blob: e8a681c29148c5692b82035d84de0671c8fad286 (plain)

ofs	hex dump	ascii
0000	de 12 04 95 00 00 00 00 bb 02 00 00 1c 00 00 00 f4 15 00 00 a9 03 00 00 cc 2b 00 00 00 00 00 00	.........................+......
0020	70 3a 00 00 15 01 00 00 71 3a 00 00 43 00 00 00 87 3b 00 00 49 00 00 00 cb 3b 00 00 28 00 00 00	p:......q:..C....;..I....;..(...
0040	15 3c 00 00 7c 00 00 00 3e 3c 00 00 80 00 00 00 bb 3c 00 00 84 00 00 00 3c 3d 00 00 70 00 00 00	.<..|...><.......<......<=..p...
0060	c1 3d 00 00 2e 01 00 00 32 3e 00 00 0c 00 00 00 61 3f 00 00 0b 00 00 00 6e 3f 00 00 0b 00 00 00	.=......2>......a?......n?......
0080	7a 3f 00 00 0b 00 00 00 86 3f 00 00 08 00 00 00 92 3f 00 00 11 00 00 00 9b 3f 00 00 0b 00 00 00	z?.......?.......?.......?......
00a0	ad 3f 00 00 0c 00 00 00 b9 3f 00 00 09 00 00 00 c6 3f 00 00 0b 00 00 00 d0 3f 00 00 0f 00 00 00	.?.......?.......?.......?......
00c0	dc 3f 00 00 0f 00 00 00 ec 3f 00 00 0f 00 00 00 fc 3f 00 00 38 00 00 00 0c 40 00 00 0d 00 00 00	.?.......?.......?..8....@......
00e0	45 40 00 00 15 00 00 00 53 40 00 00 11 00 00 00 69 40 00 00 19 00 00 00 7b 40 00 00 19 00 00 00	E@......S@......i@......{@......
0100	95 40 00 00 15 00 00 00 af 40 00 00 15 00 00 00 c5 40 00 00 1a 00 00 00 db 40 00 00 57 00 00 00	.@.......@.......@.......@..W...
0120	f6 40 00 00 63 00 00 00 4e 41 00 00 0e 00 00 00 b2 41 00 00 0c 00 00 00 c1 41 00 00 1f 00 00 00	.@..c...NA.......A.......A......
0140	ce 41 00 00 1f 00 00 00 ee 41 00 00 0e 00 00 00 0e 42 00 00 0f 00 00 00 1d 42 00 00 0f 00 00 00	.A.......A.......B.......B......
0160	2d 42 00 00 0f 00 00 00 3d 42 00 00 2e 00 00 00 4d 42 00 00 0b 00 00 00 7c 42 00 00 0b 00 00 00	-B......=B......MB......|B......
0180	88 42 00 00 1c 00 00 00 94 42 00 00 1c 00 00 00 b1 42 00 00 1e 00 00 00 ce 42 00 00 3f 00 00 00	.B.......B.......B.......B..?...
01a0	ed 42 00 00 07 00 00 00 2d 43 00 00 09 00 00 00 35 43 00 00 07 00 00 00 3f 43 00 00 08 00 00 00	.B......-C......5C......?C......
01c0	47 43 00 00 05 00 00 00 50 43 00 00 0a 00 00 00 56 43 00 00 15 00 00 00 61 43 00 00 0a 00 00 00	GC......PC......VC......aC......
01e0	77 43 00 00 05 00 00 00 82 43 00 00 4e 02 00 00 88 43 00 00 82 00 00 00 d7 45 00 00 5b 00 00 00	wC.......C..N....C.......E..[...
0200	5a 46 00 00 1a 01 00 00 b6 46 00 00 c8 00 00 00 d1 47 00 00 57 00 00 00 9a 48 00 00 58 00 00 00	ZF.......F.......G..W....H..X...
0220	f2 48 00 00 d4 00 00 00 4b 49 00 00 0f 01 00 00 20 4a 00 00 f1 00 00 00 30 4b 00 00 30 00 00 00	.H......KI.......J......0K..0...
0240	22 4c 00 00 30 00 00 00 53 4c 00 00 30 00 00 00 84 4c 00 00 28 00 00 00 b5 4c 00 00 22 00 00 00	"L..0...SL..0....L..(....L.."...
0260	de 4c 00 00 1d 00 00 00 01 4d 00 00 1a 00 00 00 1f 4d 00 00 16 00 00 00 3a 4d 00 00 46 00 00 00	.L.......M.......M......:M..F...
0280	51 4d 00 00 37 00 00 00 98 4d 00 00 26 00 00 00 d0 4d 00 00 1a 00 00 00 f7 4d 00 00 5d 00 00 00	QM..7....M..&....M.......M..]...
02a0	12 4e 00 00 7c 00 00 00 70 4e 00 00 4b 00 00 00 ed 4e 00 00 28 00 00 00 39 4f 00 00 97 00 00 00	.N..|...pN..K....N..(...9O......
02c0	62 4f 00 00 46 00 00 00 fa 4f 00 00 56 00 00 00 41 50 00 00 53 00 00 00 98 50 00 00 1f 00 00 00	bO..F....O..V...AP..S....P......
02e0	ec 50 00 00 36 00 00 00 0c 51 00 00 3c 00 00 00 43 51 00 00 2b 00 00 00 80 51 00 00 2d 00 00 00	.P..6....Q..<...CQ..+....Q..-...
0300	ac 51 00 00 38 00 00 00 da 51 00 00 30 00 00 00 13 52 00 00 1d 00 00 00 44 52 00 00 79 00 00 00	.Q..8....Q..0....R......DR..y...
0320	62 52 00 00 25 00 00 00 dc 52 00 00 53 02 00 00 02 53 00 00 16 00 00 00 56 55 00 00 46 00 00 00	bR..%....R..S....S......VU..F...
0340	6d 55 00 00 18 00 00 00 b4 55 00 00 48 00 00 00 cd 55 00 00 1e 00 00 00 16 56 00 00 0f 00 00 00	mU.......U..H....U.......V......
0360	35 56 00 00 8e 00 00 00 45 56 00 00 0a 00 00 00 d4 56 00 00 0a 00 00 00 df 56 00 00 12 01 00 00	5V......EV.......V.......V......
0380	ea 56 00 00 8f 00 00 00 fd 57 00 00 df 00 00 00 8d 58 00 00 22 00 00 00 6d 59 00 00 40 04 00 00	.V.......W.......X.."...mY..@...
03a0	90 59 00 00 48 00 00 00 d1 5d 00 00 1c 00 00 00 1a 5e 00 00 52 00 00 00 37 5e 00 00 fa 00 00 00	.Y..H....].......^..R...7^......
03c0	8a 5e 00 00 6d 00 00 00 85 5f 00 00 87 00 00 00 f3 5f 00 00 ba 00 00 00 7b 60 00 00 5d 00 00 00	.^..m...._......._......{`..]...
03e0	36 61 00 00 a9 00 00 00 94 61 00 00 09 00 00 00 3e 62 00 00 1e 00 00 00 48 62 00 00 1e 00 00 00	6a.......a......>b......Hb......
0400	67 62 00 00 19 00 00 00 86 62 00 00 1c 00 00 00 a0 62 00 00 13 00 00 00 bd 62 00 00 03 00 00 00	gb.......b.......b.......b......
0420	d1 62 00 00 29 00 00 00 d5 62 00 00 4a 00 00 00 ff 62 00 00 08 00 00 00 4a 63 00 00 0a 00 00 00	.b..)....b..J....b......Jc......
0440	53 63 00 00 e9 01 00 00 5e 63 00 00 0e 00 00 00 48 65 00 00 19 00 00 00 57 65 00 00 27 00 00 00	Sc......^c......He......We..'...
0460	71 65 00 00 29 00 00 00 99 65 00 00 1a 00 00 00 c3 65 00 00 48 01 00 00 de 65 00 00 06 00 00 00	qe..)....e.......e..H....e......
0480	27 67 00 00 86 02 00 00 2e 67 00 00 0d 00 00 00 b5 69 00 00 0a 00 00 00 c3 69 00 00 07 00 00 00	'g.......g.......i.......i......
04a0	ce 69 00 00 70 00 00 00 d6 69 00 00 6e 00 00 00 47 6a 00 00 10 00 00 00 b6 6a 00 00 26 00 00 00	.i..p....i..n...Gj.......j..&...
04c0	c7 6a 00 00 11 00 00 00 ee 6a 00 00 12 00 00 00 00 6b 00 00 be 00 00 00 13 6b 00 00 21 00 00 00	.j.......j.......k.......k..!...
04e0	d2 6b 00 00 05 00 00 00 f4 6b 00 00 43 00 00 00 fa 6b 00 00 35 00 00 00 3e 6c 00 00 06 00 00 00	.k.......k..C....k..5...>l......
0500	74 6c 00 00 14 00 00 00 7b 6c 00 00 56 00 00 00 90 6c 00 00 0b 00 00 00 e7 6c 00 00 0d 00 00 00	tl......{l..V....l.......l......
0520	f3 6c 00 00 13 00 00 00 01 6d 00 00 14 00 00 00 15 6d 00 00 29 00 00 00 2a 6d 00 00 18 00 00 00	.l.......m.......m..)...*m......
0540	54 6d 00 00 23 00 00 00 6d 6d 00 00 24 00 00 00 91 6d 00 00 39 00 00 00 b6 6d 00 00 0e 00 00 00	Tm..#...mm..$....m..9....m......
0560	f0 6d 00 00 0e 00 00 00 ff 6d 00 00 13 00 00 00 0e 6e 00 00 27 00 00 00 22 6e 00 00 2b 00 00 00	.m.......m.......n..'..."n..+...
0580	4a 6e 00 00 51 00 00 00 76 6e 00 00 18 00 00 00 c8 6e 00 00 19 00 00 00 e1 6e 00 00 44 00 00 00	Jn..Q...vn.......n.......n..D...
05a0	fb 6e 00 00 1b 00 00 00 40 6f 00 00 2f 00 00 00 5c 6f 00 00 1b 00 00 00 8c 6f 00 00 a4 00 00 00	.n......@o../...\o.......o......
05c0	a8 6f 00 00 ae 00 00 00 4d 70 00 00 04 00 00 00 fc 70 00 00 0b 00 00 00 01 71 00 00 0c 00 00 00	.o......Mp.......p.......q......
05e0	0d 71 00 00 14 00 00 00 1a 71 00 00 14 00 00 00 2f 71 00 00 16 00 00 00 44 71 00 00 ae 00 00 00	.q.......q....../q......Dq......
0600	5b 71 00 00 85 00 00 00 0a 72 00 00 2b 00 00 00 90 72 00 00 25 00 00 00 bc 72 00 00 43 00 00 00	[q.......r..+....r..%....r..C...
0620	e2 72 00 00 5a 00 00 00 26 73 00 00 24 00 00 00 81 73 00 00 dc 00 00 00 a6 73 00 00 1c 00 00 00	.r..Z...&s..$....s.......s......
0640	83 74 00 00 0a 00 00 00 a0 74 00 00 0b 00 00 00 ab 74 00 00 0f 00 00 00 b7 74 00 00 20 00 00 00	.t.......t.......t.......t......
0660	c7 74 00 00 5d 00 00 00 e8 74 00 00 06 00 00 00 46 75 00 00 08 00 00 00 4d 75 00 00 08 00 00 00	.t..]....t......Fu......Mu......
0680	56 75 00 00 17 00 00 00 5f 75 00 00 f9 00 00 00 77 75 00 00 0c 01 00 00 71 76 00 00 96 00 00 00	Vu......_u......wu......qv......
06a0	7e 77 00 00 78 00 00 00 15 78 00 00 14 00 00 00 8e 78 00 00 0b 00 00 00 a3 78 00 00 0a 00 00 00	~w..x....x.......x.......x......
06c0	af 78 00 00 4e 00 00 00 ba 78 00 00 c4 00 00 00 09 79 00 00 fa 00 00 00 ce 79 00 00 d1 00 00 00	.x..N....x.......y.......y......
06e0	c9 7a 00 00 12 01 00 00 9b 7b 00 00 db 00 00 00 ae 7c 00 00 07 00 00 00 8a 7d 00 00 23 00 00 00	.z.......{.......|.......}..#...
0700	92 7d 00 00 2e 00 00 00 b6 7d 00 00 27 00 00 00 e5 7d 00 00 3a 00 00 00 0d 7e 00 00 2e 00 00 00	.}.......}..'....}..:....~......
0720	48 7e 00 00 0f 00 00 00 77 7e 00 00 48 00 00 00 87 7e 00 00 9f 00 00 00 d0 7e 00 00 34 00 00 00	H~......w~..H....~.......~..4...
0740	70 7f 00 00 08 00 00 00 a5 7f 00 00 17 00 00 00 ae 7f 00 00 bf 00 00 00 c6 7f 00 00 85 00 00 00	p...............................
0760	86 80 00 00 45 00 00 00 0c 81 00 00 43 00 00 00 52 81 00 00 21 01 00 00 96 81 00 00 d5 00 00 00	....E.......C...R...!...........
0780	b8 82 00 00 ab 00 00 00 8e 83 00 00 53 00 00 00 3a 84 00 00 78 00 00 00 8e 84 00 00 bd 00 00 00	............S...:...x...........
07a0	07 85 00 00 56 00 00 00 c5 85 00 00 1c 00 00 00 1c 86 00 00 2e 00 00 00 39 86 00 00 23 00 00 00	....V...................9...#...
07c0	68 86 00 00 04 00 00 00 8c 86 00 00 67 00 00 00 91 86 00 00 5a 00 00 00 f9 86 00 00 43 00 00 00	h...........g.......Z.......C...
07e0	54 87 00 00 44 00 00 00 98 87 00 00 08 00 00 00 dd 87 00 00 27 00 00 00 e6 87 00 00 2e 00 00 00	T...D...............'...........
0800	0e 88 00 00 4d 00 00 00 3d 88 00 00 69 00 00 00 8b 88 00 00 83 00 00 00 f5 88 00 00 1d 00 00 00	....M...=...i...................
0820	79 89 00 00 11 00 00 00 97 89 00 00 03 00 00 00 a9 89 00 00 01 02 00 00 ad 89 00 00 ab 00 00 00	y...............................
0840	af 8b 00 00 78 00 00 00 5b 8c 00 00 83 00 00 00 d4 8c 00 00 e2 00 00 00 58 8d 00 00 09 00 00 00	....x...[...............X.......
0860	3b 8e 00 00 5f 03 00 00 45 8e 00 00 14 00 00 00 a5 91 00 00 06 00 00 00 ba 91 00 00 0c 00 00 00	;..._...E.......................
0880	c1 91 00 00 0c 00 00 00 ce 91 00 00 0b 00 00 00 db 91 00 00 17 00 00 00 e7 91 00 00 0f 00 00 00	................................
08a0	ff 91 00 00 03 00 00 00 0f 92 00 00 43 00 00 00 13 92 00 00 67 00 00 00 57 92 00 00 d8 00 00 00	............C.......g...W.......
08c0	bf 92 00 00 90 00 00 00 98 93 00 00 88 00 00 00 29 94 00 00 ec 00 00 00 b2 94 00 00 33 00 00 00	................)...........3...
08e0	9f 95 00 00 9f 00 00 00 d3 95 00 00 98 00 00 00 73 96 00 00 bd 00 00 00 0c 97 00 00 99 00 00 00	................s...............
0900	ca 97 00 00 54 00 00 00 64 98 00 00 fd 00 00 00 b9 98 00 00 60 00 00 00 b7 99 00 00 a3 00 00 00	....T...d...........`...........
0920	18 9a 00 00 4d 00 00 00 bc 9a 00 00 5e 00 00 00 0a 9b 00 00 44 00 00 00 69 9b 00 00 dc 00 00 00	....M.......^.......D...i.......
0940	ae 9b 00 00 ee 00 00 00 8b 9c 00 00 75 00 00 00 7a 9d 00 00 67 00 00 00 f0 9d 00 00 6b 00 00 00	............u...z...g.......k...
0960	58 9e 00 00 5d 00 00 00 c4 9e 00 00 80 00 00 00 22 9f 00 00 9d 00 00 00 a3 9f 00 00 98 00 00 00	X...]..........."...............
0980	41 a0 00 00 28 00 00 00 da a0 00 00 20 00 00 00 03 a1 00 00 33 00 00 00 24 a1 00 00 3a 00 00 00	A...(...............3...$...:...
09a0	58 a1 00 00 14 00 00 00 93 a1 00 00 15 00 00 00 a8 a1 00 00 1f 00 00 00 be a1 00 00 6a 01 00 00	X...........................j...
09c0	de a1 00 00 24 00 00 00 49 a3 00 00 10 00 00 00 6e a3 00 00 08 00 00 00 7f a3 00 00 23 00 00 00	....$...I.......n...........#...
09e0	88 a3 00 00 24 00 00 00 ac a3 00 00 23 00 00 00 d1 a3 00 00 23 00 00 00 f5 a3 00 00 7a 00 00 00	....$.......#.......#.......z...
0a00	19 a4 00 00 94 00 00 00 94 a4 00 00 21 00 00 00 29 a5 00 00 89 00 00 00 4b a5 00 00 98 00 00 00	............!...).......K.......
0a20	d5 a5 00 00 14 00 00 00 6e a6 00 00 23 00 00 00 83 a6 00 00 25 00 00 00 a7 a6 00 00 2e 00 00 00	........n...#.......%...........
0a40	cd a6 00 00 03 00 00 00 fc a6 00 00 05 00 00 00 00 a7 00 00 05 00 00 00 06 a7 00 00 11 00 00 00	................................
0a60	0c a7 00 00 3c 00 00 00 1e a7 00 00 1d 00 00 00 5b a7 00 00 25 00 00 00 79 a7 00 00 04 00 00 00	....<...........[...%...y.......
0a80	9f a7 00 00 0c 00 00 00 a4 a7 00 00 0f 00 00 00 b1 a7 00 00 04 00 00 00 c1 a7 00 00 03 00 00 00	................................
0aa0	c6 a7 00 00 63 00 00 00 ca a7 00 00 3c 00 00 00 2e a8 00 00 40 00 00 00 6b a8 00 00 dc 02 00 00	....c.......<.......@...k.......
0ac0	ac a8 00 00 0b 00 00 00 89 ab 00 00 3c 00 00 00 95 ab 00 00 0a 00 00 00 d2 ab 00 00 0e 00 00 00	............<...................
0ae0	dd ab 00 00 79 00 00 00 ec ab 00 00 5d 00 00 00 66 ac 00 00 0a 00 00 00 c4 ac 00 00 16 00 00 00	....y.......]...f...............
0b00	cf ac 00 00 16 00 00 00 e6 ac 00 00 20 00 00 00 fd ac 00 00 16 00 00 00 1e ad 00 00 16 00 00 00	................................
0b20	35 ad 00 00 0b 00 00 00 4c ad 00 00 14 00 00 00 58 ad 00 00 0f 00 00 00 6d ad 00 00 10 00 00 00	5.......L.......X.......m.......
0b40	7d ad 00 00 18 00 00 00 8e ad 00 00 21 00 00 00 a7 ad 00 00 5a 00 00 00 c9 ad 00 00 80 00 00 00	}...........!.......Z...........
0b60	24 ae 00 00 44 00 00 00 a5 ae 00 00 2b 00 00 00 ea ae 00 00 04 00 00 00 16 af 00 00 40 00 00 00	$...D.......+...............@...
0b80	1b af 00 00 97 00 00 00 5c af 00 00 42 00 00 00 f4 af 00 00 5d 00 00 00 37 b0 00 00 3a 00 00 00	........\...B.......]...7...:...
0ba0	95 b0 00 00 34 00 00 00 d0 b0 00 00 2e 00 00 00 05 b1 00 00 26 00 00 00 34 b1 00 00 58 00 00 00	....4...............&...4...X...
0bc0	5b b1 00 00 34 00 00 00 b4 b1 00 00 35 00 00 00 e9 b1 00 00 13 00 00 00 1f b2 00 00 19 00 00 00	[...4.......5...................
0be0	33 b2 00 00 85 00 00 00 4d b2 00 00 19 00 00 00 d3 b2 00 00 7a 00 00 00 ed b2 00 00 79 00 00 00	3.......M...........z.......y...
0c00	68 b3 00 00 53 00 00 00 e2 b3 00 00 68 00 00 00 36 b4 00 00 36 00 00 00 9f b4 00 00 32 00 00 00	h...S.......h...6...6.......2...
0c20	d6 b4 00 00 38 00 00 00 09 b5 00 00 36 00 00 00 42 b5 00 00 38 00 00 00 79 b5 00 00 11 00 00 00	....8.......6...B...8...y.......
0c40	b2 b5 00 00 20 00 00 00 c4 b5 00 00 16 00 00 00 e5 b5 00 00 38 01 00 00 fc b5 00 00 69 00 00 00	....................8.......i...
0c60	35 b7 00 00 08 00 00 00 9f b7 00 00 03 00 00 00 a8 b7 00 00 72 00 00 00 ac b7 00 00 03 00 00 00	5...................r...........
0c80	1f b8 00 00 6c 00 00 00 23 b8 00 00 03 00 00 00 90 b8 00 00 61 00 00 00 94 b8 00 00 27 00 00 00	....l...#...........a.......'...
0ca0	f6 b8 00 00 0b 00 00 00 1e b9 00 00 0f 00 00 00 2a b9 00 00 37 00 00 00 3a b9 00 00 25 00 00 00	................*...7...:...%...
0cc0	72 b9 00 00 6e 00 00 00 98 b9 00 00 b2 00 00 00 07 ba 00 00 38 00 00 00 ba ba 00 00 0e 00 00 00	r...n...............8...........
0ce0	f3 ba 00 00 0d 00 00 00 02 bb 00 00 0a 00 00 00 10 bb 00 00 67 00 00 00 1b bb 00 00 0e 00 00 00	....................g...........
0d00	83 bb 00 00 0b 00 00 00 92 bb 00 00 02 00 00 00 9e bb 00 00 0e 00 00 00 a1 bb 00 00 02 00 00 00	................................
0d20	b0 bb 00 00 09 00 00 00 b3 bb 00 00 09 00 00 00 bd bb 00 00 42 01 00 00 c7 bb 00 00 0f 00 00 00	....................B...........
0d40	0a bd 00 00 47 00 00 00 1a bd 00 00 81 00 00 00 62 bd 00 00 07 00 00 00 e4 bd 00 00 04 00 00 00	....G...........b...............
0d60	ec bd 00 00 46 00 00 00 f1 bd 00 00 3c 00 00 00 38 be 00 00 0f 00 00 00 75 be 00 00 96 00 00 00	....F.......<...8.......u.......
0d80	85 be 00 00 7c 00 00 00 1c bf 00 00 09 00 00 00 99 bf 00 00 14 00 00 00 a3 bf 00 00 09 00 00 00	....|...........................
0da0	b8 bf 00 00 1b 00 00 00 c2 bf 00 00 2c 00 00 00 de bf 00 00 1d 00 00 00 0b c0 00 00 a8 00 00 00	............,...................
0dc0	29 c0 00 00 d7 00 00 00 d2 c0 00 00 42 00 00 00 aa c1 00 00 7d 00 00 00 ed c1 00 00 77 00 00 00	)...........B.......}.......w...
0de0	6b c2 00 00 49 00 00 00 e3 c2 00 00 48 00 00 00 2d c3 00 00 24 00 00 00 76 c3 00 00 9b 00 00 00	k...I.......H...-...$...v.......
0e00	9b c3 00 00 43 00 00 00 37 c4 00 00 34 00 00 00 7b c4 00 00 18 00 00 00 b0 c4 00 00 9e 00 00 00	....C...7...4...{...............
0e20	c9 c4 00 00 92 00 00 00 68 c5 00 00 17 01 00 00 fb c5 00 00 3f 00 00 00 13 c7 00 00 10 00 00 00	........h...........?...........
0e40	53 c7 00 00 5a 00 00 00 64 c7 00 00 2d 00 00 00 bf c7 00 00 4b 00 00 00 ed c7 00 00 0f 00 00 00	S...Z...d...-.......K...........
0e60	39 c8 00 00 05 00 00 00 49 c8 00 00 40 00 00 00 4f c8 00 00 13 00 00 00 90 c8 00 00 4b 02 00 00	9.......I...@...O...........K...
0e80	a4 c8 00 00 31 00 00 00 f0 ca 00 00 26 00 00 00 22 cb 00 00 19 00 00 00 49 cb 00 00 1f 00 00 00	....1.......&...".......I.......
0ea0	63 cb 00 00 2d 00 00 00 83 cb 00 00 30 00 00 00 b1 cb 00 00 2a 00 00 00 e2 cb 00 00 1c 00 00 00	c...-.......0.......*...........
0ec0	0d cc 00 00 14 00 00 00 2a cc 00 00 16 00 00 00 3f cc 00 00 09 00 00 00 56 cc 00 00 0e 00 00 00	........*.......?.......V.......
0ee0	60 cc 00 00 0f 00 00 00 6f cc 00 00 14 00 00 00 7f cc 00 00 14 00 00 00 94 cc 00 00 14 00 00 00	`.......o.......................
0f00	a9 cc 00 00 14 00 00 00 be cc 00 00 07 00 00 00 d3 cc 00 00 15 00 00 00 db cc 00 00 e6 00 00 00	................................
0f20	f1 cc 00 00 8e 00 00 00 d8 cd 00 00 1d 00 00 00 67 ce 00 00 85 00 00 00 85 ce 00 00 cd 00 00 00	................g...............
0f40	0b cf 00 00 b8 00 00 00 d9 cf 00 00 75 00 00 00 92 d0 00 00 a7 00 00 00 08 d1 00 00 6d 00 00 00	............u...............m...
0f60	b0 d1 00 00 4d 00 00 00 1e d2 00 00 be 00 00 00 6c d2 00 00 41 00 00 00 2b d3 00 00 5d 00 00 00	....M...........l...A...+...]...
0f80	6d d3 00 00 1e 00 00 00 cb d3 00 00 75 00 00 00 ea d3 00 00 1f 00 00 00 60 d4 00 00 45 00 00 00	m...........u...........`...E...
0fa0	80 d4 00 00 9d 00 00 00 c6 d4 00 00 28 00 00 00 64 d5 00 00 5f 00 00 00 8d d5 00 00 41 00 00 00	............(...d..._.......A...
0fc0	ed d5 00 00 50 00 00 00 2f d6 00 00 df 00 00 00 80 d6 00 00 b7 00 00 00 60 d7 00 00 9b 00 00 00	....P.../...............`.......
0fe0	18 d8 00 00 5b 00 00 00 b4 d8 00 00 c3 00 00 00 10 d9 00 00 7f 00 00 00 d4 d9 00 00 94 00 00 00	....[...........................
1000	54 da 00 00 b4 00 00 00 e9 da 00 00 25 00 00 00 9e db 00 00 a8 00 00 00 c4 db 00 00 50 00 00 00	T...........%...............P...
1020	6d dc 00 00 1f 00 00 00 be dc 00 00 35 00 00 00 de dc 00 00 3b 00 00 00 14 dd 00 00 a8 00 00 00	m...........5.......;...........
1040	50 dd 00 00 62 01 00 00 f9 dd 00 00 15 01 00 00 5c df 00 00 ce 00 00 00 72 e0 00 00 a9 00 00 00	P...b...........\.......r.......
1060	41 e1 00 00 24 00 00 00 eb e1 00 00 42 00 00 00 10 e2 00 00 8f 00 00 00 53 e2 00 00 95 00 00 00	A...$.......B...........S.......
1080	e3 e2 00 00 7b 00 00 00 79 e3 00 00 76 00 00 00 f5 e3 00 00 57 00 00 00 6c e4 00 00 aa 00 00 00	....{...y...v.......W...l.......
10a0	c4 e4 00 00 f8 00 00 00 6f e5 00 00 2b 00 00 00 68 e6 00 00 9e 01 00 00 94 e6 00 00 46 00 00 00	........o...+...h...........F...
10c0	33 e8 00 00 65 00 00 00 7a e8 00 00 ad 00 00 00 e0 e8 00 00 6c 00 00 00 8e e9 00 00 9f 00 00 00	3...e...z...........l...........
10e0	fb e9 00 00 b9 00 00 00 9b ea 00 00 a0 00 00 00 55 eb 00 00 60 00 00 00 f6 eb 00 00 56 00 00 00	................U...`.......V...
1100	57 ec 00 00 28 00 00 00 ae ec 00 00 42 00 00 00 d7 ec 00 00 7d 00 00 00 1a ed 00 00 27 00 00 00	W...(.......B.......}.......'...
1120	98 ed 00 00 ac 00 00 00 c0 ed 00 00 b1 00 00 00 6d ee 00 00 4b 00 00 00 1f ef 00 00 83 00 00 00	................m...K...........
1140	6b ef 00 00 08 00 00 00 ef ef 00 00 8d 00 00 00 f8 ef 00 00 0a 00 00 00 86 f0 00 00 1b 00 00 00	k...............................
1160	91 f0 00 00 17 00 00 00 ad f0 00 00 28 00 00 00 c5 f0 00 00 e7 00 00 00 ee f0 00 00 d0 00 00 00	............(...................
1180	d6 f1 00 00 25 00 00 00 a7 f2 00 00 83 00 00 00 cd f2 00 00 90 00 00 00 51 f3 00 00 05 00 00 00	....%...................Q.......
11a0	e2 f3 00 00 c9 00 00 00 e8 f3 00 00 03 00 00 00 b2 f4 00 00 12 00 00 00 b6 f4 00 00 0c 00 00 00	................................
11c0	c9 f4 00 00 21 00 00 00 d6 f4 00 00 21 00 00 00 f8 f4 00 00 21 00 00 00 1a f5 00 00 21 00 00 00	....!.......!.......!.......!...
11e0	3c f5 00 00 26 00 00 00 5e f5 00 00 04 00 00 00 85 f5 00 00 b9 00 00 00 8a f5 00 00 3b 00 00 00	<...&...^...................;...
1200	44 f6 00 00 0e 00 00 00 80 f6 00 00 18 00 00 00 8f f6 00 00 26 00 00 00 a8 f6 00 00 23 00 00 00	D...................&.......#...
1220	cf f6 00 00 23 00 00 00 f3 f6 00 00 0d 00 00 00 17 f7 00 00 23 00 00 00 25 f7 00 00 0f 00 00 00	....#...............#...%.......
1240	49 f7 00 00 24 00 00 00 59 f7 00 00 0f 00 00 00 7e f7 00 00 08 00 00 00 8e f7 00 00 08 00 00 00	I...$...Y.......~...............
1260	97 f7 00 00 08 00 00 00 a0 f7 00 00 08 00 00 00 a9 f7 00 00 08 00 00 00 b2 f7 00 00 09 00 00 00	................................
1280	bb f7 00 00 08 00 00 00 c5 f7 00 00 09 00 00 00 ce f7 00 00 08 00 00 00 d8 f7 00 00 09 00 00 00	................................
12a0	e1 f7 00 00 0c 00 00 00 eb f7 00 00 09 00 00 00 f8 f7 00 00 09 00 00 00 02 f8 00 00 08 00 00 00	................................
12c0	0c f8 00 00 12 00 00 00 15 f8 00 00 0f 00 00 00 28 f8 00 00 0e 00 00 00 38 f8 00 00 0d 00 00 00	................(.......8.......
12e0	47 f8 00 00 1a 00 00 00 55 f8 00 00 16 00 00 00 70 f8 00 00 49 00 00 00 87 f8 00 00 82 00 00 00	G.......U.......p...I...........
1300	d1 f8 00 00 1f 01 00 00 54 f9 00 00 40 00 00 00 74 fa 00 00 6f 00 00 00 b5 fa 00 00 f4 00 00 00	........T...@...t...o...........
1320	25 fb 00 00 3c 00 00 00 1a fc 00 00 17 00 00 00 57 fc 00 00 6e 00 00 00 6f fc 00 00 67 00 00 00	%...<...........W...n...o...g...
1340	de fc 00 00 8e 00 00 00 46 fd 00 00 19 03 00 00 d5 fd 00 00 cb 00 00 00 ef 00 01 00 bc 00 00 00	........F.......................
1360	bb 01 01 00 42 00 00 00 78 02 01 00 36 00 00 00 bb 02 01 00 b9 00 00 00 f2 02 01 00 62 00 00 00	....B...x...6...............b...
1380	ac 03 01 00 ec 00 00 00 0f 04 01 00 d1 00 00 00 fc 04 01 00 7f 01 00 00 ce 05 01 00 21 00 00 00	............................!...
13a0	4e 07 01 00 33 00 00 00 70 07 01 00 09 00 00 00 a4 07 01 00 e7 00 00 00 ae 07 01 00 2c 00 00 00	N...3...p...................,...
13c0	96 08 01 00 8d 00 00 00 c3 08 01 00 70 00 00 00 51 09 01 00 07 00 00 00 c2 09 01 00 5a 00 00 00	............p...Q...........Z...
13e0	ca 09 01 00 46 00 00 00 25 0a 01 00 3a 00 00 00 6c 0a 01 00 47 00 00 00 a7 0a 01 00 9c 00 00 00	....F...%...:...l...G...........
1400	ef 0a 01 00 5a 00 00 00 8c 0b 01 00 13 00 00 00 e7 0b 01 00 0c 00 00 00 fb 0b 01 00 ab 00 00 00	....Z...........................
1420	08 0c 01 00 a3 01 00 00 b4 0c 01 00 33 00 00 00 58 0e 01 00 26 00 00 00 8c 0e 01 00 4b 00 00 00	............3...X...&.......K...
1440	b3 0e 01 00 35 00 00 00 ff 0e 01 00 2c 00 00 00 35 0f 01 00 30 00 00 00 62 0f 01 00 3a 00 00 00	....5.......,...5...0...b...:...
1460	93 0f 01 00 13 00 00 00 ce 0f 01 00 2d 00 00 00 e2 0f 01 00 13 00 00 00 10 10 01 00 1a 00 00 00	............-...................
1480	24 10 01 00 20 00 00 00 3f 10 01 00 1a 00 00 00 60 10 01 00 21 00 00 00 7b 10 01 00 1a 00 00 00	$.......?.......`...!...{.......
14a0	9d 10 01 00 21 00 00 00 b8 10 01 00 1e 00 00 00 da 10 01 00 21 00 00 00 f9 10 01 00 15 00 00 00	....!...............!...........
14c0	1b 11 01 00 04 00 00 00 31 11 01 00 84 00 00 00 36 11 01 00 3b 00 00 00 bb 11 01 00 0d 00 00 00	........1.......6...;...........
14e0	f7 11 01 00 2c 00 00 00 05 12 01 00 2e 00 00 00 32 12 01 00 1e 00 00 00 61 12 01 00 3f 00 00 00	....,...........2.......a...?...
1500	80 12 01 00 2c 00 00 00 c0 12 01 00 28 00 00 00 ed 12 01 00 46 00 00 00 16 13 01 00 32 00 00 00	....,.......(.......F.......2...
1520	5d 13 01 00 83 00 00 00 90 13 01 00 1b 00 00 00 14 14 01 00 1b 00 00 00 30 14 01 00 12 00 00 00	].......................0.......
1540	4c 14 01 00 14 00 00 00 5f 14 01 00 13 00 00 00 74 14 01 00 13 00 00 00 88 14 01 00 13 00 00 00	L......._.......t...............
1560	9c 14 01 00 aa 00 00 00 b0 14 01 00 0c 00 00 00 5b 15 01 00 41 00 00 00 68 15 01 00 41 00 00 00	................[...A...h...A...
1580	aa 15 01 00 5c 00 00 00 ec 15 01 00 3a 00 00 00 49 16 01 00 44 00 00 00 84 16 01 00 60 00 00 00	....\.......:...I...D.......`...
15a0	c9 16 01 00 45 00 00 00 2a 17 01 00 3e 00 00 00 70 17 01 00 40 00 00 00 af 17 01 00 42 00 00 00	....E...*...>...p...@.......B...
15c0	f0 17 01 00 44 00 00 00 33 18 01 00 3a 00 00 00 78 18 01 00 3f 00 00 00 b3 18 01 00 47 00 00 00	....D...3...:...x...?.......G...
15e0	f3 18 01 00 3e 00 00 00 3b 19 01 00 38 00 00 00 7a 19 01 00 cd 00 00 00 b3 19 01 00 15 01 00 00	....>...;...8...z...............
1600	81 1a 01 00 43 00 00 00 97 1b 01 00 49 00 00 00 db 1b 01 00 28 00 00 00 25 1c 01 00 7c 00 00 00	....C.......I.......(...%...|...
1620	4e 1c 01 00 80 00 00 00 cb 1c 01 00 84 00 00 00 4c 1d 01 00 70 00 00 00 d1 1d 01 00 2e 01 00 00	N...............L...p...........
1640	42 1e 01 00 0c 00 00 00 71 1f 01 00 0b 00 00 00 7e 1f 01 00 0b 00 00 00 8a 1f 01 00 0b 00 00 00	B.......q.......~...............
1660	96 1f 01 00 08 00 00 00 a2 1f 01 00 11 00 00 00 ab 1f 01 00 0b 00 00 00 bd 1f 01 00 0c 00 00 00	................................
1680	c9 1f 01 00 09 00 00 00 d6 1f 01 00 0b 00 00 00 e0 1f 01 00 0f 00 00 00 ec 1f 01 00 0f 00 00 00	................................
16a0	fc 1f 01 00 0f 00 00 00 0c 20 01 00 38 00 00 00 1c 20 01 00 0d 00 00 00 55 20 01 00 15 00 00 00	............8...........U.......
16c0	63 20 01 00 11 00 00 00 79 20 01 00 19 00 00 00 8b 20 01 00 19 00 00 00 a5 20 01 00 15 00 00 00	c.......y.......................
16e0	bf 20 01 00 15 00 00 00 d5 20 01 00 1a 00 00 00 eb 20 01 00 57 00 00 00 06 21 01 00 63 00 00 00	....................W....!..c...
1700	5e 21 01 00 0e 00 00 00 c2 21 01 00 0c 00 00 00 d1 21 01 00 1f 00 00 00 de 21 01 00 1f 00 00 00	^!.......!.......!.......!......
1720	fe 21 01 00 0e 00 00 00 1e 22 01 00 0f 00 00 00 2d 22 01 00 0f 00 00 00 3d 22 01 00 0f 00 00 00	.!......."......-"......="......
1740	4d 22 01 00 2e 00 00 00 5d 22 01 00 0b 00 00 00 8c 22 01 00 0b 00 00 00 98 22 01 00 1c 00 00 00	M"......]"......."......."......
1760	a4 22 01 00 1c 00 00 00 c1 22 01 00 1e 00 00 00 de 22 01 00 3f 00 00 00 fd 22 01 00 07 00 00 00	."......."......."..?...."......
1780	3d 23 01 00 09 00 00 00 45 23 01 00 07 00 00 00 4f 23 01 00 08 00 00 00 57 23 01 00 05 00 00 00	=#......E#......O#......W#......
17a0	60 23 01 00 0a 00 00 00 66 23 01 00 15 00 00 00 71 23 01 00 0a 00 00 00 87 23 01 00 05 00 00 00	`#......f#......q#.......#......
17c0	92 23 01 00 4e 02 00 00 98 23 01 00 82 00 00 00 e7 25 01 00 5b 00 00 00 6a 26 01 00 1a 01 00 00	.#..N....#.......%..[...j&......
17e0	c6 26 01 00 c8 00 00 00 e1 27 01 00 57 00 00 00 aa 28 01 00 58 00 00 00 02 29 01 00 d4 00 00 00	.&.......'..W....(..X....)......
1800	5b 29 01 00 0f 01 00 00 30 2a 01 00 f1 00 00 00 40 2b 01 00 30 00 00 00 32 2c 01 00 30 00 00 00	[)......0*......@+..0...2,..0...
1820	63 2c 01 00 30 00 00 00 94 2c 01 00 28 00 00 00 c5 2c 01 00 22 00 00 00 ee 2c 01 00 1d 00 00 00	c,..0....,..(....,.."....,......
1840	11 2d 01 00 1a 00 00 00 2f 2d 01 00 16 00 00 00 4a 2d 01 00 46 00 00 00 61 2d 01 00 37 00 00 00	.-....../-......J-..F...a-..7...
1860	a8 2d 01 00 26 00 00 00 e0 2d 01 00 1a 00 00 00 07 2e 01 00 5d 00 00 00 22 2e 01 00 7c 00 00 00	.-..&....-..........]..."...|...
1880	80 2e 01 00 4b 00 00 00 fd 2e 01 00 28 00 00 00 49 2f 01 00 97 00 00 00 72 2f 01 00 46 00 00 00	....K.......(...I/......r/..F...
18a0	0a 30 01 00 56 00 00 00 51 30 01 00 53 00 00 00 a8 30 01 00 1f 00 00 00 fc 30 01 00 36 00 00 00	.0..V...Q0..S....0.......0..6...
18c0	1c 31 01 00 3c 00 00 00 53 31 01 00 2b 00 00 00 90 31 01 00 2d 00 00 00 bc 31 01 00 38 00 00 00	.1..<...S1..+....1..-....1..8...
18e0	ea 31 01 00 30 00 00 00 23 32 01 00 1d 00 00 00 54 32 01 00 79 00 00 00 72 32 01 00 25 00 00 00	.1..0...#2......T2..y...r2..%...
1900	ec 32 01 00 53 02 00 00 12 33 01 00 16 00 00 00 66 35 01 00 46 00 00 00 7d 35 01 00 18 00 00 00	.2..S....3......f5..F...}5......
1920	c4 35 01 00 48 00 00 00 dd 35 01 00 1e 00 00 00 26 36 01 00 0f 00 00 00 45 36 01 00 8e 00 00 00	.5..H....5......&6......E6......
1940	55 36 01 00 0a 00 00 00 e4 36 01 00 0a 00 00 00 ef 36 01 00 12 01 00 00 fa 36 01 00 8f 00 00 00	U6.......6.......6.......6......
1960	0d 38 01 00 df 00 00 00 9d 38 01 00 22 00 00 00 7d 39 01 00 40 04 00 00 a0 39 01 00 48 00 00 00	.8.......8.."...}9..@....9..H...
1980	e1 3d 01 00 1c 00 00 00 2a 3e 01 00 52 00 00 00 47 3e 01 00 fa 00 00 00 9a 3e 01 00 6d 00 00 00	.=......*>..R...G>.......>..m...
19a0	95 3f 01 00 87 00 00 00 03 40 01 00 ba 00 00 00 8b 40 01 00 5d 00 00 00 46 41 01 00 a9 00 00 00	.?.......@.......@..]...FA......
19c0	a4 41 01 00 09 00 00 00 4e 42 01 00 1e 00 00 00 58 42 01 00 1e 00 00 00 77 42 01 00 19 00 00 00	.A......NB......XB......wB......
19e0	96 42 01 00 1c 00 00 00 b0 42 01 00 13 00 00 00 cd 42 01 00 03 00 00 00 e1 42 01 00 29 00 00 00	.B.......B.......B.......B..)...
1a00	e5 42 01 00 4a 00 00 00 0f 43 01 00 08 00 00 00 5a 43 01 00 0a 00 00 00 63 43 01 00 e9 01 00 00	.B..J....C......ZC......cC......
1a20	6e 43 01 00 0e 00 00 00 58 45 01 00 19 00 00 00 67 45 01 00 27 00 00 00 81 45 01 00 29 00 00 00	nC......XE......gE..'....E..)...
1a40	a9 45 01 00 1a 00 00 00 d3 45 01 00 48 01 00 00 ee 45 01 00 06 00 00 00 37 47 01 00 86 02 00 00	.E.......E..H....E......7G......
1a60	3e 47 01 00 0d 00 00 00 c5 49 01 00 0a 00 00 00 d3 49 01 00 07 00 00 00 de 49 01 00 70 00 00 00	>G.......I.......I.......I..p...
1a80	e6 49 01 00 6e 00 00 00 57 4a 01 00 10 00 00 00 c6 4a 01 00 26 00 00 00 d7 4a 01 00 11 00 00 00	.I..n...WJ.......J..&....J......
1aa0	fe 4a 01 00 12 00 00 00 10 4b 01 00 be 00 00 00 23 4b 01 00 21 00 00 00 e2 4b 01 00 05 00 00 00	.J.......K......#K..!....K......
1ac0	04 4c 01 00 43 00 00 00 0a 4c 01 00 35 00 00 00 4e 4c 01 00 06 00 00 00 84 4c 01 00 14 00 00 00	.L..C....L..5...NL.......L......
1ae0	8b 4c 01 00 56 00 00 00 a0 4c 01 00 0b 00 00 00 f7 4c 01 00 0d 00 00 00 03 4d 01 00 13 00 00 00	.L..V....L.......L.......M......
1b00	11 4d 01 00 14 00 00 00 25 4d 01 00 29 00 00 00 3a 4d 01 00 18 00 00 00 64 4d 01 00 23 00 00 00	.M......%M..)...:M......dM..#...
1b20	7d 4d 01 00 24 00 00 00 a1 4d 01 00 39 00 00 00 c6 4d 01 00 0e 00 00 00 00 4e 01 00 0e 00 00 00	}M..$....M..9....M.......N......
1b40	0f 4e 01 00 13 00 00 00 1e 4e 01 00 27 00 00 00 32 4e 01 00 2b 00 00 00 5a 4e 01 00 51 00 00 00	.N.......N..'...2N..+...ZN..Q...
1b60	86 4e 01 00 18 00 00 00 d8 4e 01 00 19 00 00 00 f1 4e 01 00 44 00 00 00 0b 4f 01 00 1b 00 00 00	.N.......N.......N..D....O......
1b80	50 4f 01 00 2f 00 00 00 6c 4f 01 00 1b 00 00 00 9c 4f 01 00 a4 00 00 00 b8 4f 01 00 ae 00 00 00	PO../...lO.......O.......O......
1ba0	5d 50 01 00 04 00 00 00 0c 51 01 00 0b 00 00 00 11 51 01 00 0c 00 00 00 1d 51 01 00 14 00 00 00	]P.......Q.......Q.......Q......
1bc0	2a 51 01 00 14 00 00 00 3f 51 01 00 16 00 00 00 54 51 01 00 ae 00 00 00 6b 51 01 00 85 00 00 00	*Q......?Q......TQ......kQ......
1be0	1a 52 01 00 2b 00 00 00 a0 52 01 00 25 00 00 00 cc 52 01 00 43 00 00 00 f2 52 01 00 5a 00 00 00	.R..+....R..%....R..C....R..Z...
1c00	36 53 01 00 24 00 00 00 91 53 01 00 dc 00 00 00 b6 53 01 00 1c 00 00 00 93 54 01 00 0a 00 00 00	6S..$....S.......S.......T......
1c20	b0 54 01 00 0b 00 00 00 bb 54 01 00 0f 00 00 00 c7 54 01 00 20 00 00 00 d7 54 01 00 5d 00 00 00	.T.......T.......T.......T..]...
1c40	f8 54 01 00 06 00 00 00 56 55 01 00 08 00 00 00 5d 55 01 00 08 00 00 00 66 55 01 00 17 00 00 00	.T......VU......]U......fU......
1c60	6f 55 01 00 f9 00 00 00 87 55 01 00 0c 01 00 00 81 56 01 00 96 00 00 00 8e 57 01 00 78 00 00 00	oU.......U.......V.......W..x...
1c80	25 58 01 00 14 00 00 00 9e 58 01 00 0b 00 00 00 b3 58 01 00 0a 00 00 00 bf 58 01 00 4e 00 00 00	%X.......X.......X.......X..N...
1ca0	ca 58 01 00 c4 00 00 00 19 59 01 00 fa 00 00 00 de 59 01 00 d1 00 00 00 d9 5a 01 00 12 01 00 00	.X.......Y.......Y.......Z......
1cc0	ab 5b 01 00 db 00 00 00 be 5c 01 00 07 00 00 00 9a 5d 01 00 23 00 00 00 a2 5d 01 00 2e 00 00 00	.[.......\.......]..#....]......
1ce0	c6 5d 01 00 27 00 00 00 f5 5d 01 00 3a 00 00 00 1d 5e 01 00 2e 00 00 00 58 5e 01 00 0f 00 00 00	.]..'....]..:....^......X^......
1d00	87 5e 01 00 48 00 00 00 97 5e 01 00 9f 00 00 00 e0 5e 01 00 34 00 00 00 80 5f 01 00 08 00 00 00	.^..H....^.......^..4...._......
1d20	b5 5f 01 00 17 00 00 00 be 5f 01 00 bf 00 00 00 d6 5f 01 00 85 00 00 00 96 60 01 00 45 00 00 00	._......._......._.......`..E...
1d40	1c 61 01 00 43 00 00 00 62 61 01 00 21 01 00 00 a6 61 01 00 d5 00 00 00 c8 62 01 00 ab 00 00 00	.a..C...ba..!....a.......b......
1d60	9e 63 01 00 53 00 00 00 4a 64 01 00 78 00 00 00 9e 64 01 00 bd 00 00 00 17 65 01 00 56 00 00 00	.c..S...Jd..x....d.......e..V...
1d80	d5 65 01 00 1c 00 00 00 2c 66 01 00 2e 00 00 00 49 66 01 00 23 00 00 00 78 66 01 00 04 00 00 00	.e......,f......If..#...xf......
1da0	9c 66 01 00 67 00 00 00 a1 66 01 00 5a 00 00 00 09 67 01 00 43 00 00 00 64 67 01 00 44 00 00 00	.f..g....f..Z....g..C...dg..D...
1dc0	a8 67 01 00 08 00 00 00 ed 67 01 00 27 00 00 00 f6 67 01 00 2e 00 00 00 1e 68 01 00 4d 00 00 00	.g.......g..'....g.......h..M...
1de0	4d 68 01 00 69 00 00 00 9b 68 01 00 83 00 00 00 05 69 01 00 1d 00 00 00 89 69 01 00 11 00 00 00	Mh..i....h.......i.......i......
1e00	a7 69 01 00 03 00 00 00 b9 69 01 00 01 02 00 00 bd 69 01 00 ab 00 00 00 bf 6b 01 00 78 00 00 00	.i.......i.......i.......k..x...
1e20	6b 6c 01 00 83 00 00 00 e4 6c 01 00 e2 00 00 00 68 6d 01 00 09 00 00 00 4b 6e 01 00 5f 03 00 00	kl.......l......hm......Kn.._...
1e40	55 6e 01 00 14 00 00 00 b5 71 01 00 06 00 00 00 ca 71 01 00 0c 00 00 00 d1 71 01 00 0c 00 00 00	Un.......q.......q.......q......
1e60	de 71 01 00 0b 00 00 00 eb 71 01 00 17 00 00 00 f7 71 01 00 0f 00 00 00 0f 72 01 00 03 00 00 00	.q.......q.......q.......r......
1e80	1f 72 01 00 43 00 00 00 23 72 01 00 67 00 00 00 67 72 01 00 d8 00 00 00 cf 72 01 00 90 00 00 00	.r..C...#r..g...gr.......r......
1ea0	a8 73 01 00 88 00 00 00 39 74 01 00 ec 00 00 00 c2 74 01 00 33 00 00 00 af 75 01 00 9f 00 00 00	.s......9t.......t..3....u......
1ec0	e3 75 01 00 98 00 00 00 83 76 01 00 bd 00 00 00 1c 77 01 00 99 00 00 00 da 77 01 00 54 00 00 00	.u.......v.......w.......w..T...
1ee0	74 78 01 00 fd 00 00 00 c9 78 01 00 60 00 00 00 c7 79 01 00 a3 00 00 00 28 7a 01 00 4d 00 00 00	tx.......x..`....y......(z..M...
1f00	cc 7a 01 00 5e 00 00 00 1a 7b 01 00 44 00 00 00 79 7b 01 00 dc 00 00 00 be 7b 01 00 ee 00 00 00	.z..^....{..D...y{.......{......
1f20	9b 7c 01 00 75 00 00 00 8a 7d 01 00 67 00 00 00 00 7e 01 00 6b 00 00 00 68 7e 01 00 5d 00 00 00	.|..u....}..g....~..k...h~..]...
1f40	d4 7e 01 00 80 00 00 00 32 7f 01 00 9d 00 00 00 b3 7f 01 00 98 00 00 00 51 80 01 00 28 00 00 00	.~......2...............Q...(...
1f60	ea 80 01 00 20 00 00 00 13 81 01 00 33 00 00 00 34 81 01 00 3a 00 00 00 68 81 01 00 14 00 00 00	............3...4...:...h.......
1f80	a3 81 01 00 15 00 00 00 b8 81 01 00 1f 00 00 00 ce 81 01 00 6a 01 00 00 ee 81 01 00 24 00 00 00	....................j.......$...
1fa0	59 83 01 00 10 00 00 00 7e 83 01 00 08 00 00 00 8f 83 01 00 23 00 00 00 98 83 01 00 24 00 00 00	Y.......~...........#.......$...
1fc0	bc 83 01 00 23 00 00 00 e1 83 01 00 23 00 00 00 05 84 01 00 7a 00 00 00 29 84 01 00 94 00 00 00	....#.......#.......z...).......
1fe0	a4 84 01 00 21 00 00 00 39 85 01 00 89 00 00 00 5b 85 01 00 98 00 00 00 e5 85 01 00 14 00 00 00	....!...9.......[...............
2000	7e 86 01 00 23 00 00 00 93 86 01 00 25 00 00 00 b7 86 01 00 2e 00 00 00 dd 86 01 00 03 00 00 00	~...#.......%...................
2020	0c 87 01 00 05 00 00 00 10 87 01 00 05 00 00 00 16 87 01 00 11 00 00 00 1c 87 01 00 3c 00 00 00	............................<...
2040	2e 87 01 00 1d 00 00 00 6b 87 01 00 25 00 00 00 89 87 01 00 04 00 00 00 af 87 01 00 0c 00 00 00	........k...%...................
2060	b4 87 01 00 0f 00 00 00 c1 87 01 00 04 00 00 00 d1 87 01 00 03 00 00 00 d6 87 01 00 63 00 00 00	............................c...
2080	da 87 01 00 3c 00 00 00 3e 88 01 00 40 00 00 00 7b 88 01 00 dc 02 00 00 bc 88 01 00 0b 00 00 00	....<...>...@...{...............
20a0	99 8b 01 00 3c 00 00 00 a5 8b 01 00 0a 00 00 00 e2 8b 01 00 0e 00 00 00 ed 8b 01 00 79 00 00 00	....<.......................y...
20c0	fc 8b 01 00 5d 00 00 00 76 8c 01 00 0a 00 00 00 d4 8c 01 00 16 00 00 00 df 8c 01 00 16 00 00 00	....]...v.......................
20e0	f6 8c 01 00 20 00 00 00 0d 8d 01 00 16 00 00 00 2e 8d 01 00 16 00 00 00 45 8d 01 00 0b 00 00 00	........................E.......
2100	5c 8d 01 00 14 00 00 00 68 8d 01 00 0f 00 00 00 7d 8d 01 00 10 00 00 00 8d 8d 01 00 18 00 00 00	\.......h.......}...............
2120	9e 8d 01 00 21 00 00 00 b7 8d 01 00 5a 00 00 00 d9 8d 01 00 80 00 00 00 34 8e 01 00 44 00 00 00	....!.......Z...........4...D...
2140	b5 8e 01 00 2b 00 00 00 fa 8e 01 00 04 00 00 00 26 8f 01 00 40 00 00 00 2b 8f 01 00 97 00 00 00	....+...........&...@...+.......
2160	6c 8f 01 00 42 00 00 00 04 90 01 00 5d 00 00 00 47 90 01 00 3a 00 00 00 a5 90 01 00 34 00 00 00	l...B.......]...G...:.......4...
2180	e0 90 01 00 2e 00 00 00 15 91 01 00 26 00 00 00 44 91 01 00 58 00 00 00 6b 91 01 00 34 00 00 00	............&...D...X...k...4...
21a0	c4 91 01 00 35 00 00 00 f9 91 01 00 13 00 00 00 2f 92 01 00 19 00 00 00 43 92 01 00 85 00 00 00	....5.........../.......C.......
21c0	5d 92 01 00 19 00 00 00 e3 92 01 00 7a 00 00 00 fd 92 01 00 79 00 00 00 78 93 01 00 53 00 00 00	]...........z.......y...x...S...
21e0	f2 93 01 00 68 00 00 00 46 94 01 00 36 00 00 00 af 94 01 00 32 00 00 00 e6 94 01 00 38 00 00 00	....h...F...6.......2.......8...
2200	19 95 01 00 36 00 00 00 52 95 01 00 38 00 00 00 89 95 01 00 11 00 00 00 c2 95 01 00 20 00 00 00	....6...R...8...................
2220	d4 95 01 00 16 00 00 00 f5 95 01 00 38 01 00 00 0c 96 01 00 69 00 00 00 45 97 01 00 08 00 00 00	............8.......i...E.......
2240	af 97 01 00 03 00 00 00 b8 97 01 00 72 00 00 00 bc 97 01 00 03 00 00 00 2f 98 01 00 6c 00 00 00	............r.........../...l...
2260	33 98 01 00 03 00 00 00 a0 98 01 00 61 00 00 00 a4 98 01 00 27 00 00 00 06 99 01 00 0b 00 00 00	3...........a.......'...........
2280	2e 99 01 00 0f 00 00 00 3a 99 01 00 37 00 00 00 4a 99 01 00 25 00 00 00 82 99 01 00 6e 00 00 00	........:...7...J...%.......n...
22a0	a8 99 01 00 b2 00 00 00 17 9a 01 00 38 00 00 00 ca 9a 01 00 0e 00 00 00 03 9b 01 00 0d 00 00 00	............8...................
22c0	12 9b 01 00 0a 00 00 00 20 9b 01 00 67 00 00 00 2b 9b 01 00 0e 00 00 00 93 9b 01 00 0b 00 00 00	............g...+...............
22e0	a2 9b 01 00 02 00 00 00 ae 9b 01 00 0e 00 00 00 b1 9b 01 00 02 00 00 00 c0 9b 01 00 09 00 00 00	................................
2300	c3 9b 01 00 09 00 00 00 cd 9b 01 00 42 01 00 00 d7 9b 01 00 0f 00 00 00 1a 9d 01 00 47 00 00 00	............B...............G...
2320	2a 9d 01 00 81 00 00 00 72 9d 01 00 07 00 00 00 f4 9d 01 00 04 00 00 00 fc 9d 01 00 46 00 00 00	*.......r...................F...
2340	01 9e 01 00 3c 00 00 00 48 9e 01 00 0f 00 00 00 85 9e 01 00 96 00 00 00 95 9e 01 00 7c 00 00 00	....<...H...................|...
2360	2c 9f 01 00 09 00 00 00 a9 9f 01 00 14 00 00 00 b3 9f 01 00 09 00 00 00 c8 9f 01 00 1b 00 00 00	,...............................
2380	d2 9f 01 00 2c 00 00 00 ee 9f 01 00 1d 00 00 00 1b a0 01 00 a8 00 00 00 39 a0 01 00 d7 00 00 00	....,...................9.......
23a0	e2 a0 01 00 42 00 00 00 ba a1 01 00 7d 00 00 00 fd a1 01 00 77 00 00 00 7b a2 01 00 49 00 00 00	....B.......}.......w...{...I...
23c0	f3 a2 01 00 48 00 00 00 3d a3 01 00 24 00 00 00 86 a3 01 00 9b 00 00 00 ab a3 01 00 43 00 00 00	....H...=...$...............C...
23e0	47 a4 01 00 34 00 00 00 8b a4 01 00 18 00 00 00 c0 a4 01 00 9e 00 00 00 d9 a4 01 00 92 00 00 00	G...4...........................
2400	78 a5 01 00 17 01 00 00 0b a6 01 00 3f 00 00 00 23 a7 01 00 10 00 00 00 63 a7 01 00 5a 00 00 00	x...........?...#.......c...Z...
2420	74 a7 01 00 2d 00 00 00 cf a7 01 00 4b 00 00 00 fd a7 01 00 0f 00 00 00 49 a8 01 00 05 00 00 00	t...-.......K...........I.......
2440	59 a8 01 00 40 00 00 00 5f a8 01 00 13 00 00 00 a0 a8 01 00 4b 02 00 00 b4 a8 01 00 31 00 00 00	Y...@..._...........K.......1...
2460	00 ab 01 00 26 00 00 00 32 ab 01 00 19 00 00 00 59 ab 01 00 1f 00 00 00 73 ab 01 00 2d 00 00 00	....&...2.......Y.......s...-...
2480	93 ab 01 00 30 00 00 00 c1 ab 01 00 2a 00 00 00 f2 ab 01 00 1c 00 00 00 1d ac 01 00 14 00 00 00	....0.......*...................
24a0	3a ac 01 00 16 00 00 00 4f ac 01 00 09 00 00 00 66 ac 01 00 0e 00 00 00 70 ac 01 00 0f 00 00 00	:.......O.......f.......p.......
24c0	7f ac 01 00 14 00 00 00 8f ac 01 00 14 00 00 00 a4 ac 01 00 14 00 00 00 b9 ac 01 00 14 00 00 00	................................
24e0	ce ac 01 00 07 00 00 00 e3 ac 01 00 15 00 00 00 eb ac 01 00 e6 00 00 00 01 ad 01 00 8e 00 00 00	................................
2500	e8 ad 01 00 1d 00 00 00 77 ae 01 00 85 00 00 00 95 ae 01 00 cd 00 00 00 1b af 01 00 b8 00 00 00	........w.......................
2520	e9 af 01 00 75 00 00 00 a2 b0 01 00 a7 00 00 00 18 b1 01 00 6d 00 00 00 c0 b1 01 00 4d 00 00 00	....u...............m.......M...
2540	2e b2 01 00 be 00 00 00 7c b2 01 00 41 00 00 00 3b b3 01 00 5d 00 00 00 7d b3 01 00 1e 00 00 00	........|...A...;...]...}.......
2560	db b3 01 00 75 00 00 00 fa b3 01 00 1f 00 00 00 70 b4 01 00 45 00 00 00 90 b4 01 00 9d 00 00 00	....u...........p...E...........
2580	d6 b4 01 00 28 00 00 00 74 b5 01 00 5f 00 00 00 9d b5 01 00 41 00 00 00 fd b5 01 00 50 00 00 00	....(...t..._.......A.......P...
25a0	3f b6 01 00 df 00 00 00 90 b6 01 00 b7 00 00 00 70 b7 01 00 9b 00 00 00 28 b8 01 00 5b 00 00 00	?...............p.......(...[...
25c0	c4 b8 01 00 c3 00 00 00 20 b9 01 00 7f 00 00 00 e4 b9 01 00 94 00 00 00 64 ba 01 00 b4 00 00 00	........................d.......
25e0	f9 ba 01 00 25 00 00 00 ae bb 01 00 a8 00 00 00 d4 bb 01 00 50 00 00 00 7d bc 01 00 1f 00 00 00	....%...............P...}.......
2600	ce bc 01 00 35 00 00 00 ee bc 01 00 3b 00 00 00 24 bd 01 00 a8 00 00 00 60 bd 01 00 62 01 00 00	....5.......;...$.......`...b...
2620	09 be 01 00 15 01 00 00 6c bf 01 00 ce 00 00 00 82 c0 01 00 a9 00 00 00 51 c1 01 00 24 00 00 00	........l...............Q...$...
2640	fb c1 01 00 42 00 00 00 20 c2 01 00 8f 00 00 00 63 c2 01 00 95 00 00 00 f3 c2 01 00 7b 00 00 00	....B...........c...........{...
2660	89 c3 01 00 76 00 00 00 05 c4 01 00 57 00 00 00 7c c4 01 00 aa 00 00 00 d4 c4 01 00 f8 00 00 00	....v.......W...|...............
2680	7f c5 01 00 2b 00 00 00 78 c6 01 00 9e 01 00 00 a4 c6 01 00 46 00 00 00 43 c8 01 00 65 00 00 00	....+...x...........F...C...e...
26a0	8a c8 01 00 ad 00 00 00 f0 c8 01 00 6c 00 00 00 9e c9 01 00 9f 00 00 00 0b ca 01 00 b9 00 00 00	............l...................
26c0	ab ca 01 00 a0 00 00 00 65 cb 01 00 60 00 00 00 06 cc 01 00 56 00 00 00 67 cc 01 00 28 00 00 00	........e...`.......V...g...(...
26e0	be cc 01 00 42 00 00 00 e7 cc 01 00 7d 00 00 00 2a cd 01 00 27 00 00 00 a8 cd 01 00 ac 00 00 00	....B.......}...*...'...........
2700	d0 cd 01 00 b1 00 00 00 7d ce 01 00 4b 00 00 00 2f cf 01 00 83 00 00 00 7b cf 01 00 08 00 00 00	........}...K.../.......{.......
2720	ff cf 01 00 8d 00 00 00 08 d0 01 00 0a 00 00 00 96 d0 01 00 1b 00 00 00 a1 d0 01 00 17 00 00 00	................................
2740	bd d0 01 00 28 00 00 00 d5 d0 01 00 e7 00 00 00 fe d0 01 00 d0 00 00 00 e6 d1 01 00 25 00 00 00	....(.......................%...
2760	b7 d2 01 00 83 00 00 00 dd d2 01 00 90 00 00 00 61 d3 01 00 05 00 00 00 f2 d3 01 00 c9 00 00 00	................a...............
2780	f8 d3 01 00 03 00 00 00 c2 d4 01 00 12 00 00 00 c6 d4 01 00 0c 00 00 00 d9 d4 01 00 21 00 00 00	............................!...
27a0	e6 d4 01 00 21 00 00 00 08 d5 01 00 21 00 00 00 2a d5 01 00 21 00 00 00 4c d5 01 00 26 00 00 00	....!.......!...*...!...L...&...
27c0	6e d5 01 00 04 00 00 00 95 d5 01 00 b9 00 00 00 9a d5 01 00 3b 00 00 00 54 d6 01 00 0e 00 00 00	n...................;...T.......
27e0	90 d6 01 00 18 00 00 00 9f d6 01 00 26 00 00 00 b8 d6 01 00 23 00 00 00 df d6 01 00 23 00 00 00	............&.......#.......#...
2800	03 d7 01 00 0d 00 00 00 27 d7 01 00 23 00 00 00 35 d7 01 00 0f 00 00 00 59 d7 01 00 24 00 00 00	........'...#...5.......Y...$...
2820	69 d7 01 00 0f 00 00 00 8e d7 01 00 08 00 00 00 9e d7 01 00 08 00 00 00 a7 d7 01 00 08 00 00 00	i...............................
2840	b0 d7 01 00 08 00 00 00 b9 d7 01 00 08 00 00 00 c2 d7 01 00 09 00 00 00 cb d7 01 00 08 00 00 00	................................
2860	d5 d7 01 00 09 00 00 00 de d7 01 00 08 00 00 00 e8 d7 01 00 09 00 00 00 f1 d7 01 00 0c 00 00 00	................................
2880	fb d7 01 00 09 00 00 00 08 d8 01 00 09 00 00 00 12 d8 01 00 08 00 00 00 1c d8 01 00 12 00 00 00	................................
28a0	25 d8 01 00 0f 00 00 00 38 d8 01 00 0e 00 00 00 48 d8 01 00 0d 00 00 00 57 d8 01 00 1a 00 00 00	%.......8.......H.......W.......
28c0	65 d8 01 00 16 00 00 00 80 d8 01 00 49 00 00 00 97 d8 01 00 82 00 00 00 e1 d8 01 00 1f 01 00 00	e...........I...................
28e0	64 d9 01 00 40 00 00 00 84 da 01 00 6f 00 00 00 c5 da 01 00 f4 00 00 00 35 db 01 00 3c 00 00 00	d...@.......o...........5...<...
2900	2a dc 01 00 17 00 00 00 67 dc 01 00 6e 00 00 00 7f dc 01 00 67 00 00 00 ee dc 01 00 8e 00 00 00	*.......g...n.......g...........
2920	56 dd 01 00 19 03 00 00 e5 dd 01 00 cb 00 00 00 ff e0 01 00 bc 00 00 00 cb e1 01 00 42 00 00 00	V...........................B...
2940	88 e2 01 00 36 00 00 00 cb e2 01 00 b9 00 00 00 02 e3 01 00 62 00 00 00 bc e3 01 00 ec 00 00 00	....6...............b...........
2960	1f e4 01 00 d1 00 00 00 0c e5 01 00 7f 01 00 00 de e5 01 00 21 00 00 00 5e e7 01 00 33 00 00 00	....................!...^...3...
2980	80 e7 01 00 09 00 00 00 b4 e7 01 00 e7 00 00 00 be e7 01 00 2c 00 00 00 a6 e8 01 00 8d 00 00 00	....................,...........
29a0	d3 e8 01 00 70 00 00 00 61 e9 01 00 07 00 00 00 d2 e9 01 00 5a 00 00 00 da e9 01 00 46 00 00 00	....p...a...........Z.......F...
29c0	35 ea 01 00 3a 00 00 00 7c ea 01 00 47 00 00 00 b7 ea 01 00 9c 00 00 00 ff ea 01 00 5a 00 00 00	5...:...|...G...............Z...
29e0	9c eb 01 00 13 00 00 00 f7 eb 01 00 0c 00 00 00 0b ec 01 00 ab 00 00 00 18 ec 01 00 a3 01 00 00	................................
2a00	c4 ec 01 00 33 00 00 00 68 ee 01 00 26 00 00 00 9c ee 01 00 4b 00 00 00 c3 ee 01 00 35 00 00 00	....3...h...&.......K.......5...
2a20	0f ef 01 00 2c 00 00 00 45 ef 01 00 30 00 00 00 72 ef 01 00 3a 00 00 00 a3 ef 01 00 13 00 00 00	....,...E...0...r...:...........
2a40	de ef 01 00 2d 00 00 00 f2 ef 01 00 13 00 00 00 20 f0 01 00 1a 00 00 00 34 f0 01 00 20 00 00 00	....-...................4.......
2a60	4f f0 01 00 1a 00 00 00 70 f0 01 00 21 00 00 00 8b f0 01 00 1a 00 00 00 ad f0 01 00 21 00 00 00	O.......p...!...............!...
2a80	c8 f0 01 00 1e 00 00 00 ea f0 01 00 21 00 00 00 09 f1 01 00 15 00 00 00 2b f1 01 00 04 00 00 00	............!...........+.......
2aa0	41 f1 01 00 84 00 00 00 46 f1 01 00 3b 00 00 00 cb f1 01 00 0d 00 00 00 07 f2 01 00 2c 00 00 00	A.......F...;...............,...
2ac0	15 f2 01 00 2e 00 00 00 42 f2 01 00 1e 00 00 00 71 f2 01 00 3f 00 00 00 90 f2 01 00 2c 00 00 00	........B.......q...?.......,...
2ae0	d0 f2 01 00 28 00 00 00 fd f2 01 00 46 00 00 00 26 f3 01 00 32 00 00 00 6d f3 01 00 83 00 00 00	....(.......F...&...2...m.......
2b00	a0 f3 01 00 1b 00 00 00 24 f4 01 00 1b 00 00 00 40 f4 01 00 12 00 00 00 5c f4 01 00 14 00 00 00	........$.......@.......\.......
2b20	6f f4 01 00 13 00 00 00 84 f4 01 00 13 00 00 00 98 f4 01 00 13 00 00 00 ac f4 01 00 aa 00 00 00	o...............................
2b40	c0 f4 01 00 0c 00 00 00 6b f5 01 00 41 00 00 00 78 f5 01 00 41 00 00 00 ba f5 01 00 5c 00 00 00	........k...A...x...A.......\...
2b60	fc f5 01 00 3a 00 00 00 59 f6 01 00 44 00 00 00 94 f6 01 00 60 00 00 00 d9 f6 01 00 45 00 00 00	....:...Y...D.......`.......E...
2b80	3a f7 01 00 3e 00 00 00 80 f7 01 00 40 00 00 00 bf f7 01 00 42 00 00 00 00 f8 01 00 44 00 00 00	:...>.......@.......B.......D...
2ba0	43 f8 01 00 3a 00 00 00 88 f8 01 00 3f 00 00 00 c3 f8 01 00 47 00 00 00 03 f9 01 00 3e 00 00 00	C...:.......?.......G.......>...
2bc0	4b f9 01 00 38 00 00 00 8a f9 01 00 01 00 00 00 ed 01 00 00 15 02 00 00 00 00 00 00 b8 00 00 00	K...8...........................
2be0	af 00 00 00 b5 02 00 00 18 02 00 00 4f 00 00 00 00 00 00 00 16 01 00 00 29 02 00 00 f6 00 00 00	............O...........).......
2c00	af 01 00 00 00 00 00 00 26 00 00 00 13 01 00 00 08 00 00 00 6c 01 00 00 5e 01 00 00 00 00 00 00	........&...........l...^.......
2c20	fe 01 00 00 69 02 00 00 00 00 00 00 64 01 00 00 00 00 00 00 00 00 00 00 bd 01 00 00 00 00 00 00	....i.......d...................
2c40	b1 01 00 00 44 00 00 00 49 01 00 00 00 00 00 00 b4 02 00 00 cf 00 00 00 40 01 00 00 00 00 00 00	....D...I...............@.......
2c60	92 00 00 00 c6 01 00 00 1a 00 00 00 cd 01 00 00 55 00 00 00 00 00 00 00 dd 00 00 00 43 02 00 00	................U...........C...
2c80	4f 01 00 00 5f 01 00 00 00 00 00 00 00 00 00 00 4a 01 00 00 00 00 00 00 e3 01 00 00 a8 02 00 00	O..._...........J...............
2ca0	f1 01 00 00 42 01 00 00 ed 00 00 00 9e 01 00 00 62 01 00 00 df 00 00 00 20 02 00 00 43 01 00 00	....B...........b...........C...
2cc0	ab 02 00 00 3b 02 00 00 00 00 00 00 77 02 00 00 00 00 00 00 87 02 00 00 00 00 00 00 7a 00 00 00	....;.......w...............z...
2ce0	23 01 00 00 22 01 00 00 00 00 00 00 de 01 00 00 00 00 00 00 29 00 00 00 13 00 00 00 5a 00 00 00	#..."...............).......Z...
2d00	f4 00 00 00 94 02 00 00 9d 01 00 00 a4 02 00 00 a6 02 00 00 8b 01 00 00 8d 01 00 00 21 01 00 00	............................!...
2d20	60 02 00 00 00 00 00 00 00 00 00 00 98 00 00 00 1b 02 00 00 00 00 00 00 00 00 00 00 e4 01 00 00	`...............................
2d40	9f 02 00 00 d0 00 00 00 91 02 00 00 44 01 00 00 f6 01 00 00 42 00 00 00 2c 02 00 00 61 01 00 00	............D.......B...,...a...
2d60	1a 01 00 00 0f 02 00 00 54 01 00 00 db 00 00 00 00 00 00 00 9a 01 00 00 f7 00 00 00 23 02 00 00	........T...................#...
2d80	ca 01 00 00 00 00 00 00 00 00 00 00 bb 01 00 00 00 00 00 00 e6 00 00 00 e0 01 00 00 00 00 00 00	................................
2da0	00 00 00 00 82 01 00 00 96 02 00 00 84 00 00 00 89 02 00 00 3f 02 00 00 f2 01 00 00 3d 01 00 00	....................?.......=...
2dc0	14 02 00 00 0c 01 00 00 66 01 00 00 d4 01 00 00 66 02 00 00 05 02 00 00 00 00 00 00 00 00 00 00	........f.......f...............
2de0	00 00 00 00 45 00 00 00 19 02 00 00 38 01 00 00 63 00 00 00 0d 02 00 00 e4 00 00 00 28 02 00 00	....E.......8...c...........(...
2e00	f4 01 00 00 00 00 00 00 00 00 00 00 31 00 00 00 16 02 00 00 0a 00 00 00 f3 00 00 00 8b 02 00 00	............1...................
2e20	a7 00 00 00 a4 00 00 00 2e 00 00 00 00 00 00 00 00 00 00 00 79 00 00 00 00 00 00 00 87 00 00 00	....................y...........
2e40	cc 01 00 00 00 00 00 00 70 00 00 00 a7 01 00 00 ef 00 00 00 73 00 00 00 12 00 00 00 82 02 00 00	........p...........s...........
2e60	50 00 00 00 6a 01 00 00 6d 00 00 00 a8 00 00 00 b0 00 00 00 59 01 00 00 40 02 00 00 27 02 00 00	P...j...m...........Y...@...'...
2e80	51 01 00 00 45 01 00 00 77 00 00 00 00 00 00 00 00 00 00 00 09 00 00 00 00 00 00 00 cf 01 00 00	Q...E...w.......................
2ea0	00 00 00 00 28 00 00 00 14 00 00 00 00 00 00 00 06 01 00 00 00 00 00 00 1f 00 00 00 83 00 00 00	....(...........................
2ec0	00 00 00 00 b4 00 00 00 7e 02 00 00 1d 00 00 00 00 00 00 00 ba 00 00 00 00 00 00 00 00 00 00 00	........~.......................
2ee0	00 00 00 00 00 02 00 00 00 00 00 00 ff 00 00 00 39 00 00 00 00 00 00 00 52 00 00 00 b3 01 00 00	................9.......R.......
2f00	72 02 00 00 c2 01 00 00 00 00 00 00 23 00 00 00 51 02 00 00 68 01 00 00 1e 01 00 00 5b 02 00 00	r...........#...Q...h.......[...
2f20	d1 01 00 00 00 00 00 00 8f 01 00 00 99 02 00 00 00 00 00 00 00 00 00 00 a3 00 00 00 06 00 00 00	................................
2f40	00 00 00 00 00 00 00 00 7d 00 00 00 aa 02 00 00 00 00 00 00 00 00 00 00 2d 01 00 00 00 00 00 00	........}...............-.......
2f60	6b 02 00 00 d9 00 00 00 c4 00 00 00 56 01 00 00 00 00 00 00 37 00 00 00 d3 00 00 00 d0 01 00 00	k...........V.......7...........
2f80	a1 02 00 00 52 02 00 00 00 00 00 00 00 00 00 00 3c 02 00 00 26 02 00 00 6e 00 00 00 d2 01 00 00	....R...........<...&...n.......
2fa0	e8 01 00 00 93 01 00 00 0e 02 00 00 b7 00 00 00 bc 00 00 00 00 00 00 00 00 00 00 00 84 01 00 00	................................
2fc0	d9 01 00 00 5f 00 00 00 00 00 00 00 8a 01 00 00 4f 02 00 00 00 00 00 00 28 01 00 00 af 02 00 00	...._...........O.......(.......
2fe0	97 01 00 00 5a 01 00 00 48 02 00 00 0c 02 00 00 00 00 00 00 00 00 00 00 20 01 00 00 29 01 00 00	....Z...H...................)...
3000	9d 02 00 00 34 02 00 00 03 02 00 00 00 00 00 00 0b 00 00 00 27 01 00 00 8d 02 00 00 80 02 00 00	....4...............'...........
3020	7c 00 00 00 1c 00 00 00 ad 02 00 00 00 00 00 00 00 00 00 00 7c 02 00 00 9e 00 00 00 00 00 00 00	|...................|...........
3040	e0 00 00 00 00 00 00 00 e7 00 00 00 fd 01 00 00 65 00 00 00 00 00 00 00 3b 01 00 00 86 00 00 00	................e.......;.......
3060	19 01 00 00 00 00 00 00 9c 01 00 00 00 00 00 00 bc 01 00 00 75 00 00 00 8e 02 00 00 c8 00 00 00	....................u...........
3080	f5 00 00 00 6b 00 00 00 6c 00 00 00 3c 01 00 00 04 00 00 00 67 00 00 00 be 00 00 00 00 00 00 00	....k...l...<.......g...........
30a0	81 00 00 00 f9 00 00 00 2f 01 00 00 c7 00 00 00 81 01 00 00 44 02 00 00 92 02 00 00 00 00 00 00	......../...........D...........
30c0	ae 02 00 00 b9 00 00 00 ae 01 00 00 1a 02 00 00 bf 01 00 00 93 00 00 00 4e 01 00 00 b2 00 00 00	........................N.......
30e0	5e 02 00 00 b9 02 00 00 00 00 00 00 00 00 00 00 9c 02 00 00 00 00 00 00 07 00 00 00 88 01 00 00	^...............................
3100	11 02 00 00 00 00 00 00 f0 00 00 00 00 00 00 00 00 00 00 00 65 02 00 00 5c 00 00 00 16 00 00 00	....................e...\.......
3120	9a 00 00 00 49 00 00 00 60 00 00 00 b1 00 00 00 00 00 00 00 4d 01 00 00 50 01 00 00 00 00 00 00	....I...`...........M...P.......
3140	6e 01 00 00 00 00 00 00 ef 01 00 00 00 00 00 00 de 00 00 00 00 00 00 00 00 00 00 00 0e 01 00 00	n...............................
3160	00 00 00 00 00 00 00 00 4a 02 00 00 5b 00 00 00 71 02 00 00 21 02 00 00 00 00 00 00 2a 02 00 00	........J...[...q...!.......*...
3180	47 02 00 00 04 02 00 00 06 02 00 00 30 01 00 00 7b 00 00 00 00 00 00 00 24 00 00 00 17 01 00 00	G...........0...{.......$.......
31a0	00 00 00 00 b0 02 00 00 81 02 00 00 57 02 00 00 a5 01 00 00 00 00 00 00 00 00 00 00 a3 02 00 00	............W...................
31c0	6a 02 00 00 00 00 00 00 a0 01 00 00 6d 02 00 00 79 01 00 00 00 00 00 00 6a 00 00 00 33 01 00 00	j...........m...y.......j...3...
31e0	00 00 00 00 96 01 00 00 39 02 00 00 4e 00 00 00 97 02 00 00 00 00 00 00 52 01 00 00 c4 01 00 00	........9...N...........R.......
3200	71 00 00 00 9f 01 00 00 9f 00 00 00 80 00 00 00 00 00 00 00 2e 01 00 00 00 01 00 00 f0 01 00 00	q...............................
3220	58 02 00 00 6f 01 00 00 a8 01 00 00 00 00 00 00 53 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00	X...o...........S...............
3240	55 01 00 00 36 00 00 00 13 02 00 00 04 01 00 00 57 01 00 00 8b 00 00 00 12 01 00 00 53 02 00 00	U...6...........W...........S...
3260	00 00 00 00 5b 01 00 00 00 00 00 00 8d 00 00 00 2c 01 00 00 03 00 00 00 55 02 00 00 1d 01 00 00	....[...........,.......U.......
3280	9b 02 00 00 00 00 00 00 4c 00 00 00 91 01 00 00 00 00 00 00 e1 01 00 00 00 00 00 00 54 02 00 00	........L...................T...
32a0	19 00 00 00 00 00 00 00 8a 00 00 00 ce 00 00 00 1f 01 00 00 85 00 00 00 41 00 00 00 42 02 00 00	........................A...B...
32c0	00 00 00 00 00 00 00 00 3a 02 00 00 67 01 00 00 00 00 00 00 b6 01 00 00 65 01 00 00 3e 02 00 00	........:...g...........e...>...
32e0	a5 00 00 00 00 00 00 00 86 01 00 00 00 00 00 00 76 00 00 00 b8 01 00 00 a1 01 00 00 3f 00 00 00	................v...........?...
3300	c2 00 00 00 17 02 00 00 90 01 00 00 9e 02 00 00 00 00 00 00 34 01 00 00 41 02 00 00 64 02 00 00	....................4...A...d...
3320	39 01 00 00 00 00 00 00 f1 00 00 00 dd 01 00 00 00 00 00 00 21 00 00 00 4b 01 00 00 a6 00 00 00	9...................!...K.......
3340	da 00 00 00 00 00 00 00 a4 01 00 00 75 02 00 00 76 01 00 00 a3 01 00 00 00 00 00 00 32 00 00 00	............u...v...........2...
3360	34 00 00 00 89 00 00 00 4c 02 00 00 62 00 00 00 4d 02 00 00 00 00 00 00 c6 00 00 00 2a 01 00 00	4.......L...b...M...........*...
3380	00 00 00 00 e9 00 00 00 74 01 00 00 d2 00 00 00 00 00 00 00 73 01 00 00 2c 00 00 00 2d 00 00 00	........t...........s...,...-...
33a0	d4 00 00 00 f8 01 00 00 4a 00 00 00 51 00 00 00 dc 00 00 00 3e 01 00 00 6f 02 00 00 00 00 00 00	........J...Q.......>...o.......
33c0	b5 01 00 00 86 02 00 00 7e 01 00 00 ff 01 00 00 00 00 00 00 1c 02 00 00 f8 00 00 00 c3 01 00 00	........~.......................
33e0	00 00 00 00 d3 01 00 00 37 01 00 00 25 00 00 00 7e 00 00 00 1e 02 00 00 15 00 00 00 00 00 00 00	........7...%...~...............
3400	67 02 00 00 98 02 00 00 b6 02 00 00 00 00 00 00 4b 00 00 00 00 00 00 00 bd 00 00 00 9b 01 00 00	g...............K...............
3420	5e 00 00 00 ac 01 00 00 47 00 00 00 00 00 00 00 48 00 00 00 d8 00 00 00 b2 02 00 00 00 00 00 00	^.......G.......H...............
3440	56 02 00 00 00 00 00 00 00 00 00 00 3e 00 00 00 41 01 00 00 00 00 00 00 74 02 00 00 c7 01 00 00	V...........>...A.......t.......
3460	5d 00 00 00 62 02 00 00 e2 00 00 00 96 00 00 00 93 02 00 00 00 00 00 00 3a 01 00 00 03 01 00 00	]...b...................:.......
3480	00 00 00 00 70 01 00 00 00 00 00 00 00 00 00 00 f2 00 00 00 00 00 00 00 35 02 00 00 d7 00 00 00	....p...................5.......
34a0	00 00 00 00 18 00 00 00 00 00 00 00 eb 01 00 00 e8 00 00 00 0a 01 00 00 00 00 00 00 f7 01 00 00	................................
34c0	18 01 00 00 70 02 00 00 00 00 00 00 ea 01 00 00 d1 00 00 00 00 00 00 00 3f 01 00 00 00 00 00 00	....p...................?.......
34e0	c9 00 00 00 c5 00 00 00 c8 01 00 00 b2 01 00 00 00 00 00 00 c0 00 00 00 31 01 00 00 7a 02 00 00	........................1...z...
3500	00 00 00 00 f3 01 00 00 ba 02 00 00 ae 00 00 00 11 00 00 00 24 02 00 00 00 00 00 00 61 00 00 00	....................$.......a...
3520	95 00 00 00 e7 01 00 00 00 00 00 00 f9 01 00 00 30 00 00 00 bb 02 00 00 90 02 00 00 2b 00 00 00	................0...........+...
3540	98 01 00 00 22 00 00 00 ac 02 00 00 00 00 00 00 01 01 00 00 a1 00 00 00 0f 00 00 00 cc 00 00 00	...."...........................
3560	cd 00 00 00 e5 00 00 00 4b 02 00 00 ce 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 36 02 00 00	........K...................6...
3580	0f 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 4c 01 00 00 00 00 00 00 83 01 00 00 47 01 00 00	................L...........G...
35a0	48 01 00 00 a9 02 00 00 00 00 00 00 00 00 00 00 53 00 00 00 fb 00 00 00 35 01 00 00 ee 00 00 00	H...............S.......5.......
35c0	15 01 00 00 a7 02 00 00 91 00 00 00 c0 01 00 00 00 00 00 00 2e 02 00 00 40 00 00 00 00 00 00 00	........................@.......
35e0	b4 01 00 00 b9 01 00 00 9c 00 00 00 dc 01 00 00 7c 01 00 00 00 00 00 00 02 00 00 00 00 00 00 00	................|...............
3600	00 00 00 00 8c 01 00 00 a2 01 00 00 4d 00 00 00 10 02 00 00 63 02 00 00 99 00 00 00 b3 00 00 00	............M.......c...........
3620	d8 01 00 00 00 00 00 00 d6 00 00 00 00 00 00 00 a0 00 00 00 43 00 00 00 bf 00 00 00 ec 01 00 00	....................C...........
3640	a5 02 00 00 00 00 00 00 61 02 00 00 01 02 00 00 94 01 00 00 63 01 00 00 80 01 00 00 c5 01 00 00	........a...........c...........
3660	88 02 00 00 e2 01 00 00 8e 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 a2 02 00 00 b1 02 00 00	................................
3680	00 00 00 00 00 00 00 00 97 00 00 00 ad 00 00 00 00 00 00 00 50 02 00 00 84 02 00 00 76 02 00 00	....................P.......v...
36a0	6f 00 00 00 0d 01 00 00 fd 00 00 00 0d 00 00 00 00 00 00 00 02 02 00 00 00 00 00 00 56 00 00 00	o...........................V...
36c0	8e 00 00 00 00 00 00 00 00 00 00 00 cb 00 00 00 00 00 00 00 85 02 00 00 0a 02 00 00 00 00 00 00	................................
36e0	6d 01 00 00 d5 01 00 00 26 01 00 00 90 00 00 00 54 00 00 00 da 01 00 00 9d 00 00 00 35 00 00 00	m.......&.......T...........5...
3700	00 00 00 00 00 00 00 00 b8 02 00 00 00 00 00 00 68 02 00 00 00 00 00 00 73 02 00 00 45 02 00 00	................h.......s...E...
3720	e1 00 00 00 ad 01 00 00 bb 00 00 00 00 00 00 00 aa 01 00 00 05 00 00 00 00 00 00 00 00 00 00 00	................................
3740	00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 09 01 00 00 79 02 00 00 9a 02 00 00 7f 01 00 00	....................y...........
3760	31 02 00 00 2b 02 00 00 00 00 00 00 74 00 00 00 1b 01 00 00 38 02 00 00 7a 01 00 00 e6 01 00 00	1...+.......t.......8...z.......
3780	c3 00 00 00 78 00 00 00 14 01 00 00 0e 00 00 00 00 00 00 00 95 02 00 00 00 00 00 00 fc 00 00 00	....x...........................
37a0	00 00 00 00 e5 01 00 00 d7 01 00 00 60 01 00 00 c9 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00	............`...................
37c0	00 00 00 00 a0 02 00 00 00 00 00 00 5d 02 00 00 57 00 00 00 00 00 00 00 08 01 00 00 fe 00 00 00	............]...W...............
37e0	00 00 00 00 be 01 00 00 8c 00 00 00 00 00 00 00 00 00 00 00 7f 00 00 00 d5 00 00 00 00 00 00 00	................................
3800	78 02 00 00 00 00 00 00 72 00 00 00 b3 02 00 00 aa 00 00 00 7d 02 00 00 e9 01 00 00 36 01 00 00	x.......r...........}.......6...
3820	e3 00 00 00 07 01 00 00 2d 02 00 00 6c 02 00 00 00 00 00 00 0b 02 00 00 89 01 00 00 ca 00 00 00	........-...l...................
3840	00 00 00 00 a2 00 00 00 ac 00 00 00 99 01 00 00 8f 02 00 00 72 01 00 00 7b 02 00 00 94 00 00 00	....................r...{.......
3860	58 00 00 00 9b 00 00 00 3d 00 00 00 00 00 00 00 77 01 00 00 b0 01 00 00 5d 01 00 00 3c 00 00 00	X.......=.......w.......]...<...
3880	25 01 00 00 cb 01 00 00 7d 01 00 00 a9 01 00 00 ee 01 00 00 08 02 00 00 27 00 00 00 1b 00 00 00	%.......}...............'.......
38a0	5a 02 00 00 00 00 00 00 ab 00 00 00 00 00 00 00 32 02 00 00 00 00 00 00 59 00 00 00 66 00 00 00	Z...............2.......Y...f...
38c0	6b 01 00 00 85 01 00 00 f5 01 00 00 64 00 00 00 02 01 00 00 00 00 00 00 d6 01 00 00 22 02 00 00	k...........d..............."...
38e0	05 01 00 00 00 00 00 00 5c 02 00 00 83 02 00 00 5c 01 00 00 71 01 00 00 78 01 00 00 00 00 00 00	........\.......\...q...x.......
3900	7b 01 00 00 00 00 00 00 10 00 00 00 c1 01 00 00 38 00 00 00 b6 00 00 00 fa 01 00 00 ec 00 00 00	{...............8...............
3920	1c 01 00 00 92 01 00 00 20 00 00 00 a9 00 00 00 46 02 00 00 0b 01 00 00 37 02 00 00 00 00 00 00	................F.......7.......
3940	eb 00 00 00 db 01 00 00 b7 02 00 00 69 01 00 00 0c 00 00 00 12 02 00 00 24 01 00 00 3b 00 00 00	............i...........$...;...
3960	00 00 00 00 30 02 00 00 11 01 00 00 c1 00 00 00 5f 02 00 00 00 00 00 00 df 01 00 00 82 00 00 00	....0..........._...............
3980	8c 02 00 00 46 01 00 00 07 02 00 00 7f 02 00 00 2f 00 00 00 00 00 00 00 ea 00 00 00 69 00 00 00	....F.........../...........i...
39a0	00 00 00 00 88 00 00 00 49 02 00 00 4e 02 00 00 87 01 00 00 00 00 00 00 00 00 00 00 ab 01 00 00	........I...N...................
39c0	a6 01 00 00 75 01 00 00 fb 01 00 00 2b 01 00 00 00 00 00 00 fc 01 00 00 00 00 00 00 00 00 00 00	....u.......+...................
39e0	33 00 00 00 68 00 00 00 2a 00 00 00 1e 00 00 00 00 00 00 00 00 00 00 00 2f 02 00 00 00 00 00 00	3...h...*.............../.......
3a00	46 00 00 00 33 02 00 00 17 00 00 00 00 00 00 00 8f 00 00 00 6e 02 00 00 32 01 00 00 25 02 00 00	F...3...............n...2...%...
3a20	59 02 00 00 09 02 00 00 10 01 00 00 95 01 00 00 00 00 00 00 ba 01 00 00 8a 02 00 00 00 00 00 00	Y...............................
3a40	fa 00 00 00 58 01 00 00 b5 00 00 00 1f 02 00 00 3a 00 00 00 00 00 00 00 3d 02 00 00 b7 01 00 00	....X...........:.......=.......
3a60	00 00 00 00 00 00 00 00 1d 02 00 00 00 00 00 00 00 27 27 49 74 20 69 73 20 69 6d 70 6f 72 74 61	.................''It.is.importa
3a80	6e 74 20 74 6f 20 6e 6f 74 65 2c 20 74 68 61 74 20 79 6f 75 20 64 6f 20 6e 6f 74 20 77 61 6e 74	nt.to.note,.that.you.do.not.want
3aa0	20 74 6f 20 61 64 64 20 6c 6f 67 67 69 6e 67 20 74 6f 20 74 68 65 20 65 73 74 61 62 6c 69 73 68	.to.add.logging.to.the.establish
3ac0	65 64 20 73 74 61 74 65 20 72 75 6c 65 20 61 73 20 79 6f 75 20 77 69 6c 6c 20 62 65 20 6c 6f 67	ed.state.rule.as.you.will.be.log
3ae0	67 69 6e 67 20 62 6f 74 68 20 74 68 65 20 69 6e 62 6f 75 6e 64 20 61 6e 64 20 6f 75 74 62 6f 75	ging.both.the.inbound.and.outbou
3b00	6e 64 20 70 61 63 6b 65 74 73 20 66 6f 72 20 65 61 63 68 20 73 65 73 73 69 6f 6e 20 69 6e 73 74	nd.packets.for.each.session.inst
3b20	65 61 64 20 6f 66 20 6a 75 73 74 20 74 68 65 20 69 6e 69 74 69 61 74 69 6f 6e 20 6f 66 20 74 68	ead.of.just.the.initiation.of.th
3b40	65 20 73 65 73 73 69 6f 6e 2e 20 59 6f 75 72 20 6c 6f 67 73 20 77 69 6c 6c 20 62 65 20 6d 61 73	e.session..Your.logs.will.be.mas
3b60	73 69 76 65 20 69 6e 20 61 20 76 65 72 79 20 73 68 6f 72 74 20 70 65 72 69 6f 64 20 6f 66 20 74	sive.in.a.very.short.period.of.t
3b80	69 6d 65 2e 27 27 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 41 64 64 20 61 6e 20 69 6e 74	ime.''.**Important**:.Add.an.int
3ba0	65 72 66 61 63 65 20 72 6f 75 74 65 20 74 6f 20 72 65 61 63 68 20 41 7a 75 72 65 27 73 20 42 47	erface.route.to.reach.Azure's.BG
3bc0	50 20 6c 69 73 74 65 6e 65 72 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 41 64 64 20 61 6e	P.listener.**Important**:.Add.an
3be0	20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 74 6f 20 72 65 61 63 68 20 62 6f 74 68 20 41	.interface.route.to.reach.both.A
3c00	7a 75 72 65 27 73 20 42 47 50 20 6c 69 73 74 65 6e 65 72 73 00 2a 2a 49 6d 70 6f 72 74 61 6e 74	zure's.BGP.listeners.**Important
3c20	2a 2a 3a 20 44 69 73 61 62 6c 65 20 63 6f 6e 6e 65 63 74 65 64 20 63 68 65 63 6b 20 5c 00 2a 2a	**:.Disable.connected.check.\.**
3c40	49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73 61 62 6c 65 20 63 6f 6e 6e 65 63 74 65 64 20 63	Important**:.Disable.connected.c
3c60	68 65 63 6b 2c 20 6f 74 68 65 72 77 69 73 65 20 74 68 65 20 72 6f 75 74 65 73 20 6c 65 61 72 6e	heck,.otherwise.the.routes.learn
3c80	65 64 20 66 72 6f 6d 20 41 7a 75 72 65 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 69 6d 70 6f 72 74	ed.from.Azure.will.not.be.import
3ca0	65 64 20 69 6e 74 6f 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 2e 00 2a 2a 4e 4f 54	ed.into.the.routing.table..**NOT
3cc0	45 3a 2a 2a 20 56 79 4f 53 20 52 6f 75 74 65 72 20 28 74 65 73 74 65 64 20 77 69 74 68 20 56 79	E:**.VyOS.Router.(tested.with.Vy
3ce0	4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 29 20 e2 80 93	OS.1.4-rolling-202110310317)....
3d00	20 20 54 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 62 65 6c 6f 77 20 61 72 65 20 73	..The.configurations.below.are.s
3d20	70 65 63 69 66 69 63 61 6c 6c 79 20 66 6f 72 20 56 79 4f 53 20 31 2e 34 2e 78 2e 00 2a 2a 4e 6f	pecifically.for.VyOS.1.4.x..**No
3d40	74 65 3a 2a 2a 20 41 74 20 74 68 65 20 6d 6f 6d 65 6e 74 2c 20 74 72 61 63 65 20 6d 70 6c 73 20	te:**.At.the.moment,.trace.mpls.
3d60	64 6f 65 73 6e e2 80 99 74 20 73 68 6f 77 20 6c 61 62 65 6c 73 2f 70 61 74 68 73 2e 20 53 6f 20	doesn...t.show.labels/paths..So.
3d80	77 65 e2 80 99 6c 6c 20 73 65 65 20 2a 20 2a 20 2a 20 20 66 6f 72 20 74 68 65 20 74 72 61 6e 73	we...ll.see.*.*.*..for.the.trans
3da0	69 74 20 72 6f 75 74 65 72 73 20 6f 66 20 74 68 65 20 6d 70 6c 73 20 62 61 63 6b 62 6f 6e 65 2e	it.routers.of.the.mpls.backbone.
3dc0	00 2a 2a 54 68 69 73 20 73 70 65 63 69 66 69 63 20 65 78 61 6d 70 6c 65 20 69 73 20 66 6f 72 20	.**This.specific.example.is.for.
3de0	61 20 72 6f 75 74 65 72 20 6f 6e 20 61 20 73 74 69 63 6b 2c 20 62 75 74 20 69 73 20 76 65 72 79	a.router.on.a.stick,.but.is.very
3e00	20 65 61 73 69 6c 79 20 61 64 61 70 74 65 64 20 66 6f 72 20 68 6f 77 65 76 65 72 20 6d 61 6e 79	.easily.adapted.for.however.many
3e20	20 4e 49 43 73 20 79 6f 75 20 68 61 76 65 2a 2a 3a 00 2a 2a 56 69 72 74 75 61 6c 20 52 6f 75 74	.NICs.you.have**:.**Virtual.Rout
3e40	69 6e 67 20 61 6e 64 20 46 6f 72 77 61 72 64 69 6e 67 2a 2a 20 69 73 20 61 20 74 65 63 68 6e 6f	ing.and.Forwarding**.is.a.techno
3e60	6c 6f 67 79 20 74 68 61 74 20 61 6c 6c 6f 77 20 6d 75 6c 74 69 70 6c 65 20 69 6e 73 74 61 6e 63	logy.that.allow.multiple.instanc
3e80	65 20 6f 66 20 61 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 74 6f 20 65 78 69 73 74 20 77 69	e.of.a.routing.table.to.exist.wi
3ea0	74 68 69 6e 20 61 20 73 69 6e 67 6c 65 20 64 65 76 69 63 65 2e 20 4f 6e 65 20 6f 66 20 74 68 65	thin.a.single.device..One.of.the
3ec0	20 6b 65 79 20 61 73 70 65 63 74 20 6f 66 20 2a 2a 56 52 46 73 2a 2a 20 69 73 20 74 68 61 74 20	.key.aspect.of.**VRFs**.is.that.
3ee0	64 6f 20 6e 6f 74 20 73 68 61 72 65 20 74 68 65 20 73 61 6d 65 20 72 6f 75 74 65 73 20 6f 72 20	do.not.share.the.same.routes.or.
3f00	69 6e 74 65 72 66 61 63 65 73 2c 20 74 68 65 72 65 66 6f 72 65 20 70 61 63 6b 65 74 73 20 61 72	interfaces,.therefore.packets.ar
3f20	65 20 66 6f 72 77 61 72 64 65 64 20 62 65 74 77 65 65 6e 20 69 6e 74 65 72 66 61 63 65 73 20 74	e.forwarded.between.interfaces.t
3f40	68 61 74 20 62 65 6c 6f 6e 67 20 74 6f 20 74 68 65 20 73 61 6d 65 20 56 52 46 20 6f 6e 6c 79 2e	hat.belong.to.the.same.VRF.only.
3f60	00 2a 2a 6f 66 66 73 69 74 65 31 2a 2a 00 2a 2a 72 6f 75 74 65 72 31 2a 2a 00 2a 2a 72 6f 75 74	.**offsite1**.**router1**.**rout
3f80	65 72 32 2a 2a 00 31 30 2e 30 2e 30 2e 30 2f 31 36 00 31 30 2e 30 2e 30 2e 34 00 31 30 2e 30 2e	er2**.10.0.0.0/16.10.0.0.4.10.0.
3fa0	30 2e 34 2c 31 30 2e 30 2e 30 2e 35 00 31 30 2e 31 2e 31 2e 30 2f 33 30 00 31 30 2e 31 30 2e 30	0.4,10.0.0.5.10.1.1.0/30.10.10.0
3fc0	2e 30 2f 31 36 00 31 30 2e 31 30 2e 30 2e 35 00 31 30 2e 32 2e 32 2e 30 2f 33 30 00 31 30 2e 35	.0/16.10.10.0.5.10.2.2.0/30.10.5
3fe0	30 2e 35 30 2e 31 3a 31 30 31 31 00 31 30 2e 36 30 2e 36 30 2e 31 3a 31 30 31 31 00 31 30 2e 38	0.50.1:1011.10.60.60.1:1011.10.8
4000	30 2e 38 30 2e 31 3a 31 30 31 31 00 31 30 30 3a 20 27 50 75 62 6c 69 63 27 20 6e 65 74 77 6f 72	0.80.1:1011.100:.'Public'.networ
4020	6b 2c 20 75 73 69 6e 67 20 6f 75 72 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32 34 20 6e 65 74 77	k,.using.our.203.0.113.0/24.netw
4040	6f 72 6b 2e 00 31 37 32 2e 31 36 2e 32 2e 30 2f 33 30 00 31 37 32 2e 31 37 2e 31 2e 32 20 43 53	ork..172.16.2.0/30.172.17.1.2.CS
4060	30 20 2d 3e 20 43 53 34 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 30 00 31 37 32 2e 31	0.->.CS4.172.17.1.2/24.CS0.172.1
4080	37 2e 31 2e 32 2f 32 34 20 43 53 30 20 2d 20 3e 20 43 53 34 00 31 37 32 2e 31 37 2e 31 2e 32 2f	7.1.2/24.CS0.-.>.CS4.172.17.1.2/
40a0	32 34 20 43 53 34 20 2d 20 3e 20 43 53 35 00 31 37 32 2e 31 37 2e 31 2e 33 20 43 53 30 20 2d 3e	24.CS4.-.>.CS5.172.17.1.3.CS0.->
40c0	20 43 53 35 00 31 37 32 2e 31 37 2e 31 2e 34 20 43 53 30 20 2d 3e 20 43 53 36 00 31 37 32 2e 31	.CS5.172.17.1.4.CS0.->.CS6.172.1
40e0	37 2e 31 2e 34 30 20 43 53 30 20 62 79 20 64 65 66 61 75 6c 74 00 31 39 32 2e 31 36 38 2e 31 30	7.1.40.CS0.by.default.192.168.10
4100	30 2e 31 30 2f 32 30 30 31 3a 30 44 42 38 3a 30 3a 41 41 41 41 3a 3a 31 30 20 69 73 20 74 68 65	0.10/2001:0DB8:0:AAAA::10.is.the
4120	20 61 64 6d 69 6e 69 73 74 72 61 74 6f 72 27 73 20 63 6f 6e 73 6f 6c 65 2e 20 49 74 20 63 61 6e	.administrator's.console..It.can
4140	20 53 53 48 20 74 6f 20 56 79 4f 53 2e 00 31 39 32 2e 31 36 38 2e 32 30 30 2e 32 30 30 2f 32 30	.SSH.to.VyOS..192.168.200.200/20
4160	30 31 3a 30 44 42 38 3a 30 3a 42 42 42 42 3a 3a 32 30 30 20 69 73 20 61 6e 20 69 6e 74 65 72 6e	01:0DB8:0:BBBB::200.is.an.intern
4180	61 6c 2f 65 78 74 65 72 6e 61 6c 20 44 4e 53 2c 20 77 65 62 20 61 6e 64 20 6d 61 69 6c 20 28 53	al/external.DNS,.web.and.mail.(S
41a0	4d 54 50 2f 49 4d 41 50 29 20 73 65 72 76 65 72 2e 00 31 39 32 2e 31 36 38 2e 33 2e 30 2f 33 30	MTP/IMAP).server..192.168.3.0/30
41c0	00 31 39 38 2e 35 31 2e 31 30 30 2e 33 00 32 20 70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20	.198.51.100.3.2.private.subnets.
41e0	6f 6e 20 65 61 63 68 20 73 69 74 65 2e 00 32 20 78 20 52 6f 75 74 65 20 72 65 66 6c 65 63 74 6f	on.each.site..2.x.Route.reflecto
4200	72 73 20 28 56 79 4f 53 2d 52 52 78 29 00 32 30 30 31 3a 64 62 38 3a 3a 2f 31 32 37 00 32 30 30	rs.(VyOS-RRx).2001:db8::/127.200
4220	31 3a 64 62 38 3a 3a 32 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 34 2f 31 32 37 00 32 30 30	1:db8::2/127.2001:db8::4/127.200
4240	31 3a 64 62 38 3a 3a 36 2f 31 32 37 00 32 30 31 3a 20 27 49 6e 74 65 72 6e 61 6c 27 20 6e 65 74	1:db8::6/127.201:.'Internal'.net
4260	77 6f 72 6b 2c 20 75 73 69 6e 67 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 00 32 30 33 2e	work,.using.10.200.201.0/24.203.
4280	30 2e 31 31 33 2e 32 00 32 30 33 2e 30 2e 31 31 33 2e 33 00 33 20 78 20 43 75 73 74 6f 6d 65 72	0.113.2.203.0.113.3.3.x.Customer
42a0	20 45 64 67 65 20 28 56 79 4f 53 2d 43 45 78 29 00 33 20 78 20 50 72 6f 76 69 64 65 72 20 45 64	.Edge.(VyOS-CEx).3.x.Provider.Ed
42c0	67 65 20 28 56 79 4f 73 2d 50 45 78 29 00 34 20 78 20 50 72 6f 76 69 64 65 72 20 72 6f 75 74 65	ge.(VyOs-PEx).4.x.Provider.route
42e0	72 73 20 28 56 79 4f 53 2d 50 78 29 00 35 30 3a 20 55 70 73 74 72 65 61 6d 2c 20 75 73 69 6e 67	rs.(VyOS-Px).50:.Upstream,.using
4300	20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 20 61 6c 6c 6f 63 61	.the.192.0.2.0/24.network.alloca
4320	74 65 64 20 62 79 20 74 68 65 6d 2e 00 36 34 34 39 36 3a 31 00 36 34 34 39 36 3a 31 30 30 00 36	ted.by.them..64496:1.64496:100.6
4340	34 34 39 36 3a 32 00 36 34 34 39 36 3a 35 30 00 36 34 34 39 39 00 36 35 30 33 35 3a 31 30 31 31	4496:2.64496:50.64499.65035:1011
4360	00 36 35 30 33 35 3a 31 30 31 31 20 36 35 30 33 35 3a 31 30 33 30 00 36 35 30 33 35 3a 31 30 33	.65035:1011.65035:1030.65035:103
4380	30 00 36 35 35 34 30 00 41 20 62 72 69 65 66 20 65 78 63 75 72 73 69 6f 6e 20 69 6e 74 6f 20 56	0.65540.A.brief.excursion.into.V
43a0	52 46 73 3a 20 54 68 69 73 20 68 61 73 20 62 65 65 6e 20 6f 6e 65 20 6f 66 20 74 68 65 20 6c 6f	RFs:.This.has.been.one.of.the.lo
43c0	6e 67 65 73 74 2d 73 74 61 6e 64 69 6e 67 20 66 65 61 74 75 72 65 20 72 65 71 75 65 73 74 73 20	ngest-standing.feature.requests.
43e0	6f 66 20 56 79 4f 53 20 28 64 61 74 69 6e 67 20 62 61 63 6b 20 74 6f 20 32 30 31 36 29 20 77 68	of.VyOS.(dating.back.to.2016).wh
4400	69 63 68 20 63 61 6e 20 62 65 20 64 65 73 63 72 69 62 65 64 20 61 73 20 22 61 20 56 4c 41 4e 20	ich.can.be.described.as."a.VLAN.
4420	66 6f 72 20 6c 61 79 65 72 20 32 20 69 73 20 77 68 61 74 20 61 20 56 52 46 20 69 73 20 66 6f 72	for.layer.2.is.what.a.VRF.is.for
4440	20 6c 61 79 65 72 20 33 22 2e 20 57 69 74 68 20 56 52 46 73 2c 20 61 20 72 6f 75 74 65 72 2f 73	.layer.3"..With.VRFs,.a.router/s
4460	79 73 74 65 6d 20 63 61 6e 20 68 6f 6c 64 20 6d 75 6c 74 69 70 6c 65 2c 20 69 73 6f 6c 61 74 65	ystem.can.hold.multiple,.isolate
4480	64 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20 6f 6e 20 74 68 65 20 73 61 6d 65 20 73 79 73	d.routing.tables.on.the.same.sys
44a0	74 65 6d 2e 20 49 66 20 79 6f 75 20 77 6f 6e 64 65 72 20 77 68 61 74 27 73 20 74 68 65 20 64 69	tem..If.you.wonder.what's.the.di
44c0	66 66 65 72 65 6e 63 65 20 62 65 74 77 65 65 6e 20 6d 75 6c 74 69 70 6c 65 20 74 61 62 6c 65 73	fference.between.multiple.tables
44e0	20 74 68 61 74 20 70 65 6f 70 6c 65 20 75 73 65 64 20 66 6f 72 20 70 6f 6c 69 63 79 2d 62 61 73	.that.people.used.for.policy-bas
4500	65 64 20 72 6f 75 74 69 6e 67 20 73 69 6e 63 65 20 66 6f 72 65 76 65 72 2c 20 69 74 27 73 20 74	ed.routing.since.forever,.it's.t
4520	68 61 74 20 61 20 56 52 46 20 61 6c 73 6f 20 69 73 6f 6c 61 74 65 73 20 63 6f 6e 6e 65 63 74 65	hat.a.VRF.also.isolates.connecte
4540	64 20 72 6f 75 74 65 73 20 72 61 74 68 65 72 20 74 68 61 6e 20 6a 75 73 74 20 73 74 61 74 69 63	d.routes.rather.than.just.static
4560	20 61 6e 64 20 64 79 6e 61 6d 69 63 61 6c 6c 79 20 6c 65 61 72 6e 65 64 20 72 6f 75 74 65 73 2c	.and.dynamically.learned.routes,
4580	20 73 6f 20 69 74 20 61 6c 6c 6f 77 73 20 4e 49 43 73 20 69 6e 20 64 69 66 66 65 72 65 6e 74 20	.so.it.allows.NICs.in.different.
45a0	56 52 46 73 20 74 6f 20 75 73 65 20 63 6f 6e 66 6c 69 63 74 69 6e 67 20 6e 65 74 77 6f 72 6b 20	VRFs.to.use.conflicting.network.
45c0	72 61 6e 67 65 73 20 77 69 74 68 6f 75 74 20 69 73 73 75 65 73 2e 00 41 20 63 6f 6e 6e 65 63 74	ranges.without.issues..A.connect
45e0	69 6f 6e 20 72 65 73 6f 75 72 63 65 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 41 7a 75 72 65 20 6c	ion.resource.deployed.in.Azure.l
4600	69 6e 6b 69 6e 67 20 74 68 65 20 41 7a 75 72 65 20 56 4e 65 74 20 67 61 74 65 77 61 79 20 61 6e	inking.the.Azure.VNet.gateway.an
4620	64 20 74 68 65 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 67 61 74 65 77 61 79 20 72 65 70 72	d.the.local.network.gateway.repr
4640	65 73 65 6e 74 69 6e 67 20 74 68 65 20 56 79 6f 73 20 64 65 76 69 63 65 2e 00 41 20 68 6f 73 74	esenting.the.Vyos.device..A.host
4660	20 60 60 76 79 6f 73 2d 6f 6f 62 6d 60 60 20 77 69 6c 6c 20 75 73 65 20 61 73 20 61 20 73 73 68	.``vyos-oobm``.will.use.as.a.ssh
4680	20 70 72 6f 78 79 2e 20 54 68 69 73 20 68 6f 73 74 20 69 73 20 6a 75 73 74 20 6e 65 63 65 73 73	.proxy..This.host.is.just.necess
46a0	61 72 79 20 66 6f 72 20 74 68 65 20 4c 61 62 20 74 65 73 74 2e 00 41 20 6b 65 79 20 70 6f 69 6e	ary.for.the.Lab.test..A.key.poin
46c0	74 20 74 6f 20 75 6e 64 65 72 73 74 61 6e 64 20 69 73 20 74 68 61 74 20 69 66 20 77 65 20 6e 65	t.to.understand.is.that.if.we.ne
46e0	65 64 20 74 77 6f 20 56 52 46 73 20 74 6f 20 63 6f 6d 6d 75 6e 69 63 61 74 65 20 62 65 74 77 65	ed.two.VRFs.to.communicate.betwe
4700	65 6e 20 65 61 63 68 20 6f 74 68 65 72 20 45 58 50 4f 52 54 20 72 74 20 66 72 6f 6d 20 56 52 46	en.each.other.EXPORT.rt.from.VRF
4720	31 20 68 61 73 20 74 6f 20 62 65 20 69 6e 20 74 68 65 20 49 4d 50 4f 52 54 20 72 74 20 6c 69 73	1.has.to.be.in.the.IMPORT.rt.lis
4740	74 20 66 72 6f 6d 20 56 52 46 32 2e 20 42 75 74 20 74 68 69 73 20 69 73 20 6f 6e 6c 79 20 69 6e	t.from.VRF2..But.this.is.only.in
4760	20 4f 4e 45 20 64 69 72 65 63 74 69 6f 6e 2c 20 74 6f 20 63 6f 6d 70 6c 65 74 65 20 74 68 65 20	.ONE.direction,.to.complete.the.
4780	63 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 74 68 65 20 45 58 50 4f 52 54 20 72 74 20 66 72 6f 6d	communication.the.EXPORT.rt.from
47a0	20 56 52 46 32 20 68 61 73 20 74 6f 20 62 65 20 69 6e 20 74 68 65 20 49 4d 50 4f 52 54 20 72 74	.VRF2.has.to.be.in.the.IMPORT.rt
47c0	20 6c 69 73 74 20 66 72 6f 6d 20 56 52 46 31 2e 00 41 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b	.list.from.VRF1..A.local.network
47e0	20 67 61 74 65 77 61 79 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 41 7a 75 72 65 20 72 65 70 72 65	.gateway.deployed.in.Azure.repre
4800	73 65 6e 74 69 6e 67 20 74 68 65 20 56 79 6f 73 20 64 65 76 69 63 65 2c 20 6d 61 74 63 68 69 6e	senting.the.Vyos.device,.matchin
4820	67 20 74 68 65 20 62 65 6c 6f 77 20 56 79 6f 73 20 73 65 74 74 69 6e 67 73 20 65 78 63 65 70 74	g.the.below.Vyos.settings.except
4840	20 66 6f 72 20 61 64 64 72 65 73 73 20 73 70 61 63 65 2c 20 77 68 69 63 68 20 6f 6e 6c 79 20 72	.for.address.space,.which.only.r
4860	65 71 75 69 72 65 73 20 74 68 65 20 56 79 6f 73 20 70 72 69 76 61 74 65 20 49 50 2c 20 69 6e 20	equires.the.Vyos.private.IP,.in.
4880	74 68 69 73 20 65 78 61 6d 70 6c 65 20 31 30 2e 31 30 2e 30 2e 35 2f 33 32 00 41 20 70 61 69 72	this.example.10.10.0.5/32.A.pair
48a0	20 6f 66 20 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 73 20 64 65 70 6c 6f 79 65 64	.of.Azure.VNet.Gateways.deployed
48c0	20 69 6e 20 61 63 74 69 76 65 2d 61 63 74 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20	.in.active-active.configuration.
48e0	77 69 74 68 20 42 47 50 20 65 6e 61 62 6c 65 64 2e 00 41 20 70 61 69 72 20 6f 66 20 41 7a 75 72	with.BGP.enabled..A.pair.of.Azur
4900	65 20 56 4e 65 74 20 47 61 74 65 77 61 79 73 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 61 63 74 69	e.VNet.Gateways.deployed.in.acti
4920	76 65 2d 70 61 73 73 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 42 47	ve-passive.configuration.with.BG
4940	50 20 65 6e 61 62 6c 65 64 2e 00 41 20 70 75 62 6c 69 63 2c 20 72 6f 75 74 61 62 6c 65 20 49 50	P.enabled..A.public,.routable.IP
4960	76 34 20 61 64 64 72 65 73 73 2e 20 54 68 69 73 20 64 6f 65 73 20 6e 6f 74 20 6e 65 63 65 73 73	v4.address..This.does.not.necess
4980	61 72 69 6c 79 20 6e 65 65 64 20 74 6f 20 62 65 20 73 74 61 74 69 63 2c 20 62 75 74 20 79 6f 75	arily.need.to.be.static,.but.you
49a0	20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 75 70 64 61 74 65 20 74 68 65 20 74 75 6e 6e 65 6c 20	.will.need.to.update.the.tunnel.
49c0	65 6e 64 70 6f 69 6e 74 20 77 68 65 6e 2f 69 66 20 79 6f 75 72 20 49 50 20 61 64 64 72 65 73 73	endpoint.when/if.your.IP.address
49e0	20 63 68 61 6e 67 65 73 2c 20 77 68 69 63 68 20 63 61 6e 20 62 65 20 64 6f 6e 65 20 77 69 74 68	.changes,.which.can.be.done.with
4a00	20 61 20 73 63 72 69 70 74 20 61 6e 64 20 61 20 73 63 68 65 64 75 6c 65 64 20 74 61 73 6b 2e 00	.a.script.and.a.scheduled.task..
4a20	41 20 72 75 6c 65 20 6f 72 64 65 72 20 66 6f 72 20 70 72 69 6f 72 69 74 69 7a 69 6e 67 20 74 72	A.rule.order.for.prioritizing.tr
4a40	61 66 66 69 63 20 69 73 20 75 73 65 66 75 6c 20 69 6e 20 73 63 65 6e 61 72 69 6f 73 20 77 68 65	affic.is.useful.in.scenarios.whe
4a60	72 65 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 20 68 61 73 20 61 20 6c 6f 77 65	re.the.secondary.link.has.a.lowe
4a80	72 20 73 70 65 65 64 20 61 6e 64 20 73 68 6f 75 6c 64 20 6f 6e 6c 79 20 63 61 72 72 79 20 68 69	r.speed.and.should.only.carry.hi
4aa0	67 68 20 70 72 69 6f 72 69 74 79 20 74 72 61 66 66 69 63 2e 20 49 74 20 69 73 20 61 73 73 75 6d	gh.priority.traffic..It.is.assum
4ac0	65 64 20 66 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 74 68 61 74 20 65 74 68 31 20 69 73	ed.for.this.example.that.eth1.is
4ae0	20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 61 20 73 6c 6f 77 65 72 20 63 6f 6e 6e 65 63 74 69 6f	.connected.to.a.slower.connectio
4b00	6e 20 74 68 61 6e 20 65 74 68 30 20 61 6e 64 20 73 68 6f 75 6c 64 20 70 72 69 6f 72 69 74 69 7a	n.than.eth0.and.should.prioritiz
4b20	65 20 56 6f 49 50 20 74 72 61 66 66 69 63 2e 00 41 20 73 69 6d 70 6c 65 20 73 6f 6c 75 74 69 6f	e.VoIP.traffic..A.simple.solutio
4b40	6e 20 63 6f 75 6c 64 20 62 65 20 75 73 69 6e 67 20 64 69 66 66 65 72 65 6e 74 20 72 6f 75 74 69	n.could.be.using.different.routi
4b60	6e 67 20 74 61 62 6c 65 73 2c 20 6f 72 20 56 52 46 73 20 66 6f 72 20 61 6c 6c 20 74 68 65 20 6e	ng.tables,.or.VRFs.for.all.the.n
4b80	65 74 77 6f 72 6b 73 20 73 6f 20 77 65 20 63 61 6e 20 6b 65 65 70 20 74 68 65 20 72 6f 75 74 69	etworks.so.we.can.keep.the.routi
4ba0	6e 67 20 72 65 73 74 72 69 63 74 69 6f 6e 73 2e 20 42 75 74 20 66 6f 72 20 75 73 20 74 6f 20 72	ng.restrictions..But.for.us.to.r
4bc0	6f 75 74 65 20 62 65 74 77 65 65 6e 20 74 68 65 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20	oute.between.the.different.VRFs.
4be0	77 65 20 77 6f 75 6c 64 20 6e 65 65 64 20 61 20 63 61 62 6c 65 20 6f 72 20 61 20 6c 6f 67 69 63	we.would.need.a.cable.or.a.logic
4c00	61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72	al.connection.between.each.other
4c20	3a 00 41 44 44 52 45 53 53 31 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 34 20 73 6f	:.ADDRESS10.change.CS0.->.CS4.so
4c40	75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 32 2f 33 32 00 41 44 44 52 45 53 53 32 30 20 63 68 61	urce.172.17.1.2/32.ADDRESS20.cha
4c60	6e 67 65 20 43 53 30 20 2d 3e 20 43 53 35 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 33	nge.CS0.->.CS5.source.172.17.1.3
4c80	2f 33 32 00 41 44 44 52 45 53 53 33 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 36 20	/32.ADDRESS30.change.CS0.->.CS6.
4ca0	73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 34 2f 33 32 00 41 63 63 6f 75 6e 74 20 61 74 20	source.172.17.1.4/32.Account.at.
4cc0	68 74 74 70 73 3a 2f 2f 77 77 77 2e 74 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 00 41 63	https://www.tunnelbroker.net/.Ac
4ce0	74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 6f 6e 20 57 69 6e 64 6f 77 73 20 73 65 72 76 65 72	tive.Directory.on.Windows.server
4d00	00 41 64 64 20 28 74 65 6d 70 6f 72 61 72 79 29 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 00 41	.Add.(temporary).default.route.A
4d20	64 64 20 61 6c 6c 20 74 68 65 20 68 6f 73 74 73 20 6f 66 20 56 79 4f 53 3a 00 41 64 64 20 67 65	dd.all.the.hosts.of.VyOS:.Add.ge
4d40	6e 65 72 61 6c 20 76 61 72 69 61 62 6c 65 73 3a 00 41 64 64 20 74 68 65 20 4c 44 41 50 20 70 6c	neral.variables:.Add.the.LDAP.pl
4d60	75 67 69 6e 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 69 6c 65 20 60 2f 63 6f 6e 66 69 67	ugin.configuration.file.`/config
4d80	2f 61 75 74 68 2f 6c 64 61 70 2d 61 75 74 68 2e 63 6f 6e 66 69 67 60 00 41 64 64 20 74 68 65 20	/auth/ldap-auth.config`.Add.the.
4da0	73 69 6d 70 6c 65 20 70 6c 61 79 62 6f 6f 6b 20 77 69 74 68 20 74 68 65 20 74 61 73 6b 73 20 66	simple.playbook.with.the.tasks.f
4dc0	6f 72 20 65 61 63 68 20 72 6f 75 74 65 72 3a 00 41 64 64 69 6e 67 20 61 20 72 75 6c 65 20 66 6f	or.each.router:.Adding.a.rule.fo
4de0	72 20 74 68 65 20 73 65 63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65 00 41 64 76 65 72 74 69 73 65	r.the.second.interface.Advertise
4e00	20 63 6f 6e 6e 65 63 74 65 64 20 72 6f 75 74 65 73 00 41 66 74 65 72 20 61 6c 6c 20 69 73 20 64	.connected.routes.After.all.is.d
4e20	6f 6e 65 20 61 6e 64 20 63 6f 6d 6d 69 74 2c 20 6c 65 74 27 73 20 74 61 6b 65 20 61 20 6c 6f 6f	one.and.commit,.let's.take.a.loo
4e40	6b 20 69 66 20 74 68 65 20 57 69 72 65 67 75 61 72 64 20 69 6e 74 65 72 66 61 63 65 20 69 73 20	k.if.the.Wireguard.interface.is.
4e60	75 70 20 61 6e 64 20 72 75 6e 6e 69 6e 67 2e 00 41 66 74 65 72 20 63 6f 6e 66 69 67 75 72 65 64	up.and.running..After.configured
4e80	20 61 6c 6c 20 74 68 65 20 56 52 46 73 20 69 6e 76 6f 6c 76 65 64 20 69 6e 20 74 68 69 73 20 74	.all.the.VRFs.involved.in.this.t
4ea0	6f 70 6f 6c 6f 67 79 20 77 65 20 74 61 6b 65 20 61 20 64 65 65 70 65 72 20 6c 6f 6f 6b 20 61 74	opology.we.take.a.deeper.look.at
4ec0	20 62 6f 74 68 20 42 47 50 20 61 6e 64 20 52 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 66 6f 72 20	.both.BGP.and.Routing.table.for.
4ee0	74 68 65 20 56 52 46 20 4c 41 4e 31 00 41 66 74 65 72 20 73 6f 6d 65 20 74 65 73 74 69 6e 67 2c	the.VRF.LAN1.After.some.testing,
4f00	20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 69 70 73 65 63 20 73 74 61 74 75 73 2c 20 61 6e 64 20	.we.can.check.ipsec.status,.and.
4f20	63 6f 75 6e 74 65 72 20 6f 6e 20 65 76 65 72 79 20 74 75 6e 6e 65 6c 3a 00 41 66 74 65 72 20 74	counter.on.every.tunnel:.After.t
4f40	68 65 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 30 20 6f 6e 20 72 6f 75 74 65 72 20 56 79 4f 53	he.interface.eth0.on.router.VyOS
4f60	33 00 41 66 74 65 72 20 74 68 69 73 2c 20 77 65 20 6e 65 65 64 20 74 68 65 20 44 48 43 50 2d 53	3.After.this,.we.need.the.DHCP-S
4f80	65 72 76 65 72 20 61 6e 64 20 52 65 6c 61 79 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 20 54	erver.and.Relay.configuration..T
4fa0	6f 20 67 65 74 20 61 20 74 65 73 74 61 62 6c 65 20 72 65 73 75 6c 74 2c 20 77 65 20 6a 75 73 74	o.get.a.testable.result,.we.just
4fc0	20 68 61 76 65 20 6f 6e 65 20 49 50 20 69 6e 20 74 68 65 20 44 48 43 50 20 72 61 6e 67 65 2e 20	.have.one.IP.in.the.DHCP.range..
4fe0	45 78 70 61 6e 64 20 69 74 20 61 73 20 79 6f 75 20 6e 65 65 64 20 69 74 2e 00 41 66 74 65 72 20	Expand.it.as.you.need.it..After.
5000	79 6f 75 20 68 61 76 65 20 65 61 63 68 20 70 75 62 6c 69 63 20 6b 65 79 2e 20 54 68 65 20 77 69	you.have.each.public.key..The.wi
5020	72 65 67 75 61 72 64 20 69 6e 74 65 72 66 61 63 65 73 20 63 61 6e 20 62 65 20 73 65 74 75 70 2e	reguard.interfaces.can.be.setup.
5040	00 41 6c 6c 20 6f 75 74 67 6f 69 6e 67 20 70 61 63 6b 65 74 73 20 61 72 65 20 61 73 73 69 67 6e	.All.outgoing.packets.are.assign
5060	65 64 20 74 68 65 20 73 6f 75 72 63 65 20 61 64 64 72 65 73 73 20 6f 66 20 74 68 65 20 61 73 73	ed.the.source.address.of.the.ass
5080	69 67 6e 65 64 20 69 6e 74 65 72 66 61 63 65 20 28 53 4e 41 54 29 2e 00 41 6c 6c 20 74 72 61 66	igned.interface.(SNAT)..All.traf
50a0	66 69 63 20 63 6f 6d 69 6e 67 20 69 6e 20 74 68 72 6f 75 67 68 20 65 74 68 32 20 69 73 20 62 61	fic.coming.in.through.eth2.is.ba
50c0	6c 61 6e 63 65 64 20 62 65 74 77 65 65 6e 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 6f 6e 20	lanced.between.eth0.and.eth1.on.
50e0	74 68 65 20 72 6f 75 74 65 72 2e 00 41 6c 6c 6f 77 20 44 48 43 50 76 36 20 70 61 63 6b 65 74 73	the.router..Allow.DHCPv6.packets
5100	20 66 6f 72 20 72 6f 75 74 65 72 00 41 6c 6c 6f 77 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20	.for.router.Allow.access.to.the.
5120	72 6f 75 74 65 72 20 6f 6e 6c 79 20 66 72 6f 6d 20 74 72 75 73 74 65 64 20 6e 65 74 77 6f 72 6b	router.only.from.trusted.network
5140	73 2e 00 41 6c 6c 6f 77 20 61 6c 6c 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c	s..Allow.all.established.and.rel
5160	61 74 65 64 20 74 72 61 66 66 69 63 20 66 6f 72 20 72 6f 75 74 65 72 20 61 6e 64 20 4c 41 4e 00	ated.traffic.for.router.and.LAN.
5180	41 6c 6c 6f 77 20 61 6c 6c 20 69 63 6d 70 76 36 20 70 61 63 6b 65 74 73 20 66 6f 72 20 72 6f 75	Allow.all.icmpv6.packets.for.rou
51a0	74 65 72 20 61 6e 64 20 4c 41 4e 00 41 6c 6c 6f 77 20 61 6c 6c 20 6e 65 77 20 63 6f 6e 6e 65 63	ter.and.LAN.Allow.all.new.connec
51c0	74 69 6f 6e 73 20 66 72 6f 6d 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 73 2e 00 41 6c 6c 6f 77 20	tions.from.local.subnets..Allow.
51e0	63 6f 6e 6e 65 63 74 69 6f 6e 73 20 66 72 6f 6d 20 4c 41 4e 73 20 74 6f 20 4c 41 4e 73 20 74 68	connections.from.LANs.to.LANs.th
5200	72 6f 75 67 68 74 20 74 68 65 20 74 75 6e 6e 65 6c 2e 00 41 6c 6c 6f 77 20 64 6e 73 20 72 65 71	rought.the.tunnel..Allow.dns.req
5220	75 65 73 74 73 20 6f 6e 6c 79 20 6f 6e 6c 79 20 66 6f 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72	uests.only.only.for.local.networ
5240	6b 73 2e 00 41 6c 6c 6f 77 20 69 63 6d 70 20 6f 6e 20 61 6c 6c 20 69 6e 74 65 72 66 61 63 65 73	ks..Allow.icmp.on.all.interfaces
5260	2e 00 41 6c 73 6f 20 77 65 20 63 61 6e 20 76 65 72 69 66 79 20 68 6f 77 20 50 45 20 64 65 76 69	..Also.we.can.verify.how.PE.devi
5280	63 65 73 20 72 65 63 65 69 76 65 73 20 56 50 4e 76 34 20 6e 65 74 77 6f 72 6b 73 20 66 72 6f 6d	ces.receives.VPNv4.networks.from
52a0	20 74 68 65 20 52 52 73 20 61 6e 64 20 69 6e 73 74 61 6c 6c 69 6e 67 20 74 68 65 6d 20 74 6f 20	.the.RRs.and.installing.them.to.
52c0	74 68 65 20 73 70 65 63 69 66 69 63 20 63 75 73 74 6f 6d 65 72 20 56 52 46 73 3a 00 41 6c 73 6f	the.specific.customer.VRFs:.Also
52e0	2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 66 69 72 65 77 61 6c 6c 20 63 6f 75 6e 74 65 72 73	,.we.can.check.firewall.counters
5300	3a 00 41 6e 20 4c 33 56 50 4e 20 63 6f 6e 73 69 73 74 73 20 6f 66 20 6d 75 6c 74 69 70 6c 65 20	:.An.L3VPN.consists.of.multiple.
5320	61 63 63 65 73 73 20 6c 69 6e 6b 73 2c 20 6d 75 6c 74 69 70 6c 65 20 56 50 4e 20 72 6f 75 74 69	access.links,.multiple.VPN.routi
5340	6e 67 20 61 6e 64 20 66 6f 72 77 61 72 64 69 6e 67 20 28 56 52 46 29 20 74 61 62 6c 65 73 2c 20	ng.and.forwarding.(VRF).tables,.
5360	61 6e 64 20 6d 75 6c 74 69 70 6c 65 20 4d 50 4c 53 20 70 61 74 68 73 20 6f 72 20 6d 75 6c 74 69	and.multiple.MPLS.paths.or.multi
5380	70 6c 65 20 50 32 4d 50 20 4c 53 50 73 2e 20 41 6e 20 4c 33 56 50 4e 20 63 61 6e 20 62 65 20 63	ple.P2MP.LSPs..An.L3VPN.can.be.c
53a0	6f 6e 66 69 67 75 72 65 64 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 77 6f 20 6f 72 20 6d 6f 72 65	onfigured.to.connect.two.or.more
53c0	20 63 75 73 74 6f 6d 65 72 20 73 69 74 65 73 2e 20 49 6e 20 68 75 62 2d 61 6e 64 2d 73 70 6f 6b	.customer.sites..In.hub-and-spok
53e0	65 20 4d 50 4c 53 20 4c 33 56 50 4e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 73 2c 20 74 68 65 20 73	e.MPLS.L3VPN.environments,.the.s
5400	70 6f 6b 65 20 72 6f 75 74 65 72 73 20 6e 65 65 64 20 74 6f 20 68 61 76 65 20 75 6e 69 71 75 65	poke.routers.need.to.have.unique
5420	20 52 6f 75 74 65 20 44 69 73 74 69 6e 67 75 69 73 68 65 72 73 20 28 52 44 73 29 2e 20 49 6e 20	.Route.Distinguishers.(RDs)..In.
5440	6f 72 64 65 72 20 74 6f 20 75 73 65 20 74 68 65 20 68 75 62 20 73 69 74 65 20 61 73 20 61 20 74	order.to.use.the.hub.site.as.a.t
5460	72 61 6e 73 69 74 20 70 6f 69 6e 74 20 66 6f 72 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 6e	ransit.point.for.connectivity.in
5480	20 73 75 63 68 20 61 6e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 2c 20 74 68 65 20 73 70 6f 6b 65 20	.such.an.environment,.the.spoke.
54a0	73 69 74 65 73 20 65 78 70 6f 72 74 20 74 68 65 69 72 20 72 6f 75 74 65 73 20 74 6f 20 74 68 65	sites.export.their.routes.to.the
54c0	20 68 75 62 2e 20 53 70 6f 6b 65 73 20 63 61 6e 20 74 61 6c 6b 20 74 6f 20 68 75 62 73 2c 20 62	.hub..Spokes.can.talk.to.hubs,.b
54e0	75 74 20 6e 65 76 65 72 20 68 61 76 65 20 64 69 72 65 63 74 20 70 61 74 68 73 20 74 6f 20 6f 74	ut.never.have.direct.paths.to.ot
5500	68 65 72 20 73 70 6f 6b 65 73 2e 20 41 6c 6c 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20	her.spokes..All.traffic.between.
5520	73 70 6f 6b 65 73 20 69 73 20 63 6f 6e 74 72 6f 6c 6c 65 64 20 61 6e 64 20 64 65 6c 69 76 65 72	spokes.is.controlled.and.deliver
5540	65 64 20 6f 76 65 72 20 74 68 65 20 68 75 62 20 73 69 74 65 2e 00 41 6e 64 20 4e 41 54 20 43 6f	ed.over.the.hub.site..And.NAT.Co
5560	6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 41 6e 64 20 70 69 6e 67 20 74 68 65 20 42 72 61 6e 63 68	nfiguration:.And.ping.the.Branch
5580	20 50 43 20 66 72 6f 6d 20 79 6f 75 72 20 63 65 6e 74 72 61 6c 20 72 6f 75 74 65 72 20 74 6f 20	.PC.from.your.central.router.to.
55a0	63 68 65 63 6b 20 74 68 65 20 72 65 73 70 6f 6e 73 65 2e 00 41 6e 64 20 73 68 6f 77 20 61 6c 6c	check.the.response..And.show.all
55c0	20 44 48 43 50 20 4c 65 61 73 65 73 00 41 6e 64 20 74 68 65 20 60 60 63 6c 69 65 6e 74 60 60 20	.DHCP.Leases.And.the.``client``.
55e0	74 6f 20 72 65 63 65 69 76 65 20 61 6e 20 49 50 76 36 20 61 64 64 72 65 73 73 20 77 69 74 68 20	to.receive.an.IPv6.address.with.
5600	73 74 61 74 65 6c 65 73 73 20 61 75 74 6f 63 6f 6e 66 69 67 2e 00 41 6e 73 69 62 6c 65 20 45 78	stateless.autoconfig..Ansible.Ex
5620	61 6d 70 6c 65 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 41 6e 73 69 62 6c 65 20 65 78 61	ample.topology.image.Ansible.exa
5640	6d 70 6c 65 00 41 6e 79 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 72 65 6c 61 74 65 64 20 74 6f 20	mple.Any.information.related.to.
5660	61 20 56 52 46 20 69 73 20 6e 6f 74 20 65 78 63 68 61 6e 67 65 64 20 62 65 74 77 65 65 6e 20 64	a.VRF.is.not.exchanged.between.d
5680	65 76 69 63 65 73 20 2d 6f 72 20 69 6e 20 74 68 65 20 73 61 6d 65 20 64 65 76 69 63 65 2d 20 62	evices.-or.in.the.same.device-.b
56a0	79 20 64 65 66 61 75 6c 74 2c 20 74 68 69 73 20 69 73 20 61 20 74 65 63 68 6e 69 71 75 65 20 63	y.default,.this.is.a.technique.c
56c0	61 6c 6c 65 64 20 2a 2a 56 52 46 2d 4c 69 74 65 2a 2a 2e 00 41 70 70 65 6e 64 69 78 2d 41 00 41	alled.**VRF-Lite**..Appendix-A.A
56e0	70 70 65 6e 64 69 78 2d 42 00 41 73 20 61 20 72 65 6d 69 6e 64 65 72 2c 20 6f 6e 6c 79 20 61 64	ppendix-B.As.a.reminder,.only.ad
5700	76 65 72 74 69 73 65 20 72 6f 75 74 65 73 20 74 68 61 74 20 79 6f 75 20 61 72 65 20 74 68 65 20	vertise.routes.that.you.are.the.
5720	64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 20 66 6f 72 2e 20 54 68 69 73 20 69 73 20 77 68 79 20	default.router.for..This.is.why.
5740	77 65 20 61 72 65 20 4e 4f 54 20 61 6e 6e 6f 75 6e 63 69 6e 67 20 74 68 65 20 31 39 32 2e 30 2e	we.are.NOT.announcing.the.192.0.
5760	32 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2c 20 62 65 63 61 75 73 65 20 69 66 20 74 68 61 74 20	2.0/24.network,.because.if.that.
5780	77 61 73 20 61 6e 6e 6f 75 6e 63 65 64 20 69 6e 74 6f 20 4f 53 50 46 2c 20 74 68 65 20 6f 74 68	was.announced.into.OSPF,.the.oth
57a0	65 72 20 72 6f 75 74 65 72 73 20 77 6f 75 6c 64 20 74 72 79 20 74 6f 20 63 6f 6e 6e 65 63 74 20	er.routers.would.try.to.connect.
57c0	74 6f 20 74 68 61 74 20 6e 65 74 77 6f 72 6b 20 6f 76 65 72 20 61 20 74 75 6e 6e 65 6c 20 74 68	to.that.network.over.a.tunnel.th
57e0	61 74 20 63 6f 6e 6e 65 63 74 73 20 74 6f 20 74 68 61 74 20 6e 65 74 77 6f 72 6b 21 00 41 73 20	at.connects.to.that.network!.As.
5800	77 65 20 63 61 6e 20 73 65 65 20 65 76 65 6e 20 69 66 20 62 6f 74 68 20 56 52 46 20 4c 41 4e 31	we.can.see.even.if.both.VRF.LAN1
5820	20 61 6e 64 20 4c 41 4e 32 20 68 61 73 20 74 68 65 20 73 61 6d 65 20 69 6d 70 6f 72 74 20 52 54	.and.LAN2.has.the.same.import.RT
5840	73 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 73 65 6c 65 63 74 20 77 68 69 63 68 20 72 6f	s.we.are.able.to.select.which.ro
5860	75 74 65 73 20 61 72 65 20 65 66 66 65 63 74 69 76 65 6c 79 20 69 6d 70 6f 72 74 65 64 20 61 6e	utes.are.effectively.imported.an
5880	64 20 69 6e 73 74 61 6c 6c 65 64 2e 00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 69 6e 20 74 68	d.installed..As.we.can.see.in.th
58a0	65 20 42 47 50 20 74 61 62 6c 65 20 61 6e 79 20 69 6d 70 6f 72 74 65 64 20 72 6f 75 74 65 20 68	e.BGP.table.any.imported.route.h
58c0	61 73 20 62 65 65 6e 20 69 6e 6a 65 63 74 65 64 20 77 69 74 68 20 61 20 22 40 22 20 66 6f 6c 6c	as.been.injected.with.a."@".foll
58e0	6f 77 65 64 20 62 79 20 74 68 65 20 56 50 4e 20 69 64 3b 20 49 6e 20 74 68 65 20 72 6f 75 74 69	owed.by.the.VPN.id;.In.the.routi
5900	6e 67 20 74 61 62 6c 65 20 6f 66 20 74 68 65 20 56 52 46 2c 20 69 66 20 74 68 65 20 72 6f 75 74	ng.table.of.the.VRF,.if.the.rout
5920	65 20 77 61 73 20 69 6e 73 74 61 6c 6c 65 64 2c 20 77 65 20 63 61 6e 20 73 65 65 20 2d 62 65 74	e.was.installed,.we.can.see.-bet
5940	77 65 65 6e 20 72 6f 75 6e 64 20 62 72 61 63 6b 65 74 73 2d 20 74 68 65 20 65 78 70 6f 72 74 65	ween.round.brackets-.the.exporte
5960	64 20 56 52 46 20 74 61 62 6c 65 2e 00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 74 68 69 73 20	d.VRF.table..As.we.can.see.this.
5980	69 73 20 75 6e 70 72 61 63 74 69 63 61 6c 2e 00 41 73 20 77 65 20 6b 6e 6f 77 20 74 68 65 20 6d	is.unpractical..As.we.know.the.m
59a0	61 69 6e 20 61 73 73 75 6d 70 74 69 6f 6e 20 6f 66 20 4c 33 56 50 4e 20 e2 80 9c 48 75 62 20 61	ain.assumption.of.L3VPN....Hub.a
59c0	6e 64 20 53 70 6f 6b 65 e2 80 9d 20 69 73 2c 20 74 68 61 74 20 74 68 65 20 74 72 61 66 66 69 63	nd.Spoke....is,.that.the.traffic
59e0	20 62 65 74 77 65 65 6e 20 73 70 6f 6b 65 73 20 68 61 76 65 20 74 6f 20 70 61 73 73 20 76 69 61	.between.spokes.have.to.pass.via
5a00	20 68 75 62 2c 20 69 6e 20 6f 75 72 20 73 63 65 6e 61 72 69 6f 20 56 79 4f 53 2d 50 45 32 20 69	.hub,.in.our.scenario.VyOS-PE2.i
5a20	73 20 74 68 65 20 48 75 62 20 50 45 20 61 6e 64 20 74 68 65 20 56 79 4f 53 2d 43 45 31 2d 48 55	s.the.Hub.PE.and.the.VyOS-CE1-HU
5a40	42 20 69 73 20 74 68 65 20 63 65 6e 74 72 61 6c 20 63 75 73 74 6f 6d 65 72 20 6f 66 66 69 63 65	B.is.the.central.customer.office
5a60	20 64 65 76 69 63 65 20 74 68 61 74 20 69 73 20 72 65 73 70 6f 6e 73 69 62 6c 65 20 66 6f 72 20	.device.that.is.responsible.for.
5a80	63 6f 6e 74 72 6f 6c 6c 69 6e 67 20 61 63 63 65 73 73 20 62 65 74 77 65 65 6e 20 61 6c 6c 20 73	controlling.access.between.all.s
5aa0	70 6f 6b 65 73 20 61 6e 64 20 61 6e 6e 6f 75 6e 63 69 6e 67 20 69 74 73 20 6e 65 74 77 6f 72 6b	pokes.and.announcing.its.network
5ac0	20 70 72 65 66 69 78 65 73 20 28 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 29 2e 20 56 79 4f 53 2d	.prefixes.(10.0.0.100/32)..VyOS-
5ae0	50 45 32 20 68 61 73 20 74 68 65 20 6d 61 69 6e 20 56 52 46 20 28 69 74 73 20 6e 61 6d 65 20 69	PE2.has.the.main.VRF.(its.name.i
5b00	73 20 42 4c 55 45 5f 48 55 42 29 2c 20 69 74 73 20 6f 77 6e 20 52 6f 75 74 65 2d 44 69 73 74 69	s.BLUE_HUB),.its.own.Route-Disti
5b20	6e 67 75 69 73 68 65 72 28 52 44 29 20 61 6e 64 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 69 6d	nguisher(RD).and.route-target.im
5b40	70 6f 72 74 2f 65 78 70 6f 72 74 20 6c 69 73 74 73 2e 20 4d 75 6c 74 69 70 72 6f 74 6f 63 6f 6c	port/export.lists..Multiprotocol
5b60	2d 42 47 50 28 4d 50 2d 42 47 50 29 20 64 65 6c 69 76 65 72 73 20 4c 33 56 50 4e 20 72 65 6c 61	-BGP(MP-BGP).delivers.L3VPN.rela
5b80	74 65 64 20 63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 74 6f	ted.control-plane.information.to
5ba0	20 74 68 65 20 6e 6f 64 65 73 20 61 63 72 6f 73 73 20 6e 65 74 77 6f 72 6b 20 77 68 65 72 65 20	.the.nodes.across.network.where.
5bc0	50 45 73 20 53 70 6f 6b 65 73 20 69 6d 70 6f 72 74 20 74 68 65 20 72 6f 75 74 65 2d 74 61 72 67	PEs.Spokes.import.the.route-targ
5be0	65 74 20 36 30 35 33 35 3a 31 30 33 30 20 28 74 68 69 73 20 69 73 20 65 78 70 6f 72 74 20 72 6f	et.60535:1030.(this.is.export.ro
5c00	75 74 65 2d 74 61 72 67 65 74 20 6f 66 20 76 72 66 20 42 4c 55 45 5f 48 55 42 29 20 61 6e 64 20	ute-target.of.vrf.BLUE_HUB).and.
5c20	65 78 70 6f 72 74 20 69 74 73 20 6f 77 6e 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 36 30 35 33	export.its.own.route-target.6053
5c40	35 3a 31 30 31 31 28 74 68 69 73 20 69 73 20 76 72 66 20 42 4c 55 45 5f 53 50 4f 4b 45 20 65 78	5:1011(this.is.vrf.BLUE_SPOKE.ex
5c60	70 6f 72 74 20 72 6f 75 74 65 2d 74 61 72 67 65 74 29 2e 20 54 68 65 72 65 66 6f 72 65 2c 20 74	port.route-target)..Therefore,.t
5c80	68 65 20 43 75 73 74 6f 6d 65 72 20 65 64 67 65 20 6e 6f 64 65 73 20 63 61 6e 20 6f 6e 6c 79 20	he.Customer.edge.nodes.can.only.
5ca0	6c 65 61 72 6e 20 74 68 65 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 6f 66 20 74 68	learn.the.network.prefixes.of.th
5cc0	65 20 48 55 42 20 73 69 74 65 20 5b 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 5d 2e 20 46 6f 72 20	e.HUB.site.[10.0.0.100/32]..For.
5ce0	74 68 69 73 20 65 78 61 6d 70 6c 65 20 56 79 4f 53 2d 43 45 31 20 68 61 73 20 6e 65 74 77 6f 72	this.example.VyOS-CE1.has.networ
5d00	6b 20 70 72 65 66 69 78 65 73 20 5b 31 30 2e 30 2e 30 2e 38 30 2f 33 32 5d 20 2f 20 56 79 4f 53	k.prefixes.[10.0.0.80/32]./.VyOS
5d20	2d 43 45 32 20 68 61 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 5b 31 30 2e 30 2e	-CE2.has.network.prefixes.[10.0.
5d40	30 2e 39 30 2f 33 32 5d 2e 20 52 6f 75 74 65 2d 52 65 66 6c 65 63 74 6f 72 20 64 65 76 69 63 65	0.90/32]..Route-Reflector.device
5d60	73 20 56 79 4f 53 2d 52 52 31 20 61 6e 64 20 56 79 4f 53 2d 52 52 32 20 61 72 65 20 75 73 65 64	s.VyOS-RR1.and.VyOS-RR2.are.used
5d80	20 74 6f 20 73 69 6d 70 6c 69 66 79 20 6e 65 74 77 6f 72 6b 20 72 6f 75 74 65 73 20 65 78 63 68	.to.simplify.network.routes.exch
5da0	61 6e 67 65 20 61 6e 64 20 6d 69 6e 69 6d 69 7a 65 20 69 42 47 50 20 70 65 65 72 69 6e 67 73 20	ange.and.minimize.iBGP.peerings.
5dc0	62 65 74 77 65 65 6e 20 64 65 76 69 63 65 73 2e 00 41 73 20 77 65 20 73 65 65 20 73 68 61 70 65	between.devices..As.we.see.shape
5de0	72 20 69 73 20 77 6f 72 6b 69 6e 67 20 61 6e 64 20 74 68 65 20 74 72 61 66 66 69 63 20 77 69 6c	r.is.working.and.the.traffic.wil
5e00	6c 20 6e 6f 74 20 77 6f 72 6b 20 6f 76 65 72 20 35 20 4d 62 69 74 2f 73 2e 00 41 73 73 69 67 6e	l.not.work.over.5.Mbit/s..Assign
5e20	20 65 78 74 65 72 6e 61 6c 20 49 50 20 61 64 64 72 65 73 73 65 73 00 41 73 73 75 6d 69 6e 67 20	.external.IP.addresses.Assuming.
5e40	74 68 65 20 70 69 6e 67 73 20 61 72 65 20 73 75 63 63 65 73 73 66 75 6c 2c 20 79 6f 75 20 6e 65	the.pings.are.successful,.you.ne
5e60	65 64 20 74 6f 20 61 64 64 20 73 6f 6d 65 20 44 4e 53 20 73 65 72 76 65 72 73 2e 20 53 6f 6d 65	ed.to.add.some.DNS.servers..Some
5e80	20 6f 70 74 69 6f 6e 73 3a 00 41 74 20 74 68 65 20 66 69 72 73 74 20 73 74 65 70 20 77 65 20 6e	.options:.At.the.first.step.we.n
5ea0	65 65 64 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 49 50 2f 4d 50 4c 53 20 62 61 63	eed.to.configure.the.IP/MPLS.bac
5ec0	6b 62 6f 6e 65 20 6e 65 74 77 6f 72 6b 20 75 73 69 6e 67 20 4f 53 50 46 20 61 73 20 49 47 50 20	kbone.network.using.OSPF.as.IGP.
5ee0	70 72 6f 74 6f 63 6f 6c 20 61 6e 64 20 4c 44 50 20 61 73 20 6c 61 62 65 6c 2d 73 77 69 74 63 68	protocol.and.LDP.as.label-switch
5f00	69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 66 6f 72 20 74 68 65 20 62 61 73 65 20 63 6f 6e 6e 65 63	ing.protocol.for.the.base.connec
5f20	74 69 76 69 74 79 20 62 65 74 77 65 65 6e 20 2a 2a 50 2a 2a 20 28 72 6f 76 69 64 65 72 29 2c 20	tivity.between.**P**.(rovider),.
5f40	2a 2a 50 2a 2a 20 28 72 6f 76 69 64 65 72 29 20 2a 2a 45 2a 2a 20 28 64 67 65 29 20 61 6e 64 20	**P**.(rovider).**E**.(dge).and.
5f60	2a 2a 52 2a 2a 20 28 6f 75 74 65 29 20 2a 2a 52 2a 2a 20 28 65 66 6c 65 63 74 6f 72 29 20 6e 6f	**R**.(oute).**R**.(eflector).no
5f80	64 65 73 3a 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 6e 6f 77 20 6e 65 65 64	des:.At.this.point,.you.now.need
5fa0	20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 58 20 6c 69 6e 6b 20 62 65 74 77 65 65 6e 20 61 6c	.to.create.the.X.link.between.al
5fc0	6c 20 66 6f 75 72 20 72 6f 75 74 65 72 73 2e 20 55 73 65 20 61 6d 64 69 66 66 65 72 65 6e 74 20	l.four.routers..Use.amdifferent.
5fe0	2f 33 30 20 66 6f 72 20 65 61 63 68 20 6c 69 6e 6b 2e 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74	/30.for.each.link..At.this.point
6000	2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 53 53 48 20 69 6e 74 6f	,.you.should.be.able.to.SSH.into
6020	20 62 6f 74 68 20 6f 66 20 74 68 65 6d 2c 20 61 6e 64 20 77 69 6c 6c 20 6e 6f 20 6c 6f 6e 67 65	.both.of.them,.and.will.no.longe
6040	72 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 63 6f 6e 73 6f 6c 65 20 28 75 6e	r.need.access.to.the.console.(un
6060	6c 65 73 73 20 79 6f 75 20 62 72 65 61 6b 20 73 6f 6d 65 74 68 69 6e 67 21 29 00 41 74 20 74 68	less.you.break.something!).At.th
6080	69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20	is.point,.you.should.be.able.to.
60a0	73 65 65 20 62 6f 74 68 20 49 50 20 61 64 64 72 65 73 73 65 73 20 77 68 65 6e 20 79 6f 75 20 72	see.both.IP.addresses.when.you.r
60c0	75 6e 20 60 60 73 68 6f 77 20 69 6e 74 65 72 66 61 63 65 73 60 60 5c 20 2c 20 61 6e 64 20 60 60	un.``show.interfaces``\.,.and.``
60e0	73 68 6f 77 20 76 72 72 70 60 60 20 73 68 6f 75 6c 64 20 73 68 6f 77 20 62 6f 74 68 20 69 6e 74	show.vrrp``.should.show.both.int
6100	65 72 66 61 63 65 73 20 69 6e 20 4d 41 53 54 45 52 20 73 74 61 74 65 20 28 61 6e 64 20 53 4c 41	erfaces.in.MASTER.state.(and.SLA
6120	56 45 20 73 74 61 74 65 20 6f 6e 20 72 6f 75 74 65 72 32 29 2e 00 41 74 20 74 68 69 73 20 70 6f	VE.state.on.router2)..At.this.po
6140	69 6e 74 2c 20 79 6f 75 72 20 56 79 4f 53 20 69 6e 73 74 61 6c 6c 20 73 68 6f 75 6c 64 20 68 61	int,.your.VyOS.install.should.ha
6160	76 65 20 66 75 6c 6c 20 49 50 76 36 2c 20 62 75 74 20 6e 6f 77 20 79 6f 75 72 20 4c 41 4e 20 64	ve.full.IPv6,.but.now.your.LAN.d
6180	65 76 69 63 65 73 20 6e 65 65 64 20 61 63 63 65 73 73 2e 00 41 74 20 74 68 69 73 20 73 74 65 70	evices.need.access..At.this.step
61a0	20 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 65 6e 61 62 6c 65 20 69 42 47 50 20 70 72 6f	.we.are.going.to.enable.iBGP.pro
61c0	74 6f 63 6f 6c 20 6f 6e 20 4d 50 4c 53 20 6e 6f 64 65 73 20 61 6e 64 20 52 6f 75 74 65 20 52 65	tocol.on.MPLS.nodes.and.Route.Re
61e0	66 6c 65 63 74 6f 72 73 20 28 74 77 6f 20 72 6f 75 74 65 72 73 20 66 6f 72 20 72 65 64 75 6e 64	flectors.(two.routers.for.redund
6200	61 6e 63 79 29 20 74 68 61 74 20 77 69 6c 6c 20 64 65 6c 69 76 65 72 20 49 50 76 34 20 56 50 4e	ancy).that.will.deliver.IPv4.VPN
6220	20 28 4c 33 56 50 4e 29 20 72 6f 75 74 65 73 20 62 65 74 77 65 65 6e 20 74 68 65 6d 3a 00 41 7a	.(L3VPN).routes.between.them:.Az
6240	75 72 65 20 41 53 4e 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 31 20 70 75 62	ure.ASN.Azure.VNet.Gateway.1.pub
6260	6c 69 63 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 32 20 70 75 62 6c	lic.IP.Azure.VNet.Gateway.2.publ
6280	69 63 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 42 47 50 20 49 50 00	ic.IP.Azure.VNet.Gateway.BGP.IP.
62a0	41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75	Azure.VNet.Gateway.public.IP.Azu
62c0	72 65 20 61 64 64 72 65 73 73 20 73 70 61 63 65 00 42 47 50 00 42 47 50 20 49 50 76 36 20 75 6e	re.address.space.BGP.BGP.IPv6.un
62e0	6e 75 6d 62 65 72 65 64 20 77 69 74 68 20 65 78 74 65 6e 64 65 64 20 6e 65 78 74 68 6f 70 00 42	numbered.with.extended.nexthop.B
6300	47 50 20 69 73 20 61 6e 20 65 78 74 72 65 6d 65 6c 79 20 63 6f 6d 70 6c 65 78 20 6e 65 74 77 6f	GP.is.an.extremely.complex.netwo
6320	72 6b 20 70 72 6f 74 6f 63 6f 6c 2e 20 41 6e 20 65 78 61 6d 70 6c 65 20 69 73 20 70 72 6f 76 69	rk.protocol..An.example.is.provi
6340	64 65 64 20 68 65 72 65 2e 00 42 4c 55 45 5f 48 55 42 00 42 4c 55 45 5f 53 50 4f 4b 45 00 42 61	ded.here..BLUE_HUB.BLUE_SPOKE.Ba
6360	73 65 64 20 6f 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 61 6e 6f	sed.on.the.previous.example,.ano
6380	74 68 65 72 20 72 75 6c 65 20 66 6f 72 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 74 68 65 20 73	ther.rule.for.traffic.from.the.s
63a0	65 63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 33 20 63 61 6e 20 62 65 20 61 64 64 65	econd.interface.eth3.can.be.adde
63c0	64 20 74 6f 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 2e 20 48 6f 77 65 76 65 72 2c	d.to.the.load.balancer..However,
63e0	20 74 72 61 66 66 69 63 20 6d 65 61 6e 74 20 74 6f 20 66 6c 6f 77 20 62 65 74 77 65 65 6e 20 74	.traffic.meant.to.flow.between.t
6400	68 65 20 4c 41 4e 20 73 75 62 6e 65 74 73 20 77 69 6c 6c 20 62 65 20 73 65 6e 74 20 74 6f 20 65	he.LAN.subnets.will.be.sent.to.e
6420	74 68 30 20 61 6e 64 20 65 74 68 31 20 61 73 20 77 65 6c 6c 2e 20 54 6f 20 70 72 65 76 65 6e 74	th0.and.eth1.as.well..To.prevent
6440	20 74 68 69 73 2c 20 61 6e 6f 74 68 65 72 20 72 75 6c 65 20 69 73 20 72 65 71 75 69 72 65 64 2e	.this,.another.rule.is.required.
6460	20 54 68 69 73 20 72 75 6c 65 20 65 78 63 6c 75 64 65 73 20 74 72 61 66 66 69 63 20 62 65 74 77	.This.rule.excludes.traffic.betw
6480	65 65 6e 20 74 68 65 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20 66 72 6f 6d 20 74 68 65 20 6c	een.the.local.subnets.from.the.l
64a0	6f 61 64 20 62 61 6c 61 6e 63 65 72 2e 20 49 74 20 61 6c 73 6f 20 65 78 63 6c 75 64 65 73 20 6c	oad.balancer..It.also.excludes.l
64c0	6f 63 61 6c 6c 79 2d 73 6f 75 72 63 65 73 20 70 61 63 6b 65 74 73 20 28 72 65 71 75 69 72 65 64	ocally-sources.packets.(required
64e0	20 66 6f 72 20 77 65 62 20 63 61 63 68 69 6e 67 20 77 69 74 68 20 6c 6f 61 64 20 62 61 6c 61 6e	.for.web.caching.with.load.balan
6500	63 69 6e 67 29 2e 20 65 74 68 2b 20 69 73 20 75 73 65 64 20 61 73 20 61 6e 20 61 6c 69 61 73 20	cing)..eth+.is.used.as.an.alias.
6520	74 68 61 74 20 72 65 66 65 72 73 20 74 6f 20 61 6c 6c 20 65 74 68 65 72 6e 65 74 20 69 6e 74 65	that.refers.to.all.ethernet.inte
6540	72 66 61 63 65 73 3a 00 42 61 73 69 63 20 46 69 72 65 77 61 6c 6c 00 42 61 73 69 63 20 53 65 74	rfaces:.Basic.Firewall.Basic.Set
6560	75 70 20 28 76 69 61 20 63 6f 6e 73 6f 6c 65 29 00 42 61 73 69 6b 20 63 6f 6e 66 69 67 75 72 61	up.(via.console).Basik.configura
6580	74 69 6f 6e 20 6f 66 20 74 68 65 20 61 6e 73 69 62 6c 65 2e 63 66 67 3a 00 42 65 66 6f 72 65 20	tion.of.the.ansible.cfg:.Before.
65a0	74 68 65 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 30 20 6f 6e 20 72 6f 75 74 65 72 20 56 79 4f	the.interface.eth0.on.router.VyO
65c0	53 33 00 42 6f 6e 64 69 6e 67 20 6f 6e 20 48 61 72 64 77 61 72 65 20 52 6f 75 74 65 72 00 42 6f	S3.Bonding.on.Hardware.Router.Bo
65e0	74 68 20 4c 41 4e 73 20 68 61 76 65 20 74 6f 20 62 65 20 61 62 6c 65 20 74 6f 20 72 6f 75 74 65	th.LANs.have.to.be.able.to.route
6600	20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 2c 20 62 6f 74 68 20 77 69 6c 6c 20 68	.between.each.other,.both.will.h
6620	61 76 65 20 6d 61 6e 61 67 65 64 20 64 65 76 69 63 65 73 20 74 68 72 6f 75 67 68 20 61 20 64 65	ave.managed.devices.through.a.de
6640	64 69 63 61 74 65 64 20 6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 62	dicated.management.network.and.b
6660	6f 74 68 20 77 69 6c 6c 20 6e 65 65 64 20 49 6e 74 65 72 6e 65 74 20 61 63 63 65 73 73 20 79 65	oth.will.need.Internet.access.ye
6680	74 20 74 68 65 20 4c 41 4e 32 20 77 69 6c 6c 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 73	t.the.LAN2.will.need.access.to.s
66a0	6f 6d 65 20 73 65 74 20 6f 66 20 6f 75 74 73 69 64 65 20 6e 65 74 77 6f 72 6b 73 2c 20 6e 6f 74	ome.set.of.outside.networks,.not
66c0	20 61 6c 6c 2e 20 54 68 65 20 6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f 72 6b 20 77 69 6c	.all..The.management.network.wil
66e0	6c 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 62 6f 74 68 20 4c 41 4e 73 20 62 75 74 20 63	l.need.access.to.both.LANs.but.c
6700	61 6e 6e 6f 74 20 68 61 76 65 20 61 63 63 65 73 73 20 74 6f 2f 66 72 6f 6d 20 74 68 65 20 6f 75	annot.have.access.to/from.the.ou
6720	74 73 69 64 65 2e 00 42 72 61 6e 63 68 00 42 79 20 64 65 66 61 75 6c 74 2c 20 69 70 74 61 62 6c	tside..Branch.By.default,.iptabl
6740	65 73 20 64 6f 65 73 20 6e 6f 74 20 61 6c 6c 6f 77 20 74 72 61 66 66 69 63 20 66 6f 72 20 65 73	es.does.not.allow.traffic.for.es
6760	74 61 62 6c 69 73 68 65 64 20 73 65 73 73 69 6f 6e 73 20 74 6f 20 72 65 74 75 72 6e 2c 20 73 6f	tablished.sessions.to.return,.so
6780	20 79 6f 75 20 6d 75 73 74 20 65 78 70 6c 69 63 69 74 6c 79 20 61 6c 6c 6f 77 20 74 68 69 73 2e	.you.must.explicitly.allow.this.
67a0	20 49 20 64 6f 20 74 68 69 73 20 62 79 20 61 64 64 69 6e 67 20 74 77 6f 20 72 75 6c 65 73 20 74	.I.do.this.by.adding.two.rules.t
67c0	6f 20 65 76 65 72 79 20 72 75 6c 65 73 65 74 2e 20 31 20 61 6c 6c 6f 77 73 20 65 73 74 61 62 6c	o.every.ruleset..1.allows.establ
67e0	69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20 73 74 61 74 65 20 70 61 63 6b 65 74 73 20	ished.and.related.state.packets.
6800	74 68 72 6f 75 67 68 20 61 6e 64 20 72 75 6c 65 20 32 20 64 72 6f 70 73 20 61 6e 64 20 6c 6f 67	through.and.rule.2.drops.and.log
6820	73 20 69 6e 76 61 6c 69 64 20 73 74 61 74 65 20 70 61 63 6b 65 74 73 2e 20 57 65 20 70 6c 61 63	s.invalid.state.packets..We.plac
6840	65 20 74 68 65 20 65 73 74 61 62 6c 69 73 68 65 64 2f 72 65 6c 61 74 65 64 20 72 75 6c 65 20 61	e.the.established/related.rule.a
6860	74 20 74 68 65 20 74 6f 70 20 62 65 63 61 75 73 65 20 74 68 65 20 76 61 73 74 20 6d 61 6a 6f 72	t.the.top.because.the.vast.major
6880	69 74 79 20 6f 66 20 74 72 61 66 66 69 63 20 6f 6e 20 61 20 6e 65 74 77 6f 72 6b 20 69 73 20 65	ity.of.traffic.on.a.network.is.e
68a0	73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 74 68 65 20 69 6e 76 61 6c 69 64 20 72 75 6c 65 20	stablished.and.the.invalid.rule.
68c0	74 6f 20 70 72 65 76 65 6e 74 20 69 6e 76 61 6c 69 64 20 73 74 61 74 65 20 70 61 63 6b 65 74 73	to.prevent.invalid.state.packets
68e0	20 66 72 6f 6d 20 6d 69 73 74 61 6b 65 6e 6c 79 20 62 65 69 6e 67 20 6d 61 74 63 68 65 64 20 61	.from.mistakenly.being.matched.a
6900	67 61 69 6e 73 74 20 6f 74 68 65 72 20 72 75 6c 65 73 2e 20 48 61 76 69 6e 67 20 74 68 65 20 6d	gainst.other.rules..Having.the.m
6920	6f 73 74 20 6d 61 74 63 68 65 64 20 72 75 6c 65 20 6c 69 73 74 65 64 20 66 69 72 73 74 20 72 65	ost.matched.rule.listed.first.re
6940	64 75 63 65 73 20 43 50 55 20 6c 6f 61 64 20 69 6e 20 68 69 67 68 20 76 6f 6c 75 6d 65 20 65 6e	duces.CPU.load.in.high.volume.en
6960	76 69 72 6f 6e 6d 65 6e 74 73 2e 20 4e 6f 74 65 3a 20 49 20 68 61 76 65 20 66 69 6c 65 64 20 61	vironments..Note:.I.have.filed.a
6980	20 62 75 67 20 74 6f 20 68 61 76 65 20 74 68 69 73 20 61 64 64 65 64 20 61 73 20 61 20 64 65 66	.bug.to.have.this.added.as.a.def
69a0	61 75 6c 74 20 61 63 74 69 6f 6e 20 61 73 20 77 65 6c 6c 2e 00 43 45 20 48 75 62 20 64 65 76 69	ault.action.as.well..CE.Hub.devi
69c0	63 65 00 43 53 34 20 2d 3e 20 43 53 35 00 43 65 6e 74 72 61 6c 00 43 68 65 63 6b 20 61 6c 6c 20	ce.CS4.->.CS5.Central.Check.all.
69e0	70 6f 73 73 69 62 6c 65 20 73 65 74 74 69 6e 67 73 20 60 68 65 72 65 20 3c 68 74 74 70 73 3a 2f	possible.settings.`here.<https:/
6a00	2f 67 69 74 68 75 62 2e 63 6f 6d 2f 74 68 72 65 65 72 69 6e 67 73 2f 6f 70 65 6e 76 70 6e 2d 61	/github.com/threerings/openvpn-a
6a20	75 74 68 2d 6c 64 61 70 2f 62 6c 6f 62 2f 6d 61 73 74 65 72 2f 61 75 74 68 2d 6c 64 61 70 2e 63	uth-ldap/blob/master/auth-ldap.c
6a40	6f 6e 66 3e 60 5f 00 43 68 65 63 6b 20 74 68 65 20 42 47 50 20 56 52 46 20 74 61 62 6c 65 20 61	onf>`_.Check.the.BGP.VRF.table.a
6a60	6e 64 20 76 65 72 69 66 79 20 69 66 20 74 68 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 61	nd.verify.if.the.static.routes.a
6a80	72 65 20 69 6e 6a 65 63 74 65 64 20 73 68 6f 77 69 6e 67 20 74 68 65 20 63 6f 72 72 65 63 74 20	re.injected.showing.the.correct.
6aa0	6e 65 78 74 2d 68 6f 70 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 43 68 65 63 6b 20 74 68 65 20	next-hop.information..Check.the.
6ac0	72 65 73 75 6c 74 00 43 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 20 6f 6e 20 74 68 65 20 76	result.Check.the.result.on.the.v
6ae0	79 6f 73 31 30 20 72 6f 75 74 65 72 3a 00 43 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 2e 00	yos10.router:.Check.the.result..
6b00	43 68 65 63 6b 20 74 68 65 20 76 65 72 73 69 6f 6e 3a 00 43 68 65 63 6b 69 6e 67 20 74 68 65 20	Check.the.version:.Checking.the.
6b20	72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6f 66 20 74 68 65 20 56 52 46 20 73 68 6f 75 6c 64 20	routing.table.of.the.VRF.should.
6b40	72 65 76 65 61 6c 20 62 6f 74 68 20 73 74 61 74 69 63 20 61 6e 64 20 63 6f 6e 6e 65 63 74 65 64	reveal.both.static.and.connected
6b60	20 65 6e 74 72 69 65 73 20 61 63 74 69 76 65 2e 20 41 20 50 49 4e 47 20 74 65 73 74 20 62 65 74	.entries.active..A.PING.test.bet
6b80	77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 61 6e 64 20 72 65 6d 6f 74 65 20 72 6f 75 74 65 72 20	ween.the.Core.and.remote.router.
6ba0	69 73 20 61 20 77 61 79 20 74 6f 20 76 61 6c 69 64 61 74 65 20 63 6f 6e 6e 65 63 74 69 76 69 74	is.a.way.to.validate.connectivit
6bc0	79 20 77 69 74 68 69 6e 20 74 68 65 20 56 52 46 2e 00 43 68 65 63 6b 69 6e 67 20 74 68 72 6f 75	y.within.the.VRF..Checking.throu
6be0	67 68 20 6f 70 2d 6d 6f 64 65 20 63 6f 6d 6d 61 6e 64 73 00 43 69 73 63 6f 00 43 69 73 63 6f 20	gh.op-mode.commands.Cisco.Cisco.
6c00	56 50 43 20 43 72 6f 73 73 63 6f 6e 6e 65 63 74 20 2d 20 50 6f 72 74 73 20 33 39 20 61 6e 64 20	VPC.Crossconnect.-.Ports.39.and.
6c20	34 30 20 62 6f 6e 64 65 64 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 73 77 69 74 63 68 00 43 6c	40.bonded.between.each.switch.Cl
6c40	61 6d 70 20 74 68 65 20 56 54 49 27 73 20 4d 53 53 20 74 6f 20 31 33 35 30 20 74 6f 20 61 76 6f	amp.the.VTI's.MSS.to.1350.to.avo
6c60	69 64 20 50 4d 54 55 20 62 6c 61 63 6b 68 6f 6c 65 73 2e 00 43 6c 69 65 6e 74 00 43 6c 69 65 6e	id.PMTU.blackholes..Client.Clien
6c80	74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 62 65	t.configuration.Communication.be
6ca0	74 77 65 65 6e 20 70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20 73 68 6f 75 6c 64 20 62 65 20	tween.private.subnets.should.be.
6cc0	64 6f 6e 65 20 74 68 72 6f 75 67 68 20 69 70 73 65 63 20 74 75 6e 6e 65 6c 20 77 69 74 68 6f 75	done.through.ipsec.tunnel.withou
6ce0	74 20 6e 61 74 2e 00 43 6f 6e 63 6c 75 73 69 6f 6e 73 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e	t.nat..Conclusions.Configuration
6d00	00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27 4e 4d 50 27 00 43 6f 6e 66 69 67 75 72 61 74 69	.Configuration.'NMP'.Configurati
6d20	6f 6e 20 27 56 79 4f 53 27 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27 64 63 73 70 27 20 61	on.'VyOS'.Configuration.'dcsp'.a
6d40	6e 64 20 73 68 61 70 65 72 20 75 73 69 6e 67 20 51 6f 53 00 43 6f 6e 66 69 67 75 72 61 74 69 6f	nd.shaper.using.QoS.Configuratio
6d60	6e 20 42 6c 75 65 70 72 69 6e 74 73 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 42 6c 75 65 70	n.Blueprints.Configuration.Bluep
6d80	72 69 6e 74 73 20 28 61 75 74 6f 74 65 73 74 29 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 56	rints.(autotest).Configuration.V
6da0	79 4f 53 20 61 73 20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 00 43 6f 6e 66 69 67 75 72 61 74	yOS.as.OpenVPN.Server.Configurat
6dc0	69 6f 6e 20 6f 66 20 62 61 73 69 63 20 66 69 72 65 77 61 6c 6c 20 69 6e 20 6f 6e 65 20 73 69 74	ion.of.basic.firewall.in.one.sit
6de0	65 2c 20 69 6e 20 6f 72 64 65 72 20 74 6f 3a 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 43	e,.in.order.to:.Configuration:.C
6e00	6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 00 43 6f 6e 66 69 67 75 72 65 20 57 69 72 65 67 75 61 72	onfigurations.Configure.Wireguar
6e20	64 00 43 6f 6e 66 69 67 75 72 65 20 61 20 56 54 49 20 77 69 74 68 20 61 20 64 75 6d 6d 79 20 49	d.Configure.a.VTI.with.a.dummy.I
6e40	50 20 61 64 64 72 65 73 73 00 43 6f 6e 66 69 67 75 72 65 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79	P.address.Configure.conntrack-sy
6e60	6e 63 20 61 6e 64 20 65 6e 61 62 6c 65 20 68 65 6c 70 65 72 73 00 43 6f 6e 66 69 67 75 72 65 20	nc.and.enable.helpers.Configure.
6e80	74 68 65 20 49 4b 45 20 61 6e 64 20 45 53 50 20 73 65 74 74 69 6e 67 73 20 74 6f 20 6d 61 74 63	the.IKE.and.ESP.settings.to.matc
6ea0	68 20 61 20 73 75 62 73 65 74 20 6f 66 20 74 68 6f 73 65 20 73 75 70 70 6f 72 74 65 64 20 62 79	h.a.subset.of.those.supported.by
6ec0	20 41 7a 75 72 65 3a 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 56 50 4e 20 74 75 6e 6e 65 6c	.Azure:.Configure.the.VPN.tunnel
6ee0	00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 56 50 4e 20 74 75 6e 6e 65 6c 73 00 43 6f 6e 66 69	.Configure.the.VPN.tunnels.Confi
6f00	67 75 72 65 20 74 68 65 20 57 41 4e 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 20 77 69 74 68 20	gure.the.WAN.load.balancer.with.
6f20	74 68 65 20 70 61 72 61 6d 65 74 65 72 73 20 64 65 73 63 72 69 62 65 64 20 61 62 6f 76 65 3a 00	the.parameters.described.above:.
6f40	43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 00 43 6f 6e 66	Configure.the.load.balancer.Conf
6f60	69 67 75 72 65 20 74 77 6f 20 56 54 49 73 20 77 69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 20 61	igure.two.VTIs.with.a.dummy.IP.a
6f80	64 64 72 65 73 73 20 65 61 63 68 00 43 6f 6e 66 69 67 75 72 65 20 79 6f 75 72 20 42 47 50 20 73	ddress.each.Configure.your.BGP.s
6fa0	65 74 74 69 6e 67 73 00 43 6f 6e 6e 74 72 61 63 6b 20 68 65 6c 70 65 72 20 6d 6f 64 75 6c 65 73	ettings.Conntrack.helper.modules
6fc0	20 61 72 65 20 65 6e 61 62 6c 65 64 20 62 79 20 64 65 66 61 75 6c 74 2c 20 62 75 74 20 74 68 65	.are.enabled.by.default,.but.the
6fe0	79 20 74 65 6e 64 20 74 6f 20 63 61 75 73 65 20 6d 6f 72 65 20 70 72 6f 62 6c 65 6d 73 20 74 68	y.tend.to.cause.more.problems.th
7000	61 6e 20 74 68 65 79 27 72 65 20 77 6f 72 74 68 20 69 6e 20 63 6f 6d 70 6c 65 78 20 6e 65 74 77	an.they're.worth.in.complex.netw
7020	6f 72 6b 73 2e 20 59 6f 75 20 63 61 6e 20 64 69 73 61 62 6c 65 20 61 6c 6c 20 6f 66 20 74 68 65	orks..You.can.disable.all.of.the
7040	6d 20 61 74 20 6f 6e 65 20 67 6f 2e 00 43 6f 6e 73 69 64 65 72 20 68 6f 77 20 74 6f 20 71 75 69	m.at.one.go..Consider.how.to.qui
7060	63 6b 6c 79 20 73 65 74 20 75 70 20 4e 4d 50 20 61 6e 64 20 56 79 4f 53 20 66 6f 72 20 6d 6f 6e	ckly.set.up.NMP.and.VyOS.for.mon
7080	69 74 6f 72 69 6e 67 2e 20 4e 4d 50 20 69 73 20 6d 75 6c 74 69 2d 76 65 6e 64 6f 72 20 6e 65 74	itoring..NMP.is.multi-vendor.net
70a0	77 6f 72 6b 20 6d 6f 6e 69 74 6f 72 69 6e 67 20 66 72 6f 6d 20 27 53 6f 6c 61 72 57 69 6e 64 73	work.monitoring.from.'SolarWinds
70c0	27 20 62 75 69 6c 74 20 74 6f 20 73 63 61 6c 65 20 61 6e 64 20 65 78 70 61 6e 64 20 77 69 74 68	'.built.to.scale.and.expand.with
70e0	20 74 68 65 20 6e 65 65 64 73 20 6f 66 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 2e 00 43 6f 72 65	.the.needs.of.your.network..Core
7100	00 43 6f 72 65 20 52 6f 75 74 65 72 00 43 6f 72 65 20 6e 65 74 77 6f 72 6b 00 43 72 65 61 74 65	.Core.Router.Core.network.Create
7120	20 45 78 70 6f 72 74 20 46 69 6c 74 65 72 00 43 72 65 61 74 65 20 49 6d 70 6f 72 74 20 46 69 6c	.Export.Filter.Create.Import.Fil
7140	74 65 72 00 43 72 65 61 74 65 20 56 52 52 50 20 73 79 6e 63 2d 67 72 6f 75 70 00 43 72 65 61 74	ter.Create.VRRP.sync-group.Creat
7160	65 20 61 20 4c 41 43 50 20 62 6f 6e 64 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f	e.a.LACP.bond.on.the.hardware.ro
7180	75 74 65 72 2e 20 57 65 20 61 72 65 20 61 73 73 75 6d 69 6e 67 20 74 68 61 74 20 65 74 68 30 20	uter..We.are.assuming.that.eth0.
71a0	61 6e 64 20 65 74 68 31 20 61 72 65 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 70 6f 72 74 20 38	and.eth1.are.connected.to.port.8
71c0	20 6f 6e 20 62 6f 74 68 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 74 68 61 74 20 74 68 6f 73	.on.both.switches,.and.that.thos
71e0	65 20 70 6f 72 74 73 20 61 72 65 20 63 6f 6e 66 69 67 75 72 65 64 20 61 73 20 61 20 50 6f 72 74	e.ports.are.configured.as.a.Port
7200	2d 43 68 61 6e 6e 65 6c 2e 00 43 72 65 61 74 65 20 61 6e 20 27 41 6c 6c 20 56 4c 41 4e 73 27 20	-Channel..Create.an.'All.VLANs'.
7220	6e 65 74 77 6f 72 6b 20 67 72 6f 75 70 2c 20 74 68 61 74 20 70 61 73 73 65 73 20 61 6c 6c 20 74	network.group,.that.passes.all.t
7240	72 75 6e 6b 65 64 20 74 72 61 66 66 69 63 20 74 68 72 6f 75 67 68 20 74 6f 20 74 68 65 20 56 4d	runked.traffic.through.to.the.VM
7260	2e 20 41 74 74 61 63 68 20 74 68 69 73 20 6e 65 74 77 6f 72 6b 20 67 72 6f 75 70 20 74 6f 20 72	..Attach.this.network.group.to.r
7280	6f 75 74 65 72 31 20 61 73 20 65 74 68 30 2e 00 43 72 65 61 74 65 20 69 6e 74 65 72 66 61 63 65	outer1.as.eth0..Create.interface
72a0	20 77 65 69 67 68 74 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 72 65 61	.weight.based.configuration.Crea
72c0	74 65 20 72 75 6c 65 20 6f 72 64 65 72 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f	te.rule.order.based.configuratio
72e0	6e 00 43 72 65 61 74 65 20 72 75 6c 65 20 6f 72 64 65 72 20 62 61 73 65 64 20 63 6f 6e 66 69 67	n.Create.rule.order.based.config
7300	75 72 61 74 69 6f 6e 20 77 69 74 68 20 6c 6f 77 20 73 70 65 65 64 20 73 65 63 6f 6e 64 61 72 79	uration.with.low.speed.secondary
7320	20 6c 69 6e 6b 00 43 72 65 61 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 68 72 6f 75	.link.Create.static.routes.throu
7340	67 68 20 74 68 65 20 74 77 6f 20 49 53 50 73 20 74 6f 77 61 72 64 73 20 74 68 65 20 70 69 6e 67	gh.the.two.ISPs.towards.the.ping
7360	20 74 61 72 67 65 74 73 20 61 6e 64 20 63 6f 6d 6d 69 74 20 74 68 65 20 63 68 61 6e 67 65 73 3a	.targets.and.commit.the.changes:
7380	00 43 72 65 61 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 6f 20 70 69 6e 67 20 74 61	.Create.static.routes.to.ping.ta
73a0	72 67 65 74 73 00 43 72 65 61 74 65 20 79 6f 75 72 20 72 6f 75 74 65 72 31 20 56 4d 2e 20 53 6f	rgets.Create.your.router1.VM..So
73c0	20 69 74 20 63 61 6e 20 77 69 74 68 73 74 61 6e 64 20 61 20 56 4d 20 48 6f 73 74 20 66 61 69 6c	.it.can.withstand.a.VM.Host.fail
73e0	69 6e 67 20 6f 72 20 61 20 6e 65 74 77 6f 72 6b 20 6c 69 6e 6b 20 66 61 69 6c 69 6e 67 2e 20 55	ing.or.a.network.link.failing..U
7400	73 69 6e 67 20 56 4d 77 61 72 65 2c 20 74 68 69 73 20 69 73 20 61 63 68 69 65 76 65 64 20 62 79	sing.VMware,.this.is.achieved.by
7420	20 65 6e 61 62 6c 69 6e 67 20 76 53 70 68 65 72 65 20 44 52 53 2c 20 76 53 70 68 65 72 65 20 41	.enabling.vSphere.DRS,.vSphere.A
7440	76 61 69 6c 61 62 69 6c 69 74 79 2c 20 61 6e 64 20 63 72 65 61 74 69 6e 67 20 61 20 44 69 73 74	vailability,.and.creating.a.Dist
7460	72 69 62 75 74 65 64 20 50 6f 72 74 20 47 72 6f 75 70 20 74 68 61 74 20 75 73 65 73 20 4c 41 43	ributed.Port.Group.that.uses.LAC
7480	50 2e 00 44 48 43 50 20 52 65 6c 61 79 20 74 72 6f 75 67 68 20 47 52 45 2d 42 72 69 64 67 65 00	P..DHCP.Relay.trough.GRE-Bridge.
74a0	44 48 43 50 2d 52 65 6c 61 79 00 44 48 43 50 2d 53 65 72 76 65 72 00 44 48 43 50 76 36 2d 50 44	DHCP-Relay.DHCP-Server.DHCPv6-PD
74c0	20 53 65 74 75 70 00 44 4d 5a 20 63 61 6e 6e 6f 74 20 61 63 63 65 73 73 20 4c 41 4e 20 72 65 73	.Setup.DMZ.cannot.access.LAN.res
74e0	6f 75 72 63 65 73 2e 00 44 4d 5a 2d 4c 41 4e 20 70 6f 6c 69 63 79 20 69 73 20 4c 41 4e 2d 44 4d	ources..DMZ-LAN.policy.is.LAN-DM
7500	5a 2e 20 59 6f 75 20 63 61 6e 20 67 65 74 20 61 20 72 68 79 74 68 6d 20 74 6f 20 69 74 20 77 68	Z..You.can.get.a.rhythm.to.it.wh
7520	65 6e 20 79 6f 75 20 62 75 69 6c 64 20 6f 75 74 20 61 20 62 75 6e 63 68 20 61 74 20 6f 6e 65 20	en.you.build.out.a.bunch.at.one.
7540	74 69 6d 65 2e 00 44 65 73 69 67 6e 00 44 65 76 69 63 65 2d 41 00 44 65 76 69 63 65 2d 42 00 44	time..Design.Device-A.Device-B.D
7560	75 70 6c 69 63 61 74 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 44 75 72 69 6e 67 20 61 64	uplicate.configuration.During.ad
7580	64 72 65 73 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2c 20 69 6e 20 61 64 64 69 74 69 6f 6e	dress.configuration,.in.addition
75a0	20 74 6f 20 61 73 73 69 67 6e 69 6e 67 20 61 6e 20 61 64 64 72 65 73 73 20 74 6f 20 74 68 65 20	.to.assigning.an.address.to.the.
75c0	57 41 4e 20 69 6e 74 65 72 66 61 63 65 2c 20 49 53 50 20 61 6c 73 6f 20 70 72 6f 76 69 64 65 73	WAN.interface,.ISP.also.provides
75e0	20 61 20 70 72 65 66 69 78 20 74 6f 20 61 6c 6c 6f 77 20 74 68 65 20 72 6f 75 74 65 72 20 74 6f	.a.prefix.to.allow.the.router.to
7600	20 63 6f 6e 66 69 67 75 72 65 20 61 64 64 72 65 73 73 65 73 20 6f 66 20 4c 41 4e 20 69 6e 74 65	.configure.addresses.of.LAN.inte
7620	72 66 61 63 65 20 61 6e 64 20 6f 74 68 65 72 20 6e 6f 64 65 73 20 63 6f 6e 6e 65 63 74 69 6e 67	rface.and.other.nodes.connecting
7640	20 74 6f 20 4c 41 4e 2c 20 77 68 69 63 68 20 69 73 20 63 61 6c 6c 65 64 20 70 72 65 66 69 78 20	.to.LAN,.which.is.called.prefix.
7660	64 65 6c 65 67 61 74 69 6f 6e 20 28 50 44 29 2e 00 44 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67	delegation.(PD)..Dynamic.routing
7680	20 75 73 65 64 20 62 65 74 77 65 65 6e 20 43 45 20 61 6e 64 20 50 45 20 6e 6f 64 65 73 20 61 6e	.used.between.CE.and.PE.nodes.an
76a0	64 20 65 42 47 50 20 70 65 65 72 69 6e 67 20 65 73 74 61 62 6c 69 73 68 65 64 20 66 6f 72 20 74	d.eBGP.peering.established.for.t
76c0	68 65 20 72 6f 75 74 65 20 65 78 63 68 61 6e 67 69 6e 67 20 62 65 74 77 65 65 6e 20 74 68 65 6d	he.route.exchanging.between.them
76e0	2e 20 41 6c 6c 20 72 6f 75 74 65 73 20 72 65 63 65 69 76 65 64 20 62 79 20 50 45 73 20 61 72 65	..All.routes.received.by.PEs.are
7700	20 74 68 65 6e 20 65 78 70 6f 72 74 65 64 20 74 6f 20 4c 33 56 50 4e 20 61 6e 64 20 64 65 6c 69	.then.exported.to.L3VPN.and.deli
7720	76 65 72 65 64 20 66 72 6f 6d 20 53 70 6f 6b 65 20 73 69 74 65 73 20 74 6f 20 48 75 62 20 61 6e	vered.from.Spoke.sites.to.Hub.an
7740	64 20 76 69 73 65 2d 76 65 72 73 61 20 62 61 73 65 64 20 6f 6e 20 70 72 65 76 69 6f 75 73 6c 79	d.vise-versa.based.on.previously
7760	20 63 6f 6e 66 69 67 75 72 65 64 20 4c 33 56 50 4e 20 70 61 72 61 6d 65 74 65 72 73 2e 00 45 61	.configured.L3VPN.parameters..Ea
7780	63 68 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 20 74 6f 20 61 20 7a 6f	ch.interface.is.assigned.to.a.zo
77a0	6e 65 2e 20 54 68 65 20 69 6e 74 65 72 66 61 63 65 20 63 61 6e 20 62 65 20 70 68 79 73 69 63 61	ne..The.interface.can.be.physica
77c0	6c 20 6f 72 20 76 69 72 74 75 61 6c 20 73 75 63 68 20 61 73 20 74 75 6e 6e 65 6c 73 20 28 56 50	l.or.virtual.such.as.tunnels.(VP
77e0	4e 2c 20 50 50 54 50 2c 20 47 52 45 2c 20 65 74 63 29 20 61 6e 64 20 61 72 65 20 74 72 65 61 74	N,.PPTP,.GRE,.etc).and.are.treat
7800	65 64 20 65 78 61 63 74 6c 79 20 74 68 65 20 73 61 6d 65 2e 00 45 61 63 68 20 6c 61 62 20 77 69	ed.exactly.the.same..Each.lab.wi
7820	6c 6c 20 62 75 69 6c 64 20 61 6e 20 74 65 73 74 20 66 72 6f 6d 20 61 6e 20 65 78 74 65 72 6e 61	ll.build.an.test.from.an.externa
7840	6c 20 73 63 72 69 70 74 2e 20 54 68 65 20 70 61 67 65 20 63 6f 6e 74 65 6e 74 20 77 69 6c 6c 20	l.script..The.page.content.will.
7860	67 65 6e 65 72 61 74 65 2c 20 73 6f 20 63 68 61 6e 67 65 73 20 77 69 6c 6c 20 6e 6f 74 20 74 61	generate,.so.changes.will.not.ta
7880	6b 65 20 61 6e 20 65 66 66 65 63 74 2e 00 45 6e 61 62 6c 65 20 49 50 73 65 63 20 6f 6e 20 65 74	ke.an.effect..Enable.IPsec.on.et
78a0	68 30 00 45 6e 61 62 6c 65 20 4f 53 50 46 00 45 6e 61 62 6c 65 20 53 53 48 00 45 6e 61 62 6c 65	h0.Enable.OSPF.Enable.SSH.Enable
78c0	20 53 53 48 20 73 6f 20 79 6f 75 20 63 61 6e 20 6e 6f 77 20 53 53 48 20 69 6e 74 6f 20 74 68 65	.SSH.so.you.can.now.SSH.into.the
78e0	20 72 6f 75 74 65 72 73 2c 20 72 61 74 68 65 72 20 74 68 61 6e 20 75 73 69 6e 67 20 74 68 65 20	.routers,.rather.than.using.the.
7900	63 6f 6e 73 6f 6c 65 2e 00 45 6e 61 62 6c 65 73 20 72 6f 75 74 65 72 20 61 64 76 65 72 74 69 73	console..Enables.router.advertis
7920	65 6d 65 6e 74 73 2e 20 54 68 69 73 20 69 73 20 61 6e 20 49 50 76 36 20 61 6c 74 65 72 6e 61 74	ements..This.is.an.IPv6.alternat
7940	69 76 65 20 66 6f 72 20 44 48 43 50 20 28 74 68 6f 75 67 68 20 44 48 43 50 76 36 20 63 61 6e 20	ive.for.DHCP.(though.DHCPv6.can.
7960	73 74 69 6c 6c 20 62 65 20 75 73 65 64 29 2e 20 57 69 74 68 20 52 41 73 2c 20 59 6f 75 72 20 64	still.be.used)..With.RAs,.Your.d
7980	65 76 69 63 65 73 20 77 69 6c 6c 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 20 66 69 6e 64 20 74	evices.will.automatically.find.t
79a0	68 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 74 68 65 79 20 6e 65 65 64 20 66 6f 72 20 72 6f 75	he.information.they.need.for.rou
79c0	74 69 6e 67 20 61 6e 64 20 44 4e 53 2e 00 45 76 65 6e 20 69 66 20 74 68 65 20 74 77 6f 20 7a 6f	ting.and.DNS..Even.if.the.two.zo
79e0	6e 65 73 20 77 69 6c 6c 20 6e 65 76 65 72 20 63 6f 6d 6d 75 6e 69 63 61 74 65 2c 20 69 74 20 69	nes.will.never.communicate,.it.i
7a00	73 20 61 20 67 6f 6f 64 20 69 64 65 61 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 7a 6f 6e 65	s.a.good.idea.to.create.the.zone
7a20	2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 72 75 6c 65 73 65 74 73 20 61 6e 64 20 73 65 74	-pair-direction.rulesets.and.set
7a40	20 65 6e 61 62 6c 65 2d 64 65 66 61 75 6c 74 2d 6c 6f 67 2e 20 54 68 69 73 20 77 69 6c 6c 20 61	.enable-default-log..This.will.a
7a60	6c 6c 6f 77 20 79 6f 75 20 74 6f 20 6c 6f 67 20 61 74 74 65 6d 70 74 73 20 74 6f 20 61 63 63 65	llow.you.to.log.attempts.to.acce
7a80	73 73 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 69 74 68 6f 75 74 20 69 74 2c 20 79 6f 75	ss.the.networks..Without.it,.you
7aa0	20 77 69 6c 6c 20 6e 65 76 65 72 20 73 65 65 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 61	.will.never.see.the.connection.a
7ac0	74 74 65 6d 70 74 73 2e 00 45 76 65 72 79 20 72 6f 75 74 65 72 20 2a 2a 6d 75 73 74 2a 2a 20 68	ttempts..Every.router.**must**.h
7ae0	61 76 65 20 61 20 75 6e 69 71 75 65 20 72 6f 75 74 65 72 2d 69 64 2e 20 54 68 65 20 27 72 65 66	ave.a.unique.router-id..The.'ref
7b00	65 72 65 6e 63 65 2d 62 61 6e 64 77 69 64 74 68 27 20 69 73 20 75 73 65 64 20 62 65 63 61 75 73	erence-bandwidth'.is.used.becaus
7b20	65 20 77 68 65 6e 20 4f 53 50 46 20 77 61 73 20 6f 72 69 67 69 6e 61 6c 6c 79 20 64 65 73 69 67	e.when.OSPF.was.originally.desig
7b40	6e 65 64 2c 20 74 68 65 20 69 64 65 61 20 6f 66 20 61 20 6c 69 6e 6b 20 66 61 73 74 65 72 20 74	ned,.the.idea.of.a.link.faster.t
7b60	68 61 6e 20 31 67 62 69 74 20 77 61 73 20 75 6e 68 65 61 72 64 20 6f 66 2c 20 61 6e 64 20 69 74	han.1gbit.was.unheard.of,.and.it
7b80	20 64 6f 65 73 20 6e 6f 74 20 73 63 61 6c 65 20 63 6f 72 72 65 63 74 6c 79 2e 00 45 76 65 72 79	.does.not.scale.correctly..Every
7ba0	20 72 6f 75 74 65 72 20 74 68 61 74 20 70 72 6f 76 69 64 65 73 20 61 63 63 65 73 73 20 74 6f 20	.router.that.provides.access.to.
7bc0	61 20 63 75 73 74 6f 6d 65 72 20 6e 65 74 77 6f 72 6b 20 6e 65 65 64 73 20 74 6f 20 68 61 76 65	a.customer.network.needs.to.have
7be0	20 74 68 65 20 63 75 73 74 6f 6d 65 72 20 6e 65 74 77 6f 72 6b 20 28 56 52 46 20 2b 20 56 4e 49	.the.customer.network.(VRF.+.VNI
7c00	29 20 63 6f 6e 66 69 67 75 72 65 64 2e 20 54 6f 20 6d 61 6b 65 20 6f 75 72 20 6f 77 6e 20 6c 69	).configured..To.make.our.own.li
7c20	76 65 73 20 65 61 73 69 65 72 2c 20 77 65 20 75 74 69 6c 69 7a 65 20 74 68 65 20 73 61 6d 65 20	ves.easier,.we.utilize.the.same.
7c40	56 52 46 20 74 61 62 6c 65 20 69 64 20 28 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c	VRF.table.id.(local.routing.tabl
7c60	65 20 6e 75 6d 62 65 72 29 20 61 6e 64 20 56 4e 49 20 28 56 69 72 74 75 61 6c 20 4e 65 74 77 6f	e.number).and.VNI.(Virtual.Netwo
7c80	72 6b 20 49 64 65 6e 74 69 66 69 65 72 29 20 70 65 72 20 74 65 6e 61 6e 74 20 6f 6e 20 61 6c 6c	rk.Identifier).per.tenant.on.all
7ca0	20 6f 75 72 20 72 6f 75 74 65 72 73 2e 00 45 76 65 72 79 20 74 65 6e 61 6e 74 20 69 73 20 61 73	.our.routers..Every.tenant.is.as
7cc0	73 69 67 6e 65 64 20 61 6e 20 69 6e 64 69 76 69 64 75 61 6c 20 56 52 46 20 74 68 61 74 20 77 6f	signed.an.individual.VRF.that.wo
7ce0	75 6c 64 20 73 75 70 70 6f 72 74 20 6f 76 65 72 6c 61 70 70 69 6e 67 20 61 64 64 72 65 73 73 20	uld.support.overlapping.address.
7d00	72 61 6e 67 65 73 20 66 6f 72 20 63 75 73 74 6f 6d 65 72 73 20 62 6c 75 65 2c 20 72 65 64 20 61	ranges.for.customers.blue,.red.a
7d20	6e 64 20 67 72 65 65 6e 2e 20 49 6e 20 6f 75 72 20 65 78 61 6d 70 6c 65 2c 20 77 65 20 64 6f 20	nd.green..In.our.example,.we.do.
7d40	6e 6f 74 20 75 73 65 20 6f 76 65 72 6c 61 70 70 69 6e 67 20 72 61 6e 67 65 73 20 74 6f 20 6d 61	not.use.overlapping.ranges.to.ma
7d60	6b 65 20 69 74 20 65 61 73 69 65 72 20 77 68 65 6e 20 73 68 6f 77 69 6e 67 20 64 65 62 75 67 20	ke.it.easier.when.showing.debug.
7d80	63 6f 6d 6d 61 6e 64 73 2e 00 45 78 61 6d 70 6c 65 00 45 78 61 6d 70 6c 65 20 31 3a 20 44 69 73	commands..Example.Example.1:.Dis
7da0	74 72 69 62 75 74 69 6e 67 20 6c 6f 61 64 20 65 76 65 6e 6c 79 00 45 78 61 6d 70 6c 65 20 32 3a	tributing.load.evenly.Example.2:
7dc0	20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 69 6e 74 65 72 66 61 63 65 20 77 65 69	.Failover.based.on.interface.wei
7de0	67 68 74 73 00 45 78 61 6d 70 6c 65 20 33 3a 20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f	ghts.Example.3:.Failover.based.o
7e00	6e 20 72 75 6c 65 20 6f 72 64 65 72 00 45 78 61 6d 70 6c 65 20 34 3a 20 46 61 69 6c 6f 76 65 72	n.rule.order.Example.4:.Failover
7e20	20 62 61 73 65 64 20 6f 6e 20 72 75 6c 65 20 6f 72 64 65 72 20 2d 20 70 72 69 6f 72 69 74 79 20	.based.on.rule.order.-.priority.
7e40	74 72 61 66 66 69 63 00 45 78 61 6d 70 6c 65 20 35 3a 20 45 78 63 6c 75 64 65 20 74 72 61 66 66	traffic.Example.5:.Exclude.traff
7e60	69 63 20 66 72 6f 6d 20 6c 6f 61 64 20 62 61 6c 61 6e 63 69 6e 67 00 45 78 61 6d 70 6c 65 20 4e	ic.from.load.balancing.Example.N
7e80	65 74 77 6f 72 6b 00 46 69 6c 6c 20 60 60 70 61 73 73 77 6f 72 64 60 60 20 61 6e 64 20 60 60 75	etwork.Fill.``password``.and.``u
7ea0	73 65 72 60 60 20 77 69 74 68 20 74 68 65 20 63 72 65 64 65 6e 74 69 61 6c 20 70 72 6f 76 69 64	ser``.with.the.credential.provid
7ec0	65 64 20 62 79 20 79 6f 75 72 20 49 53 50 2e 00 46 69 6e 61 6c 6c 79 2c 20 64 6f 6e 27 74 20 66	ed.by.your.ISP..Finally,.don't.f
7ee0	6f 72 67 65 74 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 60 2e 20 54 68 65 20 75	orget.the.:ref:`firewall`..The.u
7f00	73 61 67 65 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 65 78 63 65 70 74 20 66 6f 72 20 69 6e	sage.is.identical,.except.for.in
7f20	73 74 65 61 64 20 6f 66 20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 6e 61 6d 65 20 4e 41 4d 45	stead.of.`set.firewall.name.NAME
7f40	60 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 69	`,.you.would.use.`set.firewall.i
7f60	70 76 36 2d 6e 61 6d 65 20 4e 41 4d 45 60 2e 00 46 69 6e 61 6c 6c 79 2c 20 6c 65 74 e2 80 99 73	pv6-name.NAME`..Finally,.let...s
7f80	20 63 68 65 63 6b 20 74 68 65 20 72 65 61 63 68 61 62 69 6c 69 74 79 20 62 65 74 77 65 65 6e 20	.check.the.reachability.between.
7fa0	43 45 73 3a 00 46 69 72 65 77 61 6c 6c 00 46 69 72 65 77 61 6c 6c 20 43 6f 6e 66 69 67 75 72 61	CEs:.Firewall.Firewall.Configura
7fc0	74 69 6f 6e 3a 00 46 69 72 73 74 20 61 20 43 41 2c 20 61 20 73 69 67 6e 65 64 20 73 65 72 76 65	tion:.First.a.CA,.a.signed.serve
7fe0	72 20 61 6e 64 20 63 6c 69 65 6e 74 20 63 65 66 74 69 66 69 63 61 74 65 20 61 6e 64 20 61 20 44	r.and.client.ceftificate.and.a.D
8000	69 66 66 69 65 2d 48 65 6c 6c 6d 61 6e 20 70 61 72 61 6d 65 74 65 72 20 6d 75 73 73 74 20 62 65	iffie-Hellman.parameter.musst.be
8020	20 67 65 6e 65 72 61 74 65 64 20 61 6e 64 20 69 6e 73 74 61 6c 6c 65 64 2e 20 50 6c 65 61 73 65	.generated.and.installed..Please
8040	20 6c 6f 6f 6b 20 3a 72 65 66 3a 60 68 65 72 65 20 3c 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f	.look.:ref:`here.<configuration/
8060	70 6b 69 2f 69 6e 64 65 78 3a 70 6b 69 3e 60 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61	pki/index:pki>`.for.more.informa
8080	74 69 6f 6e 2e 00 46 69 72 73 74 20 70 72 65 70 61 72 65 20 6f 75 72 20 56 79 4f 53 20 72 6f 75	tion..First.prepare.our.VyOS.rou
80a0	74 65 72 20 66 6f 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 6f 20 4e 4d 50 2e 20 57 65 20 68 61	ter.for.connection.to.NMP..We.ha
80c0	76 65 20 74 6f 20 73 65 74 20 75 70 20 74 68 65 20 53 4e 4d 50 20 70 72 6f 74 6f 63 6f 6c 20 61	ve.to.set.up.the.SNMP.protocol.a
80e0	6e 64 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 62 65 74 77 65 65 6e 20 74 68 65 20 72 6f 75 74	nd.connectivity.between.the.rout
8100	65 72 20 61 6e 64 20 4e 4d 50 2e 00 46 69 72 73 74 2c 20 77 65 20 63 6f 6e 66 69 67 75 72 65 20	er.and.NMP..First,.we.configure.
8120	74 68 65 20 60 60 76 79 6f 73 2d 77 61 6e 60 60 20 69 6e 74 65 72 66 61 63 65 20 74 6f 20 67 65	the.``vyos-wan``.interface.to.ge
8140	74 20 61 20 44 48 43 50 20 61 64 64 72 65 73 73 2e 00 46 69 72 73 74 2c 20 77 65 20 63 6f 6e 66	t.a.DHCP.address..First,.we.conf
8160	69 67 75 72 65 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20	igure.the.transport.network.and.
8180	74 68 65 20 54 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 2e 00 46 6c 65 78 56 50 4e 20 69 73	the.Tunnel.interface..FlexVPN.is
81a0	20 61 20 6e 65 77 65 72 20 22 73 6f 6c 75 74 69 6f 6e 22 20 66 6f 72 20 64 65 70 6c 6f 79 6d 65	.a.newer."solution".for.deployme
81c0	6e 74 20 6f 66 20 56 50 4e 73 20 61 6e 64 20 69 74 20 75 74 69 6c 69 7a 65 73 20 49 4b 45 76 32	nt.of.VPNs.and.it.utilizes.IKEv2
81e0	20 61 73 20 74 68 65 20 6b 65 79 20 65 78 63 68 61 6e 67 65 20 70 72 6f 74 6f 63 6f 6c 2e 20 54	.as.the.key.exchange.protocol..T
8200	68 65 20 72 65 73 75 6c 74 20 69 73 20 61 20 66 6c 65 78 69 62 6c 65 20 61 6e 64 20 73 63 61 6c	he.result.is.a.flexible.and.scal
8220	61 62 6c 65 20 56 50 4e 20 73 6f 6c 75 74 69 6f 6e 20 74 68 61 74 20 63 61 6e 20 62 65 20 65 61	able.VPN.solution.that.can.be.ea
8240	73 69 6c 79 20 61 64 61 70 74 65 64 20 74 6f 20 66 69 74 20 76 61 72 69 6f 75 73 20 6e 65 74 77	sily.adapted.to.fit.various.netw
8260	6f 72 6b 20 6e 65 65 64 73 2e 20 49 74 20 63 61 6e 20 61 6c 73 6f 20 73 75 70 70 6f 72 74 20 61	ork.needs..It.can.also.support.a
8280	20 76 61 72 69 65 74 79 20 6f 66 20 65 6e 63 72 79 70 74 69 6f 6e 20 6d 65 74 68 6f 64 73 2c 20	.variety.of.encryption.methods,.
82a0	69 6e 63 6c 75 64 69 6e 67 20 41 45 53 20 61 6e 64 20 33 44 45 53 2e 00 46 6f 72 20 63 6f 6e 6e	including.AES.and.3DES..For.conn
82c0	65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 73 69 74 65 73 2c 20 77 65 20 61 72 65 20 72 75 6e	ection.between.sites,.we.are.run
82e0	6e 69 6e 67 20 61 20 57 69 72 65 47 75 61 72 64 20 6c 69 6e 6b 20 74 6f 20 74 77 6f 20 52 45 4d	ning.a.WireGuard.link.to.two.REM
8300	4f 54 45 20 72 6f 75 74 65 72 73 20 61 6e 64 20 75 73 69 6e 67 20 4f 53 50 46 20 6f 76 65 72 20	OTE.routers.and.using.OSPF.over.
8320	74 68 6f 73 65 20 6c 69 6e 6b 73 20 74 6f 20 64 69 73 74 72 69 62 75 74 65 20 72 6f 75 74 65 73	those.links.to.distribute.routes
8340	2e 20 54 68 61 74 20 72 65 6d 6f 74 65 20 73 69 74 65 20 69 73 20 65 78 70 65 63 74 65 64 20 74	..That.remote.site.is.expected.t
8360	6f 20 73 65 6e 64 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 61 6e 79 74 68 69 6e 67 20 69 6e 20	o.send.traffic.from.anything.in.
8380	31 30 2e 32 30 31 2e 30 2e 30 2f 31 36 00 46 6f 72 20 68 6f 6d 65 20 6e 65 74 77 6f 72 6b 20 75	10.201.0.0/16.For.home.network.u
83a0	73 65 72 73 2c 20 6d 6f 73 74 20 6f 66 20 74 69 6d 65 20 49 53 50 20 6f 6e 6c 79 20 70 72 6f 76	sers,.most.of.time.ISP.only.prov
83c0	69 64 65 73 20 2f 36 34 20 70 72 65 66 69 78 2c 20 68 65 6e 63 65 20 74 68 65 72 65 20 69 73 20	ides./64.prefix,.hence.there.is.
83e0	6e 6f 20 6e 65 65 64 20 74 6f 20 73 65 74 20 53 4c 41 20 49 44 20 61 6e 64 20 70 72 65 66 69 78	no.need.to.set.SLA.ID.and.prefix
8400	20 6c 65 6e 67 74 68 2e 20 53 65 65 20 3a 72 65 66 3a 60 70 70 70 6f 65 2d 69 6e 74 65 72 66 61	.length..See.:ref:`pppoe-interfa
8420	63 65 60 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 46 6f 72 20 72 65	ce`.for.more.information..For.re
8440	64 75 6e 64 61 6e 74 20 2f 20 61 63 74 69 76 65 2d 61 63 74 69 76 65 20 63 6f 6e 66 69 67 75 72	dundant./.active-active.configur
8460	61 74 69 6f 6e 73 20 73 65 65 20 3a 72 65 66 3a 60 65 78 61 6d 70 6c 65 73 2d 61 7a 75 72 65 2d	ations.see.:ref:`examples-azure-
8480	76 70 6e 2d 64 75 61 6c 2d 62 67 70 60 00 46 6f 72 20 73 69 6d 70 6c 69 63 69 74 79 2c 20 63 6f	vpn-dual-bgp`.For.simplicity,.co
84a0	6e 66 69 67 75 72 61 74 69 6f 6e 20 61 6e 64 20 74 65 73 74 73 20 61 72 65 20 64 6f 6e 65 20 6f	nfiguration.and.tests.are.done.o
84c0	6e 6c 79 20 75 73 69 6e 67 20 69 70 76 34 2c 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e	nly.using.ipv4,.and.firewall.con
84e0	66 69 67 75 72 61 74 69 6f 6e 20 69 6e 20 64 6f 6e 65 20 6f 6e 6c 79 20 6f 6e 20 6f 6e 65 20 72	figuration.in.done.only.on.one.r
8500	6f 75 74 65 72 2e 00 46 6f 72 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2c 20	outer..For.the.hardware.router,.
8520	72 65 70 6c 61 63 65 20 60 60 65 74 68 30 60 60 20 77 69 74 68 20 60 60 62 6f 6e 64 30 60 60 2e	replace.``eth0``.with.``bond0``.
8540	20 41 73 20 28 61 6c 6d 6f 73 74 29 20 65 76 65 72 79 20 63 6f 6d 6d 61 6e 64 20 69 73 20 69 64	.As.(almost).every.command.is.id
8560	65 6e 74 69 63 61 6c 2c 20 74 68 69 73 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 73 70 65 63 69 66	entical,.this.will.not.be.specif
8580	69 65 64 20 75 6e 6c 65 73 73 20 64 69 66 66 65 72 65 6e 74 20 74 68 69 6e 67 73 20 6e 65 65 64	ied.unless.different.things.need
85a0	20 74 6f 20 62 65 20 70 65 72 66 6f 72 6d 65 64 20 6f 6e 20 64 69 66 66 65 72 65 6e 74 20 68 6f	.to.be.performed.on.different.ho
85c0	73 74 73 2e 00 46 72 6f 6d 20 44 61 74 61 63 65 6e 74 65 72 20 2d 20 54 68 69 73 20 63 6f 6e 6e	sts..From.Datacenter.-.This.conn
85e0	65 63 74 73 20 69 6e 74 6f 20 70 6f 72 74 20 31 20 6f 6e 20 62 6f 74 68 20 73 77 69 74 63 68 65	ects.into.port.1.on.both.switche
8600	73 2c 20 61 6e 64 20 69 73 20 74 61 67 67 65 64 20 61 73 20 56 4c 41 4e 20 35 30 00 46 72 6f 6d	s,.and.is.tagged.as.VLAN.50.From
8620	20 4d 61 6e 61 67 65 6d 65 6e 74 20 74 6f 20 4c 41 4e 31 2f 4c 41 4e 32 00 46 72 6f 6d 20 4d 61	.Management.to.LAN1/LAN2.From.Ma
8640	6e 61 67 65 6d 65 6e 74 20 74 6f 20 4f 75 74 73 69 64 65 20 28 66 61 69 6c 73 20 61 73 20 69 6e	nagement.to.Outside.(fails.as.in
8660	74 65 6e 64 65 64 29 00 46 75 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20	tended).Full.configuration.from.
8680	61 6c 6c 20 64 65 76 69 63 65 73 00 47 52 45 3a 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61	all.devices.GRE:.General.informa
86a0	74 69 6f 6e 20 61 62 6f 75 74 20 4c 33 56 50 4e 73 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69	tion.about.L3VPNs.can.be.found.i
86c0	6e 20 74 68 65 20 3a 72 65 66 3a 60 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 76 72 66 2f 69 6e	n.the.:ref:`configuration/vrf/in
86e0	64 65 78 3a 4c 33 56 50 4e 20 56 52 46 73 60 20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c	dex:L3VPN.VRFs`.chapter..General
8700	20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65	.information.can.be.found.in.the
8720	20 3a 72 65 66 3a 60 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 76 72 66 2f 69 6e 64 65 78 3a 4c	.:ref:`configuration/vrf/index:L
8740	33 56 50 4e 20 56 52 46 73 60 20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f	3VPN.VRFs`.chapter..General.info
8760	72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66	rmation.can.be.found.in.the.:ref
8780	3a 60 72 6f 75 74 69 6e 67 2d 62 67 70 60 20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20	:`routing-bgp`.chapter..General.
87a0	69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20	information.can.be.found.in.the.
87c0	3a 72 65 66 3a 60 72 6f 75 74 69 6e 67 2d 6f 73 70 66 60 20 63 68 61 70 74 65 72 2e 00 48 61 72	:ref:`routing-ospf`.chapter..Har
87e0	64 77 61 72 65 00 48 61 72 64 77 61 72 65 20 52 6f 75 74 65 72 20 2d 20 50 6f 72 74 20 38 20 6f	dware.Hardware.Router.-.Port.8.o
8800	66 20 65 61 63 68 20 73 77 69 74 63 68 00 48 65 72 65 20 69 73 20 61 6e 20 65 78 61 6d 70 6c 65	f.each.switch.Here.is.an.example
8820	20 6f 66 20 61 6e 20 49 50 76 36 20 44 4d 5a 2d 57 41 4e 20 72 75 6c 65 73 65 74 2e 00 48 65 72	.of.an.IPv6.DMZ-WAN.ruleset..Her
8840	65 20 69 73 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20 73 68 6f 77 69 6e 67 20	e.is.the.routing.tables.showing.
8860	74 68 65 20 4d 50 4c 53 20 73 65 67 6d 65 6e 74 20 72 6f 75 74 69 6e 67 20 6c 61 62 65 6c 20 6f	the.MPLS.segment.routing.label.o
8880	70 65 72 61 74 69 6f 6e 73 3a 00 48 65 72 65 20 77 65 20 73 65 74 20 74 68 65 20 70 72 65 66 69	perations:.Here.we.set.the.prefi
88a0	78 20 74 6f 20 60 60 3a 3a 2f 36 34 60 60 20 74 6f 20 69 6e 64 69 63 61 74 65 20 61 64 76 65 72	x.to.``::/64``.to.indicate.adver
88c0	74 69 73 69 6e 67 20 61 6e 79 20 2f 36 34 20 70 72 65 66 69 78 20 74 68 65 20 4c 41 4e 20 69 6e	tising.any./64.prefix.the.LAN.in
88e0	74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 2e 00 48 65 72 65 20 77 65 20 75 73 65	terface.is.assigned..Here.we.use
8900	20 74 68 65 20 70 72 65 66 69 78 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 61 64 64	.the.prefix.to.configure.the.add
8920	72 65 73 73 20 6f 66 20 65 74 68 31 20 28 4c 41 4e 29 20 74 6f 20 66 6f 72 6d 20 60 60 3c 70 72	ress.of.eth1.(LAN).to.form.``<pr
8940	65 66 69 78 3e 3a 3a 36 34 60 60 2c 20 77 68 65 72 65 20 60 60 36 34 60 60 20 69 73 20 68 65 78	efix>::64``,.where.``64``.is.hex
8960	61 64 65 63 69 6d 61 6c 20 6f 66 20 61 64 64 72 65 73 73 20 31 30 30 2e 00 48 69 67 68 20 41 76	adecimal.of.address.100..High.Av
8980	61 69 6c 61 62 69 6c 69 74 79 20 57 61 6c 6b 74 68 72 6f 75 67 68 00 48 6f 77 20 64 6f 65 73 20	ailability.Walkthrough.How.does.
89a0	69 74 20 77 6f 72 6b 3f 00 48 75 62 00 49 20 63 68 6f 73 65 20 74 6f 20 72 75 6e 20 4f 53 50 46	it.work?.Hub.I.chose.to.run.OSPF
89c0	20 61 73 20 74 68 65 20 49 47 50 20 28 49 6e 74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72	.as.the.IGP.(Interior.Gateway.Pr
89e0	6f 74 6f 63 6f 6c 29 2e 20 41 6c 6c 20 72 65 71 75 69 72 65 64 20 42 47 50 20 73 65 73 73 69 6f	otocol)..All.required.BGP.sessio
8a00	6e 73 20 61 72 65 20 65 73 74 61 62 6c 69 73 68 65 64 20 76 69 61 20 61 20 64 75 6d 6d 79 20 69	ns.are.established.via.a.dummy.i
8a20	6e 74 65 72 66 61 63 65 73 20 28 73 69 6d 69 6c 61 72 20 74 6f 20 74 68 65 20 6c 6f 6f 70 62 61	nterfaces.(similar.to.the.loopba
8a40	63 6b 2c 20 62 75 74 20 69 6e 20 4c 69 6e 75 78 20 79 6f 75 20 63 61 6e 20 68 61 76 65 20 6f 6e	ck,.but.in.Linux.you.can.have.on
8a60	6c 79 20 6f 6e 65 20 6c 6f 6f 70 62 61 63 6b 2c 20 77 68 69 6c 65 20 74 68 65 72 65 20 63 61 6e	ly.one.loopback,.while.there.can
8a80	20 62 65 20 6d 61 6e 79 20 64 75 6d 6d 79 20 69 6e 74 65 72 66 61 63 65 73 29 20 6f 6e 20 74 68	.be.many.dummy.interfaces).on.th
8aa0	65 20 50 45 20 72 6f 75 74 65 72 73 2e 20 49 6e 20 63 61 73 65 20 6f 66 20 61 20 6c 69 6e 6b 20	e.PE.routers..In.case.of.a.link.
8ac0	66 61 69 6c 75 72 65 2c 20 74 72 61 66 66 69 63 20 69 73 20 64 69 76 65 72 74 65 64 20 69 6e 20	failure,.traffic.is.diverted.in.
8ae0	74 68 65 20 6f 74 68 65 72 20 64 69 72 65 63 74 69 6f 6e 20 69 6e 20 74 68 69 73 20 74 72 69 61	the.other.direction.in.this.tria
8b00	6e 67 6c 65 20 73 65 74 75 70 20 61 6e 64 20 42 47 50 20 73 65 73 73 69 6f 6e 73 20 77 69 6c 6c	ngle.setup.and.BGP.sessions.will
8b20	20 6e 6f 74 20 67 6f 20 64 6f 77 6e 2e 20 4f 6e 65 20 63 6f 75 6c 64 20 65 76 65 6e 20 65 6e 61	.not.go.down..One.could.even.ena
8b40	62 6c 65 20 42 46 44 20 28 42 69 64 69 72 65 63 74 69 6f 6e 61 6c 20 46 6f 72 77 61 72 64 69 6e	ble.BFD.(Bidirectional.Forwardin
8b60	67 20 44 65 74 65 63 74 69 6f 6e 29 20 6f 6e 20 74 68 65 20 6c 69 6e 6b 73 20 66 6f 72 20 61 20	g.Detection).on.the.links.for.a.
8b80	66 61 73 74 65 72 20 66 61 69 6c 6f 76 65 72 20 61 6e 64 20 72 65 73 69 6c 69 65 6e 63 65 20 69	faster.failover.and.resilience.i
8ba0	6e 20 74 68 65 20 6e 65 74 77 6f 72 6b 2e 00 49 20 63 72 65 61 74 65 2f 63 6f 6e 66 69 67 75 72	n.the.network..I.create/configur
8bc0	65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 66 69 72 73 74 2e 20 42 75 69 6c 64 20 6f 75	e.the.interfaces.first..Build.ou
8be0	74 20 74 68 65 20 72 75 6c 65 73 65 74 73 20 66 6f 72 20 65 61 63 68 20 7a 6f 6e 65 2d 70 61 69	t.the.rulesets.for.each.zone-pai
8c00	72 2d 64 69 72 65 63 74 69 6f 6e 20 77 68 69 63 68 20 69 6e 63 6c 75 64 65 73 20 61 74 20 6c 65	r-direction.which.includes.at.le
8c20	61 73 74 20 74 68 65 20 74 68 72 65 65 20 73 74 61 74 65 20 72 75 6c 65 73 2e 20 54 68 65 6e 20	ast.the.three.state.rules..Then.
8c40	49 20 73 65 74 75 70 20 74 68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63 69 65 73 2e 00 49 20 6e 61 6d	I.setup.the.zone-policies..I.nam
8c60	65 20 72 75 6c 65 20 73 65 74 73 20 74 6f 20 69 6e 64 69 63 61 74 65 20 77 68 69 63 68 20 7a 6f	e.rule.sets.to.indicate.which.zo
8c80	6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 74 68 65 79 20 72 65 70 72 65 73 65 6e 74	ne-pair-direction.they.represent
8ca0	2e 20 65 67 2e 20 5a 6f 6e 65 41 2d 5a 6f 6e 65 42 20 6f 72 20 5a 6f 6e 65 42 2d 5a 6f 6e 65 41	..eg..ZoneA-ZoneB.or.ZoneB-ZoneA
8cc0	2e 20 4c 41 4e 2d 44 4d 5a 2c 20 44 4d 5a 2d 4c 41 4e 2e 00 49 20 6e 61 6d 65 64 20 74 68 65 20	..LAN-DMZ,.DMZ-LAN..I.named.the.
8ce0	63 75 73 74 6f 6d 65 72 73 20 62 6c 75 65 2c 20 72 65 64 20 61 6e 64 20 67 72 65 65 6e 20 77 68	customers.blue,.red.and.green.wh
8d00	69 63 68 20 69 73 20 63 6f 6d 6d 6f 6e 20 70 72 61 63 74 69 63 65 20 69 6e 20 56 52 46 20 28 56	ich.is.common.practice.in.VRF.(V
8d20	69 72 74 75 61 6c 20 52 6f 75 74 69 6e 67 20 61 6e 64 20 46 6f 72 77 61 72 64 69 6e 67 29 20 64	irtual.Routing.and.Forwarding).d
8d40	6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 73 63 65 6e 61 72 69 6f 73 2e 00 49 20 73 70 75 6e 20 75	ocumentation.scenarios..I.spun.u
8d60	70 20 61 20 6e 65 77 20 6c 61 62 20 69 6e 20 45 56 45 2d 4e 47 2c 20 77 68 69 63 68 20 72 65 70	p.a.new.lab.in.EVE-NG,.which.rep
8d80	72 65 73 65 6e 74 73 20 74 68 69 73 20 61 73 20 74 68 65 20 22 46 6f 6f 20 42 61 72 20 2d 20 53	resents.this.as.the."Foo.Bar.-.S
8da0	65 72 76 69 63 65 20 50 72 6f 76 69 64 65 72 20 49 6e 63 2e 22 20 74 68 61 74 20 68 61 73 20 33	ervice.Provider.Inc.".that.has.3
8dc0	20 70 6f 69 6e 74 73 20 6f 66 20 70 72 65 73 65 6e 63 65 20 28 50 6f 50 29 20 69 6e 20 72 61 6e	.points.of.presence.(PoP).in.ran
8de0	64 6f 6d 20 64 61 74 61 63 65 6e 74 65 72 73 2f 73 69 74 65 73 20 6e 61 6d 65 64 20 50 45 31 2c	dom.datacenters/sites.named.PE1,
8e00	20 50 45 32 2c 20 61 6e 64 20 50 45 33 2e 20 45 61 63 68 20 50 6f 50 20 61 67 67 72 65 67 61 74	.PE2,.and.PE3..Each.PoP.aggregat
8e20	65 73 20 61 74 20 6c 65 61 73 74 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 73 2e 00 49 50 20 53 63	es.at.least.two.customers..IP.Sc
8e40	68 65 6d 61 00 49 50 2f 4d 50 4c 53 20 74 65 63 68 6e 6f 6c 6f 67 79 20 69 73 20 77 69 64 65 6c	hema.IP/MPLS.technology.is.widel
8e60	79 20 75 73 65 64 20 62 79 20 76 61 72 69 6f 75 73 20 73 65 72 76 69 63 65 20 70 72 6f 76 69 64	y.used.by.various.service.provid
8e80	65 72 73 20 61 6e 64 20 6c 61 72 67 65 20 65 6e 74 65 72 70 72 69 73 65 73 20 69 6e 20 6f 72 64	ers.and.large.enterprises.in.ord
8ea0	65 72 20 74 6f 20 61 63 68 69 65 76 65 20 62 65 74 74 65 72 20 6e 65 74 77 6f 72 6b 20 73 63 61	er.to.achieve.better.network.sca
8ec0	6c 61 62 69 6c 69 74 79 2c 20 6d 61 6e 61 67 65 61 62 69 6c 69 74 79 20 61 6e 64 20 66 6c 65 78	lability,.manageability.and.flex
8ee0	69 62 69 6c 69 74 79 2e 20 49 74 20 61 6c 73 6f 20 70 72 6f 76 69 64 65 73 20 74 68 65 20 70 6f	ibility..It.also.provides.the.po
8f00	73 73 69 62 69 6c 69 74 79 20 74 6f 20 64 65 6c 69 76 65 72 20 64 69 66 66 65 72 65 6e 74 20 73	ssibility.to.deliver.different.s
8f20	65 72 76 69 63 65 73 20 66 6f 72 20 74 68 65 20 63 75 73 74 6f 6d 65 72 73 20 69 6e 20 61 20 73	ervices.for.the.customers.in.a.s
8f40	65 61 6d 6c 65 73 73 20 6d 61 6e 6e 65 72 2e 20 4c 61 79 65 72 20 33 20 56 50 4e 20 28 4c 33 56	eamless.manner..Layer.3.VPN.(L3V
8f60	50 4e 29 20 69 73 20 61 20 74 79 70 65 20 6f 66 20 56 50 4e 20 6d 6f 64 65 20 74 68 61 74 20 69	PN).is.a.type.of.VPN.mode.that.i
8f80	73 20 62 75 69 6c 74 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 74 68 72 6f 75 67 68 20 4f 53	s.built.and.delivered.through.OS
8fa0	49 20 6c 61 79 65 72 20 33 20 6e 65 74 77 6f 72 6b 69 6e 67 20 74 65 63 68 6e 6f 6c 6f 67 69 65	I.layer.3.networking.technologie
8fc0	73 2e 20 4f 66 74 65 6e 20 74 68 65 20 62 6f 72 64 65 72 20 67 61 74 65 77 61 79 20 70 72 6f 74	s..Often.the.border.gateway.prot
8fe0	6f 63 6f 6c 20 28 42 47 50 29 20 69 73 20 75 73 65 64 20 74 6f 20 73 65 6e 64 20 61 6e 64 20 72	ocol.(BGP).is.used.to.send.and.r
9000	65 63 65 69 76 65 20 56 50 4e 2d 72 65 6c 61 74 65 64 20 64 61 74 61 20 74 68 61 74 20 69 73 20	eceive.VPN-related.data.that.is.
9020	72 65 73 70 6f 6e 73 69 62 6c 65 20 66 6f 72 20 74 68 65 20 63 6f 6e 74 72 6f 6c 20 70 6c 61 6e	responsible.for.the.control.plan
9040	65 2e 20 4c 33 56 50 4e 20 75 74 69 6c 69 7a 65 73 20 76 69 72 74 75 61 6c 20 72 6f 75 74 69 6e	e..L3VPN.utilizes.virtual.routin
9060	67 20 61 6e 64 20 66 6f 72 77 61 72 64 69 6e 67 20 28 56 52 46 29 20 74 65 63 68 6e 69 71 75 65	g.and.forwarding.(VRF).technique
9080	73 20 74 6f 20 72 65 63 65 69 76 65 20 61 6e 64 20 64 65 6c 69 76 65 72 20 75 73 65 72 20 64 61	s.to.receive.and.deliver.user.da
90a0	74 61 20 61 73 20 77 65 6c 6c 20 61 73 20 73 65 70 61 72 61 74 65 20 64 61 74 61 20 70 6c 61 6e	ta.as.well.as.separate.data.plan
90c0	65 73 20 6f 66 20 74 68 65 20 65 6e 64 2d 75 73 65 72 73 2e 20 49 74 20 69 73 20 62 75 69 6c 74	es.of.the.end-users..It.is.built
90e0	20 75 73 69 6e 67 20 61 20 63 6f 6d 62 69 6e 61 74 69 6f 6e 20 6f 66 20 49 50 2d 20 61 6e 64 20	.using.a.combination.of.IP-.and.
9100	4d 50 4c 53 2d 62 61 73 65 64 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 47 65 6e 65 72 61 6c 6c	MPLS-based.information..Generall
9120	79 2c 20 4c 33 56 50 4e 73 20 61 72 65 20 75 73 65 64 20 74 6f 20 73 65 6e 64 20 64 61 74 61 20	y,.L3VPNs.are.used.to.send.data.
9140	6f 6e 20 62 61 63 6b 2d 65 6e 64 20 56 50 4e 20 69 6e 66 72 61 73 74 72 75 63 74 75 72 65 73 2c	on.back-end.VPN.infrastructures,
9160	20 73 75 63 68 20 61 73 20 66 6f 72 20 56 50 4e 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 62 65 74	.such.as.for.VPN.connections.bet
9180	77 65 65 6e 20 64 61 74 61 20 63 65 6e 74 72 65 73 2c 20 48 51 73 20 61 6e 64 20 62 72 61 6e 63	ween.data.centres,.HQs.and.branc
91a0	68 65 73 2e 00 49 50 53 65 63 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 50 73 65 63 3a	hes..IPSec.configuration:.IPsec:
91c0	00 49 50 76 34 20 4e 65 74 77 6f 72 6b 00 49 50 76 36 20 4e 65 74 77 6f 72 6b 00 49 50 76 36 20	.IPv4.Network.IPv6.Network.IPv6.
91e0	54 75 6e 6e 65 6c 00 49 53 49 53 2d 53 52 20 65 78 61 6d 70 6c 65 20 6e 65 74 77 6f 72 6b 00 49	Tunnel.ISIS-SR.example.network.I
9200	53 49 53 2d 53 52 20 6e 65 74 77 6f 72 6b 00 49 53 50 00 49 66 20 74 68 65 20 63 6c 69 65 6e 74	SIS-SR.network.ISP.If.the.client
9220	20 69 73 20 63 6f 6e 6e 65 63 74 20 73 75 63 63 65 73 73 66 75 6c 6c 79 20 79 6f 75 20 63 61 6e	.is.connect.successfully.you.can
9240	20 63 68 65 63 6b 20 74 68 65 20 6f 75 74 70 75 74 20 77 69 74 68 00 49 66 20 77 65 20 6e 65 65	.check.the.output.with.If.we.nee
9260	64 20 74 6f 20 72 65 74 72 69 65 76 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20	d.to.retrieve.information.about.
9280	61 20 73 70 65 63 69 66 69 63 20 68 6f 73 74 2f 6e 65 74 77 6f 72 6b 20 69 6e 73 69 64 65 20 74	a.specific.host/network.inside.t
92a0	68 65 20 45 56 50 4e 20 6e 65 74 77 6f 72 6b 20 77 65 20 6e 65 65 64 20 74 6f 20 72 75 6e 00 49	he.EVPN.network.we.need.to.run.I
92c0	66 20 79 6f 75 20 61 72 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 74 68 72 6f 75 67 68 20 74 68 69 73	f.you.are.following.through.this
92e0	20 64 6f 63 75 6d 65 6e 74 2c 20 69 74 20 69 73 20 73 74 72 6f 6e 67 6c 79 20 73 75 67 67 65 73	.document,.it.is.strongly.sugges
9300	74 65 64 20 79 6f 75 20 63 6f 6d 70 6c 65 74 65 20 74 68 65 20 65 6e 74 69 72 65 20 64 6f 63 75	ted.you.complete.the.entire.docu
9320	6d 65 6e 74 2c 20 4f 4e 4c 59 20 64 6f 69 6e 67 20 74 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75	ment,.ONLY.doing.the.virtual.rou
9340	74 65 72 31 20 73 74 65 70 73 2c 20 61 6e 64 20 74 68 65 6e 20 63 6f 6d 65 20 62 61 63 6b 20 61	ter1.steps,.and.then.come.back.a
9360	6e 64 20 77 61 6c 6b 20 74 68 72 6f 75 67 68 20 69 74 20 41 47 41 49 4e 20 6f 6e 20 74 68 65 20	nd.walk.through.it.AGAIN.on.the.
9380	62 61 63 6b 75 70 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 49 66 20 79 6f 75 20 61	backup.hardware.router..If.you.a
93a0	72 65 20 75 73 69 6e 67 20 61 20 49 50 76 36 20 74 75 6e 6e 65 6c 20 66 72 6f 6d 20 48 45 2e 6e	re.using.a.IPv6.tunnel.from.HE.n
93c0	65 74 20 6f 72 20 73 6f 6d 65 6f 6e 65 20 65 6c 73 65 2c 20 74 68 65 20 62 61 73 69 73 20 69 73	et.or.someone.else,.the.basis.is
93e0	20 74 68 65 20 73 61 6d 65 20 65 78 63 65 70 74 20 79 6f 75 20 68 61 76 65 20 74 77 6f 20 57 41	.the.same.except.you.have.two.WA
9400	4e 20 69 6e 74 65 72 66 61 63 65 73 2e 20 4f 6e 65 20 66 6f 72 20 76 34 20 61 6e 64 20 6f 6e 65	N.interfaces..One.for.v4.and.one
9420	20 66 6f 72 20 76 36 2e 00 49 66 20 79 6f 75 20 75 73 65 20 61 20 72 6f 75 74 69 6e 67 20 70 72	.for.v6..If.you.use.a.routing.pr
9440	6f 74 6f 63 6f 6c 20 69 74 73 65 6c 66 2c 20 79 6f 75 20 73 6f 6c 76 65 20 74 77 6f 20 70 72 6f	otocol.itself,.you.solve.two.pro
9460	62 6c 65 6d 73 20 61 74 20 6f 6e 63 65 2e 20 54 68 69 73 20 69 73 20 6f 6e 6c 79 20 61 20 62 61	blems.at.once..This.is.only.a.ba
9480	73 69 63 20 65 78 61 6d 70 6c 65 2c 20 61 6e 64 20 69 73 20 70 72 6f 76 69 64 65 64 20 61 73 20	sic.example,.and.is.provided.as.
94a0	61 20 73 74 61 72 74 69 6e 67 20 70 6f 69 6e 74 2e 00 49 66 20 79 6f 75 72 20 63 6f 6d 70 75 74	a.starting.point..If.your.comput
94c0	65 72 20 69 73 20 6f 6e 20 74 68 65 20 4c 41 4e 20 61 6e 64 20 79 6f 75 20 6e 65 65 64 20 74 6f	er.is.on.the.LAN.and.you.need.to
94e0	20 53 53 48 20 69 6e 74 6f 20 79 6f 75 72 20 56 79 4f 53 20 62 6f 78 2c 20 79 6f 75 20 77 6f 75	.SSH.into.your.VyOS.box,.you.wou
9500	6c 64 20 6e 65 65 64 20 61 20 72 75 6c 65 20 74 6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e 20 74 68	ld.need.a.rule.to.allow.it.in.th
9520	65 20 4c 41 4e 2d 4c 6f 63 61 6c 20 72 75 6c 65 73 65 74 2e 20 49 66 20 79 6f 75 20 77 61 6e 74	e.LAN-Local.ruleset..If.you.want
9540	20 74 6f 20 61 63 63 65 73 73 20 61 20 77 65 62 70 61 67 65 20 66 72 6f 6d 20 79 6f 75 72 20 56	.to.access.a.webpage.from.your.V
9560	79 4f 53 20 62 6f 78 2c 20 79 6f 75 20 6e 65 65 64 20 61 20 72 75 6c 65 20 74 6f 20 61 6c 6c 6f	yOS.box,.you.need.a.rule.to.allo
9580	77 20 69 74 20 69 6e 20 74 68 65 20 4c 6f 63 61 6c 2d 4c 41 4e 20 72 75 6c 65 73 65 74 2e 00 49	w.it.in.the.Local-LAN.ruleset..I
95a0	6d 61 67 65 20 6e 61 6d 65 3a 20 76 79 6f 73 2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31	mage.name:.vyos-1.4-rolling-2021
95c0	31 30 33 31 30 33 31 37 2d 61 6d 64 36 34 2e 69 73 6f 00 49 6e 20 3a 76 79 74 61 73 6b 3a 60 54	10310317-amd64.iso.In.:vytask:`T
95e0	32 31 39 39 60 20 74 68 65 20 73 79 6e 74 61 78 20 6f 66 20 74 68 65 20 7a 6f 6e 65 20 63 6f 6e	2199`.the.syntax.of.the.zone.con
9600	66 69 67 75 72 61 74 69 6f 6e 20 77 61 73 20 63 68 61 6e 67 65 64 2e 20 54 68 65 20 7a 6f 6e 65	figuration.was.changed..The.zone
9620	20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6d 6f 76 65 64 20 66 72 6f 6d 20 60 60 7a 6f 6e 65	.configuration.moved.from.``zone
9640	2d 70 6f 6c 69 63 79 20 7a 6f 6e 65 20 3c 6e 61 6d 65 3e 60 60 20 74 6f 20 60 60 66 69 72 65 77	-policy.zone.<name>``.to.``firew
9660	61 6c 6c 20 7a 6f 6e 65 20 3c 6e 61 6d 65 3e 60 60 2e 00 49 6e 20 56 79 4f 53 20 79 6f 75 20 6d	all.zone.<name>``..In.VyOS.you.m
9680	75 73 74 20 68 61 76 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 63 72 65 61 74 65 64 20	ust.have.the.interfaces.created.
96a0	62 65 66 6f 72 65 20 79 6f 75 20 63 61 6e 20 61 70 70 6c 79 20 69 74 20 74 6f 20 74 68 65 20 7a	before.you.can.apply.it.to.the.z
96c0	6f 6e 65 20 61 6e 64 20 74 68 65 20 72 75 6c 65 73 65 74 73 20 6d 75 73 74 20 62 65 20 63 72 65	one.and.the.rulesets.must.be.cre
96e0	61 74 65 64 20 70 72 69 6f 72 20 74 6f 20 61 70 70 6c 79 69 6e 67 20 69 74 20 74 6f 20 61 20 7a	ated.prior.to.applying.it.to.a.z
9700	6f 6e 65 2d 70 6f 6c 69 63 79 2e 00 49 6e 20 56 79 4f 53 2c 20 79 6f 75 20 68 61 76 65 20 74 6f	one-policy..In.VyOS,.you.have.to
9720	20 68 61 76 65 20 75 6e 69 71 75 65 20 52 75 6c 65 73 65 74 20 6e 61 6d 65 73 2e 20 49 6e 20 74	.have.unique.Ruleset.names..In.t
9740	68 65 20 65 76 65 6e 74 20 6f 66 20 6f 76 65 72 6c 61 70 2c 20 49 20 61 64 64 20 61 20 22 2d 36	he.event.of.overlap,.I.add.a."-6
9760	22 20 74 6f 20 74 68 65 20 65 6e 64 20 6f 66 20 76 36 20 72 75 6c 65 73 65 74 73 2e 20 65 67 2e	".to.the.end.of.v6.rulesets..eg.
9780	20 4c 41 4e 2d 44 4d 5a 2c 20 4c 41 4e 2d 44 4d 5a 2d 36 2e 20 54 68 69 73 20 61 6c 6c 6f 77 73	.LAN-DMZ,.LAN-DMZ-6..This.allows
97a0	20 66 6f 72 20 65 61 63 68 20 61 75 74 6f 2d 63 6f 6d 70 6c 65 74 69 6f 6e 20 61 6e 64 20 75 6e	.for.each.auto-completion.and.un
97c0	69 71 75 65 6e 65 73 73 2e 00 49 6e 20 72 75 6c 65 73 2c 20 69 74 20 69 73 20 67 6f 6f 64 20 74	iqueness..In.rules,.it.is.good.t
97e0	6f 20 6b 65 65 70 20 74 68 65 6d 20 6e 61 6d 65 64 20 63 6f 6e 73 69 73 74 65 6e 74 6c 79 2e 20	o.keep.them.named.consistently..
9800	41 73 20 74 68 65 20 6e 75 6d 62 65 72 20 6f 66 20 72 75 6c 65 73 20 79 6f 75 20 68 61 76 65 20	As.the.number.of.rules.you.have.
9820	67 72 6f 77 73 2c 20 74 68 65 20 6d 6f 72 65 20 63 6f 6e 73 69 73 74 65 6e 63 79 20 79 6f 75 20	grows,.the.more.consistency.you.
9840	68 61 76 65 2c 20 74 68 65 20 65 61 73 69 65 72 20 79 6f 75 72 20 6c 69 66 65 20 77 69 6c 6c 20	have,.the.easier.your.life.will.
9860	62 65 2e 00 49 6e 20 74 68 65 20 61 62 6f 76 65 20 65 78 61 6d 70 6c 65 73 2c 20 31 2c 32 2c 66	be..In.the.above.examples,.1,2,f
9880	66 66 66 20 61 72 65 20 61 6c 6c 20 63 68 6f 73 65 6e 20 62 79 20 79 6f 75 2e 20 59 6f 75 20 63	fff.are.all.chosen.by.you..You.c
98a0	61 6e 20 75 73 65 20 31 2d 66 66 66 66 20 28 31 2d 36 35 35 33 35 29 2e 00 49 6e 20 74 68 65 20	an.use.1-ffff.(1-65535)..In.the.
98c0	65 6e 64 2c 20 6f 6e 20 74 68 65 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 77	end,.on.the.router....VyOS2....w
98e0	65 20 77 69 6c 6c 20 73 65 74 20 6f 75 74 67 6f 69 6e 67 20 62 61 6e 64 77 69 64 74 68 20 6c 69	e.will.set.outgoing.bandwidth.li
9900	6d 69 74 73 20 62 65 74 77 65 65 6e 20 74 68 65 20 e2 80 9c 56 79 4f 53 33 e2 80 9d 20 61 6e 64	mits.between.the....VyOS3....and
9920	20 e2 80 9c 56 79 4f 53 31 e2 80 9d 20 72 6f 75 74 65 72 73 2e 20 4c 65 74 27 73 20 73 65 74 20	....VyOS1....routers..Let's.set.
9940	61 20 6c 69 6d 69 74 20 66 6f 72 20 49 50 20 31 30 2e 31 2e 31 2e 31 30 30 20 3d 20 35 20 4d 62	a.limit.for.IP.10.1.1.100.=.5.Mb
9960	70 73 28 54 78 29 2e 20 57 65 20 77 69 6c 6c 20 63 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74	ps(Tx)..We.will.check.the.result
9980	20 6f 66 20 74 68 65 20 77 6f 72 6b 20 77 69 74 68 20 74 68 65 20 68 65 6c 70 20 6f 66 20 74 68	.of.the.work.with.the.help.of.th
99a0	65 20 e2 80 9c 69 50 65 72 66 e2 80 9d 20 75 74 69 6c 69 74 79 2e 00 49 6e 20 74 68 65 20 65 6e	e....iPerf....utility..In.the.en
99c0	64 2c 20 77 65 20 77 69 6c 6c 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 74 72 61 66 66 69 63	d,.we.will.configure.the.traffic
99e0	20 73 68 61 70 65 72 20 75 73 69 6e 67 20 51 6f 53 20 6d 65 63 68 61 6e 69 73 6d 73 20 6f 6e 20	.shaper.using.QoS.mechanisms.on.
9a00	74 68 65 20 e2 80 9c 56 59 4f 53 32 e2 80 9d 20 72 6f 75 74 65 72 2e 00 49 6e 20 74 68 65 20 65	the....VYOS2....router..In.the.e
9a20	6e 64 2c 20 79 6f 75 20 77 69 6c 6c 20 65 6e 64 20 75 70 20 77 69 74 68 20 73 6f 6d 65 74 68 69	nd,.you.will.end.up.with.somethi
9a40	6e 67 20 6c 69 6b 65 20 74 68 69 73 20 63 6f 6e 66 69 67 2e 20 49 20 74 6f 6f 6b 20 6f 75 74 20	ng.like.this.config..I.took.out.
9a60	65 76 65 72 79 74 68 69 6e 67 20 62 75 74 20 74 68 65 20 46 69 72 65 77 61 6c 6c 2c 20 49 6e 74	everything.but.the.Firewall,.Int
9a80	65 72 66 61 63 65 73 2c 20 61 6e 64 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 73 65 63 74 69 6f 6e	erfaces,.and.zone-policy.section
9aa0	73 2e 20 49 74 20 69 73 20 6c 6f 6e 67 20 65 6e 6f 75 67 68 20 61 73 20 69 73 2e 00 49 6e 20 74	s..It.is.long.enough.as.is..In.t
9ac0	68 65 20 65 6e 64 2c 20 79 6f 75 27 6c 6c 20 67 65 74 20 61 20 70 6f 77 65 72 66 75 6c 20 69 6e	he.end,.you'll.get.a.powerful.in
9ae0	73 74 72 75 6d 65 6e 74 20 66 6f 72 20 6d 6f 6e 69 74 6f 72 69 6e 67 20 74 68 65 20 56 79 4f 53	strument.for.monitoring.the.VyOS
9b00	20 73 79 73 74 65 6d 73 2e 00 49 6e 20 74 68 65 20 6e 65 78 74 20 63 68 61 70 74 65 72 20 6f 66	.systems..In.the.next.chapter.of
9b20	20 74 68 65 20 65 78 61 6d 70 6c 65 2c 20 77 65 27 6c 6c 20 75 73 65 20 74 68 65 20 41 6e 73 69	.the.example,.we'll.use.the.Ansi
9b40	62 6c 65 20 77 69 74 68 20 6a 69 6e 6a 61 32 20 74 65 6d 70 6c 61 74 65 73 20 61 6e 64 20 76 61	ble.with.jinja2.templates.and.va
9b60	72 69 61 62 6c 65 73 2e 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 74 68 65 20 68 61 72 64 77	riables..In.this.case,.the.hardw
9b80	61 72 65 20 72 6f 75 74 65 72 20 68 61 73 20 61 20 64 69 66 66 65 72 65 6e 74 20 49 50 2c 20 73	are.router.has.a.different.IP,.s
9ba0	6f 20 69 74 20 77 6f 75 6c 64 20 62 65 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 77 65 20 61	o.it.would.be.In.this.case,.we.a
9bc0	72 65 20 73 65 74 74 69 6e 67 20 74 68 65 20 76 36 20 72 75 6c 65 73 65 74 20 74 68 61 74 20 72	re.setting.the.v6.ruleset.that.r
9be0	65 70 72 65 73 65 6e 74 73 20 74 72 61 66 66 69 63 20 73 6f 75 72 63 65 64 20 66 72 6f 6d 20 74	epresents.traffic.sourced.from.t
9c00	68 65 20 4c 41 4e 2c 20 64 65 73 74 69 6e 65 64 20 66 6f 72 20 74 68 65 20 44 4d 5a 2e 20 42 65	he.LAN,.destined.for.the.DMZ..Be
9c20	63 61 75 73 65 20 74 68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 66 69 72 65 77 61 6c 6c 20 73	cause.the.zone-policy.firewall.s
9c40	79 6e 74 61 78 20 69 73 20 61 20 6c 69 74 74 6c 65 20 61 77 6b 77 61 72 64 2c 20 49 20 6b 65 65	yntax.is.a.little.awkward,.I.kee
9c60	70 20 69 74 20 73 74 72 61 69 67 68 74 20 62 79 20 74 68 69 6e 6b 69 6e 67 20 6f 66 20 69 74 20	p.it.straight.by.thinking.of.it.
9c80	62 61 63 6b 77 61 72 64 73 2e 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 77 65 27 6c 6c 20 74	backwards..In.this.case,.we'll.t
9ca0	72 79 20 74 6f 20 6d 61 6b 65 20 61 20 73 69 6d 70 6c 65 20 6c 61 62 20 75 73 69 6e 67 20 51 6f	ry.to.make.a.simple.lab.using.Qo
9cc0	53 20 61 6e 64 20 74 68 65 20 67 65 6e 65 72 61 6c 20 61 62 69 6c 69 74 79 20 6f 66 20 74 68 65	S.and.the.general.ability.of.the
9ce0	20 56 79 4f 53 20 73 79 73 74 65 6d 2e 20 57 65 20 72 65 63 6f 6d 6d 65 6e 64 20 79 6f 75 20 74	.VyOS.system..We.recommend.you.t
9d00	6f 20 67 6f 20 74 68 72 6f 75 67 68 20 74 68 65 20 6d 61 69 6e 20 61 72 74 69 63 6c 65 20 61 62	o.go.through.the.main.article.ab
9d20	6f 75 74 20 60 51 6f 53 20 3c 68 74 74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f 2f 65	out.`QoS.<https://docs.vyos.io/e
9d40	6e 2f 6c 61 74 65 73 74 2f 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 74 72 61 66 66 69 63 70 6f	n/latest/configuration/trafficpo
9d60	6c 69 63 79 2f 69 6e 64 65 78 2e 68 74 6d 6c 3e 60 5f 20 66 69 72 73 74 2e 00 49 6e 20 74 68 69	licy/index.html>`_.first..In.thi
9d80	73 20 64 6f 63 75 6d 65 6e 74 2c 20 77 65 20 68 61 76 65 20 62 65 65 6e 20 61 6c 6c 6f 63 61 74	s.document,.we.have.been.allocat
9da0	65 64 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32 34 20 62 79 20 6f 75 72 20 75 70 73 74 72 65 61	ed.203.0.113.0/24.by.our.upstrea
9dc0	6d 20 70 72 6f 76 69 64 65 72 2c 20 77 68 69 63 68 20 77 65 20 61 72 65 20 70 75 62 6c 69 73 68	m.provider,.which.we.are.publish
9de0	69 6e 67 20 6f 6e 20 56 4c 41 4e 31 30 30 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20	ing.on.VLAN100..In.this.example.
9e00	4f 70 65 6e 56 50 4e 20 77 69 6c 6c 20 62 65 20 73 65 74 75 70 20 77 69 74 68 20 61 20 63 6c 69	OpenVPN.will.be.setup.with.a.cli
9e20	65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65 20 61 6e 64 20 75 73 65 72 6e 61 6d 65 20 2f 20 70	ent.certificate.and.username./.p
9e40	61 73 73 77 6f 72 64 20 61 75 74 68 65 6e 74 69 63 61 74 69 6f 6e 2e 00 49 6e 20 74 68 69 73 20	assword.authentication..In.this.
9e60	65 78 61 6d 70 6c 65 20 74 77 6f 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 73 20 65 78 69 73 74	example.two.LAN.interfaces.exist
9e80	20 69 6e 20 64 69 66 66 65 72 65 6e 74 20 73 75 62 6e 65 74 73 20 69 6e 73 74 65 61 64 20 6f 66	.in.different.subnets.instead.of
9ea0	20 6f 6e 65 20 6c 69 6b 65 20 69 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c	.one.like.in.the.previous.exampl
9ec0	65 73 3a 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 77 65 20 68 61 76 65 20 34 20 7a 6f	es:.In.this.example.we.have.4.zo
9ee0	6e 65 73 2e 20 4c 41 4e 2c 20 57 41 4e 2c 20 44 4d 5a 2c 20 4c 6f 63 61 6c 2e 20 54 68 65 20 6c	nes..LAN,.WAN,.DMZ,.Local..The.l
9f00	6f 63 61 6c 20 7a 6f 6e 65 20 69 73 20 74 68 65 20 66 69 72 65 77 61 6c 6c 20 69 74 73 65 6c 66	ocal.zone.is.the.firewall.itself
9f20	2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 77 65 20 75 73 65 20 56 79 4f 53 20 31 2e	..In.this.example.we.use.VyOS.1.
9f40	35 20 61 73 20 4c 4e 53 20 61 6e 64 20 43 69 73 63 6f 20 49 4f 53 20 61 73 20 4c 41 43 2e 20 41	5.as.LNS.and.Cisco.IOS.as.LAC..A
9f60	6c 6c 20 75 73 65 72 73 20 77 69 74 68 20 64 6f 6d 61 69 6e 20 2a 2a 76 79 6f 73 2e 69 6f 2a 2a	ll.users.with.domain.**vyos.io**
9f80	20 77 69 6c 6c 20 62 65 20 74 75 6e 6e 65 6c 65 64 20 74 6f 20 4c 4e 53 20 76 69 61 20 4c 32 54	.will.be.tunneled.to.LNS.via.L2T
9fa0	50 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 2c 20 65 74 68 30 20 69 73 20 74 68 65 20	P..In.this.example,.eth0.is.the.
9fc0	70 72 69 6d 61 72 79 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 65 74 68 31 20 69 73 20 74 68	primary.interface.and.eth1.is.th
9fe0	65 20 73 65 63 6f 6e 64 61 72 79 20 69 6e 74 65 72 66 61 63 65 2e 20 54 6f 20 70 72 6f 76 69 64	e.secondary.interface..To.provid
a000	65 20 73 69 6d 70 6c 65 20 66 61 69 6c 6f 76 65 72 20 66 75 6e 63 74 69 6f 6e 61 6c 69 74 79 2e	e.simple.failover.functionality.
a020	20 49 66 20 65 74 68 30 20 66 61 69 6c 73 2c 20 65 74 68 31 20 74 61 6b 65 73 20 6f 76 65 72 2e	.If.eth0.fails,.eth1.takes.over.
a040	00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 2c 20 77 65 20 77 69 6c 6c 20 73 65 74 20 75 70	.In.this.example,.we.will.set.up
a060	20 61 20 73 69 6d 70 6c 65 20 75 73 65 20 6f 66 20 41 6e 73 69 62 6c 65 20 74 6f 20 63 6f 6e 66	.a.simple.use.of.Ansible.to.conf
a080	69 67 75 72 65 20 6d 75 6c 74 69 70 6c 65 20 56 79 6f 53 20 72 6f 75 74 65 72 73 2e 20 57 65 20	igure.multiple.VyoS.routers..We.
a0a0	68 61 76 65 20 66 6f 75 72 20 70 72 65 2d 63 6f 6e 66 69 67 75 72 65 64 20 72 6f 75 74 65 72 73	have.four.pre-configured.routers
a0c0	20 77 69 74 68 20 74 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 6e 20 74 68 69	.with.this.configuration:.In.thi
a0e0	73 20 6c 61 62 20 77 65 20 75 73 65 20 57 69 6e 64 6f 77 73 20 50 50 50 6f 45 20 63 6c 69 65 6e	s.lab.we.use.Windows.PPPoE.clien
a100	74 2e 00 49 6e 62 6f 75 6e 64 20 57 41 4e 20 63 6f 6e 6e 65 63 74 20 74 6f 20 44 4d 5a 20 68 6f	t..Inbound.WAN.connect.to.DMZ.ho
a120	73 74 2e 00 49 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 45 74 68 65 72 6e 65 74 20 56	st..Information.about.Ethernet.V
a140	69 72 74 75 61 6c 20 50 72 69 76 61 74 65 20 4e 65 74 77 6f 72 6b 73 00 49 6e 66 6f 72 6d 61 74	irtual.Private.Networks.Informat
a160	69 6f 6e 20 61 62 6f 75 74 20 70 72 65 66 69 78 2d 73 69 64 20 61 6e 64 20 6c 61 62 65 6c 2d 6f	ion.about.prefix-sid.and.label-o
a180	70 65 72 61 74 69 6f 6e 20 66 72 6f 6d 20 56 79 4f 53 00 49 6e 73 74 61 6c 6c 20 74 68 65 20 41	peration.from.VyOS.Install.the.A
a1a0	6e 73 69 62 6c 65 3a 00 49 6e 73 74 61 6c 6c 20 74 68 65 20 70 61 72 61 6d 69 6b 6f 3a 00 49 6e	nsible:.Install.the.paramiko:.In
a1c0	74 65 72 2d 56 52 46 20 52 6f 75 74 69 6e 67 20 6f 76 65 72 20 56 52 46 20 4c 69 74 65 00 49 6e	ter-VRF.Routing.over.VRF.Lite.In
a1e0	74 65 72 2d 56 52 46 20 72 6f 75 74 69 6e 67 20 69 73 20 61 20 77 65 6c 6c 2d 6b 6e 6f 77 6e 20	ter-VRF.routing.is.a.well-known.
a200	73 6f 6c 75 74 69 6f 6e 20 74 6f 20 61 64 64 72 65 73 73 20 63 6f 6d 70 6c 65 78 20 72 6f 75 74	solution.to.address.complex.rout
a220	69 6e 67 20 73 63 65 6e 61 72 69 6f 73 20 74 68 61 74 20 65 6e 61 62 6c 65 20 2d 69 6e 20 61 20	ing.scenarios.that.enable.-in.a.
a240	64 79 6e 61 6d 69 63 20 77 61 79 2d 20 74 6f 20 6c 65 61 6b 20 72 6f 75 74 65 73 20 62 65 74 77	dynamic.way-.to.leak.routes.betw
a260	65 65 6e 20 56 52 46 73 2e 20 49 73 20 72 65 63 6f 6d 6d 65 6e 64 65 64 20 74 6f 20 74 61 6b 65	een.VRFs..Is.recommended.to.take
a280	20 73 70 65 63 69 61 6c 20 63 6f 6e 73 69 64 65 72 61 74 69 6f 6e 20 77 68 69 6c 65 20 64 65 73	.special.consideration.while.des
a2a0	69 67 6e 69 6e 67 20 72 6f 75 74 65 2d 74 61 72 67 65 74 73 20 61 6e 64 20 69 74 73 20 61 70 70	igning.route-targets.and.its.app
a2c0	6c 69 63 61 74 69 6f 6e 20 61 73 20 69 74 20 63 61 6e 20 6d 69 6e 69 6d 69 7a 65 20 66 75 74 75	lication.as.it.can.minimize.futu
a2e0	72 65 20 69 6e 74 65 72 76 65 6e 74 69 6f 6e 73 20 77 68 69 6c 65 20 63 72 65 61 74 69 6e 67 20	re.interventions.while.creating.
a300	61 20 6e 65 77 20 56 52 46 20 77 69 6c 6c 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 20 74 61 6b	a.new.VRF.will.automatically.tak
a320	65 20 74 68 65 20 64 65 73 69 72 65 64 20 65 66 66 65 63 74 20 69 6e 20 69 74 73 20 70 72 6f 70	e.the.desired.effect.in.its.prop
a340	61 67 61 74 69 6f 6e 2e 00 49 6e 74 65 72 66 61 63 65 20 61 6e 64 20 72 6f 75 74 69 6e 67 20 63	agation..Interface.and.routing.c
a360	6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 6e 74 65 72 6e 61 6c 20 4e 65 74 77 6f 72 6b 00 49	onfiguration:.Internal.Network.I
a380	6e 74 65 72 6e 65 74 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31	nternet.Internet.-.192.168.200.1
a3a0	30 30 20 2d 20 54 43 50 2f 32 35 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32	00.-.TCP/25.Internet.-.192.168.2
a3c0	30 30 2e 31 30 30 20 2d 20 54 43 50 2f 34 34 33 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e	00.100.-.TCP/443.Internet.-.192.
a3e0	31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 35 33 00 49 6e 74 65 72 6e 65 74 20 2d 20	168.200.100.-.TCP/53.Internet.-.
a400	31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 38 30 00 49 74 20 69 73 20 61	192.168.200.100.-.TCP/80.It.is.a
a420	73 73 75 6d 65 64 20 74 68 61 74 20 74 68 65 20 72 6f 75 74 65 72 73 20 70 72 6f 76 69 64 65 64	ssumed.that.the.routers.provided
a440	20 62 79 20 75 70 73 74 72 65 61 6d 20 61 72 65 20 63 61 70 61 62 6c 65 20 6f 66 20 61 63 74 69	.by.upstream.are.capable.of.acti
a460	6e 67 20 61 73 20 61 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 2c 20 61 64 64 20 74 68 61 74	ng.as.a.default.router,.add.that
a480	20 61 73 20 61 20 73 74 61 74 69 63 20 72 6f 75 74 65 2e 00 49 74 20 69 73 20 67 6f 6f 64 20 70	.as.a.static.route..It.is.good.p
a4a0	72 61 63 74 69 63 65 20 74 6f 20 6c 6f 67 20 62 6f 74 68 20 61 63 63 65 70 74 65 64 20 61 6e 64	ractice.to.log.both.accepted.and
a4c0	20 64 65 6e 69 65 64 20 74 72 61 66 66 69 63 2e 20 49 74 20 63 61 6e 20 73 61 76 65 20 79 6f 75	.denied.traffic..It.can.save.you
a4e0	20 73 69 67 6e 69 66 69 63 61 6e 74 20 68 65 61 64 61 63 68 65 73 20 77 68 65 6e 20 74 72 79 69	.significant.headaches.when.tryi
a500	6e 67 20 74 6f 20 74 72 6f 75 62 6c 65 73 68 6f 6f 74 20 61 20 63 6f 6e 6e 65 63 74 69 76 69 74	ng.to.troubleshoot.a.connectivit
a520	79 20 69 73 73 75 65 2e 00 49 74 20 77 69 6c 6c 20 6c 6f 6f 6b 20 73 6f 6d 65 74 68 69 6e 67 20	y.issue..It.will.look.something.
a540	6c 69 6b 65 20 74 68 69 73 3a 00 49 74 27 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 6e 6f 74	like.this:.It's.important.to.not
a560	65 20 74 68 61 74 20 61 6c 6c 20 79 6f 75 72 20 65 78 69 73 74 69 6e 67 20 63 6f 6e 66 69 67 75	e.that.all.your.existing.configu
a580	72 61 74 69 6f 6e 73 20 77 69 6c 6c 20 62 65 20 6d 69 67 72 61 74 65 64 20 61 75 74 6f 6d 61 74	rations.will.be.migrated.automat
a5a0	69 63 61 6c 6c 79 20 6f 6e 20 69 6d 61 67 65 20 75 70 67 72 61 64 65 2e 20 4e 6f 74 68 69 6e 67	ically.on.image.upgrade..Nothing
a5c0	20 74 6f 20 64 6f 20 6f 6e 20 79 6f 75 72 20 73 69 64 65 2e 00 4b 65 65 70 20 6e 65 74 77 6f 72	.to.do.on.your.side..Keep.networ
a5e0	6b 73 20 69 73 6f 6c 61 74 65 64 20 69 73 20 2d 69 6e 20 67 65 6e 65 72 61 6c 2d 20 61 20 67 6f	ks.isolated.is.-in.general-.a.go
a600	6f 64 20 70 72 69 6e 63 69 70 6c 65 2c 20 62 75 74 20 74 68 65 72 65 20 61 72 65 20 63 61 73 65	od.principle,.but.there.are.case
a620	73 20 77 68 65 72 65 20 79 6f 75 20 6d 69 67 68 74 20 6e 65 65 64 20 74 68 61 74 20 73 6f 6d 65	s.where.you.might.need.that.some
a640	20 6e 65 74 77 6f 72 6b 20 63 61 6e 20 61 63 63 65 73 73 20 6f 74 68 65 72 20 69 6e 20 61 20 64	.network.can.access.other.in.a.d
a660	69 66 66 65 72 65 6e 74 20 56 52 46 2e 00 4c 33 56 50 4e 20 45 56 50 4e 20 77 69 74 68 20 56 79	ifferent.VRF..L3VPN.EVPN.with.Vy
a680	4f 53 00 4c 33 56 50 4e 20 45 56 50 4e 20 77 69 74 68 20 56 79 4f 53 20 74 6f 70 6f 6c 6f 67 79	OS.L3VPN.EVPN.with.VyOS.topology
a6a0	20 69 6d 61 67 65 00 4c 33 56 50 4e 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 70 61 72 61 6d	.image.L3VPN.configuration.param
a6c0	65 74 65 72 73 20 74 61 62 6c 65 3a 00 4c 33 56 50 4e 20 66 6f 72 20 48 75 62 2d 61 6e 64 2d 53	eters.table:.L3VPN.for.Hub-and-S
a6e0	70 6f 6b 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 77 69 74 68 20 56 79 4f 53 00 4c 41 43 00	poke.connectivity.with.VyOS.LAC.
a700	4c 41 4e 20 31 00 4c 41 4e 20 32 00 4c 41 4e 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 4c 41	LAN.1.LAN.2.LAN.Configuration.LA
a720	4e 20 61 6e 64 20 44 4d 5a 20 68 6f 73 74 73 20 68 61 76 65 20 62 61 73 69 63 20 6f 75 74 62 6f	N.and.DMZ.hosts.have.basic.outbo
a740	75 6e 64 20 61 63 63 65 73 73 3a 20 57 65 62 2c 20 46 54 50 2c 20 53 53 48 2e 00 4c 41 4e 20 63	und.access:.Web,.FTP,.SSH..LAN.c
a760	61 6e 20 61 63 63 65 73 73 20 44 4d 5a 20 72 65 73 6f 75 72 63 65 73 2e 00 4c 41 4e 2c 20 57 41	an.access.DMZ.resources..LAN,.WA
a780	4e 2c 20 44 4d 5a 2c 20 6c 6f 63 61 6c 20 61 6e 64 20 54 55 4e 20 28 74 75 6e 6e 65 6c 29 00 4c	N,.DMZ,.local.and.TUN.(tunnel).L
a7a0	41 4e 31 00 4c 41 4e 31 20 74 6f 20 4c 41 4e 32 00 4c 41 4e 31 20 74 6f 20 4f 75 74 73 69 64 65	AN1.LAN1.to.LAN2.LAN1.to.Outside
a7c0	00 4c 41 4e 32 00 4c 4e 53 00 4c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 49 50 76 34 20 72 6f 75	.LAN2.LNS.Let...s.check.IPv4.rou
a7e0	74 69 6e 67 20 61 6e 64 20 4d 50 4c 53 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 6f 6e 20 70 72 6f	ting.and.MPLS.information.on.pro
a800	76 69 64 65 72 20 6e 6f 64 65 73 20 28 73 61 6d 65 20 70 72 6f 63 65 64 75 72 65 20 66 6f 72 20	vider.nodes.(same.procedure.for.
a820	61 6c 6c 20 50 20 6e 6f 64 65 73 29 3a 00 4c 65 74 e2 80 99 73 20 73 61 79 20 77 65 20 68 61 76	all.P.nodes):.Let...s.say.we.hav
a840	65 20 61 20 72 65 71 75 69 72 65 6d 65 6e 74 20 74 6f 20 68 61 76 65 20 6d 75 6c 74 69 70 6c 65	e.a.requirement.to.have.multiple
a860	20 6e 65 74 77 6f 72 6b 73 2e 00 4c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20 73 68 6f 75 6c 64 20	.networks..Local.subnets.should.
a880	62 65 20 61 62 6c 65 20 74 6f 20 72 65 61 63 68 20 69 6e 74 65 72 6e 65 74 20 75 73 69 6e 67 20	be.able.to.reach.internet.using.
a8a0	73 6f 75 72 63 65 20 6e 61 74 2e 00 4d 50 2d 42 47 50 20 6f 72 20 4d 75 6c 74 69 50 72 6f 74 6f	source.nat..MP-BGP.or.MultiProto
a8c0	63 6f 6c 20 42 47 50 20 69 6e 74 72 6f 64 75 63 65 73 20 74 77 6f 20 6d 61 69 6e 20 63 6f 6e 63	col.BGP.introduces.two.main.conc
a8e0	65 70 74 73 20 74 6f 20 73 6f 6c 76 65 20 74 68 69 73 20 6c 69 6d 69 74 61 74 69 6f 6e 3a 20 2d	epts.to.solve.this.limitation:.-
a900	20 52 6f 75 74 65 20 44 69 73 74 69 6e 67 75 69 73 68 65 72 20 28 52 44 29 3a 20 49 73 20 75 73	.Route.Distinguisher.(RD):.Is.us
a920	65 64 20 74 6f 20 64 69 73 74 69 6e 67 75 69 73 68 20 62 65 74 77 65 65 6e 20 64 69 66 66 65 72	ed.to.distinguish.between.differ
a940	65 6e 74 20 56 52 46 73 20 e2 80 93 63 61 6c 6c 65 64 20 56 50 4e 73 2d 20 69 6e 73 69 64 65 20	ent.VRFs....called.VPNs-.inside.
a960	74 68 65 20 42 47 50 20 50 72 6f 63 65 73 73 2e 20 54 68 65 20 52 44 20 69 73 20 61 70 70 65 6e	the.BGP.Process..The.RD.is.appen
a980	64 65 64 20 74 6f 20 65 61 63 68 20 49 50 76 34 20 4e 65 74 77 6f 72 6b 20 74 68 61 74 20 69 73	ded.to.each.IPv4.Network.that.is
a9a0	20 61 64 76 65 72 74 69 73 65 64 20 69 6e 74 6f 20 42 47 50 20 66 6f 72 20 74 68 61 74 20 56 50	.advertised.into.BGP.for.that.VP
a9c0	4e 20 6d 61 6b 69 6e 67 20 69 74 20 61 20 75 6e 69 71 75 65 20 56 50 4e 76 34 20 72 6f 75 74 65	N.making.it.a.unique.VPNv4.route
a9e0	2e 20 2d 20 52 6f 75 74 65 20 54 61 72 67 65 74 20 28 52 54 29 3a 20 54 68 69 73 20 69 73 20 61	..-.Route.Target.(RT):.This.is.a
aa00	6e 20 65 78 74 65 6e 64 65 64 20 42 47 50 20 63 6f 6d 6d 75 6e 69 74 79 20 61 70 70 65 6e 64 20	n.extended.BGP.community.append.
aa20	74 6f 20 74 68 65 20 56 50 4e 76 34 20 72 6f 75 74 65 20 69 6e 20 74 68 65 20 49 6d 70 6f 72 74	to.the.VPNv4.route.in.the.Import
aa40	2f 45 78 70 6f 72 74 20 70 72 6f 63 65 73 73 2e 20 57 68 65 6e 20 61 20 72 6f 75 74 65 20 70 61	/Export.process..When.a.route.pa
aa60	73 73 65 73 20 66 72 6f 6d 20 74 68 65 20 56 52 46 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20	sses.from.the.VRF.routing.table.
aa80	69 6e 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 20 69 74 20 77 69 6c 6c 20 61 64 64	into.the.BGP.process.it.will.add
aaa0	20 74 68 65 20 63 6f 6e 66 69 67 75 72 65 64 20 65 78 70 6f 72 74 20 65 78 74 65 6e 64 65 64 20	.the.configured.export.extended.
aac0	63 6f 6d 6d 75 6e 69 74 79 28 69 65 73 29 20 66 6f 72 20 74 68 61 74 20 56 50 4e 2e 20 57 68 65	community(ies).for.that.VPN..Whe
aae0	6e 20 74 68 61 74 20 72 6f 75 74 65 20 6e 65 65 64 73 20 74 6f 20 67 6f 20 66 72 6f 6d 20 42 47	n.that.route.needs.to.go.from.BG
ab00	50 20 69 6e 74 6f 20 74 68 65 20 56 52 46 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 77 69 6c	P.into.the.VRF.routing.table.wil
ab20	6c 20 6f 6e 6c 79 20 70 61 73 73 20 69 66 20 74 68 61 74 20 67 69 76 65 6e 20 56 50 4e 20 69 6d	l.only.pass.if.that.given.VPN.im
ab40	70 6f 72 74 20 70 6f 6c 69 63 79 20 6d 61 74 63 68 65 73 20 61 6e 79 20 6f 66 20 74 68 65 20 61	port.policy.matches.any.of.the.a
ab60	70 70 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 28 69 65 73 29 20 69 6e 74 6f 20 74 68 61 74	ppended.community(ies).into.that
ab80	20 70 72 65 66 69 78 2e 00 4d 61 69 6e 20 72 75 6c 65 73 3a 00 4d 61 6b 65 20 73 75 72 65 20 79	.prefix..Main.rules:.Make.sure.y
aba0	6f 75 20 63 61 6e 20 70 69 6e 67 20 31 30 2e 32 35 34 2e 36 30 2e 31 20 61 6e 64 20 2e 32 20 66	ou.can.ping.10.254.60.1.and..2.f
abc0	72 6f 6d 20 62 6f 74 68 20 72 6f 75 74 65 72 73 2e 00 4d 61 6e 61 67 65 6d 65 6e 74 00 4d 61 6e	rom.both.routers..Management.Man
abe0	61 67 65 6d 65 6e 74 20 56 52 46 00 4d 61 6e 79 20 6f 74 68 65 72 20 48 79 70 65 72 76 69 73 6f	agement.VRF.Many.other.Hyperviso
ac00	72 73 20 64 6f 20 74 68 69 73 2c 20 61 6e 64 20 49 27 6d 20 68 6f 70 69 6e 67 20 74 68 61 74 20	rs.do.this,.and.I'm.hoping.that.
ac20	74 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77 69 6c 6c 20 62 65 20 65 78 70 61 6e 64 65 64 20 74	this.document.will.be.expanded.t
ac40	6f 20 64 6f 63 75 6d 65 6e 74 20 68 6f 77 20 74 6f 20 64 6f 20 74 68 69 73 20 66 6f 72 20 6f 74	o.document.how.to.do.this.for.ot
ac60	68 65 72 73 2e 00 4d 61 73 71 75 65 72 61 64 65 20 54 72 61 66 66 69 63 20 6f 72 69 67 69 6e 61	hers..Masquerade.Traffic.origina
ac80	74 69 6e 67 20 66 72 6f 6d 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 74 68 61 74 20 69	ting.from.10.200.201.0/24.that.i
aca0	73 20 68 65 61 64 69 6e 67 20 6f 75 74 20 74 68 65 20 70 75 62 6c 69 63 20 69 6e 74 65 72 66 61	s.heading.out.the.public.interfa
acc0	63 65 2e 00 4d 6f 6e 69 74 6f 72 69 6e 67 00 4d 6f 6e 69 74 6f 72 69 6e 67 20 6f 6e 20 4c 41 43	ce..Monitoring.Monitoring.on.LAC
ace0	20 73 69 64 65 00 4d 6f 6e 69 74 6f 72 69 6e 67 20 6f 6e 20 4c 4e 53 20 73 69 64 65 00 4d 6f 6e	.side.Monitoring.on.LNS.side.Mon
ad00	69 74 6f 72 69 6e 67 20 6f 6e 20 52 41 44 49 55 53 20 53 65 72 76 65 72 20 73 69 64 65 00 4d 75	itoring.on.RADIUS.Server.side.Mu
ad20	6c 74 69 70 6c 65 20 4c 41 4e 2f 44 4d 5a 20 53 65 74 75 70 00 4e 41 54 20 61 6e 64 20 63 6f 6e	ltiple.LAN/DMZ.Setup.NAT.and.con
ad40	6e 74 72 61 63 6b 2d 73 79 6e 63 00 4e 4d 50 20 65 78 61 6d 70 6c 65 00 4e 61 74 69 76 65 20 49	ntrack-sync.NMP.example.Native.I
ad60	50 76 34 20 61 6e 64 20 49 50 76 36 00 4e 65 74 77 6f 72 6b 20 43 61 62 6c 69 6e 67 00 4e 65 74	Pv4.and.IPv6.Network.Cabling.Net
ad80	77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 20 44	work.Topology.Network.Topology.D
ada0	69 61 67 72 61 6d 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 20 61 6e 64 20 72 65 71 75	iagram.Network.Topology.and.requ
adc0	69 72 65 6d 65 6e 74 73 00 4e 65 78 74 20 6f 6e 20 74 68 65 20 72 6f 75 74 65 72 20 56 79 4f 53	irements.Next.on.the.router.VyOS
ade0	32 20 77 65 20 77 69 6c 6c 20 63 68 61 6e 67 65 20 6c 61 62 65 6c 73 20 6f 6e 20 61 6c 6c 20 69	2.we.will.change.labels.on.all.i
ae00	6e 63 6f 6d 69 6e 67 20 74 72 61 66 66 69 63 20 6f 6e 6c 79 20 66 72 6f 6d 20 43 53 34 2d 3e 20	ncoming.traffic.only.from.CS4->.
ae20	43 53 36 00 4e 65 78 74 20 74 68 69 6e 67 20 74 6f 20 64 6f 2c 20 69 73 20 74 6f 20 63 72 65 61	CS6.Next.thing.to.do,.is.to.crea
ae40	74 65 20 61 20 77 69 72 65 67 75 61 72 64 20 6b 65 79 70 61 69 72 20 6f 6e 20 65 61 63 68 20 73	te.a.wireguard.keypair.on.each.s
ae60	69 64 65 2e 20 41 66 74 65 72 20 74 68 69 73 2c 20 74 68 65 20 70 75 62 6c 69 63 20 6b 65 79 20	ide..After.this,.the.public.key.
ae80	63 61 6e 20 62 65 20 64 69 73 70 6c 61 79 65 64 2c 20 74 6f 20 73 61 76 65 20 66 6f 72 20 6c 61	can.be.displayed,.to.save.for.la
aea0	74 65 72 2e 00 4e 65 78 74 2c 20 77 65 20 77 69 6c 6c 20 72 65 70 6c 61 63 65 20 6f 6e 6c 79 20	ter..Next,.we.will.replace.only.
aec0	61 6c 6c 20 43 53 34 20 6c 61 62 65 6c 73 20 6f 6e 20 74 68 65 20 e2 80 9c 56 79 4f 53 32 e2 80	all.CS4.labels.on.the....VyOS2..
aee0	9d 20 72 6f 75 74 65 72 2e 00 4e 65 78 74 2c 20 79 6f 75 20 6a 75 73 74 20 20 73 68 6f 75 6c 64	..router..Next,.you.just..should
af00	20 66 6f 6c 6c 6f 77 20 74 68 65 20 70 69 63 74 75 72 65 73 3a 00 4e 6f 64 65 00 4e 6f 74 65 20	.follow.the.pictures:.Node.Note.
af20	74 68 61 74 20 72 6f 75 74 65 72 31 20 69 73 20 61 20 56 4d 20 74 68 61 74 20 72 75 6e 73 20 6f	that.router1.is.a.VM.that.runs.o
af40	6e 20 6f 6e 65 20 6f 66 20 74 68 65 20 63 6f 6d 70 75 74 65 20 6e 6f 64 65 73 2e 00 4e 6f 74 65	n.one.of.the.compute.nodes..Note
af60	20 74 6f 20 61 6c 6c 6f 77 20 74 68 65 20 72 6f 75 74 65 72 20 74 6f 20 72 65 63 65 69 76 65 20	.to.allow.the.router.to.receive.
af80	44 48 43 50 76 36 20 72 65 73 70 6f 6e 73 65 20 66 72 6f 6d 20 49 53 50 2e 20 57 65 20 6e 65 65	DHCPv6.response.from.ISP..We.nee
afa0	64 20 74 6f 20 61 6c 6c 6f 77 20 70 61 63 6b 65 74 73 20 77 69 74 68 20 73 6f 75 72 63 65 20 70	d.to.allow.packets.with.source.p
afc0	6f 72 74 20 35 34 37 20 28 73 65 72 76 65 72 29 20 61 6e 64 20 64 65 73 74 69 6e 61 74 69 6f 6e	ort.547.(server).and.destination
afe0	20 70 6f 72 74 20 35 34 36 20 28 63 6c 69 65 6e 74 29 2e 00 4e 6f 74 69 63 65 2c 20 6e 6f 6e 65	.port.546.(client)..Notice,.none
b000	20 67 6f 20 74 6f 20 57 41 4e 20 73 69 6e 63 65 20 57 41 4e 20 77 6f 75 6c 64 6e 27 74 20 68 61	.go.to.WAN.since.WAN.wouldn't.ha
b020	76 65 20 61 20 76 36 20 61 64 64 72 65 73 73 20 6f 6e 20 69 74 2e 00 4e 6f 77 20 65 6e 61 62 6c	ve.a.v6.address.on.it..Now.enabl
b040	65 20 72 65 70 6c 69 63 61 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 6e 6f 64 65 73 2e 20 52 65 70	e.replication.between.nodes..Rep
b060	6c 61 63 65 20 65 74 68 30 2e 32 30 31 20 77 69 74 68 20 62 6f 6e 64 30 2e 32 30 31 20 6f 6e 20	lace.eth0.201.with.bond0.201.on.
b080	74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 4e 6f 77 20 67 65 6e 65 72 61 74	the.hardware.router..Now.generat
b0a0	65 20 61 6c 6c 20 72 65 71 75 69 72 65 64 20 63 65 72 74 69 66 69 63 61 74 65 73 20 6f 6e 20 74	e.all.required.certificates.on.t
b0c0	68 65 20 6f 76 70 6e 2d 73 65 72 76 65 72 3a 00 4e 6f 77 20 74 68 65 20 43 6c 69 65 6e 74 20 69	he.ovpn-server:.Now.the.Client.i
b0e0	73 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 61 20 70 75 62 6c 69 63 20 49 50 76 36 20 61 64 64	s.able.to.ping.a.public.IPv6.add
b100	72 65 73 73 00 4e 6f 77 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 73 65 74 75 70 20 74 68	ress.Now.we.are.able.to.setup.th
b120	65 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 2e 00 4e 6f 77 20 77 65 20 70 65 72 66 6f	e.tunnel.interface..Now.we.perfo
b140	72 6d 20 73 6f 6d 65 20 65 6e 64 2d 74 6f 2d 65 6e 64 20 74 65 73 74 69 6e 67 00 4e 6f 77 20 77	rm.some.end-to-end.testing.Now.w
b160	65 e2 80 99 72 65 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 73 74 61 74 75 73 20 61 6e 64 20	e...re.checking.iBGP.status.and.
b180	72 6f 75 74 65 73 20 66 72 6f 6d 20 72 6f 75 74 65 2d 72 65 66 6c 65 63 74 6f 72 20 6e 6f 64 65	routes.from.route-reflector.node
b1a0	73 20 74 6f 20 6f 74 68 65 72 20 64 65 76 69 63 65 73 3a 00 4e 6f 77 20 79 6f 75 20 73 68 6f 75	s.to.other.devices:.Now.you.shou
b1c0	6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 61 20 70 75 62 6c 69 63 20 49 50 76 36	ld.be.able.to.ping.a.public.IPv6
b1e0	20 41 64 64 72 65 73 73 00 4e 6f 77 2c 20 6c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 72 6f 75 74	.Address.Now,.let...s.check.rout
b200	69 6e 67 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 6f 6e 20 6f 75 74 20 48 75 62 20 50 45 3a 00 4f	ing.information.on.out.Hub.PE:.O
b220	53 50 46 20 4f 76 65 72 20 57 69 72 65 47 75 61 72 64 00 4f 53 50 46 20 75 6e 6e 75 6d 62 65 72	SPF.Over.WireGuard.OSPF.unnumber
b240	65 64 20 77 69 74 68 20 45 43 4d 50 00 4f 6e 20 74 68 65 20 72 6f 75 74 65 72 2c 20 56 79 4f 53	ed.with.ECMP.On.the.router,.VyOS
b260	34 20 73 65 74 20 61 6c 6c 20 74 72 61 66 66 69 63 20 61 73 20 43 53 34 2e 20 57 65 20 68 61 76	4.set.all.traffic.as.CS4..We.hav
b280	65 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 64 65 66 61 75 6c 74 20 63 6c 61 73 73	e.to.configure.the.default.class
b2a0	20 61 6e 64 20 63 6c 61 73 73 20 66 6f 72 20 63 68 61 6e 67 69 6e 67 20 61 6c 6c 20 6c 61 62 65	.and.class.for.changing.all.labe
b2c0	6c 73 20 66 72 6f 6d 20 43 53 30 20 74 6f 20 43 53 34 00 4f 6e 2d 70 72 65 6d 69 73 65 73 20 61	ls.from.CS0.to.CS4.On-premises.a
b2e0	64 64 72 65 73 73 20 73 70 61 63 65 00 4f 6e 63 65 20 61 6c 6c 20 72 6f 75 74 65 72 73 20 63 61	ddress.space.Once.all.routers.ca
b300	6e 20 62 65 20 73 61 66 65 6c 79 20 72 65 6d 6f 74 65 6c 79 20 6d 61 6e 61 67 65 64 20 61 6e 64	n.be.safely.remotely.managed.and
b320	20 74 68 65 20 63 6f 72 65 20 6e 65 74 77 6f 72 6b 20 69 73 20 6f 70 65 72 61 74 69 6f 6e 61 6c	.the.core.network.is.operational
b340	2c 20 77 65 20 63 61 6e 20 6e 6f 77 20 73 65 74 75 70 20 74 68 65 20 74 65 6e 61 6e 74 20 6e 65	,.we.can.now.setup.the.tenant.ne
b360	74 77 6f 72 6b 73 2e 00 4f 6e 63 65 20 61 6c 6c 20 74 68 65 20 72 65 71 75 69 72 65 64 20 63 65	tworks..Once.all.the.required.ce
b380	72 74 69 66 69 63 61 74 65 73 20 61 6e 64 20 6b 65 79 73 20 61 72 65 20 69 6e 73 74 61 6c 6c 65	rtificates.and.keys.are.installe
b3a0	64 2c 20 74 68 65 20 72 65 6d 61 69 6e 69 6e 67 20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 20	d,.the.remaining.OpenVPN.Server.
b3c0	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 63 61 72 72 69 65 64 20 6f 75 74	configuration.can.be.carried.out
b3e0	2e 00 4f 6e 63 65 20 79 6f 75 20 68 61 76 65 20 61 6c 6c 20 6f 66 20 79 6f 75 72 20 72 75 6c 65	..Once.you.have.all.of.your.rule
b400	73 65 74 73 20 62 75 69 6c 74 2c 20 74 68 65 6e 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 63 72 65	sets.built,.then.you.need.to.cre
b420	61 74 65 20 79 6f 75 72 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 2e 00 4f 6e 65 20 61 64 76 61 6e 74	ate.your.zone-policy..One.advant
b440	61 67 65 20 6f 66 20 68 61 76 69 6e 67 20 74 68 65 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69	age.of.having.the.client.certifi
b460	63 61 74 65 20 73 74 6f 72 65 64 20 69 73 20 74 68 65 20 61 62 69 6c 69 74 79 20 74 6f 20 63 72	cate.stored.is.the.ability.to.cr
b480	65 61 74 65 20 74 68 65 20 63 6c 69 65 6e 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 4f	eate.the.client.configuration..O
b4a0	6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77	ne.cable/logical.connection.betw
b4c0	65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 49 6e 74 65 72 6e 65 74 00 4f 6e 65 20 63 61 62 6c 65 2f	een.LAN1.and.Internet.One.cable/
b4e0	6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20	logical.connection.between.LAN1.
b500	61 6e 64 20 4c 41 4e 32 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65	and.LAN2.One.cable/logical.conne
b520	63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e	ction.between.LAN1.and.Managemen
b540	74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62	t.One.cable/logical.connection.b
b560	65 74 77 65 65 6e 20 4c 41 4e 32 20 61 6e 64 20 49 6e 74 65 72 6e 65 74 00 4f 6e 65 20 63 61 62	etween.LAN2.and.Internet.One.cab
b580	6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41	le/logical.connection.between.LA
b5a0	4e 32 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 00 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 4c	N2.and.Management.OpenVPN.with.L
b5c0	44 41 50 00 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 4c 44 41 50 20 74 6f 70 6f 6c 6f 67 79 20 69	DAP.OpenVPN.with.LDAP.topology.i
b5e0	6d 61 67 65 00 4f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 3a 20 56 79 4f 53 00 4f 75 72 20	mage.Operating.system:.VyOS.Our.
b600	69 6d 70 6c 65 6d 65 6e 74 61 74 69 6f 6e 20 75 73 65 73 20 56 4d 77 61 72 65 27 73 20 44 69 73	implementation.uses.VMware's.Dis
b620	74 72 69 62 75 74 65 64 20 50 6f 72 74 20 47 72 6f 75 70 73 2c 20 77 68 69 63 68 20 61 6c 6c 6f	tributed.Port.Groups,.which.allo
b640	77 73 20 56 4d 77 61 72 65 20 74 6f 20 75 73 65 20 4c 41 43 50 2e 20 54 68 69 73 20 69 73 20 61	ws.VMware.to.use.LACP..This.is.a
b660	20 70 61 72 74 20 6f 66 20 74 68 65 20 45 4e 54 45 52 50 52 49 53 45 20 6c 69 63 65 6e 63 65 2c	.part.of.the.ENTERPRISE.licence,
b680	20 61 6e 64 20 69 73 20 6e 6f 74 20 61 76 61 69 6c 61 62 6c 65 20 6f 6e 20 61 20 66 72 65 65 20	.and.is.not.available.on.a.free.
b6a0	6c 69 63 65 6e 63 65 2e 20 49 66 20 79 6f 75 20 61 72 65 20 69 6d 70 6c 65 6d 65 6e 74 69 6e 67	licence..If.you.are.implementing
b6c0	20 74 68 69 73 20 61 6e 64 20 64 6f 20 6e 6f 74 20 68 61 76 65 20 61 63 63 65 73 73 20 74 6f 20	.this.and.do.not.have.access.to.
b6e0	44 50 47 73 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 74 20 75 73 65 20 56 4d 77 61 72 65 2c	DPGs,.you.should.not.use.VMware,
b700	20 61 6e 64 20 75 73 65 20 73 6f 6d 65 20 6f 74 68 65 72 20 76 69 72 74 75 61 6c 69 7a 61 74 69	.and.use.some.other.virtualizati
b720	6f 6e 20 70 6c 61 74 66 6f 72 6d 20 69 6e 73 74 65 61 64 2e 00 4f 75 72 20 72 6f 75 74 65 72 73	on.platform.instead..Our.routers
b740	20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 68 61 76 65 20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50	.are.going.to.have.a.floating.IP
b760	20 61 64 64 72 65 73 73 20 6f 66 20 32 30 33 2e 30 2e 31 31 33 2e 31 2c 20 61 6e 64 20 75 73 65	.address.of.203.0.113.1,.and.use
b780	20 2e 32 20 61 6e 64 20 2e 33 20 61 73 20 74 68 65 69 72 20 66 69 78 65 64 20 49 50 73 2e 00 4f	..2.and..3.as.their.fixed.IPs..O
b7a0	76 65 72 76 69 65 77 00 50 45 31 00 50 45 31 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 6e	verview.PE1.PE1.is.located.in.an
b7c0	20 69 6e 64 75 73 74 72 69 61 6c 20 61 72 65 61 20 74 68 61 74 20 68 6f 6c 64 73 20 6d 75 6c 74	.industrial.area.that.holds.mult
b7e0	69 70 6c 65 20 6f 66 66 69 63 65 20 62 75 69 6c 64 69 6e 67 73 2e 20 41 6c 6c 20 63 75 73 74 6f	iple.office.buildings..All.custo
b800	6d 65 72 73 20 68 61 76 65 20 61 20 73 69 74 65 20 69 6e 20 74 68 69 73 20 61 72 65 61 2e 00 50	mers.have.a.site.in.this.area..P
b820	45 32 00 50 45 32 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 20 73 6d 61 6c 6c 65 72 20 61	E2.PE2.is.located.in.a.smaller.a
b840	72 65 61 20 77 68 65 72 65 20 62 79 20 63 6f 69 6e 63 69 64 65 6e 63 65 20 74 77 6f 20 63 75 73	rea.where.by.coincidence.two.cus
b860	74 6f 6d 65 72 73 20 28 62 6c 75 65 20 61 6e 64 20 72 65 64 29 20 73 68 61 72 65 20 61 6e 20 6f	tomers.(blue.and.red).share.an.o
b880	66 66 69 63 65 20 62 75 69 6c 64 69 6e 67 2e 00 50 45 33 00 50 45 33 20 69 73 20 6c 6f 63 61 74	ffice.building..PE3.PE3.is.locat
b8a0	65 64 20 69 6e 20 61 20 73 6d 61 6c 6c 65 72 20 61 72 65 61 20 77 68 65 72 65 20 62 79 20 63 6f	ed.in.a.smaller.area.where.by.co
b8c0	69 6e 63 69 64 65 6e 63 65 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 73 20 28 62 6c 75 65 20 61 6e	incidence.two.customers.(blue.an
b8e0	64 20 67 72 65 65 6e 29 20 61 72 65 20 6c 6f 63 61 74 65 64 2e 00 50 50 50 6f 45 20 49 50 76 36	d.green).are.located..PPPoE.IPv6
b900	20 42 61 73 69 63 20 53 65 74 75 70 20 66 6f 72 20 48 6f 6d 65 20 4e 65 74 77 6f 72 6b 00 50 50	.Basic.Setup.for.Home.Network.PP
b920	50 6f 45 20 53 65 74 75 70 00 50 50 50 6f 45 20 6f 76 65 72 20 4c 32 54 50 00 50 69 6e 67 20 62	PoE.Setup.PPPoE.over.L2TP.Ping.b
b940	65 74 77 65 65 6e 20 56 79 4f 53 2d 50 31 20 2f 20 56 79 4f 53 2d 50 32 20 74 6f 20 63 6f 6e 66	etween.VyOS-P1./.VyOS-P2.to.conf
b960	69 72 6d 20 72 65 61 63 68 61 62 69 6c 69 74 79 3a 00 50 69 6e 67 20 74 68 65 20 43 6c 69 65 6e	irm.reachability:.Ping.the.Clien
b980	74 20 66 72 6f 6d 20 74 68 65 20 44 48 43 50 20 53 65 72 76 65 72 2e 00 50 69 6e 67 73 20 77 69	t.from.the.DHCP.Server..Pings.wi
b9a0	6c 6c 20 62 65 20 73 65 6e 74 20 74 6f 20 66 6f 75 72 20 74 61 72 67 65 74 73 20 66 6f 72 20 68	ll.be.sent.to.four.targets.for.h
b9c0	65 61 6c 74 68 20 74 65 73 74 69 6e 67 20 28 33 33 2e 34 34 2e 35 35 2e 36 36 2c 20 34 34 2e 35	ealth.testing.(33.44.55.66,.44.5
b9e0	35 2e 36 36 2e 37 37 2c 20 35 35 2e 36 36 2e 37 37 2e 38 38 20 61 6e 64 20 36 36 2e 37 37 2e 38	5.66.77,.55.66.77.88.and.66.77.8
ba00	38 2e 39 39 29 2e 00 50 6c 65 61 73 65 20 6e 6f 74 65 2c 20 27 61 75 74 6f 6e 6f 6d 6f 75 73 2d	8.99)..Please.note,.'autonomous-
ba20	66 6c 61 67 27 20 61 6e 64 20 27 6f 6e 2d 6c 69 6e 6b 2d 66 6c 61 67 27 20 61 72 65 20 65 6e 61	flag'.and.'on-link-flag'.are.ena
ba40	62 6c 65 64 20 62 79 20 64 65 66 61 75 6c 74 2c 20 27 76 61 6c 69 64 2d 6c 69 66 65 74 69 6d 65	bled.by.default,.'valid-lifetime
ba60	27 20 61 6e 64 20 27 70 72 65 66 65 72 72 65 64 2d 6c 69 66 65 74 69 6d 65 27 20 61 72 65 20 73	'.and.'preferred-lifetime'.are.s
ba80	65 74 20 74 6f 20 64 65 66 61 75 6c 74 20 76 61 6c 75 65 73 20 6f 66 20 33 30 20 64 61 79 73 20	et.to.default.values.of.30.days.
baa0	61 6e 64 20 34 20 68 6f 75 72 73 20 72 65 73 70 65 63 74 69 76 65 6c 79 2e 00 50 6f 6c 69 63 79	and.4.hours.respectively..Policy
bac0	2d 42 61 73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 61 6e 64 20 46 69 72 65	-Based.Site-to-Site.VPN.and.Fire
bae0	77 61 6c 6c 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 50 72 65 2d 73 68 61 72 65 64 20 6b 65	wall.Configuration.Pre-shared.ke
bb00	79 00 50 72 65 72 65 71 75 69 73 69 74 65 73 00 50 72 69 6f 72 69 74 69 65 73 00 50 72 6f 74 65	y.Prerequisites.Priorities.Prote
bb20	63 74 20 74 68 65 20 72 6f 75 74 65 72 20 6f 6e 20 27 57 41 4e 27 20 69 6e 74 65 72 66 61 63 65	ct.the.router.on.'WAN'.interface
bb40	2c 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 69 70 73 65 63 20 63 6f 6e 6e 65 63 74 69 6f 6e	,.allowing.only.ipsec.connection
bb60	73 20 61 6e 64 20 73 73 68 20 61 63 63 65 73 73 20 66 72 6f 6d 20 74 72 75 73 74 65 64 20 69 70	s.and.ssh.access.from.trusted.ip
bb80	73 2e 00 50 75 62 6c 69 63 20 4e 65 74 77 6f 72 6b 00 51 6f 53 20 65 78 61 6d 70 6c 65 00 52 44	s..Public.Network.QoS.example.RD
bba0	00 52 44 20 26 20 52 54 20 53 63 68 65 6d 61 00 52 54 00 52 54 20 65 78 70 6f 72 74 00 52 54 20	.RD.&.RT.Schema.RT.RT.export.RT.
bbc0	69 6d 70 6f 72 74 00 52 65 67 75 6c 61 72 20 56 79 4f 53 20 75 73 65 72 73 20 77 69 6c 6c 20 6e	import.Regular.VyOS.users.will.n
bbe0	6f 74 69 63 65 20 74 68 61 74 20 74 68 65 20 42 47 50 20 73 79 6e 74 61 78 20 68 61 73 20 63 68	otice.that.the.BGP.syntax.has.ch
bc00	61 6e 67 65 64 20 69 6e 20 56 79 4f 53 20 31 2e 34 20 66 72 6f 6d 20 65 76 65 6e 20 74 68 65 20	anged.in.VyOS.1.4.from.even.the.
bc20	70 72 69 6f 72 20 70 6f 73 74 20 61 62 6f 75 74 20 74 68 69 73 20 73 75 62 6a 65 63 74 2e 20 54	prior.post.about.this.subject..T
bc40	68 69 73 20 69 73 20 64 75 65 20 74 6f 20 54 31 37 31 31 2c 20 77 68 65 72 65 20 69 74 20 77 61	his.is.due.to.T1711,.where.it.wa
bc60	73 20 66 69 6e 61 6c 6c 79 20 64 65 63 69 64 65 64 20 74 6f 20 67 65 74 20 72 69 64 20 6f 66 20	s.finally.decided.to.get.rid.of.
bc80	74 68 65 20 72 65 64 75 6e 64 61 6e 74 20 42 47 50 20 41 53 4e 20 28 41 75 74 6f 6e 6f 6d 6f 75	the.redundant.BGP.ASN.(Autonomou
bca0	73 20 53 79 73 74 65 6d 20 4e 75 6d 62 65 72 29 20 73 70 65 63 69 66 69 63 61 74 69 6f 6e 20 6f	s.System.Number).specification.o
bcc0	6e 20 74 68 65 20 43 4c 49 20 61 6e 64 20 6d 6f 76 65 20 69 74 20 74 6f 20 61 20 73 69 6e 67 6c	n.the.CLI.and.move.it.to.a.singl
bce0	65 20 6c 65 61 66 20 6e 6f 64 65 20 28 73 65 74 20 70 72 6f 74 6f 63 6f 6c 73 20 62 67 70 20 6c	e.leaf.node.(set.protocols.bgp.l
bd00	6f 63 61 6c 2d 61 73 29 2e 00 52 65 6d 6f 74 65 20 4e 65 74 77 6f 72 6b 73 00 52 65 70 6c 61 63	ocal-as)..Remote.Networks.Replac
bd20	65 20 74 68 65 20 32 30 33 2e 30 2e 31 31 33 2e 33 20 77 69 74 68 20 77 68 61 74 65 76 65 72 20	e.the.203.0.113.3.with.whatever.
bd40	74 68 65 20 6f 74 68 65 72 20 72 6f 75 74 65 72 27 73 20 49 50 20 61 64 64 72 65 73 73 20 69 73	the.other.router's.IP.address.is
bd60	2e 00 52 65 71 75 65 73 74 65 64 20 61 20 22 52 65 67 75 6c 61 72 20 54 75 6e 6e 65 6c 22 2e 20	..Requested.a."Regular.Tunnel"..
bd80	59 6f 75 20 77 61 6e 74 20 74 6f 20 63 68 6f 6f 73 65 20 61 20 6c 6f 63 61 74 69 6f 6e 20 74 68	You.want.to.choose.a.location.th
bda0	61 74 20 69 73 20 63 6c 6f 73 65 73 74 20 74 6f 20 79 6f 75 72 20 70 68 79 73 69 63 61 6c 20 6c	at.is.closest.to.your.physical.l
bdc0	6f 63 61 74 69 6f 6e 20 66 6f 72 20 74 68 65 20 62 65 73 74 20 72 65 73 70 6f 6e 73 65 20 74 69	ocation.for.the.best.response.ti
bde0	6d 65 2e 00 52 65 73 75 6c 74 73 00 52 6f 6c 65 00 52 6f 75 74 65 2d 42 61 73 65 64 20 52 65 64	me..Results.Role.Route-Based.Red
be00	75 6e 64 61 6e 74 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65	undant.Site-to-Site.VPN.to.Azure
be20	20 28 42 47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f 49 50 73 65 63 29 00 52 6f 75 74 65 2d 42 61	.(BGP.over.IKEv2/IPsec).Route-Ba
be40	73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 28 42	sed.Site-to-Site.VPN.to.Azure.(B
be60	47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f 49 50 73 65 63 29 00 52 6f 75 74 65 2d 46 69 6c 74 65	GP.over.IKEv2/IPsec).Route-Filte
be80	72 69 6e 67 00 52 6f 75 74 65 64 20 2f 34 38 2e 20 54 68 69 73 20 69 73 20 73 6f 6d 65 74 68 69	ring.Routed./48..This.is.somethi
bea0	6e 67 20 79 6f 75 20 63 61 6e 20 72 65 71 75 65 73 74 20 62 79 20 63 6c 69 63 6b 69 6e 67 20 74	ng.you.can.request.by.clicking.t
bec0	68 65 20 22 41 73 73 69 67 6e 20 2f 34 38 22 20 6c 69 6e 6b 20 69 6e 20 74 68 65 20 54 75 6e 6e	he."Assign./48".link.in.the.Tunn
bee0	65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 74 75 6e 6e 65 6c 20 63 6f 6e 66 69 67 2e 20 49 74 20 61	elbroker.net.tunnel.config..It.a
bf00	6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 68 61 76 65 20 75 70 20 74 6f 20 36 35 6b 00 52 6f 75 74	llows.you.to.have.up.to.65k.Rout
bf20	65 64 20 2f 36 34 2e 20 54 68 69 73 20 69 73 20 74 68 65 20 64 65 66 61 75 6c 74 20 61 73 73 69	ed./64..This.is.the.default.assi
bf40	67 6e 6d 65 6e 74 2e 20 49 6e 20 49 50 76 36 2d 6c 61 6e 64 2c 20 69 74 27 73 20 67 6f 6f 64 20	gnment..In.IPv6-land,.it's.good.
bf60	66 6f 72 20 61 20 73 69 6e 67 6c 65 20 22 4c 41 4e 22 2c 20 61 6e 64 20 69 73 20 73 6f 6d 65 77	for.a.single."LAN",.and.is.somew
bf80	68 61 74 20 65 71 75 69 76 61 6c 65 6e 74 20 74 6f 20 61 20 2f 32 34 2e 00 52 6f 75 74 65 72 20	hat.equivalent.to.a./24..Router.
bfa0	41 3a 00 52 6f 75 74 65 72 20 41 64 76 65 72 74 69 73 65 6d 65 6e 74 00 52 6f 75 74 65 72 20 42	A:.Router.Advertisement.Router.B
bfc0	3a 00 52 6f 75 74 65 72 20 69 64 27 73 20 6d 75 73 74 20 62 65 20 75 6e 69 71 75 65 2e 00 52 75	:.Router.id's.must.be.unique..Ru
bfe0	6c 65 73 65 74 20 61 72 65 20 63 72 65 61 74 65 64 20 70 65 72 20 7a 6f 6e 65 2d 70 61 69 72 2d	leset.are.created.per.zone-pair-
c000	64 69 72 65 63 74 69 6f 6e 2e 00 53 65 67 6d 65 6e 74 2d 72 6f 75 74 69 6e 67 20 49 53 2d 49 53	direction..Segment-routing.IS-IS
c020	20 65 78 61 6d 70 6c 65 00 53 65 74 20 44 4e 53 20 73 65 72 76 65 72 20 61 64 64 72 65 73 73 20	.example.Set.DNS.server.address.
c040	69 6e 20 74 68 65 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 73 6f 20 74 68 61 74 20 63 6c 69	in.the.advertisement.so.that.cli
c060	65 6e 74 73 20 63 61 6e 20 6f 62 74 61 69 6e 20 69 74 20 62 79 20 75 73 69 6e 67 20 52 44 4e 53	ents.can.obtain.it.by.using.RDNS
c080	53 20 6f 70 74 69 6f 6e 2e 20 4d 6f 73 74 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 73	S.option..Most.operating.systems
c0a0	20 28 57 69 6e 64 6f 77 73 2c 20 4c 69 6e 75 78 2c 20 4d 61 63 29 20 73 68 6f 75 6c 64 20 61 6c	.(Windows,.Linux,.Mac).should.al
c0c0	72 65 61 64 79 20 73 75 70 70 6f 72 74 20 69 74 2e 00 53 65 74 20 49 50 20 61 64 64 72 65 73 73	ready.support.it..Set.IP.address
c0e0	65 73 20 6f 6e 20 61 6c 6c 20 56 50 43 73 20 61 6e 64 20 61 20 64 65 66 61 75 6c 74 20 67 61 74	es.on.all.VPCs.and.a.default.gat
c100	65 77 61 79 20 31 37 32 2e 31 37 2e 31 2e 31 2e 20 57 65 27 6c 6c 20 75 73 65 20 69 6e 20 74 68	eway.172.17.1.1..We'll.use.in.th
c120	69 73 20 63 61 73 65 20 6f 6e 6c 79 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 2e 20 4f 6e 20 74	is.case.only.static.routes..On.t
c140	68 65 20 56 79 4f 53 33 20 72 6f 75 74 65 72 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 63 68 61 6e	he.VyOS3.router,.we.need.to.chan
c160	67 65 20 74 68 65 20 27 64 73 63 70 27 20 6c 61 62 65 6c 73 20 66 6f 72 20 74 68 65 20 56 50 43	ge.the.'dscp'.labels.for.the.VPC
c180	73 2e 20 54 6f 20 64 6f 20 74 68 69 73 2c 20 77 65 20 75 73 65 20 74 68 69 73 20 63 6f 6e 66 69	s..To.do.this,.we.use.this.confi
c1a0	67 75 72 61 74 69 6f 6e 2e 00 53 65 74 20 4d 54 55 20 69 6e 20 61 64 76 65 72 74 69 73 65 6d 65	guration..Set.MTU.in.advertiseme
c1c0	6e 74 20 74 6f 20 31 34 39 32 20 62 65 63 61 75 73 65 20 6f 66 20 50 50 50 6f 45 20 68 65 61 64	nt.to.1492.because.of.PPPoE.head
c1e0	65 72 20 6f 76 65 72 68 65 61 64 2e 00 53 65 74 20 74 68 65 20 56 52 46 20 6e 61 6d 65 20 61 6e	er.overhead..Set.the.VRF.name.an
c200	64 20 54 61 62 6c 65 20 49 44 2c 20 73 65 74 20 69 6e 74 65 72 66 61 63 65 20 61 64 64 72 65 73	d.Table.ID,.set.interface.addres
c220	73 20 61 6e 64 20 62 69 6e 64 20 69 74 20 74 6f 20 74 68 65 20 56 52 46 2e 20 4c 61 73 74 20 61	s.and.bind.it.to.the.VRF..Last.a
c240	64 64 20 74 68 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 20 74 6f 20 74 68 65 20 72 65 6d 6f 74	dd.the.static.route.to.the.remot
c260	65 20 6e 65 74 77 6f 72 6b 2e 00 53 65 74 20 74 68 65 20 63 6f 73 74 20 6f 6e 20 74 68 65 20 73	e.network..Set.the.cost.on.the.s
c280	65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 73 20 74 6f 20 62 65 20 32 30 30 2e 20 54 68 69 73 20 6d	econdary.links.to.be.200..This.m
c2a0	65 61 6e 73 20 74 68 61 74 20 74 68 65 79 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 75 73 65 64 20	eans.that.they.will.not.be.used.
c2c0	75 6e 6c 65 73 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 6c 69 6e 6b 73 20 61 72 65 20 64 6f 77	unless.the.primary.links.are.dow
c2e0	6e 2e 00 53 65 74 20 74 68 65 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 20 6f 6e 20 65 74 68 32 20	n..Set.the.local.subnet.on.eth2.
c300	61 6e 64 20 74 68 65 20 70 75 62 6c 69 63 20 69 70 20 61 64 64 72 65 73 73 20 65 74 68 31 20 6f	and.the.public.ip.address.eth1.o
c320	6e 20 65 61 63 68 20 73 69 74 65 2e 00 53 65 74 20 75 70 20 62 61 6e 64 77 69 64 74 68 20 6c 69	n.each.site..Set.up.bandwidth.li
c340	6d 69 74 73 20 6f 6e 20 74 68 65 20 65 74 68 32 20 69 6e 74 65 72 66 61 63 65 20 6f 66 20 74 68	mits.on.the.eth2.interface.of.th
c360	65 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 2e 00 53 65 74 73 20 79 6f 75 72 20	e.router....VyOS2.....Sets.your.
c380	4c 41 4e 20 69 6e 74 65 72 66 61 63 65 27 73 20 49 50 20 61 64 64 72 65 73 73 00 53 65 74 74 69	LAN.interface's.IP.address.Setti
c3a0	6e 67 20 42 47 50 20 67 6c 6f 62 61 6c 20 6c 6f 63 61 6c 2d 61 73 20 61 73 20 77 65 6c 6c 20 69	ng.BGP.global.local-as.as.well.i
c3c0	6e 73 69 64 65 20 74 68 65 20 56 52 46 2e 20 52 65 64 69 73 74 72 69 62 75 74 65 20 73 74 61 74	nside.the.VRF..Redistribute.stat
c3e0	69 63 20 72 6f 75 74 65 73 20 74 6f 20 69 6e 6a 65 63 74 20 63 6f 6e 66 69 67 75 72 65 64 20 6e	ic.routes.to.inject.configured.n
c400	65 74 77 6f 72 6b 73 20 69 6e 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 20 62 75 74	etworks.into.the.BGP.process.but
c420	20 73 74 69 6c 6c 20 69 6e 73 69 64 65 20 74 68 65 20 56 52 46 2e 00 53 65 74 74 69 6e 67 20 75	.still.inside.the.VRF..Setting.u
c440	70 20 41 6e 73 69 62 6c 65 20 6f 6e 20 61 20 73 65 72 76 65 72 20 72 75 6e 6e 69 6e 67 20 74 68	p.Ansible.on.a.server.running.th
c460	65 20 44 65 62 69 61 6e 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 2e 00 53 65 74 75 70	e.Debian.operating.system..Setup
c480	20 74 68 65 20 69 70 76 36 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 74 6f 20 74 68 65 20 74	.the.ipv6.default.route.to.the.t
c4a0	75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 00 53 68 6f 77 20 72 6f 75 74 65 73 20 66 6f 72 20	unnel.interface.Show.routes.for.
c4c0	61 6c 6c 20 56 52 46 73 00 53 69 6d 69 6c 61 72 6c 79 2c 20 74 6f 20 61 74 74 61 63 68 20 74 68	all.VRFs.Similarly,.to.attach.th
c4e0	65 20 66 69 72 65 77 61 6c 6c 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 69	e.firewall,.you.would.use.`set.i
c500	6e 74 65 72 66 61 63 65 73 20 65 74 68 65 72 6e 65 74 20 65 74 68 30 20 66 69 72 65 77 61 6c 6c	nterfaces.ethernet.eth0.firewall
c520	20 69 6e 20 69 70 76 36 2d 6e 61 6d 65 60 20 6f 72 20 60 65 74 20 66 69 72 65 77 61 6c 6c 20 7a	.in.ipv6-name`.or.`et.firewall.z
c540	6f 6e 65 20 4c 4f 43 41 4c 20 66 72 6f 6d 20 57 41 4e 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36	one.LOCAL.from.WAN.firewall.ipv6
c560	2d 6e 61 6d 65 60 2e 00 53 69 6e 63 65 20 73 6f 6d 65 20 49 53 50 73 20 64 69 73 63 6f 6e 6e 65	-name`..Since.some.ISPs.disconne
c580	63 74 73 20 63 6f 6e 74 69 6e 75 6f 75 73 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 6f 72 20 65 76	cts.continuous.connection.for.ev
c5a0	65 72 79 20 32 7e 33 20 64 61 79 73 2c 20 77 65 20 73 65 74 20 60 60 76 61 6c 69 64 2d 6c 69 66	ery.2~3.days,.we.set.``valid-lif
c5c0	65 74 69 6d 65 60 60 20 74 6f 20 32 20 64 61 79 73 20 74 6f 20 61 6c 6c 6f 77 20 50 43 20 66 6f	etime``.to.2.days.to.allow.PC.fo
c5e0	72 20 70 68 61 73 69 6e 67 20 6f 75 74 20 6f 6c 64 20 61 64 64 72 65 73 73 2e 00 53 69 6e 63 65	r.phasing.out.old.address..Since
c600	20 74 68 65 20 74 75 6e 6e 65 6c 20 69 73 20 61 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20	.the.tunnel.is.a.point-to-point.
c620	47 52 45 20 74 75 6e 6e 65 6c 2c 20 69 74 20 62 65 68 61 76 65 73 20 6c 69 6b 65 20 61 6e 79 20	GRE.tunnel,.it.behaves.like.any.
c640	6f 74 68 65 72 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20 69 6e 74 65 72 66 61 63 65 20 28	other.point-to-point.interface.(
c660	66 6f 72 20 65 78 61 6d 70 6c 65 3a 20 73 65 72 69 61 6c 2c 20 64 69 61 6c 65 72 29 2c 20 61 6e	for.example:.serial,.dialer),.an
c680	64 20 69 74 20 69 73 20 70 6f 73 73 69 62 6c 65 20 74 6f 20 72 75 6e 20 61 6e 79 20 49 6e 74 65	d.it.is.possible.to.run.any.Inte
c6a0	72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f 74 6f 63 6f 6c 20 28 49 47 50 29 2f 45 78 74 65	rior.Gateway.Protocol.(IGP)/Exte
c6c0	72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f 74 6f 63 6f 6c 20 28 45 47 50 29 20 6f 76 65 72	rior.Gateway.Protocol.(EGP).over
c6e0	20 74 68 65 20 6c 69 6e 6b 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 65 78 63 68 61 6e 67 65 20 72	.the.link.in.order.to.exchange.r
c700	6f 75 74 69 6e 67 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 00 53 69 6e 63 65 20 77 65 20 68 61 76 65	outing.information.Since.we.have
c720	20 34 20 7a 6f 6e 65 73 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 73 65 74 75 70 20 74 68 65 20 66	.4.zones,.we.need.to.setup.the.f
c740	6f 6c 6c 6f 77 69 6e 67 20 72 75 6c 65 73 65 74 73 2e 00 53 69 6e 67 6c 65 20 4c 41 4e 20 53 65	ollowing.rulesets..Single.LAN.Se
c760	74 75 70 00 53 69 6e 67 6c 65 20 4c 41 4e 20 73 65 74 75 70 20 77 68 65 72 65 20 65 74 68 32 20	tup.Single.LAN.setup.where.eth2.
c780	69 73 20 79 6f 75 72 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 2e 20 55 73 65 20 74 68 65 20 54	is.your.LAN.interface..Use.the.T
c7a0	75 6e 6e 65 6c 62 72 6f 6b 65 72 20 52 6f 75 74 65 64 20 2f 36 34 20 70 72 65 66 69 78 3a 00 53	unnelbroker.Routed./64.prefix:.S
c7c0	69 74 65 2d 74 6f 2d 53 69 74 65 20 49 50 53 65 63 20 56 50 4e 20 74 6f 20 43 69 73 63 6f 20 75	ite-to-Site.IPSec.VPN.to.Cisco.u
c7e0	73 69 6e 67 20 46 6c 65 78 56 50 4e 00 53 6f 2c 20 77 68 65 6e 20 79 6f 75 72 20 4c 41 4e 20 69	sing.FlexVPN.So,.when.your.LAN.i
c800	73 20 65 74 68 31 2c 20 79 6f 75 72 20 44 4d 5a 20 69 73 20 65 74 68 32 2c 20 79 6f 75 72 20 63	s.eth1,.your.DMZ.is.eth2,.your.c
c820	61 6d 65 72 61 73 20 61 72 65 20 6f 6e 20 65 74 68 33 2c 20 65 74 63 3a 00 53 6f 6d 65 74 68 69	ameras.are.on.eth3,.etc:.Somethi
c840	6e 67 20 6c 69 6b 65 3a 00 53 70 6f 6b 65 00 53 74 61 72 74 20 62 79 20 73 65 74 74 69 6e 67 20	ng.like:.Spoke.Start.by.setting.
c860	74 68 65 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e	the.interface.and.default.action
c880	20 66 6f 72 20 65 61 63 68 20 7a 6f 6e 65 2e 00 53 74 61 72 74 20 74 68 65 20 70 6c 61 79 62 6f	.for.each.zone..Start.the.playbo
c8a0	6f 6b 3a 00 53 74 61 72 74 69 6e 67 20 66 72 6f 6d 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69	ok:.Starting.from.VyOS.1.4-rolli
c8c0	6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 2c 20 61 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20	ng-202308040557,.a.new.firewall.
c8e0	73 74 72 75 63 74 75 72 65 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 6f 6e 20 61 6c 6c 20 76 79	structure.can.be.found.on.all.vy
c900	6f 73 20 69 6e 73 74 61 6c 61 74 69 6f 6e 73 2c 20 61 6e 64 20 7a 6f 6e 65 20 62 61 73 65 64 20	os.instalations,.and.zone.based.
c920	66 69 72 65 77 61 6c 6c 20 69 73 20 6e 6f 20 6c 6f 6e 67 65 72 20 73 75 70 70 6f 72 74 65 64 2e	firewall.is.no.longer.supported.
c940	20 44 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 66 6f 72 20 6d 6f 73 74 20 6f 66 20 74 68 65 20 6e	.Documentation.for.most.of.the.n
c960	65 77 20 66 69 72 65 77 61 6c 6c 20 43 4c 49 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20	ew.firewall.CLI.can.be.found.in.
c980	74 68 65 20 60 66 69 72 65 77 61 6c 6c 20 3c 68 74 74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73	the.`firewall.<https://docs.vyos
c9a0	2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 66 69 72 65	.io/en/latest/configuration/fire
c9c0	77 61 6c 6c 2f 67 65 6e 65 72 61 6c 2e 68 74 6d 6c 3e 60 5f 20 63 68 61 70 74 65 72 2e 20 54 68	wall/general.html>`_.chapter..Th
c9e0	65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 69 73 20 73 74 69 6c 6c 20 61 76 61 69 6c	e.legacy.firewall.is.still.avail
ca00	61 62 6c 65 20 66 6f 72 20 76 65 72 73 69 6f 6e 73 20 62 65 66 6f 72 65 20 31 2e 34 2d 72 6f 6c	able.for.versions.before.1.4-rol
ca20	6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 20 61 6e 64 20 63 61 6e 20 62 65 20 66 6f 75	ling-202308040557.and.can.be.fou
ca40	6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 2d 6c 65 67 61 63 79 60	nd.in.the.:ref:`firewall-legacy`
ca60	20 63 68 61 70 74 65 72 2e 20 54 68 65 20 65 78 61 6d 70 6c 65 73 20 69 6e 20 74 68 69 73 20 73	.chapter..The.examples.in.this.s
ca80	65 63 74 69 6f 6e 20 75 73 65 20 74 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 63	ection.use.the.legacy.firewall.c
caa0	6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 6f 6d 6d 61 6e 64 73 2c 20 73 69 6e 63 65 20 74 68 69	onfiguration.commands,.since.thi
cac0	73 20 66 65 61 74 75 72 65 20 68 61 73 20 62 65 65 6e 20 72 65 6d 6f 76 65 64 20 69 6e 20 65 61	s.feature.has.been.removed.in.ea
cae0	72 6c 69 65 72 20 72 65 6c 65 61 73 65 73 2e 00 53 74 65 70 20 31 3a 20 56 52 46 20 61 6e 64 20	rlier.releases..Step.1:.VRF.and.
cb00	43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 74 6f 20 72 65 6d 6f 74 65 20 6e 65 74 77 6f 72 6b	Configurations.to.remote.network
cb20	73 00 53 74 65 70 20 32 3a 20 42 47 50 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 6f 72 20	s.Step.2:.BGP.Configuration.for.
cb40	56 52 46 2d 4c 69 74 65 00 53 74 65 70 20 33 3a 20 56 50 4e 20 43 6f 6e 66 69 67 75 72 61 74 69	VRF-Lite.Step.3:.VPN.Configurati
cb60	6f 6e 00 53 74 65 70 20 34 3a 20 45 6e 64 20 74 6f 20 45 6e 64 20 76 65 72 69 66 69 63 61 74 69	on.Step.4:.End.to.End.verificati
cb80	6f 6e 00 53 74 65 70 2d 31 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 49 47 50 20 61 6e 64 20 65	on.Step-1:.Configuring.IGP.and.e
cba0	6e 61 62 6c 69 6e 67 20 4d 50 4c 53 20 4c 44 50 00 53 74 65 70 2d 32 3a 20 43 6f 6e 66 69 67 75	nabling.MPLS.LDP.Step-2:.Configu
cbc0	72 69 6e 67 20 69 42 47 50 20 66 6f 72 20 4c 33 56 50 4e 20 63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e	ring.iBGP.for.L3VPN.control-plan
cbe0	65 00 53 74 65 70 2d 33 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 4c 33 56 50 4e 20 56 52 46 73	e.Step-3:.Configuring.L3VPN.VRFs
cc00	20 6f 6e 20 50 45 20 6e 6f 64 65 73 00 53 74 65 70 2d 34 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67	.on.PE.nodes.Step-4:.Configuring
cc20	20 43 45 20 6e 6f 64 65 73 00 53 74 65 70 2d 35 3a 20 56 65 72 69 66 69 63 61 74 69 6f 6e 00 54	.CE.nodes.Step-5:.Verification.T
cc40	65 6e 61 6e 74 20 6e 65 74 77 6f 72 6b 73 20 28 56 52 46 73 29 00 54 65 73 74 20 4f 53 50 46 00	enant.networks.(VRFs).Test.OSPF.
cc60	54 65 73 74 20 57 69 72 65 47 75 61 72 64 00 54 65 73 74 20 74 68 65 20 72 65 73 75 6c 74 00 54	Test.WireGuard.Test.the.result.T
cc80	65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 32 2d 32 34 00 54 65 73 74 64 61 74 65 3a 20 32 30	estdate:.2023-02-24.Testdate:.20
cca0	32 33 2d 30 35 2d 31 31 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 38 2d 33 31 00 54 65	23-05-11.Testdate:.2023-08-31.Te
ccc0	73 74 64 61 74 65 3a 20 32 30 32 34 2d 30 31 2d 31 33 00 54 65 73 74 69 6e 67 00 54 65 73 74 69	stdate:.2024-01-13.Testing.Testi
cce0	6e 67 20 61 6e 64 20 64 65 62 75 67 67 69 6e 67 00 54 68 61 74 27 73 20 68 6f 77 20 79 6f 75 20	ng.and.debugging.That's.how.you.
cd00	63 61 6e 20 65 78 70 61 6e 64 20 74 68 65 20 65 78 61 6d 70 6c 65 20 61 62 6f 76 65 2e 20 55 73	can.expand.the.example.above..Us
cd20	65 20 74 68 65 20 60 52 6f 75 74 65 64 20 2f 34 38 60 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20	e.the.`Routed./48`.information..
cd40	54 68 69 73 20 61 6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 61 73 73 69 67 6e 20 61 20 64 69 66 66	This.allows.you.to.assign.a.diff
cd60	65 72 65 6e 74 20 2f 36 34 20 74 6f 20 65 76 65 72 79 20 69 6e 74 65 72 66 61 63 65 2c 20 4c 41	erent./64.to.every.interface,.LA
cd80	4e 2c 20 6f 72 20 65 76 65 6e 20 64 65 76 69 63 65 2e 20 4f 72 20 79 6f 75 20 63 6f 75 6c 64 20	N,.or.even.device..Or.you.could.
cda0	62 72 65 61 6b 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 20 69 6e 74 6f 20 73 6d 61 6c 6c 65 72 20	break.your.network.into.smaller.
cdc0	63 68 75 6e 6b 73 20 6c 69 6b 65 20 2f 35 36 20 6f 72 20 2f 36 30 2e 00 54 68 65 20 4c 61 62 20	chunks.like./56.or./60..The.Lab.
cde0	61 73 75 6d 65 20 61 20 66 75 6c 6c 20 72 75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20 44 69 72 65	asume.a.full.running.Active.Dire
ce00	63 74 6f 72 79 20 6f 6e 20 74 68 65 20 57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 2e 20 48 65 72	ctory.on.the.Windows.Server..Her
ce20	65 20 61 72 65 20 73 6f 6d 65 20 50 6f 77 65 72 53 68 65 6c 6c 20 63 6f 6d 6d 61 6e 64 73 20 74	e.are.some.PowerShell.commands.t
ce40	6f 20 71 75 69 63 6b 6c 79 20 61 64 64 20 61 20 54 65 73 74 20 41 63 74 69 76 65 20 44 69 72 65	o.quickly.add.a.Test.Active.Dire
ce60	63 74 6f 72 79 2e 00 54 68 65 20 54 6f 70 6f 6c 6f 67 79 20 61 72 65 20 63 6f 6e 73 69 73 74 73	ctory..The.Topology.are.consists
ce80	20 6f 66 3a 00 54 68 65 20 56 79 4f 53 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67	.of:.The.VyOS.interface.is.assig
cea0	6e 65 64 20 74 68 65 20 2e 31 2f 3a 31 20 61 64 64 72 65 73 73 20 6f 66 20 74 68 65 69 72 20 72	ned.the..1/:1.address.of.their.r
cec0	65 73 70 65 63 74 69 76 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 41 4e 20 69 73 20 6f 6e 20 56 4c	espective.networks..WAN.is.on.VL
cee0	41 4e 20 31 30 2c 20 4c 41 4e 20 6f 6e 20 56 4c 41 4e 20 32 30 2c 20 61 6e 64 20 44 4d 5a 20 6f	AN.10,.LAN.on.VLAN.20,.and.DMZ.o
cf00	6e 20 56 4c 41 4e 20 33 30 2e 00 54 68 65 20 60 60 63 6f 6d 6d 69 74 60 60 20 63 6f 6d 6d 61 6e	n.VLAN.30..The.``commit``.comman
cf20	64 20 69 73 20 69 6d 70 6c 69 65 64 20 61 66 74 65 72 20 65 76 65 72 79 20 73 65 63 74 69 6f 6e	d.is.implied.after.every.section
cf40	2e 20 49 66 20 79 6f 75 20 6d 61 6b 65 20 61 6e 20 65 72 72 6f 72 2c 20 60 60 63 6f 6d 6d 69 74	..If.you.make.an.error,.``commit
cf60	60 60 20 77 69 6c 6c 20 77 61 72 6e 20 79 6f 75 20 61 6e 64 20 79 6f 75 20 63 61 6e 20 66 69 78	``.will.warn.you.and.you.can.fix
cf80	20 69 74 20 62 65 66 6f 72 65 20 67 65 74 74 69 6e 67 20 74 6f 6f 20 66 61 72 20 69 6e 74 6f 20	.it.before.getting.too.far.into.
cfa0	74 68 69 6e 67 73 2e 20 50 6c 65 61 73 65 20 65 6e 73 75 72 65 20 79 6f 75 20 63 6f 6d 6d 69 74	things..Please.ensure.you.commit
cfc0	20 65 61 72 6c 79 20 61 6e 64 20 63 6f 6d 6d 69 74 20 6f 66 74 65 6e 2e 00 54 68 65 20 60 60 72	.early.and.commit.often..The.``r
cfe0	65 64 69 73 74 72 69 62 75 74 65 20 6f 73 70 66 60 60 20 63 6f 6d 6d 61 6e 64 20 69 73 20 74 68	edistribute.ospf``.command.is.th
d000	65 72 65 20 70 75 72 65 6c 79 20 61 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 68 6f 77 20	ere.purely.as.an.example.of.how.
d020	74 68 69 73 20 63 61 6e 20 62 65 20 65 78 70 61 6e 64 65 64 2e 20 49 6e 20 74 68 69 73 20 77 61	this.can.be.expanded..In.this.wa
d040	6c 6b 74 68 72 6f 75 67 68 2c 20 69 74 20 77 69 6c 6c 20 62 65 20 66 69 6c 74 65 72 65 64 20 62	lkthrough,.it.will.be.filtered.b
d060	79 20 42 47 50 4f 55 54 20 72 75 6c 65 20 31 30 30 30 30 2c 20 61 73 20 69 74 20 69 73 20 6e 6f	y.BGPOUT.rule.10000,.as.it.is.no
d080	74 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32 34 2e 00 54 68 65 20 62 65 6c 6f 77 20 63 6f 6e 66	t.203.0.113.0/24..The.below.conf
d0a0	69 67 75 72 61 74 69 6f 6e 20 69 73 20 75 73 65 64 20 61 73 20 65 78 61 6d 70 6c 65 20 77 68 65	iguration.is.used.as.example.whe
d0c0	72 65 20 77 65 20 6b 65 65 70 20 66 6f 63 75 73 20 6f 6e 20 56 79 4f 53 2d 50 31 2f 56 79 4f 53	re.we.keep.focus.on.VyOS-P1/VyOS
d0e0	2d 50 32 2f 58 52 76 2d 50 33 20 77 68 69 63 68 20 77 65 20 73 68 61 72 65 20 74 68 65 20 73 65	-P2/XRv-P3.which.we.share.the.se
d100	74 74 69 6e 67 73 2e 00 54 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 73 74 65 70 73 20	ttings..The.configuration.steps.
d120	61 72 65 20 74 68 65 20 73 61 6d 65 20 61 73 20 69 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20	are.the.same.as.in.the.previous.
d140	65 78 61 6d 70 6c 65 2c 20 65 78 63 65 70 74 20 72 75 6c 65 20 31 30 2e 20 53 6f 20 77 65 20 6b	example,.except.rule.10..So.we.k
d160	65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2c 20 72 65 6d 6f 76 65 20 72 75	eep.the.configuration,.remove.ru
d180	6c 65 20 31 30 20 61 6e 64 20 61 64 64 20 61 20 6e 65 77 20 72 75 6c 65 20 66 6f 72 20 74 68 65	le.10.and.add.a.new.rule.for.the
d1a0	20 66 61 69 6c 6f 76 65 72 20 6d 6f 64 65 3a 00 54 68 65 20 65 78 61 6d 70 6c 65 20 74 6f 70 6f	.failover.mode:.The.example.topo
d1c0	6c 6f 67 79 20 68 61 73 20 32 20 56 79 4f 53 20 72 6f 75 74 65 72 73 2e 20 4f 6e 65 20 61 73 20	logy.has.2.VyOS.routers..One.as.
d1e0	54 68 65 20 57 41 4e 20 52 6f 75 74 65 72 20 61 6e 64 20 6f 6e 20 61 73 20 61 20 43 6c 69 65 6e	The.WAN.Router.and.on.as.a.Clien
d200	74 2c 20 74 6f 20 74 65 73 74 20 61 20 73 69 6e 67 6c 65 20 4c 41 4e 20 73 65 74 75 70 00 54 68	t,.to.test.a.single.LAN.setup.Th
d220	65 20 66 69 72 73 74 20 74 77 6f 20 72 75 6c 65 73 20 61 72 65 20 74 6f 20 64 65 61 6c 20 77 69	e.first.two.rules.are.to.deal.wi
d240	74 68 20 74 68 65 20 69 64 69 6f 73 79 6e 63 72 61 73 69 65 73 20 6f 66 20 56 79 4f 53 20 61 6e	th.the.idiosyncrasies.of.VyOS.an
d260	64 20 69 70 74 61 62 6c 65 73 2e 00 54 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 61 72 65 20 74 68	d.iptables..The.following.are.th
d280	65 20 72 75 6c 65 73 20 74 68 61 74 20 77 65 72 65 20 63 72 65 61 74 65 64 20 66 6f 72 20 74 68	e.rules.that.were.created.for.th
d2a0	69 73 20 65 78 61 6d 70 6c 65 20 28 6d 61 79 20 6e 6f 74 20 62 65 20 63 6f 6d 70 6c 65 74 65 29	is.example.(may.not.be.complete)
d2c0	2c 20 62 6f 74 68 20 69 6e 20 49 50 76 34 20 61 6e 64 20 49 50 76 36 2e 20 49 66 20 74 68 65 72	,.both.in.IPv4.and.IPv6..If.ther
d2e0	65 20 69 73 20 6e 6f 20 49 50 20 73 70 65 63 69 66 69 65 64 2c 20 74 68 65 6e 20 74 68 65 20 73	e.is.no.IP.specified,.then.the.s
d300	6f 75 72 63 65 2f 64 65 73 74 69 6e 61 74 69 6f 6e 20 61 64 64 72 65 73 73 20 69 73 20 6e 6f 74	ource/destination.address.is.not
d320	20 65 78 70 6c 69 63 69 74 2e 00 54 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 73 6f 66 74 77 61 72	.explicit..The.following.softwar
d340	65 20 77 61 73 20 75 73 65 64 20 69 6e 20 74 68 65 20 63 72 65 61 74 69 6f 6e 20 6f 66 20 74 68	e.was.used.in.the.creation.of.th
d360	69 73 20 64 6f 63 75 6d 65 6e 74 3a 00 54 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 74 65 6d 70 6c	is.document:.The.following.templ
d380	61 74 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 75 73 65 64 20 69 6e	ate.configuration.can.be.used.in
d3a0	20 65 61 63 68 20 72 65 6d 6f 74 65 20 72 6f 75 74 65 72 20 62 61 73 65 64 20 69 6e 20 6f 75 72	.each.remote.router.based.in.our
d3c0	20 74 6f 70 6f 6c 6f 67 79 2e 00 54 68 65 20 66 6f 72 6d 61 74 20 6f 66 20 74 68 65 73 65 20 61	.topology..The.format.of.these.a
d3e0	64 64 72 65 73 73 65 73 3a 00 54 68 65 20 6c 61 62 20 49 20 62 75 69 6c 74 20 69 73 20 75 73 69	ddresses:.The.lab.I.built.is.usi
d400	6e 67 20 61 20 56 52 46 20 28 63 61 6c 6c 65 64 20 2a 2a 6d 67 6d 74 2a 2a 29 20 74 6f 20 70 72	ng.a.VRF.(called.**mgmt**).to.pr
d420	6f 76 69 64 65 20 6f 75 74 2d 6f 66 2d 62 61 6e 64 20 53 53 48 20 61 63 63 65 73 73 20 74 6f 20	ovide.out-of-band.SSH.access.to.
d440	74 68 65 20 50 45 20 28 50 72 6f 76 69 64 65 72 20 45 64 67 65 29 20 72 6f 75 74 65 72 73 2e 00	the.PE.(Provider.Edge).routers..
d460	54 68 65 20 6c 61 62 20 77 61 73 20 62 75 69 6c 74 20 75 73 69 6e 67 20 45 56 45 2d 4e 47 2e 00	The.lab.was.built.using.EVE-NG..
d480	54 68 65 20 6e 65 78 74 20 70 61 67 65 73 20 63 6f 6e 74 61 69 6e 73 20 61 75 74 6f 6d 61 74 69	The.next.pages.contains.automati
d4a0	63 20 66 75 6c 6c 20 74 65 73 74 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d	c.full.tested.configuration.exam
d4c0	70 6c 65 73 2e 00 54 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 20 75 73 65 64 20	ples..The.previous.example.used.
d4e0	74 68 65 20 66 61 69 6c 6f 76 65 72 20 63 6f 6d 6d 61 6e 64 20 74 6f 20 73 65 6e 64 20 74 72 61	the.failover.command.to.send.tra
d500	66 66 69 63 20 74 68 72 6f 75 67 68 20 65 74 68 31 20 69 66 20 65 74 68 30 20 66 61 69 6c 73 2e	ffic.through.eth1.if.eth0.fails.
d520	20 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 2c 20 66 61 69 6c 6f 76 65 72 20 66 75 6e 63 74	.In.this.example,.failover.funct
d540	69 6f 6e 61 6c 69 74 79 20 69 73 20 70 72 6f 76 69 64 65 64 20 62 79 20 72 75 6c 65 20 6f 72 64	ionality.is.provided.by.rule.ord
d560	65 72 2e 00 54 68 65 20 70 72 6f 63 65 73 73 20 77 69 6c 6c 20 64 6f 20 74 68 65 20 66 6f 6c 6c	er..The.process.will.do.the.foll
d580	6f 77 69 6e 67 20 73 74 65 70 73 3a 00 54 68 65 20 73 63 6f 70 65 20 6f 66 20 74 68 69 73 20 64	owing.steps:.The.scope.of.this.d
d5a0	6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 63 6f 76 65 72 20 73 75 63 68 20 63 61 73 65 73 20 69	ocument.is.to.cover.such.cases.i
d5c0	6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61 79 20 77 69 74 68 6f 75 74 20 74 68 65 20 75 73 65 20	n.a.dynamic.way.without.the.use.
d5e0	6f 66 20 4d 50 4c 53 2d 4c 44 50 2e 00 54 68 65 20 73 65 74 75 70 20 75 73 65 64 20 69 6e 20 74	of.MPLS-LDP..The.setup.used.in.t
d600	68 69 73 20 65 78 61 6d 70 6c 65 20 69 73 20 73 68 6f 77 6e 20 69 6e 20 74 68 65 20 66 6f 6c 6c	his.example.is.shown.in.the.foll
d620	6f 77 69 6e 67 20 64 69 61 67 72 61 6d 3a 00 54 68 65 20 73 69 6d 70 6c 65 20 77 61 79 20 77 69	owing.diagram:.The.simple.way.wi
d640	74 68 6f 75 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 68 6f 73 74 6e	thout.configuration.of.the.hostn
d660	61 6d 65 20 28 6f 6e 65 20 74 61 73 6b 20 66 6f 72 20 61 6c 6c 20 72 6f 75 74 65 72 73 29 3a 00	ame.(one.task.for.all.routers):.
d680	54 68 65 20 73 69 6d 70 6c 65 73 74 20 77 61 79 20 74 6f 20 74 65 73 74 20 69 73 20 74 6f 20 6c	The.simplest.way.to.test.is.to.l
d6a0	6f 6f 6b 20 61 74 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 72 61 63 6b 69 6e 67 20 73	ook.at.the.connection.tracking.s
d6c0	74 61 74 73 20 6f 6e 20 74 68 65 20 73 74 61 6e 64 62 79 20 68 61 72 64 77 61 72 65 20 72 6f 75	tats.on.the.standby.hardware.rou
d6e0	74 65 72 20 77 69 74 68 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 68 6f 77 20 63 6f 6e 6e	ter.with.the.command.``show.conn
d700	74 72 61 63 6b 2d 73 79 6e 63 20 73 74 61 74 69 73 74 69 63 73 60 60 2e 20 54 68 65 20 6e 75 6d	track-sync.statistics``..The.num
d720	62 65 72 73 20 73 68 6f 75 6c 64 20 62 65 20 76 65 72 79 20 63 6c 6f 73 65 20 74 6f 20 74 68 65	bers.should.be.very.close.to.the
d740	20 6e 75 6d 62 65 72 73 20 6f 6e 20 74 68 65 20 70 72 69 6d 61 72 79 20 72 6f 75 74 65 72 2e 00	.numbers.on.the.primary.router..
d760	54 68 65 20 73 79 6e 63 20 67 72 6f 75 70 20 69 73 20 75 73 65 64 20 74 6f 20 72 65 70 6c 69 63	The.sync.group.is.used.to.replic
d780	61 74 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 72 61 63 6b 69 6e 67 2e 20 49 74 20 6e 65 65 64	ate.connection.tracking..It.need
d7a0	73 20 74 6f 20 62 65 20 61 73 73 69 67 6e 65 64 20 74 6f 20 61 20 72 61 6e 64 6f 6d 20 56 52 52	s.to.be.assigned.to.a.random.VRR
d7c0	50 20 67 72 6f 75 70 2c 20 61 6e 64 20 77 65 20 61 72 65 20 63 72 65 61 74 69 6e 67 20 61 20 73	P.group,.and.we.are.creating.a.s
d7e0	79 6e 63 20 67 72 6f 75 70 20 63 61 6c 6c 65 64 20 60 60 73 79 6e 63 60 60 20 75 73 69 6e 67 20	ync.group.called.``sync``.using.
d800	74 68 65 20 76 72 72 70 20 67 72 6f 75 70 20 60 60 69 6e 74 60 60 2e 00 54 68 65 20 74 6f 70 6f	the.vrrp.group.``int``..The.topo
d820	6c 6f 67 79 20 68 61 73 20 33 20 56 79 4f 53 20 72 6f 75 74 65 72 73 20 61 6e 64 20 6f 6e 65 20	logy.has.3.VyOS.routers.and.one.
d840	63 6c 69 65 6e 74 2e 20 42 65 74 77 65 65 6e 20 74 68 65 20 44 48 43 50 20 53 65 72 76 65 72 20	client..Between.the.DHCP.Server.
d860	61 6e 64 20 74 68 65 20 44 48 43 50 20 52 65 6c 61 79 20 69 73 20 61 20 47 52 45 20 74 75 6e 6e	and.the.DHCP.Relay.is.a.GRE.tunn
d880	65 6c 2e 20 54 68 65 20 60 74 72 61 6e 73 70 6f 72 74 60 20 56 79 4f 53 20 72 65 70 72 65 73 65	el..The.`transport`.VyOS.represe
d8a0	6e 74 20 61 20 6c 61 72 67 65 20 4e 65 74 77 6f 72 6b 2e 00 54 68 65 20 74 6f 70 6f 6c 6f 67 79	nt.a.large.Network..The.topology
d8c0	20 68 61 76 65 20 61 20 63 65 6e 74 72 61 6c 20 61 6e 64 20 61 20 62 72 61 6e 63 68 20 56 79 4f	.have.a.central.and.a.branch.VyO
d8e0	53 20 72 6f 75 74 65 72 20 61 6e 64 20 6f 6e 65 20 63 6c 69 65 6e 74 2c 20 74 6f 20 74 65 73 74	S.router.and.one.client,.to.test
d900	2c 20 69 6e 20 65 61 63 68 20 73 69 74 65 2e 00 54 68 65 6e 20 61 64 64 20 61 20 72 6f 75 74 65	,.in.each.site..Then.add.a.route
d920	2d 6d 61 70 20 61 6e 64 20 72 65 66 65 72 65 6e 63 65 20 74 6f 20 61 62 6f 76 65 20 70 72 65 66	-map.and.reference.to.above.pref
d940	69 78 2e 20 43 6f 6e 73 69 64 65 72 20 74 68 61 74 20 74 68 65 20 61 63 74 69 6f 6e 73 20 74 61	ix..Consider.that.the.actions.ta
d960	6b 65 6e 20 69 6e 73 69 64 65 20 74 68 65 20 70 72 65 66 69 78 20 77 69 6c 6c 20 4d 41 54 43 48	ken.inside.the.prefix.will.MATCH
d980	20 74 68 65 20 72 6f 75 74 65 73 20 74 68 61 74 20 77 69 6c 6c 20 62 65 20 61 66 66 65 63 74 65	.the.routes.that.will.be.affecte
d9a0	64 20 62 79 20 74 68 65 20 61 63 74 69 6f 6e 73 20 69 6e 73 69 64 65 20 74 68 65 20 72 75 6c 65	d.by.the.actions.inside.the.rule
d9c0	73 20 6f 66 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 2e 00 54 68 65 6e 20 77 65 20 6e 65 65 64	s.of.the.route-map..Then.we.need
d9e0	20 74 6f 20 61 74 74 61 63 68 20 74 68 65 20 70 6f 6c 69 63 79 20 74 6f 20 74 68 65 20 42 47 50	.to.attach.the.policy.to.the.BGP
da00	20 70 72 6f 63 65 73 73 2e 20 54 68 69 73 20 6e 65 65 64 73 20 74 6f 20 62 65 20 75 6e 64 65 72	.process..This.needs.to.be.under
da20	20 74 68 65 20 69 6d 70 6f 72 74 20 73 74 61 74 65 6d 65 6e 74 20 69 6e 20 74 68 65 20 76 72 66	.the.import.statement.in.the.vrf
da40	20 77 65 20 6e 65 65 64 20 74 6f 20 66 69 6c 74 65 72 2e 00 54 68 65 72 65 20 61 72 65 20 73 6f	.we.need.to.filter..There.are.so
da60	6d 65 20 63 61 73 65 73 20 77 68 65 72 65 20 74 68 69 73 20 69 73 20 6e 6f 74 20 6e 65 65 64 65	me.cases.where.this.is.not.neede
da80	64 20 2d 66 6f 72 20 65 78 61 6d 70 6c 65 2c 20 69 6e 20 73 6f 6d 65 20 44 44 6f 53 20 61 70 70	d.-for.example,.in.some.DDoS.app
daa0	6c 69 61 6e 63 65 2d 20 62 75 74 20 6d 6f 73 74 20 69 6e 74 65 72 2d 76 72 66 20 72 6f 75 74 69	liance-.but.most.inter-vrf.routi
dac0	6e 67 20 64 65 73 69 67 6e 73 20 75 73 65 20 74 68 65 20 61 62 6f 76 65 20 63 6f 6e 66 69 67 75	ng.designs.use.the.above.configu
dae0	72 61 74 69 6f 6e 73 2e 00 54 68 65 72 65 20 69 73 20 70 6c 65 6e 74 79 20 6f 66 20 69 6e 73 74	rations..There.is.plenty.of.inst
db00	72 75 63 74 69 6f 6e 73 20 61 6e 64 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 6f 6e 20 73 65	ructions.and.documentation.on.se
db20	74 74 69 6e 67 20 75 70 20 57 69 72 65 67 75 61 72 64 2e 20 54 68 65 20 6f 6e 6c 79 20 69 6d 70	tting.up.Wireguard..The.only.imp
db40	6f 72 74 61 6e 74 20 74 68 69 6e 67 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 72 65 6d 65 6d 62 65	ortant.thing.you.need.to.remembe
db60	72 20 69 73 20 74 6f 20 6f 6e 6c 79 20 75 73 65 20 6f 6e 65 20 57 69 72 65 47 75 61 72 64 20 69	r.is.to.only.use.one.WireGuard.i
db80	6e 74 65 72 66 61 63 65 20 70 65 72 20 4f 53 50 46 20 63 6f 6e 6e 65 63 74 69 6f 6e 2e 00 54 68	nterface.per.OSPF.connection..Th
dba0	65 73 65 20 61 72 65 20 74 68 65 20 76 6c 61 6e 73 20 77 65 20 77 69 6c 6c 20 62 65 20 75 73 69	ese.are.the.vlans.we.will.be.usi
dbc0	6e 67 3a 00 54 68 65 79 20 77 61 6e 74 20 75 73 20 74 6f 20 65 73 74 61 62 6c 69 73 68 20 61 20	ng:.They.want.us.to.establish.a.
dbe0	42 47 50 20 73 65 73 73 69 6f 6e 20 74 6f 20 74 68 65 69 72 20 72 6f 75 74 65 72 73 20 6f 6e 20	BGP.session.to.their.routers.on.
dc00	31 39 32 2e 30 2e 32 2e 31 31 20 61 6e 64 20 31 39 32 2e 30 2e 32 2e 31 32 20 66 72 6f 6d 20 6f	192.0.2.11.and.192.0.2.12.from.o
dc20	75 72 20 72 6f 75 74 65 72 73 20 31 39 32 2e 30 2e 32 2e 32 31 20 61 6e 64 20 31 39 32 2e 30 2e	ur.routers.192.0.2.21.and.192.0.
dc40	32 2e 32 32 2e 20 54 68 65 79 20 61 72 65 20 41 53 20 36 35 35 35 30 20 61 6e 64 20 77 65 20 61	2.22..They.are.AS.65550.and.we.a
dc60	72 65 20 41 53 20 36 35 35 35 31 2e 00 54 68 69 73 20 4c 41 42 20 73 68 6f 77 20 68 6f 77 20 74	re.AS.65551..This.LAB.show.how.t
dc80	6f 20 75 77 65 20 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 61 20 41 63 74 69 76 65 20 44 69 72 65	o.uwe.OpenVPN.with.a.Active.Dire
dca0	63 74 6f 72 79 20 61 75 74 68 65 6e 74 69 63 61 74 69 6f 6e 20 62 61 63 6b 65 6e 64 2e 00 54 68	ctory.authentication.backend..Th
dcc0	69 73 20 61 63 63 6f 6d 70 6c 69 73 68 65 73 20 61 20 66 65 77 20 74 68 69 6e 67 73 3a 00 54 68	is.accomplishes.a.few.things:.Th
dce0	69 73 20 63 68 61 70 74 65 72 20 63 6f 6e 74 61 69 6e 73 20 76 61 72 69 6f 75 73 20 63 6f 6e 66	is.chapter.contains.various.conf
dd00	69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 73 3a 00 54 68 69 73 20 63 6f 6e 66 69 67 75	iguration.examples:.This.configu
dd20	72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 20 61 6e 64 20 74 68 65 20 72 65 71 75 69 72 6d 65 6e	ration.example.and.the.requirmen
dd40	74 73 20 63 6f 6e 73 69 73 74 73 20 6f 6e 3a 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 61 69	ts.consists.on:.This.document.ai
dd60	6d 73 20 74 6f 20 77 61 6c 6b 20 79 6f 75 20 74 68 72 6f 75 67 68 20 73 65 74 74 69 6e 67 20 65	ms.to.walk.you.through.setting.e
dd80	76 65 72 79 74 68 69 6e 67 20 75 70 2c 20 73 6f 20 61 74 20 61 20 70 6f 69 6e 74 20 77 68 65 72	verything.up,.so.at.a.point.wher
dda0	65 20 79 6f 75 20 63 61 6e 20 72 65 62 6f 6f 74 20 61 6e 79 20 6d 61 63 68 69 6e 65 20 61 6e 64	e.you.can.reboot.any.machine.and
ddc0	20 6e 6f 74 20 6c 6f 73 65 20 6d 6f 72 65 20 74 68 61 6e 20 61 20 66 65 77 20 73 65 63 6f 6e 64	.not.lose.more.than.a.few.second
dde0	73 20 77 6f 72 74 68 20 6f 66 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 2e 00 54 68 69 73 20 64 6f	s.worth.of.connectivity..This.do
de00	63 75 6d 65 6e 74 20 69 73 20 74 6f 20 64 65 73 63 72 69 62 65 20 61 20 62 61 73 69 63 20 73 65	cument.is.to.describe.a.basic.se
de20	74 75 70 20 75 73 69 6e 67 20 50 50 50 6f 45 20 6f 76 65 72 20 4c 32 54 50 2e 20 4c 41 43 20 61	tup.using.PPPoE.over.L2TP..LAC.a
de40	6e 64 20 4c 4e 53 20 61 72 65 20 63 6f 6d 70 6f 6e 65 6e 74 73 20 6f 66 20 74 68 65 20 62 72 6f	nd.LNS.are.components.of.the.bro
de60	61 64 62 61 6e 64 20 74 6f 70 6f 6c 6f 67 79 2e 20 4c 41 43 20 2d 20 4c 32 54 50 20 61 63 63 65	adband.topology..LAC.-.L2TP.acce
de80	73 73 20 63 6f 6e 63 65 6e 74 72 61 74 6f 72 20 4c 4e 53 20 2d 20 20 4c 32 54 50 20 4e 65 74 77	ss.concentrator.LNS.-..L2TP.Netw
dea0	6f 72 6b 20 53 65 72 76 65 72 20 4c 41 43 20 61 6e 64 20 4c 4e 53 20 66 6f 72 6d 73 20 4c 32 54	ork.Server.LAC.and.LNS.forms.L2T
dec0	50 20 74 75 6e 6e 65 6c 2e 20 4c 41 43 20 72 65 63 65 69 76 65 73 20 70 61 63 6b 65 74 73 20 66	P.tunnel..LAC.receives.packets.f
dee0	72 6f 6d 20 50 50 50 6f 45 20 63 6c 69 65 6e 74 73 20 61 6e 64 20 66 6f 72 77 61 72 64 20 74 68	rom.PPPoE.clients.and.forward.th
df00	65 6d 20 74 6f 20 4c 4e 53 2e 20 4c 4e 53 20 69 73 20 74 68 65 20 74 65 72 6d 69 6e 61 74 69 6f	em.to.LNS..LNS.is.the.terminatio
df20	6e 20 70 6f 69 6e 74 20 74 68 61 74 20 63 6f 6d 65 73 20 66 72 6f 6d 20 50 50 50 20 70 61 63 6b	n.point.that.comes.from.PPP.pack
df40	65 74 73 20 66 72 6f 6d 20 74 68 65 20 72 65 6d 6f 74 65 20 63 6c 69 65 6e 74 2e 00 54 68 69 73	ets.from.the.remote.client..This
df60	20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 64 65 73 63 72 69 62 65 20 61 20 62 61 73 69 63	.document.is.to.describe.a.basic
df80	20 73 65 74 75 70 20 75 73 69 6e 67 20 50 50 50 6f 45 20 77 69 74 68 20 44 48 43 50 76 36 2d 50	.setup.using.PPPoE.with.DHCPv6-P
dfa0	44 20 2b 20 53 4c 41 41 43 20 74 6f 20 63 6f 6e 73 74 72 75 63 74 20 61 20 74 79 70 69 63 61 6c	D.+.SLAAC.to.construct.a.typical
dfc0	20 68 6f 6d 65 20 6e 65 74 77 6f 72 6b 2e 20 54 68 65 20 75 73 65 72 20 63 61 6e 20 66 6f 6c 6c	.home.network..The.user.can.foll
dfe0	6f 77 20 74 68 65 20 73 74 65 70 73 20 64 65 73 63 72 69 62 65 64 20 68 65 72 65 20 74 6f 20 71	ow.the.steps.described.here.to.q
e000	75 69 63 6b 6c 79 20 73 65 74 75 70 20 61 20 77 6f 72 6b 69 6e 67 20 6e 65 74 77 6f 72 6b 20 61	uickly.setup.a.working.network.a
e020	6e 64 20 75 73 65 20 74 68 69 73 20 61 73 20 61 20 73 74 61 72 74 69 6e 67 20 70 6f 69 6e 74 20	nd.use.this.as.a.starting.point.
e040	74 6f 20 66 75 72 74 68 65 72 20 63 6f 6e 66 69 67 75 72 65 20 6f 72 20 66 69 6e 65 2d 74 75 6e	to.further.configure.or.fine-tun
e060	65 20 6f 74 68 65 72 20 73 65 74 74 69 6e 67 73 2e 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20	e.other.settings..This.document.
e080	77 61 6c 6b 73 20 79 6f 75 20 74 68 72 6f 75 67 68 20 61 20 63 6f 6d 70 6c 65 74 65 20 48 41 20	walks.you.through.a.complete.HA.
e0a0	73 65 74 75 70 20 6f 66 20 74 77 6f 20 56 79 4f 53 20 6d 61 63 68 69 6e 65 73 2e 20 54 68 69 73	setup.of.two.VyOS.machines..This
e0c0	20 64 65 73 69 67 6e 20 69 73 20 62 61 73 65 64 20 6f 6e 20 61 20 56 4d 20 61 73 20 74 68 65 20	.design.is.based.on.a.VM.as.the.
e0e0	70 72 69 6d 61 72 79 20 72 6f 75 74 65 72 20 61 6e 64 20 61 20 70 68 79 73 69 63 61 6c 20 6d 61	primary.router.and.a.physical.ma
e100	63 68 69 6e 65 20 61 73 20 61 20 62 61 63 6b 75 70 2c 20 75 73 69 6e 67 20 56 52 52 50 2c 20 42	chine.as.a.backup,.using.VRRP,.B
e120	47 50 2c 20 4f 53 50 46 2c 20 61 6e 64 20 63 6f 6e 6e 74 72 61 63 6b 20 73 68 61 72 69 6e 67 2e	GP,.OSPF,.and.conntrack.sharing.
e140	00 54 68 69 73 20 65 6e 73 75 72 65 73 20 79 6f 75 20 64 6f 6e 27 74 20 67 6f 20 74 6f 6f 20 66	.This.ensures.you.don't.go.too.f
e160	61 73 74 20 6f 72 20 6d 69 73 73 20 61 20 73 74 65 70 2e 20 48 6f 77 65 76 65 72 2c 20 69 74 20	ast.or.miss.a.step..However,.it.
e180	77 69 6c 6c 20 6d 61 6b 65 20 79 6f 75 72 20 6c 69 66 65 20 65 61 73 69 65 72 20 74 6f 20 63 6f	will.make.your.life.easier.to.co
e1a0	6e 66 69 67 75 72 65 20 74 68 65 20 66 69 78 65 64 20 49 50 20 61 64 64 72 65 73 73 20 61 6e 64	nfigure.the.fixed.IP.address.and
e1c0	20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 6e 6f 77 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61	.default.route.now.on.the.hardwa
e1e0	72 65 20 72 6f 75 74 65 72 2e 00 54 68 69 73 20 65 78 61 6d 70 6c 65 20 75 73 65 73 20 74 68 65	re.router..This.example.uses.the
e200	20 66 61 69 6c 6f 76 65 72 20 6d 6f 64 65 2e 00 54 68 69 73 20 67 69 76 65 73 20 75 73 20 4d 50	.failover.mode..This.gives.us.MP
e220	4c 53 20 73 65 67 6d 65 6e 74 20 72 6f 75 74 69 6e 67 20 65 6e 61 62 6c 65 64 20 61 6e 64 20 6c	LS.segment.routing.enabled.and.l
e240	61 62 65 6c 73 20 66 6f 72 77 61 72 64 69 6e 67 20 3a 00 54 68 69 73 20 67 75 69 64 65 20 73 68	abels.forwarding.:.This.guide.sh
e260	6f 77 73 20 61 20 73 61 6d 70 6c 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 6f 72 20 46	ows.a.sample.configuration.for.F
e280	6c 65 78 56 50 4e 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 49 6e 74 65 72 6e 65 74 20 50 72 6f	lexVPN.site-to-site.Internet.Pro
e2a0	74 6f 63 6f 6c 20 53 65 63 75 72 69 74 79 20 28 49 50 73 65 63 29 2f 47 65 6e 65 72 69 63 20 52	tocol.Security.(IPsec)/Generic.R
e2c0	6f 75 74 69 6e 67 20 45 6e 63 61 70 73 75 6c 61 74 69 6f 6e 20 28 47 52 45 29 20 74 75 6e 6e 65	outing.Encapsulation.(GRE).tunne
e2e0	6c 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f	l..This.guide.shows.an.example.o
e300	66 20 61 20 72 65 64 75 6e 64 61 6e 74 20 28 61 63 74 69 76 65 2d 61 63 74 69 76 65 29 20 72 6f	f.a.redundant.(active-active).ro
e320	75 74 65 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e	ute-based.IKEv2.site-to-site.VPN
e340	20 74 6f 20 41 7a 75 72 65 20 75 73 69 6e 67 20 56 54 49 20 61 6e 64 20 42 47 50 20 66 6f 72 20	.to.Azure.using.VTI.and.BGP.for.
e360	64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 70 64 61 74 65 73 2e 00 54 68 69 73 20 67 75	dynamic.routing.updates..This.gu
e380	69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 20 72 6f 75 74 65 2d	ide.shows.an.example.of.a.route-
e3a0	62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 74 6f 20	based.IKEv2.site-to-site.VPN.to.
e3c0	41 7a 75 72 65 20 75 73 69 6e 67 20 56 54 49 20 61 6e 64 20 42 47 50 20 66 6f 72 20 64 79 6e 61	Azure.using.VTI.and.BGP.for.dyna
e3e0	6d 69 63 20 72 6f 75 74 69 6e 67 20 75 70 64 61 74 65 73 2e 00 54 68 69 73 20 67 75 69 64 65 20	mic.routing.updates..This.guide.
e400	73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 70 6f 6c 69 63 79 2d 62 61 73 65 64 20 49 4b	shows.an.example.policy-based.IK
e420	45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 62 65 74 77 65 65 6e 20 74 77 6f	Ev2.site-to-site.VPN.between.two
e440	20 56 79 4f 53 20 72 6f 75 74 65 72 73 2c 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66	.VyOS.routers,.and.firewall.conf
e460	69 67 69 75 72 61 74 69 6f 6e 2e 00 54 68 69 73 20 67 75 69 64 65 20 77 61 6c 6b 73 20 74 68 72	igiuration..This.guide.walks.thr
e480	6f 75 67 68 20 74 68 65 20 73 65 74 75 70 20 6f 66 20 68 74 74 70 73 3a 2f 2f 77 77 77 2e 74 75	ough.the.setup.of.https://www.tu
e4a0	6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 20 66 6f 72 20 61 6e 20 49 50 76 36 20 54 75 6e 6e	nnelbroker.net/.for.an.IPv6.Tunn
e4c0	65 6c 2e 00 54 68 69 73 20 68 61 73 20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65	el..This.has.a.floating.IP.addre
e4e0	73 73 20 6f 66 20 31 30 2e 32 30 30 2e 32 30 31 2e 31 2f 32 34 2c 20 75 73 69 6e 67 20 76 69 72	ss.of.10.200.201.1/24,.using.vir
e500	74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 32 30 31 2e 20 54 68 65 20 64 69 66 66 65 72 65 6e	tual.router.ID.201..The.differen
e520	63 65 20 62 65 74 77 65 65 6e 20 74 68 65 6d 20 69 73 20 74 68 65 20 69 6e 74 65 72 66 61 63 65	ce.between.them.is.the.interface
e540	20 6e 61 6d 65 2c 20 68 65 6c 6c 6f 2d 73 6f 75 72 63 65 2d 61 64 64 72 65 73 73 2c 20 61 6e 64	.name,.hello-source-address,.and
e560	20 70 65 65 72 2d 61 64 64 72 65 73 73 2e 00 54 68 69 73 20 68 61 73 20 61 20 66 6c 6f 61 74 69	.peer-address..This.has.a.floati
e580	6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 32 30 33 2e 30 2e 31 31 33 2e 31 2f 32 34 2c	ng.IP.address.of.203.0.113.1/24,
e5a0	20 75 73 69 6e 67 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 31 31 33 2e 20 54 68	.using.virtual.router.ID.113..Th
e5c0	65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 69 73 20 6a 75 73 74 20 61 20 72 61	e.virtual.router.ID.is.just.a.ra
e5e0	6e 64 6f 6d 20 6e 75 6d 62 65 72 20 62 65 74 77 65 65 6e 20 31 20 61 6e 64 20 32 35 34 2c 20 61	ndom.number.between.1.and.254,.a
e600	6e 64 20 63 61 6e 20 62 65 20 73 65 74 20 74 6f 20 77 68 61 74 65 76 65 72 20 79 6f 75 20 77 61	nd.can.be.set.to.whatever.you.wa
e620	6e 74 2e 20 42 65 73 74 20 70 72 61 63 74 69 63 65 73 20 73 75 67 67 65 73 74 20 79 6f 75 20 74	nt..Best.practices.suggest.you.t
e640	72 79 20 74 6f 20 6b 65 65 70 20 74 68 65 6d 20 75 6e 69 71 75 65 20 65 6e 74 65 72 70 72 69 73	ry.to.keep.them.unique.enterpris
e660	65 2d 77 69 64 65 2e 00 54 68 69 73 20 69 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 74 68	e-wide..This.is.an.example.of.th
e680	65 20 74 68 72 65 65 20 62 61 73 65 20 72 75 6c 65 73 2e 00 54 68 69 73 20 69 73 20 62 61 73 65	e.three.base.rules..This.is.base
e6a0	64 20 6f 6e 20 61 20 72 65 61 6c 2d 6c 69 66 65 20 70 72 6f 64 75 63 74 69 6f 6e 20 64 65 73 69	d.on.a.real-life.production.desi
e6c0	67 6e 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 63 6f 6d 70 6c 65 78 20 69 73 73 75 65 73 20 69 73	gn..One.of.the.complex.issues.is
e6e0	20 65 6e 73 75 72 69 6e 67 20 79 6f 75 20 68 61 76 65 20 72 65 64 75 6e 64 61 6e 74 20 64 61 74	.ensuring.you.have.redundant.dat
e700	61 20 49 4e 54 4f 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 2e 20 57 65 20 64 6f 20 74 68 69 73 20	a.INTO.your.network..We.do.this.
e720	77 69 74 68 20 61 20 70 61 69 72 20 6f 66 20 43 69 73 63 6f 20 4e 65 78 75 73 20 73 77 69 74 63	with.a.pair.of.Cisco.Nexus.switc
e740	68 65 73 20 61 6e 64 20 75 73 69 6e 67 20 56 69 72 74 75 61 6c 20 50 6f 72 74 43 68 61 6e 6e 65	hes.and.using.Virtual.PortChanne
e760	6c 73 20 74 68 61 74 20 61 72 65 20 73 70 61 6e 6e 65 64 20 61 63 72 6f 73 73 20 74 68 65 6d 2e	ls.that.are.spanned.across.them.
e780	20 41 73 20 61 20 62 6f 6e 75 73 2c 20 74 68 69 73 20 61 6c 73 6f 20 61 6c 6c 6f 77 73 20 66 6f	.As.a.bonus,.this.also.allows.fo
e7a0	72 20 63 6f 6d 70 6c 65 74 65 20 73 77 69 74 63 68 20 66 61 69 6c 75 72 65 20 77 69 74 68 6f 75	r.complete.switch.failure.withou
e7c0	74 20 61 6e 20 6f 75 74 61 67 65 2e 20 48 6f 77 20 79 6f 75 20 61 63 68 69 65 76 65 20 74 68 69	t.an.outage..How.you.achieve.thi
e7e0	73 20 79 6f 75 72 73 65 6c 66 20 69 73 20 6c 65 66 74 20 61 73 20 61 6e 20 65 78 65 72 63 69 73	s.yourself.is.left.as.an.exercis
e800	65 20 74 6f 20 74 68 65 20 72 65 61 64 65 72 2e 20 42 75 74 20 6f 75 72 20 73 65 74 75 70 20 69	e.to.the.reader..But.our.setup.i
e820	73 20 64 6f 63 75 6d 65 6e 74 65 64 20 68 65 72 65 2e 00 54 68 69 73 20 69 73 20 63 6f 6e 6e 65	s.documented.here..This.is.conne
e840	63 74 69 6e 67 20 62 61 63 6b 20 74 6f 20 74 68 65 20 53 54 41 54 49 43 20 49 50 20 6f 66 20 72	cting.back.to.the.STATIC.IP.of.r
e860	6f 75 74 65 72 31 2c 20 6e 6f 74 20 74 68 65 20 66 6c 6f 61 74 69 6e 67 2e 00 54 68 69 73 20 69	outer1,.not.the.floating..This.i
e880	73 20 69 64 65 6e 74 69 63 61 6c 2c 20 62 75 74 20 79 6f 75 20 75 73 65 20 74 68 65 20 42 47 50	s.identical,.but.you.use.the.BGP
e8a0	50 52 45 50 45 4e 44 4f 55 54 20 72 6f 75 74 65 2d 6d 61 70 20 74 6f 20 61 64 76 65 72 74 69 73	PREPENDOUT.route-map.to.advertis
e8c0	65 20 74 68 65 20 72 6f 75 74 65 20 77 69 74 68 20 61 20 6c 6f 6e 67 65 72 20 70 61 74 68 2e 00	e.the.route.with.a.longer.path..
e8e0	54 68 69 73 20 69 73 20 69 67 6e 6f 72 69 6e 67 20 74 68 65 20 65 78 74 72 61 20 4f 75 74 2d 6f	This.is.ignoring.the.extra.Out-o
e900	66 2d 62 61 6e 64 20 6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f 72 6b 69 6e 67 2c 20 77 68	f-band.management.networking,.wh
e920	69 63 68 20 73 68 6f 75 6c 64 20 62 65 20 6f 6e 20 74 6f 74 61 6c 6c 79 20 64 69 66 66 65 72 65	ich.should.be.on.totally.differe
e940	6e 74 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 61 20 64 69 66 66 65 72 65 6e 74 20 66 65 65	nt.switches,.and.a.different.fee
e960	64 20 69 6e 74 6f 20 74 68 65 20 72 61 63 6b 2c 20 61 6e 64 20 69 73 20 6f 75 74 20 6f 66 20 73	d.into.the.rack,.and.is.out.of.s
e980	63 6f 70 65 20 6f 66 20 74 68 69 73 2e 00 54 68 69 73 20 73 63 65 6e 61 72 69 6f 20 63 6f 75 6c	cope.of.this..This.scenario.coul
e9a0	64 20 62 65 20 61 20 6e 69 67 68 74 6d 61 72 65 20 61 70 70 6c 79 69 6e 67 20 72 65 67 75 6c 61	d.be.a.nightmare.applying.regula
e9c0	72 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 6d 69 67 68 74 20 6e 65 65 64 20 66 69 6c 74 65 72 69	r.routing.and.might.need.filteri
e9e0	6e 67 20 69 6e 20 6d 75 6c 74 69 70 6c 65 20 69 6e 74 65 72 66 61 63 65 73 2e 00 54 68 69 73 20	ng.in.multiple.interfaces..This.
ea00	73 65 63 74 69 6f 6e 20 64 65 73 63 72 69 62 65 73 20 76 65 72 69 66 69 63 61 74 69 6f 6e 20 63	section.describes.verification.c
ea20	6f 6d 6d 61 6e 64 73 20 66 6f 72 20 4d 50 4c 53 2f 42 47 50 2f 4c 44 50 20 70 72 6f 74 6f 63 6f	ommands.for.MPLS/BGP/LDP.protoco
ea40	6c 73 20 61 6e 64 20 4c 33 56 50 4e 20 72 65 6c 61 74 65 64 20 72 6f 75 74 65 73 20 61 73 20 77	ls.and.L3VPN.related.routes.as.w
ea60	65 6c 6c 20 61 73 20 64 69 61 67 6e 6f 73 69 73 20 61 6e 64 20 72 65 61 63 68 61 62 69 6c 69 74	ell.as.diagnosis.and.reachabilit
ea80	79 20 63 68 65 63 6b 73 20 62 65 74 77 65 65 6e 20 43 45 20 6e 6f 64 65 73 2e 00 54 68 69 73 20	y.checks.between.CE.nodes..This.
eaa0	73 65 63 74 69 6f 6e 20 70 72 6f 76 69 64 65 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 73	section.provides.configuration.s
eac0	74 65 70 73 20 66 6f 72 20 73 65 74 74 69 6e 67 20 75 70 20 56 52 46 73 20 6f 6e 20 6f 75 72 20	teps.for.setting.up.VRFs.on.our.
eae0	50 45 20 6e 6f 64 65 73 20 69 6e 63 6c 75 64 69 6e 67 20 43 45 20 66 61 63 69 6e 67 20 69 6e 74	PE.nodes.including.CE.facing.int
eb00	65 72 66 61 63 65 73 2c 20 42 47 50 2c 20 72 64 20 61 6e 64 20 72 6f 75 74 65 2d 74 61 72 67 65	erfaces,.BGP,.rd.and.route-targe
eb20	74 20 69 6d 70 6f 72 74 2f 65 78 70 6f 72 74 20 62 61 73 65 64 20 6f 6e 20 74 68 65 20 70 72 65	t.import/export.based.on.the.pre
eb40	2d 64 65 66 69 6e 65 64 20 70 61 72 61 6d 65 74 65 72 73 2e 00 54 68 69 73 20 73 65 74 75 70 20	-defined.parameters..This.setup.
eb60	72 65 71 75 69 72 65 73 20 74 68 65 20 43 6f 6d 70 72 65 73 73 69 6f 6e 20 43 6f 6e 74 72 6f 6c	requires.the.Compression.Control
eb80	20 50 72 6f 74 6f 63 6f 6c 20 28 43 43 50 29 20 62 65 69 6e 67 20 64 69 73 61 62 6c 65 64 2c 20	.Protocol.(CCP).being.disabled,.
eba0	74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 65 74 20 76 70 6e 20 6c 32 74 70 20 72 65 6d 6f 74	the.command.``set.vpn.l2tp.remot
ebc0	65 2d 61 63 63 65 73 73 20 70 70 70 2d 6f 70 74 69 6f 6e 73 20 64 69 73 61 62 6c 65 2d 63 63 70	e-access.ppp-options.disable-ccp
ebe0	60 60 20 61 63 63 6f 6d 70 6c 69 73 68 65 73 20 74 68 61 74 2e 00 54 68 69 73 20 73 69 6d 70 6c	``.accomplishes.that..This.simpl
ec00	65 20 73 74 72 75 63 74 75 72 65 20 73 68 6f 77 20 68 6f 77 20 74 6f 20 63 6f 6e 6e 65 63 74 20	e.structure.show.how.to.connect.
ec20	74 77 6f 20 6f 66 66 69 63 65 73 2e 20 4f 6e 65 20 72 65 6d 6f 74 65 20 62 72 61 6e 63 68 20 61	two.offices..One.remote.branch.a
ec40	6e 64 20 74 68 65 20 63 65 6e 74 72 61 6c 20 6f 66 66 69 63 65 2e 00 54 68 69 73 20 73 69 6d 70	nd.the.central.office..This.simp
ec60	6c 65 20 73 74 72 75 63 74 75 72 65 20 73 68 6f 77 73 20 68 6f 77 20 74 6f 20 63 6f 6e 66 69 67	le.structure.shows.how.to.config
ec80	75 72 65 20 61 20 44 48 43 50 20 52 65 6c 61 79 20 6f 76 65 72 20 61 20 47 52 45 20 42 72 69 64	ure.a.DHCP.Relay.over.a.GRE.Brid
eca0	67 65 20 69 6e 74 65 72 66 61 63 65 2e 00 54 68 69 73 20 77 69 6c 6c 20 62 65 20 76 69 73 69 62	ge.interface..This.will.be.visib
ecc0	6c 65 20 69 6e 20 27 73 68 6f 77 20 69 70 20 72 6f 75 74 65 27 2e 00 54 68 75 73 20 79 6f 75 20	le.in.'show.ip.route'..Thus.you.
ece0	63 61 6e 20 65 61 73 69 6c 79 20 6d 61 74 63 68 20 69 74 20 74 6f 20 6f 6e 65 20 6f 66 20 74 68	can.easily.match.it.to.one.of.th
ed00	65 20 64 65 76 69 63 65 73 2f 6e 65 74 77 6f 72 6b 73 20 62 65 6c 6f 77 2e 00 54 6f 20 61 63 68	e.devices/networks.below..To.ach
ed20	69 65 76 65 20 74 68 69 73 2c 20 79 6f 75 72 20 49 53 50 20 69 73 20 72 65 71 75 69 72 65 64 20	ieve.this,.your.ISP.is.required.
ed40	74 6f 20 73 75 70 70 6f 72 74 20 44 48 43 50 76 36 2d 50 44 2e 20 49 66 20 79 6f 75 27 72 65 20	to.support.DHCPv6-PD..If.you're.
ed60	6e 6f 74 20 73 75 72 65 2c 20 70 6c 65 61 73 65 20 63 6f 6e 74 61 63 74 20 79 6f 75 72 20 49 53	not.sure,.please.contact.your.IS
ed80	50 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 54 6f 20 61 64 64 20 6c	P.for.more.information..To.add.l
eda0	6f 67 67 69 6e 67 20 74 6f 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 75 6c 65 2c 20 64 6f 3a 00	ogging.to.the.default.rule,.do:.
edc0	54 6f 20 61 64 64 72 65 73 73 20 74 68 69 73 20 73 63 65 6e 61 72 69 6f 20 77 65 20 77 69 6c 6c	To.address.this.scenario.we.will
ede0	20 75 73 65 20 74 6f 20 6f 75 72 20 61 64 76 61 6e 74 61 67 65 20 61 6e 20 65 78 74 65 6e 73 69	.use.to.our.advantage.an.extensi
ee00	6f 6e 20 6f 66 20 74 68 65 20 42 47 50 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 74	on.of.the.BGP.routing.protocol.t
ee20	68 61 74 20 77 69 6c 6c 20 68 65 6c 70 20 75 73 20 69 6e 20 74 68 65 20 e2 80 9c 45 78 70 6f 72	hat.will.help.us.in.the....Expor
ee40	74 e2 80 9d 20 62 65 74 77 65 65 6e 20 56 52 46 73 20 77 69 74 68 6f 75 74 20 74 68 65 20 6e 65	t....between.VRFs.without.the.ne
ee60	65 64 20 66 6f 72 20 4d 50 4c 53 2e 00 54 6f 20 64 65 70 6c 6f 79 20 61 20 4c 61 79 65 72 33 20	ed.for.MPLS..To.deploy.a.Layer3.
ee80	56 50 4e 20 77 69 74 68 20 4d 50 4c 53 20 6f 6e 20 56 79 4f 53 2c 20 77 65 20 73 68 6f 75 6c 64	VPN.with.MPLS.on.VyOS,.we.should
eea0	20 6d 65 65 74 20 61 20 63 6f 75 70 6c 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 69 6e 20 6f	.meet.a.couple.requirements.in.o
eec0	72 64 65 72 20 74 6f 20 70 72 6f 70 65 72 6c 79 20 69 6d 70 6c 65 6d 65 6e 74 20 74 68 65 20 73	rder.to.properly.implement.the.s
eee0	6f 6c 75 74 69 6f 6e 2e 20 57 65 27 6c 6c 20 75 73 65 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67	olution..We'll.use.the.following
ef00	20 6e 6f 64 65 73 20 69 6e 20 6f 75 72 20 4c 41 42 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 3a 00 54	.nodes.in.our.LAB.environment:.T
ef20	6f 20 68 61 76 65 20 62 61 73 69 63 20 70 72 6f 74 65 63 74 69 6f 6e 20 77 68 69 6c 65 20 6b 65	o.have.basic.protection.while.ke
ef40	65 70 69 6e 67 20 49 50 76 36 20 6e 65 74 77 6f 72 6b 20 66 75 6e 63 74 69 6f 6e 61 6c 2c 20 77	eping.IPv6.network.functional,.w
ef60	65 20 6e 65 65 64 20 74 6f 3a 00 54 6f 20 72 65 61 63 68 20 74 68 65 20 6e 65 74 77 6f 72 6b 2c	e.need.to:.To.reach.the.network,
ef80	20 61 20 72 6f 75 74 65 20 6d 75 73 74 20 62 65 20 73 65 74 20 6f 6e 20 65 61 63 68 20 56 79 4f	.a.route.must.be.set.on.each.VyO
efa0	53 20 68 6f 73 74 2e 20 49 6e 20 74 68 69 73 20 73 74 72 75 63 74 75 72 65 2c 20 61 20 73 74 61	S.host..In.this.structure,.a.sta
efc0	74 69 63 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 77 69 6c 6c 20 66 69 74 20 74 68 65	tic.interface.route.will.fit.the
efe0	20 72 65 71 75 69 72 65 6d 65 6e 74 73 2e 00 54 6f 70 6f 6c 6f 67 79 00 54 72 61 66 66 69 63 20	.requirements..Topology.Traffic.
f000	66 6c 6f 77 73 20 66 72 6f 6d 20 7a 6f 6e 65 20 41 20 74 6f 20 7a 6f 6e 65 20 42 2e 20 54 68 61	flows.from.zone.A.to.zone.B..Tha
f020	74 20 66 6c 6f 77 20 69 73 20 77 68 61 74 20 49 20 72 65 66 65 72 20 74 6f 20 61 73 20 61 20 7a	t.flow.is.what.I.refer.to.as.a.z
f040	6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 2e 20 65 67 2e 20 41 2d 3e 42 20 61 6e 64	one-pair-direction..eg..A->B.and
f060	20 42 2d 3e 41 20 61 72 65 20 74 77 6f 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 65 73 74 69 6e 61 74	.B->A.are.two.zone-pair-destinat
f080	69 6f 6e 73 2e 00 54 72 61 6e 73 70 6f 72 74 3a 00 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 74 6f	ions..Transport:.Tunnelbroker.to
f0a0	70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 28 49	pology.image.Tunnelbroker.net.(I
f0c0	50 76 36 29 00 54 77 6f 20 56 79 4f 53 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 70 75 62 6c 69	Pv6).Two.VyOS.routers.with.publi
f0e0	63 20 49 50 20 61 64 64 72 65 73 73 2e 00 54 77 6f 20 72 75 6c 65 73 20 77 69 6c 6c 20 62 65 20	c.IP.address..Two.rules.will.be.
f100	63 72 65 61 74 65 64 2c 20 74 68 65 20 66 69 72 73 74 20 72 75 6c 65 20 64 69 72 65 63 74 73 20	created,.the.first.rule.directs.
f120	74 72 61 66 66 69 63 20 63 6f 6d 69 6e 67 20 69 6e 20 66 72 6f 6d 20 65 74 68 32 20 74 6f 20 65	traffic.coming.in.from.eth2.to.e
f140	74 68 30 20 61 6e 64 20 74 68 65 20 73 65 63 6f 6e 64 20 72 75 6c 65 20 64 69 72 65 63 74 73 20	th0.and.the.second.rule.directs.
f160	74 68 65 20 74 72 61 66 66 69 63 20 74 6f 20 65 74 68 31 2e 20 49 66 20 65 74 68 30 20 66 61 69	the.traffic.to.eth1..If.eth0.fai
f180	6c 73 20 74 68 65 20 66 69 72 73 74 20 72 75 6c 65 20 69 73 20 62 79 70 61 73 73 65 64 20 61 6e	ls.the.first.rule.is.bypassed.an
f1a0	64 20 74 68 65 20 73 65 63 6f 6e 64 20 72 75 6c 65 20 6d 61 74 63 68 65 73 2c 20 64 69 72 65 63	d.the.second.rule.matches,.direc
f1c0	74 69 6e 67 20 74 72 61 66 66 69 63 20 74 6f 20 65 74 68 31 2e 00 55 6e 6c 69 6b 65 20 49 50 76	ting.traffic.to.eth1..Unlike.IPv
f1e0	34 2c 20 49 50 76 36 20 69 73 20 72 65 61 6c 6c 79 20 6e 6f 74 20 64 65 73 69 67 6e 65 64 20 74	4,.IPv6.is.really.not.designed.t
f200	6f 20 62 65 20 62 72 6f 6b 65 6e 20 75 70 20 73 6d 61 6c 6c 65 72 20 74 68 61 6e 20 2f 36 34 2e	o.be.broken.up.smaller.than./64.
f220	20 53 6f 20 69 66 20 79 6f 75 20 65 76 65 72 20 77 61 6e 74 20 74 6f 20 68 61 76 65 20 6d 75 6c	.So.if.you.ever.want.to.have.mul
f240	74 69 70 6c 65 20 4c 41 4e 73 2c 20 56 4c 41 4e 73 2c 20 44 4d 5a 2c 20 65 74 63 2c 20 79 6f 75	tiple.LANs,.VLANs,.DMZ,.etc,.you
f260	27 6c 6c 20 77 61 6e 74 20 74 6f 20 69 67 6e 6f 72 65 20 74 68 65 20 61 73 73 69 67 6e 65 64 20	'll.want.to.ignore.the.assigned.
f280	2f 36 34 2c 20 61 6e 64 20 72 65 71 75 65 73 74 20 74 68 65 20 2f 34 38 20 61 6e 64 20 75 73 65	/64,.and.request.the./48.and.use
f2a0	20 74 68 61 74 2e 00 55 73 69 6e 67 20 74 68 65 20 67 65 6e 65 72 61 6c 20 73 63 68 65 6d 61 20	.that..Using.the.general.schema.
f2c0	66 6f 72 20 65 78 61 6d 70 6c 65 3a 00 55 73 69 6e 67 20 74 68 69 73 20 63 6f 6d 6d 61 6e 64 20	for.example:.Using.this.command.
f2e0	77 65 20 61 72 65 20 61 6c 73 6f 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 74 72	we.are.also.able.to.check.the.tr
f300	61 6e 73 70 6f 72 74 20 61 6e 64 20 63 75 73 74 6f 6d 65 72 20 6c 61 62 65 6c 20 28 69 6e 6e 65	ansport.and.customer.label.(inne
f320	72 2f 6f 75 74 65 72 29 20 66 6f 72 20 48 75 62 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 20	r/outer).for.Hub.network.prefix.
f340	28 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 29 3a 00 56 4c 41 4e 20 31 30 30 20 61 6e 64 20 32 30	(10.0.0.100/32):.VLAN.100.and.20
f360	31 20 77 69 6c 6c 20 68 61 76 65 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 65	1.will.have.floating.IP.addresse
f380	73 2c 20 62 75 74 20 56 4c 41 4e 35 30 20 64 6f 65 73 20 6e 6f 74 2c 20 61 73 20 74 68 69 73 20	s,.but.VLAN50.does.not,.as.this.
f3a0	69 73 20 74 61 6c 6b 69 6e 67 20 64 69 72 65 63 74 6c 79 20 74 6f 20 75 70 73 74 72 65 61 6d 2e	is.talking.directly.to.upstream.
f3c0	20 43 72 65 61 74 65 20 6f 75 72 20 49 50 20 61 64 64 72 65 73 73 20 6f 6e 20 76 6c 61 6e 35 30	.Create.our.IP.address.on.vlan50
f3e0	2e 00 56 4c 41 4e 73 00 56 4d 77 61 72 65 3a 20 59 6f 75 20 6d 75 73 74 20 44 49 53 41 42 4c 45	..VLANs.VMware:.You.must.DISABLE
f400	20 53 45 43 55 52 49 54 59 20 6f 6e 20 74 68 69 73 20 50 6f 72 74 20 67 72 6f 75 70 2e 20 4d 61	.SECURITY.on.this.Port.group..Ma
f420	6b 65 20 73 75 72 65 20 74 68 61 74 20 60 60 50 72 6f 6d 69 73 63 75 6f 75 73 20 4d 6f 64 65 60	ke.sure.that.``Promiscuous.Mode`
f440	60 5c 20 2c 20 60 60 4d 41 43 20 61 64 64 72 65 73 73 20 63 68 61 6e 67 65 73 60 60 20 61 6e 64	`\.,.``MAC.address.changes``.and
f460	20 60 60 46 6f 72 67 65 64 20 74 72 61 6e 73 6d 69 74 73 60 60 20 61 72 65 20 65 6e 61 62 6c 65	.``Forged.transmits``.are.enable
f480	64 2e 20 41 6c 6c 20 6f 66 20 74 68 65 73 65 20 77 69 6c 6c 20 62 65 20 64 6f 6e 65 20 61 73 20	d..All.of.these.will.be.done.as.
f4a0	70 61 72 74 20 6f 66 20 66 61 69 6c 6f 76 65 72 2e 00 56 52 46 00 56 52 52 50 20 43 6f 6e 66 69	part.of.failover..VRF.VRRP.Confi
f4c0	67 75 72 61 74 69 6f 6e 00 56 65 72 69 66 69 63 61 74 69 6f 6e 00 56 65 72 73 69 6f 6e 3a 20 31	guration.Verification.Version:.1
f4e0	2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 00 56 65 72 73 69 6f 6e 3a	.4-rolling-202110310317.Version:
f500	20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 35 31 30 30 37 33 34 00 56 65 72 73 69 6f	.1.4-rolling-202305100734.Versio
f520	6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 32 34 30 30 32 30 00 56 65 72 73	n:.1.4-rolling-202308240020.Vers
f540	69 6f 6e 3a 20 31 2e 35 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 34 30 31 31 32 31 32 33 39 00 56 65	ion:.1.5-rolling-202401121239.Ve
f560	72 73 69 6f 6e 3a 20 76 79 6f 73 2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 32 31 35	rsion:.vyos-1.4-rolling-20230215
f580	30 33 31 37 00 56 79 4f 53 00 56 79 4f 53 20 31 2e 33 20 61 64 64 65 64 20 69 6e 69 74 69 61 6c	0317.VyOS.VyOS.1.3.added.initial
f5a0	20 73 75 70 70 6f 72 74 20 66 6f 72 20 56 52 46 73 20 28 69 6e 63 6c 75 64 69 6e 67 20 49 50 76	.support.for.VRFs.(including.IPv
f5c0	34 2f 49 50 76 36 20 73 74 61 74 69 63 20 72 6f 75 74 69 6e 67 29 20 61 6e 64 20 56 79 4f 53 20	4/IPv6.static.routing).and.VyOS.
f5e0	31 2e 34 20 6e 6f 77 20 65 6e 61 62 6c 65 73 20 66 75 6c 6c 20 64 79 6e 61 6d 69 63 20 72 6f 75	1.4.now.enables.full.dynamic.rou
f600	74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 73 75 70 70 6f 72 74 20 66 6f 72 20 4f 53 50 46 2c 20	ting.protocol.support.for.OSPF,.
f620	49 53 2d 49 53 2c 20 61 6e 64 20 42 47 50 20 66 6f 72 20 69 6e 64 69 76 69 64 75 61 6c 20 56 52	IS-IS,.and.BGP.for.individual.VR
f640	46 73 2e 00 56 79 4f 53 20 61 63 74 73 20 61 73 20 44 48 43 50 2c 20 44 4e 53 20 66 6f 72 77 61	Fs..VyOS.acts.as.DHCP,.DNS.forwa
f660	72 64 65 72 2c 20 4e 41 54 2c 20 72 6f 75 74 65 72 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 2e 00	rder,.NAT,.router.and.firewall..
f680	56 79 4f 53 20 61 73 20 43 6c 69 65 6e 74 00 56 79 4f 53 20 61 73 20 61 20 4f 70 65 6e 56 50 4e	VyOS.as.Client.VyOS.as.a.OpenVPN
f6a0	20 53 65 72 76 65 72 00 56 79 4f 53 20 69 73 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 4d 53	.Server.VyOS.is.able.to.check.MS
f6c0	44 20 70 65 72 20 64 65 76 69 63 65 73 3a 00 56 79 4f 53 2d 43 45 2d 48 55 42 20 2d 2d 2d 2d 2d	D.per.devices:.VyOS-CE-HUB.-----
f6e0	2d 2d 3e 20 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 00 56 79 4f 53 2d 43 45 2d 48 55 42 20 2d	-->.VyOS-CE1-SPOKE.VyOS-CE-HUB.-
f700	2d 2d 2d 2d 2d 2d 3e 20 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 00 56 79 4f 53 2d 43 45 31 2d	------>.VyOS-CE2-SPOKE.VyOS-CE1-
f720	48 55 42 3a 00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 20 2d 2d 2d 2d 2d 3e 20 20 20 56 79 4f	HUB:.VyOS-CE1-SPOKE.----->...VyO
f740	53 2d 43 45 2d 48 55 42 00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 3a 00 56 79 4f 53 2d 43 45	S-CE-HUB.VyOS-CE1-SPOKE:.VyOS-CE
f760	32 2d 53 50 4f 4b 45 20 2d 2d 2d 2d 2d 2d 2d 3e 20 20 56 79 4f 53 2d 43 45 2d 48 55 42 00 56 79	2-SPOKE.------->..VyOS-CE-HUB.Vy
f780	4f 53 2d 43 45 32 2d 53 50 4f 4b 45 3a 00 56 79 4f 53 2d 50 31 3a 00 56 79 4f 53 2d 50 32 3a 00	OS-CE2-SPOKE:.VyOS-P1:.VyOS-P2:.
f7a0	56 79 4f 53 2d 50 33 3a 00 56 79 4f 53 2d 50 34 3a 00 56 79 4f 53 2d 50 45 31 00 56 79 4f 53 2d	VyOS-P3:.VyOS-P4:.VyOS-PE1.VyOS-
f7c0	50 45 31 3a 00 56 79 4f 53 2d 50 45 32 00 56 79 4f 53 2d 50 45 32 3a 00 56 79 4f 53 2d 50 45 33	PE1:.VyOS-PE2.VyOS-PE2:.VyOS-PE3
f7e0	00 56 79 4f 53 2d 50 45 33 3a 00 56 79 4f 53 2d 52 52 31 2f 52 52 32 00 56 79 4f 53 2d 52 52 31	.VyOS-PE3:.VyOS-RR1/RR2.VyOS-RR1
f800	3a 00 56 79 4f 53 2d 52 52 32 3a 00 56 79 6f 73 20 41 53 4e 00 56 79 6f 73 20 63 6f 6e 66 69 67	:.VyOS-RR2:.Vyos.ASN.Vyos.config
f820	75 72 61 74 69 6f 6e 00 56 79 6f 73 20 70 72 69 76 61 74 65 20 49 50 00 56 79 6f 73 20 70 75 62	uration.Vyos.private.IP.Vyos.pub
f840	6c 69 63 20 49 50 00 57 41 4e 20 49 6e 74 65 72 66 61 63 65 00 57 41 4e 20 4c 6f 61 64 20 42 61	lic.IP.WAN.Interface.WAN.Load.Ba
f860	6c 61 6e 63 65 72 20 65 78 61 6d 70 6c 65 73 00 57 61 6c 6b 74 68 72 6f 75 67 68 20 73 75 67 67	lancer.examples.Walkthrough.sugg
f880	65 73 74 69 6f 6e 00 57 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 75 73 65 20 31 30 2e 32 30	estion.We.are.going.to.use.10.20
f8a0	30 2e 32 30 31 2e 30 2f 32 34 20 66 6f 72 20 61 6e 20 27 69 6e 74 65 72 6e 61 6c 27 20 6e 65 74	0.201.0/24.for.an.'internal'.net
f8c0	77 6f 72 6b 20 6f 6e 20 56 4c 41 4e 32 30 31 2e 00 57 65 20 61 72 65 20 73 65 74 74 69 6e 67 20	work.on.VLAN201..We.are.setting.
f8e0	75 70 20 56 52 52 50 20 73 6f 20 74 68 61 74 20 69 74 20 64 6f 65 73 20 4e 4f 54 20 66 61 69 6c	up.VRRP.so.that.it.does.NOT.fail
f900	20 62 61 63 6b 20 77 68 65 6e 20 61 20 6d 61 63 68 69 6e 65 20 72 65 74 75 72 6e 73 20 69 6e 74	.back.when.a.machine.returns.int
f920	6f 20 73 65 72 76 69 63 65 2c 20 61 6e 64 20 69 74 20 70 72 69 6f 72 69 74 69 7a 65 73 20 72 6f	o.service,.and.it.prioritizes.ro
f940	75 74 65 72 31 20 6f 76 65 72 20 72 6f 75 74 65 72 32 2e 00 57 65 20 61 72 65 20 75 73 69 6e 67	uter1.over.router2..We.are.using
f960	20 61 20 22 77 68 69 74 65 20 6c 69 73 74 22 20 61 70 70 72 6f 61 63 68 20 62 79 20 61 6c 6c 6f	.a."white.list".approach.by.allo
f980	77 69 6e 67 20 6f 6e 6c 79 20 77 68 61 74 20 69 73 20 6e 65 63 65 73 73 61 72 79 2e 20 49 6e 20	wing.only.what.is.necessary..In.
f9a0	63 61 73 65 20 74 68 61 74 20 6e 65 65 64 20 74 6f 20 69 6d 70 6c 65 6d 65 6e 74 20 61 20 22 62	case.that.need.to.implement.a."b
f9c0	6c 61 63 6b 20 6c 69 73 74 22 20 61 70 70 72 6f 61 63 68 20 74 68 65 6e 20 79 6f 75 20 77 69 6c	lack.list".approach.then.you.wil
f9e0	6c 20 6e 65 65 64 20 74 6f 20 63 68 61 6e 67 65 20 74 68 65 20 61 63 74 69 6f 6e 20 69 6e 20 74	l.need.to.change.the.action.in.t
fa00	68 65 20 72 6f 75 74 65 2d 6d 61 70 20 66 6f 72 20 61 20 64 65 6e 79 20 42 55 54 20 79 6f 75 20	he.route-map.for.a.deny.BUT.you.
fa20	6e 65 65 64 20 74 6f 20 61 64 64 20 61 20 72 75 6c 65 20 74 68 61 74 20 70 65 72 6d 69 74 73 20	need.to.add.a.rule.that.permits.
fa40	74 68 65 20 72 65 73 74 20 64 75 65 20 74 6f 20 74 68 65 20 69 6d 70 6c 69 63 69 74 20 64 65 6e	the.rest.due.to.the.implicit.den
fa60	79 20 69 6e 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 2e 00 57 65 20 63 72 65 61 74 65 20 61 20	y.in.the.route-map..We.create.a.
fa80	70 72 65 66 69 78 2d 6c 69 73 74 20 66 69 72 73 74 20 61 6e 64 20 61 64 64 20 61 6c 6c 20 74 68	prefix-list.first.and.add.all.th
faa0	65 20 72 6f 75 74 65 73 20 77 65 20 6e 65 65 64 20 74 6f 2e 00 57 65 20 65 78 70 6c 69 63 69 74	e.routes.we.need.to..We.explicit
fac0	6c 79 20 65 78 63 6c 75 64 65 20 74 68 65 20 70 72 69 6d 61 72 79 20 75 70 73 74 72 65 61 6d 20	ly.exclude.the.primary.upstream.
fae0	6e 65 74 77 6f 72 6b 20 73 6f 20 74 68 61 74 20 42 47 50 20 6f 72 20 4f 53 50 46 20 74 72 61 66	network.so.that.BGP.or.OSPF.traf
fb00	66 69 63 20 64 6f 65 73 6e 27 74 20 61 63 63 69 64 65 6e 74 61 6c 6c 79 20 67 65 74 20 4e 41 54	fic.doesn't.accidentally.get.NAT
fb20	27 65 64 2e 00 57 65 20 68 61 76 65 20 66 6f 75 72 20 68 6f 73 74 73 20 6f 6e 20 74 68 65 20 6c	'ed..We.have.four.hosts.on.the.l
fb40	6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 31 37 32 2e 31 37 2e 31 2e 30 2f 32 34 2e 20 41 6c 6c 20	ocal.network.172.17.1.0/24..All.
fb60	68 6f 73 74 73 20 61 72 65 20 6c 61 62 65 6c 65 64 20 43 53 30 20 62 79 20 64 65 66 61 75 6c 74	hosts.are.labeled.CS0.by.default
fb80	2e 20 57 65 20 6e 65 65 64 20 74 6f 20 72 65 70 6c 61 63 65 20 6c 61 62 65 6c 73 20 6f 6e 20 61	..We.need.to.replace.labels.on.a
fba0	6c 6c 20 68 6f 73 74 73 20 65 78 63 65 70 74 20 76 70 63 38 2e 20 57 65 20 77 69 6c 6c 20 72 65	ll.hosts.except.vpc8..We.will.re
fbc0	70 6c 61 63 65 20 74 68 65 20 6c 61 62 65 6c 73 20 6f 6e 20 74 68 65 20 6e 65 61 72 65 73 74 20	place.the.labels.on.the.nearest.
fbe0	72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 33 e2 80 9d 20 75 73 69 6e 67 20 74 68 65 20 49 50 20	router....VyOS3....using.the.IP.
fc00	61 64 64 72 65 73 73 65 73 20 6f 66 20 74 68 65 20 73 6f 75 72 63 65 73 2e 00 57 65 20 68 61 76	addresses.of.the.sources..We.hav
fc20	65 20 66 6f 75 72 20 70 72 65 2d 63 6f 6e 66 69 67 75 72 65 64 20 72 6f 75 74 65 72 73 20 77 69	e.four.pre-configured.routers.wi
fc40	74 68 20 74 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 57 65 20 68 61 76 65 20 74	th.this.configuration:.We.have.t
fc60	68 72 65 65 20 6e 65 74 77 6f 72 6b 73 2e 00 57 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69	hree.networks..We.keep.the.confi
fc80	67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70	guration.from.the.previous.examp
fca0	6c 65 2c 20 64 65 6c 65 74 65 20 72 75 6c 65 20 31 30 20 61 6e 64 20 63 72 65 61 74 65 20 74 68	le,.delete.rule.10.and.create.th
fcc0	65 20 74 77 6f 20 6e 65 77 20 72 75 6c 65 73 20 61 73 20 64 65 73 63 72 69 62 65 64 3a 00 57 65	e.two.new.rules.as.described:.We
fce0	20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65	.keep.the.configuration.from.the
fd00	20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 64 65 6c 65 74 65 20 72 75 6c 65 20 32	.previous.example,.delete.rule.2
fd20	30 20 61 6e 64 20 63 72 65 61 74 65 20 61 20 6e 65 77 20 72 75 6c 65 20 61 73 20 64 65 73 63 72	0.and.create.a.new.rule.as.descr
fd40	69 62 65 64 3a 00 57 65 20 6e 65 65 64 20 74 6f 20 65 6e 61 62 6c 65 20 72 6f 75 74 65 72 20 61	ibed:.We.need.to.enable.router.a
fd60	64 76 65 72 74 69 73 65 6d 65 6e 74 20 66 6f 72 20 4c 41 4e 20 6e 65 74 77 6f 72 6b 20 73 6f 20	dvertisement.for.LAN.network.so.
fd80	74 68 61 74 20 50 43 20 63 61 6e 20 72 65 63 65 69 76 65 20 74 68 65 20 70 72 65 66 69 78 20 61	that.PC.can.receive.the.prefix.a
fda0	6e 64 20 75 73 65 20 53 4c 41 41 43 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 61 64	nd.use.SLAAC.to.configure.the.ad
fdc0	64 72 65 73 73 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 2e 00 57 65 20 6f 6e 6c 79 20 77 61 6e	dress.automatically..We.only.wan
fde0	74 20 74 6f 20 65 78 70 6f 72 74 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 20 77 65 20 6b 6e 6f 77	t.to.export.the.networks.we.know
fe00	2e 20 41 6c 77 61 79 73 20 64 6f 20 61 20 77 68 69 74 65 6c 69 73 74 20 6f 6e 20 79 6f 75 72 20	..Always.do.a.whitelist.on.your.
fe20	72 6f 75 74 65 20 66 69 6c 74 65 72 73 2c 20 62 6f 74 68 20 69 6d 70 6f 72 74 69 6e 67 20 61 6e	route.filters,.both.importing.an
fe40	64 20 65 78 70 6f 72 74 69 6e 67 2e 20 41 20 67 6f 6f 64 20 72 75 6c 65 20 6f 66 20 74 68 75 6d	d.exporting..A.good.rule.of.thum
fe60	62 20 69 73 20 2a 2a 27 49 66 20 79 6f 75 20 61 72 65 20 6e 6f 74 20 74 68 65 20 64 65 66 61 75	b.is.**'If.you.are.not.the.defau
fe80	6c 74 20 72 6f 75 74 65 72 20 66 6f 72 20 61 20 6e 65 74 77 6f 72 6b 2c 20 64 6f 6e 27 74 20 61	lt.router.for.a.network,.don't.a
fea0	64 76 65 72 74 69 73 65 20 69 74 27 2a 2a 2e 20 54 68 69 73 20 6d 65 61 6e 73 20 77 65 20 65 78	dvertise.it'**..This.means.we.ex
fec0	70 6c 69 63 69 74 6c 79 20 64 6f 20 6e 6f 74 20 77 61 6e 74 20 74 6f 20 61 64 76 65 72 74 69 73	plicitly.do.not.want.to.advertis
fee0	65 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 20 28 62 75 74 20	e.the.192.0.2.0/24.network.(but.
ff00	64 6f 20 77 61 6e 74 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 31 30 2e 32 30 30 2e 32 30 31 2e	do.want.to.advertise.10.200.201.
ff20	30 20 61 6e 64 20 32 30 33 2e 30 2e 31 31 33 2e 30 2c 20 77 68 69 63 68 20 77 65 20 41 52 45 20	0.and.203.0.113.0,.which.we.ARE.
ff40	74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 66 6f 72 29 2e 20 54 68 69 73 20 66 69 6c	the.default.route.for)..This.fil
ff60	74 65 72 20 69 73 20 61 70 70 6c 69 65 64 20 74 6f 20 60 60 72 65 64 69 73 74 72 69 62 75 74 65	ter.is.applied.to.``redistribute
ff80	20 63 6f 6e 6e 65 63 74 65 64 60 60 2e 20 49 66 20 77 65 20 57 45 52 45 20 74 6f 20 61 64 76 65	.connected``..If.we.WERE.to.adve
ffa0	72 74 69 73 65 20 69 74 2c 20 74 68 65 20 72 65 6d 6f 74 65 20 6d 61 63 68 69 6e 65 73 20 77 6f	rtise.it,.the.remote.machines.wo
ffc0	75 6c 64 20 73 65 65 20 31 39 32 2e 30 2e 32 2e 32 31 20 61 76 61 69 6c 61 62 6c 65 20 76 69 61	uld.see.192.0.2.21.available.via
ffe0	20 74 68 65 69 72 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 2c 20 65 73 74 61 62 6c 69 73 68 20	.their.default.route,.establish.
10000	74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 2c 20 61 6e 64 20 74 68 65 6e 20 4f 53 50 46 20 77 6f	the.connection,.and.then.OSPF.wo
10020	75 6c 64 20 73 61 79 20 27 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 69 73 20 61 76 61 69 6c 61 62	uld.say.'192.0.2.0/24.is.availab
10040	6c 65 20 76 69 61 20 74 68 69 73 20 74 75 6e 6e 65 6c 27 2c 20 61 74 20 77 68 69 63 68 20 70 6f	le.via.this.tunnel',.at.which.po
10060	69 6e 74 20 74 68 65 20 74 75 6e 6e 65 6c 20 77 6f 75 6c 64 20 62 72 65 61 6b 2c 20 4f 53 50 46	int.the.tunnel.would.break,.OSPF
10080	20 77 6f 75 6c 64 20 64 72 6f 70 20 74 68 65 20 72 6f 75 74 65 73 2c 20 61 6e 64 20 74 68 65 6e	.would.drop.the.routes,.and.then
100a0	20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 77 6f 75 6c 64 20 62 65 20 72 65 61 63 68 61 62 6c 65	.192.0.2.0/24.would.be.reachable
100c0	20 76 69 61 20 64 65 66 61 75 6c 74 20 61 67 61 69 6e 2e 20 54 68 69 73 20 69 73 20 63 61 6c 6c	.via.default.again..This.is.call
100e0	65 64 20 27 66 6c 61 70 70 69 6e 67 27 2e 00 57 65 20 6f 6e 6c 79 20 77 61 6e 74 20 74 6f 20 69	ed.'flapping'..We.only.want.to.i
10100	6d 70 6f 72 74 20 6e 65 74 77 6f 72 6b 73 20 77 65 20 6b 6e 6f 77 2e 20 4f 75 72 20 4f 53 50 46	mport.networks.we.know..Our.OSPF
10120	20 70 65 65 72 20 73 68 6f 75 6c 64 20 6f 6e 6c 79 20 62 65 20 61 64 76 65 72 74 69 73 69 6e 67	.peer.should.only.be.advertising
10140	20 6e 65 74 77 6f 72 6b 73 20 69 6e 20 74 68 65 20 31 30 2e 32 30 31 2e 30 2e 30 2f 31 36 20 72	.networks.in.the.10.201.0.0/16.r
10160	61 6e 67 65 2e 20 4e 6f 74 65 20 74 68 61 74 20 74 68 69 73 20 69 73 20 61 6e 20 49 4e 56 45 52	ange..Note.that.this.is.an.INVER
10180	53 45 20 4d 41 54 43 48 2e 20 59 6f 75 20 64 65 6e 79 20 69 6e 20 61 63 63 65 73 73 2d 6c 69 73	SE.MATCH..You.deny.in.access-lis
101a0	74 20 31 30 30 20 74 6f 20 61 63 63 65 70 74 20 74 68 65 20 72 6f 75 74 65 2e 00 57 65 20 75 73	t.100.to.accept.the.route..We.us
101c0	65 20 61 20 73 74 61 74 69 63 20 72 6f 75 74 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69	e.a.static.route.configuration.i
101e0	6e 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 61 6e 64 20 65 61 63 68 20 4c 41 4e 20	n.between.the.Core.and.each.LAN.
10200	61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 20 72 6f 75 74 65 72 2c 20 61 6e 64 20 42 47 50 20 62	and.Management.router,.and.BGP.b
10220	65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 72 6f 75 74 65 72 20 61 6e 64 20 74 68 65 20 49	etween.the.Core.router.and.the.I
10240	53 50 20 72 6f 75 74 65 72 20 62 75 74 20 61 6e 79 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e	SP.router.but.any.dynamic.routin
10260	67 20 70 72 6f 74 6f 63 6f 6c 20 63 61 6e 20 62 65 20 75 73 65 64 2e 00 57 65 20 75 73 65 20 73	g.protocol.can.be.used..We.use.s
10280	6d 61 6c 6c 20 2f 33 30 27 73 20 66 72 6f 6d 20 31 30 2e 32 35 34 2e 36 30 2f 32 34 20 66 6f 72	mall./30's.from.10.254.60/24.for
102a0	20 74 68 65 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20 6c 69 6e 6b 73 2e 00 57 65 20 75 73	.the.point-to-point.links..We.us
102c0	65 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 6e 65 74 77 6f 72 6b 20 74 6f 70 6f 6c 6f 67 79	e.the.following.network.topology
102e0	20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 3a 00 57 68 65 6e 20 69 6d 70 6f 72 74 69 6e 67	.in.this.example:.When.importing
10300	20 72 6f 75 74 65 73 20 75 73 69 6e 67 20 4d 50 2d 42 47 50 20 69 74 20 69 73 20 70 6f 73 73 69	.routes.using.MP-BGP.it.is.possi
10320	62 6c 65 20 74 6f 20 66 69 6c 74 65 72 20 61 20 73 75 62 73 65 74 20 6f 66 20 74 68 65 6d 20 62	ble.to.filter.a.subset.of.them.b
10340	65 66 6f 72 65 20 61 72 65 20 69 6e 6a 65 63 74 65 64 20 69 6e 20 74 68 65 20 42 47 50 20 74 61	efore.are.injected.in.the.BGP.ta
10360	62 6c 65 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 6d 6f 73 74 20 63 6f 6d 6d 6f 6e 20 63 61 73 65	ble..One.of.the.most.common.case
10380	20 69 73 20 74 6f 20 75 73 65 20 61 20 72 6f 75 74 65 2d 6d 61 70 20 77 69 74 68 20 61 6e 20 70	.is.to.use.a.route-map.with.an.p
103a0	72 65 66 69 78 2d 6c 69 73 74 2e 00 57 68 65 6e 20 74 72 61 66 66 69 63 20 69 73 20 6f 72 69 67	refix-list..When.traffic.is.orig
103c0	69 6e 61 74 65 64 20 66 72 6f 6d 20 74 68 65 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20	inated.from.the.10.200.201.0/24.
103e0	6e 65 74 77 6f 72 6b 2c 20 69 74 20 77 69 6c 6c 20 62 65 20 6d 61 73 71 75 65 72 61 64 65 64 20	network,.it.will.be.masqueraded.
10400	74 6f 20 32 30 33 2e 30 2e 31 31 33 2e 31 00 57 68 65 6e 20 75 74 69 6c 69 7a 69 6e 67 20 56 79	to.203.0.113.1.When.utilizing.Vy
10420	4f 53 20 69 6e 20 61 6e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 20 77 69 74 68 20 43 69 73 63 6f 20	OS.in.an.environment.with.Cisco.
10440	49 4f 53 2d 58 52 20 67 65 61 72 20 79 6f 75 20 63 61 6e 20 75 73 65 20 74 68 69 73 20 62 6c 75	IOS-XR.gear.you.can.use.this.blu
10460	65 20 70 72 69 6e 74 20 61 73 20 61 6e 20 69 6e 69 74 69 61 6c 20 73 65 74 75 70 20 74 6f 20 67	e.print.as.an.initial.setup.to.g
10480	65 74 20 4d 50 4c 53 20 49 53 49 53 2d 53 52 20 77 6f 72 6b 69 6e 67 20 62 65 74 77 65 65 6e 20	et.MPLS.ISIS-SR.working.between.
104a0	74 68 6f 73 65 20 74 77 6f 20 64 65 76 69 63 65 73 2e 54 68 65 20 6c 61 62 20 77 61 73 20 62 75	those.two.devices.The.lab.was.bu
104c0	69 6c 64 20 75 73 69 6e 67 20 3a 61 62 62 72 3a 60 45 56 45 2d 4e 47 20 28 45 6d 75 6c 61 74 65	ild.using.:abbr:`EVE-NG.(Emulate
104e0	64 20 56 69 72 74 75 61 6c 20 45 6e 76 69 72 6f 6e 6d 65 6e 74 20 4e 47 29 60 2e 00 57 68 65 6e	d.Virtual.Environment.NG)`..When
10500	20 79 6f 75 20 68 61 76 65 20 62 6f 74 68 20 72 6f 75 74 65 72 73 20 75 70 2c 20 79 6f 75 20 73	.you.have.both.routers.up,.you.s
10520	68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 65 73 74 61 62 6c 69 73 68 20 61 20 63 6f 6e	hould.be.able.to.establish.a.con
10540	6e 65 63 74 69 6f 6e 20 66 72 6f 6d 20 61 20 4e 41 54 27 65 64 20 6d 61 63 68 69 6e 65 20 6f 75	nection.from.a.NAT'ed.machine.ou
10560	74 20 74 6f 20 74 68 65 20 69 6e 74 65 72 6e 65 74 2c 20 72 65 62 6f 6f 74 20 74 68 65 20 61 63	t.to.the.internet,.reboot.the.ac
10580	74 69 76 65 20 6d 61 63 68 69 6e 65 2c 20 61 6e 64 20 74 68 61 74 20 63 6f 6e 6e 65 63 74 69 6f	tive.machine,.and.that.connectio
105a0	6e 20 73 68 6f 75 6c 64 20 62 65 20 70 72 65 73 65 72 76 65 64 2c 20 61 6e 64 20 77 69 6c 6c 20	n.should.be.preserved,.and.will.
105c0	6e 6f 74 20 64 72 6f 70 20 6f 75 74 2e 00 57 68 65 6e 20 79 6f 75 20 68 61 76 65 20 65 6e 61 62	not.drop.out..When.you.have.enab
105e0	6c 65 64 20 4f 53 50 46 20 6f 6e 20 62 6f 74 68 20 72 6f 75 74 65 72 73 2c 20 79 6f 75 20 73 68	led.OSPF.on.both.routers,.you.sh
10600	6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 65 61 63 68 20 6f 74 68 65 72 20 77	ould.be.able.to.see.each.other.w
10620	69 74 68 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 68 6f 77 20 69 70 20 6f 73 70 66 20 6e	ith.the.command.``show.ip.ospf.n
10640	65 69 67 68 62 6f 75 72 60 60 2e 20 54 68 65 20 73 74 61 74 65 20 6d 75 73 74 20 62 65 20 27 46	eighbour``..The.state.must.be.'F
10660	75 6c 6c 27 20 6f 72 20 27 32 2d 57 61 79 27 2e 20 49 66 20 69 74 20 69 73 20 6e 6f 74 2c 20 74	ull'.or.'2-Way'..If.it.is.not,.t
10680	68 65 6e 20 74 68 65 72 65 20 69 73 20 61 20 6e 65 74 77 6f 72 6b 20 63 6f 6e 6e 65 63 74 69 76	hen.there.is.a.network.connectiv
106a0	69 74 79 20 69 73 73 75 65 20 62 65 74 77 65 65 6e 20 74 68 65 20 68 6f 73 74 73 2e 20 54 68 69	ity.issue.between.the.hosts..Thi
106c0	73 20 69 73 20 6f 66 74 65 6e 20 63 61 75 73 65 64 20 62 79 20 4e 41 54 20 6f 72 20 4d 54 55 20	s.is.often.caused.by.NAT.or.MTU.
106e0	69 73 73 75 65 73 2e 20 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 74 20 73 65 65 20 61 6e 79 20 6e	issues..You.should.not.see.any.n
10700	65 77 20 72 6f 75 74 65 73 20 28 75 6e 6c 65 73 73 20 74 68 69 73 20 69 73 20 74 68 65 20 73 65	ew.routes.(unless.this.is.the.se
10720	63 6f 6e 64 20 70 61 73 73 29 20 69 6e 20 74 68 65 20 6f 75 74 70 75 74 20 6f 66 20 60 60 73 68	cond.pass).in.the.output.of.``sh
10740	6f 77 20 69 70 20 72 6f 75 74 65 60 60 00 57 69 6e 64 6f 77 20 50 50 50 6f 45 20 43 6c 69 65 6e	ow.ip.route``.Window.PPPoE.Clien
10760	74 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 20 32	t.Configuration.Windows.Server.2
10780	30 31 39 20 77 69 74 68 20 61 20 72 75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20 44 69 72 65 63 74	019.with.a.running.Active.Direct
107a0	6f 72 79 00 57 69 72 65 67 75 61 72 64 00 57 69 72 65 67 75 61 72 64 20 64 6f 65 73 6e 27 74 20	ory.Wireguard.Wireguard.doesn't.
107c0	68 61 76 65 20 74 68 65 20 63 6f 6e 63 65 70 74 20 6f 66 20 61 6e 20 75 70 20 6f 72 20 64 6f 77	have.the.concept.of.an.up.or.dow
107e0	6e 20 6c 69 6e 6b 2c 20 64 75 65 20 74 6f 20 69 74 73 20 64 65 73 69 67 6e 2e 20 54 68 69 73 20	n.link,.due.to.its.design..This.
10800	63 6f 6d 70 6c 69 63 61 74 65 73 20 41 4e 44 20 73 69 6d 70 6c 69 66 69 65 73 20 75 73 69 6e 67	complicates.AND.simplifies.using
10820	20 69 74 20 66 6f 72 20 6e 65 74 77 6f 72 6b 20 74 72 61 6e 73 70 6f 72 74 2c 20 61 73 20 66 6f	.it.for.network.transport,.as.fo
10840	72 20 72 65 6c 69 61 62 6c 65 20 73 74 61 74 65 20 64 65 74 65 63 74 69 6f 6e 20 79 6f 75 20 6e	r.reliable.state.detection.you.n
10860	65 65 64 20 74 6f 20 75 73 65 20 53 4f 4d 45 54 48 49 4e 47 20 74 6f 20 64 65 74 65 63 74 20 77	eed.to.use.SOMETHING.to.detect.w
10880	68 65 6e 20 74 68 65 20 6c 69 6e 6b 20 69 73 20 64 6f 77 6e 2e 00 57 69 74 68 20 54 75 6e 6e 65	hen.the.link.is.down..With.Tunne
108a0	6c 62 72 6f 6b 65 72 2e 6e 65 74 2c 20 79 6f 75 20 68 61 76 65 20 74 77 6f 20 6f 70 74 69 6f 6e	lbroker.net,.you.have.two.option
108c0	73 3a 00 57 69 74 68 20 74 68 69 73 20 63 6f 6d 6d 61 6e 64 20 77 65 20 61 72 65 20 61 62 6c 65	s:.With.this.command.we.are.able
108e0	20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 61 6e 64 20 63 75 73 74	.to.check.the.transport.and.cust
10900	6f 6d 65 72 20 6c 61 62 65 6c 20 28 69 6e 6e 65 72 2f 6f 75 74 65 72 29 20 66 6f 72 20 6e 65 74	omer.label.(inner/outer).for.net
10920	77 6f 72 6b 20 73 70 6f 6b 65 73 20 70 72 65 66 69 78 65 73 20 31 30 2e 30 2e 30 2e 38 30 2f 33	work.spokes.prefixes.10.0.0.80/3
10940	32 20 2d 20 31 30 2e 30 2e 30 2e 39 30 2f 33 32 00 57 69 74 68 69 6e 20 74 68 65 20 56 52 46 20	2.-.10.0.0.90/32.Within.the.VRF.
10960	77 65 20 73 65 74 20 74 68 65 20 52 6f 75 74 65 2d 44 69 73 74 69 6e 67 75 69 73 68 65 72 20 28	we.set.the.Route-Distinguisher.(
10980	52 44 29 20 61 6e 64 20 52 6f 75 74 65 2d 54 61 72 67 65 74 73 20 28 52 54 29 2c 20 74 68 65 6e	RD).and.Route-Targets.(RT),.then
109a0	20 77 65 20 65 6e 61 62 6c 65 20 74 68 65 20 65 78 70 6f 72 74 2f 69 6d 70 6f 72 74 20 56 50 4e	.we.enable.the.export/import.VPN
109c0	2e 00 58 52 76 2d 50 33 3a 00 59 6f 75 20 6d 61 6e 61 67 65 64 20 74 6f 20 63 6f 6d 65 20 74 68	..XRv-P3:.You.managed.to.come.th
109e0	69 73 20 66 61 72 2c 20 6e 6f 77 20 77 65 20 77 61 6e 74 20 74 6f 20 73 65 65 20 74 68 65 20 6e	is.far,.now.we.want.to.see.the.n
10a00	65 74 77 6f 72 6b 20 61 6e 64 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20 69 6e 20 61 63 74	etwork.and.routing.tables.in.act
10a20	69 6f 6e 2e 00 59 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20	ion..You.should.be.able.to.ping.
10a40	74 6f 20 61 6e 64 20 66 72 6f 6d 20 61 6c 6c 20 74 68 65 20 49 50 73 20 79 6f 75 20 68 61 76 65	to.and.from.all.the.IPs.you.have
10a60	20 61 6c 6c 6f 63 61 74 65 64 2e 00 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 77 20 62 65 20 61 62	.allocated..You.should.now.be.ab
10a80	6c 65 20 74 6f 20 70 69 6e 67 20 73 6f 6d 65 74 68 69 6e 67 20 62 79 20 49 50 76 36 20 44 4e 53	le.to.ping.something.by.IPv6.DNS
10aa0	20 6e 61 6d 65 3a 00 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 77 20 62 65 20 61 62 6c 65 20 74 6f	.name:.You.should.now.be.able.to
10ac0	20 73 65 65 20 74 68 65 20 61 64 76 65 72 74 69 73 65 64 20 6e 65 74 77 6f 72 6b 20 6f 6e 20 74	.see.the.advertised.network.on.t
10ae0	68 65 20 6f 74 68 65 72 20 68 6f 73 74 2e 00 59 6f 75 20 77 6f 75 6c 64 20 68 61 76 65 20 35 20	he.other.host..You.would.have.5.
10b00	7a 6f 6e 65 73 20 69 6e 73 74 65 61 64 20 6f 66 20 6a 75 73 74 20 34 20 61 6e 64 20 79 6f 75 20	zones.instead.of.just.4.and.you.
10b20	77 6f 75 6c 64 20 63 6f 6e 66 69 67 75 72 65 20 79 6f 75 72 20 76 36 20 72 75 6c 65 73 65 74 20	would.configure.your.v6.ruleset.
10b40	62 65 74 77 65 65 6e 20 79 6f 75 72 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 20 61 6e	between.your.tunnel.interface.an
10b60	64 20 79 6f 75 72 20 4c 41 4e 2f 44 4d 5a 20 7a 6f 6e 65 73 20 69 6e 73 74 65 61 64 20 6f 66 20	d.your.LAN/DMZ.zones.instead.of.
10b80	74 6f 20 74 68 65 20 57 41 4e 2e 00 59 6f 75 20 77 6f 75 6c 64 20 68 61 76 65 20 74 6f 20 61 64	to.the.WAN..You.would.have.to.ad
10ba0	64 20 61 20 63 6f 75 70 6c 65 20 6f 66 20 72 75 6c 65 73 20 6f 6e 20 79 6f 75 72 20 77 61 6e 2d	d.a.couple.of.rules.on.your.wan-
10bc0	6c 6f 63 61 6c 20 72 75 6c 65 73 65 74 20 74 6f 20 61 6c 6c 6f 77 20 70 72 6f 74 6f 63 6f 6c 20	local.ruleset.to.allow.protocol.
10be0	34 31 20 69 6e 2e 00 5a 6f 6e 65 2d 50 6f 6c 69 63 79 20 65 78 61 6d 70 6c 65 00 5a 6f 6e 65 73	41.in..Zone-Policy.example.Zones
10c00	20 42 61 73 69 63 73 00 5a 6f 6e 65 73 20 61 6e 64 20 52 75 6c 65 73 65 74 73 20 62 6f 74 68 20	.Basics.Zones.and.Rulesets.both.
10c20	68 61 76 65 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 73 74 61 74 65 6d 65 6e 74 2e	have.a.default.action.statement.
10c40	20 57 68 65 6e 20 75 73 69 6e 67 20 5a 6f 6e 65 2d 50 6f 6c 69 63 69 65 73 2c 20 74 68 65 20 64	.When.using.Zone-Policies,.the.d
10c60	65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 69 73 20 73 65 74 20 62 79 20 74 68 65 20 7a 6f 6e 65	efault.action.is.set.by.the.zone
10c80	2d 70 6f 6c 69 63 79 20 73 74 61 74 65 6d 65 6e 74 20 61 6e 64 20 69 73 20 72 65 70 72 65 73 65	-policy.statement.and.is.represe
10ca0	6e 74 65 64 20 62 79 20 72 75 6c 65 20 31 30 30 30 30 2e 00 5a 6f 6e 65 73 20 64 6f 20 6e 6f 74	nted.by.rule.10000..Zones.do.not
10cc0	20 61 6c 6c 6f 77 20 66 6f 72 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 6f 66 20 61	.allow.for.a.default.action.of.a
10ce0	63 63 65 70 74 3b 20 65 69 74 68 65 72 20 64 72 6f 70 20 6f 72 20 72 65 6a 65 63 74 2e 20 49 74	ccept;.either.drop.or.reject..It
10d00	20 69 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 72 65 6d 65 6d 62 65 72 20 74 68 69 73 20 62	.is.important.to.remember.this.b
10d20	65 63 61 75 73 65 20 69 66 20 79 6f 75 20 61 70 70 6c 79 20 61 6e 20 69 6e 74 65 72 66 61 63 65	ecause.if.you.apply.an.interface
10d40	20 74 6f 20 61 20 7a 6f 6e 65 20 61 6e 64 20 63 6f 6d 6d 69 74 2c 20 61 6e 79 20 61 63 74 69 76	.to.a.zone.and.commit,.any.activ
10d60	65 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 77 69 6c 6c 20 62 65 20 64 72 6f 70 70 65 64 2e 20 53	e.connections.will.be.dropped..S
10d80	70 65 63 69 66 69 63 61 6c 6c 79 2c 20 69 66 20 79 6f 75 20 61 72 65 20 53 53 48 e2 80 99 64 20	pecifically,.if.you.are.SSH...d.
10da0	69 6e 74 6f 20 56 79 4f 53 20 61 6e 64 20 61 64 64 20 6c 6f 63 61 6c 20 6f 72 20 74 68 65 20 69	into.VyOS.and.add.local.or.the.i
10dc0	6e 74 65 72 66 61 63 65 20 79 6f 75 20 61 72 65 20 63 6f 6e 6e 65 63 74 69 6e 67 20 74 68 72 6f	nterface.you.are.connecting.thro
10de0	75 67 68 20 74 6f 20 61 20 7a 6f 6e 65 20 61 6e 64 20 64 6f 20 6e 6f 74 20 68 61 76 65 20 72 75	ugh.to.a.zone.and.do.not.have.ru
10e00	6c 65 73 65 74 73 20 69 6e 20 70 6c 61 63 65 20 74 6f 20 61 6c 6c 6f 77 20 53 53 48 20 61 6e 64	lesets.in.place.to.allow.SSH.and
10e20	20 65 73 74 61 62 6c 69 73 68 65 64 20 73 65 73 73 69 6f 6e 73 2c 20 79 6f 75 20 77 69 6c 6c 20	.established.sessions,.you.will.
10e40	6e 6f 74 20 62 65 20 61 62 6c 65 20 74 6f 20 63 6f 6e 6e 65 63 74 2e 00 60 32 30 30 31 3a 34 37	not.be.able.to.connect..`2001:47
10e60	30 3a 78 78 78 78 3a 31 3a 3a 2f 36 34 60 3a 20 41 20 73 75 62 6e 65 74 20 73 75 69 74 61 62 6c	0:xxxx:1::/64`:.A.subnet.suitabl
10e80	65 20 66 6f 72 20 61 20 4c 41 4e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 32 3a 3a 2f 36	e.for.a.LAN.`2001:470:xxxx:2::/6
10ea0	34 60 3a 20 41 6e 6f 74 68 65 72 20 73 75 62 6e 65 74 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78	4`:.Another.subnet.`2001:470:xxx
10ec0	78 3a 3a 2f 34 38 60 3a 20 54 68 65 20 77 68 6f 6c 65 20 73 75 62 6e 65 74 2e 20 78 78 78 78 20	x::/48`:.The.whole.subnet..xxxx.
10ee0	73 68 6f 75 6c 64 20 63 6f 6d 65 20 66 72 6f 6d 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 00 60	should.come.from.Tunnelbroker..`
10f00	32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 66 66 66 66 3a 2f 36 34 60 3a 20 54 68 65 20 6c 61 73	2001:470:xxxx:ffff:/64`:.The.las
10f20	74 20 75 73 61 62 6c 65 20 2f 36 34 20 73 75 62 6e 65 74 2e 00 60 60 73 65 72 76 69 63 65 2d 6e	t.usable./64.subnet..``service-n
10f40	61 6d 65 60 60 20 63 61 6e 20 62 65 20 61 6e 20 61 72 62 69 74 72 61 72 79 20 73 74 72 69 6e 67	ame``.can.be.an.arbitrary.string
10f60	2e 00 61 66 74 65 72 20 61 6c 6c 20 74 68 65 73 65 20 73 74 65 70 73 20 74 68 65 20 63 6f 6e 66	..after.all.these.steps.the.conf
10f80	69 67 20 6c 6f 6f 6b 20 6c 69 6b 65 20 74 68 69 73 3a 00 61 66 74 65 72 20 74 68 69 73 20 63 72	ig.look.like.this:.after.this.cr
10fa0	65 61 74 65 20 61 20 73 69 67 6e 65 64 20 73 65 72 76 65 72 20 61 6e 64 20 61 20 63 6c 69 65 6e	eate.a.signed.server.and.a.clien
10fc0	74 20 63 65 72 74 69 66 69 63 61 74 65 00 61 6e 64 20 6c 61 73 74 20 74 68 65 20 44 48 20 4b 65	t.certificate.and.last.the.DH.Ke
10fe0	79 00 62 6c 75 65 20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20	y.blue.uses.local.routing.table.
11000	69 64 20 61 6e 64 20 56 4e 49 20 32 30 30 30 00 63 68 30 30 73 33 2d 34 2d 73 33 63 75 72 33 2d	id.and.VNI.2000.ch00s3-4-s3cur3-
11020	70 73 6b 00 63 6f 6d 70 75 74 65 31 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63	psk.compute1.(VMware.ESXi.6.5).c
11040	6f 6d 70 75 74 65 31 20 2d 20 50 6f 72 74 20 39 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00	ompute1.-.Port.9.of.each.switch.
11060	63 6f 6d 70 75 74 65 32 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75	compute2.(VMware.ESXi.6.5).compu
11080	74 65 32 20 2d 20 50 6f 72 74 20 31 30 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6d	te2.-.Port.10.of.each.switch.com
110a0	70 75 74 65 33 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 33	pute3.(VMware.ESXi.6.5).compute3
110c0	20 2d 20 50 6f 72 74 20 31 31 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6e 66 69 67	.-.Port.11.of.each.switch.config
110e0	75 72 65 20 65 61 63 68 20 68 6f 73 74 20 69 6e 20 74 68 65 20 6c 61 62 00 63 72 65 61 74 65 20	ure.each.host.in.the.lab.create.
11100	74 68 65 20 6c 61 62 20 6f 6e 20 61 20 65 76 65 2d 6e 67 20 73 65 72 76 65 72 00 64 6f 20 73 6f	the.lab.on.a.eve-ng.server.do.so
11120	6d 65 20 64 65 66 69 6e 65 64 20 74 65 73 74 73 00 65 74 68 30 00 65 74 68 30 20 69 73 20 73 65	me.defined.tests.eth0.eth0.is.se
11140	74 20 74 6f 20 62 65 20 72 65 6d 6f 76 65 64 20 66 72 6f 6d 20 74 68 65 20 6c 6f 61 64 20 62 61	t.to.be.removed.from.the.load.ba
11160	6c 61 6e 63 65 72 27 73 20 69 6e 74 65 72 66 61 63 65 20 70 6f 6f 6c 20 61 66 74 65 72 20 35 20	lancer's.interface.pool.after.5.
11180	70 69 6e 67 20 66 61 69 6c 75 72 65 73 2c 20 65 74 68 31 20 77 69 6c 6c 20 62 65 20 72 65 6d 6f	ping.failures,.eth1.will.be.remo
111a0	76 65 64 20 61 66 74 65 72 20 34 20 70 69 6e 67 20 66 61 69 6c 75 72 65 73 2e 00 65 78 74 65 6e	ved.after.4.ping.failures..exten
111c0	64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 20 61 6e 64 20 72 65 6d 6f 74 65 20 6c 61 62 65 6c 20 6f	ded.community.and.remote.label.o
111e0	66 20 73 70 65 63 69 66 69 63 20 64 65 73 74 69 6e 61 74 69 6f 6e 00 66 69 72 73 74 20 74 68 65	f.specific.destination.first.the
11200	20 50 43 41 00 67 65 6e 65 72 61 74 65 20 74 68 65 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20	.PCA.generate.the.documentation.
11220	61 6e 64 20 69 6e 63 6c 75 64 65 20 66 69 6c 65 73 00 67 72 65 65 6e 20 75 73 65 73 20 6c 6f 63	and.include.files.green.uses.loc
11240	61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20 34 30 30 30	al.routing.table.id.and.VNI.4000
11260	00 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 50 45 20 61 6e 64 20 43 45 3a 00	.information.between.PE.and.CE:.
11280	6f 70 74 69 6f 6e 61 6c 20 64 6f 20 61 6e 20 75 70 67 72 61 64 65 20 74 6f 20 61 20 68 69 67 68	optional.do.an.upgrade.to.a.high
112a0	65 72 20 76 65 72 73 69 6f 6e 20 61 6e 64 20 64 6f 20 73 74 65 70 20 33 20 61 67 61 69 6e 2e 00	er.version.and.do.step.3.again..
112c0	72 65 64 20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20	red.uses.local.routing.table.id.
112e0	61 6e 64 20 56 4e 49 20 33 30 30 30 00 72 6f 75 74 65 72 32 20 28 52 61 6e 64 6f 6d 20 31 52 55	and.VNI.3000.router2.(Random.1RU
11300	20 6d 61 63 68 69 6e 65 20 77 69 74 68 20 34 20 4e 49 43 73 29 00 73 61 76 65 20 74 68 65 20 6f	.machine.with.4.NICs).save.the.o
11320	75 74 70 75 74 20 74 6f 20 61 20 66 69 6c 65 20 61 6e 64 20 69 6d 70 6f 72 74 20 69 74 20 69 6e	utput.to.a.file.and.import.it.in
11340	20 6e 65 61 72 6c 79 20 61 6c 6c 20 6f 70 65 6e 76 70 6e 20 63 6c 69 65 6e 74 73 2e 00 73 68 75	.nearly.all.openvpn.clients..shu
11360	74 64 6f 77 6e 20 61 6e 64 20 64 65 73 74 72 6f 79 20 74 68 65 20 6c 61 62 2c 20 69 66 20 74 68	tdown.and.destroy.the.lab,.if.th
11380	65 72 65 20 69 73 20 6e 6f 20 65 72 72 6f 72 00 73 70 65 63 69 66 69 63 20 56 50 4e 76 34 20 64	ere.is.no.error.specific.VPNv4.d
113a0	65 73 74 69 6e 61 74 69 6f 6e 20 69 6e 63 6c 75 64 69 6e 67 20 65 78 74 65 6e 64 65 64 20 63 6f	estination.including.extended.co
113c0	6d 6d 75 6e 69 74 79 20 61 6e 64 20 72 65 6d 6f 74 65 6c 61 62 65 6c 20 69 6e 66 6f 72 6d 61 74	mmunity.and.remotelabel.informat
113e0	69 6f 6e 2e 20 54 68 69 73 20 70 72 6f 63 65 64 75 72 65 20 69 73 20 74 68 65 20 73 61 6d 65 20	ion..This.procedure.is.the.same.
11400	6f 6e 20 61 6c 6c 20 53 70 6f 6b 65 20 6e 6f 64 65 73 3a 00 73 77 69 74 63 68 31 20 28 4e 65 78	on.all.Spoke.nodes:.switch1.(Nex
11420	75 73 20 31 30 67 62 20 53 77 69 74 63 68 29 00 73 77 69 74 63 68 32 20 28 4e 65 78 75 73 20 31	us.10gb.Switch).switch2.(Nexus.1
11440	30 67 62 20 53 77 69 74 63 68 29 00 76 36 20 70 61 69 72 73 20 77 6f 75 6c 64 20 62 65 3a 00 76	0gb.Switch).v6.pairs.would.be:.v
11460	79 6f 73 31 30 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 38 00 76 79 6f 73 37 20 2d 20 31 39 32 2e	yos10.-.192.0.2.108.vyos7.-.192.
11480	30 2e 32 2e 31 30 35 00 76 79 6f 73 38 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 36 00 76 79 6f 73	0.2.105.vyos8.-.192.0.2.106.vyos
114a0	39 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 37 00 77 65 20 61 72 65 20 75 73 69 6e 67 20 22 73 6f	9.-.192.0.2.107.we.are.using."so
114c0	75 72 63 65 2d 61 64 64 72 65 73 73 22 20 6f 70 74 69 6f 6e 20 63 61 75 73 65 20 77 65 20 61 72	urce-address".option.cause.we.ar
114e0	65 20 6e 6f 74 20 72 65 64 69 73 74 72 69 62 75 74 69 6e 67 20 63 6f 6e 6e 65 63 74 65 64 20 69	e.not.redistributing.connected.i
11500	6e 74 65 72 66 61 63 65 73 20 69 6e 74 6f 20 42 47 50 20 6f 6e 20 74 68 65 20 43 6f 72 65 20 72	nterfaces.into.BGP.on.the.Core.r
11520	6f 75 74 65 72 20 68 65 6e 63 65 20 74 68 65 72 65 20 69 73 20 6e 6f 20 63 6f 6d 65 62 61 63 6b	outer.hence.there.is.no.comeback
11540	20 72 6f 75 74 65 20 61 6e 64 20 70 69 6e 67 20 77 69 6c 6c 20 66 61 69 6c 2e 00 77 69 74 68 69	.route.and.ping.will.fail..withi
11560	6e 20 56 52 46 73 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d	n.VRFs:....show.bgp.ipv4.vpn.sum
11580	6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 42 47 50 20 56 50 4e 76 34 20 6e	mary....for.checking.BGP.VPNv4.n
115a0	65 69 67 68 62 6f 72 73 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73	eighbors:....show.bgp.ipv4.vpn.s
115c0	75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67	ummary....for.checking.iBGP.neig
115e0	68 62 6f 72 73 20 61 67 61 69 6e 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e	hbors.again....show.bgp.ipv4.vpn
11600	20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 6e 65	.summary....for.checking.iBGP.ne
11620	69 67 68 62 6f 72 73 20 61 67 61 69 6e 73 74 20 72 6f 75 74 65 2d 72 65 66 6c 65 63 74 6f 72 20	ighbors.against.route-reflector.
11640	64 65 76 69 63 65 73 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e	devices:....show.bgp.ipv4.vpn.x.
11660	78 2e 78 2e 78 2f 33 32 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 62 65 73 74 2d 70 61	x.x.x/32....for.checking.best-pa
11680	74 68 2c 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78	th,....show.bgp.ipv4.vpn.x.x.x.x
116a0	2f 33 32 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 74 68 65 20 62 65 73 74 2d 70 61 74	/32....for.checking.the.best-pat
116c0	68 20 74 6f 20 74 68 65 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e	h.to.the....show.bgp.ipv4.vpn.x.
116e0	78 2e 78 2e 78 2f 78 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 62 65 73 74 20 70 61 74	x.x.x/x....for.checking.best.pat
11700	68 20 73 65 6c 65 63 74 65 64 20 66 6f 72 20 73 70 65 63 69 66 69 63 20 56 50 4e 76 34 20 64 65	h.selected.for.specific.VPNv4.de
11720	73 74 69 6e 61 74 69 6f 6e 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e e2 80	stination....show.bgp.ipv4.vpn..
11740	9d 20 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 56 50 4e 76 34 20 70 72 65 66 69 78	...for.checking.all.VPNv4.prefix
11760	65 73 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20	es.information:....show.bgp.vrf.
11780	42 4c 55 45 5f 48 55 42 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67	BLUE_HUB.summary....for.checking
117a0	20 45 42 47 50 20 6e 65 69 67 68 62 6f 72 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 42	.EBGP.neighbor....show.bgp.vrf.B
117c0	4c 55 45 5f 53 50 4f 4b 45 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e	LUE_SPOKE.summary....for.checkin
117e0	67 20 45 42 47 50 20 6e 65 69 67 68 62 6f 72 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20	g.EBGP.neighbor....show.bgp.vrf.
11800	61 6c 6c e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66	all....for.checking.all.the.pref
11820	69 78 20 6c 65 61 72 6e 69 6e 67 20 6f 6e 20 42 47 50 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76	ix.learning.on.BGP....show.bgp.v
11840	72 66 20 61 6c 6c e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 74 68 65 20 70	rf.all....for.checking.all.the.p
11860	72 65 66 69 78 65 73 20 6c 65 61 72 6e 69 6e 67 20 6f 6e 20 42 47 50 00 e2 80 9c 73 68 6f 77 20	refixes.learning.on.BGP....show.
11880	69 70 20 6f 73 70 66 20 6e 65 69 67 68 62 6f 72 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67	ip.ospf.neighbor....for.checking
118a0	20 6f 73 70 66 20 72 65 6c 61 74 69 6f 6e 73 68 69 70 00 e2 80 9c 73 68 6f 77 20 69 70 20 72 6f	.ospf.relationship....show.ip.ro
118c0	75 74 65 20 76 72 66 20 42 4c 55 45 5f 48 55 42 e2 80 9d 20 74 6f 20 76 69 65 77 20 74 68 65 20	ute.vrf.BLUE_HUB....to.view.the.
118e0	52 49 42 20 69 6e 20 6f 75 72 20 48 75 62 20 50 45 2e 00 e2 80 9c 73 68 6f 77 20 69 70 20 72 6f	RIB.in.our.Hub.PE.....show.ip.ro
11900	75 74 65 20 76 72 66 20 42 4c 55 45 5f 53 50 4f 4b 45 e2 80 9d 20 66 6f 72 20 76 69 65 77 69 6e	ute.vrf.BLUE_SPOKE....for.viewin
11920	67 20 74 68 65 20 52 49 42 20 69 6e 20 6f 75 72 20 53 70 6f 6b 65 20 50 45 2e 00 e2 80 9c 73 68	g.the.RIB.in.our.Spoke.PE.....sh
11940	6f 77 20 6d 70 6c 73 20 6c 64 70 20 62 69 6e 64 69 6e 67 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b	ow.mpls.ldp.binding....for.check
11960	69 6e 67 20 6d 70 6c 73 20 6c 61 62 65 6c 20 61 73 73 69 67 6e 6d 65 6e 74 00 e2 80 9c 73 68 6f	ing.mpls.label.assignment....sho
11980	77 20 6d 70 6c 73 20 6c 64 70 20 6e 65 69 67 68 62 6f 72 20 e2 80 9c 20 66 6f 72 20 63 68 65 63	w.mpls.ldp.neighbor.....for.chec
119a0	6b 69 6e 67 20 6c 64 70 20 6e 65 69 67 68 62 6f 72 73 00 4d 49 4d 45 2d 56 65 72 73 69 6f 6e 3a	king.ldp.neighbors.MIME-Version:
119c0	20 31 2e 30 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 74 65 78 74 2f 70 6c 61 69 6e 3b 20 63	.1.0.Content-Type:.text/plain;.c
119e0	68 61 72 73 65 74 3d 55 54 46 2d 38 0a 43 6f 6e 74 65 6e 74 2d 54 72 61 6e 73 66 65 72 2d 45 6e	harset=UTF-8.Content-Transfer-En
11a00	63 6f 64 69 6e 67 3a 20 38 62 69 74 0a 58 2d 47 65 6e 65 72 61 74 6f 72 3a 20 4c 6f 63 61 6c 61	coding:.8bit.X-Generator:.Locala
11a20	7a 79 20 28 68 74 74 70 73 3a 2f 2f 6c 6f 63 61 6c 61 7a 79 2e 63 6f 6d 29 0a 50 72 6f 6a 65 63	zy.(https://localazy.com).Projec
11a40	74 2d 49 64 2d 56 65 72 73 69 6f 6e 3a 20 0a 4c 61 6e 67 75 61 67 65 3a 20 6a 61 0a 50 6c 75 72	t-Id-Version:..Language:.ja.Plur
11a60	61 6c 2d 46 6f 72 6d 73 3a 20 6e 70 6c 75 72 61 6c 73 3d 31 3b 20 70 6c 75 72 61 6c 3d 30 3b 0a	al-Forms:.nplurals=1;.plural=0;.
11a80	00 27 27 49 74 20 69 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 6e 6f 74 65 2c 20 74 68 61 74	.''It.is.important.to.note,.that
11aa0	20 79 6f 75 20 64 6f 20 6e 6f 74 20 77 61 6e 74 20 74 6f 20 61 64 64 20 6c 6f 67 67 69 6e 67 20	.you.do.not.want.to.add.logging.
11ac0	74 6f 20 74 68 65 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 74 61 74 65 20 72 75 6c 65 20 61 73	to.the.established.state.rule.as
11ae0	20 79 6f 75 20 77 69 6c 6c 20 62 65 20 6c 6f 67 67 69 6e 67 20 62 6f 74 68 20 74 68 65 20 69 6e	.you.will.be.logging.both.the.in
11b00	62 6f 75 6e 64 20 61 6e 64 20 6f 75 74 62 6f 75 6e 64 20 70 61 63 6b 65 74 73 20 66 6f 72 20 65	bound.and.outbound.packets.for.e
11b20	61 63 68 20 73 65 73 73 69 6f 6e 20 69 6e 73 74 65 61 64 20 6f 66 20 6a 75 73 74 20 74 68 65 20	ach.session.instead.of.just.the.
11b40	69 6e 69 74 69 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 73 65 73 73 69 6f 6e 2e 20 59 6f 75 72 20	initiation.of.the.session..Your.
11b60	6c 6f 67 73 20 77 69 6c 6c 20 62 65 20 6d 61 73 73 69 76 65 20 69 6e 20 61 20 76 65 72 79 20 73	logs.will.be.massive.in.a.very.s
11b80	68 6f 72 74 20 70 65 72 69 6f 64 20 6f 66 20 74 69 6d 65 2e 27 27 00 2a 2a 49 6d 70 6f 72 74 61	hort.period.of.time.''.**Importa
11ba0	6e 74 2a 2a 3a 20 41 64 64 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 74 6f 20	nt**:.Add.an.interface.route.to.
11bc0	72 65 61 63 68 20 41 7a 75 72 65 27 73 20 42 47 50 20 6c 69 73 74 65 6e 65 72 00 2a 2a 49 6d 70	reach.Azure's.BGP.listener.**Imp
11be0	6f 72 74 61 6e 74 2a 2a 3a 20 41 64 64 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65	ortant**:.Add.an.interface.route
11c00	20 74 6f 20 72 65 61 63 68 20 62 6f 74 68 20 41 7a 75 72 65 27 73 20 42 47 50 20 6c 69 73 74 65	.to.reach.both.Azure's.BGP.liste
11c20	6e 65 72 73 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73 61 62 6c 65 20 63 6f 6e 6e	ners.**Important**:.Disable.conn
11c40	65 63 74 65 64 20 63 68 65 63 6b 20 5c 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73	ected.check.\.**Important**:.Dis
11c60	61 62 6c 65 20 63 6f 6e 6e 65 63 74 65 64 20 63 68 65 63 6b 2c 20 6f 74 68 65 72 77 69 73 65 20	able.connected.check,.otherwise.
11c80	74 68 65 20 72 6f 75 74 65 73 20 6c 65 61 72 6e 65 64 20 66 72 6f 6d 20 41 7a 75 72 65 20 77 69	the.routes.learned.from.Azure.wi
11ca0	6c 6c 20 6e 6f 74 20 62 65 20 69 6d 70 6f 72 74 65 64 20 69 6e 74 6f 20 74 68 65 20 72 6f 75 74	ll.not.be.imported.into.the.rout
11cc0	69 6e 67 20 74 61 62 6c 65 2e 00 2a 2a 4e 4f 54 45 3a 2a 2a 20 56 79 4f 53 20 52 6f 75 74 65 72	ing.table..**NOTE:**.VyOS.Router
11ce0	20 28 74 65 73 74 65 64 20 77 69 74 68 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32	.(tested.with.VyOS.1.4-rolling-2
11d00	30 32 31 31 30 33 31 30 33 31 37 29 20 e2 80 93 20 20 54 68 65 20 63 6f 6e 66 69 67 75 72 61 74	02110310317)......The.configurat
11d20	69 6f 6e 73 20 62 65 6c 6f 77 20 61 72 65 20 73 70 65 63 69 66 69 63 61 6c 6c 79 20 66 6f 72 20	ions.below.are.specifically.for.
11d40	56 79 4f 53 20 31 2e 34 2e 78 2e 00 2a 2a 4e 6f 74 65 3a 2a 2a 20 41 74 20 74 68 65 20 6d 6f 6d	VyOS.1.4.x..**Note:**.At.the.mom
11d60	65 6e 74 2c 20 74 72 61 63 65 20 6d 70 6c 73 20 64 6f 65 73 6e e2 80 99 74 20 73 68 6f 77 20 6c	ent,.trace.mpls.doesn...t.show.l
11d80	61 62 65 6c 73 2f 70 61 74 68 73 2e 20 53 6f 20 77 65 e2 80 99 6c 6c 20 73 65 65 20 2a 20 2a 20	abels/paths..So.we...ll.see.*.*.
11da0	2a 20 20 66 6f 72 20 74 68 65 20 74 72 61 6e 73 69 74 20 72 6f 75 74 65 72 73 20 6f 66 20 74 68	*..for.the.transit.routers.of.th
11dc0	65 20 6d 70 6c 73 20 62 61 63 6b 62 6f 6e 65 2e 00 2a 2a 54 68 69 73 20 73 70 65 63 69 66 69 63	e.mpls.backbone..**This.specific
11de0	20 65 78 61 6d 70 6c 65 20 69 73 20 66 6f 72 20 61 20 72 6f 75 74 65 72 20 6f 6e 20 61 20 73 74	.example.is.for.a.router.on.a.st
11e00	69 63 6b 2c 20 62 75 74 20 69 73 20 76 65 72 79 20 65 61 73 69 6c 79 20 61 64 61 70 74 65 64 20	ick,.but.is.very.easily.adapted.
11e20	66 6f 72 20 68 6f 77 65 76 65 72 20 6d 61 6e 79 20 4e 49 43 73 20 79 6f 75 20 68 61 76 65 2a 2a	for.however.many.NICs.you.have**
11e40	3a 00 2a 2a 56 69 72 74 75 61 6c 20 52 6f 75 74 69 6e 67 20 61 6e 64 20 46 6f 72 77 61 72 64 69	:.**Virtual.Routing.and.Forwardi
11e60	6e 67 2a 2a 20 69 73 20 61 20 74 65 63 68 6e 6f 6c 6f 67 79 20 74 68 61 74 20 61 6c 6c 6f 77 20	ng**.is.a.technology.that.allow.
11e80	6d 75 6c 74 69 70 6c 65 20 69 6e 73 74 61 6e 63 65 20 6f 66 20 61 20 72 6f 75 74 69 6e 67 20 74	multiple.instance.of.a.routing.t
11ea0	61 62 6c 65 20 74 6f 20 65 78 69 73 74 20 77 69 74 68 69 6e 20 61 20 73 69 6e 67 6c 65 20 64 65	able.to.exist.within.a.single.de
11ec0	76 69 63 65 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 6b 65 79 20 61 73 70 65 63 74 20 6f 66 20 2a	vice..One.of.the.key.aspect.of.*
11ee0	2a 56 52 46 73 2a 2a 20 69 73 20 74 68 61 74 20 64 6f 20 6e 6f 74 20 73 68 61 72 65 20 74 68 65	*VRFs**.is.that.do.not.share.the
11f00	20 73 61 6d 65 20 72 6f 75 74 65 73 20 6f 72 20 69 6e 74 65 72 66 61 63 65 73 2c 20 74 68 65 72	.same.routes.or.interfaces,.ther
11f20	65 66 6f 72 65 20 70 61 63 6b 65 74 73 20 61 72 65 20 66 6f 72 77 61 72 64 65 64 20 62 65 74 77	efore.packets.are.forwarded.betw
11f40	65 65 6e 20 69 6e 74 65 72 66 61 63 65 73 20 74 68 61 74 20 62 65 6c 6f 6e 67 20 74 6f 20 74 68	een.interfaces.that.belong.to.th
11f60	65 20 73 61 6d 65 20 56 52 46 20 6f 6e 6c 79 2e 00 2a 2a 6f 66 66 73 69 74 65 31 2a 2a 00 2a 2a	e.same.VRF.only..**offsite1**.**
11f80	72 6f 75 74 65 72 31 2a 2a 00 2a 2a 72 6f 75 74 65 72 32 2a 2a 00 31 30 2e 30 2e 30 2e 30 2f 31	router1**.**router2**.10.0.0.0/1
11fa0	36 00 31 30 2e 30 2e 30 2e 34 00 31 30 2e 30 2e 30 2e 34 2c 31 30 2e 30 2e 30 2e 35 00 31 30 2e	6.10.0.0.4.10.0.0.4,10.0.0.5.10.
11fc0	31 2e 31 2e 30 2f 33 30 00 31 30 2e 31 30 2e 30 2e 30 2f 31 36 00 31 30 2e 31 30 2e 30 2e 35 00	1.1.0/30.10.10.0.0/16.10.10.0.5.
11fe0	31 30 2e 32 2e 32 2e 30 2f 33 30 00 31 30 2e 35 30 2e 35 30 2e 31 3a 31 30 31 31 00 31 30 2e 36	10.2.2.0/30.10.50.50.1:1011.10.6
12000	30 2e 36 30 2e 31 3a 31 30 31 31 00 31 30 2e 38 30 2e 38 30 2e 31 3a 31 30 31 31 00 31 30 30 3a	0.60.1:1011.10.80.80.1:1011.100:
12020	20 27 50 75 62 6c 69 63 27 20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67 20 6f 75 72 20 32 30 33	.'Public'.network,.using.our.203
12040	2e 30 2e 31 31 33 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2e 00 31 37 32 2e 31 36 2e 32 2e 30 2f	.0.113.0/24.network..172.16.2.0/
12060	33 30 00 31 37 32 2e 31 37 2e 31 2e 32 20 43 53 30 20 2d 3e 20 43 53 34 00 31 37 32 2e 31 37 2e	30.172.17.1.2.CS0.->.CS4.172.17.
12080	31 2e 32 2f 32 34 20 43 53 30 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 30 20 2d 20 3e	1.2/24.CS0.172.17.1.2/24.CS0.-.>
120a0	20 43 53 34 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 34 20 2d 20 3e 20 43 53 35 00 31	.CS4.172.17.1.2/24.CS4.-.>.CS5.1
120c0	37 32 2e 31 37 2e 31 2e 33 20 43 53 30 20 2d 3e 20 43 53 35 00 31 37 32 2e 31 37 2e 31 2e 34 20	72.17.1.3.CS0.->.CS5.172.17.1.4.
120e0	43 53 30 20 2d 3e 20 43 53 36 00 31 37 32 2e 31 37 2e 31 2e 34 30 20 43 53 30 20 62 79 20 64 65	CS0.->.CS6.172.17.1.40.CS0.by.de
12100	66 61 75 6c 74 00 31 39 32 2e 31 36 38 2e 31 30 30 2e 31 30 2f 32 30 30 31 3a 30 44 42 38 3a 30	fault.192.168.100.10/2001:0DB8:0
12120	3a 41 41 41 41 3a 3a 31 30 20 69 73 20 74 68 65 20 61 64 6d 69 6e 69 73 74 72 61 74 6f 72 27 73	:AAAA::10.is.the.administrator's
12140	20 63 6f 6e 73 6f 6c 65 2e 20 49 74 20 63 61 6e 20 53 53 48 20 74 6f 20 56 79 4f 53 2e 00 31 39	.console..It.can.SSH.to.VyOS..19
12160	32 2e 31 36 38 2e 32 30 30 2e 32 30 30 2f 32 30 30 31 3a 30 44 42 38 3a 30 3a 42 42 42 42 3a 3a	2.168.200.200/2001:0DB8:0:BBBB::
12180	32 30 30 20 69 73 20 61 6e 20 69 6e 74 65 72 6e 61 6c 2f 65 78 74 65 72 6e 61 6c 20 44 4e 53 2c	200.is.an.internal/external.DNS,
121a0	20 77 65 62 20 61 6e 64 20 6d 61 69 6c 20 28 53 4d 54 50 2f 49 4d 41 50 29 20 73 65 72 76 65 72	.web.and.mail.(SMTP/IMAP).server
121c0	2e 00 31 39 32 2e 31 36 38 2e 33 2e 30 2f 33 30 00 31 39 38 2e 35 31 2e 31 30 30 2e 33 00 32 20	..192.168.3.0/30.198.51.100.3.2.
121e0	70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20 6f 6e 20 65 61 63 68 20 73 69 74 65 2e 00 32 20	private.subnets.on.each.site..2.
12200	78 20 52 6f 75 74 65 20 72 65 66 6c 65 63 74 6f 72 73 20 28 56 79 4f 53 2d 52 52 78 29 00 32 30	x.Route.reflectors.(VyOS-RRx).20
12220	30 31 3a 64 62 38 3a 3a 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 32 2f 31 32 37 00 32 30 30	01:db8::/127.2001:db8::2/127.200
12240	31 3a 64 62 38 3a 3a 34 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 36 2f 31 32 37 00 32 30 31	1:db8::4/127.2001:db8::6/127.201
12260	3a 20 27 49 6e 74 65 72 6e 61 6c 27 20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67 20 31 30 2e 32	:.'Internal'.network,.using.10.2
12280	30 30 2e 32 30 31 2e 30 2f 32 34 00 32 30 33 2e 30 2e 31 31 33 2e 32 00 32 30 33 2e 30 2e 31 31	00.201.0/24.203.0.113.2.203.0.11
122a0	33 2e 33 00 33 20 78 20 43 75 73 74 6f 6d 65 72 20 45 64 67 65 20 28 56 79 4f 53 2d 43 45 78 29	3.3.3.x.Customer.Edge.(VyOS-CEx)
122c0	00 33 20 78 20 50 72 6f 76 69 64 65 72 20 45 64 67 65 20 28 56 79 4f 73 2d 50 45 78 29 00 34 20	.3.x.Provider.Edge.(VyOs-PEx).4.
122e0	78 20 50 72 6f 76 69 64 65 72 20 72 6f 75 74 65 72 73 20 28 56 79 4f 53 2d 50 78 29 00 35 30 3a	x.Provider.routers.(VyOS-Px).50:
12300	20 55 70 73 74 72 65 61 6d 2c 20 75 73 69 6e 67 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32	.Upstream,.using.the.192.0.2.0/2
12320	34 20 6e 65 74 77 6f 72 6b 20 61 6c 6c 6f 63 61 74 65 64 20 62 79 20 74 68 65 6d 2e 00 36 34 34	4.network.allocated.by.them..644
12340	39 36 3a 31 00 36 34 34 39 36 3a 31 30 30 00 36 34 34 39 36 3a 32 00 36 34 34 39 36 3a 35 30 00	96:1.64496:100.64496:2.64496:50.
12360	36 34 34 39 39 00 36 35 30 33 35 3a 31 30 31 31 00 36 35 30 33 35 3a 31 30 31 31 20 36 35 30 33	64499.65035:1011.65035:1011.6503
12380	35 3a 31 30 33 30 00 36 35 30 33 35 3a 31 30 33 30 00 36 35 35 34 30 00 41 20 62 72 69 65 66 20	5:1030.65035:1030.65540.A.brief.
123a0	65 78 63 75 72 73 69 6f 6e 20 69 6e 74 6f 20 56 52 46 73 3a 20 54 68 69 73 20 68 61 73 20 62 65	excursion.into.VRFs:.This.has.be
123c0	65 6e 20 6f 6e 65 20 6f 66 20 74 68 65 20 6c 6f 6e 67 65 73 74 2d 73 74 61 6e 64 69 6e 67 20 66	en.one.of.the.longest-standing.f
123e0	65 61 74 75 72 65 20 72 65 71 75 65 73 74 73 20 6f 66 20 56 79 4f 53 20 28 64 61 74 69 6e 67 20	eature.requests.of.VyOS.(dating.
12400	62 61 63 6b 20 74 6f 20 32 30 31 36 29 20 77 68 69 63 68 20 63 61 6e 20 62 65 20 64 65 73 63 72	back.to.2016).which.can.be.descr
12420	69 62 65 64 20 61 73 20 22 61 20 56 4c 41 4e 20 66 6f 72 20 6c 61 79 65 72 20 32 20 69 73 20 77	ibed.as."a.VLAN.for.layer.2.is.w
12440	68 61 74 20 61 20 56 52 46 20 69 73 20 66 6f 72 20 6c 61 79 65 72 20 33 22 2e 20 57 69 74 68 20	hat.a.VRF.is.for.layer.3"..With.
12460	56 52 46 73 2c 20 61 20 72 6f 75 74 65 72 2f 73 79 73 74 65 6d 20 63 61 6e 20 68 6f 6c 64 20 6d	VRFs,.a.router/system.can.hold.m
12480	75 6c 74 69 70 6c 65 2c 20 69 73 6f 6c 61 74 65 64 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73	ultiple,.isolated.routing.tables
124a0	20 6f 6e 20 74 68 65 20 73 61 6d 65 20 73 79 73 74 65 6d 2e 20 49 66 20 79 6f 75 20 77 6f 6e 64	.on.the.same.system..If.you.wond
124c0	65 72 20 77 68 61 74 27 73 20 74 68 65 20 64 69 66 66 65 72 65 6e 63 65 20 62 65 74 77 65 65 6e	er.what's.the.difference.between
124e0	20 6d 75 6c 74 69 70 6c 65 20 74 61 62 6c 65 73 20 74 68 61 74 20 70 65 6f 70 6c 65 20 75 73 65	.multiple.tables.that.people.use
12500	64 20 66 6f 72 20 70 6f 6c 69 63 79 2d 62 61 73 65 64 20 72 6f 75 74 69 6e 67 20 73 69 6e 63 65	d.for.policy-based.routing.since
12520	20 66 6f 72 65 76 65 72 2c 20 69 74 27 73 20 74 68 61 74 20 61 20 56 52 46 20 61 6c 73 6f 20 69	.forever,.it's.that.a.VRF.also.i
12540	73 6f 6c 61 74 65 73 20 63 6f 6e 6e 65 63 74 65 64 20 72 6f 75 74 65 73 20 72 61 74 68 65 72 20	solates.connected.routes.rather.
12560	74 68 61 6e 20 6a 75 73 74 20 73 74 61 74 69 63 20 61 6e 64 20 64 79 6e 61 6d 69 63 61 6c 6c 79	than.just.static.and.dynamically
12580	20 6c 65 61 72 6e 65 64 20 72 6f 75 74 65 73 2c 20 73 6f 20 69 74 20 61 6c 6c 6f 77 73 20 4e 49	.learned.routes,.so.it.allows.NI
125a0	43 73 20 69 6e 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 74 6f 20 75 73 65 20 63 6f 6e 66	Cs.in.different.VRFs.to.use.conf
125c0	6c 69 63 74 69 6e 67 20 6e 65 74 77 6f 72 6b 20 72 61 6e 67 65 73 20 77 69 74 68 6f 75 74 20 69	licting.network.ranges.without.i
125e0	73 73 75 65 73 2e 00 41 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 72 65 73 6f 75 72 63 65 20 64 65 70	ssues..A.connection.resource.dep
12600	6c 6f 79 65 64 20 69 6e 20 41 7a 75 72 65 20 6c 69 6e 6b 69 6e 67 20 74 68 65 20 41 7a 75 72 65	loyed.in.Azure.linking.the.Azure
12620	20 56 4e 65 74 20 67 61 74 65 77 61 79 20 61 6e 64 20 74 68 65 20 6c 6f 63 61 6c 20 6e 65 74 77	.VNet.gateway.and.the.local.netw
12640	6f 72 6b 20 67 61 74 65 77 61 79 20 72 65 70 72 65 73 65 6e 74 69 6e 67 20 74 68 65 20 56 79 6f	ork.gateway.representing.the.Vyo
12660	73 20 64 65 76 69 63 65 2e 00 41 20 68 6f 73 74 20 60 60 76 79 6f 73 2d 6f 6f 62 6d 60 60 20 77	s.device..A.host.``vyos-oobm``.w
12680	69 6c 6c 20 75 73 65 20 61 73 20 61 20 73 73 68 20 70 72 6f 78 79 2e 20 54 68 69 73 20 68 6f 73	ill.use.as.a.ssh.proxy..This.hos
126a0	74 20 69 73 20 6a 75 73 74 20 6e 65 63 65 73 73 61 72 79 20 66 6f 72 20 74 68 65 20 4c 61 62 20	t.is.just.necessary.for.the.Lab.
126c0	74 65 73 74 2e 00 41 20 6b 65 79 20 70 6f 69 6e 74 20 74 6f 20 75 6e 64 65 72 73 74 61 6e 64 20	test..A.key.point.to.understand.
126e0	69 73 20 74 68 61 74 20 69 66 20 77 65 20 6e 65 65 64 20 74 77 6f 20 56 52 46 73 20 74 6f 20 63	is.that.if.we.need.two.VRFs.to.c
12700	6f 6d 6d 75 6e 69 63 61 74 65 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 20 45 58	ommunicate.between.each.other.EX
12720	50 4f 52 54 20 72 74 20 66 72 6f 6d 20 56 52 46 31 20 68 61 73 20 74 6f 20 62 65 20 69 6e 20 74	PORT.rt.from.VRF1.has.to.be.in.t
12740	68 65 20 49 4d 50 4f 52 54 20 72 74 20 6c 69 73 74 20 66 72 6f 6d 20 56 52 46 32 2e 20 42 75 74	he.IMPORT.rt.list.from.VRF2..But
12760	20 74 68 69 73 20 69 73 20 6f 6e 6c 79 20 69 6e 20 4f 4e 45 20 64 69 72 65 63 74 69 6f 6e 2c 20	.this.is.only.in.ONE.direction,.
12780	74 6f 20 63 6f 6d 70 6c 65 74 65 20 74 68 65 20 63 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 74 68	to.complete.the.communication.th
127a0	65 20 45 58 50 4f 52 54 20 72 74 20 66 72 6f 6d 20 56 52 46 32 20 68 61 73 20 74 6f 20 62 65 20	e.EXPORT.rt.from.VRF2.has.to.be.
127c0	69 6e 20 74 68 65 20 49 4d 50 4f 52 54 20 72 74 20 6c 69 73 74 20 66 72 6f 6d 20 56 52 46 31 2e	in.the.IMPORT.rt.list.from.VRF1.
127e0	00 41 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 67 61 74 65 77 61 79 20 64 65 70 6c 6f 79 65	.A.local.network.gateway.deploye
12800	64 20 69 6e 20 41 7a 75 72 65 20 72 65 70 72 65 73 65 6e 74 69 6e 67 20 74 68 65 20 56 79 6f 73	d.in.Azure.representing.the.Vyos
12820	20 64 65 76 69 63 65 2c 20 6d 61 74 63 68 69 6e 67 20 74 68 65 20 62 65 6c 6f 77 20 56 79 6f 73	.device,.matching.the.below.Vyos
12840	20 73 65 74 74 69 6e 67 73 20 65 78 63 65 70 74 20 66 6f 72 20 61 64 64 72 65 73 73 20 73 70 61	.settings.except.for.address.spa
12860	63 65 2c 20 77 68 69 63 68 20 6f 6e 6c 79 20 72 65 71 75 69 72 65 73 20 74 68 65 20 56 79 6f 73	ce,.which.only.requires.the.Vyos
12880	20 70 72 69 76 61 74 65 20 49 50 2c 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 31 30 2e	.private.IP,.in.this.example.10.
128a0	31 30 2e 30 2e 35 2f 33 32 00 41 20 70 61 69 72 20 6f 66 20 41 7a 75 72 65 20 56 4e 65 74 20 47	10.0.5/32.A.pair.of.Azure.VNet.G
128c0	61 74 65 77 61 79 73 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 61 63 74 69 76 65 2d 61 63 74 69 76	ateways.deployed.in.active-activ
128e0	65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 42 47 50 20 65 6e 61 62 6c 65 64	e.configuration.with.BGP.enabled
12900	2e 00 41 20 70 61 69 72 20 6f 66 20 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 73 20	..A.pair.of.Azure.VNet.Gateways.
12920	64 65 70 6c 6f 79 65 64 20 69 6e 20 61 63 74 69 76 65 2d 70 61 73 73 69 76 65 20 63 6f 6e 66 69	deployed.in.active-passive.confi
12940	67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 42 47 50 20 65 6e 61 62 6c 65 64 2e 00 41 20 70 75 62	guration.with.BGP.enabled..A.pub
12960	6c 69 63 2c 20 72 6f 75 74 61 62 6c 65 20 49 50 76 34 20 61 64 64 72 65 73 73 2e 20 54 68 69 73	lic,.routable.IPv4.address..This
12980	20 64 6f 65 73 20 6e 6f 74 20 6e 65 63 65 73 73 61 72 69 6c 79 20 6e 65 65 64 20 74 6f 20 62 65	.does.not.necessarily.need.to.be
129a0	20 73 74 61 74 69 63 2c 20 62 75 74 20 79 6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 75 70	.static,.but.you.will.need.to.up
129c0	64 61 74 65 20 74 68 65 20 74 75 6e 6e 65 6c 20 65 6e 64 70 6f 69 6e 74 20 77 68 65 6e 2f 69 66	date.the.tunnel.endpoint.when/if
129e0	20 79 6f 75 72 20 49 50 20 61 64 64 72 65 73 73 20 63 68 61 6e 67 65 73 2c 20 77 68 69 63 68 20	.your.IP.address.changes,.which.
12a00	63 61 6e 20 62 65 20 64 6f 6e 65 20 77 69 74 68 20 61 20 73 63 72 69 70 74 20 61 6e 64 20 61 20	can.be.done.with.a.script.and.a.
12a20	73 63 68 65 64 75 6c 65 64 20 74 61 73 6b 2e 00 41 20 72 75 6c 65 20 6f 72 64 65 72 20 66 6f 72	scheduled.task..A.rule.order.for
12a40	20 70 72 69 6f 72 69 74 69 7a 69 6e 67 20 74 72 61 66 66 69 63 20 69 73 20 75 73 65 66 75 6c 20	.prioritizing.traffic.is.useful.
12a60	69 6e 20 73 63 65 6e 61 72 69 6f 73 20 77 68 65 72 65 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79	in.scenarios.where.the.secondary
12a80	20 6c 69 6e 6b 20 68 61 73 20 61 20 6c 6f 77 65 72 20 73 70 65 65 64 20 61 6e 64 20 73 68 6f 75	.link.has.a.lower.speed.and.shou
12aa0	6c 64 20 6f 6e 6c 79 20 63 61 72 72 79 20 68 69 67 68 20 70 72 69 6f 72 69 74 79 20 74 72 61 66	ld.only.carry.high.priority.traf
12ac0	66 69 63 2e 20 49 74 20 69 73 20 61 73 73 75 6d 65 64 20 66 6f 72 20 74 68 69 73 20 65 78 61 6d	fic..It.is.assumed.for.this.exam
12ae0	70 6c 65 20 74 68 61 74 20 65 74 68 31 20 69 73 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 61 20	ple.that.eth1.is.connected.to.a.
12b00	73 6c 6f 77 65 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 68 61 6e 20 65 74 68 30 20 61 6e 64 20	slower.connection.than.eth0.and.
12b20	73 68 6f 75 6c 64 20 70 72 69 6f 72 69 74 69 7a 65 20 56 6f 49 50 20 74 72 61 66 66 69 63 2e 00	should.prioritize.VoIP.traffic..
12b40	41 20 73 69 6d 70 6c 65 20 73 6f 6c 75 74 69 6f 6e 20 63 6f 75 6c 64 20 62 65 20 75 73 69 6e 67	A.simple.solution.could.be.using
12b60	20 64 69 66 66 65 72 65 6e 74 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 2c 20 6f 72 20 56 52	.different.routing.tables,.or.VR
12b80	46 73 20 66 6f 72 20 61 6c 6c 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 20 73 6f 20 77 65 20 63 61	Fs.for.all.the.networks.so.we.ca
12ba0	6e 20 6b 65 65 70 20 74 68 65 20 72 6f 75 74 69 6e 67 20 72 65 73 74 72 69 63 74 69 6f 6e 73 2e	n.keep.the.routing.restrictions.
12bc0	20 42 75 74 20 66 6f 72 20 75 73 20 74 6f 20 72 6f 75 74 65 20 62 65 74 77 65 65 6e 20 74 68 65	.But.for.us.to.route.between.the
12be0	20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 77 65 20 77 6f 75 6c 64 20 6e 65 65 64 20 61 20	.different.VRFs.we.would.need.a.
12c00	63 61 62 6c 65 20 6f 72 20 61 20 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65	cable.or.a.logical.connection.be
12c20	74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 3a 00 41 44 44 52 45 53 53 31 30 20 63 68 61 6e	tween.each.other:.ADDRESS10.chan
12c40	67 65 20 43 53 30 20 2d 3e 20 43 53 34 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 32 2f	ge.CS0.->.CS4.source.172.17.1.2/
12c60	33 32 00 41 44 44 52 45 53 53 32 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 35 20 73	32.ADDRESS20.change.CS0.->.CS5.s
12c80	6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 33 2f 33 32 00 41 44 44 52 45 53 53 33 30 20 63 68	ource.172.17.1.3/32.ADDRESS30.ch
12ca0	61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 36 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e	ange.CS0.->.CS6.source.172.17.1.
12cc0	34 2f 33 32 00 41 63 63 6f 75 6e 74 20 61 74 20 68 74 74 70 73 3a 2f 2f 77 77 77 2e 74 75 6e 6e	4/32.Account.at.https://www.tunn
12ce0	65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 00 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 6f	elbroker.net/.Active.Directory.o
12d00	6e 20 57 69 6e 64 6f 77 73 20 73 65 72 76 65 72 00 41 64 64 20 28 74 65 6d 70 6f 72 61 72 79 29	n.Windows.server.Add.(temporary)
12d20	20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 00 41 64 64 20 61 6c 6c 20 74 68 65 20 68 6f 73 74 73	.default.route.Add.all.the.hosts
12d40	20 6f 66 20 56 79 4f 53 3a 00 41 64 64 20 67 65 6e 65 72 61 6c 20 76 61 72 69 61 62 6c 65 73 3a	.of.VyOS:.Add.general.variables:
12d60	00 41 64 64 20 74 68 65 20 4c 44 41 50 20 70 6c 75 67 69 6e 20 63 6f 6e 66 69 67 75 72 61 74 69	.Add.the.LDAP.plugin.configurati
12d80	6f 6e 20 66 69 6c 65 20 60 2f 63 6f 6e 66 69 67 2f 61 75 74 68 2f 6c 64 61 70 2d 61 75 74 68 2e	on.file.`/config/auth/ldap-auth.
12da0	63 6f 6e 66 69 67 60 00 41 64 64 20 74 68 65 20 73 69 6d 70 6c 65 20 70 6c 61 79 62 6f 6f 6b 20	config`.Add.the.simple.playbook.
12dc0	77 69 74 68 20 74 68 65 20 74 61 73 6b 73 20 66 6f 72 20 65 61 63 68 20 72 6f 75 74 65 72 3a 00	with.the.tasks.for.each.router:.
12de0	41 64 64 69 6e 67 20 61 20 72 75 6c 65 20 66 6f 72 20 74 68 65 20 73 65 63 6f 6e 64 20 69 6e 74	Adding.a.rule.for.the.second.int
12e00	65 72 66 61 63 65 00 41 64 76 65 72 74 69 73 65 20 63 6f 6e 6e 65 63 74 65 64 20 72 6f 75 74 65	erface.Advertise.connected.route
12e20	73 00 41 66 74 65 72 20 61 6c 6c 20 69 73 20 64 6f 6e 65 20 61 6e 64 20 63 6f 6d 6d 69 74 2c 20	s.After.all.is.done.and.commit,.
12e40	6c 65 74 27 73 20 74 61 6b 65 20 61 20 6c 6f 6f 6b 20 69 66 20 74 68 65 20 57 69 72 65 67 75 61	let's.take.a.look.if.the.Wiregua
12e60	72 64 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 75 70 20 61 6e 64 20 72 75 6e 6e 69 6e 67 2e 00	rd.interface.is.up.and.running..
12e80	41 66 74 65 72 20 63 6f 6e 66 69 67 75 72 65 64 20 61 6c 6c 20 74 68 65 20 56 52 46 73 20 69 6e	After.configured.all.the.VRFs.in
12ea0	76 6f 6c 76 65 64 20 69 6e 20 74 68 69 73 20 74 6f 70 6f 6c 6f 67 79 20 77 65 20 74 61 6b 65 20	volved.in.this.topology.we.take.
12ec0	61 20 64 65 65 70 65 72 20 6c 6f 6f 6b 20 61 74 20 62 6f 74 68 20 42 47 50 20 61 6e 64 20 52 6f	a.deeper.look.at.both.BGP.and.Ro
12ee0	75 74 69 6e 67 20 74 61 62 6c 65 20 66 6f 72 20 74 68 65 20 56 52 46 20 4c 41 4e 31 00 41 66 74	uting.table.for.the.VRF.LAN1.Aft
12f00	65 72 20 73 6f 6d 65 20 74 65 73 74 69 6e 67 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 69 70	er.some.testing,.we.can.check.ip
12f20	73 65 63 20 73 74 61 74 75 73 2c 20 61 6e 64 20 63 6f 75 6e 74 65 72 20 6f 6e 20 65 76 65 72 79	sec.status,.and.counter.on.every
12f40	20 74 75 6e 6e 65 6c 3a 00 41 66 74 65 72 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 65 74 68	.tunnel:.After.the.interface.eth
12f60	30 20 6f 6e 20 72 6f 75 74 65 72 20 56 79 4f 53 33 00 41 66 74 65 72 20 74 68 69 73 2c 20 77 65	0.on.router.VyOS3.After.this,.we
12f80	20 6e 65 65 64 20 74 68 65 20 44 48 43 50 2d 53 65 72 76 65 72 20 61 6e 64 20 52 65 6c 61 79 20	.need.the.DHCP-Server.and.Relay.
12fa0	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 20 54 6f 20 67 65 74 20 61 20 74 65 73 74 61 62 6c 65	configuration..To.get.a.testable
12fc0	20 72 65 73 75 6c 74 2c 20 77 65 20 6a 75 73 74 20 68 61 76 65 20 6f 6e 65 20 49 50 20 69 6e 20	.result,.we.just.have.one.IP.in.
12fe0	74 68 65 20 44 48 43 50 20 72 61 6e 67 65 2e 20 45 78 70 61 6e 64 20 69 74 20 61 73 20 79 6f 75	the.DHCP.range..Expand.it.as.you
13000	20 6e 65 65 64 20 69 74 2e 00 41 66 74 65 72 20 79 6f 75 20 68 61 76 65 20 65 61 63 68 20 70 75	.need.it..After.you.have.each.pu
13020	62 6c 69 63 20 6b 65 79 2e 20 54 68 65 20 77 69 72 65 67 75 61 72 64 20 69 6e 74 65 72 66 61 63	blic.key..The.wireguard.interfac
13040	65 73 20 63 61 6e 20 62 65 20 73 65 74 75 70 2e 00 41 6c 6c 20 6f 75 74 67 6f 69 6e 67 20 70 61	es.can.be.setup..All.outgoing.pa
13060	63 6b 65 74 73 20 61 72 65 20 61 73 73 69 67 6e 65 64 20 74 68 65 20 73 6f 75 72 63 65 20 61 64	ckets.are.assigned.the.source.ad
13080	64 72 65 73 73 20 6f 66 20 74 68 65 20 61 73 73 69 67 6e 65 64 20 69 6e 74 65 72 66 61 63 65 20	dress.of.the.assigned.interface.
130a0	28 53 4e 41 54 29 2e 00 41 6c 6c 20 74 72 61 66 66 69 63 20 63 6f 6d 69 6e 67 20 69 6e 20 74 68	(SNAT)..All.traffic.coming.in.th
130c0	72 6f 75 67 68 20 65 74 68 32 20 69 73 20 62 61 6c 61 6e 63 65 64 20 62 65 74 77 65 65 6e 20 65	rough.eth2.is.balanced.between.e
130e0	74 68 30 20 61 6e 64 20 65 74 68 31 20 6f 6e 20 74 68 65 20 72 6f 75 74 65 72 2e 00 41 6c 6c 6f	th0.and.eth1.on.the.router..Allo
13100	77 20 44 48 43 50 76 36 20 70 61 63 6b 65 74 73 20 66 6f 72 20 72 6f 75 74 65 72 00 41 6c 6c 6f	w.DHCPv6.packets.for.router.Allo
13120	77 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 20 6f 6e 6c 79 20 66 72 6f 6d	w.access.to.the.router.only.from
13140	20 74 72 75 73 74 65 64 20 6e 65 74 77 6f 72 6b 73 2e 00 41 6c 6c 6f 77 20 61 6c 6c 20 65 73 74	.trusted.networks..Allow.all.est
13160	61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20 74 72 61 66 66 69 63 20 66 6f 72	ablished.and.related.traffic.for
13180	20 72 6f 75 74 65 72 20 61 6e 64 20 4c 41 4e 00 41 6c 6c 6f 77 20 61 6c 6c 20 69 63 6d 70 76 36	.router.and.LAN.Allow.all.icmpv6
131a0	20 70 61 63 6b 65 74 73 20 66 6f 72 20 72 6f 75 74 65 72 20 61 6e 64 20 4c 41 4e 00 41 6c 6c 6f	.packets.for.router.and.LAN.Allo
131c0	77 20 61 6c 6c 20 6e 65 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 66 72 6f 6d 20 6c 6f 63 61 6c	w.all.new.connections.from.local
131e0	20 73 75 62 6e 65 74 73 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 66 72 6f 6d	.subnets..Allow.connections.from
13200	20 4c 41 4e 73 20 74 6f 20 4c 41 4e 73 20 74 68 72 6f 75 67 68 74 20 74 68 65 20 74 75 6e 6e 65	.LANs.to.LANs.throught.the.tunne
13220	6c 2e 00 41 6c 6c 6f 77 20 64 6e 73 20 72 65 71 75 65 73 74 73 20 6f 6e 6c 79 20 6f 6e 6c 79 20	l..Allow.dns.requests.only.only.
13240	66 6f 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 73 2e 00 41 6c 6c 6f 77 20 69 63 6d 70 20 6f	for.local.networks..Allow.icmp.o
13260	6e 20 61 6c 6c 20 69 6e 74 65 72 66 61 63 65 73 2e 00 41 6c 73 6f 20 77 65 20 63 61 6e 20 76 65	n.all.interfaces..Also.we.can.ve
13280	72 69 66 79 20 68 6f 77 20 50 45 20 64 65 76 69 63 65 73 20 72 65 63 65 69 76 65 73 20 56 50 4e	rify.how.PE.devices.receives.VPN
132a0	76 34 20 6e 65 74 77 6f 72 6b 73 20 66 72 6f 6d 20 74 68 65 20 52 52 73 20 61 6e 64 20 69 6e 73	v4.networks.from.the.RRs.and.ins
132c0	74 61 6c 6c 69 6e 67 20 74 68 65 6d 20 74 6f 20 74 68 65 20 73 70 65 63 69 66 69 63 20 63 75 73	talling.them.to.the.specific.cus
132e0	74 6f 6d 65 72 20 56 52 46 73 3a 00 41 6c 73 6f 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 66	tomer.VRFs:.Also,.we.can.check.f
13300	69 72 65 77 61 6c 6c 20 63 6f 75 6e 74 65 72 73 3a 00 41 6e 20 4c 33 56 50 4e 20 63 6f 6e 73 69	irewall.counters:.An.L3VPN.consi
13320	73 74 73 20 6f 66 20 6d 75 6c 74 69 70 6c 65 20 61 63 63 65 73 73 20 6c 69 6e 6b 73 2c 20 6d 75	sts.of.multiple.access.links,.mu
13340	6c 74 69 70 6c 65 20 56 50 4e 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 66 6f 72 77 61 72 64 69 6e	ltiple.VPN.routing.and.forwardin
13360	67 20 28 56 52 46 29 20 74 61 62 6c 65 73 2c 20 61 6e 64 20 6d 75 6c 74 69 70 6c 65 20 4d 50 4c	g.(VRF).tables,.and.multiple.MPL
13380	53 20 70 61 74 68 73 20 6f 72 20 6d 75 6c 74 69 70 6c 65 20 50 32 4d 50 20 4c 53 50 73 2e 20 41	S.paths.or.multiple.P2MP.LSPs..A
133a0	6e 20 4c 33 56 50 4e 20 63 61 6e 20 62 65 20 63 6f 6e 66 69 67 75 72 65 64 20 74 6f 20 63 6f 6e	n.L3VPN.can.be.configured.to.con
133c0	6e 65 63 74 20 74 77 6f 20 6f 72 20 6d 6f 72 65 20 63 75 73 74 6f 6d 65 72 20 73 69 74 65 73 2e	nect.two.or.more.customer.sites.
133e0	20 49 6e 20 68 75 62 2d 61 6e 64 2d 73 70 6f 6b 65 20 4d 50 4c 53 20 4c 33 56 50 4e 20 65 6e 76	.In.hub-and-spoke.MPLS.L3VPN.env
13400	69 72 6f 6e 6d 65 6e 74 73 2c 20 74 68 65 20 73 70 6f 6b 65 20 72 6f 75 74 65 72 73 20 6e 65 65	ironments,.the.spoke.routers.nee
13420	64 20 74 6f 20 68 61 76 65 20 75 6e 69 71 75 65 20 52 6f 75 74 65 20 44 69 73 74 69 6e 67 75 69	d.to.have.unique.Route.Distingui
13440	73 68 65 72 73 20 28 52 44 73 29 2e 20 49 6e 20 6f 72 64 65 72 20 74 6f 20 75 73 65 20 74 68 65	shers.(RDs)..In.order.to.use.the
13460	20 68 75 62 20 73 69 74 65 20 61 73 20 61 20 74 72 61 6e 73 69 74 20 70 6f 69 6e 74 20 66 6f 72	.hub.site.as.a.transit.point.for
13480	20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 6e 20 73 75 63 68 20 61 6e 20 65 6e 76 69 72 6f 6e	.connectivity.in.such.an.environ
134a0	6d 65 6e 74 2c 20 74 68 65 20 73 70 6f 6b 65 20 73 69 74 65 73 20 65 78 70 6f 72 74 20 74 68 65	ment,.the.spoke.sites.export.the
134c0	69 72 20 72 6f 75 74 65 73 20 74 6f 20 74 68 65 20 68 75 62 2e 20 53 70 6f 6b 65 73 20 63 61 6e	ir.routes.to.the.hub..Spokes.can
134e0	20 74 61 6c 6b 20 74 6f 20 68 75 62 73 2c 20 62 75 74 20 6e 65 76 65 72 20 68 61 76 65 20 64 69	.talk.to.hubs,.but.never.have.di
13500	72 65 63 74 20 70 61 74 68 73 20 74 6f 20 6f 74 68 65 72 20 73 70 6f 6b 65 73 2e 20 41 6c 6c 20	rect.paths.to.other.spokes..All.
13520	74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 73 70 6f 6b 65 73 20 69 73 20 63 6f 6e 74 72 6f	traffic.between.spokes.is.contro
13540	6c 6c 65 64 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 6f 76 65 72 20 74 68 65 20 68 75 62 20	lled.and.delivered.over.the.hub.
13560	73 69 74 65 2e 00 41 6e 64 20 4e 41 54 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 41 6e 64	site..And.NAT.Configuration:.And
13580	20 70 69 6e 67 20 74 68 65 20 42 72 61 6e 63 68 20 50 43 20 66 72 6f 6d 20 79 6f 75 72 20 63 65	.ping.the.Branch.PC.from.your.ce
135a0	6e 74 72 61 6c 20 72 6f 75 74 65 72 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 72 65 73 70 6f 6e	ntral.router.to.check.the.respon
135c0	73 65 2e 00 41 6e 64 20 73 68 6f 77 20 61 6c 6c 20 44 48 43 50 20 4c 65 61 73 65 73 00 41 6e 64	se..And.show.all.DHCP.Leases.And
135e0	20 74 68 65 20 60 60 63 6c 69 65 6e 74 60 60 20 74 6f 20 72 65 63 65 69 76 65 20 61 6e 20 49 50	.the.``client``.to.receive.an.IP
13600	76 36 20 61 64 64 72 65 73 73 20 77 69 74 68 20 73 74 61 74 65 6c 65 73 73 20 61 75 74 6f 63 6f	v6.address.with.stateless.autoco
13620	6e 66 69 67 2e 00 41 6e 73 69 62 6c 65 20 45 78 61 6d 70 6c 65 20 74 6f 70 6f 6c 6f 67 79 20 69	nfig..Ansible.Example.topology.i
13640	6d 61 67 65 00 41 6e 73 69 62 6c 65 20 65 78 61 6d 70 6c 65 00 41 6e 79 20 69 6e 66 6f 72 6d 61	mage.Ansible.example.Any.informa
13660	74 69 6f 6e 20 72 65 6c 61 74 65 64 20 74 6f 20 61 20 56 52 46 20 69 73 20 6e 6f 74 20 65 78 63	tion.related.to.a.VRF.is.not.exc
13680	68 61 6e 67 65 64 20 62 65 74 77 65 65 6e 20 64 65 76 69 63 65 73 20 2d 6f 72 20 69 6e 20 74 68	hanged.between.devices.-or.in.th
136a0	65 20 73 61 6d 65 20 64 65 76 69 63 65 2d 20 62 79 20 64 65 66 61 75 6c 74 2c 20 74 68 69 73 20	e.same.device-.by.default,.this.
136c0	69 73 20 61 20 74 65 63 68 6e 69 71 75 65 20 63 61 6c 6c 65 64 20 2a 2a 56 52 46 2d 4c 69 74 65	is.a.technique.called.**VRF-Lite
136e0	2a 2a 2e 00 41 70 70 65 6e 64 69 78 2d 41 00 41 70 70 65 6e 64 69 78 2d 42 00 41 73 20 61 20 72	**..Appendix-A.Appendix-B.As.a.r
13700	65 6d 69 6e 64 65 72 2c 20 6f 6e 6c 79 20 61 64 76 65 72 74 69 73 65 20 72 6f 75 74 65 73 20 74	eminder,.only.advertise.routes.t
13720	68 61 74 20 79 6f 75 20 61 72 65 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 20 66	hat.you.are.the.default.router.f
13740	6f 72 2e 20 54 68 69 73 20 69 73 20 77 68 79 20 77 65 20 61 72 65 20 4e 4f 54 20 61 6e 6e 6f 75	or..This.is.why.we.are.NOT.annou
13760	6e 63 69 6e 67 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2c 20	ncing.the.192.0.2.0/24.network,.
13780	62 65 63 61 75 73 65 20 69 66 20 74 68 61 74 20 77 61 73 20 61 6e 6e 6f 75 6e 63 65 64 20 69 6e	because.if.that.was.announced.in
137a0	74 6f 20 4f 53 50 46 2c 20 74 68 65 20 6f 74 68 65 72 20 72 6f 75 74 65 72 73 20 77 6f 75 6c 64	to.OSPF,.the.other.routers.would
137c0	20 74 72 79 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 6f 20 74 68 61 74 20 6e 65 74 77 6f 72 6b 20	.try.to.connect.to.that.network.
137e0	6f 76 65 72 20 61 20 74 75 6e 6e 65 6c 20 74 68 61 74 20 63 6f 6e 6e 65 63 74 73 20 74 6f 20 74	over.a.tunnel.that.connects.to.t
13800	68 61 74 20 6e 65 74 77 6f 72 6b 21 00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 65 76 65 6e 20	hat.network!.As.we.can.see.even.
13820	69 66 20 62 6f 74 68 20 56 52 46 20 4c 41 4e 31 20 61 6e 64 20 4c 41 4e 32 20 68 61 73 20 74 68	if.both.VRF.LAN1.and.LAN2.has.th
13840	65 20 73 61 6d 65 20 69 6d 70 6f 72 74 20 52 54 73 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f	e.same.import.RTs.we.are.able.to
13860	20 73 65 6c 65 63 74 20 77 68 69 63 68 20 72 6f 75 74 65 73 20 61 72 65 20 65 66 66 65 63 74 69	.select.which.routes.are.effecti
13880	76 65 6c 79 20 69 6d 70 6f 72 74 65 64 20 61 6e 64 20 69 6e 73 74 61 6c 6c 65 64 2e 00 41 73 20	vely.imported.and.installed..As.
138a0	77 65 20 63 61 6e 20 73 65 65 20 69 6e 20 74 68 65 20 42 47 50 20 74 61 62 6c 65 20 61 6e 79 20	we.can.see.in.the.BGP.table.any.
138c0	69 6d 70 6f 72 74 65 64 20 72 6f 75 74 65 20 68 61 73 20 62 65 65 6e 20 69 6e 6a 65 63 74 65 64	imported.route.has.been.injected
138e0	20 77 69 74 68 20 61 20 22 40 22 20 66 6f 6c 6c 6f 77 65 64 20 62 79 20 74 68 65 20 56 50 4e 20	.with.a."@".followed.by.the.VPN.
13900	69 64 3b 20 49 6e 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6f 66 20 74 68 65 20	id;.In.the.routing.table.of.the.
13920	56 52 46 2c 20 69 66 20 74 68 65 20 72 6f 75 74 65 20 77 61 73 20 69 6e 73 74 61 6c 6c 65 64 2c	VRF,.if.the.route.was.installed,
13940	20 77 65 20 63 61 6e 20 73 65 65 20 2d 62 65 74 77 65 65 6e 20 72 6f 75 6e 64 20 62 72 61 63 6b	.we.can.see.-between.round.brack
13960	65 74 73 2d 20 74 68 65 20 65 78 70 6f 72 74 65 64 20 56 52 46 20 74 61 62 6c 65 2e 00 41 73 20	ets-.the.exported.VRF.table..As.
13980	77 65 20 63 61 6e 20 73 65 65 20 74 68 69 73 20 69 73 20 75 6e 70 72 61 63 74 69 63 61 6c 2e 00	we.can.see.this.is.unpractical..
139a0	41 73 20 77 65 20 6b 6e 6f 77 20 74 68 65 20 6d 61 69 6e 20 61 73 73 75 6d 70 74 69 6f 6e 20 6f	As.we.know.the.main.assumption.o
139c0	66 20 4c 33 56 50 4e 20 e2 80 9c 48 75 62 20 61 6e 64 20 53 70 6f 6b 65 e2 80 9d 20 69 73 2c 20	f.L3VPN....Hub.and.Spoke....is,.
139e0	74 68 61 74 20 74 68 65 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 73 70 6f 6b 65 73 20	that.the.traffic.between.spokes.
13a00	68 61 76 65 20 74 6f 20 70 61 73 73 20 76 69 61 20 68 75 62 2c 20 69 6e 20 6f 75 72 20 73 63 65	have.to.pass.via.hub,.in.our.sce
13a20	6e 61 72 69 6f 20 56 79 4f 53 2d 50 45 32 20 69 73 20 74 68 65 20 48 75 62 20 50 45 20 61 6e 64	nario.VyOS-PE2.is.the.Hub.PE.and
13a40	20 74 68 65 20 56 79 4f 53 2d 43 45 31 2d 48 55 42 20 69 73 20 74 68 65 20 63 65 6e 74 72 61 6c	.the.VyOS-CE1-HUB.is.the.central
13a60	20 63 75 73 74 6f 6d 65 72 20 6f 66 66 69 63 65 20 64 65 76 69 63 65 20 74 68 61 74 20 69 73 20	.customer.office.device.that.is.
13a80	72 65 73 70 6f 6e 73 69 62 6c 65 20 66 6f 72 20 63 6f 6e 74 72 6f 6c 6c 69 6e 67 20 61 63 63 65	responsible.for.controlling.acce
13aa0	73 73 20 62 65 74 77 65 65 6e 20 61 6c 6c 20 73 70 6f 6b 65 73 20 61 6e 64 20 61 6e 6e 6f 75 6e	ss.between.all.spokes.and.announ
13ac0	63 69 6e 67 20 69 74 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 28 31 30 2e 30 2e	cing.its.network.prefixes.(10.0.
13ae0	30 2e 31 30 30 2f 33 32 29 2e 20 56 79 4f 53 2d 50 45 32 20 68 61 73 20 74 68 65 20 6d 61 69 6e	0.100/32)..VyOS-PE2.has.the.main
13b00	20 56 52 46 20 28 69 74 73 20 6e 61 6d 65 20 69 73 20 42 4c 55 45 5f 48 55 42 29 2c 20 69 74 73	.VRF.(its.name.is.BLUE_HUB),.its
13b20	20 6f 77 6e 20 52 6f 75 74 65 2d 44 69 73 74 69 6e 67 75 69 73 68 65 72 28 52 44 29 20 61 6e 64	.own.Route-Distinguisher(RD).and
13b40	20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 69 6d 70 6f 72 74 2f 65 78 70 6f 72 74 20 6c 69 73 74	.route-target.import/export.list
13b60	73 2e 20 4d 75 6c 74 69 70 72 6f 74 6f 63 6f 6c 2d 42 47 50 28 4d 50 2d 42 47 50 29 20 64 65 6c	s..Multiprotocol-BGP(MP-BGP).del
13b80	69 76 65 72 73 20 4c 33 56 50 4e 20 72 65 6c 61 74 65 64 20 63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e	ivers.L3VPN.related.control-plan
13ba0	65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 74 6f 20 74 68 65 20 6e 6f 64 65 73 20 61 63 72 6f 73	e.information.to.the.nodes.acros
13bc0	73 20 6e 65 74 77 6f 72 6b 20 77 68 65 72 65 20 50 45 73 20 53 70 6f 6b 65 73 20 69 6d 70 6f 72	s.network.where.PEs.Spokes.impor
13be0	74 20 74 68 65 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 36 30 35 33 35 3a 31 30 33 30 20 28 74	t.the.route-target.60535:1030.(t
13c00	68 69 73 20 69 73 20 65 78 70 6f 72 74 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 6f 66 20 76 72	his.is.export.route-target.of.vr
13c20	66 20 42 4c 55 45 5f 48 55 42 29 20 61 6e 64 20 65 78 70 6f 72 74 20 69 74 73 20 6f 77 6e 20 72	f.BLUE_HUB).and.export.its.own.r
13c40	6f 75 74 65 2d 74 61 72 67 65 74 20 36 30 35 33 35 3a 31 30 31 31 28 74 68 69 73 20 69 73 20 76	oute-target.60535:1011(this.is.v
13c60	72 66 20 42 4c 55 45 5f 53 50 4f 4b 45 20 65 78 70 6f 72 74 20 72 6f 75 74 65 2d 74 61 72 67 65	rf.BLUE_SPOKE.export.route-targe
13c80	74 29 2e 20 54 68 65 72 65 66 6f 72 65 2c 20 74 68 65 20 43 75 73 74 6f 6d 65 72 20 65 64 67 65	t)..Therefore,.the.Customer.edge
13ca0	20 6e 6f 64 65 73 20 63 61 6e 20 6f 6e 6c 79 20 6c 65 61 72 6e 20 74 68 65 20 6e 65 74 77 6f 72	.nodes.can.only.learn.the.networ
13cc0	6b 20 70 72 65 66 69 78 65 73 20 6f 66 20 74 68 65 20 48 55 42 20 73 69 74 65 20 5b 31 30 2e 30	k.prefixes.of.the.HUB.site.[10.0
13ce0	2e 30 2e 31 30 30 2f 33 32 5d 2e 20 46 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 56 79 4f	.0.100/32]..For.this.example.VyO
13d00	53 2d 43 45 31 20 68 61 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 5b 31 30 2e 30	S-CE1.has.network.prefixes.[10.0
13d20	2e 30 2e 38 30 2f 33 32 5d 20 2f 20 56 79 4f 53 2d 43 45 32 20 68 61 73 20 6e 65 74 77 6f 72 6b	.0.80/32]./.VyOS-CE2.has.network
13d40	20 70 72 65 66 69 78 65 73 20 5b 31 30 2e 30 2e 30 2e 39 30 2f 33 32 5d 2e 20 52 6f 75 74 65 2d	.prefixes.[10.0.0.90/32]..Route-
13d60	52 65 66 6c 65 63 74 6f 72 20 64 65 76 69 63 65 73 20 56 79 4f 53 2d 52 52 31 20 61 6e 64 20 56	Reflector.devices.VyOS-RR1.and.V
13d80	79 4f 53 2d 52 52 32 20 61 72 65 20 75 73 65 64 20 74 6f 20 73 69 6d 70 6c 69 66 79 20 6e 65 74	yOS-RR2.are.used.to.simplify.net
13da0	77 6f 72 6b 20 72 6f 75 74 65 73 20 65 78 63 68 61 6e 67 65 20 61 6e 64 20 6d 69 6e 69 6d 69 7a	work.routes.exchange.and.minimiz
13dc0	65 20 69 42 47 50 20 70 65 65 72 69 6e 67 73 20 62 65 74 77 65 65 6e 20 64 65 76 69 63 65 73 2e	e.iBGP.peerings.between.devices.
13de0	00 41 73 20 77 65 20 73 65 65 20 73 68 61 70 65 72 20 69 73 20 77 6f 72 6b 69 6e 67 20 61 6e 64	.As.we.see.shaper.is.working.and
13e00	20 74 68 65 20 74 72 61 66 66 69 63 20 77 69 6c 6c 20 6e 6f 74 20 77 6f 72 6b 20 6f 76 65 72 20	.the.traffic.will.not.work.over.
13e20	35 20 4d 62 69 74 2f 73 2e 00 41 73 73 69 67 6e 20 65 78 74 65 72 6e 61 6c 20 49 50 20 61 64 64	5.Mbit/s..Assign.external.IP.add
13e40	72 65 73 73 65 73 00 41 73 73 75 6d 69 6e 67 20 74 68 65 20 70 69 6e 67 73 20 61 72 65 20 73 75	resses.Assuming.the.pings.are.su
13e60	63 63 65 73 73 66 75 6c 2c 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 61 64 64 20 73 6f 6d 65 20 44	ccessful,.you.need.to.add.some.D
13e80	4e 53 20 73 65 72 76 65 72 73 2e 20 53 6f 6d 65 20 6f 70 74 69 6f 6e 73 3a 00 41 74 20 74 68 65	NS.servers..Some.options:.At.the
13ea0	20 66 69 72 73 74 20 73 74 65 70 20 77 65 20 6e 65 65 64 20 74 6f 20 63 6f 6e 66 69 67 75 72 65	.first.step.we.need.to.configure
13ec0	20 74 68 65 20 49 50 2f 4d 50 4c 53 20 62 61 63 6b 62 6f 6e 65 20 6e 65 74 77 6f 72 6b 20 75 73	.the.IP/MPLS.backbone.network.us
13ee0	69 6e 67 20 4f 53 50 46 20 61 73 20 49 47 50 20 70 72 6f 74 6f 63 6f 6c 20 61 6e 64 20 4c 44 50	ing.OSPF.as.IGP.protocol.and.LDP
13f00	20 61 73 20 6c 61 62 65 6c 2d 73 77 69 74 63 68 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 66 6f 72	.as.label-switching.protocol.for
13f20	20 74 68 65 20 62 61 73 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 62 65 74 77 65 65 6e 20 2a	.the.base.connectivity.between.*
13f40	2a 50 2a 2a 20 28 72 6f 76 69 64 65 72 29 2c 20 2a 2a 50 2a 2a 20 28 72 6f 76 69 64 65 72 29 20	*P**.(rovider),.**P**.(rovider).
13f60	2a 2a 45 2a 2a 20 28 64 67 65 29 20 61 6e 64 20 2a 2a 52 2a 2a 20 28 6f 75 74 65 29 20 2a 2a 52	**E**.(dge).and.**R**.(oute).**R
13f80	2a 2a 20 28 65 66 6c 65 63 74 6f 72 29 20 6e 6f 64 65 73 3a 00 41 74 20 74 68 69 73 20 70 6f 69	**.(eflector).nodes:.At.this.poi
13fa0	6e 74 2c 20 79 6f 75 20 6e 6f 77 20 6e 65 65 64 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 58	nt,.you.now.need.to.create.the.X
13fc0	20 6c 69 6e 6b 20 62 65 74 77 65 65 6e 20 61 6c 6c 20 66 6f 75 72 20 72 6f 75 74 65 72 73 2e 20	.link.between.all.four.routers..
13fe0	55 73 65 20 61 6d 64 69 66 66 65 72 65 6e 74 20 2f 33 30 20 66 6f 72 20 65 61 63 68 20 6c 69 6e	Use.amdifferent./30.for.each.lin
14000	6b 2e 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20	k..At.this.point,.you.should.be.
14020	61 62 6c 65 20 74 6f 20 53 53 48 20 69 6e 74 6f 20 62 6f 74 68 20 6f 66 20 74 68 65 6d 2c 20 61	able.to.SSH.into.both.of.them,.a
14040	6e 64 20 77 69 6c 6c 20 6e 6f 20 6c 6f 6e 67 65 72 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f	nd.will.no.longer.need.access.to
14060	20 74 68 65 20 63 6f 6e 73 6f 6c 65 20 28 75 6e 6c 65 73 73 20 79 6f 75 20 62 72 65 61 6b 20 73	.the.console.(unless.you.break.s
14080	6f 6d 65 74 68 69 6e 67 21 29 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 73 68	omething!).At.this.point,.you.sh
140a0	6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 62 6f 74 68 20 49 50 20 61 64 64 72	ould.be.able.to.see.both.IP.addr
140c0	65 73 73 65 73 20 77 68 65 6e 20 79 6f 75 20 72 75 6e 20 60 60 73 68 6f 77 20 69 6e 74 65 72 66	esses.when.you.run.``show.interf
140e0	61 63 65 73 60 60 5c 20 2c 20 61 6e 64 20 60 60 73 68 6f 77 20 76 72 72 70 60 60 20 73 68 6f 75	aces``\.,.and.``show.vrrp``.shou
14100	6c 64 20 73 68 6f 77 20 62 6f 74 68 20 69 6e 74 65 72 66 61 63 65 73 20 69 6e 20 4d 41 53 54 45	ld.show.both.interfaces.in.MASTE
14120	52 20 73 74 61 74 65 20 28 61 6e 64 20 53 4c 41 56 45 20 73 74 61 74 65 20 6f 6e 20 72 6f 75 74	R.state.(and.SLAVE.state.on.rout
14140	65 72 32 29 2e 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 72 20 56 79 4f 53 20 69	er2)..At.this.point,.your.VyOS.i
14160	6e 73 74 61 6c 6c 20 73 68 6f 75 6c 64 20 68 61 76 65 20 66 75 6c 6c 20 49 50 76 36 2c 20 62 75	nstall.should.have.full.IPv6,.bu
14180	74 20 6e 6f 77 20 79 6f 75 72 20 4c 41 4e 20 64 65 76 69 63 65 73 20 6e 65 65 64 20 61 63 63 65	t.now.your.LAN.devices.need.acce
141a0	73 73 2e 00 41 74 20 74 68 69 73 20 73 74 65 70 20 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f	ss..At.this.step.we.are.going.to
141c0	20 65 6e 61 62 6c 65 20 69 42 47 50 20 70 72 6f 74 6f 63 6f 6c 20 6f 6e 20 4d 50 4c 53 20 6e 6f	.enable.iBGP.protocol.on.MPLS.no
141e0	64 65 73 20 61 6e 64 20 52 6f 75 74 65 20 52 65 66 6c 65 63 74 6f 72 73 20 28 74 77 6f 20 72 6f	des.and.Route.Reflectors.(two.ro
14200	75 74 65 72 73 20 66 6f 72 20 72 65 64 75 6e 64 61 6e 63 79 29 20 74 68 61 74 20 77 69 6c 6c 20	uters.for.redundancy).that.will.
14220	64 65 6c 69 76 65 72 20 49 50 76 34 20 56 50 4e 20 28 4c 33 56 50 4e 29 20 72 6f 75 74 65 73 20	deliver.IPv4.VPN.(L3VPN).routes.
14240	62 65 74 77 65 65 6e 20 74 68 65 6d 3a 00 41 7a 75 72 65 20 41 53 4e 00 41 7a 75 72 65 20 56 4e	between.them:.Azure.ASN.Azure.VN
14260	65 74 20 47 61 74 65 77 61 79 20 31 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 56 4e 65	et.Gateway.1.public.IP.Azure.VNe
14280	74 20 47 61 74 65 77 61 79 20 32 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74	t.Gateway.2.public.IP.Azure.VNet
142a0	20 47 61 74 65 77 61 79 20 42 47 50 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77	.Gateway.BGP.IP.Azure.VNet.Gatew
142c0	61 79 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 61 64 64 72 65 73 73 20 73 70 61 63 65	ay.public.IP.Azure.address.space
142e0	00 42 47 50 00 42 47 50 20 49 50 76 36 20 75 6e 6e 75 6d 62 65 72 65 64 20 77 69 74 68 20 65 78	.BGP.BGP.IPv6.unnumbered.with.ex
14300	74 65 6e 64 65 64 20 6e 65 78 74 68 6f 70 00 42 47 50 20 69 73 20 61 6e 20 65 78 74 72 65 6d 65	tended.nexthop.BGP.is.an.extreme
14320	6c 79 20 63 6f 6d 70 6c 65 78 20 6e 65 74 77 6f 72 6b 20 70 72 6f 74 6f 63 6f 6c 2e 20 41 6e 20	ly.complex.network.protocol..An.
14340	65 78 61 6d 70 6c 65 20 69 73 20 70 72 6f 76 69 64 65 64 20 68 65 72 65 2e 00 42 4c 55 45 5f 48	example.is.provided.here..BLUE_H
14360	55 42 00 42 4c 55 45 5f 53 50 4f 4b 45 00 42 61 73 65 64 20 6f 6e 20 74 68 65 20 70 72 65 76 69	UB.BLUE_SPOKE.Based.on.the.previ
14380	6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 61 6e 6f 74 68 65 72 20 72 75 6c 65 20 66 6f 72 20 74 72	ous.example,.another.rule.for.tr
143a0	61 66 66 69 63 20 66 72 6f 6d 20 74 68 65 20 73 65 63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65 20	affic.from.the.second.interface.
143c0	65 74 68 33 20 63 61 6e 20 62 65 20 61 64 64 65 64 20 74 6f 20 74 68 65 20 6c 6f 61 64 20 62 61	eth3.can.be.added.to.the.load.ba
143e0	6c 61 6e 63 65 72 2e 20 48 6f 77 65 76 65 72 2c 20 74 72 61 66 66 69 63 20 6d 65 61 6e 74 20 74	lancer..However,.traffic.meant.t
14400	6f 20 66 6c 6f 77 20 62 65 74 77 65 65 6e 20 74 68 65 20 4c 41 4e 20 73 75 62 6e 65 74 73 20 77	o.flow.between.the.LAN.subnets.w
14420	69 6c 6c 20 62 65 20 73 65 6e 74 20 74 6f 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 61 73 20	ill.be.sent.to.eth0.and.eth1.as.
14440	77 65 6c 6c 2e 20 54 6f 20 70 72 65 76 65 6e 74 20 74 68 69 73 2c 20 61 6e 6f 74 68 65 72 20 72	well..To.prevent.this,.another.r
14460	75 6c 65 20 69 73 20 72 65 71 75 69 72 65 64 2e 20 54 68 69 73 20 72 75 6c 65 20 65 78 63 6c 75	ule.is.required..This.rule.exclu
14480	64 65 73 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 74 68 65 20 6c 6f 63 61 6c 20 73 75	des.traffic.between.the.local.su
144a0	62 6e 65 74 73 20 66 72 6f 6d 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 2e 20 49 74	bnets.from.the.load.balancer..It
144c0	20 61 6c 73 6f 20 65 78 63 6c 75 64 65 73 20 6c 6f 63 61 6c 6c 79 2d 73 6f 75 72 63 65 73 20 70	.also.excludes.locally-sources.p
144e0	61 63 6b 65 74 73 20 28 72 65 71 75 69 72 65 64 20 66 6f 72 20 77 65 62 20 63 61 63 68 69 6e 67	ackets.(required.for.web.caching
14500	20 77 69 74 68 20 6c 6f 61 64 20 62 61 6c 61 6e 63 69 6e 67 29 2e 20 65 74 68 2b 20 69 73 20 75	.with.load.balancing)..eth+.is.u
14520	73 65 64 20 61 73 20 61 6e 20 61 6c 69 61 73 20 74 68 61 74 20 72 65 66 65 72 73 20 74 6f 20 61	sed.as.an.alias.that.refers.to.a
14540	6c 6c 20 65 74 68 65 72 6e 65 74 20 69 6e 74 65 72 66 61 63 65 73 3a 00 42 61 73 69 63 20 46 69	ll.ethernet.interfaces:.Basic.Fi
14560	72 65 77 61 6c 6c 00 42 61 73 69 63 20 53 65 74 75 70 20 28 76 69 61 20 63 6f 6e 73 6f 6c 65 29	rewall.Basic.Setup.(via.console)
14580	00 42 61 73 69 6b 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 61 6e 73 69	.Basik.configuration.of.the.ansi
145a0	62 6c 65 2e 63 66 67 3a 00 42 65 66 6f 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 65 74	ble.cfg:.Before.the.interface.et
145c0	68 30 20 6f 6e 20 72 6f 75 74 65 72 20 56 79 4f 53 33 00 42 6f 6e 64 69 6e 67 20 6f 6e 20 48 61	h0.on.router.VyOS3.Bonding.on.Ha
145e0	72 64 77 61 72 65 20 52 6f 75 74 65 72 00 42 6f 74 68 20 4c 41 4e 73 20 68 61 76 65 20 74 6f 20	rdware.Router.Both.LANs.have.to.
14600	62 65 20 61 62 6c 65 20 74 6f 20 72 6f 75 74 65 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74	be.able.to.route.between.each.ot
14620	68 65 72 2c 20 62 6f 74 68 20 77 69 6c 6c 20 68 61 76 65 20 6d 61 6e 61 67 65 64 20 64 65 76 69	her,.both.will.have.managed.devi
14640	63 65 73 20 74 68 72 6f 75 67 68 20 61 20 64 65 64 69 63 61 74 65 64 20 6d 61 6e 61 67 65 6d 65	ces.through.a.dedicated.manageme
14660	6e 74 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 62 6f 74 68 20 77 69 6c 6c 20 6e 65 65 64 20 49 6e	nt.network.and.both.will.need.In
14680	74 65 72 6e 65 74 20 61 63 63 65 73 73 20 79 65 74 20 74 68 65 20 4c 41 4e 32 20 77 69 6c 6c 20	ternet.access.yet.the.LAN2.will.
146a0	6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 73 6f 6d 65 20 73 65 74 20 6f 66 20 6f 75 74 73 69	need.access.to.some.set.of.outsi
146c0	64 65 20 6e 65 74 77 6f 72 6b 73 2c 20 6e 6f 74 20 61 6c 6c 2e 20 54 68 65 20 6d 61 6e 61 67 65	de.networks,.not.all..The.manage
146e0	6d 65 6e 74 20 6e 65 74 77 6f 72 6b 20 77 69 6c 6c 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f	ment.network.will.need.access.to
14700	20 62 6f 74 68 20 4c 41 4e 73 20 62 75 74 20 63 61 6e 6e 6f 74 20 68 61 76 65 20 61 63 63 65 73	.both.LANs.but.cannot.have.acces
14720	73 20 74 6f 2f 66 72 6f 6d 20 74 68 65 20 6f 75 74 73 69 64 65 2e 00 42 72 61 6e 63 68 00 42 79	s.to/from.the.outside..Branch.By
14740	20 64 65 66 61 75 6c 74 2c 20 69 70 74 61 62 6c 65 73 20 64 6f 65 73 20 6e 6f 74 20 61 6c 6c 6f	.default,.iptables.does.not.allo
14760	77 20 74 72 61 66 66 69 63 20 66 6f 72 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 65 73 73 69 6f	w.traffic.for.established.sessio
14780	6e 73 20 74 6f 20 72 65 74 75 72 6e 2c 20 73 6f 20 79 6f 75 20 6d 75 73 74 20 65 78 70 6c 69 63	ns.to.return,.so.you.must.explic
147a0	69 74 6c 79 20 61 6c 6c 6f 77 20 74 68 69 73 2e 20 49 20 64 6f 20 74 68 69 73 20 62 79 20 61 64	itly.allow.this..I.do.this.by.ad
147c0	64 69 6e 67 20 74 77 6f 20 72 75 6c 65 73 20 74 6f 20 65 76 65 72 79 20 72 75 6c 65 73 65 74 2e	ding.two.rules.to.every.ruleset.
147e0	20 31 20 61 6c 6c 6f 77 73 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65	.1.allows.established.and.relate
14800	64 20 73 74 61 74 65 20 70 61 63 6b 65 74 73 20 74 68 72 6f 75 67 68 20 61 6e 64 20 72 75 6c 65	d.state.packets.through.and.rule
14820	20 32 20 64 72 6f 70 73 20 61 6e 64 20 6c 6f 67 73 20 69 6e 76 61 6c 69 64 20 73 74 61 74 65 20	.2.drops.and.logs.invalid.state.
14840	70 61 63 6b 65 74 73 2e 20 57 65 20 70 6c 61 63 65 20 74 68 65 20 65 73 74 61 62 6c 69 73 68 65	packets..We.place.the.establishe
14860	64 2f 72 65 6c 61 74 65 64 20 72 75 6c 65 20 61 74 20 74 68 65 20 74 6f 70 20 62 65 63 61 75 73	d/related.rule.at.the.top.becaus
14880	65 20 74 68 65 20 76 61 73 74 20 6d 61 6a 6f 72 69 74 79 20 6f 66 20 74 72 61 66 66 69 63 20 6f	e.the.vast.majority.of.traffic.o
148a0	6e 20 61 20 6e 65 74 77 6f 72 6b 20 69 73 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 74	n.a.network.is.established.and.t
148c0	68 65 20 69 6e 76 61 6c 69 64 20 72 75 6c 65 20 74 6f 20 70 72 65 76 65 6e 74 20 69 6e 76 61 6c	he.invalid.rule.to.prevent.inval
148e0	69 64 20 73 74 61 74 65 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 6d 69 73 74 61 6b 65 6e 6c 79	id.state.packets.from.mistakenly
14900	20 62 65 69 6e 67 20 6d 61 74 63 68 65 64 20 61 67 61 69 6e 73 74 20 6f 74 68 65 72 20 72 75 6c	.being.matched.against.other.rul
14920	65 73 2e 20 48 61 76 69 6e 67 20 74 68 65 20 6d 6f 73 74 20 6d 61 74 63 68 65 64 20 72 75 6c 65	es..Having.the.most.matched.rule
14940	20 6c 69 73 74 65 64 20 66 69 72 73 74 20 72 65 64 75 63 65 73 20 43 50 55 20 6c 6f 61 64 20 69	.listed.first.reduces.CPU.load.i
14960	6e 20 68 69 67 68 20 76 6f 6c 75 6d 65 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 73 2e 20 4e 6f 74 65	n.high.volume.environments..Note
14980	3a 20 49 20 68 61 76 65 20 66 69 6c 65 64 20 61 20 62 75 67 20 74 6f 20 68 61 76 65 20 74 68 69	:.I.have.filed.a.bug.to.have.thi
149a0	73 20 61 64 64 65 64 20 61 73 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 61 73 20 77	s.added.as.a.default.action.as.w
149c0	65 6c 6c 2e 00 43 45 20 48 75 62 20 64 65 76 69 63 65 00 43 53 34 20 2d 3e 20 43 53 35 00 43 65	ell..CE.Hub.device.CS4.->.CS5.Ce
149e0	6e 74 72 61 6c 00 43 68 65 63 6b 20 61 6c 6c 20 70 6f 73 73 69 62 6c 65 20 73 65 74 74 69 6e 67	ntral.Check.all.possible.setting
14a00	73 20 60 68 65 72 65 20 3c 68 74 74 70 73 3a 2f 2f 67 69 74 68 75 62 2e 63 6f 6d 2f 74 68 72 65	s.`here.<https://github.com/thre
14a20	65 72 69 6e 67 73 2f 6f 70 65 6e 76 70 6e 2d 61 75 74 68 2d 6c 64 61 70 2f 62 6c 6f 62 2f 6d 61	erings/openvpn-auth-ldap/blob/ma
14a40	73 74 65 72 2f 61 75 74 68 2d 6c 64 61 70 2e 63 6f 6e 66 3e 60 5f 00 43 68 65 63 6b 20 74 68 65	ster/auth-ldap.conf>`_.Check.the
14a60	20 42 47 50 20 56 52 46 20 74 61 62 6c 65 20 61 6e 64 20 76 65 72 69 66 79 20 69 66 20 74 68 65	.BGP.VRF.table.and.verify.if.the
14a80	20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 61 72 65 20 69 6e 6a 65 63 74 65 64 20 73 68 6f 77	.static.routes.are.injected.show
14aa0	69 6e 67 20 74 68 65 20 63 6f 72 72 65 63 74 20 6e 65 78 74 2d 68 6f 70 20 69 6e 66 6f 72 6d 61	ing.the.correct.next-hop.informa
14ac0	74 69 6f 6e 2e 00 43 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 00 43 68 65 63 6b 20 74 68 65	tion..Check.the.result.Check.the
14ae0	20 72 65 73 75 6c 74 20 6f 6e 20 74 68 65 20 76 79 6f 73 31 30 20 72 6f 75 74 65 72 3a 00 43 68	.result.on.the.vyos10.router:.Ch
14b00	65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 2e 00 43 68 65 63 6b 20 74 68 65 20 76 65 72 73 69 6f	eck.the.result..Check.the.versio
14b20	6e 3a 00 43 68 65 63 6b 69 6e 67 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6f 66	n:.Checking.the.routing.table.of
14b40	20 74 68 65 20 56 52 46 20 73 68 6f 75 6c 64 20 72 65 76 65 61 6c 20 62 6f 74 68 20 73 74 61 74	.the.VRF.should.reveal.both.stat
14b60	69 63 20 61 6e 64 20 63 6f 6e 6e 65 63 74 65 64 20 65 6e 74 72 69 65 73 20 61 63 74 69 76 65 2e	ic.and.connected.entries.active.
14b80	20 41 20 50 49 4e 47 20 74 65 73 74 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 61 6e	.A.PING.test.between.the.Core.an
14ba0	64 20 72 65 6d 6f 74 65 20 72 6f 75 74 65 72 20 69 73 20 61 20 77 61 79 20 74 6f 20 76 61 6c 69	d.remote.router.is.a.way.to.vali
14bc0	64 61 74 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 77 69 74 68 69 6e 20 74 68 65 20 56 52 46	date.connectivity.within.the.VRF
14be0	2e 00 43 68 65 63 6b 69 6e 67 20 74 68 72 6f 75 67 68 20 6f 70 2d 6d 6f 64 65 20 63 6f 6d 6d 61	..Checking.through.op-mode.comma
14c00	6e 64 73 00 43 69 73 63 6f 00 43 69 73 63 6f 20 56 50 43 20 43 72 6f 73 73 63 6f 6e 6e 65 63 74	nds.Cisco.Cisco.VPC.Crossconnect
14c20	20 2d 20 50 6f 72 74 73 20 33 39 20 61 6e 64 20 34 30 20 62 6f 6e 64 65 64 20 62 65 74 77 65 65	.-.Ports.39.and.40.bonded.betwee
14c40	6e 20 65 61 63 68 20 73 77 69 74 63 68 00 43 6c 61 6d 70 20 74 68 65 20 56 54 49 27 73 20 4d 53	n.each.switch.Clamp.the.VTI's.MS
14c60	53 20 74 6f 20 31 33 35 30 20 74 6f 20 61 76 6f 69 64 20 50 4d 54 55 20 62 6c 61 63 6b 68 6f 6c	S.to.1350.to.avoid.PMTU.blackhol
14c80	65 73 2e 00 43 6c 69 65 6e 74 00 43 6c 69 65 6e 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00	es..Client.Client.configuration.
14ca0	43 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 70 72 69 76 61 74 65 20 73 75	Communication.between.private.su
14cc0	62 6e 65 74 73 20 73 68 6f 75 6c 64 20 62 65 20 64 6f 6e 65 20 74 68 72 6f 75 67 68 20 69 70 73	bnets.should.be.done.through.ips
14ce0	65 63 20 74 75 6e 6e 65 6c 20 77 69 74 68 6f 75 74 20 6e 61 74 2e 00 43 6f 6e 63 6c 75 73 69 6f	ec.tunnel.without.nat..Conclusio
14d00	6e 73 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27	ns.Configuration.Configuration.'
14d20	4e 4d 50 27 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27 56 79 4f 53 27 00 43 6f 6e 66 69 67	NMP'.Configuration.'VyOS'.Config
14d40	75 72 61 74 69 6f 6e 20 27 64 63 73 70 27 20 61 6e 64 20 73 68 61 70 65 72 20 75 73 69 6e 67 20	uration.'dcsp'.and.shaper.using.
14d60	51 6f 53 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 42 6c 75 65 70 72 69 6e 74 73 00 43 6f 6e	QoS.Configuration.Blueprints.Con
14d80	66 69 67 75 72 61 74 69 6f 6e 20 42 6c 75 65 70 72 69 6e 74 73 20 28 61 75 74 6f 74 65 73 74 29	figuration.Blueprints.(autotest)
14da0	00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 56 79 4f 53 20 61 73 20 4f 70 65 6e 56 50 4e 20 53	.Configuration.VyOS.as.OpenVPN.S
14dc0	65 72 76 65 72 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 62 61 73 69 63 20 66 69 72	erver.Configuration.of.basic.fir
14de0	65 77 61 6c 6c 20 69 6e 20 6f 6e 65 20 73 69 74 65 2c 20 69 6e 20 6f 72 64 65 72 20 74 6f 3a 00	ewall.in.one.site,.in.order.to:.
14e00	43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 00 43 6f	Configuration:.Configurations.Co
14e20	6e 66 69 67 75 72 65 20 57 69 72 65 67 75 61 72 64 00 43 6f 6e 66 69 67 75 72 65 20 61 20 56 54	nfigure.Wireguard.Configure.a.VT
14e40	49 20 77 69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 20 61 64 64 72 65 73 73 00 43 6f 6e 66 69 67	I.with.a.dummy.IP.address.Config
14e60	75 72 65 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 20 61 6e 64 20 65 6e 61 62 6c 65 20 68 65	ure.conntrack-sync.and.enable.he
14e80	6c 70 65 72 73 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 49 4b 45 20 61 6e 64 20 45 53 50 20	lpers.Configure.the.IKE.and.ESP.
14ea0	73 65 74 74 69 6e 67 73 20 74 6f 20 6d 61 74 63 68 20 61 20 73 75 62 73 65 74 20 6f 66 20 74 68	settings.to.match.a.subset.of.th
14ec0	6f 73 65 20 73 75 70 70 6f 72 74 65 64 20 62 79 20 41 7a 75 72 65 3a 00 43 6f 6e 66 69 67 75 72	ose.supported.by.Azure:.Configur
14ee0	65 20 74 68 65 20 56 50 4e 20 74 75 6e 6e 65 6c 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 56	e.the.VPN.tunnel.Configure.the.V
14f00	50 4e 20 74 75 6e 6e 65 6c 73 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 57 41 4e 20 6c 6f 61	PN.tunnels.Configure.the.WAN.loa
14f20	64 20 62 61 6c 61 6e 63 65 72 20 77 69 74 68 20 74 68 65 20 70 61 72 61 6d 65 74 65 72 73 20 64	d.balancer.with.the.parameters.d
14f40	65 73 63 72 69 62 65 64 20 61 62 6f 76 65 3a 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 6c 6f	escribed.above:.Configure.the.lo
14f60	61 64 20 62 61 6c 61 6e 63 65 72 00 43 6f 6e 66 69 67 75 72 65 20 74 77 6f 20 56 54 49 73 20 77	ad.balancer.Configure.two.VTIs.w
14f80	69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 20 61 64 64 72 65 73 73 20 65 61 63 68 00 43 6f 6e 66	ith.a.dummy.IP.address.each.Conf
14fa0	69 67 75 72 65 20 79 6f 75 72 20 42 47 50 20 73 65 74 74 69 6e 67 73 00 43 6f 6e 6e 74 72 61 63	igure.your.BGP.settings.Conntrac
14fc0	6b 20 68 65 6c 70 65 72 20 6d 6f 64 75 6c 65 73 20 61 72 65 20 65 6e 61 62 6c 65 64 20 62 79 20	k.helper.modules.are.enabled.by.
14fe0	64 65 66 61 75 6c 74 2c 20 62 75 74 20 74 68 65 79 20 74 65 6e 64 20 74 6f 20 63 61 75 73 65 20	default,.but.they.tend.to.cause.
15000	6d 6f 72 65 20 70 72 6f 62 6c 65 6d 73 20 74 68 61 6e 20 74 68 65 79 27 72 65 20 77 6f 72 74 68	more.problems.than.they're.worth
15020	20 69 6e 20 63 6f 6d 70 6c 65 78 20 6e 65 74 77 6f 72 6b 73 2e 20 59 6f 75 20 63 61 6e 20 64 69	.in.complex.networks..You.can.di
15040	73 61 62 6c 65 20 61 6c 6c 20 6f 66 20 74 68 65 6d 20 61 74 20 6f 6e 65 20 67 6f 2e 00 43 6f 6e	sable.all.of.them.at.one.go..Con
15060	73 69 64 65 72 20 68 6f 77 20 74 6f 20 71 75 69 63 6b 6c 79 20 73 65 74 20 75 70 20 4e 4d 50 20	sider.how.to.quickly.set.up.NMP.
15080	61 6e 64 20 56 79 4f 53 20 66 6f 72 20 6d 6f 6e 69 74 6f 72 69 6e 67 2e 20 4e 4d 50 20 69 73 20	and.VyOS.for.monitoring..NMP.is.
150a0	6d 75 6c 74 69 2d 76 65 6e 64 6f 72 20 6e 65 74 77 6f 72 6b 20 6d 6f 6e 69 74 6f 72 69 6e 67 20	multi-vendor.network.monitoring.
150c0	66 72 6f 6d 20 27 53 6f 6c 61 72 57 69 6e 64 73 27 20 62 75 69 6c 74 20 74 6f 20 73 63 61 6c 65	from.'SolarWinds'.built.to.scale
150e0	20 61 6e 64 20 65 78 70 61 6e 64 20 77 69 74 68 20 74 68 65 20 6e 65 65 64 73 20 6f 66 20 79 6f	.and.expand.with.the.needs.of.yo
15100	75 72 20 6e 65 74 77 6f 72 6b 2e 00 43 6f 72 65 00 43 6f 72 65 20 52 6f 75 74 65 72 00 43 6f 72	ur.network..Core.Core.Router.Cor
15120	65 20 6e 65 74 77 6f 72 6b 00 43 72 65 61 74 65 20 45 78 70 6f 72 74 20 46 69 6c 74 65 72 00 43	e.network.Create.Export.Filter.C
15140	72 65 61 74 65 20 49 6d 70 6f 72 74 20 46 69 6c 74 65 72 00 43 72 65 61 74 65 20 56 52 52 50 20	reate.Import.Filter.Create.VRRP.
15160	73 79 6e 63 2d 67 72 6f 75 70 00 43 72 65 61 74 65 20 61 20 4c 41 43 50 20 62 6f 6e 64 20 6f 6e	sync-group.Create.a.LACP.bond.on
15180	20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 20 57 65 20 61 72 65 20 61 73 73	.the.hardware.router..We.are.ass
151a0	75 6d 69 6e 67 20 74 68 61 74 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 61 72 65 20 63 6f 6e	uming.that.eth0.and.eth1.are.con
151c0	6e 65 63 74 65 64 20 74 6f 20 70 6f 72 74 20 38 20 6f 6e 20 62 6f 74 68 20 73 77 69 74 63 68 65	nected.to.port.8.on.both.switche
151e0	73 2c 20 61 6e 64 20 74 68 61 74 20 74 68 6f 73 65 20 70 6f 72 74 73 20 61 72 65 20 63 6f 6e 66	s,.and.that.those.ports.are.conf
15200	69 67 75 72 65 64 20 61 73 20 61 20 50 6f 72 74 2d 43 68 61 6e 6e 65 6c 2e 00 43 72 65 61 74 65	igured.as.a.Port-Channel..Create
15220	20 61 6e 20 27 41 6c 6c 20 56 4c 41 4e 73 27 20 6e 65 74 77 6f 72 6b 20 67 72 6f 75 70 2c 20 74	.an.'All.VLANs'.network.group,.t
15240	68 61 74 20 70 61 73 73 65 73 20 61 6c 6c 20 74 72 75 6e 6b 65 64 20 74 72 61 66 66 69 63 20 74	hat.passes.all.trunked.traffic.t
15260	68 72 6f 75 67 68 20 74 6f 20 74 68 65 20 56 4d 2e 20 41 74 74 61 63 68 20 74 68 69 73 20 6e 65	hrough.to.the.VM..Attach.this.ne
15280	74 77 6f 72 6b 20 67 72 6f 75 70 20 74 6f 20 72 6f 75 74 65 72 31 20 61 73 20 65 74 68 30 2e 00	twork.group.to.router1.as.eth0..
152a0	43 72 65 61 74 65 20 69 6e 74 65 72 66 61 63 65 20 77 65 69 67 68 74 20 62 61 73 65 64 20 63 6f	Create.interface.weight.based.co
152c0	6e 66 69 67 75 72 61 74 69 6f 6e 00 43 72 65 61 74 65 20 72 75 6c 65 20 6f 72 64 65 72 20 62 61	nfiguration.Create.rule.order.ba
152e0	73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 72 65 61 74 65 20 72 75 6c 65 20 6f 72	sed.configuration.Create.rule.or
15300	64 65 72 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 6c 6f 77	der.based.configuration.with.low
15320	20 73 70 65 65 64 20 73 65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 00 43 72 65 61 74 65 20 73 74 61	.speed.secondary.link.Create.sta
15340	74 69 63 20 72 6f 75 74 65 73 20 74 68 72 6f 75 67 68 20 74 68 65 20 74 77 6f 20 49 53 50 73 20	tic.routes.through.the.two.ISPs.
15360	74 6f 77 61 72 64 73 20 74 68 65 20 70 69 6e 67 20 74 61 72 67 65 74 73 20 61 6e 64 20 63 6f 6d	towards.the.ping.targets.and.com
15380	6d 69 74 20 74 68 65 20 63 68 61 6e 67 65 73 3a 00 43 72 65 61 74 65 20 73 74 61 74 69 63 20 72	mit.the.changes:.Create.static.r
153a0	6f 75 74 65 73 20 74 6f 20 70 69 6e 67 20 74 61 72 67 65 74 73 00 43 72 65 61 74 65 20 79 6f 75	outes.to.ping.targets.Create.you
153c0	72 20 72 6f 75 74 65 72 31 20 56 4d 2e 20 53 6f 20 69 74 20 63 61 6e 20 77 69 74 68 73 74 61 6e	r.router1.VM..So.it.can.withstan
153e0	64 20 61 20 56 4d 20 48 6f 73 74 20 66 61 69 6c 69 6e 67 20 6f 72 20 61 20 6e 65 74 77 6f 72 6b	d.a.VM.Host.failing.or.a.network
15400	20 6c 69 6e 6b 20 66 61 69 6c 69 6e 67 2e 20 55 73 69 6e 67 20 56 4d 77 61 72 65 2c 20 74 68 69	.link.failing..Using.VMware,.thi
15420	73 20 69 73 20 61 63 68 69 65 76 65 64 20 62 79 20 65 6e 61 62 6c 69 6e 67 20 76 53 70 68 65 72	s.is.achieved.by.enabling.vSpher
15440	65 20 44 52 53 2c 20 76 53 70 68 65 72 65 20 41 76 61 69 6c 61 62 69 6c 69 74 79 2c 20 61 6e 64	e.DRS,.vSphere.Availability,.and
15460	20 63 72 65 61 74 69 6e 67 20 61 20 44 69 73 74 72 69 62 75 74 65 64 20 50 6f 72 74 20 47 72 6f	.creating.a.Distributed.Port.Gro
15480	75 70 20 74 68 61 74 20 75 73 65 73 20 4c 41 43 50 2e 00 44 48 43 50 20 52 65 6c 61 79 20 74 72	up.that.uses.LACP..DHCP.Relay.tr
154a0	6f 75 67 68 20 47 52 45 2d 42 72 69 64 67 65 00 44 48 43 50 2d 52 65 6c 61 79 00 44 48 43 50 2d	ough.GRE-Bridge.DHCP-Relay.DHCP-
154c0	53 65 72 76 65 72 00 44 48 43 50 76 36 2d 50 44 20 53 65 74 75 70 00 44 4d 5a 20 63 61 6e 6e 6f	Server.DHCPv6-PD.Setup.DMZ.canno
154e0	74 20 61 63 63 65 73 73 20 4c 41 4e 20 72 65 73 6f 75 72 63 65 73 2e 00 44 4d 5a 2d 4c 41 4e 20	t.access.LAN.resources..DMZ-LAN.
15500	70 6f 6c 69 63 79 20 69 73 20 4c 41 4e 2d 44 4d 5a 2e 20 59 6f 75 20 63 61 6e 20 67 65 74 20 61	policy.is.LAN-DMZ..You.can.get.a
15520	20 72 68 79 74 68 6d 20 74 6f 20 69 74 20 77 68 65 6e 20 79 6f 75 20 62 75 69 6c 64 20 6f 75 74	.rhythm.to.it.when.you.build.out
15540	20 61 20 62 75 6e 63 68 20 61 74 20 6f 6e 65 20 74 69 6d 65 2e 00 44 65 73 69 67 6e 00 44 65 76	.a.bunch.at.one.time..Design.Dev
15560	69 63 65 2d 41 00 44 65 76 69 63 65 2d 42 00 44 75 70 6c 69 63 61 74 65 20 63 6f 6e 66 69 67 75	ice-A.Device-B.Duplicate.configu
15580	72 61 74 69 6f 6e 00 44 75 72 69 6e 67 20 61 64 64 72 65 73 73 20 63 6f 6e 66 69 67 75 72 61 74	ration.During.address.configurat
155a0	69 6f 6e 2c 20 69 6e 20 61 64 64 69 74 69 6f 6e 20 74 6f 20 61 73 73 69 67 6e 69 6e 67 20 61 6e	ion,.in.addition.to.assigning.an
155c0	20 61 64 64 72 65 73 73 20 74 6f 20 74 68 65 20 57 41 4e 20 69 6e 74 65 72 66 61 63 65 2c 20 49	.address.to.the.WAN.interface,.I
155e0	53 50 20 61 6c 73 6f 20 70 72 6f 76 69 64 65 73 20 61 20 70 72 65 66 69 78 20 74 6f 20 61 6c 6c	SP.also.provides.a.prefix.to.all
15600	6f 77 20 74 68 65 20 72 6f 75 74 65 72 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 64 64 72 65	ow.the.router.to.configure.addre
15620	73 73 65 73 20 6f 66 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 6f 74 68 65 72 20	sses.of.LAN.interface.and.other.
15640	6e 6f 64 65 73 20 63 6f 6e 6e 65 63 74 69 6e 67 20 74 6f 20 4c 41 4e 2c 20 77 68 69 63 68 20 69	nodes.connecting.to.LAN,.which.i
15660	73 20 63 61 6c 6c 65 64 20 70 72 65 66 69 78 20 64 65 6c 65 67 61 74 69 6f 6e 20 28 50 44 29 2e	s.called.prefix.delegation.(PD).
15680	00 44 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 73 65 64 20 62 65 74 77 65 65 6e 20 43 45	.Dynamic.routing.used.between.CE
156a0	20 61 6e 64 20 50 45 20 6e 6f 64 65 73 20 61 6e 64 20 65 42 47 50 20 70 65 65 72 69 6e 67 20 65	.and.PE.nodes.and.eBGP.peering.e
156c0	73 74 61 62 6c 69 73 68 65 64 20 66 6f 72 20 74 68 65 20 72 6f 75 74 65 20 65 78 63 68 61 6e 67	stablished.for.the.route.exchang
156e0	69 6e 67 20 62 65 74 77 65 65 6e 20 74 68 65 6d 2e 20 41 6c 6c 20 72 6f 75 74 65 73 20 72 65 63	ing.between.them..All.routes.rec
15700	65 69 76 65 64 20 62 79 20 50 45 73 20 61 72 65 20 74 68 65 6e 20 65 78 70 6f 72 74 65 64 20 74	eived.by.PEs.are.then.exported.t
15720	6f 20 4c 33 56 50 4e 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 66 72 6f 6d 20 53 70 6f 6b 65	o.L3VPN.and.delivered.from.Spoke
15740	20 73 69 74 65 73 20 74 6f 20 48 75 62 20 61 6e 64 20 76 69 73 65 2d 76 65 72 73 61 20 62 61 73	.sites.to.Hub.and.vise-versa.bas
15760	65 64 20 6f 6e 20 70 72 65 76 69 6f 75 73 6c 79 20 63 6f 6e 66 69 67 75 72 65 64 20 4c 33 56 50	ed.on.previously.configured.L3VP
15780	4e 20 70 61 72 61 6d 65 74 65 72 73 2e 00 45 61 63 68 20 69 6e 74 65 72 66 61 63 65 20 69 73 20	N.parameters..Each.interface.is.
157a0	61 73 73 69 67 6e 65 64 20 74 6f 20 61 20 7a 6f 6e 65 2e 20 54 68 65 20 69 6e 74 65 72 66 61 63	assigned.to.a.zone..The.interfac
157c0	65 20 63 61 6e 20 62 65 20 70 68 79 73 69 63 61 6c 20 6f 72 20 76 69 72 74 75 61 6c 20 73 75 63	e.can.be.physical.or.virtual.suc
157e0	68 20 61 73 20 74 75 6e 6e 65 6c 73 20 28 56 50 4e 2c 20 50 50 54 50 2c 20 47 52 45 2c 20 65 74	h.as.tunnels.(VPN,.PPTP,.GRE,.et
15800	63 29 20 61 6e 64 20 61 72 65 20 74 72 65 61 74 65 64 20 65 78 61 63 74 6c 79 20 74 68 65 20 73	c).and.are.treated.exactly.the.s
15820	61 6d 65 2e 00 45 61 63 68 20 6c 61 62 20 77 69 6c 6c 20 62 75 69 6c 64 20 61 6e 20 74 65 73 74	ame..Each.lab.will.build.an.test
15840	20 66 72 6f 6d 20 61 6e 20 65 78 74 65 72 6e 61 6c 20 73 63 72 69 70 74 2e 20 54 68 65 20 70 61	.from.an.external.script..The.pa
15860	67 65 20 63 6f 6e 74 65 6e 74 20 77 69 6c 6c 20 67 65 6e 65 72 61 74 65 2c 20 73 6f 20 63 68 61	ge.content.will.generate,.so.cha
15880	6e 67 65 73 20 77 69 6c 6c 20 6e 6f 74 20 74 61 6b 65 20 61 6e 20 65 66 66 65 63 74 2e 00 45 6e	nges.will.not.take.an.effect..En
158a0	61 62 6c 65 20 49 50 73 65 63 20 6f 6e 20 65 74 68 30 00 45 6e 61 62 6c 65 20 4f 53 50 46 00 45	able.IPsec.on.eth0.Enable.OSPF.E
158c0	6e 61 62 6c 65 20 53 53 48 00 45 6e 61 62 6c 65 20 53 53 48 20 73 6f 20 79 6f 75 20 63 61 6e 20	nable.SSH.Enable.SSH.so.you.can.
158e0	6e 6f 77 20 53 53 48 20 69 6e 74 6f 20 74 68 65 20 72 6f 75 74 65 72 73 2c 20 72 61 74 68 65 72	now.SSH.into.the.routers,.rather
15900	20 74 68 61 6e 20 75 73 69 6e 67 20 74 68 65 20 63 6f 6e 73 6f 6c 65 2e 00 45 6e 61 62 6c 65 73	.than.using.the.console..Enables
15920	20 72 6f 75 74 65 72 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 73 2e 20 54 68 69 73 20 69 73 20	.router.advertisements..This.is.
15940	61 6e 20 49 50 76 36 20 61 6c 74 65 72 6e 61 74 69 76 65 20 66 6f 72 20 44 48 43 50 20 28 74 68	an.IPv6.alternative.for.DHCP.(th
15960	6f 75 67 68 20 44 48 43 50 76 36 20 63 61 6e 20 73 74 69 6c 6c 20 62 65 20 75 73 65 64 29 2e 20	ough.DHCPv6.can.still.be.used)..
15980	57 69 74 68 20 52 41 73 2c 20 59 6f 75 72 20 64 65 76 69 63 65 73 20 77 69 6c 6c 20 61 75 74 6f	With.RAs,.Your.devices.will.auto
159a0	6d 61 74 69 63 61 6c 6c 79 20 66 69 6e 64 20 74 68 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 74	matically.find.the.information.t
159c0	68 65 79 20 6e 65 65 64 20 66 6f 72 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 44 4e 53 2e 00 45 76	hey.need.for.routing.and.DNS..Ev
159e0	65 6e 20 69 66 20 74 68 65 20 74 77 6f 20 7a 6f 6e 65 73 20 77 69 6c 6c 20 6e 65 76 65 72 20 63	en.if.the.two.zones.will.never.c
15a00	6f 6d 6d 75 6e 69 63 61 74 65 2c 20 69 74 20 69 73 20 61 20 67 6f 6f 64 20 69 64 65 61 20 74 6f	ommunicate,.it.is.a.good.idea.to
15a20	20 63 72 65 61 74 65 20 74 68 65 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20	.create.the.zone-pair-direction.
15a40	72 75 6c 65 73 65 74 73 20 61 6e 64 20 73 65 74 20 65 6e 61 62 6c 65 2d 64 65 66 61 75 6c 74 2d	rulesets.and.set.enable-default-
15a60	6c 6f 67 2e 20 54 68 69 73 20 77 69 6c 6c 20 61 6c 6c 6f 77 20 79 6f 75 20 74 6f 20 6c 6f 67 20	log..This.will.allow.you.to.log.
15a80	61 74 74 65 6d 70 74 73 20 74 6f 20 61 63 63 65 73 73 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 2e	attempts.to.access.the.networks.
15aa0	20 57 69 74 68 6f 75 74 20 69 74 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 65 76 65 72 20 73 65 65 20	.Without.it,.you.will.never.see.
15ac0	74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 61 74 74 65 6d 70 74 73 2e 00 45 76 65 72 79 20 72	the.connection.attempts..Every.r
15ae0	6f 75 74 65 72 20 2a 2a 6d 75 73 74 2a 2a 20 68 61 76 65 20 61 20 75 6e 69 71 75 65 20 72 6f 75	outer.**must**.have.a.unique.rou
15b00	74 65 72 2d 69 64 2e 20 54 68 65 20 27 72 65 66 65 72 65 6e 63 65 2d 62 61 6e 64 77 69 64 74 68	ter-id..The.'reference-bandwidth
15b20	27 20 69 73 20 75 73 65 64 20 62 65 63 61 75 73 65 20 77 68 65 6e 20 4f 53 50 46 20 77 61 73 20	'.is.used.because.when.OSPF.was.
15b40	6f 72 69 67 69 6e 61 6c 6c 79 20 64 65 73 69 67 6e 65 64 2c 20 74 68 65 20 69 64 65 61 20 6f 66	originally.designed,.the.idea.of
15b60	20 61 20 6c 69 6e 6b 20 66 61 73 74 65 72 20 74 68 61 6e 20 31 67 62 69 74 20 77 61 73 20 75 6e	.a.link.faster.than.1gbit.was.un
15b80	68 65 61 72 64 20 6f 66 2c 20 61 6e 64 20 69 74 20 64 6f 65 73 20 6e 6f 74 20 73 63 61 6c 65 20	heard.of,.and.it.does.not.scale.
15ba0	63 6f 72 72 65 63 74 6c 79 2e 00 45 76 65 72 79 20 72 6f 75 74 65 72 20 74 68 61 74 20 70 72 6f	correctly..Every.router.that.pro
15bc0	76 69 64 65 73 20 61 63 63 65 73 73 20 74 6f 20 61 20 63 75 73 74 6f 6d 65 72 20 6e 65 74 77 6f	vides.access.to.a.customer.netwo
15be0	72 6b 20 6e 65 65 64 73 20 74 6f 20 68 61 76 65 20 74 68 65 20 63 75 73 74 6f 6d 65 72 20 6e 65	rk.needs.to.have.the.customer.ne
15c00	74 77 6f 72 6b 20 28 56 52 46 20 2b 20 56 4e 49 29 20 63 6f 6e 66 69 67 75 72 65 64 2e 20 54 6f	twork.(VRF.+.VNI).configured..To
15c20	20 6d 61 6b 65 20 6f 75 72 20 6f 77 6e 20 6c 69 76 65 73 20 65 61 73 69 65 72 2c 20 77 65 20 75	.make.our.own.lives.easier,.we.u
15c40	74 69 6c 69 7a 65 20 74 68 65 20 73 61 6d 65 20 56 52 46 20 74 61 62 6c 65 20 69 64 20 28 6c 6f	tilize.the.same.VRF.table.id.(lo
15c60	63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6e 75 6d 62 65 72 29 20 61 6e 64 20 56 4e	cal.routing.table.number).and.VN
15c80	49 20 28 56 69 72 74 75 61 6c 20 4e 65 74 77 6f 72 6b 20 49 64 65 6e 74 69 66 69 65 72 29 20 70	I.(Virtual.Network.Identifier).p
15ca0	65 72 20 74 65 6e 61 6e 74 20 6f 6e 20 61 6c 6c 20 6f 75 72 20 72 6f 75 74 65 72 73 2e 00 45 76	er.tenant.on.all.our.routers..Ev
15cc0	65 72 79 20 74 65 6e 61 6e 74 20 69 73 20 61 73 73 69 67 6e 65 64 20 61 6e 20 69 6e 64 69 76 69	ery.tenant.is.assigned.an.indivi
15ce0	64 75 61 6c 20 56 52 46 20 74 68 61 74 20 77 6f 75 6c 64 20 73 75 70 70 6f 72 74 20 6f 76 65 72	dual.VRF.that.would.support.over
15d00	6c 61 70 70 69 6e 67 20 61 64 64 72 65 73 73 20 72 61 6e 67 65 73 20 66 6f 72 20 63 75 73 74 6f	lapping.address.ranges.for.custo
15d20	6d 65 72 73 20 62 6c 75 65 2c 20 72 65 64 20 61 6e 64 20 67 72 65 65 6e 2e 20 49 6e 20 6f 75 72	mers.blue,.red.and.green..In.our
15d40	20 65 78 61 6d 70 6c 65 2c 20 77 65 20 64 6f 20 6e 6f 74 20 75 73 65 20 6f 76 65 72 6c 61 70 70	.example,.we.do.not.use.overlapp
15d60	69 6e 67 20 72 61 6e 67 65 73 20 74 6f 20 6d 61 6b 65 20 69 74 20 65 61 73 69 65 72 20 77 68 65	ing.ranges.to.make.it.easier.whe
15d80	6e 20 73 68 6f 77 69 6e 67 20 64 65 62 75 67 20 63 6f 6d 6d 61 6e 64 73 2e 00 45 78 61 6d 70 6c	n.showing.debug.commands..Exampl
15da0	65 00 45 78 61 6d 70 6c 65 20 31 3a 20 44 69 73 74 72 69 62 75 74 69 6e 67 20 6c 6f 61 64 20 65	e.Example.1:.Distributing.load.e
15dc0	76 65 6e 6c 79 00 45 78 61 6d 70 6c 65 20 32 3a 20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64 20	venly.Example.2:.Failover.based.
15de0	6f 6e 20 69 6e 74 65 72 66 61 63 65 20 77 65 69 67 68 74 73 00 45 78 61 6d 70 6c 65 20 33 3a 20	on.interface.weights.Example.3:.
15e00	46 61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 72 75 6c 65 20 6f 72 64 65 72 00 45 78 61	Failover.based.on.rule.order.Exa
15e20	6d 70 6c 65 20 34 3a 20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 72 75 6c 65 20 6f	mple.4:.Failover.based.on.rule.o
15e40	72 64 65 72 20 2d 20 70 72 69 6f 72 69 74 79 20 74 72 61 66 66 69 63 00 45 78 61 6d 70 6c 65 20	rder.-.priority.traffic.Example.
15e60	35 3a 20 45 78 63 6c 75 64 65 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 6c 6f 61 64 20 62 61 6c	5:.Exclude.traffic.from.load.bal
15e80	61 6e 63 69 6e 67 00 45 78 61 6d 70 6c 65 20 4e 65 74 77 6f 72 6b 00 46 69 6c 6c 20 60 60 70 61	ancing.Example.Network.Fill.``pa
15ea0	73 73 77 6f 72 64 60 60 20 61 6e 64 20 60 60 75 73 65 72 60 60 20 77 69 74 68 20 74 68 65 20 63	ssword``.and.``user``.with.the.c
15ec0	72 65 64 65 6e 74 69 61 6c 20 70 72 6f 76 69 64 65 64 20 62 79 20 79 6f 75 72 20 49 53 50 2e 00	redential.provided.by.your.ISP..
15ee0	46 69 6e 61 6c 6c 79 2c 20 64 6f 6e 27 74 20 66 6f 72 67 65 74 20 74 68 65 20 3a 72 65 66 3a 60	Finally,.don't.forget.the.:ref:`
15f00	66 69 72 65 77 61 6c 6c 60 2e 20 54 68 65 20 75 73 61 67 65 20 69 73 20 69 64 65 6e 74 69 63 61	firewall`..The.usage.is.identica
15f20	6c 2c 20 65 78 63 65 70 74 20 66 6f 72 20 69 6e 73 74 65 61 64 20 6f 66 20 60 73 65 74 20 66 69	l,.except.for.instead.of.`set.fi
15f40	72 65 77 61 6c 6c 20 6e 61 6d 65 20 4e 41 4d 45 60 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65	rewall.name.NAME`,.you.would.use
15f60	20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d 65 20 4e 41 4d 45 60 2e 00	.`set.firewall.ipv6-name.NAME`..
15f80	46 69 6e 61 6c 6c 79 2c 20 6c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 74 68 65 20 72 65 61 63 68	Finally,.let...s.check.the.reach
15fa0	61 62 69 6c 69 74 79 20 62 65 74 77 65 65 6e 20 43 45 73 3a 00 46 69 72 65 77 61 6c 6c 00 46 69	ability.between.CEs:.Firewall.Fi
15fc0	72 65 77 61 6c 6c 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 46 69 72 73 74 20 61 20 43 41	rewall.Configuration:.First.a.CA
15fe0	2c 20 61 20 73 69 67 6e 65 64 20 73 65 72 76 65 72 20 61 6e 64 20 63 6c 69 65 6e 74 20 63 65 66	,.a.signed.server.and.client.cef
16000	74 69 66 69 63 61 74 65 20 61 6e 64 20 61 20 44 69 66 66 69 65 2d 48 65 6c 6c 6d 61 6e 20 70 61	tificate.and.a.Diffie-Hellman.pa
16020	72 61 6d 65 74 65 72 20 6d 75 73 73 74 20 62 65 20 67 65 6e 65 72 61 74 65 64 20 61 6e 64 20 69	rameter.musst.be.generated.and.i
16040	6e 73 74 61 6c 6c 65 64 2e 20 50 6c 65 61 73 65 20 6c 6f 6f 6b 20 3a 72 65 66 3a 60 68 65 72 65	nstalled..Please.look.:ref:`here
16060	20 3c 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 70 6b 69 2f 69 6e 64 65 78 3a 70 6b 69 3e 60 20	.<configuration/pki/index:pki>`.
16080	66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 46 69 72 73 74 20 70 72 65 70	for.more.information..First.prep
160a0	61 72 65 20 6f 75 72 20 56 79 4f 53 20 72 6f 75 74 65 72 20 66 6f 72 20 63 6f 6e 6e 65 63 74 69	are.our.VyOS.router.for.connecti
160c0	6f 6e 20 74 6f 20 4e 4d 50 2e 20 57 65 20 68 61 76 65 20 74 6f 20 73 65 74 20 75 70 20 74 68 65	on.to.NMP..We.have.to.set.up.the
160e0	20 53 4e 4d 50 20 70 72 6f 74 6f 63 6f 6c 20 61 6e 64 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20	.SNMP.protocol.and.connectivity.
16100	62 65 74 77 65 65 6e 20 74 68 65 20 72 6f 75 74 65 72 20 61 6e 64 20 4e 4d 50 2e 00 46 69 72 73	between.the.router.and.NMP..Firs
16120	74 2c 20 77 65 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 60 60 76 79 6f 73 2d 77 61 6e 60 60	t,.we.configure.the.``vyos-wan``
16140	20 69 6e 74 65 72 66 61 63 65 20 74 6f 20 67 65 74 20 61 20 44 48 43 50 20 61 64 64 72 65 73 73	.interface.to.get.a.DHCP.address
16160	2e 00 46 69 72 73 74 2c 20 77 65 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 74 72 61 6e 73 70	..First,.we.configure.the.transp
16180	6f 72 74 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 74 68 65 20 54 75 6e 6e 65 6c 20 69 6e 74 65 72	ort.network.and.the.Tunnel.inter
161a0	66 61 63 65 2e 00 46 6c 65 78 56 50 4e 20 69 73 20 61 20 6e 65 77 65 72 20 22 73 6f 6c 75 74 69	face..FlexVPN.is.a.newer."soluti
161c0	6f 6e 22 20 66 6f 72 20 64 65 70 6c 6f 79 6d 65 6e 74 20 6f 66 20 56 50 4e 73 20 61 6e 64 20 69	on".for.deployment.of.VPNs.and.i
161e0	74 20 75 74 69 6c 69 7a 65 73 20 49 4b 45 76 32 20 61 73 20 74 68 65 20 6b 65 79 20 65 78 63 68	t.utilizes.IKEv2.as.the.key.exch
16200	61 6e 67 65 20 70 72 6f 74 6f 63 6f 6c 2e 20 54 68 65 20 72 65 73 75 6c 74 20 69 73 20 61 20 66	ange.protocol..The.result.is.a.f
16220	6c 65 78 69 62 6c 65 20 61 6e 64 20 73 63 61 6c 61 62 6c 65 20 56 50 4e 20 73 6f 6c 75 74 69 6f	lexible.and.scalable.VPN.solutio
16240	6e 20 74 68 61 74 20 63 61 6e 20 62 65 20 65 61 73 69 6c 79 20 61 64 61 70 74 65 64 20 74 6f 20	n.that.can.be.easily.adapted.to.
16260	66 69 74 20 76 61 72 69 6f 75 73 20 6e 65 74 77 6f 72 6b 20 6e 65 65 64 73 2e 20 49 74 20 63 61	fit.various.network.needs..It.ca
16280	6e 20 61 6c 73 6f 20 73 75 70 70 6f 72 74 20 61 20 76 61 72 69 65 74 79 20 6f 66 20 65 6e 63 72	n.also.support.a.variety.of.encr
162a0	79 70 74 69 6f 6e 20 6d 65 74 68 6f 64 73 2c 20 69 6e 63 6c 75 64 69 6e 67 20 41 45 53 20 61 6e	yption.methods,.including.AES.an
162c0	64 20 33 44 45 53 2e 00 46 6f 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 73	d.3DES..For.connection.between.s
162e0	69 74 65 73 2c 20 77 65 20 61 72 65 20 72 75 6e 6e 69 6e 67 20 61 20 57 69 72 65 47 75 61 72 64	ites,.we.are.running.a.WireGuard
16300	20 6c 69 6e 6b 20 74 6f 20 74 77 6f 20 52 45 4d 4f 54 45 20 72 6f 75 74 65 72 73 20 61 6e 64 20	.link.to.two.REMOTE.routers.and.
16320	75 73 69 6e 67 20 4f 53 50 46 20 6f 76 65 72 20 74 68 6f 73 65 20 6c 69 6e 6b 73 20 74 6f 20 64	using.OSPF.over.those.links.to.d
16340	69 73 74 72 69 62 75 74 65 20 72 6f 75 74 65 73 2e 20 54 68 61 74 20 72 65 6d 6f 74 65 20 73 69	istribute.routes..That.remote.si
16360	74 65 20 69 73 20 65 78 70 65 63 74 65 64 20 74 6f 20 73 65 6e 64 20 74 72 61 66 66 69 63 20 66	te.is.expected.to.send.traffic.f
16380	72 6f 6d 20 61 6e 79 74 68 69 6e 67 20 69 6e 20 31 30 2e 32 30 31 2e 30 2e 30 2f 31 36 00 46 6f	rom.anything.in.10.201.0.0/16.Fo
163a0	72 20 68 6f 6d 65 20 6e 65 74 77 6f 72 6b 20 75 73 65 72 73 2c 20 6d 6f 73 74 20 6f 66 20 74 69	r.home.network.users,.most.of.ti
163c0	6d 65 20 49 53 50 20 6f 6e 6c 79 20 70 72 6f 76 69 64 65 73 20 2f 36 34 20 70 72 65 66 69 78 2c	me.ISP.only.provides./64.prefix,
163e0	20 68 65 6e 63 65 20 74 68 65 72 65 20 69 73 20 6e 6f 20 6e 65 65 64 20 74 6f 20 73 65 74 20 53	.hence.there.is.no.need.to.set.S
16400	4c 41 20 49 44 20 61 6e 64 20 70 72 65 66 69 78 20 6c 65 6e 67 74 68 2e 20 53 65 65 20 3a 72 65	LA.ID.and.prefix.length..See.:re
16420	66 3a 60 70 70 70 6f 65 2d 69 6e 74 65 72 66 61 63 65 60 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66	f:`pppoe-interface`.for.more.inf
16440	6f 72 6d 61 74 69 6f 6e 2e 00 46 6f 72 20 72 65 64 75 6e 64 61 6e 74 20 2f 20 61 63 74 69 76 65	ormation..For.redundant./.active
16460	2d 61 63 74 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 73 65 65 20 3a 72 65 66 3a	-active.configurations.see.:ref:
16480	60 65 78 61 6d 70 6c 65 73 2d 61 7a 75 72 65 2d 76 70 6e 2d 64 75 61 6c 2d 62 67 70 60 00 46 6f	`examples-azure-vpn-dual-bgp`.Fo
164a0	72 20 73 69 6d 70 6c 69 63 69 74 79 2c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 61 6e 64 20	r.simplicity,.configuration.and.
164c0	74 65 73 74 73 20 61 72 65 20 64 6f 6e 65 20 6f 6e 6c 79 20 75 73 69 6e 67 20 69 70 76 34 2c 20	tests.are.done.only.using.ipv4,.
164e0	61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 6e 20 64 6f	and.firewall.configuration.in.do
16500	6e 65 20 6f 6e 6c 79 20 6f 6e 20 6f 6e 65 20 72 6f 75 74 65 72 2e 00 46 6f 72 20 74 68 65 20 68	ne.only.on.one.router..For.the.h
16520	61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2c 20 72 65 70 6c 61 63 65 20 60 60 65 74 68 30 60 60	ardware.router,.replace.``eth0``
16540	20 77 69 74 68 20 60 60 62 6f 6e 64 30 60 60 2e 20 41 73 20 28 61 6c 6d 6f 73 74 29 20 65 76 65	.with.``bond0``..As.(almost).eve
16560	72 79 20 63 6f 6d 6d 61 6e 64 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 74 68 69 73 20 77 69	ry.command.is.identical,.this.wi
16580	6c 6c 20 6e 6f 74 20 62 65 20 73 70 65 63 69 66 69 65 64 20 75 6e 6c 65 73 73 20 64 69 66 66 65	ll.not.be.specified.unless.diffe
165a0	72 65 6e 74 20 74 68 69 6e 67 73 20 6e 65 65 64 20 74 6f 20 62 65 20 70 65 72 66 6f 72 6d 65 64	rent.things.need.to.be.performed
165c0	20 6f 6e 20 64 69 66 66 65 72 65 6e 74 20 68 6f 73 74 73 2e 00 46 72 6f 6d 20 44 61 74 61 63 65	.on.different.hosts..From.Datace
165e0	6e 74 65 72 20 2d 20 54 68 69 73 20 63 6f 6e 6e 65 63 74 73 20 69 6e 74 6f 20 70 6f 72 74 20 31	nter.-.This.connects.into.port.1
16600	20 6f 6e 20 62 6f 74 68 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 69 73 20 74 61 67 67 65 64	.on.both.switches,.and.is.tagged
16620	20 61 73 20 56 4c 41 4e 20 35 30 00 46 72 6f 6d 20 4d 61 6e 61 67 65 6d 65 6e 74 20 74 6f 20 4c	.as.VLAN.50.From.Management.to.L
16640	41 4e 31 2f 4c 41 4e 32 00 46 72 6f 6d 20 4d 61 6e 61 67 65 6d 65 6e 74 20 74 6f 20 4f 75 74 73	AN1/LAN2.From.Management.to.Outs
16660	69 64 65 20 28 66 61 69 6c 73 20 61 73 20 69 6e 74 65 6e 64 65 64 29 00 46 75 6c 6c 20 63 6f 6e	ide.(fails.as.intended).Full.con
16680	66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 61 6c 6c 20 64 65 76 69 63 65 73 00 47 52 45 3a	figuration.from.all.devices.GRE:
166a0	00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 4c 33 56 50 4e	.General.information.about.L3VPN
166c0	73 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 63 6f 6e 66	s.can.be.found.in.the.:ref:`conf
166e0	69 67 75 72 61 74 69 6f 6e 2f 76 72 66 2f 69 6e 64 65 78 3a 4c 33 56 50 4e 20 56 52 46 73 60 20	iguration/vrf/index:L3VPN.VRFs`.
16700	63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e	chapter..General.information.can
16720	20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 63 6f 6e 66 69 67 75 72 61	.be.found.in.the.:ref:`configura
16740	74 69 6f 6e 2f 76 72 66 2f 69 6e 64 65 78 3a 4c 33 56 50 4e 20 56 52 46 73 60 20 63 68 61 70 74	tion/vrf/index:L3VPN.VRFs`.chapt
16760	65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 66	er..General.information.can.be.f
16780	6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 72 6f 75 74 69 6e 67 2d 62 67 70 60 20 63	ound.in.the.:ref:`routing-bgp`.c
167a0	68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20	hapter..General.information.can.
167c0	62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 72 6f 75 74 69 6e 67 2d 6f 73	be.found.in.the.:ref:`routing-os
167e0	70 66 60 20 63 68 61 70 74 65 72 2e 00 48 61 72 64 77 61 72 65 00 48 61 72 64 77 61 72 65 20 52	pf`.chapter..Hardware.Hardware.R
16800	6f 75 74 65 72 20 2d 20 50 6f 72 74 20 38 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 48 65	outer.-.Port.8.of.each.switch.He
16820	72 65 20 69 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 6e 20 49 50 76 36 20 44 4d 5a 2d	re.is.an.example.of.an.IPv6.DMZ-
16840	57 41 4e 20 72 75 6c 65 73 65 74 2e 00 48 65 72 65 20 69 73 20 74 68 65 20 72 6f 75 74 69 6e 67	WAN.ruleset..Here.is.the.routing
16860	20 74 61 62 6c 65 73 20 73 68 6f 77 69 6e 67 20 74 68 65 20 4d 50 4c 53 20 73 65 67 6d 65 6e 74	.tables.showing.the.MPLS.segment
16880	20 72 6f 75 74 69 6e 67 20 6c 61 62 65 6c 20 6f 70 65 72 61 74 69 6f 6e 73 3a 00 48 65 72 65 20	.routing.label.operations:.Here.
168a0	77 65 20 73 65 74 20 74 68 65 20 70 72 65 66 69 78 20 74 6f 20 60 60 3a 3a 2f 36 34 60 60 20 74	we.set.the.prefix.to.``::/64``.t
168c0	6f 20 69 6e 64 69 63 61 74 65 20 61 64 76 65 72 74 69 73 69 6e 67 20 61 6e 79 20 2f 36 34 20 70	o.indicate.advertising.any./64.p
168e0	72 65 66 69 78 20 74 68 65 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67	refix.the.LAN.interface.is.assig
16900	6e 65 64 2e 00 48 65 72 65 20 77 65 20 75 73 65 20 74 68 65 20 70 72 65 66 69 78 20 74 6f 20 63	ned..Here.we.use.the.prefix.to.c
16920	6f 6e 66 69 67 75 72 65 20 74 68 65 20 61 64 64 72 65 73 73 20 6f 66 20 65 74 68 31 20 28 4c 41	onfigure.the.address.of.eth1.(LA
16940	4e 29 20 74 6f 20 66 6f 72 6d 20 60 60 3c 70 72 65 66 69 78 3e 3a 3a 36 34 60 60 2c 20 77 68 65	N).to.form.``<prefix>::64``,.whe
16960	72 65 20 60 60 36 34 60 60 20 69 73 20 68 65 78 61 64 65 63 69 6d 61 6c 20 6f 66 20 61 64 64 72	re.``64``.is.hexadecimal.of.addr
16980	65 73 73 20 31 30 30 2e 00 48 69 67 68 20 41 76 61 69 6c 61 62 69 6c 69 74 79 20 57 61 6c 6b 74	ess.100..High.Availability.Walkt
169a0	68 72 6f 75 67 68 00 48 6f 77 20 64 6f 65 73 20 69 74 20 77 6f 72 6b 3f 00 48 75 62 00 49 20 63	hrough.How.does.it.work?.Hub.I.c
169c0	68 6f 73 65 20 74 6f 20 72 75 6e 20 4f 53 50 46 20 61 73 20 74 68 65 20 49 47 50 20 28 49 6e 74	hose.to.run.OSPF.as.the.IGP.(Int
169e0	65 72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f 74 6f 63 6f 6c 29 2e 20 41 6c 6c 20 72 65 71	erior.Gateway.Protocol)..All.req
16a00	75 69 72 65 64 20 42 47 50 20 73 65 73 73 69 6f 6e 73 20 61 72 65 20 65 73 74 61 62 6c 69 73 68	uired.BGP.sessions.are.establish
16a20	65 64 20 76 69 61 20 61 20 64 75 6d 6d 79 20 69 6e 74 65 72 66 61 63 65 73 20 28 73 69 6d 69 6c	ed.via.a.dummy.interfaces.(simil
16a40	61 72 20 74 6f 20 74 68 65 20 6c 6f 6f 70 62 61 63 6b 2c 20 62 75 74 20 69 6e 20 4c 69 6e 75 78	ar.to.the.loopback,.but.in.Linux
16a60	20 79 6f 75 20 63 61 6e 20 68 61 76 65 20 6f 6e 6c 79 20 6f 6e 65 20 6c 6f 6f 70 62 61 63 6b 2c	.you.can.have.only.one.loopback,
16a80	20 77 68 69 6c 65 20 74 68 65 72 65 20 63 61 6e 20 62 65 20 6d 61 6e 79 20 64 75 6d 6d 79 20 69	.while.there.can.be.many.dummy.i
16aa0	6e 74 65 72 66 61 63 65 73 29 20 6f 6e 20 74 68 65 20 50 45 20 72 6f 75 74 65 72 73 2e 20 49 6e	nterfaces).on.the.PE.routers..In
16ac0	20 63 61 73 65 20 6f 66 20 61 20 6c 69 6e 6b 20 66 61 69 6c 75 72 65 2c 20 74 72 61 66 66 69 63	.case.of.a.link.failure,.traffic
16ae0	20 69 73 20 64 69 76 65 72 74 65 64 20 69 6e 20 74 68 65 20 6f 74 68 65 72 20 64 69 72 65 63 74	.is.diverted.in.the.other.direct
16b00	69 6f 6e 20 69 6e 20 74 68 69 73 20 74 72 69 61 6e 67 6c 65 20 73 65 74 75 70 20 61 6e 64 20 42	ion.in.this.triangle.setup.and.B
16b20	47 50 20 73 65 73 73 69 6f 6e 73 20 77 69 6c 6c 20 6e 6f 74 20 67 6f 20 64 6f 77 6e 2e 20 4f 6e	GP.sessions.will.not.go.down..On
16b40	65 20 63 6f 75 6c 64 20 65 76 65 6e 20 65 6e 61 62 6c 65 20 42 46 44 20 28 42 69 64 69 72 65 63	e.could.even.enable.BFD.(Bidirec
16b60	74 69 6f 6e 61 6c 20 46 6f 72 77 61 72 64 69 6e 67 20 44 65 74 65 63 74 69 6f 6e 29 20 6f 6e 20	tional.Forwarding.Detection).on.
16b80	74 68 65 20 6c 69 6e 6b 73 20 66 6f 72 20 61 20 66 61 73 74 65 72 20 66 61 69 6c 6f 76 65 72 20	the.links.for.a.faster.failover.
16ba0	61 6e 64 20 72 65 73 69 6c 69 65 6e 63 65 20 69 6e 20 74 68 65 20 6e 65 74 77 6f 72 6b 2e 00 49	and.resilience.in.the.network..I
16bc0	20 63 72 65 61 74 65 2f 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73	.create/configure.the.interfaces
16be0	20 66 69 72 73 74 2e 20 42 75 69 6c 64 20 6f 75 74 20 74 68 65 20 72 75 6c 65 73 65 74 73 20 66	.first..Build.out.the.rulesets.f
16c00	6f 72 20 65 61 63 68 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 77 68 69 63	or.each.zone-pair-direction.whic
16c20	68 20 69 6e 63 6c 75 64 65 73 20 61 74 20 6c 65 61 73 74 20 74 68 65 20 74 68 72 65 65 20 73 74	h.includes.at.least.the.three.st
16c40	61 74 65 20 72 75 6c 65 73 2e 20 54 68 65 6e 20 49 20 73 65 74 75 70 20 74 68 65 20 7a 6f 6e 65	ate.rules..Then.I.setup.the.zone
16c60	2d 70 6f 6c 69 63 69 65 73 2e 00 49 20 6e 61 6d 65 20 72 75 6c 65 20 73 65 74 73 20 74 6f 20 69	-policies..I.name.rule.sets.to.i
16c80	6e 64 69 63 61 74 65 20 77 68 69 63 68 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f	ndicate.which.zone-pair-directio
16ca0	6e 20 74 68 65 79 20 72 65 70 72 65 73 65 6e 74 2e 20 65 67 2e 20 5a 6f 6e 65 41 2d 5a 6f 6e 65	n.they.represent..eg..ZoneA-Zone
16cc0	42 20 6f 72 20 5a 6f 6e 65 42 2d 5a 6f 6e 65 41 2e 20 4c 41 4e 2d 44 4d 5a 2c 20 44 4d 5a 2d 4c	B.or.ZoneB-ZoneA..LAN-DMZ,.DMZ-L
16ce0	41 4e 2e 00 49 20 6e 61 6d 65 64 20 74 68 65 20 63 75 73 74 6f 6d 65 72 73 20 62 6c 75 65 2c 20	AN..I.named.the.customers.blue,.
16d00	72 65 64 20 61 6e 64 20 67 72 65 65 6e 20 77 68 69 63 68 20 69 73 20 63 6f 6d 6d 6f 6e 20 70 72	red.and.green.which.is.common.pr
16d20	61 63 74 69 63 65 20 69 6e 20 56 52 46 20 28 56 69 72 74 75 61 6c 20 52 6f 75 74 69 6e 67 20 61	actice.in.VRF.(Virtual.Routing.a
16d40	6e 64 20 46 6f 72 77 61 72 64 69 6e 67 29 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 73 63 65	nd.Forwarding).documentation.sce
16d60	6e 61 72 69 6f 73 2e 00 49 20 73 70 75 6e 20 75 70 20 61 20 6e 65 77 20 6c 61 62 20 69 6e 20 45	narios..I.spun.up.a.new.lab.in.E
16d80	56 45 2d 4e 47 2c 20 77 68 69 63 68 20 72 65 70 72 65 73 65 6e 74 73 20 74 68 69 73 20 61 73 20	VE-NG,.which.represents.this.as.
16da0	74 68 65 20 22 46 6f 6f 20 42 61 72 20 2d 20 53 65 72 76 69 63 65 20 50 72 6f 76 69 64 65 72 20	the."Foo.Bar.-.Service.Provider.
16dc0	49 6e 63 2e 22 20 74 68 61 74 20 68 61 73 20 33 20 70 6f 69 6e 74 73 20 6f 66 20 70 72 65 73 65	Inc.".that.has.3.points.of.prese
16de0	6e 63 65 20 28 50 6f 50 29 20 69 6e 20 72 61 6e 64 6f 6d 20 64 61 74 61 63 65 6e 74 65 72 73 2f	nce.(PoP).in.random.datacenters/
16e00	73 69 74 65 73 20 6e 61 6d 65 64 20 50 45 31 2c 20 50 45 32 2c 20 61 6e 64 20 50 45 33 2e 20 45	sites.named.PE1,.PE2,.and.PE3..E
16e20	61 63 68 20 50 6f 50 20 61 67 67 72 65 67 61 74 65 73 20 61 74 20 6c 65 61 73 74 20 74 77 6f 20	ach.PoP.aggregates.at.least.two.
16e40	63 75 73 74 6f 6d 65 72 73 2e 00 49 50 20 53 63 68 65 6d 61 00 49 50 2f 4d 50 4c 53 20 74 65 63	customers..IP.Schema.IP/MPLS.tec
16e60	68 6e 6f 6c 6f 67 79 20 69 73 20 77 69 64 65 6c 79 20 75 73 65 64 20 62 79 20 76 61 72 69 6f 75	hnology.is.widely.used.by.variou
16e80	73 20 73 65 72 76 69 63 65 20 70 72 6f 76 69 64 65 72 73 20 61 6e 64 20 6c 61 72 67 65 20 65 6e	s.service.providers.and.large.en
16ea0	74 65 72 70 72 69 73 65 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 61 63 68 69 65 76 65 20 62 65	terprises.in.order.to.achieve.be
16ec0	74 74 65 72 20 6e 65 74 77 6f 72 6b 20 73 63 61 6c 61 62 69 6c 69 74 79 2c 20 6d 61 6e 61 67 65	tter.network.scalability,.manage
16ee0	61 62 69 6c 69 74 79 20 61 6e 64 20 66 6c 65 78 69 62 69 6c 69 74 79 2e 20 49 74 20 61 6c 73 6f	ability.and.flexibility..It.also
16f00	20 70 72 6f 76 69 64 65 73 20 74 68 65 20 70 6f 73 73 69 62 69 6c 69 74 79 20 74 6f 20 64 65 6c	.provides.the.possibility.to.del
16f20	69 76 65 72 20 64 69 66 66 65 72 65 6e 74 20 73 65 72 76 69 63 65 73 20 66 6f 72 20 74 68 65 20	iver.different.services.for.the.
16f40	63 75 73 74 6f 6d 65 72 73 20 69 6e 20 61 20 73 65 61 6d 6c 65 73 73 20 6d 61 6e 6e 65 72 2e 20	customers.in.a.seamless.manner..
16f60	4c 61 79 65 72 20 33 20 56 50 4e 20 28 4c 33 56 50 4e 29 20 69 73 20 61 20 74 79 70 65 20 6f 66	Layer.3.VPN.(L3VPN).is.a.type.of
16f80	20 56 50 4e 20 6d 6f 64 65 20 74 68 61 74 20 69 73 20 62 75 69 6c 74 20 61 6e 64 20 64 65 6c 69	.VPN.mode.that.is.built.and.deli
16fa0	76 65 72 65 64 20 74 68 72 6f 75 67 68 20 4f 53 49 20 6c 61 79 65 72 20 33 20 6e 65 74 77 6f 72	vered.through.OSI.layer.3.networ
16fc0	6b 69 6e 67 20 74 65 63 68 6e 6f 6c 6f 67 69 65 73 2e 20 4f 66 74 65 6e 20 74 68 65 20 62 6f 72	king.technologies..Often.the.bor
16fe0	64 65 72 20 67 61 74 65 77 61 79 20 70 72 6f 74 6f 63 6f 6c 20 28 42 47 50 29 20 69 73 20 75 73	der.gateway.protocol.(BGP).is.us
17000	65 64 20 74 6f 20 73 65 6e 64 20 61 6e 64 20 72 65 63 65 69 76 65 20 56 50 4e 2d 72 65 6c 61 74	ed.to.send.and.receive.VPN-relat
17020	65 64 20 64 61 74 61 20 74 68 61 74 20 69 73 20 72 65 73 70 6f 6e 73 69 62 6c 65 20 66 6f 72 20	ed.data.that.is.responsible.for.
17040	74 68 65 20 63 6f 6e 74 72 6f 6c 20 70 6c 61 6e 65 2e 20 4c 33 56 50 4e 20 75 74 69 6c 69 7a 65	the.control.plane..L3VPN.utilize
17060	73 20 76 69 72 74 75 61 6c 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 66 6f 72 77 61 72 64 69 6e 67	s.virtual.routing.and.forwarding
17080	20 28 56 52 46 29 20 74 65 63 68 6e 69 71 75 65 73 20 74 6f 20 72 65 63 65 69 76 65 20 61 6e 64	.(VRF).techniques.to.receive.and
170a0	20 64 65 6c 69 76 65 72 20 75 73 65 72 20 64 61 74 61 20 61 73 20 77 65 6c 6c 20 61 73 20 73 65	.deliver.user.data.as.well.as.se
170c0	70 61 72 61 74 65 20 64 61 74 61 20 70 6c 61 6e 65 73 20 6f 66 20 74 68 65 20 65 6e 64 2d 75 73	parate.data.planes.of.the.end-us
170e0	65 72 73 2e 20 49 74 20 69 73 20 62 75 69 6c 74 20 75 73 69 6e 67 20 61 20 63 6f 6d 62 69 6e 61	ers..It.is.built.using.a.combina
17100	74 69 6f 6e 20 6f 66 20 49 50 2d 20 61 6e 64 20 4d 50 4c 53 2d 62 61 73 65 64 20 69 6e 66 6f 72	tion.of.IP-.and.MPLS-based.infor
17120	6d 61 74 69 6f 6e 2e 20 47 65 6e 65 72 61 6c 6c 79 2c 20 4c 33 56 50 4e 73 20 61 72 65 20 75 73	mation..Generally,.L3VPNs.are.us
17140	65 64 20 74 6f 20 73 65 6e 64 20 64 61 74 61 20 6f 6e 20 62 61 63 6b 2d 65 6e 64 20 56 50 4e 20	ed.to.send.data.on.back-end.VPN.
17160	69 6e 66 72 61 73 74 72 75 63 74 75 72 65 73 2c 20 73 75 63 68 20 61 73 20 66 6f 72 20 56 50 4e	infrastructures,.such.as.for.VPN
17180	20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 62 65 74 77 65 65 6e 20 64 61 74 61 20 63 65 6e 74 72 65	.connections.between.data.centre
171a0	73 2c 20 48 51 73 20 61 6e 64 20 62 72 61 6e 63 68 65 73 2e 00 49 50 53 65 63 20 63 6f 6e 66 69	s,.HQs.and.branches..IPSec.confi
171c0	67 75 72 61 74 69 6f 6e 3a 00 49 50 73 65 63 3a 00 49 50 76 34 20 4e 65 74 77 6f 72 6b 00 49 50	guration:.IPsec:.IPv4.Network.IP
171e0	76 36 20 4e 65 74 77 6f 72 6b 00 49 50 76 36 20 54 75 6e 6e 65 6c 00 49 53 49 53 2d 53 52 20 65	v6.Network.IPv6.Tunnel.ISIS-SR.e
17200	78 61 6d 70 6c 65 20 6e 65 74 77 6f 72 6b 00 49 53 49 53 2d 53 52 20 6e 65 74 77 6f 72 6b 00 49	xample.network.ISIS-SR.network.I
17220	53 50 00 49 66 20 74 68 65 20 63 6c 69 65 6e 74 20 69 73 20 63 6f 6e 6e 65 63 74 20 73 75 63 63	SP.If.the.client.is.connect.succ
17240	65 73 73 66 75 6c 6c 79 20 79 6f 75 20 63 61 6e 20 63 68 65 63 6b 20 74 68 65 20 6f 75 74 70 75	essfully.you.can.check.the.outpu
17260	74 20 77 69 74 68 00 49 66 20 77 65 20 6e 65 65 64 20 74 6f 20 72 65 74 72 69 65 76 65 20 69 6e	t.with.If.we.need.to.retrieve.in
17280	66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 61 20 73 70 65 63 69 66 69 63 20 68 6f 73 74 2f	formation.about.a.specific.host/
172a0	6e 65 74 77 6f 72 6b 20 69 6e 73 69 64 65 20 74 68 65 20 45 56 50 4e 20 6e 65 74 77 6f 72 6b 20	network.inside.the.EVPN.network.
172c0	77 65 20 6e 65 65 64 20 74 6f 20 72 75 6e 00 49 66 20 79 6f 75 20 61 72 65 20 66 6f 6c 6c 6f 77	we.need.to.run.If.you.are.follow
172e0	69 6e 67 20 74 68 72 6f 75 67 68 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 2c 20 69 74 20 69 73	ing.through.this.document,.it.is
17300	20 73 74 72 6f 6e 67 6c 79 20 73 75 67 67 65 73 74 65 64 20 79 6f 75 20 63 6f 6d 70 6c 65 74 65	.strongly.suggested.you.complete
17320	20 74 68 65 20 65 6e 74 69 72 65 20 64 6f 63 75 6d 65 6e 74 2c 20 4f 4e 4c 59 20 64 6f 69 6e 67	.the.entire.document,.ONLY.doing
17340	20 74 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 31 20 73 74 65 70 73 2c 20 61 6e 64 20	.the.virtual.router1.steps,.and.
17360	74 68 65 6e 20 63 6f 6d 65 20 62 61 63 6b 20 61 6e 64 20 77 61 6c 6b 20 74 68 72 6f 75 67 68 20	then.come.back.and.walk.through.
17380	69 74 20 41 47 41 49 4e 20 6f 6e 20 74 68 65 20 62 61 63 6b 75 70 20 68 61 72 64 77 61 72 65 20	it.AGAIN.on.the.backup.hardware.
173a0	72 6f 75 74 65 72 2e 00 49 66 20 79 6f 75 20 61 72 65 20 75 73 69 6e 67 20 61 20 49 50 76 36 20	router..If.you.are.using.a.IPv6.
173c0	74 75 6e 6e 65 6c 20 66 72 6f 6d 20 48 45 2e 6e 65 74 20 6f 72 20 73 6f 6d 65 6f 6e 65 20 65 6c	tunnel.from.HE.net.or.someone.el
173e0	73 65 2c 20 74 68 65 20 62 61 73 69 73 20 69 73 20 74 68 65 20 73 61 6d 65 20 65 78 63 65 70 74	se,.the.basis.is.the.same.except
17400	20 79 6f 75 20 68 61 76 65 20 74 77 6f 20 57 41 4e 20 69 6e 74 65 72 66 61 63 65 73 2e 20 4f 6e	.you.have.two.WAN.interfaces..On
17420	65 20 66 6f 72 20 76 34 20 61 6e 64 20 6f 6e 65 20 66 6f 72 20 76 36 2e 00 49 66 20 79 6f 75 20	e.for.v4.and.one.for.v6..If.you.
17440	75 73 65 20 61 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 69 74 73 65 6c 66 2c 20 79	use.a.routing.protocol.itself,.y
17460	6f 75 20 73 6f 6c 76 65 20 74 77 6f 20 70 72 6f 62 6c 65 6d 73 20 61 74 20 6f 6e 63 65 2e 20 54	ou.solve.two.problems.at.once..T
17480	68 69 73 20 69 73 20 6f 6e 6c 79 20 61 20 62 61 73 69 63 20 65 78 61 6d 70 6c 65 2c 20 61 6e 64	his.is.only.a.basic.example,.and
174a0	20 69 73 20 70 72 6f 76 69 64 65 64 20 61 73 20 61 20 73 74 61 72 74 69 6e 67 20 70 6f 69 6e 74	.is.provided.as.a.starting.point
174c0	2e 00 49 66 20 79 6f 75 72 20 63 6f 6d 70 75 74 65 72 20 69 73 20 6f 6e 20 74 68 65 20 4c 41 4e	..If.your.computer.is.on.the.LAN
174e0	20 61 6e 64 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 53 53 48 20 69 6e 74 6f 20 79 6f 75 72 20 56	.and.you.need.to.SSH.into.your.V
17500	79 4f 53 20 62 6f 78 2c 20 79 6f 75 20 77 6f 75 6c 64 20 6e 65 65 64 20 61 20 72 75 6c 65 20 74	yOS.box,.you.would.need.a.rule.t
17520	6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e 20 74 68 65 20 4c 41 4e 2d 4c 6f 63 61 6c 20 72 75 6c 65	o.allow.it.in.the.LAN-Local.rule
17540	73 65 74 2e 20 49 66 20 79 6f 75 20 77 61 6e 74 20 74 6f 20 61 63 63 65 73 73 20 61 20 77 65 62	set..If.you.want.to.access.a.web
17560	70 61 67 65 20 66 72 6f 6d 20 79 6f 75 72 20 56 79 4f 53 20 62 6f 78 2c 20 79 6f 75 20 6e 65 65	page.from.your.VyOS.box,.you.nee
17580	64 20 61 20 72 75 6c 65 20 74 6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e 20 74 68 65 20 4c 6f 63 61	d.a.rule.to.allow.it.in.the.Loca
175a0	6c 2d 4c 41 4e 20 72 75 6c 65 73 65 74 2e 00 49 6d 61 67 65 20 6e 61 6d 65 3a 20 76 79 6f 73 2d	l-LAN.ruleset..Image.name:.vyos-
175c0	31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 2d 61 6d 64 36 34 2e 69	1.4-rolling-202110310317-amd64.i
175e0	73 6f 00 49 6e 20 3a 76 79 74 61 73 6b 3a 60 54 32 31 39 39 60 20 74 68 65 20 73 79 6e 74 61 78	so.In.:vytask:`T2199`.the.syntax
17600	20 6f 66 20 74 68 65 20 7a 6f 6e 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 61 73 20 63	.of.the.zone.configuration.was.c
17620	68 61 6e 67 65 64 2e 20 54 68 65 20 7a 6f 6e 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6d	hanged..The.zone.configuration.m
17640	6f 76 65 64 20 66 72 6f 6d 20 60 60 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 7a 6f 6e 65 20 3c 6e 61	oved.from.``zone-policy.zone.<na
17660	6d 65 3e 60 60 20 74 6f 20 60 60 66 69 72 65 77 61 6c 6c 20 7a 6f 6e 65 20 3c 6e 61 6d 65 3e 60	me>``.to.``firewall.zone.<name>`
17680	60 2e 00 49 6e 20 56 79 4f 53 20 79 6f 75 20 6d 75 73 74 20 68 61 76 65 20 74 68 65 20 69 6e 74	`..In.VyOS.you.must.have.the.int
176a0	65 72 66 61 63 65 73 20 63 72 65 61 74 65 64 20 62 65 66 6f 72 65 20 79 6f 75 20 63 61 6e 20 61	erfaces.created.before.you.can.a
176c0	70 70 6c 79 20 69 74 20 74 6f 20 74 68 65 20 7a 6f 6e 65 20 61 6e 64 20 74 68 65 20 72 75 6c 65	pply.it.to.the.zone.and.the.rule
176e0	73 65 74 73 20 6d 75 73 74 20 62 65 20 63 72 65 61 74 65 64 20 70 72 69 6f 72 20 74 6f 20 61 70	sets.must.be.created.prior.to.ap
17700	70 6c 79 69 6e 67 20 69 74 20 74 6f 20 61 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 2e 00 49 6e 20 56	plying.it.to.a.zone-policy..In.V
17720	79 4f 53 2c 20 79 6f 75 20 68 61 76 65 20 74 6f 20 68 61 76 65 20 75 6e 69 71 75 65 20 52 75 6c	yOS,.you.have.to.have.unique.Rul
17740	65 73 65 74 20 6e 61 6d 65 73 2e 20 49 6e 20 74 68 65 20 65 76 65 6e 74 20 6f 66 20 6f 76 65 72	eset.names..In.the.event.of.over
17760	6c 61 70 2c 20 49 20 61 64 64 20 61 20 22 2d 36 22 20 74 6f 20 74 68 65 20 65 6e 64 20 6f 66 20	lap,.I.add.a."-6".to.the.end.of.
17780	76 36 20 72 75 6c 65 73 65 74 73 2e 20 65 67 2e 20 4c 41 4e 2d 44 4d 5a 2c 20 4c 41 4e 2d 44 4d	v6.rulesets..eg..LAN-DMZ,.LAN-DM
177a0	5a 2d 36 2e 20 54 68 69 73 20 61 6c 6c 6f 77 73 20 66 6f 72 20 65 61 63 68 20 61 75 74 6f 2d 63	Z-6..This.allows.for.each.auto-c
177c0	6f 6d 70 6c 65 74 69 6f 6e 20 61 6e 64 20 75 6e 69 71 75 65 6e 65 73 73 2e 00 49 6e 20 72 75 6c	ompletion.and.uniqueness..In.rul
177e0	65 73 2c 20 69 74 20 69 73 20 67 6f 6f 64 20 74 6f 20 6b 65 65 70 20 74 68 65 6d 20 6e 61 6d 65	es,.it.is.good.to.keep.them.name
17800	64 20 63 6f 6e 73 69 73 74 65 6e 74 6c 79 2e 20 41 73 20 74 68 65 20 6e 75 6d 62 65 72 20 6f 66	d.consistently..As.the.number.of
17820	20 72 75 6c 65 73 20 79 6f 75 20 68 61 76 65 20 67 72 6f 77 73 2c 20 74 68 65 20 6d 6f 72 65 20	.rules.you.have.grows,.the.more.
17840	63 6f 6e 73 69 73 74 65 6e 63 79 20 79 6f 75 20 68 61 76 65 2c 20 74 68 65 20 65 61 73 69 65 72	consistency.you.have,.the.easier
17860	20 79 6f 75 72 20 6c 69 66 65 20 77 69 6c 6c 20 62 65 2e 00 49 6e 20 74 68 65 20 61 62 6f 76 65	.your.life.will.be..In.the.above
17880	20 65 78 61 6d 70 6c 65 73 2c 20 31 2c 32 2c 66 66 66 66 20 61 72 65 20 61 6c 6c 20 63 68 6f 73	.examples,.1,2,ffff.are.all.chos
178a0	65 6e 20 62 79 20 79 6f 75 2e 20 59 6f 75 20 63 61 6e 20 75 73 65 20 31 2d 66 66 66 66 20 28 31	en.by.you..You.can.use.1-ffff.(1
178c0	2d 36 35 35 33 35 29 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 6f 6e 20 74 68 65 20 72 6f 75 74	-65535)..In.the.end,.on.the.rout
178e0	65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 77 65 20 77 69 6c 6c 20 73 65 74 20 6f 75 74 67 6f	er....VyOS2....we.will.set.outgo
17900	69 6e 67 20 62 61 6e 64 77 69 64 74 68 20 6c 69 6d 69 74 73 20 62 65 74 77 65 65 6e 20 74 68 65	ing.bandwidth.limits.between.the
17920	20 e2 80 9c 56 79 4f 53 33 e2 80 9d 20 61 6e 64 20 e2 80 9c 56 79 4f 53 31 e2 80 9d 20 72 6f 75	....VyOS3....and....VyOS1....rou
17940	74 65 72 73 2e 20 4c 65 74 27 73 20 73 65 74 20 61 20 6c 69 6d 69 74 20 66 6f 72 20 49 50 20 31	ters..Let's.set.a.limit.for.IP.1
17960	30 2e 31 2e 31 2e 31 30 30 20 3d 20 35 20 4d 62 70 73 28 54 78 29 2e 20 57 65 20 77 69 6c 6c 20	0.1.1.100.=.5.Mbps(Tx)..We.will.
17980	63 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 20 6f 66 20 74 68 65 20 77 6f 72 6b 20 77 69 74	check.the.result.of.the.work.wit
179a0	68 20 74 68 65 20 68 65 6c 70 20 6f 66 20 74 68 65 20 e2 80 9c 69 50 65 72 66 e2 80 9d 20 75 74	h.the.help.of.the....iPerf....ut
179c0	69 6c 69 74 79 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 77 65 20 77 69 6c 6c 20 63 6f 6e 66 69	ility..In.the.end,.we.will.confi
179e0	67 75 72 65 20 74 68 65 20 74 72 61 66 66 69 63 20 73 68 61 70 65 72 20 75 73 69 6e 67 20 51 6f	gure.the.traffic.shaper.using.Qo
17a00	53 20 6d 65 63 68 61 6e 69 73 6d 73 20 6f 6e 20 74 68 65 20 e2 80 9c 56 59 4f 53 32 e2 80 9d 20	S.mechanisms.on.the....VYOS2....
17a20	72 6f 75 74 65 72 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 79 6f 75 20 77 69 6c 6c 20 65 6e 64	router..In.the.end,.you.will.end
17a40	20 75 70 20 77 69 74 68 20 73 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 20 74 68 69 73 20 63 6f 6e	.up.with.something.like.this.con
17a60	66 69 67 2e 20 49 20 74 6f 6f 6b 20 6f 75 74 20 65 76 65 72 79 74 68 69 6e 67 20 62 75 74 20 74	fig..I.took.out.everything.but.t
17a80	68 65 20 46 69 72 65 77 61 6c 6c 2c 20 49 6e 74 65 72 66 61 63 65 73 2c 20 61 6e 64 20 7a 6f 6e	he.Firewall,.Interfaces,.and.zon
17aa0	65 2d 70 6f 6c 69 63 79 20 73 65 63 74 69 6f 6e 73 2e 20 49 74 20 69 73 20 6c 6f 6e 67 20 65 6e	e-policy.sections..It.is.long.en
17ac0	6f 75 67 68 20 61 73 20 69 73 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 79 6f 75 27 6c 6c 20 67	ough.as.is..In.the.end,.you'll.g
17ae0	65 74 20 61 20 70 6f 77 65 72 66 75 6c 20 69 6e 73 74 72 75 6d 65 6e 74 20 66 6f 72 20 6d 6f 6e	et.a.powerful.instrument.for.mon
17b00	69 74 6f 72 69 6e 67 20 74 68 65 20 56 79 4f 53 20 73 79 73 74 65 6d 73 2e 00 49 6e 20 74 68 65	itoring.the.VyOS.systems..In.the
17b20	20 6e 65 78 74 20 63 68 61 70 74 65 72 20 6f 66 20 74 68 65 20 65 78 61 6d 70 6c 65 2c 20 77 65	.next.chapter.of.the.example,.we
17b40	27 6c 6c 20 75 73 65 20 74 68 65 20 41 6e 73 69 62 6c 65 20 77 69 74 68 20 6a 69 6e 6a 61 32 20	'll.use.the.Ansible.with.jinja2.
17b60	74 65 6d 70 6c 61 74 65 73 20 61 6e 64 20 76 61 72 69 61 62 6c 65 73 2e 00 49 6e 20 74 68 69 73	templates.and.variables..In.this
17b80	20 63 61 73 65 2c 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 20 68 61 73 20 61	.case,.the.hardware.router.has.a
17ba0	20 64 69 66 66 65 72 65 6e 74 20 49 50 2c 20 73 6f 20 69 74 20 77 6f 75 6c 64 20 62 65 00 49 6e	.different.IP,.so.it.would.be.In
17bc0	20 74 68 69 73 20 63 61 73 65 2c 20 77 65 20 61 72 65 20 73 65 74 74 69 6e 67 20 74 68 65 20 76	.this.case,.we.are.setting.the.v
17be0	36 20 72 75 6c 65 73 65 74 20 74 68 61 74 20 72 65 70 72 65 73 65 6e 74 73 20 74 72 61 66 66 69	6.ruleset.that.represents.traffi
17c00	63 20 73 6f 75 72 63 65 64 20 66 72 6f 6d 20 74 68 65 20 4c 41 4e 2c 20 64 65 73 74 69 6e 65 64	c.sourced.from.the.LAN,.destined
17c20	20 66 6f 72 20 74 68 65 20 44 4d 5a 2e 20 42 65 63 61 75 73 65 20 74 68 65 20 7a 6f 6e 65 2d 70	.for.the.DMZ..Because.the.zone-p
17c40	6f 6c 69 63 79 20 66 69 72 65 77 61 6c 6c 20 73 79 6e 74 61 78 20 69 73 20 61 20 6c 69 74 74 6c	olicy.firewall.syntax.is.a.littl
17c60	65 20 61 77 6b 77 61 72 64 2c 20 49 20 6b 65 65 70 20 69 74 20 73 74 72 61 69 67 68 74 20 62 79	e.awkward,.I.keep.it.straight.by
17c80	20 74 68 69 6e 6b 69 6e 67 20 6f 66 20 69 74 20 62 61 63 6b 77 61 72 64 73 2e 00 49 6e 20 74 68	.thinking.of.it.backwards..In.th
17ca0	69 73 20 63 61 73 65 2c 20 77 65 27 6c 6c 20 74 72 79 20 74 6f 20 6d 61 6b 65 20 61 20 73 69 6d	is.case,.we'll.try.to.make.a.sim
17cc0	70 6c 65 20 6c 61 62 20 75 73 69 6e 67 20 51 6f 53 20 61 6e 64 20 74 68 65 20 67 65 6e 65 72 61	ple.lab.using.QoS.and.the.genera
17ce0	6c 20 61 62 69 6c 69 74 79 20 6f 66 20 74 68 65 20 56 79 4f 53 20 73 79 73 74 65 6d 2e 20 57 65	l.ability.of.the.VyOS.system..We
17d00	20 72 65 63 6f 6d 6d 65 6e 64 20 79 6f 75 20 74 6f 20 67 6f 20 74 68 72 6f 75 67 68 20 74 68 65	.recommend.you.to.go.through.the
17d20	20 6d 61 69 6e 20 61 72 74 69 63 6c 65 20 61 62 6f 75 74 20 60 51 6f 53 20 3c 68 74 74 70 73 3a	.main.article.about.`QoS.<https:
17d40	2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f 6e 66 69 67 75	//docs.vyos.io/en/latest/configu
17d60	72 61 74 69 6f 6e 2f 74 72 61 66 66 69 63 70 6f 6c 69 63 79 2f 69 6e 64 65 78 2e 68 74 6d 6c 3e	ration/trafficpolicy/index.html>
17d80	60 5f 20 66 69 72 73 74 2e 00 49 6e 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 2c 20 77 65 20 68	`_.first..In.this.document,.we.h
17da0	61 76 65 20 62 65 65 6e 20 61 6c 6c 6f 63 61 74 65 64 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32	ave.been.allocated.203.0.113.0/2
17dc0	34 20 62 79 20 6f 75 72 20 75 70 73 74 72 65 61 6d 20 70 72 6f 76 69 64 65 72 2c 20 77 68 69 63	4.by.our.upstream.provider,.whic
17de0	68 20 77 65 20 61 72 65 20 70 75 62 6c 69 73 68 69 6e 67 20 6f 6e 20 56 4c 41 4e 31 30 30 2e 00	h.we.are.publishing.on.VLAN100..
17e00	49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 4f 70 65 6e 56 50 4e 20 77 69 6c 6c 20 62 65 20	In.this.example.OpenVPN.will.be.
17e20	73 65 74 75 70 20 77 69 74 68 20 61 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65 20	setup.with.a.client.certificate.
17e40	61 6e 64 20 75 73 65 72 6e 61 6d 65 20 2f 20 70 61 73 73 77 6f 72 64 20 61 75 74 68 65 6e 74 69	and.username./.password.authenti
17e60	63 61 74 69 6f 6e 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 74 77 6f 20 4c 41 4e 20	cation..In.this.example.two.LAN.
17e80	69 6e 74 65 72 66 61 63 65 73 20 65 78 69 73 74 20 69 6e 20 64 69 66 66 65 72 65 6e 74 20 73 75	interfaces.exist.in.different.su
17ea0	62 6e 65 74 73 20 69 6e 73 74 65 61 64 20 6f 66 20 6f 6e 65 20 6c 69 6b 65 20 69 6e 20 74 68 65	bnets.instead.of.one.like.in.the
17ec0	20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 73 3a 00 49 6e 20 74 68 69 73 20 65 78 61 6d	.previous.examples:.In.this.exam
17ee0	70 6c 65 20 77 65 20 68 61 76 65 20 34 20 7a 6f 6e 65 73 2e 20 4c 41 4e 2c 20 57 41 4e 2c 20 44	ple.we.have.4.zones..LAN,.WAN,.D
17f00	4d 5a 2c 20 4c 6f 63 61 6c 2e 20 54 68 65 20 6c 6f 63 61 6c 20 7a 6f 6e 65 20 69 73 20 74 68 65	MZ,.Local..The.local.zone.is.the
17f20	20 66 69 72 65 77 61 6c 6c 20 69 74 73 65 6c 66 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c	.firewall.itself..In.this.exampl
17f40	65 20 77 65 20 75 73 65 20 56 79 4f 53 20 31 2e 35 20 61 73 20 4c 4e 53 20 61 6e 64 20 43 69 73	e.we.use.VyOS.1.5.as.LNS.and.Cis
17f60	63 6f 20 49 4f 53 20 61 73 20 4c 41 43 2e 20 41 6c 6c 20 75 73 65 72 73 20 77 69 74 68 20 64 6f	co.IOS.as.LAC..All.users.with.do
17f80	6d 61 69 6e 20 2a 2a 76 79 6f 73 2e 69 6f 2a 2a 20 77 69 6c 6c 20 62 65 20 74 75 6e 6e 65 6c 65	main.**vyos.io**.will.be.tunnele
17fa0	64 20 74 6f 20 4c 4e 53 20 76 69 61 20 4c 32 54 50 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70	d.to.LNS.via.L2TP..In.this.examp
17fc0	6c 65 2c 20 65 74 68 30 20 69 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 69 6e 74 65 72 66 61 63	le,.eth0.is.the.primary.interfac
17fe0	65 20 61 6e 64 20 65 74 68 31 20 69 73 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 69 6e 74 65	e.and.eth1.is.the.secondary.inte
18000	72 66 61 63 65 2e 20 54 6f 20 70 72 6f 76 69 64 65 20 73 69 6d 70 6c 65 20 66 61 69 6c 6f 76 65	rface..To.provide.simple.failove
18020	72 20 66 75 6e 63 74 69 6f 6e 61 6c 69 74 79 2e 20 49 66 20 65 74 68 30 20 66 61 69 6c 73 2c 20	r.functionality..If.eth0.fails,.
18040	65 74 68 31 20 74 61 6b 65 73 20 6f 76 65 72 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65	eth1.takes.over..In.this.example
18060	2c 20 77 65 20 77 69 6c 6c 20 73 65 74 20 75 70 20 61 20 73 69 6d 70 6c 65 20 75 73 65 20 6f 66	,.we.will.set.up.a.simple.use.of
18080	20 41 6e 73 69 62 6c 65 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 6d 75 6c 74 69 70 6c 65 20 56	.Ansible.to.configure.multiple.V
180a0	79 6f 53 20 72 6f 75 74 65 72 73 2e 20 57 65 20 68 61 76 65 20 66 6f 75 72 20 70 72 65 2d 63 6f	yoS.routers..We.have.four.pre-co
180c0	6e 66 69 67 75 72 65 64 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 74 68 69 73 20 63 6f 6e 66 69	nfigured.routers.with.this.confi
180e0	67 75 72 61 74 69 6f 6e 3a 00 49 6e 20 74 68 69 73 20 6c 61 62 20 77 65 20 75 73 65 20 57 69 6e	guration:.In.this.lab.we.use.Win
18100	64 6f 77 73 20 50 50 50 6f 45 20 63 6c 69 65 6e 74 2e 00 49 6e 62 6f 75 6e 64 20 57 41 4e 20 63	dows.PPPoE.client..Inbound.WAN.c
18120	6f 6e 6e 65 63 74 20 74 6f 20 44 4d 5a 20 68 6f 73 74 2e 00 49 6e 66 6f 72 6d 61 74 69 6f 6e 20	onnect.to.DMZ.host..Information.
18140	61 62 6f 75 74 20 45 74 68 65 72 6e 65 74 20 56 69 72 74 75 61 6c 20 50 72 69 76 61 74 65 20 4e	about.Ethernet.Virtual.Private.N
18160	65 74 77 6f 72 6b 73 00 49 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 70 72 65 66 69 78	etworks.Information.about.prefix
18180	2d 73 69 64 20 61 6e 64 20 6c 61 62 65 6c 2d 6f 70 65 72 61 74 69 6f 6e 20 66 72 6f 6d 20 56 79	-sid.and.label-operation.from.Vy
181a0	4f 53 00 49 6e 73 74 61 6c 6c 20 74 68 65 20 41 6e 73 69 62 6c 65 3a 00 49 6e 73 74 61 6c 6c 20	OS.Install.the.Ansible:.Install.
181c0	74 68 65 20 70 61 72 61 6d 69 6b 6f 3a 00 49 6e 74 65 72 2d 56 52 46 20 52 6f 75 74 69 6e 67 20	the.paramiko:.Inter-VRF.Routing.
181e0	6f 76 65 72 20 56 52 46 20 4c 69 74 65 00 49 6e 74 65 72 2d 56 52 46 20 72 6f 75 74 69 6e 67 20	over.VRF.Lite.Inter-VRF.routing.
18200	69 73 20 61 20 77 65 6c 6c 2d 6b 6e 6f 77 6e 20 73 6f 6c 75 74 69 6f 6e 20 74 6f 20 61 64 64 72	is.a.well-known.solution.to.addr
18220	65 73 73 20 63 6f 6d 70 6c 65 78 20 72 6f 75 74 69 6e 67 20 73 63 65 6e 61 72 69 6f 73 20 74 68	ess.complex.routing.scenarios.th
18240	61 74 20 65 6e 61 62 6c 65 20 2d 69 6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61 79 2d 20 74 6f 20	at.enable.-in.a.dynamic.way-.to.
18260	6c 65 61 6b 20 72 6f 75 74 65 73 20 62 65 74 77 65 65 6e 20 56 52 46 73 2e 20 49 73 20 72 65 63	leak.routes.between.VRFs..Is.rec
18280	6f 6d 6d 65 6e 64 65 64 20 74 6f 20 74 61 6b 65 20 73 70 65 63 69 61 6c 20 63 6f 6e 73 69 64 65	ommended.to.take.special.conside
182a0	72 61 74 69 6f 6e 20 77 68 69 6c 65 20 64 65 73 69 67 6e 69 6e 67 20 72 6f 75 74 65 2d 74 61 72	ration.while.designing.route-tar
182c0	67 65 74 73 20 61 6e 64 20 69 74 73 20 61 70 70 6c 69 63 61 74 69 6f 6e 20 61 73 20 69 74 20 63	gets.and.its.application.as.it.c
182e0	61 6e 20 6d 69 6e 69 6d 69 7a 65 20 66 75 74 75 72 65 20 69 6e 74 65 72 76 65 6e 74 69 6f 6e 73	an.minimize.future.interventions
18300	20 77 68 69 6c 65 20 63 72 65 61 74 69 6e 67 20 61 20 6e 65 77 20 56 52 46 20 77 69 6c 6c 20 61	.while.creating.a.new.VRF.will.a
18320	75 74 6f 6d 61 74 69 63 61 6c 6c 79 20 74 61 6b 65 20 74 68 65 20 64 65 73 69 72 65 64 20 65 66	utomatically.take.the.desired.ef
18340	66 65 63 74 20 69 6e 20 69 74 73 20 70 72 6f 70 61 67 61 74 69 6f 6e 2e 00 49 6e 74 65 72 66 61	fect.in.its.propagation..Interfa
18360	63 65 20 61 6e 64 20 72 6f 75 74 69 6e 67 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 6e	ce.and.routing.configuration:.In
18380	74 65 72 6e 61 6c 20 4e 65 74 77 6f 72 6b 00 49 6e 74 65 72 6e 65 74 00 49 6e 74 65 72 6e 65 74	ternal.Network.Internet.Internet
183a0	20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 32 35 00 49 6e 74 65	.-.192.168.200.100.-.TCP/25.Inte
183c0	72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 34 34 33	rnet.-.192.168.200.100.-.TCP/443
183e0	00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43	.Internet.-.192.168.200.100.-.TC
18400	50 2f 35 33 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20	P/53.Internet.-.192.168.200.100.
18420	2d 20 54 43 50 2f 38 30 00 49 74 20 69 73 20 61 73 73 75 6d 65 64 20 74 68 61 74 20 74 68 65 20	-.TCP/80.It.is.assumed.that.the.
18440	72 6f 75 74 65 72 73 20 70 72 6f 76 69 64 65 64 20 62 79 20 75 70 73 74 72 65 61 6d 20 61 72 65	routers.provided.by.upstream.are
18460	20 63 61 70 61 62 6c 65 20 6f 66 20 61 63 74 69 6e 67 20 61 73 20 61 20 64 65 66 61 75 6c 74 20	.capable.of.acting.as.a.default.
18480	72 6f 75 74 65 72 2c 20 61 64 64 20 74 68 61 74 20 61 73 20 61 20 73 74 61 74 69 63 20 72 6f 75	router,.add.that.as.a.static.rou
184a0	74 65 2e 00 49 74 20 69 73 20 67 6f 6f 64 20 70 72 61 63 74 69 63 65 20 74 6f 20 6c 6f 67 20 62	te..It.is.good.practice.to.log.b
184c0	6f 74 68 20 61 63 63 65 70 74 65 64 20 61 6e 64 20 64 65 6e 69 65 64 20 74 72 61 66 66 69 63 2e	oth.accepted.and.denied.traffic.
184e0	20 49 74 20 63 61 6e 20 73 61 76 65 20 79 6f 75 20 73 69 67 6e 69 66 69 63 61 6e 74 20 68 65 61	.It.can.save.you.significant.hea
18500	64 61 63 68 65 73 20 77 68 65 6e 20 74 72 79 69 6e 67 20 74 6f 20 74 72 6f 75 62 6c 65 73 68 6f	daches.when.trying.to.troublesho
18520	6f 74 20 61 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 73 73 75 65 2e 00 49 74 20 77 69 6c 6c	ot.a.connectivity.issue..It.will
18540	20 6c 6f 6f 6b 20 73 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 20 74 68 69 73 3a 00 49 74 27 73 20	.look.something.like.this:.It's.
18560	69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 6e 6f 74 65 20 74 68 61 74 20 61 6c 6c 20 79 6f 75 72 20	important.to.note.that.all.your.
18580	65 78 69 73 74 69 6e 67 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 77 69 6c 6c 20 62 65 20	existing.configurations.will.be.
185a0	6d 69 67 72 61 74 65 64 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 20 6f 6e 20 69 6d 61 67 65 20	migrated.automatically.on.image.
185c0	75 70 67 72 61 64 65 2e 20 4e 6f 74 68 69 6e 67 20 74 6f 20 64 6f 20 6f 6e 20 79 6f 75 72 20 73	upgrade..Nothing.to.do.on.your.s
185e0	69 64 65 2e 00 4b 65 65 70 20 6e 65 74 77 6f 72 6b 73 20 69 73 6f 6c 61 74 65 64 20 69 73 20 2d	ide..Keep.networks.isolated.is.-
18600	69 6e 20 67 65 6e 65 72 61 6c 2d 20 61 20 67 6f 6f 64 20 70 72 69 6e 63 69 70 6c 65 2c 20 62 75	in.general-.a.good.principle,.bu
18620	74 20 74 68 65 72 65 20 61 72 65 20 63 61 73 65 73 20 77 68 65 72 65 20 79 6f 75 20 6d 69 67 68	t.there.are.cases.where.you.migh
18640	74 20 6e 65 65 64 20 74 68 61 74 20 73 6f 6d 65 20 6e 65 74 77 6f 72 6b 20 63 61 6e 20 61 63 63	t.need.that.some.network.can.acc
18660	65 73 73 20 6f 74 68 65 72 20 69 6e 20 61 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 2e 00 4c 33	ess.other.in.a.different.VRF..L3
18680	56 50 4e 20 45 56 50 4e 20 77 69 74 68 20 56 79 4f 53 00 4c 33 56 50 4e 20 45 56 50 4e 20 77 69	VPN.EVPN.with.VyOS.L3VPN.EVPN.wi
186a0	74 68 20 56 79 4f 53 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 4c 33 56 50 4e 20 63 6f 6e	th.VyOS.topology.image.L3VPN.con
186c0	66 69 67 75 72 61 74 69 6f 6e 20 70 61 72 61 6d 65 74 65 72 73 20 74 61 62 6c 65 3a 00 4c 33 56	figuration.parameters.table:.L3V
186e0	50 4e 20 66 6f 72 20 48 75 62 2d 61 6e 64 2d 53 70 6f 6b 65 20 63 6f 6e 6e 65 63 74 69 76 69 74	PN.for.Hub-and-Spoke.connectivit
18700	79 20 77 69 74 68 20 56 79 4f 53 00 4c 41 43 00 4c 41 4e 20 31 00 4c 41 4e 20 32 00 4c 41 4e 20	y.with.VyOS.LAC.LAN.1.LAN.2.LAN.
18720	43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 4c 41 4e 20 61 6e 64 20 44 4d 5a 20 68 6f 73 74 73 20	Configuration.LAN.and.DMZ.hosts.
18740	68 61 76 65 20 62 61 73 69 63 20 6f 75 74 62 6f 75 6e 64 20 61 63 63 65 73 73 3a 20 57 65 62 2c	have.basic.outbound.access:.Web,
18760	20 46 54 50 2c 20 53 53 48 2e 00 4c 41 4e 20 63 61 6e 20 61 63 63 65 73 73 20 44 4d 5a 20 72 65	.FTP,.SSH..LAN.can.access.DMZ.re
18780	73 6f 75 72 63 65 73 2e 00 4c 41 4e 2c 20 57 41 4e 2c 20 44 4d 5a 2c 20 6c 6f 63 61 6c 20 61 6e	sources..LAN,.WAN,.DMZ,.local.an
187a0	64 20 54 55 4e 20 28 74 75 6e 6e 65 6c 29 00 4c 41 4e 31 00 4c 41 4e 31 20 74 6f 20 4c 41 4e 32	d.TUN.(tunnel).LAN1.LAN1.to.LAN2
187c0	00 4c 41 4e 31 20 74 6f 20 4f 75 74 73 69 64 65 00 4c 41 4e 32 00 4c 4e 53 00 4c 65 74 e2 80 99	.LAN1.to.Outside.LAN2.LNS.Let...
187e0	73 20 63 68 65 63 6b 20 49 50 76 34 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 4d 50 4c 53 20 69 6e	s.check.IPv4.routing.and.MPLS.in
18800	66 6f 72 6d 61 74 69 6f 6e 20 6f 6e 20 70 72 6f 76 69 64 65 72 20 6e 6f 64 65 73 20 28 73 61 6d	formation.on.provider.nodes.(sam
18820	65 20 70 72 6f 63 65 64 75 72 65 20 66 6f 72 20 61 6c 6c 20 50 20 6e 6f 64 65 73 29 3a 00 4c 65	e.procedure.for.all.P.nodes):.Le
18840	74 e2 80 99 73 20 73 61 79 20 77 65 20 68 61 76 65 20 61 20 72 65 71 75 69 72 65 6d 65 6e 74 20	t...s.say.we.have.a.requirement.
18860	74 6f 20 68 61 76 65 20 6d 75 6c 74 69 70 6c 65 20 6e 65 74 77 6f 72 6b 73 2e 00 4c 6f 63 61 6c	to.have.multiple.networks..Local
18880	20 73 75 62 6e 65 74 73 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 72 65 61 63 68	.subnets.should.be.able.to.reach
188a0	20 69 6e 74 65 72 6e 65 74 20 75 73 69 6e 67 20 73 6f 75 72 63 65 20 6e 61 74 2e 00 4d 50 2d 42	.internet.using.source.nat..MP-B
188c0	47 50 20 6f 72 20 4d 75 6c 74 69 50 72 6f 74 6f 63 6f 6c 20 42 47 50 20 69 6e 74 72 6f 64 75 63	GP.or.MultiProtocol.BGP.introduc
188e0	65 73 20 74 77 6f 20 6d 61 69 6e 20 63 6f 6e 63 65 70 74 73 20 74 6f 20 73 6f 6c 76 65 20 74 68	es.two.main.concepts.to.solve.th
18900	69 73 20 6c 69 6d 69 74 61 74 69 6f 6e 3a 20 2d 20 52 6f 75 74 65 20 44 69 73 74 69 6e 67 75 69	is.limitation:.-.Route.Distingui
18920	73 68 65 72 20 28 52 44 29 3a 20 49 73 20 75 73 65 64 20 74 6f 20 64 69 73 74 69 6e 67 75 69 73	sher.(RD):.Is.used.to.distinguis
18940	68 20 62 65 74 77 65 65 6e 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 e2 80 93 63 61 6c 6c	h.between.different.VRFs....call
18960	65 64 20 56 50 4e 73 2d 20 69 6e 73 69 64 65 20 74 68 65 20 42 47 50 20 50 72 6f 63 65 73 73 2e	ed.VPNs-.inside.the.BGP.Process.
18980	20 54 68 65 20 52 44 20 69 73 20 61 70 70 65 6e 64 65 64 20 74 6f 20 65 61 63 68 20 49 50 76 34	.The.RD.is.appended.to.each.IPv4
189a0	20 4e 65 74 77 6f 72 6b 20 74 68 61 74 20 69 73 20 61 64 76 65 72 74 69 73 65 64 20 69 6e 74 6f	.Network.that.is.advertised.into
189c0	20 42 47 50 20 66 6f 72 20 74 68 61 74 20 56 50 4e 20 6d 61 6b 69 6e 67 20 69 74 20 61 20 75 6e	.BGP.for.that.VPN.making.it.a.un
189e0	69 71 75 65 20 56 50 4e 76 34 20 72 6f 75 74 65 2e 20 2d 20 52 6f 75 74 65 20 54 61 72 67 65 74	ique.VPNv4.route..-.Route.Target
18a00	20 28 52 54 29 3a 20 54 68 69 73 20 69 73 20 61 6e 20 65 78 74 65 6e 64 65 64 20 42 47 50 20 63	.(RT):.This.is.an.extended.BGP.c
18a20	6f 6d 6d 75 6e 69 74 79 20 61 70 70 65 6e 64 20 74 6f 20 74 68 65 20 56 50 4e 76 34 20 72 6f 75	ommunity.append.to.the.VPNv4.rou
18a40	74 65 20 69 6e 20 74 68 65 20 49 6d 70 6f 72 74 2f 45 78 70 6f 72 74 20 70 72 6f 63 65 73 73 2e	te.in.the.Import/Export.process.
18a60	20 57 68 65 6e 20 61 20 72 6f 75 74 65 20 70 61 73 73 65 73 20 66 72 6f 6d 20 74 68 65 20 56 52	.When.a.route.passes.from.the.VR
18a80	46 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 6e 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f	F.routing.table.into.the.BGP.pro
18aa0	63 65 73 73 20 69 74 20 77 69 6c 6c 20 61 64 64 20 74 68 65 20 63 6f 6e 66 69 67 75 72 65 64 20	cess.it.will.add.the.configured.
18ac0	65 78 70 6f 72 74 20 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 28 69 65 73 29 20 66	export.extended.community(ies).f
18ae0	6f 72 20 74 68 61 74 20 56 50 4e 2e 20 57 68 65 6e 20 74 68 61 74 20 72 6f 75 74 65 20 6e 65 65	or.that.VPN..When.that.route.nee
18b00	64 73 20 74 6f 20 67 6f 20 66 72 6f 6d 20 42 47 50 20 69 6e 74 6f 20 74 68 65 20 56 52 46 20 72	ds.to.go.from.BGP.into.the.VRF.r
18b20	6f 75 74 69 6e 67 20 74 61 62 6c 65 20 77 69 6c 6c 20 6f 6e 6c 79 20 70 61 73 73 20 69 66 20 74	outing.table.will.only.pass.if.t
18b40	68 61 74 20 67 69 76 65 6e 20 56 50 4e 20 69 6d 70 6f 72 74 20 70 6f 6c 69 63 79 20 6d 61 74 63	hat.given.VPN.import.policy.matc
18b60	68 65 73 20 61 6e 79 20 6f 66 20 74 68 65 20 61 70 70 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74	hes.any.of.the.appended.communit
18b80	79 28 69 65 73 29 20 69 6e 74 6f 20 74 68 61 74 20 70 72 65 66 69 78 2e 00 4d 61 69 6e 20 72 75	y(ies).into.that.prefix..Main.ru
18ba0	6c 65 73 3a 00 4d 61 6b 65 20 73 75 72 65 20 79 6f 75 20 63 61 6e 20 70 69 6e 67 20 31 30 2e 32	les:.Make.sure.you.can.ping.10.2
18bc0	35 34 2e 36 30 2e 31 20 61 6e 64 20 2e 32 20 66 72 6f 6d 20 62 6f 74 68 20 72 6f 75 74 65 72 73	54.60.1.and..2.from.both.routers
18be0	2e 00 4d 61 6e 61 67 65 6d 65 6e 74 00 4d 61 6e 61 67 65 6d 65 6e 74 20 56 52 46 00 4d 61 6e 79	..Management.Management.VRF.Many
18c00	20 6f 74 68 65 72 20 48 79 70 65 72 76 69 73 6f 72 73 20 64 6f 20 74 68 69 73 2c 20 61 6e 64 20	.other.Hypervisors.do.this,.and.
18c20	49 27 6d 20 68 6f 70 69 6e 67 20 74 68 61 74 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77 69	I'm.hoping.that.this.document.wi
18c40	6c 6c 20 62 65 20 65 78 70 61 6e 64 65 64 20 74 6f 20 64 6f 63 75 6d 65 6e 74 20 68 6f 77 20 74	ll.be.expanded.to.document.how.t
18c60	6f 20 64 6f 20 74 68 69 73 20 66 6f 72 20 6f 74 68 65 72 73 2e 00 4d 61 73 71 75 65 72 61 64 65	o.do.this.for.others..Masquerade
18c80	20 54 72 61 66 66 69 63 20 6f 72 69 67 69 6e 61 74 69 6e 67 20 66 72 6f 6d 20 31 30 2e 32 30 30	.Traffic.originating.from.10.200
18ca0	2e 32 30 31 2e 30 2f 32 34 20 74 68 61 74 20 69 73 20 68 65 61 64 69 6e 67 20 6f 75 74 20 74 68	.201.0/24.that.is.heading.out.th
18cc0	65 20 70 75 62 6c 69 63 20 69 6e 74 65 72 66 61 63 65 2e 00 4d 6f 6e 69 74 6f 72 69 6e 67 00 4d	e.public.interface..Monitoring.M
18ce0	6f 6e 69 74 6f 72 69 6e 67 20 6f 6e 20 4c 41 43 20 73 69 64 65 00 4d 6f 6e 69 74 6f 72 69 6e 67	onitoring.on.LAC.side.Monitoring
18d00	20 6f 6e 20 4c 4e 53 20 73 69 64 65 00 4d 6f 6e 69 74 6f 72 69 6e 67 20 6f 6e 20 52 41 44 49 55	.on.LNS.side.Monitoring.on.RADIU
18d20	53 20 53 65 72 76 65 72 20 73 69 64 65 00 4d 75 6c 74 69 70 6c 65 20 4c 41 4e 2f 44 4d 5a 20 53	S.Server.side.Multiple.LAN/DMZ.S
18d40	65 74 75 70 00 4e 41 54 20 61 6e 64 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 00 4e 4d 50 20	etup.NAT.and.conntrack-sync.NMP.
18d60	65 78 61 6d 70 6c 65 00 4e 61 74 69 76 65 20 49 50 76 34 20 61 6e 64 20 49 50 76 36 00 4e 65 74	example.Native.IPv4.and.IPv6.Net
18d80	77 6f 72 6b 20 43 61 62 6c 69 6e 67 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 00 4e 65	work.Cabling.Network.Topology.Ne
18da0	74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 20 44 69 61 67 72 61 6d 00 4e 65 74 77 6f 72 6b 20 54	twork.Topology.Diagram.Network.T
18dc0	6f 70 6f 6c 6f 67 79 20 61 6e 64 20 72 65 71 75 69 72 65 6d 65 6e 74 73 00 4e 65 78 74 20 6f 6e	opology.and.requirements.Next.on
18de0	20 74 68 65 20 72 6f 75 74 65 72 20 56 79 4f 53 32 20 77 65 20 77 69 6c 6c 20 63 68 61 6e 67 65	.the.router.VyOS2.we.will.change
18e00	20 6c 61 62 65 6c 73 20 6f 6e 20 61 6c 6c 20 69 6e 63 6f 6d 69 6e 67 20 74 72 61 66 66 69 63 20	.labels.on.all.incoming.traffic.
18e20	6f 6e 6c 79 20 66 72 6f 6d 20 43 53 34 2d 3e 20 43 53 36 00 4e 65 78 74 20 74 68 69 6e 67 20 74	only.from.CS4->.CS6.Next.thing.t
18e40	6f 20 64 6f 2c 20 69 73 20 74 6f 20 63 72 65 61 74 65 20 61 20 77 69 72 65 67 75 61 72 64 20 6b	o.do,.is.to.create.a.wireguard.k
18e60	65 79 70 61 69 72 20 6f 6e 20 65 61 63 68 20 73 69 64 65 2e 20 41 66 74 65 72 20 74 68 69 73 2c	eypair.on.each.side..After.this,
18e80	20 74 68 65 20 70 75 62 6c 69 63 20 6b 65 79 20 63 61 6e 20 62 65 20 64 69 73 70 6c 61 79 65 64	.the.public.key.can.be.displayed
18ea0	2c 20 74 6f 20 73 61 76 65 20 66 6f 72 20 6c 61 74 65 72 2e 00 4e 65 78 74 2c 20 77 65 20 77 69	,.to.save.for.later..Next,.we.wi
18ec0	6c 6c 20 72 65 70 6c 61 63 65 20 6f 6e 6c 79 20 61 6c 6c 20 43 53 34 20 6c 61 62 65 6c 73 20 6f	ll.replace.only.all.CS4.labels.o
18ee0	6e 20 74 68 65 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 72 6f 75 74 65 72 2e 00 4e 65 78 74 2c 20	n.the....VyOS2....router..Next,.
18f00	79 6f 75 20 6a 75 73 74 20 20 73 68 6f 75 6c 64 20 66 6f 6c 6c 6f 77 20 74 68 65 20 70 69 63 74	you.just..should.follow.the.pict
18f20	75 72 65 73 3a 00 4e 6f 64 65 00 4e 6f 74 65 20 74 68 61 74 20 72 6f 75 74 65 72 31 20 69 73 20	ures:.Node.Note.that.router1.is.
18f40	61 20 56 4d 20 74 68 61 74 20 72 75 6e 73 20 6f 6e 20 6f 6e 65 20 6f 66 20 74 68 65 20 63 6f 6d	a.VM.that.runs.on.one.of.the.com
18f60	70 75 74 65 20 6e 6f 64 65 73 2e 00 4e 6f 74 65 20 74 6f 20 61 6c 6c 6f 77 20 74 68 65 20 72 6f	pute.nodes..Note.to.allow.the.ro
18f80	75 74 65 72 20 74 6f 20 72 65 63 65 69 76 65 20 44 48 43 50 76 36 20 72 65 73 70 6f 6e 73 65 20	uter.to.receive.DHCPv6.response.
18fa0	66 72 6f 6d 20 49 53 50 2e 20 57 65 20 6e 65 65 64 20 74 6f 20 61 6c 6c 6f 77 20 70 61 63 6b 65	from.ISP..We.need.to.allow.packe
18fc0	74 73 20 77 69 74 68 20 73 6f 75 72 63 65 20 70 6f 72 74 20 35 34 37 20 28 73 65 72 76 65 72 29	ts.with.source.port.547.(server)
18fe0	20 61 6e 64 20 64 65 73 74 69 6e 61 74 69 6f 6e 20 70 6f 72 74 20 35 34 36 20 28 63 6c 69 65 6e	.and.destination.port.546.(clien
19000	74 29 2e 00 4e 6f 74 69 63 65 2c 20 6e 6f 6e 65 20 67 6f 20 74 6f 20 57 41 4e 20 73 69 6e 63 65	t)..Notice,.none.go.to.WAN.since
19020	20 57 41 4e 20 77 6f 75 6c 64 6e 27 74 20 68 61 76 65 20 61 20 76 36 20 61 64 64 72 65 73 73 20	.WAN.wouldn't.have.a.v6.address.
19040	6f 6e 20 69 74 2e 00 4e 6f 77 20 65 6e 61 62 6c 65 20 72 65 70 6c 69 63 61 74 69 6f 6e 20 62 65	on.it..Now.enable.replication.be
19060	74 77 65 65 6e 20 6e 6f 64 65 73 2e 20 52 65 70 6c 61 63 65 20 65 74 68 30 2e 32 30 31 20 77 69	tween.nodes..Replace.eth0.201.wi
19080	74 68 20 62 6f 6e 64 30 2e 32 30 31 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75	th.bond0.201.on.the.hardware.rou
190a0	74 65 72 2e 00 4e 6f 77 20 67 65 6e 65 72 61 74 65 20 61 6c 6c 20 72 65 71 75 69 72 65 64 20 63	ter..Now.generate.all.required.c
190c0	65 72 74 69 66 69 63 61 74 65 73 20 6f 6e 20 74 68 65 20 6f 76 70 6e 2d 73 65 72 76 65 72 3a 00	ertificates.on.the.ovpn-server:.
190e0	4e 6f 77 20 74 68 65 20 43 6c 69 65 6e 74 20 69 73 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 61	Now.the.Client.is.able.to.ping.a
19100	20 70 75 62 6c 69 63 20 49 50 76 36 20 61 64 64 72 65 73 73 00 4e 6f 77 20 77 65 20 61 72 65 20	.public.IPv6.address.Now.we.are.
19120	61 62 6c 65 20 74 6f 20 73 65 74 75 70 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61	able.to.setup.the.tunnel.interfa
19140	63 65 2e 00 4e 6f 77 20 77 65 20 70 65 72 66 6f 72 6d 20 73 6f 6d 65 20 65 6e 64 2d 74 6f 2d 65	ce..Now.we.perform.some.end-to-e
19160	6e 64 20 74 65 73 74 69 6e 67 00 4e 6f 77 20 77 65 e2 80 99 72 65 20 63 68 65 63 6b 69 6e 67 20	nd.testing.Now.we...re.checking.
19180	69 42 47 50 20 73 74 61 74 75 73 20 61 6e 64 20 72 6f 75 74 65 73 20 66 72 6f 6d 20 72 6f 75 74	iBGP.status.and.routes.from.rout
191a0	65 2d 72 65 66 6c 65 63 74 6f 72 20 6e 6f 64 65 73 20 74 6f 20 6f 74 68 65 72 20 64 65 76 69 63	e-reflector.nodes.to.other.devic
191c0	65 73 3a 00 4e 6f 77 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69	es:.Now.you.should.be.able.to.pi
191e0	6e 67 20 61 20 70 75 62 6c 69 63 20 49 50 76 36 20 41 64 64 72 65 73 73 00 4e 6f 77 2c 20 6c 65	ng.a.public.IPv6.Address.Now,.le
19200	74 e2 80 99 73 20 63 68 65 63 6b 20 72 6f 75 74 69 6e 67 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20	t...s.check.routing.information.
19220	6f 6e 20 6f 75 74 20 48 75 62 20 50 45 3a 00 4f 53 50 46 20 4f 76 65 72 20 57 69 72 65 47 75 61	on.out.Hub.PE:.OSPF.Over.WireGua
19240	72 64 00 4f 53 50 46 20 75 6e 6e 75 6d 62 65 72 65 64 20 77 69 74 68 20 45 43 4d 50 00 4f 6e 20	rd.OSPF.unnumbered.with.ECMP.On.
19260	74 68 65 20 72 6f 75 74 65 72 2c 20 56 79 4f 53 34 20 73 65 74 20 61 6c 6c 20 74 72 61 66 66 69	the.router,.VyOS4.set.all.traffi
19280	63 20 61 73 20 43 53 34 2e 20 57 65 20 68 61 76 65 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74	c.as.CS4..We.have.to.configure.t
192a0	68 65 20 64 65 66 61 75 6c 74 20 63 6c 61 73 73 20 61 6e 64 20 63 6c 61 73 73 20 66 6f 72 20 63	he.default.class.and.class.for.c
192c0	68 61 6e 67 69 6e 67 20 61 6c 6c 20 6c 61 62 65 6c 73 20 66 72 6f 6d 20 43 53 30 20 74 6f 20 43	hanging.all.labels.from.CS0.to.C
192e0	53 34 00 4f 6e 2d 70 72 65 6d 69 73 65 73 20 61 64 64 72 65 73 73 20 73 70 61 63 65 00 4f 6e 63	S4.On-premises.address.space.Onc
19300	65 20 61 6c 6c 20 72 6f 75 74 65 72 73 20 63 61 6e 20 62 65 20 73 61 66 65 6c 79 20 72 65 6d 6f	e.all.routers.can.be.safely.remo
19320	74 65 6c 79 20 6d 61 6e 61 67 65 64 20 61 6e 64 20 74 68 65 20 63 6f 72 65 20 6e 65 74 77 6f 72	tely.managed.and.the.core.networ
19340	6b 20 69 73 20 6f 70 65 72 61 74 69 6f 6e 61 6c 2c 20 77 65 20 63 61 6e 20 6e 6f 77 20 73 65 74	k.is.operational,.we.can.now.set
19360	75 70 20 74 68 65 20 74 65 6e 61 6e 74 20 6e 65 74 77 6f 72 6b 73 2e 00 4f 6e 63 65 20 61 6c 6c	up.the.tenant.networks..Once.all
19380	20 74 68 65 20 72 65 71 75 69 72 65 64 20 63 65 72 74 69 66 69 63 61 74 65 73 20 61 6e 64 20 6b	.the.required.certificates.and.k
193a0	65 79 73 20 61 72 65 20 69 6e 73 74 61 6c 6c 65 64 2c 20 74 68 65 20 72 65 6d 61 69 6e 69 6e 67	eys.are.installed,.the.remaining
193c0	20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 61	.OpenVPN.Server.configuration.ca
193e0	6e 20 62 65 20 63 61 72 72 69 65 64 20 6f 75 74 2e 00 4f 6e 63 65 20 79 6f 75 20 68 61 76 65 20	n.be.carried.out..Once.you.have.
19400	61 6c 6c 20 6f 66 20 79 6f 75 72 20 72 75 6c 65 73 65 74 73 20 62 75 69 6c 74 2c 20 74 68 65 6e	all.of.your.rulesets.built,.then
19420	20 79 6f 75 20 6e 65 65 64 20 74 6f 20 63 72 65 61 74 65 20 79 6f 75 72 20 7a 6f 6e 65 2d 70 6f	.you.need.to.create.your.zone-po
19440	6c 69 63 79 2e 00 4f 6e 65 20 61 64 76 61 6e 74 61 67 65 20 6f 66 20 68 61 76 69 6e 67 20 74 68	licy..One.advantage.of.having.th
19460	65 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65 20 73 74 6f 72 65 64 20 69 73 20 74	e.client.certificate.stored.is.t
19480	68 65 20 61 62 69 6c 69 74 79 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 63 6c 69 65 6e 74 20	he.ability.to.create.the.client.
194a0	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c	configuration..One.cable/logical
194c0	20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 49 6e 74	.connection.between.LAN1.and.Int
194e0	65 72 6e 65 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69	ernet.One.cable/logical.connecti
19500	6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 4c 41 4e 32 00 4f 6e 65 20 63 61 62	on.between.LAN1.and.LAN2.One.cab
19520	6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41	le/logical.connection.between.LA
19540	4e 31 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69	N1.and.Management.One.cable/logi
19560	63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 32 20 61 6e 64 20	cal.connection.between.LAN2.and.
19580	49 6e 74 65 72 6e 65 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65	Internet.One.cable/logical.conne
195a0	63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 32 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e	ction.between.LAN2.and.Managemen
195c0	74 00 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 4c 44 41 50 00 4f 70 65 6e 56 50 4e 20 77 69 74 68	t.OpenVPN.with.LDAP.OpenVPN.with
195e0	20 4c 44 41 50 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 4f 70 65 72 61 74 69 6e 67 20 73	.LDAP.topology.image.Operating.s
19600	79 73 74 65 6d 3a 20 56 79 4f 53 00 4f 75 72 20 69 6d 70 6c 65 6d 65 6e 74 61 74 69 6f 6e 20 75	ystem:.VyOS.Our.implementation.u
19620	73 65 73 20 56 4d 77 61 72 65 27 73 20 44 69 73 74 72 69 62 75 74 65 64 20 50 6f 72 74 20 47 72	ses.VMware's.Distributed.Port.Gr
19640	6f 75 70 73 2c 20 77 68 69 63 68 20 61 6c 6c 6f 77 73 20 56 4d 77 61 72 65 20 74 6f 20 75 73 65	oups,.which.allows.VMware.to.use
19660	20 4c 41 43 50 2e 20 54 68 69 73 20 69 73 20 61 20 70 61 72 74 20 6f 66 20 74 68 65 20 45 4e 54	.LACP..This.is.a.part.of.the.ENT
19680	45 52 50 52 49 53 45 20 6c 69 63 65 6e 63 65 2c 20 61 6e 64 20 69 73 20 6e 6f 74 20 61 76 61 69	ERPRISE.licence,.and.is.not.avai
196a0	6c 61 62 6c 65 20 6f 6e 20 61 20 66 72 65 65 20 6c 69 63 65 6e 63 65 2e 20 49 66 20 79 6f 75 20	lable.on.a.free.licence..If.you.
196c0	61 72 65 20 69 6d 70 6c 65 6d 65 6e 74 69 6e 67 20 74 68 69 73 20 61 6e 64 20 64 6f 20 6e 6f 74	are.implementing.this.and.do.not
196e0	20 68 61 76 65 20 61 63 63 65 73 73 20 74 6f 20 44 50 47 73 2c 20 79 6f 75 20 73 68 6f 75 6c 64	.have.access.to.DPGs,.you.should
19700	20 6e 6f 74 20 75 73 65 20 56 4d 77 61 72 65 2c 20 61 6e 64 20 75 73 65 20 73 6f 6d 65 20 6f 74	.not.use.VMware,.and.use.some.ot
19720	68 65 72 20 76 69 72 74 75 61 6c 69 7a 61 74 69 6f 6e 20 70 6c 61 74 66 6f 72 6d 20 69 6e 73 74	her.virtualization.platform.inst
19740	65 61 64 2e 00 4f 75 72 20 72 6f 75 74 65 72 73 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 68 61	ead..Our.routers.are.going.to.ha
19760	76 65 20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 32 30 33 2e	ve.a.floating.IP.address.of.203.
19780	30 2e 31 31 33 2e 31 2c 20 61 6e 64 20 75 73 65 20 2e 32 20 61 6e 64 20 2e 33 20 61 73 20 74 68	0.113.1,.and.use..2.and..3.as.th
197a0	65 69 72 20 66 69 78 65 64 20 49 50 73 2e 00 4f 76 65 72 76 69 65 77 00 50 45 31 00 50 45 31 20	eir.fixed.IPs..Overview.PE1.PE1.
197c0	69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 6e 20 69 6e 64 75 73 74 72 69 61 6c 20 61 72 65 61	is.located.in.an.industrial.area
197e0	20 74 68 61 74 20 68 6f 6c 64 73 20 6d 75 6c 74 69 70 6c 65 20 6f 66 66 69 63 65 20 62 75 69 6c	.that.holds.multiple.office.buil
19800	64 69 6e 67 73 2e 20 41 6c 6c 20 63 75 73 74 6f 6d 65 72 73 20 68 61 76 65 20 61 20 73 69 74 65	dings..All.customers.have.a.site
19820	20 69 6e 20 74 68 69 73 20 61 72 65 61 2e 00 50 45 32 00 50 45 32 20 69 73 20 6c 6f 63 61 74 65	.in.this.area..PE2.PE2.is.locate
19840	64 20 69 6e 20 61 20 73 6d 61 6c 6c 65 72 20 61 72 65 61 20 77 68 65 72 65 20 62 79 20 63 6f 69	d.in.a.smaller.area.where.by.coi
19860	6e 63 69 64 65 6e 63 65 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 73 20 28 62 6c 75 65 20 61 6e 64	ncidence.two.customers.(blue.and
19880	20 72 65 64 29 20 73 68 61 72 65 20 61 6e 20 6f 66 66 69 63 65 20 62 75 69 6c 64 69 6e 67 2e 00	.red).share.an.office.building..
198a0	50 45 33 00 50 45 33 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 20 73 6d 61 6c 6c 65 72 20	PE3.PE3.is.located.in.a.smaller.
198c0	61 72 65 61 20 77 68 65 72 65 20 62 79 20 63 6f 69 6e 63 69 64 65 6e 63 65 20 74 77 6f 20 63 75	area.where.by.coincidence.two.cu
198e0	73 74 6f 6d 65 72 73 20 28 62 6c 75 65 20 61 6e 64 20 67 72 65 65 6e 29 20 61 72 65 20 6c 6f 63	stomers.(blue.and.green).are.loc
19900	61 74 65 64 2e 00 50 50 50 6f 45 20 49 50 76 36 20 42 61 73 69 63 20 53 65 74 75 70 20 66 6f 72	ated..PPPoE.IPv6.Basic.Setup.for
19920	20 48 6f 6d 65 20 4e 65 74 77 6f 72 6b 00 50 50 50 6f 45 20 53 65 74 75 70 00 50 50 50 6f 45 20	.Home.Network.PPPoE.Setup.PPPoE.
19940	6f 76 65 72 20 4c 32 54 50 00 50 69 6e 67 20 62 65 74 77 65 65 6e 20 56 79 4f 53 2d 50 31 20 2f	over.L2TP.Ping.between.VyOS-P1./
19960	20 56 79 4f 53 2d 50 32 20 74 6f 20 63 6f 6e 66 69 72 6d 20 72 65 61 63 68 61 62 69 6c 69 74 79	.VyOS-P2.to.confirm.reachability
19980	3a 00 50 69 6e 67 20 74 68 65 20 43 6c 69 65 6e 74 20 66 72 6f 6d 20 74 68 65 20 44 48 43 50 20	:.Ping.the.Client.from.the.DHCP.
199a0	53 65 72 76 65 72 2e 00 50 69 6e 67 73 20 77 69 6c 6c 20 62 65 20 73 65 6e 74 20 74 6f 20 66 6f	Server..Pings.will.be.sent.to.fo
199c0	75 72 20 74 61 72 67 65 74 73 20 66 6f 72 20 68 65 61 6c 74 68 20 74 65 73 74 69 6e 67 20 28 33	ur.targets.for.health.testing.(3
199e0	33 2e 34 34 2e 35 35 2e 36 36 2c 20 34 34 2e 35 35 2e 36 36 2e 37 37 2c 20 35 35 2e 36 36 2e 37	3.44.55.66,.44.55.66.77,.55.66.7
19a00	37 2e 38 38 20 61 6e 64 20 36 36 2e 37 37 2e 38 38 2e 39 39 29 2e 00 50 6c 65 61 73 65 20 6e 6f	7.88.and.66.77.88.99)..Please.no
19a20	74 65 2c 20 27 61 75 74 6f 6e 6f 6d 6f 75 73 2d 66 6c 61 67 27 20 61 6e 64 20 27 6f 6e 2d 6c 69	te,.'autonomous-flag'.and.'on-li
19a40	6e 6b 2d 66 6c 61 67 27 20 61 72 65 20 65 6e 61 62 6c 65 64 20 62 79 20 64 65 66 61 75 6c 74 2c	nk-flag'.are.enabled.by.default,
19a60	20 27 76 61 6c 69 64 2d 6c 69 66 65 74 69 6d 65 27 20 61 6e 64 20 27 70 72 65 66 65 72 72 65 64	.'valid-lifetime'.and.'preferred
19a80	2d 6c 69 66 65 74 69 6d 65 27 20 61 72 65 20 73 65 74 20 74 6f 20 64 65 66 61 75 6c 74 20 76 61	-lifetime'.are.set.to.default.va
19aa0	6c 75 65 73 20 6f 66 20 33 30 20 64 61 79 73 20 61 6e 64 20 34 20 68 6f 75 72 73 20 72 65 73 70	lues.of.30.days.and.4.hours.resp
19ac0	65 63 74 69 76 65 6c 79 2e 00 50 6f 6c 69 63 79 2d 42 61 73 65 64 20 53 69 74 65 2d 74 6f 2d 53	ectively..Policy-Based.Site-to-S
19ae0	69 74 65 20 56 50 4e 20 61 6e 64 20 46 69 72 65 77 61 6c 6c 20 43 6f 6e 66 69 67 75 72 61 74 69	ite.VPN.and.Firewall.Configurati
19b00	6f 6e 00 50 72 65 2d 73 68 61 72 65 64 20 6b 65 79 00 50 72 65 72 65 71 75 69 73 69 74 65 73 00	on.Pre-shared.key.Prerequisites.
19b20	50 72 69 6f 72 69 74 69 65 73 00 50 72 6f 74 65 63 74 20 74 68 65 20 72 6f 75 74 65 72 20 6f 6e	Priorities.Protect.the.router.on
19b40	20 27 57 41 4e 27 20 69 6e 74 65 72 66 61 63 65 2c 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20	.'WAN'.interface,.allowing.only.
19b60	69 70 73 65 63 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 61 6e 64 20 73 73 68 20 61 63 63 65 73 73	ipsec.connections.and.ssh.access
19b80	20 66 72 6f 6d 20 74 72 75 73 74 65 64 20 69 70 73 2e 00 50 75 62 6c 69 63 20 4e 65 74 77 6f 72	.from.trusted.ips..Public.Networ
19ba0	6b 00 51 6f 53 20 65 78 61 6d 70 6c 65 00 52 44 00 52 44 20 26 20 52 54 20 53 63 68 65 6d 61 00	k.QoS.example.RD.RD.&.RT.Schema.
19bc0	52 54 00 52 54 20 65 78 70 6f 72 74 00 52 54 20 69 6d 70 6f 72 74 00 52 65 67 75 6c 61 72 20 56	RT.RT.export.RT.import.Regular.V
19be0	79 4f 53 20 75 73 65 72 73 20 77 69 6c 6c 20 6e 6f 74 69 63 65 20 74 68 61 74 20 74 68 65 20 42	yOS.users.will.notice.that.the.B
19c00	47 50 20 73 79 6e 74 61 78 20 68 61 73 20 63 68 61 6e 67 65 64 20 69 6e 20 56 79 4f 53 20 31 2e	GP.syntax.has.changed.in.VyOS.1.
19c20	34 20 66 72 6f 6d 20 65 76 65 6e 20 74 68 65 20 70 72 69 6f 72 20 70 6f 73 74 20 61 62 6f 75 74	4.from.even.the.prior.post.about
19c40	20 74 68 69 73 20 73 75 62 6a 65 63 74 2e 20 54 68 69 73 20 69 73 20 64 75 65 20 74 6f 20 54 31	.this.subject..This.is.due.to.T1
19c60	37 31 31 2c 20 77 68 65 72 65 20 69 74 20 77 61 73 20 66 69 6e 61 6c 6c 79 20 64 65 63 69 64 65	711,.where.it.was.finally.decide
19c80	64 20 74 6f 20 67 65 74 20 72 69 64 20 6f 66 20 74 68 65 20 72 65 64 75 6e 64 61 6e 74 20 42 47	d.to.get.rid.of.the.redundant.BG
19ca0	50 20 41 53 4e 20 28 41 75 74 6f 6e 6f 6d 6f 75 73 20 53 79 73 74 65 6d 20 4e 75 6d 62 65 72 29	P.ASN.(Autonomous.System.Number)
19cc0	20 73 70 65 63 69 66 69 63 61 74 69 6f 6e 20 6f 6e 20 74 68 65 20 43 4c 49 20 61 6e 64 20 6d 6f	.specification.on.the.CLI.and.mo
19ce0	76 65 20 69 74 20 74 6f 20 61 20 73 69 6e 67 6c 65 20 6c 65 61 66 20 6e 6f 64 65 20 28 73 65 74	ve.it.to.a.single.leaf.node.(set
19d00	20 70 72 6f 74 6f 63 6f 6c 73 20 62 67 70 20 6c 6f 63 61 6c 2d 61 73 29 2e 00 52 65 6d 6f 74 65	.protocols.bgp.local-as)..Remote
19d20	20 4e 65 74 77 6f 72 6b 73 00 52 65 70 6c 61 63 65 20 74 68 65 20 32 30 33 2e 30 2e 31 31 33 2e	.Networks.Replace.the.203.0.113.
19d40	33 20 77 69 74 68 20 77 68 61 74 65 76 65 72 20 74 68 65 20 6f 74 68 65 72 20 72 6f 75 74 65 72	3.with.whatever.the.other.router
19d60	27 73 20 49 50 20 61 64 64 72 65 73 73 20 69 73 2e 00 52 65 71 75 65 73 74 65 64 20 61 20 22 52	's.IP.address.is..Requested.a."R
19d80	65 67 75 6c 61 72 20 54 75 6e 6e 65 6c 22 2e 20 59 6f 75 20 77 61 6e 74 20 74 6f 20 63 68 6f 6f	egular.Tunnel"..You.want.to.choo
19da0	73 65 20 61 20 6c 6f 63 61 74 69 6f 6e 20 74 68 61 74 20 69 73 20 63 6c 6f 73 65 73 74 20 74 6f	se.a.location.that.is.closest.to
19dc0	20 79 6f 75 72 20 70 68 79 73 69 63 61 6c 20 6c 6f 63 61 74 69 6f 6e 20 66 6f 72 20 74 68 65 20	.your.physical.location.for.the.
19de0	62 65 73 74 20 72 65 73 70 6f 6e 73 65 20 74 69 6d 65 2e 00 52 65 73 75 6c 74 73 00 52 6f 6c 65	best.response.time..Results.Role
19e00	00 52 6f 75 74 65 2d 42 61 73 65 64 20 52 65 64 75 6e 64 61 6e 74 20 53 69 74 65 2d 74 6f 2d 53	.Route-Based.Redundant.Site-to-S
19e20	69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 28 42 47 50 20 6f 76 65 72 20 49 4b 45 76 32	ite.VPN.to.Azure.(BGP.over.IKEv2
19e40	2f 49 50 73 65 63 29 00 52 6f 75 74 65 2d 42 61 73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65	/IPsec).Route-Based.Site-to-Site
19e60	20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 28 42 47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f 49 50	.VPN.to.Azure.(BGP.over.IKEv2/IP
19e80	73 65 63 29 00 52 6f 75 74 65 2d 46 69 6c 74 65 72 69 6e 67 00 52 6f 75 74 65 64 20 2f 34 38 2e	sec).Route-Filtering.Routed./48.
19ea0	20 54 68 69 73 20 69 73 20 73 6f 6d 65 74 68 69 6e 67 20 79 6f 75 20 63 61 6e 20 72 65 71 75 65	.This.is.something.you.can.reque
19ec0	73 74 20 62 79 20 63 6c 69 63 6b 69 6e 67 20 74 68 65 20 22 41 73 73 69 67 6e 20 2f 34 38 22 20	st.by.clicking.the."Assign./48".
19ee0	6c 69 6e 6b 20 69 6e 20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 74 75 6e	link.in.the.Tunnelbroker.net.tun
19f00	6e 65 6c 20 63 6f 6e 66 69 67 2e 20 49 74 20 61 6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 68 61 76	nel.config..It.allows.you.to.hav
19f20	65 20 75 70 20 74 6f 20 36 35 6b 00 52 6f 75 74 65 64 20 2f 36 34 2e 20 54 68 69 73 20 69 73 20	e.up.to.65k.Routed./64..This.is.
19f40	74 68 65 20 64 65 66 61 75 6c 74 20 61 73 73 69 67 6e 6d 65 6e 74 2e 20 49 6e 20 49 50 76 36 2d	the.default.assignment..In.IPv6-
19f60	6c 61 6e 64 2c 20 69 74 27 73 20 67 6f 6f 64 20 66 6f 72 20 61 20 73 69 6e 67 6c 65 20 22 4c 41	land,.it's.good.for.a.single."LA
19f80	4e 22 2c 20 61 6e 64 20 69 73 20 73 6f 6d 65 77 68 61 74 20 65 71 75 69 76 61 6c 65 6e 74 20 74	N",.and.is.somewhat.equivalent.t
19fa0	6f 20 61 20 2f 32 34 2e 00 52 6f 75 74 65 72 20 41 3a 00 52 6f 75 74 65 72 20 41 64 76 65 72 74	o.a./24..Router.A:.Router.Advert
19fc0	69 73 65 6d 65 6e 74 00 52 6f 75 74 65 72 20 42 3a 00 52 6f 75 74 65 72 20 69 64 27 73 20 6d 75	isement.Router.B:.Router.id's.mu
19fe0	73 74 20 62 65 20 75 6e 69 71 75 65 2e 00 52 75 6c 65 73 65 74 20 61 72 65 20 63 72 65 61 74 65	st.be.unique..Ruleset.are.create
1a000	64 20 70 65 72 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 2e 00 53 65 67 6d 65	d.per.zone-pair-direction..Segme
1a020	6e 74 2d 72 6f 75 74 69 6e 67 20 49 53 2d 49 53 20 65 78 61 6d 70 6c 65 00 53 65 74 20 44 4e 53	nt-routing.IS-IS.example.Set.DNS
1a040	20 73 65 72 76 65 72 20 61 64 64 72 65 73 73 20 69 6e 20 74 68 65 20 61 64 76 65 72 74 69 73 65	.server.address.in.the.advertise
1a060	6d 65 6e 74 20 73 6f 20 74 68 61 74 20 63 6c 69 65 6e 74 73 20 63 61 6e 20 6f 62 74 61 69 6e 20	ment.so.that.clients.can.obtain.
1a080	69 74 20 62 79 20 75 73 69 6e 67 20 52 44 4e 53 53 20 6f 70 74 69 6f 6e 2e 20 4d 6f 73 74 20 6f	it.by.using.RDNSS.option..Most.o
1a0a0	70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 73 20 28 57 69 6e 64 6f 77 73 2c 20 4c 69 6e 75 78	perating.systems.(Windows,.Linux
1a0c0	2c 20 4d 61 63 29 20 73 68 6f 75 6c 64 20 61 6c 72 65 61 64 79 20 73 75 70 70 6f 72 74 20 69 74	,.Mac).should.already.support.it
1a0e0	2e 00 53 65 74 20 49 50 20 61 64 64 72 65 73 73 65 73 20 6f 6e 20 61 6c 6c 20 56 50 43 73 20 61	..Set.IP.addresses.on.all.VPCs.a
1a100	6e 64 20 61 20 64 65 66 61 75 6c 74 20 67 61 74 65 77 61 79 20 31 37 32 2e 31 37 2e 31 2e 31 2e	nd.a.default.gateway.172.17.1.1.
1a120	20 57 65 27 6c 6c 20 75 73 65 20 69 6e 20 74 68 69 73 20 63 61 73 65 20 6f 6e 6c 79 20 73 74 61	.We'll.use.in.this.case.only.sta
1a140	74 69 63 20 72 6f 75 74 65 73 2e 20 4f 6e 20 74 68 65 20 56 79 4f 53 33 20 72 6f 75 74 65 72 2c	tic.routes..On.the.VyOS3.router,
1a160	20 77 65 20 6e 65 65 64 20 74 6f 20 63 68 61 6e 67 65 20 74 68 65 20 27 64 73 63 70 27 20 6c 61	.we.need.to.change.the.'dscp'.la
1a180	62 65 6c 73 20 66 6f 72 20 74 68 65 20 56 50 43 73 2e 20 54 6f 20 64 6f 20 74 68 69 73 2c 20 77	bels.for.the.VPCs..To.do.this,.w
1a1a0	65 20 75 73 65 20 74 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 53 65 74 20 4d 54	e.use.this.configuration..Set.MT
1a1c0	55 20 69 6e 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 74 6f 20 31 34 39 32 20 62 65 63 61 75	U.in.advertisement.to.1492.becau
1a1e0	73 65 20 6f 66 20 50 50 50 6f 45 20 68 65 61 64 65 72 20 6f 76 65 72 68 65 61 64 2e 00 53 65 74	se.of.PPPoE.header.overhead..Set
1a200	20 74 68 65 20 56 52 46 20 6e 61 6d 65 20 61 6e 64 20 54 61 62 6c 65 20 49 44 2c 20 73 65 74 20	.the.VRF.name.and.Table.ID,.set.
1a220	69 6e 74 65 72 66 61 63 65 20 61 64 64 72 65 73 73 20 61 6e 64 20 62 69 6e 64 20 69 74 20 74 6f	interface.address.and.bind.it.to
1a240	20 74 68 65 20 56 52 46 2e 20 4c 61 73 74 20 61 64 64 20 74 68 65 20 73 74 61 74 69 63 20 72 6f	.the.VRF..Last.add.the.static.ro
1a260	75 74 65 20 74 6f 20 74 68 65 20 72 65 6d 6f 74 65 20 6e 65 74 77 6f 72 6b 2e 00 53 65 74 20 74	ute.to.the.remote.network..Set.t
1a280	68 65 20 63 6f 73 74 20 6f 6e 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 73 20 74	he.cost.on.the.secondary.links.t
1a2a0	6f 20 62 65 20 32 30 30 2e 20 54 68 69 73 20 6d 65 61 6e 73 20 74 68 61 74 20 74 68 65 79 20 77	o.be.200..This.means.that.they.w
1a2c0	69 6c 6c 20 6e 6f 74 20 62 65 20 75 73 65 64 20 75 6e 6c 65 73 73 20 74 68 65 20 70 72 69 6d 61	ill.not.be.used.unless.the.prima
1a2e0	72 79 20 6c 69 6e 6b 73 20 61 72 65 20 64 6f 77 6e 2e 00 53 65 74 20 74 68 65 20 6c 6f 63 61 6c	ry.links.are.down..Set.the.local
1a300	20 73 75 62 6e 65 74 20 6f 6e 20 65 74 68 32 20 61 6e 64 20 74 68 65 20 70 75 62 6c 69 63 20 69	.subnet.on.eth2.and.the.public.i
1a320	70 20 61 64 64 72 65 73 73 20 65 74 68 31 20 6f 6e 20 65 61 63 68 20 73 69 74 65 2e 00 53 65 74	p.address.eth1.on.each.site..Set
1a340	20 75 70 20 62 61 6e 64 77 69 64 74 68 20 6c 69 6d 69 74 73 20 6f 6e 20 74 68 65 20 65 74 68 32	.up.bandwidth.limits.on.the.eth2
1a360	20 69 6e 74 65 72 66 61 63 65 20 6f 66 20 74 68 65 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53	.interface.of.the.router....VyOS
1a380	32 e2 80 9d 2e 00 53 65 74 73 20 79 6f 75 72 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 27 73 20	2.....Sets.your.LAN.interface's.
1a3a0	49 50 20 61 64 64 72 65 73 73 00 53 65 74 74 69 6e 67 20 42 47 50 20 67 6c 6f 62 61 6c 20 6c 6f	IP.address.Setting.BGP.global.lo
1a3c0	63 61 6c 2d 61 73 20 61 73 20 77 65 6c 6c 20 69 6e 73 69 64 65 20 74 68 65 20 56 52 46 2e 20 52	cal-as.as.well.inside.the.VRF..R
1a3e0	65 64 69 73 74 72 69 62 75 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 6f 20 69 6e 6a	edistribute.static.routes.to.inj
1a400	65 63 74 20 63 6f 6e 66 69 67 75 72 65 64 20 6e 65 74 77 6f 72 6b 73 20 69 6e 74 6f 20 74 68 65	ect.configured.networks.into.the
1a420	20 42 47 50 20 70 72 6f 63 65 73 73 20 62 75 74 20 73 74 69 6c 6c 20 69 6e 73 69 64 65 20 74 68	.BGP.process.but.still.inside.th
1a440	65 20 56 52 46 2e 00 53 65 74 74 69 6e 67 20 75 70 20 41 6e 73 69 62 6c 65 20 6f 6e 20 61 20 73	e.VRF..Setting.up.Ansible.on.a.s
1a460	65 72 76 65 72 20 72 75 6e 6e 69 6e 67 20 74 68 65 20 44 65 62 69 61 6e 20 6f 70 65 72 61 74 69	erver.running.the.Debian.operati
1a480	6e 67 20 73 79 73 74 65 6d 2e 00 53 65 74 75 70 20 74 68 65 20 69 70 76 36 20 64 65 66 61 75 6c	ng.system..Setup.the.ipv6.defaul
1a4a0	74 20 72 6f 75 74 65 20 74 6f 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 00	t.route.to.the.tunnel.interface.
1a4c0	53 68 6f 77 20 72 6f 75 74 65 73 20 66 6f 72 20 61 6c 6c 20 56 52 46 73 00 53 69 6d 69 6c 61 72	Show.routes.for.all.VRFs.Similar
1a4e0	6c 79 2c 20 74 6f 20 61 74 74 61 63 68 20 74 68 65 20 66 69 72 65 77 61 6c 6c 2c 20 79 6f 75 20	ly,.to.attach.the.firewall,.you.
1a500	77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 69 6e 74 65 72 66 61 63 65 73 20 65 74 68 65 72 6e	would.use.`set.interfaces.ethern
1a520	65 74 20 65 74 68 30 20 66 69 72 65 77 61 6c 6c 20 69 6e 20 69 70 76 36 2d 6e 61 6d 65 60 20 6f	et.eth0.firewall.in.ipv6-name`.o
1a540	72 20 60 65 74 20 66 69 72 65 77 61 6c 6c 20 7a 6f 6e 65 20 4c 4f 43 41 4c 20 66 72 6f 6d 20 57	r.`et.firewall.zone.LOCAL.from.W
1a560	41 4e 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d 65 60 2e 00 53 69 6e 63 65 20 73 6f	AN.firewall.ipv6-name`..Since.so
1a580	6d 65 20 49 53 50 73 20 64 69 73 63 6f 6e 6e 65 63 74 73 20 63 6f 6e 74 69 6e 75 6f 75 73 20 63	me.ISPs.disconnects.continuous.c
1a5a0	6f 6e 6e 65 63 74 69 6f 6e 20 66 6f 72 20 65 76 65 72 79 20 32 7e 33 20 64 61 79 73 2c 20 77 65	onnection.for.every.2~3.days,.we
1a5c0	20 73 65 74 20 60 60 76 61 6c 69 64 2d 6c 69 66 65 74 69 6d 65 60 60 20 74 6f 20 32 20 64 61 79	.set.``valid-lifetime``.to.2.day
1a5e0	73 20 74 6f 20 61 6c 6c 6f 77 20 50 43 20 66 6f 72 20 70 68 61 73 69 6e 67 20 6f 75 74 20 6f 6c	s.to.allow.PC.for.phasing.out.ol
1a600	64 20 61 64 64 72 65 73 73 2e 00 53 69 6e 63 65 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 73 20 61	d.address..Since.the.tunnel.is.a
1a620	20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20 47 52 45 20 74 75 6e 6e 65 6c 2c 20 69 74 20 62	.point-to-point.GRE.tunnel,.it.b
1a640	65 68 61 76 65 73 20 6c 69 6b 65 20 61 6e 79 20 6f 74 68 65 72 20 70 6f 69 6e 74 2d 74 6f 2d 70	ehaves.like.any.other.point-to-p
1a660	6f 69 6e 74 20 69 6e 74 65 72 66 61 63 65 20 28 66 6f 72 20 65 78 61 6d 70 6c 65 3a 20 73 65 72	oint.interface.(for.example:.ser
1a680	69 61 6c 2c 20 64 69 61 6c 65 72 29 2c 20 61 6e 64 20 69 74 20 69 73 20 70 6f 73 73 69 62 6c 65	ial,.dialer),.and.it.is.possible
1a6a0	20 74 6f 20 72 75 6e 20 61 6e 79 20 49 6e 74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f	.to.run.any.Interior.Gateway.Pro
1a6c0	74 6f 63 6f 6c 20 28 49 47 50 29 2f 45 78 74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f	tocol.(IGP)/Exterior.Gateway.Pro
1a6e0	74 6f 63 6f 6c 20 28 45 47 50 29 20 6f 76 65 72 20 74 68 65 20 6c 69 6e 6b 20 69 6e 20 6f 72 64	tocol.(EGP).over.the.link.in.ord
1a700	65 72 20 74 6f 20 65 78 63 68 61 6e 67 65 20 72 6f 75 74 69 6e 67 20 69 6e 66 6f 72 6d 61 74 69	er.to.exchange.routing.informati
1a720	6f 6e 00 53 69 6e 63 65 20 77 65 20 68 61 76 65 20 34 20 7a 6f 6e 65 73 2c 20 77 65 20 6e 65 65	on.Since.we.have.4.zones,.we.nee
1a740	64 20 74 6f 20 73 65 74 75 70 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 72 75 6c 65 73 65 74	d.to.setup.the.following.ruleset
1a760	73 2e 00 53 69 6e 67 6c 65 20 4c 41 4e 20 53 65 74 75 70 00 53 69 6e 67 6c 65 20 4c 41 4e 20 73	s..Single.LAN.Setup.Single.LAN.s
1a780	65 74 75 70 20 77 68 65 72 65 20 65 74 68 32 20 69 73 20 79 6f 75 72 20 4c 41 4e 20 69 6e 74 65	etup.where.eth2.is.your.LAN.inte
1a7a0	72 66 61 63 65 2e 20 55 73 65 20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 52 6f 75 74	rface..Use.the.Tunnelbroker.Rout
1a7c0	65 64 20 2f 36 34 20 70 72 65 66 69 78 3a 00 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 49 50 53 65	ed./64.prefix:.Site-to-Site.IPSe
1a7e0	63 20 56 50 4e 20 74 6f 20 43 69 73 63 6f 20 75 73 69 6e 67 20 46 6c 65 78 56 50 4e 00 53 6f 2c	c.VPN.to.Cisco.using.FlexVPN.So,
1a800	20 77 68 65 6e 20 79 6f 75 72 20 4c 41 4e 20 69 73 20 65 74 68 31 2c 20 79 6f 75 72 20 44 4d 5a	.when.your.LAN.is.eth1,.your.DMZ
1a820	20 69 73 20 65 74 68 32 2c 20 79 6f 75 72 20 63 61 6d 65 72 61 73 20 61 72 65 20 6f 6e 20 65 74	.is.eth2,.your.cameras.are.on.et
1a840	68 33 2c 20 65 74 63 3a 00 53 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 3a 00 53 70 6f 6b 65 00 53	h3,.etc:.Something.like:.Spoke.S
1a860	74 61 72 74 20 62 79 20 73 65 74 74 69 6e 67 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 61 6e	tart.by.setting.the.interface.an
1a880	64 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 66 6f 72 20 65 61 63 68 20 7a 6f 6e 65 2e 00	d.default.action.for.each.zone..
1a8a0	53 74 61 72 74 20 74 68 65 20 70 6c 61 79 62 6f 6f 6b 3a 00 53 74 61 72 74 69 6e 67 20 66 72 6f	Start.the.playbook:.Starting.fro
1a8c0	6d 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 2c	m.VyOS.1.4-rolling-202308040557,
1a8e0	20 61 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 73 74 72 75 63 74 75 72 65 20 63 61 6e 20 62 65	.a.new.firewall.structure.can.be
1a900	20 66 6f 75 6e 64 20 6f 6e 20 61 6c 6c 20 76 79 6f 73 20 69 6e 73 74 61 6c 61 74 69 6f 6e 73 2c	.found.on.all.vyos.instalations,
1a920	20 61 6e 64 20 7a 6f 6e 65 20 62 61 73 65 64 20 66 69 72 65 77 61 6c 6c 20 69 73 20 6e 6f 20 6c	.and.zone.based.firewall.is.no.l
1a940	6f 6e 67 65 72 20 73 75 70 70 6f 72 74 65 64 2e 20 44 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 66	onger.supported..Documentation.f
1a960	6f 72 20 6d 6f 73 74 20 6f 66 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 43 4c 49 20	or.most.of.the.new.firewall.CLI.
1a980	63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 60 66 69 72 65 77 61 6c 6c 20 3c 68	can.be.found.in.the.`firewall.<h
1a9a0	74 74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f	ttps://docs.vyos.io/en/latest/co
1a9c0	6e 66 69 67 75 72 61 74 69 6f 6e 2f 66 69 72 65 77 61 6c 6c 2f 67 65 6e 65 72 61 6c 2e 68 74 6d	nfiguration/firewall/general.htm
1a9e0	6c 3e 60 5f 20 63 68 61 70 74 65 72 2e 20 54 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c	l>`_.chapter..The.legacy.firewal
1aa00	6c 20 69 73 20 73 74 69 6c 6c 20 61 76 61 69 6c 61 62 6c 65 20 66 6f 72 20 76 65 72 73 69 6f 6e	l.is.still.available.for.version
1aa20	73 20 62 65 66 6f 72 65 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35	s.before.1.4-rolling-20230804055
1aa40	37 20 61 6e 64 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60	7.and.can.be.found.in.the.:ref:`
1aa60	66 69 72 65 77 61 6c 6c 2d 6c 65 67 61 63 79 60 20 63 68 61 70 74 65 72 2e 20 54 68 65 20 65 78	firewall-legacy`.chapter..The.ex
1aa80	61 6d 70 6c 65 73 20 69 6e 20 74 68 69 73 20 73 65 63 74 69 6f 6e 20 75 73 65 20 74 68 65 20 6c	amples.in.this.section.use.the.l
1aaa0	65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 6f 6d	egacy.firewall.configuration.com
1aac0	6d 61 6e 64 73 2c 20 73 69 6e 63 65 20 74 68 69 73 20 66 65 61 74 75 72 65 20 68 61 73 20 62 65	mands,.since.this.feature.has.be
1aae0	65 6e 20 72 65 6d 6f 76 65 64 20 69 6e 20 65 61 72 6c 69 65 72 20 72 65 6c 65 61 73 65 73 2e 00	en.removed.in.earlier.releases..
1ab00	53 74 65 70 20 31 3a 20 56 52 46 20 61 6e 64 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 74	Step.1:.VRF.and.Configurations.t
1ab20	6f 20 72 65 6d 6f 74 65 20 6e 65 74 77 6f 72 6b 73 00 53 74 65 70 20 32 3a 20 42 47 50 20 43 6f	o.remote.networks.Step.2:.BGP.Co
1ab40	6e 66 69 67 75 72 61 74 69 6f 6e 20 66 6f 72 20 56 52 46 2d 4c 69 74 65 00 53 74 65 70 20 33 3a	nfiguration.for.VRF-Lite.Step.3:
1ab60	20 56 50 4e 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 53 74 65 70 20 34 3a 20 45 6e 64 20 74	.VPN.Configuration.Step.4:.End.t
1ab80	6f 20 45 6e 64 20 76 65 72 69 66 69 63 61 74 69 6f 6e 00 53 74 65 70 2d 31 3a 20 43 6f 6e 66 69	o.End.verification.Step-1:.Confi
1aba0	67 75 72 69 6e 67 20 49 47 50 20 61 6e 64 20 65 6e 61 62 6c 69 6e 67 20 4d 50 4c 53 20 4c 44 50	guring.IGP.and.enabling.MPLS.LDP
1abc0	00 53 74 65 70 2d 32 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 69 42 47 50 20 66 6f 72 20 4c 33	.Step-2:.Configuring.iBGP.for.L3
1abe0	56 50 4e 20 63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e 65 00 53 74 65 70 2d 33 3a 20 43 6f 6e 66 69 67	VPN.control-plane.Step-3:.Config
1ac00	75 72 69 6e 67 20 4c 33 56 50 4e 20 56 52 46 73 20 6f 6e 20 50 45 20 6e 6f 64 65 73 00 53 74 65	uring.L3VPN.VRFs.on.PE.nodes.Ste
1ac20	70 2d 34 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 43 45 20 6e 6f 64 65 73 00 53 74 65 70 2d 35	p-4:.Configuring.CE.nodes.Step-5
1ac40	3a 20 56 65 72 69 66 69 63 61 74 69 6f 6e 00 54 65 6e 61 6e 74 20 6e 65 74 77 6f 72 6b 73 20 28	:.Verification.Tenant.networks.(
1ac60	56 52 46 73 29 00 54 65 73 74 20 4f 53 50 46 00 54 65 73 74 20 57 69 72 65 47 75 61 72 64 00 54	VRFs).Test.OSPF.Test.WireGuard.T
1ac80	65 73 74 20 74 68 65 20 72 65 73 75 6c 74 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 32	est.the.result.Testdate:.2023-02
1aca0	2d 32 34 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 35 2d 31 31 00 54 65 73 74 64 61 74	-24.Testdate:.2023-05-11.Testdat
1acc0	65 3a 20 32 30 32 33 2d 30 38 2d 33 31 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 34 2d 30 31 2d	e:.2023-08-31.Testdate:.2024-01-
1ace0	31 33 00 54 65 73 74 69 6e 67 00 54 65 73 74 69 6e 67 20 61 6e 64 20 64 65 62 75 67 67 69 6e 67	13.Testing.Testing.and.debugging
1ad00	00 54 68 61 74 27 73 20 68 6f 77 20 79 6f 75 20 63 61 6e 20 65 78 70 61 6e 64 20 74 68 65 20 65	.That's.how.you.can.expand.the.e
1ad20	78 61 6d 70 6c 65 20 61 62 6f 76 65 2e 20 55 73 65 20 74 68 65 20 60 52 6f 75 74 65 64 20 2f 34	xample.above..Use.the.`Routed./4
1ad40	38 60 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 54 68 69 73 20 61 6c 6c 6f 77 73 20 79 6f 75 20	8`.information..This.allows.you.
1ad60	74 6f 20 61 73 73 69 67 6e 20 61 20 64 69 66 66 65 72 65 6e 74 20 2f 36 34 20 74 6f 20 65 76 65	to.assign.a.different./64.to.eve
1ad80	72 79 20 69 6e 74 65 72 66 61 63 65 2c 20 4c 41 4e 2c 20 6f 72 20 65 76 65 6e 20 64 65 76 69 63	ry.interface,.LAN,.or.even.devic
1ada0	65 2e 20 4f 72 20 79 6f 75 20 63 6f 75 6c 64 20 62 72 65 61 6b 20 79 6f 75 72 20 6e 65 74 77 6f	e..Or.you.could.break.your.netwo
1adc0	72 6b 20 69 6e 74 6f 20 73 6d 61 6c 6c 65 72 20 63 68 75 6e 6b 73 20 6c 69 6b 65 20 2f 35 36 20	rk.into.smaller.chunks.like./56.
1ade0	6f 72 20 2f 36 30 2e 00 54 68 65 20 4c 61 62 20 61 73 75 6d 65 20 61 20 66 75 6c 6c 20 72 75 6e	or./60..The.Lab.asume.a.full.run
1ae00	6e 69 6e 67 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 6f 6e 20 74 68 65 20 57 69 6e	ning.Active.Directory.on.the.Win
1ae20	64 6f 77 73 20 53 65 72 76 65 72 2e 20 48 65 72 65 20 61 72 65 20 73 6f 6d 65 20 50 6f 77 65 72	dows.Server..Here.are.some.Power
1ae40	53 68 65 6c 6c 20 63 6f 6d 6d 61 6e 64 73 20 74 6f 20 71 75 69 63 6b 6c 79 20 61 64 64 20 61 20	Shell.commands.to.quickly.add.a.
1ae60	54 65 73 74 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 2e 00 54 68 65 20 54 6f 70 6f 6c	Test.Active.Directory..The.Topol
1ae80	6f 67 79 20 61 72 65 20 63 6f 6e 73 69 73 74 73 20 6f 66 3a 00 54 68 65 20 56 79 4f 53 20 69 6e	ogy.are.consists.of:.The.VyOS.in
1aea0	74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 20 74 68 65 20 2e 31 2f 3a 31 20 61 64	terface.is.assigned.the..1/:1.ad
1aec0	64 72 65 73 73 20 6f 66 20 74 68 65 69 72 20 72 65 73 70 65 63 74 69 76 65 20 6e 65 74 77 6f 72	dress.of.their.respective.networ
1aee0	6b 73 2e 20 57 41 4e 20 69 73 20 6f 6e 20 56 4c 41 4e 20 31 30 2c 20 4c 41 4e 20 6f 6e 20 56 4c	ks..WAN.is.on.VLAN.10,.LAN.on.VL
1af00	41 4e 20 32 30 2c 20 61 6e 64 20 44 4d 5a 20 6f 6e 20 56 4c 41 4e 20 33 30 2e 00 54 68 65 20 60	AN.20,.and.DMZ.on.VLAN.30..The.`
1af20	60 63 6f 6d 6d 69 74 60 60 20 63 6f 6d 6d 61 6e 64 20 69 73 20 69 6d 70 6c 69 65 64 20 61 66 74	`commit``.command.is.implied.aft
1af40	65 72 20 65 76 65 72 79 20 73 65 63 74 69 6f 6e 2e 20 49 66 20 79 6f 75 20 6d 61 6b 65 20 61 6e	er.every.section..If.you.make.an
1af60	20 65 72 72 6f 72 2c 20 60 60 63 6f 6d 6d 69 74 60 60 20 77 69 6c 6c 20 77 61 72 6e 20 79 6f 75	.error,.``commit``.will.warn.you
1af80	20 61 6e 64 20 79 6f 75 20 63 61 6e 20 66 69 78 20 69 74 20 62 65 66 6f 72 65 20 67 65 74 74 69	.and.you.can.fix.it.before.getti
1afa0	6e 67 20 74 6f 6f 20 66 61 72 20 69 6e 74 6f 20 74 68 69 6e 67 73 2e 20 50 6c 65 61 73 65 20 65	ng.too.far.into.things..Please.e
1afc0	6e 73 75 72 65 20 79 6f 75 20 63 6f 6d 6d 69 74 20 65 61 72 6c 79 20 61 6e 64 20 63 6f 6d 6d 69	nsure.you.commit.early.and.commi
1afe0	74 20 6f 66 74 65 6e 2e 00 54 68 65 20 60 60 72 65 64 69 73 74 72 69 62 75 74 65 20 6f 73 70 66	t.often..The.``redistribute.ospf
1b000	60 60 20 63 6f 6d 6d 61 6e 64 20 69 73 20 74 68 65 72 65 20 70 75 72 65 6c 79 20 61 73 20 61 6e	``.command.is.there.purely.as.an
1b020	20 65 78 61 6d 70 6c 65 20 6f 66 20 68 6f 77 20 74 68 69 73 20 63 61 6e 20 62 65 20 65 78 70 61	.example.of.how.this.can.be.expa
1b040	6e 64 65 64 2e 20 49 6e 20 74 68 69 73 20 77 61 6c 6b 74 68 72 6f 75 67 68 2c 20 69 74 20 77 69	nded..In.this.walkthrough,.it.wi
1b060	6c 6c 20 62 65 20 66 69 6c 74 65 72 65 64 20 62 79 20 42 47 50 4f 55 54 20 72 75 6c 65 20 31 30	ll.be.filtered.by.BGPOUT.rule.10
1b080	30 30 30 2c 20 61 73 20 69 74 20 69 73 20 6e 6f 74 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32 34	000,.as.it.is.not.203.0.113.0/24
1b0a0	2e 00 54 68 65 20 62 65 6c 6f 77 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 73 20 75 73 65	..The.below.configuration.is.use
1b0c0	64 20 61 73 20 65 78 61 6d 70 6c 65 20 77 68 65 72 65 20 77 65 20 6b 65 65 70 20 66 6f 63 75 73	d.as.example.where.we.keep.focus
1b0e0	20 6f 6e 20 56 79 4f 53 2d 50 31 2f 56 79 4f 53 2d 50 32 2f 58 52 76 2d 50 33 20 77 68 69 63 68	.on.VyOS-P1/VyOS-P2/XRv-P3.which
1b100	20 77 65 20 73 68 61 72 65 20 74 68 65 20 73 65 74 74 69 6e 67 73 2e 00 54 68 65 20 63 6f 6e 66	.we.share.the.settings..The.conf
1b120	69 67 75 72 61 74 69 6f 6e 20 73 74 65 70 73 20 61 72 65 20 74 68 65 20 73 61 6d 65 20 61 73 20	iguration.steps.are.the.same.as.
1b140	69 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 65 78 63 65 70 74 20	in.the.previous.example,.except.
1b160	72 75 6c 65 20 31 30 2e 20 53 6f 20 77 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72	rule.10..So.we.keep.the.configur
1b180	61 74 69 6f 6e 2c 20 72 65 6d 6f 76 65 20 72 75 6c 65 20 31 30 20 61 6e 64 20 61 64 64 20 61 20	ation,.remove.rule.10.and.add.a.
1b1a0	6e 65 77 20 72 75 6c 65 20 66 6f 72 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 6d 6f 64 65 3a 00	new.rule.for.the.failover.mode:.
1b1c0	54 68 65 20 65 78 61 6d 70 6c 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 73 20 32 20 56 79 4f 53 20	The.example.topology.has.2.VyOS.
1b1e0	72 6f 75 74 65 72 73 2e 20 4f 6e 65 20 61 73 20 54 68 65 20 57 41 4e 20 52 6f 75 74 65 72 20 61	routers..One.as.The.WAN.Router.a
1b200	6e 64 20 6f 6e 20 61 73 20 61 20 43 6c 69 65 6e 74 2c 20 74 6f 20 74 65 73 74 20 61 20 73 69 6e	nd.on.as.a.Client,.to.test.a.sin
1b220	67 6c 65 20 4c 41 4e 20 73 65 74 75 70 00 54 68 65 20 66 69 72 73 74 20 74 77 6f 20 72 75 6c 65	gle.LAN.setup.The.first.two.rule
1b240	73 20 61 72 65 20 74 6f 20 64 65 61 6c 20 77 69 74 68 20 74 68 65 20 69 64 69 6f 73 79 6e 63 72	s.are.to.deal.with.the.idiosyncr
1b260	61 73 69 65 73 20 6f 66 20 56 79 4f 53 20 61 6e 64 20 69 70 74 61 62 6c 65 73 2e 00 54 68 65 20	asies.of.VyOS.and.iptables..The.
1b280	66 6f 6c 6c 6f 77 69 6e 67 20 61 72 65 20 74 68 65 20 72 75 6c 65 73 20 74 68 61 74 20 77 65 72	following.are.the.rules.that.wer
1b2a0	65 20 63 72 65 61 74 65 64 20 66 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 28 6d 61 79 20	e.created.for.this.example.(may.
1b2c0	6e 6f 74 20 62 65 20 63 6f 6d 70 6c 65 74 65 29 2c 20 62 6f 74 68 20 69 6e 20 49 50 76 34 20 61	not.be.complete),.both.in.IPv4.a
1b2e0	6e 64 20 49 50 76 36 2e 20 49 66 20 74 68 65 72 65 20 69 73 20 6e 6f 20 49 50 20 73 70 65 63 69	nd.IPv6..If.there.is.no.IP.speci
1b300	66 69 65 64 2c 20 74 68 65 6e 20 74 68 65 20 73 6f 75 72 63 65 2f 64 65 73 74 69 6e 61 74 69 6f	fied,.then.the.source/destinatio
1b320	6e 20 61 64 64 72 65 73 73 20 69 73 20 6e 6f 74 20 65 78 70 6c 69 63 69 74 2e 00 54 68 65 20 66	n.address.is.not.explicit..The.f
1b340	6f 6c 6c 6f 77 69 6e 67 20 73 6f 66 74 77 61 72 65 20 77 61 73 20 75 73 65 64 20 69 6e 20 74 68	ollowing.software.was.used.in.th
1b360	65 20 63 72 65 61 74 69 6f 6e 20 6f 66 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 3a 00 54 68 65	e.creation.of.this.document:.The
1b380	20 66 6f 6c 6c 6f 77 69 6e 67 20 74 65 6d 70 6c 61 74 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f	.following.template.configuratio
1b3a0	6e 20 63 61 6e 20 62 65 20 75 73 65 64 20 69 6e 20 65 61 63 68 20 72 65 6d 6f 74 65 20 72 6f 75	n.can.be.used.in.each.remote.rou
1b3c0	74 65 72 20 62 61 73 65 64 20 69 6e 20 6f 75 72 20 74 6f 70 6f 6c 6f 67 79 2e 00 54 68 65 20 66	ter.based.in.our.topology..The.f
1b3e0	6f 72 6d 61 74 20 6f 66 20 74 68 65 73 65 20 61 64 64 72 65 73 73 65 73 3a 00 54 68 65 20 6c 61	ormat.of.these.addresses:.The.la
1b400	62 20 49 20 62 75 69 6c 74 20 69 73 20 75 73 69 6e 67 20 61 20 56 52 46 20 28 63 61 6c 6c 65 64	b.I.built.is.using.a.VRF.(called
1b420	20 2a 2a 6d 67 6d 74 2a 2a 29 20 74 6f 20 70 72 6f 76 69 64 65 20 6f 75 74 2d 6f 66 2d 62 61 6e	.**mgmt**).to.provide.out-of-ban
1b440	64 20 53 53 48 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 50 45 20 28 50 72 6f 76 69 64 65 72	d.SSH.access.to.the.PE.(Provider
1b460	20 45 64 67 65 29 20 72 6f 75 74 65 72 73 2e 00 54 68 65 20 6c 61 62 20 77 61 73 20 62 75 69 6c	.Edge).routers..The.lab.was.buil
1b480	74 20 75 73 69 6e 67 20 45 56 45 2d 4e 47 2e 00 54 68 65 20 6e 65 78 74 20 70 61 67 65 73 20 63	t.using.EVE-NG..The.next.pages.c
1b4a0	6f 6e 74 61 69 6e 73 20 61 75 74 6f 6d 61 74 69 63 20 66 75 6c 6c 20 74 65 73 74 65 64 20 63 6f	ontains.automatic.full.tested.co
1b4c0	6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 73 2e 00 54 68 65 20 70 72 65 76 69 6f	nfiguration.examples..The.previo
1b4e0	75 73 20 65 78 61 6d 70 6c 65 20 75 73 65 64 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 63 6f 6d	us.example.used.the.failover.com
1b500	6d 61 6e 64 20 74 6f 20 73 65 6e 64 20 74 72 61 66 66 69 63 20 74 68 72 6f 75 67 68 20 65 74 68	mand.to.send.traffic.through.eth
1b520	31 20 69 66 20 65 74 68 30 20 66 61 69 6c 73 2e 20 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65	1.if.eth0.fails..In.this.example
1b540	2c 20 66 61 69 6c 6f 76 65 72 20 66 75 6e 63 74 69 6f 6e 61 6c 69 74 79 20 69 73 20 70 72 6f 76	,.failover.functionality.is.prov
1b560	69 64 65 64 20 62 79 20 72 75 6c 65 20 6f 72 64 65 72 2e 00 54 68 65 20 70 72 6f 63 65 73 73 20	ided.by.rule.order..The.process.
1b580	77 69 6c 6c 20 64 6f 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 73 74 65 70 73 3a 00 54 68 65	will.do.the.following.steps:.The
1b5a0	20 73 63 6f 70 65 20 6f 66 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 63 6f	.scope.of.this.document.is.to.co
1b5c0	76 65 72 20 73 75 63 68 20 63 61 73 65 73 20 69 6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61 79 20	ver.such.cases.in.a.dynamic.way.
1b5e0	77 69 74 68 6f 75 74 20 74 68 65 20 75 73 65 20 6f 66 20 4d 50 4c 53 2d 4c 44 50 2e 00 54 68 65	without.the.use.of.MPLS-LDP..The
1b600	20 73 65 74 75 70 20 75 73 65 64 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 69 73 20 73	.setup.used.in.this.example.is.s
1b620	68 6f 77 6e 20 69 6e 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 64 69 61 67 72 61 6d 3a 00 54	hown.in.the.following.diagram:.T
1b640	68 65 20 73 69 6d 70 6c 65 20 77 61 79 20 77 69 74 68 6f 75 74 20 63 6f 6e 66 69 67 75 72 61 74	he.simple.way.without.configurat
1b660	69 6f 6e 20 6f 66 20 74 68 65 20 68 6f 73 74 6e 61 6d 65 20 28 6f 6e 65 20 74 61 73 6b 20 66 6f	ion.of.the.hostname.(one.task.fo
1b680	72 20 61 6c 6c 20 72 6f 75 74 65 72 73 29 3a 00 54 68 65 20 73 69 6d 70 6c 65 73 74 20 77 61 79	r.all.routers):.The.simplest.way
1b6a0	20 74 6f 20 74 65 73 74 20 69 73 20 74 6f 20 6c 6f 6f 6b 20 61 74 20 74 68 65 20 63 6f 6e 6e 65	.to.test.is.to.look.at.the.conne
1b6c0	63 74 69 6f 6e 20 74 72 61 63 6b 69 6e 67 20 73 74 61 74 73 20 6f 6e 20 74 68 65 20 73 74 61 6e	ction.tracking.stats.on.the.stan
1b6e0	64 62 79 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 20 77 69 74 68 20 74 68 65 20 63 6f 6d	dby.hardware.router.with.the.com
1b700	6d 61 6e 64 20 60 60 73 68 6f 77 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 20 73 74 61 74 69	mand.``show.conntrack-sync.stati
1b720	73 74 69 63 73 60 60 2e 20 54 68 65 20 6e 75 6d 62 65 72 73 20 73 68 6f 75 6c 64 20 62 65 20 76	stics``..The.numbers.should.be.v
1b740	65 72 79 20 63 6c 6f 73 65 20 74 6f 20 74 68 65 20 6e 75 6d 62 65 72 73 20 6f 6e 20 74 68 65 20	ery.close.to.the.numbers.on.the.
1b760	70 72 69 6d 61 72 79 20 72 6f 75 74 65 72 2e 00 54 68 65 20 73 79 6e 63 20 67 72 6f 75 70 20 69	primary.router..The.sync.group.i
1b780	73 20 75 73 65 64 20 74 6f 20 72 65 70 6c 69 63 61 74 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74	s.used.to.replicate.connection.t
1b7a0	72 61 63 6b 69 6e 67 2e 20 49 74 20 6e 65 65 64 73 20 74 6f 20 62 65 20 61 73 73 69 67 6e 65 64	racking..It.needs.to.be.assigned
1b7c0	20 74 6f 20 61 20 72 61 6e 64 6f 6d 20 56 52 52 50 20 67 72 6f 75 70 2c 20 61 6e 64 20 77 65 20	.to.a.random.VRRP.group,.and.we.
1b7e0	61 72 65 20 63 72 65 61 74 69 6e 67 20 61 20 73 79 6e 63 20 67 72 6f 75 70 20 63 61 6c 6c 65 64	are.creating.a.sync.group.called
1b800	20 60 60 73 79 6e 63 60 60 20 75 73 69 6e 67 20 74 68 65 20 76 72 72 70 20 67 72 6f 75 70 20 60	.``sync``.using.the.vrrp.group.`
1b820	60 69 6e 74 60 60 2e 00 54 68 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 73 20 33 20 56 79 4f 53 20	`int``..The.topology.has.3.VyOS.
1b840	72 6f 75 74 65 72 73 20 61 6e 64 20 6f 6e 65 20 63 6c 69 65 6e 74 2e 20 42 65 74 77 65 65 6e 20	routers.and.one.client..Between.
1b860	74 68 65 20 44 48 43 50 20 53 65 72 76 65 72 20 61 6e 64 20 74 68 65 20 44 48 43 50 20 52 65 6c	the.DHCP.Server.and.the.DHCP.Rel
1b880	61 79 20 69 73 20 61 20 47 52 45 20 74 75 6e 6e 65 6c 2e 20 54 68 65 20 60 74 72 61 6e 73 70 6f	ay.is.a.GRE.tunnel..The.`transpo
1b8a0	72 74 60 20 56 79 4f 53 20 72 65 70 72 65 73 65 6e 74 20 61 20 6c 61 72 67 65 20 4e 65 74 77 6f	rt`.VyOS.represent.a.large.Netwo
1b8c0	72 6b 2e 00 54 68 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 76 65 20 61 20 63 65 6e 74 72 61 6c 20	rk..The.topology.have.a.central.
1b8e0	61 6e 64 20 61 20 62 72 61 6e 63 68 20 56 79 4f 53 20 72 6f 75 74 65 72 20 61 6e 64 20 6f 6e 65	and.a.branch.VyOS.router.and.one
1b900	20 63 6c 69 65 6e 74 2c 20 74 6f 20 74 65 73 74 2c 20 69 6e 20 65 61 63 68 20 73 69 74 65 2e 00	.client,.to.test,.in.each.site..
1b920	54 68 65 6e 20 61 64 64 20 61 20 72 6f 75 74 65 2d 6d 61 70 20 61 6e 64 20 72 65 66 65 72 65 6e	Then.add.a.route-map.and.referen
1b940	63 65 20 74 6f 20 61 62 6f 76 65 20 70 72 65 66 69 78 2e 20 43 6f 6e 73 69 64 65 72 20 74 68 61	ce.to.above.prefix..Consider.tha
1b960	74 20 74 68 65 20 61 63 74 69 6f 6e 73 20 74 61 6b 65 6e 20 69 6e 73 69 64 65 20 74 68 65 20 70	t.the.actions.taken.inside.the.p
1b980	72 65 66 69 78 20 77 69 6c 6c 20 4d 41 54 43 48 20 74 68 65 20 72 6f 75 74 65 73 20 74 68 61 74	refix.will.MATCH.the.routes.that
1b9a0	20 77 69 6c 6c 20 62 65 20 61 66 66 65 63 74 65 64 20 62 79 20 74 68 65 20 61 63 74 69 6f 6e 73	.will.be.affected.by.the.actions
1b9c0	20 69 6e 73 69 64 65 20 74 68 65 20 72 75 6c 65 73 20 6f 66 20 74 68 65 20 72 6f 75 74 65 2d 6d	.inside.the.rules.of.the.route-m
1b9e0	61 70 2e 00 54 68 65 6e 20 77 65 20 6e 65 65 64 20 74 6f 20 61 74 74 61 63 68 20 74 68 65 20 70	ap..Then.we.need.to.attach.the.p
1ba00	6f 6c 69 63 79 20 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 2e 20 54 68 69 73 20 6e	olicy.to.the.BGP.process..This.n
1ba20	65 65 64 73 20 74 6f 20 62 65 20 75 6e 64 65 72 20 74 68 65 20 69 6d 70 6f 72 74 20 73 74 61 74	eeds.to.be.under.the.import.stat
1ba40	65 6d 65 6e 74 20 69 6e 20 74 68 65 20 76 72 66 20 77 65 20 6e 65 65 64 20 74 6f 20 66 69 6c 74	ement.in.the.vrf.we.need.to.filt
1ba60	65 72 2e 00 54 68 65 72 65 20 61 72 65 20 73 6f 6d 65 20 63 61 73 65 73 20 77 68 65 72 65 20 74	er..There.are.some.cases.where.t
1ba80	68 69 73 20 69 73 20 6e 6f 74 20 6e 65 65 64 65 64 20 2d 66 6f 72 20 65 78 61 6d 70 6c 65 2c 20	his.is.not.needed.-for.example,.
1baa0	69 6e 20 73 6f 6d 65 20 44 44 6f 53 20 61 70 70 6c 69 61 6e 63 65 2d 20 62 75 74 20 6d 6f 73 74	in.some.DDoS.appliance-.but.most
1bac0	20 69 6e 74 65 72 2d 76 72 66 20 72 6f 75 74 69 6e 67 20 64 65 73 69 67 6e 73 20 75 73 65 20 74	.inter-vrf.routing.designs.use.t
1bae0	68 65 20 61 62 6f 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 2e 00 54 68 65 72 65 20 69	he.above.configurations..There.i
1bb00	73 20 70 6c 65 6e 74 79 20 6f 66 20 69 6e 73 74 72 75 63 74 69 6f 6e 73 20 61 6e 64 20 64 6f 63	s.plenty.of.instructions.and.doc
1bb20	75 6d 65 6e 74 61 74 69 6f 6e 20 6f 6e 20 73 65 74 74 69 6e 67 20 75 70 20 57 69 72 65 67 75 61	umentation.on.setting.up.Wiregua
1bb40	72 64 2e 20 54 68 65 20 6f 6e 6c 79 20 69 6d 70 6f 72 74 61 6e 74 20 74 68 69 6e 67 20 79 6f 75	rd..The.only.important.thing.you
1bb60	20 6e 65 65 64 20 74 6f 20 72 65 6d 65 6d 62 65 72 20 69 73 20 74 6f 20 6f 6e 6c 79 20 75 73 65	.need.to.remember.is.to.only.use
1bb80	20 6f 6e 65 20 57 69 72 65 47 75 61 72 64 20 69 6e 74 65 72 66 61 63 65 20 70 65 72 20 4f 53 50	.one.WireGuard.interface.per.OSP
1bba0	46 20 63 6f 6e 6e 65 63 74 69 6f 6e 2e 00 54 68 65 73 65 20 61 72 65 20 74 68 65 20 76 6c 61 6e	F.connection..These.are.the.vlan
1bbc0	73 20 77 65 20 77 69 6c 6c 20 62 65 20 75 73 69 6e 67 3a 00 54 68 65 79 20 77 61 6e 74 20 75 73	s.we.will.be.using:.They.want.us
1bbe0	20 74 6f 20 65 73 74 61 62 6c 69 73 68 20 61 20 42 47 50 20 73 65 73 73 69 6f 6e 20 74 6f 20 74	.to.establish.a.BGP.session.to.t
1bc00	68 65 69 72 20 72 6f 75 74 65 72 73 20 6f 6e 20 31 39 32 2e 30 2e 32 2e 31 31 20 61 6e 64 20 31	heir.routers.on.192.0.2.11.and.1
1bc20	39 32 2e 30 2e 32 2e 31 32 20 66 72 6f 6d 20 6f 75 72 20 72 6f 75 74 65 72 73 20 31 39 32 2e 30	92.0.2.12.from.our.routers.192.0
1bc40	2e 32 2e 32 31 20 61 6e 64 20 31 39 32 2e 30 2e 32 2e 32 32 2e 20 54 68 65 79 20 61 72 65 20 41	.2.21.and.192.0.2.22..They.are.A
1bc60	53 20 36 35 35 35 30 20 61 6e 64 20 77 65 20 61 72 65 20 41 53 20 36 35 35 35 31 2e 00 54 68 69	S.65550.and.we.are.AS.65551..Thi
1bc80	73 20 4c 41 42 20 73 68 6f 77 20 68 6f 77 20 74 6f 20 75 77 65 20 4f 70 65 6e 56 50 4e 20 77 69	s.LAB.show.how.to.uwe.OpenVPN.wi
1bca0	74 68 20 61 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 61 75 74 68 65 6e 74 69 63 61	th.a.Active.Directory.authentica
1bcc0	74 69 6f 6e 20 62 61 63 6b 65 6e 64 2e 00 54 68 69 73 20 61 63 63 6f 6d 70 6c 69 73 68 65 73 20	tion.backend..This.accomplishes.
1bce0	61 20 66 65 77 20 74 68 69 6e 67 73 3a 00 54 68 69 73 20 63 68 61 70 74 65 72 20 63 6f 6e 74 61	a.few.things:.This.chapter.conta
1bd00	69 6e 73 20 76 61 72 69 6f 75 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c	ins.various.configuration.exampl
1bd20	65 73 3a 00 54 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 20 61	es:.This.configuration.example.a
1bd40	6e 64 20 74 68 65 20 72 65 71 75 69 72 6d 65 6e 74 73 20 63 6f 6e 73 69 73 74 73 20 6f 6e 3a 00	nd.the.requirments.consists.on:.
1bd60	54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 61 69 6d 73 20 74 6f 20 77 61 6c 6b 20 79 6f 75 20 74	This.document.aims.to.walk.you.t
1bd80	68 72 6f 75 67 68 20 73 65 74 74 69 6e 67 20 65 76 65 72 79 74 68 69 6e 67 20 75 70 2c 20 73 6f	hrough.setting.everything.up,.so
1bda0	20 61 74 20 61 20 70 6f 69 6e 74 20 77 68 65 72 65 20 79 6f 75 20 63 61 6e 20 72 65 62 6f 6f 74	.at.a.point.where.you.can.reboot
1bdc0	20 61 6e 79 20 6d 61 63 68 69 6e 65 20 61 6e 64 20 6e 6f 74 20 6c 6f 73 65 20 6d 6f 72 65 20 74	.any.machine.and.not.lose.more.t
1bde0	68 61 6e 20 61 20 66 65 77 20 73 65 63 6f 6e 64 73 20 77 6f 72 74 68 20 6f 66 20 63 6f 6e 6e 65	han.a.few.seconds.worth.of.conne
1be00	63 74 69 76 69 74 79 2e 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 64 65 73	ctivity..This.document.is.to.des
1be20	63 72 69 62 65 20 61 20 62 61 73 69 63 20 73 65 74 75 70 20 75 73 69 6e 67 20 50 50 50 6f 45 20	cribe.a.basic.setup.using.PPPoE.
1be40	6f 76 65 72 20 4c 32 54 50 2e 20 4c 41 43 20 61 6e 64 20 4c 4e 53 20 61 72 65 20 63 6f 6d 70 6f	over.L2TP..LAC.and.LNS.are.compo
1be60	6e 65 6e 74 73 20 6f 66 20 74 68 65 20 62 72 6f 61 64 62 61 6e 64 20 74 6f 70 6f 6c 6f 67 79 2e	nents.of.the.broadband.topology.
1be80	20 4c 41 43 20 2d 20 4c 32 54 50 20 61 63 63 65 73 73 20 63 6f 6e 63 65 6e 74 72 61 74 6f 72 20	.LAC.-.L2TP.access.concentrator.
1bea0	4c 4e 53 20 2d 20 20 4c 32 54 50 20 4e 65 74 77 6f 72 6b 20 53 65 72 76 65 72 20 4c 41 43 20 61	LNS.-..L2TP.Network.Server.LAC.a
1bec0	6e 64 20 4c 4e 53 20 66 6f 72 6d 73 20 4c 32 54 50 20 74 75 6e 6e 65 6c 2e 20 4c 41 43 20 72 65	nd.LNS.forms.L2TP.tunnel..LAC.re
1bee0	63 65 69 76 65 73 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 50 50 50 6f 45 20 63 6c 69 65 6e 74	ceives.packets.from.PPPoE.client
1bf00	73 20 61 6e 64 20 66 6f 72 77 61 72 64 20 74 68 65 6d 20 74 6f 20 4c 4e 53 2e 20 4c 4e 53 20 69	s.and.forward.them.to.LNS..LNS.i
1bf20	73 20 74 68 65 20 74 65 72 6d 69 6e 61 74 69 6f 6e 20 70 6f 69 6e 74 20 74 68 61 74 20 63 6f 6d	s.the.termination.point.that.com
1bf40	65 73 20 66 72 6f 6d 20 50 50 50 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 74 68 65 20 72 65 6d	es.from.PPP.packets.from.the.rem
1bf60	6f 74 65 20 63 6c 69 65 6e 74 2e 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20	ote.client..This.document.is.to.
1bf80	64 65 73 63 72 69 62 65 20 61 20 62 61 73 69 63 20 73 65 74 75 70 20 75 73 69 6e 67 20 50 50 50	describe.a.basic.setup.using.PPP
1bfa0	6f 45 20 77 69 74 68 20 44 48 43 50 76 36 2d 50 44 20 2b 20 53 4c 41 41 43 20 74 6f 20 63 6f 6e	oE.with.DHCPv6-PD.+.SLAAC.to.con
1bfc0	73 74 72 75 63 74 20 61 20 74 79 70 69 63 61 6c 20 68 6f 6d 65 20 6e 65 74 77 6f 72 6b 2e 20 54	struct.a.typical.home.network..T
1bfe0	68 65 20 75 73 65 72 20 63 61 6e 20 66 6f 6c 6c 6f 77 20 74 68 65 20 73 74 65 70 73 20 64 65 73	he.user.can.follow.the.steps.des
1c000	63 72 69 62 65 64 20 68 65 72 65 20 74 6f 20 71 75 69 63 6b 6c 79 20 73 65 74 75 70 20 61 20 77	cribed.here.to.quickly.setup.a.w
1c020	6f 72 6b 69 6e 67 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 75 73 65 20 74 68 69 73 20 61 73 20 61	orking.network.and.use.this.as.a
1c040	20 73 74 61 72 74 69 6e 67 20 70 6f 69 6e 74 20 74 6f 20 66 75 72 74 68 65 72 20 63 6f 6e 66 69	.starting.point.to.further.confi
1c060	67 75 72 65 20 6f 72 20 66 69 6e 65 2d 74 75 6e 65 20 6f 74 68 65 72 20 73 65 74 74 69 6e 67 73	gure.or.fine-tune.other.settings
1c080	2e 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77 61 6c 6b 73 20 79 6f 75 20 74 68 72 6f 75 67	..This.document.walks.you.throug
1c0a0	68 20 61 20 63 6f 6d 70 6c 65 74 65 20 48 41 20 73 65 74 75 70 20 6f 66 20 74 77 6f 20 56 79 4f	h.a.complete.HA.setup.of.two.VyO
1c0c0	53 20 6d 61 63 68 69 6e 65 73 2e 20 54 68 69 73 20 64 65 73 69 67 6e 20 69 73 20 62 61 73 65 64	S.machines..This.design.is.based
1c0e0	20 6f 6e 20 61 20 56 4d 20 61 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 72 6f 75 74 65 72 20 61	.on.a.VM.as.the.primary.router.a
1c100	6e 64 20 61 20 70 68 79 73 69 63 61 6c 20 6d 61 63 68 69 6e 65 20 61 73 20 61 20 62 61 63 6b 75	nd.a.physical.machine.as.a.backu
1c120	70 2c 20 75 73 69 6e 67 20 56 52 52 50 2c 20 42 47 50 2c 20 4f 53 50 46 2c 20 61 6e 64 20 63 6f	p,.using.VRRP,.BGP,.OSPF,.and.co
1c140	6e 6e 74 72 61 63 6b 20 73 68 61 72 69 6e 67 2e 00 54 68 69 73 20 65 6e 73 75 72 65 73 20 79 6f	nntrack.sharing..This.ensures.yo
1c160	75 20 64 6f 6e 27 74 20 67 6f 20 74 6f 6f 20 66 61 73 74 20 6f 72 20 6d 69 73 73 20 61 20 73 74	u.don't.go.too.fast.or.miss.a.st
1c180	65 70 2e 20 48 6f 77 65 76 65 72 2c 20 69 74 20 77 69 6c 6c 20 6d 61 6b 65 20 79 6f 75 72 20 6c	ep..However,.it.will.make.your.l
1c1a0	69 66 65 20 65 61 73 69 65 72 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 66 69 78 65	ife.easier.to.configure.the.fixe
1c1c0	64 20 49 50 20 61 64 64 72 65 73 73 20 61 6e 64 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 6e	d.IP.address.and.default.route.n
1c1e0	6f 77 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 54 68 69 73 20	ow.on.the.hardware.router..This.
1c200	65 78 61 6d 70 6c 65 20 75 73 65 73 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 6d 6f 64 65 2e 00	example.uses.the.failover.mode..
1c220	54 68 69 73 20 67 69 76 65 73 20 75 73 20 4d 50 4c 53 20 73 65 67 6d 65 6e 74 20 72 6f 75 74 69	This.gives.us.MPLS.segment.routi
1c240	6e 67 20 65 6e 61 62 6c 65 64 20 61 6e 64 20 6c 61 62 65 6c 73 20 66 6f 72 77 61 72 64 69 6e 67	ng.enabled.and.labels.forwarding
1c260	20 3a 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 20 73 61 6d 70 6c 65 20 63 6f 6e	.:.This.guide.shows.a.sample.con
1c280	66 69 67 75 72 61 74 69 6f 6e 20 66 6f 72 20 46 6c 65 78 56 50 4e 20 73 69 74 65 2d 74 6f 2d 73	figuration.for.FlexVPN.site-to-s
1c2a0	69 74 65 20 49 6e 74 65 72 6e 65 74 20 50 72 6f 74 6f 63 6f 6c 20 53 65 63 75 72 69 74 79 20 28	ite.Internet.Protocol.Security.(
1c2c0	49 50 73 65 63 29 2f 47 65 6e 65 72 69 63 20 52 6f 75 74 69 6e 67 20 45 6e 63 61 70 73 75 6c 61	IPsec)/Generic.Routing.Encapsula
1c2e0	74 69 6f 6e 20 28 47 52 45 29 20 74 75 6e 6e 65 6c 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68	tion.(GRE).tunnel..This.guide.sh
1c300	6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 20 72 65 64 75 6e 64 61 6e 74 20 28 61	ows.an.example.of.a.redundant.(a
1c320	63 74 69 76 65 2d 61 63 74 69 76 65 29 20 72 6f 75 74 65 2d 62 61 73 65 64 20 49 4b 45 76 32 20	ctive-active).route-based.IKEv2.
1c340	73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 75 73 69 6e 67 20	site-to-site.VPN.to.Azure.using.
1c360	56 54 49 20 61 6e 64 20 42 47 50 20 66 6f 72 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20	VTI.and.BGP.for.dynamic.routing.
1c380	75 70 64 61 74 65 73 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61	updates..This.guide.shows.an.exa
1c3a0	6d 70 6c 65 20 6f 66 20 61 20 72 6f 75 74 65 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65	mple.of.a.route-based.IKEv2.site
1c3c0	2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 75 73 69 6e 67 20 56 54 49 20	-to-site.VPN.to.Azure.using.VTI.
1c3e0	61 6e 64 20 42 47 50 20 66 6f 72 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 70 64 61	and.BGP.for.dynamic.routing.upda
1c400	74 65 73 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65	tes..This.guide.shows.an.example
1c420	20 70 6f 6c 69 63 79 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65	.policy-based.IKEv2.site-to-site
1c440	20 56 50 4e 20 62 65 74 77 65 65 6e 20 74 77 6f 20 56 79 4f 53 20 72 6f 75 74 65 72 73 2c 20 61	.VPN.between.two.VyOS.routers,.a
1c460	6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 69 75 72 61 74 69 6f 6e 2e 00 54 68 69 73	nd.firewall.configiuration..This
1c480	20 67 75 69 64 65 20 77 61 6c 6b 73 20 74 68 72 6f 75 67 68 20 74 68 65 20 73 65 74 75 70 20 6f	.guide.walks.through.the.setup.o
1c4a0	66 20 68 74 74 70 73 3a 2f 2f 77 77 77 2e 74 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 20	f.https://www.tunnelbroker.net/.
1c4c0	66 6f 72 20 61 6e 20 49 50 76 36 20 54 75 6e 6e 65 6c 2e 00 54 68 69 73 20 68 61 73 20 61 20 66	for.an.IPv6.Tunnel..This.has.a.f
1c4e0	6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 31 30 2e 32 30 30 2e 32 30 31	loating.IP.address.of.10.200.201
1c500	2e 31 2f 32 34 2c 20 75 73 69 6e 67 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 32	.1/24,.using.virtual.router.ID.2
1c520	30 31 2e 20 54 68 65 20 64 69 66 66 65 72 65 6e 63 65 20 62 65 74 77 65 65 6e 20 74 68 65 6d 20	01..The.difference.between.them.
1c540	69 73 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 6e 61 6d 65 2c 20 68 65 6c 6c 6f 2d 73 6f 75	is.the.interface.name,.hello-sou
1c560	72 63 65 2d 61 64 64 72 65 73 73 2c 20 61 6e 64 20 70 65 65 72 2d 61 64 64 72 65 73 73 2e 00 54	rce-address,.and.peer-address..T
1c580	68 69 73 20 68 61 73 20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66	his.has.a.floating.IP.address.of
1c5a0	20 32 30 33 2e 30 2e 31 31 33 2e 31 2f 32 34 2c 20 75 73 69 6e 67 20 76 69 72 74 75 61 6c 20 72	.203.0.113.1/24,.using.virtual.r
1c5c0	6f 75 74 65 72 20 49 44 20 31 31 33 2e 20 54 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72	outer.ID.113..The.virtual.router
1c5e0	20 49 44 20 69 73 20 6a 75 73 74 20 61 20 72 61 6e 64 6f 6d 20 6e 75 6d 62 65 72 20 62 65 74 77	.ID.is.just.a.random.number.betw
1c600	65 65 6e 20 31 20 61 6e 64 20 32 35 34 2c 20 61 6e 64 20 63 61 6e 20 62 65 20 73 65 74 20 74 6f	een.1.and.254,.and.can.be.set.to
1c620	20 77 68 61 74 65 76 65 72 20 79 6f 75 20 77 61 6e 74 2e 20 42 65 73 74 20 70 72 61 63 74 69 63	.whatever.you.want..Best.practic
1c640	65 73 20 73 75 67 67 65 73 74 20 79 6f 75 20 74 72 79 20 74 6f 20 6b 65 65 70 20 74 68 65 6d 20	es.suggest.you.try.to.keep.them.
1c660	75 6e 69 71 75 65 20 65 6e 74 65 72 70 72 69 73 65 2d 77 69 64 65 2e 00 54 68 69 73 20 69 73 20	unique.enterprise-wide..This.is.
1c680	61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 74 68 65 20 74 68 72 65 65 20 62 61 73 65 20 72 75 6c	an.example.of.the.three.base.rul
1c6a0	65 73 2e 00 54 68 69 73 20 69 73 20 62 61 73 65 64 20 6f 6e 20 61 20 72 65 61 6c 2d 6c 69 66 65	es..This.is.based.on.a.real-life
1c6c0	20 70 72 6f 64 75 63 74 69 6f 6e 20 64 65 73 69 67 6e 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 63	.production.design..One.of.the.c
1c6e0	6f 6d 70 6c 65 78 20 69 73 73 75 65 73 20 69 73 20 65 6e 73 75 72 69 6e 67 20 79 6f 75 20 68 61	omplex.issues.is.ensuring.you.ha
1c700	76 65 20 72 65 64 75 6e 64 61 6e 74 20 64 61 74 61 20 49 4e 54 4f 20 79 6f 75 72 20 6e 65 74 77	ve.redundant.data.INTO.your.netw
1c720	6f 72 6b 2e 20 57 65 20 64 6f 20 74 68 69 73 20 77 69 74 68 20 61 20 70 61 69 72 20 6f 66 20 43	ork..We.do.this.with.a.pair.of.C
1c740	69 73 63 6f 20 4e 65 78 75 73 20 73 77 69 74 63 68 65 73 20 61 6e 64 20 75 73 69 6e 67 20 56 69	isco.Nexus.switches.and.using.Vi
1c760	72 74 75 61 6c 20 50 6f 72 74 43 68 61 6e 6e 65 6c 73 20 74 68 61 74 20 61 72 65 20 73 70 61 6e	rtual.PortChannels.that.are.span
1c780	6e 65 64 20 61 63 72 6f 73 73 20 74 68 65 6d 2e 20 41 73 20 61 20 62 6f 6e 75 73 2c 20 74 68 69	ned.across.them..As.a.bonus,.thi
1c7a0	73 20 61 6c 73 6f 20 61 6c 6c 6f 77 73 20 66 6f 72 20 63 6f 6d 70 6c 65 74 65 20 73 77 69 74 63	s.also.allows.for.complete.switc
1c7c0	68 20 66 61 69 6c 75 72 65 20 77 69 74 68 6f 75 74 20 61 6e 20 6f 75 74 61 67 65 2e 20 48 6f 77	h.failure.without.an.outage..How
1c7e0	20 79 6f 75 20 61 63 68 69 65 76 65 20 74 68 69 73 20 79 6f 75 72 73 65 6c 66 20 69 73 20 6c 65	.you.achieve.this.yourself.is.le
1c800	66 74 20 61 73 20 61 6e 20 65 78 65 72 63 69 73 65 20 74 6f 20 74 68 65 20 72 65 61 64 65 72 2e	ft.as.an.exercise.to.the.reader.
1c820	20 42 75 74 20 6f 75 72 20 73 65 74 75 70 20 69 73 20 64 6f 63 75 6d 65 6e 74 65 64 20 68 65 72	.But.our.setup.is.documented.her
1c840	65 2e 00 54 68 69 73 20 69 73 20 63 6f 6e 6e 65 63 74 69 6e 67 20 62 61 63 6b 20 74 6f 20 74 68	e..This.is.connecting.back.to.th
1c860	65 20 53 54 41 54 49 43 20 49 50 20 6f 66 20 72 6f 75 74 65 72 31 2c 20 6e 6f 74 20 74 68 65 20	e.STATIC.IP.of.router1,.not.the.
1c880	66 6c 6f 61 74 69 6e 67 2e 00 54 68 69 73 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 62 75 74	floating..This.is.identical,.but
1c8a0	20 79 6f 75 20 75 73 65 20 74 68 65 20 42 47 50 50 52 45 50 45 4e 44 4f 55 54 20 72 6f 75 74 65	.you.use.the.BGPPREPENDOUT.route
1c8c0	2d 6d 61 70 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 74 68 65 20 72 6f 75 74 65 20 77 69 74 68	-map.to.advertise.the.route.with
1c8e0	20 61 20 6c 6f 6e 67 65 72 20 70 61 74 68 2e 00 54 68 69 73 20 69 73 20 69 67 6e 6f 72 69 6e 67	.a.longer.path..This.is.ignoring
1c900	20 74 68 65 20 65 78 74 72 61 20 4f 75 74 2d 6f 66 2d 62 61 6e 64 20 6d 61 6e 61 67 65 6d 65 6e	.the.extra.Out-of-band.managemen
1c920	74 20 6e 65 74 77 6f 72 6b 69 6e 67 2c 20 77 68 69 63 68 20 73 68 6f 75 6c 64 20 62 65 20 6f 6e	t.networking,.which.should.be.on
1c940	20 74 6f 74 61 6c 6c 79 20 64 69 66 66 65 72 65 6e 74 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64	.totally.different.switches,.and
1c960	20 61 20 64 69 66 66 65 72 65 6e 74 20 66 65 65 64 20 69 6e 74 6f 20 74 68 65 20 72 61 63 6b 2c	.a.different.feed.into.the.rack,
1c980	20 61 6e 64 20 69 73 20 6f 75 74 20 6f 66 20 73 63 6f 70 65 20 6f 66 20 74 68 69 73 2e 00 54 68	.and.is.out.of.scope.of.this..Th
1c9a0	69 73 20 73 63 65 6e 61 72 69 6f 20 63 6f 75 6c 64 20 62 65 20 61 20 6e 69 67 68 74 6d 61 72 65	is.scenario.could.be.a.nightmare
1c9c0	20 61 70 70 6c 79 69 6e 67 20 72 65 67 75 6c 61 72 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 6d 69	.applying.regular.routing.and.mi
1c9e0	67 68 74 20 6e 65 65 64 20 66 69 6c 74 65 72 69 6e 67 20 69 6e 20 6d 75 6c 74 69 70 6c 65 20 69	ght.need.filtering.in.multiple.i
1ca00	6e 74 65 72 66 61 63 65 73 2e 00 54 68 69 73 20 73 65 63 74 69 6f 6e 20 64 65 73 63 72 69 62 65	nterfaces..This.section.describe
1ca20	73 20 76 65 72 69 66 69 63 61 74 69 6f 6e 20 63 6f 6d 6d 61 6e 64 73 20 66 6f 72 20 4d 50 4c 53	s.verification.commands.for.MPLS
1ca40	2f 42 47 50 2f 4c 44 50 20 70 72 6f 74 6f 63 6f 6c 73 20 61 6e 64 20 4c 33 56 50 4e 20 72 65 6c	/BGP/LDP.protocols.and.L3VPN.rel
1ca60	61 74 65 64 20 72 6f 75 74 65 73 20 61 73 20 77 65 6c 6c 20 61 73 20 64 69 61 67 6e 6f 73 69 73	ated.routes.as.well.as.diagnosis
1ca80	20 61 6e 64 20 72 65 61 63 68 61 62 69 6c 69 74 79 20 63 68 65 63 6b 73 20 62 65 74 77 65 65 6e	.and.reachability.checks.between
1caa0	20 43 45 20 6e 6f 64 65 73 2e 00 54 68 69 73 20 73 65 63 74 69 6f 6e 20 70 72 6f 76 69 64 65 73	.CE.nodes..This.section.provides
1cac0	20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 73 74 65 70 73 20 66 6f 72 20 73 65 74 74 69 6e 67	.configuration.steps.for.setting
1cae0	20 75 70 20 56 52 46 73 20 6f 6e 20 6f 75 72 20 50 45 20 6e 6f 64 65 73 20 69 6e 63 6c 75 64 69	.up.VRFs.on.our.PE.nodes.includi
1cb00	6e 67 20 43 45 20 66 61 63 69 6e 67 20 69 6e 74 65 72 66 61 63 65 73 2c 20 42 47 50 2c 20 72 64	ng.CE.facing.interfaces,.BGP,.rd
1cb20	20 61 6e 64 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 69 6d 70 6f 72 74 2f 65 78 70 6f 72 74 20	.and.route-target.import/export.
1cb40	62 61 73 65 64 20 6f 6e 20 74 68 65 20 70 72 65 2d 64 65 66 69 6e 65 64 20 70 61 72 61 6d 65 74	based.on.the.pre-defined.paramet
1cb60	65 72 73 2e 00 54 68 69 73 20 73 65 74 75 70 20 72 65 71 75 69 72 65 73 20 74 68 65 20 43 6f 6d	ers..This.setup.requires.the.Com
1cb80	70 72 65 73 73 69 6f 6e 20 43 6f 6e 74 72 6f 6c 20 50 72 6f 74 6f 63 6f 6c 20 28 43 43 50 29 20	pression.Control.Protocol.(CCP).
1cba0	62 65 69 6e 67 20 64 69 73 61 62 6c 65 64 2c 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 65	being.disabled,.the.command.``se
1cbc0	74 20 76 70 6e 20 6c 32 74 70 20 72 65 6d 6f 74 65 2d 61 63 63 65 73 73 20 70 70 70 2d 6f 70 74	t.vpn.l2tp.remote-access.ppp-opt
1cbe0	69 6f 6e 73 20 64 69 73 61 62 6c 65 2d 63 63 70 60 60 20 61 63 63 6f 6d 70 6c 69 73 68 65 73 20	ions.disable-ccp``.accomplishes.
1cc00	74 68 61 74 2e 00 54 68 69 73 20 73 69 6d 70 6c 65 20 73 74 72 75 63 74 75 72 65 20 73 68 6f 77	that..This.simple.structure.show
1cc20	20 68 6f 77 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 77 6f 20 6f 66 66 69 63 65 73 2e 20 4f 6e 65	.how.to.connect.two.offices..One
1cc40	20 72 65 6d 6f 74 65 20 62 72 61 6e 63 68 20 61 6e 64 20 74 68 65 20 63 65 6e 74 72 61 6c 20 6f	.remote.branch.and.the.central.o
1cc60	66 66 69 63 65 2e 00 54 68 69 73 20 73 69 6d 70 6c 65 20 73 74 72 75 63 74 75 72 65 20 73 68 6f	ffice..This.simple.structure.sho
1cc80	77 73 20 68 6f 77 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 20 44 48 43 50 20 52 65 6c 61 79	ws.how.to.configure.a.DHCP.Relay
1cca0	20 6f 76 65 72 20 61 20 47 52 45 20 42 72 69 64 67 65 20 69 6e 74 65 72 66 61 63 65 2e 00 54 68	.over.a.GRE.Bridge.interface..Th
1ccc0	69 73 20 77 69 6c 6c 20 62 65 20 76 69 73 69 62 6c 65 20 69 6e 20 27 73 68 6f 77 20 69 70 20 72	is.will.be.visible.in.'show.ip.r
1cce0	6f 75 74 65 27 2e 00 54 68 75 73 20 79 6f 75 20 63 61 6e 20 65 61 73 69 6c 79 20 6d 61 74 63 68	oute'..Thus.you.can.easily.match
1cd00	20 69 74 20 74 6f 20 6f 6e 65 20 6f 66 20 74 68 65 20 64 65 76 69 63 65 73 2f 6e 65 74 77 6f 72	.it.to.one.of.the.devices/networ
1cd20	6b 73 20 62 65 6c 6f 77 2e 00 54 6f 20 61 63 68 69 65 76 65 20 74 68 69 73 2c 20 79 6f 75 72 20	ks.below..To.achieve.this,.your.
1cd40	49 53 50 20 69 73 20 72 65 71 75 69 72 65 64 20 74 6f 20 73 75 70 70 6f 72 74 20 44 48 43 50 76	ISP.is.required.to.support.DHCPv
1cd60	36 2d 50 44 2e 20 49 66 20 79 6f 75 27 72 65 20 6e 6f 74 20 73 75 72 65 2c 20 70 6c 65 61 73 65	6-PD..If.you're.not.sure,.please
1cd80	20 63 6f 6e 74 61 63 74 20 79 6f 75 72 20 49 53 50 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72	.contact.your.ISP.for.more.infor
1cda0	6d 61 74 69 6f 6e 2e 00 54 6f 20 61 64 64 20 6c 6f 67 67 69 6e 67 20 74 6f 20 74 68 65 20 64 65	mation..To.add.logging.to.the.de
1cdc0	66 61 75 6c 74 20 72 75 6c 65 2c 20 64 6f 3a 00 54 6f 20 61 64 64 72 65 73 73 20 74 68 69 73 20	fault.rule,.do:.To.address.this.
1cde0	73 63 65 6e 61 72 69 6f 20 77 65 20 77 69 6c 6c 20 75 73 65 20 74 6f 20 6f 75 72 20 61 64 76 61	scenario.we.will.use.to.our.adva
1ce00	6e 74 61 67 65 20 61 6e 20 65 78 74 65 6e 73 69 6f 6e 20 6f 66 20 74 68 65 20 42 47 50 20 72 6f	ntage.an.extension.of.the.BGP.ro
1ce20	75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 74 68 61 74 20 77 69 6c 6c 20 68 65 6c 70 20 75 73	uting.protocol.that.will.help.us
1ce40	20 69 6e 20 74 68 65 20 e2 80 9c 45 78 70 6f 72 74 e2 80 9d 20 62 65 74 77 65 65 6e 20 56 52 46	.in.the....Export....between.VRF
1ce60	73 20 77 69 74 68 6f 75 74 20 74 68 65 20 6e 65 65 64 20 66 6f 72 20 4d 50 4c 53 2e 00 54 6f 20	s.without.the.need.for.MPLS..To.
1ce80	64 65 70 6c 6f 79 20 61 20 4c 61 79 65 72 33 20 56 50 4e 20 77 69 74 68 20 4d 50 4c 53 20 6f 6e	deploy.a.Layer3.VPN.with.MPLS.on
1cea0	20 56 79 4f 53 2c 20 77 65 20 73 68 6f 75 6c 64 20 6d 65 65 74 20 61 20 63 6f 75 70 6c 65 20 72	.VyOS,.we.should.meet.a.couple.r
1cec0	65 71 75 69 72 65 6d 65 6e 74 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 70 72 6f 70 65 72 6c 79	equirements.in.order.to.properly
1cee0	20 69 6d 70 6c 65 6d 65 6e 74 20 74 68 65 20 73 6f 6c 75 74 69 6f 6e 2e 20 57 65 27 6c 6c 20 75	.implement.the.solution..We'll.u
1cf00	73 65 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 6e 6f 64 65 73 20 69 6e 20 6f 75 72 20 4c 41	se.the.following.nodes.in.our.LA
1cf20	42 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 3a 00 54 6f 20 68 61 76 65 20 62 61 73 69 63 20 70 72 6f	B.environment:.To.have.basic.pro
1cf40	74 65 63 74 69 6f 6e 20 77 68 69 6c 65 20 6b 65 65 70 69 6e 67 20 49 50 76 36 20 6e 65 74 77 6f	tection.while.keeping.IPv6.netwo
1cf60	72 6b 20 66 75 6e 63 74 69 6f 6e 61 6c 2c 20 77 65 20 6e 65 65 64 20 74 6f 3a 00 54 6f 20 72 65	rk.functional,.we.need.to:.To.re
1cf80	61 63 68 20 74 68 65 20 6e 65 74 77 6f 72 6b 2c 20 61 20 72 6f 75 74 65 20 6d 75 73 74 20 62 65	ach.the.network,.a.route.must.be
1cfa0	20 73 65 74 20 6f 6e 20 65 61 63 68 20 56 79 4f 53 20 68 6f 73 74 2e 20 49 6e 20 74 68 69 73 20	.set.on.each.VyOS.host..In.this.
1cfc0	73 74 72 75 63 74 75 72 65 2c 20 61 20 73 74 61 74 69 63 20 69 6e 74 65 72 66 61 63 65 20 72 6f	structure,.a.static.interface.ro
1cfe0	75 74 65 20 77 69 6c 6c 20 66 69 74 20 74 68 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 2e 00 54	ute.will.fit.the.requirements..T
1d000	6f 70 6f 6c 6f 67 79 00 54 72 61 66 66 69 63 20 66 6c 6f 77 73 20 66 72 6f 6d 20 7a 6f 6e 65 20	opology.Traffic.flows.from.zone.
1d020	41 20 74 6f 20 7a 6f 6e 65 20 42 2e 20 54 68 61 74 20 66 6c 6f 77 20 69 73 20 77 68 61 74 20 49	A.to.zone.B..That.flow.is.what.I
1d040	20 72 65 66 65 72 20 74 6f 20 61 73 20 61 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69	.refer.to.as.a.zone-pair-directi
1d060	6f 6e 2e 20 65 67 2e 20 41 2d 3e 42 20 61 6e 64 20 42 2d 3e 41 20 61 72 65 20 74 77 6f 20 7a 6f	on..eg..A->B.and.B->A.are.two.zo
1d080	6e 65 2d 70 61 69 72 2d 64 65 73 74 69 6e 61 74 69 6f 6e 73 2e 00 54 72 61 6e 73 70 6f 72 74 3a	ne-pair-destinations..Transport:
1d0a0	00 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 54 75 6e	.Tunnelbroker.topology.image.Tun
1d0c0	6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 28 49 50 76 36 29 00 54 77 6f 20 56 79 4f 53 20 72 6f	nelbroker.net.(IPv6).Two.VyOS.ro
1d0e0	75 74 65 72 73 20 77 69 74 68 20 70 75 62 6c 69 63 20 49 50 20 61 64 64 72 65 73 73 2e 00 54 77	uters.with.public.IP.address..Tw
1d100	6f 20 72 75 6c 65 73 20 77 69 6c 6c 20 62 65 20 63 72 65 61 74 65 64 2c 20 74 68 65 20 66 69 72	o.rules.will.be.created,.the.fir
1d120	73 74 20 72 75 6c 65 20 64 69 72 65 63 74 73 20 74 72 61 66 66 69 63 20 63 6f 6d 69 6e 67 20 69	st.rule.directs.traffic.coming.i
1d140	6e 20 66 72 6f 6d 20 65 74 68 32 20 74 6f 20 65 74 68 30 20 61 6e 64 20 74 68 65 20 73 65 63 6f	n.from.eth2.to.eth0.and.the.seco
1d160	6e 64 20 72 75 6c 65 20 64 69 72 65 63 74 73 20 74 68 65 20 74 72 61 66 66 69 63 20 74 6f 20 65	nd.rule.directs.the.traffic.to.e
1d180	74 68 31 2e 20 49 66 20 65 74 68 30 20 66 61 69 6c 73 20 74 68 65 20 66 69 72 73 74 20 72 75 6c	th1..If.eth0.fails.the.first.rul
1d1a0	65 20 69 73 20 62 79 70 61 73 73 65 64 20 61 6e 64 20 74 68 65 20 73 65 63 6f 6e 64 20 72 75 6c	e.is.bypassed.and.the.second.rul
1d1c0	65 20 6d 61 74 63 68 65 73 2c 20 64 69 72 65 63 74 69 6e 67 20 74 72 61 66 66 69 63 20 74 6f 20	e.matches,.directing.traffic.to.
1d1e0	65 74 68 31 2e 00 55 6e 6c 69 6b 65 20 49 50 76 34 2c 20 49 50 76 36 20 69 73 20 72 65 61 6c 6c	eth1..Unlike.IPv4,.IPv6.is.reall
1d200	79 20 6e 6f 74 20 64 65 73 69 67 6e 65 64 20 74 6f 20 62 65 20 62 72 6f 6b 65 6e 20 75 70 20 73	y.not.designed.to.be.broken.up.s
1d220	6d 61 6c 6c 65 72 20 74 68 61 6e 20 2f 36 34 2e 20 53 6f 20 69 66 20 79 6f 75 20 65 76 65 72 20	maller.than./64..So.if.you.ever.
1d240	77 61 6e 74 20 74 6f 20 68 61 76 65 20 6d 75 6c 74 69 70 6c 65 20 4c 41 4e 73 2c 20 56 4c 41 4e	want.to.have.multiple.LANs,.VLAN
1d260	73 2c 20 44 4d 5a 2c 20 65 74 63 2c 20 79 6f 75 27 6c 6c 20 77 61 6e 74 20 74 6f 20 69 67 6e 6f	s,.DMZ,.etc,.you'll.want.to.igno
1d280	72 65 20 74 68 65 20 61 73 73 69 67 6e 65 64 20 2f 36 34 2c 20 61 6e 64 20 72 65 71 75 65 73 74	re.the.assigned./64,.and.request
1d2a0	20 74 68 65 20 2f 34 38 20 61 6e 64 20 75 73 65 20 74 68 61 74 2e 00 55 73 69 6e 67 20 74 68 65	.the./48.and.use.that..Using.the
1d2c0	20 67 65 6e 65 72 61 6c 20 73 63 68 65 6d 61 20 66 6f 72 20 65 78 61 6d 70 6c 65 3a 00 55 73 69	.general.schema.for.example:.Usi
1d2e0	6e 67 20 74 68 69 73 20 63 6f 6d 6d 61 6e 64 20 77 65 20 61 72 65 20 61 6c 73 6f 20 61 62 6c 65	ng.this.command.we.are.also.able
1d300	20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 61 6e 64 20 63 75 73 74	.to.check.the.transport.and.cust
1d320	6f 6d 65 72 20 6c 61 62 65 6c 20 28 69 6e 6e 65 72 2f 6f 75 74 65 72 29 20 66 6f 72 20 48 75 62	omer.label.(inner/outer).for.Hub
1d340	20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 20 28 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 29 3a	.network.prefix.(10.0.0.100/32):
1d360	00 56 4c 41 4e 20 31 30 30 20 61 6e 64 20 32 30 31 20 77 69 6c 6c 20 68 61 76 65 20 66 6c 6f 61	.VLAN.100.and.201.will.have.floa
1d380	74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 65 73 2c 20 62 75 74 20 56 4c 41 4e 35 30 20 64 6f	ting.IP.addresses,.but.VLAN50.do
1d3a0	65 73 20 6e 6f 74 2c 20 61 73 20 74 68 69 73 20 69 73 20 74 61 6c 6b 69 6e 67 20 64 69 72 65 63	es.not,.as.this.is.talking.direc
1d3c0	74 6c 79 20 74 6f 20 75 70 73 74 72 65 61 6d 2e 20 43 72 65 61 74 65 20 6f 75 72 20 49 50 20 61	tly.to.upstream..Create.our.IP.a
1d3e0	64 64 72 65 73 73 20 6f 6e 20 76 6c 61 6e 35 30 2e 00 56 4c 41 4e 73 00 56 4d 77 61 72 65 3a 20	ddress.on.vlan50..VLANs.VMware:.
1d400	59 6f 75 20 6d 75 73 74 20 44 49 53 41 42 4c 45 20 53 45 43 55 52 49 54 59 20 6f 6e 20 74 68 69	You.must.DISABLE.SECURITY.on.thi
1d420	73 20 50 6f 72 74 20 67 72 6f 75 70 2e 20 4d 61 6b 65 20 73 75 72 65 20 74 68 61 74 20 60 60 50	s.Port.group..Make.sure.that.``P
1d440	72 6f 6d 69 73 63 75 6f 75 73 20 4d 6f 64 65 60 60 5c 20 2c 20 60 60 4d 41 43 20 61 64 64 72 65	romiscuous.Mode``\.,.``MAC.addre
1d460	73 73 20 63 68 61 6e 67 65 73 60 60 20 61 6e 64 20 60 60 46 6f 72 67 65 64 20 74 72 61 6e 73 6d	ss.changes``.and.``Forged.transm
1d480	69 74 73 60 60 20 61 72 65 20 65 6e 61 62 6c 65 64 2e 20 41 6c 6c 20 6f 66 20 74 68 65 73 65 20	its``.are.enabled..All.of.these.
1d4a0	77 69 6c 6c 20 62 65 20 64 6f 6e 65 20 61 73 20 70 61 72 74 20 6f 66 20 66 61 69 6c 6f 76 65 72	will.be.done.as.part.of.failover
1d4c0	2e 00 56 52 46 00 56 52 52 50 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 56 65 72 69 66 69 63	..VRF.VRRP.Configuration.Verific
1d4e0	61 74 69 6f 6e 00 56 65 72 73 69 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31	ation.Version:.1.4-rolling-20211
1d500	30 33 31 30 33 31 37 00 56 65 72 73 69 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32	0310317.Version:.1.4-rolling-202
1d520	33 30 35 31 30 30 37 33 34 00 56 65 72 73 69 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32	305100734.Version:.1.4-rolling-2
1d540	30 32 33 30 38 32 34 30 30 32 30 00 56 65 72 73 69 6f 6e 3a 20 31 2e 35 2d 72 6f 6c 6c 69 6e 67	02308240020.Version:.1.5-rolling
1d560	2d 32 30 32 34 30 31 31 32 31 32 33 39 00 56 65 72 73 69 6f 6e 3a 20 76 79 6f 73 2d 31 2e 34 2d	-202401121239.Version:.vyos-1.4-
1d580	72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 32 31 35 30 33 31 37 00 56 79 4f 53 00 56 79 4f 53 20 31	rolling-202302150317.VyOS.VyOS.1
1d5a0	2e 33 20 61 64 64 65 64 20 69 6e 69 74 69 61 6c 20 73 75 70 70 6f 72 74 20 66 6f 72 20 56 52 46	.3.added.initial.support.for.VRF
1d5c0	73 20 28 69 6e 63 6c 75 64 69 6e 67 20 49 50 76 34 2f 49 50 76 36 20 73 74 61 74 69 63 20 72 6f	s.(including.IPv4/IPv6.static.ro
1d5e0	75 74 69 6e 67 29 20 61 6e 64 20 56 79 4f 53 20 31 2e 34 20 6e 6f 77 20 65 6e 61 62 6c 65 73 20	uting).and.VyOS.1.4.now.enables.
1d600	66 75 6c 6c 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 73 75	full.dynamic.routing.protocol.su
1d620	70 70 6f 72 74 20 66 6f 72 20 4f 53 50 46 2c 20 49 53 2d 49 53 2c 20 61 6e 64 20 42 47 50 20 66	pport.for.OSPF,.IS-IS,.and.BGP.f
1d640	6f 72 20 69 6e 64 69 76 69 64 75 61 6c 20 56 52 46 73 2e 00 56 79 4f 53 20 61 63 74 73 20 61 73	or.individual.VRFs..VyOS.acts.as
1d660	20 44 48 43 50 2c 20 44 4e 53 20 66 6f 72 77 61 72 64 65 72 2c 20 4e 41 54 2c 20 72 6f 75 74 65	.DHCP,.DNS.forwarder,.NAT,.route
1d680	72 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 2e 00 56 79 4f 53 20 61 73 20 43 6c 69 65 6e 74 00 56	r.and.firewall..VyOS.as.Client.V
1d6a0	79 4f 53 20 61 73 20 61 20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 00 56 79 4f 53 20 69 73 20	yOS.as.a.OpenVPN.Server.VyOS.is.
1d6c0	61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 4d 53 44 20 70 65 72 20 64 65 76 69 63 65 73 3a 00 56	able.to.check.MSD.per.devices:.V
1d6e0	79 4f 53 2d 43 45 2d 48 55 42 20 2d 2d 2d 2d 2d 2d 2d 3e 20 56 79 4f 53 2d 43 45 31 2d 53 50 4f	yOS-CE-HUB.------->.VyOS-CE1-SPO
1d700	4b 45 00 56 79 4f 53 2d 43 45 2d 48 55 42 20 2d 2d 2d 2d 2d 2d 2d 3e 20 56 79 4f 53 2d 43 45 32	KE.VyOS-CE-HUB.------->.VyOS-CE2
1d720	2d 53 50 4f 4b 45 00 56 79 4f 53 2d 43 45 31 2d 48 55 42 3a 00 56 79 4f 53 2d 43 45 31 2d 53 50	-SPOKE.VyOS-CE1-HUB:.VyOS-CE1-SP
1d740	4f 4b 45 20 2d 2d 2d 2d 2d 3e 20 20 20 56 79 4f 53 2d 43 45 2d 48 55 42 00 56 79 4f 53 2d 43 45	OKE.----->...VyOS-CE-HUB.VyOS-CE
1d760	31 2d 53 50 4f 4b 45 3a 00 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 20 2d 2d 2d 2d 2d 2d 2d 3e	1-SPOKE:.VyOS-CE2-SPOKE.------->
1d780	20 20 56 79 4f 53 2d 43 45 2d 48 55 42 00 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 3a 00 56 79	..VyOS-CE-HUB.VyOS-CE2-SPOKE:.Vy
1d7a0	4f 53 2d 50 31 3a 00 56 79 4f 53 2d 50 32 3a 00 56 79 4f 53 2d 50 33 3a 00 56 79 4f 53 2d 50 34	OS-P1:.VyOS-P2:.VyOS-P3:.VyOS-P4
1d7c0	3a 00 56 79 4f 53 2d 50 45 31 00 56 79 4f 53 2d 50 45 31 3a 00 56 79 4f 53 2d 50 45 32 00 56 79	:.VyOS-PE1.VyOS-PE1:.VyOS-PE2.Vy
1d7e0	4f 53 2d 50 45 32 3a 00 56 79 4f 53 2d 50 45 33 00 56 79 4f 53 2d 50 45 33 3a 00 56 79 4f 53 2d	OS-PE2:.VyOS-PE3.VyOS-PE3:.VyOS-
1d800	52 52 31 2f 52 52 32 00 56 79 4f 53 2d 52 52 31 3a 00 56 79 4f 53 2d 52 52 32 3a 00 56 79 6f 73	RR1/RR2.VyOS-RR1:.VyOS-RR2:.Vyos
1d820	20 41 53 4e 00 56 79 6f 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 56 79 6f 73 20 70 72 69	.ASN.Vyos.configuration.Vyos.pri
1d840	76 61 74 65 20 49 50 00 56 79 6f 73 20 70 75 62 6c 69 63 20 49 50 00 57 41 4e 20 49 6e 74 65 72	vate.IP.Vyos.public.IP.WAN.Inter
1d860	66 61 63 65 00 57 41 4e 20 4c 6f 61 64 20 42 61 6c 61 6e 63 65 72 20 65 78 61 6d 70 6c 65 73 00	face.WAN.Load.Balancer.examples.
1d880	57 61 6c 6b 74 68 72 6f 75 67 68 20 73 75 67 67 65 73 74 69 6f 6e 00 57 65 20 61 72 65 20 67 6f	Walkthrough.suggestion.We.are.go
1d8a0	69 6e 67 20 74 6f 20 75 73 65 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 66 6f 72 20 61	ing.to.use.10.200.201.0/24.for.a
1d8c0	6e 20 27 69 6e 74 65 72 6e 61 6c 27 20 6e 65 74 77 6f 72 6b 20 6f 6e 20 56 4c 41 4e 32 30 31 2e	n.'internal'.network.on.VLAN201.
1d8e0	00 57 65 20 61 72 65 20 73 65 74 74 69 6e 67 20 75 70 20 56 52 52 50 20 73 6f 20 74 68 61 74 20	.We.are.setting.up.VRRP.so.that.
1d900	69 74 20 64 6f 65 73 20 4e 4f 54 20 66 61 69 6c 20 62 61 63 6b 20 77 68 65 6e 20 61 20 6d 61 63	it.does.NOT.fail.back.when.a.mac
1d920	68 69 6e 65 20 72 65 74 75 72 6e 73 20 69 6e 74 6f 20 73 65 72 76 69 63 65 2c 20 61 6e 64 20 69	hine.returns.into.service,.and.i
1d940	74 20 70 72 69 6f 72 69 74 69 7a 65 73 20 72 6f 75 74 65 72 31 20 6f 76 65 72 20 72 6f 75 74 65	t.prioritizes.router1.over.route
1d960	72 32 2e 00 57 65 20 61 72 65 20 75 73 69 6e 67 20 61 20 22 77 68 69 74 65 20 6c 69 73 74 22 20	r2..We.are.using.a."white.list".
1d980	61 70 70 72 6f 61 63 68 20 62 79 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 77 68 61 74 20 69	approach.by.allowing.only.what.i
1d9a0	73 20 6e 65 63 65 73 73 61 72 79 2e 20 49 6e 20 63 61 73 65 20 74 68 61 74 20 6e 65 65 64 20 74	s.necessary..In.case.that.need.t
1d9c0	6f 20 69 6d 70 6c 65 6d 65 6e 74 20 61 20 22 62 6c 61 63 6b 20 6c 69 73 74 22 20 61 70 70 72 6f	o.implement.a."black.list".appro
1d9e0	61 63 68 20 74 68 65 6e 20 79 6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 63 68 61 6e 67 65	ach.then.you.will.need.to.change
1da00	20 74 68 65 20 61 63 74 69 6f 6e 20 69 6e 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 20 66 6f 72	.the.action.in.the.route-map.for
1da20	20 61 20 64 65 6e 79 20 42 55 54 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 61 64 64 20 61 20 72 75	.a.deny.BUT.you.need.to.add.a.ru
1da40	6c 65 20 74 68 61 74 20 70 65 72 6d 69 74 73 20 74 68 65 20 72 65 73 74 20 64 75 65 20 74 6f 20	le.that.permits.the.rest.due.to.
1da60	74 68 65 20 69 6d 70 6c 69 63 69 74 20 64 65 6e 79 20 69 6e 20 74 68 65 20 72 6f 75 74 65 2d 6d	the.implicit.deny.in.the.route-m
1da80	61 70 2e 00 57 65 20 63 72 65 61 74 65 20 61 20 70 72 65 66 69 78 2d 6c 69 73 74 20 66 69 72 73	ap..We.create.a.prefix-list.firs
1daa0	74 20 61 6e 64 20 61 64 64 20 61 6c 6c 20 74 68 65 20 72 6f 75 74 65 73 20 77 65 20 6e 65 65 64	t.and.add.all.the.routes.we.need
1dac0	20 74 6f 2e 00 57 65 20 65 78 70 6c 69 63 69 74 6c 79 20 65 78 63 6c 75 64 65 20 74 68 65 20 70	.to..We.explicitly.exclude.the.p
1dae0	72 69 6d 61 72 79 20 75 70 73 74 72 65 61 6d 20 6e 65 74 77 6f 72 6b 20 73 6f 20 74 68 61 74 20	rimary.upstream.network.so.that.
1db00	42 47 50 20 6f 72 20 4f 53 50 46 20 74 72 61 66 66 69 63 20 64 6f 65 73 6e 27 74 20 61 63 63 69	BGP.or.OSPF.traffic.doesn't.acci
1db20	64 65 6e 74 61 6c 6c 79 20 67 65 74 20 4e 41 54 27 65 64 2e 00 57 65 20 68 61 76 65 20 66 6f 75	dentally.get.NAT'ed..We.have.fou
1db40	72 20 68 6f 73 74 73 20 6f 6e 20 74 68 65 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 31 37 32	r.hosts.on.the.local.network.172
1db60	2e 31 37 2e 31 2e 30 2f 32 34 2e 20 41 6c 6c 20 68 6f 73 74 73 20 61 72 65 20 6c 61 62 65 6c 65	.17.1.0/24..All.hosts.are.labele
1db80	64 20 43 53 30 20 62 79 20 64 65 66 61 75 6c 74 2e 20 57 65 20 6e 65 65 64 20 74 6f 20 72 65 70	d.CS0.by.default..We.need.to.rep
1dba0	6c 61 63 65 20 6c 61 62 65 6c 73 20 6f 6e 20 61 6c 6c 20 68 6f 73 74 73 20 65 78 63 65 70 74 20	lace.labels.on.all.hosts.except.
1dbc0	76 70 63 38 2e 20 57 65 20 77 69 6c 6c 20 72 65 70 6c 61 63 65 20 74 68 65 20 6c 61 62 65 6c 73	vpc8..We.will.replace.the.labels
1dbe0	20 6f 6e 20 74 68 65 20 6e 65 61 72 65 73 74 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 33 e2	.on.the.nearest.router....VyOS3.
1dc00	80 9d 20 75 73 69 6e 67 20 74 68 65 20 49 50 20 61 64 64 72 65 73 73 65 73 20 6f 66 20 74 68 65	...using.the.IP.addresses.of.the
1dc20	20 73 6f 75 72 63 65 73 2e 00 57 65 20 68 61 76 65 20 66 6f 75 72 20 70 72 65 2d 63 6f 6e 66 69	.sources..We.have.four.pre-confi
1dc40	67 75 72 65 64 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 74 68 69 73 20 63 6f 6e 66 69 67 75 72	gured.routers.with.this.configur
1dc60	61 74 69 6f 6e 3a 00 57 65 20 68 61 76 65 20 74 68 72 65 65 20 6e 65 74 77 6f 72 6b 73 2e 00 57	ation:.We.have.three.networks..W
1dc80	65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 74 68	e.keep.the.configuration.from.th
1dca0	65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 64 65 6c 65 74 65 20 72 75 6c 65 20	e.previous.example,.delete.rule.
1dcc0	31 30 20 61 6e 64 20 63 72 65 61 74 65 20 74 68 65 20 74 77 6f 20 6e 65 77 20 72 75 6c 65 73 20	10.and.create.the.two.new.rules.
1dce0	61 73 20 64 65 73 63 72 69 62 65 64 3a 00 57 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67	as.described:.We.keep.the.config
1dd00	75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c	uration.from.the.previous.exampl
1dd20	65 2c 20 64 65 6c 65 74 65 20 72 75 6c 65 20 32 30 20 61 6e 64 20 63 72 65 61 74 65 20 61 20 6e	e,.delete.rule.20.and.create.a.n
1dd40	65 77 20 72 75 6c 65 20 61 73 20 64 65 73 63 72 69 62 65 64 3a 00 57 65 20 6e 65 65 64 20 74 6f	ew.rule.as.described:.We.need.to
1dd60	20 65 6e 61 62 6c 65 20 72 6f 75 74 65 72 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 66 6f 72	.enable.router.advertisement.for
1dd80	20 4c 41 4e 20 6e 65 74 77 6f 72 6b 20 73 6f 20 74 68 61 74 20 50 43 20 63 61 6e 20 72 65 63 65	.LAN.network.so.that.PC.can.rece
1dda0	69 76 65 20 74 68 65 20 70 72 65 66 69 78 20 61 6e 64 20 75 73 65 20 53 4c 41 41 43 20 74 6f 20	ive.the.prefix.and.use.SLAAC.to.
1ddc0	63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 61 64 64 72 65 73 73 20 61 75 74 6f 6d 61 74 69 63 61	configure.the.address.automatica
1dde0	6c 6c 79 2e 00 57 65 20 6f 6e 6c 79 20 77 61 6e 74 20 74 6f 20 65 78 70 6f 72 74 20 74 68 65 20	lly..We.only.want.to.export.the.
1de00	6e 65 74 77 6f 72 6b 73 20 77 65 20 6b 6e 6f 77 2e 20 41 6c 77 61 79 73 20 64 6f 20 61 20 77 68	networks.we.know..Always.do.a.wh
1de20	69 74 65 6c 69 73 74 20 6f 6e 20 79 6f 75 72 20 72 6f 75 74 65 20 66 69 6c 74 65 72 73 2c 20 62	itelist.on.your.route.filters,.b
1de40	6f 74 68 20 69 6d 70 6f 72 74 69 6e 67 20 61 6e 64 20 65 78 70 6f 72 74 69 6e 67 2e 20 41 20 67	oth.importing.and.exporting..A.g
1de60	6f 6f 64 20 72 75 6c 65 20 6f 66 20 74 68 75 6d 62 20 69 73 20 2a 2a 27 49 66 20 79 6f 75 20 61	ood.rule.of.thumb.is.**'If.you.a
1de80	72 65 20 6e 6f 74 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 20 66 6f 72 20 61 20	re.not.the.default.router.for.a.
1dea0	6e 65 74 77 6f 72 6b 2c 20 64 6f 6e 27 74 20 61 64 76 65 72 74 69 73 65 20 69 74 27 2a 2a 2e 20	network,.don't.advertise.it'**..
1dec0	54 68 69 73 20 6d 65 61 6e 73 20 77 65 20 65 78 70 6c 69 63 69 74 6c 79 20 64 6f 20 6e 6f 74 20	This.means.we.explicitly.do.not.
1dee0	77 61 6e 74 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f	want.to.advertise.the.192.0.2.0/
1df00	32 34 20 6e 65 74 77 6f 72 6b 20 28 62 75 74 20 64 6f 20 77 61 6e 74 20 74 6f 20 61 64 76 65 72	24.network.(but.do.want.to.adver
1df20	74 69 73 65 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 20 61 6e 64 20 32 30 33 2e 30 2e 31 31 33 2e	tise.10.200.201.0.and.203.0.113.
1df40	30 2c 20 77 68 69 63 68 20 77 65 20 41 52 45 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74	0,.which.we.ARE.the.default.rout
1df60	65 20 66 6f 72 29 2e 20 54 68 69 73 20 66 69 6c 74 65 72 20 69 73 20 61 70 70 6c 69 65 64 20 74	e.for)..This.filter.is.applied.t
1df80	6f 20 60 60 72 65 64 69 73 74 72 69 62 75 74 65 20 63 6f 6e 6e 65 63 74 65 64 60 60 2e 20 49 66	o.``redistribute.connected``..If
1dfa0	20 77 65 20 57 45 52 45 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 69 74 2c 20 74 68 65 20 72 65	.we.WERE.to.advertise.it,.the.re
1dfc0	6d 6f 74 65 20 6d 61 63 68 69 6e 65 73 20 77 6f 75 6c 64 20 73 65 65 20 31 39 32 2e 30 2e 32 2e	mote.machines.would.see.192.0.2.
1dfe0	32 31 20 61 76 61 69 6c 61 62 6c 65 20 76 69 61 20 74 68 65 69 72 20 64 65 66 61 75 6c 74 20 72	21.available.via.their.default.r
1e000	6f 75 74 65 2c 20 65 73 74 61 62 6c 69 73 68 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 2c 20	oute,.establish.the.connection,.
1e020	61 6e 64 20 74 68 65 6e 20 4f 53 50 46 20 77 6f 75 6c 64 20 73 61 79 20 27 31 39 32 2e 30 2e 32	and.then.OSPF.would.say.'192.0.2
1e040	2e 30 2f 32 34 20 69 73 20 61 76 61 69 6c 61 62 6c 65 20 76 69 61 20 74 68 69 73 20 74 75 6e 6e	.0/24.is.available.via.this.tunn
1e060	65 6c 27 2c 20 61 74 20 77 68 69 63 68 20 70 6f 69 6e 74 20 74 68 65 20 74 75 6e 6e 65 6c 20 77	el',.at.which.point.the.tunnel.w
1e080	6f 75 6c 64 20 62 72 65 61 6b 2c 20 4f 53 50 46 20 77 6f 75 6c 64 20 64 72 6f 70 20 74 68 65 20	ould.break,.OSPF.would.drop.the.
1e0a0	72 6f 75 74 65 73 2c 20 61 6e 64 20 74 68 65 6e 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 77 6f	routes,.and.then.192.0.2.0/24.wo
1e0c0	75 6c 64 20 62 65 20 72 65 61 63 68 61 62 6c 65 20 76 69 61 20 64 65 66 61 75 6c 74 20 61 67 61	uld.be.reachable.via.default.aga
1e0e0	69 6e 2e 20 54 68 69 73 20 69 73 20 63 61 6c 6c 65 64 20 27 66 6c 61 70 70 69 6e 67 27 2e 00 57	in..This.is.called.'flapping'..W
1e100	65 20 6f 6e 6c 79 20 77 61 6e 74 20 74 6f 20 69 6d 70 6f 72 74 20 6e 65 74 77 6f 72 6b 73 20 77	e.only.want.to.import.networks.w
1e120	65 20 6b 6e 6f 77 2e 20 4f 75 72 20 4f 53 50 46 20 70 65 65 72 20 73 68 6f 75 6c 64 20 6f 6e 6c	e.know..Our.OSPF.peer.should.onl
1e140	79 20 62 65 20 61 64 76 65 72 74 69 73 69 6e 67 20 6e 65 74 77 6f 72 6b 73 20 69 6e 20 74 68 65	y.be.advertising.networks.in.the
1e160	20 31 30 2e 32 30 31 2e 30 2e 30 2f 31 36 20 72 61 6e 67 65 2e 20 4e 6f 74 65 20 74 68 61 74 20	.10.201.0.0/16.range..Note.that.
1e180	74 68 69 73 20 69 73 20 61 6e 20 49 4e 56 45 52 53 45 20 4d 41 54 43 48 2e 20 59 6f 75 20 64 65	this.is.an.INVERSE.MATCH..You.de
1e1a0	6e 79 20 69 6e 20 61 63 63 65 73 73 2d 6c 69 73 74 20 31 30 30 20 74 6f 20 61 63 63 65 70 74 20	ny.in.access-list.100.to.accept.
1e1c0	74 68 65 20 72 6f 75 74 65 2e 00 57 65 20 75 73 65 20 61 20 73 74 61 74 69 63 20 72 6f 75 74 65	the.route..We.use.a.static.route
1e1e0	20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 6e 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f	.configuration.in.between.the.Co
1e200	72 65 20 61 6e 64 20 65 61 63 68 20 4c 41 4e 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 20 72	re.and.each.LAN.and.Management.r
1e220	6f 75 74 65 72 2c 20 61 6e 64 20 42 47 50 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20	outer,.and.BGP.between.the.Core.
1e240	72 6f 75 74 65 72 20 61 6e 64 20 74 68 65 20 49 53 50 20 72 6f 75 74 65 72 20 62 75 74 20 61 6e	router.and.the.ISP.router.but.an
1e260	79 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 63 61 6e 20 62	y.dynamic.routing.protocol.can.b
1e280	65 20 75 73 65 64 2e 00 57 65 20 75 73 65 20 73 6d 61 6c 6c 20 2f 33 30 27 73 20 66 72 6f 6d 20	e.used..We.use.small./30's.from.
1e2a0	31 30 2e 32 35 34 2e 36 30 2f 32 34 20 66 6f 72 20 74 68 65 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f	10.254.60/24.for.the.point-to-po
1e2c0	69 6e 74 20 6c 69 6e 6b 73 2e 00 57 65 20 75 73 65 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20	int.links..We.use.the.following.
1e2e0	6e 65 74 77 6f 72 6b 20 74 6f 70 6f 6c 6f 67 79 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65	network.topology.in.this.example
1e300	3a 00 57 68 65 6e 20 69 6d 70 6f 72 74 69 6e 67 20 72 6f 75 74 65 73 20 75 73 69 6e 67 20 4d 50	:.When.importing.routes.using.MP
1e320	2d 42 47 50 20 69 74 20 69 73 20 70 6f 73 73 69 62 6c 65 20 74 6f 20 66 69 6c 74 65 72 20 61 20	-BGP.it.is.possible.to.filter.a.
1e340	73 75 62 73 65 74 20 6f 66 20 74 68 65 6d 20 62 65 66 6f 72 65 20 61 72 65 20 69 6e 6a 65 63 74	subset.of.them.before.are.inject
1e360	65 64 20 69 6e 20 74 68 65 20 42 47 50 20 74 61 62 6c 65 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20	ed.in.the.BGP.table..One.of.the.
1e380	6d 6f 73 74 20 63 6f 6d 6d 6f 6e 20 63 61 73 65 20 69 73 20 74 6f 20 75 73 65 20 61 20 72 6f 75	most.common.case.is.to.use.a.rou
1e3a0	74 65 2d 6d 61 70 20 77 69 74 68 20 61 6e 20 70 72 65 66 69 78 2d 6c 69 73 74 2e 00 57 68 65 6e	te-map.with.an.prefix-list..When
1e3c0	20 74 72 61 66 66 69 63 20 69 73 20 6f 72 69 67 69 6e 61 74 65 64 20 66 72 6f 6d 20 74 68 65 20	.traffic.is.originated.from.the.
1e3e0	31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2c 20 69 74 20 77 69 6c 6c	10.200.201.0/24.network,.it.will
1e400	20 62 65 20 6d 61 73 71 75 65 72 61 64 65 64 20 74 6f 20 32 30 33 2e 30 2e 31 31 33 2e 31 00 57	.be.masqueraded.to.203.0.113.1.W
1e420	68 65 6e 20 75 74 69 6c 69 7a 69 6e 67 20 56 79 4f 53 20 69 6e 20 61 6e 20 65 6e 76 69 72 6f 6e	hen.utilizing.VyOS.in.an.environ
1e440	6d 65 6e 74 20 77 69 74 68 20 43 69 73 63 6f 20 49 4f 53 2d 58 52 20 67 65 61 72 20 79 6f 75 20	ment.with.Cisco.IOS-XR.gear.you.
1e460	63 61 6e 20 75 73 65 20 74 68 69 73 20 62 6c 75 65 20 70 72 69 6e 74 20 61 73 20 61 6e 20 69 6e	can.use.this.blue.print.as.an.in
1e480	69 74 69 61 6c 20 73 65 74 75 70 20 74 6f 20 67 65 74 20 4d 50 4c 53 20 49 53 49 53 2d 53 52 20	itial.setup.to.get.MPLS.ISIS-SR.
1e4a0	77 6f 72 6b 69 6e 67 20 62 65 74 77 65 65 6e 20 74 68 6f 73 65 20 74 77 6f 20 64 65 76 69 63 65	working.between.those.two.device
1e4c0	73 2e 54 68 65 20 6c 61 62 20 77 61 73 20 62 75 69 6c 64 20 75 73 69 6e 67 20 3a 61 62 62 72 3a	s.The.lab.was.build.using.:abbr:
1e4e0	60 45 56 45 2d 4e 47 20 28 45 6d 75 6c 61 74 65 64 20 56 69 72 74 75 61 6c 20 45 6e 76 69 72 6f	`EVE-NG.(Emulated.Virtual.Enviro
1e500	6e 6d 65 6e 74 20 4e 47 29 60 2e 00 57 68 65 6e 20 79 6f 75 20 68 61 76 65 20 62 6f 74 68 20 72	nment.NG)`..When.you.have.both.r
1e520	6f 75 74 65 72 73 20 75 70 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f	outers.up,.you.should.be.able.to
1e540	20 65 73 74 61 62 6c 69 73 68 20 61 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 72 6f 6d 20 61 20 4e	.establish.a.connection.from.a.N
1e560	41 54 27 65 64 20 6d 61 63 68 69 6e 65 20 6f 75 74 20 74 6f 20 74 68 65 20 69 6e 74 65 72 6e 65	AT'ed.machine.out.to.the.interne
1e580	74 2c 20 72 65 62 6f 6f 74 20 74 68 65 20 61 63 74 69 76 65 20 6d 61 63 68 69 6e 65 2c 20 61 6e	t,.reboot.the.active.machine,.an
1e5a0	64 20 74 68 61 74 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 73 68 6f 75 6c 64 20 62 65 20 70 72 65 73	d.that.connection.should.be.pres
1e5c0	65 72 76 65 64 2c 20 61 6e 64 20 77 69 6c 6c 20 6e 6f 74 20 64 72 6f 70 20 6f 75 74 2e 00 57 68	erved,.and.will.not.drop.out..Wh
1e5e0	65 6e 20 79 6f 75 20 68 61 76 65 20 65 6e 61 62 6c 65 64 20 4f 53 50 46 20 6f 6e 20 62 6f 74 68	en.you.have.enabled.OSPF.on.both
1e600	20 72 6f 75 74 65 72 73 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20	.routers,.you.should.be.able.to.
1e620	73 65 65 20 65 61 63 68 20 6f 74 68 65 72 20 77 69 74 68 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20	see.each.other.with.the.command.
1e640	60 60 73 68 6f 77 20 69 70 20 6f 73 70 66 20 6e 65 69 67 68 62 6f 75 72 60 60 2e 20 54 68 65 20	``show.ip.ospf.neighbour``..The.
1e660	73 74 61 74 65 20 6d 75 73 74 20 62 65 20 27 46 75 6c 6c 27 20 6f 72 20 27 32 2d 57 61 79 27 2e	state.must.be.'Full'.or.'2-Way'.
1e680	20 49 66 20 69 74 20 69 73 20 6e 6f 74 2c 20 74 68 65 6e 20 74 68 65 72 65 20 69 73 20 61 20 6e	.If.it.is.not,.then.there.is.a.n
1e6a0	65 74 77 6f 72 6b 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 73 73 75 65 20 62 65 74 77 65 65	etwork.connectivity.issue.betwee
1e6c0	6e 20 74 68 65 20 68 6f 73 74 73 2e 20 54 68 69 73 20 69 73 20 6f 66 74 65 6e 20 63 61 75 73 65	n.the.hosts..This.is.often.cause
1e6e0	64 20 62 79 20 4e 41 54 20 6f 72 20 4d 54 55 20 69 73 73 75 65 73 2e 20 59 6f 75 20 73 68 6f 75	d.by.NAT.or.MTU.issues..You.shou
1e700	6c 64 20 6e 6f 74 20 73 65 65 20 61 6e 79 20 6e 65 77 20 72 6f 75 74 65 73 20 28 75 6e 6c 65 73	ld.not.see.any.new.routes.(unles
1e720	73 20 74 68 69 73 20 69 73 20 74 68 65 20 73 65 63 6f 6e 64 20 70 61 73 73 29 20 69 6e 20 74 68	s.this.is.the.second.pass).in.th
1e740	65 20 6f 75 74 70 75 74 20 6f 66 20 60 60 73 68 6f 77 20 69 70 20 72 6f 75 74 65 60 60 00 57 69	e.output.of.``show.ip.route``.Wi
1e760	6e 64 6f 77 20 50 50 50 6f 45 20 43 6c 69 65 6e 74 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00	ndow.PPPoE.Client.Configuration.
1e780	57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 20 32 30 31 39 20 77 69 74 68 20 61 20 72 75 6e 6e 69	Windows.Server.2019.with.a.runni
1e7a0	6e 67 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 00 57 69 72 65 67 75 61 72 64 00 57 69	ng.Active.Directory.Wireguard.Wi
1e7c0	72 65 67 75 61 72 64 20 64 6f 65 73 6e 27 74 20 68 61 76 65 20 74 68 65 20 63 6f 6e 63 65 70 74	reguard.doesn't.have.the.concept
1e7e0	20 6f 66 20 61 6e 20 75 70 20 6f 72 20 64 6f 77 6e 20 6c 69 6e 6b 2c 20 64 75 65 20 74 6f 20 69	.of.an.up.or.down.link,.due.to.i
1e800	74 73 20 64 65 73 69 67 6e 2e 20 54 68 69 73 20 63 6f 6d 70 6c 69 63 61 74 65 73 20 41 4e 44 20	ts.design..This.complicates.AND.
1e820	73 69 6d 70 6c 69 66 69 65 73 20 75 73 69 6e 67 20 69 74 20 66 6f 72 20 6e 65 74 77 6f 72 6b 20	simplifies.using.it.for.network.
1e840	74 72 61 6e 73 70 6f 72 74 2c 20 61 73 20 66 6f 72 20 72 65 6c 69 61 62 6c 65 20 73 74 61 74 65	transport,.as.for.reliable.state
1e860	20 64 65 74 65 63 74 69 6f 6e 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 75 73 65 20 53 4f 4d 45 54	.detection.you.need.to.use.SOMET
1e880	48 49 4e 47 20 74 6f 20 64 65 74 65 63 74 20 77 68 65 6e 20 74 68 65 20 6c 69 6e 6b 20 69 73 20	HING.to.detect.when.the.link.is.
1e8a0	64 6f 77 6e 2e 00 57 69 74 68 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2c 20 79 6f 75	down..With.Tunnelbroker.net,.you
1e8c0	20 68 61 76 65 20 74 77 6f 20 6f 70 74 69 6f 6e 73 3a 00 57 69 74 68 20 74 68 69 73 20 63 6f 6d	.have.two.options:.With.this.com
1e8e0	6d 61 6e 64 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 74 72	mand.we.are.able.to.check.the.tr
1e900	61 6e 73 70 6f 72 74 20 61 6e 64 20 63 75 73 74 6f 6d 65 72 20 6c 61 62 65 6c 20 28 69 6e 6e 65	ansport.and.customer.label.(inne
1e920	72 2f 6f 75 74 65 72 29 20 66 6f 72 20 6e 65 74 77 6f 72 6b 20 73 70 6f 6b 65 73 20 70 72 65 66	r/outer).for.network.spokes.pref
1e940	69 78 65 73 20 31 30 2e 30 2e 30 2e 38 30 2f 33 32 20 2d 20 31 30 2e 30 2e 30 2e 39 30 2f 33 32	ixes.10.0.0.80/32.-.10.0.0.90/32
1e960	00 57 69 74 68 69 6e 20 74 68 65 20 56 52 46 20 77 65 20 73 65 74 20 74 68 65 20 52 6f 75 74 65	.Within.the.VRF.we.set.the.Route
1e980	2d 44 69 73 74 69 6e 67 75 69 73 68 65 72 20 28 52 44 29 20 61 6e 64 20 52 6f 75 74 65 2d 54 61	-Distinguisher.(RD).and.Route-Ta
1e9a0	72 67 65 74 73 20 28 52 54 29 2c 20 74 68 65 6e 20 77 65 20 65 6e 61 62 6c 65 20 74 68 65 20 65	rgets.(RT),.then.we.enable.the.e
1e9c0	78 70 6f 72 74 2f 69 6d 70 6f 72 74 20 56 50 4e 2e 00 58 52 76 2d 50 33 3a 00 59 6f 75 20 6d 61	xport/import.VPN..XRv-P3:.You.ma
1e9e0	6e 61 67 65 64 20 74 6f 20 63 6f 6d 65 20 74 68 69 73 20 66 61 72 2c 20 6e 6f 77 20 77 65 20 77	naged.to.come.this.far,.now.we.w
1ea00	61 6e 74 20 74 6f 20 73 65 65 20 74 68 65 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 72 6f 75 74 69	ant.to.see.the.network.and.routi
1ea20	6e 67 20 74 61 62 6c 65 73 20 69 6e 20 61 63 74 69 6f 6e 2e 00 59 6f 75 20 73 68 6f 75 6c 64 20	ng.tables.in.action..You.should.
1ea40	62 65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 74 6f 20 61 6e 64 20 66 72 6f 6d 20 61 6c 6c 20	be.able.to.ping.to.and.from.all.
1ea60	74 68 65 20 49 50 73 20 79 6f 75 20 68 61 76 65 20 61 6c 6c 6f 63 61 74 65 64 2e 00 59 6f 75 20	the.IPs.you.have.allocated..You.
1ea80	73 68 6f 75 6c 64 20 6e 6f 77 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 73 6f 6d 65 74	should.now.be.able.to.ping.somet
1eaa0	68 69 6e 67 20 62 79 20 49 50 76 36 20 44 4e 53 20 6e 61 6d 65 3a 00 59 6f 75 20 73 68 6f 75 6c	hing.by.IPv6.DNS.name:.You.shoul
1eac0	64 20 6e 6f 77 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 74 68 65 20 61 64 76 65 72 74 69	d.now.be.able.to.see.the.adverti
1eae0	73 65 64 20 6e 65 74 77 6f 72 6b 20 6f 6e 20 74 68 65 20 6f 74 68 65 72 20 68 6f 73 74 2e 00 59	sed.network.on.the.other.host..Y
1eb00	6f 75 20 77 6f 75 6c 64 20 68 61 76 65 20 35 20 7a 6f 6e 65 73 20 69 6e 73 74 65 61 64 20 6f 66	ou.would.have.5.zones.instead.of
1eb20	20 6a 75 73 74 20 34 20 61 6e 64 20 79 6f 75 20 77 6f 75 6c 64 20 63 6f 6e 66 69 67 75 72 65 20	.just.4.and.you.would.configure.
1eb40	79 6f 75 72 20 76 36 20 72 75 6c 65 73 65 74 20 62 65 74 77 65 65 6e 20 79 6f 75 72 20 74 75 6e	your.v6.ruleset.between.your.tun
1eb60	6e 65 6c 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 79 6f 75 72 20 4c 41 4e 2f 44 4d 5a 20 7a	nel.interface.and.your.LAN/DMZ.z
1eb80	6f 6e 65 73 20 69 6e 73 74 65 61 64 20 6f 66 20 74 6f 20 74 68 65 20 57 41 4e 2e 00 59 6f 75 20	ones.instead.of.to.the.WAN..You.
1eba0	77 6f 75 6c 64 20 68 61 76 65 20 74 6f 20 61 64 64 20 61 20 63 6f 75 70 6c 65 20 6f 66 20 72 75	would.have.to.add.a.couple.of.ru
1ebc0	6c 65 73 20 6f 6e 20 79 6f 75 72 20 77 61 6e 2d 6c 6f 63 61 6c 20 72 75 6c 65 73 65 74 20 74 6f	les.on.your.wan-local.ruleset.to
1ebe0	20 61 6c 6c 6f 77 20 70 72 6f 74 6f 63 6f 6c 20 34 31 20 69 6e 2e 00 5a 6f 6e 65 2d 50 6f 6c 69	.allow.protocol.41.in..Zone-Poli
1ec00	63 79 20 65 78 61 6d 70 6c 65 00 5a 6f 6e 65 73 20 42 61 73 69 63 73 00 5a 6f 6e 65 73 20 61 6e	cy.example.Zones.Basics.Zones.an
1ec20	64 20 52 75 6c 65 73 65 74 73 20 62 6f 74 68 20 68 61 76 65 20 61 20 64 65 66 61 75 6c 74 20 61	d.Rulesets.both.have.a.default.a
1ec40	63 74 69 6f 6e 20 73 74 61 74 65 6d 65 6e 74 2e 20 57 68 65 6e 20 75 73 69 6e 67 20 5a 6f 6e 65	ction.statement..When.using.Zone
1ec60	2d 50 6f 6c 69 63 69 65 73 2c 20 74 68 65 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 69 73	-Policies,.the.default.action.is
1ec80	20 73 65 74 20 62 79 20 74 68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 73 74 61 74 65 6d 65 6e	.set.by.the.zone-policy.statemen
1eca0	74 20 61 6e 64 20 69 73 20 72 65 70 72 65 73 65 6e 74 65 64 20 62 79 20 72 75 6c 65 20 31 30 30	t.and.is.represented.by.rule.100
1ecc0	30 30 2e 00 5a 6f 6e 65 73 20 64 6f 20 6e 6f 74 20 61 6c 6c 6f 77 20 66 6f 72 20 61 20 64 65 66	00..Zones.do.not.allow.for.a.def
1ece0	61 75 6c 74 20 61 63 74 69 6f 6e 20 6f 66 20 61 63 63 65 70 74 3b 20 65 69 74 68 65 72 20 64 72	ault.action.of.accept;.either.dr
1ed00	6f 70 20 6f 72 20 72 65 6a 65 63 74 2e 20 49 74 20 69 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f	op.or.reject..It.is.important.to
1ed20	20 72 65 6d 65 6d 62 65 72 20 74 68 69 73 20 62 65 63 61 75 73 65 20 69 66 20 79 6f 75 20 61 70	.remember.this.because.if.you.ap
1ed40	70 6c 79 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 74 6f 20 61 20 7a 6f 6e 65 20 61 6e 64 20 63	ply.an.interface.to.a.zone.and.c
1ed60	6f 6d 6d 69 74 2c 20 61 6e 79 20 61 63 74 69 76 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 77 69	ommit,.any.active.connections.wi
1ed80	6c 6c 20 62 65 20 64 72 6f 70 70 65 64 2e 20 53 70 65 63 69 66 69 63 61 6c 6c 79 2c 20 69 66 20	ll.be.dropped..Specifically,.if.
1eda0	79 6f 75 20 61 72 65 20 53 53 48 e2 80 99 64 20 69 6e 74 6f 20 56 79 4f 53 20 61 6e 64 20 61 64	you.are.SSH...d.into.VyOS.and.ad
1edc0	64 20 6c 6f 63 61 6c 20 6f 72 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 79 6f 75 20 61 72 65	d.local.or.the.interface.you.are
1ede0	20 63 6f 6e 6e 65 63 74 69 6e 67 20 74 68 72 6f 75 67 68 20 74 6f 20 61 20 7a 6f 6e 65 20 61 6e	.connecting.through.to.a.zone.an
1ee00	64 20 64 6f 20 6e 6f 74 20 68 61 76 65 20 72 75 6c 65 73 65 74 73 20 69 6e 20 70 6c 61 63 65 20	d.do.not.have.rulesets.in.place.
1ee20	74 6f 20 61 6c 6c 6f 77 20 53 53 48 20 61 6e 64 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 65 73	to.allow.SSH.and.established.ses
1ee40	73 69 6f 6e 73 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 61 62 6c 65 20 74 6f 20 63	sions,.you.will.not.be.able.to.c
1ee60	6f 6e 6e 65 63 74 2e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 31 3a 3a 2f 36 34 60 3a 20	onnect..`2001:470:xxxx:1::/64`:.
1ee80	41 20 73 75 62 6e 65 74 20 73 75 69 74 61 62 6c 65 20 66 6f 72 20 61 20 4c 41 4e 00 60 32 30 30	A.subnet.suitable.for.a.LAN.`200
1eea0	31 3a 34 37 30 3a 78 78 78 78 3a 32 3a 3a 2f 36 34 60 3a 20 41 6e 6f 74 68 65 72 20 73 75 62 6e	1:470:xxxx:2::/64`:.Another.subn
1eec0	65 74 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 3a 2f 34 38 60 3a 20 54 68 65 20 77 68 6f	et.`2001:470:xxxx::/48`:.The.who
1eee0	6c 65 20 73 75 62 6e 65 74 2e 20 78 78 78 78 20 73 68 6f 75 6c 64 20 63 6f 6d 65 20 66 72 6f 6d	le.subnet..xxxx.should.come.from
1ef00	20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 66 66	.Tunnelbroker..`2001:470:xxxx:ff
1ef20	66 66 3a 2f 36 34 60 3a 20 54 68 65 20 6c 61 73 74 20 75 73 61 62 6c 65 20 2f 36 34 20 73 75 62	ff:/64`:.The.last.usable./64.sub
1ef40	6e 65 74 2e 00 60 60 73 65 72 76 69 63 65 2d 6e 61 6d 65 60 60 20 63 61 6e 20 62 65 20 61 6e 20	net..``service-name``.can.be.an.
1ef60	61 72 62 69 74 72 61 72 79 20 73 74 72 69 6e 67 2e 00 61 66 74 65 72 20 61 6c 6c 20 74 68 65 73	arbitrary.string..after.all.thes
1ef80	65 20 73 74 65 70 73 20 74 68 65 20 63 6f 6e 66 69 67 20 6c 6f 6f 6b 20 6c 69 6b 65 20 74 68 69	e.steps.the.config.look.like.thi
1efa0	73 3a 00 61 66 74 65 72 20 74 68 69 73 20 63 72 65 61 74 65 20 61 20 73 69 67 6e 65 64 20 73 65	s:.after.this.create.a.signed.se
1efc0	72 76 65 72 20 61 6e 64 20 61 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65 00 61 6e	rver.and.a.client.certificate.an
1efe0	64 20 6c 61 73 74 20 74 68 65 20 44 48 20 4b 65 79 00 62 6c 75 65 20 75 73 65 73 20 6c 6f 63 61	d.last.the.DH.Key.blue.uses.loca
1f000	6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20 32 30 30 30 00	l.routing.table.id.and.VNI.2000.
1f020	63 68 30 30 73 33 2d 34 2d 73 33 63 75 72 33 2d 70 73 6b 00 63 6f 6d 70 75 74 65 31 20 28 56 4d	ch00s3-4-s3cur3-psk.compute1.(VM
1f040	77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 31 20 2d 20 50 6f 72 74 20 39	ware.ESXi.6.5).compute1.-.Port.9
1f060	20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6d 70 75 74 65 32 20 28 56 4d 77 61 72 65	.of.each.switch.compute2.(VMware
1f080	20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 32 20 2d 20 50 6f 72 74 20 31 30 20 6f 66	.ESXi.6.5).compute2.-.Port.10.of
1f0a0	20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6d 70 75 74 65 33 20 28 56 4d 77 61 72 65 20 45 53	.each.switch.compute3.(VMware.ES
1f0c0	58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 33 20 2d 20 50 6f 72 74 20 31 31 20 6f 66 20 65 61	Xi.6.5).compute3.-.Port.11.of.ea
1f0e0	63 68 20 73 77 69 74 63 68 00 63 6f 6e 66 69 67 75 72 65 20 65 61 63 68 20 68 6f 73 74 20 69 6e	ch.switch.configure.each.host.in
1f100	20 74 68 65 20 6c 61 62 00 63 72 65 61 74 65 20 74 68 65 20 6c 61 62 20 6f 6e 20 61 20 65 76 65	.the.lab.create.the.lab.on.a.eve
1f120	2d 6e 67 20 73 65 72 76 65 72 00 64 6f 20 73 6f 6d 65 20 64 65 66 69 6e 65 64 20 74 65 73 74 73	-ng.server.do.some.defined.tests
1f140	00 65 74 68 30 00 65 74 68 30 20 69 73 20 73 65 74 20 74 6f 20 62 65 20 72 65 6d 6f 76 65 64 20	.eth0.eth0.is.set.to.be.removed.
1f160	66 72 6f 6d 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 27 73 20 69 6e 74 65 72 66 61	from.the.load.balancer's.interfa
1f180	63 65 20 70 6f 6f 6c 20 61 66 74 65 72 20 35 20 70 69 6e 67 20 66 61 69 6c 75 72 65 73 2c 20 65	ce.pool.after.5.ping.failures,.e
1f1a0	74 68 31 20 77 69 6c 6c 20 62 65 20 72 65 6d 6f 76 65 64 20 61 66 74 65 72 20 34 20 70 69 6e 67	th1.will.be.removed.after.4.ping
1f1c0	20 66 61 69 6c 75 72 65 73 2e 00 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 20 61 6e	.failures..extended.community.an
1f1e0	64 20 72 65 6d 6f 74 65 20 6c 61 62 65 6c 20 6f 66 20 73 70 65 63 69 66 69 63 20 64 65 73 74 69	d.remote.label.of.specific.desti
1f200	6e 61 74 69 6f 6e 00 66 69 72 73 74 20 74 68 65 20 50 43 41 00 67 65 6e 65 72 61 74 65 20 74 68	nation.first.the.PCA.generate.th
1f220	65 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 61 6e 64 20 69 6e 63 6c 75 64 65 20 66 69 6c 65	e.documentation.and.include.file
1f240	73 00 67 72 65 65 6e 20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65	s.green.uses.local.routing.table
1f260	20 69 64 20 61 6e 64 20 56 4e 49 20 34 30 30 30 00 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 62 65 74	.id.and.VNI.4000.information.bet
1f280	77 65 65 6e 20 50 45 20 61 6e 64 20 43 45 3a 00 6f 70 74 69 6f 6e 61 6c 20 64 6f 20 61 6e 20 75	ween.PE.and.CE:.optional.do.an.u
1f2a0	70 67 72 61 64 65 20 74 6f 20 61 20 68 69 67 68 65 72 20 76 65 72 73 69 6f 6e 20 61 6e 64 20 64	pgrade.to.a.higher.version.and.d
1f2c0	6f 20 73 74 65 70 20 33 20 61 67 61 69 6e 2e 00 72 65 64 20 75 73 65 73 20 6c 6f 63 61 6c 20 72	o.step.3.again..red.uses.local.r
1f2e0	6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20 33 30 30 30 00 72 6f 75	outing.table.id.and.VNI.3000.rou
1f300	74 65 72 32 20 28 52 61 6e 64 6f 6d 20 31 52 55 20 6d 61 63 68 69 6e 65 20 77 69 74 68 20 34 20	ter2.(Random.1RU.machine.with.4.
1f320	4e 49 43 73 29 00 73 61 76 65 20 74 68 65 20 6f 75 74 70 75 74 20 74 6f 20 61 20 66 69 6c 65 20	NICs).save.the.output.to.a.file.
1f340	61 6e 64 20 69 6d 70 6f 72 74 20 69 74 20 69 6e 20 6e 65 61 72 6c 79 20 61 6c 6c 20 6f 70 65 6e	and.import.it.in.nearly.all.open
1f360	76 70 6e 20 63 6c 69 65 6e 74 73 2e 00 73 68 75 74 64 6f 77 6e 20 61 6e 64 20 64 65 73 74 72 6f	vpn.clients..shutdown.and.destro
1f380	79 20 74 68 65 20 6c 61 62 2c 20 69 66 20 74 68 65 72 65 20 69 73 20 6e 6f 20 65 72 72 6f 72 00	y.the.lab,.if.there.is.no.error.
1f3a0	73 70 65 63 69 66 69 63 20 56 50 4e 76 34 20 64 65 73 74 69 6e 61 74 69 6f 6e 20 69 6e 63 6c 75	specific.VPNv4.destination.inclu
1f3c0	64 69 6e 67 20 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 20 61 6e 64 20 72 65 6d 6f	ding.extended.community.and.remo
1f3e0	74 65 6c 61 62 65 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 54 68 69 73 20 70 72 6f 63 65 64	telabel.information..This.proced
1f400	75 72 65 20 69 73 20 74 68 65 20 73 61 6d 65 20 6f 6e 20 61 6c 6c 20 53 70 6f 6b 65 20 6e 6f 64	ure.is.the.same.on.all.Spoke.nod
1f420	65 73 3a 00 73 77 69 74 63 68 31 20 28 4e 65 78 75 73 20 31 30 67 62 20 53 77 69 74 63 68 29 00	es:.switch1.(Nexus.10gb.Switch).
1f440	73 77 69 74 63 68 32 20 28 4e 65 78 75 73 20 31 30 67 62 20 53 77 69 74 63 68 29 00 76 36 20 70	switch2.(Nexus.10gb.Switch).v6.p
1f460	61 69 72 73 20 77 6f 75 6c 64 20 62 65 3a 00 76 79 6f 73 31 30 20 2d 20 31 39 32 2e 30 2e 32 2e	airs.would.be:.vyos10.-.192.0.2.
1f480	31 30 38 00 76 79 6f 73 37 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 35 00 76 79 6f 73 38 20 2d 20	108.vyos7.-.192.0.2.105.vyos8.-.
1f4a0	31 39 32 2e 30 2e 32 2e 31 30 36 00 76 79 6f 73 39 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 37 00	192.0.2.106.vyos9.-.192.0.2.107.
1f4c0	77 65 20 61 72 65 20 75 73 69 6e 67 20 22 73 6f 75 72 63 65 2d 61 64 64 72 65 73 73 22 20 6f 70	we.are.using."source-address".op
1f4e0	74 69 6f 6e 20 63 61 75 73 65 20 77 65 20 61 72 65 20 6e 6f 74 20 72 65 64 69 73 74 72 69 62 75	tion.cause.we.are.not.redistribu
1f500	74 69 6e 67 20 63 6f 6e 6e 65 63 74 65 64 20 69 6e 74 65 72 66 61 63 65 73 20 69 6e 74 6f 20 42	ting.connected.interfaces.into.B
1f520	47 50 20 6f 6e 20 74 68 65 20 43 6f 72 65 20 72 6f 75 74 65 72 20 68 65 6e 63 65 20 74 68 65 72	GP.on.the.Core.router.hence.ther
1f540	65 20 69 73 20 6e 6f 20 63 6f 6d 65 62 61 63 6b 20 72 6f 75 74 65 20 61 6e 64 20 70 69 6e 67 20	e.is.no.comeback.route.and.ping.
1f560	77 69 6c 6c 20 66 61 69 6c 2e 00 77 69 74 68 69 6e 20 56 52 46 73 3a 00 e2 80 9c 73 68 6f 77 20	will.fail..within.VRFs:....show.
1f580	62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63	bgp.ipv4.vpn.summary....for.chec
1f5a0	6b 69 6e 67 20 42 47 50 20 56 50 4e 76 34 20 6e 65 69 67 68 62 6f 72 73 3a 00 e2 80 9c 73 68 6f	king.BGP.VPNv4.neighbors:....sho
1f5c0	77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68	w.bgp.ipv4.vpn.summary....for.ch
1f5e0	65 63 6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f 72 73 20 61 67 61 69 6e 00 e2 80 9c 73	ecking.iBGP.neighbors.again....s
1f600	68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20	how.bgp.ipv4.vpn.summary....for.
1f620	63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f 72 73 20 61 67 61 69 6e 73 74 20	checking.iBGP.neighbors.against.
1f640	72 6f 75 74 65 2d 72 65 66 6c 65 63 74 6f 72 20 64 65 76 69 63 65 73 3a 00 e2 80 9c 73 68 6f 77	route-reflector.devices:....show
1f660	20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 33 32 e2 80 9d 20 66 6f 72 20	.bgp.ipv4.vpn.x.x.x.x/32....for.
1f680	63 68 65 63 6b 69 6e 67 20 62 65 73 74 2d 70 61 74 68 2c 00 e2 80 9c 73 68 6f 77 20 62 67 70 20	checking.best-path,....show.bgp.
1f6a0	69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 33 32 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b	ipv4.vpn.x.x.x.x/32....for.check
1f6c0	69 6e 67 20 74 68 65 20 62 65 73 74 2d 70 61 74 68 20 74 6f 20 74 68 65 00 e2 80 9c 73 68 6f 77	ing.the.best-path.to.the....show
1f6e0	20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 78 e2 80 9d 20 66 6f 72 20 63	.bgp.ipv4.vpn.x.x.x.x/x....for.c
1f700	68 65 63 6b 69 6e 67 20 62 65 73 74 20 70 61 74 68 20 73 65 6c 65 63 74 65 64 20 66 6f 72 20 73	hecking.best.path.selected.for.s
1f720	70 65 63 69 66 69 63 20 56 50 4e 76 34 20 64 65 73 74 69 6e 61 74 69 6f 6e 00 e2 80 9c 73 68 6f	pecific.VPNv4.destination....sho
1f740	77 20 62 67 70 20 69 70 76 34 20 76 70 6e e2 80 9d 20 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20	w.bgp.ipv4.vpn.....for.checking.
1f760	61 6c 6c 20 56 50 4e 76 34 20 70 72 65 66 69 78 65 73 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 3a 00	all.VPNv4.prefixes.information:.
1f780	e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 5f 48 55 42 20 73 75 6d 6d 61 72 79	...show.bgp.vrf.BLUE_HUB.summary
1f7a0	e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 47 50 20 6e 65 69 67 68 62 6f 72 00 e2	....for.checking.EBGP.neighbor..
1f7c0	80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 5f 53 50 4f 4b 45 20 73 75 6d 6d 61 72	..show.bgp.vrf.BLUE_SPOKE.summar
1f7e0	79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 47 50 20 6e 65 69 67 68 62 6f 72 00	y....for.checking.EBGP.neighbor.
1f800	e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c e2 80 9d 20 66 6f 72 20 63 68 65 63 6b	...show.bgp.vrf.all....for.check
1f820	69 6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 20 6c 65 61 72 6e 69 6e 67 20 6f 6e 20 42	ing.all.the.prefix.learning.on.B
1f840	47 50 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c e2 80 9d 20 66 6f 72 20 63 68	GP....show.bgp.vrf.all....for.ch
1f860	65 63 6b 69 6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 65 73 20 6c 65 61 72 6e 69 6e 67	ecking.all.the.prefixes.learning
1f880	20 6f 6e 20 42 47 50 00 e2 80 9c 73 68 6f 77 20 69 70 20 6f 73 70 66 20 6e 65 69 67 68 62 6f 72	.on.BGP....show.ip.ospf.neighbor
1f8a0	e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6f 73 70 66 20 72 65 6c 61 74 69 6f 6e 73 68	....for.checking.ospf.relationsh
1f8c0	69 70 00 e2 80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 72 66 20 42 4c 55 45 5f 48 55 42	ip....show.ip.route.vrf.BLUE_HUB
1f8e0	e2 80 9d 20 74 6f 20 76 69 65 77 20 74 68 65 20 52 49 42 20 69 6e 20 6f 75 72 20 48 75 62 20 50	....to.view.the.RIB.in.our.Hub.P
1f900	45 2e 00 e2 80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 72 66 20 42 4c 55 45 5f 53 50 4f	E.....show.ip.route.vrf.BLUE_SPO
1f920	4b 45 e2 80 9d 20 66 6f 72 20 76 69 65 77 69 6e 67 20 74 68 65 20 52 49 42 20 69 6e 20 6f 75 72	KE....for.viewing.the.RIB.in.our
1f940	20 53 70 6f 6b 65 20 50 45 2e 00 e2 80 9c 73 68 6f 77 20 6d 70 6c 73 20 6c 64 70 20 62 69 6e 64	.Spoke.PE.....show.mpls.ldp.bind
1f960	69 6e 67 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6d 70 6c 73 20 6c 61 62 65 6c 20 61	ing....for.checking.mpls.label.a
1f980	73 73 69 67 6e 6d 65 6e 74 00 e2 80 9c 73 68 6f 77 20 6d 70 6c 73 20 6c 64 70 20 6e 65 69 67 68	ssignment....show.mpls.ldp.neigh
1f9a0	62 6f 72 20 e2 80 9c 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6c 64 70 20 6e 65 69 67 68 62 6f	bor.....for.checking.ldp.neighbo
1f9c0	72 73 00	rs.