.VRF.PR
219c0	4f 44 3a 00 56 52 46 20 57 41 4e 3a 00 56 52 46 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 65 78	OD:.VRF.WAN:.VRF.and.firewall.ex
219e0	61 6d 70 6c 65 00 56 52 52 50 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 56 61 6c 69 64 61 74	ample.VRRP.Configuration.Validat
21a00	69 6f 6e 00 56 65 72 69 66 69 63 61 74 69 6f 6e 00 56 65 72 73 69 6f 6e 3a 20 31 2e 34 2d 72 6f	ion.Verification.Version:.1.4-ro
21a20	6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 00 56 65 72 73 69 6f 6e 3a 20 31 2e 34 2d	lling-202110310317.Version:.1.4-
21a40	72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 35 31 30 30 37 33 34 00 56 65 72 73 69 6f 6e 3a 20 31 2e	rolling-202305100734.Version:.1.
21a60	34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 32 34 30 30 32 30 00 56 65 72 73 69 6f 6e 3a 20	4-rolling-202308240020.Version:.
21a80	31 2e 35 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 34 30 31 31 32 31 32 33 39 00 56 65 72 73 69 6f 6e	1.5-rolling-202401121239.Version
21aa0	3a 20 76 79 6f 73 2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 32 31 35 30 33 31 37 00	:.vyos-1.4-rolling-202302150317.
21ac0	56 79 4f 53 00 56 79 4f 53 20 31 2e 33 20 61 64 64 65 64 20 69 6e 69 74 69 61 6c 20 73 75 70 70	VyOS.VyOS.1.3.added.initial.supp
21ae0	6f 72 74 20 66 6f 72 20 56 52 46 73 20 28 69 6e 63 6c 75 64 69 6e 67 20 49 50 76 34 2f 49 50 76	ort.for.VRFs.(including.IPv4/IPv
21b00	36 20 73 74 61 74 69 63 20 72 6f 75 74 69 6e 67 29 20 61 6e 64 20 56 79 4f 53 20 31 2e 34 20 6e	6.static.routing).and.VyOS.1.4.n
21b20	6f 77 20 65 6e 61 62 6c 65 73 20 66 75 6c 6c 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20	ow.enables.full.dynamic.routing.
21b40	70 72 6f 74 6f 63 6f 6c 20 73 75 70 70 6f 72 74 20 66 6f 72 20 4f 53 50 46 2c 20 49 53 2d 49 53	protocol.support.for.OSPF,.IS-IS
21b60	2c 20 61 6e 64 20 42 47 50 20 66 6f 72 20 69 6e 64 69 76 69 64 75 61 6c 20 56 52 46 73 2e 00 56	,.and.BGP.for.individual.VRFs..V
21b80	79 4f 53 20 61 63 74 73 20 61 73 20 44 48 43 50 2c 20 44 4e 53 20 66 6f 72 77 61 72 64 65 72 2c	yOS.acts.as.DHCP,.DNS.forwarder,
21ba0	20 4e 41 54 2c 20 72 6f 75 74 65 72 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 2e 00 56 79 4f 53 20	.NAT,.router.and.firewall..VyOS.
21bc0	61 73 20 43 6c 69 65 6e 74 00 56 79 4f 53 20 61 73 20 61 20 4f 70 65 6e 56 50 4e 20 53 65 72 76	as.Client.VyOS.as.a.OpenVPN.Serv
21be0	65 72 00 56 79 4f 53 20 69 73 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 4d 53 44 20 70 65 72	er.VyOS.is.able.to.check.MSD.per
21c00	20 64 65 76 69 63 65 73 3a 00 56 79 4f 53 2d 43 45 2d 48 55 42 20 2d 2d 2d 2d 2d 2d 2d 3e 20 56	.devices:.VyOS-CE-HUB.------->.V
21c20	79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 00 56 79 4f 53 2d 43 45 2d 48 55 42 20 2d 2d 2d 2d 2d 2d	yOS-CE1-SPOKE.VyOS-CE-HUB.------
21c40	2d 3e 20 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 00 56 79 4f 53 2d 43 45 31 2d 48 55 42 3a 00	->.VyOS-CE2-SPOKE.VyOS-CE1-HUB:.
21c60	56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 20 2d 2d 2d 2d 2d 3e 20 20 20 56 79 4f 53 2d 43 45 2d	VyOS-CE1-SPOKE.----->...VyOS-CE-
21c80	48 55 42 00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 3a 00 56 79 4f 53 2d 43 45 32 2d 53 50 4f	HUB.VyOS-CE1-SPOKE:.VyOS-CE2-SPO
21ca0	4b 45 20 2d 2d 2d 2d 2d 2d 2d 3e 20 20 56 79 4f 53 2d 43 45 2d 48 55 42 00 56 79 4f 53 2d 43 45	KE.------->..VyOS-CE-HUB.VyOS-CE
21cc0	32 2d 53 50 4f 4b 45 3a 00 56 79 4f 53 2d 50 31 3a 00 56 79 4f 53 2d 50 32 3a 00 56 79 4f 53 2d	2-SPOKE:.VyOS-P1:.VyOS-P2:.VyOS-
21ce0	50 33 3a 00 56 79 4f 53 2d 50 34 3a 00 56 79 4f 53 2d 50 45 31 00 56 79 4f 53 2d 50 45 31 3a 00	P3:.VyOS-P4:.VyOS-PE1.VyOS-PE1:.
21d00	56 79 4f 53 2d 50 45 32 00 56 79 4f 53 2d 50 45 32 3a 00 56 79 4f 53 2d 50 45 33 00 56 79 4f 53	VyOS-PE2.VyOS-PE2:.VyOS-PE3.VyOS
21d20	2d 50 45 33 3a 00 56 79 4f 53 2d 52 52 31 2f 52 52 32 00 56 79 4f 53 2d 52 52 31 3a 00 56 79 4f	-PE3:.VyOS-RR1/RR2.VyOS-RR1:.VyO
21d40	53 2d 52 52 32 3a 00 56 79 6f 73 20 41 53 4e 00 56 79 6f 73 20 63 6f 6e 66 69 67 75 72 61 74 69	S-RR2:.Vyos.ASN.Vyos.configurati
21d60	6f 6e 00 56 79 6f 73 20 70 72 69 76 61 74 65 20 49 50 00 56 79 6f 73 20 70 75 62 6c 69 63 20 49	on.Vyos.private.IP.Vyos.public.I
21d80	50 00 57 41 4e 20 49 6e 74 65 72 66 61 63 65 00 57 41 4e 20 4c 6f 61 64 20 42 61 6c 61 6e 63 65	P.WAN.Interface.WAN.Load.Balance
21da0	72 20 65 78 61 6d 70 6c 65 73 00 57 61 6c 6b 74 68 72 6f 75 67 68 20 73 75 67 67 65 73 74 69 6f	r.examples.Walkthrough.suggestio
21dc0	6e 00 57 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 75 73 65 20 31 30 2e 32 30 30 2e 32 30 31	n.We.are.going.to.use.10.200.201
21de0	2e 30 2f 32 34 20 66 6f 72 20 61 6e 20 27 69 6e 74 65 72 6e 61 6c 27 20 6e 65 74 77 6f 72 6b 20	.0/24.for.an.'internal'.network.
21e00	6f 6e 20 56 4c 41 4e 32 30 31 2e 00 57 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 75 73 65 20	on.VLAN201..We.are.going.to.use.
21e20	63 75 73 74 6f 6d 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 65 74 73 2c 20 6f 6e 65 20 66 6f	custom.firewall.rulesets,.one.fo
21e40	72 20 65 61 63 68 20 62 72 69 64 67 65 20 74 68 61 74 20 77 69 6c 6c 20 62 65 20 75 73 65 64 20	r.each.bridge.that.will.be.used.
21e60	69 6e 20 60 60 70 72 65 72 6f 75 74 69 6e 67 60 60 2c 20 61 6e 64 20 6f 6e 65 20 66 6f 72 20 65	in.``prerouting``,.and.one.for.e
21e80	61 63 68 20 62 72 69 64 67 65 20 74 68 61 74 20 77 69 6c 6c 20 62 65 20 75 73 65 64 20 69 6e 20	ach.bridge.that.will.be.used.in.
21ea0	74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 63 68 61 69 6e 2e 00 57 65 20 61 72 65 20 73 65	the.``forward``.chain..We.are.se
21ec0	74 74 69 6e 67 20 75 70 20 56 52 52 50 20 73 6f 20 74 68 61 74 20 69 74 20 64 6f 65 73 20 4e 4f	tting.up.VRRP.so.that.it.does.NO
21ee0	54 20 66 61 69 6c 20 62 61 63 6b 20 77 68 65 6e 20 61 20 6d 61 63 68 69 6e 65 20 72 65 74 75 72	T.fail.back.when.a.machine.retur
21f00	6e 73 20 69 6e 74 6f 20 73 65 72 76 69 63 65 2c 20 61 6e 64 20 69 74 20 70 72 69 6f 72 69 74 69	ns.into.service,.and.it.prioriti
21f20	7a 65 73 20 72 6f 75 74 65 72 31 20 6f 76 65 72 20 72 6f 75 74 65 72 32 2e 00 57 65 20 61 72 65	zes.router1.over.router2..We.are
21f40	20 75 73 69 6e 67 20 61 20 22 77 68 69 74 65 20 6c 69 73 74 22 20 61 70 70 72 6f 61 63 68 20 62	.using.a."white.list".approach.b
21f60	79 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 77 68 61 74 20 69 73 20 6e 65 63 65 73 73 61 72	y.allowing.only.what.is.necessar
21f80	79 2e 20 49 6e 20 63 61 73 65 20 74 68 61 74 20 6e 65 65 64 20 74 6f 20 69 6d 70 6c 65 6d 65 6e	y..In.case.that.need.to.implemen
21fa0	74 20 61 20 22 62 6c 61 63 6b 20 6c 69 73 74 22 20 61 70 70 72 6f 61 63 68 20 74 68 65 6e 20 79	t.a."black.list".approach.then.y
21fc0	6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 63 68 61 6e 67 65 20 74 68 65 20 61 63 74 69 6f	ou.will.need.to.change.the.actio
21fe0	6e 20 69 6e 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 20 66 6f 72 20 61 20 64 65 6e 79 20 42 55	n.in.the.route-map.for.a.deny.BU
22000	54 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 61 64 64 20 61 20 72 75 6c 65 20 74 68 61 74 20 70 65	T.you.need.to.add.a.rule.that.pe
22020	72 6d 69 74 73 20 74 68 65 20 72 65 73 74 20 64 75 65 20 74 6f 20 74 68 65 20 69 6d 70 6c 69 63	rmits.the.rest.due.to.the.implic
22040	69 74 20 64 65 6e 79 20 69 6e 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 2e 00 57 65 20 63 72 65	it.deny.in.the.route-map..We.cre
22060	61 74 65 20 61 20 70 72 65 66 69 78 2d 6c 69 73 74 20 66 69 72 73 74 20 61 6e 64 20 61 64 64 20	ate.a.prefix-list.first.and.add.
22080	61 6c 6c 20 74 68 65 20 72 6f 75 74 65 73 20 77 65 20 6e 65 65 64 20 74 6f 2e 00 57 65 20 65 78	all.the.routes.we.need.to..We.ex
220a0	70 6c 69 63 69 74 6c 79 20 65 78 63 6c 75 64 65 20 74 68 65 20 70 72 69 6d 61 72 79 20 75 70 73	plicitly.exclude.the.primary.ups
220c0	74 72 65 61 6d 20 6e 65 74 77 6f 72 6b 20 73 6f 20 74 68 61 74 20 42 47 50 20 6f 72 20 4f 53 50	tream.network.so.that.BGP.or.OSP
220e0	46 20 74 72 61 66 66 69 63 20 64 6f 65 73 6e 27 74 20 61 63 63 69 64 65 6e 74 61 6c 6c 79 20 67	F.traffic.doesn't.accidentally.g
22100	65 74 20 4e 41 54 27 65 64 2e 00 57 65 20 68 61 76 65 20 66 6f 75 72 20 68 6f 73 74 73 20 6f 6e	et.NAT'ed..We.have.four.hosts.on
22120	20 74 68 65 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 31 37 32 2e 31 37 2e 31 2e 30 2f 32 34	.the.local.network.172.17.1.0/24
22140	2e 20 41 6c 6c 20 68 6f 73 74 73 20 61 72 65 20 6c 61 62 65 6c 65 64 20 43 53 30 20 62 79 20 64	..All.hosts.are.labeled.CS0.by.d
22160	65 66 61 75 6c 74 2e 20 57 65 20 6e 65 65 64 20 74 6f 20 72 65 70 6c 61 63 65 20 6c 61 62 65 6c	efault..We.need.to.replace.label
22180	73 20 6f 6e 20 61 6c 6c 20 68 6f 73 74 73 20 65 78 63 65 70 74 20 76 70 63 38 2e 20 57 65 20 77	s.on.all.hosts.except.vpc8..We.w
221a0	69 6c 6c 20 72 65 70 6c 61 63 65 20 74 68 65 20 6c 61 62 65 6c 73 20 6f 6e 20 74 68 65 20 6e 65	ill.replace.the.labels.on.the.ne
221c0	61 72 65 73 74 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 33 e2 80 9d 20 75 73 69 6e 67 20 74	arest.router....VyOS3....using.t
221e0	68 65 20 49 50 20 61 64 64 72 65 73 73 65 73 20 6f 66 20 74 68 65 20 73 6f 75 72 63 65 73 2e 00	he.IP.addresses.of.the.sources..
22200	57 65 20 68 61 76 65 20 66 6f 75 72 20 70 72 65 2d 63 6f 6e 66 69 67 75 72 65 64 20 72 6f 75 74	We.have.four.pre-configured.rout
22220	65 72 73 20 77 69 74 68 20 74 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 57 65 20	ers.with.this.configuration:.We.
22240	68 61 76 65 20 74 68 72 65 65 20 6e 65 74 77 6f 72 6b 73 2e 00 57 65 20 6b 65 65 70 20 74 68 65	have.three.networks..We.keep.the
22260	20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20 70 72 65 76 69 6f 75 73	.configuration.from.the.previous
22280	20 65 78 61 6d 70 6c 65 2c 20 64 65 6c 65 74 65 20 72 75 6c 65 20 31 30 20 61 6e 64 20 63 72 65	.example,.delete.rule.10.and.cre
222a0	61 74 65 20 74 68 65 20 74 77 6f 20 6e 65 77 20 72 75 6c 65 73 20 61 73 20 64 65 73 63 72 69 62	ate.the.two.new.rules.as.describ
222c0	65 64 3a 00 57 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72	ed:.We.keep.the.configuration.fr
222e0	6f 6d 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 64 65 6c 65 74 65 20	om.the.previous.example,.delete.
22300	72 75 6c 65 20 32 30 20 61 6e 64 20 63 72 65 61 74 65 20 61 20 6e 65 77 20 72 75 6c 65 20 61 73	rule.20.and.create.a.new.rule.as
22320	20 64 65 73 63 72 69 62 65 64 3a 00 57 65 20 6e 65 65 64 20 74 6f 20 65 6e 61 62 6c 65 20 72 6f	.described:.We.need.to.enable.ro
22340	75 74 65 72 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 66 6f 72 20 4c 41 4e 20 6e 65 74 77 6f	uter.advertisement.for.LAN.netwo
22360	72 6b 20 73 6f 20 74 68 61 74 20 50 43 20 63 61 6e 20 72 65 63 65 69 76 65 20 74 68 65 20 70 72	rk.so.that.PC.can.receive.the.pr
22380	65 66 69 78 20 61 6e 64 20 75 73 65 20 53 4c 41 41 43 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20	efix.and.use.SLAAC.to.configure.
223a0	74 68 65 20 61 64 64 72 65 73 73 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 2e 00 57 65 20 6f 6e	the.address.automatically..We.on
223c0	6c 79 20 77 61 6e 74 20 74 6f 20 65 78 70 6f 72 74 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 20 77	ly.want.to.export.the.networks.w
223e0	65 20 6b 6e 6f 77 2e 20 41 6c 77 61 79 73 20 64 6f 20 61 20 77 68 69 74 65 6c 69 73 74 20 6f 6e	e.know..Always.do.a.whitelist.on
22400	20 79 6f 75 72 20 72 6f 75 74 65 20 66 69 6c 74 65 72 73 2c 20 62 6f 74 68 20 69 6d 70 6f 72 74	.your.route.filters,.both.import
22420	69 6e 67 20 61 6e 64 20 65 78 70 6f 72 74 69 6e 67 2e 20 41 20 67 6f 6f 64 20 72 75 6c 65 20 6f	ing.and.exporting..A.good.rule.o
22440	66 20 74 68 75 6d 62 20 69 73 20 2a 2a 27 49 66 20 79 6f 75 20 61 72 65 20 6e 6f 74 20 74 68 65	f.thumb.is.**'If.you.are.not.the
22460	20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 20 66 6f 72 20 61 20 6e 65 74 77 6f 72 6b 2c 20 64	.default.router.for.a.network,.d
22480	6f 6e 27 74 20 61 64 76 65 72 74 69 73 65 20 69 74 27 2a 2a 2e 20 54 68 69 73 20 6d 65 61 6e 73	on't.advertise.it'**..This.means
224a0	20 77 65 20 65 78 70 6c 69 63 69 74 6c 79 20 64 6f 20 6e 6f 74 20 77 61 6e 74 20 74 6f 20 61 64	.we.explicitly.do.not.want.to.ad
224c0	76 65 72 74 69 73 65 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b	vertise.the.192.0.2.0/24.network
224e0	20 28 62 75 74 20 64 6f 20 77 61 6e 74 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 31 30 2e 32 30	.(but.do.want.to.advertise.10.20
22500	30 2e 32 30 31 2e 30 20 61 6e 64 20 32 30 33 2e 30 2e 31 31 33 2e 30 2c 20 77 68 69 63 68 20 77	0.201.0.and.203.0.113.0,.which.w
22520	65 20 41 52 45 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 66 6f 72 29 2e 20 54 68	e.ARE.the.default.route.for)..Th
22540	69 73 20 66 69 6c 74 65 72 20 69 73 20 61 70 70 6c 69 65 64 20 74 6f 20 60 60 72 65 64 69 73 74	is.filter.is.applied.to.``redist
22560	72 69 62 75 74 65 20 63 6f 6e 6e 65 63 74 65 64 60 60 2e 20 49 66 20 77 65 20 57 45 52 45 20 74	ribute.connected``..If.we.WERE.t
22580	6f 20 61 64 76 65 72 74 69 73 65 20 69 74 2c 20 74 68 65 20 72 65 6d 6f 74 65 20 6d 61 63 68 69	o.advertise.it,.the.remote.machi
225a0	6e 65 73 20 77 6f 75 6c 64 20 73 65 65 20 31 39 32 2e 30 2e 32 2e 32 31 20 61 76 61 69 6c 61 62	nes.would.see.192.0.2.21.availab
225c0	6c 65 20 76 69 61 20 74 68 65 69 72 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 2c 20 65 73 74 61	le.via.their.default.route,.esta
225e0	62 6c 69 73 68 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 2c 20 61 6e 64 20 74 68 65 6e 20 4f	blish.the.connection,.and.then.O
22600	53 50 46 20 77 6f 75 6c 64 20 73 61 79 20 27 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 69 73 20 61	SPF.would.say.'192.0.2.0/24.is.a
22620	76 61 69 6c 61 62 6c 65 20 76 69 61 20 74 68 69 73 20 74 75 6e 6e 65 6c 27 2c 20 61 74 20 77 68	vailable.via.this.tunnel',.at.wh
22640	69 63 68 20 70 6f 69 6e 74 20 74 68 65 20 74 75 6e 6e 65 6c 20 77 6f 75 6c 64 20 62 72 65 61 6b	ich.point.the.tunnel.would.break
22660	2c 20 4f 53 50 46 20 77 6f 75 6c 64 20 64 72 6f 70 20 74 68 65 20 72 6f 75 74 65 73 2c 20 61 6e	,.OSPF.would.drop.the.routes,.an
22680	64 20 74 68 65 6e 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 77 6f 75 6c 64 20 62 65 20 72 65 61	d.then.192.0.2.0/24.would.be.rea
226a0	63 68 61 62 6c 65 20 76 69 61 20 64 65 66 61 75 6c 74 20 61 67 61 69 6e 2e 20 54 68 69 73 20 69	chable.via.default.again..This.i
226c0	73 20 63 61 6c 6c 65 64 20 27 66 6c 61 70 70 69 6e 67 27 2e 00 57 65 20 6f 6e 6c 79 20 77 61 6e	s.called.'flapping'..We.only.wan
226e0	74 20 74 6f 20 69 6d 70 6f 72 74 20 6e 65 74 77 6f 72 6b 73 20 77 65 20 6b 6e 6f 77 2e 20 4f 75	t.to.import.networks.we.know..Ou
22700	72 20 4f 53 50 46 20 70 65 65 72 20 73 68 6f 75 6c 64 20 6f 6e 6c 79 20 62 65 20 61 64 76 65 72	r.OSPF.peer.should.only.be.adver
22720	74 69 73 69 6e 67 20 6e 65 74 77 6f 72 6b 73 20 69 6e 20 74 68 65 20 31 30 2e 32 30 31 2e 30 2e	tising.networks.in.the.10.201.0.
22740	30 2f 31 36 20 72 61 6e 67 65 2e 20 4e 6f 74 65 20 74 68 61 74 20 74 68 69 73 20 69 73 20 61 6e	0/16.range..Note.that.this.is.an
22760	20 49 4e 56 45 52 53 45 20 4d 41 54 43 48 2e 20 59 6f 75 20 64 65 6e 79 20 69 6e 20 61 63 63 65	.INVERSE.MATCH..You.deny.in.acce
22780	73 73 2d 6c 69 73 74 20 31 30 30 20 74 6f 20 61 63 63 65 70 74 20 74 68 65 20 72 6f 75 74 65 2e	ss-list.100.to.accept.the.route.
227a0	00 57 65 20 75 73 65 20 61 20 73 74 61 74 69 63 20 72 6f 75 74 65 20 63 6f 6e 66 69 67 75 72 61	.We.use.a.static.route.configura
227c0	74 69 6f 6e 20 69 6e 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 61 6e 64 20 65 61 63	tion.in.between.the.Core.and.eac
227e0	68 20 4c 41 4e 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 20 72 6f 75 74 65 72 2c 20 61 6e 64	h.LAN.and.Management.router,.and
22800	20 42 47 50 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 72 6f 75 74 65 72 20 61 6e 64	.BGP.between.the.Core.router.and
22820	20 74 68 65 20 49 53 50 20 72 6f 75 74 65 72 20 62 75 74 20 61 6e 79 20 64 79 6e 61 6d 69 63 20	.the.ISP.router.but.any.dynamic.
22840	72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 63 61 6e 20 62 65 20 75 73 65 64 2e 00 57 65	routing.protocol.can.be.used..We
22860	20 75 73 65 20 73 6d 61 6c 6c 20 2f 33 30 27 73 20 66 72 6f 6d 20 31 30 2e 32 35 34 2e 36 30 2f	.use.small./30's.from.10.254.60/
22880	32 34 20 66 6f 72 20 74 68 65 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20 6c 69 6e 6b 73 2e	24.for.the.point-to-point.links.
228a0	00 57 65 20 75 73 65 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 6e 65 74 77 6f 72 6b 20 74 6f	.We.use.the.following.network.to
228c0	70 6f 6c 6f 67 79 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 3a 00 57 68 65 6e 20 69 6d 70	pology.in.this.example:.When.imp
228e0	6f 72 74 69 6e 67 20 72 6f 75 74 65 73 20 75 73 69 6e 67 20 4d 50 2d 42 47 50 20 69 74 20 69 73	orting.routes.using.MP-BGP.it.is
22900	20 70 6f 73 73 69 62 6c 65 20 74 6f 20 66 69 6c 74 65 72 20 61 20 73 75 62 73 65 74 20 6f 66 20	.possible.to.filter.a.subset.of.
22920	74 68 65 6d 20 62 65 66 6f 72 65 20 61 72 65 20 69 6e 6a 65 63 74 65 64 20 69 6e 20 74 68 65 20	them.before.are.injected.in.the.
22940	42 47 50 20 74 61 62 6c 65 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 6d 6f 73 74 20 63 6f 6d 6d 6f	BGP.table..One.of.the.most.commo
22960	6e 20 63 61 73 65 20 69 73 20 74 6f 20 75 73 65 20 61 20 72 6f 75 74 65 2d 6d 61 70 20 77 69 74	n.case.is.to.use.a.route-map.wit
22980	68 20 61 6e 20 70 72 65 66 69 78 2d 6c 69 73 74 2e 00 57 68 65 6e 20 74 72 61 66 66 69 63 20 69	h.an.prefix-list..When.traffic.i
229a0	73 20 6f 72 69 67 69 6e 61 74 65 64 20 66 72 6f 6d 20 74 68 65 20 31 30 2e 32 30 30 2e 32 30 31	s.originated.from.the.10.200.201
229c0	2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2c 20 69 74 20 77 69 6c 6c 20 62 65 20 6d 61 73 71 75 65	.0/24.network,.it.will.be.masque
229e0	72 61 64 65 64 20 74 6f 20 32 30 33 2e 30 2e 31 31 33 2e 31 00 57 68 65 6e 20 75 74 69 6c 69 7a	raded.to.203.0.113.1.When.utiliz
22a00	69 6e 67 20 56 79 4f 53 20 69 6e 20 61 6e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 20 77 69 74 68 20	ing.VyOS.in.an.environment.with.
22a20	43 69 73 63 6f 20 49 4f 53 2d 58 52 20 67 65 61 72 20 79 6f 75 20 63 61 6e 20 75 73 65 20 74 68	Cisco.IOS-XR.gear.you.can.use.th
22a40	69 73 20 62 6c 75 65 20 70 72 69 6e 74 20 61 73 20 61 6e 20 69 6e 69 74 69 61 6c 20 73 65 74 75	is.blue.print.as.an.initial.setu
22a60	70 20 74 6f 20 67 65 74 20 4d 50 4c 53 20 49 53 49 53 2d 53 52 20 77 6f 72 6b 69 6e 67 20 62 65	p.to.get.MPLS.ISIS-SR.working.be
22a80	74 77 65 65 6e 20 74 68 6f 73 65 20 74 77 6f 20 64 65 76 69 63 65 73 2e 54 68 65 20 6c 61 62 20	tween.those.two.devices.The.lab.
22aa0	77 61 73 20 62 75 69 6c 64 20 75 73 69 6e 67 20 3a 61 62 62 72 3a 60 45 56 45 2d 4e 47 20 28 45	was.build.using.:abbr:`EVE-NG.(E
22ac0	6d 75 6c 61 74 65 64 20 56 69 72 74 75 61 6c 20 45 6e 76 69 72 6f 6e 6d 65 6e 74 20 4e 47 29 60	mulated.Virtual.Environment.NG)`
22ae0	2e 00 57 68 65 6e 20 79 6f 75 20 68 61 76 65 20 62 6f 74 68 20 72 6f 75 74 65 72 73 20 75 70 2c	..When.you.have.both.routers.up,
22b00	20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 65 73 74 61 62 6c 69 73 68	.you.should.be.able.to.establish
22b20	20 61 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 72 6f 6d 20 61 20 4e 41 54 27 65 64 20 6d 61 63 68	.a.connection.from.a.NAT'ed.mach
22b40	69 6e 65 20 6f 75 74 20 74 6f 20 74 68 65 20 69 6e 74 65 72 6e 65 74 2c 20 72 65 62 6f 6f 74 20	ine.out.to.the.internet,.reboot.
22b60	74 68 65 20 61 63 74 69 76 65 20 6d 61 63 68 69 6e 65 2c 20 61 6e 64 20 74 68 61 74 20 63 6f 6e	the.active.machine,.and.that.con
22b80	6e 65 63 74 69 6f 6e 20 73 68 6f 75 6c 64 20 62 65 20 70 72 65 73 65 72 76 65 64 2c 20 61 6e 64	nection.should.be.preserved,.and
22ba0	20 77 69 6c 6c 20 6e 6f 74 20 64 72 6f 70 20 6f 75 74 2e 00 57 68 65 6e 20 79 6f 75 20 68 61 76	.will.not.drop.out..When.you.hav
22bc0	65 20 65 6e 61 62 6c 65 64 20 4f 53 50 46 20 6f 6e 20 62 6f 74 68 20 72 6f 75 74 65 72 73 2c 20	e.enabled.OSPF.on.both.routers,.
22be0	79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 65 61 63 68 20 6f	you.should.be.able.to.see.each.o
22c00	74 68 65 72 20 77 69 74 68 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 68 6f 77 20 69 70 20	ther.with.the.command.``show.ip.
22c20	6f 73 70 66 20 6e 65 69 67 68 62 6f 75 72 60 60 2e 20 54 68 65 20 73 74 61 74 65 20 6d 75 73 74	ospf.neighbour``..The.state.must
22c40	20 62 65 20 27 46 75 6c 6c 27 20 6f 72 20 27 32 2d 57 61 79 27 2e 20 49 66 20 69 74 20 69 73 20	.be.'Full'.or.'2-Way'..If.it.is.
22c60	6e 6f 74 2c 20 74 68 65 6e 20 74 68 65 72 65 20 69 73 20 61 20 6e 65 74 77 6f 72 6b 20 63 6f 6e	not,.then.there.is.a.network.con
22c80	6e 65 63 74 69 76 69 74 79 20 69 73 73 75 65 20 62 65 74 77 65 65 6e 20 74 68 65 20 68 6f 73 74	nectivity.issue.between.the.host
22ca0	73 2e 20 54 68 69 73 20 69 73 20 6f 66 74 65 6e 20 63 61 75 73 65 64 20 62 79 20 4e 41 54 20 6f	s..This.is.often.caused.by.NAT.o
22cc0	72 20 4d 54 55 20 69 73 73 75 65 73 2e 20 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 74 20 73 65 65	r.MTU.issues..You.should.not.see
22ce0	20 61 6e 79 20 6e 65 77 20 72 6f 75 74 65 73 20 28 75 6e 6c 65 73 73 20 74 68 69 73 20 69 73 20	.any.new.routes.(unless.this.is.
22d00	74 68 65 20 73 65 63 6f 6e 64 20 70 61 73 73 29 20 69 6e 20 74 68 65 20 6f 75 74 70 75 74 20 6f	the.second.pass).in.the.output.o
22d20	66 20 60 60 73 68 6f 77 20 69 70 20 72 6f 75 74 65 60 60 00 57 68 69 6c 65 20 74 65 73 74 69 6e	f.``show.ip.route``.While.testin
22d40	67 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2c 20 77 65 20 63 61 6e 20 63 68 65 63	g.the.configuration,.we.can.chec
22d60	6b 20 6c 6f 67 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 65 6e 73 75 72 65 20 74 68 61 74 20 77	k.logs.in.order.to.ensure.that.w
22d80	65 20 61 72 65 20 61 63 63 65 70 74 69 6e 67 20 61 6e 64 2f 6f 72 20 62 6c 6f 63 6b 69 6e 67 20	e.are.accepting.and/or.blocking.
22da0	74 68 65 20 63 6f 72 72 65 63 74 20 74 72 61 66 66 69 63 2e 00 57 69 6e 64 6f 77 20 50 50 50 6f	the.correct.traffic..Window.PPPo
22dc0	45 20 43 6c 69 65 6e 74 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 57 69 6e 64 6f 77 73 20 53	E.Client.Configuration.Windows.S
22de0	65 72 76 65 72 20 32 30 31 39 20 77 69 74 68 20 61 20 72 75 6e 6e 69 6e 67 20 41 63 74 69 76 65	erver.2019.with.a.running.Active
22e00	20 44 69 72 65 63 74 6f 72 79 00 57 69 72 65 67 75 61 72 64 00 57 69 72 65 67 75 61 72 64 20 64	.Directory.Wireguard.Wireguard.d
22e20	6f 65 73 6e 27 74 20 68 61 76 65 20 74 68 65 20 63 6f 6e 63 65 70 74 20 6f 66 20 61 6e 20 75 70	oesn't.have.the.concept.of.an.up
22e40	20 6f 72 20 64 6f 77 6e 20 6c 69 6e 6b 2c 20 64 75 65 20 74 6f 20 69 74 73 20 64 65 73 69 67 6e	.or.down.link,.due.to.its.design
22e60	2e 20 54 68 69 73 20 63 6f 6d 70 6c 69 63 61 74 65 73 20 41 4e 44 20 73 69 6d 70 6c 69 66 69 65	..This.complicates.AND.simplifie
22e80	73 20 75 73 69 6e 67 20 69 74 20 66 6f 72 20 6e 65 74 77 6f 72 6b 20 74 72 61 6e 73 70 6f 72 74	s.using.it.for.network.transport
22ea0	2c 20 61 73 20 66 6f 72 20 72 65 6c 69 61 62 6c 65 20 73 74 61 74 65 20 64 65 74 65 63 74 69 6f	,.as.for.reliable.state.detectio
22ec0	6e 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 75 73 65 20 53 4f 4d 45 54 48 49 4e 47 20 74 6f 20 64	n.you.need.to.use.SOMETHING.to.d
22ee0	65 74 65 63 74 20 77 68 65 6e 20 74 68 65 20 6c 69 6e 6b 20 69 73 20 64 6f 77 6e 2e 00 57 69 74	etect.when.the.link.is.down..Wit
22f00	68 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2c 20 79 6f 75 20 68 61 76 65 20 74 77 6f	h.Tunnelbroker.net,.you.have.two
22f20	20 6f 70 74 69 6f 6e 73 3a 00 57 69 74 68 20 74 68 69 73 20 63 6f 6d 6d 61 6e 64 20 77 65 20 61	.options:.With.this.command.we.a
22f40	72 65 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 61	re.able.to.check.the.transport.a
22f60	6e 64 20 63 75 73 74 6f 6d 65 72 20 6c 61 62 65 6c 20 28 69 6e 6e 65 72 2f 6f 75 74 65 72 29 20	nd.customer.label.(inner/outer).
22f80	66 6f 72 20 6e 65 74 77 6f 72 6b 20 73 70 6f 6b 65 73 20 70 72 65 66 69 78 65 73 20 31 30 2e 30	for.network.spokes.prefixes.10.0
22fa0	2e 30 2e 38 30 2f 33 32 20 2d 20 31 30 2e 30 2e 30 2e 39 30 2f 33 32 00 57 69 74 68 69 6e 20 74	.0.80/32.-.10.0.0.90/32.Within.t
22fc0	68 65 20 56 52 46 20 77 65 20 73 65 74 20 74 68 65 20 52 6f 75 74 65 2d 44 69 73 74 69 6e 67 75	he.VRF.we.set.the.Route-Distingu
22fe0	69 73 68 65 72 20 28 52 44 29 20 61 6e 64 20 52 6f 75 74 65 2d 54 61 72 67 65 74 73 20 28 52 54	isher.(RD).and.Route-Targets.(RT
23000	29 2c 20 74 68 65 6e 20 77 65 20 65 6e 61 62 6c 65 20 74 68 65 20 65 78 70 6f 72 74 2f 69 6d 70	),.then.we.enable.the.export/imp
23020	6f 72 74 20 56 50 4e 2e 00 57 69 74 68 69 6e 20 74 68 65 20 62 72 69 64 67 65 2c 20 61 63 63 65	ort.VPN..Within.the.bridge,.acce
23040	70 74 20 6f 6e 6c 79 20 6e 65 77 20 49 50 76 34 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 66 72 6f	pt.only.new.IPv4.connections.fro
23060	6d 20 68 6f 73 74 20 31 30 2e 31 2e 31 2e 31 30 32 00 58 52 76 2d 50 33 3a 00 59 6f 75 20 6d 61	m.host.10.1.1.102.XRv-P3:.You.ma
23080	6e 61 67 65 64 20 74 6f 20 63 6f 6d 65 20 74 68 69 73 20 66 61 72 2c 20 6e 6f 77 20 77 65 20 77	naged.to.come.this.far,.now.we.w
230a0	61 6e 74 20 74 6f 20 73 65 65 20 74 68 65 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 72 6f 75 74 69	ant.to.see.the.network.and.routi
230c0	6e 67 20 74 61 62 6c 65 73 20 69 6e 20 61 63 74 69 6f 6e 2e 00 59 6f 75 20 73 68 6f 75 6c 64 20	ng.tables.in.action..You.should.
230e0	62 65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 74 6f 20 61 6e 64 20 66 72 6f 6d 20 61 6c 6c 20	be.able.to.ping.to.and.from.all.
23100	74 68 65 20 49 50 73 20 79 6f 75 20 68 61 76 65 20 61 6c 6c 6f 63 61 74 65 64 2e 00 59 6f 75 20	the.IPs.you.have.allocated..You.
23120	73 68 6f 75 6c 64 20 6e 6f 77 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 73 6f 6d 65 74	should.now.be.able.to.ping.somet
23140	68 69 6e 67 20 62 79 20 49 50 76 36 20 44 4e 53 20 6e 61 6d 65 3a 00 59 6f 75 20 73 68 6f 75 6c	hing.by.IPv6.DNS.name:.You.shoul
23160	64 20 6e 6f 77 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 74 68 65 20 61 64 76 65 72 74 69	d.now.be.able.to.see.the.adverti
23180	73 65 64 20 6e 65 74 77 6f 72 6b 20 6f 6e 20 74 68 65 20 6f 74 68 65 72 20 68 6f 73 74 2e 00 59	sed.network.on.the.other.host..Y
231a0	6f 75 20 77 6f 75 6c 64 20 68 61 76 65 20 35 20 7a 6f 6e 65 73 20 69 6e 73 74 65 61 64 20 6f 66	ou.would.have.5.zones.instead.of
231c0	20 6a 75 73 74 20 34 20 61 6e 64 20 79 6f 75 20 77 6f 75 6c 64 20 63 6f 6e 66 69 67 75 72 65 20	.just.4.and.you.would.configure.
231e0	79 6f 75 72 20 76 36 20 72 75 6c 65 73 65 74 20 62 65 74 77 65 65 6e 20 79 6f 75 72 20 74 75 6e	your.v6.ruleset.between.your.tun
23200	6e 65 6c 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 79 6f 75 72 20 4c 41 4e 2f 44 4d 5a 20 7a	nel.interface.and.your.LAN/DMZ.z
23220	6f 6e 65 73 20 69 6e 73 74 65 61 64 20 6f 66 20 74 6f 20 74 68 65 20 57 41 4e 2e 00 59 6f 75 20	ones.instead.of.to.the.WAN..You.
23240	77 6f 75 6c 64 20 68 61 76 65 20 74 6f 20 61 64 64 20 61 20 63 6f 75 70 6c 65 20 6f 66 20 72 75	would.have.to.add.a.couple.of.ru
23260	6c 65 73 20 6f 6e 20 79 6f 75 72 20 77 61 6e 2d 6c 6f 63 61 6c 20 72 75 6c 65 73 65 74 20 74 6f	les.on.your.wan-local.ruleset.to
23280	20 61 6c 6c 6f 77 20 70 72 6f 74 6f 63 6f 6c 20 34 31 20 69 6e 2e 00 5a 6f 6e 65 2d 50 6f 6c 69	.allow.protocol.41.in..Zone-Poli
232a0	63 79 20 65 78 61 6d 70 6c 65 00 5a 6f 6e 65 73 20 42 61 73 69 63 73 00 5a 6f 6e 65 73 20 61 6e	cy.example.Zones.Basics.Zones.an
232c0	64 20 52 75 6c 65 73 65 74 73 20 62 6f 74 68 20 68 61 76 65 20 61 20 64 65 66 61 75 6c 74 20 61	d.Rulesets.both.have.a.default.a
232e0	63 74 69 6f 6e 20 73 74 61 74 65 6d 65 6e 74 2e 20 57 68 65 6e 20 75 73 69 6e 67 20 5a 6f 6e 65	ction.statement..When.using.Zone
23300	2d 50 6f 6c 69 63 69 65 73 2c 20 74 68 65 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 69 73	-Policies,.the.default.action.is
23320	20 73 65 74 20 62 79 20 74 68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 73 74 61 74 65 6d 65 6e	.set.by.the.zone-policy.statemen
23340	74 20 61 6e 64 20 69 73 20 72 65 70 72 65 73 65 6e 74 65 64 20 62 79 20 72 75 6c 65 20 31 30 30	t.and.is.represented.by.rule.100
23360	30 30 2e 00 5a 6f 6e 65 73 20 64 6f 20 6e 6f 74 20 61 6c 6c 6f 77 20 66 6f 72 20 61 20 64 65 66	00..Zones.do.not.allow.for.a.def
23380	61 75 6c 74 20 61 63 74 69 6f 6e 20 6f 66 20 61 63 63 65 70 74 3b 20 65 69 74 68 65 72 20 64 72	ault.action.of.accept;.either.dr
233a0	6f 70 20 6f 72 20 72 65 6a 65 63 74 2e 20 49 74 20 69 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f	op.or.reject..It.is.important.to
233c0	20 72 65 6d 65 6d 62 65 72 20 74 68 69 73 20 62 65 63 61 75 73 65 20 69 66 20 79 6f 75 20 61 70	.remember.this.because.if.you.ap
233e0	70 6c 79 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 74 6f 20 61 20 7a 6f 6e 65 20 61 6e 64 20 63	ply.an.interface.to.a.zone.and.c
23400	6f 6d 6d 69 74 2c 20 61 6e 79 20 61 63 74 69 76 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 77 69	ommit,.any.active.connections.wi
23420	6c 6c 20 62 65 20 64 72 6f 70 70 65 64 2e 20 53 70 65 63 69 66 69 63 61 6c 6c 79 2c 20 69 66 20	ll.be.dropped..Specifically,.if.
23440	79 6f 75 20 61 72 65 20 53 53 48 e2 80 99 64 20 69 6e 74 6f 20 56 79 4f 53 20 61 6e 64 20 61 64	you.are.SSH...d.into.VyOS.and.ad
23460	64 20 6c 6f 63 61 6c 20 6f 72 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 79 6f 75 20 61 72 65	d.local.or.the.interface.you.are
23480	20 63 6f 6e 6e 65 63 74 69 6e 67 20 74 68 72 6f 75 67 68 20 74 6f 20 61 20 7a 6f 6e 65 20 61 6e	.connecting.through.to.a.zone.an
234a0	64 20 64 6f 20 6e 6f 74 20 68 61 76 65 20 72 75 6c 65 73 65 74 73 20 69 6e 20 70 6c 61 63 65 20	d.do.not.have.rulesets.in.place.
234c0	74 6f 20 61 6c 6c 6f 77 20 53 53 48 20 61 6e 64 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 65 73	to.allow.SSH.and.established.ses
234e0	73 69 6f 6e 73 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 61 62 6c 65 20 74 6f 20 63	sions,.you.will.not.be.able.to.c
23500	6f 6e 6e 65 63 74 2e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 31 3a 3a 2f 36 34 60 3a 20	onnect..`2001:470:xxxx:1::/64`:.
23520	41 20 73 75 62 6e 65 74 20 73 75 69 74 61 62 6c 65 20 66 6f 72 20 61 20 4c 41 4e 00 60 32 30 30	A.subnet.suitable.for.a.LAN.`200
23540	31 3a 34 37 30 3a 78 78 78 78 3a 32 3a 3a 2f 36 34 60 3a 20 41 6e 6f 74 68 65 72 20 73 75 62 6e	1:470:xxxx:2::/64`:.Another.subn
23560	65 74 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 3a 2f 34 38 60 3a 20 54 68 65 20 77 68 6f	et.`2001:470:xxxx::/48`:.The.who
23580	6c 65 20 73 75 62 6e 65 74 2e 20 78 78 78 78 20 73 68 6f 75 6c 64 20 63 6f 6d 65 20 66 72 6f 6d	le.subnet..xxxx.should.come.from
235a0	20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 66 66	.Tunnelbroker..`2001:470:xxxx:ff
235c0	66 66 3a 2f 36 34 60 3a 20 54 68 65 20 6c 61 73 74 20 75 73 61 62 6c 65 20 2f 36 34 20 73 75 62	ff:/64`:.The.last.usable./64.sub
235e0	6e 65 74 2e 00 60 60 73 65 72 76 69 63 65 2d 6e 61 6d 65 60 60 20 63 61 6e 20 62 65 20 61 6e 20	net..``service-name``.can.be.an.
23600	61 72 62 69 74 72 61 72 79 20 73 74 72 69 6e 67 2e 00 61 66 74 65 72 20 61 6c 6c 20 74 68 65 73	arbitrary.string..after.all.thes
23620	65 20 73 74 65 70 73 20 74 68 65 20 63 6f 6e 66 69 67 20 6c 6f 6f 6b 20 6c 69 6b 65 20 74 68 69	e.steps.the.config.look.like.thi
23640	73 3a 00 61 66 74 65 72 20 74 68 69 73 20 63 72 65 61 74 65 20 61 20 73 69 67 6e 65 64 20 73 65	s:.after.this.create.a.signed.se
23660	72 76 65 72 20 61 6e 64 20 61 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65 00 61 6e	rver.and.a.client.certificate.an
23680	64 20 6c 61 73 74 20 74 68 65 20 44 48 20 4b 65 79 00 62 6c 75 65 20 75 73 65 73 20 6c 6f 63 61	d.last.the.DH.Key.blue.uses.loca
236a0	6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20 32 30 30 30 00	l.routing.table.id.and.VNI.2000.
236c0	63 68 30 30 73 33 2d 34 2d 73 33 63 75 72 33 2d 70 73 6b 00 63 6f 6d 70 75 74 65 31 20 28 56 4d	ch00s3-4-s3cur3-psk.compute1.(VM
236e0	77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 31 20 2d 20 50 6f 72 74 20 39	ware.ESXi.6.5).compute1.-.Port.9
23700	20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6d 70 75 74 65 32 20 28 56 4d 77 61 72 65	.of.each.switch.compute2.(VMware
23720	20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 32 20 2d 20 50 6f 72 74 20 31 30 20 6f 66	.ESXi.6.5).compute2.-.Port.10.of
23740	20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6d 70 75 74 65 33 20 28 56 4d 77 61 72 65 20 45 53	.each.switch.compute3.(VMware.ES
23760	58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 33 20 2d 20 50 6f 72 74 20 31 31 20 6f 66 20 65 61	Xi.6.5).compute3.-.Port.11.of.ea
23780	63 68 20 73 77 69 74 63 68 00 63 6f 6e 66 69 67 75 72 65 20 65 61 63 68 20 68 6f 73 74 20 69 6e	ch.switch.configure.each.host.in
237a0	20 74 68 65 20 6c 61 62 00 63 72 65 61 74 65 20 74 68 65 20 6c 61 62 20 6f 6e 20 61 20 65 76 65	.the.lab.create.the.lab.on.a.eve
237c0	2d 6e 67 20 73 65 72 76 65 72 00 64 6f 20 73 6f 6d 65 20 64 65 66 69 6e 65 64 20 74 65 73 74 73	-ng.server.do.some.defined.tests
237e0	00 65 74 68 30 00 65 74 68 30 20 69 73 20 73 65 74 20 74 6f 20 62 65 20 72 65 6d 6f 76 65 64 20	.eth0.eth0.is.set.to.be.removed.
23800	66 72 6f 6d 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 27 73 20 69 6e 74 65 72 66 61	from.the.load.balancer's.interfa
23820	63 65 20 70 6f 6f 6c 20 61 66 74 65 72 20 35 20 70 69 6e 67 20 66 61 69 6c 75 72 65 73 2c 20 65	ce.pool.after.5.ping.failures,.e
23840	74 68 31 20 77 69 6c 6c 20 62 65 20 72 65 6d 6f 76 65 64 20 61 66 74 65 72 20 34 20 70 69 6e 67	th1.will.be.removed.after.4.ping
23860	20 66 61 69 6c 75 72 65 73 2e 00 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 20 61 6e	.failures..extended.community.an
23880	64 20 72 65 6d 6f 74 65 20 6c 61 62 65 6c 20 6f 66 20 73 70 65 63 69 66 69 63 20 64 65 73 74 69	d.remote.label.of.specific.desti
238a0	6e 61 74 69 6f 6e 00 66 69 72 73 74 20 74 68 65 20 50 43 41 00 67 65 6e 65 72 61 74 65 20 74 68	nation.first.the.PCA.generate.th
238c0	65 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 61 6e 64 20 69 6e 63 6c 75 64 65 20 66 69 6c 65	e.documentation.and.include.file
238e0	73 00 67 72 65 65 6e 20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65	s.green.uses.local.routing.table
23900	20 69 64 20 61 6e 64 20 56 4e 49 20 34 30 30 30 00 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 62 65 74	.id.and.VNI.4000.information.bet
23920	77 65 65 6e 20 50 45 20 61 6e 64 20 43 45 3a 00 6f 70 74 69 6f 6e 61 6c 20 64 6f 20 61 6e 20 75	ween.PE.and.CE:.optional.do.an.u
23940	70 67 72 61 64 65 20 74 6f 20 61 20 68 69 67 68 65 72 20 76 65 72 73 69 6f 6e 20 61 6e 64 20 64	pgrade.to.a.higher.version.and.d
23960	6f 20 73 74 65 70 20 33 20 61 67 61 69 6e 2e 00 72 65 64 20 75 73 65 73 20 6c 6f 63 61 6c 20 72	o.step.3.again..red.uses.local.r
23980	6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20 33 30 30 30 00 72 6f 75	outing.table.id.and.VNI.3000.rou
239a0	74 65 72 32 20 28 52 61 6e 64 6f 6d 20 31 52 55 20 6d 61 63 68 69 6e 65 20 77 69 74 68 20 34 20	ter2.(Random.1RU.machine.with.4.
239c0	4e 49 43 73 29 00 73 61 76 65 20 74 68 65 20 6f 75 74 70 75 74 20 74 6f 20 61 20 66 69 6c 65 20	NICs).save.the.output.to.a.file.
239e0	61 6e 64 20 69 6d 70 6f 72 74 20 69 74 20 69 6e 20 6e 65 61 72 6c 79 20 61 6c 6c 20 6f 70 65 6e	and.import.it.in.nearly.all.open
23a00	76 70 6e 20 63 6c 69 65 6e 74 73 2e 00 73 68 75 74 64 6f 77 6e 20 61 6e 64 20 64 65 73 74 72 6f	vpn.clients..shutdown.and.destro
23a20	79 20 74 68 65 20 6c 61 62 2c 20 69 66 20 74 68 65 72 65 20 69 73 20 6e 6f 20 65 72 72 6f 72 00	y.the.lab,.if.there.is.no.error.
23a40	73 70 65 63 69 66 69 63 20 56 50 4e 76 34 20 64 65 73 74 69 6e 61 74 69 6f 6e 20 69 6e 63 6c 75	specific.VPNv4.destination.inclu
23a60	64 69 6e 67 20 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 20 61 6e 64 20 72 65 6d 6f	ding.extended.community.and.remo
23a80	74 65 6c 61 62 65 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 54 68 69 73 20 70 72 6f 63 65 64	telabel.information..This.proced
23aa0	75 72 65 20 69 73 20 74 68 65 20 73 61 6d 65 20 6f 6e 20 61 6c 6c 20 53 70 6f 6b 65 20 6e 6f 64	ure.is.the.same.on.all.Spoke.nod
23ac0	65 73 3a 00 73 77 69 74 63 68 31 20 28 4e 65 78 75 73 20 31 30 67 62 20 53 77 69 74 63 68 29 00	es:.switch1.(Nexus.10gb.Switch).
23ae0	73 77 69 74 63 68 32 20 28 4e 65 78 75 73 20 31 30 67 62 20 53 77 69 74 63 68 29 00 76 36 20 70	switch2.(Nexus.10gb.Switch).v6.p
23b00	61 69 72 73 20 77 6f 75 6c 64 20 62 65 3a 00 76 79 6f 73 31 30 20 2d 20 31 39 32 2e 30 2e 32 2e	airs.would.be:.vyos10.-.192.0.2.
23b20	31 30 38 00 76 79 6f 73 37 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 35 00 76 79 6f 73 38 20 2d 20	108.vyos7.-.192.0.2.105.vyos8.-.
23b40	31 39 32 2e 30 2e 32 2e 31 30 36 00 76 79 6f 73 39 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 37 00	192.0.2.106.vyos9.-.192.0.2.107.
23b60	77 65 20 61 72 65 20 75 73 69 6e 67 20 22 73 6f 75 72 63 65 2d 61 64 64 72 65 73 73 22 20 6f 70	we.are.using."source-address".op
23b80	74 69 6f 6e 20 63 61 75 73 65 20 77 65 20 61 72 65 20 6e 6f 74 20 72 65 64 69 73 74 72 69 62 75	tion.cause.we.are.not.redistribu
23ba0	74 69 6e 67 20 63 6f 6e 6e 65 63 74 65 64 20 69 6e 74 65 72 66 61 63 65 73 20 69 6e 74 6f 20 42	ting.connected.interfaces.into.B
23bc0	47 50 20 6f 6e 20 74 68 65 20 43 6f 72 65 20 72 6f 75 74 65 72 20 68 65 6e 63 65 20 74 68 65 72	GP.on.the.Core.router.hence.ther
23be0	65 20 69 73 20 6e 6f 20 63 6f 6d 65 62 61 63 6b 20 72 6f 75 74 65 20 61 6e 64 20 70 69 6e 67 20	e.is.no.comeback.route.and.ping.
23c00	77 69 6c 6c 20 66 61 69 6c 2e 00 77 69 74 68 69 6e 20 56 52 46 73 3a 00 e2 80 9c 73 68 6f 77 20	will.fail..within.VRFs:....show.
23c20	62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63	bgp.ipv4.vpn.summary....for.chec
23c40	6b 69 6e 67 20 42 47 50 20 56 50 4e 76 34 20 6e 65 69 67 68 62 6f 72 73 3a 00 e2 80 9c 73 68 6f	king.BGP.VPNv4.neighbors:....sho
23c60	77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68	w.bgp.ipv4.vpn.summary....for.ch
23c80	65 63 6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f 72 73 20 61 67 61 69 6e 00 e2 80 9c 73	ecking.iBGP.neighbors.again....s
23ca0	68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20	how.bgp.ipv4.vpn.summary....for.
23cc0	63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f 72 73 20 61 67 61 69 6e 73 74 20	checking.iBGP.neighbors.against.
23ce0	72 6f 75 74 65 2d 72 65 66 6c 65 63 74 6f 72 20 64 65 76 69 63 65 73 3a 00 e2 80 9c 73 68 6f 77	route-reflector.devices:....show
23d00	20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 33 32 e2 80 9d 20 66 6f 72 20	.bgp.ipv4.vpn.x.x.x.x/32....for.
23d20	63 68 65 63 6b 69 6e 67 20 62 65 73 74 2d 70 61 74 68 2c 00 e2 80 9c 73 68 6f 77 20 62 67 70 20	checking.best-path,....show.bgp.
23d40	69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 33 32 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b	ipv4.vpn.x.x.x.x/32....for.check
23d60	69 6e 67 20 74 68 65 20 62 65 73 74 2d 70 61 74 68 20 74 6f 20 74 68 65 00 e2 80 9c 73 68 6f 77	ing.the.best-path.to.the....show
23d80	20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 78 e2 80 9d 20 66 6f 72 20 63	.bgp.ipv4.vpn.x.x.x.x/x....for.c
23da0	68 65 63 6b 69 6e 67 20 62 65 73 74 20 70 61 74 68 20 73 65 6c 65 63 74 65 64 20 66 6f 72 20 73	hecking.best.path.selected.for.s
23dc0	70 65 63 69 66 69 63 20 56 50 4e 76 34 20 64 65 73 74 69 6e 61 74 69 6f 6e 00 e2 80 9c 73 68 6f	pecific.VPNv4.destination....sho
23de0	77 20 62 67 70 20 69 70 76 34 20 76 70 6e e2 80 9d 20 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20	w.bgp.ipv4.vpn.....for.checking.
23e00	61 6c 6c 20 56 50 4e 76 34 20 70 72 65 66 69 78 65 73 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 3a 00	all.VPNv4.prefixes.information:.
23e20	e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 5f 48 55 42 20 73 75 6d 6d 61 72 79	...show.bgp.vrf.BLUE_HUB.summary
23e40	e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 47 50 20 6e 65 69 67 68 62 6f 72 00 e2	....for.checking.EBGP.neighbor..
23e60	80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 5f 53 50 4f 4b 45 20 73 75 6d 6d 61 72	..show.bgp.vrf.BLUE_SPOKE.summar
23e80	79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 47 50 20 6e 65 69 67 68 62 6f 72 00	y....for.checking.EBGP.neighbor.
23ea0	e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c e2 80 9d 20 66 6f 72 20 63 68 65 63 6b	...show.bgp.vrf.all....for.check
23ec0	69 6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 20 6c 65 61 72 6e 69 6e 67 20 6f 6e 20 42	ing.all.the.prefix.learning.on.B
23ee0	47 50 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c e2 80 9d 20 66 6f 72 20 63 68	GP....show.bgp.vrf.all....for.ch
23f00	65 63 6b 69 6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 65 73 20 6c 65 61 72 6e 69 6e 67	ecking.all.the.prefixes.learning
23f20	20 6f 6e 20 42 47 50 00 e2 80 9c 73 68 6f 77 20 69 70 20 6f 73 70 66 20 6e 65 69 67 68 62 6f 72	.on.BGP....show.ip.ospf.neighbor
23f40	e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6f 73 70 66 20 72 65 6c 61 74 69 6f 6e 73 68	....for.checking.ospf.relationsh
23f60	69 70 00 e2 80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 72 66 20 42 4c 55 45 5f 48 55 42	ip....show.ip.route.vrf.BLUE_HUB
23f80	e2 80 9d 20 74 6f 20 76 69 65 77 20 74 68 65 20 52 49 42 20 69 6e 20 6f 75 72 20 48 75 62 20 50	....to.view.the.RIB.in.our.Hub.P
23fa0	45 2e 00 e2 80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 72 66 20 42 4c 55 45 5f 53 50 4f	E.....show.ip.route.vrf.BLUE_SPO
23fc0	4b 45 e2 80 9d 20 66 6f 72 20 76 69 65 77 69 6e 67 20 74 68 65 20 52 49 42 20 69 6e 20 6f 75 72	KE....for.viewing.the.RIB.in.our
23fe0	20 53 70 6f 6b 65 20 50 45 2e 00 e2 80 9c 73 68 6f 77 20 6d 70 6c 73 20 6c 64 70 20 62 69 6e 64	.Spoke.PE.....show.mpls.ldp.bind
24000	69 6e 67 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6d 70 6c 73 20 6c 61 62 65 6c 20 61	ing....for.checking.mpls.label.a
24020	73 73 69 67 6e 6d 65 6e 74 00 e2 80 9c 73 68 6f 77 20 6d 70 6c 73 20 6c 64 70 20 6e 65 69 67 68	ssignment....show.mpls.ldp.neigh
24040	62 6f 72 20 e2 80 9c 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6c 64 70 20 6e 65 69 67 68 62 6f	bor.....for.checking.ldp.neighbo
24060	72 73 00	rs.