configexamples.mo « LC_MESSAGES « ja « _locale « docs - vyos-documentation.git - VyOS readthedocs (mirror of https://github.com/marekm72/vyos-documentation.git)

blob: cfe1f8d7a49438fe414641c5986ae779557377cb (plain)

ofs	hex dump	ascii
0000	de 12 04 95 00 00 00 00 91 02 00 00 1c 00 00 00 a4 14 00 00 6d 03 00 00 2c 29 00 00 00 00 00 00	....................m...,)......
0020	e0 36 00 00 15 01 00 00 e1 36 00 00 43 00 00 00 f7 37 00 00 49 00 00 00 3b 38 00 00 28 00 00 00	.6.......6..C....7..I...;8..(...
0040	85 38 00 00 7c 00 00 00 ae 38 00 00 80 00 00 00 2b 39 00 00 84 00 00 00 ac 39 00 00 70 00 00 00	.8..\|....8......+9.......9..p...
0060	31 3a 00 00 2e 01 00 00 a2 3a 00 00 0c 00 00 00 d1 3b 00 00 0b 00 00 00 de 3b 00 00 0b 00 00 00	1:.......:.......;.......;......
0080	ea 3b 00 00 0b 00 00 00 f6 3b 00 00 08 00 00 00 02 3c 00 00 11 00 00 00 0b 3c 00 00 0b 00 00 00	.;.......;.......<.......<......
00a0	1d 3c 00 00 0c 00 00 00 29 3c 00 00 09 00 00 00 36 3c 00 00 0b 00 00 00 40 3c 00 00 0f 00 00 00	.<......)<......6<......@<......
00c0	4c 3c 00 00 0f 00 00 00 5c 3c 00 00 0f 00 00 00 6c 3c 00 00 38 00 00 00 7c 3c 00 00 0d 00 00 00	L<......\<......l<..8...\|<......
00e0	b5 3c 00 00 15 00 00 00 c3 3c 00 00 11 00 00 00 d9 3c 00 00 19 00 00 00 eb 3c 00 00 19 00 00 00	.<.......<.......<.......<......
0100	05 3d 00 00 15 00 00 00 1f 3d 00 00 15 00 00 00 35 3d 00 00 1a 00 00 00 4b 3d 00 00 57 00 00 00	.=.......=......5=......K=..W...
0120	66 3d 00 00 63 00 00 00 be 3d 00 00 0e 00 00 00 22 3e 00 00 0c 00 00 00 31 3e 00 00 1f 00 00 00	f=..c....=......">......1>......
0140	3e 3e 00 00 1f 00 00 00 5e 3e 00 00 0e 00 00 00 7e 3e 00 00 0f 00 00 00 8d 3e 00 00 0f 00 00 00	>>......^>......~>.......>......
0160	9d 3e 00 00 0f 00 00 00 ad 3e 00 00 2e 00 00 00 bd 3e 00 00 0b 00 00 00 ec 3e 00 00 0b 00 00 00	.>.......>.......>.......>......
0180	f8 3e 00 00 1c 00 00 00 04 3f 00 00 1c 00 00 00 21 3f 00 00 1e 00 00 00 3e 3f 00 00 3f 00 00 00	.>.......?......!?......>?..?...
01a0	5d 3f 00 00 07 00 00 00 9d 3f 00 00 09 00 00 00 a5 3f 00 00 07 00 00 00 af 3f 00 00 08 00 00 00	]?.......?.......?.......?......
01c0	b7 3f 00 00 05 00 00 00 c0 3f 00 00 0a 00 00 00 c6 3f 00 00 15 00 00 00 d1 3f 00 00 0a 00 00 00	.?.......?.......?.......?......
01e0	e7 3f 00 00 05 00 00 00 f2 3f 00 00 4e 02 00 00 f8 3f 00 00 82 00 00 00 47 42 00 00 5b 00 00 00	.?.......?..N....?......GB..[...
0200	ca 42 00 00 1a 01 00 00 26 43 00 00 c8 00 00 00 41 44 00 00 57 00 00 00 0a 45 00 00 58 00 00 00	.B......&C......AD..W....E..X...
0220	62 45 00 00 d4 00 00 00 bb 45 00 00 0f 01 00 00 90 46 00 00 f1 00 00 00 a0 47 00 00 30 00 00 00	bE.......E.......F.......G..0...
0240	92 48 00 00 30 00 00 00 c3 48 00 00 30 00 00 00 f4 48 00 00 28 00 00 00 25 49 00 00 22 00 00 00	.H..0....H..0....H..(...%I.."...
0260	4e 49 00 00 1d 00 00 00 71 49 00 00 46 00 00 00 8f 49 00 00 26 00 00 00 d6 49 00 00 1a 00 00 00	NI......qI..F....I..&....I......
0280	fd 49 00 00 5d 00 00 00 18 4a 00 00 7c 00 00 00 76 4a 00 00 4b 00 00 00 f3 4a 00 00 28 00 00 00	.I..]....J..\|...vJ..K....J..(...
02a0	3f 4b 00 00 97 00 00 00 68 4b 00 00 46 00 00 00 00 4c 00 00 56 00 00 00 47 4c 00 00 53 00 00 00	?K......hK..F....L..V...GL..S...
02c0	9e 4c 00 00 1f 00 00 00 f2 4c 00 00 36 00 00 00 12 4d 00 00 3c 00 00 00 49 4d 00 00 2b 00 00 00	.L.......L..6....M..<...IM..+...
02e0	86 4d 00 00 2d 00 00 00 b2 4d 00 00 38 00 00 00 e0 4d 00 00 30 00 00 00 19 4e 00 00 1d 00 00 00	.M..-....M..8....M..0....N......
0300	4a 4e 00 00 79 00 00 00 68 4e 00 00 25 00 00 00 e2 4e 00 00 53 02 00 00 08 4f 00 00 16 00 00 00	JN..y...hN..%....N..S....O......
0320	5c 51 00 00 46 00 00 00 73 51 00 00 18 00 00 00 ba 51 00 00 48 00 00 00 d3 51 00 00 1e 00 00 00	\Q..F...sQ.......Q..H....Q......
0340	1c 52 00 00 8e 00 00 00 3b 52 00 00 0a 00 00 00 ca 52 00 00 0a 00 00 00 d5 52 00 00 12 01 00 00	.R......;R.......R.......R......
0360	e0 52 00 00 8f 00 00 00 f3 53 00 00 df 00 00 00 83 54 00 00 22 00 00 00 63 55 00 00 40 04 00 00	.R.......S.......T.."...cU..@...
0380	86 55 00 00 48 00 00 00 c7 59 00 00 1c 00 00 00 10 5a 00 00 52 00 00 00 2d 5a 00 00 fa 00 00 00	.U..H....Y.......Z..R...-Z......
03a0	80 5a 00 00 6d 00 00 00 7b 5b 00 00 87 00 00 00 e9 5b 00 00 ba 00 00 00 71 5c 00 00 5d 00 00 00	.Z..m...{[.......[......q\..]...
03c0	2c 5d 00 00 a9 00 00 00 8a 5d 00 00 09 00 00 00 34 5e 00 00 1e 00 00 00 3e 5e 00 00 1e 00 00 00	,].......]......4^......>^......
03e0	5d 5e 00 00 19 00 00 00 7c 5e 00 00 1c 00 00 00 96 5e 00 00 13 00 00 00 b3 5e 00 00 03 00 00 00	]^......\|^.......^.......^......
0400	c7 5e 00 00 29 00 00 00 cb 5e 00 00 4a 00 00 00 f5 5e 00 00 08 00 00 00 40 5f 00 00 0a 00 00 00	.^..)....^..J....^......@_......
0420	49 5f 00 00 e9 01 00 00 54 5f 00 00 0e 00 00 00 3e 61 00 00 19 00 00 00 4d 61 00 00 29 00 00 00	I_......T_......>a......Ma..)...
0440	67 61 00 00 1a 00 00 00 91 61 00 00 48 01 00 00 ac 61 00 00 06 00 00 00 f5 62 00 00 86 02 00 00	ga.......a..H....a.......b......
0460	fc 62 00 00 0d 00 00 00 83 65 00 00 0a 00 00 00 91 65 00 00 07 00 00 00 9c 65 00 00 70 00 00 00	.b.......e.......e.......e..p...
0480	a4 65 00 00 6e 00 00 00 15 66 00 00 10 00 00 00 84 66 00 00 11 00 00 00 95 66 00 00 be 00 00 00	.e..n....f.......f.......f......
04a0	a7 66 00 00 21 00 00 00 66 67 00 00 43 00 00 00 88 67 00 00 35 00 00 00 cc 67 00 00 14 00 00 00	.f..!...fg..C....g..5....g......
04c0	02 68 00 00 56 00 00 00 17 68 00 00 0b 00 00 00 6e 68 00 00 0d 00 00 00 7a 68 00 00 13 00 00 00	.h..V....h......nh......zh......
04e0	88 68 00 00 14 00 00 00 9c 68 00 00 29 00 00 00 b1 68 00 00 18 00 00 00 db 68 00 00 23 00 00 00	.h.......h..)....h.......h..#...
0500	f4 68 00 00 24 00 00 00 18 69 00 00 39 00 00 00 3d 69 00 00 0e 00 00 00 77 69 00 00 0e 00 00 00	.h..$....i..9...=i......wi......
0520	86 69 00 00 13 00 00 00 95 69 00 00 27 00 00 00 a9 69 00 00 2b 00 00 00 d1 69 00 00 51 00 00 00	.i.......i..'....i..+....i..Q...
0540	fd 69 00 00 18 00 00 00 4f 6a 00 00 19 00 00 00 68 6a 00 00 44 00 00 00 82 6a 00 00 1b 00 00 00	.i......Oj......hj..D....j......
0560	c7 6a 00 00 2f 00 00 00 e3 6a 00 00 1b 00 00 00 13 6b 00 00 a4 00 00 00 2f 6b 00 00 ae 00 00 00	.j../....j.......k....../k......
0580	d4 6b 00 00 04 00 00 00 83 6c 00 00 0b 00 00 00 88 6c 00 00 0c 00 00 00 94 6c 00 00 14 00 00 00	.k.......l.......l.......l......
05a0	a1 6c 00 00 14 00 00 00 b6 6c 00 00 16 00 00 00 cb 6c 00 00 ae 00 00 00 e2 6c 00 00 85 00 00 00	.l.......l.......l.......l......
05c0	91 6d 00 00 2b 00 00 00 17 6e 00 00 25 00 00 00 43 6e 00 00 43 00 00 00 69 6e 00 00 5a 00 00 00	.m..+....n..%...Cn..C...in..Z...
05e0	ad 6e 00 00 24 00 00 00 08 6f 00 00 dc 00 00 00 2d 6f 00 00 1c 00 00 00 0a 70 00 00 0a 00 00 00	.n..$....o......-o.......p......
0600	27 70 00 00 0b 00 00 00 32 70 00 00 0f 00 00 00 3e 70 00 00 20 00 00 00 4e 70 00 00 5d 00 00 00	'p......2p......>p......Np..]...
0620	6f 70 00 00 06 00 00 00 cd 70 00 00 08 00 00 00 d4 70 00 00 08 00 00 00 dd 70 00 00 17 00 00 00	op.......p.......p.......p......
0640	e6 70 00 00 f9 00 00 00 fe 70 00 00 0c 01 00 00 f8 71 00 00 96 00 00 00 05 73 00 00 78 00 00 00	.p.......p.......q.......s..x...
0660	9c 73 00 00 14 00 00 00 15 74 00 00 0b 00 00 00 2a 74 00 00 0a 00 00 00 36 74 00 00 4e 00 00 00	.s.......t......*t......6t..N...
0680	41 74 00 00 c4 00 00 00 90 74 00 00 fa 00 00 00 55 75 00 00 d1 00 00 00 50 76 00 00 12 01 00 00	At.......t......Uu......Pv......
06a0	22 77 00 00 db 00 00 00 35 78 00 00 07 00 00 00 11 79 00 00 23 00 00 00 19 79 00 00 2e 00 00 00	"w......5x.......y..#....y......
06c0	3d 79 00 00 27 00 00 00 6c 79 00 00 3a 00 00 00 94 79 00 00 2e 00 00 00 cf 79 00 00 0f 00 00 00	=y..'...ly..:....y.......y......
06e0	fe 79 00 00 48 00 00 00 0e 7a 00 00 9f 00 00 00 57 7a 00 00 34 00 00 00 f7 7a 00 00 08 00 00 00	.y..H....z......Wz..4....z......
0700	2c 7b 00 00 17 00 00 00 35 7b 00 00 bf 00 00 00 4d 7b 00 00 85 00 00 00 0d 7c 00 00 45 00 00 00	,{......5{......M{.......\|..E...
0720	93 7c 00 00 43 00 00 00 d9 7c 00 00 d5 00 00 00 1d 7d 00 00 ab 00 00 00 f3 7d 00 00 53 00 00 00	.\|..C....\|.......}.......}..S...
0740	9f 7e 00 00 78 00 00 00 f3 7e 00 00 bd 00 00 00 6c 7f 00 00 56 00 00 00 2a 80 00 00 1c 00 00 00	.~..x....~......l...V...*.......
0760	81 80 00 00 2e 00 00 00 9e 80 00 00 23 00 00 00 cd 80 00 00 67 00 00 00 f1 80 00 00 5a 00 00 00	............#.......g.......Z...
0780	59 81 00 00 43 00 00 00 b4 81 00 00 44 00 00 00 f8 81 00 00 08 00 00 00 3d 82 00 00 27 00 00 00	Y...C.......D...........=...'...
07a0	46 82 00 00 2e 00 00 00 6e 82 00 00 4d 00 00 00 9d 82 00 00 69 00 00 00 eb 82 00 00 83 00 00 00	F.......n...M.......i...........
07c0	55 83 00 00 1d 00 00 00 d9 83 00 00 11 00 00 00 f7 83 00 00 03 00 00 00 09 84 00 00 01 02 00 00	U...............................
07e0	0d 84 00 00 ab 00 00 00 0f 86 00 00 78 00 00 00 bb 86 00 00 83 00 00 00 34 87 00 00 e2 00 00 00	............x...........4.......
0800	b8 87 00 00 09 00 00 00 9b 88 00 00 5f 03 00 00 a5 88 00 00 14 00 00 00 05 8c 00 00 0c 00 00 00	............_...................
0820	1a 8c 00 00 0c 00 00 00 27 8c 00 00 0b 00 00 00 34 8c 00 00 17 00 00 00 40 8c 00 00 0f 00 00 00	........'.......4.......@.......
0840	58 8c 00 00 03 00 00 00 68 8c 00 00 43 00 00 00 6c 8c 00 00 67 00 00 00 b0 8c 00 00 d8 00 00 00	X.......h...C...l...g...........
0860	18 8d 00 00 90 00 00 00 f1 8d 00 00 88 00 00 00 82 8e 00 00 ec 00 00 00 0b 8f 00 00 33 00 00 00	............................3...
0880	f8 8f 00 00 9f 00 00 00 2c 90 00 00 98 00 00 00 cc 90 00 00 bd 00 00 00 65 91 00 00 99 00 00 00	........,...............e.......
08a0	23 92 00 00 54 00 00 00 bd 92 00 00 fd 00 00 00 12 93 00 00 60 00 00 00 10 94 00 00 a3 00 00 00	#...T...............`...........
08c0	71 94 00 00 4d 00 00 00 15 95 00 00 44 00 00 00 63 95 00 00 dc 00 00 00 a8 95 00 00 ee 00 00 00	q...M.......D...c...............
08e0	85 96 00 00 75 00 00 00 74 97 00 00 67 00 00 00 ea 97 00 00 6b 00 00 00 52 98 00 00 5d 00 00 00	....u...t...g.......k...R...]...
0900	be 98 00 00 9d 00 00 00 1c 99 00 00 20 00 00 00 ba 99 00 00 33 00 00 00 db 99 00 00 3a 00 00 00	....................3.......:...
0920	0f 9a 00 00 1f 00 00 00 4a 9a 00 00 6a 01 00 00 6a 9a 00 00 24 00 00 00 d5 9b 00 00 10 00 00 00	........J...j...j...$...........
0940	fa 9b 00 00 08 00 00 00 0b 9c 00 00 23 00 00 00 14 9c 00 00 24 00 00 00 38 9c 00 00 23 00 00 00	............#.......$...8...#...
0960	5d 9c 00 00 23 00 00 00 81 9c 00 00 7a 00 00 00 a5 9c 00 00 94 00 00 00 20 9d 00 00 21 00 00 00	]...#.......z...............!...
0980	b5 9d 00 00 89 00 00 00 d7 9d 00 00 98 00 00 00 61 9e 00 00 14 00 00 00 fa 9e 00 00 23 00 00 00	................a...........#...
09a0	0f 9f 00 00 25 00 00 00 33 9f 00 00 2e 00 00 00 59 9f 00 00 05 00 00 00 88 9f 00 00 05 00 00 00	....%...3.......Y...............
09c0	8e 9f 00 00 11 00 00 00 94 9f 00 00 3c 00 00 00 a6 9f 00 00 1d 00 00 00 e3 9f 00 00 25 00 00 00	............<...............%...
09e0	01 a0 00 00 04 00 00 00 27 a0 00 00 0c 00 00 00 2c a0 00 00 0f 00 00 00 39 a0 00 00 04 00 00 00	........'.......,.......9.......
0a00	49 a0 00 00 63 00 00 00 4e a0 00 00 3c 00 00 00 b2 a0 00 00 40 00 00 00 ef a0 00 00 dc 02 00 00	I...c...N...<.......@...........
0a20	30 a1 00 00 0b 00 00 00 0d a4 00 00 3c 00 00 00 19 a4 00 00 0a 00 00 00 56 a4 00 00 0e 00 00 00	0...........<...........V.......
0a40	61 a4 00 00 79 00 00 00 70 a4 00 00 5d 00 00 00 ea a4 00 00 0a 00 00 00 48 a5 00 00 16 00 00 00	a...y...p...]...........H.......
0a60	53 a5 00 00 16 00 00 00 6a a5 00 00 0b 00 00 00 81 a5 00 00 14 00 00 00 8d a5 00 00 0f 00 00 00	S.......j.......................
0a80	a2 a5 00 00 10 00 00 00 b2 a5 00 00 18 00 00 00 c3 a5 00 00 21 00 00 00 dc a5 00 00 5a 00 00 00	....................!.......Z...
0aa0	fe a5 00 00 80 00 00 00 59 a6 00 00 44 00 00 00 da a6 00 00 2b 00 00 00 1f a7 00 00 04 00 00 00	........Y...D.......+...........
0ac0	4b a7 00 00 40 00 00 00 50 a7 00 00 97 00 00 00 91 a7 00 00 42 00 00 00 29 a8 00 00 5d 00 00 00	K...@...P...........B...)...]...
0ae0	6c a8 00 00 3a 00 00 00 ca a8 00 00 34 00 00 00 05 a9 00 00 2e 00 00 00 3a a9 00 00 26 00 00 00	l...:.......4...........:...&...
0b00	69 a9 00 00 58 00 00 00 90 a9 00 00 34 00 00 00 e9 a9 00 00 35 00 00 00 1e aa 00 00 13 00 00 00	i...X.......4.......5...........
0b20	54 aa 00 00 19 00 00 00 68 aa 00 00 85 00 00 00 82 aa 00 00 19 00 00 00 08 ab 00 00 7a 00 00 00	T.......h...................z...
0b40	22 ab 00 00 79 00 00 00 9d ab 00 00 53 00 00 00 17 ac 00 00 68 00 00 00 6b ac 00 00 36 00 00 00	"...y.......S.......h...k...6...
0b60	d4 ac 00 00 32 00 00 00 0b ad 00 00 38 00 00 00 3e ad 00 00 36 00 00 00 77 ad 00 00 38 00 00 00	....2.......8...>...6...w...8...
0b80	ae ad 00 00 11 00 00 00 e7 ad 00 00 20 00 00 00 f9 ad 00 00 16 00 00 00 1a ae 00 00 38 01 00 00	............................8...
0ba0	31 ae 00 00 69 00 00 00 6a af 00 00 08 00 00 00 d4 af 00 00 03 00 00 00 dd af 00 00 72 00 00 00	1...i...j...................r...
0bc0	e1 af 00 00 03 00 00 00 54 b0 00 00 6c 00 00 00 58 b0 00 00 03 00 00 00 c5 b0 00 00 61 00 00 00	........T...l...X...........a...
0be0	c9 b0 00 00 27 00 00 00 2b b1 00 00 0b 00 00 00 53 b1 00 00 37 00 00 00 5f b1 00 00 25 00 00 00	....'...+.......S...7..._...%...
0c00	97 b1 00 00 6e 00 00 00 bd b1 00 00 b2 00 00 00 2c b2 00 00 38 00 00 00 df b2 00 00 0e 00 00 00	....n...........,...8...........
0c20	18 b3 00 00 0d 00 00 00 27 b3 00 00 0a 00 00 00 35 b3 00 00 67 00 00 00 40 b3 00 00 0e 00 00 00	........'.......5...g...@.......
0c40	a8 b3 00 00 0b 00 00 00 b7 b3 00 00 02 00 00 00 c3 b3 00 00 0e 00 00 00 c6 b3 00 00 02 00 00 00	................................
0c60	d5 b3 00 00 09 00 00 00 d8 b3 00 00 09 00 00 00 e2 b3 00 00 42 01 00 00 ec b3 00 00 0f 00 00 00	....................B...........
0c80	2f b5 00 00 47 00 00 00 3f b5 00 00 81 00 00 00 87 b5 00 00 07 00 00 00 09 b6 00 00 04 00 00 00	/...G...?.......................
0ca0	11 b6 00 00 46 00 00 00 16 b6 00 00 3c 00 00 00 5d b6 00 00 0f 00 00 00 9a b6 00 00 96 00 00 00	....F.......<...]...............
0cc0	aa b6 00 00 7c 00 00 00 41 b7 00 00 09 00 00 00 be b7 00 00 14 00 00 00 c8 b7 00 00 09 00 00 00	....\|...A.......................
0ce0	dd b7 00 00 1b 00 00 00 e7 b7 00 00 2c 00 00 00 03 b8 00 00 1d 00 00 00 30 b8 00 00 a8 00 00 00	............,...........0.......
0d00	4e b8 00 00 d7 00 00 00 f7 b8 00 00 42 00 00 00 cf b9 00 00 7d 00 00 00 12 ba 00 00 77 00 00 00	N...........B.......}.......w...
0d20	90 ba 00 00 49 00 00 00 08 bb 00 00 48 00 00 00 52 bb 00 00 24 00 00 00 9b bb 00 00 9b 00 00 00	....I.......H...R...$...........
0d40	c0 bb 00 00 34 00 00 00 5c bc 00 00 18 00 00 00 91 bc 00 00 9e 00 00 00 aa bc 00 00 92 00 00 00	....4...\.......................
0d60	49 bd 00 00 3f 00 00 00 dc bd 00 00 10 00 00 00 1c be 00 00 5a 00 00 00 2d be 00 00 4b 00 00 00	I...?...............Z...-...K...
0d80	88 be 00 00 0f 00 00 00 d4 be 00 00 05 00 00 00 e4 be 00 00 40 00 00 00 ea be 00 00 4b 02 00 00	....................@.......K...
0da0	2b bf 00 00 31 00 00 00 77 c1 00 00 26 00 00 00 a9 c1 00 00 19 00 00 00 d0 c1 00 00 1f 00 00 00	+...1...w...&...................
0dc0	ea c1 00 00 2d 00 00 00 0a c2 00 00 30 00 00 00 38 c2 00 00 2a 00 00 00 69 c2 00 00 1c 00 00 00	....-.......0...8...*...i.......
0de0	94 c2 00 00 14 00 00 00 b1 c2 00 00 16 00 00 00 c6 c2 00 00 09 00 00 00 dd c2 00 00 0e 00 00 00	................................
0e00	e7 c2 00 00 0f 00 00 00 f6 c2 00 00 14 00 00 00 06 c3 00 00 14 00 00 00 1b c3 00 00 14 00 00 00	................................
0e20	30 c3 00 00 07 00 00 00 45 c3 00 00 15 00 00 00 4d c3 00 00 e6 00 00 00 63 c3 00 00 8e 00 00 00	0.......E.......M.......c.......
0e40	4a c4 00 00 1d 00 00 00 d9 c4 00 00 85 00 00 00 f7 c4 00 00 cd 00 00 00 7d c5 00 00 b8 00 00 00	J.......................}.......
0e60	4b c6 00 00 75 00 00 00 04 c7 00 00 a7 00 00 00 7a c7 00 00 6d 00 00 00 22 c8 00 00 4d 00 00 00	K...u...........z...m..."...M...
0e80	90 c8 00 00 be 00 00 00 de c8 00 00 41 00 00 00 9d c9 00 00 5d 00 00 00 df c9 00 00 1e 00 00 00	............A.......]...........
0ea0	3d ca 00 00 75 00 00 00 5c ca 00 00 45 00 00 00 d2 ca 00 00 9d 00 00 00 18 cb 00 00 28 00 00 00	=...u...\...E...............(...
0ec0	b6 cb 00 00 5f 00 00 00 df cb 00 00 41 00 00 00 3f cc 00 00 df 00 00 00 81 cc 00 00 b7 00 00 00	...._.......A...?...............
0ee0	61 cd 00 00 9b 00 00 00 19 ce 00 00 5b 00 00 00 b5 ce 00 00 c3 00 00 00 11 cf 00 00 7f 00 00 00	a...........[...................
0f00	d5 cf 00 00 94 00 00 00 55 d0 00 00 b4 00 00 00 ea d0 00 00 25 00 00 00 9f d1 00 00 a8 00 00 00	........U...........%...........
0f20	c5 d1 00 00 50 00 00 00 6e d2 00 00 1f 00 00 00 bf d2 00 00 35 00 00 00 df d2 00 00 3b 00 00 00	....P...n...........5.......;...
0f40	15 d3 00 00 a8 00 00 00 51 d3 00 00 15 01 00 00 fa d3 00 00 ce 00 00 00 10 d5 00 00 a9 00 00 00	........Q.......................
0f60	df d5 00 00 24 00 00 00 89 d6 00 00 42 00 00 00 ae d6 00 00 95 00 00 00 f1 d6 00 00 7b 00 00 00	....$.......B...............{...
0f80	87 d7 00 00 76 00 00 00 03 d8 00 00 57 00 00 00 7a d8 00 00 aa 00 00 00 d2 d8 00 00 f8 00 00 00	....v.......W...z...............
0fa0	7d d9 00 00 2b 00 00 00 76 da 00 00 9e 01 00 00 a2 da 00 00 46 00 00 00 41 dc 00 00 65 00 00 00	}...+...v...........F...A...e...
0fc0	88 dc 00 00 ad 00 00 00 ee dc 00 00 6c 00 00 00 9c dd 00 00 9f 00 00 00 09 de 00 00 b9 00 00 00	............l...................
0fe0	a9 de 00 00 60 00 00 00 63 df 00 00 56 00 00 00 c4 df 00 00 28 00 00 00 1b e0 00 00 42 00 00 00	....`...c...V.......(.......B...
1000	44 e0 00 00 7d 00 00 00 87 e0 00 00 27 00 00 00 05 e1 00 00 ac 00 00 00 2d e1 00 00 b1 00 00 00	D...}.......'...........-.......
1020	da e1 00 00 4b 00 00 00 8c e2 00 00 83 00 00 00 d8 e2 00 00 08 00 00 00 5c e3 00 00 8d 00 00 00	....K...................\.......
1040	65 e3 00 00 0a 00 00 00 f3 e3 00 00 1b 00 00 00 fe e3 00 00 17 00 00 00 1a e4 00 00 28 00 00 00	e...........................(...
1060	32 e4 00 00 e7 00 00 00 5b e4 00 00 d0 00 00 00 43 e5 00 00 25 00 00 00 14 e6 00 00 83 00 00 00	2.......[.......C...%...........
1080	3a e6 00 00 90 00 00 00 be e6 00 00 05 00 00 00 4f e7 00 00 c9 00 00 00 55 e7 00 00 03 00 00 00	:...............O.......U.......
10a0	1f e8 00 00 12 00 00 00 23 e8 00 00 0c 00 00 00 36 e8 00 00 21 00 00 00 43 e8 00 00 21 00 00 00	........#.......6...!...C...!...
10c0	65 e8 00 00 21 00 00 00 87 e8 00 00 26 00 00 00 a9 e8 00 00 b9 00 00 00 d0 e8 00 00 3b 00 00 00	e...!.......&...............;...
10e0	8a e9 00 00 0e 00 00 00 c6 e9 00 00 18 00 00 00 d5 e9 00 00 26 00 00 00 ee e9 00 00 23 00 00 00	....................&.......#...
1100	15 ea 00 00 23 00 00 00 39 ea 00 00 0d 00 00 00 5d ea 00 00 23 00 00 00 6b ea 00 00 0f 00 00 00	....#...9.......]...#...k.......
1120	8f ea 00 00 24 00 00 00 9f ea 00 00 0f 00 00 00 c4 ea 00 00 08 00 00 00 d4 ea 00 00 08 00 00 00	....$...........................
1140	dd ea 00 00 08 00 00 00 e6 ea 00 00 08 00 00 00 ef ea 00 00 08 00 00 00 f8 ea 00 00 09 00 00 00	................................
1160	01 eb 00 00 08 00 00 00 0b eb 00 00 09 00 00 00 14 eb 00 00 08 00 00 00 1e eb 00 00 09 00 00 00	................................
1180	27 eb 00 00 0c 00 00 00 31 eb 00 00 09 00 00 00 3e eb 00 00 09 00 00 00 48 eb 00 00 08 00 00 00	'.......1.......>.......H.......
11a0	52 eb 00 00 12 00 00 00 5b eb 00 00 0f 00 00 00 6e eb 00 00 0e 00 00 00 7e eb 00 00 0d 00 00 00	R.......[.......n.......~.......
11c0	8d eb 00 00 1a 00 00 00 9b eb 00 00 16 00 00 00 b6 eb 00 00 49 00 00 00 cd eb 00 00 82 00 00 00	....................I...........
11e0	17 ec 00 00 1f 01 00 00 9a ec 00 00 40 00 00 00 ba ed 00 00 6f 00 00 00 fb ed 00 00 f4 00 00 00	............@.......o...........
1200	6b ee 00 00 17 00 00 00 60 ef 00 00 6e 00 00 00 78 ef 00 00 67 00 00 00 e7 ef 00 00 8e 00 00 00	k.......`...n...x...g...........
1220	4f f0 00 00 19 03 00 00 de f0 00 00 cb 00 00 00 f8 f3 00 00 bc 00 00 00 c4 f4 00 00 42 00 00 00	O...........................B...
1240	81 f5 00 00 36 00 00 00 c4 f5 00 00 b9 00 00 00 fb f5 00 00 62 00 00 00 b5 f6 00 00 ec 00 00 00	....6...............b...........
1260	18 f7 00 00 d1 00 00 00 05 f8 00 00 7f 01 00 00 d7 f8 00 00 33 00 00 00 57 fa 00 00 09 00 00 00	....................3...W.......
1280	8b fa 00 00 e7 00 00 00 95 fa 00 00 2c 00 00 00 7d fb 00 00 8d 00 00 00 aa fb 00 00 70 00 00 00	............,...}...........p...
12a0	38 fc 00 00 07 00 00 00 a9 fc 00 00 5a 00 00 00 b1 fc 00 00 46 00 00 00 0c fd 00 00 3a 00 00 00	8...........Z.......F.......:...
12c0	53 fd 00 00 47 00 00 00 8e fd 00 00 9c 00 00 00 d6 fd 00 00 5a 00 00 00 73 fe 00 00 13 00 00 00	S...G...............Z...s.......
12e0	ce fe 00 00 0c 00 00 00 e2 fe 00 00 ab 00 00 00 ef fe 00 00 a3 01 00 00 9b ff 00 00 33 00 00 00	............................3...
1300	3f 01 01 00 26 00 00 00 73 01 01 00 4b 00 00 00 9a 01 01 00 35 00 00 00 e6 01 01 00 2c 00 00 00	?...&...s...K.......5.......,...
1320	1c 02 01 00 30 00 00 00 49 02 01 00 3a 00 00 00 7a 02 01 00 13 00 00 00 b5 02 01 00 2d 00 00 00	....0...I...:...z...........-...
1340	c9 02 01 00 13 00 00 00 f7 02 01 00 1a 00 00 00 0b 03 01 00 20 00 00 00 26 03 01 00 1a 00 00 00	........................&.......
1360	47 03 01 00 21 00 00 00 62 03 01 00 1a 00 00 00 84 03 01 00 21 00 00 00 9f 03 01 00 1e 00 00 00	G...!...b...........!...........
1380	c1 03 01 00 21 00 00 00 e0 03 01 00 15 00 00 00 02 04 01 00 04 00 00 00 18 04 01 00 84 00 00 00	....!...........................
13a0	1d 04 01 00 3b 00 00 00 a2 04 01 00 0d 00 00 00 de 04 01 00 2c 00 00 00 ec 04 01 00 2e 00 00 00	....;...............,...........
13c0	19 05 01 00 1e 00 00 00 48 05 01 00 3f 00 00 00 67 05 01 00 2c 00 00 00 a7 05 01 00 28 00 00 00	........H...?...g...,.......(...
13e0	d4 05 01 00 46 00 00 00 fd 05 01 00 32 00 00 00 44 06 01 00 83 00 00 00 77 06 01 00 1b 00 00 00	....F.......2...D.......w.......
1400	fb 06 01 00 1b 00 00 00 17 07 01 00 12 00 00 00 33 07 01 00 aa 00 00 00 46 07 01 00 0c 00 00 00	................3.......F.......
1420	f1 07 01 00 41 00 00 00 fe 07 01 00 41 00 00 00 40 08 01 00 5c 00 00 00 82 08 01 00 3a 00 00 00	....A.......A...@...\.......:...
1440	df 08 01 00 44 00 00 00 1a 09 01 00 60 00 00 00 5f 09 01 00 45 00 00 00 c0 09 01 00 3e 00 00 00	....D.......`..._...E.......>...
1460	06 0a 01 00 40 00 00 00 45 0a 01 00 42 00 00 00 86 0a 01 00 44 00 00 00 c9 0a 01 00 3a 00 00 00	....@...E...B.......D.......:...
1480	0e 0b 01 00 3f 00 00 00 49 0b 01 00 47 00 00 00 89 0b 01 00 3e 00 00 00 d1 0b 01 00 38 00 00 00	....?...I...G.......>.......8...
14a0	10 0c 01 00 cd 00 00 00 49 0c 01 00 15 01 00 00 17 0d 01 00 43 00 00 00 2d 0e 01 00 49 00 00 00	........I...........C...-...I...
14c0	71 0e 01 00 28 00 00 00 bb 0e 01 00 7c 00 00 00 e4 0e 01 00 80 00 00 00 61 0f 01 00 84 00 00 00	q...(.......\|...........a.......
14e0	e2 0f 01 00 70 00 00 00 67 10 01 00 2e 01 00 00 d8 10 01 00 0c 00 00 00 07 12 01 00 0b 00 00 00	....p...g.......................
1500	14 12 01 00 0b 00 00 00 20 12 01 00 0b 00 00 00 2c 12 01 00 08 00 00 00 38 12 01 00 11 00 00 00	................,.......8.......
1520	41 12 01 00 0b 00 00 00 53 12 01 00 0c 00 00 00 5f 12 01 00 09 00 00 00 6c 12 01 00 0b 00 00 00	A.......S......._.......l.......
1540	76 12 01 00 0f 00 00 00 82 12 01 00 0f 00 00 00 92 12 01 00 0f 00 00 00 a2 12 01 00 38 00 00 00	v...........................8...
1560	b2 12 01 00 0d 00 00 00 eb 12 01 00 15 00 00 00 f9 12 01 00 11 00 00 00 0f 13 01 00 19 00 00 00	................................
1580	21 13 01 00 19 00 00 00 3b 13 01 00 15 00 00 00 55 13 01 00 15 00 00 00 6b 13 01 00 1a 00 00 00	!.......;.......U.......k.......
15a0	81 13 01 00 57 00 00 00 9c 13 01 00 63 00 00 00 f4 13 01 00 0e 00 00 00 58 14 01 00 0c 00 00 00	....W.......c...........X.......
15c0	67 14 01 00 1f 00 00 00 74 14 01 00 1f 00 00 00 94 14 01 00 0e 00 00 00 b4 14 01 00 0f 00 00 00	g.......t.......................
15e0	c3 14 01 00 0f 00 00 00 d3 14 01 00 0f 00 00 00 e3 14 01 00 2e 00 00 00 f3 14 01 00 0b 00 00 00	................................
1600	22 15 01 00 0b 00 00 00 2e 15 01 00 1c 00 00 00 3a 15 01 00 1c 00 00 00 57 15 01 00 1e 00 00 00	"...............:.......W.......
1620	74 15 01 00 3f 00 00 00 93 15 01 00 07 00 00 00 d3 15 01 00 09 00 00 00 db 15 01 00 07 00 00 00	t...?...........................
1640	e5 15 01 00 08 00 00 00 ed 15 01 00 05 00 00 00 f6 15 01 00 0a 00 00 00 fc 15 01 00 15 00 00 00	................................
1660	07 16 01 00 0a 00 00 00 1d 16 01 00 05 00 00 00 28 16 01 00 4e 02 00 00 2e 16 01 00 82 00 00 00	................(...N...........
1680	7d 18 01 00 5b 00 00 00 00 19 01 00 1a 01 00 00 5c 19 01 00 c8 00 00 00 77 1a 01 00 57 00 00 00	}...[...........\.......w...W...
16a0	40 1b 01 00 58 00 00 00 98 1b 01 00 d4 00 00 00 f1 1b 01 00 0f 01 00 00 c6 1c 01 00 f1 00 00 00	@...X...........................
16c0	d6 1d 01 00 30 00 00 00 c8 1e 01 00 30 00 00 00 f9 1e 01 00 30 00 00 00 2a 1f 01 00 28 00 00 00	....0.......0.......0...*...(...
16e0	5b 1f 01 00 22 00 00 00 84 1f 01 00 1d 00 00 00 a7 1f 01 00 46 00 00 00 c5 1f 01 00 26 00 00 00	[..."...............F.......&...
1700	0c 20 01 00 1a 00 00 00 33 20 01 00 5d 00 00 00 4e 20 01 00 7c 00 00 00 ac 20 01 00 4b 00 00 00	........3...]...N...\|.......K...
1720	29 21 01 00 28 00 00 00 75 21 01 00 97 00 00 00 9e 21 01 00 46 00 00 00 36 22 01 00 56 00 00 00	)!..(...u!.......!..F...6"..V...
1740	7d 22 01 00 53 00 00 00 d4 22 01 00 1f 00 00 00 28 23 01 00 36 00 00 00 48 23 01 00 3c 00 00 00	}"..S...."......(#..6...H#..<...
1760	7f 23 01 00 2b 00 00 00 bc 23 01 00 2d 00 00 00 e8 23 01 00 38 00 00 00 16 24 01 00 30 00 00 00	.#..+....#..-....#..8....$..0...
1780	4f 24 01 00 1d 00 00 00 80 24 01 00 79 00 00 00 9e 24 01 00 25 00 00 00 18 25 01 00 53 02 00 00	O$.......$..y....$..%....%..S...
17a0	3e 25 01 00 16 00 00 00 92 27 01 00 46 00 00 00 a9 27 01 00 18 00 00 00 f0 27 01 00 48 00 00 00	>%.......'..F....'.......'..H...
17c0	09 28 01 00 1e 00 00 00 52 28 01 00 8e 00 00 00 71 28 01 00 0a 00 00 00 00 29 01 00 0a 00 00 00	.(......R(......q(.......)......
17e0	0b 29 01 00 12 01 00 00 16 29 01 00 8f 00 00 00 29 2a 01 00 df 00 00 00 b9 2a 01 00 22 00 00 00	.).......)......)........."...
1800	99 2b 01 00 40 04 00 00 bc 2b 01 00 48 00 00 00 fd 2f 01 00 1c 00 00 00 46 30 01 00 52 00 00 00	.+..@....+..H..../......F0..R...
1820	63 30 01 00 fa 00 00 00 b6 30 01 00 6d 00 00 00 b1 31 01 00 87 00 00 00 1f 32 01 00 ba 00 00 00	c0.......0..m....1.......2......
1840	a7 32 01 00 5d 00 00 00 62 33 01 00 a9 00 00 00 c0 33 01 00 09 00 00 00 6a 34 01 00 1e 00 00 00	.2..]...b3.......3......j4......
1860	74 34 01 00 1e 00 00 00 93 34 01 00 19 00 00 00 b2 34 01 00 1c 00 00 00 cc 34 01 00 13 00 00 00	t4.......4.......4.......4......
1880	e9 34 01 00 03 00 00 00 fd 34 01 00 29 00 00 00 01 35 01 00 4a 00 00 00 2b 35 01 00 08 00 00 00	.4.......4..)....5..J...+5......
18a0	76 35 01 00 0a 00 00 00 7f 35 01 00 e9 01 00 00 8a 35 01 00 0e 00 00 00 74 37 01 00 19 00 00 00	v5.......5.......5......t7......
18c0	83 37 01 00 29 00 00 00 9d 37 01 00 1a 00 00 00 c7 37 01 00 48 01 00 00 e2 37 01 00 06 00 00 00	.7..)....7.......7..H....7......
18e0	2b 39 01 00 86 02 00 00 32 39 01 00 0d 00 00 00 b9 3b 01 00 0a 00 00 00 c7 3b 01 00 07 00 00 00	+9......29.......;.......;......
1900	d2 3b 01 00 70 00 00 00 da 3b 01 00 6e 00 00 00 4b 3c 01 00 10 00 00 00 ba 3c 01 00 11 00 00 00	.;..p....;..n...K<.......<......
1920	cb 3c 01 00 be 00 00 00 dd 3c 01 00 21 00 00 00 9c 3d 01 00 43 00 00 00 be 3d 01 00 35 00 00 00	.<.......<..!....=..C....=..5...
1940	02 3e 01 00 14 00 00 00 38 3e 01 00 56 00 00 00 4d 3e 01 00 0b 00 00 00 a4 3e 01 00 0d 00 00 00	.>......8>..V...M>.......>......
1960	b0 3e 01 00 13 00 00 00 be 3e 01 00 14 00 00 00 d2 3e 01 00 29 00 00 00 e7 3e 01 00 18 00 00 00	.>.......>.......>..)....>......
1980	11 3f 01 00 23 00 00 00 2a 3f 01 00 24 00 00 00 4e 3f 01 00 39 00 00 00 73 3f 01 00 0e 00 00 00	.?..#...*?..$...N?..9...s?......
19a0	ad 3f 01 00 0e 00 00 00 bc 3f 01 00 13 00 00 00 cb 3f 01 00 27 00 00 00 df 3f 01 00 2b 00 00 00	.?.......?.......?..'....?..+...
19c0	07 40 01 00 51 00 00 00 33 40 01 00 18 00 00 00 85 40 01 00 19 00 00 00 9e 40 01 00 44 00 00 00	.@..Q...3@.......@.......@..D...
19e0	b8 40 01 00 1b 00 00 00 fd 40 01 00 2f 00 00 00 19 41 01 00 1b 00 00 00 49 41 01 00 a4 00 00 00	.@.......@../....A......IA......
1a00	65 41 01 00 ae 00 00 00 0a 42 01 00 04 00 00 00 b9 42 01 00 0b 00 00 00 be 42 01 00 0c 00 00 00	eA.......B.......B.......B......
1a20	ca 42 01 00 14 00 00 00 d7 42 01 00 14 00 00 00 ec 42 01 00 16 00 00 00 01 43 01 00 ae 00 00 00	.B.......B.......B.......C......
1a40	18 43 01 00 85 00 00 00 c7 43 01 00 2b 00 00 00 4d 44 01 00 25 00 00 00 79 44 01 00 43 00 00 00	.C.......C..+...MD..%...yD..C...
1a60	9f 44 01 00 5a 00 00 00 e3 44 01 00 24 00 00 00 3e 45 01 00 dc 00 00 00 63 45 01 00 1c 00 00 00	.D..Z....D..$...>E......cE......
1a80	40 46 01 00 0a 00 00 00 5d 46 01 00 0b 00 00 00 68 46 01 00 0f 00 00 00 74 46 01 00 20 00 00 00	@F......]F......hF......tF......
1aa0	84 46 01 00 5d 00 00 00 a5 46 01 00 06 00 00 00 03 47 01 00 08 00 00 00 0a 47 01 00 08 00 00 00	.F..]....F.......G.......G......
1ac0	13 47 01 00 17 00 00 00 1c 47 01 00 f9 00 00 00 34 47 01 00 0c 01 00 00 2e 48 01 00 96 00 00 00	.G.......G......4G.......H......
1ae0	3b 49 01 00 78 00 00 00 d2 49 01 00 14 00 00 00 4b 4a 01 00 0b 00 00 00 60 4a 01 00 0a 00 00 00	;I..x....I......KJ......`J......
1b00	6c 4a 01 00 4e 00 00 00 77 4a 01 00 c4 00 00 00 c6 4a 01 00 fa 00 00 00 8b 4b 01 00 d1 00 00 00	lJ..N...wJ.......J.......K......
1b20	86 4c 01 00 12 01 00 00 58 4d 01 00 db 00 00 00 6b 4e 01 00 07 00 00 00 47 4f 01 00 23 00 00 00	.L......XM......kN......GO..#...
1b40	4f 4f 01 00 2e 00 00 00 73 4f 01 00 27 00 00 00 a2 4f 01 00 3a 00 00 00 ca 4f 01 00 2e 00 00 00	OO......sO..'....O..:....O......
1b60	05 50 01 00 0f 00 00 00 34 50 01 00 48 00 00 00 44 50 01 00 9f 00 00 00 8d 50 01 00 34 00 00 00	.P......4P..H...DP.......P..4...
1b80	2d 51 01 00 08 00 00 00 62 51 01 00 17 00 00 00 6b 51 01 00 bf 00 00 00 83 51 01 00 85 00 00 00	-Q......bQ......kQ.......Q......
1ba0	43 52 01 00 45 00 00 00 c9 52 01 00 43 00 00 00 0f 53 01 00 d5 00 00 00 53 53 01 00 ab 00 00 00	CR..E....R..C....S......SS......
1bc0	29 54 01 00 53 00 00 00 d5 54 01 00 78 00 00 00 29 55 01 00 bd 00 00 00 a2 55 01 00 56 00 00 00	)T..S....T..x...)U.......U..V...
1be0	60 56 01 00 1c 00 00 00 b7 56 01 00 2e 00 00 00 d4 56 01 00 23 00 00 00 03 57 01 00 67 00 00 00	`V.......V.......V..#....W..g...
1c00	27 57 01 00 5a 00 00 00 8f 57 01 00 43 00 00 00 ea 57 01 00 44 00 00 00 2e 58 01 00 08 00 00 00	'W..Z....W..C....W..D....X......
1c20	73 58 01 00 27 00 00 00 7c 58 01 00 2e 00 00 00 a4 58 01 00 4d 00 00 00 d3 58 01 00 69 00 00 00	sX..'...\|X.......X..M....X..i...
1c40	21 59 01 00 83 00 00 00 8b 59 01 00 1d 00 00 00 0f 5a 01 00 11 00 00 00 2d 5a 01 00 03 00 00 00	!Y.......Y.......Z......-Z......
1c60	3f 5a 01 00 01 02 00 00 43 5a 01 00 ab 00 00 00 45 5c 01 00 78 00 00 00 f1 5c 01 00 83 00 00 00	?Z......CZ......E\..x....\......
1c80	6a 5d 01 00 e2 00 00 00 ee 5d 01 00 09 00 00 00 d1 5e 01 00 5f 03 00 00 db 5e 01 00 14 00 00 00	j].......].......^.._....^......
1ca0	3b 62 01 00 0c 00 00 00 50 62 01 00 0c 00 00 00 5d 62 01 00 0b 00 00 00 6a 62 01 00 17 00 00 00	;b......Pb......]b......jb......
1cc0	76 62 01 00 0f 00 00 00 8e 62 01 00 03 00 00 00 9e 62 01 00 43 00 00 00 a2 62 01 00 67 00 00 00	vb.......b.......b..C....b..g...
1ce0	e6 62 01 00 d8 00 00 00 4e 63 01 00 90 00 00 00 27 64 01 00 88 00 00 00 b8 64 01 00 ec 00 00 00	.b......Nc......'d.......d......
1d00	41 65 01 00 33 00 00 00 2e 66 01 00 9f 00 00 00 62 66 01 00 98 00 00 00 02 67 01 00 bd 00 00 00	Ae..3....f......bf.......g......
1d20	9b 67 01 00 99 00 00 00 59 68 01 00 54 00 00 00 f3 68 01 00 fd 00 00 00 48 69 01 00 60 00 00 00	.g......Yh..T....h......Hi..`...
1d40	46 6a 01 00 a3 00 00 00 a7 6a 01 00 4d 00 00 00 4b 6b 01 00 44 00 00 00 99 6b 01 00 dc 00 00 00	Fj.......j..M...Kk..D....k......
1d60	de 6b 01 00 ee 00 00 00 bb 6c 01 00 75 00 00 00 aa 6d 01 00 67 00 00 00 20 6e 01 00 6b 00 00 00	.k.......l..u....m..g....n..k...
1d80	88 6e 01 00 5d 00 00 00 f4 6e 01 00 9d 00 00 00 52 6f 01 00 20 00 00 00 f0 6f 01 00 33 00 00 00	.n..]....n......Ro.......o..3...
1da0	11 70 01 00 3a 00 00 00 45 70 01 00 1f 00 00 00 80 70 01 00 6a 01 00 00 a0 70 01 00 24 00 00 00	.p..:...Ep.......p..j....p..$...
1dc0	0b 72 01 00 10 00 00 00 30 72 01 00 08 00 00 00 41 72 01 00 23 00 00 00 4a 72 01 00 24 00 00 00	.r......0r......Ar..#...Jr..$...
1de0	6e 72 01 00 23 00 00 00 93 72 01 00 23 00 00 00 b7 72 01 00 7a 00 00 00 db 72 01 00 94 00 00 00	nr..#....r..#....r..z....r......
1e00	56 73 01 00 21 00 00 00 eb 73 01 00 89 00 00 00 0d 74 01 00 98 00 00 00 97 74 01 00 14 00 00 00	Vs..!....s.......t.......t......
1e20	30 75 01 00 23 00 00 00 45 75 01 00 25 00 00 00 69 75 01 00 2e 00 00 00 8f 75 01 00 05 00 00 00	0u..#...Eu..%...iu.......u......
1e40	be 75 01 00 05 00 00 00 c4 75 01 00 11 00 00 00 ca 75 01 00 3c 00 00 00 dc 75 01 00 1d 00 00 00	.u.......u.......u..<....u......
1e60	19 76 01 00 25 00 00 00 37 76 01 00 04 00 00 00 5d 76 01 00 0c 00 00 00 62 76 01 00 0f 00 00 00	.v..%...7v......]v......bv......
1e80	6f 76 01 00 04 00 00 00 7f 76 01 00 63 00 00 00 84 76 01 00 3c 00 00 00 e8 76 01 00 40 00 00 00	ov.......v..c....v..<....v..@...
1ea0	25 77 01 00 dc 02 00 00 66 77 01 00 0b 00 00 00 43 7a 01 00 3c 00 00 00 4f 7a 01 00 0a 00 00 00	%w......fw......Cz..<...Oz......
1ec0	8c 7a 01 00 0e 00 00 00 97 7a 01 00 79 00 00 00 a6 7a 01 00 5d 00 00 00 20 7b 01 00 0a 00 00 00	.z.......z..y....z..]....{......
1ee0	7e 7b 01 00 16 00 00 00 89 7b 01 00 16 00 00 00 a0 7b 01 00 0b 00 00 00 b7 7b 01 00 14 00 00 00	~{.......{.......{.......{......
1f00	c3 7b 01 00 0f 00 00 00 d8 7b 01 00 10 00 00 00 e8 7b 01 00 18 00 00 00 f9 7b 01 00 21 00 00 00	.{.......{.......{.......{..!...
1f20	12 7c 01 00 5a 00 00 00 34 7c 01 00 80 00 00 00 8f 7c 01 00 44 00 00 00 10 7d 01 00 2b 00 00 00	.\|..Z...4\|.......\|..D....}..+...
1f40	55 7d 01 00 04 00 00 00 81 7d 01 00 40 00 00 00 86 7d 01 00 97 00 00 00 c7 7d 01 00 42 00 00 00	U}.......}..@....}.......}..B...
1f60	5f 7e 01 00 5d 00 00 00 a2 7e 01 00 3a 00 00 00 00 7f 01 00 34 00 00 00 3b 7f 01 00 2e 00 00 00	_~..]....~..:.......4...;.......
1f80	70 7f 01 00 26 00 00 00 9f 7f 01 00 58 00 00 00 c6 7f 01 00 34 00 00 00 1f 80 01 00 35 00 00 00	p...&.......X.......4.......5...
1fa0	54 80 01 00 13 00 00 00 8a 80 01 00 19 00 00 00 9e 80 01 00 85 00 00 00 b8 80 01 00 19 00 00 00	T...............................
1fc0	3e 81 01 00 7a 00 00 00 58 81 01 00 79 00 00 00 d3 81 01 00 53 00 00 00 4d 82 01 00 68 00 00 00	>...z...X...y.......S...M...h...
1fe0	a1 82 01 00 36 00 00 00 0a 83 01 00 32 00 00 00 41 83 01 00 38 00 00 00 74 83 01 00 36 00 00 00	....6.......2...A...8...t...6...
2000	ad 83 01 00 38 00 00 00 e4 83 01 00 11 00 00 00 1d 84 01 00 20 00 00 00 2f 84 01 00 16 00 00 00	....8.................../.......
2020	50 84 01 00 38 01 00 00 67 84 01 00 69 00 00 00 a0 85 01 00 08 00 00 00 0a 86 01 00 03 00 00 00	P...8...g...i...................
2040	13 86 01 00 72 00 00 00 17 86 01 00 03 00 00 00 8a 86 01 00 6c 00 00 00 8e 86 01 00 03 00 00 00	....r...............l...........
2060	fb 86 01 00 61 00 00 00 ff 86 01 00 27 00 00 00 61 87 01 00 0b 00 00 00 89 87 01 00 37 00 00 00	....a.......'...a...........7...
2080	95 87 01 00 25 00 00 00 cd 87 01 00 6e 00 00 00 f3 87 01 00 b2 00 00 00 62 88 01 00 38 00 00 00	....%.......n...........b...8...
20a0	15 89 01 00 0e 00 00 00 4e 89 01 00 0d 00 00 00 5d 89 01 00 0a 00 00 00 6b 89 01 00 67 00 00 00	........N.......].......k...g...
20c0	76 89 01 00 0e 00 00 00 de 89 01 00 0b 00 00 00 ed 89 01 00 02 00 00 00 f9 89 01 00 0e 00 00 00	v...............................
20e0	fc 89 01 00 02 00 00 00 0b 8a 01 00 09 00 00 00 0e 8a 01 00 09 00 00 00 18 8a 01 00 42 01 00 00	............................B...
2100	22 8a 01 00 0f 00 00 00 65 8b 01 00 47 00 00 00 75 8b 01 00 81 00 00 00 bd 8b 01 00 07 00 00 00	".......e...G...u...............
2120	3f 8c 01 00 04 00 00 00 47 8c 01 00 46 00 00 00 4c 8c 01 00 3c 00 00 00 93 8c 01 00 0f 00 00 00	?.......G...F...L...<...........
2140	d0 8c 01 00 96 00 00 00 e0 8c 01 00 7c 00 00 00 77 8d 01 00 09 00 00 00 f4 8d 01 00 14 00 00 00	............\|...w...............
2160	fe 8d 01 00 09 00 00 00 13 8e 01 00 1b 00 00 00 1d 8e 01 00 2c 00 00 00 39 8e 01 00 1d 00 00 00	....................,...9.......
2180	66 8e 01 00 a8 00 00 00 84 8e 01 00 d7 00 00 00 2d 8f 01 00 42 00 00 00 05 90 01 00 7d 00 00 00	f...............-...B.......}...
21a0	48 90 01 00 77 00 00 00 c6 90 01 00 49 00 00 00 3e 91 01 00 48 00 00 00 88 91 01 00 24 00 00 00	H...w.......I...>...H.......$...
21c0	d1 91 01 00 9b 00 00 00 f6 91 01 00 34 00 00 00 92 92 01 00 18 00 00 00 c7 92 01 00 9e 00 00 00	............4...................
21e0	e0 92 01 00 92 00 00 00 7f 93 01 00 3f 00 00 00 12 94 01 00 10 00 00 00 52 94 01 00 5a 00 00 00	............?...........R...Z...
2200	63 94 01 00 4b 00 00 00 be 94 01 00 0f 00 00 00 0a 95 01 00 05 00 00 00 1a 95 01 00 40 00 00 00	c...K.......................@...
2220	20 95 01 00 4b 02 00 00 61 95 01 00 31 00 00 00 ad 97 01 00 26 00 00 00 df 97 01 00 19 00 00 00	....K...a...1.......&...........
2240	06 98 01 00 1f 00 00 00 20 98 01 00 2d 00 00 00 40 98 01 00 30 00 00 00 6e 98 01 00 2a 00 00 00	............-...@...0...n...*...
2260	9f 98 01 00 1c 00 00 00 ca 98 01 00 14 00 00 00 e7 98 01 00 16 00 00 00 fc 98 01 00 09 00 00 00	................................
2280	13 99 01 00 0e 00 00 00 1d 99 01 00 0f 00 00 00 2c 99 01 00 14 00 00 00 3c 99 01 00 14 00 00 00	................,.......<.......
22a0	51 99 01 00 14 00 00 00 66 99 01 00 07 00 00 00 7b 99 01 00 15 00 00 00 83 99 01 00 e6 00 00 00	Q.......f.......{...............
22c0	99 99 01 00 8e 00 00 00 80 9a 01 00 1d 00 00 00 0f 9b 01 00 85 00 00 00 2d 9b 01 00 cd 00 00 00	........................-.......
22e0	b3 9b 01 00 b8 00 00 00 81 9c 01 00 75 00 00 00 3a 9d 01 00 a7 00 00 00 b0 9d 01 00 6d 00 00 00	............u...:...........m...
2300	58 9e 01 00 4d 00 00 00 c6 9e 01 00 be 00 00 00 14 9f 01 00 41 00 00 00 d3 9f 01 00 5d 00 00 00	X...M...............A.......]...
2320	15 a0 01 00 1e 00 00 00 73 a0 01 00 75 00 00 00 92 a0 01 00 45 00 00 00 08 a1 01 00 9d 00 00 00	........s...u.......E...........
2340	4e a1 01 00 28 00 00 00 ec a1 01 00 5f 00 00 00 15 a2 01 00 41 00 00 00 75 a2 01 00 df 00 00 00	N...(......._.......A...u.......
2360	b7 a2 01 00 b7 00 00 00 97 a3 01 00 9b 00 00 00 4f a4 01 00 5b 00 00 00 eb a4 01 00 c3 00 00 00	................O...[...........
2380	47 a5 01 00 7f 00 00 00 0b a6 01 00 94 00 00 00 8b a6 01 00 b4 00 00 00 20 a7 01 00 25 00 00 00	G...........................%...
23a0	d5 a7 01 00 a8 00 00 00 fb a7 01 00 50 00 00 00 a4 a8 01 00 1f 00 00 00 f5 a8 01 00 35 00 00 00	............P...............5...
23c0	15 a9 01 00 3b 00 00 00 4b a9 01 00 a8 00 00 00 87 a9 01 00 15 01 00 00 30 aa 01 00 ce 00 00 00	....;...K...............0.......
23e0	46 ab 01 00 a9 00 00 00 15 ac 01 00 24 00 00 00 bf ac 01 00 42 00 00 00 e4 ac 01 00 95 00 00 00	F...........$.......B...........
2400	27 ad 01 00 7b 00 00 00 bd ad 01 00 76 00 00 00 39 ae 01 00 57 00 00 00 b0 ae 01 00 aa 00 00 00	'...{.......v...9...W...........
2420	08 af 01 00 f8 00 00 00 b3 af 01 00 2b 00 00 00 ac b0 01 00 9e 01 00 00 d8 b0 01 00 46 00 00 00	............+...............F...
2440	77 b2 01 00 65 00 00 00 be b2 01 00 ad 00 00 00 24 b3 01 00 6c 00 00 00 d2 b3 01 00 9f 00 00 00	w...e...........$...l...........
2460	3f b4 01 00 b9 00 00 00 df b4 01 00 60 00 00 00 99 b5 01 00 56 00 00 00 fa b5 01 00 28 00 00 00	?...........`.......V.......(...
2480	51 b6 01 00 42 00 00 00 7a b6 01 00 7d 00 00 00 bd b6 01 00 27 00 00 00 3b b7 01 00 ac 00 00 00	Q...B...z...}.......'...;.......
24a0	63 b7 01 00 b1 00 00 00 10 b8 01 00 4b 00 00 00 c2 b8 01 00 83 00 00 00 0e b9 01 00 08 00 00 00	c...........K...................
24c0	92 b9 01 00 8d 00 00 00 9b b9 01 00 0a 00 00 00 29 ba 01 00 1b 00 00 00 34 ba 01 00 17 00 00 00	................).......4.......
24e0	50 ba 01 00 28 00 00 00 68 ba 01 00 e7 00 00 00 91 ba 01 00 d0 00 00 00 79 bb 01 00 25 00 00 00	P...(...h...............y...%...
2500	4a bc 01 00 83 00 00 00 70 bc 01 00 90 00 00 00 f4 bc 01 00 05 00 00 00 85 bd 01 00 c9 00 00 00	J.......p.......................
2520	8b bd 01 00 03 00 00 00 55 be 01 00 12 00 00 00 59 be 01 00 0c 00 00 00 6c be 01 00 21 00 00 00	........U.......Y.......l...!...
2540	79 be 01 00 21 00 00 00 9b be 01 00 21 00 00 00 bd be 01 00 26 00 00 00 df be 01 00 b9 00 00 00	y...!.......!.......&...........
2560	06 bf 01 00 3b 00 00 00 c0 bf 01 00 0e 00 00 00 fc bf 01 00 18 00 00 00 0b c0 01 00 26 00 00 00	....;.......................&...
2580	24 c0 01 00 23 00 00 00 4b c0 01 00 23 00 00 00 6f c0 01 00 0d 00 00 00 93 c0 01 00 23 00 00 00	$...#...K...#...o...........#...
25a0	a1 c0 01 00 0f 00 00 00 c5 c0 01 00 24 00 00 00 d5 c0 01 00 0f 00 00 00 fa c0 01 00 08 00 00 00	............$...................
25c0	0a c1 01 00 08 00 00 00 13 c1 01 00 08 00 00 00 1c c1 01 00 08 00 00 00 25 c1 01 00 08 00 00 00	........................%.......
25e0	2e c1 01 00 09 00 00 00 37 c1 01 00 08 00 00 00 41 c1 01 00 09 00 00 00 4a c1 01 00 08 00 00 00	........7.......A.......J.......
2600	54 c1 01 00 09 00 00 00 5d c1 01 00 0c 00 00 00 67 c1 01 00 09 00 00 00 74 c1 01 00 09 00 00 00	T.......].......g.......t.......
2620	7e c1 01 00 08 00 00 00 88 c1 01 00 12 00 00 00 91 c1 01 00 0f 00 00 00 a4 c1 01 00 0e 00 00 00	~...............................
2640	b4 c1 01 00 0d 00 00 00 c3 c1 01 00 1a 00 00 00 d1 c1 01 00 16 00 00 00 ec c1 01 00 49 00 00 00	............................I...
2660	03 c2 01 00 82 00 00 00 4d c2 01 00 1f 01 00 00 d0 c2 01 00 40 00 00 00 f0 c3 01 00 6f 00 00 00	........M...........@.......o...
2680	31 c4 01 00 f4 00 00 00 a1 c4 01 00 17 00 00 00 96 c5 01 00 6e 00 00 00 ae c5 01 00 67 00 00 00	1...................n.......g...
26a0	1d c6 01 00 8e 00 00 00 85 c6 01 00 19 03 00 00 14 c7 01 00 cb 00 00 00 2e ca 01 00 bc 00 00 00	................................
26c0	fa ca 01 00 42 00 00 00 b7 cb 01 00 36 00 00 00 fa cb 01 00 b9 00 00 00 31 cc 01 00 62 00 00 00	....B.......6...........1...b...
26e0	eb cc 01 00 ec 00 00 00 4e cd 01 00 d1 00 00 00 3b ce 01 00 7f 01 00 00 0d cf 01 00 33 00 00 00	........N.......;...........3...
2700	8d d0 01 00 09 00 00 00 c1 d0 01 00 e7 00 00 00 cb d0 01 00 2c 00 00 00 b3 d1 01 00 8d 00 00 00	....................,...........
2720	e0 d1 01 00 70 00 00 00 6e d2 01 00 07 00 00 00 df d2 01 00 5a 00 00 00 e7 d2 01 00 46 00 00 00	....p...n...........Z.......F...
2740	42 d3 01 00 3a 00 00 00 89 d3 01 00 47 00 00 00 c4 d3 01 00 9c 00 00 00 0c d4 01 00 5a 00 00 00	B...:.......G...............Z...
2760	a9 d4 01 00 13 00 00 00 04 d5 01 00 0c 00 00 00 18 d5 01 00 ab 00 00 00 25 d5 01 00 a3 01 00 00	........................%.......
2780	d1 d5 01 00 33 00 00 00 75 d7 01 00 26 00 00 00 a9 d7 01 00 4b 00 00 00 d0 d7 01 00 35 00 00 00	....3...u...&.......K.......5...
27a0	1c d8 01 00 2c 00 00 00 52 d8 01 00 30 00 00 00 7f d8 01 00 3a 00 00 00 b0 d8 01 00 13 00 00 00	....,...R...0.......:...........
27c0	eb d8 01 00 2d 00 00 00 ff d8 01 00 13 00 00 00 2d d9 01 00 1a 00 00 00 41 d9 01 00 20 00 00 00	....-...........-.......A.......
27e0	5c d9 01 00 1a 00 00 00 7d d9 01 00 21 00 00 00 98 d9 01 00 1a 00 00 00 ba d9 01 00 21 00 00 00	\.......}...!...............!...
2800	d5 d9 01 00 1e 00 00 00 f7 d9 01 00 21 00 00 00 16 da 01 00 15 00 00 00 38 da 01 00 04 00 00 00	............!...........8.......
2820	4e da 01 00 84 00 00 00 53 da 01 00 3b 00 00 00 d8 da 01 00 0d 00 00 00 14 db 01 00 2c 00 00 00	N.......S...;...............,...
2840	22 db 01 00 2e 00 00 00 4f db 01 00 1e 00 00 00 7e db 01 00 3f 00 00 00 9d db 01 00 2c 00 00 00	".......O.......~...?.......,...
2860	dd db 01 00 28 00 00 00 0a dc 01 00 46 00 00 00 33 dc 01 00 32 00 00 00 7a dc 01 00 83 00 00 00	....(.......F...3...2...z.......
2880	ad dc 01 00 1b 00 00 00 31 dd 01 00 1b 00 00 00 4d dd 01 00 12 00 00 00 69 dd 01 00 aa 00 00 00	........1.......M.......i.......
28a0	7c dd 01 00 0c 00 00 00 27 de 01 00 41 00 00 00 34 de 01 00 41 00 00 00 76 de 01 00 5c 00 00 00	\|.......'...A...4...A...v...\...
28c0	b8 de 01 00 3a 00 00 00 15 df 01 00 44 00 00 00 50 df 01 00 60 00 00 00 95 df 01 00 45 00 00 00	....:.......D...P...`.......E...
28e0	f6 df 01 00 3e 00 00 00 3c e0 01 00 40 00 00 00 7b e0 01 00 42 00 00 00 bc e0 01 00 44 00 00 00	....>...<...@...{...B.......D...
2900	ff e0 01 00 3a 00 00 00 44 e1 01 00 3f 00 00 00 7f e1 01 00 47 00 00 00 bf e1 01 00 3e 00 00 00	....:...D...?.......G.......>...
2920	07 e2 01 00 38 00 00 00 46 e2 01 00 01 00 00 00 00 00 00 00 5a 02 00 00 00 00 00 00 00 00 00 00	....8...F...........Z...........
2940	50 02 00 00 41 02 00 00 1e 00 00 00 2f 00 00 00 90 01 00 00 00 00 00 00 00 00 00 00 b9 00 00 00	P...A......./...................
2960	8f 02 00 00 4c 02 00 00 ed 00 00 00 dd 00 00 00 c8 00 00 00 61 01 00 00 28 02 00 00 6b 02 00 00	....L...............a...(...k...
2980	07 00 00 00 00 00 00 00 00 00 00 00 18 01 00 00 00 00 00 00 97 01 00 00 ef 00 00 00 d8 01 00 00	................................
29a0	b1 01 00 00 00 00 00 00 87 01 00 00 e0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00	................................
29c0	89 02 00 00 7b 02 00 00 75 01 00 00 00 00 00 00 0f 02 00 00 8d 02 00 00 00 00 00 00 d9 01 00 00	....{...u.......................
29e0	02 00 00 00 c3 01 00 00 4b 01 00 00 85 01 00 00 00 00 00 00 2d 02 00 00 00 00 00 00 00 00 00 00	........K...........-...........
2a00	1d 02 00 00 8c 02 00 00 44 01 00 00 00 00 00 00 70 01 00 00 99 01 00 00 1e 02 00 00 00 00 00 00	........D.......p...............
2a20	49 01 00 00 00 00 00 00 00 00 00 00 0f 01 00 00 13 02 00 00 64 00 00 00 9d 00 00 00 0a 01 00 00	I...................d...........
2a40	5f 02 00 00 00 00 00 00 eb 00 00 00 64 01 00 00 3a 02 00 00 82 00 00 00 81 01 00 00 00 00 00 00	_...........d...:...............
2a60	00 00 00 00 93 01 00 00 00 00 00 00 7e 01 00 00 88 02 00 00 e6 00 00 00 2e 02 00 00 00 00 00 00	............~...................
2a80	72 01 00 00 43 02 00 00 51 01 00 00 72 02 00 00 00 00 00 00 0e 01 00 00 fb 00 00 00 00 00 00 00	r...C...Q...r...................
2aa0	16 01 00 00 3e 00 00 00 32 01 00 00 bb 00 00 00 00 00 00 00 c8 01 00 00 76 02 00 00 6b 00 00 00	....>...2...............v...k...
2ac0	6a 01 00 00 76 01 00 00 3f 02 00 00 00 00 00 00 3c 02 00 00 21 00 00 00 33 00 00 00 76 00 00 00	j...v...?.......<...!...3...v...
2ae0	52 00 00 00 6a 02 00 00 00 00 00 00 c1 01 00 00 00 00 00 00 56 01 00 00 4f 00 00 00 ac 00 00 00	R...j...............V...O.......
2b00	79 00 00 00 09 00 00 00 a6 00 00 00 e8 00 00 00 00 00 00 00 00 00 00 00 4b 02 00 00 30 00 00 00	y.......................K...0...
2b20	00 00 00 00 7f 02 00 00 92 01 00 00 27 02 00 00 bc 00 00 00 00 00 00 00 58 00 00 00 29 01 00 00	............'...........X...)...
2b40	e3 00 00 00 84 02 00 00 00 00 00 00 9e 01 00 00 ff 00 00 00 00 00 00 00 78 00 00 00 69 00 00 00	........................x...i...
2b60	00 00 00 00 c4 01 00 00 6f 01 00 00 00 00 00 00 9e 00 00 00 f1 01 00 00 00 00 00 00 d1 01 00 00	........o.......................
2b80	0c 02 00 00 17 01 00 00 d6 00 00 00 88 01 00 00 00 00 00 00 5d 01 00 00 9f 00 00 00 bb 01 00 00	....................]...........
2ba0	59 01 00 00 9b 01 00 00 ff 01 00 00 04 02 00 00 33 01 00 00 a5 00 00 00 00 00 00 00 00 00 00 00	Y...............3...............
2bc0	03 00 00 00 00 00 00 00 7d 01 00 00 51 00 00 00 1c 02 00 00 50 01 00 00 4d 01 00 00 42 01 00 00	........}...Q.......P...M...B...
2be0	73 01 00 00 44 02 00 00 00 00 00 00 a4 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 d4 01 00 00	s...D...........................
2c00	8c 00 00 00 46 02 00 00 13 01 00 00 48 01 00 00 df 01 00 00 00 00 00 00 e1 01 00 00 8f 00 00 00	....F.......H...................
2c20	6e 01 00 00 a4 01 00 00 00 00 00 00 41 01 00 00 a6 01 00 00 88 00 00 00 6c 00 00 00 00 00 00 00	n...........A...........l.......
2c40	00 00 00 00 71 00 00 00 09 02 00 00 4d 00 00 00 4f 01 00 00 86 02 00 00 12 01 00 00 56 00 00 00	....q.......M...O...........V...
2c60	00 00 00 00 00 00 00 00 68 01 00 00 a7 00 00 00 00 00 00 00 91 02 00 00 34 02 00 00 00 00 00 00	........h...............4.......
2c80	e7 01 00 00 2a 01 00 00 3c 00 00 00 ab 01 00 00 37 01 00 00 00 00 00 00 8a 01 00 00 7e 00 00 00	....*...<.......7...........~...
2ca0	0c 01 00 00 81 00 00 00 69 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 46 01 00 00	........i...................F...
2cc0	0b 00 00 00 00 00 00 00 f8 00 00 00 00 00 00 00 e3 01 00 00 7c 00 00 00 ea 01 00 00 80 01 00 00	....................\|...........
2ce0	10 00 00 00 07 02 00 00 00 00 00 00 2d 01 00 00 b2 01 00 00 00 00 00 00 34 01 00 00 5e 00 00 00	............-...........4...^...
2d00	00 00 00 00 ec 01 00 00 6f 00 00 00 cf 01 00 00 00 00 00 00 94 01 00 00 29 00 00 00 de 01 00 00	........o...............).......
2d20	b9 01 00 00 54 01 00 00 92 00 00 00 c0 00 00 00 3a 00 00 00 35 01 00 00 19 00 00 00 f5 01 00 00	....T...........:...5...........
2d40	a1 01 00 00 42 00 00 00 de 00 00 00 ed 01 00 00 99 00 00 00 2c 01 00 00 7a 01 00 00 11 01 00 00	....B...............,...z.......
2d60	f8 01 00 00 00 00 00 00 f0 01 00 00 00 00 00 00 1e 01 00 00 00 00 00 00 a3 00 00 00 00 00 00 00	................................
2d80	68 02 00 00 19 02 00 00 49 00 00 00 16 02 00 00 00 00 00 00 74 00 00 00 28 01 00 00 00 00 00 00	h.......I...........t...(.......
2da0	9a 00 00 00 00 00 00 00 38 02 00 00 9c 00 00 00 50 00 00 00 00 02 00 00 05 01 00 00 f0 00 00 00	........8.......P...............
2dc0	0d 00 00 00 53 01 00 00 96 00 00 00 00 00 00 00 c9 01 00 00 65 02 00 00 0b 02 00 00 95 01 00 00	....S...............e...........
2de0	6e 02 00 00 27 00 00 00 17 02 00 00 57 02 00 00 1b 02 00 00 00 00 00 00 86 00 00 00 7d 00 00 00	n...'.......W...............}...
2e00	6e 00 00 00 00 00 00 00 f3 00 00 00 00 00 00 00 00 00 00 00 a8 00 00 00 70 02 00 00 36 02 00 00	n.......................p...6...
2e20	00 00 00 00 00 00 00 00 43 01 00 00 d7 01 00 00 2a 02 00 00 00 00 00 00 00 00 00 00 96 01 00 00	........C.......*...............
2e40	b5 00 00 00 00 00 00 00 15 00 00 00 00 00 00 00 00 00 00 00 4a 00 00 00 55 02 00 00 00 00 00 00	....................J...U.......
2e60	11 02 00 00 00 00 00 00 00 00 00 00 09 01 00 00 26 00 00 00 f6 00 00 00 00 00 00 00 e2 00 00 00	................&...............
2e80	e5 01 00 00 80 02 00 00 47 01 00 00 62 00 00 00 db 00 00 00 78 01 00 00 5e 02 00 00 00 00 00 00	........G...b.......x...^.......
2ea0	bd 01 00 00 cd 01 00 00 00 00 00 00 00 00 00 00 13 00 00 00 1d 01 00 00 8d 01 00 00 00 00 00 00	................................
2ec0	5c 00 00 00 3a 01 00 00 31 01 00 00 3e 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 75 02 00 00	\...:...1...>...............u...
2ee0	17 00 00 00 db 01 00 00 47 02 00 00 fe 01 00 00 a7 01 00 00 2f 02 00 00 7d 02 00 00 00 00 00 00	........G.........../...}.......
2f00	e2 01 00 00 00 00 00 00 00 01 00 00 5a 01 00 00 b0 01 00 00 c6 00 00 00 36 00 00 00 69 01 00 00	............Z...........6...i...
2f20	d3 00 00 00 73 02 00 00 1b 00 00 00 f2 00 00 00 62 02 00 00 e0 01 00 00 00 00 00 00 00 00 00 00	....s...........b...............
2f40	b7 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0d 02 00 00 7b 00 00 00 41 00 00 00 04 00 00 00	....................{...A.......
2f60	c2 01 00 00 7b 01 00 00 48 00 00 00 00 00 00 00 79 02 00 00 0c 00 00 00 00 00 00 00 24 01 00 00	....{...H.......y...........$...
2f80	25 02 00 00 00 00 00 00 00 00 00 00 45 00 00 00 04 01 00 00 00 00 00 00 b4 01 00 00 00 00 00 00	%...........E...................
2fa0	00 00 00 00 74 02 00 00 dc 00 00 00 93 00 00 00 ec 00 00 00 70 00 00 00 36 01 00 00 ba 00 00 00	....t...............p...6.......
2fc0	57 01 00 00 27 01 00 00 00 00 00 00 2e 00 00 00 31 00 00 00 e9 01 00 00 fc 00 00 00 37 02 00 00	W...'...........1...........7...
2fe0	6c 01 00 00 32 02 00 00 be 00 00 00 bd 00 00 00 83 01 00 00 b8 01 00 00 61 00 00 00 a0 01 00 00	l...2...................a.......
3000	06 00 00 00 00 00 00 00 5f 00 00 00 d3 01 00 00 0e 00 00 00 66 00 00 00 0a 00 00 00 90 02 00 00	........_...........f...........
3020	00 00 00 00 00 00 00 00 6d 02 00 00 87 00 00 00 ca 00 00 00 b7 01 00 00 f9 01 00 00 af 01 00 00	........m.......................
3040	63 01 00 00 8b 00 00 00 5f 01 00 00 20 02 00 00 91 00 00 00 8e 02 00 00 00 00 00 00 6c 02 00 00	c......._...................l...
3060	23 02 00 00 4a 01 00 00 72 00 00 00 89 00 00 00 f6 01 00 00 d5 01 00 00 77 00 00 00 00 00 00 00	#...J...r...............w.......
3080	c1 00 00 00 08 02 00 00 a2 00 00 00 cd 00 00 00 4f 02 00 00 58 01 00 00 83 00 00 00 07 01 00 00	................O...X...........
30a0	d5 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 63 00 00 00 d7 00 00 00 8f 01 00 00 00 00 00 00	................c...............
30c0	00 00 00 00 00 00 00 00 40 00 00 00 10 01 00 00 00 00 00 00 cb 00 00 00 53 02 00 00 45 02 00 00	........@...............S...E...
30e0	00 00 00 00 10 02 00 00 40 02 00 00 b3 00 00 00 ba 01 00 00 05 00 00 00 b5 01 00 00 97 00 00 00	........@.......................
3100	c6 01 00 00 f3 01 00 00 d9 00 00 00 2c 00 00 00 2d 00 00 00 00 00 00 00 00 00 00 00 30 01 00 00	............,...-...........0...
3120	0e 02 00 00 44 00 00 00 9b 00 00 00 8b 02 00 00 62 01 00 00 00 00 00 00 5a 00 00 00 6f 02 00 00	....D...........b.......Z...o...
3140	00 00 00 00 00 00 00 00 89 01 00 00 a8 01 00 00 00 00 00 00 00 00 00 00 6b 01 00 00 b2 00 00 00	........................k.......
3160	ce 01 00 00 49 02 00 00 8c 01 00 00 00 00 00 00 bf 00 00 00 eb 01 00 00 df 00 00 00 fb 01 00 00	....I...........................
3180	6a 00 00 00 00 00 00 00 08 01 00 00 01 01 00 00 65 01 00 00 32 00 00 00 34 00 00 00 4a 02 00 00	j...............e...2...4...J...
31a0	1f 02 00 00 0a 02 00 00 f4 00 00 00 6d 01 00 00 ac 01 00 00 00 00 00 00 00 00 00 00 40 01 00 00	............m...............@...
31c0	00 00 00 00 00 00 00 00 fd 01 00 00 3e 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 fd 00 00 00	............>...................
31e0	00 00 00 00 7f 01 00 00 55 01 00 00 00 00 00 00 a9 01 00 00 52 02 00 00 22 02 00 00 f7 00 00 00	........U...........R...".......
3200	e9 00 00 00 57 00 00 00 1a 00 00 00 46 00 00 00 08 00 00 00 12 02 00 00 79 01 00 00 2b 00 00 00	....W.......F...........y...+...
3220	00 00 00 00 81 02 00 00 fc 01 00 00 00 00 00 00 3b 00 00 00 aa 00 00 00 00 00 00 00 39 02 00 00	................;...........9...
3240	25 01 00 00 00 00 00 00 3b 01 00 00 21 01 00 00 74 01 00 00 7f 00 00 00 73 00 00 00 00 00 00 00	%.......;...!...t.......s.......
3260	00 00 00 00 25 00 00 00 d2 00 00 00 42 02 00 00 00 00 00 00 3d 01 00 00 b6 01 00 00 03 01 00 00	....%.......B.......=...........
3280	00 00 00 00 60 02 00 00 3d 02 00 00 71 01 00 00 14 01 00 00 f5 00 00 00 7e 02 00 00 00 00 00 00	....`...=...q...........~.......
32a0	ce 00 00 00 63 02 00 00 14 02 00 00 7c 02 00 00 00 00 00 00 61 02 00 00 5c 01 00 00 02 01 00 00	....c.......\|.......a...\.......
32c0	98 00 00 00 5b 01 00 00 9f 01 00 00 2e 01 00 00 00 00 00 00 00 00 00 00 2b 01 00 00 66 02 00 00	....[...................+...f...
32e0	00 00 00 00 1d 00 00 00 00 00 00 00 af 00 00 00 65 00 00 00 00 00 00 00 00 00 00 00 1a 02 00 00	................e...............
3300	c5 00 00 00 53 00 00 00 8a 00 00 00 16 00 00 00 5b 02 00 00 ab 00 00 00 87 02 00 00 23 01 00 00	....S...........[...........#...
3320	00 00 00 00 e4 00 00 00 a1 00 00 00 39 00 00 00 00 00 00 00 c2 00 00 00 00 00 00 00 00 00 00 00	............9...................
3340	58 02 00 00 00 00 00 00 85 02 00 00 24 02 00 00 00 00 00 00 2a 00 00 00 1f 01 00 00 03 02 00 00	X...........$.......*...........
3360	ea 00 00 00 bc 01 00 00 15 02 00 00 75 00 00 00 b4 00 00 00 4b 00 00 00 00 00 00 00 c9 00 00 00	............u.......K...........
3380	19 01 00 00 54 00 00 00 00 00 00 00 5c 02 00 00 59 02 00 00 00 00 00 00 18 00 00 00 c7 01 00 00	....T.......\...Y...............
33a0	82 02 00 00 59 00 00 00 11 00 00 00 a5 01 00 00 37 00 00 00 e1 00 00 00 00 00 00 00 6d 00 00 00	....Y...........7...........m...
33c0	29 02 00 00 05 02 00 00 06 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 94 00 00 00 00 00 00 00	)...............................
33e0	31 02 00 00 1c 01 00 00 fe 00 00 00 00 00 00 00 da 00 00 00 66 01 00 00 67 02 00 00 00 00 00 00	1...................f...g.......
3400	0b 01 00 00 01 02 00 00 e4 01 00 00 ad 01 00 00 ae 01 00 00 98 01 00 00 00 00 00 00 00 00 00 00	................................
3420	a9 00 00 00 ef 01 00 00 ee 00 00 00 00 00 00 00 67 01 00 00 45 01 00 00 8b 01 00 00 00 00 00 00	................g...E...........
3440	2b 02 00 00 a0 00 00 00 c3 00 00 00 c4 00 00 00 15 01 00 00 d0 00 00 00 43 00 00 00 22 00 00 00	+.......................C..."...
3460	ca 01 00 00 d8 00 00 00 3b 02 00 00 02 02 00 00 ad 00 00 00 2f 01 00 00 c7 00 00 00 60 00 00 00	........;.........../.......`...
3480	00 00 00 00 a2 01 00 00 00 00 00 00 ae 00 00 00 28 00 00 00 83 02 00 00 55 00 00 00 8a 02 00 00	................(.......U.......
34a0	e6 01 00 00 d2 01 00 00 00 00 00 00 77 01 00 00 00 00 00 00 0d 01 00 00 be 01 00 00 4e 01 00 00	............w...............N...
34c0	00 00 00 00 21 02 00 00 00 00 00 00 26 02 00 00 7a 00 00 00 26 01 00 00 22 01 00 00 b8 00 00 00	....!.......&...z...&...".......
34e0	f4 01 00 00 00 00 00 00 00 00 00 00 82 01 00 00 5d 00 00 00 00 00 00 00 8e 01 00 00 cc 00 00 00	................]...............
3500	00 00 00 00 f7 01 00 00 64 02 00 00 00 00 00 00 00 00 00 00 67 00 00 00 68 00 00 00 f9 00 00 00	........d...........g...h.......
3520	dc 01 00 00 38 01 00 00 47 00 00 00 1c 00 00 00 0f 00 00 00 9d 01 00 00 f1 00 00 00 aa 01 00 00	....8...G.......................
3540	e5 00 00 00 c0 01 00 00 a3 01 00 00 91 01 00 00 23 00 00 00 00 00 00 00 f2 01 00 00 d6 01 00 00	................#...............
3560	80 00 00 00 cf 00 00 00 e7 00 00 00 84 01 00 00 7c 01 00 00 b0 00 00 00 00 00 00 00 71 02 00 00	................\|...........q...
3580	84 00 00 00 3d 00 00 00 00 00 00 00 90 00 00 00 3f 00 00 00 c5 01 00 00 4c 01 00 00 00 00 00 00	....=...........?.......L.......
35a0	00 00 00 00 fa 00 00 00 00 00 00 00 30 02 00 00 8e 00 00 00 06 01 00 00 00 00 00 00 4c 00 00 00	............0...............L...
35c0	00 00 00 00 00 00 00 00 00 00 00 00 35 02 00 00 d4 00 00 00 cb 01 00 00 b6 00 00 00 00 00 00 00	............5...................
35e0	77 02 00 00 1f 00 00 00 18 02 00 00 52 01 00 00 00 00 00 00 4e 02 00 00 38 00 00 00 b3 01 00 00	w...........R.......N...8.......
3600	00 00 00 00 3c 01 00 00 1b 01 00 00 2c 02 00 00 00 00 00 00 4e 00 00 00 00 00 00 00 9a 01 00 00	....<.......,.......N...........
3620	e8 01 00 00 00 00 00 00 5e 01 00 00 33 02 00 00 95 00 00 00 20 01 00 00 24 00 00 00 60 01 00 00	........^...3...........$...`...
3640	5b 00 00 00 00 00 00 00 5d 02 00 00 00 00 00 00 1a 01 00 00 00 00 00 00 51 02 00 00 00 00 00 00	[.......]...............Q.......
3660	54 02 00 00 bf 01 00 00 7a 02 00 00 3f 01 00 00 d1 00 00 00 20 00 00 00 12 00 00 00 00 00 00 00	T.......z...?...................
3680	cc 01 00 00 78 02 00 00 9c 01 00 00 fa 01 00 00 b1 00 00 00 00 00 00 00 48 02 00 00 56 02 00 00	....x...................H...V...
36a0	85 00 00 00 00 00 00 00 ee 01 00 00 dd 01 00 00 39 01 00 00 00 00 00 00 14 00 00 00 00 00 00 00	................9...............
36c0	35 00 00 00 da 01 00 00 00 00 00 00 d0 01 00 00 86 01 00 00 8d 00 00 00 00 00 00 00 4d 02 00 00	5...........................M...
36e0	00 27 27 49 74 20 69 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 6e 6f 74 65 2c 20 74 68 61 74	.''It.is.important.to.note,.that
3700	20 79 6f 75 20 64 6f 20 6e 6f 74 20 77 61 6e 74 20 74 6f 20 61 64 64 20 6c 6f 67 67 69 6e 67 20	.you.do.not.want.to.add.logging.
3720	74 6f 20 74 68 65 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 74 61 74 65 20 72 75 6c 65 20 61 73	to.the.established.state.rule.as
3740	20 79 6f 75 20 77 69 6c 6c 20 62 65 20 6c 6f 67 67 69 6e 67 20 62 6f 74 68 20 74 68 65 20 69 6e	.you.will.be.logging.both.the.in
3760	62 6f 75 6e 64 20 61 6e 64 20 6f 75 74 62 6f 75 6e 64 20 70 61 63 6b 65 74 73 20 66 6f 72 20 65	bound.and.outbound.packets.for.e
3780	61 63 68 20 73 65 73 73 69 6f 6e 20 69 6e 73 74 65 61 64 20 6f 66 20 6a 75 73 74 20 74 68 65 20	ach.session.instead.of.just.the.
37a0	69 6e 69 74 69 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 73 65 73 73 69 6f 6e 2e 20 59 6f 75 72 20	initiation.of.the.session..Your.
37c0	6c 6f 67 73 20 77 69 6c 6c 20 62 65 20 6d 61 73 73 69 76 65 20 69 6e 20 61 20 76 65 72 79 20 73	logs.will.be.massive.in.a.very.s
37e0	68 6f 72 74 20 70 65 72 69 6f 64 20 6f 66 20 74 69 6d 65 2e 27 27 00 2a 2a 49 6d 70 6f 72 74 61	hort.period.of.time.''.**Importa
3800	6e 74 2a 2a 3a 20 41 64 64 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 74 6f 20	nt**:.Add.an.interface.route.to.
3820	72 65 61 63 68 20 41 7a 75 72 65 27 73 20 42 47 50 20 6c 69 73 74 65 6e 65 72 00 2a 2a 49 6d 70	reach.Azure's.BGP.listener.**Imp
3840	6f 72 74 61 6e 74 2a 2a 3a 20 41 64 64 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65	ortant**:.Add.an.interface.route
3860	20 74 6f 20 72 65 61 63 68 20 62 6f 74 68 20 41 7a 75 72 65 27 73 20 42 47 50 20 6c 69 73 74 65	.to.reach.both.Azure's.BGP.liste
3880	6e 65 72 73 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73 61 62 6c 65 20 63 6f 6e 6e	ners.Important:.Disable.conn
38a0	65 63 74 65 64 20 63 68 65 63 6b 20 5c 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73	ected.check.\.Important:.Dis
38c0	61 62 6c 65 20 63 6f 6e 6e 65 63 74 65 64 20 63 68 65 63 6b 2c 20 6f 74 68 65 72 77 69 73 65 20	able.connected.check,.otherwise.
38e0	74 68 65 20 72 6f 75 74 65 73 20 6c 65 61 72 6e 65 64 20 66 72 6f 6d 20 41 7a 75 72 65 20 77 69	the.routes.learned.from.Azure.wi
3900	6c 6c 20 6e 6f 74 20 62 65 20 69 6d 70 6f 72 74 65 64 20 69 6e 74 6f 20 74 68 65 20 72 6f 75 74	ll.not.be.imported.into.the.rout
3920	69 6e 67 20 74 61 62 6c 65 2e 00 2a 2a 4e 4f 54 45 3a 2a 2a 20 56 79 4f 53 20 52 6f 75 74 65 72	ing.table..NOTE:.VyOS.Router
3940	20 28 74 65 73 74 65 64 20 77 69 74 68 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32	.(tested.with.VyOS.1.4-rolling-2
3960	30 32 31 31 30 33 31 30 33 31 37 29 20 e2 80 93 20 20 54 68 65 20 63 6f 6e 66 69 67 75 72 61 74	02110310317)......The.configurat
3980	69 6f 6e 73 20 62 65 6c 6f 77 20 61 72 65 20 73 70 65 63 69 66 69 63 61 6c 6c 79 20 66 6f 72 20	ions.below.are.specifically.for.
39a0	56 79 4f 53 20 31 2e 34 2e 78 2e 00 2a 2a 4e 6f 74 65 3a 2a 2a 20 41 74 20 74 68 65 20 6d 6f 6d	VyOS.1.4.x..Note:.At.the.mom
39c0	65 6e 74 2c 20 74 72 61 63 65 20 6d 70 6c 73 20 64 6f 65 73 6e e2 80 99 74 20 73 68 6f 77 20 6c	ent,.trace.mpls.doesn...t.show.l
39e0	61 62 65 6c 73 2f 70 61 74 68 73 2e 20 53 6f 20 77 65 e2 80 99 6c 6c 20 73 65 65 20 2a 20 2a 20	abels/paths..So.we...ll.see...
3a00	2a 20 20 66 6f 72 20 74 68 65 20 74 72 61 6e 73 69 74 20 72 6f 75 74 65 72 73 20 6f 66 20 74 68	*..for.the.transit.routers.of.th
3a20	65 20 6d 70 6c 73 20 62 61 63 6b 62 6f 6e 65 2e 00 2a 2a 54 68 69 73 20 73 70 65 63 69 66 69 63	e.mpls.backbone..**This.specific
3a40	20 65 78 61 6d 70 6c 65 20 69 73 20 66 6f 72 20 61 20 72 6f 75 74 65 72 20 6f 6e 20 61 20 73 74	.example.is.for.a.router.on.a.st
3a60	69 63 6b 2c 20 62 75 74 20 69 73 20 76 65 72 79 20 65 61 73 69 6c 79 20 61 64 61 70 74 65 64 20	ick,.but.is.very.easily.adapted.
3a80	66 6f 72 20 68 6f 77 65 76 65 72 20 6d 61 6e 79 20 4e 49 43 73 20 79 6f 75 20 68 61 76 65 2a 2a	for.however.many.NICs.you.have**
3aa0	3a 00 2a 2a 56 69 72 74 75 61 6c 20 52 6f 75 74 69 6e 67 20 61 6e 64 20 46 6f 72 77 61 72 64 69	:.**Virtual.Routing.and.Forwardi
3ac0	6e 67 2a 2a 20 69 73 20 61 20 74 65 63 68 6e 6f 6c 6f 67 79 20 74 68 61 74 20 61 6c 6c 6f 77 20	ng**.is.a.technology.that.allow.
3ae0	6d 75 6c 74 69 70 6c 65 20 69 6e 73 74 61 6e 63 65 20 6f 66 20 61 20 72 6f 75 74 69 6e 67 20 74	multiple.instance.of.a.routing.t
3b00	61 62 6c 65 20 74 6f 20 65 78 69 73 74 20 77 69 74 68 69 6e 20 61 20 73 69 6e 67 6c 65 20 64 65	able.to.exist.within.a.single.de
3b20	76 69 63 65 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 6b 65 79 20 61 73 70 65 63 74 20 6f 66 20 2a	vice..One.of.the.key.aspect.of.*
3b40	2a 56 52 46 73 2a 2a 20 69 73 20 74 68 61 74 20 64 6f 20 6e 6f 74 20 73 68 61 72 65 20 74 68 65	VRFs*.is.that.do.not.share.the
3b60	20 73 61 6d 65 20 72 6f 75 74 65 73 20 6f 72 20 69 6e 74 65 72 66 61 63 65 73 2c 20 74 68 65 72	.same.routes.or.interfaces,.ther
3b80	65 66 6f 72 65 20 70 61 63 6b 65 74 73 20 61 72 65 20 66 6f 72 77 61 72 64 65 64 20 62 65 74 77	efore.packets.are.forwarded.betw
3ba0	65 65 6e 20 69 6e 74 65 72 66 61 63 65 73 20 74 68 61 74 20 62 65 6c 6f 6e 67 20 74 6f 20 74 68	een.interfaces.that.belong.to.th
3bc0	65 20 73 61 6d 65 20 56 52 46 20 6f 6e 6c 79 2e 00 2a 2a 6f 66 66 73 69 74 65 31 2a 2a 00 2a 2a	e.same.VRF.only..offsite1.**
3be0	72 6f 75 74 65 72 31 2a 2a 00 2a 2a 72 6f 75 74 65 72 32 2a 2a 00 31 30 2e 30 2e 30 2e 30 2f 31	router1.router2**.10.0.0.0/1
3c00	36 00 31 30 2e 30 2e 30 2e 34 00 31 30 2e 30 2e 30 2e 34 2c 31 30 2e 30 2e 30 2e 35 00 31 30 2e	6.10.0.0.4.10.0.0.4,10.0.0.5.10.
3c20	31 2e 31 2e 30 2f 33 30 00 31 30 2e 31 30 2e 30 2e 30 2f 31 36 00 31 30 2e 31 30 2e 30 2e 35 00	1.1.0/30.10.10.0.0/16.10.10.0.5.
3c40	31 30 2e 32 2e 32 2e 30 2f 33 30 00 31 30 2e 35 30 2e 35 30 2e 31 3a 31 30 31 31 00 31 30 2e 36	10.2.2.0/30.10.50.50.1:1011.10.6
3c60	30 2e 36 30 2e 31 3a 31 30 31 31 00 31 30 2e 38 30 2e 38 30 2e 31 3a 31 30 31 31 00 31 30 30 3a	0.60.1:1011.10.80.80.1:1011.100:
3c80	20 27 50 75 62 6c 69 63 27 20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67 20 6f 75 72 20 32 30 33	.'Public'.network,.using.our.203
3ca0	2e 30 2e 31 31 33 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2e 00 31 37 32 2e 31 36 2e 32 2e 30 2f	.0.113.0/24.network..172.16.2.0/
3cc0	33 30 00 31 37 32 2e 31 37 2e 31 2e 32 20 43 53 30 20 2d 3e 20 43 53 34 00 31 37 32 2e 31 37 2e	30.172.17.1.2.CS0.->.CS4.172.17.
3ce0	31 2e 32 2f 32 34 20 43 53 30 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 30 20 2d 20 3e	1.2/24.CS0.172.17.1.2/24.CS0.-.>
3d00	20 43 53 34 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 34 20 2d 20 3e 20 43 53 35 00 31	.CS4.172.17.1.2/24.CS4.-.>.CS5.1
3d20	37 32 2e 31 37 2e 31 2e 33 20 43 53 30 20 2d 3e 20 43 53 35 00 31 37 32 2e 31 37 2e 31 2e 34 20	72.17.1.3.CS0.->.CS5.172.17.1.4.
3d40	43 53 30 20 2d 3e 20 43 53 36 00 31 37 32 2e 31 37 2e 31 2e 34 30 20 43 53 30 20 62 79 20 64 65	CS0.->.CS6.172.17.1.40.CS0.by.de
3d60	66 61 75 6c 74 00 31 39 32 2e 31 36 38 2e 31 30 30 2e 31 30 2f 32 30 30 31 3a 30 44 42 38 3a 30	fault.192.168.100.10/2001:0DB8:0
3d80	3a 41 41 41 41 3a 3a 31 30 20 69 73 20 74 68 65 20 61 64 6d 69 6e 69 73 74 72 61 74 6f 72 27 73	:AAAA::10.is.the.administrator's
3da0	20 63 6f 6e 73 6f 6c 65 2e 20 49 74 20 63 61 6e 20 53 53 48 20 74 6f 20 56 79 4f 53 2e 00 31 39	.console..It.can.SSH.to.VyOS..19
3dc0	32 2e 31 36 38 2e 32 30 30 2e 32 30 30 2f 32 30 30 31 3a 30 44 42 38 3a 30 3a 42 42 42 42 3a 3a	2.168.200.200/2001:0DB8:0:BBBB::
3de0	32 30 30 20 69 73 20 61 6e 20 69 6e 74 65 72 6e 61 6c 2f 65 78 74 65 72 6e 61 6c 20 44 4e 53 2c	200.is.an.internal/external.DNS,
3e00	20 77 65 62 20 61 6e 64 20 6d 61 69 6c 20 28 53 4d 54 50 2f 49 4d 41 50 29 20 73 65 72 76 65 72	.web.and.mail.(SMTP/IMAP).server
3e20	2e 00 31 39 32 2e 31 36 38 2e 33 2e 30 2f 33 30 00 31 39 38 2e 35 31 2e 31 30 30 2e 33 00 32 20	..192.168.3.0/30.198.51.100.3.2.
3e40	70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20 6f 6e 20 65 61 63 68 20 73 69 74 65 2e 00 32 20	private.subnets.on.each.site..2.
3e60	78 20 52 6f 75 74 65 20 72 65 66 6c 65 63 74 6f 72 73 20 28 56 79 4f 53 2d 52 52 78 29 00 32 30	x.Route.reflectors.(VyOS-RRx).20
3e80	30 31 3a 64 62 38 3a 3a 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 32 2f 31 32 37 00 32 30 30	01:db8::/127.2001:db8::2/127.200
3ea0	31 3a 64 62 38 3a 3a 34 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 36 2f 31 32 37 00 32 30 31	1:db8::4/127.2001:db8::6/127.201
3ec0	3a 20 27 49 6e 74 65 72 6e 61 6c 27 20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67 20 31 30 2e 32	:.'Internal'.network,.using.10.2
3ee0	30 30 2e 32 30 31 2e 30 2f 32 34 00 32 30 33 2e 30 2e 31 31 33 2e 32 00 32 30 33 2e 30 2e 31 31	00.201.0/24.203.0.113.2.203.0.11
3f00	33 2e 33 00 33 20 78 20 43 75 73 74 6f 6d 65 72 20 45 64 67 65 20 28 56 79 4f 53 2d 43 45 78 29	3.3.3.x.Customer.Edge.(VyOS-CEx)
3f20	00 33 20 78 20 50 72 6f 76 69 64 65 72 20 45 64 67 65 20 28 56 79 4f 73 2d 50 45 78 29 00 34 20	.3.x.Provider.Edge.(VyOs-PEx).4.
3f40	78 20 50 72 6f 76 69 64 65 72 20 72 6f 75 74 65 72 73 20 28 56 79 4f 53 2d 50 78 29 00 35 30 3a	x.Provider.routers.(VyOS-Px).50:
3f60	20 55 70 73 74 72 65 61 6d 2c 20 75 73 69 6e 67 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32	.Upstream,.using.the.192.0.2.0/2
3f80	34 20 6e 65 74 77 6f 72 6b 20 61 6c 6c 6f 63 61 74 65 64 20 62 79 20 74 68 65 6d 2e 00 36 34 34	4.network.allocated.by.them..644
3fa0	39 36 3a 31 00 36 34 34 39 36 3a 31 30 30 00 36 34 34 39 36 3a 32 00 36 34 34 39 36 3a 35 30 00	96:1.64496:100.64496:2.64496:50.
3fc0	36 34 34 39 39 00 36 35 30 33 35 3a 31 30 31 31 00 36 35 30 33 35 3a 31 30 31 31 20 36 35 30 33	64499.65035:1011.65035:1011.6503
3fe0	35 3a 31 30 33 30 00 36 35 30 33 35 3a 31 30 33 30 00 36 35 35 34 30 00 41 20 62 72 69 65 66 20	5:1030.65035:1030.65540.A.brief.
4000	65 78 63 75 72 73 69 6f 6e 20 69 6e 74 6f 20 56 52 46 73 3a 20 54 68 69 73 20 68 61 73 20 62 65	excursion.into.VRFs:.This.has.be
4020	65 6e 20 6f 6e 65 20 6f 66 20 74 68 65 20 6c 6f 6e 67 65 73 74 2d 73 74 61 6e 64 69 6e 67 20 66	en.one.of.the.longest-standing.f
4040	65 61 74 75 72 65 20 72 65 71 75 65 73 74 73 20 6f 66 20 56 79 4f 53 20 28 64 61 74 69 6e 67 20	eature.requests.of.VyOS.(dating.
4060	62 61 63 6b 20 74 6f 20 32 30 31 36 29 20 77 68 69 63 68 20 63 61 6e 20 62 65 20 64 65 73 63 72	back.to.2016).which.can.be.descr
4080	69 62 65 64 20 61 73 20 22 61 20 56 4c 41 4e 20 66 6f 72 20 6c 61 79 65 72 20 32 20 69 73 20 77	ibed.as."a.VLAN.for.layer.2.is.w
40a0	68 61 74 20 61 20 56 52 46 20 69 73 20 66 6f 72 20 6c 61 79 65 72 20 33 22 2e 20 57 69 74 68 20	hat.a.VRF.is.for.layer.3"..With.
40c0	56 52 46 73 2c 20 61 20 72 6f 75 74 65 72 2f 73 79 73 74 65 6d 20 63 61 6e 20 68 6f 6c 64 20 6d	VRFs,.a.router/system.can.hold.m
40e0	75 6c 74 69 70 6c 65 2c 20 69 73 6f 6c 61 74 65 64 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73	ultiple,.isolated.routing.tables
4100	20 6f 6e 20 74 68 65 20 73 61 6d 65 20 73 79 73 74 65 6d 2e 20 49 66 20 79 6f 75 20 77 6f 6e 64	.on.the.same.system..If.you.wond
4120	65 72 20 77 68 61 74 27 73 20 74 68 65 20 64 69 66 66 65 72 65 6e 63 65 20 62 65 74 77 65 65 6e	er.what's.the.difference.between
4140	20 6d 75 6c 74 69 70 6c 65 20 74 61 62 6c 65 73 20 74 68 61 74 20 70 65 6f 70 6c 65 20 75 73 65	.multiple.tables.that.people.use
4160	64 20 66 6f 72 20 70 6f 6c 69 63 79 2d 62 61 73 65 64 20 72 6f 75 74 69 6e 67 20 73 69 6e 63 65	d.for.policy-based.routing.since
4180	20 66 6f 72 65 76 65 72 2c 20 69 74 27 73 20 74 68 61 74 20 61 20 56 52 46 20 61 6c 73 6f 20 69	.forever,.it's.that.a.VRF.also.i
41a0	73 6f 6c 61 74 65 73 20 63 6f 6e 6e 65 63 74 65 64 20 72 6f 75 74 65 73 20 72 61 74 68 65 72 20	solates.connected.routes.rather.
41c0	74 68 61 6e 20 6a 75 73 74 20 73 74 61 74 69 63 20 61 6e 64 20 64 79 6e 61 6d 69 63 61 6c 6c 79	than.just.static.and.dynamically
41e0	20 6c 65 61 72 6e 65 64 20 72 6f 75 74 65 73 2c 20 73 6f 20 69 74 20 61 6c 6c 6f 77 73 20 4e 49	.learned.routes,.so.it.allows.NI
4200	43 73 20 69 6e 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 74 6f 20 75 73 65 20 63 6f 6e 66	Cs.in.different.VRFs.to.use.conf
4220	6c 69 63 74 69 6e 67 20 6e 65 74 77 6f 72 6b 20 72 61 6e 67 65 73 20 77 69 74 68 6f 75 74 20 69	licting.network.ranges.without.i
4240	73 73 75 65 73 2e 00 41 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 72 65 73 6f 75 72 63 65 20 64 65 70	ssues..A.connection.resource.dep
4260	6c 6f 79 65 64 20 69 6e 20 41 7a 75 72 65 20 6c 69 6e 6b 69 6e 67 20 74 68 65 20 41 7a 75 72 65	loyed.in.Azure.linking.the.Azure
4280	20 56 4e 65 74 20 67 61 74 65 77 61 79 20 61 6e 64 20 74 68 65 20 6c 6f 63 61 6c 20 6e 65 74 77	.VNet.gateway.and.the.local.netw
42a0	6f 72 6b 20 67 61 74 65 77 61 79 20 72 65 70 72 65 73 65 6e 74 69 6e 67 20 74 68 65 20 56 79 6f	ork.gateway.representing.the.Vyo
42c0	73 20 64 65 76 69 63 65 2e 00 41 20 68 6f 73 74 20 60 60 76 79 6f 73 2d 6f 6f 62 6d 60 60 20 77	s.device..A.host.``vyos-oobm``.w
42e0	69 6c 6c 20 75 73 65 20 61 73 20 61 20 73 73 68 20 70 72 6f 78 79 2e 20 54 68 69 73 20 68 6f 73	ill.use.as.a.ssh.proxy..This.hos
4300	74 20 69 73 20 6a 75 73 74 20 6e 65 63 65 73 73 61 72 79 20 66 6f 72 20 74 68 65 20 4c 61 62 20	t.is.just.necessary.for.the.Lab.
4320	74 65 73 74 2e 00 41 20 6b 65 79 20 70 6f 69 6e 74 20 74 6f 20 75 6e 64 65 72 73 74 61 6e 64 20	test..A.key.point.to.understand.
4340	69 73 20 74 68 61 74 20 69 66 20 77 65 20 6e 65 65 64 20 74 77 6f 20 56 52 46 73 20 74 6f 20 63	is.that.if.we.need.two.VRFs.to.c
4360	6f 6d 6d 75 6e 69 63 61 74 65 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 20 45 58	ommunicate.between.each.other.EX
4380	50 4f 52 54 20 72 74 20 66 72 6f 6d 20 56 52 46 31 20 68 61 73 20 74 6f 20 62 65 20 69 6e 20 74	PORT.rt.from.VRF1.has.to.be.in.t
43a0	68 65 20 49 4d 50 4f 52 54 20 72 74 20 6c 69 73 74 20 66 72 6f 6d 20 56 52 46 32 2e 20 42 75 74	he.IMPORT.rt.list.from.VRF2..But
43c0	20 74 68 69 73 20 69 73 20 6f 6e 6c 79 20 69 6e 20 4f 4e 45 20 64 69 72 65 63 74 69 6f 6e 2c 20	.this.is.only.in.ONE.direction,.
43e0	74 6f 20 63 6f 6d 70 6c 65 74 65 20 74 68 65 20 63 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 74 68	to.complete.the.communication.th
4400	65 20 45 58 50 4f 52 54 20 72 74 20 66 72 6f 6d 20 56 52 46 32 20 68 61 73 20 74 6f 20 62 65 20	e.EXPORT.rt.from.VRF2.has.to.be.
4420	69 6e 20 74 68 65 20 49 4d 50 4f 52 54 20 72 74 20 6c 69 73 74 20 66 72 6f 6d 20 56 52 46 31 2e	in.the.IMPORT.rt.list.from.VRF1.
4440	00 41 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 67 61 74 65 77 61 79 20 64 65 70 6c 6f 79 65	.A.local.network.gateway.deploye
4460	64 20 69 6e 20 41 7a 75 72 65 20 72 65 70 72 65 73 65 6e 74 69 6e 67 20 74 68 65 20 56 79 6f 73	d.in.Azure.representing.the.Vyos
4480	20 64 65 76 69 63 65 2c 20 6d 61 74 63 68 69 6e 67 20 74 68 65 20 62 65 6c 6f 77 20 56 79 6f 73	.device,.matching.the.below.Vyos
44a0	20 73 65 74 74 69 6e 67 73 20 65 78 63 65 70 74 20 66 6f 72 20 61 64 64 72 65 73 73 20 73 70 61	.settings.except.for.address.spa
44c0	63 65 2c 20 77 68 69 63 68 20 6f 6e 6c 79 20 72 65 71 75 69 72 65 73 20 74 68 65 20 56 79 6f 73	ce,.which.only.requires.the.Vyos
44e0	20 70 72 69 76 61 74 65 20 49 50 2c 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 31 30 2e	.private.IP,.in.this.example.10.
4500	31 30 2e 30 2e 35 2f 33 32 00 41 20 70 61 69 72 20 6f 66 20 41 7a 75 72 65 20 56 4e 65 74 20 47	10.0.5/32.A.pair.of.Azure.VNet.G
4520	61 74 65 77 61 79 73 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 61 63 74 69 76 65 2d 61 63 74 69 76	ateways.deployed.in.active-activ
4540	65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 42 47 50 20 65 6e 61 62 6c 65 64	e.configuration.with.BGP.enabled
4560	2e 00 41 20 70 61 69 72 20 6f 66 20 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 73 20	..A.pair.of.Azure.VNet.Gateways.
4580	64 65 70 6c 6f 79 65 64 20 69 6e 20 61 63 74 69 76 65 2d 70 61 73 73 69 76 65 20 63 6f 6e 66 69	deployed.in.active-passive.confi
45a0	67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 42 47 50 20 65 6e 61 62 6c 65 64 2e 00 41 20 70 75 62	guration.with.BGP.enabled..A.pub
45c0	6c 69 63 2c 20 72 6f 75 74 61 62 6c 65 20 49 50 76 34 20 61 64 64 72 65 73 73 2e 20 54 68 69 73	lic,.routable.IPv4.address..This
45e0	20 64 6f 65 73 20 6e 6f 74 20 6e 65 63 65 73 73 61 72 69 6c 79 20 6e 65 65 64 20 74 6f 20 62 65	.does.not.necessarily.need.to.be
4600	20 73 74 61 74 69 63 2c 20 62 75 74 20 79 6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 75 70	.static,.but.you.will.need.to.up
4620	64 61 74 65 20 74 68 65 20 74 75 6e 6e 65 6c 20 65 6e 64 70 6f 69 6e 74 20 77 68 65 6e 2f 69 66	date.the.tunnel.endpoint.when/if
4640	20 79 6f 75 72 20 49 50 20 61 64 64 72 65 73 73 20 63 68 61 6e 67 65 73 2c 20 77 68 69 63 68 20	.your.IP.address.changes,.which.
4660	63 61 6e 20 62 65 20 64 6f 6e 65 20 77 69 74 68 20 61 20 73 63 72 69 70 74 20 61 6e 64 20 61 20	can.be.done.with.a.script.and.a.
4680	73 63 68 65 64 75 6c 65 64 20 74 61 73 6b 2e 00 41 20 72 75 6c 65 20 6f 72 64 65 72 20 66 6f 72	scheduled.task..A.rule.order.for
46a0	20 70 72 69 6f 72 69 74 69 7a 69 6e 67 20 74 72 61 66 66 69 63 20 69 73 20 75 73 65 66 75 6c 20	.prioritizing.traffic.is.useful.
46c0	69 6e 20 73 63 65 6e 61 72 69 6f 73 20 77 68 65 72 65 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79	in.scenarios.where.the.secondary
46e0	20 6c 69 6e 6b 20 68 61 73 20 61 20 6c 6f 77 65 72 20 73 70 65 65 64 20 61 6e 64 20 73 68 6f 75	.link.has.a.lower.speed.and.shou
4700	6c 64 20 6f 6e 6c 79 20 63 61 72 72 79 20 68 69 67 68 20 70 72 69 6f 72 69 74 79 20 74 72 61 66	ld.only.carry.high.priority.traf
4720	66 69 63 2e 20 49 74 20 69 73 20 61 73 73 75 6d 65 64 20 66 6f 72 20 74 68 69 73 20 65 78 61 6d	fic..It.is.assumed.for.this.exam
4740	70 6c 65 20 74 68 61 74 20 65 74 68 31 20 69 73 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 61 20	ple.that.eth1.is.connected.to.a.
4760	73 6c 6f 77 65 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 68 61 6e 20 65 74 68 30 20 61 6e 64 20	slower.connection.than.eth0.and.
4780	73 68 6f 75 6c 64 20 70 72 69 6f 72 69 74 69 7a 65 20 56 6f 49 50 20 74 72 61 66 66 69 63 2e 00	should.prioritize.VoIP.traffic..
47a0	41 20 73 69 6d 70 6c 65 20 73 6f 6c 75 74 69 6f 6e 20 63 6f 75 6c 64 20 62 65 20 75 73 69 6e 67	A.simple.solution.could.be.using
47c0	20 64 69 66 66 65 72 65 6e 74 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 2c 20 6f 72 20 56 52	.different.routing.tables,.or.VR
47e0	46 73 20 66 6f 72 20 61 6c 6c 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 20 73 6f 20 77 65 20 63 61	Fs.for.all.the.networks.so.we.ca
4800	6e 20 6b 65 65 70 20 74 68 65 20 72 6f 75 74 69 6e 67 20 72 65 73 74 72 69 63 74 69 6f 6e 73 2e	n.keep.the.routing.restrictions.
4820	20 42 75 74 20 66 6f 72 20 75 73 20 74 6f 20 72 6f 75 74 65 20 62 65 74 77 65 65 6e 20 74 68 65	.But.for.us.to.route.between.the
4840	20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 77 65 20 77 6f 75 6c 64 20 6e 65 65 64 20 61 20	.different.VRFs.we.would.need.a.
4860	63 61 62 6c 65 20 6f 72 20 61 20 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65	cable.or.a.logical.connection.be
4880	74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 3a 00 41 44 44 52 45 53 53 31 30 20 63 68 61 6e	tween.each.other:.ADDRESS10.chan
48a0	67 65 20 43 53 30 20 2d 3e 20 43 53 34 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 32 2f	ge.CS0.->.CS4.source.172.17.1.2/
48c0	33 32 00 41 44 44 52 45 53 53 32 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 35 20 73	32.ADDRESS20.change.CS0.->.CS5.s
48e0	6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 33 2f 33 32 00 41 44 44 52 45 53 53 33 30 20 63 68	ource.172.17.1.3/32.ADDRESS30.ch
4900	61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 36 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e	ange.CS0.->.CS6.source.172.17.1.
4920	34 2f 33 32 00 41 63 63 6f 75 6e 74 20 61 74 20 68 74 74 70 73 3a 2f 2f 77 77 77 2e 74 75 6e 6e	4/32.Account.at.https://www.tunn
4940	65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 00 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 6f	elbroker.net/.Active.Directory.o
4960	6e 20 57 69 6e 64 6f 77 73 20 73 65 72 76 65 72 00 41 64 64 20 28 74 65 6d 70 6f 72 61 72 79 29	n.Windows.server.Add.(temporary)
4980	20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 00 41 64 64 20 74 68 65 20 4c 44 41 50 20 70 6c 75 67	.default.route.Add.the.LDAP.plug
49a0	69 6e 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 69 6c 65 20 60 2f 63 6f 6e 66 69 67 2f 61	in.configuration.file.`/config/a
49c0	75 74 68 2f 6c 64 61 70 2d 61 75 74 68 2e 63 6f 6e 66 69 67 60 00 41 64 64 69 6e 67 20 61 20 72	uth/ldap-auth.config`.Adding.a.r
49e0	75 6c 65 20 66 6f 72 20 74 68 65 20 73 65 63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65 00 41 64 76	ule.for.the.second.interface.Adv
4a00	65 72 74 69 73 65 20 63 6f 6e 6e 65 63 74 65 64 20 72 6f 75 74 65 73 00 41 66 74 65 72 20 61 6c	ertise.connected.routes.After.al
4a20	6c 20 69 73 20 64 6f 6e 65 20 61 6e 64 20 63 6f 6d 6d 69 74 2c 20 6c 65 74 27 73 20 74 61 6b 65	l.is.done.and.commit,.let's.take
4a40	20 61 20 6c 6f 6f 6b 20 69 66 20 74 68 65 20 57 69 72 65 67 75 61 72 64 20 69 6e 74 65 72 66 61	.a.look.if.the.Wireguard.interfa
4a60	63 65 20 69 73 20 75 70 20 61 6e 64 20 72 75 6e 6e 69 6e 67 2e 00 41 66 74 65 72 20 63 6f 6e 66	ce.is.up.and.running..After.conf
4a80	69 67 75 72 65 64 20 61 6c 6c 20 74 68 65 20 56 52 46 73 20 69 6e 76 6f 6c 76 65 64 20 69 6e 20	igured.all.the.VRFs.involved.in.
4aa0	74 68 69 73 20 74 6f 70 6f 6c 6f 67 79 20 77 65 20 74 61 6b 65 20 61 20 64 65 65 70 65 72 20 6c	this.topology.we.take.a.deeper.l
4ac0	6f 6f 6b 20 61 74 20 62 6f 74 68 20 42 47 50 20 61 6e 64 20 52 6f 75 74 69 6e 67 20 74 61 62 6c	ook.at.both.BGP.and.Routing.tabl
4ae0	65 20 66 6f 72 20 74 68 65 20 56 52 46 20 4c 41 4e 31 00 41 66 74 65 72 20 73 6f 6d 65 20 74 65	e.for.the.VRF.LAN1.After.some.te
4b00	73 74 69 6e 67 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 69 70 73 65 63 20 73 74 61 74 75 73	sting,.we.can.check.ipsec.status
4b20	2c 20 61 6e 64 20 63 6f 75 6e 74 65 72 20 6f 6e 20 65 76 65 72 79 20 74 75 6e 6e 65 6c 3a 00 41	,.and.counter.on.every.tunnel:.A
4b40	66 74 65 72 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 30 20 6f 6e 20 72 6f 75 74 65	fter.the.interface.eth0.on.route
4b60	72 20 56 79 4f 53 33 00 41 66 74 65 72 20 74 68 69 73 2c 20 77 65 20 6e 65 65 64 20 74 68 65 20	r.VyOS3.After.this,.we.need.the.
4b80	44 48 43 50 2d 53 65 72 76 65 72 20 61 6e 64 20 52 65 6c 61 79 20 63 6f 6e 66 69 67 75 72 61 74	DHCP-Server.and.Relay.configurat
4ba0	69 6f 6e 2e 20 54 6f 20 67 65 74 20 61 20 74 65 73 74 61 62 6c 65 20 72 65 73 75 6c 74 2c 20 77	ion..To.get.a.testable.result,.w
4bc0	65 20 6a 75 73 74 20 68 61 76 65 20 6f 6e 65 20 49 50 20 69 6e 20 74 68 65 20 44 48 43 50 20 72	e.just.have.one.IP.in.the.DHCP.r
4be0	61 6e 67 65 2e 20 45 78 70 61 6e 64 20 69 74 20 61 73 20 79 6f 75 20 6e 65 65 64 20 69 74 2e 00	ange..Expand.it.as.you.need.it..
4c00	41 66 74 65 72 20 79 6f 75 20 68 61 76 65 20 65 61 63 68 20 70 75 62 6c 69 63 20 6b 65 79 2e 20	After.you.have.each.public.key..
4c20	54 68 65 20 77 69 72 65 67 75 61 72 64 20 69 6e 74 65 72 66 61 63 65 73 20 63 61 6e 20 62 65 20	The.wireguard.interfaces.can.be.
4c40	73 65 74 75 70 2e 00 41 6c 6c 20 6f 75 74 67 6f 69 6e 67 20 70 61 63 6b 65 74 73 20 61 72 65 20	setup..All.outgoing.packets.are.
4c60	61 73 73 69 67 6e 65 64 20 74 68 65 20 73 6f 75 72 63 65 20 61 64 64 72 65 73 73 20 6f 66 20 74	assigned.the.source.address.of.t
4c80	68 65 20 61 73 73 69 67 6e 65 64 20 69 6e 74 65 72 66 61 63 65 20 28 53 4e 41 54 29 2e 00 41 6c	he.assigned.interface.(SNAT)..Al
4ca0	6c 20 74 72 61 66 66 69 63 20 63 6f 6d 69 6e 67 20 69 6e 20 74 68 72 6f 75 67 68 20 65 74 68 32	l.traffic.coming.in.through.eth2
4cc0	20 69 73 20 62 61 6c 61 6e 63 65 64 20 62 65 74 77 65 65 6e 20 65 74 68 30 20 61 6e 64 20 65 74	.is.balanced.between.eth0.and.et
4ce0	68 31 20 6f 6e 20 74 68 65 20 72 6f 75 74 65 72 2e 00 41 6c 6c 6f 77 20 44 48 43 50 76 36 20 70	h1.on.the.router..Allow.DHCPv6.p
4d00	61 63 6b 65 74 73 20 66 6f 72 20 72 6f 75 74 65 72 00 41 6c 6c 6f 77 20 61 63 63 65 73 73 20 74	ackets.for.router.Allow.access.t
4d20	6f 20 74 68 65 20 72 6f 75 74 65 72 20 6f 6e 6c 79 20 66 72 6f 6d 20 74 72 75 73 74 65 64 20 6e	o.the.router.only.from.trusted.n
4d40	65 74 77 6f 72 6b 73 2e 00 41 6c 6c 6f 77 20 61 6c 6c 20 65 73 74 61 62 6c 69 73 68 65 64 20 61	etworks..Allow.all.established.a
4d60	6e 64 20 72 65 6c 61 74 65 64 20 74 72 61 66 66 69 63 20 66 6f 72 20 72 6f 75 74 65 72 20 61 6e	nd.related.traffic.for.router.an
4d80	64 20 4c 41 4e 00 41 6c 6c 6f 77 20 61 6c 6c 20 69 63 6d 70 76 36 20 70 61 63 6b 65 74 73 20 66	d.LAN.Allow.all.icmpv6.packets.f
4da0	6f 72 20 72 6f 75 74 65 72 20 61 6e 64 20 4c 41 4e 00 41 6c 6c 6f 77 20 61 6c 6c 20 6e 65 77 20	or.router.and.LAN.Allow.all.new.
4dc0	63 6f 6e 6e 65 63 74 69 6f 6e 73 20 66 72 6f 6d 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 73 2e 00	connections.from.local.subnets..
4de0	41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 66 72 6f 6d 20 4c 41 4e 73 20 74 6f 20 4c	Allow.connections.from.LANs.to.L
4e00	41 4e 73 20 74 68 72 6f 75 67 68 74 20 74 68 65 20 74 75 6e 6e 65 6c 2e 00 41 6c 6c 6f 77 20 64	ANs.throught.the.tunnel..Allow.d
4e20	6e 73 20 72 65 71 75 65 73 74 73 20 6f 6e 6c 79 20 6f 6e 6c 79 20 66 6f 72 20 6c 6f 63 61 6c 20	ns.requests.only.only.for.local.
4e40	6e 65 74 77 6f 72 6b 73 2e 00 41 6c 6c 6f 77 20 69 63 6d 70 20 6f 6e 20 61 6c 6c 20 69 6e 74 65	networks..Allow.icmp.on.all.inte
4e60	72 66 61 63 65 73 2e 00 41 6c 73 6f 20 77 65 20 63 61 6e 20 76 65 72 69 66 79 20 68 6f 77 20 50	rfaces..Also.we.can.verify.how.P
4e80	45 20 64 65 76 69 63 65 73 20 72 65 63 65 69 76 65 73 20 56 50 4e 76 34 20 6e 65 74 77 6f 72 6b	E.devices.receives.VPNv4.network
4ea0	73 20 66 72 6f 6d 20 74 68 65 20 52 52 73 20 61 6e 64 20 69 6e 73 74 61 6c 6c 69 6e 67 20 74 68	s.from.the.RRs.and.installing.th
4ec0	65 6d 20 74 6f 20 74 68 65 20 73 70 65 63 69 66 69 63 20 63 75 73 74 6f 6d 65 72 20 56 52 46 73	em.to.the.specific.customer.VRFs
4ee0	3a 00 41 6c 73 6f 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 66 69 72 65 77 61 6c 6c 20 63 6f	:.Also,.we.can.check.firewall.co
4f00	75 6e 74 65 72 73 3a 00 41 6e 20 4c 33 56 50 4e 20 63 6f 6e 73 69 73 74 73 20 6f 66 20 6d 75 6c	unters:.An.L3VPN.consists.of.mul
4f20	74 69 70 6c 65 20 61 63 63 65 73 73 20 6c 69 6e 6b 73 2c 20 6d 75 6c 74 69 70 6c 65 20 56 50 4e	tiple.access.links,.multiple.VPN
4f40	20 72 6f 75 74 69 6e 67 20 61 6e 64 20 66 6f 72 77 61 72 64 69 6e 67 20 28 56 52 46 29 20 74 61	.routing.and.forwarding.(VRF).ta
4f60	62 6c 65 73 2c 20 61 6e 64 20 6d 75 6c 74 69 70 6c 65 20 4d 50 4c 53 20 70 61 74 68 73 20 6f 72	bles,.and.multiple.MPLS.paths.or
4f80	20 6d 75 6c 74 69 70 6c 65 20 50 32 4d 50 20 4c 53 50 73 2e 20 41 6e 20 4c 33 56 50 4e 20 63 61	.multiple.P2MP.LSPs..An.L3VPN.ca
4fa0	6e 20 62 65 20 63 6f 6e 66 69 67 75 72 65 64 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 77 6f 20 6f	n.be.configured.to.connect.two.o
4fc0	72 20 6d 6f 72 65 20 63 75 73 74 6f 6d 65 72 20 73 69 74 65 73 2e 20 49 6e 20 68 75 62 2d 61 6e	r.more.customer.sites..In.hub-an
4fe0	64 2d 73 70 6f 6b 65 20 4d 50 4c 53 20 4c 33 56 50 4e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 73 2c	d-spoke.MPLS.L3VPN.environments,
5000	20 74 68 65 20 73 70 6f 6b 65 20 72 6f 75 74 65 72 73 20 6e 65 65 64 20 74 6f 20 68 61 76 65 20	.the.spoke.routers.need.to.have.
5020	75 6e 69 71 75 65 20 52 6f 75 74 65 20 44 69 73 74 69 6e 67 75 69 73 68 65 72 73 20 28 52 44 73	unique.Route.Distinguishers.(RDs
5040	29 2e 20 49 6e 20 6f 72 64 65 72 20 74 6f 20 75 73 65 20 74 68 65 20 68 75 62 20 73 69 74 65 20	)..In.order.to.use.the.hub.site.
5060	61 73 20 61 20 74 72 61 6e 73 69 74 20 70 6f 69 6e 74 20 66 6f 72 20 63 6f 6e 6e 65 63 74 69 76	as.a.transit.point.for.connectiv
5080	69 74 79 20 69 6e 20 73 75 63 68 20 61 6e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 2c 20 74 68 65 20	ity.in.such.an.environment,.the.
50a0	73 70 6f 6b 65 20 73 69 74 65 73 20 65 78 70 6f 72 74 20 74 68 65 69 72 20 72 6f 75 74 65 73 20	spoke.sites.export.their.routes.
50c0	74 6f 20 74 68 65 20 68 75 62 2e 20 53 70 6f 6b 65 73 20 63 61 6e 20 74 61 6c 6b 20 74 6f 20 68	to.the.hub..Spokes.can.talk.to.h
50e0	75 62 73 2c 20 62 75 74 20 6e 65 76 65 72 20 68 61 76 65 20 64 69 72 65 63 74 20 70 61 74 68 73	ubs,.but.never.have.direct.paths
5100	20 74 6f 20 6f 74 68 65 72 20 73 70 6f 6b 65 73 2e 20 41 6c 6c 20 74 72 61 66 66 69 63 20 62 65	.to.other.spokes..All.traffic.be
5120	74 77 65 65 6e 20 73 70 6f 6b 65 73 20 69 73 20 63 6f 6e 74 72 6f 6c 6c 65 64 20 61 6e 64 20 64	tween.spokes.is.controlled.and.d
5140	65 6c 69 76 65 72 65 64 20 6f 76 65 72 20 74 68 65 20 68 75 62 20 73 69 74 65 2e 00 41 6e 64 20	elivered.over.the.hub.site..And.
5160	4e 41 54 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 41 6e 64 20 70 69 6e 67 20 74 68 65 20	NAT.Configuration:.And.ping.the.
5180	42 72 61 6e 63 68 20 50 43 20 66 72 6f 6d 20 79 6f 75 72 20 63 65 6e 74 72 61 6c 20 72 6f 75 74	Branch.PC.from.your.central.rout
51a0	65 72 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 72 65 73 70 6f 6e 73 65 2e 00 41 6e 64 20 73 68	er.to.check.the.response..And.sh
51c0	6f 77 20 61 6c 6c 20 44 48 43 50 20 4c 65 61 73 65 73 00 41 6e 64 20 74 68 65 20 60 60 63 6c 69	ow.all.DHCP.Leases.And.the.``cli
51e0	65 6e 74 60 60 20 74 6f 20 72 65 63 65 69 76 65 20 61 6e 20 49 50 76 36 20 61 64 64 72 65 73 73	ent``.to.receive.an.IPv6.address
5200	20 77 69 74 68 20 73 74 61 74 65 6c 65 73 73 20 61 75 74 6f 63 6f 6e 66 69 67 2e 00 41 6e 73 69	.with.stateless.autoconfig..Ansi
5220	62 6c 65 20 45 78 61 6d 70 6c 65 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 41 6e 79 20 69	ble.Example.topology.image.Any.i
5240	6e 66 6f 72 6d 61 74 69 6f 6e 20 72 65 6c 61 74 65 64 20 74 6f 20 61 20 56 52 46 20 69 73 20 6e	nformation.related.to.a.VRF.is.n
5260	6f 74 20 65 78 63 68 61 6e 67 65 64 20 62 65 74 77 65 65 6e 20 64 65 76 69 63 65 73 20 2d 6f 72	ot.exchanged.between.devices.-or
5280	20 69 6e 20 74 68 65 20 73 61 6d 65 20 64 65 76 69 63 65 2d 20 62 79 20 64 65 66 61 75 6c 74 2c	.in.the.same.device-.by.default,
52a0	20 74 68 69 73 20 69 73 20 61 20 74 65 63 68 6e 69 71 75 65 20 63 61 6c 6c 65 64 20 2a 2a 56 52	.this.is.a.technique.called.**VR
52c0	46 2d 4c 69 74 65 2a 2a 2e 00 41 70 70 65 6e 64 69 78 2d 41 00 41 70 70 65 6e 64 69 78 2d 42 00	F-Lite**..Appendix-A.Appendix-B.
52e0	41 73 20 61 20 72 65 6d 69 6e 64 65 72 2c 20 6f 6e 6c 79 20 61 64 76 65 72 74 69 73 65 20 72 6f	As.a.reminder,.only.advertise.ro
5300	75 74 65 73 20 74 68 61 74 20 79 6f 75 20 61 72 65 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 6f	utes.that.you.are.the.default.ro
5320	75 74 65 72 20 66 6f 72 2e 20 54 68 69 73 20 69 73 20 77 68 79 20 77 65 20 61 72 65 20 4e 4f 54	uter.for..This.is.why.we.are.NOT
5340	20 61 6e 6e 6f 75 6e 63 69 6e 67 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74	.announcing.the.192.0.2.0/24.net
5360	77 6f 72 6b 2c 20 62 65 63 61 75 73 65 20 69 66 20 74 68 61 74 20 77 61 73 20 61 6e 6e 6f 75 6e	work,.because.if.that.was.announ
5380	63 65 64 20 69 6e 74 6f 20 4f 53 50 46 2c 20 74 68 65 20 6f 74 68 65 72 20 72 6f 75 74 65 72 73	ced.into.OSPF,.the.other.routers
53a0	20 77 6f 75 6c 64 20 74 72 79 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 6f 20 74 68 61 74 20 6e 65	.would.try.to.connect.to.that.ne
53c0	74 77 6f 72 6b 20 6f 76 65 72 20 61 20 74 75 6e 6e 65 6c 20 74 68 61 74 20 63 6f 6e 6e 65 63 74	twork.over.a.tunnel.that.connect
53e0	73 20 74 6f 20 74 68 61 74 20 6e 65 74 77 6f 72 6b 21 00 41 73 20 77 65 20 63 61 6e 20 73 65 65	s.to.that.network!.As.we.can.see
5400	20 65 76 65 6e 20 69 66 20 62 6f 74 68 20 56 52 46 20 4c 41 4e 31 20 61 6e 64 20 4c 41 4e 32 20	.even.if.both.VRF.LAN1.and.LAN2.
5420	68 61 73 20 74 68 65 20 73 61 6d 65 20 69 6d 70 6f 72 74 20 52 54 73 20 77 65 20 61 72 65 20 61	has.the.same.import.RTs.we.are.a
5440	62 6c 65 20 74 6f 20 73 65 6c 65 63 74 20 77 68 69 63 68 20 72 6f 75 74 65 73 20 61 72 65 20 65	ble.to.select.which.routes.are.e
5460	66 66 65 63 74 69 76 65 6c 79 20 69 6d 70 6f 72 74 65 64 20 61 6e 64 20 69 6e 73 74 61 6c 6c 65	ffectively.imported.and.installe
5480	64 2e 00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 69 6e 20 74 68 65 20 42 47 50 20 74 61 62 6c	d..As.we.can.see.in.the.BGP.tabl
54a0	65 20 61 6e 79 20 69 6d 70 6f 72 74 65 64 20 72 6f 75 74 65 20 68 61 73 20 62 65 65 6e 20 69 6e	e.any.imported.route.has.been.in
54c0	6a 65 63 74 65 64 20 77 69 74 68 20 61 20 22 40 22 20 66 6f 6c 6c 6f 77 65 64 20 62 79 20 74 68	jected.with.a."@".followed.by.th
54e0	65 20 56 50 4e 20 69 64 3b 20 49 6e 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6f	e.VPN.id;.In.the.routing.table.o
5500	66 20 74 68 65 20 56 52 46 2c 20 69 66 20 74 68 65 20 72 6f 75 74 65 20 77 61 73 20 69 6e 73 74	f.the.VRF,.if.the.route.was.inst
5520	61 6c 6c 65 64 2c 20 77 65 20 63 61 6e 20 73 65 65 20 2d 62 65 74 77 65 65 6e 20 72 6f 75 6e 64	alled,.we.can.see.-between.round
5540	20 62 72 61 63 6b 65 74 73 2d 20 74 68 65 20 65 78 70 6f 72 74 65 64 20 56 52 46 20 74 61 62 6c	.brackets-.the.exported.VRF.tabl
5560	65 2e 00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 74 68 69 73 20 69 73 20 75 6e 70 72 61 63 74	e..As.we.can.see.this.is.unpract
5580	69 63 61 6c 2e 00 41 73 20 77 65 20 6b 6e 6f 77 20 74 68 65 20 6d 61 69 6e 20 61 73 73 75 6d 70	ical..As.we.know.the.main.assump
55a0	74 69 6f 6e 20 6f 66 20 4c 33 56 50 4e 20 e2 80 9c 48 75 62 20 61 6e 64 20 53 70 6f 6b 65 e2 80	tion.of.L3VPN....Hub.and.Spoke..
55c0	9d 20 69 73 2c 20 74 68 61 74 20 74 68 65 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 73	..is,.that.the.traffic.between.s
55e0	70 6f 6b 65 73 20 68 61 76 65 20 74 6f 20 70 61 73 73 20 76 69 61 20 68 75 62 2c 20 69 6e 20 6f	pokes.have.to.pass.via.hub,.in.o
5600	75 72 20 73 63 65 6e 61 72 69 6f 20 56 79 4f 53 2d 50 45 32 20 69 73 20 74 68 65 20 48 75 62 20	ur.scenario.VyOS-PE2.is.the.Hub.
5620	50 45 20 61 6e 64 20 74 68 65 20 56 79 4f 53 2d 43 45 31 2d 48 55 42 20 69 73 20 74 68 65 20 63	PE.and.the.VyOS-CE1-HUB.is.the.c
5640	65 6e 74 72 61 6c 20 63 75 73 74 6f 6d 65 72 20 6f 66 66 69 63 65 20 64 65 76 69 63 65 20 74 68	entral.customer.office.device.th
5660	61 74 20 69 73 20 72 65 73 70 6f 6e 73 69 62 6c 65 20 66 6f 72 20 63 6f 6e 74 72 6f 6c 6c 69 6e	at.is.responsible.for.controllin
5680	67 20 61 63 63 65 73 73 20 62 65 74 77 65 65 6e 20 61 6c 6c 20 73 70 6f 6b 65 73 20 61 6e 64 20	g.access.between.all.spokes.and.
56a0	61 6e 6e 6f 75 6e 63 69 6e 67 20 69 74 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20	announcing.its.network.prefixes.
56c0	28 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 29 2e 20 56 79 4f 53 2d 50 45 32 20 68 61 73 20 74 68	(10.0.0.100/32)..VyOS-PE2.has.th
56e0	65 20 6d 61 69 6e 20 56 52 46 20 28 69 74 73 20 6e 61 6d 65 20 69 73 20 42 4c 55 45 5f 48 55 42	e.main.VRF.(its.name.is.BLUE_HUB
5700	29 2c 20 69 74 73 20 6f 77 6e 20 52 6f 75 74 65 2d 44 69 73 74 69 6e 67 75 69 73 68 65 72 28 52	),.its.own.Route-Distinguisher(R
5720	44 29 20 61 6e 64 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 69 6d 70 6f 72 74 2f 65 78 70 6f 72	D).and.route-target.import/expor
5740	74 20 6c 69 73 74 73 2e 20 4d 75 6c 74 69 70 72 6f 74 6f 63 6f 6c 2d 42 47 50 28 4d 50 2d 42 47	t.lists..Multiprotocol-BGP(MP-BG
5760	50 29 20 64 65 6c 69 76 65 72 73 20 4c 33 56 50 4e 20 72 65 6c 61 74 65 64 20 63 6f 6e 74 72 6f	P).delivers.L3VPN.related.contro
5780	6c 2d 70 6c 61 6e 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 74 6f 20 74 68 65 20 6e 6f 64 65 73	l-plane.information.to.the.nodes
57a0	20 61 63 72 6f 73 73 20 6e 65 74 77 6f 72 6b 20 77 68 65 72 65 20 50 45 73 20 53 70 6f 6b 65 73	.across.network.where.PEs.Spokes
57c0	20 69 6d 70 6f 72 74 20 74 68 65 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 36 30 35 33 35 3a 31	.import.the.route-target.60535:1
57e0	30 33 30 20 28 74 68 69 73 20 69 73 20 65 78 70 6f 72 74 20 72 6f 75 74 65 2d 74 61 72 67 65 74	030.(this.is.export.route-target
5800	20 6f 66 20 76 72 66 20 42 4c 55 45 5f 48 55 42 29 20 61 6e 64 20 65 78 70 6f 72 74 20 69 74 73	.of.vrf.BLUE_HUB).and.export.its
5820	20 6f 77 6e 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 36 30 35 33 35 3a 31 30 31 31 28 74 68 69	.own.route-target.60535:1011(thi
5840	73 20 69 73 20 76 72 66 20 42 4c 55 45 5f 53 50 4f 4b 45 20 65 78 70 6f 72 74 20 72 6f 75 74 65	s.is.vrf.BLUE_SPOKE.export.route
5860	2d 74 61 72 67 65 74 29 2e 20 54 68 65 72 65 66 6f 72 65 2c 20 74 68 65 20 43 75 73 74 6f 6d 65	-target)..Therefore,.the.Custome
5880	72 20 65 64 67 65 20 6e 6f 64 65 73 20 63 61 6e 20 6f 6e 6c 79 20 6c 65 61 72 6e 20 74 68 65 20	r.edge.nodes.can.only.learn.the.
58a0	6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 6f 66 20 74 68 65 20 48 55 42 20 73 69 74 65	network.prefixes.of.the.HUB.site
58c0	20 5b 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 5d 2e 20 46 6f 72 20 74 68 69 73 20 65 78 61 6d 70	.[10.0.0.100/32]..For.this.examp
58e0	6c 65 20 56 79 4f 53 2d 43 45 31 20 68 61 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73	le.VyOS-CE1.has.network.prefixes
5900	20 5b 31 30 2e 30 2e 30 2e 38 30 2f 33 32 5d 20 2f 20 56 79 4f 53 2d 43 45 32 20 68 61 73 20 6e	.[10.0.0.80/32]./.VyOS-CE2.has.n
5920	65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 5b 31 30 2e 30 2e 30 2e 39 30 2f 33 32 5d 2e 20	etwork.prefixes.[10.0.0.90/32]..
5940	52 6f 75 74 65 2d 52 65 66 6c 65 63 74 6f 72 20 64 65 76 69 63 65 73 20 56 79 4f 53 2d 52 52 31	Route-Reflector.devices.VyOS-RR1
5960	20 61 6e 64 20 56 79 4f 53 2d 52 52 32 20 61 72 65 20 75 73 65 64 20 74 6f 20 73 69 6d 70 6c 69	.and.VyOS-RR2.are.used.to.simpli
5980	66 79 20 6e 65 74 77 6f 72 6b 20 72 6f 75 74 65 73 20 65 78 63 68 61 6e 67 65 20 61 6e 64 20 6d	fy.network.routes.exchange.and.m
59a0	69 6e 69 6d 69 7a 65 20 69 42 47 50 20 70 65 65 72 69 6e 67 73 20 62 65 74 77 65 65 6e 20 64 65	inimize.iBGP.peerings.between.de
59c0	76 69 63 65 73 2e 00 41 73 20 77 65 20 73 65 65 20 73 68 61 70 65 72 20 69 73 20 77 6f 72 6b 69	vices..As.we.see.shaper.is.worki
59e0	6e 67 20 61 6e 64 20 74 68 65 20 74 72 61 66 66 69 63 20 77 69 6c 6c 20 6e 6f 74 20 77 6f 72 6b	ng.and.the.traffic.will.not.work
5a00	20 6f 76 65 72 20 35 20 4d 62 69 74 2f 73 2e 00 41 73 73 69 67 6e 20 65 78 74 65 72 6e 61 6c 20	.over.5.Mbit/s..Assign.external.
5a20	49 50 20 61 64 64 72 65 73 73 65 73 00 41 73 73 75 6d 69 6e 67 20 74 68 65 20 70 69 6e 67 73 20	IP.addresses.Assuming.the.pings.
5a40	61 72 65 20 73 75 63 63 65 73 73 66 75 6c 2c 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 61 64 64 20	are.successful,.you.need.to.add.
5a60	73 6f 6d 65 20 44 4e 53 20 73 65 72 76 65 72 73 2e 20 53 6f 6d 65 20 6f 70 74 69 6f 6e 73 3a 00	some.DNS.servers..Some.options:.
5a80	41 74 20 74 68 65 20 66 69 72 73 74 20 73 74 65 70 20 77 65 20 6e 65 65 64 20 74 6f 20 63 6f 6e	At.the.first.step.we.need.to.con
5aa0	66 69 67 75 72 65 20 74 68 65 20 49 50 2f 4d 50 4c 53 20 62 61 63 6b 62 6f 6e 65 20 6e 65 74 77	figure.the.IP/MPLS.backbone.netw
5ac0	6f 72 6b 20 75 73 69 6e 67 20 4f 53 50 46 20 61 73 20 49 47 50 20 70 72 6f 74 6f 63 6f 6c 20 61	ork.using.OSPF.as.IGP.protocol.a
5ae0	6e 64 20 4c 44 50 20 61 73 20 6c 61 62 65 6c 2d 73 77 69 74 63 68 69 6e 67 20 70 72 6f 74 6f 63	nd.LDP.as.label-switching.protoc
5b00	6f 6c 20 66 6f 72 20 74 68 65 20 62 61 73 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 62 65 74	ol.for.the.base.connectivity.bet
5b20	77 65 65 6e 20 2a 2a 50 2a 2a 20 28 72 6f 76 69 64 65 72 29 2c 20 2a 2a 50 2a 2a 20 28 72 6f 76	ween.P.(rovider),.P.(rov
5b40	69 64 65 72 29 20 2a 2a 45 2a 2a 20 28 64 67 65 29 20 61 6e 64 20 2a 2a 52 2a 2a 20 28 6f 75 74	ider).E.(dge).and.R.(out
5b60	65 29 20 2a 2a 52 2a 2a 20 28 65 66 6c 65 63 74 6f 72 29 20 6e 6f 64 65 73 3a 00 41 74 20 74 68	e).R.(eflector).nodes:.At.th
5b80	69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 6e 6f 77 20 6e 65 65 64 20 74 6f 20 63 72 65 61 74 65	is.point,.you.now.need.to.create
5ba0	20 74 68 65 20 58 20 6c 69 6e 6b 20 62 65 74 77 65 65 6e 20 61 6c 6c 20 66 6f 75 72 20 72 6f 75	.the.X.link.between.all.four.rou
5bc0	74 65 72 73 2e 20 55 73 65 20 61 6d 64 69 66 66 65 72 65 6e 74 20 2f 33 30 20 66 6f 72 20 65 61	ters..Use.amdifferent./30.for.ea
5be0	63 68 20 6c 69 6e 6b 2e 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 73 68 6f 75	ch.link..At.this.point,.you.shou
5c00	6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 53 53 48 20 69 6e 74 6f 20 62 6f 74 68 20 6f 66 20 74	ld.be.able.to.SSH.into.both.of.t
5c20	68 65 6d 2c 20 61 6e 64 20 77 69 6c 6c 20 6e 6f 20 6c 6f 6e 67 65 72 20 6e 65 65 64 20 61 63 63	hem,.and.will.no.longer.need.acc
5c40	65 73 73 20 74 6f 20 74 68 65 20 63 6f 6e 73 6f 6c 65 20 28 75 6e 6c 65 73 73 20 79 6f 75 20 62	ess.to.the.console.(unless.you.b
5c60	72 65 61 6b 20 73 6f 6d 65 74 68 69 6e 67 21 29 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20	reak.something!).At.this.point,.
5c80	79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 62 6f 74 68 20 49	you.should.be.able.to.see.both.I
5ca0	50 20 61 64 64 72 65 73 73 65 73 20 77 68 65 6e 20 79 6f 75 20 72 75 6e 20 60 60 73 68 6f 77 20	P.addresses.when.you.run.``show.
5cc0	69 6e 74 65 72 66 61 63 65 73 60 60 5c 20 2c 20 61 6e 64 20 60 60 73 68 6f 77 20 76 72 72 70 60	interfaces``\.,.and.``show.vrrp`
5ce0	60 20 73 68 6f 75 6c 64 20 73 68 6f 77 20 62 6f 74 68 20 69 6e 74 65 72 66 61 63 65 73 20 69 6e	`.should.show.both.interfaces.in
5d00	20 4d 41 53 54 45 52 20 73 74 61 74 65 20 28 61 6e 64 20 53 4c 41 56 45 20 73 74 61 74 65 20 6f	.MASTER.state.(and.SLAVE.state.o
5d20	6e 20 72 6f 75 74 65 72 32 29 2e 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 72 20	n.router2)..At.this.point,.your.
5d40	56 79 4f 53 20 69 6e 73 74 61 6c 6c 20 73 68 6f 75 6c 64 20 68 61 76 65 20 66 75 6c 6c 20 49 50	VyOS.install.should.have.full.IP
5d60	76 36 2c 20 62 75 74 20 6e 6f 77 20 79 6f 75 72 20 4c 41 4e 20 64 65 76 69 63 65 73 20 6e 65 65	v6,.but.now.your.LAN.devices.nee
5d80	64 20 61 63 63 65 73 73 2e 00 41 74 20 74 68 69 73 20 73 74 65 70 20 77 65 20 61 72 65 20 67 6f	d.access..At.this.step.we.are.go
5da0	69 6e 67 20 74 6f 20 65 6e 61 62 6c 65 20 69 42 47 50 20 70 72 6f 74 6f 63 6f 6c 20 6f 6e 20 4d	ing.to.enable.iBGP.protocol.on.M
5dc0	50 4c 53 20 6e 6f 64 65 73 20 61 6e 64 20 52 6f 75 74 65 20 52 65 66 6c 65 63 74 6f 72 73 20 28	PLS.nodes.and.Route.Reflectors.(
5de0	74 77 6f 20 72 6f 75 74 65 72 73 20 66 6f 72 20 72 65 64 75 6e 64 61 6e 63 79 29 20 74 68 61 74	two.routers.for.redundancy).that
5e00	20 77 69 6c 6c 20 64 65 6c 69 76 65 72 20 49 50 76 34 20 56 50 4e 20 28 4c 33 56 50 4e 29 20 72	.will.deliver.IPv4.VPN.(L3VPN).r
5e20	6f 75 74 65 73 20 62 65 74 77 65 65 6e 20 74 68 65 6d 3a 00 41 7a 75 72 65 20 41 53 4e 00 41 7a	outes.between.them:.Azure.ASN.Az
5e40	75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 31 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75	ure.VNet.Gateway.1.public.IP.Azu
5e60	72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 32 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72	re.VNet.Gateway.2.public.IP.Azur
5e80	65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 42 47 50 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74	e.VNet.Gateway.BGP.IP.Azure.VNet
5ea0	20 47 61 74 65 77 61 79 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 61 64 64 72 65 73 73	.Gateway.public.IP.Azure.address
5ec0	20 73 70 61 63 65 00 42 47 50 00 42 47 50 20 49 50 76 36 20 75 6e 6e 75 6d 62 65 72 65 64 20 77	.space.BGP.BGP.IPv6.unnumbered.w
5ee0	69 74 68 20 65 78 74 65 6e 64 65 64 20 6e 65 78 74 68 6f 70 00 42 47 50 20 69 73 20 61 6e 20 65	ith.extended.nexthop.BGP.is.an.e
5f00	78 74 72 65 6d 65 6c 79 20 63 6f 6d 70 6c 65 78 20 6e 65 74 77 6f 72 6b 20 70 72 6f 74 6f 63 6f	xtremely.complex.network.protoco
5f20	6c 2e 20 41 6e 20 65 78 61 6d 70 6c 65 20 69 73 20 70 72 6f 76 69 64 65 64 20 68 65 72 65 2e 00	l..An.example.is.provided.here..
5f40	42 4c 55 45 5f 48 55 42 00 42 4c 55 45 5f 53 50 4f 4b 45 00 42 61 73 65 64 20 6f 6e 20 74 68 65	BLUE_HUB.BLUE_SPOKE.Based.on.the
5f60	20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 61 6e 6f 74 68 65 72 20 72 75 6c 65 20	.previous.example,.another.rule.
5f80	66 6f 72 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 74 68 65 20 73 65 63 6f 6e 64 20 69 6e 74 65	for.traffic.from.the.second.inte
5fa0	72 66 61 63 65 20 65 74 68 33 20 63 61 6e 20 62 65 20 61 64 64 65 64 20 74 6f 20 74 68 65 20 6c	rface.eth3.can.be.added.to.the.l
5fc0	6f 61 64 20 62 61 6c 61 6e 63 65 72 2e 20 48 6f 77 65 76 65 72 2c 20 74 72 61 66 66 69 63 20 6d	oad.balancer..However,.traffic.m
5fe0	65 61 6e 74 20 74 6f 20 66 6c 6f 77 20 62 65 74 77 65 65 6e 20 74 68 65 20 4c 41 4e 20 73 75 62	eant.to.flow.between.the.LAN.sub
6000	6e 65 74 73 20 77 69 6c 6c 20 62 65 20 73 65 6e 74 20 74 6f 20 65 74 68 30 20 61 6e 64 20 65 74	nets.will.be.sent.to.eth0.and.et
6020	68 31 20 61 73 20 77 65 6c 6c 2e 20 54 6f 20 70 72 65 76 65 6e 74 20 74 68 69 73 2c 20 61 6e 6f	h1.as.well..To.prevent.this,.ano
6040	74 68 65 72 20 72 75 6c 65 20 69 73 20 72 65 71 75 69 72 65 64 2e 20 54 68 69 73 20 72 75 6c 65	ther.rule.is.required..This.rule
6060	20 65 78 63 6c 75 64 65 73 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 74 68 65 20 6c 6f	.excludes.traffic.between.the.lo
6080	63 61 6c 20 73 75 62 6e 65 74 73 20 66 72 6f 6d 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63	cal.subnets.from.the.load.balanc
60a0	65 72 2e 20 49 74 20 61 6c 73 6f 20 65 78 63 6c 75 64 65 73 20 6c 6f 63 61 6c 6c 79 2d 73 6f 75	er..It.also.excludes.locally-sou
60c0	72 63 65 73 20 70 61 63 6b 65 74 73 20 28 72 65 71 75 69 72 65 64 20 66 6f 72 20 77 65 62 20 63	rces.packets.(required.for.web.c
60e0	61 63 68 69 6e 67 20 77 69 74 68 20 6c 6f 61 64 20 62 61 6c 61 6e 63 69 6e 67 29 2e 20 65 74 68	aching.with.load.balancing)..eth
6100	2b 20 69 73 20 75 73 65 64 20 61 73 20 61 6e 20 61 6c 69 61 73 20 74 68 61 74 20 72 65 66 65 72	+.is.used.as.an.alias.that.refer
6120	73 20 74 6f 20 61 6c 6c 20 65 74 68 65 72 6e 65 74 20 69 6e 74 65 72 66 61 63 65 73 3a 00 42 61	s.to.all.ethernet.interfaces:.Ba
6140	73 69 63 20 46 69 72 65 77 61 6c 6c 00 42 61 73 69 63 20 53 65 74 75 70 20 28 76 69 61 20 63 6f	sic.Firewall.Basic.Setup.(via.co
6160	6e 73 6f 6c 65 29 00 42 65 66 6f 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 30	nsole).Before.the.interface.eth0
6180	20 6f 6e 20 72 6f 75 74 65 72 20 56 79 4f 53 33 00 42 6f 6e 64 69 6e 67 20 6f 6e 20 48 61 72 64	.on.router.VyOS3.Bonding.on.Hard
61a0	77 61 72 65 20 52 6f 75 74 65 72 00 42 6f 74 68 20 4c 41 4e 73 20 68 61 76 65 20 74 6f 20 62 65	ware.Router.Both.LANs.have.to.be
61c0	20 61 62 6c 65 20 74 6f 20 72 6f 75 74 65 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65	.able.to.route.between.each.othe
61e0	72 2c 20 62 6f 74 68 20 77 69 6c 6c 20 68 61 76 65 20 6d 61 6e 61 67 65 64 20 64 65 76 69 63 65	r,.both.will.have.managed.device
6200	73 20 74 68 72 6f 75 67 68 20 61 20 64 65 64 69 63 61 74 65 64 20 6d 61 6e 61 67 65 6d 65 6e 74	s.through.a.dedicated.management
6220	20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 62 6f 74 68 20 77 69 6c 6c 20 6e 65 65 64 20 49 6e 74 65	.network.and.both.will.need.Inte
6240	72 6e 65 74 20 61 63 63 65 73 73 20 79 65 74 20 74 68 65 20 4c 41 4e 32 20 77 69 6c 6c 20 6e 65	rnet.access.yet.the.LAN2.will.ne
6260	65 64 20 61 63 63 65 73 73 20 74 6f 20 73 6f 6d 65 20 73 65 74 20 6f 66 20 6f 75 74 73 69 64 65	ed.access.to.some.set.of.outside
6280	20 6e 65 74 77 6f 72 6b 73 2c 20 6e 6f 74 20 61 6c 6c 2e 20 54 68 65 20 6d 61 6e 61 67 65 6d 65	.networks,.not.all..The.manageme
62a0	6e 74 20 6e 65 74 77 6f 72 6b 20 77 69 6c 6c 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 62	nt.network.will.need.access.to.b
62c0	6f 74 68 20 4c 41 4e 73 20 62 75 74 20 63 61 6e 6e 6f 74 20 68 61 76 65 20 61 63 63 65 73 73 20	oth.LANs.but.cannot.have.access.
62e0	74 6f 2f 66 72 6f 6d 20 74 68 65 20 6f 75 74 73 69 64 65 2e 00 42 72 61 6e 63 68 00 42 79 20 64	to/from.the.outside..Branch.By.d
6300	65 66 61 75 6c 74 2c 20 69 70 74 61 62 6c 65 73 20 64 6f 65 73 20 6e 6f 74 20 61 6c 6c 6f 77 20	efault,.iptables.does.not.allow.
6320	74 72 61 66 66 69 63 20 66 6f 72 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 65 73 73 69 6f 6e 73	traffic.for.established.sessions
6340	20 74 6f 20 72 65 74 75 72 6e 2c 20 73 6f 20 79 6f 75 20 6d 75 73 74 20 65 78 70 6c 69 63 69 74	.to.return,.so.you.must.explicit
6360	6c 79 20 61 6c 6c 6f 77 20 74 68 69 73 2e 20 49 20 64 6f 20 74 68 69 73 20 62 79 20 61 64 64 69	ly.allow.this..I.do.this.by.addi
6380	6e 67 20 74 77 6f 20 72 75 6c 65 73 20 74 6f 20 65 76 65 72 79 20 72 75 6c 65 73 65 74 2e 20 31	ng.two.rules.to.every.ruleset..1
63a0	20 61 6c 6c 6f 77 73 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20	.allows.established.and.related.
63c0	73 74 61 74 65 20 70 61 63 6b 65 74 73 20 74 68 72 6f 75 67 68 20 61 6e 64 20 72 75 6c 65 20 32	state.packets.through.and.rule.2
63e0	20 64 72 6f 70 73 20 61 6e 64 20 6c 6f 67 73 20 69 6e 76 61 6c 69 64 20 73 74 61 74 65 20 70 61	.drops.and.logs.invalid.state.pa
6400	63 6b 65 74 73 2e 20 57 65 20 70 6c 61 63 65 20 74 68 65 20 65 73 74 61 62 6c 69 73 68 65 64 2f	ckets..We.place.the.established/
6420	72 65 6c 61 74 65 64 20 72 75 6c 65 20 61 74 20 74 68 65 20 74 6f 70 20 62 65 63 61 75 73 65 20	related.rule.at.the.top.because.
6440	74 68 65 20 76 61 73 74 20 6d 61 6a 6f 72 69 74 79 20 6f 66 20 74 72 61 66 66 69 63 20 6f 6e 20	the.vast.majority.of.traffic.on.
6460	61 20 6e 65 74 77 6f 72 6b 20 69 73 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 74 68 65	a.network.is.established.and.the
6480	20 69 6e 76 61 6c 69 64 20 72 75 6c 65 20 74 6f 20 70 72 65 76 65 6e 74 20 69 6e 76 61 6c 69 64	.invalid.rule.to.prevent.invalid
64a0	20 73 74 61 74 65 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 6d 69 73 74 61 6b 65 6e 6c 79 20 62	.state.packets.from.mistakenly.b
64c0	65 69 6e 67 20 6d 61 74 63 68 65 64 20 61 67 61 69 6e 73 74 20 6f 74 68 65 72 20 72 75 6c 65 73	eing.matched.against.other.rules
64e0	2e 20 48 61 76 69 6e 67 20 74 68 65 20 6d 6f 73 74 20 6d 61 74 63 68 65 64 20 72 75 6c 65 20 6c	..Having.the.most.matched.rule.l
6500	69 73 74 65 64 20 66 69 72 73 74 20 72 65 64 75 63 65 73 20 43 50 55 20 6c 6f 61 64 20 69 6e 20	isted.first.reduces.CPU.load.in.
6520	68 69 67 68 20 76 6f 6c 75 6d 65 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 73 2e 20 4e 6f 74 65 3a 20	high.volume.environments..Note:.
6540	49 20 68 61 76 65 20 66 69 6c 65 64 20 61 20 62 75 67 20 74 6f 20 68 61 76 65 20 74 68 69 73 20	I.have.filed.a.bug.to.have.this.
6560	61 64 64 65 64 20 61 73 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 61 73 20 77 65 6c	added.as.a.default.action.as.wel
6580	6c 2e 00 43 45 20 48 75 62 20 64 65 76 69 63 65 00 43 53 34 20 2d 3e 20 43 53 35 00 43 65 6e 74	l..CE.Hub.device.CS4.->.CS5.Cent
65a0	72 61 6c 00 43 68 65 63 6b 20 61 6c 6c 20 70 6f 73 73 69 62 6c 65 20 73 65 74 74 69 6e 67 73 20	ral.Check.all.possible.settings.
65c0	60 68 65 72 65 20 3c 68 74 74 70 73 3a 2f 2f 67 69 74 68 75 62 2e 63 6f 6d 2f 74 68 72 65 65 72	`here.<https://github.com/threer
65e0	69 6e 67 73 2f 6f 70 65 6e 76 70 6e 2d 61 75 74 68 2d 6c 64 61 70 2f 62 6c 6f 62 2f 6d 61 73 74	ings/openvpn-auth-ldap/blob/mast
6600	65 72 2f 61 75 74 68 2d 6c 64 61 70 2e 63 6f 6e 66 3e 60 5f 00 43 68 65 63 6b 20 74 68 65 20 42	er/auth-ldap.conf>`_.Check.the.B
6620	47 50 20 56 52 46 20 74 61 62 6c 65 20 61 6e 64 20 76 65 72 69 66 79 20 69 66 20 74 68 65 20 73	GP.VRF.table.and.verify.if.the.s
6640	74 61 74 69 63 20 72 6f 75 74 65 73 20 61 72 65 20 69 6e 6a 65 63 74 65 64 20 73 68 6f 77 69 6e	tatic.routes.are.injected.showin
6660	67 20 74 68 65 20 63 6f 72 72 65 63 74 20 6e 65 78 74 2d 68 6f 70 20 69 6e 66 6f 72 6d 61 74 69	g.the.correct.next-hop.informati
6680	6f 6e 2e 00 43 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 00 43 68 65 63 6b 20 74 68 65 20 72	on..Check.the.result.Check.the.r
66a0	65 73 75 6c 74 2e 00 43 68 65 63 6b 69 6e 67 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c	esult..Checking.the.routing.tabl
66c0	65 20 6f 66 20 74 68 65 20 56 52 46 20 73 68 6f 75 6c 64 20 72 65 76 65 61 6c 20 62 6f 74 68 20	e.of.the.VRF.should.reveal.both.
66e0	73 74 61 74 69 63 20 61 6e 64 20 63 6f 6e 6e 65 63 74 65 64 20 65 6e 74 72 69 65 73 20 61 63 74	static.and.connected.entries.act
6700	69 76 65 2e 20 41 20 50 49 4e 47 20 74 65 73 74 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72	ive..A.PING.test.between.the.Cor
6720	65 20 61 6e 64 20 72 65 6d 6f 74 65 20 72 6f 75 74 65 72 20 69 73 20 61 20 77 61 79 20 74 6f 20	e.and.remote.router.is.a.way.to.
6740	76 61 6c 69 64 61 74 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 77 69 74 68 69 6e 20 74 68 65	validate.connectivity.within.the
6760	20 56 52 46 2e 00 43 68 65 63 6b 69 6e 67 20 74 68 72 6f 75 67 68 20 6f 70 2d 6d 6f 64 65 20 63	.VRF..Checking.through.op-mode.c
6780	6f 6d 6d 61 6e 64 73 00 43 69 73 63 6f 20 56 50 43 20 43 72 6f 73 73 63 6f 6e 6e 65 63 74 20 2d	ommands.Cisco.VPC.Crossconnect.-
67a0	20 50 6f 72 74 73 20 33 39 20 61 6e 64 20 34 30 20 62 6f 6e 64 65 64 20 62 65 74 77 65 65 6e 20	.Ports.39.and.40.bonded.between.
67c0	65 61 63 68 20 73 77 69 74 63 68 00 43 6c 61 6d 70 20 74 68 65 20 56 54 49 27 73 20 4d 53 53 20	each.switch.Clamp.the.VTI's.MSS.
67e0	74 6f 20 31 33 35 30 20 74 6f 20 61 76 6f 69 64 20 50 4d 54 55 20 62 6c 61 63 6b 68 6f 6c 65 73	to.1350.to.avoid.PMTU.blackholes
6800	2e 00 43 6c 69 65 6e 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 6f 6d 6d 75 6e 69 63 61	..Client.configuration.Communica
6820	74 69 6f 6e 20 62 65 74 77 65 65 6e 20 70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20 73 68 6f	tion.between.private.subnets.sho
6840	75 6c 64 20 62 65 20 64 6f 6e 65 20 74 68 72 6f 75 67 68 20 69 70 73 65 63 20 74 75 6e 6e 65 6c	uld.be.done.through.ipsec.tunnel
6860	20 77 69 74 68 6f 75 74 20 6e 61 74 2e 00 43 6f 6e 63 6c 75 73 69 6f 6e 73 00 43 6f 6e 66 69 67	.without.nat..Conclusions.Config
6880	75 72 61 74 69 6f 6e 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27 4e 4d 50 27 00 43 6f 6e 66	uration.Configuration.'NMP'.Conf
68a0	69 67 75 72 61 74 69 6f 6e 20 27 56 79 4f 53 27 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27	iguration.'VyOS'.Configuration.'
68c0	64 63 73 70 27 20 61 6e 64 20 73 68 61 70 65 72 20 75 73 69 6e 67 20 51 6f 53 00 43 6f 6e 66 69	dcsp'.and.shaper.using.QoS.Confi
68e0	67 75 72 61 74 69 6f 6e 20 42 6c 75 65 70 72 69 6e 74 73 00 43 6f 6e 66 69 67 75 72 61 74 69 6f	guration.Blueprints.Configuratio
6900	6e 20 42 6c 75 65 70 72 69 6e 74 73 20 28 61 75 74 6f 74 65 73 74 29 00 43 6f 6e 66 69 67 75 72	n.Blueprints.(autotest).Configur
6920	61 74 69 6f 6e 20 56 79 4f 53 20 61 73 20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 00 43 6f 6e	ation.VyOS.as.OpenVPN.Server.Con
6940	66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 62 61 73 69 63 20 66 69 72 65 77 61 6c 6c 20 69 6e 20	figuration.of.basic.firewall.in.
6960	6f 6e 65 20 73 69 74 65 2c 20 69 6e 20 6f 72 64 65 72 20 74 6f 3a 00 43 6f 6e 66 69 67 75 72 61	one.site,.in.order.to:.Configura
6980	74 69 6f 6e 3a 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 00 43 6f 6e 66 69 67 75 72 65 20 57	tion:.Configurations.Configure.W
69a0	69 72 65 67 75 61 72 64 00 43 6f 6e 66 69 67 75 72 65 20 61 20 56 54 49 20 77 69 74 68 20 61 20	ireguard.Configure.a.VTI.with.a.
69c0	64 75 6d 6d 79 20 49 50 20 61 64 64 72 65 73 73 00 43 6f 6e 66 69 67 75 72 65 20 63 6f 6e 6e 74	dummy.IP.address.Configure.connt
69e0	72 61 63 6b 2d 73 79 6e 63 20 61 6e 64 20 65 6e 61 62 6c 65 20 68 65 6c 70 65 72 73 00 43 6f 6e	rack-sync.and.enable.helpers.Con
6a00	66 69 67 75 72 65 20 74 68 65 20 49 4b 45 20 61 6e 64 20 45 53 50 20 73 65 74 74 69 6e 67 73 20	figure.the.IKE.and.ESP.settings.
6a20	74 6f 20 6d 61 74 63 68 20 61 20 73 75 62 73 65 74 20 6f 66 20 74 68 6f 73 65 20 73 75 70 70 6f	to.match.a.subset.of.those.suppo
6a40	72 74 65 64 20 62 79 20 41 7a 75 72 65 3a 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 56 50 4e	rted.by.Azure:.Configure.the.VPN
6a60	20 74 75 6e 6e 65 6c 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 56 50 4e 20 74 75 6e 6e 65 6c	.tunnel.Configure.the.VPN.tunnel
6a80	73 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 57 41 4e 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65	s.Configure.the.WAN.load.balance
6aa0	72 20 77 69 74 68 20 74 68 65 20 70 61 72 61 6d 65 74 65 72 73 20 64 65 73 63 72 69 62 65 64 20	r.with.the.parameters.described.
6ac0	61 62 6f 76 65 3a 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63	above:.Configure.the.load.balanc
6ae0	65 72 00 43 6f 6e 66 69 67 75 72 65 20 74 77 6f 20 56 54 49 73 20 77 69 74 68 20 61 20 64 75 6d	er.Configure.two.VTIs.with.a.dum
6b00	6d 79 20 49 50 20 61 64 64 72 65 73 73 20 65 61 63 68 00 43 6f 6e 66 69 67 75 72 65 20 79 6f 75	my.IP.address.each.Configure.you
6b20	72 20 42 47 50 20 73 65 74 74 69 6e 67 73 00 43 6f 6e 6e 74 72 61 63 6b 20 68 65 6c 70 65 72 20	r.BGP.settings.Conntrack.helper.
6b40	6d 6f 64 75 6c 65 73 20 61 72 65 20 65 6e 61 62 6c 65 64 20 62 79 20 64 65 66 61 75 6c 74 2c 20	modules.are.enabled.by.default,.
6b60	62 75 74 20 74 68 65 79 20 74 65 6e 64 20 74 6f 20 63 61 75 73 65 20 6d 6f 72 65 20 70 72 6f 62	but.they.tend.to.cause.more.prob
6b80	6c 65 6d 73 20 74 68 61 6e 20 74 68 65 79 27 72 65 20 77 6f 72 74 68 20 69 6e 20 63 6f 6d 70 6c	lems.than.they're.worth.in.compl
6ba0	65 78 20 6e 65 74 77 6f 72 6b 73 2e 20 59 6f 75 20 63 61 6e 20 64 69 73 61 62 6c 65 20 61 6c 6c	ex.networks..You.can.disable.all
6bc0	20 6f 66 20 74 68 65 6d 20 61 74 20 6f 6e 65 20 67 6f 2e 00 43 6f 6e 73 69 64 65 72 20 68 6f 77	.of.them.at.one.go..Consider.how
6be0	20 74 6f 20 71 75 69 63 6b 6c 79 20 73 65 74 20 75 70 20 4e 4d 50 20 61 6e 64 20 56 79 4f 53 20	.to.quickly.set.up.NMP.and.VyOS.
6c00	66 6f 72 20 6d 6f 6e 69 74 6f 72 69 6e 67 2e 20 4e 4d 50 20 69 73 20 6d 75 6c 74 69 2d 76 65 6e	for.monitoring..NMP.is.multi-ven
6c20	64 6f 72 20 6e 65 74 77 6f 72 6b 20 6d 6f 6e 69 74 6f 72 69 6e 67 20 66 72 6f 6d 20 27 53 6f 6c	dor.network.monitoring.from.'Sol
6c40	61 72 57 69 6e 64 73 27 20 62 75 69 6c 74 20 74 6f 20 73 63 61 6c 65 20 61 6e 64 20 65 78 70 61	arWinds'.built.to.scale.and.expa
6c60	6e 64 20 77 69 74 68 20 74 68 65 20 6e 65 65 64 73 20 6f 66 20 79 6f 75 72 20 6e 65 74 77 6f 72	nd.with.the.needs.of.your.networ
6c80	6b 2e 00 43 6f 72 65 00 43 6f 72 65 20 52 6f 75 74 65 72 00 43 6f 72 65 20 6e 65 74 77 6f 72 6b	k..Core.Core.Router.Core.network
6ca0	00 43 72 65 61 74 65 20 45 78 70 6f 72 74 20 46 69 6c 74 65 72 00 43 72 65 61 74 65 20 49 6d 70	.Create.Export.Filter.Create.Imp
6cc0	6f 72 74 20 46 69 6c 74 65 72 00 43 72 65 61 74 65 20 56 52 52 50 20 73 79 6e 63 2d 67 72 6f 75	ort.Filter.Create.VRRP.sync-grou
6ce0	70 00 43 72 65 61 74 65 20 61 20 4c 41 43 50 20 62 6f 6e 64 20 6f 6e 20 74 68 65 20 68 61 72 64	p.Create.a.LACP.bond.on.the.hard
6d00	77 61 72 65 20 72 6f 75 74 65 72 2e 20 57 65 20 61 72 65 20 61 73 73 75 6d 69 6e 67 20 74 68 61	ware.router..We.are.assuming.tha
6d20	74 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 61 72 65 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f	t.eth0.and.eth1.are.connected.to
6d40	20 70 6f 72 74 20 38 20 6f 6e 20 62 6f 74 68 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 74 68	.port.8.on.both.switches,.and.th
6d60	61 74 20 74 68 6f 73 65 20 70 6f 72 74 73 20 61 72 65 20 63 6f 6e 66 69 67 75 72 65 64 20 61 73	at.those.ports.are.configured.as
6d80	20 61 20 50 6f 72 74 2d 43 68 61 6e 6e 65 6c 2e 00 43 72 65 61 74 65 20 61 6e 20 27 41 6c 6c 20	.a.Port-Channel..Create.an.'All.
6da0	56 4c 41 4e 73 27 20 6e 65 74 77 6f 72 6b 20 67 72 6f 75 70 2c 20 74 68 61 74 20 70 61 73 73 65	VLANs'.network.group,.that.passe
6dc0	73 20 61 6c 6c 20 74 72 75 6e 6b 65 64 20 74 72 61 66 66 69 63 20 74 68 72 6f 75 67 68 20 74 6f	s.all.trunked.traffic.through.to
6de0	20 74 68 65 20 56 4d 2e 20 41 74 74 61 63 68 20 74 68 69 73 20 6e 65 74 77 6f 72 6b 20 67 72 6f	.the.VM..Attach.this.network.gro
6e00	75 70 20 74 6f 20 72 6f 75 74 65 72 31 20 61 73 20 65 74 68 30 2e 00 43 72 65 61 74 65 20 69 6e	up.to.router1.as.eth0..Create.in
6e20	74 65 72 66 61 63 65 20 77 65 69 67 68 74 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69	terface.weight.based.configurati
6e40	6f 6e 00 43 72 65 61 74 65 20 72 75 6c 65 20 6f 72 64 65 72 20 62 61 73 65 64 20 63 6f 6e 66 69	on.Create.rule.order.based.confi
6e60	67 75 72 61 74 69 6f 6e 00 43 72 65 61 74 65 20 72 75 6c 65 20 6f 72 64 65 72 20 62 61 73 65 64	guration.Create.rule.order.based
6e80	20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 6c 6f 77 20 73 70 65 65 64 20 73 65	.configuration.with.low.speed.se
6ea0	63 6f 6e 64 61 72 79 20 6c 69 6e 6b 00 43 72 65 61 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65	condary.link.Create.static.route
6ec0	73 20 74 68 72 6f 75 67 68 20 74 68 65 20 74 77 6f 20 49 53 50 73 20 74 6f 77 61 72 64 73 20 74	s.through.the.two.ISPs.towards.t
6ee0	68 65 20 70 69 6e 67 20 74 61 72 67 65 74 73 20 61 6e 64 20 63 6f 6d 6d 69 74 20 74 68 65 20 63	he.ping.targets.and.commit.the.c
6f00	68 61 6e 67 65 73 3a 00 43 72 65 61 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 6f 20	hanges:.Create.static.routes.to.
6f20	70 69 6e 67 20 74 61 72 67 65 74 73 00 43 72 65 61 74 65 20 79 6f 75 72 20 72 6f 75 74 65 72 31	ping.targets.Create.your.router1
6f40	20 56 4d 2e 20 53 6f 20 69 74 20 63 61 6e 20 77 69 74 68 73 74 61 6e 64 20 61 20 56 4d 20 48 6f	.VM..So.it.can.withstand.a.VM.Ho
6f60	73 74 20 66 61 69 6c 69 6e 67 20 6f 72 20 61 20 6e 65 74 77 6f 72 6b 20 6c 69 6e 6b 20 66 61 69	st.failing.or.a.network.link.fai
6f80	6c 69 6e 67 2e 20 55 73 69 6e 67 20 56 4d 77 61 72 65 2c 20 74 68 69 73 20 69 73 20 61 63 68 69	ling..Using.VMware,.this.is.achi
6fa0	65 76 65 64 20 62 79 20 65 6e 61 62 6c 69 6e 67 20 76 53 70 68 65 72 65 20 44 52 53 2c 20 76 53	eved.by.enabling.vSphere.DRS,.vS
6fc0	70 68 65 72 65 20 41 76 61 69 6c 61 62 69 6c 69 74 79 2c 20 61 6e 64 20 63 72 65 61 74 69 6e 67	phere.Availability,.and.creating
6fe0	20 61 20 44 69 73 74 72 69 62 75 74 65 64 20 50 6f 72 74 20 47 72 6f 75 70 20 74 68 61 74 20 75	.a.Distributed.Port.Group.that.u
7000	73 65 73 20 4c 41 43 50 2e 00 44 48 43 50 20 52 65 6c 61 79 20 74 72 6f 75 67 68 20 47 52 45 2d	ses.LACP..DHCP.Relay.trough.GRE-
7020	42 72 69 64 67 65 00 44 48 43 50 2d 52 65 6c 61 79 00 44 48 43 50 2d 53 65 72 76 65 72 00 44 48	Bridge.DHCP-Relay.DHCP-Server.DH
7040	43 50 76 36 2d 50 44 20 53 65 74 75 70 00 44 4d 5a 20 63 61 6e 6e 6f 74 20 61 63 63 65 73 73 20	CPv6-PD.Setup.DMZ.cannot.access.
7060	4c 41 4e 20 72 65 73 6f 75 72 63 65 73 2e 00 44 4d 5a 2d 4c 41 4e 20 70 6f 6c 69 63 79 20 69 73	LAN.resources..DMZ-LAN.policy.is
7080	20 4c 41 4e 2d 44 4d 5a 2e 20 59 6f 75 20 63 61 6e 20 67 65 74 20 61 20 72 68 79 74 68 6d 20 74	.LAN-DMZ..You.can.get.a.rhythm.t
70a0	6f 20 69 74 20 77 68 65 6e 20 79 6f 75 20 62 75 69 6c 64 20 6f 75 74 20 61 20 62 75 6e 63 68 20	o.it.when.you.build.out.a.bunch.
70c0	61 74 20 6f 6e 65 20 74 69 6d 65 2e 00 44 65 73 69 67 6e 00 44 65 76 69 63 65 2d 41 00 44 65 76	at.one.time..Design.Device-A.Dev
70e0	69 63 65 2d 42 00 44 75 70 6c 69 63 61 74 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 44 75	ice-B.Duplicate.configuration.Du
7100	72 69 6e 67 20 61 64 64 72 65 73 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2c 20 69 6e 20 61	ring.address.configuration,.in.a
7120	64 64 69 74 69 6f 6e 20 74 6f 20 61 73 73 69 67 6e 69 6e 67 20 61 6e 20 61 64 64 72 65 73 73 20	ddition.to.assigning.an.address.
7140	74 6f 20 74 68 65 20 57 41 4e 20 69 6e 74 65 72 66 61 63 65 2c 20 49 53 50 20 61 6c 73 6f 20 70	to.the.WAN.interface,.ISP.also.p
7160	72 6f 76 69 64 65 73 20 61 20 70 72 65 66 69 78 20 74 6f 20 61 6c 6c 6f 77 20 74 68 65 20 72 6f	rovides.a.prefix.to.allow.the.ro
7180	75 74 65 72 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 64 64 72 65 73 73 65 73 20 6f 66 20 4c	uter.to.configure.addresses.of.L
71a0	41 4e 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 6f 74 68 65 72 20 6e 6f 64 65 73 20 63 6f 6e	AN.interface.and.other.nodes.con
71c0	6e 65 63 74 69 6e 67 20 74 6f 20 4c 41 4e 2c 20 77 68 69 63 68 20 69 73 20 63 61 6c 6c 65 64 20	necting.to.LAN,.which.is.called.
71e0	70 72 65 66 69 78 20 64 65 6c 65 67 61 74 69 6f 6e 20 28 50 44 29 2e 00 44 79 6e 61 6d 69 63 20	prefix.delegation.(PD)..Dynamic.
7200	72 6f 75 74 69 6e 67 20 75 73 65 64 20 62 65 74 77 65 65 6e 20 43 45 20 61 6e 64 20 50 45 20 6e	routing.used.between.CE.and.PE.n
7220	6f 64 65 73 20 61 6e 64 20 65 42 47 50 20 70 65 65 72 69 6e 67 20 65 73 74 61 62 6c 69 73 68 65	odes.and.eBGP.peering.establishe
7240	64 20 66 6f 72 20 74 68 65 20 72 6f 75 74 65 20 65 78 63 68 61 6e 67 69 6e 67 20 62 65 74 77 65	d.for.the.route.exchanging.betwe
7260	65 6e 20 74 68 65 6d 2e 20 41 6c 6c 20 72 6f 75 74 65 73 20 72 65 63 65 69 76 65 64 20 62 79 20	en.them..All.routes.received.by.
7280	50 45 73 20 61 72 65 20 74 68 65 6e 20 65 78 70 6f 72 74 65 64 20 74 6f 20 4c 33 56 50 4e 20 61	PEs.are.then.exported.to.L3VPN.a
72a0	6e 64 20 64 65 6c 69 76 65 72 65 64 20 66 72 6f 6d 20 53 70 6f 6b 65 20 73 69 74 65 73 20 74 6f	nd.delivered.from.Spoke.sites.to
72c0	20 48 75 62 20 61 6e 64 20 76 69 73 65 2d 76 65 72 73 61 20 62 61 73 65 64 20 6f 6e 20 70 72 65	.Hub.and.vise-versa.based.on.pre
72e0	76 69 6f 75 73 6c 79 20 63 6f 6e 66 69 67 75 72 65 64 20 4c 33 56 50 4e 20 70 61 72 61 6d 65 74	viously.configured.L3VPN.paramet
7300	65 72 73 2e 00 45 61 63 68 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 20	ers..Each.interface.is.assigned.
7320	74 6f 20 61 20 7a 6f 6e 65 2e 20 54 68 65 20 69 6e 74 65 72 66 61 63 65 20 63 61 6e 20 62 65 20	to.a.zone..The.interface.can.be.
7340	70 68 79 73 69 63 61 6c 20 6f 72 20 76 69 72 74 75 61 6c 20 73 75 63 68 20 61 73 20 74 75 6e 6e	physical.or.virtual.such.as.tunn
7360	65 6c 73 20 28 56 50 4e 2c 20 50 50 54 50 2c 20 47 52 45 2c 20 65 74 63 29 20 61 6e 64 20 61 72	els.(VPN,.PPTP,.GRE,.etc).and.ar
7380	65 20 74 72 65 61 74 65 64 20 65 78 61 63 74 6c 79 20 74 68 65 20 73 61 6d 65 2e 00 45 61 63 68	e.treated.exactly.the.same..Each
73a0	20 6c 61 62 20 77 69 6c 6c 20 62 75 69 6c 64 20 61 6e 20 74 65 73 74 20 66 72 6f 6d 20 61 6e 20	.lab.will.build.an.test.from.an.
73c0	65 78 74 65 72 6e 61 6c 20 73 63 72 69 70 74 2e 20 54 68 65 20 70 61 67 65 20 63 6f 6e 74 65 6e	external.script..The.page.conten
73e0	74 20 77 69 6c 6c 20 67 65 6e 65 72 61 74 65 2c 20 73 6f 20 63 68 61 6e 67 65 73 20 77 69 6c 6c	t.will.generate,.so.changes.will
7400	20 6e 6f 74 20 74 61 6b 65 20 61 6e 20 65 66 66 65 63 74 2e 00 45 6e 61 62 6c 65 20 49 50 73 65	.not.take.an.effect..Enable.IPse
7420	63 20 6f 6e 20 65 74 68 30 00 45 6e 61 62 6c 65 20 4f 53 50 46 00 45 6e 61 62 6c 65 20 53 53 48	c.on.eth0.Enable.OSPF.Enable.SSH
7440	00 45 6e 61 62 6c 65 20 53 53 48 20 73 6f 20 79 6f 75 20 63 61 6e 20 6e 6f 77 20 53 53 48 20 69	.Enable.SSH.so.you.can.now.SSH.i
7460	6e 74 6f 20 74 68 65 20 72 6f 75 74 65 72 73 2c 20 72 61 74 68 65 72 20 74 68 61 6e 20 75 73 69	nto.the.routers,.rather.than.usi
7480	6e 67 20 74 68 65 20 63 6f 6e 73 6f 6c 65 2e 00 45 6e 61 62 6c 65 73 20 72 6f 75 74 65 72 20 61	ng.the.console..Enables.router.a
74a0	64 76 65 72 74 69 73 65 6d 65 6e 74 73 2e 20 54 68 69 73 20 69 73 20 61 6e 20 49 50 76 36 20 61	dvertisements..This.is.an.IPv6.a
74c0	6c 74 65 72 6e 61 74 69 76 65 20 66 6f 72 20 44 48 43 50 20 28 74 68 6f 75 67 68 20 44 48 43 50	lternative.for.DHCP.(though.DHCP
74e0	76 36 20 63 61 6e 20 73 74 69 6c 6c 20 62 65 20 75 73 65 64 29 2e 20 57 69 74 68 20 52 41 73 2c	v6.can.still.be.used)..With.RAs,
7500	20 59 6f 75 72 20 64 65 76 69 63 65 73 20 77 69 6c 6c 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79	.Your.devices.will.automatically
7520	20 66 69 6e 64 20 74 68 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 74 68 65 79 20 6e 65 65 64 20	.find.the.information.they.need.
7540	66 6f 72 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 44 4e 53 2e 00 45 76 65 6e 20 69 66 20 74 68 65	for.routing.and.DNS..Even.if.the
7560	20 74 77 6f 20 7a 6f 6e 65 73 20 77 69 6c 6c 20 6e 65 76 65 72 20 63 6f 6d 6d 75 6e 69 63 61 74	.two.zones.will.never.communicat
7580	65 2c 20 69 74 20 69 73 20 61 20 67 6f 6f 64 20 69 64 65 61 20 74 6f 20 63 72 65 61 74 65 20 74	e,.it.is.a.good.idea.to.create.t
75a0	68 65 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 72 75 6c 65 73 65 74 73 20	he.zone-pair-direction.rulesets.
75c0	61 6e 64 20 73 65 74 20 65 6e 61 62 6c 65 2d 64 65 66 61 75 6c 74 2d 6c 6f 67 2e 20 54 68 69 73	and.set.enable-default-log..This
75e0	20 77 69 6c 6c 20 61 6c 6c 6f 77 20 79 6f 75 20 74 6f 20 6c 6f 67 20 61 74 74 65 6d 70 74 73 20	.will.allow.you.to.log.attempts.
7600	74 6f 20 61 63 63 65 73 73 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 69 74 68 6f 75 74 20	to.access.the.networks..Without.
7620	69 74 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 65 76 65 72 20 73 65 65 20 74 68 65 20 63 6f 6e 6e 65	it,.you.will.never.see.the.conne
7640	63 74 69 6f 6e 20 61 74 74 65 6d 70 74 73 2e 00 45 76 65 72 79 20 72 6f 75 74 65 72 20 2a 2a 6d	ction.attempts..Every.router.**m
7660	75 73 74 2a 2a 20 68 61 76 65 20 61 20 75 6e 69 71 75 65 20 72 6f 75 74 65 72 2d 69 64 2e 20 54	ust**.have.a.unique.router-id..T
7680	68 65 20 27 72 65 66 65 72 65 6e 63 65 2d 62 61 6e 64 77 69 64 74 68 27 20 69 73 20 75 73 65 64	he.'reference-bandwidth'.is.used
76a0	20 62 65 63 61 75 73 65 20 77 68 65 6e 20 4f 53 50 46 20 77 61 73 20 6f 72 69 67 69 6e 61 6c 6c	.because.when.OSPF.was.originall
76c0	79 20 64 65 73 69 67 6e 65 64 2c 20 74 68 65 20 69 64 65 61 20 6f 66 20 61 20 6c 69 6e 6b 20 66	y.designed,.the.idea.of.a.link.f
76e0	61 73 74 65 72 20 74 68 61 6e 20 31 67 62 69 74 20 77 61 73 20 75 6e 68 65 61 72 64 20 6f 66 2c	aster.than.1gbit.was.unheard.of,
7700	20 61 6e 64 20 69 74 20 64 6f 65 73 20 6e 6f 74 20 73 63 61 6c 65 20 63 6f 72 72 65 63 74 6c 79	.and.it.does.not.scale.correctly
7720	2e 00 45 76 65 72 79 20 72 6f 75 74 65 72 20 74 68 61 74 20 70 72 6f 76 69 64 65 73 20 61 63 63	..Every.router.that.provides.acc
7740	65 73 73 20 74 6f 20 61 20 63 75 73 74 6f 6d 65 72 20 6e 65 74 77 6f 72 6b 20 6e 65 65 64 73 20	ess.to.a.customer.network.needs.
7760	74 6f 20 68 61 76 65 20 74 68 65 20 63 75 73 74 6f 6d 65 72 20 6e 65 74 77 6f 72 6b 20 28 56 52	to.have.the.customer.network.(VR
7780	46 20 2b 20 56 4e 49 29 20 63 6f 6e 66 69 67 75 72 65 64 2e 20 54 6f 20 6d 61 6b 65 20 6f 75 72	F.+.VNI).configured..To.make.our
77a0	20 6f 77 6e 20 6c 69 76 65 73 20 65 61 73 69 65 72 2c 20 77 65 20 75 74 69 6c 69 7a 65 20 74 68	.own.lives.easier,.we.utilize.th
77c0	65 20 73 61 6d 65 20 56 52 46 20 74 61 62 6c 65 20 69 64 20 28 6c 6f 63 61 6c 20 72 6f 75 74 69	e.same.VRF.table.id.(local.routi
77e0	6e 67 20 74 61 62 6c 65 20 6e 75 6d 62 65 72 29 20 61 6e 64 20 56 4e 49 20 28 56 69 72 74 75 61	ng.table.number).and.VNI.(Virtua
7800	6c 20 4e 65 74 77 6f 72 6b 20 49 64 65 6e 74 69 66 69 65 72 29 20 70 65 72 20 74 65 6e 61 6e 74	l.Network.Identifier).per.tenant
7820	20 6f 6e 20 61 6c 6c 20 6f 75 72 20 72 6f 75 74 65 72 73 2e 00 45 76 65 72 79 20 74 65 6e 61 6e	.on.all.our.routers..Every.tenan
7840	74 20 69 73 20 61 73 73 69 67 6e 65 64 20 61 6e 20 69 6e 64 69 76 69 64 75 61 6c 20 56 52 46 20	t.is.assigned.an.individual.VRF.
7860	74 68 61 74 20 77 6f 75 6c 64 20 73 75 70 70 6f 72 74 20 6f 76 65 72 6c 61 70 70 69 6e 67 20 61	that.would.support.overlapping.a
7880	64 64 72 65 73 73 20 72 61 6e 67 65 73 20 66 6f 72 20 63 75 73 74 6f 6d 65 72 73 20 62 6c 75 65	ddress.ranges.for.customers.blue
78a0	2c 20 72 65 64 20 61 6e 64 20 67 72 65 65 6e 2e 20 49 6e 20 6f 75 72 20 65 78 61 6d 70 6c 65 2c	,.red.and.green..In.our.example,
78c0	20 77 65 20 64 6f 20 6e 6f 74 20 75 73 65 20 6f 76 65 72 6c 61 70 70 69 6e 67 20 72 61 6e 67 65	.we.do.not.use.overlapping.range
78e0	73 20 74 6f 20 6d 61 6b 65 20 69 74 20 65 61 73 69 65 72 20 77 68 65 6e 20 73 68 6f 77 69 6e 67	s.to.make.it.easier.when.showing
7900	20 64 65 62 75 67 20 63 6f 6d 6d 61 6e 64 73 2e 00 45 78 61 6d 70 6c 65 00 45 78 61 6d 70 6c 65	.debug.commands..Example.Example
7920	20 31 3a 20 44 69 73 74 72 69 62 75 74 69 6e 67 20 6c 6f 61 64 20 65 76 65 6e 6c 79 00 45 78 61	.1:.Distributing.load.evenly.Exa
7940	6d 70 6c 65 20 32 3a 20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 69 6e 74 65 72 66	mple.2:.Failover.based.on.interf
7960	61 63 65 20 77 65 69 67 68 74 73 00 45 78 61 6d 70 6c 65 20 33 3a 20 46 61 69 6c 6f 76 65 72 20	ace.weights.Example.3:.Failover.
7980	62 61 73 65 64 20 6f 6e 20 72 75 6c 65 20 6f 72 64 65 72 00 45 78 61 6d 70 6c 65 20 34 3a 20 46	based.on.rule.order.Example.4:.F
79a0	61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 72 75 6c 65 20 6f 72 64 65 72 20 2d 20 70 72	ailover.based.on.rule.order.-.pr
79c0	69 6f 72 69 74 79 20 74 72 61 66 66 69 63 00 45 78 61 6d 70 6c 65 20 35 3a 20 45 78 63 6c 75 64	iority.traffic.Example.5:.Exclud
79e0	65 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 6c 6f 61 64 20 62 61 6c 61 6e 63 69 6e 67 00 45 78	e.traffic.from.load.balancing.Ex
7a00	61 6d 70 6c 65 20 4e 65 74 77 6f 72 6b 00 46 69 6c 6c 20 60 60 70 61 73 73 77 6f 72 64 60 60 20	ample.Network.Fill.``password``.
7a20	61 6e 64 20 60 60 75 73 65 72 60 60 20 77 69 74 68 20 74 68 65 20 63 72 65 64 65 6e 74 69 61 6c	and.``user``.with.the.credential
7a40	20 70 72 6f 76 69 64 65 64 20 62 79 20 79 6f 75 72 20 49 53 50 2e 00 46 69 6e 61 6c 6c 79 2c 20	.provided.by.your.ISP..Finally,.
7a60	64 6f 6e 27 74 20 66 6f 72 67 65 74 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 60	don't.forget.the.:ref:`firewall`
7a80	2e 20 54 68 65 20 75 73 61 67 65 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 65 78 63 65 70 74	..The.usage.is.identical,.except
7aa0	20 66 6f 72 20 69 6e 73 74 65 61 64 20 6f 66 20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 6e 61	.for.instead.of.`set.firewall.na
7ac0	6d 65 20 4e 41 4d 45 60 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 66 69 72	me.NAME`,.you.would.use.`set.fir
7ae0	65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d 65 20 4e 41 4d 45 60 2e 00 46 69 6e 61 6c 6c 79 2c 20	ewall.ipv6-name.NAME`..Finally,.
7b00	6c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 74 68 65 20 72 65 61 63 68 61 62 69 6c 69 74 79 20 62	let...s.check.the.reachability.b
7b20	65 74 77 65 65 6e 20 43 45 73 3a 00 46 69 72 65 77 61 6c 6c 00 46 69 72 65 77 61 6c 6c 20 43 6f	etween.CEs:.Firewall.Firewall.Co
7b40	6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 46 69 72 73 74 20 61 20 43 41 2c 20 61 20 73 69 67 6e 65	nfiguration:.First.a.CA,.a.signe
7b60	64 20 73 65 72 76 65 72 20 61 6e 64 20 63 6c 69 65 6e 74 20 63 65 66 74 69 66 69 63 61 74 65 20	d.server.and.client.ceftificate.
7b80	61 6e 64 20 61 20 44 69 66 66 69 65 2d 48 65 6c 6c 6d 61 6e 20 70 61 72 61 6d 65 74 65 72 20 6d	and.a.Diffie-Hellman.parameter.m
7ba0	75 73 73 74 20 62 65 20 67 65 6e 65 72 61 74 65 64 20 61 6e 64 20 69 6e 73 74 61 6c 6c 65 64 2e	usst.be.generated.and.installed.
7bc0	20 50 6c 65 61 73 65 20 6c 6f 6f 6b 20 3a 72 65 66 3a 60 68 65 72 65 20 3c 63 6f 6e 66 69 67 75	.Please.look.:ref:`here.<configu
7be0	72 61 74 69 6f 6e 2f 70 6b 69 2f 69 6e 64 65 78 3a 70 6b 69 3e 60 20 66 6f 72 20 6d 6f 72 65 20	ration/pki/index:pki>`.for.more.
7c00	69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 46 69 72 73 74 20 70 72 65 70 61 72 65 20 6f 75 72 20 56	information..First.prepare.our.V
7c20	79 4f 53 20 72 6f 75 74 65 72 20 66 6f 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 6f 20 4e 4d 50	yOS.router.for.connection.to.NMP
7c40	2e 20 57 65 20 68 61 76 65 20 74 6f 20 73 65 74 20 75 70 20 74 68 65 20 53 4e 4d 50 20 70 72 6f	..We.have.to.set.up.the.SNMP.pro
7c60	74 6f 63 6f 6c 20 61 6e 64 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 62 65 74 77 65 65 6e 20 74	tocol.and.connectivity.between.t
7c80	68 65 20 72 6f 75 74 65 72 20 61 6e 64 20 4e 4d 50 2e 00 46 69 72 73 74 2c 20 77 65 20 63 6f 6e	he.router.and.NMP..First,.we.con
7ca0	66 69 67 75 72 65 20 74 68 65 20 60 60 76 79 6f 73 2d 77 61 6e 60 60 20 69 6e 74 65 72 66 61 63	figure.the.``vyos-wan``.interfac
7cc0	65 20 74 6f 20 67 65 74 20 61 20 44 48 43 50 20 61 64 64 72 65 73 73 2e 00 46 69 72 73 74 2c 20	e.to.get.a.DHCP.address..First,.
7ce0	77 65 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 6e 65 74 77 6f	we.configure.the.transport.netwo
7d00	72 6b 20 61 6e 64 20 74 68 65 20 54 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 2e 00 46 6f 72	rk.and.the.Tunnel.interface..For
7d20	20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 73 69 74 65 73 2c 20 77 65 20 61 72	.connection.between.sites,.we.ar
7d40	65 20 72 75 6e 6e 69 6e 67 20 61 20 57 69 72 65 47 75 61 72 64 20 6c 69 6e 6b 20 74 6f 20 74 77	e.running.a.WireGuard.link.to.tw
7d60	6f 20 52 45 4d 4f 54 45 20 72 6f 75 74 65 72 73 20 61 6e 64 20 75 73 69 6e 67 20 4f 53 50 46 20	o.REMOTE.routers.and.using.OSPF.
7d80	6f 76 65 72 20 74 68 6f 73 65 20 6c 69 6e 6b 73 20 74 6f 20 64 69 73 74 72 69 62 75 74 65 20 72	over.those.links.to.distribute.r
7da0	6f 75 74 65 73 2e 20 54 68 61 74 20 72 65 6d 6f 74 65 20 73 69 74 65 20 69 73 20 65 78 70 65 63	outes..That.remote.site.is.expec
7dc0	74 65 64 20 74 6f 20 73 65 6e 64 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 61 6e 79 74 68 69 6e	ted.to.send.traffic.from.anythin
7de0	67 20 69 6e 20 31 30 2e 32 30 31 2e 30 2e 30 2f 31 36 00 46 6f 72 20 68 6f 6d 65 20 6e 65 74 77	g.in.10.201.0.0/16.For.home.netw
7e00	6f 72 6b 20 75 73 65 72 73 2c 20 6d 6f 73 74 20 6f 66 20 74 69 6d 65 20 49 53 50 20 6f 6e 6c 79	ork.users,.most.of.time.ISP.only
7e20	20 70 72 6f 76 69 64 65 73 20 2f 36 34 20 70 72 65 66 69 78 2c 20 68 65 6e 63 65 20 74 68 65 72	.provides./64.prefix,.hence.ther
7e40	65 20 69 73 20 6e 6f 20 6e 65 65 64 20 74 6f 20 73 65 74 20 53 4c 41 20 49 44 20 61 6e 64 20 70	e.is.no.need.to.set.SLA.ID.and.p
7e60	72 65 66 69 78 20 6c 65 6e 67 74 68 2e 20 53 65 65 20 3a 72 65 66 3a 60 70 70 70 6f 65 2d 69 6e	refix.length..See.:ref:`pppoe-in
7e80	74 65 72 66 61 63 65 60 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 46	terface`.for.more.information..F
7ea0	6f 72 20 72 65 64 75 6e 64 61 6e 74 20 2f 20 61 63 74 69 76 65 2d 61 63 74 69 76 65 20 63 6f 6e	or.redundant./.active-active.con
7ec0	66 69 67 75 72 61 74 69 6f 6e 73 20 73 65 65 20 3a 72 65 66 3a 60 65 78 61 6d 70 6c 65 73 2d 61	figurations.see.:ref:`examples-a
7ee0	7a 75 72 65 2d 76 70 6e 2d 64 75 61 6c 2d 62 67 70 60 00 46 6f 72 20 73 69 6d 70 6c 69 63 69 74	zure-vpn-dual-bgp`.For.simplicit
7f00	79 2c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 61 6e 64 20 74 65 73 74 73 20 61 72 65 20 64	y,.configuration.and.tests.are.d
7f20	6f 6e 65 20 6f 6e 6c 79 20 75 73 69 6e 67 20 69 70 76 34 2c 20 61 6e 64 20 66 69 72 65 77 61 6c	one.only.using.ipv4,.and.firewal
7f40	6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 6e 20 64 6f 6e 65 20 6f 6e 6c 79 20 6f 6e 20	l.configuration.in.done.only.on.
7f60	6f 6e 65 20 72 6f 75 74 65 72 2e 00 46 6f 72 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75	one.router..For.the.hardware.rou
7f80	74 65 72 2c 20 72 65 70 6c 61 63 65 20 60 60 65 74 68 30 60 60 20 77 69 74 68 20 60 60 62 6f 6e	ter,.replace.``eth0``.with.``bon
7fa0	64 30 60 60 2e 20 41 73 20 28 61 6c 6d 6f 73 74 29 20 65 76 65 72 79 20 63 6f 6d 6d 61 6e 64 20	d0``..As.(almost).every.command.
7fc0	69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 74 68 69 73 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 73	is.identical,.this.will.not.be.s
7fe0	70 65 63 69 66 69 65 64 20 75 6e 6c 65 73 73 20 64 69 66 66 65 72 65 6e 74 20 74 68 69 6e 67 73	pecified.unless.different.things
8000	20 6e 65 65 64 20 74 6f 20 62 65 20 70 65 72 66 6f 72 6d 65 64 20 6f 6e 20 64 69 66 66 65 72 65	.need.to.be.performed.on.differe
8020	6e 74 20 68 6f 73 74 73 2e 00 46 72 6f 6d 20 44 61 74 61 63 65 6e 74 65 72 20 2d 20 54 68 69 73	nt.hosts..From.Datacenter.-.This
8040	20 63 6f 6e 6e 65 63 74 73 20 69 6e 74 6f 20 70 6f 72 74 20 31 20 6f 6e 20 62 6f 74 68 20 73 77	.connects.into.port.1.on.both.sw
8060	69 74 63 68 65 73 2c 20 61 6e 64 20 69 73 20 74 61 67 67 65 64 20 61 73 20 56 4c 41 4e 20 35 30	itches,.and.is.tagged.as.VLAN.50
8080	00 46 72 6f 6d 20 4d 61 6e 61 67 65 6d 65 6e 74 20 74 6f 20 4c 41 4e 31 2f 4c 41 4e 32 00 46 72	.From.Management.to.LAN1/LAN2.Fr
80a0	6f 6d 20 4d 61 6e 61 67 65 6d 65 6e 74 20 74 6f 20 4f 75 74 73 69 64 65 20 28 66 61 69 6c 73 20	om.Management.to.Outside.(fails.
80c0	61 73 20 69 6e 74 65 6e 64 65 64 29 00 46 75 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20	as.intended).Full.configuration.
80e0	66 72 6f 6d 20 61 6c 6c 20 64 65 76 69 63 65 73 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61	from.all.devices.General.informa
8100	74 69 6f 6e 20 61 62 6f 75 74 20 4c 33 56 50 4e 73 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69	tion.about.L3VPNs.can.be.found.i
8120	6e 20 74 68 65 20 3a 72 65 66 3a 60 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 76 72 66 2f 69 6e	n.the.:ref:`configuration/vrf/in
8140	64 65 78 3a 4c 33 56 50 4e 20 56 52 46 73 60 20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c	dex:L3VPN.VRFs`.chapter..General
8160	20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65	.information.can.be.found.in.the
8180	20 3a 72 65 66 3a 60 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 76 72 66 2f 69 6e 64 65 78 3a 4c	.:ref:`configuration/vrf/index:L
81a0	33 56 50 4e 20 56 52 46 73 60 20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f	3VPN.VRFs`.chapter..General.info
81c0	72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66	rmation.can.be.found.in.the.:ref
81e0	3a 60 72 6f 75 74 69 6e 67 2d 62 67 70 60 20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20	:`routing-bgp`.chapter..General.
8200	69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20	information.can.be.found.in.the.
8220	3a 72 65 66 3a 60 72 6f 75 74 69 6e 67 2d 6f 73 70 66 60 20 63 68 61 70 74 65 72 2e 00 48 61 72	:ref:`routing-ospf`.chapter..Har
8240	64 77 61 72 65 00 48 61 72 64 77 61 72 65 20 52 6f 75 74 65 72 20 2d 20 50 6f 72 74 20 38 20 6f	dware.Hardware.Router.-.Port.8.o
8260	66 20 65 61 63 68 20 73 77 69 74 63 68 00 48 65 72 65 20 69 73 20 61 6e 20 65 78 61 6d 70 6c 65	f.each.switch.Here.is.an.example
8280	20 6f 66 20 61 6e 20 49 50 76 36 20 44 4d 5a 2d 57 41 4e 20 72 75 6c 65 73 65 74 2e 00 48 65 72	.of.an.IPv6.DMZ-WAN.ruleset..Her
82a0	65 20 69 73 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20 73 68 6f 77 69 6e 67 20	e.is.the.routing.tables.showing.
82c0	74 68 65 20 4d 50 4c 53 20 73 65 67 6d 65 6e 74 20 72 6f 75 74 69 6e 67 20 6c 61 62 65 6c 20 6f	the.MPLS.segment.routing.label.o
82e0	70 65 72 61 74 69 6f 6e 73 3a 00 48 65 72 65 20 77 65 20 73 65 74 20 74 68 65 20 70 72 65 66 69	perations:.Here.we.set.the.prefi
8300	78 20 74 6f 20 60 60 3a 3a 2f 36 34 60 60 20 74 6f 20 69 6e 64 69 63 61 74 65 20 61 64 76 65 72	x.to.``::/64``.to.indicate.adver
8320	74 69 73 69 6e 67 20 61 6e 79 20 2f 36 34 20 70 72 65 66 69 78 20 74 68 65 20 4c 41 4e 20 69 6e	tising.any./64.prefix.the.LAN.in
8340	74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 2e 00 48 65 72 65 20 77 65 20 75 73 65	terface.is.assigned..Here.we.use
8360	20 74 68 65 20 70 72 65 66 69 78 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 61 64 64	.the.prefix.to.configure.the.add
8380	72 65 73 73 20 6f 66 20 65 74 68 31 20 28 4c 41 4e 29 20 74 6f 20 66 6f 72 6d 20 60 60 3c 70 72	ress.of.eth1.(LAN).to.form.``<pr
83a0	65 66 69 78 3e 3a 3a 36 34 60 60 2c 20 77 68 65 72 65 20 60 60 36 34 60 60 20 69 73 20 68 65 78	efix>::64``,.where.``64``.is.hex
83c0	61 64 65 63 69 6d 61 6c 20 6f 66 20 61 64 64 72 65 73 73 20 31 30 30 2e 00 48 69 67 68 20 41 76	adecimal.of.address.100..High.Av
83e0	61 69 6c 61 62 69 6c 69 74 79 20 57 61 6c 6b 74 68 72 6f 75 67 68 00 48 6f 77 20 64 6f 65 73 20	ailability.Walkthrough.How.does.
8400	69 74 20 77 6f 72 6b 3f 00 48 75 62 00 49 20 63 68 6f 73 65 20 74 6f 20 72 75 6e 20 4f 53 50 46	it.work?.Hub.I.chose.to.run.OSPF
8420	20 61 73 20 74 68 65 20 49 47 50 20 28 49 6e 74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72	.as.the.IGP.(Interior.Gateway.Pr
8440	6f 74 6f 63 6f 6c 29 2e 20 41 6c 6c 20 72 65 71 75 69 72 65 64 20 42 47 50 20 73 65 73 73 69 6f	otocol)..All.required.BGP.sessio
8460	6e 73 20 61 72 65 20 65 73 74 61 62 6c 69 73 68 65 64 20 76 69 61 20 61 20 64 75 6d 6d 79 20 69	ns.are.established.via.a.dummy.i
8480	6e 74 65 72 66 61 63 65 73 20 28 73 69 6d 69 6c 61 72 20 74 6f 20 74 68 65 20 6c 6f 6f 70 62 61	nterfaces.(similar.to.the.loopba
84a0	63 6b 2c 20 62 75 74 20 69 6e 20 4c 69 6e 75 78 20 79 6f 75 20 63 61 6e 20 68 61 76 65 20 6f 6e	ck,.but.in.Linux.you.can.have.on
84c0	6c 79 20 6f 6e 65 20 6c 6f 6f 70 62 61 63 6b 2c 20 77 68 69 6c 65 20 74 68 65 72 65 20 63 61 6e	ly.one.loopback,.while.there.can
84e0	20 62 65 20 6d 61 6e 79 20 64 75 6d 6d 79 20 69 6e 74 65 72 66 61 63 65 73 29 20 6f 6e 20 74 68	.be.many.dummy.interfaces).on.th
8500	65 20 50 45 20 72 6f 75 74 65 72 73 2e 20 49 6e 20 63 61 73 65 20 6f 66 20 61 20 6c 69 6e 6b 20	e.PE.routers..In.case.of.a.link.
8520	66 61 69 6c 75 72 65 2c 20 74 72 61 66 66 69 63 20 69 73 20 64 69 76 65 72 74 65 64 20 69 6e 20	failure,.traffic.is.diverted.in.
8540	74 68 65 20 6f 74 68 65 72 20 64 69 72 65 63 74 69 6f 6e 20 69 6e 20 74 68 69 73 20 74 72 69 61	the.other.direction.in.this.tria
8560	6e 67 6c 65 20 73 65 74 75 70 20 61 6e 64 20 42 47 50 20 73 65 73 73 69 6f 6e 73 20 77 69 6c 6c	ngle.setup.and.BGP.sessions.will
8580	20 6e 6f 74 20 67 6f 20 64 6f 77 6e 2e 20 4f 6e 65 20 63 6f 75 6c 64 20 65 76 65 6e 20 65 6e 61	.not.go.down..One.could.even.ena
85a0	62 6c 65 20 42 46 44 20 28 42 69 64 69 72 65 63 74 69 6f 6e 61 6c 20 46 6f 72 77 61 72 64 69 6e	ble.BFD.(Bidirectional.Forwardin
85c0	67 20 44 65 74 65 63 74 69 6f 6e 29 20 6f 6e 20 74 68 65 20 6c 69 6e 6b 73 20 66 6f 72 20 61 20	g.Detection).on.the.links.for.a.
85e0	66 61 73 74 65 72 20 66 61 69 6c 6f 76 65 72 20 61 6e 64 20 72 65 73 69 6c 69 65 6e 63 65 20 69	faster.failover.and.resilience.i
8600	6e 20 74 68 65 20 6e 65 74 77 6f 72 6b 2e 00 49 20 63 72 65 61 74 65 2f 63 6f 6e 66 69 67 75 72	n.the.network..I.create/configur
8620	65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 66 69 72 73 74 2e 20 42 75 69 6c 64 20 6f 75	e.the.interfaces.first..Build.ou
8640	74 20 74 68 65 20 72 75 6c 65 73 65 74 73 20 66 6f 72 20 65 61 63 68 20 7a 6f 6e 65 2d 70 61 69	t.the.rulesets.for.each.zone-pai
8660	72 2d 64 69 72 65 63 74 69 6f 6e 20 77 68 69 63 68 20 69 6e 63 6c 75 64 65 73 20 61 74 20 6c 65	r-direction.which.includes.at.le
8680	61 73 74 20 74 68 65 20 74 68 72 65 65 20 73 74 61 74 65 20 72 75 6c 65 73 2e 20 54 68 65 6e 20	ast.the.three.state.rules..Then.
86a0	49 20 73 65 74 75 70 20 74 68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63 69 65 73 2e 00 49 20 6e 61 6d	I.setup.the.zone-policies..I.nam
86c0	65 20 72 75 6c 65 20 73 65 74 73 20 74 6f 20 69 6e 64 69 63 61 74 65 20 77 68 69 63 68 20 7a 6f	e.rule.sets.to.indicate.which.zo
86e0	6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 74 68 65 79 20 72 65 70 72 65 73 65 6e 74	ne-pair-direction.they.represent
8700	2e 20 65 67 2e 20 5a 6f 6e 65 41 2d 5a 6f 6e 65 42 20 6f 72 20 5a 6f 6e 65 42 2d 5a 6f 6e 65 41	..eg..ZoneA-ZoneB.or.ZoneB-ZoneA
8720	2e 20 4c 41 4e 2d 44 4d 5a 2c 20 44 4d 5a 2d 4c 41 4e 2e 00 49 20 6e 61 6d 65 64 20 74 68 65 20	..LAN-DMZ,.DMZ-LAN..I.named.the.
8740	63 75 73 74 6f 6d 65 72 73 20 62 6c 75 65 2c 20 72 65 64 20 61 6e 64 20 67 72 65 65 6e 20 77 68	customers.blue,.red.and.green.wh
8760	69 63 68 20 69 73 20 63 6f 6d 6d 6f 6e 20 70 72 61 63 74 69 63 65 20 69 6e 20 56 52 46 20 28 56	ich.is.common.practice.in.VRF.(V
8780	69 72 74 75 61 6c 20 52 6f 75 74 69 6e 67 20 61 6e 64 20 46 6f 72 77 61 72 64 69 6e 67 29 20 64	irtual.Routing.and.Forwarding).d
87a0	6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 73 63 65 6e 61 72 69 6f 73 2e 00 49 20 73 70 75 6e 20 75	ocumentation.scenarios..I.spun.u
87c0	70 20 61 20 6e 65 77 20 6c 61 62 20 69 6e 20 45 56 45 2d 4e 47 2c 20 77 68 69 63 68 20 72 65 70	p.a.new.lab.in.EVE-NG,.which.rep
87e0	72 65 73 65 6e 74 73 20 74 68 69 73 20 61 73 20 74 68 65 20 22 46 6f 6f 20 42 61 72 20 2d 20 53	resents.this.as.the."Foo.Bar.-.S
8800	65 72 76 69 63 65 20 50 72 6f 76 69 64 65 72 20 49 6e 63 2e 22 20 74 68 61 74 20 68 61 73 20 33	ervice.Provider.Inc.".that.has.3
8820	20 70 6f 69 6e 74 73 20 6f 66 20 70 72 65 73 65 6e 63 65 20 28 50 6f 50 29 20 69 6e 20 72 61 6e	.points.of.presence.(PoP).in.ran
8840	64 6f 6d 20 64 61 74 61 63 65 6e 74 65 72 73 2f 73 69 74 65 73 20 6e 61 6d 65 64 20 50 45 31 2c	dom.datacenters/sites.named.PE1,
8860	20 50 45 32 2c 20 61 6e 64 20 50 45 33 2e 20 45 61 63 68 20 50 6f 50 20 61 67 67 72 65 67 61 74	.PE2,.and.PE3..Each.PoP.aggregat
8880	65 73 20 61 74 20 6c 65 61 73 74 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 73 2e 00 49 50 20 53 63	es.at.least.two.customers..IP.Sc
88a0	68 65 6d 61 00 49 50 2f 4d 50 4c 53 20 74 65 63 68 6e 6f 6c 6f 67 79 20 69 73 20 77 69 64 65 6c	hema.IP/MPLS.technology.is.widel
88c0	79 20 75 73 65 64 20 62 79 20 76 61 72 69 6f 75 73 20 73 65 72 76 69 63 65 20 70 72 6f 76 69 64	y.used.by.various.service.provid
88e0	65 72 73 20 61 6e 64 20 6c 61 72 67 65 20 65 6e 74 65 72 70 72 69 73 65 73 20 69 6e 20 6f 72 64	ers.and.large.enterprises.in.ord
8900	65 72 20 74 6f 20 61 63 68 69 65 76 65 20 62 65 74 74 65 72 20 6e 65 74 77 6f 72 6b 20 73 63 61	er.to.achieve.better.network.sca
8920	6c 61 62 69 6c 69 74 79 2c 20 6d 61 6e 61 67 65 61 62 69 6c 69 74 79 20 61 6e 64 20 66 6c 65 78	lability,.manageability.and.flex
8940	69 62 69 6c 69 74 79 2e 20 49 74 20 61 6c 73 6f 20 70 72 6f 76 69 64 65 73 20 74 68 65 20 70 6f	ibility..It.also.provides.the.po
8960	73 73 69 62 69 6c 69 74 79 20 74 6f 20 64 65 6c 69 76 65 72 20 64 69 66 66 65 72 65 6e 74 20 73	ssibility.to.deliver.different.s
8980	65 72 76 69 63 65 73 20 66 6f 72 20 74 68 65 20 63 75 73 74 6f 6d 65 72 73 20 69 6e 20 61 20 73	ervices.for.the.customers.in.a.s
89a0	65 61 6d 6c 65 73 73 20 6d 61 6e 6e 65 72 2e 20 4c 61 79 65 72 20 33 20 56 50 4e 20 28 4c 33 56	eamless.manner..Layer.3.VPN.(L3V
89c0	50 4e 29 20 69 73 20 61 20 74 79 70 65 20 6f 66 20 56 50 4e 20 6d 6f 64 65 20 74 68 61 74 20 69	PN).is.a.type.of.VPN.mode.that.i
89e0	73 20 62 75 69 6c 74 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 74 68 72 6f 75 67 68 20 4f 53	s.built.and.delivered.through.OS
8a00	49 20 6c 61 79 65 72 20 33 20 6e 65 74 77 6f 72 6b 69 6e 67 20 74 65 63 68 6e 6f 6c 6f 67 69 65	I.layer.3.networking.technologie
8a20	73 2e 20 4f 66 74 65 6e 20 74 68 65 20 62 6f 72 64 65 72 20 67 61 74 65 77 61 79 20 70 72 6f 74	s..Often.the.border.gateway.prot
8a40	6f 63 6f 6c 20 28 42 47 50 29 20 69 73 20 75 73 65 64 20 74 6f 20 73 65 6e 64 20 61 6e 64 20 72	ocol.(BGP).is.used.to.send.and.r
8a60	65 63 65 69 76 65 20 56 50 4e 2d 72 65 6c 61 74 65 64 20 64 61 74 61 20 74 68 61 74 20 69 73 20	eceive.VPN-related.data.that.is.
8a80	72 65 73 70 6f 6e 73 69 62 6c 65 20 66 6f 72 20 74 68 65 20 63 6f 6e 74 72 6f 6c 20 70 6c 61 6e	responsible.for.the.control.plan
8aa0	65 2e 20 4c 33 56 50 4e 20 75 74 69 6c 69 7a 65 73 20 76 69 72 74 75 61 6c 20 72 6f 75 74 69 6e	e..L3VPN.utilizes.virtual.routin
8ac0	67 20 61 6e 64 20 66 6f 72 77 61 72 64 69 6e 67 20 28 56 52 46 29 20 74 65 63 68 6e 69 71 75 65	g.and.forwarding.(VRF).technique
8ae0	73 20 74 6f 20 72 65 63 65 69 76 65 20 61 6e 64 20 64 65 6c 69 76 65 72 20 75 73 65 72 20 64 61	s.to.receive.and.deliver.user.da
8b00	74 61 20 61 73 20 77 65 6c 6c 20 61 73 20 73 65 70 61 72 61 74 65 20 64 61 74 61 20 70 6c 61 6e	ta.as.well.as.separate.data.plan
8b20	65 73 20 6f 66 20 74 68 65 20 65 6e 64 2d 75 73 65 72 73 2e 20 49 74 20 69 73 20 62 75 69 6c 74	es.of.the.end-users..It.is.built
8b40	20 75 73 69 6e 67 20 61 20 63 6f 6d 62 69 6e 61 74 69 6f 6e 20 6f 66 20 49 50 2d 20 61 6e 64 20	.using.a.combination.of.IP-.and.
8b60	4d 50 4c 53 2d 62 61 73 65 64 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 47 65 6e 65 72 61 6c 6c	MPLS-based.information..Generall
8b80	79 2c 20 4c 33 56 50 4e 73 20 61 72 65 20 75 73 65 64 20 74 6f 20 73 65 6e 64 20 64 61 74 61 20	y,.L3VPNs.are.used.to.send.data.
8ba0	6f 6e 20 62 61 63 6b 2d 65 6e 64 20 56 50 4e 20 69 6e 66 72 61 73 74 72 75 63 74 75 72 65 73 2c	on.back-end.VPN.infrastructures,
8bc0	20 73 75 63 68 20 61 73 20 66 6f 72 20 56 50 4e 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 62 65 74	.such.as.for.VPN.connections.bet
8be0	77 65 65 6e 20 64 61 74 61 20 63 65 6e 74 72 65 73 2c 20 48 51 73 20 61 6e 64 20 62 72 61 6e 63	ween.data.centres,.HQs.and.branc
8c00	68 65 73 2e 00 49 50 53 65 63 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 50 76 34 20 4e	hes..IPSec.configuration:.IPv4.N
8c20	65 74 77 6f 72 6b 00 49 50 76 36 20 4e 65 74 77 6f 72 6b 00 49 50 76 36 20 54 75 6e 6e 65 6c 00	etwork.IPv6.Network.IPv6.Tunnel.
8c40	49 53 49 53 2d 53 52 20 65 78 61 6d 70 6c 65 20 6e 65 74 77 6f 72 6b 00 49 53 49 53 2d 53 52 20	ISIS-SR.example.network.ISIS-SR.
8c60	6e 65 74 77 6f 72 6b 00 49 53 50 00 49 66 20 74 68 65 20 63 6c 69 65 6e 74 20 69 73 20 63 6f 6e	network.ISP.If.the.client.is.con
8c80	6e 65 63 74 20 73 75 63 63 65 73 73 66 75 6c 6c 79 20 79 6f 75 20 63 61 6e 20 63 68 65 63 6b 20	nect.successfully.you.can.check.
8ca0	74 68 65 20 6f 75 74 70 75 74 20 77 69 74 68 00 49 66 20 77 65 20 6e 65 65 64 20 74 6f 20 72 65	the.output.with.If.we.need.to.re
8cc0	74 72 69 65 76 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 61 20 73 70 65 63 69	trieve.information.about.a.speci
8ce0	66 69 63 20 68 6f 73 74 2f 6e 65 74 77 6f 72 6b 20 69 6e 73 69 64 65 20 74 68 65 20 45 56 50 4e	fic.host/network.inside.the.EVPN
8d00	20 6e 65 74 77 6f 72 6b 20 77 65 20 6e 65 65 64 20 74 6f 20 72 75 6e 00 49 66 20 79 6f 75 20 61	.network.we.need.to.run.If.you.a
8d20	72 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 74 68 72 6f 75 67 68 20 74 68 69 73 20 64 6f 63 75 6d 65	re.following.through.this.docume
8d40	6e 74 2c 20 69 74 20 69 73 20 73 74 72 6f 6e 67 6c 79 20 73 75 67 67 65 73 74 65 64 20 79 6f 75	nt,.it.is.strongly.suggested.you
8d60	20 63 6f 6d 70 6c 65 74 65 20 74 68 65 20 65 6e 74 69 72 65 20 64 6f 63 75 6d 65 6e 74 2c 20 4f	.complete.the.entire.document,.O
8d80	4e 4c 59 20 64 6f 69 6e 67 20 74 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 31 20 73 74	NLY.doing.the.virtual.router1.st
8da0	65 70 73 2c 20 61 6e 64 20 74 68 65 6e 20 63 6f 6d 65 20 62 61 63 6b 20 61 6e 64 20 77 61 6c 6b	eps,.and.then.come.back.and.walk
8dc0	20 74 68 72 6f 75 67 68 20 69 74 20 41 47 41 49 4e 20 6f 6e 20 74 68 65 20 62 61 63 6b 75 70 20	.through.it.AGAIN.on.the.backup.
8de0	68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 49 66 20 79 6f 75 20 61 72 65 20 75 73 69 6e	hardware.router..If.you.are.usin
8e00	67 20 61 20 49 50 76 36 20 74 75 6e 6e 65 6c 20 66 72 6f 6d 20 48 45 2e 6e 65 74 20 6f 72 20 73	g.a.IPv6.tunnel.from.HE.net.or.s
8e20	6f 6d 65 6f 6e 65 20 65 6c 73 65 2c 20 74 68 65 20 62 61 73 69 73 20 69 73 20 74 68 65 20 73 61	omeone.else,.the.basis.is.the.sa
8e40	6d 65 20 65 78 63 65 70 74 20 79 6f 75 20 68 61 76 65 20 74 77 6f 20 57 41 4e 20 69 6e 74 65 72	me.except.you.have.two.WAN.inter
8e60	66 61 63 65 73 2e 20 4f 6e 65 20 66 6f 72 20 76 34 20 61 6e 64 20 6f 6e 65 20 66 6f 72 20 76 36	faces..One.for.v4.and.one.for.v6
8e80	2e 00 49 66 20 79 6f 75 20 75 73 65 20 61 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20	..If.you.use.a.routing.protocol.
8ea0	69 74 73 65 6c 66 2c 20 79 6f 75 20 73 6f 6c 76 65 20 74 77 6f 20 70 72 6f 62 6c 65 6d 73 20 61	itself,.you.solve.two.problems.a
8ec0	74 20 6f 6e 63 65 2e 20 54 68 69 73 20 69 73 20 6f 6e 6c 79 20 61 20 62 61 73 69 63 20 65 78 61	t.once..This.is.only.a.basic.exa
8ee0	6d 70 6c 65 2c 20 61 6e 64 20 69 73 20 70 72 6f 76 69 64 65 64 20 61 73 20 61 20 73 74 61 72 74	mple,.and.is.provided.as.a.start
8f00	69 6e 67 20 70 6f 69 6e 74 2e 00 49 66 20 79 6f 75 72 20 63 6f 6d 70 75 74 65 72 20 69 73 20 6f	ing.point..If.your.computer.is.o
8f20	6e 20 74 68 65 20 4c 41 4e 20 61 6e 64 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 53 53 48 20 69 6e	n.the.LAN.and.you.need.to.SSH.in
8f40	74 6f 20 79 6f 75 72 20 56 79 4f 53 20 62 6f 78 2c 20 79 6f 75 20 77 6f 75 6c 64 20 6e 65 65 64	to.your.VyOS.box,.you.would.need
8f60	20 61 20 72 75 6c 65 20 74 6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e 20 74 68 65 20 4c 41 4e 2d 4c	.a.rule.to.allow.it.in.the.LAN-L
8f80	6f 63 61 6c 20 72 75 6c 65 73 65 74 2e 20 49 66 20 79 6f 75 20 77 61 6e 74 20 74 6f 20 61 63 63	ocal.ruleset..If.you.want.to.acc
8fa0	65 73 73 20 61 20 77 65 62 70 61 67 65 20 66 72 6f 6d 20 79 6f 75 72 20 56 79 4f 53 20 62 6f 78	ess.a.webpage.from.your.VyOS.box
8fc0	2c 20 79 6f 75 20 6e 65 65 64 20 61 20 72 75 6c 65 20 74 6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e	,.you.need.a.rule.to.allow.it.in
8fe0	20 74 68 65 20 4c 6f 63 61 6c 2d 4c 41 4e 20 72 75 6c 65 73 65 74 2e 00 49 6d 61 67 65 20 6e 61	.the.Local-LAN.ruleset..Image.na
9000	6d 65 3a 20 76 79 6f 73 2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31	me:.vyos-1.4-rolling-20211031031
9020	37 2d 61 6d 64 36 34 2e 69 73 6f 00 49 6e 20 3a 76 79 74 61 73 6b 3a 60 54 32 31 39 39 60 20 74	7-amd64.iso.In.:vytask:`T2199`.t
9040	68 65 20 73 79 6e 74 61 78 20 6f 66 20 74 68 65 20 7a 6f 6e 65 20 63 6f 6e 66 69 67 75 72 61 74	he.syntax.of.the.zone.configurat
9060	69 6f 6e 20 77 61 73 20 63 68 61 6e 67 65 64 2e 20 54 68 65 20 7a 6f 6e 65 20 63 6f 6e 66 69 67	ion.was.changed..The.zone.config
9080	75 72 61 74 69 6f 6e 20 6d 6f 76 65 64 20 66 72 6f 6d 20 60 60 7a 6f 6e 65 2d 70 6f 6c 69 63 79	uration.moved.from.``zone-policy
90a0	20 7a 6f 6e 65 20 3c 6e 61 6d 65 3e 60 60 20 74 6f 20 60 60 66 69 72 65 77 61 6c 6c 20 7a 6f 6e	.zone.<name>``.to.``firewall.zon
90c0	65 20 3c 6e 61 6d 65 3e 60 60 2e 00 49 6e 20 56 79 4f 53 20 79 6f 75 20 6d 75 73 74 20 68 61 76	e.<name>``..In.VyOS.you.must.hav
90e0	65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 63 72 65 61 74 65 64 20 62 65 66 6f 72 65 20	e.the.interfaces.created.before.
9100	79 6f 75 20 63 61 6e 20 61 70 70 6c 79 20 69 74 20 74 6f 20 74 68 65 20 7a 6f 6e 65 20 61 6e 64	you.can.apply.it.to.the.zone.and
9120	20 74 68 65 20 72 75 6c 65 73 65 74 73 20 6d 75 73 74 20 62 65 20 63 72 65 61 74 65 64 20 70 72	.the.rulesets.must.be.created.pr
9140	69 6f 72 20 74 6f 20 61 70 70 6c 79 69 6e 67 20 69 74 20 74 6f 20 61 20 7a 6f 6e 65 2d 70 6f 6c	ior.to.applying.it.to.a.zone-pol
9160	69 63 79 2e 00 49 6e 20 56 79 4f 53 2c 20 79 6f 75 20 68 61 76 65 20 74 6f 20 68 61 76 65 20 75	icy..In.VyOS,.you.have.to.have.u
9180	6e 69 71 75 65 20 52 75 6c 65 73 65 74 20 6e 61 6d 65 73 2e 20 49 6e 20 74 68 65 20 65 76 65 6e	nique.Ruleset.names..In.the.even
91a0	74 20 6f 66 20 6f 76 65 72 6c 61 70 2c 20 49 20 61 64 64 20 61 20 22 2d 36 22 20 74 6f 20 74 68	t.of.overlap,.I.add.a."-6".to.th
91c0	65 20 65 6e 64 20 6f 66 20 76 36 20 72 75 6c 65 73 65 74 73 2e 20 65 67 2e 20 4c 41 4e 2d 44 4d	e.end.of.v6.rulesets..eg..LAN-DM
91e0	5a 2c 20 4c 41 4e 2d 44 4d 5a 2d 36 2e 20 54 68 69 73 20 61 6c 6c 6f 77 73 20 66 6f 72 20 65 61	Z,.LAN-DMZ-6..This.allows.for.ea
9200	63 68 20 61 75 74 6f 2d 63 6f 6d 70 6c 65 74 69 6f 6e 20 61 6e 64 20 75 6e 69 71 75 65 6e 65 73	ch.auto-completion.and.uniquenes
9220	73 2e 00 49 6e 20 72 75 6c 65 73 2c 20 69 74 20 69 73 20 67 6f 6f 64 20 74 6f 20 6b 65 65 70 20	s..In.rules,.it.is.good.to.keep.
9240	74 68 65 6d 20 6e 61 6d 65 64 20 63 6f 6e 73 69 73 74 65 6e 74 6c 79 2e 20 41 73 20 74 68 65 20	them.named.consistently..As.the.
9260	6e 75 6d 62 65 72 20 6f 66 20 72 75 6c 65 73 20 79 6f 75 20 68 61 76 65 20 67 72 6f 77 73 2c 20	number.of.rules.you.have.grows,.
9280	74 68 65 20 6d 6f 72 65 20 63 6f 6e 73 69 73 74 65 6e 63 79 20 79 6f 75 20 68 61 76 65 2c 20 74	the.more.consistency.you.have,.t
92a0	68 65 20 65 61 73 69 65 72 20 79 6f 75 72 20 6c 69 66 65 20 77 69 6c 6c 20 62 65 2e 00 49 6e 20	he.easier.your.life.will.be..In.
92c0	74 68 65 20 61 62 6f 76 65 20 65 78 61 6d 70 6c 65 73 2c 20 31 2c 32 2c 66 66 66 66 20 61 72 65	the.above.examples,.1,2,ffff.are
92e0	20 61 6c 6c 20 63 68 6f 73 65 6e 20 62 79 20 79 6f 75 2e 20 59 6f 75 20 63 61 6e 20 75 73 65 20	.all.chosen.by.you..You.can.use.
9300	31 2d 66 66 66 66 20 28 31 2d 36 35 35 33 35 29 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 6f 6e	1-ffff.(1-65535)..In.the.end,.on
9320	20 74 68 65 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 77 65 20 77 69 6c 6c 20	.the.router....VyOS2....we.will.
9340	73 65 74 20 6f 75 74 67 6f 69 6e 67 20 62 61 6e 64 77 69 64 74 68 20 6c 69 6d 69 74 73 20 62 65	set.outgoing.bandwidth.limits.be
9360	74 77 65 65 6e 20 74 68 65 20 e2 80 9c 56 79 4f 53 33 e2 80 9d 20 61 6e 64 20 e2 80 9c 56 79 4f	tween.the....VyOS3....and....VyO
9380	53 31 e2 80 9d 20 72 6f 75 74 65 72 73 2e 20 4c 65 74 27 73 20 73 65 74 20 61 20 6c 69 6d 69 74	S1....routers..Let's.set.a.limit
93a0	20 66 6f 72 20 49 50 20 31 30 2e 31 2e 31 2e 31 30 30 20 3d 20 35 20 4d 62 70 73 28 54 78 29 2e	.for.IP.10.1.1.100.=.5.Mbps(Tx).
93c0	20 57 65 20 77 69 6c 6c 20 63 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 20 6f 66 20 74 68 65	.We.will.check.the.result.of.the
93e0	20 77 6f 72 6b 20 77 69 74 68 20 74 68 65 20 68 65 6c 70 20 6f 66 20 74 68 65 20 e2 80 9c 69 50	.work.with.the.help.of.the....iP
9400	65 72 66 e2 80 9d 20 75 74 69 6c 69 74 79 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 77 65 20 77	erf....utility..In.the.end,.we.w
9420	69 6c 6c 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 74 72 61 66 66 69 63 20 73 68 61 70 65 72	ill.configure.the.traffic.shaper
9440	20 75 73 69 6e 67 20 51 6f 53 20 6d 65 63 68 61 6e 69 73 6d 73 20 6f 6e 20 74 68 65 20 e2 80 9c	.using.QoS.mechanisms.on.the....
9460	56 59 4f 53 32 e2 80 9d 20 72 6f 75 74 65 72 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 79 6f 75	VYOS2....router..In.the.end,.you
9480	20 77 69 6c 6c 20 65 6e 64 20 75 70 20 77 69 74 68 20 73 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65	.will.end.up.with.something.like
94a0	20 74 68 69 73 20 63 6f 6e 66 69 67 2e 20 49 20 74 6f 6f 6b 20 6f 75 74 20 65 76 65 72 79 74 68	.this.config..I.took.out.everyth
94c0	69 6e 67 20 62 75 74 20 74 68 65 20 46 69 72 65 77 61 6c 6c 2c 20 49 6e 74 65 72 66 61 63 65 73	ing.but.the.Firewall,.Interfaces
94e0	2c 20 61 6e 64 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 73 65 63 74 69 6f 6e 73 2e 20 49 74 20 69	,.and.zone-policy.sections..It.i
9500	73 20 6c 6f 6e 67 20 65 6e 6f 75 67 68 20 61 73 20 69 73 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c	s.long.enough.as.is..In.the.end,
9520	20 79 6f 75 27 6c 6c 20 67 65 74 20 61 20 70 6f 77 65 72 66 75 6c 20 69 6e 73 74 72 75 6d 65 6e	.you'll.get.a.powerful.instrumen
9540	74 20 66 6f 72 20 6d 6f 6e 69 74 6f 72 69 6e 67 20 74 68 65 20 56 79 4f 53 20 73 79 73 74 65 6d	t.for.monitoring.the.VyOS.system
9560	73 2e 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f	s..In.this.case,.the.hardware.ro
9580	75 74 65 72 20 68 61 73 20 61 20 64 69 66 66 65 72 65 6e 74 20 49 50 2c 20 73 6f 20 69 74 20 77	uter.has.a.different.IP,.so.it.w
95a0	6f 75 6c 64 20 62 65 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 77 65 20 61 72 65 20 73 65 74	ould.be.In.this.case,.we.are.set
95c0	74 69 6e 67 20 74 68 65 20 76 36 20 72 75 6c 65 73 65 74 20 74 68 61 74 20 72 65 70 72 65 73 65	ting.the.v6.ruleset.that.represe
95e0	6e 74 73 20 74 72 61 66 66 69 63 20 73 6f 75 72 63 65 64 20 66 72 6f 6d 20 74 68 65 20 4c 41 4e	nts.traffic.sourced.from.the.LAN
9600	2c 20 64 65 73 74 69 6e 65 64 20 66 6f 72 20 74 68 65 20 44 4d 5a 2e 20 42 65 63 61 75 73 65 20	,.destined.for.the.DMZ..Because.
9620	74 68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 66 69 72 65 77 61 6c 6c 20 73 79 6e 74 61 78 20	the.zone-policy.firewall.syntax.
9640	69 73 20 61 20 6c 69 74 74 6c 65 20 61 77 6b 77 61 72 64 2c 20 49 20 6b 65 65 70 20 69 74 20 73	is.a.little.awkward,.I.keep.it.s
9660	74 72 61 69 67 68 74 20 62 79 20 74 68 69 6e 6b 69 6e 67 20 6f 66 20 69 74 20 62 61 63 6b 77 61	traight.by.thinking.of.it.backwa
9680	72 64 73 2e 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 77 65 27 6c 6c 20 74 72 79 20 74 6f 20	rds..In.this.case,.we'll.try.to.
96a0	6d 61 6b 65 20 61 20 73 69 6d 70 6c 65 20 6c 61 62 20 75 73 69 6e 67 20 51 6f 53 20 61 6e 64 20	make.a.simple.lab.using.QoS.and.
96c0	74 68 65 20 67 65 6e 65 72 61 6c 20 61 62 69 6c 69 74 79 20 6f 66 20 74 68 65 20 56 79 4f 53 20	the.general.ability.of.the.VyOS.
96e0	73 79 73 74 65 6d 2e 20 57 65 20 72 65 63 6f 6d 6d 65 6e 64 20 79 6f 75 20 74 6f 20 67 6f 20 74	system..We.recommend.you.to.go.t
9700	68 72 6f 75 67 68 20 74 68 65 20 6d 61 69 6e 20 61 72 74 69 63 6c 65 20 61 62 6f 75 74 20 60 51	hrough.the.main.article.about.`Q
9720	6f 53 20 3c 68 74 74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61 74 65	oS.<https://docs.vyos.io/en/late
9740	73 74 2f 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 74 72 61 66 66 69 63 70 6f 6c 69 63 79 2f 69	st/configuration/trafficpolicy/i
9760	6e 64 65 78 2e 68 74 6d 6c 3e 60 5f 20 66 69 72 73 74 2e 00 49 6e 20 74 68 69 73 20 64 6f 63 75	ndex.html>`_.first..In.this.docu
9780	6d 65 6e 74 2c 20 77 65 20 68 61 76 65 20 62 65 65 6e 20 61 6c 6c 6f 63 61 74 65 64 20 32 30 33	ment,.we.have.been.allocated.203
97a0	2e 30 2e 31 31 33 2e 30 2f 32 34 20 62 79 20 6f 75 72 20 75 70 73 74 72 65 61 6d 20 70 72 6f 76	.0.113.0/24.by.our.upstream.prov
97c0	69 64 65 72 2c 20 77 68 69 63 68 20 77 65 20 61 72 65 20 70 75 62 6c 69 73 68 69 6e 67 20 6f 6e	ider,.which.we.are.publishing.on
97e0	20 56 4c 41 4e 31 30 30 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 4f 70 65 6e 56 50	.VLAN100..In.this.example.OpenVP
9800	4e 20 77 69 6c 6c 20 62 65 20 73 65 74 75 70 20 77 69 74 68 20 61 20 63 6c 69 65 6e 74 20 63 65	N.will.be.setup.with.a.client.ce
9820	72 74 69 66 69 63 61 74 65 20 61 6e 64 20 75 73 65 72 6e 61 6d 65 20 2f 20 70 61 73 73 77 6f 72	rtificate.and.username./.passwor
9840	64 20 61 75 74 68 65 6e 74 69 63 61 74 69 6f 6e 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c	d.authentication..In.this.exampl
9860	65 20 74 77 6f 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 73 20 65 78 69 73 74 20 69 6e 20 64 69	e.two.LAN.interfaces.exist.in.di
9880	66 66 65 72 65 6e 74 20 73 75 62 6e 65 74 73 20 69 6e 73 74 65 61 64 20 6f 66 20 6f 6e 65 20 6c	fferent.subnets.instead.of.one.l
98a0	69 6b 65 20 69 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 73 3a 00 49 6e	ike.in.the.previous.examples:.In
98c0	20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 77 65 20 68 61 76 65 20 34 20 7a 6f 6e 65 73 2e 20 4c	.this.example.we.have.4.zones..L
98e0	41 4e 2c 20 57 41 4e 2c 20 44 4d 5a 2c 20 4c 6f 63 61 6c 2e 20 54 68 65 20 6c 6f 63 61 6c 20 7a	AN,.WAN,.DMZ,.Local..The.local.z
9900	6f 6e 65 20 69 73 20 74 68 65 20 66 69 72 65 77 61 6c 6c 20 69 74 73 65 6c 66 2e 00 49 6e 20 74	one.is.the.firewall.itself..In.t
9920	68 69 73 20 65 78 61 6d 70 6c 65 2c 20 65 74 68 30 20 69 73 20 74 68 65 20 70 72 69 6d 61 72 79	his.example,.eth0.is.the.primary
9940	20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 65 74 68 31 20 69 73 20 74 68 65 20 73 65 63 6f 6e	.interface.and.eth1.is.the.secon
9960	64 61 72 79 20 69 6e 74 65 72 66 61 63 65 2e 20 54 6f 20 70 72 6f 76 69 64 65 20 73 69 6d 70 6c	dary.interface..To.provide.simpl
9980	65 20 66 61 69 6c 6f 76 65 72 20 66 75 6e 63 74 69 6f 6e 61 6c 69 74 79 2e 20 49 66 20 65 74 68	e.failover.functionality..If.eth
99a0	30 20 66 61 69 6c 73 2c 20 65 74 68 31 20 74 61 6b 65 73 20 6f 76 65 72 2e 00 49 6e 62 6f 75 6e	0.fails,.eth1.takes.over..Inboun
99c0	64 20 57 41 4e 20 63 6f 6e 6e 65 63 74 20 74 6f 20 44 4d 5a 20 68 6f 73 74 2e 00 49 6e 66 6f 72	d.WAN.connect.to.DMZ.host..Infor
99e0	6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 45 74 68 65 72 6e 65 74 20 56 69 72 74 75 61 6c 20 50 72	mation.about.Ethernet.Virtual.Pr
9a00	69 76 61 74 65 20 4e 65 74 77 6f 72 6b 73 00 49 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74	ivate.Networks.Information.about
9a20	20 70 72 65 66 69 78 2d 73 69 64 20 61 6e 64 20 6c 61 62 65 6c 2d 6f 70 65 72 61 74 69 6f 6e 20	.prefix-sid.and.label-operation.
9a40	66 72 6f 6d 20 56 79 4f 53 00 49 6e 74 65 72 2d 56 52 46 20 52 6f 75 74 69 6e 67 20 6f 76 65 72	from.VyOS.Inter-VRF.Routing.over
9a60	20 56 52 46 20 4c 69 74 65 00 49 6e 74 65 72 2d 56 52 46 20 72 6f 75 74 69 6e 67 20 69 73 20 61	.VRF.Lite.Inter-VRF.routing.is.a
9a80	20 77 65 6c 6c 2d 6b 6e 6f 77 6e 20 73 6f 6c 75 74 69 6f 6e 20 74 6f 20 61 64 64 72 65 73 73 20	.well-known.solution.to.address.
9aa0	63 6f 6d 70 6c 65 78 20 72 6f 75 74 69 6e 67 20 73 63 65 6e 61 72 69 6f 73 20 74 68 61 74 20 65	complex.routing.scenarios.that.e
9ac0	6e 61 62 6c 65 20 2d 69 6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61 79 2d 20 74 6f 20 6c 65 61 6b	nable.-in.a.dynamic.way-.to.leak
9ae0	20 72 6f 75 74 65 73 20 62 65 74 77 65 65 6e 20 56 52 46 73 2e 20 49 73 20 72 65 63 6f 6d 6d 65	.routes.between.VRFs..Is.recomme
9b00	6e 64 65 64 20 74 6f 20 74 61 6b 65 20 73 70 65 63 69 61 6c 20 63 6f 6e 73 69 64 65 72 61 74 69	nded.to.take.special.considerati
9b20	6f 6e 20 77 68 69 6c 65 20 64 65 73 69 67 6e 69 6e 67 20 72 6f 75 74 65 2d 74 61 72 67 65 74 73	on.while.designing.route-targets
9b40	20 61 6e 64 20 69 74 73 20 61 70 70 6c 69 63 61 74 69 6f 6e 20 61 73 20 69 74 20 63 61 6e 20 6d	.and.its.application.as.it.can.m
9b60	69 6e 69 6d 69 7a 65 20 66 75 74 75 72 65 20 69 6e 74 65 72 76 65 6e 74 69 6f 6e 73 20 77 68 69	inimize.future.interventions.whi
9b80	6c 65 20 63 72 65 61 74 69 6e 67 20 61 20 6e 65 77 20 56 52 46 20 77 69 6c 6c 20 61 75 74 6f 6d	le.creating.a.new.VRF.will.autom
9ba0	61 74 69 63 61 6c 6c 79 20 74 61 6b 65 20 74 68 65 20 64 65 73 69 72 65 64 20 65 66 66 65 63 74	atically.take.the.desired.effect
9bc0	20 69 6e 20 69 74 73 20 70 72 6f 70 61 67 61 74 69 6f 6e 2e 00 49 6e 74 65 72 66 61 63 65 20 61	.in.its.propagation..Interface.a
9be0	6e 64 20 72 6f 75 74 69 6e 67 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 6e 74 65 72 6e	nd.routing.configuration:.Intern
9c00	61 6c 20 4e 65 74 77 6f 72 6b 00 49 6e 74 65 72 6e 65 74 00 49 6e 74 65 72 6e 65 74 20 2d 20 31	al.Network.Internet.Internet.-.1
9c20	39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 32 35 00 49 6e 74 65 72 6e 65 74	92.168.200.100.-.TCP/25.Internet
9c40	20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 34 34 33 00 49 6e 74	.-.192.168.200.100.-.TCP/443.Int
9c60	65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 35 33	ernet.-.192.168.200.100.-.TCP/53
9c80	00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43	.Internet.-.192.168.200.100.-.TC
9ca0	50 2f 38 30 00 49 74 20 69 73 20 61 73 73 75 6d 65 64 20 74 68 61 74 20 74 68 65 20 72 6f 75 74	P/80.It.is.assumed.that.the.rout
9cc0	65 72 73 20 70 72 6f 76 69 64 65 64 20 62 79 20 75 70 73 74 72 65 61 6d 20 61 72 65 20 63 61 70	ers.provided.by.upstream.are.cap
9ce0	61 62 6c 65 20 6f 66 20 61 63 74 69 6e 67 20 61 73 20 61 20 64 65 66 61 75 6c 74 20 72 6f 75 74	able.of.acting.as.a.default.rout
9d00	65 72 2c 20 61 64 64 20 74 68 61 74 20 61 73 20 61 20 73 74 61 74 69 63 20 72 6f 75 74 65 2e 00	er,.add.that.as.a.static.route..
9d20	49 74 20 69 73 20 67 6f 6f 64 20 70 72 61 63 74 69 63 65 20 74 6f 20 6c 6f 67 20 62 6f 74 68 20	It.is.good.practice.to.log.both.
9d40	61 63 63 65 70 74 65 64 20 61 6e 64 20 64 65 6e 69 65 64 20 74 72 61 66 66 69 63 2e 20 49 74 20	accepted.and.denied.traffic..It.
9d60	63 61 6e 20 73 61 76 65 20 79 6f 75 20 73 69 67 6e 69 66 69 63 61 6e 74 20 68 65 61 64 61 63 68	can.save.you.significant.headach
9d80	65 73 20 77 68 65 6e 20 74 72 79 69 6e 67 20 74 6f 20 74 72 6f 75 62 6c 65 73 68 6f 6f 74 20 61	es.when.trying.to.troubleshoot.a
9da0	20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 73 73 75 65 2e 00 49 74 20 77 69 6c 6c 20 6c 6f 6f	.connectivity.issue..It.will.loo
9dc0	6b 20 73 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 20 74 68 69 73 3a 00 49 74 27 73 20 69 6d 70 6f	k.something.like.this:.It's.impo
9de0	72 74 61 6e 74 20 74 6f 20 6e 6f 74 65 20 74 68 61 74 20 61 6c 6c 20 79 6f 75 72 20 65 78 69 73	rtant.to.note.that.all.your.exis
9e00	74 69 6e 67 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 77 69 6c 6c 20 62 65 20 6d 69 67 72	ting.configurations.will.be.migr
9e20	61 74 65 64 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 20 6f 6e 20 69 6d 61 67 65 20 75 70 67 72	ated.automatically.on.image.upgr
9e40	61 64 65 2e 20 4e 6f 74 68 69 6e 67 20 74 6f 20 64 6f 20 6f 6e 20 79 6f 75 72 20 73 69 64 65 2e	ade..Nothing.to.do.on.your.side.
9e60	00 4b 65 65 70 20 6e 65 74 77 6f 72 6b 73 20 69 73 6f 6c 61 74 65 64 20 69 73 20 2d 69 6e 20 67	.Keep.networks.isolated.is.-in.g
9e80	65 6e 65 72 61 6c 2d 20 61 20 67 6f 6f 64 20 70 72 69 6e 63 69 70 6c 65 2c 20 62 75 74 20 74 68	eneral-.a.good.principle,.but.th
9ea0	65 72 65 20 61 72 65 20 63 61 73 65 73 20 77 68 65 72 65 20 79 6f 75 20 6d 69 67 68 74 20 6e 65	ere.are.cases.where.you.might.ne
9ec0	65 64 20 74 68 61 74 20 73 6f 6d 65 20 6e 65 74 77 6f 72 6b 20 63 61 6e 20 61 63 63 65 73 73 20	ed.that.some.network.can.access.
9ee0	6f 74 68 65 72 20 69 6e 20 61 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 2e 00 4c 33 56 50 4e 20	other.in.a.different.VRF..L3VPN.
9f00	45 56 50 4e 20 77 69 74 68 20 56 79 4f 53 00 4c 33 56 50 4e 20 45 56 50 4e 20 77 69 74 68 20 56	EVPN.with.VyOS.L3VPN.EVPN.with.V
9f20	79 4f 53 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 4c 33 56 50 4e 20 63 6f 6e 66 69 67 75	yOS.topology.image.L3VPN.configu
9f40	72 61 74 69 6f 6e 20 70 61 72 61 6d 65 74 65 72 73 20 74 61 62 6c 65 3a 00 4c 33 56 50 4e 20 66	ration.parameters.table:.L3VPN.f
9f60	6f 72 20 48 75 62 2d 61 6e 64 2d 53 70 6f 6b 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 77 69	or.Hub-and-Spoke.connectivity.wi
9f80	74 68 20 56 79 4f 53 00 4c 41 4e 20 31 00 4c 41 4e 20 32 00 4c 41 4e 20 43 6f 6e 66 69 67 75 72	th.VyOS.LAN.1.LAN.2.LAN.Configur
9fa0	61 74 69 6f 6e 00 4c 41 4e 20 61 6e 64 20 44 4d 5a 20 68 6f 73 74 73 20 68 61 76 65 20 62 61 73	ation.LAN.and.DMZ.hosts.have.bas
9fc0	69 63 20 6f 75 74 62 6f 75 6e 64 20 61 63 63 65 73 73 3a 20 57 65 62 2c 20 46 54 50 2c 20 53 53	ic.outbound.access:.Web,.FTP,.SS
9fe0	48 2e 00 4c 41 4e 20 63 61 6e 20 61 63 63 65 73 73 20 44 4d 5a 20 72 65 73 6f 75 72 63 65 73 2e	H..LAN.can.access.DMZ.resources.
a000	00 4c 41 4e 2c 20 57 41 4e 2c 20 44 4d 5a 2c 20 6c 6f 63 61 6c 20 61 6e 64 20 54 55 4e 20 28 74	.LAN,.WAN,.DMZ,.local.and.TUN.(t
a020	75 6e 6e 65 6c 29 00 4c 41 4e 31 00 4c 41 4e 31 20 74 6f 20 4c 41 4e 32 00 4c 41 4e 31 20 74 6f	unnel).LAN1.LAN1.to.LAN2.LAN1.to
a040	20 4f 75 74 73 69 64 65 00 4c 41 4e 32 00 4c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 49 50 76 34	.Outside.LAN2.Let...s.check.IPv4
a060	20 72 6f 75 74 69 6e 67 20 61 6e 64 20 4d 50 4c 53 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 6f 6e	.routing.and.MPLS.information.on
a080	20 70 72 6f 76 69 64 65 72 20 6e 6f 64 65 73 20 28 73 61 6d 65 20 70 72 6f 63 65 64 75 72 65 20	.provider.nodes.(same.procedure.
a0a0	66 6f 72 20 61 6c 6c 20 50 20 6e 6f 64 65 73 29 3a 00 4c 65 74 e2 80 99 73 20 73 61 79 20 77 65	for.all.P.nodes):.Let...s.say.we
a0c0	20 68 61 76 65 20 61 20 72 65 71 75 69 72 65 6d 65 6e 74 20 74 6f 20 68 61 76 65 20 6d 75 6c 74	.have.a.requirement.to.have.mult
a0e0	69 70 6c 65 20 6e 65 74 77 6f 72 6b 73 2e 00 4c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20 73 68 6f	iple.networks..Local.subnets.sho
a100	75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 72 65 61 63 68 20 69 6e 74 65 72 6e 65 74 20 75 73	uld.be.able.to.reach.internet.us
a120	69 6e 67 20 73 6f 75 72 63 65 20 6e 61 74 2e 00 4d 50 2d 42 47 50 20 6f 72 20 4d 75 6c 74 69 50	ing.source.nat..MP-BGP.or.MultiP
a140	72 6f 74 6f 63 6f 6c 20 42 47 50 20 69 6e 74 72 6f 64 75 63 65 73 20 74 77 6f 20 6d 61 69 6e 20	rotocol.BGP.introduces.two.main.
a160	63 6f 6e 63 65 70 74 73 20 74 6f 20 73 6f 6c 76 65 20 74 68 69 73 20 6c 69 6d 69 74 61 74 69 6f	concepts.to.solve.this.limitatio
a180	6e 3a 20 2d 20 52 6f 75 74 65 20 44 69 73 74 69 6e 67 75 69 73 68 65 72 20 28 52 44 29 3a 20 49	n:.-.Route.Distinguisher.(RD):.I
a1a0	73 20 75 73 65 64 20 74 6f 20 64 69 73 74 69 6e 67 75 69 73 68 20 62 65 74 77 65 65 6e 20 64 69	s.used.to.distinguish.between.di
a1c0	66 66 65 72 65 6e 74 20 56 52 46 73 20 e2 80 93 63 61 6c 6c 65 64 20 56 50 4e 73 2d 20 69 6e 73	fferent.VRFs....called.VPNs-.ins
a1e0	69 64 65 20 74 68 65 20 42 47 50 20 50 72 6f 63 65 73 73 2e 20 54 68 65 20 52 44 20 69 73 20 61	ide.the.BGP.Process..The.RD.is.a
a200	70 70 65 6e 64 65 64 20 74 6f 20 65 61 63 68 20 49 50 76 34 20 4e 65 74 77 6f 72 6b 20 74 68 61	ppended.to.each.IPv4.Network.tha
a220	74 20 69 73 20 61 64 76 65 72 74 69 73 65 64 20 69 6e 74 6f 20 42 47 50 20 66 6f 72 20 74 68 61	t.is.advertised.into.BGP.for.tha
a240	74 20 56 50 4e 20 6d 61 6b 69 6e 67 20 69 74 20 61 20 75 6e 69 71 75 65 20 56 50 4e 76 34 20 72	t.VPN.making.it.a.unique.VPNv4.r
a260	6f 75 74 65 2e 20 2d 20 52 6f 75 74 65 20 54 61 72 67 65 74 20 28 52 54 29 3a 20 54 68 69 73 20	oute..-.Route.Target.(RT):.This.
a280	69 73 20 61 6e 20 65 78 74 65 6e 64 65 64 20 42 47 50 20 63 6f 6d 6d 75 6e 69 74 79 20 61 70 70	is.an.extended.BGP.community.app
a2a0	65 6e 64 20 74 6f 20 74 68 65 20 56 50 4e 76 34 20 72 6f 75 74 65 20 69 6e 20 74 68 65 20 49 6d	end.to.the.VPNv4.route.in.the.Im
a2c0	70 6f 72 74 2f 45 78 70 6f 72 74 20 70 72 6f 63 65 73 73 2e 20 57 68 65 6e 20 61 20 72 6f 75 74	port/Export.process..When.a.rout
a2e0	65 20 70 61 73 73 65 73 20 66 72 6f 6d 20 74 68 65 20 56 52 46 20 72 6f 75 74 69 6e 67 20 74 61	e.passes.from.the.VRF.routing.ta
a300	62 6c 65 20 69 6e 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 20 69 74 20 77 69 6c 6c	ble.into.the.BGP.process.it.will
a320	20 61 64 64 20 74 68 65 20 63 6f 6e 66 69 67 75 72 65 64 20 65 78 70 6f 72 74 20 65 78 74 65 6e	.add.the.configured.export.exten
a340	64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 28 69 65 73 29 20 66 6f 72 20 74 68 61 74 20 56 50 4e 2e	ded.community(ies).for.that.VPN.
a360	20 57 68 65 6e 20 74 68 61 74 20 72 6f 75 74 65 20 6e 65 65 64 73 20 74 6f 20 67 6f 20 66 72 6f	.When.that.route.needs.to.go.fro
a380	6d 20 42 47 50 20 69 6e 74 6f 20 74 68 65 20 56 52 46 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65	m.BGP.into.the.VRF.routing.table
a3a0	20 77 69 6c 6c 20 6f 6e 6c 79 20 70 61 73 73 20 69 66 20 74 68 61 74 20 67 69 76 65 6e 20 56 50	.will.only.pass.if.that.given.VP
a3c0	4e 20 69 6d 70 6f 72 74 20 70 6f 6c 69 63 79 20 6d 61 74 63 68 65 73 20 61 6e 79 20 6f 66 20 74	N.import.policy.matches.any.of.t
a3e0	68 65 20 61 70 70 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 28 69 65 73 29 20 69 6e 74 6f 20	he.appended.community(ies).into.
a400	74 68 61 74 20 70 72 65 66 69 78 2e 00 4d 61 69 6e 20 72 75 6c 65 73 3a 00 4d 61 6b 65 20 73 75	that.prefix..Main.rules:.Make.su
a420	72 65 20 79 6f 75 20 63 61 6e 20 70 69 6e 67 20 31 30 2e 32 35 34 2e 36 30 2e 31 20 61 6e 64 20	re.you.can.ping.10.254.60.1.and.
a440	2e 32 20 66 72 6f 6d 20 62 6f 74 68 20 72 6f 75 74 65 72 73 2e 00 4d 61 6e 61 67 65 6d 65 6e 74	.2.from.both.routers..Management
a460	00 4d 61 6e 61 67 65 6d 65 6e 74 20 56 52 46 00 4d 61 6e 79 20 6f 74 68 65 72 20 48 79 70 65 72	.Management.VRF.Many.other.Hyper
a480	76 69 73 6f 72 73 20 64 6f 20 74 68 69 73 2c 20 61 6e 64 20 49 27 6d 20 68 6f 70 69 6e 67 20 74	visors.do.this,.and.I'm.hoping.t
a4a0	68 61 74 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77 69 6c 6c 20 62 65 20 65 78 70 61 6e 64	hat.this.document.will.be.expand
a4c0	65 64 20 74 6f 20 64 6f 63 75 6d 65 6e 74 20 68 6f 77 20 74 6f 20 64 6f 20 74 68 69 73 20 66 6f	ed.to.document.how.to.do.this.fo
a4e0	72 20 6f 74 68 65 72 73 2e 00 4d 61 73 71 75 65 72 61 64 65 20 54 72 61 66 66 69 63 20 6f 72 69	r.others..Masquerade.Traffic.ori
a500	67 69 6e 61 74 69 6e 67 20 66 72 6f 6d 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 74 68	ginating.from.10.200.201.0/24.th
a520	61 74 20 69 73 20 68 65 61 64 69 6e 67 20 6f 75 74 20 74 68 65 20 70 75 62 6c 69 63 20 69 6e 74	at.is.heading.out.the.public.int
a540	65 72 66 61 63 65 2e 00 4d 6f 6e 69 74 6f 72 69 6e 67 00 4d 75 6c 74 69 70 6c 65 20 4c 41 4e 2f	erface..Monitoring.Multiple.LAN/
a560	44 4d 5a 20 53 65 74 75 70 00 4e 41 54 20 61 6e 64 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63	DMZ.Setup.NAT.and.conntrack-sync
a580	00 4e 4d 50 20 65 78 61 6d 70 6c 65 00 4e 61 74 69 76 65 20 49 50 76 34 20 61 6e 64 20 49 50 76	.NMP.example.Native.IPv4.and.IPv
a5a0	36 00 4e 65 74 77 6f 72 6b 20 43 61 62 6c 69 6e 67 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f	6.Network.Cabling.Network.Topolo
a5c0	67 79 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 20 44 69 61 67 72 61 6d 00 4e 65 74 77	gy.Network.Topology.Diagram.Netw
a5e0	6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 20 61 6e 64 20 72 65 71 75 69 72 65 6d 65 6e 74 73 00 4e 65	ork.Topology.and.requirements.Ne
a600	78 74 20 6f 6e 20 74 68 65 20 72 6f 75 74 65 72 20 56 79 4f 53 32 20 77 65 20 77 69 6c 6c 20 63	xt.on.the.router.VyOS2.we.will.c
a620	68 61 6e 67 65 20 6c 61 62 65 6c 73 20 6f 6e 20 61 6c 6c 20 69 6e 63 6f 6d 69 6e 67 20 74 72 61	hange.labels.on.all.incoming.tra
a640	66 66 69 63 20 6f 6e 6c 79 20 66 72 6f 6d 20 43 53 34 2d 3e 20 43 53 36 00 4e 65 78 74 20 74 68	ffic.only.from.CS4->.CS6.Next.th
a660	69 6e 67 20 74 6f 20 64 6f 2c 20 69 73 20 74 6f 20 63 72 65 61 74 65 20 61 20 77 69 72 65 67 75	ing.to.do,.is.to.create.a.wiregu
a680	61 72 64 20 6b 65 79 70 61 69 72 20 6f 6e 20 65 61 63 68 20 73 69 64 65 2e 20 41 66 74 65 72 20	ard.keypair.on.each.side..After.
a6a0	74 68 69 73 2c 20 74 68 65 20 70 75 62 6c 69 63 20 6b 65 79 20 63 61 6e 20 62 65 20 64 69 73 70	this,.the.public.key.can.be.disp
a6c0	6c 61 79 65 64 2c 20 74 6f 20 73 61 76 65 20 66 6f 72 20 6c 61 74 65 72 2e 00 4e 65 78 74 2c 20	layed,.to.save.for.later..Next,.
a6e0	77 65 20 77 69 6c 6c 20 72 65 70 6c 61 63 65 20 6f 6e 6c 79 20 61 6c 6c 20 43 53 34 20 6c 61 62	we.will.replace.only.all.CS4.lab
a700	65 6c 73 20 6f 6e 20 74 68 65 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 72 6f 75 74 65 72 2e 00 4e	els.on.the....VyOS2....router..N
a720	65 78 74 2c 20 79 6f 75 20 6a 75 73 74 20 20 73 68 6f 75 6c 64 20 66 6f 6c 6c 6f 77 20 74 68 65	ext,.you.just..should.follow.the
a740	20 70 69 63 74 75 72 65 73 3a 00 4e 6f 64 65 00 4e 6f 74 65 20 74 68 61 74 20 72 6f 75 74 65 72	.pictures:.Node.Note.that.router
a760	31 20 69 73 20 61 20 56 4d 20 74 68 61 74 20 72 75 6e 73 20 6f 6e 20 6f 6e 65 20 6f 66 20 74 68	1.is.a.VM.that.runs.on.one.of.th
a780	65 20 63 6f 6d 70 75 74 65 20 6e 6f 64 65 73 2e 00 4e 6f 74 65 20 74 6f 20 61 6c 6c 6f 77 20 74	e.compute.nodes..Note.to.allow.t
a7a0	68 65 20 72 6f 75 74 65 72 20 74 6f 20 72 65 63 65 69 76 65 20 44 48 43 50 76 36 20 72 65 73 70	he.router.to.receive.DHCPv6.resp
a7c0	6f 6e 73 65 20 66 72 6f 6d 20 49 53 50 2e 20 57 65 20 6e 65 65 64 20 74 6f 20 61 6c 6c 6f 77 20	onse.from.ISP..We.need.to.allow.
a7e0	70 61 63 6b 65 74 73 20 77 69 74 68 20 73 6f 75 72 63 65 20 70 6f 72 74 20 35 34 37 20 28 73 65	packets.with.source.port.547.(se
a800	72 76 65 72 29 20 61 6e 64 20 64 65 73 74 69 6e 61 74 69 6f 6e 20 70 6f 72 74 20 35 34 36 20 28	rver).and.destination.port.546.(
a820	63 6c 69 65 6e 74 29 2e 00 4e 6f 74 69 63 65 2c 20 6e 6f 6e 65 20 67 6f 20 74 6f 20 57 41 4e 20	client)..Notice,.none.go.to.WAN.
a840	73 69 6e 63 65 20 57 41 4e 20 77 6f 75 6c 64 6e 27 74 20 68 61 76 65 20 61 20 76 36 20 61 64 64	since.WAN.wouldn't.have.a.v6.add
a860	72 65 73 73 20 6f 6e 20 69 74 2e 00 4e 6f 77 20 65 6e 61 62 6c 65 20 72 65 70 6c 69 63 61 74 69	ress.on.it..Now.enable.replicati
a880	6f 6e 20 62 65 74 77 65 65 6e 20 6e 6f 64 65 73 2e 20 52 65 70 6c 61 63 65 20 65 74 68 30 2e 32	on.between.nodes..Replace.eth0.2
a8a0	30 31 20 77 69 74 68 20 62 6f 6e 64 30 2e 32 30 31 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72	01.with.bond0.201.on.the.hardwar
a8c0	65 20 72 6f 75 74 65 72 2e 00 4e 6f 77 20 67 65 6e 65 72 61 74 65 20 61 6c 6c 20 72 65 71 75 69	e.router..Now.generate.all.requi
a8e0	72 65 64 20 63 65 72 74 69 66 69 63 61 74 65 73 20 6f 6e 20 74 68 65 20 6f 76 70 6e 2d 73 65 72	red.certificates.on.the.ovpn-ser
a900	76 65 72 3a 00 4e 6f 77 20 74 68 65 20 43 6c 69 65 6e 74 20 69 73 20 61 62 6c 65 20 74 6f 20 70	ver:.Now.the.Client.is.able.to.p
a920	69 6e 67 20 61 20 70 75 62 6c 69 63 20 49 50 76 36 20 61 64 64 72 65 73 73 00 4e 6f 77 20 77 65	ing.a.public.IPv6.address.Now.we
a940	20 61 72 65 20 61 62 6c 65 20 74 6f 20 73 65 74 75 70 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 6e	.are.able.to.setup.the.tunnel.in
a960	74 65 72 66 61 63 65 2e 00 4e 6f 77 20 77 65 20 70 65 72 66 6f 72 6d 20 73 6f 6d 65 20 65 6e 64	terface..Now.we.perform.some.end
a980	2d 74 6f 2d 65 6e 64 20 74 65 73 74 69 6e 67 00 4e 6f 77 20 77 65 e2 80 99 72 65 20 63 68 65 63	-to-end.testing.Now.we...re.chec
a9a0	6b 69 6e 67 20 69 42 47 50 20 73 74 61 74 75 73 20 61 6e 64 20 72 6f 75 74 65 73 20 66 72 6f 6d	king.iBGP.status.and.routes.from
a9c0	20 72 6f 75 74 65 2d 72 65 66 6c 65 63 74 6f 72 20 6e 6f 64 65 73 20 74 6f 20 6f 74 68 65 72 20	.route-reflector.nodes.to.other.
a9e0	64 65 76 69 63 65 73 3a 00 4e 6f 77 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20	devices:.Now.you.should.be.able.
aa00	74 6f 20 70 69 6e 67 20 61 20 70 75 62 6c 69 63 20 49 50 76 36 20 41 64 64 72 65 73 73 00 4e 6f	to.ping.a.public.IPv6.Address.No
aa20	77 2c 20 6c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 72 6f 75 74 69 6e 67 20 69 6e 66 6f 72 6d 61	w,.let...s.check.routing.informa
aa40	74 69 6f 6e 20 6f 6e 20 6f 75 74 20 48 75 62 20 50 45 3a 00 4f 53 50 46 20 4f 76 65 72 20 57 69	tion.on.out.Hub.PE:.OSPF.Over.Wi
aa60	72 65 47 75 61 72 64 00 4f 53 50 46 20 75 6e 6e 75 6d 62 65 72 65 64 20 77 69 74 68 20 45 43 4d	reGuard.OSPF.unnumbered.with.ECM
aa80	50 00 4f 6e 20 74 68 65 20 72 6f 75 74 65 72 2c 20 56 79 4f 53 34 20 73 65 74 20 61 6c 6c 20 74	P.On.the.router,.VyOS4.set.all.t
aaa0	72 61 66 66 69 63 20 61 73 20 43 53 34 2e 20 57 65 20 68 61 76 65 20 74 6f 20 63 6f 6e 66 69 67	raffic.as.CS4..We.have.to.config
aac0	75 72 65 20 74 68 65 20 64 65 66 61 75 6c 74 20 63 6c 61 73 73 20 61 6e 64 20 63 6c 61 73 73 20	ure.the.default.class.and.class.
aae0	66 6f 72 20 63 68 61 6e 67 69 6e 67 20 61 6c 6c 20 6c 61 62 65 6c 73 20 66 72 6f 6d 20 43 53 30	for.changing.all.labels.from.CS0
ab00	20 74 6f 20 43 53 34 00 4f 6e 2d 70 72 65 6d 69 73 65 73 20 61 64 64 72 65 73 73 20 73 70 61 63	.to.CS4.On-premises.address.spac
ab20	65 00 4f 6e 63 65 20 61 6c 6c 20 72 6f 75 74 65 72 73 20 63 61 6e 20 62 65 20 73 61 66 65 6c 79	e.Once.all.routers.can.be.safely
ab40	20 72 65 6d 6f 74 65 6c 79 20 6d 61 6e 61 67 65 64 20 61 6e 64 20 74 68 65 20 63 6f 72 65 20 6e	.remotely.managed.and.the.core.n
ab60	65 74 77 6f 72 6b 20 69 73 20 6f 70 65 72 61 74 69 6f 6e 61 6c 2c 20 77 65 20 63 61 6e 20 6e 6f	etwork.is.operational,.we.can.no
ab80	77 20 73 65 74 75 70 20 74 68 65 20 74 65 6e 61 6e 74 20 6e 65 74 77 6f 72 6b 73 2e 00 4f 6e 63	w.setup.the.tenant.networks..Onc
aba0	65 20 61 6c 6c 20 74 68 65 20 72 65 71 75 69 72 65 64 20 63 65 72 74 69 66 69 63 61 74 65 73 20	e.all.the.required.certificates.
abc0	61 6e 64 20 6b 65 79 73 20 61 72 65 20 69 6e 73 74 61 6c 6c 65 64 2c 20 74 68 65 20 72 65 6d 61	and.keys.are.installed,.the.rema
abe0	69 6e 69 6e 67 20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 20 63 6f 6e 66 69 67 75 72 61 74 69	ining.OpenVPN.Server.configurati
ac00	6f 6e 20 63 61 6e 20 62 65 20 63 61 72 72 69 65 64 20 6f 75 74 2e 00 4f 6e 63 65 20 79 6f 75 20	on.can.be.carried.out..Once.you.
ac20	68 61 76 65 20 61 6c 6c 20 6f 66 20 79 6f 75 72 20 72 75 6c 65 73 65 74 73 20 62 75 69 6c 74 2c	have.all.of.your.rulesets.built,
ac40	20 74 68 65 6e 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 63 72 65 61 74 65 20 79 6f 75 72 20 7a 6f	.then.you.need.to.create.your.zo
ac60	6e 65 2d 70 6f 6c 69 63 79 2e 00 4f 6e 65 20 61 64 76 61 6e 74 61 67 65 20 6f 66 20 68 61 76 69	ne-policy..One.advantage.of.havi
ac80	6e 67 20 74 68 65 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65 20 73 74 6f 72 65 64	ng.the.client.certificate.stored
aca0	20 69 73 20 74 68 65 20 61 62 69 6c 69 74 79 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 63 6c	.is.the.ability.to.create.the.cl
acc0	69 65 6e 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f	ient.configuration..One.cable/lo
ace0	67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e	gical.connection.between.LAN1.an
ad00	64 20 49 6e 74 65 72 6e 65 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e	d.Internet.One.cable/logical.con
ad20	6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 4c 41 4e 32 00 4f 6e	nection.between.LAN1.and.LAN2.On
ad40	65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65	e.cable/logical.connection.betwe
ad60	65 6e 20 4c 41 4e 31 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 00 4f 6e 65 20 63 61 62 6c 65	en.LAN1.and.Management.One.cable
ad80	2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 32	/logical.connection.between.LAN2
ada0	20 61 6e 64 20 49 6e 74 65 72 6e 65 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20	.and.Internet.One.cable/logical.
adc0	63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 32 20 61 6e 64 20 4d 61 6e 61	connection.between.LAN2.and.Mana
ade0	67 65 6d 65 6e 74 00 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 4c 44 41 50 00 4f 70 65 6e 56 50 4e	gement.OpenVPN.with.LDAP.OpenVPN
ae00	20 77 69 74 68 20 4c 44 41 50 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 4f 70 65 72 61 74	.with.LDAP.topology.image.Operat
ae20	69 6e 67 20 73 79 73 74 65 6d 3a 20 56 79 4f 53 00 4f 75 72 20 69 6d 70 6c 65 6d 65 6e 74 61 74	ing.system:.VyOS.Our.implementat
ae40	69 6f 6e 20 75 73 65 73 20 56 4d 77 61 72 65 27 73 20 44 69 73 74 72 69 62 75 74 65 64 20 50 6f	ion.uses.VMware's.Distributed.Po
ae60	72 74 20 47 72 6f 75 70 73 2c 20 77 68 69 63 68 20 61 6c 6c 6f 77 73 20 56 4d 77 61 72 65 20 74	rt.Groups,.which.allows.VMware.t
ae80	6f 20 75 73 65 20 4c 41 43 50 2e 20 54 68 69 73 20 69 73 20 61 20 70 61 72 74 20 6f 66 20 74 68	o.use.LACP..This.is.a.part.of.th
aea0	65 20 45 4e 54 45 52 50 52 49 53 45 20 6c 69 63 65 6e 63 65 2c 20 61 6e 64 20 69 73 20 6e 6f 74	e.ENTERPRISE.licence,.and.is.not
aec0	20 61 76 61 69 6c 61 62 6c 65 20 6f 6e 20 61 20 66 72 65 65 20 6c 69 63 65 6e 63 65 2e 20 49 66	.available.on.a.free.licence..If
aee0	20 79 6f 75 20 61 72 65 20 69 6d 70 6c 65 6d 65 6e 74 69 6e 67 20 74 68 69 73 20 61 6e 64 20 64	.you.are.implementing.this.and.d
af00	6f 20 6e 6f 74 20 68 61 76 65 20 61 63 63 65 73 73 20 74 6f 20 44 50 47 73 2c 20 79 6f 75 20 73	o.not.have.access.to.DPGs,.you.s
af20	68 6f 75 6c 64 20 6e 6f 74 20 75 73 65 20 56 4d 77 61 72 65 2c 20 61 6e 64 20 75 73 65 20 73 6f	hould.not.use.VMware,.and.use.so
af40	6d 65 20 6f 74 68 65 72 20 76 69 72 74 75 61 6c 69 7a 61 74 69 6f 6e 20 70 6c 61 74 66 6f 72 6d	me.other.virtualization.platform
af60	20 69 6e 73 74 65 61 64 2e 00 4f 75 72 20 72 6f 75 74 65 72 73 20 61 72 65 20 67 6f 69 6e 67 20	.instead..Our.routers.are.going.
af80	74 6f 20 68 61 76 65 20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66	to.have.a.floating.IP.address.of
afa0	20 32 30 33 2e 30 2e 31 31 33 2e 31 2c 20 61 6e 64 20 75 73 65 20 2e 32 20 61 6e 64 20 2e 33 20	.203.0.113.1,.and.use..2.and..3.
afc0	61 73 20 74 68 65 69 72 20 66 69 78 65 64 20 49 50 73 2e 00 4f 76 65 72 76 69 65 77 00 50 45 31	as.their.fixed.IPs..Overview.PE1
afe0	00 50 45 31 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 6e 20 69 6e 64 75 73 74 72 69 61 6c	.PE1.is.located.in.an.industrial
b000	20 61 72 65 61 20 74 68 61 74 20 68 6f 6c 64 73 20 6d 75 6c 74 69 70 6c 65 20 6f 66 66 69 63 65	.area.that.holds.multiple.office
b020	20 62 75 69 6c 64 69 6e 67 73 2e 20 41 6c 6c 20 63 75 73 74 6f 6d 65 72 73 20 68 61 76 65 20 61	.buildings..All.customers.have.a
b040	20 73 69 74 65 20 69 6e 20 74 68 69 73 20 61 72 65 61 2e 00 50 45 32 00 50 45 32 20 69 73 20 6c	.site.in.this.area..PE2.PE2.is.l
b060	6f 63 61 74 65 64 20 69 6e 20 61 20 73 6d 61 6c 6c 65 72 20 61 72 65 61 20 77 68 65 72 65 20 62	ocated.in.a.smaller.area.where.b
b080	79 20 63 6f 69 6e 63 69 64 65 6e 63 65 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 73 20 28 62 6c 75	y.coincidence.two.customers.(blu
b0a0	65 20 61 6e 64 20 72 65 64 29 20 73 68 61 72 65 20 61 6e 20 6f 66 66 69 63 65 20 62 75 69 6c 64	e.and.red).share.an.office.build
b0c0	69 6e 67 2e 00 50 45 33 00 50 45 33 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 20 73 6d 61	ing..PE3.PE3.is.located.in.a.sma
b0e0	6c 6c 65 72 20 61 72 65 61 20 77 68 65 72 65 20 62 79 20 63 6f 69 6e 63 69 64 65 6e 63 65 20 74	ller.area.where.by.coincidence.t
b100	77 6f 20 63 75 73 74 6f 6d 65 72 73 20 28 62 6c 75 65 20 61 6e 64 20 67 72 65 65 6e 29 20 61 72	wo.customers.(blue.and.green).ar
b120	65 20 6c 6f 63 61 74 65 64 2e 00 50 50 50 6f 45 20 49 50 76 36 20 42 61 73 69 63 20 53 65 74 75	e.located..PPPoE.IPv6.Basic.Setu
b140	70 20 66 6f 72 20 48 6f 6d 65 20 4e 65 74 77 6f 72 6b 00 50 50 50 6f 45 20 53 65 74 75 70 00 50	p.for.Home.Network.PPPoE.Setup.P
b160	69 6e 67 20 62 65 74 77 65 65 6e 20 56 79 4f 53 2d 50 31 20 2f 20 56 79 4f 53 2d 50 32 20 74 6f	ing.between.VyOS-P1./.VyOS-P2.to
b180	20 63 6f 6e 66 69 72 6d 20 72 65 61 63 68 61 62 69 6c 69 74 79 3a 00 50 69 6e 67 20 74 68 65 20	.confirm.reachability:.Ping.the.
b1a0	43 6c 69 65 6e 74 20 66 72 6f 6d 20 74 68 65 20 44 48 43 50 20 53 65 72 76 65 72 2e 00 50 69 6e	Client.from.the.DHCP.Server..Pin
b1c0	67 73 20 77 69 6c 6c 20 62 65 20 73 65 6e 74 20 74 6f 20 66 6f 75 72 20 74 61 72 67 65 74 73 20	gs.will.be.sent.to.four.targets.
b1e0	66 6f 72 20 68 65 61 6c 74 68 20 74 65 73 74 69 6e 67 20 28 33 33 2e 34 34 2e 35 35 2e 36 36 2c	for.health.testing.(33.44.55.66,
b200	20 34 34 2e 35 35 2e 36 36 2e 37 37 2c 20 35 35 2e 36 36 2e 37 37 2e 38 38 20 61 6e 64 20 36 36	.44.55.66.77,.55.66.77.88.and.66
b220	2e 37 37 2e 38 38 2e 39 39 29 2e 00 50 6c 65 61 73 65 20 6e 6f 74 65 2c 20 27 61 75 74 6f 6e 6f	.77.88.99)..Please.note,.'autono
b240	6d 6f 75 73 2d 66 6c 61 67 27 20 61 6e 64 20 27 6f 6e 2d 6c 69 6e 6b 2d 66 6c 61 67 27 20 61 72	mous-flag'.and.'on-link-flag'.ar
b260	65 20 65 6e 61 62 6c 65 64 20 62 79 20 64 65 66 61 75 6c 74 2c 20 27 76 61 6c 69 64 2d 6c 69 66	e.enabled.by.default,.'valid-lif
b280	65 74 69 6d 65 27 20 61 6e 64 20 27 70 72 65 66 65 72 72 65 64 2d 6c 69 66 65 74 69 6d 65 27 20	etime'.and.'preferred-lifetime'.
b2a0	61 72 65 20 73 65 74 20 74 6f 20 64 65 66 61 75 6c 74 20 76 61 6c 75 65 73 20 6f 66 20 33 30 20	are.set.to.default.values.of.30.
b2c0	64 61 79 73 20 61 6e 64 20 34 20 68 6f 75 72 73 20 72 65 73 70 65 63 74 69 76 65 6c 79 2e 00 50	days.and.4.hours.respectively..P
b2e0	6f 6c 69 63 79 2d 42 61 73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 61 6e 64	olicy-Based.Site-to-Site.VPN.and
b300	20 46 69 72 65 77 61 6c 6c 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 50 72 65 2d 73 68 61 72	.Firewall.Configuration.Pre-shar
b320	65 64 20 6b 65 79 00 50 72 65 72 65 71 75 69 73 69 74 65 73 00 50 72 69 6f 72 69 74 69 65 73 00	ed.key.Prerequisites.Priorities.
b340	50 72 6f 74 65 63 74 20 74 68 65 20 72 6f 75 74 65 72 20 6f 6e 20 27 57 41 4e 27 20 69 6e 74 65	Protect.the.router.on.'WAN'.inte
b360	72 66 61 63 65 2c 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 69 70 73 65 63 20 63 6f 6e 6e 65	rface,.allowing.only.ipsec.conne
b380	63 74 69 6f 6e 73 20 61 6e 64 20 73 73 68 20 61 63 63 65 73 73 20 66 72 6f 6d 20 74 72 75 73 74	ctions.and.ssh.access.from.trust
b3a0	65 64 20 69 70 73 2e 00 50 75 62 6c 69 63 20 4e 65 74 77 6f 72 6b 00 51 6f 53 20 65 78 61 6d 70	ed.ips..Public.Network.QoS.examp
b3c0	6c 65 00 52 44 00 52 44 20 26 20 52 54 20 53 63 68 65 6d 61 00 52 54 00 52 54 20 65 78 70 6f 72	le.RD.RD.&.RT.Schema.RT.RT.expor
b3e0	74 00 52 54 20 69 6d 70 6f 72 74 00 52 65 67 75 6c 61 72 20 56 79 4f 53 20 75 73 65 72 73 20 77	t.RT.import.Regular.VyOS.users.w
b400	69 6c 6c 20 6e 6f 74 69 63 65 20 74 68 61 74 20 74 68 65 20 42 47 50 20 73 79 6e 74 61 78 20 68	ill.notice.that.the.BGP.syntax.h
b420	61 73 20 63 68 61 6e 67 65 64 20 69 6e 20 56 79 4f 53 20 31 2e 34 20 66 72 6f 6d 20 65 76 65 6e	as.changed.in.VyOS.1.4.from.even
b440	20 74 68 65 20 70 72 69 6f 72 20 70 6f 73 74 20 61 62 6f 75 74 20 74 68 69 73 20 73 75 62 6a 65	.the.prior.post.about.this.subje
b460	63 74 2e 20 54 68 69 73 20 69 73 20 64 75 65 20 74 6f 20 54 31 37 31 31 2c 20 77 68 65 72 65 20	ct..This.is.due.to.T1711,.where.
b480	69 74 20 77 61 73 20 66 69 6e 61 6c 6c 79 20 64 65 63 69 64 65 64 20 74 6f 20 67 65 74 20 72 69	it.was.finally.decided.to.get.ri
b4a0	64 20 6f 66 20 74 68 65 20 72 65 64 75 6e 64 61 6e 74 20 42 47 50 20 41 53 4e 20 28 41 75 74 6f	d.of.the.redundant.BGP.ASN.(Auto
b4c0	6e 6f 6d 6f 75 73 20 53 79 73 74 65 6d 20 4e 75 6d 62 65 72 29 20 73 70 65 63 69 66 69 63 61 74	nomous.System.Number).specificat
b4e0	69 6f 6e 20 6f 6e 20 74 68 65 20 43 4c 49 20 61 6e 64 20 6d 6f 76 65 20 69 74 20 74 6f 20 61 20	ion.on.the.CLI.and.move.it.to.a.
b500	73 69 6e 67 6c 65 20 6c 65 61 66 20 6e 6f 64 65 20 28 73 65 74 20 70 72 6f 74 6f 63 6f 6c 73 20	single.leaf.node.(set.protocols.
b520	62 67 70 20 6c 6f 63 61 6c 2d 61 73 29 2e 00 52 65 6d 6f 74 65 20 4e 65 74 77 6f 72 6b 73 00 52	bgp.local-as)..Remote.Networks.R
b540	65 70 6c 61 63 65 20 74 68 65 20 32 30 33 2e 30 2e 31 31 33 2e 33 20 77 69 74 68 20 77 68 61 74	eplace.the.203.0.113.3.with.what
b560	65 76 65 72 20 74 68 65 20 6f 74 68 65 72 20 72 6f 75 74 65 72 27 73 20 49 50 20 61 64 64 72 65	ever.the.other.router's.IP.addre
b580	73 73 20 69 73 2e 00 52 65 71 75 65 73 74 65 64 20 61 20 22 52 65 67 75 6c 61 72 20 54 75 6e 6e	ss.is..Requested.a."Regular.Tunn
b5a0	65 6c 22 2e 20 59 6f 75 20 77 61 6e 74 20 74 6f 20 63 68 6f 6f 73 65 20 61 20 6c 6f 63 61 74 69	el"..You.want.to.choose.a.locati
b5c0	6f 6e 20 74 68 61 74 20 69 73 20 63 6c 6f 73 65 73 74 20 74 6f 20 79 6f 75 72 20 70 68 79 73 69	on.that.is.closest.to.your.physi
b5e0	63 61 6c 20 6c 6f 63 61 74 69 6f 6e 20 66 6f 72 20 74 68 65 20 62 65 73 74 20 72 65 73 70 6f 6e	cal.location.for.the.best.respon
b600	73 65 20 74 69 6d 65 2e 00 52 65 73 75 6c 74 73 00 52 6f 6c 65 00 52 6f 75 74 65 2d 42 61 73 65	se.time..Results.Role.Route-Base
b620	64 20 52 65 64 75 6e 64 61 6e 74 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 74 6f 20	d.Redundant.Site-to-Site.VPN.to.
b640	41 7a 75 72 65 20 28 42 47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f 49 50 73 65 63 29 00 52 6f 75	Azure.(BGP.over.IKEv2/IPsec).Rou
b660	74 65 2d 42 61 73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75	te-Based.Site-to-Site.VPN.to.Azu
b680	72 65 20 28 42 47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f 49 50 73 65 63 29 00 52 6f 75 74 65 2d	re.(BGP.over.IKEv2/IPsec).Route-
b6a0	46 69 6c 74 65 72 69 6e 67 00 52 6f 75 74 65 64 20 2f 34 38 2e 20 54 68 69 73 20 69 73 20 73 6f	Filtering.Routed./48..This.is.so
b6c0	6d 65 74 68 69 6e 67 20 79 6f 75 20 63 61 6e 20 72 65 71 75 65 73 74 20 62 79 20 63 6c 69 63 6b	mething.you.can.request.by.click
b6e0	69 6e 67 20 74 68 65 20 22 41 73 73 69 67 6e 20 2f 34 38 22 20 6c 69 6e 6b 20 69 6e 20 74 68 65	ing.the."Assign./48".link.in.the
b700	20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 74 75 6e 6e 65 6c 20 63 6f 6e 66 69 67 2e	.Tunnelbroker.net.tunnel.config.
b720	20 49 74 20 61 6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 68 61 76 65 20 75 70 20 74 6f 20 36 35 6b	.It.allows.you.to.have.up.to.65k
b740	00 52 6f 75 74 65 64 20 2f 36 34 2e 20 54 68 69 73 20 69 73 20 74 68 65 20 64 65 66 61 75 6c 74	.Routed./64..This.is.the.default
b760	20 61 73 73 69 67 6e 6d 65 6e 74 2e 20 49 6e 20 49 50 76 36 2d 6c 61 6e 64 2c 20 69 74 27 73 20	.assignment..In.IPv6-land,.it's.
b780	67 6f 6f 64 20 66 6f 72 20 61 20 73 69 6e 67 6c 65 20 22 4c 41 4e 22 2c 20 61 6e 64 20 69 73 20	good.for.a.single."LAN",.and.is.
b7a0	73 6f 6d 65 77 68 61 74 20 65 71 75 69 76 61 6c 65 6e 74 20 74 6f 20 61 20 2f 32 34 2e 00 52 6f	somewhat.equivalent.to.a./24..Ro
b7c0	75 74 65 72 20 41 3a 00 52 6f 75 74 65 72 20 41 64 76 65 72 74 69 73 65 6d 65 6e 74 00 52 6f 75	uter.A:.Router.Advertisement.Rou
b7e0	74 65 72 20 42 3a 00 52 6f 75 74 65 72 20 69 64 27 73 20 6d 75 73 74 20 62 65 20 75 6e 69 71 75	ter.B:.Router.id's.must.be.uniqu
b800	65 2e 00 52 75 6c 65 73 65 74 20 61 72 65 20 63 72 65 61 74 65 64 20 70 65 72 20 7a 6f 6e 65 2d	e..Ruleset.are.created.per.zone-
b820	70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 2e 00 53 65 67 6d 65 6e 74 2d 72 6f 75 74 69 6e 67 20	pair-direction..Segment-routing.
b840	49 53 2d 49 53 20 65 78 61 6d 70 6c 65 00 53 65 74 20 44 4e 53 20 73 65 72 76 65 72 20 61 64 64	IS-IS.example.Set.DNS.server.add
b860	72 65 73 73 20 69 6e 20 74 68 65 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 73 6f 20 74 68 61	ress.in.the.advertisement.so.tha
b880	74 20 63 6c 69 65 6e 74 73 20 63 61 6e 20 6f 62 74 61 69 6e 20 69 74 20 62 79 20 75 73 69 6e 67	t.clients.can.obtain.it.by.using
b8a0	20 52 44 4e 53 53 20 6f 70 74 69 6f 6e 2e 20 4d 6f 73 74 20 6f 70 65 72 61 74 69 6e 67 20 73 79	.RDNSS.option..Most.operating.sy
b8c0	73 74 65 6d 73 20 28 57 69 6e 64 6f 77 73 2c 20 4c 69 6e 75 78 2c 20 4d 61 63 29 20 73 68 6f 75	stems.(Windows,.Linux,.Mac).shou
b8e0	6c 64 20 61 6c 72 65 61 64 79 20 73 75 70 70 6f 72 74 20 69 74 2e 00 53 65 74 20 49 50 20 61 64	ld.already.support.it..Set.IP.ad
b900	64 72 65 73 73 65 73 20 6f 6e 20 61 6c 6c 20 56 50 43 73 20 61 6e 64 20 61 20 64 65 66 61 75 6c	dresses.on.all.VPCs.and.a.defaul
b920	74 20 67 61 74 65 77 61 79 20 31 37 32 2e 31 37 2e 31 2e 31 2e 20 57 65 27 6c 6c 20 75 73 65 20	t.gateway.172.17.1.1..We'll.use.
b940	69 6e 20 74 68 69 73 20 63 61 73 65 20 6f 6e 6c 79 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 2e	in.this.case.only.static.routes.
b960	20 4f 6e 20 74 68 65 20 56 79 4f 53 33 20 72 6f 75 74 65 72 2c 20 77 65 20 6e 65 65 64 20 74 6f	.On.the.VyOS3.router,.we.need.to
b980	20 63 68 61 6e 67 65 20 74 68 65 20 27 64 73 63 70 27 20 6c 61 62 65 6c 73 20 66 6f 72 20 74 68	.change.the.'dscp'.labels.for.th
b9a0	65 20 56 50 43 73 2e 20 54 6f 20 64 6f 20 74 68 69 73 2c 20 77 65 20 75 73 65 20 74 68 69 73 20	e.VPCs..To.do.this,.we.use.this.
b9c0	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 53 65 74 20 4d 54 55 20 69 6e 20 61 64 76 65 72 74	configuration..Set.MTU.in.advert
b9e0	69 73 65 6d 65 6e 74 20 74 6f 20 31 34 39 32 20 62 65 63 61 75 73 65 20 6f 66 20 50 50 50 6f 45	isement.to.1492.because.of.PPPoE
ba00	20 68 65 61 64 65 72 20 6f 76 65 72 68 65 61 64 2e 00 53 65 74 20 74 68 65 20 56 52 46 20 6e 61	.header.overhead..Set.the.VRF.na
ba20	6d 65 20 61 6e 64 20 54 61 62 6c 65 20 49 44 2c 20 73 65 74 20 69 6e 74 65 72 66 61 63 65 20 61	me.and.Table.ID,.set.interface.a
ba40	64 64 72 65 73 73 20 61 6e 64 20 62 69 6e 64 20 69 74 20 74 6f 20 74 68 65 20 56 52 46 2e 20 4c	ddress.and.bind.it.to.the.VRF..L
ba60	61 73 74 20 61 64 64 20 74 68 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 20 74 6f 20 74 68 65 20	ast.add.the.static.route.to.the.
ba80	72 65 6d 6f 74 65 20 6e 65 74 77 6f 72 6b 2e 00 53 65 74 20 74 68 65 20 63 6f 73 74 20 6f 6e 20	remote.network..Set.the.cost.on.
baa0	74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 73 20 74 6f 20 62 65 20 32 30 30 2e 20 54	the.secondary.links.to.be.200..T
bac0	68 69 73 20 6d 65 61 6e 73 20 74 68 61 74 20 74 68 65 79 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20	his.means.that.they.will.not.be.
bae0	75 73 65 64 20 75 6e 6c 65 73 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 6c 69 6e 6b 73 20 61 72	used.unless.the.primary.links.ar
bb00	65 20 64 6f 77 6e 2e 00 53 65 74 20 74 68 65 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 20 6f 6e 20	e.down..Set.the.local.subnet.on.
bb20	65 74 68 32 20 61 6e 64 20 74 68 65 20 70 75 62 6c 69 63 20 69 70 20 61 64 64 72 65 73 73 20 65	eth2.and.the.public.ip.address.e
bb40	74 68 31 20 6f 6e 20 65 61 63 68 20 73 69 74 65 2e 00 53 65 74 20 75 70 20 62 61 6e 64 77 69 64	th1.on.each.site..Set.up.bandwid
bb60	74 68 20 6c 69 6d 69 74 73 20 6f 6e 20 74 68 65 20 65 74 68 32 20 69 6e 74 65 72 66 61 63 65 20	th.limits.on.the.eth2.interface.
bb80	6f 66 20 74 68 65 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 2e 00 53 65 74 73 20	of.the.router....VyOS2.....Sets.
bba0	79 6f 75 72 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 27 73 20 49 50 20 61 64 64 72 65 73 73 00	your.LAN.interface's.IP.address.
bbc0	53 65 74 74 69 6e 67 20 42 47 50 20 67 6c 6f 62 61 6c 20 6c 6f 63 61 6c 2d 61 73 20 61 73 20 77	Setting.BGP.global.local-as.as.w
bbe0	65 6c 6c 20 69 6e 73 69 64 65 20 74 68 65 20 56 52 46 2e 20 52 65 64 69 73 74 72 69 62 75 74 65	ell.inside.the.VRF..Redistribute
bc00	20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 6f 20 69 6e 6a 65 63 74 20 63 6f 6e 66 69 67 75	.static.routes.to.inject.configu
bc20	72 65 64 20 6e 65 74 77 6f 72 6b 73 20 69 6e 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73	red.networks.into.the.BGP.proces
bc40	73 20 62 75 74 20 73 74 69 6c 6c 20 69 6e 73 69 64 65 20 74 68 65 20 56 52 46 2e 00 53 65 74 75	s.but.still.inside.the.VRF..Setu
bc60	70 20 74 68 65 20 69 70 76 36 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 74 6f 20 74 68 65 20	p.the.ipv6.default.route.to.the.
bc80	74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 00 53 68 6f 77 20 72 6f 75 74 65 73 20 66 6f 72	tunnel.interface.Show.routes.for
bca0	20 61 6c 6c 20 56 52 46 73 00 53 69 6d 69 6c 61 72 6c 79 2c 20 74 6f 20 61 74 74 61 63 68 20 74	.all.VRFs.Similarly,.to.attach.t
bcc0	68 65 20 66 69 72 65 77 61 6c 6c 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20	he.firewall,.you.would.use.`set.
bce0	69 6e 74 65 72 66 61 63 65 73 20 65 74 68 65 72 6e 65 74 20 65 74 68 30 20 66 69 72 65 77 61 6c	interfaces.ethernet.eth0.firewal
bd00	6c 20 69 6e 20 69 70 76 36 2d 6e 61 6d 65 60 20 6f 72 20 60 65 74 20 66 69 72 65 77 61 6c 6c 20	l.in.ipv6-name`.or.`et.firewall.
bd20	7a 6f 6e 65 20 4c 4f 43 41 4c 20 66 72 6f 6d 20 57 41 4e 20 66 69 72 65 77 61 6c 6c 20 69 70 76	zone.LOCAL.from.WAN.firewall.ipv
bd40	36 2d 6e 61 6d 65 60 2e 00 53 69 6e 63 65 20 73 6f 6d 65 20 49 53 50 73 20 64 69 73 63 6f 6e 6e	6-name`..Since.some.ISPs.disconn
bd60	65 63 74 73 20 63 6f 6e 74 69 6e 75 6f 75 73 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 6f 72 20 65	ects.continuous.connection.for.e
bd80	76 65 72 79 20 32 7e 33 20 64 61 79 73 2c 20 77 65 20 73 65 74 20 60 60 76 61 6c 69 64 2d 6c 69	very.2~3.days,.we.set.``valid-li
bda0	66 65 74 69 6d 65 60 60 20 74 6f 20 32 20 64 61 79 73 20 74 6f 20 61 6c 6c 6f 77 20 50 43 20 66	fetime``.to.2.days.to.allow.PC.f
bdc0	6f 72 20 70 68 61 73 69 6e 67 20 6f 75 74 20 6f 6c 64 20 61 64 64 72 65 73 73 2e 00 53 69 6e 63	or.phasing.out.old.address..Sinc
bde0	65 20 77 65 20 68 61 76 65 20 34 20 7a 6f 6e 65 73 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 73 65	e.we.have.4.zones,.we.need.to.se
be00	74 75 70 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 72 75 6c 65 73 65 74 73 2e 00 53 69 6e 67	tup.the.following.rulesets..Sing
be20	6c 65 20 4c 41 4e 20 53 65 74 75 70 00 53 69 6e 67 6c 65 20 4c 41 4e 20 73 65 74 75 70 20 77 68	le.LAN.Setup.Single.LAN.setup.wh
be40	65 72 65 20 65 74 68 32 20 69 73 20 79 6f 75 72 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 2e 20	ere.eth2.is.your.LAN.interface..
be60	55 73 65 20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 52 6f 75 74 65 64 20 2f 36 34 20	Use.the.Tunnelbroker.Routed./64.
be80	70 72 65 66 69 78 3a 00 53 6f 2c 20 77 68 65 6e 20 79 6f 75 72 20 4c 41 4e 20 69 73 20 65 74 68	prefix:.So,.when.your.LAN.is.eth
bea0	31 2c 20 79 6f 75 72 20 44 4d 5a 20 69 73 20 65 74 68 32 2c 20 79 6f 75 72 20 63 61 6d 65 72 61	1,.your.DMZ.is.eth2,.your.camera
bec0	73 20 61 72 65 20 6f 6e 20 65 74 68 33 2c 20 65 74 63 3a 00 53 6f 6d 65 74 68 69 6e 67 20 6c 69	s.are.on.eth3,.etc:.Something.li
bee0	6b 65 3a 00 53 70 6f 6b 65 00 53 74 61 72 74 20 62 79 20 73 65 74 74 69 6e 67 20 74 68 65 20 69	ke:.Spoke.Start.by.setting.the.i
bf00	6e 74 65 72 66 61 63 65 20 61 6e 64 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 66 6f 72 20	nterface.and.default.action.for.
bf20	65 61 63 68 20 7a 6f 6e 65 2e 00 53 74 61 72 74 69 6e 67 20 66 72 6f 6d 20 56 79 4f 53 20 31 2e	each.zone..Starting.from.VyOS.1.
bf40	34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 2c 20 61 20 6e 65 77 20 66 69	4-rolling-202308040557,.a.new.fi
bf60	72 65 77 61 6c 6c 20 73 74 72 75 63 74 75 72 65 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 6f 6e	rewall.structure.can.be.found.on
bf80	20 61 6c 6c 20 76 79 6f 73 20 69 6e 73 74 61 6c 61 74 69 6f 6e 73 2c 20 61 6e 64 20 7a 6f 6e 65	.all.vyos.instalations,.and.zone
bfa0	20 62 61 73 65 64 20 66 69 72 65 77 61 6c 6c 20 69 73 20 6e 6f 20 6c 6f 6e 67 65 72 20 73 75 70	.based.firewall.is.no.longer.sup
bfc0	70 6f 72 74 65 64 2e 20 44 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 66 6f 72 20 6d 6f 73 74 20 6f	ported..Documentation.for.most.o
bfe0	66 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 43 4c 49 20 63 61 6e 20 62 65 20 66 6f	f.the.new.firewall.CLI.can.be.fo
c000	75 6e 64 20 69 6e 20 74 68 65 20 60 66 69 72 65 77 61 6c 6c 20 3c 68 74 74 70 73 3a 2f 2f 64 6f	und.in.the.`firewall.<https://do
c020	63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f 6e 66 69 67 75 72 61 74 69	cs.vyos.io/en/latest/configurati
c040	6f 6e 2f 66 69 72 65 77 61 6c 6c 2f 67 65 6e 65 72 61 6c 2e 68 74 6d 6c 3e 60 5f 20 63 68 61 70	on/firewall/general.html>`_.chap
c060	74 65 72 2e 20 54 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 69 73 20 73 74 69 6c	ter..The.legacy.firewall.is.stil
c080	6c 20 61 76 61 69 6c 61 62 6c 65 20 66 6f 72 20 76 65 72 73 69 6f 6e 73 20 62 65 66 6f 72 65 20	l.available.for.versions.before.
c0a0	31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 20 61 6e 64 20 63 61 6e	1.4-rolling-202308040557.and.can
c0c0	20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 2d	.be.found.in.the.:ref:`firewall-
c0e0	6c 65 67 61 63 79 60 20 63 68 61 70 74 65 72 2e 20 54 68 65 20 65 78 61 6d 70 6c 65 73 20 69 6e	legacy`.chapter..The.examples.in
c100	20 74 68 69 73 20 73 65 63 74 69 6f 6e 20 75 73 65 20 74 68 65 20 6c 65 67 61 63 79 20 66 69 72	.this.section.use.the.legacy.fir
c120	65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 6f 6d 6d 61 6e 64 73 2c 20 73 69	ewall.configuration.commands,.si
c140	6e 63 65 20 74 68 69 73 20 66 65 61 74 75 72 65 20 68 61 73 20 62 65 65 6e 20 72 65 6d 6f 76 65	nce.this.feature.has.been.remove
c160	64 20 69 6e 20 65 61 72 6c 69 65 72 20 72 65 6c 65 61 73 65 73 2e 00 53 74 65 70 20 31 3a 20 56	d.in.earlier.releases..Step.1:.V
c180	52 46 20 61 6e 64 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 74 6f 20 72 65 6d 6f 74 65 20	RF.and.Configurations.to.remote.
c1a0	6e 65 74 77 6f 72 6b 73 00 53 74 65 70 20 32 3a 20 42 47 50 20 43 6f 6e 66 69 67 75 72 61 74 69	networks.Step.2:.BGP.Configurati
c1c0	6f 6e 20 66 6f 72 20 56 52 46 2d 4c 69 74 65 00 53 74 65 70 20 33 3a 20 56 50 4e 20 43 6f 6e 66	on.for.VRF-Lite.Step.3:.VPN.Conf
c1e0	69 67 75 72 61 74 69 6f 6e 00 53 74 65 70 20 34 3a 20 45 6e 64 20 74 6f 20 45 6e 64 20 76 65 72	iguration.Step.4:.End.to.End.ver
c200	69 66 69 63 61 74 69 6f 6e 00 53 74 65 70 2d 31 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 49 47	ification.Step-1:.Configuring.IG
c220	50 20 61 6e 64 20 65 6e 61 62 6c 69 6e 67 20 4d 50 4c 53 20 4c 44 50 00 53 74 65 70 2d 32 3a 20	P.and.enabling.MPLS.LDP.Step-2:.
c240	43 6f 6e 66 69 67 75 72 69 6e 67 20 69 42 47 50 20 66 6f 72 20 4c 33 56 50 4e 20 63 6f 6e 74 72	Configuring.iBGP.for.L3VPN.contr
c260	6f 6c 2d 70 6c 61 6e 65 00 53 74 65 70 2d 33 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 4c 33 56	ol-plane.Step-3:.Configuring.L3V
c280	50 4e 20 56 52 46 73 20 6f 6e 20 50 45 20 6e 6f 64 65 73 00 53 74 65 70 2d 34 3a 20 43 6f 6e 66	PN.VRFs.on.PE.nodes.Step-4:.Conf
c2a0	69 67 75 72 69 6e 67 20 43 45 20 6e 6f 64 65 73 00 53 74 65 70 2d 35 3a 20 56 65 72 69 66 69 63	iguring.CE.nodes.Step-5:.Verific
c2c0	61 74 69 6f 6e 00 54 65 6e 61 6e 74 20 6e 65 74 77 6f 72 6b 73 20 28 56 52 46 73 29 00 54 65 73	ation.Tenant.networks.(VRFs).Tes
c2e0	74 20 4f 53 50 46 00 54 65 73 74 20 57 69 72 65 47 75 61 72 64 00 54 65 73 74 20 74 68 65 20 72	t.OSPF.Test.WireGuard.Test.the.r
c300	65 73 75 6c 74 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 32 2d 32 34 00 54 65 73 74 64	esult.Testdate:.2023-02-24.Testd
c320	61 74 65 3a 20 32 30 32 33 2d 30 35 2d 31 31 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30	ate:.2023-05-11.Testdate:.2023-0
c340	38 2d 33 31 00 54 65 73 74 69 6e 67 00 54 65 73 74 69 6e 67 20 61 6e 64 20 64 65 62 75 67 67 69	8-31.Testing.Testing.and.debuggi
c360	6e 67 00 54 68 61 74 27 73 20 68 6f 77 20 79 6f 75 20 63 61 6e 20 65 78 70 61 6e 64 20 74 68 65	ng.That's.how.you.can.expand.the
c380	20 65 78 61 6d 70 6c 65 20 61 62 6f 76 65 2e 20 55 73 65 20 74 68 65 20 60 52 6f 75 74 65 64 20	.example.above..Use.the.`Routed.
c3a0	2f 34 38 60 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 54 68 69 73 20 61 6c 6c 6f 77 73 20 79 6f	/48`.information..This.allows.yo
c3c0	75 20 74 6f 20 61 73 73 69 67 6e 20 61 20 64 69 66 66 65 72 65 6e 74 20 2f 36 34 20 74 6f 20 65	u.to.assign.a.different./64.to.e
c3e0	76 65 72 79 20 69 6e 74 65 72 66 61 63 65 2c 20 4c 41 4e 2c 20 6f 72 20 65 76 65 6e 20 64 65 76	very.interface,.LAN,.or.even.dev
c400	69 63 65 2e 20 4f 72 20 79 6f 75 20 63 6f 75 6c 64 20 62 72 65 61 6b 20 79 6f 75 72 20 6e 65 74	ice..Or.you.could.break.your.net
c420	77 6f 72 6b 20 69 6e 74 6f 20 73 6d 61 6c 6c 65 72 20 63 68 75 6e 6b 73 20 6c 69 6b 65 20 2f 35	work.into.smaller.chunks.like./5
c440	36 20 6f 72 20 2f 36 30 2e 00 54 68 65 20 4c 61 62 20 61 73 75 6d 65 20 61 20 66 75 6c 6c 20 72	6.or./60..The.Lab.asume.a.full.r
c460	75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 6f 6e 20 74 68 65 20 57	unning.Active.Directory.on.the.W
c480	69 6e 64 6f 77 73 20 53 65 72 76 65 72 2e 20 48 65 72 65 20 61 72 65 20 73 6f 6d 65 20 50 6f 77	indows.Server..Here.are.some.Pow
c4a0	65 72 53 68 65 6c 6c 20 63 6f 6d 6d 61 6e 64 73 20 74 6f 20 71 75 69 63 6b 6c 79 20 61 64 64 20	erShell.commands.to.quickly.add.
c4c0	61 20 54 65 73 74 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 2e 00 54 68 65 20 54 6f 70	a.Test.Active.Directory..The.Top
c4e0	6f 6c 6f 67 79 20 61 72 65 20 63 6f 6e 73 69 73 74 73 20 6f 66 3a 00 54 68 65 20 56 79 4f 53 20	ology.are.consists.of:.The.VyOS.
c500	69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 20 74 68 65 20 2e 31 2f 3a 31 20	interface.is.assigned.the..1/:1.
c520	61 64 64 72 65 73 73 20 6f 66 20 74 68 65 69 72 20 72 65 73 70 65 63 74 69 76 65 20 6e 65 74 77	address.of.their.respective.netw
c540	6f 72 6b 73 2e 20 57 41 4e 20 69 73 20 6f 6e 20 56 4c 41 4e 20 31 30 2c 20 4c 41 4e 20 6f 6e 20	orks..WAN.is.on.VLAN.10,.LAN.on.
c560	56 4c 41 4e 20 32 30 2c 20 61 6e 64 20 44 4d 5a 20 6f 6e 20 56 4c 41 4e 20 33 30 2e 00 54 68 65	VLAN.20,.and.DMZ.on.VLAN.30..The
c580	20 60 60 63 6f 6d 6d 69 74 60 60 20 63 6f 6d 6d 61 6e 64 20 69 73 20 69 6d 70 6c 69 65 64 20 61	.``commit``.command.is.implied.a
c5a0	66 74 65 72 20 65 76 65 72 79 20 73 65 63 74 69 6f 6e 2e 20 49 66 20 79 6f 75 20 6d 61 6b 65 20	fter.every.section..If.you.make.
c5c0	61 6e 20 65 72 72 6f 72 2c 20 60 60 63 6f 6d 6d 69 74 60 60 20 77 69 6c 6c 20 77 61 72 6e 20 79	an.error,.``commit``.will.warn.y
c5e0	6f 75 20 61 6e 64 20 79 6f 75 20 63 61 6e 20 66 69 78 20 69 74 20 62 65 66 6f 72 65 20 67 65 74	ou.and.you.can.fix.it.before.get
c600	74 69 6e 67 20 74 6f 6f 20 66 61 72 20 69 6e 74 6f 20 74 68 69 6e 67 73 2e 20 50 6c 65 61 73 65	ting.too.far.into.things..Please
c620	20 65 6e 73 75 72 65 20 79 6f 75 20 63 6f 6d 6d 69 74 20 65 61 72 6c 79 20 61 6e 64 20 63 6f 6d	.ensure.you.commit.early.and.com
c640	6d 69 74 20 6f 66 74 65 6e 2e 00 54 68 65 20 60 60 72 65 64 69 73 74 72 69 62 75 74 65 20 6f 73	mit.often..The.``redistribute.os
c660	70 66 60 60 20 63 6f 6d 6d 61 6e 64 20 69 73 20 74 68 65 72 65 20 70 75 72 65 6c 79 20 61 73 20	pf``.command.is.there.purely.as.
c680	61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 68 6f 77 20 74 68 69 73 20 63 61 6e 20 62 65 20 65 78	an.example.of.how.this.can.be.ex
c6a0	70 61 6e 64 65 64 2e 20 49 6e 20 74 68 69 73 20 77 61 6c 6b 74 68 72 6f 75 67 68 2c 20 69 74 20	panded..In.this.walkthrough,.it.
c6c0	77 69 6c 6c 20 62 65 20 66 69 6c 74 65 72 65 64 20 62 79 20 42 47 50 4f 55 54 20 72 75 6c 65 20	will.be.filtered.by.BGPOUT.rule.
c6e0	31 30 30 30 30 2c 20 61 73 20 69 74 20 69 73 20 6e 6f 74 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f	10000,.as.it.is.not.203.0.113.0/
c700	32 34 2e 00 54 68 65 20 62 65 6c 6f 77 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 73 20 75	24..The.below.configuration.is.u
c720	73 65 64 20 61 73 20 65 78 61 6d 70 6c 65 20 77 68 65 72 65 20 77 65 20 6b 65 65 70 20 66 6f 63	sed.as.example.where.we.keep.foc
c740	75 73 20 6f 6e 20 56 79 4f 53 2d 50 31 2f 56 79 4f 53 2d 50 32 2f 58 52 76 2d 50 33 20 77 68 69	us.on.VyOS-P1/VyOS-P2/XRv-P3.whi
c760	63 68 20 77 65 20 73 68 61 72 65 20 74 68 65 20 73 65 74 74 69 6e 67 73 2e 00 54 68 65 20 63 6f	ch.we.share.the.settings..The.co
c780	6e 66 69 67 75 72 61 74 69 6f 6e 20 73 74 65 70 73 20 61 72 65 20 74 68 65 20 73 61 6d 65 20 61	nfiguration.steps.are.the.same.a
c7a0	73 20 69 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 65 78 63 65 70	s.in.the.previous.example,.excep
c7c0	74 20 72 75 6c 65 20 31 30 2e 20 53 6f 20 77 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67	t.rule.10..So.we.keep.the.config
c7e0	75 72 61 74 69 6f 6e 2c 20 72 65 6d 6f 76 65 20 72 75 6c 65 20 31 30 20 61 6e 64 20 61 64 64 20	uration,.remove.rule.10.and.add.
c800	61 20 6e 65 77 20 72 75 6c 65 20 66 6f 72 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 6d 6f 64 65	a.new.rule.for.the.failover.mode
c820	3a 00 54 68 65 20 65 78 61 6d 70 6c 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 73 20 32 20 56 79 4f	:.The.example.topology.has.2.VyO
c840	53 20 72 6f 75 74 65 72 73 2e 20 4f 6e 65 20 61 73 20 54 68 65 20 57 41 4e 20 52 6f 75 74 65 72	S.routers..One.as.The.WAN.Router
c860	20 61 6e 64 20 6f 6e 20 61 73 20 61 20 43 6c 69 65 6e 74 2c 20 74 6f 20 74 65 73 74 20 61 20 73	.and.on.as.a.Client,.to.test.a.s
c880	69 6e 67 6c 65 20 4c 41 4e 20 73 65 74 75 70 00 54 68 65 20 66 69 72 73 74 20 74 77 6f 20 72 75	ingle.LAN.setup.The.first.two.ru
c8a0	6c 65 73 20 61 72 65 20 74 6f 20 64 65 61 6c 20 77 69 74 68 20 74 68 65 20 69 64 69 6f 73 79 6e	les.are.to.deal.with.the.idiosyn
c8c0	63 72 61 73 69 65 73 20 6f 66 20 56 79 4f 53 20 61 6e 64 20 69 70 74 61 62 6c 65 73 2e 00 54 68	crasies.of.VyOS.and.iptables..Th
c8e0	65 20 66 6f 6c 6c 6f 77 69 6e 67 20 61 72 65 20 74 68 65 20 72 75 6c 65 73 20 74 68 61 74 20 77	e.following.are.the.rules.that.w
c900	65 72 65 20 63 72 65 61 74 65 64 20 66 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 28 6d 61	ere.created.for.this.example.(ma
c920	79 20 6e 6f 74 20 62 65 20 63 6f 6d 70 6c 65 74 65 29 2c 20 62 6f 74 68 20 69 6e 20 49 50 76 34	y.not.be.complete),.both.in.IPv4
c940	20 61 6e 64 20 49 50 76 36 2e 20 49 66 20 74 68 65 72 65 20 69 73 20 6e 6f 20 49 50 20 73 70 65	.and.IPv6..If.there.is.no.IP.spe
c960	63 69 66 69 65 64 2c 20 74 68 65 6e 20 74 68 65 20 73 6f 75 72 63 65 2f 64 65 73 74 69 6e 61 74	cified,.then.the.source/destinat
c980	69 6f 6e 20 61 64 64 72 65 73 73 20 69 73 20 6e 6f 74 20 65 78 70 6c 69 63 69 74 2e 00 54 68 65	ion.address.is.not.explicit..The
c9a0	20 66 6f 6c 6c 6f 77 69 6e 67 20 73 6f 66 74 77 61 72 65 20 77 61 73 20 75 73 65 64 20 69 6e 20	.following.software.was.used.in.
c9c0	74 68 65 20 63 72 65 61 74 69 6f 6e 20 6f 66 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 3a 00 54	the.creation.of.this.document:.T
c9e0	68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 74 65 6d 70 6c 61 74 65 20 63 6f 6e 66 69 67 75 72 61 74	he.following.template.configurat
ca00	69 6f 6e 20 63 61 6e 20 62 65 20 75 73 65 64 20 69 6e 20 65 61 63 68 20 72 65 6d 6f 74 65 20 72	ion.can.be.used.in.each.remote.r
ca20	6f 75 74 65 72 20 62 61 73 65 64 20 69 6e 20 6f 75 72 20 74 6f 70 6f 6c 6f 67 79 2e 00 54 68 65	outer.based.in.our.topology..The
ca40	20 66 6f 72 6d 61 74 20 6f 66 20 74 68 65 73 65 20 61 64 64 72 65 73 73 65 73 3a 00 54 68 65 20	.format.of.these.addresses:.The.
ca60	6c 61 62 20 49 20 62 75 69 6c 74 20 69 73 20 75 73 69 6e 67 20 61 20 56 52 46 20 28 63 61 6c 6c	lab.I.built.is.using.a.VRF.(call
ca80	65 64 20 2a 2a 6d 67 6d 74 2a 2a 29 20 74 6f 20 70 72 6f 76 69 64 65 20 6f 75 74 2d 6f 66 2d 62	ed.mgmt).to.provide.out-of-b
caa0	61 6e 64 20 53 53 48 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 50 45 20 28 50 72 6f 76 69 64	and.SSH.access.to.the.PE.(Provid
cac0	65 72 20 45 64 67 65 29 20 72 6f 75 74 65 72 73 2e 00 54 68 65 20 6e 65 78 74 20 70 61 67 65 73	er.Edge).routers..The.next.pages
cae0	20 63 6f 6e 74 61 69 6e 73 20 61 75 74 6f 6d 61 74 69 63 20 66 75 6c 6c 20 74 65 73 74 65 64 20	.contains.automatic.full.tested.
cb00	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 73 2e 00 54 68 65 20 70 72 65 76	configuration.examples..The.prev
cb20	69 6f 75 73 20 65 78 61 6d 70 6c 65 20 75 73 65 64 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 63	ious.example.used.the.failover.c
cb40	6f 6d 6d 61 6e 64 20 74 6f 20 73 65 6e 64 20 74 72 61 66 66 69 63 20 74 68 72 6f 75 67 68 20 65	ommand.to.send.traffic.through.e
cb60	74 68 31 20 69 66 20 65 74 68 30 20 66 61 69 6c 73 2e 20 49 6e 20 74 68 69 73 20 65 78 61 6d 70	th1.if.eth0.fails..In.this.examp
cb80	6c 65 2c 20 66 61 69 6c 6f 76 65 72 20 66 75 6e 63 74 69 6f 6e 61 6c 69 74 79 20 69 73 20 70 72	le,.failover.functionality.is.pr
cba0	6f 76 69 64 65 64 20 62 79 20 72 75 6c 65 20 6f 72 64 65 72 2e 00 54 68 65 20 70 72 6f 63 65 73	ovided.by.rule.order..The.proces
cbc0	73 20 77 69 6c 6c 20 64 6f 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 73 74 65 70 73 3a 00 54	s.will.do.the.following.steps:.T
cbe0	68 65 20 73 63 6f 70 65 20 6f 66 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20	he.scope.of.this.document.is.to.
cc00	63 6f 76 65 72 20 73 75 63 68 20 63 61 73 65 73 20 69 6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61	cover.such.cases.in.a.dynamic.wa
cc20	79 20 77 69 74 68 6f 75 74 20 74 68 65 20 75 73 65 20 6f 66 20 4d 50 4c 53 2d 4c 44 50 2e 00 54	y.without.the.use.of.MPLS-LDP..T
cc40	68 65 20 73 65 74 75 70 20 75 73 65 64 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 69 73	he.setup.used.in.this.example.is
cc60	20 73 68 6f 77 6e 20 69 6e 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 64 69 61 67 72 61 6d 3a	.shown.in.the.following.diagram:
cc80	00 54 68 65 20 73 69 6d 70 6c 65 73 74 20 77 61 79 20 74 6f 20 74 65 73 74 20 69 73 20 74 6f 20	.The.simplest.way.to.test.is.to.
cca0	6c 6f 6f 6b 20 61 74 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 72 61 63 6b 69 6e 67 20	look.at.the.connection.tracking.
ccc0	73 74 61 74 73 20 6f 6e 20 74 68 65 20 73 74 61 6e 64 62 79 20 68 61 72 64 77 61 72 65 20 72 6f	stats.on.the.standby.hardware.ro
cce0	75 74 65 72 20 77 69 74 68 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 68 6f 77 20 63 6f 6e	uter.with.the.command.``show.con
cd00	6e 74 72 61 63 6b 2d 73 79 6e 63 20 73 74 61 74 69 73 74 69 63 73 60 60 2e 20 54 68 65 20 6e 75	ntrack-sync.statistics``..The.nu
cd20	6d 62 65 72 73 20 73 68 6f 75 6c 64 20 62 65 20 76 65 72 79 20 63 6c 6f 73 65 20 74 6f 20 74 68	mbers.should.be.very.close.to.th
cd40	65 20 6e 75 6d 62 65 72 73 20 6f 6e 20 74 68 65 20 70 72 69 6d 61 72 79 20 72 6f 75 74 65 72 2e	e.numbers.on.the.primary.router.
cd60	00 54 68 65 20 73 79 6e 63 20 67 72 6f 75 70 20 69 73 20 75 73 65 64 20 74 6f 20 72 65 70 6c 69	.The.sync.group.is.used.to.repli
cd80	63 61 74 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 72 61 63 6b 69 6e 67 2e 20 49 74 20 6e 65 65	cate.connection.tracking..It.nee
cda0	64 73 20 74 6f 20 62 65 20 61 73 73 69 67 6e 65 64 20 74 6f 20 61 20 72 61 6e 64 6f 6d 20 56 52	ds.to.be.assigned.to.a.random.VR
cdc0	52 50 20 67 72 6f 75 70 2c 20 61 6e 64 20 77 65 20 61 72 65 20 63 72 65 61 74 69 6e 67 20 61 20	RP.group,.and.we.are.creating.a.
cde0	73 79 6e 63 20 67 72 6f 75 70 20 63 61 6c 6c 65 64 20 60 60 73 79 6e 63 60 60 20 75 73 69 6e 67	sync.group.called.``sync``.using
ce00	20 74 68 65 20 76 72 72 70 20 67 72 6f 75 70 20 60 60 69 6e 74 60 60 2e 00 54 68 65 20 74 6f 70	.the.vrrp.group.``int``..The.top
ce20	6f 6c 6f 67 79 20 68 61 73 20 33 20 56 79 4f 53 20 72 6f 75 74 65 72 73 20 61 6e 64 20 6f 6e 65	ology.has.3.VyOS.routers.and.one
ce40	20 63 6c 69 65 6e 74 2e 20 42 65 74 77 65 65 6e 20 74 68 65 20 44 48 43 50 20 53 65 72 76 65 72	.client..Between.the.DHCP.Server
ce60	20 61 6e 64 20 74 68 65 20 44 48 43 50 20 52 65 6c 61 79 20 69 73 20 61 20 47 52 45 20 74 75 6e	.and.the.DHCP.Relay.is.a.GRE.tun
ce80	6e 65 6c 2e 20 54 68 65 20 60 74 72 61 6e 73 70 6f 72 74 60 20 56 79 4f 53 20 72 65 70 72 65 73	nel..The.`transport`.VyOS.repres
cea0	65 6e 74 20 61 20 6c 61 72 67 65 20 4e 65 74 77 6f 72 6b 2e 00 54 68 65 20 74 6f 70 6f 6c 6f 67	ent.a.large.Network..The.topolog
cec0	79 20 68 61 76 65 20 61 20 63 65 6e 74 72 61 6c 20 61 6e 64 20 61 20 62 72 61 6e 63 68 20 56 79	y.have.a.central.and.a.branch.Vy
cee0	4f 53 20 72 6f 75 74 65 72 20 61 6e 64 20 6f 6e 65 20 63 6c 69 65 6e 74 2c 20 74 6f 20 74 65 73	OS.router.and.one.client,.to.tes
cf00	74 2c 20 69 6e 20 65 61 63 68 20 73 69 74 65 2e 00 54 68 65 6e 20 61 64 64 20 61 20 72 6f 75 74	t,.in.each.site..Then.add.a.rout
cf20	65 2d 6d 61 70 20 61 6e 64 20 72 65 66 65 72 65 6e 63 65 20 74 6f 20 61 62 6f 76 65 20 70 72 65	e-map.and.reference.to.above.pre
cf40	66 69 78 2e 20 43 6f 6e 73 69 64 65 72 20 74 68 61 74 20 74 68 65 20 61 63 74 69 6f 6e 73 20 74	fix..Consider.that.the.actions.t
cf60	61 6b 65 6e 20 69 6e 73 69 64 65 20 74 68 65 20 70 72 65 66 69 78 20 77 69 6c 6c 20 4d 41 54 43	aken.inside.the.prefix.will.MATC
cf80	48 20 74 68 65 20 72 6f 75 74 65 73 20 74 68 61 74 20 77 69 6c 6c 20 62 65 20 61 66 66 65 63 74	H.the.routes.that.will.be.affect
cfa0	65 64 20 62 79 20 74 68 65 20 61 63 74 69 6f 6e 73 20 69 6e 73 69 64 65 20 74 68 65 20 72 75 6c	ed.by.the.actions.inside.the.rul
cfc0	65 73 20 6f 66 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 2e 00 54 68 65 6e 20 77 65 20 6e 65 65	es.of.the.route-map..Then.we.nee
cfe0	64 20 74 6f 20 61 74 74 61 63 68 20 74 68 65 20 70 6f 6c 69 63 79 20 74 6f 20 74 68 65 20 42 47	d.to.attach.the.policy.to.the.BG
d000	50 20 70 72 6f 63 65 73 73 2e 20 54 68 69 73 20 6e 65 65 64 73 20 74 6f 20 62 65 20 75 6e 64 65	P.process..This.needs.to.be.unde
d020	72 20 74 68 65 20 69 6d 70 6f 72 74 20 73 74 61 74 65 6d 65 6e 74 20 69 6e 20 74 68 65 20 76 72	r.the.import.statement.in.the.vr
d040	66 20 77 65 20 6e 65 65 64 20 74 6f 20 66 69 6c 74 65 72 2e 00 54 68 65 72 65 20 61 72 65 20 73	f.we.need.to.filter..There.are.s
d060	6f 6d 65 20 63 61 73 65 73 20 77 68 65 72 65 20 74 68 69 73 20 69 73 20 6e 6f 74 20 6e 65 65 64	ome.cases.where.this.is.not.need
d080	65 64 20 2d 66 6f 72 20 65 78 61 6d 70 6c 65 2c 20 69 6e 20 73 6f 6d 65 20 44 44 6f 53 20 61 70	ed.-for.example,.in.some.DDoS.ap
d0a0	70 6c 69 61 6e 63 65 2d 20 62 75 74 20 6d 6f 73 74 20 69 6e 74 65 72 2d 76 72 66 20 72 6f 75 74	pliance-.but.most.inter-vrf.rout
d0c0	69 6e 67 20 64 65 73 69 67 6e 73 20 75 73 65 20 74 68 65 20 61 62 6f 76 65 20 63 6f 6e 66 69 67	ing.designs.use.the.above.config
d0e0	75 72 61 74 69 6f 6e 73 2e 00 54 68 65 72 65 20 69 73 20 70 6c 65 6e 74 79 20 6f 66 20 69 6e 73	urations..There.is.plenty.of.ins
d100	74 72 75 63 74 69 6f 6e 73 20 61 6e 64 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 6f 6e 20 73	tructions.and.documentation.on.s
d120	65 74 74 69 6e 67 20 75 70 20 57 69 72 65 67 75 61 72 64 2e 20 54 68 65 20 6f 6e 6c 79 20 69 6d	etting.up.Wireguard..The.only.im
d140	70 6f 72 74 61 6e 74 20 74 68 69 6e 67 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 72 65 6d 65 6d 62	portant.thing.you.need.to.rememb
d160	65 72 20 69 73 20 74 6f 20 6f 6e 6c 79 20 75 73 65 20 6f 6e 65 20 57 69 72 65 47 75 61 72 64 20	er.is.to.only.use.one.WireGuard.
d180	69 6e 74 65 72 66 61 63 65 20 70 65 72 20 4f 53 50 46 20 63 6f 6e 6e 65 63 74 69 6f 6e 2e 00 54	interface.per.OSPF.connection..T
d1a0	68 65 73 65 20 61 72 65 20 74 68 65 20 76 6c 61 6e 73 20 77 65 20 77 69 6c 6c 20 62 65 20 75 73	hese.are.the.vlans.we.will.be.us
d1c0	69 6e 67 3a 00 54 68 65 79 20 77 61 6e 74 20 75 73 20 74 6f 20 65 73 74 61 62 6c 69 73 68 20 61	ing:.They.want.us.to.establish.a
d1e0	20 42 47 50 20 73 65 73 73 69 6f 6e 20 74 6f 20 74 68 65 69 72 20 72 6f 75 74 65 72 73 20 6f 6e	.BGP.session.to.their.routers.on
d200	20 31 39 32 2e 30 2e 32 2e 31 31 20 61 6e 64 20 31 39 32 2e 30 2e 32 2e 31 32 20 66 72 6f 6d 20	.192.0.2.11.and.192.0.2.12.from.
d220	6f 75 72 20 72 6f 75 74 65 72 73 20 31 39 32 2e 30 2e 32 2e 32 31 20 61 6e 64 20 31 39 32 2e 30	our.routers.192.0.2.21.and.192.0
d240	2e 32 2e 32 32 2e 20 54 68 65 79 20 61 72 65 20 41 53 20 36 35 35 35 30 20 61 6e 64 20 77 65 20	.2.22..They.are.AS.65550.and.we.
d260	61 72 65 20 41 53 20 36 35 35 35 31 2e 00 54 68 69 73 20 4c 41 42 20 73 68 6f 77 20 68 6f 77 20	are.AS.65551..This.LAB.show.how.
d280	74 6f 20 75 77 65 20 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 61 20 41 63 74 69 76 65 20 44 69 72	to.uwe.OpenVPN.with.a.Active.Dir
d2a0	65 63 74 6f 72 79 20 61 75 74 68 65 6e 74 69 63 61 74 69 6f 6e 20 62 61 63 6b 65 6e 64 2e 00 54	ectory.authentication.backend..T
d2c0	68 69 73 20 61 63 63 6f 6d 70 6c 69 73 68 65 73 20 61 20 66 65 77 20 74 68 69 6e 67 73 3a 00 54	his.accomplishes.a.few.things:.T
d2e0	68 69 73 20 63 68 61 70 74 65 72 20 63 6f 6e 74 61 69 6e 73 20 76 61 72 69 6f 75 73 20 63 6f 6e	his.chapter.contains.various.con
d300	66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 73 3a 00 54 68 69 73 20 63 6f 6e 66 69 67	figuration.examples:.This.config
d320	75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 20 61 6e 64 20 74 68 65 20 72 65 71 75 69 72 6d 65	uration.example.and.the.requirme
d340	6e 74 73 20 63 6f 6e 73 69 73 74 73 20 6f 6e 3a 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 61	nts.consists.on:.This.document.a
d360	69 6d 73 20 74 6f 20 77 61 6c 6b 20 79 6f 75 20 74 68 72 6f 75 67 68 20 73 65 74 74 69 6e 67 20	ims.to.walk.you.through.setting.
d380	65 76 65 72 79 74 68 69 6e 67 20 75 70 2c 20 73 6f 20 61 74 20 61 20 70 6f 69 6e 74 20 77 68 65	everything.up,.so.at.a.point.whe
d3a0	72 65 20 79 6f 75 20 63 61 6e 20 72 65 62 6f 6f 74 20 61 6e 79 20 6d 61 63 68 69 6e 65 20 61 6e	re.you.can.reboot.any.machine.an
d3c0	64 20 6e 6f 74 20 6c 6f 73 65 20 6d 6f 72 65 20 74 68 61 6e 20 61 20 66 65 77 20 73 65 63 6f 6e	d.not.lose.more.than.a.few.secon
d3e0	64 73 20 77 6f 72 74 68 20 6f 66 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 2e 00 54 68 69 73 20 64	ds.worth.of.connectivity..This.d
d400	6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 64 65 73 63 72 69 62 65 20 61 20 62 61 73 69 63 20 73	ocument.is.to.describe.a.basic.s
d420	65 74 75 70 20 75 73 69 6e 67 20 50 50 50 6f 45 20 77 69 74 68 20 44 48 43 50 76 36 2d 50 44 20	etup.using.PPPoE.with.DHCPv6-PD.
d440	2b 20 53 4c 41 41 43 20 74 6f 20 63 6f 6e 73 74 72 75 63 74 20 61 20 74 79 70 69 63 61 6c 20 68	+.SLAAC.to.construct.a.typical.h
d460	6f 6d 65 20 6e 65 74 77 6f 72 6b 2e 20 54 68 65 20 75 73 65 72 20 63 61 6e 20 66 6f 6c 6c 6f 77	ome.network..The.user.can.follow
d480	20 74 68 65 20 73 74 65 70 73 20 64 65 73 63 72 69 62 65 64 20 68 65 72 65 20 74 6f 20 71 75 69	.the.steps.described.here.to.qui
d4a0	63 6b 6c 79 20 73 65 74 75 70 20 61 20 77 6f 72 6b 69 6e 67 20 6e 65 74 77 6f 72 6b 20 61 6e 64	ckly.setup.a.working.network.and
d4c0	20 75 73 65 20 74 68 69 73 20 61 73 20 61 20 73 74 61 72 74 69 6e 67 20 70 6f 69 6e 74 20 74 6f	.use.this.as.a.starting.point.to
d4e0	20 66 75 72 74 68 65 72 20 63 6f 6e 66 69 67 75 72 65 20 6f 72 20 66 69 6e 65 2d 74 75 6e 65 20	.further.configure.or.fine-tune.
d500	6f 74 68 65 72 20 73 65 74 74 69 6e 67 73 2e 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77 61	other.settings..This.document.wa
d520	6c 6b 73 20 79 6f 75 20 74 68 72 6f 75 67 68 20 61 20 63 6f 6d 70 6c 65 74 65 20 48 41 20 73 65	lks.you.through.a.complete.HA.se
d540	74 75 70 20 6f 66 20 74 77 6f 20 56 79 4f 53 20 6d 61 63 68 69 6e 65 73 2e 20 54 68 69 73 20 64	tup.of.two.VyOS.machines..This.d
d560	65 73 69 67 6e 20 69 73 20 62 61 73 65 64 20 6f 6e 20 61 20 56 4d 20 61 73 20 74 68 65 20 70 72	esign.is.based.on.a.VM.as.the.pr
d580	69 6d 61 72 79 20 72 6f 75 74 65 72 20 61 6e 64 20 61 20 70 68 79 73 69 63 61 6c 20 6d 61 63 68	imary.router.and.a.physical.mach
d5a0	69 6e 65 20 61 73 20 61 20 62 61 63 6b 75 70 2c 20 75 73 69 6e 67 20 56 52 52 50 2c 20 42 47 50	ine.as.a.backup,.using.VRRP,.BGP
d5c0	2c 20 4f 53 50 46 2c 20 61 6e 64 20 63 6f 6e 6e 74 72 61 63 6b 20 73 68 61 72 69 6e 67 2e 00 54	,.OSPF,.and.conntrack.sharing..T
d5e0	68 69 73 20 65 6e 73 75 72 65 73 20 79 6f 75 20 64 6f 6e 27 74 20 67 6f 20 74 6f 6f 20 66 61 73	his.ensures.you.don't.go.too.fas
d600	74 20 6f 72 20 6d 69 73 73 20 61 20 73 74 65 70 2e 20 48 6f 77 65 76 65 72 2c 20 69 74 20 77 69	t.or.miss.a.step..However,.it.wi
d620	6c 6c 20 6d 61 6b 65 20 79 6f 75 72 20 6c 69 66 65 20 65 61 73 69 65 72 20 74 6f 20 63 6f 6e 66	ll.make.your.life.easier.to.conf
d640	69 67 75 72 65 20 74 68 65 20 66 69 78 65 64 20 49 50 20 61 64 64 72 65 73 73 20 61 6e 64 20 64	igure.the.fixed.IP.address.and.d
d660	65 66 61 75 6c 74 20 72 6f 75 74 65 20 6e 6f 77 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65	efault.route.now.on.the.hardware
d680	20 72 6f 75 74 65 72 2e 00 54 68 69 73 20 65 78 61 6d 70 6c 65 20 75 73 65 73 20 74 68 65 20 66	.router..This.example.uses.the.f
d6a0	61 69 6c 6f 76 65 72 20 6d 6f 64 65 2e 00 54 68 69 73 20 67 69 76 65 73 20 75 73 20 4d 50 4c 53	ailover.mode..This.gives.us.MPLS
d6c0	20 73 65 67 6d 65 6e 74 20 72 6f 75 74 69 6e 67 20 65 6e 61 62 6c 65 64 20 61 6e 64 20 6c 61 62	.segment.routing.enabled.and.lab
d6e0	65 6c 73 20 66 6f 72 77 61 72 64 69 6e 67 20 3a 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77	els.forwarding.:.This.guide.show
d700	73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 20 72 65 64 75 6e 64 61 6e 74 20 28 61 63 74	s.an.example.of.a.redundant.(act
d720	69 76 65 2d 61 63 74 69 76 65 29 20 72 6f 75 74 65 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69	ive-active).route-based.IKEv2.si
d740	74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 75 73 69 6e 67 20 56 54	te-to-site.VPN.to.Azure.using.VT
d760	49 20 61 6e 64 20 42 47 50 20 66 6f 72 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 70	I.and.BGP.for.dynamic.routing.up
d780	64 61 74 65 73 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70	dates..This.guide.shows.an.examp
d7a0	6c 65 20 6f 66 20 61 20 72 6f 75 74 65 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74	le.of.a.route-based.IKEv2.site-t
d7c0	6f 2d 73 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 75 73 69 6e 67 20 56 54 49 20 61 6e	o-site.VPN.to.Azure.using.VTI.an
d7e0	64 20 42 47 50 20 66 6f 72 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 70 64 61 74 65	d.BGP.for.dynamic.routing.update
d800	73 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 70	s..This.guide.shows.an.example.p
d820	6f 6c 69 63 79 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56	olicy-based.IKEv2.site-to-site.V
d840	50 4e 20 62 65 74 77 65 65 6e 20 74 77 6f 20 56 79 4f 53 20 72 6f 75 74 65 72 73 2c 20 61 6e 64	PN.between.two.VyOS.routers,.and
d860	20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 69 75 72 61 74 69 6f 6e 2e 00 54 68 69 73 20 67	.firewall.configiuration..This.g
d880	75 69 64 65 20 77 61 6c 6b 73 20 74 68 72 6f 75 67 68 20 74 68 65 20 73 65 74 75 70 20 6f 66 20	uide.walks.through.the.setup.of.
d8a0	68 74 74 70 73 3a 2f 2f 77 77 77 2e 74 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 20 66 6f	https://www.tunnelbroker.net/.fo
d8c0	72 20 61 6e 20 49 50 76 36 20 54 75 6e 6e 65 6c 2e 00 54 68 69 73 20 68 61 73 20 61 20 66 6c 6f	r.an.IPv6.Tunnel..This.has.a.flo
d8e0	61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 31 30 2e 32 30 30 2e 32 30 31 2e 31	ating.IP.address.of.10.200.201.1
d900	2f 32 34 2c 20 75 73 69 6e 67 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 32 30 31	/24,.using.virtual.router.ID.201
d920	2e 20 54 68 65 20 64 69 66 66 65 72 65 6e 63 65 20 62 65 74 77 65 65 6e 20 74 68 65 6d 20 69 73	..The.difference.between.them.is
d940	20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 6e 61 6d 65 2c 20 68 65 6c 6c 6f 2d 73 6f 75 72 63	.the.interface.name,.hello-sourc
d960	65 2d 61 64 64 72 65 73 73 2c 20 61 6e 64 20 70 65 65 72 2d 61 64 64 72 65 73 73 2e 00 54 68 69	e-address,.and.peer-address..Thi
d980	73 20 68 61 73 20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 32	s.has.a.floating.IP.address.of.2
d9a0	30 33 2e 30 2e 31 31 33 2e 31 2f 32 34 2c 20 75 73 69 6e 67 20 76 69 72 74 75 61 6c 20 72 6f 75	03.0.113.1/24,.using.virtual.rou
d9c0	74 65 72 20 49 44 20 31 31 33 2e 20 54 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49	ter.ID.113..The.virtual.router.I
d9e0	44 20 69 73 20 6a 75 73 74 20 61 20 72 61 6e 64 6f 6d 20 6e 75 6d 62 65 72 20 62 65 74 77 65 65	D.is.just.a.random.number.betwee
da00	6e 20 31 20 61 6e 64 20 32 35 34 2c 20 61 6e 64 20 63 61 6e 20 62 65 20 73 65 74 20 74 6f 20 77	n.1.and.254,.and.can.be.set.to.w
da20	68 61 74 65 76 65 72 20 79 6f 75 20 77 61 6e 74 2e 20 42 65 73 74 20 70 72 61 63 74 69 63 65 73	hatever.you.want..Best.practices
da40	20 73 75 67 67 65 73 74 20 79 6f 75 20 74 72 79 20 74 6f 20 6b 65 65 70 20 74 68 65 6d 20 75 6e	.suggest.you.try.to.keep.them.un
da60	69 71 75 65 20 65 6e 74 65 72 70 72 69 73 65 2d 77 69 64 65 2e 00 54 68 69 73 20 69 73 20 61 6e	ique.enterprise-wide..This.is.an
da80	20 65 78 61 6d 70 6c 65 20 6f 66 20 74 68 65 20 74 68 72 65 65 20 62 61 73 65 20 72 75 6c 65 73	.example.of.the.three.base.rules
daa0	2e 00 54 68 69 73 20 69 73 20 62 61 73 65 64 20 6f 6e 20 61 20 72 65 61 6c 2d 6c 69 66 65 20 70	..This.is.based.on.a.real-life.p
dac0	72 6f 64 75 63 74 69 6f 6e 20 64 65 73 69 67 6e 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 63 6f 6d	roduction.design..One.of.the.com
dae0	70 6c 65 78 20 69 73 73 75 65 73 20 69 73 20 65 6e 73 75 72 69 6e 67 20 79 6f 75 20 68 61 76 65	plex.issues.is.ensuring.you.have
db00	20 72 65 64 75 6e 64 61 6e 74 20 64 61 74 61 20 49 4e 54 4f 20 79 6f 75 72 20 6e 65 74 77 6f 72	.redundant.data.INTO.your.networ
db20	6b 2e 20 57 65 20 64 6f 20 74 68 69 73 20 77 69 74 68 20 61 20 70 61 69 72 20 6f 66 20 43 69 73	k..We.do.this.with.a.pair.of.Cis
db40	63 6f 20 4e 65 78 75 73 20 73 77 69 74 63 68 65 73 20 61 6e 64 20 75 73 69 6e 67 20 56 69 72 74	co.Nexus.switches.and.using.Virt
db60	75 61 6c 20 50 6f 72 74 43 68 61 6e 6e 65 6c 73 20 74 68 61 74 20 61 72 65 20 73 70 61 6e 6e 65	ual.PortChannels.that.are.spanne
db80	64 20 61 63 72 6f 73 73 20 74 68 65 6d 2e 20 41 73 20 61 20 62 6f 6e 75 73 2c 20 74 68 69 73 20	d.across.them..As.a.bonus,.this.
dba0	61 6c 73 6f 20 61 6c 6c 6f 77 73 20 66 6f 72 20 63 6f 6d 70 6c 65 74 65 20 73 77 69 74 63 68 20	also.allows.for.complete.switch.
dbc0	66 61 69 6c 75 72 65 20 77 69 74 68 6f 75 74 20 61 6e 20 6f 75 74 61 67 65 2e 20 48 6f 77 20 79	failure.without.an.outage..How.y
dbe0	6f 75 20 61 63 68 69 65 76 65 20 74 68 69 73 20 79 6f 75 72 73 65 6c 66 20 69 73 20 6c 65 66 74	ou.achieve.this.yourself.is.left
dc00	20 61 73 20 61 6e 20 65 78 65 72 63 69 73 65 20 74 6f 20 74 68 65 20 72 65 61 64 65 72 2e 20 42	.as.an.exercise.to.the.reader..B
dc20	75 74 20 6f 75 72 20 73 65 74 75 70 20 69 73 20 64 6f 63 75 6d 65 6e 74 65 64 20 68 65 72 65 2e	ut.our.setup.is.documented.here.
dc40	00 54 68 69 73 20 69 73 20 63 6f 6e 6e 65 63 74 69 6e 67 20 62 61 63 6b 20 74 6f 20 74 68 65 20	.This.is.connecting.back.to.the.
dc60	53 54 41 54 49 43 20 49 50 20 6f 66 20 72 6f 75 74 65 72 31 2c 20 6e 6f 74 20 74 68 65 20 66 6c	STATIC.IP.of.router1,.not.the.fl
dc80	6f 61 74 69 6e 67 2e 00 54 68 69 73 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 62 75 74 20 79	oating..This.is.identical,.but.y
dca0	6f 75 20 75 73 65 20 74 68 65 20 42 47 50 50 52 45 50 45 4e 44 4f 55 54 20 72 6f 75 74 65 2d 6d	ou.use.the.BGPPREPENDOUT.route-m
dcc0	61 70 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 74 68 65 20 72 6f 75 74 65 20 77 69 74 68 20 61	ap.to.advertise.the.route.with.a
dce0	20 6c 6f 6e 67 65 72 20 70 61 74 68 2e 00 54 68 69 73 20 69 73 20 69 67 6e 6f 72 69 6e 67 20 74	.longer.path..This.is.ignoring.t
dd00	68 65 20 65 78 74 72 61 20 4f 75 74 2d 6f 66 2d 62 61 6e 64 20 6d 61 6e 61 67 65 6d 65 6e 74 20	he.extra.Out-of-band.management.
dd20	6e 65 74 77 6f 72 6b 69 6e 67 2c 20 77 68 69 63 68 20 73 68 6f 75 6c 64 20 62 65 20 6f 6e 20 74	networking,.which.should.be.on.t
dd40	6f 74 61 6c 6c 79 20 64 69 66 66 65 72 65 6e 74 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 61	otally.different.switches,.and.a
dd60	20 64 69 66 66 65 72 65 6e 74 20 66 65 65 64 20 69 6e 74 6f 20 74 68 65 20 72 61 63 6b 2c 20 61	.different.feed.into.the.rack,.a
dd80	6e 64 20 69 73 20 6f 75 74 20 6f 66 20 73 63 6f 70 65 20 6f 66 20 74 68 69 73 2e 00 54 68 69 73	nd.is.out.of.scope.of.this..This
dda0	20 73 63 65 6e 61 72 69 6f 20 63 6f 75 6c 64 20 62 65 20 61 20 6e 69 67 68 74 6d 61 72 65 20 61	.scenario.could.be.a.nightmare.a
ddc0	70 70 6c 79 69 6e 67 20 72 65 67 75 6c 61 72 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 6d 69 67 68	pplying.regular.routing.and.migh
dde0	74 20 6e 65 65 64 20 66 69 6c 74 65 72 69 6e 67 20 69 6e 20 6d 75 6c 74 69 70 6c 65 20 69 6e 74	t.need.filtering.in.multiple.int
de00	65 72 66 61 63 65 73 2e 00 54 68 69 73 20 73 65 63 74 69 6f 6e 20 64 65 73 63 72 69 62 65 73 20	erfaces..This.section.describes.
de20	76 65 72 69 66 69 63 61 74 69 6f 6e 20 63 6f 6d 6d 61 6e 64 73 20 66 6f 72 20 4d 50 4c 53 2f 42	verification.commands.for.MPLS/B
de40	47 50 2f 4c 44 50 20 70 72 6f 74 6f 63 6f 6c 73 20 61 6e 64 20 4c 33 56 50 4e 20 72 65 6c 61 74	GP/LDP.protocols.and.L3VPN.relat
de60	65 64 20 72 6f 75 74 65 73 20 61 73 20 77 65 6c 6c 20 61 73 20 64 69 61 67 6e 6f 73 69 73 20 61	ed.routes.as.well.as.diagnosis.a
de80	6e 64 20 72 65 61 63 68 61 62 69 6c 69 74 79 20 63 68 65 63 6b 73 20 62 65 74 77 65 65 6e 20 43	nd.reachability.checks.between.C
dea0	45 20 6e 6f 64 65 73 2e 00 54 68 69 73 20 73 65 63 74 69 6f 6e 20 70 72 6f 76 69 64 65 73 20 63	E.nodes..This.section.provides.c
dec0	6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 73 74 65 70 73 20 66 6f 72 20 73 65 74 74 69 6e 67 20 75	onfiguration.steps.for.setting.u
dee0	70 20 56 52 46 73 20 6f 6e 20 6f 75 72 20 50 45 20 6e 6f 64 65 73 20 69 6e 63 6c 75 64 69 6e 67	p.VRFs.on.our.PE.nodes.including
df00	20 43 45 20 66 61 63 69 6e 67 20 69 6e 74 65 72 66 61 63 65 73 2c 20 42 47 50 2c 20 72 64 20 61	.CE.facing.interfaces,.BGP,.rd.a
df20	6e 64 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 69 6d 70 6f 72 74 2f 65 78 70 6f 72 74 20 62 61	nd.route-target.import/export.ba
df40	73 65 64 20 6f 6e 20 74 68 65 20 70 72 65 2d 64 65 66 69 6e 65 64 20 70 61 72 61 6d 65 74 65 72	sed.on.the.pre-defined.parameter
df60	73 2e 00 54 68 69 73 20 73 69 6d 70 6c 65 20 73 74 72 75 63 74 75 72 65 20 73 68 6f 77 20 68 6f	s..This.simple.structure.show.ho
df80	77 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 77 6f 20 6f 66 66 69 63 65 73 2e 20 4f 6e 65 20 72 65	w.to.connect.two.offices..One.re
dfa0	6d 6f 74 65 20 62 72 61 6e 63 68 20 61 6e 64 20 74 68 65 20 63 65 6e 74 72 61 6c 20 6f 66 66 69	mote.branch.and.the.central.offi
dfc0	63 65 2e 00 54 68 69 73 20 73 69 6d 70 6c 65 20 73 74 72 75 63 74 75 72 65 20 73 68 6f 77 73 20	ce..This.simple.structure.shows.
dfe0	68 6f 77 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 20 44 48 43 50 20 52 65 6c 61 79 20 6f 76	how.to.configure.a.DHCP.Relay.ov
e000	65 72 20 61 20 47 52 45 20 42 72 69 64 67 65 20 69 6e 74 65 72 66 61 63 65 2e 00 54 68 69 73 20	er.a.GRE.Bridge.interface..This.
e020	77 69 6c 6c 20 62 65 20 76 69 73 69 62 6c 65 20 69 6e 20 27 73 68 6f 77 20 69 70 20 72 6f 75 74	will.be.visible.in.'show.ip.rout
e040	65 27 2e 00 54 68 75 73 20 79 6f 75 20 63 61 6e 20 65 61 73 69 6c 79 20 6d 61 74 63 68 20 69 74	e'..Thus.you.can.easily.match.it
e060	20 74 6f 20 6f 6e 65 20 6f 66 20 74 68 65 20 64 65 76 69 63 65 73 2f 6e 65 74 77 6f 72 6b 73 20	.to.one.of.the.devices/networks.
e080	62 65 6c 6f 77 2e 00 54 6f 20 61 63 68 69 65 76 65 20 74 68 69 73 2c 20 79 6f 75 72 20 49 53 50	below..To.achieve.this,.your.ISP
e0a0	20 69 73 20 72 65 71 75 69 72 65 64 20 74 6f 20 73 75 70 70 6f 72 74 20 44 48 43 50 76 36 2d 50	.is.required.to.support.DHCPv6-P
e0c0	44 2e 20 49 66 20 79 6f 75 27 72 65 20 6e 6f 74 20 73 75 72 65 2c 20 70 6c 65 61 73 65 20 63 6f	D..If.you're.not.sure,.please.co
e0e0	6e 74 61 63 74 20 79 6f 75 72 20 49 53 50 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74	ntact.your.ISP.for.more.informat
e100	69 6f 6e 2e 00 54 6f 20 61 64 64 20 6c 6f 67 67 69 6e 67 20 74 6f 20 74 68 65 20 64 65 66 61 75	ion..To.add.logging.to.the.defau
e120	6c 74 20 72 75 6c 65 2c 20 64 6f 3a 00 54 6f 20 61 64 64 72 65 73 73 20 74 68 69 73 20 73 63 65	lt.rule,.do:.To.address.this.sce
e140	6e 61 72 69 6f 20 77 65 20 77 69 6c 6c 20 75 73 65 20 74 6f 20 6f 75 72 20 61 64 76 61 6e 74 61	nario.we.will.use.to.our.advanta
e160	67 65 20 61 6e 20 65 78 74 65 6e 73 69 6f 6e 20 6f 66 20 74 68 65 20 42 47 50 20 72 6f 75 74 69	ge.an.extension.of.the.BGP.routi
e180	6e 67 20 70 72 6f 74 6f 63 6f 6c 20 74 68 61 74 20 77 69 6c 6c 20 68 65 6c 70 20 75 73 20 69 6e	ng.protocol.that.will.help.us.in
e1a0	20 74 68 65 20 e2 80 9c 45 78 70 6f 72 74 e2 80 9d 20 62 65 74 77 65 65 6e 20 56 52 46 73 20 77	.the....Export....between.VRFs.w
e1c0	69 74 68 6f 75 74 20 74 68 65 20 6e 65 65 64 20 66 6f 72 20 4d 50 4c 53 2e 00 54 6f 20 64 65 70	ithout.the.need.for.MPLS..To.dep
e1e0	6c 6f 79 20 61 20 4c 61 79 65 72 33 20 56 50 4e 20 77 69 74 68 20 4d 50 4c 53 20 6f 6e 20 56 79	loy.a.Layer3.VPN.with.MPLS.on.Vy
e200	4f 53 2c 20 77 65 20 73 68 6f 75 6c 64 20 6d 65 65 74 20 61 20 63 6f 75 70 6c 65 20 72 65 71 75	OS,.we.should.meet.a.couple.requ
e220	69 72 65 6d 65 6e 74 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 70 72 6f 70 65 72 6c 79 20 69 6d	irements.in.order.to.properly.im
e240	70 6c 65 6d 65 6e 74 20 74 68 65 20 73 6f 6c 75 74 69 6f 6e 2e 20 57 65 27 6c 6c 20 75 73 65 20	plement.the.solution..We'll.use.
e260	74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 6e 6f 64 65 73 20 69 6e 20 6f 75 72 20 4c 41 42 20 65	the.following.nodes.in.our.LAB.e
e280	6e 76 69 72 6f 6e 6d 65 6e 74 3a 00 54 6f 20 68 61 76 65 20 62 61 73 69 63 20 70 72 6f 74 65 63	nvironment:.To.have.basic.protec
e2a0	74 69 6f 6e 20 77 68 69 6c 65 20 6b 65 65 70 69 6e 67 20 49 50 76 36 20 6e 65 74 77 6f 72 6b 20	tion.while.keeping.IPv6.network.
e2c0	66 75 6e 63 74 69 6f 6e 61 6c 2c 20 77 65 20 6e 65 65 64 20 74 6f 3a 00 54 6f 20 72 65 61 63 68	functional,.we.need.to:.To.reach
e2e0	20 74 68 65 20 6e 65 74 77 6f 72 6b 2c 20 61 20 72 6f 75 74 65 20 6d 75 73 74 20 62 65 20 73 65	.the.network,.a.route.must.be.se
e300	74 20 6f 6e 20 65 61 63 68 20 56 79 4f 53 20 68 6f 73 74 2e 20 49 6e 20 74 68 69 73 20 73 74 72	t.on.each.VyOS.host..In.this.str
e320	75 63 74 75 72 65 2c 20 61 20 73 74 61 74 69 63 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65	ucture,.a.static.interface.route
e340	20 77 69 6c 6c 20 66 69 74 20 74 68 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 2e 00 54 6f 70 6f	.will.fit.the.requirements..Topo
e360	6c 6f 67 79 00 54 72 61 66 66 69 63 20 66 6c 6f 77 73 20 66 72 6f 6d 20 7a 6f 6e 65 20 41 20 74	logy.Traffic.flows.from.zone.A.t
e380	6f 20 7a 6f 6e 65 20 42 2e 20 54 68 61 74 20 66 6c 6f 77 20 69 73 20 77 68 61 74 20 49 20 72 65	o.zone.B..That.flow.is.what.I.re
e3a0	66 65 72 20 74 6f 20 61 73 20 61 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 2e	fer.to.as.a.zone-pair-direction.
e3c0	20 65 67 2e 20 41 2d 3e 42 20 61 6e 64 20 42 2d 3e 41 20 61 72 65 20 74 77 6f 20 7a 6f 6e 65 2d	.eg..A->B.and.B->A.are.two.zone-
e3e0	70 61 69 72 2d 64 65 73 74 69 6e 61 74 69 6f 6e 73 2e 00 54 72 61 6e 73 70 6f 72 74 3a 00 54 75	pair-destinations..Transport:.Tu
e400	6e 6e 65 6c 62 72 6f 6b 65 72 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 54 75 6e 6e 65 6c	nnelbroker.topology.image.Tunnel
e420	62 72 6f 6b 65 72 2e 6e 65 74 20 28 49 50 76 36 29 00 54 77 6f 20 56 79 4f 53 20 72 6f 75 74 65	broker.net.(IPv6).Two.VyOS.route
e440	72 73 20 77 69 74 68 20 70 75 62 6c 69 63 20 49 50 20 61 64 64 72 65 73 73 2e 00 54 77 6f 20 72	rs.with.public.IP.address..Two.r
e460	75 6c 65 73 20 77 69 6c 6c 20 62 65 20 63 72 65 61 74 65 64 2c 20 74 68 65 20 66 69 72 73 74 20	ules.will.be.created,.the.first.
e480	72 75 6c 65 20 64 69 72 65 63 74 73 20 74 72 61 66 66 69 63 20 63 6f 6d 69 6e 67 20 69 6e 20 66	rule.directs.traffic.coming.in.f
e4a0	72 6f 6d 20 65 74 68 32 20 74 6f 20 65 74 68 30 20 61 6e 64 20 74 68 65 20 73 65 63 6f 6e 64 20	rom.eth2.to.eth0.and.the.second.
e4c0	72 75 6c 65 20 64 69 72 65 63 74 73 20 74 68 65 20 74 72 61 66 66 69 63 20 74 6f 20 65 74 68 31	rule.directs.the.traffic.to.eth1
e4e0	2e 20 49 66 20 65 74 68 30 20 66 61 69 6c 73 20 74 68 65 20 66 69 72 73 74 20 72 75 6c 65 20 69	..If.eth0.fails.the.first.rule.i
e500	73 20 62 79 70 61 73 73 65 64 20 61 6e 64 20 74 68 65 20 73 65 63 6f 6e 64 20 72 75 6c 65 20 6d	s.bypassed.and.the.second.rule.m
e520	61 74 63 68 65 73 2c 20 64 69 72 65 63 74 69 6e 67 20 74 72 61 66 66 69 63 20 74 6f 20 65 74 68	atches,.directing.traffic.to.eth
e540	31 2e 00 55 6e 6c 69 6b 65 20 49 50 76 34 2c 20 49 50 76 36 20 69 73 20 72 65 61 6c 6c 79 20 6e	1..Unlike.IPv4,.IPv6.is.really.n
e560	6f 74 20 64 65 73 69 67 6e 65 64 20 74 6f 20 62 65 20 62 72 6f 6b 65 6e 20 75 70 20 73 6d 61 6c	ot.designed.to.be.broken.up.smal
e580	6c 65 72 20 74 68 61 6e 20 2f 36 34 2e 20 53 6f 20 69 66 20 79 6f 75 20 65 76 65 72 20 77 61 6e	ler.than./64..So.if.you.ever.wan
e5a0	74 20 74 6f 20 68 61 76 65 20 6d 75 6c 74 69 70 6c 65 20 4c 41 4e 73 2c 20 56 4c 41 4e 73 2c 20	t.to.have.multiple.LANs,.VLANs,.
e5c0	44 4d 5a 2c 20 65 74 63 2c 20 79 6f 75 27 6c 6c 20 77 61 6e 74 20 74 6f 20 69 67 6e 6f 72 65 20	DMZ,.etc,.you'll.want.to.ignore.
e5e0	74 68 65 20 61 73 73 69 67 6e 65 64 20 2f 36 34 2c 20 61 6e 64 20 72 65 71 75 65 73 74 20 74 68	the.assigned./64,.and.request.th
e600	65 20 2f 34 38 20 61 6e 64 20 75 73 65 20 74 68 61 74 2e 00 55 73 69 6e 67 20 74 68 65 20 67 65	e./48.and.use.that..Using.the.ge
e620	6e 65 72 61 6c 20 73 63 68 65 6d 61 20 66 6f 72 20 65 78 61 6d 70 6c 65 3a 00 55 73 69 6e 67 20	neral.schema.for.example:.Using.
e640	74 68 69 73 20 63 6f 6d 6d 61 6e 64 20 77 65 20 61 72 65 20 61 6c 73 6f 20 61 62 6c 65 20 74 6f	this.command.we.are.also.able.to
e660	20 63 68 65 63 6b 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 61 6e 64 20 63 75 73 74 6f 6d 65	.check.the.transport.and.custome
e680	72 20 6c 61 62 65 6c 20 28 69 6e 6e 65 72 2f 6f 75 74 65 72 29 20 66 6f 72 20 48 75 62 20 6e 65	r.label.(inner/outer).for.Hub.ne
e6a0	74 77 6f 72 6b 20 70 72 65 66 69 78 20 28 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 29 3a 00 56 4c	twork.prefix.(10.0.0.100/32):.VL
e6c0	41 4e 20 31 30 30 20 61 6e 64 20 32 30 31 20 77 69 6c 6c 20 68 61 76 65 20 66 6c 6f 61 74 69 6e	AN.100.and.201.will.have.floatin
e6e0	67 20 49 50 20 61 64 64 72 65 73 73 65 73 2c 20 62 75 74 20 56 4c 41 4e 35 30 20 64 6f 65 73 20	g.IP.addresses,.but.VLAN50.does.
e700	6e 6f 74 2c 20 61 73 20 74 68 69 73 20 69 73 20 74 61 6c 6b 69 6e 67 20 64 69 72 65 63 74 6c 79	not,.as.this.is.talking.directly
e720	20 74 6f 20 75 70 73 74 72 65 61 6d 2e 20 43 72 65 61 74 65 20 6f 75 72 20 49 50 20 61 64 64 72	.to.upstream..Create.our.IP.addr
e740	65 73 73 20 6f 6e 20 76 6c 61 6e 35 30 2e 00 56 4c 41 4e 73 00 56 4d 77 61 72 65 3a 20 59 6f 75	ess.on.vlan50..VLANs.VMware:.You
e760	20 6d 75 73 74 20 44 49 53 41 42 4c 45 20 53 45 43 55 52 49 54 59 20 6f 6e 20 74 68 69 73 20 50	.must.DISABLE.SECURITY.on.this.P
e780	6f 72 74 20 67 72 6f 75 70 2e 20 4d 61 6b 65 20 73 75 72 65 20 74 68 61 74 20 60 60 50 72 6f 6d	ort.group..Make.sure.that.``Prom
e7a0	69 73 63 75 6f 75 73 20 4d 6f 64 65 60 60 5c 20 2c 20 60 60 4d 41 43 20 61 64 64 72 65 73 73 20	iscuous.Mode``\.,.``MAC.address.
e7c0	63 68 61 6e 67 65 73 60 60 20 61 6e 64 20 60 60 46 6f 72 67 65 64 20 74 72 61 6e 73 6d 69 74 73	changes``.and.``Forged.transmits
e7e0	60 60 20 61 72 65 20 65 6e 61 62 6c 65 64 2e 20 41 6c 6c 20 6f 66 20 74 68 65 73 65 20 77 69 6c	``.are.enabled..All.of.these.wil
e800	6c 20 62 65 20 64 6f 6e 65 20 61 73 20 70 61 72 74 20 6f 66 20 66 61 69 6c 6f 76 65 72 2e 00 56	l.be.done.as.part.of.failover..V
e820	52 46 00 56 52 52 50 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 56 65 72 69 66 69 63 61 74 69	RF.VRRP.Configuration.Verificati
e840	6f 6e 00 56 65 72 73 69 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31	on.Version:.1.4-rolling-20211031
e860	30 33 31 37 00 56 65 72 73 69 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 35	0317.Version:.1.4-rolling-202305
e880	31 30 30 37 33 34 00 56 65 72 73 69 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33	100734.Version:.1.4-rolling-2023
e8a0	30 38 32 34 30 30 32 30 00 56 65 72 73 69 6f 6e 3a 20 76 79 6f 73 2d 31 2e 34 2d 72 6f 6c 6c 69	08240020.Version:.vyos-1.4-rolli
e8c0	6e 67 2d 32 30 32 33 30 32 31 35 30 33 31 37 00 56 79 4f 53 20 31 2e 33 20 61 64 64 65 64 20 69	ng-202302150317.VyOS.1.3.added.i
e8e0	6e 69 74 69 61 6c 20 73 75 70 70 6f 72 74 20 66 6f 72 20 56 52 46 73 20 28 69 6e 63 6c 75 64 69	nitial.support.for.VRFs.(includi
e900	6e 67 20 49 50 76 34 2f 49 50 76 36 20 73 74 61 74 69 63 20 72 6f 75 74 69 6e 67 29 20 61 6e 64	ng.IPv4/IPv6.static.routing).and
e920	20 56 79 4f 53 20 31 2e 34 20 6e 6f 77 20 65 6e 61 62 6c 65 73 20 66 75 6c 6c 20 64 79 6e 61 6d	.VyOS.1.4.now.enables.full.dynam
e940	69 63 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 73 75 70 70 6f 72 74 20 66 6f 72 20	ic.routing.protocol.support.for.
e960	4f 53 50 46 2c 20 49 53 2d 49 53 2c 20 61 6e 64 20 42 47 50 20 66 6f 72 20 69 6e 64 69 76 69 64	OSPF,.IS-IS,.and.BGP.for.individ
e980	75 61 6c 20 56 52 46 73 2e 00 56 79 4f 53 20 61 63 74 73 20 61 73 20 44 48 43 50 2c 20 44 4e 53	ual.VRFs..VyOS.acts.as.DHCP,.DNS
e9a0	20 66 6f 72 77 61 72 64 65 72 2c 20 4e 41 54 2c 20 72 6f 75 74 65 72 20 61 6e 64 20 66 69 72 65	.forwarder,.NAT,.router.and.fire
e9c0	77 61 6c 6c 2e 00 56 79 4f 53 20 61 73 20 43 6c 69 65 6e 74 00 56 79 4f 53 20 61 73 20 61 20 4f	wall..VyOS.as.Client.VyOS.as.a.O
e9e0	70 65 6e 56 50 4e 20 53 65 72 76 65 72 00 56 79 4f 53 20 69 73 20 61 62 6c 65 20 74 6f 20 63 68	penVPN.Server.VyOS.is.able.to.ch
ea00	65 63 6b 20 4d 53 44 20 70 65 72 20 64 65 76 69 63 65 73 3a 00 56 79 4f 53 2d 43 45 2d 48 55 42	eck.MSD.per.devices:.VyOS-CE-HUB
ea20	20 2d 2d 2d 2d 2d 2d 2d 3e 20 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 00 56 79 4f 53 2d 43 45	.------->.VyOS-CE1-SPOKE.VyOS-CE
ea40	2d 48 55 42 20 2d 2d 2d 2d 2d 2d 2d 3e 20 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 00 56 79 4f	-HUB.------->.VyOS-CE2-SPOKE.VyO
ea60	53 2d 43 45 31 2d 48 55 42 3a 00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 20 2d 2d 2d 2d 2d 3e	S-CE1-HUB:.VyOS-CE1-SPOKE.----->
ea80	20 20 20 56 79 4f 53 2d 43 45 2d 48 55 42 00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 3a 00 56	...VyOS-CE-HUB.VyOS-CE1-SPOKE:.V
eaa0	79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 20 2d 2d 2d 2d 2d 2d 2d 3e 20 20 56 79 4f 53 2d 43 45 2d	yOS-CE2-SPOKE.------->..VyOS-CE-
eac0	48 55 42 00 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 3a 00 56 79 4f 53 2d 50 31 3a 00 56 79 4f	HUB.VyOS-CE2-SPOKE:.VyOS-P1:.VyO
eae0	53 2d 50 32 3a 00 56 79 4f 53 2d 50 33 3a 00 56 79 4f 53 2d 50 34 3a 00 56 79 4f 53 2d 50 45 31	S-P2:.VyOS-P3:.VyOS-P4:.VyOS-PE1
eb00	00 56 79 4f 53 2d 50 45 31 3a 00 56 79 4f 53 2d 50 45 32 00 56 79 4f 53 2d 50 45 32 3a 00 56 79	.VyOS-PE1:.VyOS-PE2.VyOS-PE2:.Vy
eb20	4f 53 2d 50 45 33 00 56 79 4f 53 2d 50 45 33 3a 00 56 79 4f 53 2d 52 52 31 2f 52 52 32 00 56 79	OS-PE3.VyOS-PE3:.VyOS-RR1/RR2.Vy
eb40	4f 53 2d 52 52 31 3a 00 56 79 4f 53 2d 52 52 32 3a 00 56 79 6f 73 20 41 53 4e 00 56 79 6f 73 20	OS-RR1:.VyOS-RR2:.Vyos.ASN.Vyos.
eb60	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 56 79 6f 73 20 70 72 69 76 61 74 65 20 49 50 00 56 79	configuration.Vyos.private.IP.Vy
eb80	6f 73 20 70 75 62 6c 69 63 20 49 50 00 57 41 4e 20 49 6e 74 65 72 66 61 63 65 00 57 41 4e 20 4c	os.public.IP.WAN.Interface.WAN.L
eba0	6f 61 64 20 42 61 6c 61 6e 63 65 72 20 65 78 61 6d 70 6c 65 73 00 57 61 6c 6b 74 68 72 6f 75 67	oad.Balancer.examples.Walkthroug
ebc0	68 20 73 75 67 67 65 73 74 69 6f 6e 00 57 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 75 73 65	h.suggestion.We.are.going.to.use
ebe0	20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 66 6f 72 20 61 6e 20 27 69 6e 74 65 72 6e 61	.10.200.201.0/24.for.an.'interna
ec00	6c 27 20 6e 65 74 77 6f 72 6b 20 6f 6e 20 56 4c 41 4e 32 30 31 2e 00 57 65 20 61 72 65 20 73 65	l'.network.on.VLAN201..We.are.se
ec20	74 74 69 6e 67 20 75 70 20 56 52 52 50 20 73 6f 20 74 68 61 74 20 69 74 20 64 6f 65 73 20 4e 4f	tting.up.VRRP.so.that.it.does.NO
ec40	54 20 66 61 69 6c 20 62 61 63 6b 20 77 68 65 6e 20 61 20 6d 61 63 68 69 6e 65 20 72 65 74 75 72	T.fail.back.when.a.machine.retur
ec60	6e 73 20 69 6e 74 6f 20 73 65 72 76 69 63 65 2c 20 61 6e 64 20 69 74 20 70 72 69 6f 72 69 74 69	ns.into.service,.and.it.prioriti
ec80	7a 65 73 20 72 6f 75 74 65 72 31 20 6f 76 65 72 20 72 6f 75 74 65 72 32 2e 00 57 65 20 61 72 65	zes.router1.over.router2..We.are
eca0	20 75 73 69 6e 67 20 61 20 22 77 68 69 74 65 20 6c 69 73 74 22 20 61 70 70 72 6f 61 63 68 20 62	.using.a."white.list".approach.b
ecc0	79 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 77 68 61 74 20 69 73 20 6e 65 63 65 73 73 61 72	y.allowing.only.what.is.necessar
ece0	79 2e 20 49 6e 20 63 61 73 65 20 74 68 61 74 20 6e 65 65 64 20 74 6f 20 69 6d 70 6c 65 6d 65 6e	y..In.case.that.need.to.implemen
ed00	74 20 61 20 22 62 6c 61 63 6b 20 6c 69 73 74 22 20 61 70 70 72 6f 61 63 68 20 74 68 65 6e 20 79	t.a."black.list".approach.then.y
ed20	6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 63 68 61 6e 67 65 20 74 68 65 20 61 63 74 69 6f	ou.will.need.to.change.the.actio
ed40	6e 20 69 6e 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 20 66 6f 72 20 61 20 64 65 6e 79 20 42 55	n.in.the.route-map.for.a.deny.BU
ed60	54 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 61 64 64 20 61 20 72 75 6c 65 20 74 68 61 74 20 70 65	T.you.need.to.add.a.rule.that.pe
ed80	72 6d 69 74 73 20 74 68 65 20 72 65 73 74 20 64 75 65 20 74 6f 20 74 68 65 20 69 6d 70 6c 69 63	rmits.the.rest.due.to.the.implic
eda0	69 74 20 64 65 6e 79 20 69 6e 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 2e 00 57 65 20 63 72 65	it.deny.in.the.route-map..We.cre
edc0	61 74 65 20 61 20 70 72 65 66 69 78 2d 6c 69 73 74 20 66 69 72 73 74 20 61 6e 64 20 61 64 64 20	ate.a.prefix-list.first.and.add.
ede0	61 6c 6c 20 74 68 65 20 72 6f 75 74 65 73 20 77 65 20 6e 65 65 64 20 74 6f 2e 00 57 65 20 65 78	all.the.routes.we.need.to..We.ex
ee00	70 6c 69 63 69 74 6c 79 20 65 78 63 6c 75 64 65 20 74 68 65 20 70 72 69 6d 61 72 79 20 75 70 73	plicitly.exclude.the.primary.ups
ee20	74 72 65 61 6d 20 6e 65 74 77 6f 72 6b 20 73 6f 20 74 68 61 74 20 42 47 50 20 6f 72 20 4f 53 50	tream.network.so.that.BGP.or.OSP
ee40	46 20 74 72 61 66 66 69 63 20 64 6f 65 73 6e 27 74 20 61 63 63 69 64 65 6e 74 61 6c 6c 79 20 67	F.traffic.doesn't.accidentally.g
ee60	65 74 20 4e 41 54 27 65 64 2e 00 57 65 20 68 61 76 65 20 66 6f 75 72 20 68 6f 73 74 73 20 6f 6e	et.NAT'ed..We.have.four.hosts.on
ee80	20 74 68 65 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 31 37 32 2e 31 37 2e 31 2e 30 2f 32 34	.the.local.network.172.17.1.0/24
eea0	2e 20 41 6c 6c 20 68 6f 73 74 73 20 61 72 65 20 6c 61 62 65 6c 65 64 20 43 53 30 20 62 79 20 64	..All.hosts.are.labeled.CS0.by.d
eec0	65 66 61 75 6c 74 2e 20 57 65 20 6e 65 65 64 20 74 6f 20 72 65 70 6c 61 63 65 20 6c 61 62 65 6c	efault..We.need.to.replace.label
eee0	73 20 6f 6e 20 61 6c 6c 20 68 6f 73 74 73 20 65 78 63 65 70 74 20 76 70 63 38 2e 20 57 65 20 77	s.on.all.hosts.except.vpc8..We.w
ef00	69 6c 6c 20 72 65 70 6c 61 63 65 20 74 68 65 20 6c 61 62 65 6c 73 20 6f 6e 20 74 68 65 20 6e 65	ill.replace.the.labels.on.the.ne
ef20	61 72 65 73 74 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 33 e2 80 9d 20 75 73 69 6e 67 20 74	arest.router....VyOS3....using.t
ef40	68 65 20 49 50 20 61 64 64 72 65 73 73 65 73 20 6f 66 20 74 68 65 20 73 6f 75 72 63 65 73 2e 00	he.IP.addresses.of.the.sources..
ef60	57 65 20 68 61 76 65 20 74 68 72 65 65 20 6e 65 74 77 6f 72 6b 73 2e 00 57 65 20 6b 65 65 70 20	We.have.three.networks..We.keep.
ef80	74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20 70 72 65 76 69	the.configuration.from.the.previ
efa0	6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 64 65 6c 65 74 65 20 72 75 6c 65 20 31 30 20 61 6e 64 20	ous.example,.delete.rule.10.and.
efc0	63 72 65 61 74 65 20 74 68 65 20 74 77 6f 20 6e 65 77 20 72 75 6c 65 73 20 61 73 20 64 65 73 63	create.the.two.new.rules.as.desc
efe0	72 69 62 65 64 3a 00 57 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e	ribed:.We.keep.the.configuration
f000	20 66 72 6f 6d 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 64 65 6c 65	.from.the.previous.example,.dele
f020	74 65 20 72 75 6c 65 20 32 30 20 61 6e 64 20 63 72 65 61 74 65 20 61 20 6e 65 77 20 72 75 6c 65	te.rule.20.and.create.a.new.rule
f040	20 61 73 20 64 65 73 63 72 69 62 65 64 3a 00 57 65 20 6e 65 65 64 20 74 6f 20 65 6e 61 62 6c 65	.as.described:.We.need.to.enable
f060	20 72 6f 75 74 65 72 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 66 6f 72 20 4c 41 4e 20 6e 65	.router.advertisement.for.LAN.ne
f080	74 77 6f 72 6b 20 73 6f 20 74 68 61 74 20 50 43 20 63 61 6e 20 72 65 63 65 69 76 65 20 74 68 65	twork.so.that.PC.can.receive.the
f0a0	20 70 72 65 66 69 78 20 61 6e 64 20 75 73 65 20 53 4c 41 41 43 20 74 6f 20 63 6f 6e 66 69 67 75	.prefix.and.use.SLAAC.to.configu
f0c0	72 65 20 74 68 65 20 61 64 64 72 65 73 73 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 2e 00 57 65	re.the.address.automatically..We
f0e0	20 6f 6e 6c 79 20 77 61 6e 74 20 74 6f 20 65 78 70 6f 72 74 20 74 68 65 20 6e 65 74 77 6f 72 6b	.only.want.to.export.the.network
f100	73 20 77 65 20 6b 6e 6f 77 2e 20 41 6c 77 61 79 73 20 64 6f 20 61 20 77 68 69 74 65 6c 69 73 74	s.we.know..Always.do.a.whitelist
f120	20 6f 6e 20 79 6f 75 72 20 72 6f 75 74 65 20 66 69 6c 74 65 72 73 2c 20 62 6f 74 68 20 69 6d 70	.on.your.route.filters,.both.imp
f140	6f 72 74 69 6e 67 20 61 6e 64 20 65 78 70 6f 72 74 69 6e 67 2e 20 41 20 67 6f 6f 64 20 72 75 6c	orting.and.exporting..A.good.rul
f160	65 20 6f 66 20 74 68 75 6d 62 20 69 73 20 2a 2a 27 49 66 20 79 6f 75 20 61 72 65 20 6e 6f 74 20	e.of.thumb.is.**'If.you.are.not.
f180	74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 20 66 6f 72 20 61 20 6e 65 74 77 6f 72 6b	the.default.router.for.a.network
f1a0	2c 20 64 6f 6e 27 74 20 61 64 76 65 72 74 69 73 65 20 69 74 27 2a 2a 2e 20 54 68 69 73 20 6d 65	,.don't.advertise.it'**..This.me
f1c0	61 6e 73 20 77 65 20 65 78 70 6c 69 63 69 74 6c 79 20 64 6f 20 6e 6f 74 20 77 61 6e 74 20 74 6f	ans.we.explicitly.do.not.want.to
f1e0	20 61 64 76 65 72 74 69 73 65 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77	.advertise.the.192.0.2.0/24.netw
f200	6f 72 6b 20 28 62 75 74 20 64 6f 20 77 61 6e 74 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 31 30	ork.(but.do.want.to.advertise.10
f220	2e 32 30 30 2e 32 30 31 2e 30 20 61 6e 64 20 32 30 33 2e 30 2e 31 31 33 2e 30 2c 20 77 68 69 63	.200.201.0.and.203.0.113.0,.whic
f240	68 20 77 65 20 41 52 45 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 66 6f 72 29 2e	h.we.ARE.the.default.route.for).
f260	20 54 68 69 73 20 66 69 6c 74 65 72 20 69 73 20 61 70 70 6c 69 65 64 20 74 6f 20 60 60 72 65 64	.This.filter.is.applied.to.``red
f280	69 73 74 72 69 62 75 74 65 20 63 6f 6e 6e 65 63 74 65 64 60 60 2e 20 49 66 20 77 65 20 57 45 52	istribute.connected``..If.we.WER
f2a0	45 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 69 74 2c 20 74 68 65 20 72 65 6d 6f 74 65 20 6d 61	E.to.advertise.it,.the.remote.ma
f2c0	63 68 69 6e 65 73 20 77 6f 75 6c 64 20 73 65 65 20 31 39 32 2e 30 2e 32 2e 32 31 20 61 76 61 69	chines.would.see.192.0.2.21.avai
f2e0	6c 61 62 6c 65 20 76 69 61 20 74 68 65 69 72 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 2c 20 65	lable.via.their.default.route,.e
f300	73 74 61 62 6c 69 73 68 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 2c 20 61 6e 64 20 74 68 65	stablish.the.connection,.and.the
f320	6e 20 4f 53 50 46 20 77 6f 75 6c 64 20 73 61 79 20 27 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 69	n.OSPF.would.say.'192.0.2.0/24.i
f340	73 20 61 76 61 69 6c 61 62 6c 65 20 76 69 61 20 74 68 69 73 20 74 75 6e 6e 65 6c 27 2c 20 61 74	s.available.via.this.tunnel',.at
f360	20 77 68 69 63 68 20 70 6f 69 6e 74 20 74 68 65 20 74 75 6e 6e 65 6c 20 77 6f 75 6c 64 20 62 72	.which.point.the.tunnel.would.br
f380	65 61 6b 2c 20 4f 53 50 46 20 77 6f 75 6c 64 20 64 72 6f 70 20 74 68 65 20 72 6f 75 74 65 73 2c	eak,.OSPF.would.drop.the.routes,
f3a0	20 61 6e 64 20 74 68 65 6e 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 77 6f 75 6c 64 20 62 65 20	.and.then.192.0.2.0/24.would.be.
f3c0	72 65 61 63 68 61 62 6c 65 20 76 69 61 20 64 65 66 61 75 6c 74 20 61 67 61 69 6e 2e 20 54 68 69	reachable.via.default.again..Thi
f3e0	73 20 69 73 20 63 61 6c 6c 65 64 20 27 66 6c 61 70 70 69 6e 67 27 2e 00 57 65 20 6f 6e 6c 79 20	s.is.called.'flapping'..We.only.
f400	77 61 6e 74 20 74 6f 20 69 6d 70 6f 72 74 20 6e 65 74 77 6f 72 6b 73 20 77 65 20 6b 6e 6f 77 2e	want.to.import.networks.we.know.
f420	20 4f 75 72 20 4f 53 50 46 20 70 65 65 72 20 73 68 6f 75 6c 64 20 6f 6e 6c 79 20 62 65 20 61 64	.Our.OSPF.peer.should.only.be.ad
f440	76 65 72 74 69 73 69 6e 67 20 6e 65 74 77 6f 72 6b 73 20 69 6e 20 74 68 65 20 31 30 2e 32 30 31	vertising.networks.in.the.10.201
f460	2e 30 2e 30 2f 31 36 20 72 61 6e 67 65 2e 20 4e 6f 74 65 20 74 68 61 74 20 74 68 69 73 20 69 73	.0.0/16.range..Note.that.this.is
f480	20 61 6e 20 49 4e 56 45 52 53 45 20 4d 41 54 43 48 2e 20 59 6f 75 20 64 65 6e 79 20 69 6e 20 61	.an.INVERSE.MATCH..You.deny.in.a
f4a0	63 63 65 73 73 2d 6c 69 73 74 20 31 30 30 20 74 6f 20 61 63 63 65 70 74 20 74 68 65 20 72 6f 75	ccess-list.100.to.accept.the.rou
f4c0	74 65 2e 00 57 65 20 75 73 65 20 61 20 73 74 61 74 69 63 20 72 6f 75 74 65 20 63 6f 6e 66 69 67	te..We.use.a.static.route.config
f4e0	75 72 61 74 69 6f 6e 20 69 6e 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 61 6e 64 20	uration.in.between.the.Core.and.
f500	65 61 63 68 20 4c 41 4e 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 20 72 6f 75 74 65 72 2c 20	each.LAN.and.Management.router,.
f520	61 6e 64 20 42 47 50 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 72 6f 75 74 65 72 20	and.BGP.between.the.Core.router.
f540	61 6e 64 20 74 68 65 20 49 53 50 20 72 6f 75 74 65 72 20 62 75 74 20 61 6e 79 20 64 79 6e 61 6d	and.the.ISP.router.but.any.dynam
f560	69 63 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 63 61 6e 20 62 65 20 75 73 65 64 2e	ic.routing.protocol.can.be.used.
f580	00 57 65 20 75 73 65 20 73 6d 61 6c 6c 20 2f 33 30 27 73 20 66 72 6f 6d 20 31 30 2e 32 35 34 2e	.We.use.small./30's.from.10.254.
f5a0	36 30 2f 32 34 20 66 6f 72 20 74 68 65 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20 6c 69 6e	60/24.for.the.point-to-point.lin
f5c0	6b 73 2e 00 57 65 20 75 73 65 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 6e 65 74 77 6f 72 6b	ks..We.use.the.following.network
f5e0	20 74 6f 70 6f 6c 6f 67 79 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 3a 00 57 68 65 6e 20	.topology.in.this.example:.When.
f600	69 6d 70 6f 72 74 69 6e 67 20 72 6f 75 74 65 73 20 75 73 69 6e 67 20 4d 50 2d 42 47 50 20 69 74	importing.routes.using.MP-BGP.it
f620	20 69 73 20 70 6f 73 73 69 62 6c 65 20 74 6f 20 66 69 6c 74 65 72 20 61 20 73 75 62 73 65 74 20	.is.possible.to.filter.a.subset.
f640	6f 66 20 74 68 65 6d 20 62 65 66 6f 72 65 20 61 72 65 20 69 6e 6a 65 63 74 65 64 20 69 6e 20 74	of.them.before.are.injected.in.t
f660	68 65 20 42 47 50 20 74 61 62 6c 65 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 6d 6f 73 74 20 63 6f	he.BGP.table..One.of.the.most.co
f680	6d 6d 6f 6e 20 63 61 73 65 20 69 73 20 74 6f 20 75 73 65 20 61 20 72 6f 75 74 65 2d 6d 61 70 20	mmon.case.is.to.use.a.route-map.
f6a0	77 69 74 68 20 61 6e 20 70 72 65 66 69 78 2d 6c 69 73 74 2e 00 57 68 65 6e 20 74 72 61 66 66 69	with.an.prefix-list..When.traffi
f6c0	63 20 69 73 20 6f 72 69 67 69 6e 61 74 65 64 20 66 72 6f 6d 20 74 68 65 20 31 30 2e 32 30 30 2e	c.is.originated.from.the.10.200.
f6e0	32 30 31 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2c 20 69 74 20 77 69 6c 6c 20 62 65 20 6d 61 73	201.0/24.network,.it.will.be.mas
f700	71 75 65 72 61 64 65 64 20 74 6f 20 32 30 33 2e 30 2e 31 31 33 2e 31 00 57 68 65 6e 20 75 74 69	queraded.to.203.0.113.1.When.uti
f720	6c 69 7a 69 6e 67 20 56 79 4f 53 20 69 6e 20 61 6e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 20 77 69	lizing.VyOS.in.an.environment.wi
f740	74 68 20 43 69 73 63 6f 20 49 4f 53 2d 58 52 20 67 65 61 72 20 79 6f 75 20 63 61 6e 20 75 73 65	th.Cisco.IOS-XR.gear.you.can.use
f760	20 74 68 69 73 20 62 6c 75 65 20 70 72 69 6e 74 20 61 73 20 61 6e 20 69 6e 69 74 69 61 6c 20 73	.this.blue.print.as.an.initial.s
f780	65 74 75 70 20 74 6f 20 67 65 74 20 4d 50 4c 53 20 49 53 49 53 2d 53 52 20 77 6f 72 6b 69 6e 67	etup.to.get.MPLS.ISIS-SR.working
f7a0	20 62 65 74 77 65 65 6e 20 74 68 6f 73 65 20 74 77 6f 20 64 65 76 69 63 65 73 2e 54 68 65 20 6c	.between.those.two.devices.The.l
f7c0	61 62 20 77 61 73 20 62 75 69 6c 64 20 75 73 69 6e 67 20 3a 61 62 62 72 3a 60 45 56 45 2d 4e 47	ab.was.build.using.:abbr:`EVE-NG
f7e0	20 28 45 6d 75 6c 61 74 65 64 20 56 69 72 74 75 61 6c 20 45 6e 76 69 72 6f 6e 6d 65 6e 74 20 4e	.(Emulated.Virtual.Environment.N
f800	47 29 60 2e 00 57 68 65 6e 20 79 6f 75 20 68 61 76 65 20 62 6f 74 68 20 72 6f 75 74 65 72 73 20	G)`..When.you.have.both.routers.
f820	75 70 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 65 73 74 61 62 6c	up,.you.should.be.able.to.establ
f840	69 73 68 20 61 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 72 6f 6d 20 61 20 4e 41 54 27 65 64 20 6d	ish.a.connection.from.a.NAT'ed.m
f860	61 63 68 69 6e 65 20 6f 75 74 20 74 6f 20 74 68 65 20 69 6e 74 65 72 6e 65 74 2c 20 72 65 62 6f	achine.out.to.the.internet,.rebo
f880	6f 74 20 74 68 65 20 61 63 74 69 76 65 20 6d 61 63 68 69 6e 65 2c 20 61 6e 64 20 74 68 61 74 20	ot.the.active.machine,.and.that.
f8a0	63 6f 6e 6e 65 63 74 69 6f 6e 20 73 68 6f 75 6c 64 20 62 65 20 70 72 65 73 65 72 76 65 64 2c 20	connection.should.be.preserved,.
f8c0	61 6e 64 20 77 69 6c 6c 20 6e 6f 74 20 64 72 6f 70 20 6f 75 74 2e 00 57 68 65 6e 20 79 6f 75 20	and.will.not.drop.out..When.you.
f8e0	68 61 76 65 20 65 6e 61 62 6c 65 64 20 4f 53 50 46 20 6f 6e 20 62 6f 74 68 20 72 6f 75 74 65 72	have.enabled.OSPF.on.both.router
f900	73 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 65 61 63	s,.you.should.be.able.to.see.eac
f920	68 20 6f 74 68 65 72 20 77 69 74 68 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 68 6f 77 20	h.other.with.the.command.``show.
f940	69 70 20 6f 73 70 66 20 6e 65 69 67 68 62 6f 75 72 60 60 2e 20 54 68 65 20 73 74 61 74 65 20 6d	ip.ospf.neighbour``..The.state.m
f960	75 73 74 20 62 65 20 27 46 75 6c 6c 27 20 6f 72 20 27 32 2d 57 61 79 27 2e 20 49 66 20 69 74 20	ust.be.'Full'.or.'2-Way'..If.it.
f980	69 73 20 6e 6f 74 2c 20 74 68 65 6e 20 74 68 65 72 65 20 69 73 20 61 20 6e 65 74 77 6f 72 6b 20	is.not,.then.there.is.a.network.
f9a0	63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 73 73 75 65 20 62 65 74 77 65 65 6e 20 74 68 65 20 68	connectivity.issue.between.the.h
f9c0	6f 73 74 73 2e 20 54 68 69 73 20 69 73 20 6f 66 74 65 6e 20 63 61 75 73 65 64 20 62 79 20 4e 41	osts..This.is.often.caused.by.NA
f9e0	54 20 6f 72 20 4d 54 55 20 69 73 73 75 65 73 2e 20 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 74 20	T.or.MTU.issues..You.should.not.
fa00	73 65 65 20 61 6e 79 20 6e 65 77 20 72 6f 75 74 65 73 20 28 75 6e 6c 65 73 73 20 74 68 69 73 20	see.any.new.routes.(unless.this.
fa20	69 73 20 74 68 65 20 73 65 63 6f 6e 64 20 70 61 73 73 29 20 69 6e 20 74 68 65 20 6f 75 74 70 75	is.the.second.pass).in.the.outpu
fa40	74 20 6f 66 20 60 60 73 68 6f 77 20 69 70 20 72 6f 75 74 65 60 60 00 57 69 6e 64 6f 77 73 20 53	t.of.``show.ip.route``.Windows.S
fa60	65 72 76 65 72 20 32 30 31 39 20 77 69 74 68 20 61 20 72 75 6e 6e 69 6e 67 20 41 63 74 69 76 65	erver.2019.with.a.running.Active
fa80	20 44 69 72 65 63 74 6f 72 79 00 57 69 72 65 67 75 61 72 64 00 57 69 72 65 67 75 61 72 64 20 64	.Directory.Wireguard.Wireguard.d
faa0	6f 65 73 6e 27 74 20 68 61 76 65 20 74 68 65 20 63 6f 6e 63 65 70 74 20 6f 66 20 61 6e 20 75 70	oesn't.have.the.concept.of.an.up
fac0	20 6f 72 20 64 6f 77 6e 20 6c 69 6e 6b 2c 20 64 75 65 20 74 6f 20 69 74 73 20 64 65 73 69 67 6e	.or.down.link,.due.to.its.design
fae0	2e 20 54 68 69 73 20 63 6f 6d 70 6c 69 63 61 74 65 73 20 41 4e 44 20 73 69 6d 70 6c 69 66 69 65	..This.complicates.AND.simplifie
fb00	73 20 75 73 69 6e 67 20 69 74 20 66 6f 72 20 6e 65 74 77 6f 72 6b 20 74 72 61 6e 73 70 6f 72 74	s.using.it.for.network.transport
fb20	2c 20 61 73 20 66 6f 72 20 72 65 6c 69 61 62 6c 65 20 73 74 61 74 65 20 64 65 74 65 63 74 69 6f	,.as.for.reliable.state.detectio
fb40	6e 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 75 73 65 20 53 4f 4d 45 54 48 49 4e 47 20 74 6f 20 64	n.you.need.to.use.SOMETHING.to.d
fb60	65 74 65 63 74 20 77 68 65 6e 20 74 68 65 20 6c 69 6e 6b 20 69 73 20 64 6f 77 6e 2e 00 57 69 74	etect.when.the.link.is.down..Wit
fb80	68 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2c 20 79 6f 75 20 68 61 76 65 20 74 77 6f	h.Tunnelbroker.net,.you.have.two
fba0	20 6f 70 74 69 6f 6e 73 3a 00 57 69 74 68 20 74 68 69 73 20 63 6f 6d 6d 61 6e 64 20 77 65 20 61	.options:.With.this.command.we.a
fbc0	72 65 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 61	re.able.to.check.the.transport.a
fbe0	6e 64 20 63 75 73 74 6f 6d 65 72 20 6c 61 62 65 6c 20 28 69 6e 6e 65 72 2f 6f 75 74 65 72 29 20	nd.customer.label.(inner/outer).
fc00	66 6f 72 20 6e 65 74 77 6f 72 6b 20 73 70 6f 6b 65 73 20 70 72 65 66 69 78 65 73 20 31 30 2e 30	for.network.spokes.prefixes.10.0
fc20	2e 30 2e 38 30 2f 33 32 20 2d 20 31 30 2e 30 2e 30 2e 39 30 2f 33 32 00 57 69 74 68 69 6e 20 74	.0.80/32.-.10.0.0.90/32.Within.t
fc40	68 65 20 56 52 46 20 77 65 20 73 65 74 20 74 68 65 20 52 6f 75 74 65 2d 44 69 73 74 69 6e 67 75	he.VRF.we.set.the.Route-Distingu
fc60	69 73 68 65 72 20 28 52 44 29 20 61 6e 64 20 52 6f 75 74 65 2d 54 61 72 67 65 74 73 20 28 52 54	isher.(RD).and.Route-Targets.(RT
fc80	29 2c 20 74 68 65 6e 20 77 65 20 65 6e 61 62 6c 65 20 74 68 65 20 65 78 70 6f 72 74 2f 69 6d 70	),.then.we.enable.the.export/imp
fca0	6f 72 74 20 56 50 4e 2e 00 58 52 76 2d 50 33 3a 00 59 6f 75 20 6d 61 6e 61 67 65 64 20 74 6f 20	ort.VPN..XRv-P3:.You.managed.to.
fcc0	63 6f 6d 65 20 74 68 69 73 20 66 61 72 2c 20 6e 6f 77 20 77 65 20 77 61 6e 74 20 74 6f 20 73 65	come.this.far,.now.we.want.to.se
fce0	65 20 74 68 65 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73	e.the.network.and.routing.tables
fd00	20 69 6e 20 61 63 74 69 6f 6e 2e 00 59 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74	.in.action..You.should.be.able.t
fd20	6f 20 70 69 6e 67 20 74 6f 20 61 6e 64 20 66 72 6f 6d 20 61 6c 6c 20 74 68 65 20 49 50 73 20 79	o.ping.to.and.from.all.the.IPs.y
fd40	6f 75 20 68 61 76 65 20 61 6c 6c 6f 63 61 74 65 64 2e 00 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f	ou.have.allocated..You.should.no
fd60	77 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 73 6f 6d 65 74 68 69 6e 67 20 62 79 20 49	w.be.able.to.ping.something.by.I
fd80	50 76 36 20 44 4e 53 20 6e 61 6d 65 3a 00 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 77 20 62 65 20	Pv6.DNS.name:.You.should.now.be.
fda0	61 62 6c 65 20 74 6f 20 73 65 65 20 74 68 65 20 61 64 76 65 72 74 69 73 65 64 20 6e 65 74 77 6f	able.to.see.the.advertised.netwo
fdc0	72 6b 20 6f 6e 20 74 68 65 20 6f 74 68 65 72 20 68 6f 73 74 2e 00 59 6f 75 20 77 6f 75 6c 64 20	rk.on.the.other.host..You.would.
fde0	68 61 76 65 20 35 20 7a 6f 6e 65 73 20 69 6e 73 74 65 61 64 20 6f 66 20 6a 75 73 74 20 34 20 61	have.5.zones.instead.of.just.4.a
fe00	6e 64 20 79 6f 75 20 77 6f 75 6c 64 20 63 6f 6e 66 69 67 75 72 65 20 79 6f 75 72 20 76 36 20 72	nd.you.would.configure.your.v6.r
fe20	75 6c 65 73 65 74 20 62 65 74 77 65 65 6e 20 79 6f 75 72 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72	uleset.between.your.tunnel.inter
fe40	66 61 63 65 20 61 6e 64 20 79 6f 75 72 20 4c 41 4e 2f 44 4d 5a 20 7a 6f 6e 65 73 20 69 6e 73 74	face.and.your.LAN/DMZ.zones.inst
fe60	65 61 64 20 6f 66 20 74 6f 20 74 68 65 20 57 41 4e 2e 00 59 6f 75 20 77 6f 75 6c 64 20 68 61 76	ead.of.to.the.WAN..You.would.hav
fe80	65 20 74 6f 20 61 64 64 20 61 20 63 6f 75 70 6c 65 20 6f 66 20 72 75 6c 65 73 20 6f 6e 20 79 6f	e.to.add.a.couple.of.rules.on.yo
fea0	75 72 20 77 61 6e 2d 6c 6f 63 61 6c 20 72 75 6c 65 73 65 74 20 74 6f 20 61 6c 6c 6f 77 20 70 72	ur.wan-local.ruleset.to.allow.pr
fec0	6f 74 6f 63 6f 6c 20 34 31 20 69 6e 2e 00 5a 6f 6e 65 2d 50 6f 6c 69 63 79 20 65 78 61 6d 70 6c	otocol.41.in..Zone-Policy.exampl
fee0	65 00 5a 6f 6e 65 73 20 42 61 73 69 63 73 00 5a 6f 6e 65 73 20 61 6e 64 20 52 75 6c 65 73 65 74	e.Zones.Basics.Zones.and.Ruleset
ff00	73 20 62 6f 74 68 20 68 61 76 65 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 73 74 61	s.both.have.a.default.action.sta
ff20	74 65 6d 65 6e 74 2e 20 57 68 65 6e 20 75 73 69 6e 67 20 5a 6f 6e 65 2d 50 6f 6c 69 63 69 65 73	tement..When.using.Zone-Policies
ff40	2c 20 74 68 65 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 69 73 20 73 65 74 20 62 79 20 74	,.the.default.action.is.set.by.t
ff60	68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 73 74 61 74 65 6d 65 6e 74 20 61 6e 64 20 69 73 20	he.zone-policy.statement.and.is.
ff80	72 65 70 72 65 73 65 6e 74 65 64 20 62 79 20 72 75 6c 65 20 31 30 30 30 30 2e 00 5a 6f 6e 65 73	represented.by.rule.10000..Zones
ffa0	20 64 6f 20 6e 6f 74 20 61 6c 6c 6f 77 20 66 6f 72 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69	.do.not.allow.for.a.default.acti
ffc0	6f 6e 20 6f 66 20 61 63 63 65 70 74 3b 20 65 69 74 68 65 72 20 64 72 6f 70 20 6f 72 20 72 65 6a	on.of.accept;.either.drop.or.rej
ffe0	65 63 74 2e 20 49 74 20 69 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 72 65 6d 65 6d 62 65 72	ect..It.is.important.to.remember
10000	20 74 68 69 73 20 62 65 63 61 75 73 65 20 69 66 20 79 6f 75 20 61 70 70 6c 79 20 61 6e 20 69 6e	.this.because.if.you.apply.an.in
10020	74 65 72 66 61 63 65 20 74 6f 20 61 20 7a 6f 6e 65 20 61 6e 64 20 63 6f 6d 6d 69 74 2c 20 61 6e	terface.to.a.zone.and.commit,.an
10040	79 20 61 63 74 69 76 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 77 69 6c 6c 20 62 65 20 64 72 6f	y.active.connections.will.be.dro
10060	70 70 65 64 2e 20 53 70 65 63 69 66 69 63 61 6c 6c 79 2c 20 69 66 20 79 6f 75 20 61 72 65 20 53	pped..Specifically,.if.you.are.S
10080	53 48 e2 80 99 64 20 69 6e 74 6f 20 56 79 4f 53 20 61 6e 64 20 61 64 64 20 6c 6f 63 61 6c 20 6f	SH...d.into.VyOS.and.add.local.o
100a0	72 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 79 6f 75 20 61 72 65 20 63 6f 6e 6e 65 63 74 69	r.the.interface.you.are.connecti
100c0	6e 67 20 74 68 72 6f 75 67 68 20 74 6f 20 61 20 7a 6f 6e 65 20 61 6e 64 20 64 6f 20 6e 6f 74 20	ng.through.to.a.zone.and.do.not.
100e0	68 61 76 65 20 72 75 6c 65 73 65 74 73 20 69 6e 20 70 6c 61 63 65 20 74 6f 20 61 6c 6c 6f 77 20	have.rulesets.in.place.to.allow.
10100	53 53 48 20 61 6e 64 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 65 73 73 69 6f 6e 73 2c 20 79 6f	SSH.and.established.sessions,.yo
10120	75 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 61 62 6c 65 20 74 6f 20 63 6f 6e 6e 65 63 74 2e 00 60	u.will.not.be.able.to.connect..`
10140	32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 31 3a 3a 2f 36 34 60 3a 20 41 20 73 75 62 6e 65 74 20	2001:470:xxxx:1::/64`:.A.subnet.
10160	73 75 69 74 61 62 6c 65 20 66 6f 72 20 61 20 4c 41 4e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78	suitable.for.a.LAN.`2001:470:xxx
10180	78 3a 32 3a 3a 2f 36 34 60 3a 20 41 6e 6f 74 68 65 72 20 73 75 62 6e 65 74 00 60 32 30 30 31 3a	x:2::/64`:.Another.subnet.`2001:
101a0	34 37 30 3a 78 78 78 78 3a 3a 2f 34 38 60 3a 20 54 68 65 20 77 68 6f 6c 65 20 73 75 62 6e 65 74	470:xxxx::/48`:.The.whole.subnet
101c0	2e 20 78 78 78 78 20 73 68 6f 75 6c 64 20 63 6f 6d 65 20 66 72 6f 6d 20 54 75 6e 6e 65 6c 62 72	..xxxx.should.come.from.Tunnelbr
101e0	6f 6b 65 72 2e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 66 66 66 66 3a 2f 36 34 60 3a 20	oker..`2001:470:xxxx:ffff:/64`:.
10200	54 68 65 20 6c 61 73 74 20 75 73 61 62 6c 65 20 2f 36 34 20 73 75 62 6e 65 74 2e 00 60 60 73 65	The.last.usable./64.subnet..``se
10220	72 76 69 63 65 2d 6e 61 6d 65 60 60 20 63 61 6e 20 62 65 20 61 6e 20 61 72 62 69 74 72 61 72 79	rvice-name``.can.be.an.arbitrary
10240	20 73 74 72 69 6e 67 2e 00 61 66 74 65 72 20 61 6c 6c 20 74 68 65 73 65 20 73 74 65 70 73 20 74	.string..after.all.these.steps.t
10260	68 65 20 63 6f 6e 66 69 67 20 6c 6f 6f 6b 20 6c 69 6b 65 20 74 68 69 73 3a 00 61 66 74 65 72 20	he.config.look.like.this:.after.
10280	74 68 69 73 20 63 72 65 61 74 65 20 61 20 73 69 67 6e 65 64 20 73 65 72 76 65 72 20 61 6e 64 20	this.create.a.signed.server.and.
102a0	61 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65 00 61 6e 64 20 6c 61 73 74 20 74 68	a.client.certificate.and.last.th
102c0	65 20 44 48 20 4b 65 79 00 62 6c 75 65 20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67	e.DH.Key.blue.uses.local.routing
102e0	20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20 32 30 30 30 00 63 68 30 30 73 33 2d 34 2d	.table.id.and.VNI.2000.ch00s3-4-
10300	73 33 63 75 72 33 2d 70 73 6b 00 63 6f 6d 70 75 74 65 31 20 28 56 4d 77 61 72 65 20 45 53 58 69	s3cur3-psk.compute1.(VMware.ESXi
10320	20 36 2e 35 29 00 63 6f 6d 70 75 74 65 31 20 2d 20 50 6f 72 74 20 39 20 6f 66 20 65 61 63 68 20	.6.5).compute1.-.Port.9.of.each.
10340	73 77 69 74 63 68 00 63 6f 6d 70 75 74 65 32 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35	switch.compute2.(VMware.ESXi.6.5
10360	29 00 63 6f 6d 70 75 74 65 32 20 2d 20 50 6f 72 74 20 31 30 20 6f 66 20 65 61 63 68 20 73 77 69	).compute2.-.Port.10.of.each.swi
10380	74 63 68 00 63 6f 6d 70 75 74 65 33 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63	tch.compute3.(VMware.ESXi.6.5).c
103a0	6f 6d 70 75 74 65 33 20 2d 20 50 6f 72 74 20 31 31 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68	ompute3.-.Port.11.of.each.switch
103c0	00 63 6f 6e 66 69 67 75 72 65 20 65 61 63 68 20 68 6f 73 74 20 69 6e 20 74 68 65 20 6c 61 62 00	.configure.each.host.in.the.lab.
103e0	63 72 65 61 74 65 20 74 68 65 20 6c 61 62 20 6f 6e 20 61 20 65 76 65 2d 6e 67 20 73 65 72 76 65	create.the.lab.on.a.eve-ng.serve
10400	72 00 64 6f 20 73 6f 6d 65 20 64 65 66 69 6e 65 64 20 74 65 73 74 73 00 65 74 68 30 00 65 74 68	r.do.some.defined.tests.eth0.eth
10420	30 20 69 73 20 73 65 74 20 74 6f 20 62 65 20 72 65 6d 6f 76 65 64 20 66 72 6f 6d 20 74 68 65 20	0.is.set.to.be.removed.from.the.
10440	6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 27 73 20 69 6e 74 65 72 66 61 63 65 20 70 6f 6f 6c 20 61	load.balancer's.interface.pool.a
10460	66 74 65 72 20 35 20 70 69 6e 67 20 66 61 69 6c 75 72 65 73 2c 20 65 74 68 31 20 77 69 6c 6c 20	fter.5.ping.failures,.eth1.will.
10480	62 65 20 72 65 6d 6f 76 65 64 20 61 66 74 65 72 20 34 20 70 69 6e 67 20 66 61 69 6c 75 72 65 73	be.removed.after.4.ping.failures
104a0	2e 00 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 20 61 6e 64 20 72 65 6d 6f 74 65 20	..extended.community.and.remote.
104c0	6c 61 62 65 6c 20 6f 66 20 73 70 65 63 69 66 69 63 20 64 65 73 74 69 6e 61 74 69 6f 6e 00 66 69	label.of.specific.destination.fi
104e0	72 73 74 20 74 68 65 20 50 43 41 00 67 65 6e 65 72 61 74 65 20 74 68 65 20 64 6f 63 75 6d 65 6e	rst.the.PCA.generate.the.documen
10500	74 61 74 69 6f 6e 20 61 6e 64 20 69 6e 63 6c 75 64 65 20 66 69 6c 65 73 00 67 72 65 65 6e 20 75	tation.and.include.files.green.u
10520	73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56	ses.local.routing.table.id.and.V
10540	4e 49 20 34 30 30 30 00 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 50 45 20 61	NI.4000.information.between.PE.a
10560	6e 64 20 43 45 3a 00 6f 70 74 69 6f 6e 61 6c 20 64 6f 20 61 6e 20 75 70 67 72 61 64 65 20 74 6f	nd.CE:.optional.do.an.upgrade.to
10580	20 61 20 68 69 67 68 65 72 20 76 65 72 73 69 6f 6e 20 61 6e 64 20 64 6f 20 73 74 65 70 20 33 20	.a.higher.version.and.do.step.3.
105a0	61 67 61 69 6e 2e 00 72 65 64 20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61	again..red.uses.local.routing.ta
105c0	62 6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20 33 30 30 30 00 72 6f 75 74 65 72 32 20 28 52 61 6e	ble.id.and.VNI.3000.router2.(Ran
105e0	64 6f 6d 20 31 52 55 20 6d 61 63 68 69 6e 65 20 77 69 74 68 20 34 20 4e 49 43 73 29 00 73 61 76	dom.1RU.machine.with.4.NICs).sav
10600	65 20 74 68 65 20 6f 75 74 70 75 74 20 74 6f 20 61 20 66 69 6c 65 20 61 6e 64 20 69 6d 70 6f 72	e.the.output.to.a.file.and.impor
10620	74 20 69 74 20 69 6e 20 6e 65 61 72 6c 79 20 61 6c 6c 20 6f 70 65 6e 76 70 6e 20 63 6c 69 65 6e	t.it.in.nearly.all.openvpn.clien
10640	74 73 2e 00 73 68 75 74 64 6f 77 6e 20 61 6e 64 20 64 65 73 74 72 6f 79 20 74 68 65 20 6c 61 62	ts..shutdown.and.destroy.the.lab
10660	2c 20 69 66 20 74 68 65 72 65 20 69 73 20 6e 6f 20 65 72 72 6f 72 00 73 70 65 63 69 66 69 63 20	,.if.there.is.no.error.specific.
10680	56 50 4e 76 34 20 64 65 73 74 69 6e 61 74 69 6f 6e 20 69 6e 63 6c 75 64 69 6e 67 20 65 78 74 65	VPNv4.destination.including.exte
106a0	6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 20 61 6e 64 20 72 65 6d 6f 74 65 6c 61 62 65 6c 20 69	nded.community.and.remotelabel.i
106c0	6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 54 68 69 73 20 70 72 6f 63 65 64 75 72 65 20 69 73 20 74 68	nformation..This.procedure.is.th
106e0	65 20 73 61 6d 65 20 6f 6e 20 61 6c 6c 20 53 70 6f 6b 65 20 6e 6f 64 65 73 3a 00 73 77 69 74 63	e.same.on.all.Spoke.nodes:.switc
10700	68 31 20 28 4e 65 78 75 73 20 31 30 67 62 20 53 77 69 74 63 68 29 00 73 77 69 74 63 68 32 20 28	h1.(Nexus.10gb.Switch).switch2.(
10720	4e 65 78 75 73 20 31 30 67 62 20 53 77 69 74 63 68 29 00 76 36 20 70 61 69 72 73 20 77 6f 75 6c	Nexus.10gb.Switch).v6.pairs.woul
10740	64 20 62 65 3a 00 77 65 20 61 72 65 20 75 73 69 6e 67 20 22 73 6f 75 72 63 65 2d 61 64 64 72 65	d.be:.we.are.using."source-addre
10760	73 73 22 20 6f 70 74 69 6f 6e 20 63 61 75 73 65 20 77 65 20 61 72 65 20 6e 6f 74 20 72 65 64 69	ss".option.cause.we.are.not.redi
10780	73 74 72 69 62 75 74 69 6e 67 20 63 6f 6e 6e 65 63 74 65 64 20 69 6e 74 65 72 66 61 63 65 73 20	stributing.connected.interfaces.
107a0	69 6e 74 6f 20 42 47 50 20 6f 6e 20 74 68 65 20 43 6f 72 65 20 72 6f 75 74 65 72 20 68 65 6e 63	into.BGP.on.the.Core.router.henc
107c0	65 20 74 68 65 72 65 20 69 73 20 6e 6f 20 63 6f 6d 65 62 61 63 6b 20 72 6f 75 74 65 20 61 6e 64	e.there.is.no.comeback.route.and
107e0	20 70 69 6e 67 20 77 69 6c 6c 20 66 61 69 6c 2e 00 77 69 74 68 69 6e 20 56 52 46 73 3a 00 e2 80	.ping.will.fail..within.VRFs:...
10800	9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f	.show.bgp.ipv4.vpn.summary....fo
10820	72 20 63 68 65 63 6b 69 6e 67 20 42 47 50 20 56 50 4e 76 34 20 6e 65 69 67 68 62 6f 72 73 3a 00	r.checking.BGP.VPNv4.neighbors:.
10840	e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20	...show.bgp.ipv4.vpn.summary....
10860	66 6f 72 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f 72 73 20 61 67 61 69	for.checking.iBGP.neighbors.agai
10880	6e 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80	n....show.bgp.ipv4.vpn.summary..
108a0	9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f 72 73 20 61 67	..for.checking.iBGP.neighbors.ag
108c0	61 69 6e 73 74 20 72 6f 75 74 65 2d 72 65 66 6c 65 63 74 6f 72 20 64 65 76 69 63 65 73 3a 00 e2	ainst.route-reflector.devices:..
108e0	80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 33 32 e2 80	..show.bgp.ipv4.vpn.x.x.x.x/32..
10900	9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 62 65 73 74 2d 70 61 74 68 2c 00 e2 80 9c 73 68 6f	..for.checking.best-path,....sho
10920	77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 33 32 e2 80 9d 20 66 6f 72	w.bgp.ipv4.vpn.x.x.x.x/32....for
10940	20 63 68 65 63 6b 69 6e 67 20 74 68 65 20 62 65 73 74 2d 70 61 74 68 20 74 6f 20 74 68 65 00 e2	.checking.the.best-path.to.the..
10960	80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 78 e2 80 9d	..show.bgp.ipv4.vpn.x.x.x.x/x...
10980	20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 62 65 73 74 20 70 61 74 68 20 73 65 6c 65 63 74 65 64	.for.checking.best.path.selected
109a0	20 66 6f 72 20 73 70 65 63 69 66 69 63 20 56 50 4e 76 34 20 64 65 73 74 69 6e 61 74 69 6f 6e 00	.for.specific.VPNv4.destination.
109c0	e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e e2 80 9d 20 20 66 6f 72 20 63 68 65	...show.bgp.ipv4.vpn.....for.che
109e0	63 6b 69 6e 67 20 61 6c 6c 20 56 50 4e 76 34 20 70 72 65 66 69 78 65 73 20 69 6e 66 6f 72 6d 61	cking.all.VPNv4.prefixes.informa
10a00	74 69 6f 6e 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 5f 48 55 42 20 73	tion:....show.bgp.vrf.BLUE_HUB.s
10a20	75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 47 50 20 6e 65 69 67	ummary....for.checking.EBGP.neig
10a40	68 62 6f 72 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 5f 53 50 4f 4b 45 20	hbor....show.bgp.vrf.BLUE_SPOKE.
10a60	73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 47 50 20 6e 65 69	summary....for.checking.EBGP.nei
10a80	67 68 62 6f 72 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c e2 80 9d 20 66 6f 72	ghbor....show.bgp.vrf.all....for
10aa0	20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 20 6c 65 61 72 6e 69 6e	.checking.all.the.prefix.learnin
10ac0	67 20 6f 6e 20 42 47 50 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c e2 80 9d 20	g.on.BGP....show.bgp.vrf.all....
10ae0	66 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 65 73 20 6c 65	for.checking.all.the.prefixes.le
10b00	61 72 6e 69 6e 67 20 6f 6e 20 42 47 50 00 e2 80 9c 73 68 6f 77 20 69 70 20 6f 73 70 66 20 6e 65	arning.on.BGP....show.ip.ospf.ne
10b20	69 67 68 62 6f 72 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6f 73 70 66 20 72 65 6c 61	ighbor....for.checking.ospf.rela
10b40	74 69 6f 6e 73 68 69 70 00 e2 80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 72 66 20 42 4c	tionship....show.ip.route.vrf.BL
10b60	55 45 5f 48 55 42 e2 80 9d 20 74 6f 20 76 69 65 77 20 74 68 65 20 52 49 42 20 69 6e 20 6f 75 72	UE_HUB....to.view.the.RIB.in.our
10b80	20 48 75 62 20 50 45 2e 00 e2 80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 72 66 20 42 4c	.Hub.PE.....show.ip.route.vrf.BL
10ba0	55 45 5f 53 50 4f 4b 45 e2 80 9d 20 66 6f 72 20 76 69 65 77 69 6e 67 20 74 68 65 20 52 49 42 20	UE_SPOKE....for.viewing.the.RIB.
10bc0	69 6e 20 6f 75 72 20 53 70 6f 6b 65 20 50 45 2e 00 e2 80 9c 73 68 6f 77 20 6d 70 6c 73 20 6c 64	in.our.Spoke.PE.....show.mpls.ld
10be0	70 20 62 69 6e 64 69 6e 67 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6d 70 6c 73 20 6c	p.binding....for.checking.mpls.l
10c00	61 62 65 6c 20 61 73 73 69 67 6e 6d 65 6e 74 00 e2 80 9c 73 68 6f 77 20 6d 70 6c 73 20 6c 64 70	abel.assignment....show.mpls.ldp
10c20	20 6e 65 69 67 68 62 6f 72 20 e2 80 9c 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6c 64 70 20 6e	.neighbor.....for.checking.ldp.n
10c40	65 69 67 68 62 6f 72 73 00 4d 49 4d 45 2d 56 65 72 73 69 6f 6e 3a 20 31 2e 30 0a 43 6f 6e 74 65	eighbors.MIME-Version:.1.0.Conte
10c60	6e 74 2d 54 79 70 65 3a 20 74 65 78 74 2f 70 6c 61 69 6e 3b 20 63 68 61 72 73 65 74 3d 55 54 46	nt-Type:.text/plain;.charset=UTF
10c80	2d 38 0a 43 6f 6e 74 65 6e 74 2d 54 72 61 6e 73 66 65 72 2d 45 6e 63 6f 64 69 6e 67 3a 20 38 62	-8.Content-Transfer-Encoding:.8b
10ca0	69 74 0a 58 2d 47 65 6e 65 72 61 74 6f 72 3a 20 4c 6f 63 61 6c 61 7a 79 20 28 68 74 74 70 73 3a	it.X-Generator:.Localazy.(https:
10cc0	2f 2f 6c 6f 63 61 6c 61 7a 79 2e 63 6f 6d 29 0a 50 72 6f 6a 65 63 74 2d 49 64 2d 56 65 72 73 69	//localazy.com).Project-Id-Versi
10ce0	6f 6e 3a 20 0a 4c 61 6e 67 75 61 67 65 3a 20 6a 61 0a 50 6c 75 72 61 6c 2d 46 6f 72 6d 73 3a 20	on:..Language:.ja.Plural-Forms:.
10d00	6e 70 6c 75 72 61 6c 73 3d 31 3b 20 70 6c 75 72 61 6c 3d 30 3b 0a 00 27 27 49 74 20 69 73 20 69	nplurals=1;.plural=0;..''It.is.i
10d20	6d 70 6f 72 74 61 6e 74 20 74 6f 20 6e 6f 74 65 2c 20 74 68 61 74 20 79 6f 75 20 64 6f 20 6e 6f	mportant.to.note,.that.you.do.no
10d40	74 20 77 61 6e 74 20 74 6f 20 61 64 64 20 6c 6f 67 67 69 6e 67 20 74 6f 20 74 68 65 20 65 73 74	t.want.to.add.logging.to.the.est
10d60	61 62 6c 69 73 68 65 64 20 73 74 61 74 65 20 72 75 6c 65 20 61 73 20 79 6f 75 20 77 69 6c 6c 20	ablished.state.rule.as.you.will.
10d80	62 65 20 6c 6f 67 67 69 6e 67 20 62 6f 74 68 20 74 68 65 20 69 6e 62 6f 75 6e 64 20 61 6e 64 20	be.logging.both.the.inbound.and.
10da0	6f 75 74 62 6f 75 6e 64 20 70 61 63 6b 65 74 73 20 66 6f 72 20 65 61 63 68 20 73 65 73 73 69 6f	outbound.packets.for.each.sessio
10dc0	6e 20 69 6e 73 74 65 61 64 20 6f 66 20 6a 75 73 74 20 74 68 65 20 69 6e 69 74 69 61 74 69 6f 6e	n.instead.of.just.the.initiation
10de0	20 6f 66 20 74 68 65 20 73 65 73 73 69 6f 6e 2e 20 59 6f 75 72 20 6c 6f 67 73 20 77 69 6c 6c 20	.of.the.session..Your.logs.will.
10e00	62 65 20 6d 61 73 73 69 76 65 20 69 6e 20 61 20 76 65 72 79 20 73 68 6f 72 74 20 70 65 72 69 6f	be.massive.in.a.very.short.perio
10e20	64 20 6f 66 20 74 69 6d 65 2e 27 27 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 41 64 64 20	d.of.time.''.Important:.Add.
10e40	61 6e 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 74 6f 20 72 65 61 63 68 20 41 7a 75 72	an.interface.route.to.reach.Azur
10e60	65 27 73 20 42 47 50 20 6c 69 73 74 65 6e 65 72 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20	e's.BGP.listener.Important:.
10e80	41 64 64 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 74 6f 20 72 65 61 63 68 20	Add.an.interface.route.to.reach.
10ea0	62 6f 74 68 20 41 7a 75 72 65 27 73 20 42 47 50 20 6c 69 73 74 65 6e 65 72 73 00 2a 2a 49 6d 70	both.Azure's.BGP.listeners.**Imp
10ec0	6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73 61 62 6c 65 20 63 6f 6e 6e 65 63 74 65 64 20 63 68 65 63	ortant**:.Disable.connected.chec
10ee0	6b 20 5c 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73 61 62 6c 65 20 63 6f 6e 6e 65	k.\.Important:.Disable.conne
10f00	63 74 65 64 20 63 68 65 63 6b 2c 20 6f 74 68 65 72 77 69 73 65 20 74 68 65 20 72 6f 75 74 65 73	cted.check,.otherwise.the.routes
10f20	20 6c 65 61 72 6e 65 64 20 66 72 6f 6d 20 41 7a 75 72 65 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20	.learned.from.Azure.will.not.be.
10f40	69 6d 70 6f 72 74 65 64 20 69 6e 74 6f 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 2e	imported.into.the.routing.table.
10f60	00 2a 2a 4e 4f 54 45 3a 2a 2a 20 56 79 4f 53 20 52 6f 75 74 65 72 20 28 74 65 73 74 65 64 20 77	.NOTE:.VyOS.Router.(tested.w
10f80	69 74 68 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31	ith.VyOS.1.4-rolling-20211031031
10fa0	37 29 20 e2 80 93 20 20 54 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 62 65 6c 6f 77	7)......The.configurations.below
10fc0	20 61 72 65 20 73 70 65 63 69 66 69 63 61 6c 6c 79 20 66 6f 72 20 56 79 4f 53 20 31 2e 34 2e 78	.are.specifically.for.VyOS.1.4.x
10fe0	2e 00 2a 2a 4e 6f 74 65 3a 2a 2a 20 41 74 20 74 68 65 20 6d 6f 6d 65 6e 74 2c 20 74 72 61 63 65	..Note:.At.the.moment,.trace
11000	20 6d 70 6c 73 20 64 6f 65 73 6e e2 80 99 74 20 73 68 6f 77 20 6c 61 62 65 6c 73 2f 70 61 74 68	.mpls.doesn...t.show.labels/path
11020	73 2e 20 53 6f 20 77 65 e2 80 99 6c 6c 20 73 65 65 20 2a 20 2a 20 2a 20 20 66 6f 72 20 74 68 65	s..So.we...ll.see...*..for.the
11040	20 74 72 61 6e 73 69 74 20 72 6f 75 74 65 72 73 20 6f 66 20 74 68 65 20 6d 70 6c 73 20 62 61 63	.transit.routers.of.the.mpls.bac
11060	6b 62 6f 6e 65 2e 00 2a 2a 54 68 69 73 20 73 70 65 63 69 66 69 63 20 65 78 61 6d 70 6c 65 20 69	kbone..**This.specific.example.i
11080	73 20 66 6f 72 20 61 20 72 6f 75 74 65 72 20 6f 6e 20 61 20 73 74 69 63 6b 2c 20 62 75 74 20 69	s.for.a.router.on.a.stick,.but.i
110a0	73 20 76 65 72 79 20 65 61 73 69 6c 79 20 61 64 61 70 74 65 64 20 66 6f 72 20 68 6f 77 65 76 65	s.very.easily.adapted.for.howeve
110c0	72 20 6d 61 6e 79 20 4e 49 43 73 20 79 6f 75 20 68 61 76 65 2a 2a 3a 00 2a 2a 56 69 72 74 75 61	r.many.NICs.you.have:.Virtua
110e0	6c 20 52 6f 75 74 69 6e 67 20 61 6e 64 20 46 6f 72 77 61 72 64 69 6e 67 2a 2a 20 69 73 20 61 20	l.Routing.and.Forwarding**.is.a.
11100	74 65 63 68 6e 6f 6c 6f 67 79 20 74 68 61 74 20 61 6c 6c 6f 77 20 6d 75 6c 74 69 70 6c 65 20 69	technology.that.allow.multiple.i
11120	6e 73 74 61 6e 63 65 20 6f 66 20 61 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 74 6f 20 65 78	nstance.of.a.routing.table.to.ex
11140	69 73 74 20 77 69 74 68 69 6e 20 61 20 73 69 6e 67 6c 65 20 64 65 76 69 63 65 2e 20 4f 6e 65 20	ist.within.a.single.device..One.
11160	6f 66 20 74 68 65 20 6b 65 79 20 61 73 70 65 63 74 20 6f 66 20 2a 2a 56 52 46 73 2a 2a 20 69 73	of.the.key.aspect.of.VRFs.is
11180	20 74 68 61 74 20 64 6f 20 6e 6f 74 20 73 68 61 72 65 20 74 68 65 20 73 61 6d 65 20 72 6f 75 74	.that.do.not.share.the.same.rout
111a0	65 73 20 6f 72 20 69 6e 74 65 72 66 61 63 65 73 2c 20 74 68 65 72 65 66 6f 72 65 20 70 61 63 6b	es.or.interfaces,.therefore.pack
111c0	65 74 73 20 61 72 65 20 66 6f 72 77 61 72 64 65 64 20 62 65 74 77 65 65 6e 20 69 6e 74 65 72 66	ets.are.forwarded.between.interf
111e0	61 63 65 73 20 74 68 61 74 20 62 65 6c 6f 6e 67 20 74 6f 20 74 68 65 20 73 61 6d 65 20 56 52 46	aces.that.belong.to.the.same.VRF
11200	20 6f 6e 6c 79 2e 00 2a 2a 6f 66 66 73 69 74 65 31 2a 2a 00 2a 2a 72 6f 75 74 65 72 31 2a 2a 00	.only..offsite1.router1.
11220	2a 2a 72 6f 75 74 65 72 32 2a 2a 00 31 30 2e 30 2e 30 2e 30 2f 31 36 00 31 30 2e 30 2e 30 2e 34	router2.10.0.0.0/16.10.0.0.4
11240	00 31 30 2e 30 2e 30 2e 34 2c 31 30 2e 30 2e 30 2e 35 00 31 30 2e 31 2e 31 2e 30 2f 33 30 00 31	.10.0.0.4,10.0.0.5.10.1.1.0/30.1
11260	30 2e 31 30 2e 30 2e 30 2f 31 36 00 31 30 2e 31 30 2e 30 2e 35 00 31 30 2e 32 2e 32 2e 30 2f 33	0.10.0.0/16.10.10.0.5.10.2.2.0/3
11280	30 00 31 30 2e 35 30 2e 35 30 2e 31 3a 31 30 31 31 00 31 30 2e 36 30 2e 36 30 2e 31 3a 31 30 31	0.10.50.50.1:1011.10.60.60.1:101
112a0	31 00 31 30 2e 38 30 2e 38 30 2e 31 3a 31 30 31 31 00 31 30 30 3a 20 27 50 75 62 6c 69 63 27 20	1.10.80.80.1:1011.100:.'Public'.
112c0	6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67 20 6f 75 72 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32	network,.using.our.203.0.113.0/2
112e0	34 20 6e 65 74 77 6f 72 6b 2e 00 31 37 32 2e 31 36 2e 32 2e 30 2f 33 30 00 31 37 32 2e 31 37 2e	4.network..172.16.2.0/30.172.17.
11300	31 2e 32 20 43 53 30 20 2d 3e 20 43 53 34 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 30	1.2.CS0.->.CS4.172.17.1.2/24.CS0
11320	00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 30 20 2d 20 3e 20 43 53 34 00 31 37 32 2e 31	.172.17.1.2/24.CS0.-.>.CS4.172.1
11340	37 2e 31 2e 32 2f 32 34 20 43 53 34 20 2d 20 3e 20 43 53 35 00 31 37 32 2e 31 37 2e 31 2e 33 20	7.1.2/24.CS4.-.>.CS5.172.17.1.3.
11360	43 53 30 20 2d 3e 20 43 53 35 00 31 37 32 2e 31 37 2e 31 2e 34 20 43 53 30 20 2d 3e 20 43 53 36	CS0.->.CS5.172.17.1.4.CS0.->.CS6
11380	00 31 37 32 2e 31 37 2e 31 2e 34 30 20 43 53 30 20 62 79 20 64 65 66 61 75 6c 74 00 31 39 32 2e	.172.17.1.40.CS0.by.default.192.
113a0	31 36 38 2e 31 30 30 2e 31 30 2f 32 30 30 31 3a 30 44 42 38 3a 30 3a 41 41 41 41 3a 3a 31 30 20	168.100.10/2001:0DB8:0:AAAA::10.
113c0	69 73 20 74 68 65 20 61 64 6d 69 6e 69 73 74 72 61 74 6f 72 27 73 20 63 6f 6e 73 6f 6c 65 2e 20	is.the.administrator's.console..
113e0	49 74 20 63 61 6e 20 53 53 48 20 74 6f 20 56 79 4f 53 2e 00 31 39 32 2e 31 36 38 2e 32 30 30 2e	It.can.SSH.to.VyOS..192.168.200.
11400	32 30 30 2f 32 30 30 31 3a 30 44 42 38 3a 30 3a 42 42 42 42 3a 3a 32 30 30 20 69 73 20 61 6e 20	200/2001:0DB8:0:BBBB::200.is.an.
11420	69 6e 74 65 72 6e 61 6c 2f 65 78 74 65 72 6e 61 6c 20 44 4e 53 2c 20 77 65 62 20 61 6e 64 20 6d	internal/external.DNS,.web.and.m
11440	61 69 6c 20 28 53 4d 54 50 2f 49 4d 41 50 29 20 73 65 72 76 65 72 2e 00 31 39 32 2e 31 36 38 2e	ail.(SMTP/IMAP).server..192.168.
11460	33 2e 30 2f 33 30 00 31 39 38 2e 35 31 2e 31 30 30 2e 33 00 32 20 70 72 69 76 61 74 65 20 73 75	3.0/30.198.51.100.3.2.private.su
11480	62 6e 65 74 73 20 6f 6e 20 65 61 63 68 20 73 69 74 65 2e 00 32 20 78 20 52 6f 75 74 65 20 72 65	bnets.on.each.site..2.x.Route.re
114a0	66 6c 65 63 74 6f 72 73 20 28 56 79 4f 53 2d 52 52 78 29 00 32 30 30 31 3a 64 62 38 3a 3a 2f 31	flectors.(VyOS-RRx).2001:db8::/1
114c0	32 37 00 32 30 30 31 3a 64 62 38 3a 3a 32 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 34 2f 31	27.2001:db8::2/127.2001:db8::4/1
114e0	32 37 00 32 30 30 31 3a 64 62 38 3a 3a 36 2f 31 32 37 00 32 30 31 3a 20 27 49 6e 74 65 72 6e 61	27.2001:db8::6/127.201:.'Interna
11500	6c 27 20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32	l'.network,.using.10.200.201.0/2
11520	34 00 32 30 33 2e 30 2e 31 31 33 2e 32 00 32 30 33 2e 30 2e 31 31 33 2e 33 00 33 20 78 20 43 75	4.203.0.113.2.203.0.113.3.3.x.Cu
11540	73 74 6f 6d 65 72 20 45 64 67 65 20 28 56 79 4f 53 2d 43 45 78 29 00 33 20 78 20 50 72 6f 76 69	stomer.Edge.(VyOS-CEx).3.x.Provi
11560	64 65 72 20 45 64 67 65 20 28 56 79 4f 73 2d 50 45 78 29 00 34 20 78 20 50 72 6f 76 69 64 65 72	der.Edge.(VyOs-PEx).4.x.Provider
11580	20 72 6f 75 74 65 72 73 20 28 56 79 4f 53 2d 50 78 29 00 35 30 3a 20 55 70 73 74 72 65 61 6d 2c	.routers.(VyOS-Px).50:.Upstream,
115a0	20 75 73 69 6e 67 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 20	.using.the.192.0.2.0/24.network.
115c0	61 6c 6c 6f 63 61 74 65 64 20 62 79 20 74 68 65 6d 2e 00 36 34 34 39 36 3a 31 00 36 34 34 39 36	allocated.by.them..64496:1.64496
115e0	3a 31 30 30 00 36 34 34 39 36 3a 32 00 36 34 34 39 36 3a 35 30 00 36 34 34 39 39 00 36 35 30 33	:100.64496:2.64496:50.64499.6503
11600	35 3a 31 30 31 31 00 36 35 30 33 35 3a 31 30 31 31 20 36 35 30 33 35 3a 31 30 33 30 00 36 35 30	5:1011.65035:1011.65035:1030.650
11620	33 35 3a 31 30 33 30 00 36 35 35 34 30 00 41 20 62 72 69 65 66 20 65 78 63 75 72 73 69 6f 6e 20	35:1030.65540.A.brief.excursion.
11640	69 6e 74 6f 20 56 52 46 73 3a 20 54 68 69 73 20 68 61 73 20 62 65 65 6e 20 6f 6e 65 20 6f 66 20	into.VRFs:.This.has.been.one.of.
11660	74 68 65 20 6c 6f 6e 67 65 73 74 2d 73 74 61 6e 64 69 6e 67 20 66 65 61 74 75 72 65 20 72 65 71	the.longest-standing.feature.req
11680	75 65 73 74 73 20 6f 66 20 56 79 4f 53 20 28 64 61 74 69 6e 67 20 62 61 63 6b 20 74 6f 20 32 30	uests.of.VyOS.(dating.back.to.20
116a0	31 36 29 20 77 68 69 63 68 20 63 61 6e 20 62 65 20 64 65 73 63 72 69 62 65 64 20 61 73 20 22 61	16).which.can.be.described.as."a
116c0	20 56 4c 41 4e 20 66 6f 72 20 6c 61 79 65 72 20 32 20 69 73 20 77 68 61 74 20 61 20 56 52 46 20	.VLAN.for.layer.2.is.what.a.VRF.
116e0	69 73 20 66 6f 72 20 6c 61 79 65 72 20 33 22 2e 20 57 69 74 68 20 56 52 46 73 2c 20 61 20 72 6f	is.for.layer.3"..With.VRFs,.a.ro
11700	75 74 65 72 2f 73 79 73 74 65 6d 20 63 61 6e 20 68 6f 6c 64 20 6d 75 6c 74 69 70 6c 65 2c 20 69	uter/system.can.hold.multiple,.i
11720	73 6f 6c 61 74 65 64 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20 6f 6e 20 74 68 65 20 73 61	solated.routing.tables.on.the.sa
11740	6d 65 20 73 79 73 74 65 6d 2e 20 49 66 20 79 6f 75 20 77 6f 6e 64 65 72 20 77 68 61 74 27 73 20	me.system..If.you.wonder.what's.
11760	74 68 65 20 64 69 66 66 65 72 65 6e 63 65 20 62 65 74 77 65 65 6e 20 6d 75 6c 74 69 70 6c 65 20	the.difference.between.multiple.
11780	74 61 62 6c 65 73 20 74 68 61 74 20 70 65 6f 70 6c 65 20 75 73 65 64 20 66 6f 72 20 70 6f 6c 69	tables.that.people.used.for.poli
117a0	63 79 2d 62 61 73 65 64 20 72 6f 75 74 69 6e 67 20 73 69 6e 63 65 20 66 6f 72 65 76 65 72 2c 20	cy-based.routing.since.forever,.
117c0	69 74 27 73 20 74 68 61 74 20 61 20 56 52 46 20 61 6c 73 6f 20 69 73 6f 6c 61 74 65 73 20 63 6f	it's.that.a.VRF.also.isolates.co
117e0	6e 6e 65 63 74 65 64 20 72 6f 75 74 65 73 20 72 61 74 68 65 72 20 74 68 61 6e 20 6a 75 73 74 20	nnected.routes.rather.than.just.
11800	73 74 61 74 69 63 20 61 6e 64 20 64 79 6e 61 6d 69 63 61 6c 6c 79 20 6c 65 61 72 6e 65 64 20 72	static.and.dynamically.learned.r
11820	6f 75 74 65 73 2c 20 73 6f 20 69 74 20 61 6c 6c 6f 77 73 20 4e 49 43 73 20 69 6e 20 64 69 66 66	outes,.so.it.allows.NICs.in.diff
11840	65 72 65 6e 74 20 56 52 46 73 20 74 6f 20 75 73 65 20 63 6f 6e 66 6c 69 63 74 69 6e 67 20 6e 65	erent.VRFs.to.use.conflicting.ne
11860	74 77 6f 72 6b 20 72 61 6e 67 65 73 20 77 69 74 68 6f 75 74 20 69 73 73 75 65 73 2e 00 41 20 63	twork.ranges.without.issues..A.c
11880	6f 6e 6e 65 63 74 69 6f 6e 20 72 65 73 6f 75 72 63 65 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 41	onnection.resource.deployed.in.A
118a0	7a 75 72 65 20 6c 69 6e 6b 69 6e 67 20 74 68 65 20 41 7a 75 72 65 20 56 4e 65 74 20 67 61 74 65	zure.linking.the.Azure.VNet.gate
118c0	77 61 79 20 61 6e 64 20 74 68 65 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 67 61 74 65 77 61	way.and.the.local.network.gatewa
118e0	79 20 72 65 70 72 65 73 65 6e 74 69 6e 67 20 74 68 65 20 56 79 6f 73 20 64 65 76 69 63 65 2e 00	y.representing.the.Vyos.device..
11900	41 20 68 6f 73 74 20 60 60 76 79 6f 73 2d 6f 6f 62 6d 60 60 20 77 69 6c 6c 20 75 73 65 20 61 73	A.host.``vyos-oobm``.will.use.as
11920	20 61 20 73 73 68 20 70 72 6f 78 79 2e 20 54 68 69 73 20 68 6f 73 74 20 69 73 20 6a 75 73 74 20	.a.ssh.proxy..This.host.is.just.
11940	6e 65 63 65 73 73 61 72 79 20 66 6f 72 20 74 68 65 20 4c 61 62 20 74 65 73 74 2e 00 41 20 6b 65	necessary.for.the.Lab.test..A.ke
11960	79 20 70 6f 69 6e 74 20 74 6f 20 75 6e 64 65 72 73 74 61 6e 64 20 69 73 20 74 68 61 74 20 69 66	y.point.to.understand.is.that.if
11980	20 77 65 20 6e 65 65 64 20 74 77 6f 20 56 52 46 73 20 74 6f 20 63 6f 6d 6d 75 6e 69 63 61 74 65	.we.need.two.VRFs.to.communicate
119a0	20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 20 45 58 50 4f 52 54 20 72 74 20 66 72	.between.each.other.EXPORT.rt.fr
119c0	6f 6d 20 56 52 46 31 20 68 61 73 20 74 6f 20 62 65 20 69 6e 20 74 68 65 20 49 4d 50 4f 52 54 20	om.VRF1.has.to.be.in.the.IMPORT.
119e0	72 74 20 6c 69 73 74 20 66 72 6f 6d 20 56 52 46 32 2e 20 42 75 74 20 74 68 69 73 20 69 73 20 6f	rt.list.from.VRF2..But.this.is.o
11a00	6e 6c 79 20 69 6e 20 4f 4e 45 20 64 69 72 65 63 74 69 6f 6e 2c 20 74 6f 20 63 6f 6d 70 6c 65 74	nly.in.ONE.direction,.to.complet
11a20	65 20 74 68 65 20 63 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 74 68 65 20 45 58 50 4f 52 54 20 72	e.the.communication.the.EXPORT.r
11a40	74 20 66 72 6f 6d 20 56 52 46 32 20 68 61 73 20 74 6f 20 62 65 20 69 6e 20 74 68 65 20 49 4d 50	t.from.VRF2.has.to.be.in.the.IMP
11a60	4f 52 54 20 72 74 20 6c 69 73 74 20 66 72 6f 6d 20 56 52 46 31 2e 00 41 20 6c 6f 63 61 6c 20 6e	ORT.rt.list.from.VRF1..A.local.n
11a80	65 74 77 6f 72 6b 20 67 61 74 65 77 61 79 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 41 7a 75 72 65	etwork.gateway.deployed.in.Azure
11aa0	20 72 65 70 72 65 73 65 6e 74 69 6e 67 20 74 68 65 20 56 79 6f 73 20 64 65 76 69 63 65 2c 20 6d	.representing.the.Vyos.device,.m
11ac0	61 74 63 68 69 6e 67 20 74 68 65 20 62 65 6c 6f 77 20 56 79 6f 73 20 73 65 74 74 69 6e 67 73 20	atching.the.below.Vyos.settings.
11ae0	65 78 63 65 70 74 20 66 6f 72 20 61 64 64 72 65 73 73 20 73 70 61 63 65 2c 20 77 68 69 63 68 20	except.for.address.space,.which.
11b00	6f 6e 6c 79 20 72 65 71 75 69 72 65 73 20 74 68 65 20 56 79 6f 73 20 70 72 69 76 61 74 65 20 49	only.requires.the.Vyos.private.I
11b20	50 2c 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 31 30 2e 31 30 2e 30 2e 35 2f 33 32 00	P,.in.this.example.10.10.0.5/32.
11b40	41 20 70 61 69 72 20 6f 66 20 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 73 20 64 65	A.pair.of.Azure.VNet.Gateways.de
11b60	70 6c 6f 79 65 64 20 69 6e 20 61 63 74 69 76 65 2d 61 63 74 69 76 65 20 63 6f 6e 66 69 67 75 72	ployed.in.active-active.configur
11b80	61 74 69 6f 6e 20 77 69 74 68 20 42 47 50 20 65 6e 61 62 6c 65 64 2e 00 41 20 70 61 69 72 20 6f	ation.with.BGP.enabled..A.pair.o
11ba0	66 20 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 73 20 64 65 70 6c 6f 79 65 64 20 69	f.Azure.VNet.Gateways.deployed.i
11bc0	6e 20 61 63 74 69 76 65 2d 70 61 73 73 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77	n.active-passive.configuration.w
11be0	69 74 68 20 42 47 50 20 65 6e 61 62 6c 65 64 2e 00 41 20 70 75 62 6c 69 63 2c 20 72 6f 75 74 61	ith.BGP.enabled..A.public,.routa
11c00	62 6c 65 20 49 50 76 34 20 61 64 64 72 65 73 73 2e 20 54 68 69 73 20 64 6f 65 73 20 6e 6f 74 20	ble.IPv4.address..This.does.not.
11c20	6e 65 63 65 73 73 61 72 69 6c 79 20 6e 65 65 64 20 74 6f 20 62 65 20 73 74 61 74 69 63 2c 20 62	necessarily.need.to.be.static,.b
11c40	75 74 20 79 6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 75 70 64 61 74 65 20 74 68 65 20 74	ut.you.will.need.to.update.the.t
11c60	75 6e 6e 65 6c 20 65 6e 64 70 6f 69 6e 74 20 77 68 65 6e 2f 69 66 20 79 6f 75 72 20 49 50 20 61	unnel.endpoint.when/if.your.IP.a
11c80	64 64 72 65 73 73 20 63 68 61 6e 67 65 73 2c 20 77 68 69 63 68 20 63 61 6e 20 62 65 20 64 6f 6e	ddress.changes,.which.can.be.don
11ca0	65 20 77 69 74 68 20 61 20 73 63 72 69 70 74 20 61 6e 64 20 61 20 73 63 68 65 64 75 6c 65 64 20	e.with.a.script.and.a.scheduled.
11cc0	74 61 73 6b 2e 00 41 20 72 75 6c 65 20 6f 72 64 65 72 20 66 6f 72 20 70 72 69 6f 72 69 74 69 7a	task..A.rule.order.for.prioritiz
11ce0	69 6e 67 20 74 72 61 66 66 69 63 20 69 73 20 75 73 65 66 75 6c 20 69 6e 20 73 63 65 6e 61 72 69	ing.traffic.is.useful.in.scenari
11d00	6f 73 20 77 68 65 72 65 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 20 68 61 73 20	os.where.the.secondary.link.has.
11d20	61 20 6c 6f 77 65 72 20 73 70 65 65 64 20 61 6e 64 20 73 68 6f 75 6c 64 20 6f 6e 6c 79 20 63 61	a.lower.speed.and.should.only.ca
11d40	72 72 79 20 68 69 67 68 20 70 72 69 6f 72 69 74 79 20 74 72 61 66 66 69 63 2e 20 49 74 20 69 73	rry.high.priority.traffic..It.is
11d60	20 61 73 73 75 6d 65 64 20 66 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 74 68 61 74 20 65	.assumed.for.this.example.that.e
11d80	74 68 31 20 69 73 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 61 20 73 6c 6f 77 65 72 20 63 6f 6e	th1.is.connected.to.a.slower.con
11da0	6e 65 63 74 69 6f 6e 20 74 68 61 6e 20 65 74 68 30 20 61 6e 64 20 73 68 6f 75 6c 64 20 70 72 69	nection.than.eth0.and.should.pri
11dc0	6f 72 69 74 69 7a 65 20 56 6f 49 50 20 74 72 61 66 66 69 63 2e 00 41 20 73 69 6d 70 6c 65 20 73	oritize.VoIP.traffic..A.simple.s
11de0	6f 6c 75 74 69 6f 6e 20 63 6f 75 6c 64 20 62 65 20 75 73 69 6e 67 20 64 69 66 66 65 72 65 6e 74	olution.could.be.using.different
11e00	20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 2c 20 6f 72 20 56 52 46 73 20 66 6f 72 20 61 6c 6c	.routing.tables,.or.VRFs.for.all
11e20	20 74 68 65 20 6e 65 74 77 6f 72 6b 73 20 73 6f 20 77 65 20 63 61 6e 20 6b 65 65 70 20 74 68 65	.the.networks.so.we.can.keep.the
11e40	20 72 6f 75 74 69 6e 67 20 72 65 73 74 72 69 63 74 69 6f 6e 73 2e 20 42 75 74 20 66 6f 72 20 75	.routing.restrictions..But.for.u
11e60	73 20 74 6f 20 72 6f 75 74 65 20 62 65 74 77 65 65 6e 20 74 68 65 20 64 69 66 66 65 72 65 6e 74	s.to.route.between.the.different
11e80	20 56 52 46 73 20 77 65 20 77 6f 75 6c 64 20 6e 65 65 64 20 61 20 63 61 62 6c 65 20 6f 72 20 61	.VRFs.we.would.need.a.cable.or.a
11ea0	20 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 65 61 63 68	.logical.connection.between.each
11ec0	20 6f 74 68 65 72 3a 00 41 44 44 52 45 53 53 31 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20	.other:.ADDRESS10.change.CS0.->.
11ee0	43 53 34 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 32 2f 33 32 00 41 44 44 52 45 53 53	CS4.source.172.17.1.2/32.ADDRESS
11f00	32 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 35 20 73 6f 75 72 63 65 20 31 37 32 2e	20.change.CS0.->.CS5.source.172.
11f20	31 37 2e 31 2e 33 2f 33 32 00 41 44 44 52 45 53 53 33 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d	17.1.3/32.ADDRESS30.change.CS0.-
11f40	3e 20 43 53 36 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 34 2f 33 32 00 41 63 63 6f 75	>.CS6.source.172.17.1.4/32.Accou
11f60	6e 74 20 61 74 20 68 74 74 70 73 3a 2f 2f 77 77 77 2e 74 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e	nt.at.https://www.tunnelbroker.n
11f80	65 74 2f 00 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 6f 6e 20 57 69 6e 64 6f 77 73 20	et/.Active.Directory.on.Windows.
11fa0	73 65 72 76 65 72 00 41 64 64 20 28 74 65 6d 70 6f 72 61 72 79 29 20 64 65 66 61 75 6c 74 20 72	server.Add.(temporary).default.r
11fc0	6f 75 74 65 00 41 64 64 20 74 68 65 20 4c 44 41 50 20 70 6c 75 67 69 6e 20 63 6f 6e 66 69 67 75	oute.Add.the.LDAP.plugin.configu
11fe0	72 61 74 69 6f 6e 20 66 69 6c 65 20 60 2f 63 6f 6e 66 69 67 2f 61 75 74 68 2f 6c 64 61 70 2d 61	ration.file.`/config/auth/ldap-a
12000	75 74 68 2e 63 6f 6e 66 69 67 60 00 41 64 64 69 6e 67 20 61 20 72 75 6c 65 20 66 6f 72 20 74 68	uth.config`.Adding.a.rule.for.th
12020	65 20 73 65 63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65 00 41 64 76 65 72 74 69 73 65 20 63 6f 6e	e.second.interface.Advertise.con
12040	6e 65 63 74 65 64 20 72 6f 75 74 65 73 00 41 66 74 65 72 20 61 6c 6c 20 69 73 20 64 6f 6e 65 20	nected.routes.After.all.is.done.
12060	61 6e 64 20 63 6f 6d 6d 69 74 2c 20 6c 65 74 27 73 20 74 61 6b 65 20 61 20 6c 6f 6f 6b 20 69 66	and.commit,.let's.take.a.look.if
12080	20 74 68 65 20 57 69 72 65 67 75 61 72 64 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 75 70 20 61	.the.Wireguard.interface.is.up.a
120a0	6e 64 20 72 75 6e 6e 69 6e 67 2e 00 41 66 74 65 72 20 63 6f 6e 66 69 67 75 72 65 64 20 61 6c 6c	nd.running..After.configured.all
120c0	20 74 68 65 20 56 52 46 73 20 69 6e 76 6f 6c 76 65 64 20 69 6e 20 74 68 69 73 20 74 6f 70 6f 6c	.the.VRFs.involved.in.this.topol
120e0	6f 67 79 20 77 65 20 74 61 6b 65 20 61 20 64 65 65 70 65 72 20 6c 6f 6f 6b 20 61 74 20 62 6f 74	ogy.we.take.a.deeper.look.at.bot
12100	68 20 42 47 50 20 61 6e 64 20 52 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 66 6f 72 20 74 68 65 20	h.BGP.and.Routing.table.for.the.
12120	56 52 46 20 4c 41 4e 31 00 41 66 74 65 72 20 73 6f 6d 65 20 74 65 73 74 69 6e 67 2c 20 77 65 20	VRF.LAN1.After.some.testing,.we.
12140	63 61 6e 20 63 68 65 63 6b 20 69 70 73 65 63 20 73 74 61 74 75 73 2c 20 61 6e 64 20 63 6f 75 6e	can.check.ipsec.status,.and.coun
12160	74 65 72 20 6f 6e 20 65 76 65 72 79 20 74 75 6e 6e 65 6c 3a 00 41 66 74 65 72 20 74 68 65 20 69	ter.on.every.tunnel:.After.the.i
12180	6e 74 65 72 66 61 63 65 20 65 74 68 30 20 6f 6e 20 72 6f 75 74 65 72 20 56 79 4f 53 33 00 41 66	nterface.eth0.on.router.VyOS3.Af
121a0	74 65 72 20 74 68 69 73 2c 20 77 65 20 6e 65 65 64 20 74 68 65 20 44 48 43 50 2d 53 65 72 76 65	ter.this,.we.need.the.DHCP-Serve
121c0	72 20 61 6e 64 20 52 65 6c 61 79 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 20 54 6f 20 67 65	r.and.Relay.configuration..To.ge
121e0	74 20 61 20 74 65 73 74 61 62 6c 65 20 72 65 73 75 6c 74 2c 20 77 65 20 6a 75 73 74 20 68 61 76	t.a.testable.result,.we.just.hav
12200	65 20 6f 6e 65 20 49 50 20 69 6e 20 74 68 65 20 44 48 43 50 20 72 61 6e 67 65 2e 20 45 78 70 61	e.one.IP.in.the.DHCP.range..Expa
12220	6e 64 20 69 74 20 61 73 20 79 6f 75 20 6e 65 65 64 20 69 74 2e 00 41 66 74 65 72 20 79 6f 75 20	nd.it.as.you.need.it..After.you.
12240	68 61 76 65 20 65 61 63 68 20 70 75 62 6c 69 63 20 6b 65 79 2e 20 54 68 65 20 77 69 72 65 67 75	have.each.public.key..The.wiregu
12260	61 72 64 20 69 6e 74 65 72 66 61 63 65 73 20 63 61 6e 20 62 65 20 73 65 74 75 70 2e 00 41 6c 6c	ard.interfaces.can.be.setup..All
12280	20 6f 75 74 67 6f 69 6e 67 20 70 61 63 6b 65 74 73 20 61 72 65 20 61 73 73 69 67 6e 65 64 20 74	.outgoing.packets.are.assigned.t
122a0	68 65 20 73 6f 75 72 63 65 20 61 64 64 72 65 73 73 20 6f 66 20 74 68 65 20 61 73 73 69 67 6e 65	he.source.address.of.the.assigne
122c0	64 20 69 6e 74 65 72 66 61 63 65 20 28 53 4e 41 54 29 2e 00 41 6c 6c 20 74 72 61 66 66 69 63 20	d.interface.(SNAT)..All.traffic.
122e0	63 6f 6d 69 6e 67 20 69 6e 20 74 68 72 6f 75 67 68 20 65 74 68 32 20 69 73 20 62 61 6c 61 6e 63	coming.in.through.eth2.is.balanc
12300	65 64 20 62 65 74 77 65 65 6e 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 6f 6e 20 74 68 65 20	ed.between.eth0.and.eth1.on.the.
12320	72 6f 75 74 65 72 2e 00 41 6c 6c 6f 77 20 44 48 43 50 76 36 20 70 61 63 6b 65 74 73 20 66 6f 72	router..Allow.DHCPv6.packets.for
12340	20 72 6f 75 74 65 72 00 41 6c 6c 6f 77 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 72 6f 75 74	.router.Allow.access.to.the.rout
12360	65 72 20 6f 6e 6c 79 20 66 72 6f 6d 20 74 72 75 73 74 65 64 20 6e 65 74 77 6f 72 6b 73 2e 00 41	er.only.from.trusted.networks..A
12380	6c 6c 6f 77 20 61 6c 6c 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64	llow.all.established.and.related
123a0	20 74 72 61 66 66 69 63 20 66 6f 72 20 72 6f 75 74 65 72 20 61 6e 64 20 4c 41 4e 00 41 6c 6c 6f	.traffic.for.router.and.LAN.Allo
123c0	77 20 61 6c 6c 20 69 63 6d 70 76 36 20 70 61 63 6b 65 74 73 20 66 6f 72 20 72 6f 75 74 65 72 20	w.all.icmpv6.packets.for.router.
123e0	61 6e 64 20 4c 41 4e 00 41 6c 6c 6f 77 20 61 6c 6c 20 6e 65 77 20 63 6f 6e 6e 65 63 74 69 6f 6e	and.LAN.Allow.all.new.connection
12400	73 20 66 72 6f 6d 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 73 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e	s.from.local.subnets..Allow.conn
12420	65 63 74 69 6f 6e 73 20 66 72 6f 6d 20 4c 41 4e 73 20 74 6f 20 4c 41 4e 73 20 74 68 72 6f 75 67	ections.from.LANs.to.LANs.throug
12440	68 74 20 74 68 65 20 74 75 6e 6e 65 6c 2e 00 41 6c 6c 6f 77 20 64 6e 73 20 72 65 71 75 65 73 74	ht.the.tunnel..Allow.dns.request
12460	73 20 6f 6e 6c 79 20 6f 6e 6c 79 20 66 6f 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 73 2e 00	s.only.only.for.local.networks..
12480	41 6c 6c 6f 77 20 69 63 6d 70 20 6f 6e 20 61 6c 6c 20 69 6e 74 65 72 66 61 63 65 73 2e 00 41 6c	Allow.icmp.on.all.interfaces..Al
124a0	73 6f 20 77 65 20 63 61 6e 20 76 65 72 69 66 79 20 68 6f 77 20 50 45 20 64 65 76 69 63 65 73 20	so.we.can.verify.how.PE.devices.
124c0	72 65 63 65 69 76 65 73 20 56 50 4e 76 34 20 6e 65 74 77 6f 72 6b 73 20 66 72 6f 6d 20 74 68 65	receives.VPNv4.networks.from.the
124e0	20 52 52 73 20 61 6e 64 20 69 6e 73 74 61 6c 6c 69 6e 67 20 74 68 65 6d 20 74 6f 20 74 68 65 20	.RRs.and.installing.them.to.the.
12500	73 70 65 63 69 66 69 63 20 63 75 73 74 6f 6d 65 72 20 56 52 46 73 3a 00 41 6c 73 6f 2c 20 77 65	specific.customer.VRFs:.Also,.we
12520	20 63 61 6e 20 63 68 65 63 6b 20 66 69 72 65 77 61 6c 6c 20 63 6f 75 6e 74 65 72 73 3a 00 41 6e	.can.check.firewall.counters:.An
12540	20 4c 33 56 50 4e 20 63 6f 6e 73 69 73 74 73 20 6f 66 20 6d 75 6c 74 69 70 6c 65 20 61 63 63 65	.L3VPN.consists.of.multiple.acce
12560	73 73 20 6c 69 6e 6b 73 2c 20 6d 75 6c 74 69 70 6c 65 20 56 50 4e 20 72 6f 75 74 69 6e 67 20 61	ss.links,.multiple.VPN.routing.a
12580	6e 64 20 66 6f 72 77 61 72 64 69 6e 67 20 28 56 52 46 29 20 74 61 62 6c 65 73 2c 20 61 6e 64 20	nd.forwarding.(VRF).tables,.and.
125a0	6d 75 6c 74 69 70 6c 65 20 4d 50 4c 53 20 70 61 74 68 73 20 6f 72 20 6d 75 6c 74 69 70 6c 65 20	multiple.MPLS.paths.or.multiple.
125c0	50 32 4d 50 20 4c 53 50 73 2e 20 41 6e 20 4c 33 56 50 4e 20 63 61 6e 20 62 65 20 63 6f 6e 66 69	P2MP.LSPs..An.L3VPN.can.be.confi
125e0	67 75 72 65 64 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 77 6f 20 6f 72 20 6d 6f 72 65 20 63 75 73	gured.to.connect.two.or.more.cus
12600	74 6f 6d 65 72 20 73 69 74 65 73 2e 20 49 6e 20 68 75 62 2d 61 6e 64 2d 73 70 6f 6b 65 20 4d 50	tomer.sites..In.hub-and-spoke.MP
12620	4c 53 20 4c 33 56 50 4e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 73 2c 20 74 68 65 20 73 70 6f 6b 65	LS.L3VPN.environments,.the.spoke
12640	20 72 6f 75 74 65 72 73 20 6e 65 65 64 20 74 6f 20 68 61 76 65 20 75 6e 69 71 75 65 20 52 6f 75	.routers.need.to.have.unique.Rou
12660	74 65 20 44 69 73 74 69 6e 67 75 69 73 68 65 72 73 20 28 52 44 73 29 2e 20 49 6e 20 6f 72 64 65	te.Distinguishers.(RDs)..In.orde
12680	72 20 74 6f 20 75 73 65 20 74 68 65 20 68 75 62 20 73 69 74 65 20 61 73 20 61 20 74 72 61 6e 73	r.to.use.the.hub.site.as.a.trans
126a0	69 74 20 70 6f 69 6e 74 20 66 6f 72 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 6e 20 73 75 63	it.point.for.connectivity.in.suc
126c0	68 20 61 6e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 2c 20 74 68 65 20 73 70 6f 6b 65 20 73 69 74 65	h.an.environment,.the.spoke.site
126e0	73 20 65 78 70 6f 72 74 20 74 68 65 69 72 20 72 6f 75 74 65 73 20 74 6f 20 74 68 65 20 68 75 62	s.export.their.routes.to.the.hub
12700	2e 20 53 70 6f 6b 65 73 20 63 61 6e 20 74 61 6c 6b 20 74 6f 20 68 75 62 73 2c 20 62 75 74 20 6e	..Spokes.can.talk.to.hubs,.but.n
12720	65 76 65 72 20 68 61 76 65 20 64 69 72 65 63 74 20 70 61 74 68 73 20 74 6f 20 6f 74 68 65 72 20	ever.have.direct.paths.to.other.
12740	73 70 6f 6b 65 73 2e 20 41 6c 6c 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 73 70 6f 6b	spokes..All.traffic.between.spok
12760	65 73 20 69 73 20 63 6f 6e 74 72 6f 6c 6c 65 64 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 6f	es.is.controlled.and.delivered.o
12780	76 65 72 20 74 68 65 20 68 75 62 20 73 69 74 65 2e 00 41 6e 64 20 4e 41 54 20 43 6f 6e 66 69 67	ver.the.hub.site..And.NAT.Config
127a0	75 72 61 74 69 6f 6e 3a 00 41 6e 64 20 70 69 6e 67 20 74 68 65 20 42 72 61 6e 63 68 20 50 43 20	uration:.And.ping.the.Branch.PC.
127c0	66 72 6f 6d 20 79 6f 75 72 20 63 65 6e 74 72 61 6c 20 72 6f 75 74 65 72 20 74 6f 20 63 68 65 63	from.your.central.router.to.chec
127e0	6b 20 74 68 65 20 72 65 73 70 6f 6e 73 65 2e 00 41 6e 64 20 73 68 6f 77 20 61 6c 6c 20 44 48 43	k.the.response..And.show.all.DHC
12800	50 20 4c 65 61 73 65 73 00 41 6e 64 20 74 68 65 20 60 60 63 6c 69 65 6e 74 60 60 20 74 6f 20 72	P.Leases.And.the.``client``.to.r
12820	65 63 65 69 76 65 20 61 6e 20 49 50 76 36 20 61 64 64 72 65 73 73 20 77 69 74 68 20 73 74 61 74	eceive.an.IPv6.address.with.stat
12840	65 6c 65 73 73 20 61 75 74 6f 63 6f 6e 66 69 67 2e 00 41 6e 73 69 62 6c 65 20 45 78 61 6d 70 6c	eless.autoconfig..Ansible.Exampl
12860	65 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 41 6e 79 20 69 6e 66 6f 72 6d 61 74 69 6f 6e	e.topology.image.Any.information
12880	20 72 65 6c 61 74 65 64 20 74 6f 20 61 20 56 52 46 20 69 73 20 6e 6f 74 20 65 78 63 68 61 6e 67	.related.to.a.VRF.is.not.exchang
128a0	65 64 20 62 65 74 77 65 65 6e 20 64 65 76 69 63 65 73 20 2d 6f 72 20 69 6e 20 74 68 65 20 73 61	ed.between.devices.-or.in.the.sa
128c0	6d 65 20 64 65 76 69 63 65 2d 20 62 79 20 64 65 66 61 75 6c 74 2c 20 74 68 69 73 20 69 73 20 61	me.device-.by.default,.this.is.a
128e0	20 74 65 63 68 6e 69 71 75 65 20 63 61 6c 6c 65 64 20 2a 2a 56 52 46 2d 4c 69 74 65 2a 2a 2e 00	.technique.called.VRF-Lite..
12900	41 70 70 65 6e 64 69 78 2d 41 00 41 70 70 65 6e 64 69 78 2d 42 00 41 73 20 61 20 72 65 6d 69 6e	Appendix-A.Appendix-B.As.a.remin
12920	64 65 72 2c 20 6f 6e 6c 79 20 61 64 76 65 72 74 69 73 65 20 72 6f 75 74 65 73 20 74 68 61 74 20	der,.only.advertise.routes.that.
12940	79 6f 75 20 61 72 65 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 20 66 6f 72 2e 20	you.are.the.default.router.for..
12960	54 68 69 73 20 69 73 20 77 68 79 20 77 65 20 61 72 65 20 4e 4f 54 20 61 6e 6e 6f 75 6e 63 69 6e	This.is.why.we.are.NOT.announcin
12980	67 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2c 20 62 65 63 61	g.the.192.0.2.0/24.network,.beca
129a0	75 73 65 20 69 66 20 74 68 61 74 20 77 61 73 20 61 6e 6e 6f 75 6e 63 65 64 20 69 6e 74 6f 20 4f	use.if.that.was.announced.into.O
129c0	53 50 46 2c 20 74 68 65 20 6f 74 68 65 72 20 72 6f 75 74 65 72 73 20 77 6f 75 6c 64 20 74 72 79	SPF,.the.other.routers.would.try
129e0	20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 6f 20 74 68 61 74 20 6e 65 74 77 6f 72 6b 20 6f 76 65 72	.to.connect.to.that.network.over
12a00	20 61 20 74 75 6e 6e 65 6c 20 74 68 61 74 20 63 6f 6e 6e 65 63 74 73 20 74 6f 20 74 68 61 74 20	.a.tunnel.that.connects.to.that.
12a20	6e 65 74 77 6f 72 6b 21 00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 65 76 65 6e 20 69 66 20 62	network!.As.we.can.see.even.if.b
12a40	6f 74 68 20 56 52 46 20 4c 41 4e 31 20 61 6e 64 20 4c 41 4e 32 20 68 61 73 20 74 68 65 20 73 61	oth.VRF.LAN1.and.LAN2.has.the.sa
12a60	6d 65 20 69 6d 70 6f 72 74 20 52 54 73 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 73 65 6c	me.import.RTs.we.are.able.to.sel
12a80	65 63 74 20 77 68 69 63 68 20 72 6f 75 74 65 73 20 61 72 65 20 65 66 66 65 63 74 69 76 65 6c 79	ect.which.routes.are.effectively
12aa0	20 69 6d 70 6f 72 74 65 64 20 61 6e 64 20 69 6e 73 74 61 6c 6c 65 64 2e 00 41 73 20 77 65 20 63	.imported.and.installed..As.we.c
12ac0	61 6e 20 73 65 65 20 69 6e 20 74 68 65 20 42 47 50 20 74 61 62 6c 65 20 61 6e 79 20 69 6d 70 6f	an.see.in.the.BGP.table.any.impo
12ae0	72 74 65 64 20 72 6f 75 74 65 20 68 61 73 20 62 65 65 6e 20 69 6e 6a 65 63 74 65 64 20 77 69 74	rted.route.has.been.injected.wit
12b00	68 20 61 20 22 40 22 20 66 6f 6c 6c 6f 77 65 64 20 62 79 20 74 68 65 20 56 50 4e 20 69 64 3b 20	h.a."@".followed.by.the.VPN.id;.
12b20	49 6e 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6f 66 20 74 68 65 20 56 52 46 2c	In.the.routing.table.of.the.VRF,
12b40	20 69 66 20 74 68 65 20 72 6f 75 74 65 20 77 61 73 20 69 6e 73 74 61 6c 6c 65 64 2c 20 77 65 20	.if.the.route.was.installed,.we.
12b60	63 61 6e 20 73 65 65 20 2d 62 65 74 77 65 65 6e 20 72 6f 75 6e 64 20 62 72 61 63 6b 65 74 73 2d	can.see.-between.round.brackets-
12b80	20 74 68 65 20 65 78 70 6f 72 74 65 64 20 56 52 46 20 74 61 62 6c 65 2e 00 41 73 20 77 65 20 63	.the.exported.VRF.table..As.we.c
12ba0	61 6e 20 73 65 65 20 74 68 69 73 20 69 73 20 75 6e 70 72 61 63 74 69 63 61 6c 2e 00 41 73 20 77	an.see.this.is.unpractical..As.w
12bc0	65 20 6b 6e 6f 77 20 74 68 65 20 6d 61 69 6e 20 61 73 73 75 6d 70 74 69 6f 6e 20 6f 66 20 4c 33	e.know.the.main.assumption.of.L3
12be0	56 50 4e 20 e2 80 9c 48 75 62 20 61 6e 64 20 53 70 6f 6b 65 e2 80 9d 20 69 73 2c 20 74 68 61 74	VPN....Hub.and.Spoke....is,.that
12c00	20 74 68 65 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 73 70 6f 6b 65 73 20 68 61 76 65	.the.traffic.between.spokes.have
12c20	20 74 6f 20 70 61 73 73 20 76 69 61 20 68 75 62 2c 20 69 6e 20 6f 75 72 20 73 63 65 6e 61 72 69	.to.pass.via.hub,.in.our.scenari
12c40	6f 20 56 79 4f 53 2d 50 45 32 20 69 73 20 74 68 65 20 48 75 62 20 50 45 20 61 6e 64 20 74 68 65	o.VyOS-PE2.is.the.Hub.PE.and.the
12c60	20 56 79 4f 53 2d 43 45 31 2d 48 55 42 20 69 73 20 74 68 65 20 63 65 6e 74 72 61 6c 20 63 75 73	.VyOS-CE1-HUB.is.the.central.cus
12c80	74 6f 6d 65 72 20 6f 66 66 69 63 65 20 64 65 76 69 63 65 20 74 68 61 74 20 69 73 20 72 65 73 70	tomer.office.device.that.is.resp
12ca0	6f 6e 73 69 62 6c 65 20 66 6f 72 20 63 6f 6e 74 72 6f 6c 6c 69 6e 67 20 61 63 63 65 73 73 20 62	onsible.for.controlling.access.b
12cc0	65 74 77 65 65 6e 20 61 6c 6c 20 73 70 6f 6b 65 73 20 61 6e 64 20 61 6e 6e 6f 75 6e 63 69 6e 67	etween.all.spokes.and.announcing
12ce0	20 69 74 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 28 31 30 2e 30 2e 30 2e 31 30	.its.network.prefixes.(10.0.0.10
12d00	30 2f 33 32 29 2e 20 56 79 4f 53 2d 50 45 32 20 68 61 73 20 74 68 65 20 6d 61 69 6e 20 56 52 46	0/32)..VyOS-PE2.has.the.main.VRF
12d20	20 28 69 74 73 20 6e 61 6d 65 20 69 73 20 42 4c 55 45 5f 48 55 42 29 2c 20 69 74 73 20 6f 77 6e	.(its.name.is.BLUE_HUB),.its.own
12d40	20 52 6f 75 74 65 2d 44 69 73 74 69 6e 67 75 69 73 68 65 72 28 52 44 29 20 61 6e 64 20 72 6f 75	.Route-Distinguisher(RD).and.rou
12d60	74 65 2d 74 61 72 67 65 74 20 69 6d 70 6f 72 74 2f 65 78 70 6f 72 74 20 6c 69 73 74 73 2e 20 4d	te-target.import/export.lists..M
12d80	75 6c 74 69 70 72 6f 74 6f 63 6f 6c 2d 42 47 50 28 4d 50 2d 42 47 50 29 20 64 65 6c 69 76 65 72	ultiprotocol-BGP(MP-BGP).deliver
12da0	73 20 4c 33 56 50 4e 20 72 65 6c 61 74 65 64 20 63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e 65 20 69 6e	s.L3VPN.related.control-plane.in
12dc0	66 6f 72 6d 61 74 69 6f 6e 20 74 6f 20 74 68 65 20 6e 6f 64 65 73 20 61 63 72 6f 73 73 20 6e 65	formation.to.the.nodes.across.ne
12de0	74 77 6f 72 6b 20 77 68 65 72 65 20 50 45 73 20 53 70 6f 6b 65 73 20 69 6d 70 6f 72 74 20 74 68	twork.where.PEs.Spokes.import.th
12e00	65 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 36 30 35 33 35 3a 31 30 33 30 20 28 74 68 69 73 20	e.route-target.60535:1030.(this.
12e20	69 73 20 65 78 70 6f 72 74 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 6f 66 20 76 72 66 20 42 4c	is.export.route-target.of.vrf.BL
12e40	55 45 5f 48 55 42 29 20 61 6e 64 20 65 78 70 6f 72 74 20 69 74 73 20 6f 77 6e 20 72 6f 75 74 65	UE_HUB).and.export.its.own.route
12e60	2d 74 61 72 67 65 74 20 36 30 35 33 35 3a 31 30 31 31 28 74 68 69 73 20 69 73 20 76 72 66 20 42	-target.60535:1011(this.is.vrf.B
12e80	4c 55 45 5f 53 50 4f 4b 45 20 65 78 70 6f 72 74 20 72 6f 75 74 65 2d 74 61 72 67 65 74 29 2e 20	LUE_SPOKE.export.route-target)..
12ea0	54 68 65 72 65 66 6f 72 65 2c 20 74 68 65 20 43 75 73 74 6f 6d 65 72 20 65 64 67 65 20 6e 6f 64	Therefore,.the.Customer.edge.nod
12ec0	65 73 20 63 61 6e 20 6f 6e 6c 79 20 6c 65 61 72 6e 20 74 68 65 20 6e 65 74 77 6f 72 6b 20 70 72	es.can.only.learn.the.network.pr
12ee0	65 66 69 78 65 73 20 6f 66 20 74 68 65 20 48 55 42 20 73 69 74 65 20 5b 31 30 2e 30 2e 30 2e 31	efixes.of.the.HUB.site.[10.0.0.1
12f00	30 30 2f 33 32 5d 2e 20 46 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 56 79 4f 53 2d 43 45	00/32]..For.this.example.VyOS-CE
12f20	31 20 68 61 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 5b 31 30 2e 30 2e 30 2e 38	1.has.network.prefixes.[10.0.0.8
12f40	30 2f 33 32 5d 20 2f 20 56 79 4f 53 2d 43 45 32 20 68 61 73 20 6e 65 74 77 6f 72 6b 20 70 72 65	0/32]./.VyOS-CE2.has.network.pre
12f60	66 69 78 65 73 20 5b 31 30 2e 30 2e 30 2e 39 30 2f 33 32 5d 2e 20 52 6f 75 74 65 2d 52 65 66 6c	fixes.[10.0.0.90/32]..Route-Refl
12f80	65 63 74 6f 72 20 64 65 76 69 63 65 73 20 56 79 4f 53 2d 52 52 31 20 61 6e 64 20 56 79 4f 53 2d	ector.devices.VyOS-RR1.and.VyOS-
12fa0	52 52 32 20 61 72 65 20 75 73 65 64 20 74 6f 20 73 69 6d 70 6c 69 66 79 20 6e 65 74 77 6f 72 6b	RR2.are.used.to.simplify.network
12fc0	20 72 6f 75 74 65 73 20 65 78 63 68 61 6e 67 65 20 61 6e 64 20 6d 69 6e 69 6d 69 7a 65 20 69 42	.routes.exchange.and.minimize.iB
12fe0	47 50 20 70 65 65 72 69 6e 67 73 20 62 65 74 77 65 65 6e 20 64 65 76 69 63 65 73 2e 00 41 73 20	GP.peerings.between.devices..As.
13000	77 65 20 73 65 65 20 73 68 61 70 65 72 20 69 73 20 77 6f 72 6b 69 6e 67 20 61 6e 64 20 74 68 65	we.see.shaper.is.working.and.the
13020	20 74 72 61 66 66 69 63 20 77 69 6c 6c 20 6e 6f 74 20 77 6f 72 6b 20 6f 76 65 72 20 35 20 4d 62	.traffic.will.not.work.over.5.Mb
13040	69 74 2f 73 2e 00 41 73 73 69 67 6e 20 65 78 74 65 72 6e 61 6c 20 49 50 20 61 64 64 72 65 73 73	it/s..Assign.external.IP.address
13060	65 73 00 41 73 73 75 6d 69 6e 67 20 74 68 65 20 70 69 6e 67 73 20 61 72 65 20 73 75 63 63 65 73	es.Assuming.the.pings.are.succes
13080	73 66 75 6c 2c 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 61 64 64 20 73 6f 6d 65 20 44 4e 53 20 73	sful,.you.need.to.add.some.DNS.s
130a0	65 72 76 65 72 73 2e 20 53 6f 6d 65 20 6f 70 74 69 6f 6e 73 3a 00 41 74 20 74 68 65 20 66 69 72	ervers..Some.options:.At.the.fir
130c0	73 74 20 73 74 65 70 20 77 65 20 6e 65 65 64 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65	st.step.we.need.to.configure.the
130e0	20 49 50 2f 4d 50 4c 53 20 62 61 63 6b 62 6f 6e 65 20 6e 65 74 77 6f 72 6b 20 75 73 69 6e 67 20	.IP/MPLS.backbone.network.using.
13100	4f 53 50 46 20 61 73 20 49 47 50 20 70 72 6f 74 6f 63 6f 6c 20 61 6e 64 20 4c 44 50 20 61 73 20	OSPF.as.IGP.protocol.and.LDP.as.
13120	6c 61 62 65 6c 2d 73 77 69 74 63 68 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 66 6f 72 20 74 68 65	label-switching.protocol.for.the
13140	20 62 61 73 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 62 65 74 77 65 65 6e 20 2a 2a 50 2a 2a	.base.connectivity.between.P
13160	20 28 72 6f 76 69 64 65 72 29 2c 20 2a 2a 50 2a 2a 20 28 72 6f 76 69 64 65 72 29 20 2a 2a 45 2a	.(rovider),.P.(rovider).*E
13180	2a 20 28 64 67 65 29 20 61 6e 64 20 2a 2a 52 2a 2a 20 28 6f 75 74 65 29 20 2a 2a 52 2a 2a 20 28	.(dge).and.R.(oute).R*.(
131a0	65 66 6c 65 63 74 6f 72 29 20 6e 6f 64 65 73 3a 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20	eflector).nodes:.At.this.point,.
131c0	79 6f 75 20 6e 6f 77 20 6e 65 65 64 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 58 20 6c 69 6e	you.now.need.to.create.the.X.lin
131e0	6b 20 62 65 74 77 65 65 6e 20 61 6c 6c 20 66 6f 75 72 20 72 6f 75 74 65 72 73 2e 20 55 73 65 20	k.between.all.four.routers..Use.
13200	61 6d 64 69 66 66 65 72 65 6e 74 20 2f 33 30 20 66 6f 72 20 65 61 63 68 20 6c 69 6e 6b 2e 00 41	amdifferent./30.for.each.link..A
13220	74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65	t.this.point,.you.should.be.able
13240	20 74 6f 20 53 53 48 20 69 6e 74 6f 20 62 6f 74 68 20 6f 66 20 74 68 65 6d 2c 20 61 6e 64 20 77	.to.SSH.into.both.of.them,.and.w
13260	69 6c 6c 20 6e 6f 20 6c 6f 6e 67 65 72 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 74 68 65	ill.no.longer.need.access.to.the
13280	20 63 6f 6e 73 6f 6c 65 20 28 75 6e 6c 65 73 73 20 79 6f 75 20 62 72 65 61 6b 20 73 6f 6d 65 74	.console.(unless.you.break.somet
132a0	68 69 6e 67 21 29 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 73 68 6f 75 6c 64	hing!).At.this.point,.you.should
132c0	20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 62 6f 74 68 20 49 50 20 61 64 64 72 65 73 73 65	.be.able.to.see.both.IP.addresse
132e0	73 20 77 68 65 6e 20 79 6f 75 20 72 75 6e 20 60 60 73 68 6f 77 20 69 6e 74 65 72 66 61 63 65 73	s.when.you.run.``show.interfaces
13300	60 60 5c 20 2c 20 61 6e 64 20 60 60 73 68 6f 77 20 76 72 72 70 60 60 20 73 68 6f 75 6c 64 20 73	``\.,.and.``show.vrrp``.should.s
13320	68 6f 77 20 62 6f 74 68 20 69 6e 74 65 72 66 61 63 65 73 20 69 6e 20 4d 41 53 54 45 52 20 73 74	how.both.interfaces.in.MASTER.st
13340	61 74 65 20 28 61 6e 64 20 53 4c 41 56 45 20 73 74 61 74 65 20 6f 6e 20 72 6f 75 74 65 72 32 29	ate.(and.SLAVE.state.on.router2)
13360	2e 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 72 20 56 79 4f 53 20 69 6e 73 74 61	..At.this.point,.your.VyOS.insta
13380	6c 6c 20 73 68 6f 75 6c 64 20 68 61 76 65 20 66 75 6c 6c 20 49 50 76 36 2c 20 62 75 74 20 6e 6f	ll.should.have.full.IPv6,.but.no
133a0	77 20 79 6f 75 72 20 4c 41 4e 20 64 65 76 69 63 65 73 20 6e 65 65 64 20 61 63 63 65 73 73 2e 00	w.your.LAN.devices.need.access..
133c0	41 74 20 74 68 69 73 20 73 74 65 70 20 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 65 6e 61	At.this.step.we.are.going.to.ena
133e0	62 6c 65 20 69 42 47 50 20 70 72 6f 74 6f 63 6f 6c 20 6f 6e 20 4d 50 4c 53 20 6e 6f 64 65 73 20	ble.iBGP.protocol.on.MPLS.nodes.
13400	61 6e 64 20 52 6f 75 74 65 20 52 65 66 6c 65 63 74 6f 72 73 20 28 74 77 6f 20 72 6f 75 74 65 72	and.Route.Reflectors.(two.router
13420	73 20 66 6f 72 20 72 65 64 75 6e 64 61 6e 63 79 29 20 74 68 61 74 20 77 69 6c 6c 20 64 65 6c 69	s.for.redundancy).that.will.deli
13440	76 65 72 20 49 50 76 34 20 56 50 4e 20 28 4c 33 56 50 4e 29 20 72 6f 75 74 65 73 20 62 65 74 77	ver.IPv4.VPN.(L3VPN).routes.betw
13460	65 65 6e 20 74 68 65 6d 3a 00 41 7a 75 72 65 20 41 53 4e 00 41 7a 75 72 65 20 56 4e 65 74 20 47	een.them:.Azure.ASN.Azure.VNet.G
13480	61 74 65 77 61 79 20 31 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61	ateway.1.public.IP.Azure.VNet.Ga
134a0	74 65 77 61 79 20 32 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74	teway.2.public.IP.Azure.VNet.Gat
134c0	65 77 61 79 20 42 47 50 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 70	eway.BGP.IP.Azure.VNet.Gateway.p
134e0	75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 61 64 64 72 65 73 73 20 73 70 61 63 65 00 42 47 50	ublic.IP.Azure.address.space.BGP
13500	00 42 47 50 20 49 50 76 36 20 75 6e 6e 75 6d 62 65 72 65 64 20 77 69 74 68 20 65 78 74 65 6e 64	.BGP.IPv6.unnumbered.with.extend
13520	65 64 20 6e 65 78 74 68 6f 70 00 42 47 50 20 69 73 20 61 6e 20 65 78 74 72 65 6d 65 6c 79 20 63	ed.nexthop.BGP.is.an.extremely.c
13540	6f 6d 70 6c 65 78 20 6e 65 74 77 6f 72 6b 20 70 72 6f 74 6f 63 6f 6c 2e 20 41 6e 20 65 78 61 6d	omplex.network.protocol..An.exam
13560	70 6c 65 20 69 73 20 70 72 6f 76 69 64 65 64 20 68 65 72 65 2e 00 42 4c 55 45 5f 48 55 42 00 42	ple.is.provided.here..BLUE_HUB.B
13580	4c 55 45 5f 53 50 4f 4b 45 00 42 61 73 65 64 20 6f 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20	LUE_SPOKE.Based.on.the.previous.
135a0	65 78 61 6d 70 6c 65 2c 20 61 6e 6f 74 68 65 72 20 72 75 6c 65 20 66 6f 72 20 74 72 61 66 66 69	example,.another.rule.for.traffi
135c0	63 20 66 72 6f 6d 20 74 68 65 20 73 65 63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 33	c.from.the.second.interface.eth3
135e0	20 63 61 6e 20 62 65 20 61 64 64 65 64 20 74 6f 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63	.can.be.added.to.the.load.balanc
13600	65 72 2e 20 48 6f 77 65 76 65 72 2c 20 74 72 61 66 66 69 63 20 6d 65 61 6e 74 20 74 6f 20 66 6c	er..However,.traffic.meant.to.fl
13620	6f 77 20 62 65 74 77 65 65 6e 20 74 68 65 20 4c 41 4e 20 73 75 62 6e 65 74 73 20 77 69 6c 6c 20	ow.between.the.LAN.subnets.will.
13640	62 65 20 73 65 6e 74 20 74 6f 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 61 73 20 77 65 6c 6c	be.sent.to.eth0.and.eth1.as.well
13660	2e 20 54 6f 20 70 72 65 76 65 6e 74 20 74 68 69 73 2c 20 61 6e 6f 74 68 65 72 20 72 75 6c 65 20	..To.prevent.this,.another.rule.
13680	69 73 20 72 65 71 75 69 72 65 64 2e 20 54 68 69 73 20 72 75 6c 65 20 65 78 63 6c 75 64 65 73 20	is.required..This.rule.excludes.
136a0	74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 74 68 65 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74	traffic.between.the.local.subnet
136c0	73 20 66 72 6f 6d 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 2e 20 49 74 20 61 6c 73	s.from.the.load.balancer..It.als
136e0	6f 20 65 78 63 6c 75 64 65 73 20 6c 6f 63 61 6c 6c 79 2d 73 6f 75 72 63 65 73 20 70 61 63 6b 65	o.excludes.locally-sources.packe
13700	74 73 20 28 72 65 71 75 69 72 65 64 20 66 6f 72 20 77 65 62 20 63 61 63 68 69 6e 67 20 77 69 74	ts.(required.for.web.caching.wit
13720	68 20 6c 6f 61 64 20 62 61 6c 61 6e 63 69 6e 67 29 2e 20 65 74 68 2b 20 69 73 20 75 73 65 64 20	h.load.balancing)..eth+.is.used.
13740	61 73 20 61 6e 20 61 6c 69 61 73 20 74 68 61 74 20 72 65 66 65 72 73 20 74 6f 20 61 6c 6c 20 65	as.an.alias.that.refers.to.all.e
13760	74 68 65 72 6e 65 74 20 69 6e 74 65 72 66 61 63 65 73 3a 00 42 61 73 69 63 20 46 69 72 65 77 61	thernet.interfaces:.Basic.Firewa
13780	6c 6c 00 42 61 73 69 63 20 53 65 74 75 70 20 28 76 69 61 20 63 6f 6e 73 6f 6c 65 29 00 42 65 66	ll.Basic.Setup.(via.console).Bef
137a0	6f 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 30 20 6f 6e 20 72 6f 75 74 65 72	ore.the.interface.eth0.on.router
137c0	20 56 79 4f 53 33 00 42 6f 6e 64 69 6e 67 20 6f 6e 20 48 61 72 64 77 61 72 65 20 52 6f 75 74 65	.VyOS3.Bonding.on.Hardware.Route
137e0	72 00 42 6f 74 68 20 4c 41 4e 73 20 68 61 76 65 20 74 6f 20 62 65 20 61 62 6c 65 20 74 6f 20 72	r.Both.LANs.have.to.be.able.to.r
13800	6f 75 74 65 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 2c 20 62 6f 74 68 20 77 69	oute.between.each.other,.both.wi
13820	6c 6c 20 68 61 76 65 20 6d 61 6e 61 67 65 64 20 64 65 76 69 63 65 73 20 74 68 72 6f 75 67 68 20	ll.have.managed.devices.through.
13840	61 20 64 65 64 69 63 61 74 65 64 20 6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f 72 6b 20 61	a.dedicated.management.network.a
13860	6e 64 20 62 6f 74 68 20 77 69 6c 6c 20 6e 65 65 64 20 49 6e 74 65 72 6e 65 74 20 61 63 63 65 73	nd.both.will.need.Internet.acces
13880	73 20 79 65 74 20 74 68 65 20 4c 41 4e 32 20 77 69 6c 6c 20 6e 65 65 64 20 61 63 63 65 73 73 20	s.yet.the.LAN2.will.need.access.
138a0	74 6f 20 73 6f 6d 65 20 73 65 74 20 6f 66 20 6f 75 74 73 69 64 65 20 6e 65 74 77 6f 72 6b 73 2c	to.some.set.of.outside.networks,
138c0	20 6e 6f 74 20 61 6c 6c 2e 20 54 68 65 20 6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f 72 6b	.not.all..The.management.network
138e0	20 77 69 6c 6c 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 62 6f 74 68 20 4c 41 4e 73 20 62	.will.need.access.to.both.LANs.b
13900	75 74 20 63 61 6e 6e 6f 74 20 68 61 76 65 20 61 63 63 65 73 73 20 74 6f 2f 66 72 6f 6d 20 74 68	ut.cannot.have.access.to/from.th
13920	65 20 6f 75 74 73 69 64 65 2e 00 42 72 61 6e 63 68 00 42 79 20 64 65 66 61 75 6c 74 2c 20 69 70	e.outside..Branch.By.default,.ip
13940	74 61 62 6c 65 73 20 64 6f 65 73 20 6e 6f 74 20 61 6c 6c 6f 77 20 74 72 61 66 66 69 63 20 66 6f	tables.does.not.allow.traffic.fo
13960	72 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 65 73 73 69 6f 6e 73 20 74 6f 20 72 65 74 75 72 6e	r.established.sessions.to.return
13980	2c 20 73 6f 20 79 6f 75 20 6d 75 73 74 20 65 78 70 6c 69 63 69 74 6c 79 20 61 6c 6c 6f 77 20 74	,.so.you.must.explicitly.allow.t
139a0	68 69 73 2e 20 49 20 64 6f 20 74 68 69 73 20 62 79 20 61 64 64 69 6e 67 20 74 77 6f 20 72 75 6c	his..I.do.this.by.adding.two.rul
139c0	65 73 20 74 6f 20 65 76 65 72 79 20 72 75 6c 65 73 65 74 2e 20 31 20 61 6c 6c 6f 77 73 20 65 73	es.to.every.ruleset..1.allows.es
139e0	74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20 73 74 61 74 65 20 70 61 63 6b	tablished.and.related.state.pack
13a00	65 74 73 20 74 68 72 6f 75 67 68 20 61 6e 64 20 72 75 6c 65 20 32 20 64 72 6f 70 73 20 61 6e 64	ets.through.and.rule.2.drops.and
13a20	20 6c 6f 67 73 20 69 6e 76 61 6c 69 64 20 73 74 61 74 65 20 70 61 63 6b 65 74 73 2e 20 57 65 20	.logs.invalid.state.packets..We.
13a40	70 6c 61 63 65 20 74 68 65 20 65 73 74 61 62 6c 69 73 68 65 64 2f 72 65 6c 61 74 65 64 20 72 75	place.the.established/related.ru
13a60	6c 65 20 61 74 20 74 68 65 20 74 6f 70 20 62 65 63 61 75 73 65 20 74 68 65 20 76 61 73 74 20 6d	le.at.the.top.because.the.vast.m
13a80	61 6a 6f 72 69 74 79 20 6f 66 20 74 72 61 66 66 69 63 20 6f 6e 20 61 20 6e 65 74 77 6f 72 6b 20	ajority.of.traffic.on.a.network.
13aa0	69 73 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 74 68 65 20 69 6e 76 61 6c 69 64 20 72	is.established.and.the.invalid.r
13ac0	75 6c 65 20 74 6f 20 70 72 65 76 65 6e 74 20 69 6e 76 61 6c 69 64 20 73 74 61 74 65 20 70 61 63	ule.to.prevent.invalid.state.pac
13ae0	6b 65 74 73 20 66 72 6f 6d 20 6d 69 73 74 61 6b 65 6e 6c 79 20 62 65 69 6e 67 20 6d 61 74 63 68	kets.from.mistakenly.being.match
13b00	65 64 20 61 67 61 69 6e 73 74 20 6f 74 68 65 72 20 72 75 6c 65 73 2e 20 48 61 76 69 6e 67 20 74	ed.against.other.rules..Having.t
13b20	68 65 20 6d 6f 73 74 20 6d 61 74 63 68 65 64 20 72 75 6c 65 20 6c 69 73 74 65 64 20 66 69 72 73	he.most.matched.rule.listed.firs
13b40	74 20 72 65 64 75 63 65 73 20 43 50 55 20 6c 6f 61 64 20 69 6e 20 68 69 67 68 20 76 6f 6c 75 6d	t.reduces.CPU.load.in.high.volum
13b60	65 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 73 2e 20 4e 6f 74 65 3a 20 49 20 68 61 76 65 20 66 69 6c	e.environments..Note:.I.have.fil
13b80	65 64 20 61 20 62 75 67 20 74 6f 20 68 61 76 65 20 74 68 69 73 20 61 64 64 65 64 20 61 73 20 61	ed.a.bug.to.have.this.added.as.a
13ba0	20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 61 73 20 77 65 6c 6c 2e 00 43 45 20 48 75 62 20	.default.action.as.well..CE.Hub.
13bc0	64 65 76 69 63 65 00 43 53 34 20 2d 3e 20 43 53 35 00 43 65 6e 74 72 61 6c 00 43 68 65 63 6b 20	device.CS4.->.CS5.Central.Check.
13be0	61 6c 6c 20 70 6f 73 73 69 62 6c 65 20 73 65 74 74 69 6e 67 73 20 60 68 65 72 65 20 3c 68 74 74	all.possible.settings.`here.<htt
13c00	70 73 3a 2f 2f 67 69 74 68 75 62 2e 63 6f 6d 2f 74 68 72 65 65 72 69 6e 67 73 2f 6f 70 65 6e 76	ps://github.com/threerings/openv
13c20	70 6e 2d 61 75 74 68 2d 6c 64 61 70 2f 62 6c 6f 62 2f 6d 61 73 74 65 72 2f 61 75 74 68 2d 6c 64	pn-auth-ldap/blob/master/auth-ld
13c40	61 70 2e 63 6f 6e 66 3e 60 5f 00 43 68 65 63 6b 20 74 68 65 20 42 47 50 20 56 52 46 20 74 61 62	ap.conf>`_.Check.the.BGP.VRF.tab
13c60	6c 65 20 61 6e 64 20 76 65 72 69 66 79 20 69 66 20 74 68 65 20 73 74 61 74 69 63 20 72 6f 75 74	le.and.verify.if.the.static.rout
13c80	65 73 20 61 72 65 20 69 6e 6a 65 63 74 65 64 20 73 68 6f 77 69 6e 67 20 74 68 65 20 63 6f 72 72	es.are.injected.showing.the.corr
13ca0	65 63 74 20 6e 65 78 74 2d 68 6f 70 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 43 68 65 63 6b 20	ect.next-hop.information..Check.
13cc0	74 68 65 20 72 65 73 75 6c 74 00 43 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 2e 00 43 68 65	the.result.Check.the.result..Che
13ce0	63 6b 69 6e 67 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6f 66 20 74 68 65 20 56	cking.the.routing.table.of.the.V
13d00	52 46 20 73 68 6f 75 6c 64 20 72 65 76 65 61 6c 20 62 6f 74 68 20 73 74 61 74 69 63 20 61 6e 64	RF.should.reveal.both.static.and
13d20	20 63 6f 6e 6e 65 63 74 65 64 20 65 6e 74 72 69 65 73 20 61 63 74 69 76 65 2e 20 41 20 50 49 4e	.connected.entries.active..A.PIN
13d40	47 20 74 65 73 74 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 61 6e 64 20 72 65 6d 6f	G.test.between.the.Core.and.remo
13d60	74 65 20 72 6f 75 74 65 72 20 69 73 20 61 20 77 61 79 20 74 6f 20 76 61 6c 69 64 61 74 65 20 63	te.router.is.a.way.to.validate.c
13d80	6f 6e 6e 65 63 74 69 76 69 74 79 20 77 69 74 68 69 6e 20 74 68 65 20 56 52 46 2e 00 43 68 65 63	onnectivity.within.the.VRF..Chec
13da0	6b 69 6e 67 20 74 68 72 6f 75 67 68 20 6f 70 2d 6d 6f 64 65 20 63 6f 6d 6d 61 6e 64 73 00 43 69	king.through.op-mode.commands.Ci
13dc0	73 63 6f 20 56 50 43 20 43 72 6f 73 73 63 6f 6e 6e 65 63 74 20 2d 20 50 6f 72 74 73 20 33 39 20	sco.VPC.Crossconnect.-.Ports.39.
13de0	61 6e 64 20 34 30 20 62 6f 6e 64 65 64 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 73 77 69 74 63	and.40.bonded.between.each.switc
13e00	68 00 43 6c 61 6d 70 20 74 68 65 20 56 54 49 27 73 20 4d 53 53 20 74 6f 20 31 33 35 30 20 74 6f	h.Clamp.the.VTI's.MSS.to.1350.to
13e20	20 61 76 6f 69 64 20 50 4d 54 55 20 62 6c 61 63 6b 68 6f 6c 65 73 2e 00 43 6c 69 65 6e 74 20 63	.avoid.PMTU.blackholes..Client.c
13e40	6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 62 65 74 77 65	onfiguration.Communication.betwe
13e60	65 6e 20 70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20 73 68 6f 75 6c 64 20 62 65 20 64 6f 6e	en.private.subnets.should.be.don
13e80	65 20 74 68 72 6f 75 67 68 20 69 70 73 65 63 20 74 75 6e 6e 65 6c 20 77 69 74 68 6f 75 74 20 6e	e.through.ipsec.tunnel.without.n
13ea0	61 74 2e 00 43 6f 6e 63 6c 75 73 69 6f 6e 73 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 6f	at..Conclusions.Configuration.Co
13ec0	6e 66 69 67 75 72 61 74 69 6f 6e 20 27 4e 4d 50 27 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20	nfiguration.'NMP'.Configuration.
13ee0	27 56 79 4f 53 27 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27 64 63 73 70 27 20 61 6e 64 20	'VyOS'.Configuration.'dcsp'.and.
13f00	73 68 61 70 65 72 20 75 73 69 6e 67 20 51 6f 53 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 42	shaper.using.QoS.Configuration.B
13f20	6c 75 65 70 72 69 6e 74 73 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 42 6c 75 65 70 72 69 6e	lueprints.Configuration.Blueprin
13f40	74 73 20 28 61 75 74 6f 74 65 73 74 29 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 56 79 4f 53	ts.(autotest).Configuration.VyOS
13f60	20 61 73 20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e	.as.OpenVPN.Server.Configuration
13f80	20 6f 66 20 62 61 73 69 63 20 66 69 72 65 77 61 6c 6c 20 69 6e 20 6f 6e 65 20 73 69 74 65 2c 20	.of.basic.firewall.in.one.site,.
13fa0	69 6e 20 6f 72 64 65 72 20 74 6f 3a 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 43 6f 6e 66	in.order.to:.Configuration:.Conf
13fc0	69 67 75 72 61 74 69 6f 6e 73 00 43 6f 6e 66 69 67 75 72 65 20 57 69 72 65 67 75 61 72 64 00 43	igurations.Configure.Wireguard.C
13fe0	6f 6e 66 69 67 75 72 65 20 61 20 56 54 49 20 77 69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 20 61	onfigure.a.VTI.with.a.dummy.IP.a
14000	64 64 72 65 73 73 00 43 6f 6e 66 69 67 75 72 65 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 20	ddress.Configure.conntrack-sync.
14020	61 6e 64 20 65 6e 61 62 6c 65 20 68 65 6c 70 65 72 73 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65	and.enable.helpers.Configure.the
14040	20 49 4b 45 20 61 6e 64 20 45 53 50 20 73 65 74 74 69 6e 67 73 20 74 6f 20 6d 61 74 63 68 20 61	.IKE.and.ESP.settings.to.match.a
14060	20 73 75 62 73 65 74 20 6f 66 20 74 68 6f 73 65 20 73 75 70 70 6f 72 74 65 64 20 62 79 20 41 7a	.subset.of.those.supported.by.Az
14080	75 72 65 3a 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 56 50 4e 20 74 75 6e 6e 65 6c 00 43 6f	ure:.Configure.the.VPN.tunnel.Co
140a0	6e 66 69 67 75 72 65 20 74 68 65 20 56 50 4e 20 74 75 6e 6e 65 6c 73 00 43 6f 6e 66 69 67 75 72	nfigure.the.VPN.tunnels.Configur
140c0	65 20 74 68 65 20 57 41 4e 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 20 77 69 74 68 20 74 68 65	e.the.WAN.load.balancer.with.the
140e0	20 70 61 72 61 6d 65 74 65 72 73 20 64 65 73 63 72 69 62 65 64 20 61 62 6f 76 65 3a 00 43 6f 6e	.parameters.described.above:.Con
14100	66 69 67 75 72 65 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 00 43 6f 6e 66 69 67 75	figure.the.load.balancer.Configu
14120	72 65 20 74 77 6f 20 56 54 49 73 20 77 69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 20 61 64 64 72	re.two.VTIs.with.a.dummy.IP.addr
14140	65 73 73 20 65 61 63 68 00 43 6f 6e 66 69 67 75 72 65 20 79 6f 75 72 20 42 47 50 20 73 65 74 74	ess.each.Configure.your.BGP.sett
14160	69 6e 67 73 00 43 6f 6e 6e 74 72 61 63 6b 20 68 65 6c 70 65 72 20 6d 6f 64 75 6c 65 73 20 61 72	ings.Conntrack.helper.modules.ar
14180	65 20 65 6e 61 62 6c 65 64 20 62 79 20 64 65 66 61 75 6c 74 2c 20 62 75 74 20 74 68 65 79 20 74	e.enabled.by.default,.but.they.t
141a0	65 6e 64 20 74 6f 20 63 61 75 73 65 20 6d 6f 72 65 20 70 72 6f 62 6c 65 6d 73 20 74 68 61 6e 20	end.to.cause.more.problems.than.
141c0	74 68 65 79 27 72 65 20 77 6f 72 74 68 20 69 6e 20 63 6f 6d 70 6c 65 78 20 6e 65 74 77 6f 72 6b	they're.worth.in.complex.network
141e0	73 2e 20 59 6f 75 20 63 61 6e 20 64 69 73 61 62 6c 65 20 61 6c 6c 20 6f 66 20 74 68 65 6d 20 61	s..You.can.disable.all.of.them.a
14200	74 20 6f 6e 65 20 67 6f 2e 00 43 6f 6e 73 69 64 65 72 20 68 6f 77 20 74 6f 20 71 75 69 63 6b 6c	t.one.go..Consider.how.to.quickl
14220	79 20 73 65 74 20 75 70 20 4e 4d 50 20 61 6e 64 20 56 79 4f 53 20 66 6f 72 20 6d 6f 6e 69 74 6f	y.set.up.NMP.and.VyOS.for.monito
14240	72 69 6e 67 2e 20 4e 4d 50 20 69 73 20 6d 75 6c 74 69 2d 76 65 6e 64 6f 72 20 6e 65 74 77 6f 72	ring..NMP.is.multi-vendor.networ
14260	6b 20 6d 6f 6e 69 74 6f 72 69 6e 67 20 66 72 6f 6d 20 27 53 6f 6c 61 72 57 69 6e 64 73 27 20 62	k.monitoring.from.'SolarWinds'.b
14280	75 69 6c 74 20 74 6f 20 73 63 61 6c 65 20 61 6e 64 20 65 78 70 61 6e 64 20 77 69 74 68 20 74 68	uilt.to.scale.and.expand.with.th
142a0	65 20 6e 65 65 64 73 20 6f 66 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 2e 00 43 6f 72 65 00 43 6f	e.needs.of.your.network..Core.Co
142c0	72 65 20 52 6f 75 74 65 72 00 43 6f 72 65 20 6e 65 74 77 6f 72 6b 00 43 72 65 61 74 65 20 45 78	re.Router.Core.network.Create.Ex
142e0	70 6f 72 74 20 46 69 6c 74 65 72 00 43 72 65 61 74 65 20 49 6d 70 6f 72 74 20 46 69 6c 74 65 72	port.Filter.Create.Import.Filter
14300	00 43 72 65 61 74 65 20 56 52 52 50 20 73 79 6e 63 2d 67 72 6f 75 70 00 43 72 65 61 74 65 20 61	.Create.VRRP.sync-group.Create.a
14320	20 4c 41 43 50 20 62 6f 6e 64 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65	.LACP.bond.on.the.hardware.route
14340	72 2e 20 57 65 20 61 72 65 20 61 73 73 75 6d 69 6e 67 20 74 68 61 74 20 65 74 68 30 20 61 6e 64	r..We.are.assuming.that.eth0.and
14360	20 65 74 68 31 20 61 72 65 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 70 6f 72 74 20 38 20 6f 6e	.eth1.are.connected.to.port.8.on
14380	20 62 6f 74 68 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 74 68 61 74 20 74 68 6f 73 65 20 70	.both.switches,.and.that.those.p
143a0	6f 72 74 73 20 61 72 65 20 63 6f 6e 66 69 67 75 72 65 64 20 61 73 20 61 20 50 6f 72 74 2d 43 68	orts.are.configured.as.a.Port-Ch
143c0	61 6e 6e 65 6c 2e 00 43 72 65 61 74 65 20 61 6e 20 27 41 6c 6c 20 56 4c 41 4e 73 27 20 6e 65 74	annel..Create.an.'All.VLANs'.net
143e0	77 6f 72 6b 20 67 72 6f 75 70 2c 20 74 68 61 74 20 70 61 73 73 65 73 20 61 6c 6c 20 74 72 75 6e	work.group,.that.passes.all.trun
14400	6b 65 64 20 74 72 61 66 66 69 63 20 74 68 72 6f 75 67 68 20 74 6f 20 74 68 65 20 56 4d 2e 20 41	ked.traffic.through.to.the.VM..A
14420	74 74 61 63 68 20 74 68 69 73 20 6e 65 74 77 6f 72 6b 20 67 72 6f 75 70 20 74 6f 20 72 6f 75 74	ttach.this.network.group.to.rout
14440	65 72 31 20 61 73 20 65 74 68 30 2e 00 43 72 65 61 74 65 20 69 6e 74 65 72 66 61 63 65 20 77 65	er1.as.eth0..Create.interface.we
14460	69 67 68 74 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 72 65 61 74 65 20	ight.based.configuration.Create.
14480	72 75 6c 65 20 6f 72 64 65 72 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43	rule.order.based.configuration.C
144a0	72 65 61 74 65 20 72 75 6c 65 20 6f 72 64 65 72 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61	reate.rule.order.based.configura
144c0	74 69 6f 6e 20 77 69 74 68 20 6c 6f 77 20 73 70 65 65 64 20 73 65 63 6f 6e 64 61 72 79 20 6c 69	tion.with.low.speed.secondary.li
144e0	6e 6b 00 43 72 65 61 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 68 72 6f 75 67 68 20	nk.Create.static.routes.through.
14500	74 68 65 20 74 77 6f 20 49 53 50 73 20 74 6f 77 61 72 64 73 20 74 68 65 20 70 69 6e 67 20 74 61	the.two.ISPs.towards.the.ping.ta
14520	72 67 65 74 73 20 61 6e 64 20 63 6f 6d 6d 69 74 20 74 68 65 20 63 68 61 6e 67 65 73 3a 00 43 72	rgets.and.commit.the.changes:.Cr
14540	65 61 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 6f 20 70 69 6e 67 20 74 61 72 67 65	eate.static.routes.to.ping.targe
14560	74 73 00 43 72 65 61 74 65 20 79 6f 75 72 20 72 6f 75 74 65 72 31 20 56 4d 2e 20 53 6f 20 69 74	ts.Create.your.router1.VM..So.it
14580	20 63 61 6e 20 77 69 74 68 73 74 61 6e 64 20 61 20 56 4d 20 48 6f 73 74 20 66 61 69 6c 69 6e 67	.can.withstand.a.VM.Host.failing
145a0	20 6f 72 20 61 20 6e 65 74 77 6f 72 6b 20 6c 69 6e 6b 20 66 61 69 6c 69 6e 67 2e 20 55 73 69 6e	.or.a.network.link.failing..Usin
145c0	67 20 56 4d 77 61 72 65 2c 20 74 68 69 73 20 69 73 20 61 63 68 69 65 76 65 64 20 62 79 20 65 6e	g.VMware,.this.is.achieved.by.en
145e0	61 62 6c 69 6e 67 20 76 53 70 68 65 72 65 20 44 52 53 2c 20 76 53 70 68 65 72 65 20 41 76 61 69	abling.vSphere.DRS,.vSphere.Avai
14600	6c 61 62 69 6c 69 74 79 2c 20 61 6e 64 20 63 72 65 61 74 69 6e 67 20 61 20 44 69 73 74 72 69 62	lability,.and.creating.a.Distrib
14620	75 74 65 64 20 50 6f 72 74 20 47 72 6f 75 70 20 74 68 61 74 20 75 73 65 73 20 4c 41 43 50 2e 00	uted.Port.Group.that.uses.LACP..
14640	44 48 43 50 20 52 65 6c 61 79 20 74 72 6f 75 67 68 20 47 52 45 2d 42 72 69 64 67 65 00 44 48 43	DHCP.Relay.trough.GRE-Bridge.DHC
14660	50 2d 52 65 6c 61 79 00 44 48 43 50 2d 53 65 72 76 65 72 00 44 48 43 50 76 36 2d 50 44 20 53 65	P-Relay.DHCP-Server.DHCPv6-PD.Se
14680	74 75 70 00 44 4d 5a 20 63 61 6e 6e 6f 74 20 61 63 63 65 73 73 20 4c 41 4e 20 72 65 73 6f 75 72	tup.DMZ.cannot.access.LAN.resour
146a0	63 65 73 2e 00 44 4d 5a 2d 4c 41 4e 20 70 6f 6c 69 63 79 20 69 73 20 4c 41 4e 2d 44 4d 5a 2e 20	ces..DMZ-LAN.policy.is.LAN-DMZ..
146c0	59 6f 75 20 63 61 6e 20 67 65 74 20 61 20 72 68 79 74 68 6d 20 74 6f 20 69 74 20 77 68 65 6e 20	You.can.get.a.rhythm.to.it.when.
146e0	79 6f 75 20 62 75 69 6c 64 20 6f 75 74 20 61 20 62 75 6e 63 68 20 61 74 20 6f 6e 65 20 74 69 6d	you.build.out.a.bunch.at.one.tim
14700	65 2e 00 44 65 73 69 67 6e 00 44 65 76 69 63 65 2d 41 00 44 65 76 69 63 65 2d 42 00 44 75 70 6c	e..Design.Device-A.Device-B.Dupl
14720	69 63 61 74 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 44 75 72 69 6e 67 20 61 64 64 72 65	icate.configuration.During.addre
14740	73 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2c 20 69 6e 20 61 64 64 69 74 69 6f 6e 20 74 6f	ss.configuration,.in.addition.to
14760	20 61 73 73 69 67 6e 69 6e 67 20 61 6e 20 61 64 64 72 65 73 73 20 74 6f 20 74 68 65 20 57 41 4e	.assigning.an.address.to.the.WAN
14780	20 69 6e 74 65 72 66 61 63 65 2c 20 49 53 50 20 61 6c 73 6f 20 70 72 6f 76 69 64 65 73 20 61 20	.interface,.ISP.also.provides.a.
147a0	70 72 65 66 69 78 20 74 6f 20 61 6c 6c 6f 77 20 74 68 65 20 72 6f 75 74 65 72 20 74 6f 20 63 6f	prefix.to.allow.the.router.to.co
147c0	6e 66 69 67 75 72 65 20 61 64 64 72 65 73 73 65 73 20 6f 66 20 4c 41 4e 20 69 6e 74 65 72 66 61	nfigure.addresses.of.LAN.interfa
147e0	63 65 20 61 6e 64 20 6f 74 68 65 72 20 6e 6f 64 65 73 20 63 6f 6e 6e 65 63 74 69 6e 67 20 74 6f	ce.and.other.nodes.connecting.to
14800	20 4c 41 4e 2c 20 77 68 69 63 68 20 69 73 20 63 61 6c 6c 65 64 20 70 72 65 66 69 78 20 64 65 6c	.LAN,.which.is.called.prefix.del
14820	65 67 61 74 69 6f 6e 20 28 50 44 29 2e 00 44 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 73	egation.(PD)..Dynamic.routing.us
14840	65 64 20 62 65 74 77 65 65 6e 20 43 45 20 61 6e 64 20 50 45 20 6e 6f 64 65 73 20 61 6e 64 20 65	ed.between.CE.and.PE.nodes.and.e
14860	42 47 50 20 70 65 65 72 69 6e 67 20 65 73 74 61 62 6c 69 73 68 65 64 20 66 6f 72 20 74 68 65 20	BGP.peering.established.for.the.
14880	72 6f 75 74 65 20 65 78 63 68 61 6e 67 69 6e 67 20 62 65 74 77 65 65 6e 20 74 68 65 6d 2e 20 41	route.exchanging.between.them..A
148a0	6c 6c 20 72 6f 75 74 65 73 20 72 65 63 65 69 76 65 64 20 62 79 20 50 45 73 20 61 72 65 20 74 68	ll.routes.received.by.PEs.are.th
148c0	65 6e 20 65 78 70 6f 72 74 65 64 20 74 6f 20 4c 33 56 50 4e 20 61 6e 64 20 64 65 6c 69 76 65 72	en.exported.to.L3VPN.and.deliver
148e0	65 64 20 66 72 6f 6d 20 53 70 6f 6b 65 20 73 69 74 65 73 20 74 6f 20 48 75 62 20 61 6e 64 20 76	ed.from.Spoke.sites.to.Hub.and.v
14900	69 73 65 2d 76 65 72 73 61 20 62 61 73 65 64 20 6f 6e 20 70 72 65 76 69 6f 75 73 6c 79 20 63 6f	ise-versa.based.on.previously.co
14920	6e 66 69 67 75 72 65 64 20 4c 33 56 50 4e 20 70 61 72 61 6d 65 74 65 72 73 2e 00 45 61 63 68 20	nfigured.L3VPN.parameters..Each.
14940	69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 20 74 6f 20 61 20 7a 6f 6e 65 2e	interface.is.assigned.to.a.zone.
14960	20 54 68 65 20 69 6e 74 65 72 66 61 63 65 20 63 61 6e 20 62 65 20 70 68 79 73 69 63 61 6c 20 6f	.The.interface.can.be.physical.o
14980	72 20 76 69 72 74 75 61 6c 20 73 75 63 68 20 61 73 20 74 75 6e 6e 65 6c 73 20 28 56 50 4e 2c 20	r.virtual.such.as.tunnels.(VPN,.
149a0	50 50 54 50 2c 20 47 52 45 2c 20 65 74 63 29 20 61 6e 64 20 61 72 65 20 74 72 65 61 74 65 64 20	PPTP,.GRE,.etc).and.are.treated.
149c0	65 78 61 63 74 6c 79 20 74 68 65 20 73 61 6d 65 2e 00 45 61 63 68 20 6c 61 62 20 77 69 6c 6c 20	exactly.the.same..Each.lab.will.
149e0	62 75 69 6c 64 20 61 6e 20 74 65 73 74 20 66 72 6f 6d 20 61 6e 20 65 78 74 65 72 6e 61 6c 20 73	build.an.test.from.an.external.s
14a00	63 72 69 70 74 2e 20 54 68 65 20 70 61 67 65 20 63 6f 6e 74 65 6e 74 20 77 69 6c 6c 20 67 65 6e	cript..The.page.content.will.gen
14a20	65 72 61 74 65 2c 20 73 6f 20 63 68 61 6e 67 65 73 20 77 69 6c 6c 20 6e 6f 74 20 74 61 6b 65 20	erate,.so.changes.will.not.take.
14a40	61 6e 20 65 66 66 65 63 74 2e 00 45 6e 61 62 6c 65 20 49 50 73 65 63 20 6f 6e 20 65 74 68 30 00	an.effect..Enable.IPsec.on.eth0.
14a60	45 6e 61 62 6c 65 20 4f 53 50 46 00 45 6e 61 62 6c 65 20 53 53 48 00 45 6e 61 62 6c 65 20 53 53	Enable.OSPF.Enable.SSH.Enable.SS
14a80	48 20 73 6f 20 79 6f 75 20 63 61 6e 20 6e 6f 77 20 53 53 48 20 69 6e 74 6f 20 74 68 65 20 72 6f	H.so.you.can.now.SSH.into.the.ro
14aa0	75 74 65 72 73 2c 20 72 61 74 68 65 72 20 74 68 61 6e 20 75 73 69 6e 67 20 74 68 65 20 63 6f 6e	uters,.rather.than.using.the.con
14ac0	73 6f 6c 65 2e 00 45 6e 61 62 6c 65 73 20 72 6f 75 74 65 72 20 61 64 76 65 72 74 69 73 65 6d 65	sole..Enables.router.advertiseme
14ae0	6e 74 73 2e 20 54 68 69 73 20 69 73 20 61 6e 20 49 50 76 36 20 61 6c 74 65 72 6e 61 74 69 76 65	nts..This.is.an.IPv6.alternative
14b00	20 66 6f 72 20 44 48 43 50 20 28 74 68 6f 75 67 68 20 44 48 43 50 76 36 20 63 61 6e 20 73 74 69	.for.DHCP.(though.DHCPv6.can.sti
14b20	6c 6c 20 62 65 20 75 73 65 64 29 2e 20 57 69 74 68 20 52 41 73 2c 20 59 6f 75 72 20 64 65 76 69	ll.be.used)..With.RAs,.Your.devi
14b40	63 65 73 20 77 69 6c 6c 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 20 66 69 6e 64 20 74 68 65 20	ces.will.automatically.find.the.
14b60	69 6e 66 6f 72 6d 61 74 69 6f 6e 20 74 68 65 79 20 6e 65 65 64 20 66 6f 72 20 72 6f 75 74 69 6e	information.they.need.for.routin
14b80	67 20 61 6e 64 20 44 4e 53 2e 00 45 76 65 6e 20 69 66 20 74 68 65 20 74 77 6f 20 7a 6f 6e 65 73	g.and.DNS..Even.if.the.two.zones
14ba0	20 77 69 6c 6c 20 6e 65 76 65 72 20 63 6f 6d 6d 75 6e 69 63 61 74 65 2c 20 69 74 20 69 73 20 61	.will.never.communicate,.it.is.a
14bc0	20 67 6f 6f 64 20 69 64 65 61 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 7a 6f 6e 65 2d 70 61	.good.idea.to.create.the.zone-pa
14be0	69 72 2d 64 69 72 65 63 74 69 6f 6e 20 72 75 6c 65 73 65 74 73 20 61 6e 64 20 73 65 74 20 65 6e	ir-direction.rulesets.and.set.en
14c00	61 62 6c 65 2d 64 65 66 61 75 6c 74 2d 6c 6f 67 2e 20 54 68 69 73 20 77 69 6c 6c 20 61 6c 6c 6f	able-default-log..This.will.allo
14c20	77 20 79 6f 75 20 74 6f 20 6c 6f 67 20 61 74 74 65 6d 70 74 73 20 74 6f 20 61 63 63 65 73 73 20	w.you.to.log.attempts.to.access.
14c40	74 68 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 69 74 68 6f 75 74 20 69 74 2c 20 79 6f 75 20 77 69	the.networks..Without.it,.you.wi
14c60	6c 6c 20 6e 65 76 65 72 20 73 65 65 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 61 74 74 65	ll.never.see.the.connection.atte
14c80	6d 70 74 73 2e 00 45 76 65 72 79 20 72 6f 75 74 65 72 20 2a 2a 6d 75 73 74 2a 2a 20 68 61 76 65	mpts..Every.router.must.have
14ca0	20 61 20 75 6e 69 71 75 65 20 72 6f 75 74 65 72 2d 69 64 2e 20 54 68 65 20 27 72 65 66 65 72 65	.a.unique.router-id..The.'refere
14cc0	6e 63 65 2d 62 61 6e 64 77 69 64 74 68 27 20 69 73 20 75 73 65 64 20 62 65 63 61 75 73 65 20 77	nce-bandwidth'.is.used.because.w
14ce0	68 65 6e 20 4f 53 50 46 20 77 61 73 20 6f 72 69 67 69 6e 61 6c 6c 79 20 64 65 73 69 67 6e 65 64	hen.OSPF.was.originally.designed
14d00	2c 20 74 68 65 20 69 64 65 61 20 6f 66 20 61 20 6c 69 6e 6b 20 66 61 73 74 65 72 20 74 68 61 6e	,.the.idea.of.a.link.faster.than
14d20	20 31 67 62 69 74 20 77 61 73 20 75 6e 68 65 61 72 64 20 6f 66 2c 20 61 6e 64 20 69 74 20 64 6f	.1gbit.was.unheard.of,.and.it.do
14d40	65 73 20 6e 6f 74 20 73 63 61 6c 65 20 63 6f 72 72 65 63 74 6c 79 2e 00 45 76 65 72 79 20 72 6f	es.not.scale.correctly..Every.ro
14d60	75 74 65 72 20 74 68 61 74 20 70 72 6f 76 69 64 65 73 20 61 63 63 65 73 73 20 74 6f 20 61 20 63	uter.that.provides.access.to.a.c
14d80	75 73 74 6f 6d 65 72 20 6e 65 74 77 6f 72 6b 20 6e 65 65 64 73 20 74 6f 20 68 61 76 65 20 74 68	ustomer.network.needs.to.have.th
14da0	65 20 63 75 73 74 6f 6d 65 72 20 6e 65 74 77 6f 72 6b 20 28 56 52 46 20 2b 20 56 4e 49 29 20 63	e.customer.network.(VRF.+.VNI).c
14dc0	6f 6e 66 69 67 75 72 65 64 2e 20 54 6f 20 6d 61 6b 65 20 6f 75 72 20 6f 77 6e 20 6c 69 76 65 73	onfigured..To.make.our.own.lives
14de0	20 65 61 73 69 65 72 2c 20 77 65 20 75 74 69 6c 69 7a 65 20 74 68 65 20 73 61 6d 65 20 56 52 46	.easier,.we.utilize.the.same.VRF
14e00	20 74 61 62 6c 65 20 69 64 20 28 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6e	.table.id.(local.routing.table.n
14e20	75 6d 62 65 72 29 20 61 6e 64 20 56 4e 49 20 28 56 69 72 74 75 61 6c 20 4e 65 74 77 6f 72 6b 20	umber).and.VNI.(Virtual.Network.
14e40	49 64 65 6e 74 69 66 69 65 72 29 20 70 65 72 20 74 65 6e 61 6e 74 20 6f 6e 20 61 6c 6c 20 6f 75	Identifier).per.tenant.on.all.ou
14e60	72 20 72 6f 75 74 65 72 73 2e 00 45 76 65 72 79 20 74 65 6e 61 6e 74 20 69 73 20 61 73 73 69 67	r.routers..Every.tenant.is.assig
14e80	6e 65 64 20 61 6e 20 69 6e 64 69 76 69 64 75 61 6c 20 56 52 46 20 74 68 61 74 20 77 6f 75 6c 64	ned.an.individual.VRF.that.would
14ea0	20 73 75 70 70 6f 72 74 20 6f 76 65 72 6c 61 70 70 69 6e 67 20 61 64 64 72 65 73 73 20 72 61 6e	.support.overlapping.address.ran
14ec0	67 65 73 20 66 6f 72 20 63 75 73 74 6f 6d 65 72 73 20 62 6c 75 65 2c 20 72 65 64 20 61 6e 64 20	ges.for.customers.blue,.red.and.
14ee0	67 72 65 65 6e 2e 20 49 6e 20 6f 75 72 20 65 78 61 6d 70 6c 65 2c 20 77 65 20 64 6f 20 6e 6f 74	green..In.our.example,.we.do.not
14f00	20 75 73 65 20 6f 76 65 72 6c 61 70 70 69 6e 67 20 72 61 6e 67 65 73 20 74 6f 20 6d 61 6b 65 20	.use.overlapping.ranges.to.make.
14f20	69 74 20 65 61 73 69 65 72 20 77 68 65 6e 20 73 68 6f 77 69 6e 67 20 64 65 62 75 67 20 63 6f 6d	it.easier.when.showing.debug.com
14f40	6d 61 6e 64 73 2e 00 45 78 61 6d 70 6c 65 00 45 78 61 6d 70 6c 65 20 31 3a 20 44 69 73 74 72 69	mands..Example.Example.1:.Distri
14f60	62 75 74 69 6e 67 20 6c 6f 61 64 20 65 76 65 6e 6c 79 00 45 78 61 6d 70 6c 65 20 32 3a 20 46 61	buting.load.evenly.Example.2:.Fa
14f80	69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 69 6e 74 65 72 66 61 63 65 20 77 65 69 67 68 74	ilover.based.on.interface.weight
14fa0	73 00 45 78 61 6d 70 6c 65 20 33 3a 20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 72	s.Example.3:.Failover.based.on.r
14fc0	75 6c 65 20 6f 72 64 65 72 00 45 78 61 6d 70 6c 65 20 34 3a 20 46 61 69 6c 6f 76 65 72 20 62 61	ule.order.Example.4:.Failover.ba
14fe0	73 65 64 20 6f 6e 20 72 75 6c 65 20 6f 72 64 65 72 20 2d 20 70 72 69 6f 72 69 74 79 20 74 72 61	sed.on.rule.order.-.priority.tra
15000	66 66 69 63 00 45 78 61 6d 70 6c 65 20 35 3a 20 45 78 63 6c 75 64 65 20 74 72 61 66 66 69 63 20	ffic.Example.5:.Exclude.traffic.
15020	66 72 6f 6d 20 6c 6f 61 64 20 62 61 6c 61 6e 63 69 6e 67 00 45 78 61 6d 70 6c 65 20 4e 65 74 77	from.load.balancing.Example.Netw
15040	6f 72 6b 00 46 69 6c 6c 20 60 60 70 61 73 73 77 6f 72 64 60 60 20 61 6e 64 20 60 60 75 73 65 72	ork.Fill.``password``.and.``user
15060	60 60 20 77 69 74 68 20 74 68 65 20 63 72 65 64 65 6e 74 69 61 6c 20 70 72 6f 76 69 64 65 64 20	``.with.the.credential.provided.
15080	62 79 20 79 6f 75 72 20 49 53 50 2e 00 46 69 6e 61 6c 6c 79 2c 20 64 6f 6e 27 74 20 66 6f 72 67	by.your.ISP..Finally,.don't.forg
150a0	65 74 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 60 2e 20 54 68 65 20 75 73 61 67	et.the.:ref:`firewall`..The.usag
150c0	65 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 65 78 63 65 70 74 20 66 6f 72 20 69 6e 73 74 65	e.is.identical,.except.for.inste
150e0	61 64 20 6f 66 20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 6e 61 6d 65 20 4e 41 4d 45 60 2c 20	ad.of.`set.firewall.name.NAME`,.
15100	79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36	you.would.use.`set.firewall.ipv6
15120	2d 6e 61 6d 65 20 4e 41 4d 45 60 2e 00 46 69 6e 61 6c 6c 79 2c 20 6c 65 74 e2 80 99 73 20 63 68	-name.NAME`..Finally,.let...s.ch
15140	65 63 6b 20 74 68 65 20 72 65 61 63 68 61 62 69 6c 69 74 79 20 62 65 74 77 65 65 6e 20 43 45 73	eck.the.reachability.between.CEs
15160	3a 00 46 69 72 65 77 61 6c 6c 00 46 69 72 65 77 61 6c 6c 20 43 6f 6e 66 69 67 75 72 61 74 69 6f	:.Firewall.Firewall.Configuratio
15180	6e 3a 00 46 69 72 73 74 20 61 20 43 41 2c 20 61 20 73 69 67 6e 65 64 20 73 65 72 76 65 72 20 61	n:.First.a.CA,.a.signed.server.a
151a0	6e 64 20 63 6c 69 65 6e 74 20 63 65 66 74 69 66 69 63 61 74 65 20 61 6e 64 20 61 20 44 69 66 66	nd.client.ceftificate.and.a.Diff
151c0	69 65 2d 48 65 6c 6c 6d 61 6e 20 70 61 72 61 6d 65 74 65 72 20 6d 75 73 73 74 20 62 65 20 67 65	ie-Hellman.parameter.musst.be.ge
151e0	6e 65 72 61 74 65 64 20 61 6e 64 20 69 6e 73 74 61 6c 6c 65 64 2e 20 50 6c 65 61 73 65 20 6c 6f	nerated.and.installed..Please.lo
15200	6f 6b 20 3a 72 65 66 3a 60 68 65 72 65 20 3c 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 70 6b 69	ok.:ref:`here.<configuration/pki
15220	2f 69 6e 64 65 78 3a 70 6b 69 3e 60 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f	/index:pki>`.for.more.informatio
15240	6e 2e 00 46 69 72 73 74 20 70 72 65 70 61 72 65 20 6f 75 72 20 56 79 4f 53 20 72 6f 75 74 65 72	n..First.prepare.our.VyOS.router
15260	20 66 6f 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 6f 20 4e 4d 50 2e 20 57 65 20 68 61 76 65 20	.for.connection.to.NMP..We.have.
15280	74 6f 20 73 65 74 20 75 70 20 74 68 65 20 53 4e 4d 50 20 70 72 6f 74 6f 63 6f 6c 20 61 6e 64 20	to.set.up.the.SNMP.protocol.and.
152a0	63 6f 6e 6e 65 63 74 69 76 69 74 79 20 62 65 74 77 65 65 6e 20 74 68 65 20 72 6f 75 74 65 72 20	connectivity.between.the.router.
152c0	61 6e 64 20 4e 4d 50 2e 00 46 69 72 73 74 2c 20 77 65 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65	and.NMP..First,.we.configure.the
152e0	20 60 60 76 79 6f 73 2d 77 61 6e 60 60 20 69 6e 74 65 72 66 61 63 65 20 74 6f 20 67 65 74 20 61	.``vyos-wan``.interface.to.get.a
15300	20 44 48 43 50 20 61 64 64 72 65 73 73 2e 00 46 69 72 73 74 2c 20 77 65 20 63 6f 6e 66 69 67 75	.DHCP.address..First,.we.configu
15320	72 65 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 74 68 65	re.the.transport.network.and.the
15340	20 54 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 2e 00 46 6f 72 20 63 6f 6e 6e 65 63 74 69 6f	.Tunnel.interface..For.connectio
15360	6e 20 62 65 74 77 65 65 6e 20 73 69 74 65 73 2c 20 77 65 20 61 72 65 20 72 75 6e 6e 69 6e 67 20	n.between.sites,.we.are.running.
15380	61 20 57 69 72 65 47 75 61 72 64 20 6c 69 6e 6b 20 74 6f 20 74 77 6f 20 52 45 4d 4f 54 45 20 72	a.WireGuard.link.to.two.REMOTE.r
153a0	6f 75 74 65 72 73 20 61 6e 64 20 75 73 69 6e 67 20 4f 53 50 46 20 6f 76 65 72 20 74 68 6f 73 65	outers.and.using.OSPF.over.those
153c0	20 6c 69 6e 6b 73 20 74 6f 20 64 69 73 74 72 69 62 75 74 65 20 72 6f 75 74 65 73 2e 20 54 68 61	.links.to.distribute.routes..Tha
153e0	74 20 72 65 6d 6f 74 65 20 73 69 74 65 20 69 73 20 65 78 70 65 63 74 65 64 20 74 6f 20 73 65 6e	t.remote.site.is.expected.to.sen
15400	64 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 61 6e 79 74 68 69 6e 67 20 69 6e 20 31 30 2e 32 30	d.traffic.from.anything.in.10.20
15420	31 2e 30 2e 30 2f 31 36 00 46 6f 72 20 68 6f 6d 65 20 6e 65 74 77 6f 72 6b 20 75 73 65 72 73 2c	1.0.0/16.For.home.network.users,
15440	20 6d 6f 73 74 20 6f 66 20 74 69 6d 65 20 49 53 50 20 6f 6e 6c 79 20 70 72 6f 76 69 64 65 73 20	.most.of.time.ISP.only.provides.
15460	2f 36 34 20 70 72 65 66 69 78 2c 20 68 65 6e 63 65 20 74 68 65 72 65 20 69 73 20 6e 6f 20 6e 65	/64.prefix,.hence.there.is.no.ne
15480	65 64 20 74 6f 20 73 65 74 20 53 4c 41 20 49 44 20 61 6e 64 20 70 72 65 66 69 78 20 6c 65 6e 67	ed.to.set.SLA.ID.and.prefix.leng
154a0	74 68 2e 20 53 65 65 20 3a 72 65 66 3a 60 70 70 70 6f 65 2d 69 6e 74 65 72 66 61 63 65 60 20 66	th..See.:ref:`pppoe-interface`.f
154c0	6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 46 6f 72 20 72 65 64 75 6e 64 61	or.more.information..For.redunda
154e0	6e 74 20 2f 20 61 63 74 69 76 65 2d 61 63 74 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e	nt./.active-active.configuration
15500	73 20 73 65 65 20 3a 72 65 66 3a 60 65 78 61 6d 70 6c 65 73 2d 61 7a 75 72 65 2d 76 70 6e 2d 64	s.see.:ref:`examples-azure-vpn-d
15520	75 61 6c 2d 62 67 70 60 00 46 6f 72 20 73 69 6d 70 6c 69 63 69 74 79 2c 20 63 6f 6e 66 69 67 75	ual-bgp`.For.simplicity,.configu
15540	72 61 74 69 6f 6e 20 61 6e 64 20 74 65 73 74 73 20 61 72 65 20 64 6f 6e 65 20 6f 6e 6c 79 20 75	ration.and.tests.are.done.only.u
15560	73 69 6e 67 20 69 70 76 34 2c 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72	sing.ipv4,.and.firewall.configur
15580	61 74 69 6f 6e 20 69 6e 20 64 6f 6e 65 20 6f 6e 6c 79 20 6f 6e 20 6f 6e 65 20 72 6f 75 74 65 72	ation.in.done.only.on.one.router
155a0	2e 00 46 6f 72 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2c 20 72 65 70 6c 61	..For.the.hardware.router,.repla
155c0	63 65 20 60 60 65 74 68 30 60 60 20 77 69 74 68 20 60 60 62 6f 6e 64 30 60 60 2e 20 41 73 20 28	ce.``eth0``.with.``bond0``..As.(
155e0	61 6c 6d 6f 73 74 29 20 65 76 65 72 79 20 63 6f 6d 6d 61 6e 64 20 69 73 20 69 64 65 6e 74 69 63	almost).every.command.is.identic
15600	61 6c 2c 20 74 68 69 73 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 73 70 65 63 69 66 69 65 64 20 75	al,.this.will.not.be.specified.u
15620	6e 6c 65 73 73 20 64 69 66 66 65 72 65 6e 74 20 74 68 69 6e 67 73 20 6e 65 65 64 20 74 6f 20 62	nless.different.things.need.to.b
15640	65 20 70 65 72 66 6f 72 6d 65 64 20 6f 6e 20 64 69 66 66 65 72 65 6e 74 20 68 6f 73 74 73 2e 00	e.performed.on.different.hosts..
15660	46 72 6f 6d 20 44 61 74 61 63 65 6e 74 65 72 20 2d 20 54 68 69 73 20 63 6f 6e 6e 65 63 74 73 20	From.Datacenter.-.This.connects.
15680	69 6e 74 6f 20 70 6f 72 74 20 31 20 6f 6e 20 62 6f 74 68 20 73 77 69 74 63 68 65 73 2c 20 61 6e	into.port.1.on.both.switches,.an
156a0	64 20 69 73 20 74 61 67 67 65 64 20 61 73 20 56 4c 41 4e 20 35 30 00 46 72 6f 6d 20 4d 61 6e 61	d.is.tagged.as.VLAN.50.From.Mana
156c0	67 65 6d 65 6e 74 20 74 6f 20 4c 41 4e 31 2f 4c 41 4e 32 00 46 72 6f 6d 20 4d 61 6e 61 67 65 6d	gement.to.LAN1/LAN2.From.Managem
156e0	65 6e 74 20 74 6f 20 4f 75 74 73 69 64 65 20 28 66 61 69 6c 73 20 61 73 20 69 6e 74 65 6e 64 65	ent.to.Outside.(fails.as.intende
15700	64 29 00 46 75 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 61 6c 6c 20 64	d).Full.configuration.from.all.d
15720	65 76 69 63 65 73 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74	evices.General.information.about
15740	20 4c 33 56 50 4e 73 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66	.L3VPNs.can.be.found.in.the.:ref
15760	3a 60 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 76 72 66 2f 69 6e 64 65 78 3a 4c 33 56 50 4e 20	:`configuration/vrf/index:L3VPN.
15780	56 52 46 73 60 20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69	VRFs`.chapter..General.informati
157a0	6f 6e 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 63 6f 6e	on.can.be.found.in.the.:ref:`con
157c0	66 69 67 75 72 61 74 69 6f 6e 2f 76 72 66 2f 69 6e 64 65 78 3a 4c 33 56 50 4e 20 56 52 46 73 60	figuration/vrf/index:L3VPN.VRFs`
157e0	20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61	.chapter..General.information.ca
15800	6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 72 6f 75 74 69 6e 67 2d	n.be.found.in.the.:ref:`routing-
15820	62 67 70 60 20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f	bgp`.chapter..General.informatio
15840	6e 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 72 6f 75 74	n.can.be.found.in.the.:ref:`rout
15860	69 6e 67 2d 6f 73 70 66 60 20 63 68 61 70 74 65 72 2e 00 48 61 72 64 77 61 72 65 00 48 61 72 64	ing-ospf`.chapter..Hardware.Hard
15880	77 61 72 65 20 52 6f 75 74 65 72 20 2d 20 50 6f 72 74 20 38 20 6f 66 20 65 61 63 68 20 73 77 69	ware.Router.-.Port.8.of.each.swi
158a0	74 63 68 00 48 65 72 65 20 69 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 6e 20 49 50 76	tch.Here.is.an.example.of.an.IPv
158c0	36 20 44 4d 5a 2d 57 41 4e 20 72 75 6c 65 73 65 74 2e 00 48 65 72 65 20 69 73 20 74 68 65 20 72	6.DMZ-WAN.ruleset..Here.is.the.r
158e0	6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20 73 68 6f 77 69 6e 67 20 74 68 65 20 4d 50 4c 53 20 73	outing.tables.showing.the.MPLS.s
15900	65 67 6d 65 6e 74 20 72 6f 75 74 69 6e 67 20 6c 61 62 65 6c 20 6f 70 65 72 61 74 69 6f 6e 73 3a	egment.routing.label.operations:
15920	00 48 65 72 65 20 77 65 20 73 65 74 20 74 68 65 20 70 72 65 66 69 78 20 74 6f 20 60 60 3a 3a 2f	.Here.we.set.the.prefix.to.``::/
15940	36 34 60 60 20 74 6f 20 69 6e 64 69 63 61 74 65 20 61 64 76 65 72 74 69 73 69 6e 67 20 61 6e 79	64``.to.indicate.advertising.any
15960	20 2f 36 34 20 70 72 65 66 69 78 20 74 68 65 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 69 73	./64.prefix.the.LAN.interface.is
15980	20 61 73 73 69 67 6e 65 64 2e 00 48 65 72 65 20 77 65 20 75 73 65 20 74 68 65 20 70 72 65 66 69	.assigned..Here.we.use.the.prefi
159a0	78 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 61 64 64 72 65 73 73 20 6f 66 20 65 74	x.to.configure.the.address.of.et
159c0	68 31 20 28 4c 41 4e 29 20 74 6f 20 66 6f 72 6d 20 60 60 3c 70 72 65 66 69 78 3e 3a 3a 36 34 60	h1.(LAN).to.form.``<prefix>::64`
159e0	60 2c 20 77 68 65 72 65 20 60 60 36 34 60 60 20 69 73 20 68 65 78 61 64 65 63 69 6d 61 6c 20 6f	`,.where.``64``.is.hexadecimal.o
15a00	66 20 61 64 64 72 65 73 73 20 31 30 30 2e 00 48 69 67 68 20 41 76 61 69 6c 61 62 69 6c 69 74 79	f.address.100..High.Availability
15a20	20 57 61 6c 6b 74 68 72 6f 75 67 68 00 48 6f 77 20 64 6f 65 73 20 69 74 20 77 6f 72 6b 3f 00 48	.Walkthrough.How.does.it.work?.H
15a40	75 62 00 49 20 63 68 6f 73 65 20 74 6f 20 72 75 6e 20 4f 53 50 46 20 61 73 20 74 68 65 20 49 47	ub.I.chose.to.run.OSPF.as.the.IG
15a60	50 20 28 49 6e 74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f 74 6f 63 6f 6c 29 2e 20 41	P.(Interior.Gateway.Protocol)..A
15a80	6c 6c 20 72 65 71 75 69 72 65 64 20 42 47 50 20 73 65 73 73 69 6f 6e 73 20 61 72 65 20 65 73 74	ll.required.BGP.sessions.are.est
15aa0	61 62 6c 69 73 68 65 64 20 76 69 61 20 61 20 64 75 6d 6d 79 20 69 6e 74 65 72 66 61 63 65 73 20	ablished.via.a.dummy.interfaces.
15ac0	28 73 69 6d 69 6c 61 72 20 74 6f 20 74 68 65 20 6c 6f 6f 70 62 61 63 6b 2c 20 62 75 74 20 69 6e	(similar.to.the.loopback,.but.in
15ae0	20 4c 69 6e 75 78 20 79 6f 75 20 63 61 6e 20 68 61 76 65 20 6f 6e 6c 79 20 6f 6e 65 20 6c 6f 6f	.Linux.you.can.have.only.one.loo
15b00	70 62 61 63 6b 2c 20 77 68 69 6c 65 20 74 68 65 72 65 20 63 61 6e 20 62 65 20 6d 61 6e 79 20 64	pback,.while.there.can.be.many.d
15b20	75 6d 6d 79 20 69 6e 74 65 72 66 61 63 65 73 29 20 6f 6e 20 74 68 65 20 50 45 20 72 6f 75 74 65	ummy.interfaces).on.the.PE.route
15b40	72 73 2e 20 49 6e 20 63 61 73 65 20 6f 66 20 61 20 6c 69 6e 6b 20 66 61 69 6c 75 72 65 2c 20 74	rs..In.case.of.a.link.failure,.t
15b60	72 61 66 66 69 63 20 69 73 20 64 69 76 65 72 74 65 64 20 69 6e 20 74 68 65 20 6f 74 68 65 72 20	raffic.is.diverted.in.the.other.
15b80	64 69 72 65 63 74 69 6f 6e 20 69 6e 20 74 68 69 73 20 74 72 69 61 6e 67 6c 65 20 73 65 74 75 70	direction.in.this.triangle.setup
15ba0	20 61 6e 64 20 42 47 50 20 73 65 73 73 69 6f 6e 73 20 77 69 6c 6c 20 6e 6f 74 20 67 6f 20 64 6f	.and.BGP.sessions.will.not.go.do
15bc0	77 6e 2e 20 4f 6e 65 20 63 6f 75 6c 64 20 65 76 65 6e 20 65 6e 61 62 6c 65 20 42 46 44 20 28 42	wn..One.could.even.enable.BFD.(B
15be0	69 64 69 72 65 63 74 69 6f 6e 61 6c 20 46 6f 72 77 61 72 64 69 6e 67 20 44 65 74 65 63 74 69 6f	idirectional.Forwarding.Detectio
15c00	6e 29 20 6f 6e 20 74 68 65 20 6c 69 6e 6b 73 20 66 6f 72 20 61 20 66 61 73 74 65 72 20 66 61 69	n).on.the.links.for.a.faster.fai
15c20	6c 6f 76 65 72 20 61 6e 64 20 72 65 73 69 6c 69 65 6e 63 65 20 69 6e 20 74 68 65 20 6e 65 74 77	lover.and.resilience.in.the.netw
15c40	6f 72 6b 2e 00 49 20 63 72 65 61 74 65 2f 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 69 6e 74 65	ork..I.create/configure.the.inte
15c60	72 66 61 63 65 73 20 66 69 72 73 74 2e 20 42 75 69 6c 64 20 6f 75 74 20 74 68 65 20 72 75 6c 65	rfaces.first..Build.out.the.rule
15c80	73 65 74 73 20 66 6f 72 20 65 61 63 68 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f	sets.for.each.zone-pair-directio
15ca0	6e 20 77 68 69 63 68 20 69 6e 63 6c 75 64 65 73 20 61 74 20 6c 65 61 73 74 20 74 68 65 20 74 68	n.which.includes.at.least.the.th
15cc0	72 65 65 20 73 74 61 74 65 20 72 75 6c 65 73 2e 20 54 68 65 6e 20 49 20 73 65 74 75 70 20 74 68	ree.state.rules..Then.I.setup.th
15ce0	65 20 7a 6f 6e 65 2d 70 6f 6c 69 63 69 65 73 2e 00 49 20 6e 61 6d 65 20 72 75 6c 65 20 73 65 74	e.zone-policies..I.name.rule.set
15d00	73 20 74 6f 20 69 6e 64 69 63 61 74 65 20 77 68 69 63 68 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69	s.to.indicate.which.zone-pair-di
15d20	72 65 63 74 69 6f 6e 20 74 68 65 79 20 72 65 70 72 65 73 65 6e 74 2e 20 65 67 2e 20 5a 6f 6e 65	rection.they.represent..eg..Zone
15d40	41 2d 5a 6f 6e 65 42 20 6f 72 20 5a 6f 6e 65 42 2d 5a 6f 6e 65 41 2e 20 4c 41 4e 2d 44 4d 5a 2c	A-ZoneB.or.ZoneB-ZoneA..LAN-DMZ,
15d60	20 44 4d 5a 2d 4c 41 4e 2e 00 49 20 6e 61 6d 65 64 20 74 68 65 20 63 75 73 74 6f 6d 65 72 73 20	.DMZ-LAN..I.named.the.customers.
15d80	62 6c 75 65 2c 20 72 65 64 20 61 6e 64 20 67 72 65 65 6e 20 77 68 69 63 68 20 69 73 20 63 6f 6d	blue,.red.and.green.which.is.com
15da0	6d 6f 6e 20 70 72 61 63 74 69 63 65 20 69 6e 20 56 52 46 20 28 56 69 72 74 75 61 6c 20 52 6f 75	mon.practice.in.VRF.(Virtual.Rou
15dc0	74 69 6e 67 20 61 6e 64 20 46 6f 72 77 61 72 64 69 6e 67 29 20 64 6f 63 75 6d 65 6e 74 61 74 69	ting.and.Forwarding).documentati
15de0	6f 6e 20 73 63 65 6e 61 72 69 6f 73 2e 00 49 20 73 70 75 6e 20 75 70 20 61 20 6e 65 77 20 6c 61	on.scenarios..I.spun.up.a.new.la
15e00	62 20 69 6e 20 45 56 45 2d 4e 47 2c 20 77 68 69 63 68 20 72 65 70 72 65 73 65 6e 74 73 20 74 68	b.in.EVE-NG,.which.represents.th
15e20	69 73 20 61 73 20 74 68 65 20 22 46 6f 6f 20 42 61 72 20 2d 20 53 65 72 76 69 63 65 20 50 72 6f	is.as.the."Foo.Bar.-.Service.Pro
15e40	76 69 64 65 72 20 49 6e 63 2e 22 20 74 68 61 74 20 68 61 73 20 33 20 70 6f 69 6e 74 73 20 6f 66	vider.Inc.".that.has.3.points.of
15e60	20 70 72 65 73 65 6e 63 65 20 28 50 6f 50 29 20 69 6e 20 72 61 6e 64 6f 6d 20 64 61 74 61 63 65	.presence.(PoP).in.random.datace
15e80	6e 74 65 72 73 2f 73 69 74 65 73 20 6e 61 6d 65 64 20 50 45 31 2c 20 50 45 32 2c 20 61 6e 64 20	nters/sites.named.PE1,.PE2,.and.
15ea0	50 45 33 2e 20 45 61 63 68 20 50 6f 50 20 61 67 67 72 65 67 61 74 65 73 20 61 74 20 6c 65 61 73	PE3..Each.PoP.aggregates.at.leas
15ec0	74 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 73 2e 00 49 50 20 53 63 68 65 6d 61 00 49 50 2f 4d 50	t.two.customers..IP.Schema.IP/MP
15ee0	4c 53 20 74 65 63 68 6e 6f 6c 6f 67 79 20 69 73 20 77 69 64 65 6c 79 20 75 73 65 64 20 62 79 20	LS.technology.is.widely.used.by.
15f00	76 61 72 69 6f 75 73 20 73 65 72 76 69 63 65 20 70 72 6f 76 69 64 65 72 73 20 61 6e 64 20 6c 61	various.service.providers.and.la
15f20	72 67 65 20 65 6e 74 65 72 70 72 69 73 65 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 61 63 68 69	rge.enterprises.in.order.to.achi
15f40	65 76 65 20 62 65 74 74 65 72 20 6e 65 74 77 6f 72 6b 20 73 63 61 6c 61 62 69 6c 69 74 79 2c 20	eve.better.network.scalability,.
15f60	6d 61 6e 61 67 65 61 62 69 6c 69 74 79 20 61 6e 64 20 66 6c 65 78 69 62 69 6c 69 74 79 2e 20 49	manageability.and.flexibility..I
15f80	74 20 61 6c 73 6f 20 70 72 6f 76 69 64 65 73 20 74 68 65 20 70 6f 73 73 69 62 69 6c 69 74 79 20	t.also.provides.the.possibility.
15fa0	74 6f 20 64 65 6c 69 76 65 72 20 64 69 66 66 65 72 65 6e 74 20 73 65 72 76 69 63 65 73 20 66 6f	to.deliver.different.services.fo
15fc0	72 20 74 68 65 20 63 75 73 74 6f 6d 65 72 73 20 69 6e 20 61 20 73 65 61 6d 6c 65 73 73 20 6d 61	r.the.customers.in.a.seamless.ma
15fe0	6e 6e 65 72 2e 20 4c 61 79 65 72 20 33 20 56 50 4e 20 28 4c 33 56 50 4e 29 20 69 73 20 61 20 74	nner..Layer.3.VPN.(L3VPN).is.a.t
16000	79 70 65 20 6f 66 20 56 50 4e 20 6d 6f 64 65 20 74 68 61 74 20 69 73 20 62 75 69 6c 74 20 61 6e	ype.of.VPN.mode.that.is.built.an
16020	64 20 64 65 6c 69 76 65 72 65 64 20 74 68 72 6f 75 67 68 20 4f 53 49 20 6c 61 79 65 72 20 33 20	d.delivered.through.OSI.layer.3.
16040	6e 65 74 77 6f 72 6b 69 6e 67 20 74 65 63 68 6e 6f 6c 6f 67 69 65 73 2e 20 4f 66 74 65 6e 20 74	networking.technologies..Often.t
16060	68 65 20 62 6f 72 64 65 72 20 67 61 74 65 77 61 79 20 70 72 6f 74 6f 63 6f 6c 20 28 42 47 50 29	he.border.gateway.protocol.(BGP)
16080	20 69 73 20 75 73 65 64 20 74 6f 20 73 65 6e 64 20 61 6e 64 20 72 65 63 65 69 76 65 20 56 50 4e	.is.used.to.send.and.receive.VPN
160a0	2d 72 65 6c 61 74 65 64 20 64 61 74 61 20 74 68 61 74 20 69 73 20 72 65 73 70 6f 6e 73 69 62 6c	-related.data.that.is.responsibl
160c0	65 20 66 6f 72 20 74 68 65 20 63 6f 6e 74 72 6f 6c 20 70 6c 61 6e 65 2e 20 4c 33 56 50 4e 20 75	e.for.the.control.plane..L3VPN.u
160e0	74 69 6c 69 7a 65 73 20 76 69 72 74 75 61 6c 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 66 6f 72 77	tilizes.virtual.routing.and.forw
16100	61 72 64 69 6e 67 20 28 56 52 46 29 20 74 65 63 68 6e 69 71 75 65 73 20 74 6f 20 72 65 63 65 69	arding.(VRF).techniques.to.recei
16120	76 65 20 61 6e 64 20 64 65 6c 69 76 65 72 20 75 73 65 72 20 64 61 74 61 20 61 73 20 77 65 6c 6c	ve.and.deliver.user.data.as.well
16140	20 61 73 20 73 65 70 61 72 61 74 65 20 64 61 74 61 20 70 6c 61 6e 65 73 20 6f 66 20 74 68 65 20	.as.separate.data.planes.of.the.
16160	65 6e 64 2d 75 73 65 72 73 2e 20 49 74 20 69 73 20 62 75 69 6c 74 20 75 73 69 6e 67 20 61 20 63	end-users..It.is.built.using.a.c
16180	6f 6d 62 69 6e 61 74 69 6f 6e 20 6f 66 20 49 50 2d 20 61 6e 64 20 4d 50 4c 53 2d 62 61 73 65 64	ombination.of.IP-.and.MPLS-based
161a0	20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 47 65 6e 65 72 61 6c 6c 79 2c 20 4c 33 56 50 4e 73 20	.information..Generally,.L3VPNs.
161c0	61 72 65 20 75 73 65 64 20 74 6f 20 73 65 6e 64 20 64 61 74 61 20 6f 6e 20 62 61 63 6b 2d 65 6e	are.used.to.send.data.on.back-en
161e0	64 20 56 50 4e 20 69 6e 66 72 61 73 74 72 75 63 74 75 72 65 73 2c 20 73 75 63 68 20 61 73 20 66	d.VPN.infrastructures,.such.as.f
16200	6f 72 20 56 50 4e 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 62 65 74 77 65 65 6e 20 64 61 74 61 20	or.VPN.connections.between.data.
16220	63 65 6e 74 72 65 73 2c 20 48 51 73 20 61 6e 64 20 62 72 61 6e 63 68 65 73 2e 00 49 50 53 65 63	centres,.HQs.and.branches..IPSec
16240	20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 50 76 34 20 4e 65 74 77 6f 72 6b 00 49 50 76	.configuration:.IPv4.Network.IPv
16260	36 20 4e 65 74 77 6f 72 6b 00 49 50 76 36 20 54 75 6e 6e 65 6c 00 49 53 49 53 2d 53 52 20 65 78	6.Network.IPv6.Tunnel.ISIS-SR.ex
16280	61 6d 70 6c 65 20 6e 65 74 77 6f 72 6b 00 49 53 49 53 2d 53 52 20 6e 65 74 77 6f 72 6b 00 49 53	ample.network.ISIS-SR.network.IS
162a0	50 00 49 66 20 74 68 65 20 63 6c 69 65 6e 74 20 69 73 20 63 6f 6e 6e 65 63 74 20 73 75 63 63 65	P.If.the.client.is.connect.succe
162c0	73 73 66 75 6c 6c 79 20 79 6f 75 20 63 61 6e 20 63 68 65 63 6b 20 74 68 65 20 6f 75 74 70 75 74	ssfully.you.can.check.the.output
162e0	20 77 69 74 68 00 49 66 20 77 65 20 6e 65 65 64 20 74 6f 20 72 65 74 72 69 65 76 65 20 69 6e 66	.with.If.we.need.to.retrieve.inf
16300	6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 61 20 73 70 65 63 69 66 69 63 20 68 6f 73 74 2f 6e	ormation.about.a.specific.host/n
16320	65 74 77 6f 72 6b 20 69 6e 73 69 64 65 20 74 68 65 20 45 56 50 4e 20 6e 65 74 77 6f 72 6b 20 77	etwork.inside.the.EVPN.network.w
16340	65 20 6e 65 65 64 20 74 6f 20 72 75 6e 00 49 66 20 79 6f 75 20 61 72 65 20 66 6f 6c 6c 6f 77 69	e.need.to.run.If.you.are.followi
16360	6e 67 20 74 68 72 6f 75 67 68 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 2c 20 69 74 20 69 73 20	ng.through.this.document,.it.is.
16380	73 74 72 6f 6e 67 6c 79 20 73 75 67 67 65 73 74 65 64 20 79 6f 75 20 63 6f 6d 70 6c 65 74 65 20	strongly.suggested.you.complete.
163a0	74 68 65 20 65 6e 74 69 72 65 20 64 6f 63 75 6d 65 6e 74 2c 20 4f 4e 4c 59 20 64 6f 69 6e 67 20	the.entire.document,.ONLY.doing.
163c0	74 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 31 20 73 74 65 70 73 2c 20 61 6e 64 20 74	the.virtual.router1.steps,.and.t
163e0	68 65 6e 20 63 6f 6d 65 20 62 61 63 6b 20 61 6e 64 20 77 61 6c 6b 20 74 68 72 6f 75 67 68 20 69	hen.come.back.and.walk.through.i
16400	74 20 41 47 41 49 4e 20 6f 6e 20 74 68 65 20 62 61 63 6b 75 70 20 68 61 72 64 77 61 72 65 20 72	t.AGAIN.on.the.backup.hardware.r
16420	6f 75 74 65 72 2e 00 49 66 20 79 6f 75 20 61 72 65 20 75 73 69 6e 67 20 61 20 49 50 76 36 20 74	outer..If.you.are.using.a.IPv6.t
16440	75 6e 6e 65 6c 20 66 72 6f 6d 20 48 45 2e 6e 65 74 20 6f 72 20 73 6f 6d 65 6f 6e 65 20 65 6c 73	unnel.from.HE.net.or.someone.els
16460	65 2c 20 74 68 65 20 62 61 73 69 73 20 69 73 20 74 68 65 20 73 61 6d 65 20 65 78 63 65 70 74 20	e,.the.basis.is.the.same.except.
16480	79 6f 75 20 68 61 76 65 20 74 77 6f 20 57 41 4e 20 69 6e 74 65 72 66 61 63 65 73 2e 20 4f 6e 65	you.have.two.WAN.interfaces..One
164a0	20 66 6f 72 20 76 34 20 61 6e 64 20 6f 6e 65 20 66 6f 72 20 76 36 2e 00 49 66 20 79 6f 75 20 75	.for.v4.and.one.for.v6..If.you.u
164c0	73 65 20 61 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 69 74 73 65 6c 66 2c 20 79 6f	se.a.routing.protocol.itself,.yo
164e0	75 20 73 6f 6c 76 65 20 74 77 6f 20 70 72 6f 62 6c 65 6d 73 20 61 74 20 6f 6e 63 65 2e 20 54 68	u.solve.two.problems.at.once..Th
16500	69 73 20 69 73 20 6f 6e 6c 79 20 61 20 62 61 73 69 63 20 65 78 61 6d 70 6c 65 2c 20 61 6e 64 20	is.is.only.a.basic.example,.and.
16520	69 73 20 70 72 6f 76 69 64 65 64 20 61 73 20 61 20 73 74 61 72 74 69 6e 67 20 70 6f 69 6e 74 2e	is.provided.as.a.starting.point.
16540	00 49 66 20 79 6f 75 72 20 63 6f 6d 70 75 74 65 72 20 69 73 20 6f 6e 20 74 68 65 20 4c 41 4e 20	.If.your.computer.is.on.the.LAN.
16560	61 6e 64 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 53 53 48 20 69 6e 74 6f 20 79 6f 75 72 20 56 79	and.you.need.to.SSH.into.your.Vy
16580	4f 53 20 62 6f 78 2c 20 79 6f 75 20 77 6f 75 6c 64 20 6e 65 65 64 20 61 20 72 75 6c 65 20 74 6f	OS.box,.you.would.need.a.rule.to
165a0	20 61 6c 6c 6f 77 20 69 74 20 69 6e 20 74 68 65 20 4c 41 4e 2d 4c 6f 63 61 6c 20 72 75 6c 65 73	.allow.it.in.the.LAN-Local.rules
165c0	65 74 2e 20 49 66 20 79 6f 75 20 77 61 6e 74 20 74 6f 20 61 63 63 65 73 73 20 61 20 77 65 62 70	et..If.you.want.to.access.a.webp
165e0	61 67 65 20 66 72 6f 6d 20 79 6f 75 72 20 56 79 4f 53 20 62 6f 78 2c 20 79 6f 75 20 6e 65 65 64	age.from.your.VyOS.box,.you.need
16600	20 61 20 72 75 6c 65 20 74 6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e 20 74 68 65 20 4c 6f 63 61 6c	.a.rule.to.allow.it.in.the.Local
16620	2d 4c 41 4e 20 72 75 6c 65 73 65 74 2e 00 49 6d 61 67 65 20 6e 61 6d 65 3a 20 76 79 6f 73 2d 31	-LAN.ruleset..Image.name:.vyos-1
16640	2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 2d 61 6d 64 36 34 2e 69 73	.4-rolling-202110310317-amd64.is
16660	6f 00 49 6e 20 3a 76 79 74 61 73 6b 3a 60 54 32 31 39 39 60 20 74 68 65 20 73 79 6e 74 61 78 20	o.In.:vytask:`T2199`.the.syntax.
16680	6f 66 20 74 68 65 20 7a 6f 6e 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 61 73 20 63 68	of.the.zone.configuration.was.ch
166a0	61 6e 67 65 64 2e 20 54 68 65 20 7a 6f 6e 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6d 6f	anged..The.zone.configuration.mo
166c0	76 65 64 20 66 72 6f 6d 20 60 60 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 7a 6f 6e 65 20 3c 6e 61 6d	ved.from.``zone-policy.zone.<nam
166e0	65 3e 60 60 20 74 6f 20 60 60 66 69 72 65 77 61 6c 6c 20 7a 6f 6e 65 20 3c 6e 61 6d 65 3e 60 60	e>``.to.``firewall.zone.<name>``
16700	2e 00 49 6e 20 56 79 4f 53 20 79 6f 75 20 6d 75 73 74 20 68 61 76 65 20 74 68 65 20 69 6e 74 65	..In.VyOS.you.must.have.the.inte
16720	72 66 61 63 65 73 20 63 72 65 61 74 65 64 20 62 65 66 6f 72 65 20 79 6f 75 20 63 61 6e 20 61 70	rfaces.created.before.you.can.ap
16740	70 6c 79 20 69 74 20 74 6f 20 74 68 65 20 7a 6f 6e 65 20 61 6e 64 20 74 68 65 20 72 75 6c 65 73	ply.it.to.the.zone.and.the.rules
16760	65 74 73 20 6d 75 73 74 20 62 65 20 63 72 65 61 74 65 64 20 70 72 69 6f 72 20 74 6f 20 61 70 70	ets.must.be.created.prior.to.app
16780	6c 79 69 6e 67 20 69 74 20 74 6f 20 61 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 2e 00 49 6e 20 56 79	lying.it.to.a.zone-policy..In.Vy
167a0	4f 53 2c 20 79 6f 75 20 68 61 76 65 20 74 6f 20 68 61 76 65 20 75 6e 69 71 75 65 20 52 75 6c 65	OS,.you.have.to.have.unique.Rule
167c0	73 65 74 20 6e 61 6d 65 73 2e 20 49 6e 20 74 68 65 20 65 76 65 6e 74 20 6f 66 20 6f 76 65 72 6c	set.names..In.the.event.of.overl
167e0	61 70 2c 20 49 20 61 64 64 20 61 20 22 2d 36 22 20 74 6f 20 74 68 65 20 65 6e 64 20 6f 66 20 76	ap,.I.add.a."-6".to.the.end.of.v
16800	36 20 72 75 6c 65 73 65 74 73 2e 20 65 67 2e 20 4c 41 4e 2d 44 4d 5a 2c 20 4c 41 4e 2d 44 4d 5a	6.rulesets..eg..LAN-DMZ,.LAN-DMZ
16820	2d 36 2e 20 54 68 69 73 20 61 6c 6c 6f 77 73 20 66 6f 72 20 65 61 63 68 20 61 75 74 6f 2d 63 6f	-6..This.allows.for.each.auto-co
16840	6d 70 6c 65 74 69 6f 6e 20 61 6e 64 20 75 6e 69 71 75 65 6e 65 73 73 2e 00 49 6e 20 72 75 6c 65	mpletion.and.uniqueness..In.rule
16860	73 2c 20 69 74 20 69 73 20 67 6f 6f 64 20 74 6f 20 6b 65 65 70 20 74 68 65 6d 20 6e 61 6d 65 64	s,.it.is.good.to.keep.them.named
16880	20 63 6f 6e 73 69 73 74 65 6e 74 6c 79 2e 20 41 73 20 74 68 65 20 6e 75 6d 62 65 72 20 6f 66 20	.consistently..As.the.number.of.
168a0	72 75 6c 65 73 20 79 6f 75 20 68 61 76 65 20 67 72 6f 77 73 2c 20 74 68 65 20 6d 6f 72 65 20 63	rules.you.have.grows,.the.more.c
168c0	6f 6e 73 69 73 74 65 6e 63 79 20 79 6f 75 20 68 61 76 65 2c 20 74 68 65 20 65 61 73 69 65 72 20	onsistency.you.have,.the.easier.
168e0	79 6f 75 72 20 6c 69 66 65 20 77 69 6c 6c 20 62 65 2e 00 49 6e 20 74 68 65 20 61 62 6f 76 65 20	your.life.will.be..In.the.above.
16900	65 78 61 6d 70 6c 65 73 2c 20 31 2c 32 2c 66 66 66 66 20 61 72 65 20 61 6c 6c 20 63 68 6f 73 65	examples,.1,2,ffff.are.all.chose
16920	6e 20 62 79 20 79 6f 75 2e 20 59 6f 75 20 63 61 6e 20 75 73 65 20 31 2d 66 66 66 66 20 28 31 2d	n.by.you..You.can.use.1-ffff.(1-
16940	36 35 35 33 35 29 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 6f 6e 20 74 68 65 20 72 6f 75 74 65	65535)..In.the.end,.on.the.route
16960	72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 77 65 20 77 69 6c 6c 20 73 65 74 20 6f 75 74 67 6f 69	r....VyOS2....we.will.set.outgoi
16980	6e 67 20 62 61 6e 64 77 69 64 74 68 20 6c 69 6d 69 74 73 20 62 65 74 77 65 65 6e 20 74 68 65 20	ng.bandwidth.limits.between.the.
169a0	e2 80 9c 56 79 4f 53 33 e2 80 9d 20 61 6e 64 20 e2 80 9c 56 79 4f 53 31 e2 80 9d 20 72 6f 75 74	...VyOS3....and....VyOS1....rout
169c0	65 72 73 2e 20 4c 65 74 27 73 20 73 65 74 20 61 20 6c 69 6d 69 74 20 66 6f 72 20 49 50 20 31 30	ers..Let's.set.a.limit.for.IP.10
169e0	2e 31 2e 31 2e 31 30 30 20 3d 20 35 20 4d 62 70 73 28 54 78 29 2e 20 57 65 20 77 69 6c 6c 20 63	.1.1.100.=.5.Mbps(Tx)..We.will.c
16a00	68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 20 6f 66 20 74 68 65 20 77 6f 72 6b 20 77 69 74 68	heck.the.result.of.the.work.with
16a20	20 74 68 65 20 68 65 6c 70 20 6f 66 20 74 68 65 20 e2 80 9c 69 50 65 72 66 e2 80 9d 20 75 74 69	.the.help.of.the....iPerf....uti
16a40	6c 69 74 79 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 77 65 20 77 69 6c 6c 20 63 6f 6e 66 69 67	lity..In.the.end,.we.will.config
16a60	75 72 65 20 74 68 65 20 74 72 61 66 66 69 63 20 73 68 61 70 65 72 20 75 73 69 6e 67 20 51 6f 53	ure.the.traffic.shaper.using.QoS
16a80	20 6d 65 63 68 61 6e 69 73 6d 73 20 6f 6e 20 74 68 65 20 e2 80 9c 56 59 4f 53 32 e2 80 9d 20 72	.mechanisms.on.the....VYOS2....r
16aa0	6f 75 74 65 72 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 79 6f 75 20 77 69 6c 6c 20 65 6e 64 20	outer..In.the.end,.you.will.end.
16ac0	75 70 20 77 69 74 68 20 73 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 20 74 68 69 73 20 63 6f 6e 66	up.with.something.like.this.conf
16ae0	69 67 2e 20 49 20 74 6f 6f 6b 20 6f 75 74 20 65 76 65 72 79 74 68 69 6e 67 20 62 75 74 20 74 68	ig..I.took.out.everything.but.th
16b00	65 20 46 69 72 65 77 61 6c 6c 2c 20 49 6e 74 65 72 66 61 63 65 73 2c 20 61 6e 64 20 7a 6f 6e 65	e.Firewall,.Interfaces,.and.zone
16b20	2d 70 6f 6c 69 63 79 20 73 65 63 74 69 6f 6e 73 2e 20 49 74 20 69 73 20 6c 6f 6e 67 20 65 6e 6f	-policy.sections..It.is.long.eno
16b40	75 67 68 20 61 73 20 69 73 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 79 6f 75 27 6c 6c 20 67 65	ugh.as.is..In.the.end,.you'll.ge
16b60	74 20 61 20 70 6f 77 65 72 66 75 6c 20 69 6e 73 74 72 75 6d 65 6e 74 20 66 6f 72 20 6d 6f 6e 69	t.a.powerful.instrument.for.moni
16b80	74 6f 72 69 6e 67 20 74 68 65 20 56 79 4f 53 20 73 79 73 74 65 6d 73 2e 00 49 6e 20 74 68 69 73	toring.the.VyOS.systems..In.this
16ba0	20 63 61 73 65 2c 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 20 68 61 73 20 61	.case,.the.hardware.router.has.a
16bc0	20 64 69 66 66 65 72 65 6e 74 20 49 50 2c 20 73 6f 20 69 74 20 77 6f 75 6c 64 20 62 65 00 49 6e	.different.IP,.so.it.would.be.In
16be0	20 74 68 69 73 20 63 61 73 65 2c 20 77 65 20 61 72 65 20 73 65 74 74 69 6e 67 20 74 68 65 20 76	.this.case,.we.are.setting.the.v
16c00	36 20 72 75 6c 65 73 65 74 20 74 68 61 74 20 72 65 70 72 65 73 65 6e 74 73 20 74 72 61 66 66 69	6.ruleset.that.represents.traffi
16c20	63 20 73 6f 75 72 63 65 64 20 66 72 6f 6d 20 74 68 65 20 4c 41 4e 2c 20 64 65 73 74 69 6e 65 64	c.sourced.from.the.LAN,.destined
16c40	20 66 6f 72 20 74 68 65 20 44 4d 5a 2e 20 42 65 63 61 75 73 65 20 74 68 65 20 7a 6f 6e 65 2d 70	.for.the.DMZ..Because.the.zone-p
16c60	6f 6c 69 63 79 20 66 69 72 65 77 61 6c 6c 20 73 79 6e 74 61 78 20 69 73 20 61 20 6c 69 74 74 6c	olicy.firewall.syntax.is.a.littl
16c80	65 20 61 77 6b 77 61 72 64 2c 20 49 20 6b 65 65 70 20 69 74 20 73 74 72 61 69 67 68 74 20 62 79	e.awkward,.I.keep.it.straight.by
16ca0	20 74 68 69 6e 6b 69 6e 67 20 6f 66 20 69 74 20 62 61 63 6b 77 61 72 64 73 2e 00 49 6e 20 74 68	.thinking.of.it.backwards..In.th
16cc0	69 73 20 63 61 73 65 2c 20 77 65 27 6c 6c 20 74 72 79 20 74 6f 20 6d 61 6b 65 20 61 20 73 69 6d	is.case,.we'll.try.to.make.a.sim
16ce0	70 6c 65 20 6c 61 62 20 75 73 69 6e 67 20 51 6f 53 20 61 6e 64 20 74 68 65 20 67 65 6e 65 72 61	ple.lab.using.QoS.and.the.genera
16d00	6c 20 61 62 69 6c 69 74 79 20 6f 66 20 74 68 65 20 56 79 4f 53 20 73 79 73 74 65 6d 2e 20 57 65	l.ability.of.the.VyOS.system..We
16d20	20 72 65 63 6f 6d 6d 65 6e 64 20 79 6f 75 20 74 6f 20 67 6f 20 74 68 72 6f 75 67 68 20 74 68 65	.recommend.you.to.go.through.the
16d40	20 6d 61 69 6e 20 61 72 74 69 63 6c 65 20 61 62 6f 75 74 20 60 51 6f 53 20 3c 68 74 74 70 73 3a	.main.article.about.`QoS.<https:
16d60	2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f 6e 66 69 67 75	//docs.vyos.io/en/latest/configu
16d80	72 61 74 69 6f 6e 2f 74 72 61 66 66 69 63 70 6f 6c 69 63 79 2f 69 6e 64 65 78 2e 68 74 6d 6c 3e	ration/trafficpolicy/index.html>
16da0	60 5f 20 66 69 72 73 74 2e 00 49 6e 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 2c 20 77 65 20 68	`_.first..In.this.document,.we.h
16dc0	61 76 65 20 62 65 65 6e 20 61 6c 6c 6f 63 61 74 65 64 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32	ave.been.allocated.203.0.113.0/2
16de0	34 20 62 79 20 6f 75 72 20 75 70 73 74 72 65 61 6d 20 70 72 6f 76 69 64 65 72 2c 20 77 68 69 63	4.by.our.upstream.provider,.whic
16e00	68 20 77 65 20 61 72 65 20 70 75 62 6c 69 73 68 69 6e 67 20 6f 6e 20 56 4c 41 4e 31 30 30 2e 00	h.we.are.publishing.on.VLAN100..
16e20	49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 4f 70 65 6e 56 50 4e 20 77 69 6c 6c 20 62 65 20	In.this.example.OpenVPN.will.be.
16e40	73 65 74 75 70 20 77 69 74 68 20 61 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65 20	setup.with.a.client.certificate.
16e60	61 6e 64 20 75 73 65 72 6e 61 6d 65 20 2f 20 70 61 73 73 77 6f 72 64 20 61 75 74 68 65 6e 74 69	and.username./.password.authenti
16e80	63 61 74 69 6f 6e 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 74 77 6f 20 4c 41 4e 20	cation..In.this.example.two.LAN.
16ea0	69 6e 74 65 72 66 61 63 65 73 20 65 78 69 73 74 20 69 6e 20 64 69 66 66 65 72 65 6e 74 20 73 75	interfaces.exist.in.different.su
16ec0	62 6e 65 74 73 20 69 6e 73 74 65 61 64 20 6f 66 20 6f 6e 65 20 6c 69 6b 65 20 69 6e 20 74 68 65	bnets.instead.of.one.like.in.the
16ee0	20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 73 3a 00 49 6e 20 74 68 69 73 20 65 78 61 6d	.previous.examples:.In.this.exam
16f00	70 6c 65 20 77 65 20 68 61 76 65 20 34 20 7a 6f 6e 65 73 2e 20 4c 41 4e 2c 20 57 41 4e 2c 20 44	ple.we.have.4.zones..LAN,.WAN,.D
16f20	4d 5a 2c 20 4c 6f 63 61 6c 2e 20 54 68 65 20 6c 6f 63 61 6c 20 7a 6f 6e 65 20 69 73 20 74 68 65	MZ,.Local..The.local.zone.is.the
16f40	20 66 69 72 65 77 61 6c 6c 20 69 74 73 65 6c 66 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c	.firewall.itself..In.this.exampl
16f60	65 2c 20 65 74 68 30 20 69 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 69 6e 74 65 72 66 61 63 65	e,.eth0.is.the.primary.interface
16f80	20 61 6e 64 20 65 74 68 31 20 69 73 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 69 6e 74 65 72	.and.eth1.is.the.secondary.inter
16fa0	66 61 63 65 2e 20 54 6f 20 70 72 6f 76 69 64 65 20 73 69 6d 70 6c 65 20 66 61 69 6c 6f 76 65 72	face..To.provide.simple.failover
16fc0	20 66 75 6e 63 74 69 6f 6e 61 6c 69 74 79 2e 20 49 66 20 65 74 68 30 20 66 61 69 6c 73 2c 20 65	.functionality..If.eth0.fails,.e
16fe0	74 68 31 20 74 61 6b 65 73 20 6f 76 65 72 2e 00 49 6e 62 6f 75 6e 64 20 57 41 4e 20 63 6f 6e 6e	th1.takes.over..Inbound.WAN.conn
17000	65 63 74 20 74 6f 20 44 4d 5a 20 68 6f 73 74 2e 00 49 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f	ect.to.DMZ.host..Information.abo
17020	75 74 20 45 74 68 65 72 6e 65 74 20 56 69 72 74 75 61 6c 20 50 72 69 76 61 74 65 20 4e 65 74 77	ut.Ethernet.Virtual.Private.Netw
17040	6f 72 6b 73 00 49 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 70 72 65 66 69 78 2d 73 69	orks.Information.about.prefix-si
17060	64 20 61 6e 64 20 6c 61 62 65 6c 2d 6f 70 65 72 61 74 69 6f 6e 20 66 72 6f 6d 20 56 79 4f 53 00	d.and.label-operation.from.VyOS.
17080	49 6e 74 65 72 2d 56 52 46 20 52 6f 75 74 69 6e 67 20 6f 76 65 72 20 56 52 46 20 4c 69 74 65 00	Inter-VRF.Routing.over.VRF.Lite.
170a0	49 6e 74 65 72 2d 56 52 46 20 72 6f 75 74 69 6e 67 20 69 73 20 61 20 77 65 6c 6c 2d 6b 6e 6f 77	Inter-VRF.routing.is.a.well-know
170c0	6e 20 73 6f 6c 75 74 69 6f 6e 20 74 6f 20 61 64 64 72 65 73 73 20 63 6f 6d 70 6c 65 78 20 72 6f	n.solution.to.address.complex.ro
170e0	75 74 69 6e 67 20 73 63 65 6e 61 72 69 6f 73 20 74 68 61 74 20 65 6e 61 62 6c 65 20 2d 69 6e 20	uting.scenarios.that.enable.-in.
17100	61 20 64 79 6e 61 6d 69 63 20 77 61 79 2d 20 74 6f 20 6c 65 61 6b 20 72 6f 75 74 65 73 20 62 65	a.dynamic.way-.to.leak.routes.be
17120	74 77 65 65 6e 20 56 52 46 73 2e 20 49 73 20 72 65 63 6f 6d 6d 65 6e 64 65 64 20 74 6f 20 74 61	tween.VRFs..Is.recommended.to.ta
17140	6b 65 20 73 70 65 63 69 61 6c 20 63 6f 6e 73 69 64 65 72 61 74 69 6f 6e 20 77 68 69 6c 65 20 64	ke.special.consideration.while.d
17160	65 73 69 67 6e 69 6e 67 20 72 6f 75 74 65 2d 74 61 72 67 65 74 73 20 61 6e 64 20 69 74 73 20 61	esigning.route-targets.and.its.a
17180	70 70 6c 69 63 61 74 69 6f 6e 20 61 73 20 69 74 20 63 61 6e 20 6d 69 6e 69 6d 69 7a 65 20 66 75	pplication.as.it.can.minimize.fu
171a0	74 75 72 65 20 69 6e 74 65 72 76 65 6e 74 69 6f 6e 73 20 77 68 69 6c 65 20 63 72 65 61 74 69 6e	ture.interventions.while.creatin
171c0	67 20 61 20 6e 65 77 20 56 52 46 20 77 69 6c 6c 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 20 74	g.a.new.VRF.will.automatically.t
171e0	61 6b 65 20 74 68 65 20 64 65 73 69 72 65 64 20 65 66 66 65 63 74 20 69 6e 20 69 74 73 20 70 72	ake.the.desired.effect.in.its.pr
17200	6f 70 61 67 61 74 69 6f 6e 2e 00 49 6e 74 65 72 66 61 63 65 20 61 6e 64 20 72 6f 75 74 69 6e 67	opagation..Interface.and.routing
17220	20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 6e 74 65 72 6e 61 6c 20 4e 65 74 77 6f 72 6b	.configuration:.Internal.Network
17240	00 49 6e 74 65 72 6e 65 74 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30	.Internet.Internet.-.192.168.200
17260	2e 31 30 30 20 2d 20 54 43 50 2f 32 35 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38	.100.-.TCP/25.Internet.-.192.168
17280	2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 34 34 33 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39	.200.100.-.TCP/443.Internet.-.19
172a0	32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 35 33 00 49 6e 74 65 72 6e 65 74 20	2.168.200.100.-.TCP/53.Internet.
172c0	2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 38 30 00 49 74 20 69 73	-.192.168.200.100.-.TCP/80.It.is
172e0	20 61 73 73 75 6d 65 64 20 74 68 61 74 20 74 68 65 20 72 6f 75 74 65 72 73 20 70 72 6f 76 69 64	.assumed.that.the.routers.provid
17300	65 64 20 62 79 20 75 70 73 74 72 65 61 6d 20 61 72 65 20 63 61 70 61 62 6c 65 20 6f 66 20 61 63	ed.by.upstream.are.capable.of.ac
17320	74 69 6e 67 20 61 73 20 61 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 2c 20 61 64 64 20 74 68	ting.as.a.default.router,.add.th
17340	61 74 20 61 73 20 61 20 73 74 61 74 69 63 20 72 6f 75 74 65 2e 00 49 74 20 69 73 20 67 6f 6f 64	at.as.a.static.route..It.is.good
17360	20 70 72 61 63 74 69 63 65 20 74 6f 20 6c 6f 67 20 62 6f 74 68 20 61 63 63 65 70 74 65 64 20 61	.practice.to.log.both.accepted.a
17380	6e 64 20 64 65 6e 69 65 64 20 74 72 61 66 66 69 63 2e 20 49 74 20 63 61 6e 20 73 61 76 65 20 79	nd.denied.traffic..It.can.save.y
173a0	6f 75 20 73 69 67 6e 69 66 69 63 61 6e 74 20 68 65 61 64 61 63 68 65 73 20 77 68 65 6e 20 74 72	ou.significant.headaches.when.tr
173c0	79 69 6e 67 20 74 6f 20 74 72 6f 75 62 6c 65 73 68 6f 6f 74 20 61 20 63 6f 6e 6e 65 63 74 69 76	ying.to.troubleshoot.a.connectiv
173e0	69 74 79 20 69 73 73 75 65 2e 00 49 74 20 77 69 6c 6c 20 6c 6f 6f 6b 20 73 6f 6d 65 74 68 69 6e	ity.issue..It.will.look.somethin
17400	67 20 6c 69 6b 65 20 74 68 69 73 3a 00 49 74 27 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 6e	g.like.this:.It's.important.to.n
17420	6f 74 65 20 74 68 61 74 20 61 6c 6c 20 79 6f 75 72 20 65 78 69 73 74 69 6e 67 20 63 6f 6e 66 69	ote.that.all.your.existing.confi
17440	67 75 72 61 74 69 6f 6e 73 20 77 69 6c 6c 20 62 65 20 6d 69 67 72 61 74 65 64 20 61 75 74 6f 6d	gurations.will.be.migrated.autom
17460	61 74 69 63 61 6c 6c 79 20 6f 6e 20 69 6d 61 67 65 20 75 70 67 72 61 64 65 2e 20 4e 6f 74 68 69	atically.on.image.upgrade..Nothi
17480	6e 67 20 74 6f 20 64 6f 20 6f 6e 20 79 6f 75 72 20 73 69 64 65 2e 00 4b 65 65 70 20 6e 65 74 77	ng.to.do.on.your.side..Keep.netw
174a0	6f 72 6b 73 20 69 73 6f 6c 61 74 65 64 20 69 73 20 2d 69 6e 20 67 65 6e 65 72 61 6c 2d 20 61 20	orks.isolated.is.-in.general-.a.
174c0	67 6f 6f 64 20 70 72 69 6e 63 69 70 6c 65 2c 20 62 75 74 20 74 68 65 72 65 20 61 72 65 20 63 61	good.principle,.but.there.are.ca
174e0	73 65 73 20 77 68 65 72 65 20 79 6f 75 20 6d 69 67 68 74 20 6e 65 65 64 20 74 68 61 74 20 73 6f	ses.where.you.might.need.that.so
17500	6d 65 20 6e 65 74 77 6f 72 6b 20 63 61 6e 20 61 63 63 65 73 73 20 6f 74 68 65 72 20 69 6e 20 61	me.network.can.access.other.in.a
17520	20 64 69 66 66 65 72 65 6e 74 20 56 52 46 2e 00 4c 33 56 50 4e 20 45 56 50 4e 20 77 69 74 68 20	.different.VRF..L3VPN.EVPN.with.
17540	56 79 4f 53 00 4c 33 56 50 4e 20 45 56 50 4e 20 77 69 74 68 20 56 79 4f 53 20 74 6f 70 6f 6c 6f	VyOS.L3VPN.EVPN.with.VyOS.topolo
17560	67 79 20 69 6d 61 67 65 00 4c 33 56 50 4e 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 70 61 72	gy.image.L3VPN.configuration.par
17580	61 6d 65 74 65 72 73 20 74 61 62 6c 65 3a 00 4c 33 56 50 4e 20 66 6f 72 20 48 75 62 2d 61 6e 64	ameters.table:.L3VPN.for.Hub-and
175a0	2d 53 70 6f 6b 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 77 69 74 68 20 56 79 4f 53 00 4c 41	-Spoke.connectivity.with.VyOS.LA
175c0	4e 20 31 00 4c 41 4e 20 32 00 4c 41 4e 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 4c 41 4e 20	N.1.LAN.2.LAN.Configuration.LAN.
175e0	61 6e 64 20 44 4d 5a 20 68 6f 73 74 73 20 68 61 76 65 20 62 61 73 69 63 20 6f 75 74 62 6f 75 6e	and.DMZ.hosts.have.basic.outboun
17600	64 20 61 63 63 65 73 73 3a 20 57 65 62 2c 20 46 54 50 2c 20 53 53 48 2e 00 4c 41 4e 20 63 61 6e	d.access:.Web,.FTP,.SSH..LAN.can
17620	20 61 63 63 65 73 73 20 44 4d 5a 20 72 65 73 6f 75 72 63 65 73 2e 00 4c 41 4e 2c 20 57 41 4e 2c	.access.DMZ.resources..LAN,.WAN,
17640	20 44 4d 5a 2c 20 6c 6f 63 61 6c 20 61 6e 64 20 54 55 4e 20 28 74 75 6e 6e 65 6c 29 00 4c 41 4e	.DMZ,.local.and.TUN.(tunnel).LAN
17660	31 00 4c 41 4e 31 20 74 6f 20 4c 41 4e 32 00 4c 41 4e 31 20 74 6f 20 4f 75 74 73 69 64 65 00 4c	1.LAN1.to.LAN2.LAN1.to.Outside.L
17680	41 4e 32 00 4c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 49 50 76 34 20 72 6f 75 74 69 6e 67 20 61	AN2.Let...s.check.IPv4.routing.a
176a0	6e 64 20 4d 50 4c 53 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 6f 6e 20 70 72 6f 76 69 64 65 72 20	nd.MPLS.information.on.provider.
176c0	6e 6f 64 65 73 20 28 73 61 6d 65 20 70 72 6f 63 65 64 75 72 65 20 66 6f 72 20 61 6c 6c 20 50 20	nodes.(same.procedure.for.all.P.
176e0	6e 6f 64 65 73 29 3a 00 4c 65 74 e2 80 99 73 20 73 61 79 20 77 65 20 68 61 76 65 20 61 20 72 65	nodes):.Let...s.say.we.have.a.re
17700	71 75 69 72 65 6d 65 6e 74 20 74 6f 20 68 61 76 65 20 6d 75 6c 74 69 70 6c 65 20 6e 65 74 77 6f	quirement.to.have.multiple.netwo
17720	72 6b 73 2e 00 4c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c	rks..Local.subnets.should.be.abl
17740	65 20 74 6f 20 72 65 61 63 68 20 69 6e 74 65 72 6e 65 74 20 75 73 69 6e 67 20 73 6f 75 72 63 65	e.to.reach.internet.using.source
17760	20 6e 61 74 2e 00 4d 50 2d 42 47 50 20 6f 72 20 4d 75 6c 74 69 50 72 6f 74 6f 63 6f 6c 20 42 47	.nat..MP-BGP.or.MultiProtocol.BG
17780	50 20 69 6e 74 72 6f 64 75 63 65 73 20 74 77 6f 20 6d 61 69 6e 20 63 6f 6e 63 65 70 74 73 20 74	P.introduces.two.main.concepts.t
177a0	6f 20 73 6f 6c 76 65 20 74 68 69 73 20 6c 69 6d 69 74 61 74 69 6f 6e 3a 20 2d 20 52 6f 75 74 65	o.solve.this.limitation:.-.Route
177c0	20 44 69 73 74 69 6e 67 75 69 73 68 65 72 20 28 52 44 29 3a 20 49 73 20 75 73 65 64 20 74 6f 20	.Distinguisher.(RD):.Is.used.to.
177e0	64 69 73 74 69 6e 67 75 69 73 68 20 62 65 74 77 65 65 6e 20 64 69 66 66 65 72 65 6e 74 20 56 52	distinguish.between.different.VR
17800	46 73 20 e2 80 93 63 61 6c 6c 65 64 20 56 50 4e 73 2d 20 69 6e 73 69 64 65 20 74 68 65 20 42 47	Fs....called.VPNs-.inside.the.BG
17820	50 20 50 72 6f 63 65 73 73 2e 20 54 68 65 20 52 44 20 69 73 20 61 70 70 65 6e 64 65 64 20 74 6f	P.Process..The.RD.is.appended.to
17840	20 65 61 63 68 20 49 50 76 34 20 4e 65 74 77 6f 72 6b 20 74 68 61 74 20 69 73 20 61 64 76 65 72	.each.IPv4.Network.that.is.adver
17860	74 69 73 65 64 20 69 6e 74 6f 20 42 47 50 20 66 6f 72 20 74 68 61 74 20 56 50 4e 20 6d 61 6b 69	tised.into.BGP.for.that.VPN.maki
17880	6e 67 20 69 74 20 61 20 75 6e 69 71 75 65 20 56 50 4e 76 34 20 72 6f 75 74 65 2e 20 2d 20 52 6f	ng.it.a.unique.VPNv4.route..-.Ro
178a0	75 74 65 20 54 61 72 67 65 74 20 28 52 54 29 3a 20 54 68 69 73 20 69 73 20 61 6e 20 65 78 74 65	ute.Target.(RT):.This.is.an.exte
178c0	6e 64 65 64 20 42 47 50 20 63 6f 6d 6d 75 6e 69 74 79 20 61 70 70 65 6e 64 20 74 6f 20 74 68 65	nded.BGP.community.append.to.the
178e0	20 56 50 4e 76 34 20 72 6f 75 74 65 20 69 6e 20 74 68 65 20 49 6d 70 6f 72 74 2f 45 78 70 6f 72	.VPNv4.route.in.the.Import/Expor
17900	74 20 70 72 6f 63 65 73 73 2e 20 57 68 65 6e 20 61 20 72 6f 75 74 65 20 70 61 73 73 65 73 20 66	t.process..When.a.route.passes.f
17920	72 6f 6d 20 74 68 65 20 56 52 46 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 6e 74 6f 20 74	rom.the.VRF.routing.table.into.t
17940	68 65 20 42 47 50 20 70 72 6f 63 65 73 73 20 69 74 20 77 69 6c 6c 20 61 64 64 20 74 68 65 20 63	he.BGP.process.it.will.add.the.c
17960	6f 6e 66 69 67 75 72 65 64 20 65 78 70 6f 72 74 20 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75 6e	onfigured.export.extended.commun
17980	69 74 79 28 69 65 73 29 20 66 6f 72 20 74 68 61 74 20 56 50 4e 2e 20 57 68 65 6e 20 74 68 61 74	ity(ies).for.that.VPN..When.that
179a0	20 72 6f 75 74 65 20 6e 65 65 64 73 20 74 6f 20 67 6f 20 66 72 6f 6d 20 42 47 50 20 69 6e 74 6f	.route.needs.to.go.from.BGP.into
179c0	20 74 68 65 20 56 52 46 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 77 69 6c 6c 20 6f 6e 6c 79	.the.VRF.routing.table.will.only
179e0	20 70 61 73 73 20 69 66 20 74 68 61 74 20 67 69 76 65 6e 20 56 50 4e 20 69 6d 70 6f 72 74 20 70	.pass.if.that.given.VPN.import.p
17a00	6f 6c 69 63 79 20 6d 61 74 63 68 65 73 20 61 6e 79 20 6f 66 20 74 68 65 20 61 70 70 65 6e 64 65	olicy.matches.any.of.the.appende
17a20	64 20 63 6f 6d 6d 75 6e 69 74 79 28 69 65 73 29 20 69 6e 74 6f 20 74 68 61 74 20 70 72 65 66 69	d.community(ies).into.that.prefi
17a40	78 2e 00 4d 61 69 6e 20 72 75 6c 65 73 3a 00 4d 61 6b 65 20 73 75 72 65 20 79 6f 75 20 63 61 6e	x..Main.rules:.Make.sure.you.can
17a60	20 70 69 6e 67 20 31 30 2e 32 35 34 2e 36 30 2e 31 20 61 6e 64 20 2e 32 20 66 72 6f 6d 20 62 6f	.ping.10.254.60.1.and..2.from.bo
17a80	74 68 20 72 6f 75 74 65 72 73 2e 00 4d 61 6e 61 67 65 6d 65 6e 74 00 4d 61 6e 61 67 65 6d 65 6e	th.routers..Management.Managemen
17aa0	74 20 56 52 46 00 4d 61 6e 79 20 6f 74 68 65 72 20 48 79 70 65 72 76 69 73 6f 72 73 20 64 6f 20	t.VRF.Many.other.Hypervisors.do.
17ac0	74 68 69 73 2c 20 61 6e 64 20 49 27 6d 20 68 6f 70 69 6e 67 20 74 68 61 74 20 74 68 69 73 20 64	this,.and.I'm.hoping.that.this.d
17ae0	6f 63 75 6d 65 6e 74 20 77 69 6c 6c 20 62 65 20 65 78 70 61 6e 64 65 64 20 74 6f 20 64 6f 63 75	ocument.will.be.expanded.to.docu
17b00	6d 65 6e 74 20 68 6f 77 20 74 6f 20 64 6f 20 74 68 69 73 20 66 6f 72 20 6f 74 68 65 72 73 2e 00	ment.how.to.do.this.for.others..
17b20	4d 61 73 71 75 65 72 61 64 65 20 54 72 61 66 66 69 63 20 6f 72 69 67 69 6e 61 74 69 6e 67 20 66	Masquerade.Traffic.originating.f
17b40	72 6f 6d 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 74 68 61 74 20 69 73 20 68 65 61 64	rom.10.200.201.0/24.that.is.head
17b60	69 6e 67 20 6f 75 74 20 74 68 65 20 70 75 62 6c 69 63 20 69 6e 74 65 72 66 61 63 65 2e 00 4d 6f	ing.out.the.public.interface..Mo
17b80	6e 69 74 6f 72 69 6e 67 00 4d 75 6c 74 69 70 6c 65 20 4c 41 4e 2f 44 4d 5a 20 53 65 74 75 70 00	nitoring.Multiple.LAN/DMZ.Setup.
17ba0	4e 41 54 20 61 6e 64 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 00 4e 4d 50 20 65 78 61 6d 70	NAT.and.conntrack-sync.NMP.examp
17bc0	6c 65 00 4e 61 74 69 76 65 20 49 50 76 34 20 61 6e 64 20 49 50 76 36 00 4e 65 74 77 6f 72 6b 20	le.Native.IPv4.and.IPv6.Network.
17be0	43 61 62 6c 69 6e 67 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 00 4e 65 74 77 6f 72 6b	Cabling.Network.Topology.Network
17c00	20 54 6f 70 6f 6c 6f 67 79 20 44 69 61 67 72 61 6d 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f	.Topology.Diagram.Network.Topolo
17c20	67 79 20 61 6e 64 20 72 65 71 75 69 72 65 6d 65 6e 74 73 00 4e 65 78 74 20 6f 6e 20 74 68 65 20	gy.and.requirements.Next.on.the.
17c40	72 6f 75 74 65 72 20 56 79 4f 53 32 20 77 65 20 77 69 6c 6c 20 63 68 61 6e 67 65 20 6c 61 62 65	router.VyOS2.we.will.change.labe
17c60	6c 73 20 6f 6e 20 61 6c 6c 20 69 6e 63 6f 6d 69 6e 67 20 74 72 61 66 66 69 63 20 6f 6e 6c 79 20	ls.on.all.incoming.traffic.only.
17c80	66 72 6f 6d 20 43 53 34 2d 3e 20 43 53 36 00 4e 65 78 74 20 74 68 69 6e 67 20 74 6f 20 64 6f 2c	from.CS4->.CS6.Next.thing.to.do,
17ca0	20 69 73 20 74 6f 20 63 72 65 61 74 65 20 61 20 77 69 72 65 67 75 61 72 64 20 6b 65 79 70 61 69	.is.to.create.a.wireguard.keypai
17cc0	72 20 6f 6e 20 65 61 63 68 20 73 69 64 65 2e 20 41 66 74 65 72 20 74 68 69 73 2c 20 74 68 65 20	r.on.each.side..After.this,.the.
17ce0	70 75 62 6c 69 63 20 6b 65 79 20 63 61 6e 20 62 65 20 64 69 73 70 6c 61 79 65 64 2c 20 74 6f 20	public.key.can.be.displayed,.to.
17d00	73 61 76 65 20 66 6f 72 20 6c 61 74 65 72 2e 00 4e 65 78 74 2c 20 77 65 20 77 69 6c 6c 20 72 65	save.for.later..Next,.we.will.re
17d20	70 6c 61 63 65 20 6f 6e 6c 79 20 61 6c 6c 20 43 53 34 20 6c 61 62 65 6c 73 20 6f 6e 20 74 68 65	place.only.all.CS4.labels.on.the
17d40	20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 72 6f 75 74 65 72 2e 00 4e 65 78 74 2c 20 79 6f 75 20 6a	....VyOS2....router..Next,.you.j
17d60	75 73 74 20 20 73 68 6f 75 6c 64 20 66 6f 6c 6c 6f 77 20 74 68 65 20 70 69 63 74 75 72 65 73 3a	ust..should.follow.the.pictures:
17d80	00 4e 6f 64 65 00 4e 6f 74 65 20 74 68 61 74 20 72 6f 75 74 65 72 31 20 69 73 20 61 20 56 4d 20	.Node.Note.that.router1.is.a.VM.
17da0	74 68 61 74 20 72 75 6e 73 20 6f 6e 20 6f 6e 65 20 6f 66 20 74 68 65 20 63 6f 6d 70 75 74 65 20	that.runs.on.one.of.the.compute.
17dc0	6e 6f 64 65 73 2e 00 4e 6f 74 65 20 74 6f 20 61 6c 6c 6f 77 20 74 68 65 20 72 6f 75 74 65 72 20	nodes..Note.to.allow.the.router.
17de0	74 6f 20 72 65 63 65 69 76 65 20 44 48 43 50 76 36 20 72 65 73 70 6f 6e 73 65 20 66 72 6f 6d 20	to.receive.DHCPv6.response.from.
17e00	49 53 50 2e 20 57 65 20 6e 65 65 64 20 74 6f 20 61 6c 6c 6f 77 20 70 61 63 6b 65 74 73 20 77 69	ISP..We.need.to.allow.packets.wi
17e20	74 68 20 73 6f 75 72 63 65 20 70 6f 72 74 20 35 34 37 20 28 73 65 72 76 65 72 29 20 61 6e 64 20	th.source.port.547.(server).and.
17e40	64 65 73 74 69 6e 61 74 69 6f 6e 20 70 6f 72 74 20 35 34 36 20 28 63 6c 69 65 6e 74 29 2e 00 4e	destination.port.546.(client)..N
17e60	6f 74 69 63 65 2c 20 6e 6f 6e 65 20 67 6f 20 74 6f 20 57 41 4e 20 73 69 6e 63 65 20 57 41 4e 20	otice,.none.go.to.WAN.since.WAN.
17e80	77 6f 75 6c 64 6e 27 74 20 68 61 76 65 20 61 20 76 36 20 61 64 64 72 65 73 73 20 6f 6e 20 69 74	wouldn't.have.a.v6.address.on.it
17ea0	2e 00 4e 6f 77 20 65 6e 61 62 6c 65 20 72 65 70 6c 69 63 61 74 69 6f 6e 20 62 65 74 77 65 65 6e	..Now.enable.replication.between
17ec0	20 6e 6f 64 65 73 2e 20 52 65 70 6c 61 63 65 20 65 74 68 30 2e 32 30 31 20 77 69 74 68 20 62 6f	.nodes..Replace.eth0.201.with.bo
17ee0	6e 64 30 2e 32 30 31 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00	nd0.201.on.the.hardware.router..
17f00	4e 6f 77 20 67 65 6e 65 72 61 74 65 20 61 6c 6c 20 72 65 71 75 69 72 65 64 20 63 65 72 74 69 66	Now.generate.all.required.certif
17f20	69 63 61 74 65 73 20 6f 6e 20 74 68 65 20 6f 76 70 6e 2d 73 65 72 76 65 72 3a 00 4e 6f 77 20 74	icates.on.the.ovpn-server:.Now.t
17f40	68 65 20 43 6c 69 65 6e 74 20 69 73 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 61 20 70 75 62 6c	he.Client.is.able.to.ping.a.publ
17f60	69 63 20 49 50 76 36 20 61 64 64 72 65 73 73 00 4e 6f 77 20 77 65 20 61 72 65 20 61 62 6c 65 20	ic.IPv6.address.Now.we.are.able.
17f80	74 6f 20 73 65 74 75 70 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 2e 00 4e	to.setup.the.tunnel.interface..N
17fa0	6f 77 20 77 65 20 70 65 72 66 6f 72 6d 20 73 6f 6d 65 20 65 6e 64 2d 74 6f 2d 65 6e 64 20 74 65	ow.we.perform.some.end-to-end.te
17fc0	73 74 69 6e 67 00 4e 6f 77 20 77 65 e2 80 99 72 65 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20	sting.Now.we...re.checking.iBGP.
17fe0	73 74 61 74 75 73 20 61 6e 64 20 72 6f 75 74 65 73 20 66 72 6f 6d 20 72 6f 75 74 65 2d 72 65 66	status.and.routes.from.route-ref
18000	6c 65 63 74 6f 72 20 6e 6f 64 65 73 20 74 6f 20 6f 74 68 65 72 20 64 65 76 69 63 65 73 3a 00 4e	lector.nodes.to.other.devices:.N
18020	6f 77 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 61 20	ow.you.should.be.able.to.ping.a.
18040	70 75 62 6c 69 63 20 49 50 76 36 20 41 64 64 72 65 73 73 00 4e 6f 77 2c 20 6c 65 74 e2 80 99 73	public.IPv6.Address.Now,.let...s
18060	20 63 68 65 63 6b 20 72 6f 75 74 69 6e 67 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 6f 6e 20 6f 75	.check.routing.information.on.ou
18080	74 20 48 75 62 20 50 45 3a 00 4f 53 50 46 20 4f 76 65 72 20 57 69 72 65 47 75 61 72 64 00 4f 53	t.Hub.PE:.OSPF.Over.WireGuard.OS
180a0	50 46 20 75 6e 6e 75 6d 62 65 72 65 64 20 77 69 74 68 20 45 43 4d 50 00 4f 6e 20 74 68 65 20 72	PF.unnumbered.with.ECMP.On.the.r
180c0	6f 75 74 65 72 2c 20 56 79 4f 53 34 20 73 65 74 20 61 6c 6c 20 74 72 61 66 66 69 63 20 61 73 20	outer,.VyOS4.set.all.traffic.as.
180e0	43 53 34 2e 20 57 65 20 68 61 76 65 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 64 65	CS4..We.have.to.configure.the.de
18100	66 61 75 6c 74 20 63 6c 61 73 73 20 61 6e 64 20 63 6c 61 73 73 20 66 6f 72 20 63 68 61 6e 67 69	fault.class.and.class.for.changi
18120	6e 67 20 61 6c 6c 20 6c 61 62 65 6c 73 20 66 72 6f 6d 20 43 53 30 20 74 6f 20 43 53 34 00 4f 6e	ng.all.labels.from.CS0.to.CS4.On
18140	2d 70 72 65 6d 69 73 65 73 20 61 64 64 72 65 73 73 20 73 70 61 63 65 00 4f 6e 63 65 20 61 6c 6c	-premises.address.space.Once.all
18160	20 72 6f 75 74 65 72 73 20 63 61 6e 20 62 65 20 73 61 66 65 6c 79 20 72 65 6d 6f 74 65 6c 79 20	.routers.can.be.safely.remotely.
18180	6d 61 6e 61 67 65 64 20 61 6e 64 20 74 68 65 20 63 6f 72 65 20 6e 65 74 77 6f 72 6b 20 69 73 20	managed.and.the.core.network.is.
181a0	6f 70 65 72 61 74 69 6f 6e 61 6c 2c 20 77 65 20 63 61 6e 20 6e 6f 77 20 73 65 74 75 70 20 74 68	operational,.we.can.now.setup.th
181c0	65 20 74 65 6e 61 6e 74 20 6e 65 74 77 6f 72 6b 73 2e 00 4f 6e 63 65 20 61 6c 6c 20 74 68 65 20	e.tenant.networks..Once.all.the.
181e0	72 65 71 75 69 72 65 64 20 63 65 72 74 69 66 69 63 61 74 65 73 20 61 6e 64 20 6b 65 79 73 20 61	required.certificates.and.keys.a
18200	72 65 20 69 6e 73 74 61 6c 6c 65 64 2c 20 74 68 65 20 72 65 6d 61 69 6e 69 6e 67 20 4f 70 65 6e	re.installed,.the.remaining.Open
18220	56 50 4e 20 53 65 72 76 65 72 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 61 6e 20 62 65 20	VPN.Server.configuration.can.be.
18240	63 61 72 72 69 65 64 20 6f 75 74 2e 00 4f 6e 63 65 20 79 6f 75 20 68 61 76 65 20 61 6c 6c 20 6f	carried.out..Once.you.have.all.o
18260	66 20 79 6f 75 72 20 72 75 6c 65 73 65 74 73 20 62 75 69 6c 74 2c 20 74 68 65 6e 20 79 6f 75 20	f.your.rulesets.built,.then.you.
18280	6e 65 65 64 20 74 6f 20 63 72 65 61 74 65 20 79 6f 75 72 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 2e	need.to.create.your.zone-policy.
182a0	00 4f 6e 65 20 61 64 76 61 6e 74 61 67 65 20 6f 66 20 68 61 76 69 6e 67 20 74 68 65 20 63 6c 69	.One.advantage.of.having.the.cli
182c0	65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65 20 73 74 6f 72 65 64 20 69 73 20 74 68 65 20 61 62	ent.certificate.stored.is.the.ab
182e0	69 6c 69 74 79 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 63 6c 69 65 6e 74 20 63 6f 6e 66 69	ility.to.create.the.client.confi
18300	67 75 72 61 74 69 6f 6e 2e 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e	guration..One.cable/logical.conn
18320	65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 49 6e 74 65 72 6e 65 74	ection.between.LAN1.and.Internet
18340	00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65	.One.cable/logical.connection.be
18360	74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 4c 41 4e 32 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f	tween.LAN1.and.LAN2.One.cable/lo
18380	67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e	gical.connection.between.LAN1.an
183a0	64 20 4d 61 6e 61 67 65 6d 65 6e 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63	d.Management.One.cable/logical.c
183c0	6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 32 20 61 6e 64 20 49 6e 74 65 72	onnection.between.LAN2.and.Inter
183e0	6e 65 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e	net.One.cable/logical.connection
18400	20 62 65 74 77 65 65 6e 20 4c 41 4e 32 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 00 4f 70 65	.between.LAN2.and.Management.Ope
18420	6e 56 50 4e 20 77 69 74 68 20 4c 44 41 50 00 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 4c 44 41 50	nVPN.with.LDAP.OpenVPN.with.LDAP
18440	20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 4f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d	.topology.image.Operating.system
18460	3a 20 56 79 4f 53 00 4f 75 72 20 69 6d 70 6c 65 6d 65 6e 74 61 74 69 6f 6e 20 75 73 65 73 20 56	:.VyOS.Our.implementation.uses.V
18480	4d 77 61 72 65 27 73 20 44 69 73 74 72 69 62 75 74 65 64 20 50 6f 72 74 20 47 72 6f 75 70 73 2c	Mware's.Distributed.Port.Groups,
184a0	20 77 68 69 63 68 20 61 6c 6c 6f 77 73 20 56 4d 77 61 72 65 20 74 6f 20 75 73 65 20 4c 41 43 50	.which.allows.VMware.to.use.LACP
184c0	2e 20 54 68 69 73 20 69 73 20 61 20 70 61 72 74 20 6f 66 20 74 68 65 20 45 4e 54 45 52 50 52 49	..This.is.a.part.of.the.ENTERPRI
184e0	53 45 20 6c 69 63 65 6e 63 65 2c 20 61 6e 64 20 69 73 20 6e 6f 74 20 61 76 61 69 6c 61 62 6c 65	SE.licence,.and.is.not.available
18500	20 6f 6e 20 61 20 66 72 65 65 20 6c 69 63 65 6e 63 65 2e 20 49 66 20 79 6f 75 20 61 72 65 20 69	.on.a.free.licence..If.you.are.i
18520	6d 70 6c 65 6d 65 6e 74 69 6e 67 20 74 68 69 73 20 61 6e 64 20 64 6f 20 6e 6f 74 20 68 61 76 65	mplementing.this.and.do.not.have
18540	20 61 63 63 65 73 73 20 74 6f 20 44 50 47 73 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 74 20	.access.to.DPGs,.you.should.not.
18560	75 73 65 20 56 4d 77 61 72 65 2c 20 61 6e 64 20 75 73 65 20 73 6f 6d 65 20 6f 74 68 65 72 20 76	use.VMware,.and.use.some.other.v
18580	69 72 74 75 61 6c 69 7a 61 74 69 6f 6e 20 70 6c 61 74 66 6f 72 6d 20 69 6e 73 74 65 61 64 2e 00	irtualization.platform.instead..
185a0	4f 75 72 20 72 6f 75 74 65 72 73 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 68 61 76 65 20 61 20	Our.routers.are.going.to.have.a.
185c0	66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 32 30 33 2e 30 2e 31 31 33	floating.IP.address.of.203.0.113
185e0	2e 31 2c 20 61 6e 64 20 75 73 65 20 2e 32 20 61 6e 64 20 2e 33 20 61 73 20 74 68 65 69 72 20 66	.1,.and.use..2.and..3.as.their.f
18600	69 78 65 64 20 49 50 73 2e 00 4f 76 65 72 76 69 65 77 00 50 45 31 00 50 45 31 20 69 73 20 6c 6f	ixed.IPs..Overview.PE1.PE1.is.lo
18620	63 61 74 65 64 20 69 6e 20 61 6e 20 69 6e 64 75 73 74 72 69 61 6c 20 61 72 65 61 20 74 68 61 74	cated.in.an.industrial.area.that
18640	20 68 6f 6c 64 73 20 6d 75 6c 74 69 70 6c 65 20 6f 66 66 69 63 65 20 62 75 69 6c 64 69 6e 67 73	.holds.multiple.office.buildings
18660	2e 20 41 6c 6c 20 63 75 73 74 6f 6d 65 72 73 20 68 61 76 65 20 61 20 73 69 74 65 20 69 6e 20 74	..All.customers.have.a.site.in.t
18680	68 69 73 20 61 72 65 61 2e 00 50 45 32 00 50 45 32 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20	his.area..PE2.PE2.is.located.in.
186a0	61 20 73 6d 61 6c 6c 65 72 20 61 72 65 61 20 77 68 65 72 65 20 62 79 20 63 6f 69 6e 63 69 64 65	a.smaller.area.where.by.coincide
186c0	6e 63 65 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 73 20 28 62 6c 75 65 20 61 6e 64 20 72 65 64 29	nce.two.customers.(blue.and.red)
186e0	20 73 68 61 72 65 20 61 6e 20 6f 66 66 69 63 65 20 62 75 69 6c 64 69 6e 67 2e 00 50 45 33 00 50	.share.an.office.building..PE3.P
18700	45 33 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 20 73 6d 61 6c 6c 65 72 20 61 72 65 61 20	E3.is.located.in.a.smaller.area.
18720	77 68 65 72 65 20 62 79 20 63 6f 69 6e 63 69 64 65 6e 63 65 20 74 77 6f 20 63 75 73 74 6f 6d 65	where.by.coincidence.two.custome
18740	72 73 20 28 62 6c 75 65 20 61 6e 64 20 67 72 65 65 6e 29 20 61 72 65 20 6c 6f 63 61 74 65 64 2e	rs.(blue.and.green).are.located.
18760	00 50 50 50 6f 45 20 49 50 76 36 20 42 61 73 69 63 20 53 65 74 75 70 20 66 6f 72 20 48 6f 6d 65	.PPPoE.IPv6.Basic.Setup.for.Home
18780	20 4e 65 74 77 6f 72 6b 00 50 50 50 6f 45 20 53 65 74 75 70 00 50 69 6e 67 20 62 65 74 77 65 65	.Network.PPPoE.Setup.Ping.betwee
187a0	6e 20 56 79 4f 53 2d 50 31 20 2f 20 56 79 4f 53 2d 50 32 20 74 6f 20 63 6f 6e 66 69 72 6d 20 72	n.VyOS-P1./.VyOS-P2.to.confirm.r
187c0	65 61 63 68 61 62 69 6c 69 74 79 3a 00 50 69 6e 67 20 74 68 65 20 43 6c 69 65 6e 74 20 66 72 6f	eachability:.Ping.the.Client.fro
187e0	6d 20 74 68 65 20 44 48 43 50 20 53 65 72 76 65 72 2e 00 50 69 6e 67 73 20 77 69 6c 6c 20 62 65	m.the.DHCP.Server..Pings.will.be
18800	20 73 65 6e 74 20 74 6f 20 66 6f 75 72 20 74 61 72 67 65 74 73 20 66 6f 72 20 68 65 61 6c 74 68	.sent.to.four.targets.for.health
18820	20 74 65 73 74 69 6e 67 20 28 33 33 2e 34 34 2e 35 35 2e 36 36 2c 20 34 34 2e 35 35 2e 36 36 2e	.testing.(33.44.55.66,.44.55.66.
18840	37 37 2c 20 35 35 2e 36 36 2e 37 37 2e 38 38 20 61 6e 64 20 36 36 2e 37 37 2e 38 38 2e 39 39 29	77,.55.66.77.88.and.66.77.88.99)
18860	2e 00 50 6c 65 61 73 65 20 6e 6f 74 65 2c 20 27 61 75 74 6f 6e 6f 6d 6f 75 73 2d 66 6c 61 67 27	..Please.note,.'autonomous-flag'
18880	20 61 6e 64 20 27 6f 6e 2d 6c 69 6e 6b 2d 66 6c 61 67 27 20 61 72 65 20 65 6e 61 62 6c 65 64 20	.and.'on-link-flag'.are.enabled.
188a0	62 79 20 64 65 66 61 75 6c 74 2c 20 27 76 61 6c 69 64 2d 6c 69 66 65 74 69 6d 65 27 20 61 6e 64	by.default,.'valid-lifetime'.and
188c0	20 27 70 72 65 66 65 72 72 65 64 2d 6c 69 66 65 74 69 6d 65 27 20 61 72 65 20 73 65 74 20 74 6f	.'preferred-lifetime'.are.set.to
188e0	20 64 65 66 61 75 6c 74 20 76 61 6c 75 65 73 20 6f 66 20 33 30 20 64 61 79 73 20 61 6e 64 20 34	.default.values.of.30.days.and.4
18900	20 68 6f 75 72 73 20 72 65 73 70 65 63 74 69 76 65 6c 79 2e 00 50 6f 6c 69 63 79 2d 42 61 73 65	.hours.respectively..Policy-Base
18920	64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 61 6e 64 20 46 69 72 65 77 61 6c 6c 20	d.Site-to-Site.VPN.and.Firewall.
18940	43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 50 72 65 2d 73 68 61 72 65 64 20 6b 65 79 00 50 72 65	Configuration.Pre-shared.key.Pre
18960	72 65 71 75 69 73 69 74 65 73 00 50 72 69 6f 72 69 74 69 65 73 00 50 72 6f 74 65 63 74 20 74 68	requisites.Priorities.Protect.th
18980	65 20 72 6f 75 74 65 72 20 6f 6e 20 27 57 41 4e 27 20 69 6e 74 65 72 66 61 63 65 2c 20 61 6c 6c	e.router.on.'WAN'.interface,.all
189a0	6f 77 69 6e 67 20 6f 6e 6c 79 20 69 70 73 65 63 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 61 6e 64	owing.only.ipsec.connections.and
189c0	20 73 73 68 20 61 63 63 65 73 73 20 66 72 6f 6d 20 74 72 75 73 74 65 64 20 69 70 73 2e 00 50 75	.ssh.access.from.trusted.ips..Pu
189e0	62 6c 69 63 20 4e 65 74 77 6f 72 6b 00 51 6f 53 20 65 78 61 6d 70 6c 65 00 52 44 00 52 44 20 26	blic.Network.QoS.example.RD.RD.&
18a00	20 52 54 20 53 63 68 65 6d 61 00 52 54 00 52 54 20 65 78 70 6f 72 74 00 52 54 20 69 6d 70 6f 72	.RT.Schema.RT.RT.export.RT.impor
18a20	74 00 52 65 67 75 6c 61 72 20 56 79 4f 53 20 75 73 65 72 73 20 77 69 6c 6c 20 6e 6f 74 69 63 65	t.Regular.VyOS.users.will.notice
18a40	20 74 68 61 74 20 74 68 65 20 42 47 50 20 73 79 6e 74 61 78 20 68 61 73 20 63 68 61 6e 67 65 64	.that.the.BGP.syntax.has.changed
18a60	20 69 6e 20 56 79 4f 53 20 31 2e 34 20 66 72 6f 6d 20 65 76 65 6e 20 74 68 65 20 70 72 69 6f 72	.in.VyOS.1.4.from.even.the.prior
18a80	20 70 6f 73 74 20 61 62 6f 75 74 20 74 68 69 73 20 73 75 62 6a 65 63 74 2e 20 54 68 69 73 20 69	.post.about.this.subject..This.i
18aa0	73 20 64 75 65 20 74 6f 20 54 31 37 31 31 2c 20 77 68 65 72 65 20 69 74 20 77 61 73 20 66 69 6e	s.due.to.T1711,.where.it.was.fin
18ac0	61 6c 6c 79 20 64 65 63 69 64 65 64 20 74 6f 20 67 65 74 20 72 69 64 20 6f 66 20 74 68 65 20 72	ally.decided.to.get.rid.of.the.r
18ae0	65 64 75 6e 64 61 6e 74 20 42 47 50 20 41 53 4e 20 28 41 75 74 6f 6e 6f 6d 6f 75 73 20 53 79 73	edundant.BGP.ASN.(Autonomous.Sys
18b00	74 65 6d 20 4e 75 6d 62 65 72 29 20 73 70 65 63 69 66 69 63 61 74 69 6f 6e 20 6f 6e 20 74 68 65	tem.Number).specification.on.the
18b20	20 43 4c 49 20 61 6e 64 20 6d 6f 76 65 20 69 74 20 74 6f 20 61 20 73 69 6e 67 6c 65 20 6c 65 61	.CLI.and.move.it.to.a.single.lea
18b40	66 20 6e 6f 64 65 20 28 73 65 74 20 70 72 6f 74 6f 63 6f 6c 73 20 62 67 70 20 6c 6f 63 61 6c 2d	f.node.(set.protocols.bgp.local-
18b60	61 73 29 2e 00 52 65 6d 6f 74 65 20 4e 65 74 77 6f 72 6b 73 00 52 65 70 6c 61 63 65 20 74 68 65	as)..Remote.Networks.Replace.the
18b80	20 32 30 33 2e 30 2e 31 31 33 2e 33 20 77 69 74 68 20 77 68 61 74 65 76 65 72 20 74 68 65 20 6f	.203.0.113.3.with.whatever.the.o
18ba0	74 68 65 72 20 72 6f 75 74 65 72 27 73 20 49 50 20 61 64 64 72 65 73 73 20 69 73 2e 00 52 65 71	ther.router's.IP.address.is..Req
18bc0	75 65 73 74 65 64 20 61 20 22 52 65 67 75 6c 61 72 20 54 75 6e 6e 65 6c 22 2e 20 59 6f 75 20 77	uested.a."Regular.Tunnel"..You.w
18be0	61 6e 74 20 74 6f 20 63 68 6f 6f 73 65 20 61 20 6c 6f 63 61 74 69 6f 6e 20 74 68 61 74 20 69 73	ant.to.choose.a.location.that.is
18c00	20 63 6c 6f 73 65 73 74 20 74 6f 20 79 6f 75 72 20 70 68 79 73 69 63 61 6c 20 6c 6f 63 61 74 69	.closest.to.your.physical.locati
18c20	6f 6e 20 66 6f 72 20 74 68 65 20 62 65 73 74 20 72 65 73 70 6f 6e 73 65 20 74 69 6d 65 2e 00 52	on.for.the.best.response.time..R
18c40	65 73 75 6c 74 73 00 52 6f 6c 65 00 52 6f 75 74 65 2d 42 61 73 65 64 20 52 65 64 75 6e 64 61 6e	esults.Role.Route-Based.Redundan
18c60	74 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 28 42 47 50	t.Site-to-Site.VPN.to.Azure.(BGP
18c80	20 6f 76 65 72 20 49 4b 45 76 32 2f 49 50 73 65 63 29 00 52 6f 75 74 65 2d 42 61 73 65 64 20 53	.over.IKEv2/IPsec).Route-Based.S
18ca0	69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 28 42 47 50 20 6f 76	ite-to-Site.VPN.to.Azure.(BGP.ov
18cc0	65 72 20 49 4b 45 76 32 2f 49 50 73 65 63 29 00 52 6f 75 74 65 2d 46 69 6c 74 65 72 69 6e 67 00	er.IKEv2/IPsec).Route-Filtering.
18ce0	52 6f 75 74 65 64 20 2f 34 38 2e 20 54 68 69 73 20 69 73 20 73 6f 6d 65 74 68 69 6e 67 20 79 6f	Routed./48..This.is.something.yo
18d00	75 20 63 61 6e 20 72 65 71 75 65 73 74 20 62 79 20 63 6c 69 63 6b 69 6e 67 20 74 68 65 20 22 41	u.can.request.by.clicking.the."A
18d20	73 73 69 67 6e 20 2f 34 38 22 20 6c 69 6e 6b 20 69 6e 20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f	ssign./48".link.in.the.Tunnelbro
18d40	6b 65 72 2e 6e 65 74 20 74 75 6e 6e 65 6c 20 63 6f 6e 66 69 67 2e 20 49 74 20 61 6c 6c 6f 77 73	ker.net.tunnel.config..It.allows
18d60	20 79 6f 75 20 74 6f 20 68 61 76 65 20 75 70 20 74 6f 20 36 35 6b 00 52 6f 75 74 65 64 20 2f 36	.you.to.have.up.to.65k.Routed./6
18d80	34 2e 20 54 68 69 73 20 69 73 20 74 68 65 20 64 65 66 61 75 6c 74 20 61 73 73 69 67 6e 6d 65 6e	4..This.is.the.default.assignmen
18da0	74 2e 20 49 6e 20 49 50 76 36 2d 6c 61 6e 64 2c 20 69 74 27 73 20 67 6f 6f 64 20 66 6f 72 20 61	t..In.IPv6-land,.it's.good.for.a
18dc0	20 73 69 6e 67 6c 65 20 22 4c 41 4e 22 2c 20 61 6e 64 20 69 73 20 73 6f 6d 65 77 68 61 74 20 65	.single."LAN",.and.is.somewhat.e
18de0	71 75 69 76 61 6c 65 6e 74 20 74 6f 20 61 20 2f 32 34 2e 00 52 6f 75 74 65 72 20 41 3a 00 52 6f	quivalent.to.a./24..Router.A:.Ro
18e00	75 74 65 72 20 41 64 76 65 72 74 69 73 65 6d 65 6e 74 00 52 6f 75 74 65 72 20 42 3a 00 52 6f 75	uter.Advertisement.Router.B:.Rou
18e20	74 65 72 20 69 64 27 73 20 6d 75 73 74 20 62 65 20 75 6e 69 71 75 65 2e 00 52 75 6c 65 73 65 74	ter.id's.must.be.unique..Ruleset
18e40	20 61 72 65 20 63 72 65 61 74 65 64 20 70 65 72 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63	.are.created.per.zone-pair-direc
18e60	74 69 6f 6e 2e 00 53 65 67 6d 65 6e 74 2d 72 6f 75 74 69 6e 67 20 49 53 2d 49 53 20 65 78 61 6d	tion..Segment-routing.IS-IS.exam
18e80	70 6c 65 00 53 65 74 20 44 4e 53 20 73 65 72 76 65 72 20 61 64 64 72 65 73 73 20 69 6e 20 74 68	ple.Set.DNS.server.address.in.th
18ea0	65 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 73 6f 20 74 68 61 74 20 63 6c 69 65 6e 74 73 20	e.advertisement.so.that.clients.
18ec0	63 61 6e 20 6f 62 74 61 69 6e 20 69 74 20 62 79 20 75 73 69 6e 67 20 52 44 4e 53 53 20 6f 70 74	can.obtain.it.by.using.RDNSS.opt
18ee0	69 6f 6e 2e 20 4d 6f 73 74 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 73 20 28 57 69 6e	ion..Most.operating.systems.(Win
18f00	64 6f 77 73 2c 20 4c 69 6e 75 78 2c 20 4d 61 63 29 20 73 68 6f 75 6c 64 20 61 6c 72 65 61 64 79	dows,.Linux,.Mac).should.already
18f20	20 73 75 70 70 6f 72 74 20 69 74 2e 00 53 65 74 20 49 50 20 61 64 64 72 65 73 73 65 73 20 6f 6e	.support.it..Set.IP.addresses.on
18f40	20 61 6c 6c 20 56 50 43 73 20 61 6e 64 20 61 20 64 65 66 61 75 6c 74 20 67 61 74 65 77 61 79 20	.all.VPCs.and.a.default.gateway.
18f60	31 37 32 2e 31 37 2e 31 2e 31 2e 20 57 65 27 6c 6c 20 75 73 65 20 69 6e 20 74 68 69 73 20 63 61	172.17.1.1..We'll.use.in.this.ca
18f80	73 65 20 6f 6e 6c 79 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 2e 20 4f 6e 20 74 68 65 20 56 79	se.only.static.routes..On.the.Vy
18fa0	4f 53 33 20 72 6f 75 74 65 72 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 63 68 61 6e 67 65 20 74 68	OS3.router,.we.need.to.change.th
18fc0	65 20 27 64 73 63 70 27 20 6c 61 62 65 6c 73 20 66 6f 72 20 74 68 65 20 56 50 43 73 2e 20 54 6f	e.'dscp'.labels.for.the.VPCs..To
18fe0	20 64 6f 20 74 68 69 73 2c 20 77 65 20 75 73 65 20 74 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74	.do.this,.we.use.this.configurat
19000	69 6f 6e 2e 00 53 65 74 20 4d 54 55 20 69 6e 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 74 6f	ion..Set.MTU.in.advertisement.to
19020	20 31 34 39 32 20 62 65 63 61 75 73 65 20 6f 66 20 50 50 50 6f 45 20 68 65 61 64 65 72 20 6f 76	.1492.because.of.PPPoE.header.ov
19040	65 72 68 65 61 64 2e 00 53 65 74 20 74 68 65 20 56 52 46 20 6e 61 6d 65 20 61 6e 64 20 54 61 62	erhead..Set.the.VRF.name.and.Tab
19060	6c 65 20 49 44 2c 20 73 65 74 20 69 6e 74 65 72 66 61 63 65 20 61 64 64 72 65 73 73 20 61 6e 64	le.ID,.set.interface.address.and
19080	20 62 69 6e 64 20 69 74 20 74 6f 20 74 68 65 20 56 52 46 2e 20 4c 61 73 74 20 61 64 64 20 74 68	.bind.it.to.the.VRF..Last.add.th
190a0	65 20 73 74 61 74 69 63 20 72 6f 75 74 65 20 74 6f 20 74 68 65 20 72 65 6d 6f 74 65 20 6e 65 74	e.static.route.to.the.remote.net
190c0	77 6f 72 6b 2e 00 53 65 74 20 74 68 65 20 63 6f 73 74 20 6f 6e 20 74 68 65 20 73 65 63 6f 6e 64	work..Set.the.cost.on.the.second
190e0	61 72 79 20 6c 69 6e 6b 73 20 74 6f 20 62 65 20 32 30 30 2e 20 54 68 69 73 20 6d 65 61 6e 73 20	ary.links.to.be.200..This.means.
19100	74 68 61 74 20 74 68 65 79 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 75 73 65 64 20 75 6e 6c 65 73	that.they.will.not.be.used.unles
19120	73 20 74 68 65 20 70 72 69 6d 61 72 79 20 6c 69 6e 6b 73 20 61 72 65 20 64 6f 77 6e 2e 00 53 65	s.the.primary.links.are.down..Se
19140	74 20 74 68 65 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 20 6f 6e 20 65 74 68 32 20 61 6e 64 20 74	t.the.local.subnet.on.eth2.and.t
19160	68 65 20 70 75 62 6c 69 63 20 69 70 20 61 64 64 72 65 73 73 20 65 74 68 31 20 6f 6e 20 65 61 63	he.public.ip.address.eth1.on.eac
19180	68 20 73 69 74 65 2e 00 53 65 74 20 75 70 20 62 61 6e 64 77 69 64 74 68 20 6c 69 6d 69 74 73 20	h.site..Set.up.bandwidth.limits.
191a0	6f 6e 20 74 68 65 20 65 74 68 32 20 69 6e 74 65 72 66 61 63 65 20 6f 66 20 74 68 65 20 72 6f 75	on.the.eth2.interface.of.the.rou
191c0	74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 2e 00 53 65 74 73 20 79 6f 75 72 20 4c 41 4e 20 69	ter....VyOS2.....Sets.your.LAN.i
191e0	6e 74 65 72 66 61 63 65 27 73 20 49 50 20 61 64 64 72 65 73 73 00 53 65 74 74 69 6e 67 20 42 47	nterface's.IP.address.Setting.BG
19200	50 20 67 6c 6f 62 61 6c 20 6c 6f 63 61 6c 2d 61 73 20 61 73 20 77 65 6c 6c 20 69 6e 73 69 64 65	P.global.local-as.as.well.inside
19220	20 74 68 65 20 56 52 46 2e 20 52 65 64 69 73 74 72 69 62 75 74 65 20 73 74 61 74 69 63 20 72 6f	.the.VRF..Redistribute.static.ro
19240	75 74 65 73 20 74 6f 20 69 6e 6a 65 63 74 20 63 6f 6e 66 69 67 75 72 65 64 20 6e 65 74 77 6f 72	utes.to.inject.configured.networ
19260	6b 73 20 69 6e 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 20 62 75 74 20 73 74 69 6c	ks.into.the.BGP.process.but.stil
19280	6c 20 69 6e 73 69 64 65 20 74 68 65 20 56 52 46 2e 00 53 65 74 75 70 20 74 68 65 20 69 70 76 36	l.inside.the.VRF..Setup.the.ipv6
192a0	20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 74 6f 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 6e 74	.default.route.to.the.tunnel.int
192c0	65 72 66 61 63 65 00 53 68 6f 77 20 72 6f 75 74 65 73 20 66 6f 72 20 61 6c 6c 20 56 52 46 73 00	erface.Show.routes.for.all.VRFs.
192e0	53 69 6d 69 6c 61 72 6c 79 2c 20 74 6f 20 61 74 74 61 63 68 20 74 68 65 20 66 69 72 65 77 61 6c	Similarly,.to.attach.the.firewal
19300	6c 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 69 6e 74 65 72 66 61 63 65 73	l,.you.would.use.`set.interfaces
19320	20 65 74 68 65 72 6e 65 74 20 65 74 68 30 20 66 69 72 65 77 61 6c 6c 20 69 6e 20 69 70 76 36 2d	.ethernet.eth0.firewall.in.ipv6-
19340	6e 61 6d 65 60 20 6f 72 20 60 65 74 20 66 69 72 65 77 61 6c 6c 20 7a 6f 6e 65 20 4c 4f 43 41 4c	name`.or.`et.firewall.zone.LOCAL
19360	20 66 72 6f 6d 20 57 41 4e 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d 65 60 2e 00 53	.from.WAN.firewall.ipv6-name`..S
19380	69 6e 63 65 20 73 6f 6d 65 20 49 53 50 73 20 64 69 73 63 6f 6e 6e 65 63 74 73 20 63 6f 6e 74 69	ince.some.ISPs.disconnects.conti
193a0	6e 75 6f 75 73 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 6f 72 20 65 76 65 72 79 20 32 7e 33 20 64	nuous.connection.for.every.2~3.d
193c0	61 79 73 2c 20 77 65 20 73 65 74 20 60 60 76 61 6c 69 64 2d 6c 69 66 65 74 69 6d 65 60 60 20 74	ays,.we.set.``valid-lifetime``.t
193e0	6f 20 32 20 64 61 79 73 20 74 6f 20 61 6c 6c 6f 77 20 50 43 20 66 6f 72 20 70 68 61 73 69 6e 67	o.2.days.to.allow.PC.for.phasing
19400	20 6f 75 74 20 6f 6c 64 20 61 64 64 72 65 73 73 2e 00 53 69 6e 63 65 20 77 65 20 68 61 76 65 20	.out.old.address..Since.we.have.
19420	34 20 7a 6f 6e 65 73 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 73 65 74 75 70 20 74 68 65 20 66 6f	4.zones,.we.need.to.setup.the.fo
19440	6c 6c 6f 77 69 6e 67 20 72 75 6c 65 73 65 74 73 2e 00 53 69 6e 67 6c 65 20 4c 41 4e 20 53 65 74	llowing.rulesets..Single.LAN.Set
19460	75 70 00 53 69 6e 67 6c 65 20 4c 41 4e 20 73 65 74 75 70 20 77 68 65 72 65 20 65 74 68 32 20 69	up.Single.LAN.setup.where.eth2.i
19480	73 20 79 6f 75 72 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 2e 20 55 73 65 20 74 68 65 20 54 75	s.your.LAN.interface..Use.the.Tu
194a0	6e 6e 65 6c 62 72 6f 6b 65 72 20 52 6f 75 74 65 64 20 2f 36 34 20 70 72 65 66 69 78 3a 00 53 6f	nnelbroker.Routed./64.prefix:.So
194c0	2c 20 77 68 65 6e 20 79 6f 75 72 20 4c 41 4e 20 69 73 20 65 74 68 31 2c 20 79 6f 75 72 20 44 4d	,.when.your.LAN.is.eth1,.your.DM
194e0	5a 20 69 73 20 65 74 68 32 2c 20 79 6f 75 72 20 63 61 6d 65 72 61 73 20 61 72 65 20 6f 6e 20 65	Z.is.eth2,.your.cameras.are.on.e
19500	74 68 33 2c 20 65 74 63 3a 00 53 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 3a 00 53 70 6f 6b 65 00	th3,.etc:.Something.like:.Spoke.
19520	53 74 61 72 74 20 62 79 20 73 65 74 74 69 6e 67 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 61	Start.by.setting.the.interface.a
19540	6e 64 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 66 6f 72 20 65 61 63 68 20 7a 6f 6e 65 2e	nd.default.action.for.each.zone.
19560	00 53 74 61 72 74 69 6e 67 20 66 72 6f 6d 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d	.Starting.from.VyOS.1.4-rolling-
19580	32 30 32 33 30 38 30 34 30 35 35 37 2c 20 61 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 73 74 72	202308040557,.a.new.firewall.str
195a0	75 63 74 75 72 65 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 6f 6e 20 61 6c 6c 20 76 79 6f 73 20	ucture.can.be.found.on.all.vyos.
195c0	69 6e 73 74 61 6c 61 74 69 6f 6e 73 2c 20 61 6e 64 20 7a 6f 6e 65 20 62 61 73 65 64 20 66 69 72	instalations,.and.zone.based.fir
195e0	65 77 61 6c 6c 20 69 73 20 6e 6f 20 6c 6f 6e 67 65 72 20 73 75 70 70 6f 72 74 65 64 2e 20 44 6f	ewall.is.no.longer.supported..Do
19600	63 75 6d 65 6e 74 61 74 69 6f 6e 20 66 6f 72 20 6d 6f 73 74 20 6f 66 20 74 68 65 20 6e 65 77 20	cumentation.for.most.of.the.new.
19620	66 69 72 65 77 61 6c 6c 20 43 4c 49 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65	firewall.CLI.can.be.found.in.the
19640	20 60 66 69 72 65 77 61 6c 6c 20 3c 68 74 74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f	.`firewall.<https://docs.vyos.io
19660	2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 66 69 72 65 77 61 6c	/en/latest/configuration/firewal
19680	6c 2f 67 65 6e 65 72 61 6c 2e 68 74 6d 6c 3e 60 5f 20 63 68 61 70 74 65 72 2e 20 54 68 65 20 6c	l/general.html>`_.chapter..The.l
196a0	65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 69 73 20 73 74 69 6c 6c 20 61 76 61 69 6c 61 62 6c	egacy.firewall.is.still.availabl
196c0	65 20 66 6f 72 20 76 65 72 73 69 6f 6e 73 20 62 65 66 6f 72 65 20 31 2e 34 2d 72 6f 6c 6c 69 6e	e.for.versions.before.1.4-rollin
196e0	67 2d 32 30 32 33 30 38 30 34 30 35 35 37 20 61 6e 64 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20	g-202308040557.and.can.be.found.
19700	69 6e 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 2d 6c 65 67 61 63 79 60 20 63 68	in.the.:ref:`firewall-legacy`.ch
19720	61 70 74 65 72 2e 20 54 68 65 20 65 78 61 6d 70 6c 65 73 20 69 6e 20 74 68 69 73 20 73 65 63 74	apter..The.examples.in.this.sect
19740	69 6f 6e 20 75 73 65 20 74 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66	ion.use.the.legacy.firewall.conf
19760	69 67 75 72 61 74 69 6f 6e 20 63 6f 6d 6d 61 6e 64 73 2c 20 73 69 6e 63 65 20 74 68 69 73 20 66	iguration.commands,.since.this.f
19780	65 61 74 75 72 65 20 68 61 73 20 62 65 65 6e 20 72 65 6d 6f 76 65 64 20 69 6e 20 65 61 72 6c 69	eature.has.been.removed.in.earli
197a0	65 72 20 72 65 6c 65 61 73 65 73 2e 00 53 74 65 70 20 31 3a 20 56 52 46 20 61 6e 64 20 43 6f 6e	er.releases..Step.1:.VRF.and.Con
197c0	66 69 67 75 72 61 74 69 6f 6e 73 20 74 6f 20 72 65 6d 6f 74 65 20 6e 65 74 77 6f 72 6b 73 00 53	figurations.to.remote.networks.S
197e0	74 65 70 20 32 3a 20 42 47 50 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 6f 72 20 56 52 46	tep.2:.BGP.Configuration.for.VRF
19800	2d 4c 69 74 65 00 53 74 65 70 20 33 3a 20 56 50 4e 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00	-Lite.Step.3:.VPN.Configuration.
19820	53 74 65 70 20 34 3a 20 45 6e 64 20 74 6f 20 45 6e 64 20 76 65 72 69 66 69 63 61 74 69 6f 6e 00	Step.4:.End.to.End.verification.
19840	53 74 65 70 2d 31 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 49 47 50 20 61 6e 64 20 65 6e 61 62	Step-1:.Configuring.IGP.and.enab
19860	6c 69 6e 67 20 4d 50 4c 53 20 4c 44 50 00 53 74 65 70 2d 32 3a 20 43 6f 6e 66 69 67 75 72 69 6e	ling.MPLS.LDP.Step-2:.Configurin
19880	67 20 69 42 47 50 20 66 6f 72 20 4c 33 56 50 4e 20 63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e 65 00 53	g.iBGP.for.L3VPN.control-plane.S
198a0	74 65 70 2d 33 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 4c 33 56 50 4e 20 56 52 46 73 20 6f 6e	tep-3:.Configuring.L3VPN.VRFs.on
198c0	20 50 45 20 6e 6f 64 65 73 00 53 74 65 70 2d 34 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 43 45	.PE.nodes.Step-4:.Configuring.CE
198e0	20 6e 6f 64 65 73 00 53 74 65 70 2d 35 3a 20 56 65 72 69 66 69 63 61 74 69 6f 6e 00 54 65 6e 61	.nodes.Step-5:.Verification.Tena
19900	6e 74 20 6e 65 74 77 6f 72 6b 73 20 28 56 52 46 73 29 00 54 65 73 74 20 4f 53 50 46 00 54 65 73	nt.networks.(VRFs).Test.OSPF.Tes
19920	74 20 57 69 72 65 47 75 61 72 64 00 54 65 73 74 20 74 68 65 20 72 65 73 75 6c 74 00 54 65 73 74	t.WireGuard.Test.the.result.Test
19940	64 61 74 65 3a 20 32 30 32 33 2d 30 32 2d 32 34 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d	date:.2023-02-24.Testdate:.2023-
19960	30 35 2d 31 31 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 38 2d 33 31 00 54 65 73 74 69	05-11.Testdate:.2023-08-31.Testi
19980	6e 67 00 54 65 73 74 69 6e 67 20 61 6e 64 20 64 65 62 75 67 67 69 6e 67 00 54 68 61 74 27 73 20	ng.Testing.and.debugging.That's.
199a0	68 6f 77 20 79 6f 75 20 63 61 6e 20 65 78 70 61 6e 64 20 74 68 65 20 65 78 61 6d 70 6c 65 20 61	how.you.can.expand.the.example.a
199c0	62 6f 76 65 2e 20 55 73 65 20 74 68 65 20 60 52 6f 75 74 65 64 20 2f 34 38 60 20 69 6e 66 6f 72	bove..Use.the.`Routed./48`.infor
199e0	6d 61 74 69 6f 6e 2e 20 54 68 69 73 20 61 6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 61 73 73 69 67	mation..This.allows.you.to.assig
19a00	6e 20 61 20 64 69 66 66 65 72 65 6e 74 20 2f 36 34 20 74 6f 20 65 76 65 72 79 20 69 6e 74 65 72	n.a.different./64.to.every.inter
19a20	66 61 63 65 2c 20 4c 41 4e 2c 20 6f 72 20 65 76 65 6e 20 64 65 76 69 63 65 2e 20 4f 72 20 79 6f	face,.LAN,.or.even.device..Or.yo
19a40	75 20 63 6f 75 6c 64 20 62 72 65 61 6b 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 20 69 6e 74 6f 20	u.could.break.your.network.into.
19a60	73 6d 61 6c 6c 65 72 20 63 68 75 6e 6b 73 20 6c 69 6b 65 20 2f 35 36 20 6f 72 20 2f 36 30 2e 00	smaller.chunks.like./56.or./60..
19a80	54 68 65 20 4c 61 62 20 61 73 75 6d 65 20 61 20 66 75 6c 6c 20 72 75 6e 6e 69 6e 67 20 41 63 74	The.Lab.asume.a.full.running.Act
19aa0	69 76 65 20 44 69 72 65 63 74 6f 72 79 20 6f 6e 20 74 68 65 20 57 69 6e 64 6f 77 73 20 53 65 72	ive.Directory.on.the.Windows.Ser
19ac0	76 65 72 2e 20 48 65 72 65 20 61 72 65 20 73 6f 6d 65 20 50 6f 77 65 72 53 68 65 6c 6c 20 63 6f	ver..Here.are.some.PowerShell.co
19ae0	6d 6d 61 6e 64 73 20 74 6f 20 71 75 69 63 6b 6c 79 20 61 64 64 20 61 20 54 65 73 74 20 41 63 74	mmands.to.quickly.add.a.Test.Act
19b00	69 76 65 20 44 69 72 65 63 74 6f 72 79 2e 00 54 68 65 20 54 6f 70 6f 6c 6f 67 79 20 61 72 65 20	ive.Directory..The.Topology.are.
19b20	63 6f 6e 73 69 73 74 73 20 6f 66 3a 00 54 68 65 20 56 79 4f 53 20 69 6e 74 65 72 66 61 63 65 20	consists.of:.The.VyOS.interface.
19b40	69 73 20 61 73 73 69 67 6e 65 64 20 74 68 65 20 2e 31 2f 3a 31 20 61 64 64 72 65 73 73 20 6f 66	is.assigned.the..1/:1.address.of
19b60	20 74 68 65 69 72 20 72 65 73 70 65 63 74 69 76 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 41 4e 20	.their.respective.networks..WAN.
19b80	69 73 20 6f 6e 20 56 4c 41 4e 20 31 30 2c 20 4c 41 4e 20 6f 6e 20 56 4c 41 4e 20 32 30 2c 20 61	is.on.VLAN.10,.LAN.on.VLAN.20,.a
19ba0	6e 64 20 44 4d 5a 20 6f 6e 20 56 4c 41 4e 20 33 30 2e 00 54 68 65 20 60 60 63 6f 6d 6d 69 74 60	nd.DMZ.on.VLAN.30..The.``commit`
19bc0	60 20 63 6f 6d 6d 61 6e 64 20 69 73 20 69 6d 70 6c 69 65 64 20 61 66 74 65 72 20 65 76 65 72 79	`.command.is.implied.after.every
19be0	20 73 65 63 74 69 6f 6e 2e 20 49 66 20 79 6f 75 20 6d 61 6b 65 20 61 6e 20 65 72 72 6f 72 2c 20	.section..If.you.make.an.error,.
19c00	60 60 63 6f 6d 6d 69 74 60 60 20 77 69 6c 6c 20 77 61 72 6e 20 79 6f 75 20 61 6e 64 20 79 6f 75	``commit``.will.warn.you.and.you
19c20	20 63 61 6e 20 66 69 78 20 69 74 20 62 65 66 6f 72 65 20 67 65 74 74 69 6e 67 20 74 6f 6f 20 66	.can.fix.it.before.getting.too.f
19c40	61 72 20 69 6e 74 6f 20 74 68 69 6e 67 73 2e 20 50 6c 65 61 73 65 20 65 6e 73 75 72 65 20 79 6f	ar.into.things..Please.ensure.yo
19c60	75 20 63 6f 6d 6d 69 74 20 65 61 72 6c 79 20 61 6e 64 20 63 6f 6d 6d 69 74 20 6f 66 74 65 6e 2e	u.commit.early.and.commit.often.
19c80	00 54 68 65 20 60 60 72 65 64 69 73 74 72 69 62 75 74 65 20 6f 73 70 66 60 60 20 63 6f 6d 6d 61	.The.``redistribute.ospf``.comma
19ca0	6e 64 20 69 73 20 74 68 65 72 65 20 70 75 72 65 6c 79 20 61 73 20 61 6e 20 65 78 61 6d 70 6c 65	nd.is.there.purely.as.an.example
19cc0	20 6f 66 20 68 6f 77 20 74 68 69 73 20 63 61 6e 20 62 65 20 65 78 70 61 6e 64 65 64 2e 20 49 6e	.of.how.this.can.be.expanded..In
19ce0	20 74 68 69 73 20 77 61 6c 6b 74 68 72 6f 75 67 68 2c 20 69 74 20 77 69 6c 6c 20 62 65 20 66 69	.this.walkthrough,.it.will.be.fi
19d00	6c 74 65 72 65 64 20 62 79 20 42 47 50 4f 55 54 20 72 75 6c 65 20 31 30 30 30 30 2c 20 61 73 20	ltered.by.BGPOUT.rule.10000,.as.
19d20	69 74 20 69 73 20 6e 6f 74 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32 34 2e 00 54 68 65 20 62 65	it.is.not.203.0.113.0/24..The.be
19d40	6c 6f 77 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 73 20 75 73 65 64 20 61 73 20 65 78 61	low.configuration.is.used.as.exa
19d60	6d 70 6c 65 20 77 68 65 72 65 20 77 65 20 6b 65 65 70 20 66 6f 63 75 73 20 6f 6e 20 56 79 4f 53	mple.where.we.keep.focus.on.VyOS
19d80	2d 50 31 2f 56 79 4f 53 2d 50 32 2f 58 52 76 2d 50 33 20 77 68 69 63 68 20 77 65 20 73 68 61 72	-P1/VyOS-P2/XRv-P3.which.we.shar
19da0	65 20 74 68 65 20 73 65 74 74 69 6e 67 73 2e 00 54 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f	e.the.settings..The.configuratio
19dc0	6e 20 73 74 65 70 73 20 61 72 65 20 74 68 65 20 73 61 6d 65 20 61 73 20 69 6e 20 74 68 65 20 70	n.steps.are.the.same.as.in.the.p
19de0	72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 65 78 63 65 70 74 20 72 75 6c 65 20 31 30 2e	revious.example,.except.rule.10.
19e00	20 53 6f 20 77 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2c 20 72	.So.we.keep.the.configuration,.r
19e20	65 6d 6f 76 65 20 72 75 6c 65 20 31 30 20 61 6e 64 20 61 64 64 20 61 20 6e 65 77 20 72 75 6c 65	emove.rule.10.and.add.a.new.rule
19e40	20 66 6f 72 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 6d 6f 64 65 3a 00 54 68 65 20 65 78 61 6d	.for.the.failover.mode:.The.exam
19e60	70 6c 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 73 20 32 20 56 79 4f 53 20 72 6f 75 74 65 72 73 2e	ple.topology.has.2.VyOS.routers.
19e80	20 4f 6e 65 20 61 73 20 54 68 65 20 57 41 4e 20 52 6f 75 74 65 72 20 61 6e 64 20 6f 6e 20 61 73	.One.as.The.WAN.Router.and.on.as
19ea0	20 61 20 43 6c 69 65 6e 74 2c 20 74 6f 20 74 65 73 74 20 61 20 73 69 6e 67 6c 65 20 4c 41 4e 20	.a.Client,.to.test.a.single.LAN.
19ec0	73 65 74 75 70 00 54 68 65 20 66 69 72 73 74 20 74 77 6f 20 72 75 6c 65 73 20 61 72 65 20 74 6f	setup.The.first.two.rules.are.to
19ee0	20 64 65 61 6c 20 77 69 74 68 20 74 68 65 20 69 64 69 6f 73 79 6e 63 72 61 73 69 65 73 20 6f 66	.deal.with.the.idiosyncrasies.of
19f00	20 56 79 4f 53 20 61 6e 64 20 69 70 74 61 62 6c 65 73 2e 00 54 68 65 20 66 6f 6c 6c 6f 77 69 6e	.VyOS.and.iptables..The.followin
19f20	67 20 61 72 65 20 74 68 65 20 72 75 6c 65 73 20 74 68 61 74 20 77 65 72 65 20 63 72 65 61 74 65	g.are.the.rules.that.were.create
19f40	64 20 66 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 28 6d 61 79 20 6e 6f 74 20 62 65 20 63	d.for.this.example.(may.not.be.c
19f60	6f 6d 70 6c 65 74 65 29 2c 20 62 6f 74 68 20 69 6e 20 49 50 76 34 20 61 6e 64 20 49 50 76 36 2e	omplete),.both.in.IPv4.and.IPv6.
19f80	20 49 66 20 74 68 65 72 65 20 69 73 20 6e 6f 20 49 50 20 73 70 65 63 69 66 69 65 64 2c 20 74 68	.If.there.is.no.IP.specified,.th
19fa0	65 6e 20 74 68 65 20 73 6f 75 72 63 65 2f 64 65 73 74 69 6e 61 74 69 6f 6e 20 61 64 64 72 65 73	en.the.source/destination.addres
19fc0	73 20 69 73 20 6e 6f 74 20 65 78 70 6c 69 63 69 74 2e 00 54 68 65 20 66 6f 6c 6c 6f 77 69 6e 67	s.is.not.explicit..The.following
19fe0	20 73 6f 66 74 77 61 72 65 20 77 61 73 20 75 73 65 64 20 69 6e 20 74 68 65 20 63 72 65 61 74 69	.software.was.used.in.the.creati
1a000	6f 6e 20 6f 66 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 3a 00 54 68 65 20 66 6f 6c 6c 6f 77 69	on.of.this.document:.The.followi
1a020	6e 67 20 74 65 6d 70 6c 61 74 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 61 6e 20 62 65	ng.template.configuration.can.be
1a040	20 75 73 65 64 20 69 6e 20 65 61 63 68 20 72 65 6d 6f 74 65 20 72 6f 75 74 65 72 20 62 61 73 65	.used.in.each.remote.router.base
1a060	64 20 69 6e 20 6f 75 72 20 74 6f 70 6f 6c 6f 67 79 2e 00 54 68 65 20 66 6f 72 6d 61 74 20 6f 66	d.in.our.topology..The.format.of
1a080	20 74 68 65 73 65 20 61 64 64 72 65 73 73 65 73 3a 00 54 68 65 20 6c 61 62 20 49 20 62 75 69 6c	.these.addresses:.The.lab.I.buil
1a0a0	74 20 69 73 20 75 73 69 6e 67 20 61 20 56 52 46 20 28 63 61 6c 6c 65 64 20 2a 2a 6d 67 6d 74 2a	t.is.using.a.VRF.(called.*mgmt
1a0c0	2a 29 20 74 6f 20 70 72 6f 76 69 64 65 20 6f 75 74 2d 6f 66 2d 62 61 6e 64 20 53 53 48 20 61 63	*).to.provide.out-of-band.SSH.ac
1a0e0	63 65 73 73 20 74 6f 20 74 68 65 20 50 45 20 28 50 72 6f 76 69 64 65 72 20 45 64 67 65 29 20 72	cess.to.the.PE.(Provider.Edge).r
1a100	6f 75 74 65 72 73 2e 00 54 68 65 20 6e 65 78 74 20 70 61 67 65 73 20 63 6f 6e 74 61 69 6e 73 20	outers..The.next.pages.contains.
1a120	61 75 74 6f 6d 61 74 69 63 20 66 75 6c 6c 20 74 65 73 74 65 64 20 63 6f 6e 66 69 67 75 72 61 74	automatic.full.tested.configurat
1a140	69 6f 6e 20 65 78 61 6d 70 6c 65 73 2e 00 54 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70	ion.examples..The.previous.examp
1a160	6c 65 20 75 73 65 64 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 63 6f 6d 6d 61 6e 64 20 74 6f 20	le.used.the.failover.command.to.
1a180	73 65 6e 64 20 74 72 61 66 66 69 63 20 74 68 72 6f 75 67 68 20 65 74 68 31 20 69 66 20 65 74 68	send.traffic.through.eth1.if.eth
1a1a0	30 20 66 61 69 6c 73 2e 20 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 2c 20 66 61 69 6c 6f 76	0.fails..In.this.example,.failov
1a1c0	65 72 20 66 75 6e 63 74 69 6f 6e 61 6c 69 74 79 20 69 73 20 70 72 6f 76 69 64 65 64 20 62 79 20	er.functionality.is.provided.by.
1a1e0	72 75 6c 65 20 6f 72 64 65 72 2e 00 54 68 65 20 70 72 6f 63 65 73 73 20 77 69 6c 6c 20 64 6f 20	rule.order..The.process.will.do.
1a200	74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 73 74 65 70 73 3a 00 54 68 65 20 73 63 6f 70 65 20 6f	the.following.steps:.The.scope.o
1a220	66 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 63 6f 76 65 72 20 73 75 63 68	f.this.document.is.to.cover.such
1a240	20 63 61 73 65 73 20 69 6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61 79 20 77 69 74 68 6f 75 74 20	.cases.in.a.dynamic.way.without.
1a260	74 68 65 20 75 73 65 20 6f 66 20 4d 50 4c 53 2d 4c 44 50 2e 00 54 68 65 20 73 65 74 75 70 20 75	the.use.of.MPLS-LDP..The.setup.u
1a280	73 65 64 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 69 73 20 73 68 6f 77 6e 20 69 6e 20	sed.in.this.example.is.shown.in.
1a2a0	74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 64 69 61 67 72 61 6d 3a 00 54 68 65 20 73 69 6d 70 6c	the.following.diagram:.The.simpl
1a2c0	65 73 74 20 77 61 79 20 74 6f 20 74 65 73 74 20 69 73 20 74 6f 20 6c 6f 6f 6b 20 61 74 20 74 68	est.way.to.test.is.to.look.at.th
1a2e0	65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 72 61 63 6b 69 6e 67 20 73 74 61 74 73 20 6f 6e 20 74	e.connection.tracking.stats.on.t
1a300	68 65 20 73 74 61 6e 64 62 79 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 20 77 69 74 68 20	he.standby.hardware.router.with.
1a320	74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 68 6f 77 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e	the.command.``show.conntrack-syn
1a340	63 20 73 74 61 74 69 73 74 69 63 73 60 60 2e 20 54 68 65 20 6e 75 6d 62 65 72 73 20 73 68 6f 75	c.statistics``..The.numbers.shou
1a360	6c 64 20 62 65 20 76 65 72 79 20 63 6c 6f 73 65 20 74 6f 20 74 68 65 20 6e 75 6d 62 65 72 73 20	ld.be.very.close.to.the.numbers.
1a380	6f 6e 20 74 68 65 20 70 72 69 6d 61 72 79 20 72 6f 75 74 65 72 2e 00 54 68 65 20 73 79 6e 63 20	on.the.primary.router..The.sync.
1a3a0	67 72 6f 75 70 20 69 73 20 75 73 65 64 20 74 6f 20 72 65 70 6c 69 63 61 74 65 20 63 6f 6e 6e 65	group.is.used.to.replicate.conne
1a3c0	63 74 69 6f 6e 20 74 72 61 63 6b 69 6e 67 2e 20 49 74 20 6e 65 65 64 73 20 74 6f 20 62 65 20 61	ction.tracking..It.needs.to.be.a
1a3e0	73 73 69 67 6e 65 64 20 74 6f 20 61 20 72 61 6e 64 6f 6d 20 56 52 52 50 20 67 72 6f 75 70 2c 20	ssigned.to.a.random.VRRP.group,.
1a400	61 6e 64 20 77 65 20 61 72 65 20 63 72 65 61 74 69 6e 67 20 61 20 73 79 6e 63 20 67 72 6f 75 70	and.we.are.creating.a.sync.group
1a420	20 63 61 6c 6c 65 64 20 60 60 73 79 6e 63 60 60 20 75 73 69 6e 67 20 74 68 65 20 76 72 72 70 20	.called.``sync``.using.the.vrrp.
1a440	67 72 6f 75 70 20 60 60 69 6e 74 60 60 2e 00 54 68 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 73 20	group.``int``..The.topology.has.
1a460	33 20 56 79 4f 53 20 72 6f 75 74 65 72 73 20 61 6e 64 20 6f 6e 65 20 63 6c 69 65 6e 74 2e 20 42	3.VyOS.routers.and.one.client..B
1a480	65 74 77 65 65 6e 20 74 68 65 20 44 48 43 50 20 53 65 72 76 65 72 20 61 6e 64 20 74 68 65 20 44	etween.the.DHCP.Server.and.the.D
1a4a0	48 43 50 20 52 65 6c 61 79 20 69 73 20 61 20 47 52 45 20 74 75 6e 6e 65 6c 2e 20 54 68 65 20 60	HCP.Relay.is.a.GRE.tunnel..The.`
1a4c0	74 72 61 6e 73 70 6f 72 74 60 20 56 79 4f 53 20 72 65 70 72 65 73 65 6e 74 20 61 20 6c 61 72 67	transport`.VyOS.represent.a.larg
1a4e0	65 20 4e 65 74 77 6f 72 6b 2e 00 54 68 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 76 65 20 61 20 63	e.Network..The.topology.have.a.c
1a500	65 6e 74 72 61 6c 20 61 6e 64 20 61 20 62 72 61 6e 63 68 20 56 79 4f 53 20 72 6f 75 74 65 72 20	entral.and.a.branch.VyOS.router.
1a520	61 6e 64 20 6f 6e 65 20 63 6c 69 65 6e 74 2c 20 74 6f 20 74 65 73 74 2c 20 69 6e 20 65 61 63 68	and.one.client,.to.test,.in.each
1a540	20 73 69 74 65 2e 00 54 68 65 6e 20 61 64 64 20 61 20 72 6f 75 74 65 2d 6d 61 70 20 61 6e 64 20	.site..Then.add.a.route-map.and.
1a560	72 65 66 65 72 65 6e 63 65 20 74 6f 20 61 62 6f 76 65 20 70 72 65 66 69 78 2e 20 43 6f 6e 73 69	reference.to.above.prefix..Consi
1a580	64 65 72 20 74 68 61 74 20 74 68 65 20 61 63 74 69 6f 6e 73 20 74 61 6b 65 6e 20 69 6e 73 69 64	der.that.the.actions.taken.insid
1a5a0	65 20 74 68 65 20 70 72 65 66 69 78 20 77 69 6c 6c 20 4d 41 54 43 48 20 74 68 65 20 72 6f 75 74	e.the.prefix.will.MATCH.the.rout
1a5c0	65 73 20 74 68 61 74 20 77 69 6c 6c 20 62 65 20 61 66 66 65 63 74 65 64 20 62 79 20 74 68 65 20	es.that.will.be.affected.by.the.
1a5e0	61 63 74 69 6f 6e 73 20 69 6e 73 69 64 65 20 74 68 65 20 72 75 6c 65 73 20 6f 66 20 74 68 65 20	actions.inside.the.rules.of.the.
1a600	72 6f 75 74 65 2d 6d 61 70 2e 00 54 68 65 6e 20 77 65 20 6e 65 65 64 20 74 6f 20 61 74 74 61 63	route-map..Then.we.need.to.attac
1a620	68 20 74 68 65 20 70 6f 6c 69 63 79 20 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 2e	h.the.policy.to.the.BGP.process.
1a640	20 54 68 69 73 20 6e 65 65 64 73 20 74 6f 20 62 65 20 75 6e 64 65 72 20 74 68 65 20 69 6d 70 6f	.This.needs.to.be.under.the.impo
1a660	72 74 20 73 74 61 74 65 6d 65 6e 74 20 69 6e 20 74 68 65 20 76 72 66 20 77 65 20 6e 65 65 64 20	rt.statement.in.the.vrf.we.need.
1a680	74 6f 20 66 69 6c 74 65 72 2e 00 54 68 65 72 65 20 61 72 65 20 73 6f 6d 65 20 63 61 73 65 73 20	to.filter..There.are.some.cases.
1a6a0	77 68 65 72 65 20 74 68 69 73 20 69 73 20 6e 6f 74 20 6e 65 65 64 65 64 20 2d 66 6f 72 20 65 78	where.this.is.not.needed.-for.ex
1a6c0	61 6d 70 6c 65 2c 20 69 6e 20 73 6f 6d 65 20 44 44 6f 53 20 61 70 70 6c 69 61 6e 63 65 2d 20 62	ample,.in.some.DDoS.appliance-.b
1a6e0	75 74 20 6d 6f 73 74 20 69 6e 74 65 72 2d 76 72 66 20 72 6f 75 74 69 6e 67 20 64 65 73 69 67 6e	ut.most.inter-vrf.routing.design
1a700	73 20 75 73 65 20 74 68 65 20 61 62 6f 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 2e 00	s.use.the.above.configurations..
1a720	54 68 65 72 65 20 69 73 20 70 6c 65 6e 74 79 20 6f 66 20 69 6e 73 74 72 75 63 74 69 6f 6e 73 20	There.is.plenty.of.instructions.
1a740	61 6e 64 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 6f 6e 20 73 65 74 74 69 6e 67 20 75 70 20	and.documentation.on.setting.up.
1a760	57 69 72 65 67 75 61 72 64 2e 20 54 68 65 20 6f 6e 6c 79 20 69 6d 70 6f 72 74 61 6e 74 20 74 68	Wireguard..The.only.important.th
1a780	69 6e 67 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 72 65 6d 65 6d 62 65 72 20 69 73 20 74 6f 20 6f	ing.you.need.to.remember.is.to.o
1a7a0	6e 6c 79 20 75 73 65 20 6f 6e 65 20 57 69 72 65 47 75 61 72 64 20 69 6e 74 65 72 66 61 63 65 20	nly.use.one.WireGuard.interface.
1a7c0	70 65 72 20 4f 53 50 46 20 63 6f 6e 6e 65 63 74 69 6f 6e 2e 00 54 68 65 73 65 20 61 72 65 20 74	per.OSPF.connection..These.are.t
1a7e0	68 65 20 76 6c 61 6e 73 20 77 65 20 77 69 6c 6c 20 62 65 20 75 73 69 6e 67 3a 00 54 68 65 79 20	he.vlans.we.will.be.using:.They.
1a800	77 61 6e 74 20 75 73 20 74 6f 20 65 73 74 61 62 6c 69 73 68 20 61 20 42 47 50 20 73 65 73 73 69	want.us.to.establish.a.BGP.sessi
1a820	6f 6e 20 74 6f 20 74 68 65 69 72 20 72 6f 75 74 65 72 73 20 6f 6e 20 31 39 32 2e 30 2e 32 2e 31	on.to.their.routers.on.192.0.2.1
1a840	31 20 61 6e 64 20 31 39 32 2e 30 2e 32 2e 31 32 20 66 72 6f 6d 20 6f 75 72 20 72 6f 75 74 65 72	1.and.192.0.2.12.from.our.router
1a860	73 20 31 39 32 2e 30 2e 32 2e 32 31 20 61 6e 64 20 31 39 32 2e 30 2e 32 2e 32 32 2e 20 54 68 65	s.192.0.2.21.and.192.0.2.22..The
1a880	79 20 61 72 65 20 41 53 20 36 35 35 35 30 20 61 6e 64 20 77 65 20 61 72 65 20 41 53 20 36 35 35	y.are.AS.65550.and.we.are.AS.655
1a8a0	35 31 2e 00 54 68 69 73 20 4c 41 42 20 73 68 6f 77 20 68 6f 77 20 74 6f 20 75 77 65 20 4f 70 65	51..This.LAB.show.how.to.uwe.Ope
1a8c0	6e 56 50 4e 20 77 69 74 68 20 61 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 61 75 74	nVPN.with.a.Active.Directory.aut
1a8e0	68 65 6e 74 69 63 61 74 69 6f 6e 20 62 61 63 6b 65 6e 64 2e 00 54 68 69 73 20 61 63 63 6f 6d 70	hentication.backend..This.accomp
1a900	6c 69 73 68 65 73 20 61 20 66 65 77 20 74 68 69 6e 67 73 3a 00 54 68 69 73 20 63 68 61 70 74 65	lishes.a.few.things:.This.chapte
1a920	72 20 63 6f 6e 74 61 69 6e 73 20 76 61 72 69 6f 75 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e	r.contains.various.configuration
1a940	20 65 78 61 6d 70 6c 65 73 3a 00 54 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78	.examples:.This.configuration.ex
1a960	61 6d 70 6c 65 20 61 6e 64 20 74 68 65 20 72 65 71 75 69 72 6d 65 6e 74 73 20 63 6f 6e 73 69 73	ample.and.the.requirments.consis
1a980	74 73 20 6f 6e 3a 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 61 69 6d 73 20 74 6f 20 77 61 6c	ts.on:.This.document.aims.to.wal
1a9a0	6b 20 79 6f 75 20 74 68 72 6f 75 67 68 20 73 65 74 74 69 6e 67 20 65 76 65 72 79 74 68 69 6e 67	k.you.through.setting.everything
1a9c0	20 75 70 2c 20 73 6f 20 61 74 20 61 20 70 6f 69 6e 74 20 77 68 65 72 65 20 79 6f 75 20 63 61 6e	.up,.so.at.a.point.where.you.can
1a9e0	20 72 65 62 6f 6f 74 20 61 6e 79 20 6d 61 63 68 69 6e 65 20 61 6e 64 20 6e 6f 74 20 6c 6f 73 65	.reboot.any.machine.and.not.lose
1aa00	20 6d 6f 72 65 20 74 68 61 6e 20 61 20 66 65 77 20 73 65 63 6f 6e 64 73 20 77 6f 72 74 68 20 6f	.more.than.a.few.seconds.worth.o
1aa20	66 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 2e 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73	f.connectivity..This.document.is
1aa40	20 74 6f 20 64 65 73 63 72 69 62 65 20 61 20 62 61 73 69 63 20 73 65 74 75 70 20 75 73 69 6e 67	.to.describe.a.basic.setup.using
1aa60	20 50 50 50 6f 45 20 77 69 74 68 20 44 48 43 50 76 36 2d 50 44 20 2b 20 53 4c 41 41 43 20 74 6f	.PPPoE.with.DHCPv6-PD.+.SLAAC.to
1aa80	20 63 6f 6e 73 74 72 75 63 74 20 61 20 74 79 70 69 63 61 6c 20 68 6f 6d 65 20 6e 65 74 77 6f 72	.construct.a.typical.home.networ
1aaa0	6b 2e 20 54 68 65 20 75 73 65 72 20 63 61 6e 20 66 6f 6c 6c 6f 77 20 74 68 65 20 73 74 65 70 73	k..The.user.can.follow.the.steps
1aac0	20 64 65 73 63 72 69 62 65 64 20 68 65 72 65 20 74 6f 20 71 75 69 63 6b 6c 79 20 73 65 74 75 70	.described.here.to.quickly.setup
1aae0	20 61 20 77 6f 72 6b 69 6e 67 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 75 73 65 20 74 68 69 73 20	.a.working.network.and.use.this.
1ab00	61 73 20 61 20 73 74 61 72 74 69 6e 67 20 70 6f 69 6e 74 20 74 6f 20 66 75 72 74 68 65 72 20 63	as.a.starting.point.to.further.c
1ab20	6f 6e 66 69 67 75 72 65 20 6f 72 20 66 69 6e 65 2d 74 75 6e 65 20 6f 74 68 65 72 20 73 65 74 74	onfigure.or.fine-tune.other.sett
1ab40	69 6e 67 73 2e 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77 61 6c 6b 73 20 79 6f 75 20 74 68	ings..This.document.walks.you.th
1ab60	72 6f 75 67 68 20 61 20 63 6f 6d 70 6c 65 74 65 20 48 41 20 73 65 74 75 70 20 6f 66 20 74 77 6f	rough.a.complete.HA.setup.of.two
1ab80	20 56 79 4f 53 20 6d 61 63 68 69 6e 65 73 2e 20 54 68 69 73 20 64 65 73 69 67 6e 20 69 73 20 62	.VyOS.machines..This.design.is.b
1aba0	61 73 65 64 20 6f 6e 20 61 20 56 4d 20 61 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 72 6f 75 74	ased.on.a.VM.as.the.primary.rout
1abc0	65 72 20 61 6e 64 20 61 20 70 68 79 73 69 63 61 6c 20 6d 61 63 68 69 6e 65 20 61 73 20 61 20 62	er.and.a.physical.machine.as.a.b
1abe0	61 63 6b 75 70 2c 20 75 73 69 6e 67 20 56 52 52 50 2c 20 42 47 50 2c 20 4f 53 50 46 2c 20 61 6e	ackup,.using.VRRP,.BGP,.OSPF,.an
1ac00	64 20 63 6f 6e 6e 74 72 61 63 6b 20 73 68 61 72 69 6e 67 2e 00 54 68 69 73 20 65 6e 73 75 72 65	d.conntrack.sharing..This.ensure
1ac20	73 20 79 6f 75 20 64 6f 6e 27 74 20 67 6f 20 74 6f 6f 20 66 61 73 74 20 6f 72 20 6d 69 73 73 20	s.you.don't.go.too.fast.or.miss.
1ac40	61 20 73 74 65 70 2e 20 48 6f 77 65 76 65 72 2c 20 69 74 20 77 69 6c 6c 20 6d 61 6b 65 20 79 6f	a.step..However,.it.will.make.yo
1ac60	75 72 20 6c 69 66 65 20 65 61 73 69 65 72 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20	ur.life.easier.to.configure.the.
1ac80	66 69 78 65 64 20 49 50 20 61 64 64 72 65 73 73 20 61 6e 64 20 64 65 66 61 75 6c 74 20 72 6f 75	fixed.IP.address.and.default.rou
1aca0	74 65 20 6e 6f 77 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 54	te.now.on.the.hardware.router..T
1acc0	68 69 73 20 65 78 61 6d 70 6c 65 20 75 73 65 73 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 6d 6f	his.example.uses.the.failover.mo
1ace0	64 65 2e 00 54 68 69 73 20 67 69 76 65 73 20 75 73 20 4d 50 4c 53 20 73 65 67 6d 65 6e 74 20 72	de..This.gives.us.MPLS.segment.r
1ad00	6f 75 74 69 6e 67 20 65 6e 61 62 6c 65 64 20 61 6e 64 20 6c 61 62 65 6c 73 20 66 6f 72 77 61 72	outing.enabled.and.labels.forwar
1ad20	64 69 6e 67 20 3a 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70	ding.:.This.guide.shows.an.examp
1ad40	6c 65 20 6f 66 20 61 20 72 65 64 75 6e 64 61 6e 74 20 28 61 63 74 69 76 65 2d 61 63 74 69 76 65	le.of.a.redundant.(active-active
1ad60	29 20 72 6f 75 74 65 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65	).route-based.IKEv2.site-to-site
1ad80	20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 75 73 69 6e 67 20 56 54 49 20 61 6e 64 20 42 47 50 20	.VPN.to.Azure.using.VTI.and.BGP.
1ada0	66 6f 72 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 70 64 61 74 65 73 2e 00 54 68 69	for.dynamic.routing.updates..Thi
1adc0	73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 20 72 6f	s.guide.shows.an.example.of.a.ro
1ade0	75 74 65 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e	ute-based.IKEv2.site-to-site.VPN
1ae00	20 74 6f 20 41 7a 75 72 65 20 75 73 69 6e 67 20 56 54 49 20 61 6e 64 20 42 47 50 20 66 6f 72 20	.to.Azure.using.VTI.and.BGP.for.
1ae20	64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 70 64 61 74 65 73 2e 00 54 68 69 73 20 67 75	dynamic.routing.updates..This.gu
1ae40	69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 70 6f 6c 69 63 79 2d 62 61 73 65	ide.shows.an.example.policy-base
1ae60	64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 62 65 74 77 65 65 6e	d.IKEv2.site-to-site.VPN.between
1ae80	20 74 77 6f 20 56 79 4f 53 20 72 6f 75 74 65 72 73 2c 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20	.two.VyOS.routers,.and.firewall.
1aea0	63 6f 6e 66 69 67 69 75 72 61 74 69 6f 6e 2e 00 54 68 69 73 20 67 75 69 64 65 20 77 61 6c 6b 73	configiuration..This.guide.walks
1aec0	20 74 68 72 6f 75 67 68 20 74 68 65 20 73 65 74 75 70 20 6f 66 20 68 74 74 70 73 3a 2f 2f 77 77	.through.the.setup.of.https://ww
1aee0	77 2e 74 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 20 66 6f 72 20 61 6e 20 49 50 76 36 20	w.tunnelbroker.net/.for.an.IPv6.
1af00	54 75 6e 6e 65 6c 2e 00 54 68 69 73 20 68 61 73 20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61	Tunnel..This.has.a.floating.IP.a
1af20	64 64 72 65 73 73 20 6f 66 20 31 30 2e 32 30 30 2e 32 30 31 2e 31 2f 32 34 2c 20 75 73 69 6e 67	ddress.of.10.200.201.1/24,.using
1af40	20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 32 30 31 2e 20 54 68 65 20 64 69 66 66	.virtual.router.ID.201..The.diff
1af60	65 72 65 6e 63 65 20 62 65 74 77 65 65 6e 20 74 68 65 6d 20 69 73 20 74 68 65 20 69 6e 74 65 72	erence.between.them.is.the.inter
1af80	66 61 63 65 20 6e 61 6d 65 2c 20 68 65 6c 6c 6f 2d 73 6f 75 72 63 65 2d 61 64 64 72 65 73 73 2c	face.name,.hello-source-address,
1afa0	20 61 6e 64 20 70 65 65 72 2d 61 64 64 72 65 73 73 2e 00 54 68 69 73 20 68 61 73 20 61 20 66 6c	.and.peer-address..This.has.a.fl
1afc0	6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 32 30 33 2e 30 2e 31 31 33 2e 31	oating.IP.address.of.203.0.113.1
1afe0	2f 32 34 2c 20 75 73 69 6e 67 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 31 31 33	/24,.using.virtual.router.ID.113
1b000	2e 20 54 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 69 73 20 6a 75 73 74 20	..The.virtual.router.ID.is.just.
1b020	61 20 72 61 6e 64 6f 6d 20 6e 75 6d 62 65 72 20 62 65 74 77 65 65 6e 20 31 20 61 6e 64 20 32 35	a.random.number.between.1.and.25
1b040	34 2c 20 61 6e 64 20 63 61 6e 20 62 65 20 73 65 74 20 74 6f 20 77 68 61 74 65 76 65 72 20 79 6f	4,.and.can.be.set.to.whatever.yo
1b060	75 20 77 61 6e 74 2e 20 42 65 73 74 20 70 72 61 63 74 69 63 65 73 20 73 75 67 67 65 73 74 20 79	u.want..Best.practices.suggest.y
1b080	6f 75 20 74 72 79 20 74 6f 20 6b 65 65 70 20 74 68 65 6d 20 75 6e 69 71 75 65 20 65 6e 74 65 72	ou.try.to.keep.them.unique.enter
1b0a0	70 72 69 73 65 2d 77 69 64 65 2e 00 54 68 69 73 20 69 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f	prise-wide..This.is.an.example.o
1b0c0	66 20 74 68 65 20 74 68 72 65 65 20 62 61 73 65 20 72 75 6c 65 73 2e 00 54 68 69 73 20 69 73 20	f.the.three.base.rules..This.is.
1b0e0	62 61 73 65 64 20 6f 6e 20 61 20 72 65 61 6c 2d 6c 69 66 65 20 70 72 6f 64 75 63 74 69 6f 6e 20	based.on.a.real-life.production.
1b100	64 65 73 69 67 6e 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 63 6f 6d 70 6c 65 78 20 69 73 73 75 65	design..One.of.the.complex.issue
1b120	73 20 69 73 20 65 6e 73 75 72 69 6e 67 20 79 6f 75 20 68 61 76 65 20 72 65 64 75 6e 64 61 6e 74	s.is.ensuring.you.have.redundant
1b140	20 64 61 74 61 20 49 4e 54 4f 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 2e 20 57 65 20 64 6f 20 74	.data.INTO.your.network..We.do.t
1b160	68 69 73 20 77 69 74 68 20 61 20 70 61 69 72 20 6f 66 20 43 69 73 63 6f 20 4e 65 78 75 73 20 73	his.with.a.pair.of.Cisco.Nexus.s
1b180	77 69 74 63 68 65 73 20 61 6e 64 20 75 73 69 6e 67 20 56 69 72 74 75 61 6c 20 50 6f 72 74 43 68	witches.and.using.Virtual.PortCh
1b1a0	61 6e 6e 65 6c 73 20 74 68 61 74 20 61 72 65 20 73 70 61 6e 6e 65 64 20 61 63 72 6f 73 73 20 74	annels.that.are.spanned.across.t
1b1c0	68 65 6d 2e 20 41 73 20 61 20 62 6f 6e 75 73 2c 20 74 68 69 73 20 61 6c 73 6f 20 61 6c 6c 6f 77	hem..As.a.bonus,.this.also.allow
1b1e0	73 20 66 6f 72 20 63 6f 6d 70 6c 65 74 65 20 73 77 69 74 63 68 20 66 61 69 6c 75 72 65 20 77 69	s.for.complete.switch.failure.wi
1b200	74 68 6f 75 74 20 61 6e 20 6f 75 74 61 67 65 2e 20 48 6f 77 20 79 6f 75 20 61 63 68 69 65 76 65	thout.an.outage..How.you.achieve
1b220	20 74 68 69 73 20 79 6f 75 72 73 65 6c 66 20 69 73 20 6c 65 66 74 20 61 73 20 61 6e 20 65 78 65	.this.yourself.is.left.as.an.exe
1b240	72 63 69 73 65 20 74 6f 20 74 68 65 20 72 65 61 64 65 72 2e 20 42 75 74 20 6f 75 72 20 73 65 74	rcise.to.the.reader..But.our.set
1b260	75 70 20 69 73 20 64 6f 63 75 6d 65 6e 74 65 64 20 68 65 72 65 2e 00 54 68 69 73 20 69 73 20 63	up.is.documented.here..This.is.c
1b280	6f 6e 6e 65 63 74 69 6e 67 20 62 61 63 6b 20 74 6f 20 74 68 65 20 53 54 41 54 49 43 20 49 50 20	onnecting.back.to.the.STATIC.IP.
1b2a0	6f 66 20 72 6f 75 74 65 72 31 2c 20 6e 6f 74 20 74 68 65 20 66 6c 6f 61 74 69 6e 67 2e 00 54 68	of.router1,.not.the.floating..Th
1b2c0	69 73 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 62 75 74 20 79 6f 75 20 75 73 65 20 74 68 65	is.is.identical,.but.you.use.the
1b2e0	20 42 47 50 50 52 45 50 45 4e 44 4f 55 54 20 72 6f 75 74 65 2d 6d 61 70 20 74 6f 20 61 64 76 65	.BGPPREPENDOUT.route-map.to.adve
1b300	72 74 69 73 65 20 74 68 65 20 72 6f 75 74 65 20 77 69 74 68 20 61 20 6c 6f 6e 67 65 72 20 70 61	rtise.the.route.with.a.longer.pa
1b320	74 68 2e 00 54 68 69 73 20 69 73 20 69 67 6e 6f 72 69 6e 67 20 74 68 65 20 65 78 74 72 61 20 4f	th..This.is.ignoring.the.extra.O
1b340	75 74 2d 6f 66 2d 62 61 6e 64 20 6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f 72 6b 69 6e 67	ut-of-band.management.networking
1b360	2c 20 77 68 69 63 68 20 73 68 6f 75 6c 64 20 62 65 20 6f 6e 20 74 6f 74 61 6c 6c 79 20 64 69 66	,.which.should.be.on.totally.dif
1b380	66 65 72 65 6e 74 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 61 20 64 69 66 66 65 72 65 6e 74	ferent.switches,.and.a.different
1b3a0	20 66 65 65 64 20 69 6e 74 6f 20 74 68 65 20 72 61 63 6b 2c 20 61 6e 64 20 69 73 20 6f 75 74 20	.feed.into.the.rack,.and.is.out.
1b3c0	6f 66 20 73 63 6f 70 65 20 6f 66 20 74 68 69 73 2e 00 54 68 69 73 20 73 63 65 6e 61 72 69 6f 20	of.scope.of.this..This.scenario.
1b3e0	63 6f 75 6c 64 20 62 65 20 61 20 6e 69 67 68 74 6d 61 72 65 20 61 70 70 6c 79 69 6e 67 20 72 65	could.be.a.nightmare.applying.re
1b400	67 75 6c 61 72 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 6d 69 67 68 74 20 6e 65 65 64 20 66 69 6c	gular.routing.and.might.need.fil
1b420	74 65 72 69 6e 67 20 69 6e 20 6d 75 6c 74 69 70 6c 65 20 69 6e 74 65 72 66 61 63 65 73 2e 00 54	tering.in.multiple.interfaces..T
1b440	68 69 73 20 73 65 63 74 69 6f 6e 20 64 65 73 63 72 69 62 65 73 20 76 65 72 69 66 69 63 61 74 69	his.section.describes.verificati
1b460	6f 6e 20 63 6f 6d 6d 61 6e 64 73 20 66 6f 72 20 4d 50 4c 53 2f 42 47 50 2f 4c 44 50 20 70 72 6f	on.commands.for.MPLS/BGP/LDP.pro
1b480	74 6f 63 6f 6c 73 20 61 6e 64 20 4c 33 56 50 4e 20 72 65 6c 61 74 65 64 20 72 6f 75 74 65 73 20	tocols.and.L3VPN.related.routes.
1b4a0	61 73 20 77 65 6c 6c 20 61 73 20 64 69 61 67 6e 6f 73 69 73 20 61 6e 64 20 72 65 61 63 68 61 62	as.well.as.diagnosis.and.reachab
1b4c0	69 6c 69 74 79 20 63 68 65 63 6b 73 20 62 65 74 77 65 65 6e 20 43 45 20 6e 6f 64 65 73 2e 00 54	ility.checks.between.CE.nodes..T
1b4e0	68 69 73 20 73 65 63 74 69 6f 6e 20 70 72 6f 76 69 64 65 73 20 63 6f 6e 66 69 67 75 72 61 74 69	his.section.provides.configurati
1b500	6f 6e 20 73 74 65 70 73 20 66 6f 72 20 73 65 74 74 69 6e 67 20 75 70 20 56 52 46 73 20 6f 6e 20	on.steps.for.setting.up.VRFs.on.
1b520	6f 75 72 20 50 45 20 6e 6f 64 65 73 20 69 6e 63 6c 75 64 69 6e 67 20 43 45 20 66 61 63 69 6e 67	our.PE.nodes.including.CE.facing
1b540	20 69 6e 74 65 72 66 61 63 65 73 2c 20 42 47 50 2c 20 72 64 20 61 6e 64 20 72 6f 75 74 65 2d 74	.interfaces,.BGP,.rd.and.route-t
1b560	61 72 67 65 74 20 69 6d 70 6f 72 74 2f 65 78 70 6f 72 74 20 62 61 73 65 64 20 6f 6e 20 74 68 65	arget.import/export.based.on.the
1b580	20 70 72 65 2d 64 65 66 69 6e 65 64 20 70 61 72 61 6d 65 74 65 72 73 2e 00 54 68 69 73 20 73 69	.pre-defined.parameters..This.si
1b5a0	6d 70 6c 65 20 73 74 72 75 63 74 75 72 65 20 73 68 6f 77 20 68 6f 77 20 74 6f 20 63 6f 6e 6e 65	mple.structure.show.how.to.conne
1b5c0	63 74 20 74 77 6f 20 6f 66 66 69 63 65 73 2e 20 4f 6e 65 20 72 65 6d 6f 74 65 20 62 72 61 6e 63	ct.two.offices..One.remote.branc
1b5e0	68 20 61 6e 64 20 74 68 65 20 63 65 6e 74 72 61 6c 20 6f 66 66 69 63 65 2e 00 54 68 69 73 20 73	h.and.the.central.office..This.s
1b600	69 6d 70 6c 65 20 73 74 72 75 63 74 75 72 65 20 73 68 6f 77 73 20 68 6f 77 20 74 6f 20 63 6f 6e	imple.structure.shows.how.to.con
1b620	66 69 67 75 72 65 20 61 20 44 48 43 50 20 52 65 6c 61 79 20 6f 76 65 72 20 61 20 47 52 45 20 42	figure.a.DHCP.Relay.over.a.GRE.B
1b640	72 69 64 67 65 20 69 6e 74 65 72 66 61 63 65 2e 00 54 68 69 73 20 77 69 6c 6c 20 62 65 20 76 69	ridge.interface..This.will.be.vi
1b660	73 69 62 6c 65 20 69 6e 20 27 73 68 6f 77 20 69 70 20 72 6f 75 74 65 27 2e 00 54 68 75 73 20 79	sible.in.'show.ip.route'..Thus.y
1b680	6f 75 20 63 61 6e 20 65 61 73 69 6c 79 20 6d 61 74 63 68 20 69 74 20 74 6f 20 6f 6e 65 20 6f 66	ou.can.easily.match.it.to.one.of
1b6a0	20 74 68 65 20 64 65 76 69 63 65 73 2f 6e 65 74 77 6f 72 6b 73 20 62 65 6c 6f 77 2e 00 54 6f 20	.the.devices/networks.below..To.
1b6c0	61 63 68 69 65 76 65 20 74 68 69 73 2c 20 79 6f 75 72 20 49 53 50 20 69 73 20 72 65 71 75 69 72	achieve.this,.your.ISP.is.requir
1b6e0	65 64 20 74 6f 20 73 75 70 70 6f 72 74 20 44 48 43 50 76 36 2d 50 44 2e 20 49 66 20 79 6f 75 27	ed.to.support.DHCPv6-PD..If.you'
1b700	72 65 20 6e 6f 74 20 73 75 72 65 2c 20 70 6c 65 61 73 65 20 63 6f 6e 74 61 63 74 20 79 6f 75 72	re.not.sure,.please.contact.your
1b720	20 49 53 50 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 54 6f 20 61 64	.ISP.for.more.information..To.ad
1b740	64 20 6c 6f 67 67 69 6e 67 20 74 6f 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 75 6c 65 2c 20 64	d.logging.to.the.default.rule,.d
1b760	6f 3a 00 54 6f 20 61 64 64 72 65 73 73 20 74 68 69 73 20 73 63 65 6e 61 72 69 6f 20 77 65 20 77	o:.To.address.this.scenario.we.w
1b780	69 6c 6c 20 75 73 65 20 74 6f 20 6f 75 72 20 61 64 76 61 6e 74 61 67 65 20 61 6e 20 65 78 74 65	ill.use.to.our.advantage.an.exte
1b7a0	6e 73 69 6f 6e 20 6f 66 20 74 68 65 20 42 47 50 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f	nsion.of.the.BGP.routing.protoco
1b7c0	6c 20 74 68 61 74 20 77 69 6c 6c 20 68 65 6c 70 20 75 73 20 69 6e 20 74 68 65 20 e2 80 9c 45 78	l.that.will.help.us.in.the....Ex
1b7e0	70 6f 72 74 e2 80 9d 20 62 65 74 77 65 65 6e 20 56 52 46 73 20 77 69 74 68 6f 75 74 20 74 68 65	port....between.VRFs.without.the
1b800	20 6e 65 65 64 20 66 6f 72 20 4d 50 4c 53 2e 00 54 6f 20 64 65 70 6c 6f 79 20 61 20 4c 61 79 65	.need.for.MPLS..To.deploy.a.Laye
1b820	72 33 20 56 50 4e 20 77 69 74 68 20 4d 50 4c 53 20 6f 6e 20 56 79 4f 53 2c 20 77 65 20 73 68 6f	r3.VPN.with.MPLS.on.VyOS,.we.sho
1b840	75 6c 64 20 6d 65 65 74 20 61 20 63 6f 75 70 6c 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 69	uld.meet.a.couple.requirements.i
1b860	6e 20 6f 72 64 65 72 20 74 6f 20 70 72 6f 70 65 72 6c 79 20 69 6d 70 6c 65 6d 65 6e 74 20 74 68	n.order.to.properly.implement.th
1b880	65 20 73 6f 6c 75 74 69 6f 6e 2e 20 57 65 27 6c 6c 20 75 73 65 20 74 68 65 20 66 6f 6c 6c 6f 77	e.solution..We'll.use.the.follow
1b8a0	69 6e 67 20 6e 6f 64 65 73 20 69 6e 20 6f 75 72 20 4c 41 42 20 65 6e 76 69 72 6f 6e 6d 65 6e 74	ing.nodes.in.our.LAB.environment
1b8c0	3a 00 54 6f 20 68 61 76 65 20 62 61 73 69 63 20 70 72 6f 74 65 63 74 69 6f 6e 20 77 68 69 6c 65	:.To.have.basic.protection.while
1b8e0	20 6b 65 65 70 69 6e 67 20 49 50 76 36 20 6e 65 74 77 6f 72 6b 20 66 75 6e 63 74 69 6f 6e 61 6c	.keeping.IPv6.network.functional
1b900	2c 20 77 65 20 6e 65 65 64 20 74 6f 3a 00 54 6f 20 72 65 61 63 68 20 74 68 65 20 6e 65 74 77 6f	,.we.need.to:.To.reach.the.netwo
1b920	72 6b 2c 20 61 20 72 6f 75 74 65 20 6d 75 73 74 20 62 65 20 73 65 74 20 6f 6e 20 65 61 63 68 20	rk,.a.route.must.be.set.on.each.
1b940	56 79 4f 53 20 68 6f 73 74 2e 20 49 6e 20 74 68 69 73 20 73 74 72 75 63 74 75 72 65 2c 20 61 20	VyOS.host..In.this.structure,.a.
1b960	73 74 61 74 69 63 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 77 69 6c 6c 20 66 69 74 20	static.interface.route.will.fit.
1b980	74 68 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 2e 00 54 6f 70 6f 6c 6f 67 79 00 54 72 61 66 66	the.requirements..Topology.Traff
1b9a0	69 63 20 66 6c 6f 77 73 20 66 72 6f 6d 20 7a 6f 6e 65 20 41 20 74 6f 20 7a 6f 6e 65 20 42 2e 20	ic.flows.from.zone.A.to.zone.B..
1b9c0	54 68 61 74 20 66 6c 6f 77 20 69 73 20 77 68 61 74 20 49 20 72 65 66 65 72 20 74 6f 20 61 73 20	That.flow.is.what.I.refer.to.as.
1b9e0	61 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 2e 20 65 67 2e 20 41 2d 3e 42 20	a.zone-pair-direction..eg..A->B.
1ba00	61 6e 64 20 42 2d 3e 41 20 61 72 65 20 74 77 6f 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 65 73 74 69	and.B->A.are.two.zone-pair-desti
1ba20	6e 61 74 69 6f 6e 73 2e 00 54 72 61 6e 73 70 6f 72 74 3a 00 54 75 6e 6e 65 6c 62 72 6f 6b 65 72	nations..Transport:.Tunnelbroker
1ba40	20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74	.topology.image.Tunnelbroker.net
1ba60	20 28 49 50 76 36 29 00 54 77 6f 20 56 79 4f 53 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 70 75	.(IPv6).Two.VyOS.routers.with.pu
1ba80	62 6c 69 63 20 49 50 20 61 64 64 72 65 73 73 2e 00 54 77 6f 20 72 75 6c 65 73 20 77 69 6c 6c 20	blic.IP.address..Two.rules.will.
1baa0	62 65 20 63 72 65 61 74 65 64 2c 20 74 68 65 20 66 69 72 73 74 20 72 75 6c 65 20 64 69 72 65 63	be.created,.the.first.rule.direc
1bac0	74 73 20 74 72 61 66 66 69 63 20 63 6f 6d 69 6e 67 20 69 6e 20 66 72 6f 6d 20 65 74 68 32 20 74	ts.traffic.coming.in.from.eth2.t
1bae0	6f 20 65 74 68 30 20 61 6e 64 20 74 68 65 20 73 65 63 6f 6e 64 20 72 75 6c 65 20 64 69 72 65 63	o.eth0.and.the.second.rule.direc
1bb00	74 73 20 74 68 65 20 74 72 61 66 66 69 63 20 74 6f 20 65 74 68 31 2e 20 49 66 20 65 74 68 30 20	ts.the.traffic.to.eth1..If.eth0.
1bb20	66 61 69 6c 73 20 74 68 65 20 66 69 72 73 74 20 72 75 6c 65 20 69 73 20 62 79 70 61 73 73 65 64	fails.the.first.rule.is.bypassed
1bb40	20 61 6e 64 20 74 68 65 20 73 65 63 6f 6e 64 20 72 75 6c 65 20 6d 61 74 63 68 65 73 2c 20 64 69	.and.the.second.rule.matches,.di
1bb60	72 65 63 74 69 6e 67 20 74 72 61 66 66 69 63 20 74 6f 20 65 74 68 31 2e 00 55 6e 6c 69 6b 65 20	recting.traffic.to.eth1..Unlike.
1bb80	49 50 76 34 2c 20 49 50 76 36 20 69 73 20 72 65 61 6c 6c 79 20 6e 6f 74 20 64 65 73 69 67 6e 65	IPv4,.IPv6.is.really.not.designe
1bba0	64 20 74 6f 20 62 65 20 62 72 6f 6b 65 6e 20 75 70 20 73 6d 61 6c 6c 65 72 20 74 68 61 6e 20 2f	d.to.be.broken.up.smaller.than./
1bbc0	36 34 2e 20 53 6f 20 69 66 20 79 6f 75 20 65 76 65 72 20 77 61 6e 74 20 74 6f 20 68 61 76 65 20	64..So.if.you.ever.want.to.have.
1bbe0	6d 75 6c 74 69 70 6c 65 20 4c 41 4e 73 2c 20 56 4c 41 4e 73 2c 20 44 4d 5a 2c 20 65 74 63 2c 20	multiple.LANs,.VLANs,.DMZ,.etc,.
1bc00	79 6f 75 27 6c 6c 20 77 61 6e 74 20 74 6f 20 69 67 6e 6f 72 65 20 74 68 65 20 61 73 73 69 67 6e	you'll.want.to.ignore.the.assign
1bc20	65 64 20 2f 36 34 2c 20 61 6e 64 20 72 65 71 75 65 73 74 20 74 68 65 20 2f 34 38 20 61 6e 64 20	ed./64,.and.request.the./48.and.
1bc40	75 73 65 20 74 68 61 74 2e 00 55 73 69 6e 67 20 74 68 65 20 67 65 6e 65 72 61 6c 20 73 63 68 65	use.that..Using.the.general.sche
1bc60	6d 61 20 66 6f 72 20 65 78 61 6d 70 6c 65 3a 00 55 73 69 6e 67 20 74 68 69 73 20 63 6f 6d 6d 61	ma.for.example:.Using.this.comma
1bc80	6e 64 20 77 65 20 61 72 65 20 61 6c 73 6f 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 74 68 65	nd.we.are.also.able.to.check.the
1bca0	20 74 72 61 6e 73 70 6f 72 74 20 61 6e 64 20 63 75 73 74 6f 6d 65 72 20 6c 61 62 65 6c 20 28 69	.transport.and.customer.label.(i
1bcc0	6e 6e 65 72 2f 6f 75 74 65 72 29 20 66 6f 72 20 48 75 62 20 6e 65 74 77 6f 72 6b 20 70 72 65 66	nner/outer).for.Hub.network.pref
1bce0	69 78 20 28 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 29 3a 00 56 4c 41 4e 20 31 30 30 20 61 6e 64	ix.(10.0.0.100/32):.VLAN.100.and
1bd00	20 32 30 31 20 77 69 6c 6c 20 68 61 76 65 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65	.201.will.have.floating.IP.addre
1bd20	73 73 65 73 2c 20 62 75 74 20 56 4c 41 4e 35 30 20 64 6f 65 73 20 6e 6f 74 2c 20 61 73 20 74 68	sses,.but.VLAN50.does.not,.as.th
1bd40	69 73 20 69 73 20 74 61 6c 6b 69 6e 67 20 64 69 72 65 63 74 6c 79 20 74 6f 20 75 70 73 74 72 65	is.is.talking.directly.to.upstre
1bd60	61 6d 2e 20 43 72 65 61 74 65 20 6f 75 72 20 49 50 20 61 64 64 72 65 73 73 20 6f 6e 20 76 6c 61	am..Create.our.IP.address.on.vla
1bd80	6e 35 30 2e 00 56 4c 41 4e 73 00 56 4d 77 61 72 65 3a 20 59 6f 75 20 6d 75 73 74 20 44 49 53 41	n50..VLANs.VMware:.You.must.DISA
1bda0	42 4c 45 20 53 45 43 55 52 49 54 59 20 6f 6e 20 74 68 69 73 20 50 6f 72 74 20 67 72 6f 75 70 2e	BLE.SECURITY.on.this.Port.group.
1bdc0	20 4d 61 6b 65 20 73 75 72 65 20 74 68 61 74 20 60 60 50 72 6f 6d 69 73 63 75 6f 75 73 20 4d 6f	.Make.sure.that.``Promiscuous.Mo
1bde0	64 65 60 60 5c 20 2c 20 60 60 4d 41 43 20 61 64 64 72 65 73 73 20 63 68 61 6e 67 65 73 60 60 20	de``\.,.``MAC.address.changes``.
1be00	61 6e 64 20 60 60 46 6f 72 67 65 64 20 74 72 61 6e 73 6d 69 74 73 60 60 20 61 72 65 20 65 6e 61	and.``Forged.transmits``.are.ena
1be20	62 6c 65 64 2e 20 41 6c 6c 20 6f 66 20 74 68 65 73 65 20 77 69 6c 6c 20 62 65 20 64 6f 6e 65 20	bled..All.of.these.will.be.done.
1be40	61 73 20 70 61 72 74 20 6f 66 20 66 61 69 6c 6f 76 65 72 2e 00 56 52 46 00 56 52 52 50 20 43 6f	as.part.of.failover..VRF.VRRP.Co
1be60	6e 66 69 67 75 72 61 74 69 6f 6e 00 56 65 72 69 66 69 63 61 74 69 6f 6e 00 56 65 72 73 69 6f 6e	nfiguration.Verification.Version
1be80	3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 00 56 65 72 73 69	:.1.4-rolling-202110310317.Versi
1bea0	6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 35 31 30 30 37 33 34 00 56 65 72	on:.1.4-rolling-202305100734.Ver
1bec0	73 69 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 32 34 30 30 32 30 00 56	sion:.1.4-rolling-202308240020.V
1bee0	65 72 73 69 6f 6e 3a 20 76 79 6f 73 2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 32 31	ersion:.vyos-1.4-rolling-2023021
1bf00	35 30 33 31 37 00 56 79 4f 53 20 31 2e 33 20 61 64 64 65 64 20 69 6e 69 74 69 61 6c 20 73 75 70	50317.VyOS.1.3.added.initial.sup
1bf20	70 6f 72 74 20 66 6f 72 20 56 52 46 73 20 28 69 6e 63 6c 75 64 69 6e 67 20 49 50 76 34 2f 49 50	port.for.VRFs.(including.IPv4/IP
1bf40	76 36 20 73 74 61 74 69 63 20 72 6f 75 74 69 6e 67 29 20 61 6e 64 20 56 79 4f 53 20 31 2e 34 20	v6.static.routing).and.VyOS.1.4.
1bf60	6e 6f 77 20 65 6e 61 62 6c 65 73 20 66 75 6c 6c 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67	now.enables.full.dynamic.routing
1bf80	20 70 72 6f 74 6f 63 6f 6c 20 73 75 70 70 6f 72 74 20 66 6f 72 20 4f 53 50 46 2c 20 49 53 2d 49	.protocol.support.for.OSPF,.IS-I
1bfa0	53 2c 20 61 6e 64 20 42 47 50 20 66 6f 72 20 69 6e 64 69 76 69 64 75 61 6c 20 56 52 46 73 2e 00	S,.and.BGP.for.individual.VRFs..
1bfc0	56 79 4f 53 20 61 63 74 73 20 61 73 20 44 48 43 50 2c 20 44 4e 53 20 66 6f 72 77 61 72 64 65 72	VyOS.acts.as.DHCP,.DNS.forwarder
1bfe0	2c 20 4e 41 54 2c 20 72 6f 75 74 65 72 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 2e 00 56 79 4f 53	,.NAT,.router.and.firewall..VyOS
1c000	20 61 73 20 43 6c 69 65 6e 74 00 56 79 4f 53 20 61 73 20 61 20 4f 70 65 6e 56 50 4e 20 53 65 72	.as.Client.VyOS.as.a.OpenVPN.Ser
1c020	76 65 72 00 56 79 4f 53 20 69 73 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 4d 53 44 20 70 65	ver.VyOS.is.able.to.check.MSD.pe
1c040	72 20 64 65 76 69 63 65 73 3a 00 56 79 4f 53 2d 43 45 2d 48 55 42 20 2d 2d 2d 2d 2d 2d 2d 3e 20	r.devices:.VyOS-CE-HUB.------->.
1c060	56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 00 56 79 4f 53 2d 43 45 2d 48 55 42 20 2d 2d 2d 2d 2d	VyOS-CE1-SPOKE.VyOS-CE-HUB.-----
1c080	2d 2d 3e 20 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 00 56 79 4f 53 2d 43 45 31 2d 48 55 42 3a	-->.VyOS-CE2-SPOKE.VyOS-CE1-HUB:
1c0a0	00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 20 2d 2d 2d 2d 2d 3e 20 20 20 56 79 4f 53 2d 43 45	.VyOS-CE1-SPOKE.----->...VyOS-CE
1c0c0	2d 48 55 42 00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 3a 00 56 79 4f 53 2d 43 45 32 2d 53 50	-HUB.VyOS-CE1-SPOKE:.VyOS-CE2-SP
1c0e0	4f 4b 45 20 2d 2d 2d 2d 2d 2d 2d 3e 20 20 56 79 4f 53 2d 43 45 2d 48 55 42 00 56 79 4f 53 2d 43	OKE.------->..VyOS-CE-HUB.VyOS-C
1c100	45 32 2d 53 50 4f 4b 45 3a 00 56 79 4f 53 2d 50 31 3a 00 56 79 4f 53 2d 50 32 3a 00 56 79 4f 53	E2-SPOKE:.VyOS-P1:.VyOS-P2:.VyOS
1c120	2d 50 33 3a 00 56 79 4f 53 2d 50 34 3a 00 56 79 4f 53 2d 50 45 31 00 56 79 4f 53 2d 50 45 31 3a	-P3:.VyOS-P4:.VyOS-PE1.VyOS-PE1:
1c140	00 56 79 4f 53 2d 50 45 32 00 56 79 4f 53 2d 50 45 32 3a 00 56 79 4f 53 2d 50 45 33 00 56 79 4f	.VyOS-PE2.VyOS-PE2:.VyOS-PE3.VyO
1c160	53 2d 50 45 33 3a 00 56 79 4f 53 2d 52 52 31 2f 52 52 32 00 56 79 4f 53 2d 52 52 31 3a 00 56 79	S-PE3:.VyOS-RR1/RR2.VyOS-RR1:.Vy
1c180	4f 53 2d 52 52 32 3a 00 56 79 6f 73 20 41 53 4e 00 56 79 6f 73 20 63 6f 6e 66 69 67 75 72 61 74	OS-RR2:.Vyos.ASN.Vyos.configurat
1c1a0	69 6f 6e 00 56 79 6f 73 20 70 72 69 76 61 74 65 20 49 50 00 56 79 6f 73 20 70 75 62 6c 69 63 20	ion.Vyos.private.IP.Vyos.public.
1c1c0	49 50 00 57 41 4e 20 49 6e 74 65 72 66 61 63 65 00 57 41 4e 20 4c 6f 61 64 20 42 61 6c 61 6e 63	IP.WAN.Interface.WAN.Load.Balanc
1c1e0	65 72 20 65 78 61 6d 70 6c 65 73 00 57 61 6c 6b 74 68 72 6f 75 67 68 20 73 75 67 67 65 73 74 69	er.examples.Walkthrough.suggesti
1c200	6f 6e 00 57 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 75 73 65 20 31 30 2e 32 30 30 2e 32 30	on.We.are.going.to.use.10.200.20
1c220	31 2e 30 2f 32 34 20 66 6f 72 20 61 6e 20 27 69 6e 74 65 72 6e 61 6c 27 20 6e 65 74 77 6f 72 6b	1.0/24.for.an.'internal'.network
1c240	20 6f 6e 20 56 4c 41 4e 32 30 31 2e 00 57 65 20 61 72 65 20 73 65 74 74 69 6e 67 20 75 70 20 56	.on.VLAN201..We.are.setting.up.V
1c260	52 52 50 20 73 6f 20 74 68 61 74 20 69 74 20 64 6f 65 73 20 4e 4f 54 20 66 61 69 6c 20 62 61 63	RRP.so.that.it.does.NOT.fail.bac
1c280	6b 20 77 68 65 6e 20 61 20 6d 61 63 68 69 6e 65 20 72 65 74 75 72 6e 73 20 69 6e 74 6f 20 73 65	k.when.a.machine.returns.into.se
1c2a0	72 76 69 63 65 2c 20 61 6e 64 20 69 74 20 70 72 69 6f 72 69 74 69 7a 65 73 20 72 6f 75 74 65 72	rvice,.and.it.prioritizes.router
1c2c0	31 20 6f 76 65 72 20 72 6f 75 74 65 72 32 2e 00 57 65 20 61 72 65 20 75 73 69 6e 67 20 61 20 22	1.over.router2..We.are.using.a."
1c2e0	77 68 69 74 65 20 6c 69 73 74 22 20 61 70 70 72 6f 61 63 68 20 62 79 20 61 6c 6c 6f 77 69 6e 67	white.list".approach.by.allowing
1c300	20 6f 6e 6c 79 20 77 68 61 74 20 69 73 20 6e 65 63 65 73 73 61 72 79 2e 20 49 6e 20 63 61 73 65	.only.what.is.necessary..In.case
1c320	20 74 68 61 74 20 6e 65 65 64 20 74 6f 20 69 6d 70 6c 65 6d 65 6e 74 20 61 20 22 62 6c 61 63 6b	.that.need.to.implement.a."black
1c340	20 6c 69 73 74 22 20 61 70 70 72 6f 61 63 68 20 74 68 65 6e 20 79 6f 75 20 77 69 6c 6c 20 6e 65	.list".approach.then.you.will.ne
1c360	65 64 20 74 6f 20 63 68 61 6e 67 65 20 74 68 65 20 61 63 74 69 6f 6e 20 69 6e 20 74 68 65 20 72	ed.to.change.the.action.in.the.r
1c380	6f 75 74 65 2d 6d 61 70 20 66 6f 72 20 61 20 64 65 6e 79 20 42 55 54 20 79 6f 75 20 6e 65 65 64	oute-map.for.a.deny.BUT.you.need
1c3a0	20 74 6f 20 61 64 64 20 61 20 72 75 6c 65 20 74 68 61 74 20 70 65 72 6d 69 74 73 20 74 68 65 20	.to.add.a.rule.that.permits.the.
1c3c0	72 65 73 74 20 64 75 65 20 74 6f 20 74 68 65 20 69 6d 70 6c 69 63 69 74 20 64 65 6e 79 20 69 6e	rest.due.to.the.implicit.deny.in
1c3e0	20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 2e 00 57 65 20 63 72 65 61 74 65 20 61 20 70 72 65 66	.the.route-map..We.create.a.pref
1c400	69 78 2d 6c 69 73 74 20 66 69 72 73 74 20 61 6e 64 20 61 64 64 20 61 6c 6c 20 74 68 65 20 72 6f	ix-list.first.and.add.all.the.ro
1c420	75 74 65 73 20 77 65 20 6e 65 65 64 20 74 6f 2e 00 57 65 20 65 78 70 6c 69 63 69 74 6c 79 20 65	utes.we.need.to..We.explicitly.e
1c440	78 63 6c 75 64 65 20 74 68 65 20 70 72 69 6d 61 72 79 20 75 70 73 74 72 65 61 6d 20 6e 65 74 77	xclude.the.primary.upstream.netw
1c460	6f 72 6b 20 73 6f 20 74 68 61 74 20 42 47 50 20 6f 72 20 4f 53 50 46 20 74 72 61 66 66 69 63 20	ork.so.that.BGP.or.OSPF.traffic.
1c480	64 6f 65 73 6e 27 74 20 61 63 63 69 64 65 6e 74 61 6c 6c 79 20 67 65 74 20 4e 41 54 27 65 64 2e	doesn't.accidentally.get.NAT'ed.
1c4a0	00 57 65 20 68 61 76 65 20 66 6f 75 72 20 68 6f 73 74 73 20 6f 6e 20 74 68 65 20 6c 6f 63 61 6c	.We.have.four.hosts.on.the.local
1c4c0	20 6e 65 74 77 6f 72 6b 20 31 37 32 2e 31 37 2e 31 2e 30 2f 32 34 2e 20 41 6c 6c 20 68 6f 73 74	.network.172.17.1.0/24..All.host
1c4e0	73 20 61 72 65 20 6c 61 62 65 6c 65 64 20 43 53 30 20 62 79 20 64 65 66 61 75 6c 74 2e 20 57 65	s.are.labeled.CS0.by.default..We
1c500	20 6e 65 65 64 20 74 6f 20 72 65 70 6c 61 63 65 20 6c 61 62 65 6c 73 20 6f 6e 20 61 6c 6c 20 68	.need.to.replace.labels.on.all.h
1c520	6f 73 74 73 20 65 78 63 65 70 74 20 76 70 63 38 2e 20 57 65 20 77 69 6c 6c 20 72 65 70 6c 61 63	osts.except.vpc8..We.will.replac
1c540	65 20 74 68 65 20 6c 61 62 65 6c 73 20 6f 6e 20 74 68 65 20 6e 65 61 72 65 73 74 20 72 6f 75 74	e.the.labels.on.the.nearest.rout
1c560	65 72 20 e2 80 9c 56 79 4f 53 33 e2 80 9d 20 75 73 69 6e 67 20 74 68 65 20 49 50 20 61 64 64 72	er....VyOS3....using.the.IP.addr
1c580	65 73 73 65 73 20 6f 66 20 74 68 65 20 73 6f 75 72 63 65 73 2e 00 57 65 20 68 61 76 65 20 74 68	esses.of.the.sources..We.have.th
1c5a0	72 65 65 20 6e 65 74 77 6f 72 6b 73 2e 00 57 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67	ree.networks..We.keep.the.config
1c5c0	75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c	uration.from.the.previous.exampl
1c5e0	65 2c 20 64 65 6c 65 74 65 20 72 75 6c 65 20 31 30 20 61 6e 64 20 63 72 65 61 74 65 20 74 68 65	e,.delete.rule.10.and.create.the
1c600	20 74 77 6f 20 6e 65 77 20 72 75 6c 65 73 20 61 73 20 64 65 73 63 72 69 62 65 64 3a 00 57 65 20	.two.new.rules.as.described:.We.
1c620	6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20	keep.the.configuration.from.the.
1c640	70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 64 65 6c 65 74 65 20 72 75 6c 65 20 32 30	previous.example,.delete.rule.20
1c660	20 61 6e 64 20 63 72 65 61 74 65 20 61 20 6e 65 77 20 72 75 6c 65 20 61 73 20 64 65 73 63 72 69	.and.create.a.new.rule.as.descri
1c680	62 65 64 3a 00 57 65 20 6e 65 65 64 20 74 6f 20 65 6e 61 62 6c 65 20 72 6f 75 74 65 72 20 61 64	bed:.We.need.to.enable.router.ad
1c6a0	76 65 72 74 69 73 65 6d 65 6e 74 20 66 6f 72 20 4c 41 4e 20 6e 65 74 77 6f 72 6b 20 73 6f 20 74	vertisement.for.LAN.network.so.t
1c6c0	68 61 74 20 50 43 20 63 61 6e 20 72 65 63 65 69 76 65 20 74 68 65 20 70 72 65 66 69 78 20 61 6e	hat.PC.can.receive.the.prefix.an
1c6e0	64 20 75 73 65 20 53 4c 41 41 43 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 61 64 64	d.use.SLAAC.to.configure.the.add
1c700	72 65 73 73 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 2e 00 57 65 20 6f 6e 6c 79 20 77 61 6e 74	ress.automatically..We.only.want
1c720	20 74 6f 20 65 78 70 6f 72 74 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 20 77 65 20 6b 6e 6f 77 2e	.to.export.the.networks.we.know.
1c740	20 41 6c 77 61 79 73 20 64 6f 20 61 20 77 68 69 74 65 6c 69 73 74 20 6f 6e 20 79 6f 75 72 20 72	.Always.do.a.whitelist.on.your.r
1c760	6f 75 74 65 20 66 69 6c 74 65 72 73 2c 20 62 6f 74 68 20 69 6d 70 6f 72 74 69 6e 67 20 61 6e 64	oute.filters,.both.importing.and
1c780	20 65 78 70 6f 72 74 69 6e 67 2e 20 41 20 67 6f 6f 64 20 72 75 6c 65 20 6f 66 20 74 68 75 6d 62	.exporting..A.good.rule.of.thumb
1c7a0	20 69 73 20 2a 2a 27 49 66 20 79 6f 75 20 61 72 65 20 6e 6f 74 20 74 68 65 20 64 65 66 61 75 6c	.is.**'If.you.are.not.the.defaul
1c7c0	74 20 72 6f 75 74 65 72 20 66 6f 72 20 61 20 6e 65 74 77 6f 72 6b 2c 20 64 6f 6e 27 74 20 61 64	t.router.for.a.network,.don't.ad
1c7e0	76 65 72 74 69 73 65 20 69 74 27 2a 2a 2e 20 54 68 69 73 20 6d 65 61 6e 73 20 77 65 20 65 78 70	vertise.it'**..This.means.we.exp
1c800	6c 69 63 69 74 6c 79 20 64 6f 20 6e 6f 74 20 77 61 6e 74 20 74 6f 20 61 64 76 65 72 74 69 73 65	licitly.do.not.want.to.advertise
1c820	20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 20 28 62 75 74 20 64	.the.192.0.2.0/24.network.(but.d
1c840	6f 20 77 61 6e 74 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 31 30 2e 32 30 30 2e 32 30 31 2e 30	o.want.to.advertise.10.200.201.0
1c860	20 61 6e 64 20 32 30 33 2e 30 2e 31 31 33 2e 30 2c 20 77 68 69 63 68 20 77 65 20 41 52 45 20 74	.and.203.0.113.0,.which.we.ARE.t
1c880	68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 66 6f 72 29 2e 20 54 68 69 73 20 66 69 6c 74	he.default.route.for)..This.filt
1c8a0	65 72 20 69 73 20 61 70 70 6c 69 65 64 20 74 6f 20 60 60 72 65 64 69 73 74 72 69 62 75 74 65 20	er.is.applied.to.``redistribute.
1c8c0	63 6f 6e 6e 65 63 74 65 64 60 60 2e 20 49 66 20 77 65 20 57 45 52 45 20 74 6f 20 61 64 76 65 72	connected``..If.we.WERE.to.adver
1c8e0	74 69 73 65 20 69 74 2c 20 74 68 65 20 72 65 6d 6f 74 65 20 6d 61 63 68 69 6e 65 73 20 77 6f 75	tise.it,.the.remote.machines.wou
1c900	6c 64 20 73 65 65 20 31 39 32 2e 30 2e 32 2e 32 31 20 61 76 61 69 6c 61 62 6c 65 20 76 69 61 20	ld.see.192.0.2.21.available.via.
1c920	74 68 65 69 72 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 2c 20 65 73 74 61 62 6c 69 73 68 20 74	their.default.route,.establish.t
1c940	68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 2c 20 61 6e 64 20 74 68 65 6e 20 4f 53 50 46 20 77 6f 75	he.connection,.and.then.OSPF.wou
1c960	6c 64 20 73 61 79 20 27 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 69 73 20 61 76 61 69 6c 61 62 6c	ld.say.'192.0.2.0/24.is.availabl
1c980	65 20 76 69 61 20 74 68 69 73 20 74 75 6e 6e 65 6c 27 2c 20 61 74 20 77 68 69 63 68 20 70 6f 69	e.via.this.tunnel',.at.which.poi
1c9a0	6e 74 20 74 68 65 20 74 75 6e 6e 65 6c 20 77 6f 75 6c 64 20 62 72 65 61 6b 2c 20 4f 53 50 46 20	nt.the.tunnel.would.break,.OSPF.
1c9c0	77 6f 75 6c 64 20 64 72 6f 70 20 74 68 65 20 72 6f 75 74 65 73 2c 20 61 6e 64 20 74 68 65 6e 20	would.drop.the.routes,.and.then.
1c9e0	31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 77 6f 75 6c 64 20 62 65 20 72 65 61 63 68 61 62 6c 65 20	192.0.2.0/24.would.be.reachable.
1ca00	76 69 61 20 64 65 66 61 75 6c 74 20 61 67 61 69 6e 2e 20 54 68 69 73 20 69 73 20 63 61 6c 6c 65	via.default.again..This.is.calle
1ca20	64 20 27 66 6c 61 70 70 69 6e 67 27 2e 00 57 65 20 6f 6e 6c 79 20 77 61 6e 74 20 74 6f 20 69 6d	d.'flapping'..We.only.want.to.im
1ca40	70 6f 72 74 20 6e 65 74 77 6f 72 6b 73 20 77 65 20 6b 6e 6f 77 2e 20 4f 75 72 20 4f 53 50 46 20	port.networks.we.know..Our.OSPF.
1ca60	70 65 65 72 20 73 68 6f 75 6c 64 20 6f 6e 6c 79 20 62 65 20 61 64 76 65 72 74 69 73 69 6e 67 20	peer.should.only.be.advertising.
1ca80	6e 65 74 77 6f 72 6b 73 20 69 6e 20 74 68 65 20 31 30 2e 32 30 31 2e 30 2e 30 2f 31 36 20 72 61	networks.in.the.10.201.0.0/16.ra
1caa0	6e 67 65 2e 20 4e 6f 74 65 20 74 68 61 74 20 74 68 69 73 20 69 73 20 61 6e 20 49 4e 56 45 52 53	nge..Note.that.this.is.an.INVERS
1cac0	45 20 4d 41 54 43 48 2e 20 59 6f 75 20 64 65 6e 79 20 69 6e 20 61 63 63 65 73 73 2d 6c 69 73 74	E.MATCH..You.deny.in.access-list
1cae0	20 31 30 30 20 74 6f 20 61 63 63 65 70 74 20 74 68 65 20 72 6f 75 74 65 2e 00 57 65 20 75 73 65	.100.to.accept.the.route..We.use
1cb00	20 61 20 73 74 61 74 69 63 20 72 6f 75 74 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 6e	.a.static.route.configuration.in
1cb20	20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 61 6e 64 20 65 61 63 68 20 4c 41 4e 20 61	.between.the.Core.and.each.LAN.a
1cb40	6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 20 72 6f 75 74 65 72 2c 20 61 6e 64 20 42 47 50 20 62 65	nd.Management.router,.and.BGP.be
1cb60	74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 72 6f 75 74 65 72 20 61 6e 64 20 74 68 65 20 49 53	tween.the.Core.router.and.the.IS
1cb80	50 20 72 6f 75 74 65 72 20 62 75 74 20 61 6e 79 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67	P.router.but.any.dynamic.routing
1cba0	20 70 72 6f 74 6f 63 6f 6c 20 63 61 6e 20 62 65 20 75 73 65 64 2e 00 57 65 20 75 73 65 20 73 6d	.protocol.can.be.used..We.use.sm
1cbc0	61 6c 6c 20 2f 33 30 27 73 20 66 72 6f 6d 20 31 30 2e 32 35 34 2e 36 30 2f 32 34 20 66 6f 72 20	all./30's.from.10.254.60/24.for.
1cbe0	74 68 65 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20 6c 69 6e 6b 73 2e 00 57 65 20 75 73 65	the.point-to-point.links..We.use
1cc00	20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 6e 65 74 77 6f 72 6b 20 74 6f 70 6f 6c 6f 67 79 20	.the.following.network.topology.
1cc20	69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 3a 00 57 68 65 6e 20 69 6d 70 6f 72 74 69 6e 67 20	in.this.example:.When.importing.
1cc40	72 6f 75 74 65 73 20 75 73 69 6e 67 20 4d 50 2d 42 47 50 20 69 74 20 69 73 20 70 6f 73 73 69 62	routes.using.MP-BGP.it.is.possib
1cc60	6c 65 20 74 6f 20 66 69 6c 74 65 72 20 61 20 73 75 62 73 65 74 20 6f 66 20 74 68 65 6d 20 62 65	le.to.filter.a.subset.of.them.be
1cc80	66 6f 72 65 20 61 72 65 20 69 6e 6a 65 63 74 65 64 20 69 6e 20 74 68 65 20 42 47 50 20 74 61 62	fore.are.injected.in.the.BGP.tab
1cca0	6c 65 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 6d 6f 73 74 20 63 6f 6d 6d 6f 6e 20 63 61 73 65 20	le..One.of.the.most.common.case.
1ccc0	69 73 20 74 6f 20 75 73 65 20 61 20 72 6f 75 74 65 2d 6d 61 70 20 77 69 74 68 20 61 6e 20 70 72	is.to.use.a.route-map.with.an.pr
1cce0	65 66 69 78 2d 6c 69 73 74 2e 00 57 68 65 6e 20 74 72 61 66 66 69 63 20 69 73 20 6f 72 69 67 69	efix-list..When.traffic.is.origi
1cd00	6e 61 74 65 64 20 66 72 6f 6d 20 74 68 65 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 6e	nated.from.the.10.200.201.0/24.n
1cd20	65 74 77 6f 72 6b 2c 20 69 74 20 77 69 6c 6c 20 62 65 20 6d 61 73 71 75 65 72 61 64 65 64 20 74	etwork,.it.will.be.masqueraded.t
1cd40	6f 20 32 30 33 2e 30 2e 31 31 33 2e 31 00 57 68 65 6e 20 75 74 69 6c 69 7a 69 6e 67 20 56 79 4f	o.203.0.113.1.When.utilizing.VyO
1cd60	53 20 69 6e 20 61 6e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 20 77 69 74 68 20 43 69 73 63 6f 20 49	S.in.an.environment.with.Cisco.I
1cd80	4f 53 2d 58 52 20 67 65 61 72 20 79 6f 75 20 63 61 6e 20 75 73 65 20 74 68 69 73 20 62 6c 75 65	OS-XR.gear.you.can.use.this.blue
1cda0	20 70 72 69 6e 74 20 61 73 20 61 6e 20 69 6e 69 74 69 61 6c 20 73 65 74 75 70 20 74 6f 20 67 65	.print.as.an.initial.setup.to.ge
1cdc0	74 20 4d 50 4c 53 20 49 53 49 53 2d 53 52 20 77 6f 72 6b 69 6e 67 20 62 65 74 77 65 65 6e 20 74	t.MPLS.ISIS-SR.working.between.t
1cde0	68 6f 73 65 20 74 77 6f 20 64 65 76 69 63 65 73 2e 54 68 65 20 6c 61 62 20 77 61 73 20 62 75 69	hose.two.devices.The.lab.was.bui
1ce00	6c 64 20 75 73 69 6e 67 20 3a 61 62 62 72 3a 60 45 56 45 2d 4e 47 20 28 45 6d 75 6c 61 74 65 64	ld.using.:abbr:`EVE-NG.(Emulated
1ce20	20 56 69 72 74 75 61 6c 20 45 6e 76 69 72 6f 6e 6d 65 6e 74 20 4e 47 29 60 2e 00 57 68 65 6e 20	.Virtual.Environment.NG)`..When.
1ce40	79 6f 75 20 68 61 76 65 20 62 6f 74 68 20 72 6f 75 74 65 72 73 20 75 70 2c 20 79 6f 75 20 73 68	you.have.both.routers.up,.you.sh
1ce60	6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 65 73 74 61 62 6c 69 73 68 20 61 20 63 6f 6e 6e	ould.be.able.to.establish.a.conn
1ce80	65 63 74 69 6f 6e 20 66 72 6f 6d 20 61 20 4e 41 54 27 65 64 20 6d 61 63 68 69 6e 65 20 6f 75 74	ection.from.a.NAT'ed.machine.out
1cea0	20 74 6f 20 74 68 65 20 69 6e 74 65 72 6e 65 74 2c 20 72 65 62 6f 6f 74 20 74 68 65 20 61 63 74	.to.the.internet,.reboot.the.act
1cec0	69 76 65 20 6d 61 63 68 69 6e 65 2c 20 61 6e 64 20 74 68 61 74 20 63 6f 6e 6e 65 63 74 69 6f 6e	ive.machine,.and.that.connection
1cee0	20 73 68 6f 75 6c 64 20 62 65 20 70 72 65 73 65 72 76 65 64 2c 20 61 6e 64 20 77 69 6c 6c 20 6e	.should.be.preserved,.and.will.n
1cf00	6f 74 20 64 72 6f 70 20 6f 75 74 2e 00 57 68 65 6e 20 79 6f 75 20 68 61 76 65 20 65 6e 61 62 6c	ot.drop.out..When.you.have.enabl
1cf20	65 64 20 4f 53 50 46 20 6f 6e 20 62 6f 74 68 20 72 6f 75 74 65 72 73 2c 20 79 6f 75 20 73 68 6f	ed.OSPF.on.both.routers,.you.sho
1cf40	75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 65 61 63 68 20 6f 74 68 65 72 20 77 69	uld.be.able.to.see.each.other.wi
1cf60	74 68 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 68 6f 77 20 69 70 20 6f 73 70 66 20 6e 65	th.the.command.``show.ip.ospf.ne
1cf80	69 67 68 62 6f 75 72 60 60 2e 20 54 68 65 20 73 74 61 74 65 20 6d 75 73 74 20 62 65 20 27 46 75	ighbour``..The.state.must.be.'Fu
1cfa0	6c 6c 27 20 6f 72 20 27 32 2d 57 61 79 27 2e 20 49 66 20 69 74 20 69 73 20 6e 6f 74 2c 20 74 68	ll'.or.'2-Way'..If.it.is.not,.th
1cfc0	65 6e 20 74 68 65 72 65 20 69 73 20 61 20 6e 65 74 77 6f 72 6b 20 63 6f 6e 6e 65 63 74 69 76 69	en.there.is.a.network.connectivi
1cfe0	74 79 20 69 73 73 75 65 20 62 65 74 77 65 65 6e 20 74 68 65 20 68 6f 73 74 73 2e 20 54 68 69 73	ty.issue.between.the.hosts..This
1d000	20 69 73 20 6f 66 74 65 6e 20 63 61 75 73 65 64 20 62 79 20 4e 41 54 20 6f 72 20 4d 54 55 20 69	.is.often.caused.by.NAT.or.MTU.i
1d020	73 73 75 65 73 2e 20 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 74 20 73 65 65 20 61 6e 79 20 6e 65	ssues..You.should.not.see.any.ne
1d040	77 20 72 6f 75 74 65 73 20 28 75 6e 6c 65 73 73 20 74 68 69 73 20 69 73 20 74 68 65 20 73 65 63	w.routes.(unless.this.is.the.sec
1d060	6f 6e 64 20 70 61 73 73 29 20 69 6e 20 74 68 65 20 6f 75 74 70 75 74 20 6f 66 20 60 60 73 68 6f	ond.pass).in.the.output.of.``sho
1d080	77 20 69 70 20 72 6f 75 74 65 60 60 00 57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 20 32 30 31 39	w.ip.route``.Windows.Server.2019
1d0a0	20 77 69 74 68 20 61 20 72 75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79	.with.a.running.Active.Directory
1d0c0	00 57 69 72 65 67 75 61 72 64 00 57 69 72 65 67 75 61 72 64 20 64 6f 65 73 6e 27 74 20 68 61 76	.Wireguard.Wireguard.doesn't.hav
1d0e0	65 20 74 68 65 20 63 6f 6e 63 65 70 74 20 6f 66 20 61 6e 20 75 70 20 6f 72 20 64 6f 77 6e 20 6c	e.the.concept.of.an.up.or.down.l
1d100	69 6e 6b 2c 20 64 75 65 20 74 6f 20 69 74 73 20 64 65 73 69 67 6e 2e 20 54 68 69 73 20 63 6f 6d	ink,.due.to.its.design..This.com
1d120	70 6c 69 63 61 74 65 73 20 41 4e 44 20 73 69 6d 70 6c 69 66 69 65 73 20 75 73 69 6e 67 20 69 74	plicates.AND.simplifies.using.it
1d140	20 66 6f 72 20 6e 65 74 77 6f 72 6b 20 74 72 61 6e 73 70 6f 72 74 2c 20 61 73 20 66 6f 72 20 72	.for.network.transport,.as.for.r
1d160	65 6c 69 61 62 6c 65 20 73 74 61 74 65 20 64 65 74 65 63 74 69 6f 6e 20 79 6f 75 20 6e 65 65 64	eliable.state.detection.you.need
1d180	20 74 6f 20 75 73 65 20 53 4f 4d 45 54 48 49 4e 47 20 74 6f 20 64 65 74 65 63 74 20 77 68 65 6e	.to.use.SOMETHING.to.detect.when
1d1a0	20 74 68 65 20 6c 69 6e 6b 20 69 73 20 64 6f 77 6e 2e 00 57 69 74 68 20 54 75 6e 6e 65 6c 62 72	.the.link.is.down..With.Tunnelbr
1d1c0	6f 6b 65 72 2e 6e 65 74 2c 20 79 6f 75 20 68 61 76 65 20 74 77 6f 20 6f 70 74 69 6f 6e 73 3a 00	oker.net,.you.have.two.options:.
1d1e0	57 69 74 68 20 74 68 69 73 20 63 6f 6d 6d 61 6e 64 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f	With.this.command.we.are.able.to
1d200	20 63 68 65 63 6b 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 61 6e 64 20 63 75 73 74 6f 6d 65	.check.the.transport.and.custome
1d220	72 20 6c 61 62 65 6c 20 28 69 6e 6e 65 72 2f 6f 75 74 65 72 29 20 66 6f 72 20 6e 65 74 77 6f 72	r.label.(inner/outer).for.networ
1d240	6b 20 73 70 6f 6b 65 73 20 70 72 65 66 69 78 65 73 20 31 30 2e 30 2e 30 2e 38 30 2f 33 32 20 2d	k.spokes.prefixes.10.0.0.80/32.-
1d260	20 31 30 2e 30 2e 30 2e 39 30 2f 33 32 00 57 69 74 68 69 6e 20 74 68 65 20 56 52 46 20 77 65 20	.10.0.0.90/32.Within.the.VRF.we.
1d280	73 65 74 20 74 68 65 20 52 6f 75 74 65 2d 44 69 73 74 69 6e 67 75 69 73 68 65 72 20 28 52 44 29	set.the.Route-Distinguisher.(RD)
1d2a0	20 61 6e 64 20 52 6f 75 74 65 2d 54 61 72 67 65 74 73 20 28 52 54 29 2c 20 74 68 65 6e 20 77 65	.and.Route-Targets.(RT),.then.we
1d2c0	20 65 6e 61 62 6c 65 20 74 68 65 20 65 78 70 6f 72 74 2f 69 6d 70 6f 72 74 20 56 50 4e 2e 00 58	.enable.the.export/import.VPN..X
1d2e0	52 76 2d 50 33 3a 00 59 6f 75 20 6d 61 6e 61 67 65 64 20 74 6f 20 63 6f 6d 65 20 74 68 69 73 20	Rv-P3:.You.managed.to.come.this.
1d300	66 61 72 2c 20 6e 6f 77 20 77 65 20 77 61 6e 74 20 74 6f 20 73 65 65 20 74 68 65 20 6e 65 74 77	far,.now.we.want.to.see.the.netw
1d320	6f 72 6b 20 61 6e 64 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20 69 6e 20 61 63 74 69 6f 6e	ork.and.routing.tables.in.action
1d340	2e 00 59 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 74 6f 20	..You.should.be.able.to.ping.to.
1d360	61 6e 64 20 66 72 6f 6d 20 61 6c 6c 20 74 68 65 20 49 50 73 20 79 6f 75 20 68 61 76 65 20 61 6c	and.from.all.the.IPs.you.have.al
1d380	6c 6f 63 61 74 65 64 2e 00 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 77 20 62 65 20 61 62 6c 65 20	located..You.should.now.be.able.
1d3a0	74 6f 20 70 69 6e 67 20 73 6f 6d 65 74 68 69 6e 67 20 62 79 20 49 50 76 36 20 44 4e 53 20 6e 61	to.ping.something.by.IPv6.DNS.na
1d3c0	6d 65 3a 00 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 77 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65	me:.You.should.now.be.able.to.se
1d3e0	65 20 74 68 65 20 61 64 76 65 72 74 69 73 65 64 20 6e 65 74 77 6f 72 6b 20 6f 6e 20 74 68 65 20	e.the.advertised.network.on.the.
1d400	6f 74 68 65 72 20 68 6f 73 74 2e 00 59 6f 75 20 77 6f 75 6c 64 20 68 61 76 65 20 35 20 7a 6f 6e	other.host..You.would.have.5.zon
1d420	65 73 20 69 6e 73 74 65 61 64 20 6f 66 20 6a 75 73 74 20 34 20 61 6e 64 20 79 6f 75 20 77 6f 75	es.instead.of.just.4.and.you.wou
1d440	6c 64 20 63 6f 6e 66 69 67 75 72 65 20 79 6f 75 72 20 76 36 20 72 75 6c 65 73 65 74 20 62 65 74	ld.configure.your.v6.ruleset.bet
1d460	77 65 65 6e 20 79 6f 75 72 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 79	ween.your.tunnel.interface.and.y
1d480	6f 75 72 20 4c 41 4e 2f 44 4d 5a 20 7a 6f 6e 65 73 20 69 6e 73 74 65 61 64 20 6f 66 20 74 6f 20	our.LAN/DMZ.zones.instead.of.to.
1d4a0	74 68 65 20 57 41 4e 2e 00 59 6f 75 20 77 6f 75 6c 64 20 68 61 76 65 20 74 6f 20 61 64 64 20 61	the.WAN..You.would.have.to.add.a
1d4c0	20 63 6f 75 70 6c 65 20 6f 66 20 72 75 6c 65 73 20 6f 6e 20 79 6f 75 72 20 77 61 6e 2d 6c 6f 63	.couple.of.rules.on.your.wan-loc
1d4e0	61 6c 20 72 75 6c 65 73 65 74 20 74 6f 20 61 6c 6c 6f 77 20 70 72 6f 74 6f 63 6f 6c 20 34 31 20	al.ruleset.to.allow.protocol.41.
1d500	69 6e 2e 00 5a 6f 6e 65 2d 50 6f 6c 69 63 79 20 65 78 61 6d 70 6c 65 00 5a 6f 6e 65 73 20 42 61	in..Zone-Policy.example.Zones.Ba
1d520	73 69 63 73 00 5a 6f 6e 65 73 20 61 6e 64 20 52 75 6c 65 73 65 74 73 20 62 6f 74 68 20 68 61 76	sics.Zones.and.Rulesets.both.hav
1d540	65 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 73 74 61 74 65 6d 65 6e 74 2e 20 57 68	e.a.default.action.statement..Wh
1d560	65 6e 20 75 73 69 6e 67 20 5a 6f 6e 65 2d 50 6f 6c 69 63 69 65 73 2c 20 74 68 65 20 64 65 66 61	en.using.Zone-Policies,.the.defa
1d580	75 6c 74 20 61 63 74 69 6f 6e 20 69 73 20 73 65 74 20 62 79 20 74 68 65 20 7a 6f 6e 65 2d 70 6f	ult.action.is.set.by.the.zone-po
1d5a0	6c 69 63 79 20 73 74 61 74 65 6d 65 6e 74 20 61 6e 64 20 69 73 20 72 65 70 72 65 73 65 6e 74 65	licy.statement.and.is.represente
1d5c0	64 20 62 79 20 72 75 6c 65 20 31 30 30 30 30 2e 00 5a 6f 6e 65 73 20 64 6f 20 6e 6f 74 20 61 6c	d.by.rule.10000..Zones.do.not.al
1d5e0	6c 6f 77 20 66 6f 72 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 6f 66 20 61 63 63 65	low.for.a.default.action.of.acce
1d600	70 74 3b 20 65 69 74 68 65 72 20 64 72 6f 70 20 6f 72 20 72 65 6a 65 63 74 2e 20 49 74 20 69 73	pt;.either.drop.or.reject..It.is
1d620	20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 72 65 6d 65 6d 62 65 72 20 74 68 69 73 20 62 65 63 61	.important.to.remember.this.beca
1d640	75 73 65 20 69 66 20 79 6f 75 20 61 70 70 6c 79 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 74 6f	use.if.you.apply.an.interface.to
1d660	20 61 20 7a 6f 6e 65 20 61 6e 64 20 63 6f 6d 6d 69 74 2c 20 61 6e 79 20 61 63 74 69 76 65 20 63	.a.zone.and.commit,.any.active.c
1d680	6f 6e 6e 65 63 74 69 6f 6e 73 20 77 69 6c 6c 20 62 65 20 64 72 6f 70 70 65 64 2e 20 53 70 65 63	onnections.will.be.dropped..Spec
1d6a0	69 66 69 63 61 6c 6c 79 2c 20 69 66 20 79 6f 75 20 61 72 65 20 53 53 48 e2 80 99 64 20 69 6e 74	ifically,.if.you.are.SSH...d.int
1d6c0	6f 20 56 79 4f 53 20 61 6e 64 20 61 64 64 20 6c 6f 63 61 6c 20 6f 72 20 74 68 65 20 69 6e 74 65	o.VyOS.and.add.local.or.the.inte
1d6e0	72 66 61 63 65 20 79 6f 75 20 61 72 65 20 63 6f 6e 6e 65 63 74 69 6e 67 20 74 68 72 6f 75 67 68	rface.you.are.connecting.through
1d700	20 74 6f 20 61 20 7a 6f 6e 65 20 61 6e 64 20 64 6f 20 6e 6f 74 20 68 61 76 65 20 72 75 6c 65 73	.to.a.zone.and.do.not.have.rules
1d720	65 74 73 20 69 6e 20 70 6c 61 63 65 20 74 6f 20 61 6c 6c 6f 77 20 53 53 48 20 61 6e 64 20 65 73	ets.in.place.to.allow.SSH.and.es
1d740	74 61 62 6c 69 73 68 65 64 20 73 65 73 73 69 6f 6e 73 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 6f 74	tablished.sessions,.you.will.not
1d760	20 62 65 20 61 62 6c 65 20 74 6f 20 63 6f 6e 6e 65 63 74 2e 00 60 32 30 30 31 3a 34 37 30 3a 78	.be.able.to.connect..`2001:470:x
1d780	78 78 78 3a 31 3a 3a 2f 36 34 60 3a 20 41 20 73 75 62 6e 65 74 20 73 75 69 74 61 62 6c 65 20 66	xxx:1::/64`:.A.subnet.suitable.f
1d7a0	6f 72 20 61 20 4c 41 4e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 32 3a 3a 2f 36 34 60 3a	or.a.LAN.`2001:470:xxxx:2::/64`:
1d7c0	20 41 6e 6f 74 68 65 72 20 73 75 62 6e 65 74 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 3a	.Another.subnet.`2001:470:xxxx::
1d7e0	2f 34 38 60 3a 20 54 68 65 20 77 68 6f 6c 65 20 73 75 62 6e 65 74 2e 20 78 78 78 78 20 73 68 6f	/48`:.The.whole.subnet..xxxx.sho
1d800	75 6c 64 20 63 6f 6d 65 20 66 72 6f 6d 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 00 60 32 30 30	uld.come.from.Tunnelbroker..`200
1d820	31 3a 34 37 30 3a 78 78 78 78 3a 66 66 66 66 3a 2f 36 34 60 3a 20 54 68 65 20 6c 61 73 74 20 75	1:470:xxxx:ffff:/64`:.The.last.u
1d840	73 61 62 6c 65 20 2f 36 34 20 73 75 62 6e 65 74 2e 00 60 60 73 65 72 76 69 63 65 2d 6e 61 6d 65	sable./64.subnet..``service-name
1d860	60 60 20 63 61 6e 20 62 65 20 61 6e 20 61 72 62 69 74 72 61 72 79 20 73 74 72 69 6e 67 2e 00 61	``.can.be.an.arbitrary.string..a
1d880	66 74 65 72 20 61 6c 6c 20 74 68 65 73 65 20 73 74 65 70 73 20 74 68 65 20 63 6f 6e 66 69 67 20	fter.all.these.steps.the.config.
1d8a0	6c 6f 6f 6b 20 6c 69 6b 65 20 74 68 69 73 3a 00 61 66 74 65 72 20 74 68 69 73 20 63 72 65 61 74	look.like.this:.after.this.creat
1d8c0	65 20 61 20 73 69 67 6e 65 64 20 73 65 72 76 65 72 20 61 6e 64 20 61 20 63 6c 69 65 6e 74 20 63	e.a.signed.server.and.a.client.c
1d8e0	65 72 74 69 66 69 63 61 74 65 00 61 6e 64 20 6c 61 73 74 20 74 68 65 20 44 48 20 4b 65 79 00 62	ertificate.and.last.the.DH.Key.b
1d900	6c 75 65 20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20	lue.uses.local.routing.table.id.
1d920	61 6e 64 20 56 4e 49 20 32 30 30 30 00 63 68 30 30 73 33 2d 34 2d 73 33 63 75 72 33 2d 70 73 6b	and.VNI.2000.ch00s3-4-s3cur3-psk
1d940	00 63 6f 6d 70 75 74 65 31 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70	.compute1.(VMware.ESXi.6.5).comp
1d960	75 74 65 31 20 2d 20 50 6f 72 74 20 39 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6d	ute1.-.Port.9.of.each.switch.com
1d980	70 75 74 65 32 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 32	pute2.(VMware.ESXi.6.5).compute2
1d9a0	20 2d 20 50 6f 72 74 20 31 30 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6d 70 75 74	.-.Port.10.of.each.switch.comput
1d9c0	65 33 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 33 20 2d 20	e3.(VMware.ESXi.6.5).compute3.-.
1d9e0	50 6f 72 74 20 31 31 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6e 66 69 67 75 72 65	Port.11.of.each.switch.configure
1da00	20 65 61 63 68 20 68 6f 73 74 20 69 6e 20 74 68 65 20 6c 61 62 00 63 72 65 61 74 65 20 74 68 65	.each.host.in.the.lab.create.the
1da20	20 6c 61 62 20 6f 6e 20 61 20 65 76 65 2d 6e 67 20 73 65 72 76 65 72 00 64 6f 20 73 6f 6d 65 20	.lab.on.a.eve-ng.server.do.some.
1da40	64 65 66 69 6e 65 64 20 74 65 73 74 73 00 65 74 68 30 00 65 74 68 30 20 69 73 20 73 65 74 20 74	defined.tests.eth0.eth0.is.set.t
1da60	6f 20 62 65 20 72 65 6d 6f 76 65 64 20 66 72 6f 6d 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e	o.be.removed.from.the.load.balan
1da80	63 65 72 27 73 20 69 6e 74 65 72 66 61 63 65 20 70 6f 6f 6c 20 61 66 74 65 72 20 35 20 70 69 6e	cer's.interface.pool.after.5.pin
1daa0	67 20 66 61 69 6c 75 72 65 73 2c 20 65 74 68 31 20 77 69 6c 6c 20 62 65 20 72 65 6d 6f 76 65 64	g.failures,.eth1.will.be.removed
1dac0	20 61 66 74 65 72 20 34 20 70 69 6e 67 20 66 61 69 6c 75 72 65 73 2e 00 65 78 74 65 6e 64 65 64	.after.4.ping.failures..extended
1dae0	20 63 6f 6d 6d 75 6e 69 74 79 20 61 6e 64 20 72 65 6d 6f 74 65 20 6c 61 62 65 6c 20 6f 66 20 73	.community.and.remote.label.of.s
1db00	70 65 63 69 66 69 63 20 64 65 73 74 69 6e 61 74 69 6f 6e 00 66 69 72 73 74 20 74 68 65 20 50 43	pecific.destination.first.the.PC
1db20	41 00 67 65 6e 65 72 61 74 65 20 74 68 65 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 61 6e 64	A.generate.the.documentation.and
1db40	20 69 6e 63 6c 75 64 65 20 66 69 6c 65 73 00 67 72 65 65 6e 20 75 73 65 73 20 6c 6f 63 61 6c 20	.include.files.green.uses.local.
1db60	72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20 34 30 30 30 00 69 6e	routing.table.id.and.VNI.4000.in
1db80	66 6f 72 6d 61 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 50 45 20 61 6e 64 20 43 45 3a 00 6f 70 74	formation.between.PE.and.CE:.opt
1dba0	69 6f 6e 61 6c 20 64 6f 20 61 6e 20 75 70 67 72 61 64 65 20 74 6f 20 61 20 68 69 67 68 65 72 20	ional.do.an.upgrade.to.a.higher.
1dbc0	76 65 72 73 69 6f 6e 20 61 6e 64 20 64 6f 20 73 74 65 70 20 33 20 61 67 61 69 6e 2e 00 72 65 64	version.and.do.step.3.again..red
1dbe0	20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64	.uses.local.routing.table.id.and
1dc00	20 56 4e 49 20 33 30 30 30 00 72 6f 75 74 65 72 32 20 28 52 61 6e 64 6f 6d 20 31 52 55 20 6d 61	.VNI.3000.router2.(Random.1RU.ma
1dc20	63 68 69 6e 65 20 77 69 74 68 20 34 20 4e 49 43 73 29 00 73 61 76 65 20 74 68 65 20 6f 75 74 70	chine.with.4.NICs).save.the.outp
1dc40	75 74 20 74 6f 20 61 20 66 69 6c 65 20 61 6e 64 20 69 6d 70 6f 72 74 20 69 74 20 69 6e 20 6e 65	ut.to.a.file.and.import.it.in.ne
1dc60	61 72 6c 79 20 61 6c 6c 20 6f 70 65 6e 76 70 6e 20 63 6c 69 65 6e 74 73 2e 00 73 68 75 74 64 6f	arly.all.openvpn.clients..shutdo
1dc80	77 6e 20 61 6e 64 20 64 65 73 74 72 6f 79 20 74 68 65 20 6c 61 62 2c 20 69 66 20 74 68 65 72 65	wn.and.destroy.the.lab,.if.there
1dca0	20 69 73 20 6e 6f 20 65 72 72 6f 72 00 73 70 65 63 69 66 69 63 20 56 50 4e 76 34 20 64 65 73 74	.is.no.error.specific.VPNv4.dest
1dcc0	69 6e 61 74 69 6f 6e 20 69 6e 63 6c 75 64 69 6e 67 20 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75	ination.including.extended.commu
1dce0	6e 69 74 79 20 61 6e 64 20 72 65 6d 6f 74 65 6c 61 62 65 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e	nity.and.remotelabel.information
1dd00	2e 20 54 68 69 73 20 70 72 6f 63 65 64 75 72 65 20 69 73 20 74 68 65 20 73 61 6d 65 20 6f 6e 20	..This.procedure.is.the.same.on.
1dd20	61 6c 6c 20 53 70 6f 6b 65 20 6e 6f 64 65 73 3a 00 73 77 69 74 63 68 31 20 28 4e 65 78 75 73 20	all.Spoke.nodes:.switch1.(Nexus.
1dd40	31 30 67 62 20 53 77 69 74 63 68 29 00 73 77 69 74 63 68 32 20 28 4e 65 78 75 73 20 31 30 67 62	10gb.Switch).switch2.(Nexus.10gb
1dd60	20 53 77 69 74 63 68 29 00 76 36 20 70 61 69 72 73 20 77 6f 75 6c 64 20 62 65 3a 00 77 65 20 61	.Switch).v6.pairs.would.be:.we.a
1dd80	72 65 20 75 73 69 6e 67 20 22 73 6f 75 72 63 65 2d 61 64 64 72 65 73 73 22 20 6f 70 74 69 6f 6e	re.using."source-address".option
1dda0	20 63 61 75 73 65 20 77 65 20 61 72 65 20 6e 6f 74 20 72 65 64 69 73 74 72 69 62 75 74 69 6e 67	.cause.we.are.not.redistributing
1ddc0	20 63 6f 6e 6e 65 63 74 65 64 20 69 6e 74 65 72 66 61 63 65 73 20 69 6e 74 6f 20 42 47 50 20 6f	.connected.interfaces.into.BGP.o
1dde0	6e 20 74 68 65 20 43 6f 72 65 20 72 6f 75 74 65 72 20 68 65 6e 63 65 20 74 68 65 72 65 20 69 73	n.the.Core.router.hence.there.is
1de00	20 6e 6f 20 63 6f 6d 65 62 61 63 6b 20 72 6f 75 74 65 20 61 6e 64 20 70 69 6e 67 20 77 69 6c 6c	.no.comeback.route.and.ping.will
1de20	20 66 61 69 6c 2e 00 77 69 74 68 69 6e 20 56 52 46 73 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20	.fail..within.VRFs:....show.bgp.
1de40	69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67	ipv4.vpn.summary....for.checking
1de60	20 42 47 50 20 56 50 4e 76 34 20 6e 65 69 67 68 62 6f 72 73 3a 00 e2 80 9c 73 68 6f 77 20 62 67	.BGP.VPNv4.neighbors:....show.bg
1de80	70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69	p.ipv4.vpn.summary....for.checki
1dea0	6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f 72 73 20 61 67 61 69 6e 00 e2 80 9c 73 68 6f 77 20	ng.iBGP.neighbors.again....show.
1dec0	62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63	bgp.ipv4.vpn.summary....for.chec
1dee0	6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f 72 73 20 61 67 61 69 6e 73 74 20 72 6f 75 74	king.iBGP.neighbors.against.rout
1df00	65 2d 72 65 66 6c 65 63 74 6f 72 20 64 65 76 69 63 65 73 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70	e-reflector.devices:....show.bgp
1df20	20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 33 32 e2 80 9d 20 66 6f 72 20 63 68 65 63	.ipv4.vpn.x.x.x.x/32....for.chec
1df40	6b 69 6e 67 20 62 65 73 74 2d 70 61 74 68 2c 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34	king.best-path,....show.bgp.ipv4
1df60	20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 33 32 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20	.vpn.x.x.x.x/32....for.checking.
1df80	74 68 65 20 62 65 73 74 2d 70 61 74 68 20 74 6f 20 74 68 65 00 e2 80 9c 73 68 6f 77 20 62 67 70	the.best-path.to.the....show.bgp
1dfa0	20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 78 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b	.ipv4.vpn.x.x.x.x/x....for.check
1dfc0	69 6e 67 20 62 65 73 74 20 70 61 74 68 20 73 65 6c 65 63 74 65 64 20 66 6f 72 20 73 70 65 63 69	ing.best.path.selected.for.speci
1dfe0	66 69 63 20 56 50 4e 76 34 20 64 65 73 74 69 6e 61 74 69 6f 6e 00 e2 80 9c 73 68 6f 77 20 62 67	fic.VPNv4.destination....show.bg
1e000	70 20 69 70 76 34 20 76 70 6e e2 80 9d 20 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20	p.ipv4.vpn.....for.checking.all.
1e020	56 50 4e 76 34 20 70 72 65 66 69 78 65 73 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 3a 00 e2 80 9c 73	VPNv4.prefixes.information:....s
1e040	68 6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 5f 48 55 42 20 73 75 6d 6d 61 72 79 e2 80 9d 20	how.bgp.vrf.BLUE_HUB.summary....
1e060	66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 47 50 20 6e 65 69 67 68 62 6f 72 00 e2 80 9c 73 68	for.checking.EBGP.neighbor....sh
1e080	6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 5f 53 50 4f 4b 45 20 73 75 6d 6d 61 72 79 e2 80 9d	ow.bgp.vrf.BLUE_SPOKE.summary...
1e0a0	20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 47 50 20 6e 65 69 67 68 62 6f 72 00 e2 80 9c 73	.for.checking.EBGP.neighbor....s
1e0c0	68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20	how.bgp.vrf.all....for.checking.
1e0e0	61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 20 6c 65 61 72 6e 69 6e 67 20 6f 6e 20 42 47 50 00 e2	all.the.prefix.learning.on.BGP..
1e100	80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69	..show.bgp.vrf.all....for.checki
1e120	6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 65 73 20 6c 65 61 72 6e 69 6e 67 20 6f 6e 20	ng.all.the.prefixes.learning.on.
1e140	42 47 50 00 e2 80 9c 73 68 6f 77 20 69 70 20 6f 73 70 66 20 6e 65 69 67 68 62 6f 72 e2 80 9d 20	BGP....show.ip.ospf.neighbor....
1e160	66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6f 73 70 66 20 72 65 6c 61 74 69 6f 6e 73 68 69 70 00 e2	for.checking.ospf.relationship..
1e180	80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 72 66 20 42 4c 55 45 5f 48 55 42 e2 80 9d 20	..show.ip.route.vrf.BLUE_HUB....
1e1a0	74 6f 20 76 69 65 77 20 74 68 65 20 52 49 42 20 69 6e 20 6f 75 72 20 48 75 62 20 50 45 2e 00 e2	to.view.the.RIB.in.our.Hub.PE...
1e1c0	80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 72 66 20 42 4c 55 45 5f 53 50 4f 4b 45 e2 80	..show.ip.route.vrf.BLUE_SPOKE..
1e1e0	9d 20 66 6f 72 20 76 69 65 77 69 6e 67 20 74 68 65 20 52 49 42 20 69 6e 20 6f 75 72 20 53 70 6f	..for.viewing.the.RIB.in.our.Spo
1e200	6b 65 20 50 45 2e 00 e2 80 9c 73 68 6f 77 20 6d 70 6c 73 20 6c 64 70 20 62 69 6e 64 69 6e 67 e2	ke.PE.....show.mpls.ldp.binding.
1e220	80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6d 70 6c 73 20 6c 61 62 65 6c 20 61 73 73 69 67	...for.checking.mpls.label.assig
1e240	6e 6d 65 6e 74 00 e2 80 9c 73 68 6f 77 20 6d 70 6c 73 20 6c 64 70 20 6e 65 69 67 68 62 6f 72 20	nment....show.mpls.ldp.neighbor.
1e260	e2 80 9c 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6c 64 70 20 6e 65 69 67 68 62 6f 72 73 00	....for.checking.ldp.neighbors.