configexamples.mo « LC_MESSAGES « uk « _locale « docs - vyos-documentation.git - VyOS readthedocs (mirror of https://github.com/vyos/vyos-documentation.git)

blob: 923a9818da69f15ebcd497be65b908019d14a2c1 (plain)

ofs	hex dump	ascii
0000	de 12 04 95 00 00 00 00 af 02 00 00 1c 00 00 00 94 15 00 00 97 03 00 00 0c 2b 00 00 00 00 00 00	.........................+......
0020	68 39 00 00 15 01 00 00 69 39 00 00 43 00 00 00 7f 3a 00 00 49 00 00 00 c3 3a 00 00 28 00 00 00	h9......i9..C....:..I....:..(...
0040	0d 3b 00 00 7c 00 00 00 36 3b 00 00 80 00 00 00 b3 3b 00 00 84 00 00 00 34 3c 00 00 70 00 00 00	.;..\|...6;.......;......4<..p...
0060	b9 3c 00 00 2e 01 00 00 2a 3d 00 00 0c 00 00 00 59 3e 00 00 0b 00 00 00 66 3e 00 00 0b 00 00 00	.<......*=......Y>......f>......
0080	72 3e 00 00 0b 00 00 00 7e 3e 00 00 08 00 00 00 8a 3e 00 00 11 00 00 00 93 3e 00 00 0b 00 00 00	r>......~>.......>.......>......
00a0	a5 3e 00 00 0c 00 00 00 b1 3e 00 00 09 00 00 00 be 3e 00 00 0b 00 00 00 c8 3e 00 00 0f 00 00 00	.>.......>.......>.......>......
00c0	d4 3e 00 00 0f 00 00 00 e4 3e 00 00 0f 00 00 00 f4 3e 00 00 38 00 00 00 04 3f 00 00 0d 00 00 00	.>.......>.......>..8....?......
00e0	3d 3f 00 00 15 00 00 00 4b 3f 00 00 11 00 00 00 61 3f 00 00 19 00 00 00 73 3f 00 00 19 00 00 00	=?......K?......a?......s?......
0100	8d 3f 00 00 15 00 00 00 a7 3f 00 00 15 00 00 00 bd 3f 00 00 1a 00 00 00 d3 3f 00 00 57 00 00 00	.?.......?.......?.......?..W...
0120	ee 3f 00 00 63 00 00 00 46 40 00 00 0e 00 00 00 aa 40 00 00 0c 00 00 00 b9 40 00 00 1f 00 00 00	.?..c...F@.......@.......@......
0140	c6 40 00 00 1f 00 00 00 e6 40 00 00 0e 00 00 00 06 41 00 00 0f 00 00 00 15 41 00 00 0f 00 00 00	.@.......@.......A.......A......
0160	25 41 00 00 0f 00 00 00 35 41 00 00 2e 00 00 00 45 41 00 00 0b 00 00 00 74 41 00 00 0b 00 00 00	%A......5A......EA......tA......
0180	80 41 00 00 1c 00 00 00 8c 41 00 00 1c 00 00 00 a9 41 00 00 1e 00 00 00 c6 41 00 00 3f 00 00 00	.A.......A.......A.......A..?...
01a0	e5 41 00 00 07 00 00 00 25 42 00 00 09 00 00 00 2d 42 00 00 07 00 00 00 37 42 00 00 08 00 00 00	.A......%B......-B......7B......
01c0	3f 42 00 00 05 00 00 00 48 42 00 00 0a 00 00 00 4e 42 00 00 15 00 00 00 59 42 00 00 0a 00 00 00	?B......HB......NB......YB......
01e0	6f 42 00 00 05 00 00 00 7a 42 00 00 4e 02 00 00 80 42 00 00 82 00 00 00 cf 44 00 00 5b 00 00 00	oB......zB..N....B.......D..[...
0200	52 45 00 00 1a 01 00 00 ae 45 00 00 c8 00 00 00 c9 46 00 00 57 00 00 00 92 47 00 00 58 00 00 00	RE.......E.......F..W....G..X...
0220	ea 47 00 00 d4 00 00 00 43 48 00 00 0f 01 00 00 18 49 00 00 f1 00 00 00 28 4a 00 00 30 00 00 00	.G......CH.......I......(J..0...
0240	1a 4b 00 00 30 00 00 00 4b 4b 00 00 30 00 00 00 7c 4b 00 00 28 00 00 00 ad 4b 00 00 22 00 00 00	.K..0...KK..0...\|K..(....K.."...
0260	d6 4b 00 00 1d 00 00 00 f9 4b 00 00 1a 00 00 00 17 4c 00 00 16 00 00 00 32 4c 00 00 46 00 00 00	.K.......K.......L......2L..F...
0280	49 4c 00 00 37 00 00 00 90 4c 00 00 26 00 00 00 c8 4c 00 00 1a 00 00 00 ef 4c 00 00 5d 00 00 00	IL..7....L..&....L.......L..]...
02a0	0a 4d 00 00 7c 00 00 00 68 4d 00 00 4b 00 00 00 e5 4d 00 00 28 00 00 00 31 4e 00 00 97 00 00 00	.M..\|...hM..K....M..(...1N......
02c0	5a 4e 00 00 46 00 00 00 f2 4e 00 00 56 00 00 00 39 4f 00 00 53 00 00 00 90 4f 00 00 1f 00 00 00	ZN..F....N..V...9O..S....O......
02e0	e4 4f 00 00 36 00 00 00 04 50 00 00 3c 00 00 00 3b 50 00 00 2b 00 00 00 78 50 00 00 2d 00 00 00	.O..6....P..<...;P..+...xP..-...
0300	a4 50 00 00 38 00 00 00 d2 50 00 00 30 00 00 00 0b 51 00 00 1d 00 00 00 3c 51 00 00 79 00 00 00	.P..8....P..0....Q......<Q..y...
0320	5a 51 00 00 25 00 00 00 d4 51 00 00 53 02 00 00 fa 51 00 00 16 00 00 00 4e 54 00 00 46 00 00 00	ZQ..%....Q..S....Q......NT..F...
0340	65 54 00 00 18 00 00 00 ac 54 00 00 48 00 00 00 c5 54 00 00 1e 00 00 00 0e 55 00 00 0f 00 00 00	eT.......T..H....T.......U......
0360	2d 55 00 00 8e 00 00 00 3d 55 00 00 0a 00 00 00 cc 55 00 00 0a 00 00 00 d7 55 00 00 12 01 00 00	-U......=U.......U.......U......
0380	e2 55 00 00 8f 00 00 00 f5 56 00 00 df 00 00 00 85 57 00 00 22 00 00 00 65 58 00 00 40 04 00 00	.U.......V.......W.."...eX..@...
03a0	88 58 00 00 48 00 00 00 c9 5c 00 00 1c 00 00 00 12 5d 00 00 52 00 00 00 2f 5d 00 00 fa 00 00 00	.X..H....\.......]..R.../]......
03c0	82 5d 00 00 6d 00 00 00 7d 5e 00 00 87 00 00 00 eb 5e 00 00 ba 00 00 00 73 5f 00 00 5d 00 00 00	.]..m...}^.......^......s_..]...
03e0	2e 60 00 00 a9 00 00 00 8c 60 00 00 09 00 00 00 36 61 00 00 1e 00 00 00 40 61 00 00 1e 00 00 00	.`.......`......6a......@a......
0400	5f 61 00 00 19 00 00 00 7e 61 00 00 1c 00 00 00 98 61 00 00 13 00 00 00 b5 61 00 00 03 00 00 00	_a......~a.......a.......a......
0420	c9 61 00 00 29 00 00 00 cd 61 00 00 4a 00 00 00 f7 61 00 00 08 00 00 00 42 62 00 00 0a 00 00 00	.a..)....a..J....a......Bb......
0440	4b 62 00 00 e9 01 00 00 56 62 00 00 0e 00 00 00 40 64 00 00 19 00 00 00 4f 64 00 00 27 00 00 00	Kb......Vb......@d......Od..'...
0460	69 64 00 00 29 00 00 00 91 64 00 00 1a 00 00 00 bb 64 00 00 48 01 00 00 d6 64 00 00 06 00 00 00	id..)....d.......d..H....d......
0480	1f 66 00 00 86 02 00 00 26 66 00 00 0d 00 00 00 ad 68 00 00 0a 00 00 00 bb 68 00 00 07 00 00 00	.f......&f.......h.......h......
04a0	c6 68 00 00 70 00 00 00 ce 68 00 00 6e 00 00 00 3f 69 00 00 10 00 00 00 ae 69 00 00 26 00 00 00	.h..p....h..n...?i.......i..&...
04c0	bf 69 00 00 11 00 00 00 e6 69 00 00 12 00 00 00 f8 69 00 00 be 00 00 00 0b 6a 00 00 21 00 00 00	.i.......i.......i.......j..!...
04e0	ca 6a 00 00 05 00 00 00 ec 6a 00 00 43 00 00 00 f2 6a 00 00 35 00 00 00 36 6b 00 00 14 00 00 00	.j.......j..C....j..5...6k......
0500	6c 6b 00 00 56 00 00 00 81 6b 00 00 0b 00 00 00 d8 6b 00 00 0d 00 00 00 e4 6b 00 00 13 00 00 00	lk..V....k.......k.......k......
0520	f2 6b 00 00 14 00 00 00 06 6c 00 00 29 00 00 00 1b 6c 00 00 18 00 00 00 45 6c 00 00 23 00 00 00	.k.......l..)....l......El..#...
0540	5e 6c 00 00 24 00 00 00 82 6c 00 00 39 00 00 00 a7 6c 00 00 0e 00 00 00 e1 6c 00 00 0e 00 00 00	^l..$....l..9....l.......l......
0560	f0 6c 00 00 13 00 00 00 ff 6c 00 00 27 00 00 00 13 6d 00 00 2b 00 00 00 3b 6d 00 00 51 00 00 00	.l.......l..'....m..+...;m..Q...
0580	67 6d 00 00 18 00 00 00 b9 6d 00 00 19 00 00 00 d2 6d 00 00 44 00 00 00 ec 6d 00 00 1b 00 00 00	gm.......m.......m..D....m......
05a0	31 6e 00 00 2f 00 00 00 4d 6e 00 00 1b 00 00 00 7d 6e 00 00 a4 00 00 00 99 6e 00 00 ae 00 00 00	1n../...Mn......}n.......n......
05c0	3e 6f 00 00 04 00 00 00 ed 6f 00 00 0b 00 00 00 f2 6f 00 00 0c 00 00 00 fe 6f 00 00 14 00 00 00	>o.......o.......o.......o......
05e0	0b 70 00 00 14 00 00 00 20 70 00 00 16 00 00 00 35 70 00 00 ae 00 00 00 4c 70 00 00 85 00 00 00	.p.......p......5p......Lp......
0600	fb 70 00 00 2b 00 00 00 81 71 00 00 25 00 00 00 ad 71 00 00 43 00 00 00 d3 71 00 00 5a 00 00 00	.p..+....q..%....q..C....q..Z...
0620	17 72 00 00 24 00 00 00 72 72 00 00 dc 00 00 00 97 72 00 00 1c 00 00 00 74 73 00 00 0a 00 00 00	.r..$...rr.......r......ts......
0640	91 73 00 00 0b 00 00 00 9c 73 00 00 0f 00 00 00 a8 73 00 00 20 00 00 00 b8 73 00 00 5d 00 00 00	.s.......s.......s.......s..]...
0660	d9 73 00 00 06 00 00 00 37 74 00 00 08 00 00 00 3e 74 00 00 08 00 00 00 47 74 00 00 17 00 00 00	.s......7t......>t......Gt......
0680	50 74 00 00 f9 00 00 00 68 74 00 00 0c 01 00 00 62 75 00 00 96 00 00 00 6f 76 00 00 78 00 00 00	Pt......ht......bu......ov..x...
06a0	06 77 00 00 14 00 00 00 7f 77 00 00 0b 00 00 00 94 77 00 00 0a 00 00 00 a0 77 00 00 4e 00 00 00	.w.......w.......w.......w..N...
06c0	ab 77 00 00 c4 00 00 00 fa 77 00 00 fa 00 00 00 bf 78 00 00 d1 00 00 00 ba 79 00 00 12 01 00 00	.w.......w.......x.......y......
06e0	8c 7a 00 00 db 00 00 00 9f 7b 00 00 07 00 00 00 7b 7c 00 00 23 00 00 00 83 7c 00 00 2e 00 00 00	.z.......{......{\|..#....\|......
0700	a7 7c 00 00 27 00 00 00 d6 7c 00 00 3a 00 00 00 fe 7c 00 00 2e 00 00 00 39 7d 00 00 0f 00 00 00	.\|..'....\|..:....\|......9}......
0720	68 7d 00 00 48 00 00 00 78 7d 00 00 9f 00 00 00 c1 7d 00 00 34 00 00 00 61 7e 00 00 08 00 00 00	h}..H...x}.......}..4...a~......
0740	96 7e 00 00 17 00 00 00 9f 7e 00 00 bf 00 00 00 b7 7e 00 00 85 00 00 00 77 7f 00 00 45 00 00 00	.~.......~.......~......w...E...
0760	fd 7f 00 00 43 00 00 00 43 80 00 00 21 01 00 00 87 80 00 00 d5 00 00 00 a9 81 00 00 ab 00 00 00	....C...C...!...................
0780	7f 82 00 00 53 00 00 00 2b 83 00 00 78 00 00 00 7f 83 00 00 bd 00 00 00 f8 83 00 00 56 00 00 00	....S...+...x...............V...
07a0	b6 84 00 00 1c 00 00 00 0d 85 00 00 2e 00 00 00 2a 85 00 00 23 00 00 00 59 85 00 00 04 00 00 00	................*...#...Y.......
07c0	7d 85 00 00 67 00 00 00 82 85 00 00 5a 00 00 00 ea 85 00 00 43 00 00 00 45 86 00 00 44 00 00 00	}...g.......Z.......C...E...D...
07e0	89 86 00 00 08 00 00 00 ce 86 00 00 27 00 00 00 d7 86 00 00 2e 00 00 00 ff 86 00 00 4d 00 00 00	............'...............M...
0800	2e 87 00 00 69 00 00 00 7c 87 00 00 83 00 00 00 e6 87 00 00 1d 00 00 00 6a 88 00 00 11 00 00 00	....i...\|...............j.......
0820	88 88 00 00 03 00 00 00 9a 88 00 00 01 02 00 00 9e 88 00 00 ab 00 00 00 a0 8a 00 00 78 00 00 00	............................x...
0840	4c 8b 00 00 83 00 00 00 c5 8b 00 00 e2 00 00 00 49 8c 00 00 09 00 00 00 2c 8d 00 00 5f 03 00 00	L...............I.......,..._...
0860	36 8d 00 00 14 00 00 00 96 90 00 00 06 00 00 00 ab 90 00 00 0c 00 00 00 b2 90 00 00 0c 00 00 00	6...............................
0880	bf 90 00 00 0b 00 00 00 cc 90 00 00 17 00 00 00 d8 90 00 00 0f 00 00 00 f0 90 00 00 03 00 00 00	................................
08a0	00 91 00 00 43 00 00 00 04 91 00 00 67 00 00 00 48 91 00 00 d8 00 00 00 b0 91 00 00 90 00 00 00	....C.......g...H...............
08c0	89 92 00 00 88 00 00 00 1a 93 00 00 ec 00 00 00 a3 93 00 00 33 00 00 00 90 94 00 00 9f 00 00 00	....................3...........
08e0	c4 94 00 00 98 00 00 00 64 95 00 00 bd 00 00 00 fd 95 00 00 99 00 00 00 bb 96 00 00 54 00 00 00	........d...................T...
0900	55 97 00 00 fd 00 00 00 aa 97 00 00 60 00 00 00 a8 98 00 00 a3 00 00 00 09 99 00 00 4d 00 00 00	U...........`...............M...
0920	ad 99 00 00 5e 00 00 00 fb 99 00 00 44 00 00 00 5a 9a 00 00 dc 00 00 00 9f 9a 00 00 ee 00 00 00	....^.......D...Z...............
0940	7c 9b 00 00 75 00 00 00 6b 9c 00 00 67 00 00 00 e1 9c 00 00 6b 00 00 00 49 9d 00 00 5d 00 00 00	\|...u...k...g.......k...I...]...
0960	b5 9d 00 00 9d 00 00 00 13 9e 00 00 98 00 00 00 b1 9e 00 00 20 00 00 00 4a 9f 00 00 33 00 00 00	........................J...3...
0980	6b 9f 00 00 3a 00 00 00 9f 9f 00 00 14 00 00 00 da 9f 00 00 15 00 00 00 ef 9f 00 00 1f 00 00 00	k...:...........................
09a0	05 a0 00 00 6a 01 00 00 25 a0 00 00 24 00 00 00 90 a1 00 00 10 00 00 00 b5 a1 00 00 08 00 00 00	....j...%...$...................
09c0	c6 a1 00 00 23 00 00 00 cf a1 00 00 24 00 00 00 f3 a1 00 00 23 00 00 00 18 a2 00 00 23 00 00 00	....#.......$.......#.......#...
09e0	3c a2 00 00 7a 00 00 00 60 a2 00 00 94 00 00 00 db a2 00 00 21 00 00 00 70 a3 00 00 89 00 00 00	<...z...`...........!...p.......
0a00	92 a3 00 00 98 00 00 00 1c a4 00 00 14 00 00 00 b5 a4 00 00 23 00 00 00 ca a4 00 00 25 00 00 00	....................#.......%...
0a20	ee a4 00 00 2e 00 00 00 14 a5 00 00 05 00 00 00 43 a5 00 00 05 00 00 00 49 a5 00 00 11 00 00 00	................C.......I.......
0a40	4f a5 00 00 3c 00 00 00 61 a5 00 00 1d 00 00 00 9e a5 00 00 25 00 00 00 bc a5 00 00 04 00 00 00	O...<...a...........%...........
0a60	e2 a5 00 00 0c 00 00 00 e7 a5 00 00 0f 00 00 00 f4 a5 00 00 04 00 00 00 04 a6 00 00 63 00 00 00	............................c...
0a80	09 a6 00 00 3c 00 00 00 6d a6 00 00 40 00 00 00 aa a6 00 00 dc 02 00 00 eb a6 00 00 0b 00 00 00	....<...m...@...................
0aa0	c8 a9 00 00 3c 00 00 00 d4 a9 00 00 0a 00 00 00 11 aa 00 00 0e 00 00 00 1c aa 00 00 79 00 00 00	....<.......................y...
0ac0	2b aa 00 00 5d 00 00 00 a5 aa 00 00 0a 00 00 00 03 ab 00 00 16 00 00 00 0e ab 00 00 16 00 00 00	+...]...........................
0ae0	25 ab 00 00 0b 00 00 00 3c ab 00 00 14 00 00 00 48 ab 00 00 0f 00 00 00 5d ab 00 00 10 00 00 00	%.......<.......H.......].......
0b00	6d ab 00 00 18 00 00 00 7e ab 00 00 21 00 00 00 97 ab 00 00 5a 00 00 00 b9 ab 00 00 80 00 00 00	m.......~...!.......Z...........
0b20	14 ac 00 00 44 00 00 00 95 ac 00 00 2b 00 00 00 da ac 00 00 04 00 00 00 06 ad 00 00 40 00 00 00	....D.......+...............@...
0b40	0b ad 00 00 97 00 00 00 4c ad 00 00 42 00 00 00 e4 ad 00 00 5d 00 00 00 27 ae 00 00 3a 00 00 00	........L...B.......]...'...:...
0b60	85 ae 00 00 34 00 00 00 c0 ae 00 00 2e 00 00 00 f5 ae 00 00 26 00 00 00 24 af 00 00 58 00 00 00	....4...............&...$...X...
0b80	4b af 00 00 34 00 00 00 a4 af 00 00 35 00 00 00 d9 af 00 00 13 00 00 00 0f b0 00 00 19 00 00 00	K...4.......5...................
0ba0	23 b0 00 00 85 00 00 00 3d b0 00 00 19 00 00 00 c3 b0 00 00 7a 00 00 00 dd b0 00 00 79 00 00 00	#.......=...........z.......y...
0bc0	58 b1 00 00 53 00 00 00 d2 b1 00 00 68 00 00 00 26 b2 00 00 36 00 00 00 8f b2 00 00 32 00 00 00	X...S.......h...&...6.......2...
0be0	c6 b2 00 00 38 00 00 00 f9 b2 00 00 36 00 00 00 32 b3 00 00 38 00 00 00 69 b3 00 00 11 00 00 00	....8.......6...2...8...i.......
0c00	a2 b3 00 00 20 00 00 00 b4 b3 00 00 16 00 00 00 d5 b3 00 00 38 01 00 00 ec b3 00 00 69 00 00 00	....................8.......i...
0c20	25 b5 00 00 08 00 00 00 8f b5 00 00 03 00 00 00 98 b5 00 00 72 00 00 00 9c b5 00 00 03 00 00 00	%...................r...........
0c40	0f b6 00 00 6c 00 00 00 13 b6 00 00 03 00 00 00 80 b6 00 00 61 00 00 00 84 b6 00 00 27 00 00 00	....l...............a.......'...
0c60	e6 b6 00 00 0b 00 00 00 0e b7 00 00 37 00 00 00 1a b7 00 00 25 00 00 00 52 b7 00 00 6e 00 00 00	............7.......%...R...n...
0c80	78 b7 00 00 b2 00 00 00 e7 b7 00 00 38 00 00 00 9a b8 00 00 0e 00 00 00 d3 b8 00 00 0d 00 00 00	x...........8...................
0ca0	e2 b8 00 00 0a 00 00 00 f0 b8 00 00 67 00 00 00 fb b8 00 00 0e 00 00 00 63 b9 00 00 0b 00 00 00	............g...........c.......
0cc0	72 b9 00 00 02 00 00 00 7e b9 00 00 0e 00 00 00 81 b9 00 00 02 00 00 00 90 b9 00 00 09 00 00 00	r.......~.......................
0ce0	93 b9 00 00 09 00 00 00 9d b9 00 00 42 01 00 00 a7 b9 00 00 0f 00 00 00 ea ba 00 00 47 00 00 00	............B...............G...
0d00	fa ba 00 00 81 00 00 00 42 bb 00 00 07 00 00 00 c4 bb 00 00 04 00 00 00 cc bb 00 00 46 00 00 00	........B...................F...
0d20	d1 bb 00 00 3c 00 00 00 18 bc 00 00 0f 00 00 00 55 bc 00 00 96 00 00 00 65 bc 00 00 7c 00 00 00	....<...........U.......e...\|...
0d40	fc bc 00 00 09 00 00 00 79 bd 00 00 14 00 00 00 83 bd 00 00 09 00 00 00 98 bd 00 00 1b 00 00 00	........y.......................
0d60	a2 bd 00 00 2c 00 00 00 be bd 00 00 1d 00 00 00 eb bd 00 00 a8 00 00 00 09 be 00 00 d7 00 00 00	....,...........................
0d80	b2 be 00 00 42 00 00 00 8a bf 00 00 7d 00 00 00 cd bf 00 00 77 00 00 00 4b c0 00 00 49 00 00 00	....B.......}.......w...K...I...
0da0	c3 c0 00 00 48 00 00 00 0d c1 00 00 24 00 00 00 56 c1 00 00 9b 00 00 00 7b c1 00 00 43 00 00 00	....H.......$...V.......{...C...
0dc0	17 c2 00 00 34 00 00 00 5b c2 00 00 18 00 00 00 90 c2 00 00 9e 00 00 00 a9 c2 00 00 92 00 00 00	....4...[.......................
0de0	48 c3 00 00 17 01 00 00 db c3 00 00 3f 00 00 00 f3 c4 00 00 10 00 00 00 33 c5 00 00 5a 00 00 00	H...........?...........3...Z...
0e00	44 c5 00 00 2d 00 00 00 9f c5 00 00 4b 00 00 00 cd c5 00 00 0f 00 00 00 19 c6 00 00 05 00 00 00	D...-.......K...................
0e20	29 c6 00 00 40 00 00 00 2f c6 00 00 13 00 00 00 70 c6 00 00 4b 02 00 00 84 c6 00 00 31 00 00 00	)...@.../.......p...K.......1...
0e40	d0 c8 00 00 26 00 00 00 02 c9 00 00 19 00 00 00 29 c9 00 00 1f 00 00 00 43 c9 00 00 2d 00 00 00	....&...........).......C...-...
0e60	63 c9 00 00 30 00 00 00 91 c9 00 00 2a 00 00 00 c2 c9 00 00 1c 00 00 00 ed c9 00 00 14 00 00 00	c...0.......*...................
0e80	0a ca 00 00 16 00 00 00 1f ca 00 00 09 00 00 00 36 ca 00 00 0e 00 00 00 40 ca 00 00 0f 00 00 00	................6.......@.......
0ea0	4f ca 00 00 14 00 00 00 5f ca 00 00 14 00 00 00 74 ca 00 00 14 00 00 00 89 ca 00 00 14 00 00 00	O......._.......t...............
0ec0	9e ca 00 00 07 00 00 00 b3 ca 00 00 15 00 00 00 bb ca 00 00 e6 00 00 00 d1 ca 00 00 8e 00 00 00	................................
0ee0	b8 cb 00 00 1d 00 00 00 47 cc 00 00 85 00 00 00 65 cc 00 00 cd 00 00 00 eb cc 00 00 b8 00 00 00	........G.......e...............
0f00	b9 cd 00 00 75 00 00 00 72 ce 00 00 a7 00 00 00 e8 ce 00 00 6d 00 00 00 90 cf 00 00 4d 00 00 00	....u...r...........m.......M...
0f20	fe cf 00 00 be 00 00 00 4c d0 00 00 41 00 00 00 0b d1 00 00 5d 00 00 00 4d d1 00 00 1e 00 00 00	........L...A.......]...M.......
0f40	ab d1 00 00 75 00 00 00 ca d1 00 00 1f 00 00 00 40 d2 00 00 45 00 00 00 60 d2 00 00 9d 00 00 00	....u...........@...E...`.......
0f60	a6 d2 00 00 28 00 00 00 44 d3 00 00 5f 00 00 00 6d d3 00 00 41 00 00 00 cd d3 00 00 50 00 00 00	....(...D..._...m...A.......P...
0f80	0f d4 00 00 df 00 00 00 60 d4 00 00 b7 00 00 00 40 d5 00 00 9b 00 00 00 f8 d5 00 00 5b 00 00 00	........`.......@...........[...
0fa0	94 d6 00 00 c3 00 00 00 f0 d6 00 00 7f 00 00 00 b4 d7 00 00 94 00 00 00 34 d8 00 00 b4 00 00 00	........................4.......
0fc0	c9 d8 00 00 25 00 00 00 7e d9 00 00 a8 00 00 00 a4 d9 00 00 50 00 00 00 4d da 00 00 1f 00 00 00	....%...~...........P...M.......
0fe0	9e da 00 00 35 00 00 00 be da 00 00 3b 00 00 00 f4 da 00 00 a8 00 00 00 30 db 00 00 15 01 00 00	....5.......;...........0.......
1000	d9 db 00 00 ce 00 00 00 ef dc 00 00 a9 00 00 00 be dd 00 00 24 00 00 00 68 de 00 00 42 00 00 00	....................$...h...B...
1020	8d de 00 00 8f 00 00 00 d0 de 00 00 95 00 00 00 60 df 00 00 7b 00 00 00 f6 df 00 00 76 00 00 00	................`...{.......v...
1040	72 e0 00 00 57 00 00 00 e9 e0 00 00 aa 00 00 00 41 e1 00 00 f8 00 00 00 ec e1 00 00 2b 00 00 00	r...W...........A...........+...
1060	e5 e2 00 00 9e 01 00 00 11 e3 00 00 46 00 00 00 b0 e4 00 00 65 00 00 00 f7 e4 00 00 ad 00 00 00	............F.......e...........
1080	5d e5 00 00 6c 00 00 00 0b e6 00 00 9f 00 00 00 78 e6 00 00 b9 00 00 00 18 e7 00 00 60 00 00 00	]...l...........x...........`...
10a0	d2 e7 00 00 56 00 00 00 33 e8 00 00 28 00 00 00 8a e8 00 00 42 00 00 00 b3 e8 00 00 7d 00 00 00	....V...3...(.......B.......}...
10c0	f6 e8 00 00 27 00 00 00 74 e9 00 00 ac 00 00 00 9c e9 00 00 b1 00 00 00 49 ea 00 00 4b 00 00 00	....'...t...............I...K...
10e0	fb ea 00 00 83 00 00 00 47 eb 00 00 08 00 00 00 cb eb 00 00 8d 00 00 00 d4 eb 00 00 0a 00 00 00	........G.......................
1100	62 ec 00 00 1b 00 00 00 6d ec 00 00 17 00 00 00 89 ec 00 00 28 00 00 00 a1 ec 00 00 e7 00 00 00	b.......m...........(...........
1120	ca ec 00 00 d0 00 00 00 b2 ed 00 00 25 00 00 00 83 ee 00 00 83 00 00 00 a9 ee 00 00 90 00 00 00	............%...................
1140	2d ef 00 00 05 00 00 00 be ef 00 00 c9 00 00 00 c4 ef 00 00 03 00 00 00 8e f0 00 00 12 00 00 00	-...............................
1160	92 f0 00 00 0c 00 00 00 a5 f0 00 00 21 00 00 00 b2 f0 00 00 21 00 00 00 d4 f0 00 00 21 00 00 00	............!.......!.......!...
1180	f6 f0 00 00 21 00 00 00 18 f1 00 00 26 00 00 00 3a f1 00 00 04 00 00 00 61 f1 00 00 b9 00 00 00	....!.......&...:.......a.......
11a0	66 f1 00 00 3b 00 00 00 20 f2 00 00 0e 00 00 00 5c f2 00 00 18 00 00 00 6b f2 00 00 26 00 00 00	f...;...........\.......k...&...
11c0	84 f2 00 00 23 00 00 00 ab f2 00 00 23 00 00 00 cf f2 00 00 0d 00 00 00 f3 f2 00 00 23 00 00 00	....#.......#...............#...
11e0	01 f3 00 00 0f 00 00 00 25 f3 00 00 24 00 00 00 35 f3 00 00 0f 00 00 00 5a f3 00 00 08 00 00 00	........%...$...5.......Z.......
1200	6a f3 00 00 08 00 00 00 73 f3 00 00 08 00 00 00 7c f3 00 00 08 00 00 00 85 f3 00 00 08 00 00 00	j.......s.......\|...............
1220	8e f3 00 00 09 00 00 00 97 f3 00 00 08 00 00 00 a1 f3 00 00 09 00 00 00 aa f3 00 00 08 00 00 00	................................
1240	b4 f3 00 00 09 00 00 00 bd f3 00 00 0c 00 00 00 c7 f3 00 00 09 00 00 00 d4 f3 00 00 09 00 00 00	................................
1260	de f3 00 00 08 00 00 00 e8 f3 00 00 12 00 00 00 f1 f3 00 00 0f 00 00 00 04 f4 00 00 0e 00 00 00	................................
1280	14 f4 00 00 0d 00 00 00 23 f4 00 00 1a 00 00 00 31 f4 00 00 16 00 00 00 4c f4 00 00 49 00 00 00	........#.......1.......L...I...
12a0	63 f4 00 00 82 00 00 00 ad f4 00 00 1f 01 00 00 30 f5 00 00 40 00 00 00 50 f6 00 00 6f 00 00 00	c...............0...@...P...o...
12c0	91 f6 00 00 f4 00 00 00 01 f7 00 00 3c 00 00 00 f6 f7 00 00 17 00 00 00 33 f8 00 00 6e 00 00 00	............<...........3...n...
12e0	4b f8 00 00 67 00 00 00 ba f8 00 00 8e 00 00 00 22 f9 00 00 19 03 00 00 b1 f9 00 00 cb 00 00 00	K...g..........."...............
1300	cb fc 00 00 bc 00 00 00 97 fd 00 00 42 00 00 00 54 fe 00 00 36 00 00 00 97 fe 00 00 b9 00 00 00	............B...T...6...........
1320	ce fe 00 00 62 00 00 00 88 ff 00 00 ec 00 00 00 eb ff 00 00 d1 00 00 00 d8 00 01 00 7f 01 00 00	....b...........................
1340	aa 01 01 00 33 00 00 00 2a 03 01 00 09 00 00 00 5e 03 01 00 e7 00 00 00 68 03 01 00 2c 00 00 00	....3...*.......^.......h...,...
1360	50 04 01 00 8d 00 00 00 7d 04 01 00 70 00 00 00 0b 05 01 00 07 00 00 00 7c 05 01 00 5a 00 00 00	P.......}...p...........\|...Z...
1380	84 05 01 00 46 00 00 00 df 05 01 00 3a 00 00 00 26 06 01 00 47 00 00 00 61 06 01 00 9c 00 00 00	....F.......:...&...G...a.......
13a0	a9 06 01 00 5a 00 00 00 46 07 01 00 13 00 00 00 a1 07 01 00 0c 00 00 00 b5 07 01 00 ab 00 00 00	....Z...F.......................
13c0	c2 07 01 00 a3 01 00 00 6e 08 01 00 33 00 00 00 12 0a 01 00 26 00 00 00 46 0a 01 00 4b 00 00 00	........n...3.......&...F...K...
13e0	6d 0a 01 00 35 00 00 00 b9 0a 01 00 2c 00 00 00 ef 0a 01 00 30 00 00 00 1c 0b 01 00 3a 00 00 00	m...5.......,.......0.......:...
1400	4d 0b 01 00 13 00 00 00 88 0b 01 00 2d 00 00 00 9c 0b 01 00 13 00 00 00 ca 0b 01 00 1a 00 00 00	M...........-...................
1420	de 0b 01 00 20 00 00 00 f9 0b 01 00 1a 00 00 00 1a 0c 01 00 21 00 00 00 35 0c 01 00 1a 00 00 00	....................!...5.......
1440	57 0c 01 00 21 00 00 00 72 0c 01 00 1e 00 00 00 94 0c 01 00 21 00 00 00 b3 0c 01 00 15 00 00 00	W...!...r...........!...........
1460	d5 0c 01 00 04 00 00 00 eb 0c 01 00 84 00 00 00 f0 0c 01 00 3b 00 00 00 75 0d 01 00 0d 00 00 00	....................;...u.......
1480	b1 0d 01 00 2c 00 00 00 bf 0d 01 00 2e 00 00 00 ec 0d 01 00 1e 00 00 00 1b 0e 01 00 3f 00 00 00	....,.......................?...
14a0	3a 0e 01 00 2c 00 00 00 7a 0e 01 00 28 00 00 00 a7 0e 01 00 46 00 00 00 d0 0e 01 00 32 00 00 00	:...,...z...(.......F.......2...
14c0	17 0f 01 00 83 00 00 00 4a 0f 01 00 1b 00 00 00 ce 0f 01 00 1b 00 00 00 ea 0f 01 00 12 00 00 00	........J.......................
14e0	06 10 01 00 14 00 00 00 19 10 01 00 13 00 00 00 2e 10 01 00 13 00 00 00 42 10 01 00 13 00 00 00	........................B.......
1500	56 10 01 00 aa 00 00 00 6a 10 01 00 0c 00 00 00 15 11 01 00 41 00 00 00 22 11 01 00 41 00 00 00	V.......j...........A..."...A...
1520	64 11 01 00 5c 00 00 00 a6 11 01 00 3a 00 00 00 03 12 01 00 44 00 00 00 3e 12 01 00 60 00 00 00	d...\.......:.......D...>...`...
1540	83 12 01 00 45 00 00 00 e4 12 01 00 3e 00 00 00 2a 13 01 00 40 00 00 00 69 13 01 00 42 00 00 00	....E.......>...*...@...i...B...
1560	aa 13 01 00 44 00 00 00 ed 13 01 00 3a 00 00 00 32 14 01 00 3f 00 00 00 6d 14 01 00 47 00 00 00	....D.......:...2...?...m...G...
1580	ad 14 01 00 3e 00 00 00 f5 14 01 00 38 00 00 00 34 15 01 00 27 01 00 00 6d 15 01 00 15 01 00 00	....>.......8...4...'...m.......
15a0	95 16 01 00 43 00 00 00 ab 17 01 00 49 00 00 00 ef 17 01 00 28 00 00 00 39 18 01 00 7c 00 00 00	....C.......I.......(...9...\|...
15c0	62 18 01 00 80 00 00 00 df 18 01 00 84 00 00 00 60 19 01 00 70 00 00 00 e5 19 01 00 2e 01 00 00	b...............`...p...........
15e0	56 1a 01 00 0c 00 00 00 85 1b 01 00 0b 00 00 00 92 1b 01 00 0b 00 00 00 9e 1b 01 00 0b 00 00 00	V...............................
1600	aa 1b 01 00 08 00 00 00 b6 1b 01 00 11 00 00 00 bf 1b 01 00 0b 00 00 00 d1 1b 01 00 0c 00 00 00	................................
1620	dd 1b 01 00 09 00 00 00 ea 1b 01 00 0b 00 00 00 f4 1b 01 00 0f 00 00 00 00 1c 01 00 0f 00 00 00	................................
1640	10 1c 01 00 0f 00 00 00 20 1c 01 00 38 00 00 00 30 1c 01 00 0d 00 00 00 69 1c 01 00 15 00 00 00	............8...0.......i.......
1660	77 1c 01 00 11 00 00 00 8d 1c 01 00 19 00 00 00 9f 1c 01 00 19 00 00 00 b9 1c 01 00 15 00 00 00	w...............................
1680	d3 1c 01 00 15 00 00 00 e9 1c 01 00 1a 00 00 00 ff 1c 01 00 57 00 00 00 1a 1d 01 00 63 00 00 00	....................W.......c...
16a0	72 1d 01 00 0e 00 00 00 d6 1d 01 00 0c 00 00 00 e5 1d 01 00 1f 00 00 00 f2 1d 01 00 1f 00 00 00	r...............................
16c0	12 1e 01 00 0e 00 00 00 32 1e 01 00 0f 00 00 00 41 1e 01 00 0f 00 00 00 51 1e 01 00 0f 00 00 00	........2.......A.......Q.......
16e0	61 1e 01 00 2e 00 00 00 71 1e 01 00 0b 00 00 00 a0 1e 01 00 0b 00 00 00 ac 1e 01 00 1c 00 00 00	a.......q.......................
1700	b8 1e 01 00 1c 00 00 00 d5 1e 01 00 1e 00 00 00 f2 1e 01 00 3f 00 00 00 11 1f 01 00 07 00 00 00	....................?...........
1720	51 1f 01 00 09 00 00 00 59 1f 01 00 07 00 00 00 63 1f 01 00 08 00 00 00 6b 1f 01 00 05 00 00 00	Q.......Y.......c.......k.......
1740	74 1f 01 00 0a 00 00 00 7a 1f 01 00 15 00 00 00 85 1f 01 00 0a 00 00 00 9b 1f 01 00 05 00 00 00	t.......z.......................
1760	a6 1f 01 00 4e 02 00 00 ac 1f 01 00 82 00 00 00 fb 21 01 00 5b 00 00 00 7e 22 01 00 1a 01 00 00	....N............!..[...~"......
1780	da 22 01 00 c8 00 00 00 f5 23 01 00 57 00 00 00 be 24 01 00 58 00 00 00 16 25 01 00 d4 00 00 00	.".......#..W....$..X....%......
17a0	6f 25 01 00 0f 01 00 00 44 26 01 00 f1 00 00 00 54 27 01 00 30 00 00 00 46 28 01 00 30 00 00 00	o%......D&......T'..0...F(..0...
17c0	77 28 01 00 30 00 00 00 a8 28 01 00 28 00 00 00 d9 28 01 00 22 00 00 00 02 29 01 00 1d 00 00 00	w(..0....(..(....(.."....)......
17e0	25 29 01 00 1a 00 00 00 43 29 01 00 16 00 00 00 5e 29 01 00 46 00 00 00 75 29 01 00 37 00 00 00	%)......C)......^)..F...u)..7...
1800	bc 29 01 00 26 00 00 00 f4 29 01 00 1a 00 00 00 1b 2a 01 00 5d 00 00 00 36 2a 01 00 7c 00 00 00	.)..&....).........]...6..\|...
1820	94 2a 01 00 4b 00 00 00 11 2b 01 00 28 00 00 00 5d 2b 01 00 97 00 00 00 86 2b 01 00 46 00 00 00	.*..K....+..(...]+.......+..F...
1840	1e 2c 01 00 56 00 00 00 65 2c 01 00 53 00 00 00 bc 2c 01 00 1f 00 00 00 10 2d 01 00 36 00 00 00	.,..V...e,..S....,.......-..6...
1860	30 2d 01 00 3c 00 00 00 67 2d 01 00 2b 00 00 00 a4 2d 01 00 2d 00 00 00 d0 2d 01 00 38 00 00 00	0-..<...g-..+....-..-....-..8...
1880	fe 2d 01 00 30 00 00 00 37 2e 01 00 1d 00 00 00 68 2e 01 00 79 00 00 00 86 2e 01 00 25 00 00 00	.-..0...7.......h...y.......%...
18a0	00 2f 01 00 53 02 00 00 26 2f 01 00 16 00 00 00 7a 31 01 00 46 00 00 00 91 31 01 00 18 00 00 00	./..S...&/......z1..F....1......
18c0	d8 31 01 00 48 00 00 00 f1 31 01 00 1e 00 00 00 3a 32 01 00 0f 00 00 00 59 32 01 00 8e 00 00 00	.1..H....1......:2......Y2......
18e0	69 32 01 00 0a 00 00 00 f8 32 01 00 0a 00 00 00 03 33 01 00 12 01 00 00 0e 33 01 00 8f 00 00 00	i2.......2.......3.......3......
1900	21 34 01 00 df 00 00 00 b1 34 01 00 22 00 00 00 91 35 01 00 40 04 00 00 b4 35 01 00 48 00 00 00	!4.......4.."....5..@....5..H...
1920	f5 39 01 00 1c 00 00 00 3e 3a 01 00 52 00 00 00 5b 3a 01 00 fa 00 00 00 ae 3a 01 00 6d 00 00 00	.9......>:..R...[:.......:..m...
1940	a9 3b 01 00 87 00 00 00 17 3c 01 00 ba 00 00 00 9f 3c 01 00 5d 00 00 00 5a 3d 01 00 a9 00 00 00	.;.......<.......<..]...Z=......
1960	b8 3d 01 00 09 00 00 00 62 3e 01 00 1e 00 00 00 6c 3e 01 00 1e 00 00 00 8b 3e 01 00 19 00 00 00	.=......b>......l>.......>......
1980	aa 3e 01 00 1c 00 00 00 c4 3e 01 00 13 00 00 00 e1 3e 01 00 03 00 00 00 f5 3e 01 00 29 00 00 00	.>.......>.......>.......>..)...
19a0	f9 3e 01 00 4a 00 00 00 23 3f 01 00 08 00 00 00 6e 3f 01 00 0a 00 00 00 77 3f 01 00 e9 01 00 00	.>..J...#?......n?......w?......
19c0	82 3f 01 00 0e 00 00 00 6c 41 01 00 19 00 00 00 7b 41 01 00 27 00 00 00 95 41 01 00 29 00 00 00	.?......lA......{A..'....A..)...
19e0	bd 41 01 00 1a 00 00 00 e7 41 01 00 48 01 00 00 02 42 01 00 06 00 00 00 4b 43 01 00 86 02 00 00	.A.......A..H....B......KC......
1a00	52 43 01 00 0d 00 00 00 d9 45 01 00 0a 00 00 00 e7 45 01 00 07 00 00 00 f2 45 01 00 70 00 00 00	RC.......E.......E.......E..p...
1a20	fa 45 01 00 6e 00 00 00 6b 46 01 00 10 00 00 00 da 46 01 00 26 00 00 00 eb 46 01 00 11 00 00 00	.E..n...kF.......F..&....F......
1a40	12 47 01 00 12 00 00 00 24 47 01 00 be 00 00 00 37 47 01 00 21 00 00 00 f6 47 01 00 05 00 00 00	.G......$G......7G..!....G......
1a60	18 48 01 00 43 00 00 00 1e 48 01 00 35 00 00 00 62 48 01 00 14 00 00 00 98 48 01 00 56 00 00 00	.H..C....H..5...bH.......H..V...
1a80	ad 48 01 00 0b 00 00 00 04 49 01 00 0d 00 00 00 10 49 01 00 13 00 00 00 1e 49 01 00 14 00 00 00	.H.......I.......I.......I......
1aa0	32 49 01 00 29 00 00 00 47 49 01 00 18 00 00 00 71 49 01 00 23 00 00 00 8a 49 01 00 24 00 00 00	2I..)...GI......qI..#....I..$...
1ac0	ae 49 01 00 39 00 00 00 d3 49 01 00 0e 00 00 00 0d 4a 01 00 0e 00 00 00 1c 4a 01 00 13 00 00 00	.I..9....I.......J.......J......
1ae0	2b 4a 01 00 27 00 00 00 3f 4a 01 00 2b 00 00 00 67 4a 01 00 51 00 00 00 93 4a 01 00 18 00 00 00	+J..'...?J..+...gJ..Q....J......
1b00	e5 4a 01 00 19 00 00 00 fe 4a 01 00 44 00 00 00 18 4b 01 00 1b 00 00 00 5d 4b 01 00 2f 00 00 00	.J.......J..D....K......]K../...
1b20	79 4b 01 00 1b 00 00 00 a9 4b 01 00 a4 00 00 00 c5 4b 01 00 ae 00 00 00 6a 4c 01 00 04 00 00 00	yK.......K.......K......jL......
1b40	19 4d 01 00 0b 00 00 00 1e 4d 01 00 0c 00 00 00 2a 4d 01 00 14 00 00 00 37 4d 01 00 14 00 00 00	.M.......M......*M......7M......
1b60	4c 4d 01 00 16 00 00 00 61 4d 01 00 ae 00 00 00 78 4d 01 00 85 00 00 00 27 4e 01 00 2b 00 00 00	LM......aM......xM......'N..+...
1b80	ad 4e 01 00 25 00 00 00 d9 4e 01 00 43 00 00 00 ff 4e 01 00 5a 00 00 00 43 4f 01 00 24 00 00 00	.N..%....N..C....N..Z...CO..$...
1ba0	9e 4f 01 00 dc 00 00 00 c3 4f 01 00 1c 00 00 00 a0 50 01 00 0a 00 00 00 bd 50 01 00 0b 00 00 00	.O.......O.......P.......P......
1bc0	c8 50 01 00 0f 00 00 00 d4 50 01 00 20 00 00 00 e4 50 01 00 5d 00 00 00 05 51 01 00 06 00 00 00	.P.......P.......P..]....Q......
1be0	63 51 01 00 08 00 00 00 6a 51 01 00 08 00 00 00 73 51 01 00 17 00 00 00 7c 51 01 00 f9 00 00 00	cQ......jQ......sQ......\|Q......
1c00	94 51 01 00 0c 01 00 00 8e 52 01 00 96 00 00 00 9b 53 01 00 78 00 00 00 32 54 01 00 14 00 00 00	.Q.......R.......S..x...2T......
1c20	ab 54 01 00 0b 00 00 00 c0 54 01 00 0a 00 00 00 cc 54 01 00 4e 00 00 00 d7 54 01 00 c4 00 00 00	.T.......T.......T..N....T......
1c40	26 55 01 00 fa 00 00 00 eb 55 01 00 d1 00 00 00 e6 56 01 00 12 01 00 00 b8 57 01 00 db 00 00 00	&U.......U.......V.......W......
1c60	cb 58 01 00 07 00 00 00 a7 59 01 00 23 00 00 00 af 59 01 00 2e 00 00 00 d3 59 01 00 27 00 00 00	.X.......Y..#....Y.......Y..'...
1c80	02 5a 01 00 3a 00 00 00 2a 5a 01 00 2e 00 00 00 65 5a 01 00 0f 00 00 00 94 5a 01 00 48 00 00 00	.Z..:...*Z......eZ.......Z..H...
1ca0	a4 5a 01 00 9f 00 00 00 ed 5a 01 00 34 00 00 00 8d 5b 01 00 08 00 00 00 c2 5b 01 00 17 00 00 00	.Z.......Z..4....[.......[......
1cc0	cb 5b 01 00 bf 00 00 00 e3 5b 01 00 85 00 00 00 a3 5c 01 00 45 00 00 00 29 5d 01 00 43 00 00 00	.[.......[.......\..E...)]..C...
1ce0	6f 5d 01 00 21 01 00 00 b3 5d 01 00 d5 00 00 00 d5 5e 01 00 ab 00 00 00 ab 5f 01 00 53 00 00 00	o]..!....].......^......._..S...
1d00	57 60 01 00 78 00 00 00 ab 60 01 00 bd 00 00 00 24 61 01 00 56 00 00 00 e2 61 01 00 1c 00 00 00	W`..x....`......$a..V....a......
1d20	39 62 01 00 2e 00 00 00 56 62 01 00 23 00 00 00 85 62 01 00 04 00 00 00 a9 62 01 00 67 00 00 00	9b......Vb..#....b.......b..g...
1d40	ae 62 01 00 5a 00 00 00 16 63 01 00 43 00 00 00 71 63 01 00 44 00 00 00 b5 63 01 00 08 00 00 00	.b..Z....c..C...qc..D....c......
1d60	fa 63 01 00 27 00 00 00 03 64 01 00 2e 00 00 00 2b 64 01 00 4d 00 00 00 5a 64 01 00 69 00 00 00	.c..'....d......+d..M...Zd..i...
1d80	a8 64 01 00 83 00 00 00 12 65 01 00 1d 00 00 00 96 65 01 00 11 00 00 00 b4 65 01 00 03 00 00 00	.d.......e.......e.......e......
1da0	c6 65 01 00 01 02 00 00 ca 65 01 00 ab 00 00 00 cc 67 01 00 78 00 00 00 78 68 01 00 83 00 00 00	.e.......e.......g..x...xh......
1dc0	f1 68 01 00 e2 00 00 00 75 69 01 00 09 00 00 00 58 6a 01 00 5f 03 00 00 62 6a 01 00 14 00 00 00	.h......ui......Xj.._...bj......
1de0	c2 6d 01 00 06 00 00 00 d7 6d 01 00 0c 00 00 00 de 6d 01 00 0c 00 00 00 eb 6d 01 00 0b 00 00 00	.m.......m.......m.......m......
1e00	f8 6d 01 00 17 00 00 00 04 6e 01 00 0f 00 00 00 1c 6e 01 00 03 00 00 00 2c 6e 01 00 43 00 00 00	.m.......n.......n......,n..C...
1e20	30 6e 01 00 67 00 00 00 74 6e 01 00 d8 00 00 00 dc 6e 01 00 90 00 00 00 b5 6f 01 00 88 00 00 00	0n..g...tn.......n.......o......
1e40	46 70 01 00 ec 00 00 00 cf 70 01 00 33 00 00 00 bc 71 01 00 9f 00 00 00 f0 71 01 00 98 00 00 00	Fp.......p..3....q.......q......
1e60	90 72 01 00 bd 00 00 00 29 73 01 00 99 00 00 00 e7 73 01 00 54 00 00 00 81 74 01 00 fd 00 00 00	.r......)s.......s..T....t......
1e80	d6 74 01 00 60 00 00 00 d4 75 01 00 a3 00 00 00 35 76 01 00 4d 00 00 00 d9 76 01 00 5e 00 00 00	.t..`....u......5v..M....v..^...
1ea0	27 77 01 00 44 00 00 00 86 77 01 00 dc 00 00 00 cb 77 01 00 ee 00 00 00 a8 78 01 00 75 00 00 00	'w..D....w.......w.......x..u...
1ec0	97 79 01 00 67 00 00 00 0d 7a 01 00 6b 00 00 00 75 7a 01 00 5d 00 00 00 e1 7a 01 00 9d 00 00 00	.y..g....z..k...uz..]....z......
1ee0	3f 7b 01 00 98 00 00 00 dd 7b 01 00 20 00 00 00 76 7c 01 00 33 00 00 00 97 7c 01 00 3a 00 00 00	?{.......{......v\|..3....\|..:...
1f00	cb 7c 01 00 14 00 00 00 06 7d 01 00 15 00 00 00 1b 7d 01 00 1f 00 00 00 31 7d 01 00 6a 01 00 00	.\|.......}.......}......1}..j...
1f20	51 7d 01 00 24 00 00 00 bc 7e 01 00 10 00 00 00 e1 7e 01 00 08 00 00 00 f2 7e 01 00 23 00 00 00	Q}..$....~.......~.......~..#...
1f40	fb 7e 01 00 24 00 00 00 1f 7f 01 00 23 00 00 00 44 7f 01 00 23 00 00 00 68 7f 01 00 7a 00 00 00	.~..$.......#...D...#...h...z...
1f60	8c 7f 01 00 94 00 00 00 07 80 01 00 21 00 00 00 9c 80 01 00 89 00 00 00 be 80 01 00 98 00 00 00	............!...................
1f80	48 81 01 00 14 00 00 00 e1 81 01 00 23 00 00 00 f6 81 01 00 25 00 00 00 1a 82 01 00 2e 00 00 00	H...........#.......%...........
1fa0	40 82 01 00 05 00 00 00 6f 82 01 00 05 00 00 00 75 82 01 00 11 00 00 00 7b 82 01 00 3c 00 00 00	@.......o.......u.......{...<...
1fc0	8d 82 01 00 1d 00 00 00 ca 82 01 00 25 00 00 00 e8 82 01 00 04 00 00 00 0e 83 01 00 0c 00 00 00	............%...................
1fe0	13 83 01 00 0f 00 00 00 20 83 01 00 04 00 00 00 30 83 01 00 63 00 00 00 35 83 01 00 3c 00 00 00	................0...c...5...<...
2000	99 83 01 00 40 00 00 00 d6 83 01 00 dc 02 00 00 17 84 01 00 0b 00 00 00 f4 86 01 00 3c 00 00 00	....@.......................<...
2020	00 87 01 00 0a 00 00 00 3d 87 01 00 0e 00 00 00 48 87 01 00 79 00 00 00 57 87 01 00 5d 00 00 00	........=.......H...y...W...]...
2040	d1 87 01 00 0a 00 00 00 2f 88 01 00 16 00 00 00 3a 88 01 00 16 00 00 00 51 88 01 00 0b 00 00 00	......../.......:.......Q.......
2060	68 88 01 00 14 00 00 00 74 88 01 00 0f 00 00 00 89 88 01 00 10 00 00 00 99 88 01 00 18 00 00 00	h.......t.......................
2080	aa 88 01 00 21 00 00 00 c3 88 01 00 5a 00 00 00 e5 88 01 00 80 00 00 00 40 89 01 00 44 00 00 00	....!.......Z...........@...D...
20a0	c1 89 01 00 2b 00 00 00 06 8a 01 00 04 00 00 00 32 8a 01 00 40 00 00 00 37 8a 01 00 97 00 00 00	....+...........2...@...7.......
20c0	78 8a 01 00 42 00 00 00 10 8b 01 00 5d 00 00 00 53 8b 01 00 3a 00 00 00 b1 8b 01 00 34 00 00 00	x...B.......]...S...:.......4...
20e0	ec 8b 01 00 2e 00 00 00 21 8c 01 00 26 00 00 00 50 8c 01 00 58 00 00 00 77 8c 01 00 34 00 00 00	........!...&...P...X...w...4...
2100	d0 8c 01 00 35 00 00 00 05 8d 01 00 13 00 00 00 3b 8d 01 00 19 00 00 00 4f 8d 01 00 85 00 00 00	....5...........;.......O.......
2120	69 8d 01 00 19 00 00 00 ef 8d 01 00 7a 00 00 00 09 8e 01 00 79 00 00 00 84 8e 01 00 53 00 00 00	i...........z.......y.......S...
2140	fe 8e 01 00 68 00 00 00 52 8f 01 00 36 00 00 00 bb 8f 01 00 32 00 00 00 f2 8f 01 00 38 00 00 00	....h...R...6.......2.......8...
2160	25 90 01 00 36 00 00 00 5e 90 01 00 38 00 00 00 95 90 01 00 11 00 00 00 ce 90 01 00 20 00 00 00	%...6...^...8...................
2180	e0 90 01 00 16 00 00 00 01 91 01 00 38 01 00 00 18 91 01 00 69 00 00 00 51 92 01 00 08 00 00 00	............8.......i...Q.......
21a0	bb 92 01 00 03 00 00 00 c4 92 01 00 72 00 00 00 c8 92 01 00 03 00 00 00 3b 93 01 00 6c 00 00 00	............r...........;...l...
21c0	3f 93 01 00 03 00 00 00 ac 93 01 00 61 00 00 00 b0 93 01 00 27 00 00 00 12 94 01 00 0b 00 00 00	?...........a.......'...........
21e0	3a 94 01 00 37 00 00 00 46 94 01 00 25 00 00 00 7e 94 01 00 6e 00 00 00 a4 94 01 00 b2 00 00 00	:...7...F...%...~...n...........
2200	13 95 01 00 38 00 00 00 c6 95 01 00 0e 00 00 00 ff 95 01 00 0d 00 00 00 0e 96 01 00 0a 00 00 00	....8...........................
2220	1c 96 01 00 67 00 00 00 27 96 01 00 0e 00 00 00 8f 96 01 00 0b 00 00 00 9e 96 01 00 02 00 00 00	....g...'.......................
2240	aa 96 01 00 0e 00 00 00 ad 96 01 00 02 00 00 00 bc 96 01 00 09 00 00 00 bf 96 01 00 09 00 00 00	................................
2260	c9 96 01 00 42 01 00 00 d3 96 01 00 0f 00 00 00 16 98 01 00 47 00 00 00 26 98 01 00 81 00 00 00	....B...............G...&.......
2280	6e 98 01 00 07 00 00 00 f0 98 01 00 04 00 00 00 f8 98 01 00 46 00 00 00 fd 98 01 00 3c 00 00 00	n...................F.......<...
22a0	44 99 01 00 0f 00 00 00 81 99 01 00 96 00 00 00 91 99 01 00 7c 00 00 00 28 9a 01 00 09 00 00 00	D...................\|...(.......
22c0	a5 9a 01 00 14 00 00 00 af 9a 01 00 09 00 00 00 c4 9a 01 00 1b 00 00 00 ce 9a 01 00 2c 00 00 00	............................,...
22e0	ea 9a 01 00 1d 00 00 00 17 9b 01 00 a8 00 00 00 35 9b 01 00 d7 00 00 00 de 9b 01 00 42 00 00 00	................5...........B...
2300	b6 9c 01 00 7d 00 00 00 f9 9c 01 00 77 00 00 00 77 9d 01 00 49 00 00 00 ef 9d 01 00 48 00 00 00	....}.......w...w...I.......H...
2320	39 9e 01 00 24 00 00 00 82 9e 01 00 9b 00 00 00 a7 9e 01 00 43 00 00 00 43 9f 01 00 34 00 00 00	9...$...............C...C...4...
2340	87 9f 01 00 18 00 00 00 bc 9f 01 00 9e 00 00 00 d5 9f 01 00 92 00 00 00 74 a0 01 00 17 01 00 00	........................t.......
2360	07 a1 01 00 3f 00 00 00 1f a2 01 00 10 00 00 00 5f a2 01 00 5a 00 00 00 70 a2 01 00 2d 00 00 00	....?..........._...Z...p...-...
2380	cb a2 01 00 4b 00 00 00 f9 a2 01 00 0f 00 00 00 45 a3 01 00 05 00 00 00 55 a3 01 00 40 00 00 00	....K...........E.......U...@...
23a0	5b a3 01 00 13 00 00 00 9c a3 01 00 4b 02 00 00 b0 a3 01 00 31 00 00 00 fc a5 01 00 26 00 00 00	[...........K.......1.......&...
23c0	2e a6 01 00 19 00 00 00 55 a6 01 00 1f 00 00 00 6f a6 01 00 2d 00 00 00 8f a6 01 00 30 00 00 00	........U.......o...-.......0...
23e0	bd a6 01 00 2a 00 00 00 ee a6 01 00 1c 00 00 00 19 a7 01 00 14 00 00 00 36 a7 01 00 16 00 00 00	....*...................6.......
2400	4b a7 01 00 09 00 00 00 62 a7 01 00 0e 00 00 00 6c a7 01 00 0f 00 00 00 7b a7 01 00 14 00 00 00	K.......b.......l.......{.......
2420	8b a7 01 00 14 00 00 00 a0 a7 01 00 14 00 00 00 b5 a7 01 00 14 00 00 00 ca a7 01 00 07 00 00 00	................................
2440	df a7 01 00 15 00 00 00 e7 a7 01 00 e6 00 00 00 fd a7 01 00 8e 00 00 00 e4 a8 01 00 1d 00 00 00	................................
2460	73 a9 01 00 85 00 00 00 91 a9 01 00 cd 00 00 00 17 aa 01 00 b8 00 00 00 e5 aa 01 00 75 00 00 00	s...........................u...
2480	9e ab 01 00 a7 00 00 00 14 ac 01 00 6d 00 00 00 bc ac 01 00 4d 00 00 00 2a ad 01 00 be 00 00 00	............m.......M...*.......
24a0	78 ad 01 00 41 00 00 00 37 ae 01 00 5d 00 00 00 79 ae 01 00 1e 00 00 00 d7 ae 01 00 75 00 00 00	x...A...7...]...y...........u...
24c0	f6 ae 01 00 1f 00 00 00 6c af 01 00 45 00 00 00 8c af 01 00 9d 00 00 00 d2 af 01 00 28 00 00 00	........l...E...............(...
24e0	70 b0 01 00 5f 00 00 00 99 b0 01 00 41 00 00 00 f9 b0 01 00 50 00 00 00 3b b1 01 00 df 00 00 00	p..._.......A.......P...;.......
2500	8c b1 01 00 b7 00 00 00 6c b2 01 00 9b 00 00 00 24 b3 01 00 5b 00 00 00 c0 b3 01 00 c3 00 00 00	........l.......$...[...........
2520	1c b4 01 00 7f 00 00 00 e0 b4 01 00 94 00 00 00 60 b5 01 00 b4 00 00 00 f5 b5 01 00 25 00 00 00	................`...........%...
2540	aa b6 01 00 a8 00 00 00 d0 b6 01 00 50 00 00 00 79 b7 01 00 1f 00 00 00 ca b7 01 00 35 00 00 00	............P...y...........5...
2560	ea b7 01 00 3b 00 00 00 20 b8 01 00 a8 00 00 00 5c b8 01 00 15 01 00 00 05 b9 01 00 ce 00 00 00	....;...........\...............
2580	1b ba 01 00 a9 00 00 00 ea ba 01 00 24 00 00 00 94 bb 01 00 42 00 00 00 b9 bb 01 00 8f 00 00 00	............$.......B...........
25a0	fc bb 01 00 95 00 00 00 8c bc 01 00 7b 00 00 00 22 bd 01 00 76 00 00 00 9e bd 01 00 57 00 00 00	............{..."...v.......W...
25c0	15 be 01 00 aa 00 00 00 6d be 01 00 f8 00 00 00 18 bf 01 00 2b 00 00 00 11 c0 01 00 9e 01 00 00	........m...........+...........
25e0	3d c0 01 00 46 00 00 00 dc c1 01 00 65 00 00 00 23 c2 01 00 ad 00 00 00 89 c2 01 00 6c 00 00 00	=...F.......e...#...........l...
2600	37 c3 01 00 9f 00 00 00 a4 c3 01 00 b9 00 00 00 44 c4 01 00 60 00 00 00 fe c4 01 00 56 00 00 00	7...............D...`.......V...
2620	5f c5 01 00 28 00 00 00 b6 c5 01 00 42 00 00 00 df c5 01 00 7d 00 00 00 22 c6 01 00 27 00 00 00	_...(.......B.......}..."...'...
2640	a0 c6 01 00 ac 00 00 00 c8 c6 01 00 b1 00 00 00 75 c7 01 00 4b 00 00 00 27 c8 01 00 83 00 00 00	................u...K...'.......
2660	73 c8 01 00 08 00 00 00 f7 c8 01 00 8d 00 00 00 00 c9 01 00 0a 00 00 00 8e c9 01 00 1b 00 00 00	s...............................
2680	99 c9 01 00 17 00 00 00 b5 c9 01 00 28 00 00 00 cd c9 01 00 e7 00 00 00 f6 c9 01 00 d0 00 00 00	............(...................
26a0	de ca 01 00 25 00 00 00 af cb 01 00 83 00 00 00 d5 cb 01 00 90 00 00 00 59 cc 01 00 05 00 00 00	....%...................Y.......
26c0	ea cc 01 00 c9 00 00 00 f0 cc 01 00 03 00 00 00 ba cd 01 00 12 00 00 00 be cd 01 00 0c 00 00 00	................................
26e0	d1 cd 01 00 21 00 00 00 de cd 01 00 21 00 00 00 00 ce 01 00 21 00 00 00 22 ce 01 00 21 00 00 00	....!.......!.......!..."...!...
2700	44 ce 01 00 26 00 00 00 66 ce 01 00 04 00 00 00 8d ce 01 00 b9 00 00 00 92 ce 01 00 3b 00 00 00	D...&...f...................;...
2720	4c cf 01 00 0e 00 00 00 88 cf 01 00 18 00 00 00 97 cf 01 00 26 00 00 00 b0 cf 01 00 23 00 00 00	L...................&.......#...
2740	d7 cf 01 00 23 00 00 00 fb cf 01 00 0d 00 00 00 1f d0 01 00 23 00 00 00 2d d0 01 00 0f 00 00 00	....#...............#...-.......
2760	51 d0 01 00 24 00 00 00 61 d0 01 00 0f 00 00 00 86 d0 01 00 08 00 00 00 96 d0 01 00 08 00 00 00	Q...$...a.......................
2780	9f d0 01 00 08 00 00 00 a8 d0 01 00 08 00 00 00 b1 d0 01 00 08 00 00 00 ba d0 01 00 09 00 00 00	................................
27a0	c3 d0 01 00 08 00 00 00 cd d0 01 00 09 00 00 00 d6 d0 01 00 08 00 00 00 e0 d0 01 00 09 00 00 00	................................
27c0	e9 d0 01 00 0c 00 00 00 f3 d0 01 00 09 00 00 00 00 d1 01 00 09 00 00 00 0a d1 01 00 08 00 00 00	................................
27e0	14 d1 01 00 12 00 00 00 1d d1 01 00 0f 00 00 00 30 d1 01 00 0e 00 00 00 40 d1 01 00 0d 00 00 00	................0.......@.......
2800	4f d1 01 00 1a 00 00 00 5d d1 01 00 16 00 00 00 78 d1 01 00 49 00 00 00 8f d1 01 00 82 00 00 00	O.......].......x...I...........
2820	d9 d1 01 00 1f 01 00 00 5c d2 01 00 40 00 00 00 7c d3 01 00 6f 00 00 00 bd d3 01 00 f4 00 00 00	........\...@...\|...o...........
2840	2d d4 01 00 3c 00 00 00 22 d5 01 00 17 00 00 00 5f d5 01 00 6e 00 00 00 77 d5 01 00 67 00 00 00	-...<..."......._...n...w...g...
2860	e6 d5 01 00 8e 00 00 00 4e d6 01 00 19 03 00 00 dd d6 01 00 cb 00 00 00 f7 d9 01 00 bc 00 00 00	........N.......................
2880	c3 da 01 00 42 00 00 00 80 db 01 00 36 00 00 00 c3 db 01 00 b9 00 00 00 fa db 01 00 62 00 00 00	....B.......6...............b...
28a0	b4 dc 01 00 ec 00 00 00 17 dd 01 00 d1 00 00 00 04 de 01 00 7f 01 00 00 d6 de 01 00 33 00 00 00	............................3...
28c0	56 e0 01 00 09 00 00 00 8a e0 01 00 e7 00 00 00 94 e0 01 00 2c 00 00 00 7c e1 01 00 8d 00 00 00	V...................,...\|.......
28e0	a9 e1 01 00 70 00 00 00 37 e2 01 00 07 00 00 00 a8 e2 01 00 5a 00 00 00 b0 e2 01 00 46 00 00 00	....p...7...........Z.......F...
2900	0b e3 01 00 3a 00 00 00 52 e3 01 00 47 00 00 00 8d e3 01 00 9c 00 00 00 d5 e3 01 00 5a 00 00 00	....:...R...G...............Z...
2920	72 e4 01 00 13 00 00 00 cd e4 01 00 0c 00 00 00 e1 e4 01 00 ab 00 00 00 ee e4 01 00 a3 01 00 00	r...............................
2940	9a e5 01 00 33 00 00 00 3e e7 01 00 26 00 00 00 72 e7 01 00 4b 00 00 00 99 e7 01 00 35 00 00 00	....3...>...&...r...K.......5...
2960	e5 e7 01 00 2c 00 00 00 1b e8 01 00 30 00 00 00 48 e8 01 00 3a 00 00 00 79 e8 01 00 13 00 00 00	....,.......0...H...:...y.......
2980	b4 e8 01 00 2d 00 00 00 c8 e8 01 00 13 00 00 00 f6 e8 01 00 1a 00 00 00 0a e9 01 00 20 00 00 00	....-...........................
29a0	25 e9 01 00 1a 00 00 00 46 e9 01 00 21 00 00 00 61 e9 01 00 1a 00 00 00 83 e9 01 00 21 00 00 00	%.......F...!...a...........!...
29c0	9e e9 01 00 1e 00 00 00 c0 e9 01 00 21 00 00 00 df e9 01 00 15 00 00 00 01 ea 01 00 04 00 00 00	............!...................
29e0	17 ea 01 00 84 00 00 00 1c ea 01 00 3b 00 00 00 a1 ea 01 00 0d 00 00 00 dd ea 01 00 2c 00 00 00	............;...............,...
2a00	eb ea 01 00 2e 00 00 00 18 eb 01 00 1e 00 00 00 47 eb 01 00 3f 00 00 00 66 eb 01 00 2c 00 00 00	................G...?...f...,...
2a20	a6 eb 01 00 28 00 00 00 d3 eb 01 00 46 00 00 00 fc eb 01 00 32 00 00 00 43 ec 01 00 83 00 00 00	....(.......F.......2...C.......
2a40	76 ec 01 00 1b 00 00 00 fa ec 01 00 1b 00 00 00 16 ed 01 00 12 00 00 00 32 ed 01 00 14 00 00 00	v.......................2.......
2a60	45 ed 01 00 13 00 00 00 5a ed 01 00 13 00 00 00 6e ed 01 00 13 00 00 00 82 ed 01 00 aa 00 00 00	E.......Z.......n...............
2a80	96 ed 01 00 0c 00 00 00 41 ee 01 00 41 00 00 00 4e ee 01 00 41 00 00 00 90 ee 01 00 5c 00 00 00	........A...A...N...A.......\...
2aa0	d2 ee 01 00 3a 00 00 00 2f ef 01 00 44 00 00 00 6a ef 01 00 60 00 00 00 af ef 01 00 45 00 00 00	....:.../...D...j...`.......E...
2ac0	10 f0 01 00 3e 00 00 00 56 f0 01 00 40 00 00 00 95 f0 01 00 42 00 00 00 d6 f0 01 00 44 00 00 00	....>...V...@.......B.......D...
2ae0	19 f1 01 00 3a 00 00 00 5e f1 01 00 3f 00 00 00 99 f1 01 00 47 00 00 00 d9 f1 01 00 3e 00 00 00	....:...^...?.......G.......>...
2b00	21 f2 01 00 38 00 00 00 60 f2 01 00 01 00 00 00 e5 01 00 00 73 01 00 00 00 00 00 00 e9 00 00 00	!...8...`...........s...........
2b20	e5 00 00 00 00 00 00 00 00 00 00 00 47 02 00 00 00 00 00 00 00 00 00 00 c3 00 00 00 52 00 00 00	............G...............R...
2b40	86 02 00 00 f8 01 00 00 00 00 00 00 4d 02 00 00 9c 00 00 00 33 01 00 00 79 00 00 00 7f 02 00 00	............M.......3...y.......
2b60	00 00 00 00 50 00 00 00 f0 00 00 00 00 00 00 00 69 02 00 00 8d 01 00 00 ea 01 00 00 d3 01 00 00	....P...........i...............
2b80	24 01 00 00 00 00 00 00 dd 01 00 00 00 00 00 00 1f 01 00 00 00 00 00 00 00 00 00 00 ca 00 00 00	$...............................
2ba0	3b 02 00 00 80 00 00 00 00 00 00 00 92 01 00 00 bb 00 00 00 53 02 00 00 e7 00 00 00 00 00 00 00	;...................S...........
2bc0	96 02 00 00 9e 00 00 00 8f 00 00 00 00 00 00 00 00 00 00 00 1a 02 00 00 41 00 00 00 00 00 00 00	........................A.......
2be0	62 01 00 00 35 01 00 00 a4 00 00 00 58 02 00 00 44 01 00 00 14 02 00 00 00 00 00 00 38 00 00 00	b...5.......X...D...........8...
2c00	b0 01 00 00 c7 00 00 00 54 02 00 00 49 00 00 00 c1 01 00 00 94 02 00 00 03 00 00 00 99 02 00 00	........T...I...................
2c20	4d 00 00 00 00 00 00 00 16 00 00 00 7a 00 00 00 00 00 00 00 20 01 00 00 00 00 00 00 00 00 00 00	M...........z...................
2c40	00 00 00 00 22 01 00 00 1c 01 00 00 9b 01 00 00 00 00 00 00 5f 00 00 00 fb 01 00 00 25 02 00 00	...."..............._.......%...
2c60	00 00 00 00 b3 01 00 00 00 00 00 00 b7 00 00 00 b5 01 00 00 7f 01 00 00 8a 01 00 00 2f 00 00 00	............................/...
2c80	00 00 00 00 2e 02 00 00 89 02 00 00 47 01 00 00 d0 01 00 00 11 02 00 00 d3 00 00 00 5a 01 00 00	............G...............Z...
2ca0	39 02 00 00 00 00 00 00 68 00 00 00 1d 02 00 00 5b 00 00 00 00 00 00 00 75 01 00 00 ff 00 00 00	9.......h.......[.......u.......
2cc0	1e 02 00 00 a2 02 00 00 66 01 00 00 1f 00 00 00 b6 01 00 00 00 00 00 00 12 00 00 00 1a 00 00 00	........f.......................
2ce0	d8 01 00 00 51 00 00 00 5c 00 00 00 1e 00 00 00 67 02 00 00 17 02 00 00 00 00 00 00 00 00 00 00	....Q...\.......g...............
2d00	72 02 00 00 71 01 00 00 01 02 00 00 00 00 00 00 fb 00 00 00 54 00 00 00 69 00 00 00 bd 00 00 00	r...q...............T...i.......
2d20	40 02 00 00 9f 00 00 00 00 00 00 00 46 02 00 00 00 00 00 00 71 00 00 00 00 00 00 00 00 00 00 00	@...........F.......q...........
2d40	00 00 00 00 00 00 00 00 2b 01 00 00 c0 01 00 00 64 02 00 00 9a 01 00 00 66 00 00 00 37 00 00 00	........+.......d.......f...7...
2d60	86 00 00 00 43 02 00 00 0d 01 00 00 45 02 00 00 00 00 00 00 41 02 00 00 36 00 00 00 7d 02 00 00	....C.......E.......A...6...}...
2d80	a6 02 00 00 1d 01 00 00 18 02 00 00 d8 00 00 00 bf 01 00 00 97 00 00 00 5d 02 00 00 00 00 00 00	........................].......
2da0	28 00 00 00 26 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 16 02 00 00 00 00 00 00 78 02 00 00	(...&.......................x...
2dc0	c6 00 00 00 0e 02 00 00 9c 02 00 00 20 00 00 00 bb 01 00 00 05 02 00 00 00 00 00 00 8d 00 00 00	................................
2de0	00 00 00 00 e4 01 00 00 0a 01 00 00 22 00 00 00 c8 01 00 00 0f 02 00 00 00 00 00 00 00 00 00 00	............"...................
2e00	46 01 00 00 00 00 00 00 35 02 00 00 00 00 00 00 45 01 00 00 12 01 00 00 a6 01 00 00 b9 00 00 00	F.......5.......E...............
2e20	a5 02 00 00 f8 00 00 00 3c 01 00 00 00 00 00 00 00 00 00 00 89 00 00 00 8f 01 00 00 c4 01 00 00	........<.......................
2e40	a8 01 00 00 0b 01 00 00 7e 02 00 00 00 00 00 00 ab 02 00 00 2e 01 00 00 43 00 00 00 42 00 00 00	........~...............C...B...
2e60	00 00 00 00 9f 01 00 00 fe 01 00 00 23 01 00 00 ea 00 00 00 74 00 00 00 00 00 00 00 f4 01 00 00	............#.......t...........
2e80	00 00 00 00 00 00 00 00 b3 00 00 00 2d 02 00 00 76 00 00 00 81 02 00 00 cd 01 00 00 f4 00 00 00	............-...v...............
2ea0	fe 00 00 00 13 02 00 00 e4 00 00 00 4c 01 00 00 00 00 00 00 00 00 00 00 07 01 00 00 dc 01 00 00	............L...................
2ec0	00 00 00 00 da 00 00 00 e3 00 00 00 00 00 00 00 7e 01 00 00 8c 01 00 00 e1 00 00 00 a3 01 00 00	................~...............
2ee0	6f 02 00 00 20 02 00 00 76 01 00 00 55 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 94 01 00 00	o.......v...U...................
2f00	17 01 00 00 a4 01 00 00 00 00 00 00 65 00 00 00 92 00 00 00 95 02 00 00 00 00 00 00 3d 01 00 00	............e...............=...
2f20	01 01 00 00 14 00 00 00 55 00 00 00 79 02 00 00 38 01 00 00 27 00 00 00 11 00 00 00 00 00 00 00	........U...y...8...'...........
2f40	e6 01 00 00 0d 00 00 00 a2 00 00 00 5e 01 00 00 be 00 00 00 52 01 00 00 00 00 00 00 00 00 00 00	............^.......R...........
2f60	7c 02 00 00 39 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 84 01 00 00 dd 00 00 00 a4 02 00 00	\|...9...........................
2f80	e1 01 00 00 1d 00 00 00 c9 01 00 00 e6 00 00 00 26 01 00 00 78 00 00 00 6c 02 00 00 96 00 00 00	................&...x...l.......
2fa0	1b 00 00 00 bc 01 00 00 00 00 00 00 c5 00 00 00 40 00 00 00 87 02 00 00 ba 01 00 00 00 00 00 00	................@...............
2fc0	e0 01 00 00 7b 02 00 00 aa 00 00 00 8f 02 00 00 de 01 00 00 00 00 00 00 9d 00 00 00 8a 02 00 00	....{...........................
2fe0	61 01 00 00 3d 02 00 00 9b 02 00 00 13 01 00 00 43 01 00 00 00 00 00 00 00 00 00 00 6c 01 00 00	a...=...........C...........l...
3000	7e 00 00 00 2b 02 00 00 af 01 00 00 c5 01 00 00 00 01 00 00 00 00 00 00 f1 01 00 00 49 01 00 00	~...+.......................I...
3020	00 00 00 00 5f 01 00 00 57 01 00 00 c0 00 00 00 08 02 00 00 15 00 00 00 24 00 00 00 00 00 00 00	...._...W...............$.......
3040	00 00 00 00 00 00 00 00 f5 01 00 00 ae 02 00 00 5e 00 00 00 e2 01 00 00 70 00 00 00 39 00 00 00	................^.......p...9...
3060	4d 01 00 00 59 02 00 00 91 00 00 00 22 02 00 00 00 00 00 00 7d 01 00 00 88 01 00 00 5e 02 00 00	M...Y.......".......}.......^...
3080	af 02 00 00 0e 00 00 00 cf 01 00 00 15 02 00 00 00 00 00 00 fa 00 00 00 a0 01 00 00 74 01 00 00	............................t...
30a0	a1 01 00 00 35 00 00 00 61 02 00 00 b1 00 00 00 f7 01 00 00 00 00 00 00 a9 00 00 00 eb 00 00 00	....5...a.......................
30c0	cf 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 36 02 00 00 9b 00 00 00 b7 01 00 00 50 02 00 00	................6...........P...
30e0	ce 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 18 00 00 00 f9 00 00 00 53 01 00 00 7a 01 00 00	........................S...z...
3100	00 00 00 00 00 00 00 00 0a 02 00 00 d1 01 00 00 64 01 00 00 63 02 00 00 f7 00 00 00 0c 01 00 00	................d...c...........
3120	46 00 00 00 1c 00 00 00 f3 01 00 00 5b 02 00 00 00 00 00 00 2a 00 00 00 d9 01 00 00 42 02 00 00	F...........[.......*.......B...
3140	00 00 00 00 00 00 00 00 51 01 00 00 5d 01 00 00 cc 01 00 00 c7 01 00 00 cb 00 00 00 a3 00 00 00	........Q...]...................
3160	04 02 00 00 f9 01 00 00 6f 00 00 00 67 00 00 00 06 00 00 00 04 01 00 00 12 02 00 00 44 02 00 00	........o...g...............D...
3180	02 01 00 00 9d 01 00 00 c8 00 00 00 bc 00 00 00 37 02 00 00 8c 02 00 00 e8 00 00 00 00 00 00 00	................7...............
31a0	0c 00 00 00 00 00 00 00 fc 01 00 00 00 00 00 00 32 01 00 00 ff 01 00 00 2c 00 00 00 2d 00 00 00	................2.......,...-...
31c0	ad 00 00 00 f3 00 00 00 f0 01 00 00 19 01 00 00 14 01 00 00 00 00 00 00 a1 00 00 00 00 00 00 00	................................
31e0	30 02 00 00 83 02 00 00 84 00 00 00 90 00 00 00 31 02 00 00 00 00 00 00 36 01 00 00 00 00 00 00	0...............1.......6.......
3200	56 00 00 00 4f 02 00 00 45 00 00 00 65 02 00 00 9e 01 00 00 40 01 00 00 cc 00 00 00 00 00 00 00	V...O...E...e.......@...........
3220	00 00 00 00 00 00 00 00 33 00 00 00 5f 02 00 00 48 02 00 00 24 02 00 00 4a 01 00 00 00 00 00 00	........3..._...H...$...J.......
3240	96 01 00 00 00 00 00 00 00 00 00 00 b4 01 00 00 75 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00	................u...............
3260	98 02 00 00 00 00 00 00 ee 00 00 00 17 00 00 00 fd 01 00 00 00 00 00 00 91 01 00 00 ab 01 00 00	................................
3280	98 01 00 00 a1 02 00 00 70 02 00 00 00 00 00 00 95 01 00 00 1e 01 00 00 27 01 00 00 1c 02 00 00	........p...............'.......
32a0	aa 02 00 00 ef 01 00 00 8e 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 87 00 00 00	................................
32c0	b0 00 00 00 00 00 00 00 3e 01 00 00 09 01 00 00 85 01 00 00 87 01 00 00 99 01 00 00 00 00 00 00	........>.......................
32e0	ad 02 00 00 70 01 00 00 bd 01 00 00 0e 01 00 00 a8 00 00 00 00 00 00 00 e2 00 00 00 80 02 00 00	....p...........................
3300	7c 00 00 00 f5 00 00 00 00 00 00 00 89 01 00 00 10 02 00 00 59 00 00 00 6b 02 00 00 88 02 00 00	\|...................Y...k.......
3320	00 00 00 00 00 00 00 00 30 01 00 00 8e 00 00 00 84 02 00 00 00 00 00 00 73 00 00 00 ec 00 00 00	........0...............s.......
3340	00 00 00 00 5c 01 00 00 5b 01 00 00 d6 00 00 00 00 00 00 00 6b 01 00 00 f6 01 00 00 8c 00 00 00	....\...[...........k...........
3360	8e 02 00 00 0f 01 00 00 1b 01 00 00 00 00 00 00 fd 00 00 00 37 01 00 00 00 00 00 00 ec 01 00 00	....................7...........
3380	62 02 00 00 5a 00 00 00 80 01 00 00 a0 02 00 00 00 00 00 00 00 00 00 00 4b 02 00 00 82 01 00 00	b...Z...................K.......
33a0	00 00 00 00 66 02 00 00 03 02 00 00 63 01 00 00 00 00 00 00 ba 00 00 00 5d 00 00 00 00 00 00 00	....f.......c...........].......
33c0	03 01 00 00 4f 01 00 00 59 01 00 00 7b 01 00 00 18 01 00 00 a9 02 00 00 19 00 00 00 95 00 00 00	....O...Y...{...................
33e0	00 00 00 00 6a 00 00 00 00 00 00 00 61 00 00 00 00 00 00 00 6b 00 00 00 31 00 00 00 b5 00 00 00	....j.......a.......k...1.......
3400	52 02 00 00 2f 02 00 00 69 01 00 00 47 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 86 01 00 00	R.../...i...G...................
3420	00 00 00 00 00 00 00 00 4a 02 00 00 b6 00 00 00 76 02 00 00 6a 01 00 00 4e 02 00 00 8d 02 00 00	........J.......v...j...N.......
3440	eb 01 00 00 00 00 00 00 38 02 00 00 05 00 00 00 2e 00 00 00 d5 00 00 00 a2 01 00 00 b4 00 00 00	........8.......................
3460	00 00 00 00 00 00 00 00 4e 01 00 00 0a 00 00 00 f2 00 00 00 85 00 00 00 8b 02 00 00 00 00 00 00	........N.......................
3480	94 00 00 00 48 00 00 00 79 01 00 00 cd 00 00 00 ee 01 00 00 00 00 00 00 a3 02 00 00 2c 02 00 00	....H...y...................,...
34a0	ef 00 00 00 ac 01 00 00 c1 00 00 00 b9 01 00 00 d7 01 00 00 55 01 00 00 b8 01 00 00 00 00 00 00	....................U...........
34c0	2b 00 00 00 00 00 00 00 6d 02 00 00 00 00 00 00 3a 02 00 00 b8 00 00 00 00 00 00 00 00 00 00 00	+.......m.......:...............
34e0	00 00 00 00 a0 00 00 00 00 00 00 00 28 01 00 00 88 00 00 00 bf 00 00 00 00 00 00 00 00 00 00 00	............(...................
3500	aa 01 00 00 d4 01 00 00 00 00 00 00 09 00 00 00 4b 01 00 00 10 01 00 00 da 01 00 00 05 01 00 00	................K...............
3520	6a 02 00 00 71 02 00 00 98 00 00 00 3d 00 00 00 00 00 00 00 00 00 00 00 81 00 00 00 00 00 00 00	j...q.......=...................
3540	00 00 00 00 00 00 00 00 32 02 00 00 db 00 00 00 9c 01 00 00 00 00 00 00 0b 02 00 00 60 00 00 00	........2...................`...
3560	75 02 00 00 00 00 00 00 83 01 00 00 57 02 00 00 58 00 00 00 6c 00 00 00 00 00 00 00 00 00 00 00	u...........W...X...l...........
3580	07 02 00 00 ac 02 00 00 2a 02 00 00 c2 01 00 00 00 00 00 00 68 02 00 00 00 00 00 00 1a 01 00 00	........*...........h...........
35a0	00 00 00 00 1f 02 00 00 00 00 00 00 7f 00 00 00 49 02 00 00 00 00 00 00 a9 01 00 00 a7 02 00 00	................I...............
35c0	9f 02 00 00 00 00 00 00 00 00 00 00 00 02 00 00 00 00 00 00 2d 01 00 00 4c 00 00 00 00 00 00 00	....................-...L.......
35e0	3b 01 00 00 d1 00 00 00 00 00 00 00 72 00 00 00 e0 00 00 00 00 00 00 00 4c 02 00 00 d9 00 00 00	;...........r...........L.......
3600	82 00 00 00 8b 00 00 00 26 00 00 00 02 02 00 00 00 00 00 00 58 01 00 00 d0 00 00 00 00 00 00 00	........&...........X...........
3620	00 00 00 00 00 00 00 00 f6 00 00 00 90 01 00 00 13 00 00 00 00 00 00 00 15 01 00 00 29 01 00 00	............................)...
3640	08 01 00 00 56 02 00 00 00 00 00 00 06 02 00 00 9d 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00	....V...........................
3660	81 01 00 00 9a 00 00 00 e3 01 00 00 cb 01 00 00 25 01 00 00 50 01 00 00 e9 01 00 00 6e 02 00 00	................%...P.......n...
3680	00 00 00 00 f2 01 00 00 c4 00 00 00 7a 02 00 00 00 00 00 00 c9 00 00 00 29 00 00 00 91 02 00 00	............z...........).......
36a0	e8 01 00 00 3a 00 00 00 d5 01 00 00 27 02 00 00 00 00 00 00 00 00 00 00 33 02 00 00 92 02 00 00	....:.......'...........3.......
36c0	08 00 00 00 82 02 00 00 29 02 00 00 19 02 00 00 48 01 00 00 3c 02 00 00 5c 02 00 00 60 01 00 00	........).......H...<...\...`...
36e0	00 00 00 00 ad 01 00 00 25 00 00 00 83 00 00 00 00 00 00 00 4a 00 00 00 00 00 00 00 7b 00 00 00	........%...........J.......{...
3700	8a 00 00 00 ab 00 00 00 d7 00 00 00 00 00 00 00 dc 00 00 00 00 00 00 00 10 00 00 00 57 00 00 00	............................W...
3720	34 00 00 00 09 02 00 00 00 00 00 00 9e 02 00 00 a7 01 00 00 00 00 00 00 16 01 00 00 73 02 00 00	4...........................s...
3740	3e 00 00 00 00 00 00 00 ac 00 00 00 2c 01 00 00 8b 01 00 00 65 01 00 00 af 00 00 00 00 00 00 00	>...........,.......e...........
3760	02 00 00 00 f1 00 00 00 00 00 00 00 9a 02 00 00 00 00 00 00 04 00 00 00 3e 02 00 00 7d 00 00 00	........................>...}...
3780	11 01 00 00 93 00 00 00 51 02 00 00 1b 02 00 00 00 00 00 00 de 00 00 00 41 01 00 00 68 01 00 00	........Q...............A...h...
37a0	00 00 00 00 00 00 00 00 77 01 00 00 6e 01 00 00 60 02 00 00 ed 00 00 00 0f 00 00 00 00 00 00 00	........w...n...`...............
37c0	df 00 00 00 00 00 00 00 ae 01 00 00 00 00 00 00 07 00 00 00 64 00 00 00 6e 00 00 00 ae 00 00 00	....................d...n.......
37e0	00 00 00 00 db 01 00 00 74 02 00 00 4f 00 00 00 c3 01 00 00 3c 00 00 00 4b 00 00 00 63 00 00 00	........t...O.......<...K...c...
3800	23 00 00 00 3b 00 00 00 00 00 00 00 4e 00 00 00 85 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00	#...;.......N...................
3820	62 00 00 00 b1 01 00 00 ca 01 00 00 0b 00 00 00 67 01 00 00 d2 01 00 00 3a 01 00 00 c6 01 00 00	b...............g.......:.......
3840	d6 01 00 00 fa 01 00 00 93 01 00 00 56 01 00 00 78 01 00 00 d4 00 00 00 00 00 00 00 6f 01 00 00	............V...x...........o...
3860	a6 00 00 00 32 00 00 00 21 00 00 00 3f 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 a8 02 00 00	....2...!...?...................
3880	df 01 00 00 00 00 00 00 00 00 00 00 be 01 00 00 3f 01 00 00 b2 01 00 00 2f 01 00 00 a7 00 00 00	................?......./.......
38a0	34 01 00 00 ce 00 00 00 99 00 00 00 77 00 00 00 00 00 00 00 90 02 00 00 23 02 00 00 54 01 00 00	4...........w...........#...T...
38c0	00 00 00 00 00 00 00 00 00 00 00 00 a5 01 00 00 93 02 00 00 2a 01 00 00 00 00 00 00 00 00 00 00	....................*...........
38e0	7c 01 00 00 21 01 00 00 c2 00 00 00 3f 02 00 00 e7 01 00 00 ed 01 00 00 0d 02 00 00 b2 00 00 00	\|...!.......?...................
3900	d2 00 00 00 34 02 00 00 00 00 00 00 0c 02 00 00 28 02 00 00 77 02 00 00 fc 00 00 00 53 00 00 00	....4...........(...w.......S...
3920	44 00 00 00 31 01 00 00 a5 00 00 00 00 00 00 00 72 01 00 00 97 01 00 00 00 00 00 00 00 00 00 00	D...1...........r...............
3940	97 02 00 00 6d 00 00 00 5a 02 00 00 42 01 00 00 00 00 00 00 6d 01 00 00 06 01 00 00 00 00 00 00	....m...Z...B.......m...........
3960	21 02 00 00 30 00 00 00 00 27 27 49 74 20 69 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 6e 6f	!...0....''It.is.important.to.no
3980	74 65 2c 20 74 68 61 74 20 79 6f 75 20 64 6f 20 6e 6f 74 20 77 61 6e 74 20 74 6f 20 61 64 64 20	te,.that.you.do.not.want.to.add.
39a0	6c 6f 67 67 69 6e 67 20 74 6f 20 74 68 65 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 74 61 74 65	logging.to.the.established.state
39c0	20 72 75 6c 65 20 61 73 20 79 6f 75 20 77 69 6c 6c 20 62 65 20 6c 6f 67 67 69 6e 67 20 62 6f 74	.rule.as.you.will.be.logging.bot
39e0	68 20 74 68 65 20 69 6e 62 6f 75 6e 64 20 61 6e 64 20 6f 75 74 62 6f 75 6e 64 20 70 61 63 6b 65	h.the.inbound.and.outbound.packe
3a00	74 73 20 66 6f 72 20 65 61 63 68 20 73 65 73 73 69 6f 6e 20 69 6e 73 74 65 61 64 20 6f 66 20 6a	ts.for.each.session.instead.of.j
3a20	75 73 74 20 74 68 65 20 69 6e 69 74 69 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 73 65 73 73 69 6f	ust.the.initiation.of.the.sessio
3a40	6e 2e 20 59 6f 75 72 20 6c 6f 67 73 20 77 69 6c 6c 20 62 65 20 6d 61 73 73 69 76 65 20 69 6e 20	n..Your.logs.will.be.massive.in.
3a60	61 20 76 65 72 79 20 73 68 6f 72 74 20 70 65 72 69 6f 64 20 6f 66 20 74 69 6d 65 2e 27 27 00 2a	a.very.short.period.of.time.''.*
3a80	2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 41 64 64 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 72	Important*:.Add.an.interface.r
3aa0	6f 75 74 65 20 74 6f 20 72 65 61 63 68 20 41 7a 75 72 65 27 73 20 42 47 50 20 6c 69 73 74 65 6e	oute.to.reach.Azure's.BGP.listen
3ac0	65 72 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 41 64 64 20 61 6e 20 69 6e 74 65 72 66 61	er.Important:.Add.an.interfa
3ae0	63 65 20 72 6f 75 74 65 20 74 6f 20 72 65 61 63 68 20 62 6f 74 68 20 41 7a 75 72 65 27 73 20 42	ce.route.to.reach.both.Azure's.B
3b00	47 50 20 6c 69 73 74 65 6e 65 72 73 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73 61	GP.listeners.Important:.Disa
3b20	62 6c 65 20 63 6f 6e 6e 65 63 74 65 64 20 63 68 65 63 6b 20 5c 00 2a 2a 49 6d 70 6f 72 74 61 6e	ble.connected.check.\.**Importan
3b40	74 2a 2a 3a 20 44 69 73 61 62 6c 65 20 63 6f 6e 6e 65 63 74 65 64 20 63 68 65 63 6b 2c 20 6f 74	t**:.Disable.connected.check,.ot
3b60	68 65 72 77 69 73 65 20 74 68 65 20 72 6f 75 74 65 73 20 6c 65 61 72 6e 65 64 20 66 72 6f 6d 20	herwise.the.routes.learned.from.
3b80	41 7a 75 72 65 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 69 6d 70 6f 72 74 65 64 20 69 6e 74 6f 20	Azure.will.not.be.imported.into.
3ba0	74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 2e 00 2a 2a 4e 4f 54 45 3a 2a 2a 20 56 79 4f	the.routing.table..NOTE:.VyO
3bc0	53 20 52 6f 75 74 65 72 20 28 74 65 73 74 65 64 20 77 69 74 68 20 56 79 4f 53 20 31 2e 34 2d 72	S.Router.(tested.with.VyOS.1.4-r
3be0	6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 29 20 e2 80 93 20 20 54 68 65 20 63 6f	olling-202110310317)......The.co
3c00	6e 66 69 67 75 72 61 74 69 6f 6e 73 20 62 65 6c 6f 77 20 61 72 65 20 73 70 65 63 69 66 69 63 61	nfigurations.below.are.specifica
3c20	6c 6c 79 20 66 6f 72 20 56 79 4f 53 20 31 2e 34 2e 78 2e 00 2a 2a 4e 6f 74 65 3a 2a 2a 20 41 74	lly.for.VyOS.1.4.x..Note:.At
3c40	20 74 68 65 20 6d 6f 6d 65 6e 74 2c 20 74 72 61 63 65 20 6d 70 6c 73 20 64 6f 65 73 6e e2 80 99	.the.moment,.trace.mpls.doesn...
3c60	74 20 73 68 6f 77 20 6c 61 62 65 6c 73 2f 70 61 74 68 73 2e 20 53 6f 20 77 65 e2 80 99 6c 6c 20	t.show.labels/paths..So.we...ll.
3c80	73 65 65 20 2a 20 2a 20 2a 20 20 66 6f 72 20 74 68 65 20 74 72 61 6e 73 69 74 20 72 6f 75 74 65	see...*..for.the.transit.route
3ca0	72 73 20 6f 66 20 74 68 65 20 6d 70 6c 73 20 62 61 63 6b 62 6f 6e 65 2e 00 2a 2a 54 68 69 73 20	rs.of.the.mpls.backbone..**This.
3cc0	73 70 65 63 69 66 69 63 20 65 78 61 6d 70 6c 65 20 69 73 20 66 6f 72 20 61 20 72 6f 75 74 65 72	specific.example.is.for.a.router
3ce0	20 6f 6e 20 61 20 73 74 69 63 6b 2c 20 62 75 74 20 69 73 20 76 65 72 79 20 65 61 73 69 6c 79 20	.on.a.stick,.but.is.very.easily.
3d00	61 64 61 70 74 65 64 20 66 6f 72 20 68 6f 77 65 76 65 72 20 6d 61 6e 79 20 4e 49 43 73 20 79 6f	adapted.for.however.many.NICs.yo
3d20	75 20 68 61 76 65 2a 2a 3a 00 2a 2a 56 69 72 74 75 61 6c 20 52 6f 75 74 69 6e 67 20 61 6e 64 20	u.have:.Virtual.Routing.and.
3d40	46 6f 72 77 61 72 64 69 6e 67 2a 2a 20 69 73 20 61 20 74 65 63 68 6e 6f 6c 6f 67 79 20 74 68 61	Forwarding**.is.a.technology.tha
3d60	74 20 61 6c 6c 6f 77 20 6d 75 6c 74 69 70 6c 65 20 69 6e 73 74 61 6e 63 65 20 6f 66 20 61 20 72	t.allow.multiple.instance.of.a.r
3d80	6f 75 74 69 6e 67 20 74 61 62 6c 65 20 74 6f 20 65 78 69 73 74 20 77 69 74 68 69 6e 20 61 20 73	outing.table.to.exist.within.a.s
3da0	69 6e 67 6c 65 20 64 65 76 69 63 65 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 6b 65 79 20 61 73 70	ingle.device..One.of.the.key.asp
3dc0	65 63 74 20 6f 66 20 2a 2a 56 52 46 73 2a 2a 20 69 73 20 74 68 61 74 20 64 6f 20 6e 6f 74 20 73	ect.of.VRFs.is.that.do.not.s
3de0	68 61 72 65 20 74 68 65 20 73 61 6d 65 20 72 6f 75 74 65 73 20 6f 72 20 69 6e 74 65 72 66 61 63	hare.the.same.routes.or.interfac
3e00	65 73 2c 20 74 68 65 72 65 66 6f 72 65 20 70 61 63 6b 65 74 73 20 61 72 65 20 66 6f 72 77 61 72	es,.therefore.packets.are.forwar
3e20	64 65 64 20 62 65 74 77 65 65 6e 20 69 6e 74 65 72 66 61 63 65 73 20 74 68 61 74 20 62 65 6c 6f	ded.between.interfaces.that.belo
3e40	6e 67 20 74 6f 20 74 68 65 20 73 61 6d 65 20 56 52 46 20 6f 6e 6c 79 2e 00 2a 2a 6f 66 66 73 69	ng.to.the.same.VRF.only..**offsi
3e60	74 65 31 2a 2a 00 2a 2a 72 6f 75 74 65 72 31 2a 2a 00 2a 2a 72 6f 75 74 65 72 32 2a 2a 00 31 30	te1.router1.router2**.10
3e80	2e 30 2e 30 2e 30 2f 31 36 00 31 30 2e 30 2e 30 2e 34 00 31 30 2e 30 2e 30 2e 34 2c 31 30 2e 30	.0.0.0/16.10.0.0.4.10.0.0.4,10.0
3ea0	2e 30 2e 35 00 31 30 2e 31 2e 31 2e 30 2f 33 30 00 31 30 2e 31 30 2e 30 2e 30 2f 31 36 00 31 30	.0.5.10.1.1.0/30.10.10.0.0/16.10
3ec0	2e 31 30 2e 30 2e 35 00 31 30 2e 32 2e 32 2e 30 2f 33 30 00 31 30 2e 35 30 2e 35 30 2e 31 3a 31	.10.0.5.10.2.2.0/30.10.50.50.1:1
3ee0	30 31 31 00 31 30 2e 36 30 2e 36 30 2e 31 3a 31 30 31 31 00 31 30 2e 38 30 2e 38 30 2e 31 3a 31	011.10.60.60.1:1011.10.80.80.1:1
3f00	30 31 31 00 31 30 30 3a 20 27 50 75 62 6c 69 63 27 20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67	011.100:.'Public'.network,.using
3f20	20 6f 75 72 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2e 00 31 37 32	.our.203.0.113.0/24.network..172
3f40	2e 31 36 2e 32 2e 30 2f 33 30 00 31 37 32 2e 31 37 2e 31 2e 32 20 43 53 30 20 2d 3e 20 43 53 34	.16.2.0/30.172.17.1.2.CS0.->.CS4
3f60	00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 30 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34	.172.17.1.2/24.CS0.172.17.1.2/24
3f80	20 43 53 30 20 2d 20 3e 20 43 53 34 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 34 20 2d	.CS0.-.>.CS4.172.17.1.2/24.CS4.-
3fa0	20 3e 20 43 53 35 00 31 37 32 2e 31 37 2e 31 2e 33 20 43 53 30 20 2d 3e 20 43 53 35 00 31 37 32	.>.CS5.172.17.1.3.CS0.->.CS5.172
3fc0	2e 31 37 2e 31 2e 34 20 43 53 30 20 2d 3e 20 43 53 36 00 31 37 32 2e 31 37 2e 31 2e 34 30 20 43	.17.1.4.CS0.->.CS6.172.17.1.40.C
3fe0	53 30 20 62 79 20 64 65 66 61 75 6c 74 00 31 39 32 2e 31 36 38 2e 31 30 30 2e 31 30 2f 32 30 30	S0.by.default.192.168.100.10/200
4000	31 3a 30 44 42 38 3a 30 3a 41 41 41 41 3a 3a 31 30 20 69 73 20 74 68 65 20 61 64 6d 69 6e 69 73	1:0DB8:0:AAAA::10.is.the.adminis
4020	74 72 61 74 6f 72 27 73 20 63 6f 6e 73 6f 6c 65 2e 20 49 74 20 63 61 6e 20 53 53 48 20 74 6f 20	trator's.console..It.can.SSH.to.
4040	56 79 4f 53 2e 00 31 39 32 2e 31 36 38 2e 32 30 30 2e 32 30 30 2f 32 30 30 31 3a 30 44 42 38 3a	VyOS..192.168.200.200/2001:0DB8:
4060	30 3a 42 42 42 42 3a 3a 32 30 30 20 69 73 20 61 6e 20 69 6e 74 65 72 6e 61 6c 2f 65 78 74 65 72	0:BBBB::200.is.an.internal/exter
4080	6e 61 6c 20 44 4e 53 2c 20 77 65 62 20 61 6e 64 20 6d 61 69 6c 20 28 53 4d 54 50 2f 49 4d 41 50	nal.DNS,.web.and.mail.(SMTP/IMAP
40a0	29 20 73 65 72 76 65 72 2e 00 31 39 32 2e 31 36 38 2e 33 2e 30 2f 33 30 00 31 39 38 2e 35 31 2e	).server..192.168.3.0/30.198.51.
40c0	31 30 30 2e 33 00 32 20 70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20 6f 6e 20 65 61 63 68 20	100.3.2.private.subnets.on.each.
40e0	73 69 74 65 2e 00 32 20 78 20 52 6f 75 74 65 20 72 65 66 6c 65 63 74 6f 72 73 20 28 56 79 4f 53	site..2.x.Route.reflectors.(VyOS
4100	2d 52 52 78 29 00 32 30 30 31 3a 64 62 38 3a 3a 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 32	-RRx).2001:db8::/127.2001:db8::2
4120	2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 34 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 36	/127.2001:db8::4/127.2001:db8::6
4140	2f 31 32 37 00 32 30 31 3a 20 27 49 6e 74 65 72 6e 61 6c 27 20 6e 65 74 77 6f 72 6b 2c 20 75 73	/127.201:.'Internal'.network,.us
4160	69 6e 67 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 00 32 30 33 2e 30 2e 31 31 33 2e 32 00	ing.10.200.201.0/24.203.0.113.2.
4180	32 30 33 2e 30 2e 31 31 33 2e 33 00 33 20 78 20 43 75 73 74 6f 6d 65 72 20 45 64 67 65 20 28 56	203.0.113.3.3.x.Customer.Edge.(V
41a0	79 4f 53 2d 43 45 78 29 00 33 20 78 20 50 72 6f 76 69 64 65 72 20 45 64 67 65 20 28 56 79 4f 73	yOS-CEx).3.x.Provider.Edge.(VyOs
41c0	2d 50 45 78 29 00 34 20 78 20 50 72 6f 76 69 64 65 72 20 72 6f 75 74 65 72 73 20 28 56 79 4f 53	-PEx).4.x.Provider.routers.(VyOS
41e0	2d 50 78 29 00 35 30 3a 20 55 70 73 74 72 65 61 6d 2c 20 75 73 69 6e 67 20 74 68 65 20 31 39 32	-Px).50:.Upstream,.using.the.192
4200	2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 20 61 6c 6c 6f 63 61 74 65 64 20 62 79 20 74	.0.2.0/24.network.allocated.by.t
4220	68 65 6d 2e 00 36 34 34 39 36 3a 31 00 36 34 34 39 36 3a 31 30 30 00 36 34 34 39 36 3a 32 00 36	hem..64496:1.64496:100.64496:2.6
4240	34 34 39 36 3a 35 30 00 36 34 34 39 39 00 36 35 30 33 35 3a 31 30 31 31 00 36 35 30 33 35 3a 31	4496:50.64499.65035:1011.65035:1
4260	30 31 31 20 36 35 30 33 35 3a 31 30 33 30 00 36 35 30 33 35 3a 31 30 33 30 00 36 35 35 34 30 00	011.65035:1030.65035:1030.65540.
4280	41 20 62 72 69 65 66 20 65 78 63 75 72 73 69 6f 6e 20 69 6e 74 6f 20 56 52 46 73 3a 20 54 68 69	A.brief.excursion.into.VRFs:.Thi
42a0	73 20 68 61 73 20 62 65 65 6e 20 6f 6e 65 20 6f 66 20 74 68 65 20 6c 6f 6e 67 65 73 74 2d 73 74	s.has.been.one.of.the.longest-st
42c0	61 6e 64 69 6e 67 20 66 65 61 74 75 72 65 20 72 65 71 75 65 73 74 73 20 6f 66 20 56 79 4f 53 20	anding.feature.requests.of.VyOS.
42e0	28 64 61 74 69 6e 67 20 62 61 63 6b 20 74 6f 20 32 30 31 36 29 20 77 68 69 63 68 20 63 61 6e 20	(dating.back.to.2016).which.can.
4300	62 65 20 64 65 73 63 72 69 62 65 64 20 61 73 20 22 61 20 56 4c 41 4e 20 66 6f 72 20 6c 61 79 65	be.described.as."a.VLAN.for.laye
4320	72 20 32 20 69 73 20 77 68 61 74 20 61 20 56 52 46 20 69 73 20 66 6f 72 20 6c 61 79 65 72 20 33	r.2.is.what.a.VRF.is.for.layer.3
4340	22 2e 20 57 69 74 68 20 56 52 46 73 2c 20 61 20 72 6f 75 74 65 72 2f 73 79 73 74 65 6d 20 63 61	"..With.VRFs,.a.router/system.ca
4360	6e 20 68 6f 6c 64 20 6d 75 6c 74 69 70 6c 65 2c 20 69 73 6f 6c 61 74 65 64 20 72 6f 75 74 69 6e	n.hold.multiple,.isolated.routin
4380	67 20 74 61 62 6c 65 73 20 6f 6e 20 74 68 65 20 73 61 6d 65 20 73 79 73 74 65 6d 2e 20 49 66 20	g.tables.on.the.same.system..If.
43a0	79 6f 75 20 77 6f 6e 64 65 72 20 77 68 61 74 27 73 20 74 68 65 20 64 69 66 66 65 72 65 6e 63 65	you.wonder.what's.the.difference
43c0	20 62 65 74 77 65 65 6e 20 6d 75 6c 74 69 70 6c 65 20 74 61 62 6c 65 73 20 74 68 61 74 20 70 65	.between.multiple.tables.that.pe
43e0	6f 70 6c 65 20 75 73 65 64 20 66 6f 72 20 70 6f 6c 69 63 79 2d 62 61 73 65 64 20 72 6f 75 74 69	ople.used.for.policy-based.routi
4400	6e 67 20 73 69 6e 63 65 20 66 6f 72 65 76 65 72 2c 20 69 74 27 73 20 74 68 61 74 20 61 20 56 52	ng.since.forever,.it's.that.a.VR
4420	46 20 61 6c 73 6f 20 69 73 6f 6c 61 74 65 73 20 63 6f 6e 6e 65 63 74 65 64 20 72 6f 75 74 65 73	F.also.isolates.connected.routes
4440	20 72 61 74 68 65 72 20 74 68 61 6e 20 6a 75 73 74 20 73 74 61 74 69 63 20 61 6e 64 20 64 79 6e	.rather.than.just.static.and.dyn
4460	61 6d 69 63 61 6c 6c 79 20 6c 65 61 72 6e 65 64 20 72 6f 75 74 65 73 2c 20 73 6f 20 69 74 20 61	amically.learned.routes,.so.it.a
4480	6c 6c 6f 77 73 20 4e 49 43 73 20 69 6e 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 74 6f 20	llows.NICs.in.different.VRFs.to.
44a0	75 73 65 20 63 6f 6e 66 6c 69 63 74 69 6e 67 20 6e 65 74 77 6f 72 6b 20 72 61 6e 67 65 73 20 77	use.conflicting.network.ranges.w
44c0	69 74 68 6f 75 74 20 69 73 73 75 65 73 2e 00 41 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 72 65 73 6f	ithout.issues..A.connection.reso
44e0	75 72 63 65 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 41 7a 75 72 65 20 6c 69 6e 6b 69 6e 67 20 74	urce.deployed.in.Azure.linking.t
4500	68 65 20 41 7a 75 72 65 20 56 4e 65 74 20 67 61 74 65 77 61 79 20 61 6e 64 20 74 68 65 20 6c 6f	he.Azure.VNet.gateway.and.the.lo
4520	63 61 6c 20 6e 65 74 77 6f 72 6b 20 67 61 74 65 77 61 79 20 72 65 70 72 65 73 65 6e 74 69 6e 67	cal.network.gateway.representing
4540	20 74 68 65 20 56 79 6f 73 20 64 65 76 69 63 65 2e 00 41 20 68 6f 73 74 20 60 60 76 79 6f 73 2d	.the.Vyos.device..A.host.``vyos-
4560	6f 6f 62 6d 60 60 20 77 69 6c 6c 20 75 73 65 20 61 73 20 61 20 73 73 68 20 70 72 6f 78 79 2e 20	oobm``.will.use.as.a.ssh.proxy..
4580	54 68 69 73 20 68 6f 73 74 20 69 73 20 6a 75 73 74 20 6e 65 63 65 73 73 61 72 79 20 66 6f 72 20	This.host.is.just.necessary.for.
45a0	74 68 65 20 4c 61 62 20 74 65 73 74 2e 00 41 20 6b 65 79 20 70 6f 69 6e 74 20 74 6f 20 75 6e 64	the.Lab.test..A.key.point.to.und
45c0	65 72 73 74 61 6e 64 20 69 73 20 74 68 61 74 20 69 66 20 77 65 20 6e 65 65 64 20 74 77 6f 20 56	erstand.is.that.if.we.need.two.V
45e0	52 46 73 20 74 6f 20 63 6f 6d 6d 75 6e 69 63 61 74 65 20 62 65 74 77 65 65 6e 20 65 61 63 68 20	RFs.to.communicate.between.each.
4600	6f 74 68 65 72 20 45 58 50 4f 52 54 20 72 74 20 66 72 6f 6d 20 56 52 46 31 20 68 61 73 20 74 6f	other.EXPORT.rt.from.VRF1.has.to
4620	20 62 65 20 69 6e 20 74 68 65 20 49 4d 50 4f 52 54 20 72 74 20 6c 69 73 74 20 66 72 6f 6d 20 56	.be.in.the.IMPORT.rt.list.from.V
4640	52 46 32 2e 20 42 75 74 20 74 68 69 73 20 69 73 20 6f 6e 6c 79 20 69 6e 20 4f 4e 45 20 64 69 72	RF2..But.this.is.only.in.ONE.dir
4660	65 63 74 69 6f 6e 2c 20 74 6f 20 63 6f 6d 70 6c 65 74 65 20 74 68 65 20 63 6f 6d 6d 75 6e 69 63	ection,.to.complete.the.communic
4680	61 74 69 6f 6e 20 74 68 65 20 45 58 50 4f 52 54 20 72 74 20 66 72 6f 6d 20 56 52 46 32 20 68 61	ation.the.EXPORT.rt.from.VRF2.ha
46a0	73 20 74 6f 20 62 65 20 69 6e 20 74 68 65 20 49 4d 50 4f 52 54 20 72 74 20 6c 69 73 74 20 66 72	s.to.be.in.the.IMPORT.rt.list.fr
46c0	6f 6d 20 56 52 46 31 2e 00 41 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 67 61 74 65 77 61 79	om.VRF1..A.local.network.gateway
46e0	20 64 65 70 6c 6f 79 65 64 20 69 6e 20 41 7a 75 72 65 20 72 65 70 72 65 73 65 6e 74 69 6e 67 20	.deployed.in.Azure.representing.
4700	74 68 65 20 56 79 6f 73 20 64 65 76 69 63 65 2c 20 6d 61 74 63 68 69 6e 67 20 74 68 65 20 62 65	the.Vyos.device,.matching.the.be
4720	6c 6f 77 20 56 79 6f 73 20 73 65 74 74 69 6e 67 73 20 65 78 63 65 70 74 20 66 6f 72 20 61 64 64	low.Vyos.settings.except.for.add
4740	72 65 73 73 20 73 70 61 63 65 2c 20 77 68 69 63 68 20 6f 6e 6c 79 20 72 65 71 75 69 72 65 73 20	ress.space,.which.only.requires.
4760	74 68 65 20 56 79 6f 73 20 70 72 69 76 61 74 65 20 49 50 2c 20 69 6e 20 74 68 69 73 20 65 78 61	the.Vyos.private.IP,.in.this.exa
4780	6d 70 6c 65 20 31 30 2e 31 30 2e 30 2e 35 2f 33 32 00 41 20 70 61 69 72 20 6f 66 20 41 7a 75 72	mple.10.10.0.5/32.A.pair.of.Azur
47a0	65 20 56 4e 65 74 20 47 61 74 65 77 61 79 73 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 61 63 74 69	e.VNet.Gateways.deployed.in.acti
47c0	76 65 2d 61 63 74 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 42 47 50	ve-active.configuration.with.BGP
47e0	20 65 6e 61 62 6c 65 64 2e 00 41 20 70 61 69 72 20 6f 66 20 41 7a 75 72 65 20 56 4e 65 74 20 47	.enabled..A.pair.of.Azure.VNet.G
4800	61 74 65 77 61 79 73 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 61 63 74 69 76 65 2d 70 61 73 73 69	ateways.deployed.in.active-passi
4820	76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 42 47 50 20 65 6e 61 62 6c 65	ve.configuration.with.BGP.enable
4840	64 2e 00 41 20 70 75 62 6c 69 63 2c 20 72 6f 75 74 61 62 6c 65 20 49 50 76 34 20 61 64 64 72 65	d..A.public,.routable.IPv4.addre
4860	73 73 2e 20 54 68 69 73 20 64 6f 65 73 20 6e 6f 74 20 6e 65 63 65 73 73 61 72 69 6c 79 20 6e 65	ss..This.does.not.necessarily.ne
4880	65 64 20 74 6f 20 62 65 20 73 74 61 74 69 63 2c 20 62 75 74 20 79 6f 75 20 77 69 6c 6c 20 6e 65	ed.to.be.static,.but.you.will.ne
48a0	65 64 20 74 6f 20 75 70 64 61 74 65 20 74 68 65 20 74 75 6e 6e 65 6c 20 65 6e 64 70 6f 69 6e 74	ed.to.update.the.tunnel.endpoint
48c0	20 77 68 65 6e 2f 69 66 20 79 6f 75 72 20 49 50 20 61 64 64 72 65 73 73 20 63 68 61 6e 67 65 73	.when/if.your.IP.address.changes
48e0	2c 20 77 68 69 63 68 20 63 61 6e 20 62 65 20 64 6f 6e 65 20 77 69 74 68 20 61 20 73 63 72 69 70	,.which.can.be.done.with.a.scrip
4900	74 20 61 6e 64 20 61 20 73 63 68 65 64 75 6c 65 64 20 74 61 73 6b 2e 00 41 20 72 75 6c 65 20 6f	t.and.a.scheduled.task..A.rule.o
4920	72 64 65 72 20 66 6f 72 20 70 72 69 6f 72 69 74 69 7a 69 6e 67 20 74 72 61 66 66 69 63 20 69 73	rder.for.prioritizing.traffic.is
4940	20 75 73 65 66 75 6c 20 69 6e 20 73 63 65 6e 61 72 69 6f 73 20 77 68 65 72 65 20 74 68 65 20 73	.useful.in.scenarios.where.the.s
4960	65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 20 68 61 73 20 61 20 6c 6f 77 65 72 20 73 70 65 65 64 20	econdary.link.has.a.lower.speed.
4980	61 6e 64 20 73 68 6f 75 6c 64 20 6f 6e 6c 79 20 63 61 72 72 79 20 68 69 67 68 20 70 72 69 6f 72	and.should.only.carry.high.prior
49a0	69 74 79 20 74 72 61 66 66 69 63 2e 20 49 74 20 69 73 20 61 73 73 75 6d 65 64 20 66 6f 72 20 74	ity.traffic..It.is.assumed.for.t
49c0	68 69 73 20 65 78 61 6d 70 6c 65 20 74 68 61 74 20 65 74 68 31 20 69 73 20 63 6f 6e 6e 65 63 74	his.example.that.eth1.is.connect
49e0	65 64 20 74 6f 20 61 20 73 6c 6f 77 65 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 68 61 6e 20 65	ed.to.a.slower.connection.than.e
4a00	74 68 30 20 61 6e 64 20 73 68 6f 75 6c 64 20 70 72 69 6f 72 69 74 69 7a 65 20 56 6f 49 50 20 74	th0.and.should.prioritize.VoIP.t
4a20	72 61 66 66 69 63 2e 00 41 20 73 69 6d 70 6c 65 20 73 6f 6c 75 74 69 6f 6e 20 63 6f 75 6c 64 20	raffic..A.simple.solution.could.
4a40	62 65 20 75 73 69 6e 67 20 64 69 66 66 65 72 65 6e 74 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65	be.using.different.routing.table
4a60	73 2c 20 6f 72 20 56 52 46 73 20 66 6f 72 20 61 6c 6c 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 20	s,.or.VRFs.for.all.the.networks.
4a80	73 6f 20 77 65 20 63 61 6e 20 6b 65 65 70 20 74 68 65 20 72 6f 75 74 69 6e 67 20 72 65 73 74 72	so.we.can.keep.the.routing.restr
4aa0	69 63 74 69 6f 6e 73 2e 20 42 75 74 20 66 6f 72 20 75 73 20 74 6f 20 72 6f 75 74 65 20 62 65 74	ictions..But.for.us.to.route.bet
4ac0	77 65 65 6e 20 74 68 65 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 77 65 20 77 6f 75 6c 64	ween.the.different.VRFs.we.would
4ae0	20 6e 65 65 64 20 61 20 63 61 62 6c 65 20 6f 72 20 61 20 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65	.need.a.cable.or.a.logical.conne
4b00	63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 3a 00 41 44 44 52 45 53	ction.between.each.other:.ADDRES
4b20	53 31 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 34 20 73 6f 75 72 63 65 20 31 37 32	S10.change.CS0.->.CS4.source.172
4b40	2e 31 37 2e 31 2e 32 2f 33 32 00 41 44 44 52 45 53 53 32 30 20 63 68 61 6e 67 65 20 43 53 30 20	.17.1.2/32.ADDRESS20.change.CS0.
4b60	2d 3e 20 43 53 35 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 33 2f 33 32 00 41 44 44 52	->.CS5.source.172.17.1.3/32.ADDR
4b80	45 53 53 33 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 36 20 73 6f 75 72 63 65 20 31	ESS30.change.CS0.->.CS6.source.1
4ba0	37 32 2e 31 37 2e 31 2e 34 2f 33 32 00 41 63 63 6f 75 6e 74 20 61 74 20 68 74 74 70 73 3a 2f 2f	72.17.1.4/32.Account.at.https://
4bc0	77 77 77 2e 74 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 00 41 63 74 69 76 65 20 44 69 72	www.tunnelbroker.net/.Active.Dir
4be0	65 63 74 6f 72 79 20 6f 6e 20 57 69 6e 64 6f 77 73 20 73 65 72 76 65 72 00 41 64 64 20 28 74 65	ectory.on.Windows.server.Add.(te
4c00	6d 70 6f 72 61 72 79 29 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 00 41 64 64 20 61 6c 6c 20 74	mporary).default.route.Add.all.t
4c20	68 65 20 68 6f 73 74 73 20 6f 66 20 56 79 4f 53 3a 00 41 64 64 20 67 65 6e 65 72 61 6c 20 76 61	he.hosts.of.VyOS:.Add.general.va
4c40	72 69 61 62 6c 65 73 3a 00 41 64 64 20 74 68 65 20 4c 44 41 50 20 70 6c 75 67 69 6e 20 63 6f 6e	riables:.Add.the.LDAP.plugin.con
4c60	66 69 67 75 72 61 74 69 6f 6e 20 66 69 6c 65 20 60 2f 63 6f 6e 66 69 67 2f 61 75 74 68 2f 6c 64	figuration.file.`/config/auth/ld
4c80	61 70 2d 61 75 74 68 2e 63 6f 6e 66 69 67 60 00 41 64 64 20 74 68 65 20 73 69 6d 70 6c 65 20 70	ap-auth.config`.Add.the.simple.p
4ca0	6c 61 79 62 6f 6f 6b 20 77 69 74 68 20 74 68 65 20 74 61 73 6b 73 20 66 6f 72 20 65 61 63 68 20	laybook.with.the.tasks.for.each.
4cc0	72 6f 75 74 65 72 3a 00 41 64 64 69 6e 67 20 61 20 72 75 6c 65 20 66 6f 72 20 74 68 65 20 73 65	router:.Adding.a.rule.for.the.se
4ce0	63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65 00 41 64 76 65 72 74 69 73 65 20 63 6f 6e 6e 65 63 74	cond.interface.Advertise.connect
4d00	65 64 20 72 6f 75 74 65 73 00 41 66 74 65 72 20 61 6c 6c 20 69 73 20 64 6f 6e 65 20 61 6e 64 20	ed.routes.After.all.is.done.and.
4d20	63 6f 6d 6d 69 74 2c 20 6c 65 74 27 73 20 74 61 6b 65 20 61 20 6c 6f 6f 6b 20 69 66 20 74 68 65	commit,.let's.take.a.look.if.the
4d40	20 57 69 72 65 67 75 61 72 64 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 75 70 20 61 6e 64 20 72	.Wireguard.interface.is.up.and.r
4d60	75 6e 6e 69 6e 67 2e 00 41 66 74 65 72 20 63 6f 6e 66 69 67 75 72 65 64 20 61 6c 6c 20 74 68 65	unning..After.configured.all.the
4d80	20 56 52 46 73 20 69 6e 76 6f 6c 76 65 64 20 69 6e 20 74 68 69 73 20 74 6f 70 6f 6c 6f 67 79 20	.VRFs.involved.in.this.topology.
4da0	77 65 20 74 61 6b 65 20 61 20 64 65 65 70 65 72 20 6c 6f 6f 6b 20 61 74 20 62 6f 74 68 20 42 47	we.take.a.deeper.look.at.both.BG
4dc0	50 20 61 6e 64 20 52 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 66 6f 72 20 74 68 65 20 56 52 46 20	P.and.Routing.table.for.the.VRF.
4de0	4c 41 4e 31 00 41 66 74 65 72 20 73 6f 6d 65 20 74 65 73 74 69 6e 67 2c 20 77 65 20 63 61 6e 20	LAN1.After.some.testing,.we.can.
4e00	63 68 65 63 6b 20 69 70 73 65 63 20 73 74 61 74 75 73 2c 20 61 6e 64 20 63 6f 75 6e 74 65 72 20	check.ipsec.status,.and.counter.
4e20	6f 6e 20 65 76 65 72 79 20 74 75 6e 6e 65 6c 3a 00 41 66 74 65 72 20 74 68 65 20 69 6e 74 65 72	on.every.tunnel:.After.the.inter
4e40	66 61 63 65 20 65 74 68 30 20 6f 6e 20 72 6f 75 74 65 72 20 56 79 4f 53 33 00 41 66 74 65 72 20	face.eth0.on.router.VyOS3.After.
4e60	74 68 69 73 2c 20 77 65 20 6e 65 65 64 20 74 68 65 20 44 48 43 50 2d 53 65 72 76 65 72 20 61 6e	this,.we.need.the.DHCP-Server.an
4e80	64 20 52 65 6c 61 79 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 20 54 6f 20 67 65 74 20 61 20	d.Relay.configuration..To.get.a.
4ea0	74 65 73 74 61 62 6c 65 20 72 65 73 75 6c 74 2c 20 77 65 20 6a 75 73 74 20 68 61 76 65 20 6f 6e	testable.result,.we.just.have.on
4ec0	65 20 49 50 20 69 6e 20 74 68 65 20 44 48 43 50 20 72 61 6e 67 65 2e 20 45 78 70 61 6e 64 20 69	e.IP.in.the.DHCP.range..Expand.i
4ee0	74 20 61 73 20 79 6f 75 20 6e 65 65 64 20 69 74 2e 00 41 66 74 65 72 20 79 6f 75 20 68 61 76 65	t.as.you.need.it..After.you.have
4f00	20 65 61 63 68 20 70 75 62 6c 69 63 20 6b 65 79 2e 20 54 68 65 20 77 69 72 65 67 75 61 72 64 20	.each.public.key..The.wireguard.
4f20	69 6e 74 65 72 66 61 63 65 73 20 63 61 6e 20 62 65 20 73 65 74 75 70 2e 00 41 6c 6c 20 6f 75 74	interfaces.can.be.setup..All.out
4f40	67 6f 69 6e 67 20 70 61 63 6b 65 74 73 20 61 72 65 20 61 73 73 69 67 6e 65 64 20 74 68 65 20 73	going.packets.are.assigned.the.s
4f60	6f 75 72 63 65 20 61 64 64 72 65 73 73 20 6f 66 20 74 68 65 20 61 73 73 69 67 6e 65 64 20 69 6e	ource.address.of.the.assigned.in
4f80	74 65 72 66 61 63 65 20 28 53 4e 41 54 29 2e 00 41 6c 6c 20 74 72 61 66 66 69 63 20 63 6f 6d 69	terface.(SNAT)..All.traffic.comi
4fa0	6e 67 20 69 6e 20 74 68 72 6f 75 67 68 20 65 74 68 32 20 69 73 20 62 61 6c 61 6e 63 65 64 20 62	ng.in.through.eth2.is.balanced.b
4fc0	65 74 77 65 65 6e 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 6f 6e 20 74 68 65 20 72 6f 75 74	etween.eth0.and.eth1.on.the.rout
4fe0	65 72 2e 00 41 6c 6c 6f 77 20 44 48 43 50 76 36 20 70 61 63 6b 65 74 73 20 66 6f 72 20 72 6f 75	er..Allow.DHCPv6.packets.for.rou
5000	74 65 72 00 41 6c 6c 6f 77 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 20 6f	ter.Allow.access.to.the.router.o
5020	6e 6c 79 20 66 72 6f 6d 20 74 72 75 73 74 65 64 20 6e 65 74 77 6f 72 6b 73 2e 00 41 6c 6c 6f 77	nly.from.trusted.networks..Allow
5040	20 61 6c 6c 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20 74 72 61	.all.established.and.related.tra
5060	66 66 69 63 20 66 6f 72 20 72 6f 75 74 65 72 20 61 6e 64 20 4c 41 4e 00 41 6c 6c 6f 77 20 61 6c	ffic.for.router.and.LAN.Allow.al
5080	6c 20 69 63 6d 70 76 36 20 70 61 63 6b 65 74 73 20 66 6f 72 20 72 6f 75 74 65 72 20 61 6e 64 20	l.icmpv6.packets.for.router.and.
50a0	4c 41 4e 00 41 6c 6c 6f 77 20 61 6c 6c 20 6e 65 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 66 72	LAN.Allow.all.new.connections.fr
50c0	6f 6d 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 73 2e 00 41 6c 6c 6f 77 20 63 6f 6e 6e 65 63 74 69	om.local.subnets..Allow.connecti
50e0	6f 6e 73 20 66 72 6f 6d 20 4c 41 4e 73 20 74 6f 20 4c 41 4e 73 20 74 68 72 6f 75 67 68 74 20 74	ons.from.LANs.to.LANs.throught.t
5100	68 65 20 74 75 6e 6e 65 6c 2e 00 41 6c 6c 6f 77 20 64 6e 73 20 72 65 71 75 65 73 74 73 20 6f 6e	he.tunnel..Allow.dns.requests.on
5120	6c 79 20 6f 6e 6c 79 20 66 6f 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 73 2e 00 41 6c 6c 6f	ly.only.for.local.networks..Allo
5140	77 20 69 63 6d 70 20 6f 6e 20 61 6c 6c 20 69 6e 74 65 72 66 61 63 65 73 2e 00 41 6c 73 6f 20 77	w.icmp.on.all.interfaces..Also.w
5160	65 20 63 61 6e 20 76 65 72 69 66 79 20 68 6f 77 20 50 45 20 64 65 76 69 63 65 73 20 72 65 63 65	e.can.verify.how.PE.devices.rece
5180	69 76 65 73 20 56 50 4e 76 34 20 6e 65 74 77 6f 72 6b 73 20 66 72 6f 6d 20 74 68 65 20 52 52 73	ives.VPNv4.networks.from.the.RRs
51a0	20 61 6e 64 20 69 6e 73 74 61 6c 6c 69 6e 67 20 74 68 65 6d 20 74 6f 20 74 68 65 20 73 70 65 63	.and.installing.them.to.the.spec
51c0	69 66 69 63 20 63 75 73 74 6f 6d 65 72 20 56 52 46 73 3a 00 41 6c 73 6f 2c 20 77 65 20 63 61 6e	ific.customer.VRFs:.Also,.we.can
51e0	20 63 68 65 63 6b 20 66 69 72 65 77 61 6c 6c 20 63 6f 75 6e 74 65 72 73 3a 00 41 6e 20 4c 33 56	.check.firewall.counters:.An.L3V
5200	50 4e 20 63 6f 6e 73 69 73 74 73 20 6f 66 20 6d 75 6c 74 69 70 6c 65 20 61 63 63 65 73 73 20 6c	PN.consists.of.multiple.access.l
5220	69 6e 6b 73 2c 20 6d 75 6c 74 69 70 6c 65 20 56 50 4e 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 66	inks,.multiple.VPN.routing.and.f
5240	6f 72 77 61 72 64 69 6e 67 20 28 56 52 46 29 20 74 61 62 6c 65 73 2c 20 61 6e 64 20 6d 75 6c 74	orwarding.(VRF).tables,.and.mult
5260	69 70 6c 65 20 4d 50 4c 53 20 70 61 74 68 73 20 6f 72 20 6d 75 6c 74 69 70 6c 65 20 50 32 4d 50	iple.MPLS.paths.or.multiple.P2MP
5280	20 4c 53 50 73 2e 20 41 6e 20 4c 33 56 50 4e 20 63 61 6e 20 62 65 20 63 6f 6e 66 69 67 75 72 65	.LSPs..An.L3VPN.can.be.configure
52a0	64 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 77 6f 20 6f 72 20 6d 6f 72 65 20 63 75 73 74 6f 6d 65	d.to.connect.two.or.more.custome
52c0	72 20 73 69 74 65 73 2e 20 49 6e 20 68 75 62 2d 61 6e 64 2d 73 70 6f 6b 65 20 4d 50 4c 53 20 4c	r.sites..In.hub-and-spoke.MPLS.L
52e0	33 56 50 4e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 73 2c 20 74 68 65 20 73 70 6f 6b 65 20 72 6f 75	3VPN.environments,.the.spoke.rou
5300	74 65 72 73 20 6e 65 65 64 20 74 6f 20 68 61 76 65 20 75 6e 69 71 75 65 20 52 6f 75 74 65 20 44	ters.need.to.have.unique.Route.D
5320	69 73 74 69 6e 67 75 69 73 68 65 72 73 20 28 52 44 73 29 2e 20 49 6e 20 6f 72 64 65 72 20 74 6f	istinguishers.(RDs)..In.order.to
5340	20 75 73 65 20 74 68 65 20 68 75 62 20 73 69 74 65 20 61 73 20 61 20 74 72 61 6e 73 69 74 20 70	.use.the.hub.site.as.a.transit.p
5360	6f 69 6e 74 20 66 6f 72 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 6e 20 73 75 63 68 20 61 6e	oint.for.connectivity.in.such.an
5380	20 65 6e 76 69 72 6f 6e 6d 65 6e 74 2c 20 74 68 65 20 73 70 6f 6b 65 20 73 69 74 65 73 20 65 78	.environment,.the.spoke.sites.ex
53a0	70 6f 72 74 20 74 68 65 69 72 20 72 6f 75 74 65 73 20 74 6f 20 74 68 65 20 68 75 62 2e 20 53 70	port.their.routes.to.the.hub..Sp
53c0	6f 6b 65 73 20 63 61 6e 20 74 61 6c 6b 20 74 6f 20 68 75 62 73 2c 20 62 75 74 20 6e 65 76 65 72	okes.can.talk.to.hubs,.but.never
53e0	20 68 61 76 65 20 64 69 72 65 63 74 20 70 61 74 68 73 20 74 6f 20 6f 74 68 65 72 20 73 70 6f 6b	.have.direct.paths.to.other.spok
5400	65 73 2e 20 41 6c 6c 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 73 70 6f 6b 65 73 20 69	es..All.traffic.between.spokes.i
5420	73 20 63 6f 6e 74 72 6f 6c 6c 65 64 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 6f 76 65 72 20	s.controlled.and.delivered.over.
5440	74 68 65 20 68 75 62 20 73 69 74 65 2e 00 41 6e 64 20 4e 41 54 20 43 6f 6e 66 69 67 75 72 61 74	the.hub.site..And.NAT.Configurat
5460	69 6f 6e 3a 00 41 6e 64 20 70 69 6e 67 20 74 68 65 20 42 72 61 6e 63 68 20 50 43 20 66 72 6f 6d	ion:.And.ping.the.Branch.PC.from
5480	20 79 6f 75 72 20 63 65 6e 74 72 61 6c 20 72 6f 75 74 65 72 20 74 6f 20 63 68 65 63 6b 20 74 68	.your.central.router.to.check.th
54a0	65 20 72 65 73 70 6f 6e 73 65 2e 00 41 6e 64 20 73 68 6f 77 20 61 6c 6c 20 44 48 43 50 20 4c 65	e.response..And.show.all.DHCP.Le
54c0	61 73 65 73 00 41 6e 64 20 74 68 65 20 60 60 63 6c 69 65 6e 74 60 60 20 74 6f 20 72 65 63 65 69	ases.And.the.``client``.to.recei
54e0	76 65 20 61 6e 20 49 50 76 36 20 61 64 64 72 65 73 73 20 77 69 74 68 20 73 74 61 74 65 6c 65 73	ve.an.IPv6.address.with.stateles
5500	73 20 61 75 74 6f 63 6f 6e 66 69 67 2e 00 41 6e 73 69 62 6c 65 20 45 78 61 6d 70 6c 65 20 74 6f	s.autoconfig..Ansible.Example.to
5520	70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 41 6e 73 69 62 6c 65 20 65 78 61 6d 70 6c 65 00 41 6e 79	pology.image.Ansible.example.Any
5540	20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 72 65 6c 61 74 65 64 20 74 6f 20 61 20 56 52 46 20 69 73	.information.related.to.a.VRF.is
5560	20 6e 6f 74 20 65 78 63 68 61 6e 67 65 64 20 62 65 74 77 65 65 6e 20 64 65 76 69 63 65 73 20 2d	.not.exchanged.between.devices.-
5580	6f 72 20 69 6e 20 74 68 65 20 73 61 6d 65 20 64 65 76 69 63 65 2d 20 62 79 20 64 65 66 61 75 6c	or.in.the.same.device-.by.defaul
55a0	74 2c 20 74 68 69 73 20 69 73 20 61 20 74 65 63 68 6e 69 71 75 65 20 63 61 6c 6c 65 64 20 2a 2a	t,.this.is.a.technique.called.**
55c0	56 52 46 2d 4c 69 74 65 2a 2a 2e 00 41 70 70 65 6e 64 69 78 2d 41 00 41 70 70 65 6e 64 69 78 2d	VRF-Lite**..Appendix-A.Appendix-
55e0	42 00 41 73 20 61 20 72 65 6d 69 6e 64 65 72 2c 20 6f 6e 6c 79 20 61 64 76 65 72 74 69 73 65 20	B.As.a.reminder,.only.advertise.
5600	72 6f 75 74 65 73 20 74 68 61 74 20 79 6f 75 20 61 72 65 20 74 68 65 20 64 65 66 61 75 6c 74 20	routes.that.you.are.the.default.
5620	72 6f 75 74 65 72 20 66 6f 72 2e 20 54 68 69 73 20 69 73 20 77 68 79 20 77 65 20 61 72 65 20 4e	router.for..This.is.why.we.are.N
5640	4f 54 20 61 6e 6e 6f 75 6e 63 69 6e 67 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e	OT.announcing.the.192.0.2.0/24.n
5660	65 74 77 6f 72 6b 2c 20 62 65 63 61 75 73 65 20 69 66 20 74 68 61 74 20 77 61 73 20 61 6e 6e 6f	etwork,.because.if.that.was.anno
5680	75 6e 63 65 64 20 69 6e 74 6f 20 4f 53 50 46 2c 20 74 68 65 20 6f 74 68 65 72 20 72 6f 75 74 65	unced.into.OSPF,.the.other.route
56a0	72 73 20 77 6f 75 6c 64 20 74 72 79 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 6f 20 74 68 61 74 20	rs.would.try.to.connect.to.that.
56c0	6e 65 74 77 6f 72 6b 20 6f 76 65 72 20 61 20 74 75 6e 6e 65 6c 20 74 68 61 74 20 63 6f 6e 6e 65	network.over.a.tunnel.that.conne
56e0	63 74 73 20 74 6f 20 74 68 61 74 20 6e 65 74 77 6f 72 6b 21 00 41 73 20 77 65 20 63 61 6e 20 73	cts.to.that.network!.As.we.can.s
5700	65 65 20 65 76 65 6e 20 69 66 20 62 6f 74 68 20 56 52 46 20 4c 41 4e 31 20 61 6e 64 20 4c 41 4e	ee.even.if.both.VRF.LAN1.and.LAN
5720	32 20 68 61 73 20 74 68 65 20 73 61 6d 65 20 69 6d 70 6f 72 74 20 52 54 73 20 77 65 20 61 72 65	2.has.the.same.import.RTs.we.are
5740	20 61 62 6c 65 20 74 6f 20 73 65 6c 65 63 74 20 77 68 69 63 68 20 72 6f 75 74 65 73 20 61 72 65	.able.to.select.which.routes.are
5760	20 65 66 66 65 63 74 69 76 65 6c 79 20 69 6d 70 6f 72 74 65 64 20 61 6e 64 20 69 6e 73 74 61 6c	.effectively.imported.and.instal
5780	6c 65 64 2e 00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 69 6e 20 74 68 65 20 42 47 50 20 74 61	led..As.we.can.see.in.the.BGP.ta
57a0	62 6c 65 20 61 6e 79 20 69 6d 70 6f 72 74 65 64 20 72 6f 75 74 65 20 68 61 73 20 62 65 65 6e 20	ble.any.imported.route.has.been.
57c0	69 6e 6a 65 63 74 65 64 20 77 69 74 68 20 61 20 22 40 22 20 66 6f 6c 6c 6f 77 65 64 20 62 79 20	injected.with.a."@".followed.by.
57e0	74 68 65 20 56 50 4e 20 69 64 3b 20 49 6e 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65	the.VPN.id;.In.the.routing.table
5800	20 6f 66 20 74 68 65 20 56 52 46 2c 20 69 66 20 74 68 65 20 72 6f 75 74 65 20 77 61 73 20 69 6e	.of.the.VRF,.if.the.route.was.in
5820	73 74 61 6c 6c 65 64 2c 20 77 65 20 63 61 6e 20 73 65 65 20 2d 62 65 74 77 65 65 6e 20 72 6f 75	stalled,.we.can.see.-between.rou
5840	6e 64 20 62 72 61 63 6b 65 74 73 2d 20 74 68 65 20 65 78 70 6f 72 74 65 64 20 56 52 46 20 74 61	nd.brackets-.the.exported.VRF.ta
5860	62 6c 65 2e 00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 74 68 69 73 20 69 73 20 75 6e 70 72 61	ble..As.we.can.see.this.is.unpra
5880	63 74 69 63 61 6c 2e 00 41 73 20 77 65 20 6b 6e 6f 77 20 74 68 65 20 6d 61 69 6e 20 61 73 73 75	ctical..As.we.know.the.main.assu
58a0	6d 70 74 69 6f 6e 20 6f 66 20 4c 33 56 50 4e 20 e2 80 9c 48 75 62 20 61 6e 64 20 53 70 6f 6b 65	mption.of.L3VPN....Hub.and.Spoke
58c0	e2 80 9d 20 69 73 2c 20 74 68 61 74 20 74 68 65 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e	....is,.that.the.traffic.between
58e0	20 73 70 6f 6b 65 73 20 68 61 76 65 20 74 6f 20 70 61 73 73 20 76 69 61 20 68 75 62 2c 20 69 6e	.spokes.have.to.pass.via.hub,.in
5900	20 6f 75 72 20 73 63 65 6e 61 72 69 6f 20 56 79 4f 53 2d 50 45 32 20 69 73 20 74 68 65 20 48 75	.our.scenario.VyOS-PE2.is.the.Hu
5920	62 20 50 45 20 61 6e 64 20 74 68 65 20 56 79 4f 53 2d 43 45 31 2d 48 55 42 20 69 73 20 74 68 65	b.PE.and.the.VyOS-CE1-HUB.is.the
5940	20 63 65 6e 74 72 61 6c 20 63 75 73 74 6f 6d 65 72 20 6f 66 66 69 63 65 20 64 65 76 69 63 65 20	.central.customer.office.device.
5960	74 68 61 74 20 69 73 20 72 65 73 70 6f 6e 73 69 62 6c 65 20 66 6f 72 20 63 6f 6e 74 72 6f 6c 6c	that.is.responsible.for.controll
5980	69 6e 67 20 61 63 63 65 73 73 20 62 65 74 77 65 65 6e 20 61 6c 6c 20 73 70 6f 6b 65 73 20 61 6e	ing.access.between.all.spokes.an
59a0	64 20 61 6e 6e 6f 75 6e 63 69 6e 67 20 69 74 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65	d.announcing.its.network.prefixe
59c0	73 20 28 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 29 2e 20 56 79 4f 53 2d 50 45 32 20 68 61 73 20	s.(10.0.0.100/32)..VyOS-PE2.has.
59e0	74 68 65 20 6d 61 69 6e 20 56 52 46 20 28 69 74 73 20 6e 61 6d 65 20 69 73 20 42 4c 55 45 5f 48	the.main.VRF.(its.name.is.BLUE_H
5a00	55 42 29 2c 20 69 74 73 20 6f 77 6e 20 52 6f 75 74 65 2d 44 69 73 74 69 6e 67 75 69 73 68 65 72	UB),.its.own.Route-Distinguisher
5a20	28 52 44 29 20 61 6e 64 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 69 6d 70 6f 72 74 2f 65 78 70	(RD).and.route-target.import/exp
5a40	6f 72 74 20 6c 69 73 74 73 2e 20 4d 75 6c 74 69 70 72 6f 74 6f 63 6f 6c 2d 42 47 50 28 4d 50 2d	ort.lists..Multiprotocol-BGP(MP-
5a60	42 47 50 29 20 64 65 6c 69 76 65 72 73 20 4c 33 56 50 4e 20 72 65 6c 61 74 65 64 20 63 6f 6e 74	BGP).delivers.L3VPN.related.cont
5a80	72 6f 6c 2d 70 6c 61 6e 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 74 6f 20 74 68 65 20 6e 6f 64	rol-plane.information.to.the.nod
5aa0	65 73 20 61 63 72 6f 73 73 20 6e 65 74 77 6f 72 6b 20 77 68 65 72 65 20 50 45 73 20 53 70 6f 6b	es.across.network.where.PEs.Spok
5ac0	65 73 20 69 6d 70 6f 72 74 20 74 68 65 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 36 30 35 33 35	es.import.the.route-target.60535
5ae0	3a 31 30 33 30 20 28 74 68 69 73 20 69 73 20 65 78 70 6f 72 74 20 72 6f 75 74 65 2d 74 61 72 67	:1030.(this.is.export.route-targ
5b00	65 74 20 6f 66 20 76 72 66 20 42 4c 55 45 5f 48 55 42 29 20 61 6e 64 20 65 78 70 6f 72 74 20 69	et.of.vrf.BLUE_HUB).and.export.i
5b20	74 73 20 6f 77 6e 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 36 30 35 33 35 3a 31 30 31 31 28 74	ts.own.route-target.60535:1011(t
5b40	68 69 73 20 69 73 20 76 72 66 20 42 4c 55 45 5f 53 50 4f 4b 45 20 65 78 70 6f 72 74 20 72 6f 75	his.is.vrf.BLUE_SPOKE.export.rou
5b60	74 65 2d 74 61 72 67 65 74 29 2e 20 54 68 65 72 65 66 6f 72 65 2c 20 74 68 65 20 43 75 73 74 6f	te-target)..Therefore,.the.Custo
5b80	6d 65 72 20 65 64 67 65 20 6e 6f 64 65 73 20 63 61 6e 20 6f 6e 6c 79 20 6c 65 61 72 6e 20 74 68	mer.edge.nodes.can.only.learn.th
5ba0	65 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 6f 66 20 74 68 65 20 48 55 42 20 73 69	e.network.prefixes.of.the.HUB.si
5bc0	74 65 20 5b 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 5d 2e 20 46 6f 72 20 74 68 69 73 20 65 78 61	te.[10.0.0.100/32]..For.this.exa
5be0	6d 70 6c 65 20 56 79 4f 53 2d 43 45 31 20 68 61 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78	mple.VyOS-CE1.has.network.prefix
5c00	65 73 20 5b 31 30 2e 30 2e 30 2e 38 30 2f 33 32 5d 20 2f 20 56 79 4f 53 2d 43 45 32 20 68 61 73	es.[10.0.0.80/32]./.VyOS-CE2.has
5c20	20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 5b 31 30 2e 30 2e 30 2e 39 30 2f 33 32 5d	.network.prefixes.[10.0.0.90/32]
5c40	2e 20 52 6f 75 74 65 2d 52 65 66 6c 65 63 74 6f 72 20 64 65 76 69 63 65 73 20 56 79 4f 53 2d 52	..Route-Reflector.devices.VyOS-R
5c60	52 31 20 61 6e 64 20 56 79 4f 53 2d 52 52 32 20 61 72 65 20 75 73 65 64 20 74 6f 20 73 69 6d 70	R1.and.VyOS-RR2.are.used.to.simp
5c80	6c 69 66 79 20 6e 65 74 77 6f 72 6b 20 72 6f 75 74 65 73 20 65 78 63 68 61 6e 67 65 20 61 6e 64	lify.network.routes.exchange.and
5ca0	20 6d 69 6e 69 6d 69 7a 65 20 69 42 47 50 20 70 65 65 72 69 6e 67 73 20 62 65 74 77 65 65 6e 20	.minimize.iBGP.peerings.between.
5cc0	64 65 76 69 63 65 73 2e 00 41 73 20 77 65 20 73 65 65 20 73 68 61 70 65 72 20 69 73 20 77 6f 72	devices..As.we.see.shaper.is.wor
5ce0	6b 69 6e 67 20 61 6e 64 20 74 68 65 20 74 72 61 66 66 69 63 20 77 69 6c 6c 20 6e 6f 74 20 77 6f	king.and.the.traffic.will.not.wo
5d00	72 6b 20 6f 76 65 72 20 35 20 4d 62 69 74 2f 73 2e 00 41 73 73 69 67 6e 20 65 78 74 65 72 6e 61	rk.over.5.Mbit/s..Assign.externa
5d20	6c 20 49 50 20 61 64 64 72 65 73 73 65 73 00 41 73 73 75 6d 69 6e 67 20 74 68 65 20 70 69 6e 67	l.IP.addresses.Assuming.the.ping
5d40	73 20 61 72 65 20 73 75 63 63 65 73 73 66 75 6c 2c 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 61 64	s.are.successful,.you.need.to.ad
5d60	64 20 73 6f 6d 65 20 44 4e 53 20 73 65 72 76 65 72 73 2e 20 53 6f 6d 65 20 6f 70 74 69 6f 6e 73	d.some.DNS.servers..Some.options
5d80	3a 00 41 74 20 74 68 65 20 66 69 72 73 74 20 73 74 65 70 20 77 65 20 6e 65 65 64 20 74 6f 20 63	:.At.the.first.step.we.need.to.c
5da0	6f 6e 66 69 67 75 72 65 20 74 68 65 20 49 50 2f 4d 50 4c 53 20 62 61 63 6b 62 6f 6e 65 20 6e 65	onfigure.the.IP/MPLS.backbone.ne
5dc0	74 77 6f 72 6b 20 75 73 69 6e 67 20 4f 53 50 46 20 61 73 20 49 47 50 20 70 72 6f 74 6f 63 6f 6c	twork.using.OSPF.as.IGP.protocol
5de0	20 61 6e 64 20 4c 44 50 20 61 73 20 6c 61 62 65 6c 2d 73 77 69 74 63 68 69 6e 67 20 70 72 6f 74	.and.LDP.as.label-switching.prot
5e00	6f 63 6f 6c 20 66 6f 72 20 74 68 65 20 62 61 73 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 62	ocol.for.the.base.connectivity.b
5e20	65 74 77 65 65 6e 20 2a 2a 50 2a 2a 20 28 72 6f 76 69 64 65 72 29 2c 20 2a 2a 50 2a 2a 20 28 72	etween.P.(rovider),.P.(r
5e40	6f 76 69 64 65 72 29 20 2a 2a 45 2a 2a 20 28 64 67 65 29 20 61 6e 64 20 2a 2a 52 2a 2a 20 28 6f	ovider).E.(dge).and.R.(o
5e60	75 74 65 29 20 2a 2a 52 2a 2a 20 28 65 66 6c 65 63 74 6f 72 29 20 6e 6f 64 65 73 3a 00 41 74 20	ute).R.(eflector).nodes:.At.
5e80	74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 6e 6f 77 20 6e 65 65 64 20 74 6f 20 63 72 65 61	this.point,.you.now.need.to.crea
5ea0	74 65 20 74 68 65 20 58 20 6c 69 6e 6b 20 62 65 74 77 65 65 6e 20 61 6c 6c 20 66 6f 75 72 20 72	te.the.X.link.between.all.four.r
5ec0	6f 75 74 65 72 73 2e 20 55 73 65 20 61 6d 64 69 66 66 65 72 65 6e 74 20 2f 33 30 20 66 6f 72 20	outers..Use.amdifferent./30.for.
5ee0	65 61 63 68 20 6c 69 6e 6b 2e 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 73 68	each.link..At.this.point,.you.sh
5f00	6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 53 53 48 20 69 6e 74 6f 20 62 6f 74 68 20 6f 66	ould.be.able.to.SSH.into.both.of
5f20	20 74 68 65 6d 2c 20 61 6e 64 20 77 69 6c 6c 20 6e 6f 20 6c 6f 6e 67 65 72 20 6e 65 65 64 20 61	.them,.and.will.no.longer.need.a
5f40	63 63 65 73 73 20 74 6f 20 74 68 65 20 63 6f 6e 73 6f 6c 65 20 28 75 6e 6c 65 73 73 20 79 6f 75	ccess.to.the.console.(unless.you
5f60	20 62 72 65 61 6b 20 73 6f 6d 65 74 68 69 6e 67 21 29 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74	.break.something!).At.this.point
5f80	2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 62 6f 74 68	,.you.should.be.able.to.see.both
5fa0	20 49 50 20 61 64 64 72 65 73 73 65 73 20 77 68 65 6e 20 79 6f 75 20 72 75 6e 20 60 60 73 68 6f	.IP.addresses.when.you.run.``sho
5fc0	77 20 69 6e 74 65 72 66 61 63 65 73 60 60 5c 20 2c 20 61 6e 64 20 60 60 73 68 6f 77 20 76 72 72	w.interfaces``\.,.and.``show.vrr
5fe0	70 60 60 20 73 68 6f 75 6c 64 20 73 68 6f 77 20 62 6f 74 68 20 69 6e 74 65 72 66 61 63 65 73 20	p``.should.show.both.interfaces.
6000	69 6e 20 4d 41 53 54 45 52 20 73 74 61 74 65 20 28 61 6e 64 20 53 4c 41 56 45 20 73 74 61 74 65	in.MASTER.state.(and.SLAVE.state
6020	20 6f 6e 20 72 6f 75 74 65 72 32 29 2e 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75	.on.router2)..At.this.point,.you
6040	72 20 56 79 4f 53 20 69 6e 73 74 61 6c 6c 20 73 68 6f 75 6c 64 20 68 61 76 65 20 66 75 6c 6c 20	r.VyOS.install.should.have.full.
6060	49 50 76 36 2c 20 62 75 74 20 6e 6f 77 20 79 6f 75 72 20 4c 41 4e 20 64 65 76 69 63 65 73 20 6e	IPv6,.but.now.your.LAN.devices.n
6080	65 65 64 20 61 63 63 65 73 73 2e 00 41 74 20 74 68 69 73 20 73 74 65 70 20 77 65 20 61 72 65 20	eed.access..At.this.step.we.are.
60a0	67 6f 69 6e 67 20 74 6f 20 65 6e 61 62 6c 65 20 69 42 47 50 20 70 72 6f 74 6f 63 6f 6c 20 6f 6e	going.to.enable.iBGP.protocol.on
60c0	20 4d 50 4c 53 20 6e 6f 64 65 73 20 61 6e 64 20 52 6f 75 74 65 20 52 65 66 6c 65 63 74 6f 72 73	.MPLS.nodes.and.Route.Reflectors
60e0	20 28 74 77 6f 20 72 6f 75 74 65 72 73 20 66 6f 72 20 72 65 64 75 6e 64 61 6e 63 79 29 20 74 68	.(two.routers.for.redundancy).th
6100	61 74 20 77 69 6c 6c 20 64 65 6c 69 76 65 72 20 49 50 76 34 20 56 50 4e 20 28 4c 33 56 50 4e 29	at.will.deliver.IPv4.VPN.(L3VPN)
6120	20 72 6f 75 74 65 73 20 62 65 74 77 65 65 6e 20 74 68 65 6d 3a 00 41 7a 75 72 65 20 41 53 4e 00	.routes.between.them:.Azure.ASN.
6140	41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 31 20 70 75 62 6c 69 63 20 49 50 00 41	Azure.VNet.Gateway.1.public.IP.A
6160	7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 32 20 70 75 62 6c 69 63 20 49 50 00 41 7a	zure.VNet.Gateway.2.public.IP.Az
6180	75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 42 47 50 20 49 50 00 41 7a 75 72 65 20 56 4e	ure.VNet.Gateway.BGP.IP.Azure.VN
61a0	65 74 20 47 61 74 65 77 61 79 20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 61 64 64 72 65	et.Gateway.public.IP.Azure.addre
61c0	73 73 20 73 70 61 63 65 00 42 47 50 00 42 47 50 20 49 50 76 36 20 75 6e 6e 75 6d 62 65 72 65 64	ss.space.BGP.BGP.IPv6.unnumbered
61e0	20 77 69 74 68 20 65 78 74 65 6e 64 65 64 20 6e 65 78 74 68 6f 70 00 42 47 50 20 69 73 20 61 6e	.with.extended.nexthop.BGP.is.an
6200	20 65 78 74 72 65 6d 65 6c 79 20 63 6f 6d 70 6c 65 78 20 6e 65 74 77 6f 72 6b 20 70 72 6f 74 6f	.extremely.complex.network.proto
6220	63 6f 6c 2e 20 41 6e 20 65 78 61 6d 70 6c 65 20 69 73 20 70 72 6f 76 69 64 65 64 20 68 65 72 65	col..An.example.is.provided.here
6240	2e 00 42 4c 55 45 5f 48 55 42 00 42 4c 55 45 5f 53 50 4f 4b 45 00 42 61 73 65 64 20 6f 6e 20 74	..BLUE_HUB.BLUE_SPOKE.Based.on.t
6260	68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 61 6e 6f 74 68 65 72 20 72 75 6c	he.previous.example,.another.rul
6280	65 20 66 6f 72 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 74 68 65 20 73 65 63 6f 6e 64 20 69 6e	e.for.traffic.from.the.second.in
62a0	74 65 72 66 61 63 65 20 65 74 68 33 20 63 61 6e 20 62 65 20 61 64 64 65 64 20 74 6f 20 74 68 65	terface.eth3.can.be.added.to.the
62c0	20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 2e 20 48 6f 77 65 76 65 72 2c 20 74 72 61 66 66 69 63	.load.balancer..However,.traffic
62e0	20 6d 65 61 6e 74 20 74 6f 20 66 6c 6f 77 20 62 65 74 77 65 65 6e 20 74 68 65 20 4c 41 4e 20 73	.meant.to.flow.between.the.LAN.s
6300	75 62 6e 65 74 73 20 77 69 6c 6c 20 62 65 20 73 65 6e 74 20 74 6f 20 65 74 68 30 20 61 6e 64 20	ubnets.will.be.sent.to.eth0.and.
6320	65 74 68 31 20 61 73 20 77 65 6c 6c 2e 20 54 6f 20 70 72 65 76 65 6e 74 20 74 68 69 73 2c 20 61	eth1.as.well..To.prevent.this,.a
6340	6e 6f 74 68 65 72 20 72 75 6c 65 20 69 73 20 72 65 71 75 69 72 65 64 2e 20 54 68 69 73 20 72 75	nother.rule.is.required..This.ru
6360	6c 65 20 65 78 63 6c 75 64 65 73 20 74 72 61 66 66 69 63 20 62 65 74 77 65 65 6e 20 74 68 65 20	le.excludes.traffic.between.the.
6380	6c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20 66 72 6f 6d 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61	local.subnets.from.the.load.bala
63a0	6e 63 65 72 2e 20 49 74 20 61 6c 73 6f 20 65 78 63 6c 75 64 65 73 20 6c 6f 63 61 6c 6c 79 2d 73	ncer..It.also.excludes.locally-s
63c0	6f 75 72 63 65 73 20 70 61 63 6b 65 74 73 20 28 72 65 71 75 69 72 65 64 20 66 6f 72 20 77 65 62	ources.packets.(required.for.web
63e0	20 63 61 63 68 69 6e 67 20 77 69 74 68 20 6c 6f 61 64 20 62 61 6c 61 6e 63 69 6e 67 29 2e 20 65	.caching.with.load.balancing)..e
6400	74 68 2b 20 69 73 20 75 73 65 64 20 61 73 20 61 6e 20 61 6c 69 61 73 20 74 68 61 74 20 72 65 66	th+.is.used.as.an.alias.that.ref
6420	65 72 73 20 74 6f 20 61 6c 6c 20 65 74 68 65 72 6e 65 74 20 69 6e 74 65 72 66 61 63 65 73 3a 00	ers.to.all.ethernet.interfaces:.
6440	42 61 73 69 63 20 46 69 72 65 77 61 6c 6c 00 42 61 73 69 63 20 53 65 74 75 70 20 28 76 69 61 20	Basic.Firewall.Basic.Setup.(via.
6460	63 6f 6e 73 6f 6c 65 29 00 42 61 73 69 6b 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20	console).Basik.configuration.of.
6480	74 68 65 20 61 6e 73 69 62 6c 65 2e 63 66 67 3a 00 42 65 66 6f 72 65 20 74 68 65 20 69 6e 74 65	the.ansible.cfg:.Before.the.inte
64a0	72 66 61 63 65 20 65 74 68 30 20 6f 6e 20 72 6f 75 74 65 72 20 56 79 4f 53 33 00 42 6f 6e 64 69	rface.eth0.on.router.VyOS3.Bondi
64c0	6e 67 20 6f 6e 20 48 61 72 64 77 61 72 65 20 52 6f 75 74 65 72 00 42 6f 74 68 20 4c 41 4e 73 20	ng.on.Hardware.Router.Both.LANs.
64e0	68 61 76 65 20 74 6f 20 62 65 20 61 62 6c 65 20 74 6f 20 72 6f 75 74 65 20 62 65 74 77 65 65 6e	have.to.be.able.to.route.between
6500	20 65 61 63 68 20 6f 74 68 65 72 2c 20 62 6f 74 68 20 77 69 6c 6c 20 68 61 76 65 20 6d 61 6e 61	.each.other,.both.will.have.mana
6520	67 65 64 20 64 65 76 69 63 65 73 20 74 68 72 6f 75 67 68 20 61 20 64 65 64 69 63 61 74 65 64 20	ged.devices.through.a.dedicated.
6540	6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 62 6f 74 68 20 77 69 6c 6c	management.network.and.both.will
6560	20 6e 65 65 64 20 49 6e 74 65 72 6e 65 74 20 61 63 63 65 73 73 20 79 65 74 20 74 68 65 20 4c 41	.need.Internet.access.yet.the.LA
6580	4e 32 20 77 69 6c 6c 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 73 6f 6d 65 20 73 65 74 20	N2.will.need.access.to.some.set.
65a0	6f 66 20 6f 75 74 73 69 64 65 20 6e 65 74 77 6f 72 6b 73 2c 20 6e 6f 74 20 61 6c 6c 2e 20 54 68	of.outside.networks,.not.all..Th
65c0	65 20 6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f 72 6b 20 77 69 6c 6c 20 6e 65 65 64 20 61	e.management.network.will.need.a
65e0	63 63 65 73 73 20 74 6f 20 62 6f 74 68 20 4c 41 4e 73 20 62 75 74 20 63 61 6e 6e 6f 74 20 68 61	ccess.to.both.LANs.but.cannot.ha
6600	76 65 20 61 63 63 65 73 73 20 74 6f 2f 66 72 6f 6d 20 74 68 65 20 6f 75 74 73 69 64 65 2e 00 42	ve.access.to/from.the.outside..B
6620	72 61 6e 63 68 00 42 79 20 64 65 66 61 75 6c 74 2c 20 69 70 74 61 62 6c 65 73 20 64 6f 65 73 20	ranch.By.default,.iptables.does.
6640	6e 6f 74 20 61 6c 6c 6f 77 20 74 72 61 66 66 69 63 20 66 6f 72 20 65 73 74 61 62 6c 69 73 68 65	not.allow.traffic.for.establishe
6660	64 20 73 65 73 73 69 6f 6e 73 20 74 6f 20 72 65 74 75 72 6e 2c 20 73 6f 20 79 6f 75 20 6d 75 73	d.sessions.to.return,.so.you.mus
6680	74 20 65 78 70 6c 69 63 69 74 6c 79 20 61 6c 6c 6f 77 20 74 68 69 73 2e 20 49 20 64 6f 20 74 68	t.explicitly.allow.this..I.do.th
66a0	69 73 20 62 79 20 61 64 64 69 6e 67 20 74 77 6f 20 72 75 6c 65 73 20 74 6f 20 65 76 65 72 79 20	is.by.adding.two.rules.to.every.
66c0	72 75 6c 65 73 65 74 2e 20 31 20 61 6c 6c 6f 77 73 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e	ruleset..1.allows.established.an
66e0	64 20 72 65 6c 61 74 65 64 20 73 74 61 74 65 20 70 61 63 6b 65 74 73 20 74 68 72 6f 75 67 68 20	d.related.state.packets.through.
6700	61 6e 64 20 72 75 6c 65 20 32 20 64 72 6f 70 73 20 61 6e 64 20 6c 6f 67 73 20 69 6e 76 61 6c 69	and.rule.2.drops.and.logs.invali
6720	64 20 73 74 61 74 65 20 70 61 63 6b 65 74 73 2e 20 57 65 20 70 6c 61 63 65 20 74 68 65 20 65 73	d.state.packets..We.place.the.es
6740	74 61 62 6c 69 73 68 65 64 2f 72 65 6c 61 74 65 64 20 72 75 6c 65 20 61 74 20 74 68 65 20 74 6f	tablished/related.rule.at.the.to
6760	70 20 62 65 63 61 75 73 65 20 74 68 65 20 76 61 73 74 20 6d 61 6a 6f 72 69 74 79 20 6f 66 20 74	p.because.the.vast.majority.of.t
6780	72 61 66 66 69 63 20 6f 6e 20 61 20 6e 65 74 77 6f 72 6b 20 69 73 20 65 73 74 61 62 6c 69 73 68	raffic.on.a.network.is.establish
67a0	65 64 20 61 6e 64 20 74 68 65 20 69 6e 76 61 6c 69 64 20 72 75 6c 65 20 74 6f 20 70 72 65 76 65	ed.and.the.invalid.rule.to.preve
67c0	6e 74 20 69 6e 76 61 6c 69 64 20 73 74 61 74 65 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 6d 69	nt.invalid.state.packets.from.mi
67e0	73 74 61 6b 65 6e 6c 79 20 62 65 69 6e 67 20 6d 61 74 63 68 65 64 20 61 67 61 69 6e 73 74 20 6f	stakenly.being.matched.against.o
6800	74 68 65 72 20 72 75 6c 65 73 2e 20 48 61 76 69 6e 67 20 74 68 65 20 6d 6f 73 74 20 6d 61 74 63	ther.rules..Having.the.most.matc
6820	68 65 64 20 72 75 6c 65 20 6c 69 73 74 65 64 20 66 69 72 73 74 20 72 65 64 75 63 65 73 20 43 50	hed.rule.listed.first.reduces.CP
6840	55 20 6c 6f 61 64 20 69 6e 20 68 69 67 68 20 76 6f 6c 75 6d 65 20 65 6e 76 69 72 6f 6e 6d 65 6e	U.load.in.high.volume.environmen
6860	74 73 2e 20 4e 6f 74 65 3a 20 49 20 68 61 76 65 20 66 69 6c 65 64 20 61 20 62 75 67 20 74 6f 20	ts..Note:.I.have.filed.a.bug.to.
6880	68 61 76 65 20 74 68 69 73 20 61 64 64 65 64 20 61 73 20 61 20 64 65 66 61 75 6c 74 20 61 63 74	have.this.added.as.a.default.act
68a0	69 6f 6e 20 61 73 20 77 65 6c 6c 2e 00 43 45 20 48 75 62 20 64 65 76 69 63 65 00 43 53 34 20 2d	ion.as.well..CE.Hub.device.CS4.-
68c0	3e 20 43 53 35 00 43 65 6e 74 72 61 6c 00 43 68 65 63 6b 20 61 6c 6c 20 70 6f 73 73 69 62 6c 65	>.CS5.Central.Check.all.possible
68e0	20 73 65 74 74 69 6e 67 73 20 60 68 65 72 65 20 3c 68 74 74 70 73 3a 2f 2f 67 69 74 68 75 62 2e	.settings.`here.<https://github.
6900	63 6f 6d 2f 74 68 72 65 65 72 69 6e 67 73 2f 6f 70 65 6e 76 70 6e 2d 61 75 74 68 2d 6c 64 61 70	com/threerings/openvpn-auth-ldap
6920	2f 62 6c 6f 62 2f 6d 61 73 74 65 72 2f 61 75 74 68 2d 6c 64 61 70 2e 63 6f 6e 66 3e 60 5f 00 43	/blob/master/auth-ldap.conf>`_.C
6940	68 65 63 6b 20 74 68 65 20 42 47 50 20 56 52 46 20 74 61 62 6c 65 20 61 6e 64 20 76 65 72 69 66	heck.the.BGP.VRF.table.and.verif
6960	79 20 69 66 20 74 68 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 61 72 65 20 69 6e 6a 65 63	y.if.the.static.routes.are.injec
6980	74 65 64 20 73 68 6f 77 69 6e 67 20 74 68 65 20 63 6f 72 72 65 63 74 20 6e 65 78 74 2d 68 6f 70	ted.showing.the.correct.next-hop
69a0	20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 43 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 00 43	.information..Check.the.result.C
69c0	68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 20 6f 6e 20 74 68 65 20 76 79 6f 73 31 30 20 72 6f	heck.the.result.on.the.vyos10.ro
69e0	75 74 65 72 3a 00 43 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 2e 00 43 68 65 63 6b 20 74 68	uter:.Check.the.result..Check.th
6a00	65 20 76 65 72 73 69 6f 6e 3a 00 43 68 65 63 6b 69 6e 67 20 74 68 65 20 72 6f 75 74 69 6e 67 20	e.version:.Checking.the.routing.
6a20	74 61 62 6c 65 20 6f 66 20 74 68 65 20 56 52 46 20 73 68 6f 75 6c 64 20 72 65 76 65 61 6c 20 62	table.of.the.VRF.should.reveal.b
6a40	6f 74 68 20 73 74 61 74 69 63 20 61 6e 64 20 63 6f 6e 6e 65 63 74 65 64 20 65 6e 74 72 69 65 73	oth.static.and.connected.entries
6a60	20 61 63 74 69 76 65 2e 20 41 20 50 49 4e 47 20 74 65 73 74 20 62 65 74 77 65 65 6e 20 74 68 65	.active..A.PING.test.between.the
6a80	20 43 6f 72 65 20 61 6e 64 20 72 65 6d 6f 74 65 20 72 6f 75 74 65 72 20 69 73 20 61 20 77 61 79	.Core.and.remote.router.is.a.way
6aa0	20 74 6f 20 76 61 6c 69 64 61 74 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 77 69 74 68 69 6e	.to.validate.connectivity.within
6ac0	20 74 68 65 20 56 52 46 2e 00 43 68 65 63 6b 69 6e 67 20 74 68 72 6f 75 67 68 20 6f 70 2d 6d 6f	.the.VRF..Checking.through.op-mo
6ae0	64 65 20 63 6f 6d 6d 61 6e 64 73 00 43 69 73 63 6f 00 43 69 73 63 6f 20 56 50 43 20 43 72 6f 73	de.commands.Cisco.Cisco.VPC.Cros
6b00	73 63 6f 6e 6e 65 63 74 20 2d 20 50 6f 72 74 73 20 33 39 20 61 6e 64 20 34 30 20 62 6f 6e 64 65	sconnect.-.Ports.39.and.40.bonde
6b20	64 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 73 77 69 74 63 68 00 43 6c 61 6d 70 20 74 68 65 20	d.between.each.switch.Clamp.the.
6b40	56 54 49 27 73 20 4d 53 53 20 74 6f 20 31 33 35 30 20 74 6f 20 61 76 6f 69 64 20 50 4d 54 55 20	VTI's.MSS.to.1350.to.avoid.PMTU.
6b60	62 6c 61 63 6b 68 6f 6c 65 73 2e 00 43 6c 69 65 6e 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e	blackholes..Client.configuration
6b80	00 43 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 70 72 69 76 61 74 65 20 73	.Communication.between.private.s
6ba0	75 62 6e 65 74 73 20 73 68 6f 75 6c 64 20 62 65 20 64 6f 6e 65 20 74 68 72 6f 75 67 68 20 69 70	ubnets.should.be.done.through.ip
6bc0	73 65 63 20 74 75 6e 6e 65 6c 20 77 69 74 68 6f 75 74 20 6e 61 74 2e 00 43 6f 6e 63 6c 75 73 69	sec.tunnel.without.nat..Conclusi
6be0	6f 6e 73 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20	ons.Configuration.Configuration.
6c00	27 4e 4d 50 27 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27 56 79 4f 53 27 00 43 6f 6e 66 69	'NMP'.Configuration.'VyOS'.Confi
6c20	67 75 72 61 74 69 6f 6e 20 27 64 63 73 70 27 20 61 6e 64 20 73 68 61 70 65 72 20 75 73 69 6e 67	guration.'dcsp'.and.shaper.using
6c40	20 51 6f 53 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 42 6c 75 65 70 72 69 6e 74 73 00 43 6f	.QoS.Configuration.Blueprints.Co
6c60	6e 66 69 67 75 72 61 74 69 6f 6e 20 42 6c 75 65 70 72 69 6e 74 73 20 28 61 75 74 6f 74 65 73 74	nfiguration.Blueprints.(autotest
6c80	29 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 56 79 4f 53 20 61 73 20 4f 70 65 6e 56 50 4e 20	).Configuration.VyOS.as.OpenVPN.
6ca0	53 65 72 76 65 72 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 62 61 73 69 63 20 66 69	Server.Configuration.of.basic.fi
6cc0	72 65 77 61 6c 6c 20 69 6e 20 6f 6e 65 20 73 69 74 65 2c 20 69 6e 20 6f 72 64 65 72 20 74 6f 3a	rewall.in.one.site,.in.order.to:
6ce0	00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 00 43	.Configuration:.Configurations.C
6d00	6f 6e 66 69 67 75 72 65 20 57 69 72 65 67 75 61 72 64 00 43 6f 6e 66 69 67 75 72 65 20 61 20 56	onfigure.Wireguard.Configure.a.V
6d20	54 49 20 77 69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 20 61 64 64 72 65 73 73 00 43 6f 6e 66 69	TI.with.a.dummy.IP.address.Confi
6d40	67 75 72 65 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 20 61 6e 64 20 65 6e 61 62 6c 65 20 68	gure.conntrack-sync.and.enable.h
6d60	65 6c 70 65 72 73 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 49 4b 45 20 61 6e 64 20 45 53 50	elpers.Configure.the.IKE.and.ESP
6d80	20 73 65 74 74 69 6e 67 73 20 74 6f 20 6d 61 74 63 68 20 61 20 73 75 62 73 65 74 20 6f 66 20 74	.settings.to.match.a.subset.of.t
6da0	68 6f 73 65 20 73 75 70 70 6f 72 74 65 64 20 62 79 20 41 7a 75 72 65 3a 00 43 6f 6e 66 69 67 75	hose.supported.by.Azure:.Configu
6dc0	72 65 20 74 68 65 20 56 50 4e 20 74 75 6e 6e 65 6c 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20	re.the.VPN.tunnel.Configure.the.
6de0	56 50 4e 20 74 75 6e 6e 65 6c 73 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 57 41 4e 20 6c 6f	VPN.tunnels.Configure.the.WAN.lo
6e00	61 64 20 62 61 6c 61 6e 63 65 72 20 77 69 74 68 20 74 68 65 20 70 61 72 61 6d 65 74 65 72 73 20	ad.balancer.with.the.parameters.
6e20	64 65 73 63 72 69 62 65 64 20 61 62 6f 76 65 3a 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 6c	described.above:.Configure.the.l
6e40	6f 61 64 20 62 61 6c 61 6e 63 65 72 00 43 6f 6e 66 69 67 75 72 65 20 74 77 6f 20 56 54 49 73 20	oad.balancer.Configure.two.VTIs.
6e60	77 69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 20 61 64 64 72 65 73 73 20 65 61 63 68 00 43 6f 6e	with.a.dummy.IP.address.each.Con
6e80	66 69 67 75 72 65 20 79 6f 75 72 20 42 47 50 20 73 65 74 74 69 6e 67 73 00 43 6f 6e 6e 74 72 61	figure.your.BGP.settings.Conntra
6ea0	63 6b 20 68 65 6c 70 65 72 20 6d 6f 64 75 6c 65 73 20 61 72 65 20 65 6e 61 62 6c 65 64 20 62 79	ck.helper.modules.are.enabled.by
6ec0	20 64 65 66 61 75 6c 74 2c 20 62 75 74 20 74 68 65 79 20 74 65 6e 64 20 74 6f 20 63 61 75 73 65	.default,.but.they.tend.to.cause
6ee0	20 6d 6f 72 65 20 70 72 6f 62 6c 65 6d 73 20 74 68 61 6e 20 74 68 65 79 27 72 65 20 77 6f 72 74	.more.problems.than.they're.wort
6f00	68 20 69 6e 20 63 6f 6d 70 6c 65 78 20 6e 65 74 77 6f 72 6b 73 2e 20 59 6f 75 20 63 61 6e 20 64	h.in.complex.networks..You.can.d
6f20	69 73 61 62 6c 65 20 61 6c 6c 20 6f 66 20 74 68 65 6d 20 61 74 20 6f 6e 65 20 67 6f 2e 00 43 6f	isable.all.of.them.at.one.go..Co
6f40	6e 73 69 64 65 72 20 68 6f 77 20 74 6f 20 71 75 69 63 6b 6c 79 20 73 65 74 20 75 70 20 4e 4d 50	nsider.how.to.quickly.set.up.NMP
6f60	20 61 6e 64 20 56 79 4f 53 20 66 6f 72 20 6d 6f 6e 69 74 6f 72 69 6e 67 2e 20 4e 4d 50 20 69 73	.and.VyOS.for.monitoring..NMP.is
6f80	20 6d 75 6c 74 69 2d 76 65 6e 64 6f 72 20 6e 65 74 77 6f 72 6b 20 6d 6f 6e 69 74 6f 72 69 6e 67	.multi-vendor.network.monitoring
6fa0	20 66 72 6f 6d 20 27 53 6f 6c 61 72 57 69 6e 64 73 27 20 62 75 69 6c 74 20 74 6f 20 73 63 61 6c	.from.'SolarWinds'.built.to.scal
6fc0	65 20 61 6e 64 20 65 78 70 61 6e 64 20 77 69 74 68 20 74 68 65 20 6e 65 65 64 73 20 6f 66 20 79	e.and.expand.with.the.needs.of.y
6fe0	6f 75 72 20 6e 65 74 77 6f 72 6b 2e 00 43 6f 72 65 00 43 6f 72 65 20 52 6f 75 74 65 72 00 43 6f	our.network..Core.Core.Router.Co
7000	72 65 20 6e 65 74 77 6f 72 6b 00 43 72 65 61 74 65 20 45 78 70 6f 72 74 20 46 69 6c 74 65 72 00	re.network.Create.Export.Filter.
7020	43 72 65 61 74 65 20 49 6d 70 6f 72 74 20 46 69 6c 74 65 72 00 43 72 65 61 74 65 20 56 52 52 50	Create.Import.Filter.Create.VRRP
7040	20 73 79 6e 63 2d 67 72 6f 75 70 00 43 72 65 61 74 65 20 61 20 4c 41 43 50 20 62 6f 6e 64 20 6f	.sync-group.Create.a.LACP.bond.o
7060	6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 20 57 65 20 61 72 65 20 61 73	n.the.hardware.router..We.are.as
7080	73 75 6d 69 6e 67 20 74 68 61 74 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 61 72 65 20 63 6f	suming.that.eth0.and.eth1.are.co
70a0	6e 6e 65 63 74 65 64 20 74 6f 20 70 6f 72 74 20 38 20 6f 6e 20 62 6f 74 68 20 73 77 69 74 63 68	nnected.to.port.8.on.both.switch
70c0	65 73 2c 20 61 6e 64 20 74 68 61 74 20 74 68 6f 73 65 20 70 6f 72 74 73 20 61 72 65 20 63 6f 6e	es,.and.that.those.ports.are.con
70e0	66 69 67 75 72 65 64 20 61 73 20 61 20 50 6f 72 74 2d 43 68 61 6e 6e 65 6c 2e 00 43 72 65 61 74	figured.as.a.Port-Channel..Creat
7100	65 20 61 6e 20 27 41 6c 6c 20 56 4c 41 4e 73 27 20 6e 65 74 77 6f 72 6b 20 67 72 6f 75 70 2c 20	e.an.'All.VLANs'.network.group,.
7120	74 68 61 74 20 70 61 73 73 65 73 20 61 6c 6c 20 74 72 75 6e 6b 65 64 20 74 72 61 66 66 69 63 20	that.passes.all.trunked.traffic.
7140	74 68 72 6f 75 67 68 20 74 6f 20 74 68 65 20 56 4d 2e 20 41 74 74 61 63 68 20 74 68 69 73 20 6e	through.to.the.VM..Attach.this.n
7160	65 74 77 6f 72 6b 20 67 72 6f 75 70 20 74 6f 20 72 6f 75 74 65 72 31 20 61 73 20 65 74 68 30 2e	etwork.group.to.router1.as.eth0.
7180	00 43 72 65 61 74 65 20 69 6e 74 65 72 66 61 63 65 20 77 65 69 67 68 74 20 62 61 73 65 64 20 63	.Create.interface.weight.based.c
71a0	6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 72 65 61 74 65 20 72 75 6c 65 20 6f 72 64 65 72 20 62	onfiguration.Create.rule.order.b
71c0	61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 72 65 61 74 65 20 72 75 6c 65 20 6f	ased.configuration.Create.rule.o
71e0	72 64 65 72 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 69 74 68 20 6c 6f	rder.based.configuration.with.lo
7200	77 20 73 70 65 65 64 20 73 65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 00 43 72 65 61 74 65 20 73 74	w.speed.secondary.link.Create.st
7220	61 74 69 63 20 72 6f 75 74 65 73 20 74 68 72 6f 75 67 68 20 74 68 65 20 74 77 6f 20 49 53 50 73	atic.routes.through.the.two.ISPs
7240	20 74 6f 77 61 72 64 73 20 74 68 65 20 70 69 6e 67 20 74 61 72 67 65 74 73 20 61 6e 64 20 63 6f	.towards.the.ping.targets.and.co
7260	6d 6d 69 74 20 74 68 65 20 63 68 61 6e 67 65 73 3a 00 43 72 65 61 74 65 20 73 74 61 74 69 63 20	mmit.the.changes:.Create.static.
7280	72 6f 75 74 65 73 20 74 6f 20 70 69 6e 67 20 74 61 72 67 65 74 73 00 43 72 65 61 74 65 20 79 6f	routes.to.ping.targets.Create.yo
72a0	75 72 20 72 6f 75 74 65 72 31 20 56 4d 2e 20 53 6f 20 69 74 20 63 61 6e 20 77 69 74 68 73 74 61	ur.router1.VM..So.it.can.withsta
72c0	6e 64 20 61 20 56 4d 20 48 6f 73 74 20 66 61 69 6c 69 6e 67 20 6f 72 20 61 20 6e 65 74 77 6f 72	nd.a.VM.Host.failing.or.a.networ
72e0	6b 20 6c 69 6e 6b 20 66 61 69 6c 69 6e 67 2e 20 55 73 69 6e 67 20 56 4d 77 61 72 65 2c 20 74 68	k.link.failing..Using.VMware,.th
7300	69 73 20 69 73 20 61 63 68 69 65 76 65 64 20 62 79 20 65 6e 61 62 6c 69 6e 67 20 76 53 70 68 65	is.is.achieved.by.enabling.vSphe
7320	72 65 20 44 52 53 2c 20 76 53 70 68 65 72 65 20 41 76 61 69 6c 61 62 69 6c 69 74 79 2c 20 61 6e	re.DRS,.vSphere.Availability,.an
7340	64 20 63 72 65 61 74 69 6e 67 20 61 20 44 69 73 74 72 69 62 75 74 65 64 20 50 6f 72 74 20 47 72	d.creating.a.Distributed.Port.Gr
7360	6f 75 70 20 74 68 61 74 20 75 73 65 73 20 4c 41 43 50 2e 00 44 48 43 50 20 52 65 6c 61 79 20 74	oup.that.uses.LACP..DHCP.Relay.t
7380	72 6f 75 67 68 20 47 52 45 2d 42 72 69 64 67 65 00 44 48 43 50 2d 52 65 6c 61 79 00 44 48 43 50	rough.GRE-Bridge.DHCP-Relay.DHCP
73a0	2d 53 65 72 76 65 72 00 44 48 43 50 76 36 2d 50 44 20 53 65 74 75 70 00 44 4d 5a 20 63 61 6e 6e	-Server.DHCPv6-PD.Setup.DMZ.cann
73c0	6f 74 20 61 63 63 65 73 73 20 4c 41 4e 20 72 65 73 6f 75 72 63 65 73 2e 00 44 4d 5a 2d 4c 41 4e	ot.access.LAN.resources..DMZ-LAN
73e0	20 70 6f 6c 69 63 79 20 69 73 20 4c 41 4e 2d 44 4d 5a 2e 20 59 6f 75 20 63 61 6e 20 67 65 74 20	.policy.is.LAN-DMZ..You.can.get.
7400	61 20 72 68 79 74 68 6d 20 74 6f 20 69 74 20 77 68 65 6e 20 79 6f 75 20 62 75 69 6c 64 20 6f 75	a.rhythm.to.it.when.you.build.ou
7420	74 20 61 20 62 75 6e 63 68 20 61 74 20 6f 6e 65 20 74 69 6d 65 2e 00 44 65 73 69 67 6e 00 44 65	t.a.bunch.at.one.time..Design.De
7440	76 69 63 65 2d 41 00 44 65 76 69 63 65 2d 42 00 44 75 70 6c 69 63 61 74 65 20 63 6f 6e 66 69 67	vice-A.Device-B.Duplicate.config
7460	75 72 61 74 69 6f 6e 00 44 75 72 69 6e 67 20 61 64 64 72 65 73 73 20 63 6f 6e 66 69 67 75 72 61	uration.During.address.configura
7480	74 69 6f 6e 2c 20 69 6e 20 61 64 64 69 74 69 6f 6e 20 74 6f 20 61 73 73 69 67 6e 69 6e 67 20 61	tion,.in.addition.to.assigning.a
74a0	6e 20 61 64 64 72 65 73 73 20 74 6f 20 74 68 65 20 57 41 4e 20 69 6e 74 65 72 66 61 63 65 2c 20	n.address.to.the.WAN.interface,.
74c0	49 53 50 20 61 6c 73 6f 20 70 72 6f 76 69 64 65 73 20 61 20 70 72 65 66 69 78 20 74 6f 20 61 6c	ISP.also.provides.a.prefix.to.al
74e0	6c 6f 77 20 74 68 65 20 72 6f 75 74 65 72 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 61 64 64 72	low.the.router.to.configure.addr
7500	65 73 73 65 73 20 6f 66 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 6f 74 68 65 72	esses.of.LAN.interface.and.other
7520	20 6e 6f 64 65 73 20 63 6f 6e 6e 65 63 74 69 6e 67 20 74 6f 20 4c 41 4e 2c 20 77 68 69 63 68 20	.nodes.connecting.to.LAN,.which.
7540	69 73 20 63 61 6c 6c 65 64 20 70 72 65 66 69 78 20 64 65 6c 65 67 61 74 69 6f 6e 20 28 50 44 29	is.called.prefix.delegation.(PD)
7560	2e 00 44 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 73 65 64 20 62 65 74 77 65 65 6e 20 43	..Dynamic.routing.used.between.C
7580	45 20 61 6e 64 20 50 45 20 6e 6f 64 65 73 20 61 6e 64 20 65 42 47 50 20 70 65 65 72 69 6e 67 20	E.and.PE.nodes.and.eBGP.peering.
75a0	65 73 74 61 62 6c 69 73 68 65 64 20 66 6f 72 20 74 68 65 20 72 6f 75 74 65 20 65 78 63 68 61 6e	established.for.the.route.exchan
75c0	67 69 6e 67 20 62 65 74 77 65 65 6e 20 74 68 65 6d 2e 20 41 6c 6c 20 72 6f 75 74 65 73 20 72 65	ging.between.them..All.routes.re
75e0	63 65 69 76 65 64 20 62 79 20 50 45 73 20 61 72 65 20 74 68 65 6e 20 65 78 70 6f 72 74 65 64 20	ceived.by.PEs.are.then.exported.
7600	74 6f 20 4c 33 56 50 4e 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 66 72 6f 6d 20 53 70 6f 6b	to.L3VPN.and.delivered.from.Spok
7620	65 20 73 69 74 65 73 20 74 6f 20 48 75 62 20 61 6e 64 20 76 69 73 65 2d 76 65 72 73 61 20 62 61	e.sites.to.Hub.and.vise-versa.ba
7640	73 65 64 20 6f 6e 20 70 72 65 76 69 6f 75 73 6c 79 20 63 6f 6e 66 69 67 75 72 65 64 20 4c 33 56	sed.on.previously.configured.L3V
7660	50 4e 20 70 61 72 61 6d 65 74 65 72 73 2e 00 45 61 63 68 20 69 6e 74 65 72 66 61 63 65 20 69 73	PN.parameters..Each.interface.is
7680	20 61 73 73 69 67 6e 65 64 20 74 6f 20 61 20 7a 6f 6e 65 2e 20 54 68 65 20 69 6e 74 65 72 66 61	.assigned.to.a.zone..The.interfa
76a0	63 65 20 63 61 6e 20 62 65 20 70 68 79 73 69 63 61 6c 20 6f 72 20 76 69 72 74 75 61 6c 20 73 75	ce.can.be.physical.or.virtual.su
76c0	63 68 20 61 73 20 74 75 6e 6e 65 6c 73 20 28 56 50 4e 2c 20 50 50 54 50 2c 20 47 52 45 2c 20 65	ch.as.tunnels.(VPN,.PPTP,.GRE,.e
76e0	74 63 29 20 61 6e 64 20 61 72 65 20 74 72 65 61 74 65 64 20 65 78 61 63 74 6c 79 20 74 68 65 20	tc).and.are.treated.exactly.the.
7700	73 61 6d 65 2e 00 45 61 63 68 20 6c 61 62 20 77 69 6c 6c 20 62 75 69 6c 64 20 61 6e 20 74 65 73	same..Each.lab.will.build.an.tes
7720	74 20 66 72 6f 6d 20 61 6e 20 65 78 74 65 72 6e 61 6c 20 73 63 72 69 70 74 2e 20 54 68 65 20 70	t.from.an.external.script..The.p
7740	61 67 65 20 63 6f 6e 74 65 6e 74 20 77 69 6c 6c 20 67 65 6e 65 72 61 74 65 2c 20 73 6f 20 63 68	age.content.will.generate,.so.ch
7760	61 6e 67 65 73 20 77 69 6c 6c 20 6e 6f 74 20 74 61 6b 65 20 61 6e 20 65 66 66 65 63 74 2e 00 45	anges.will.not.take.an.effect..E
7780	6e 61 62 6c 65 20 49 50 73 65 63 20 6f 6e 20 65 74 68 30 00 45 6e 61 62 6c 65 20 4f 53 50 46 00	nable.IPsec.on.eth0.Enable.OSPF.
77a0	45 6e 61 62 6c 65 20 53 53 48 00 45 6e 61 62 6c 65 20 53 53 48 20 73 6f 20 79 6f 75 20 63 61 6e	Enable.SSH.Enable.SSH.so.you.can
77c0	20 6e 6f 77 20 53 53 48 20 69 6e 74 6f 20 74 68 65 20 72 6f 75 74 65 72 73 2c 20 72 61 74 68 65	.now.SSH.into.the.routers,.rathe
77e0	72 20 74 68 61 6e 20 75 73 69 6e 67 20 74 68 65 20 63 6f 6e 73 6f 6c 65 2e 00 45 6e 61 62 6c 65	r.than.using.the.console..Enable
7800	73 20 72 6f 75 74 65 72 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 73 2e 20 54 68 69 73 20 69 73	s.router.advertisements..This.is
7820	20 61 6e 20 49 50 76 36 20 61 6c 74 65 72 6e 61 74 69 76 65 20 66 6f 72 20 44 48 43 50 20 28 74	.an.IPv6.alternative.for.DHCP.(t
7840	68 6f 75 67 68 20 44 48 43 50 76 36 20 63 61 6e 20 73 74 69 6c 6c 20 62 65 20 75 73 65 64 29 2e	hough.DHCPv6.can.still.be.used).
7860	20 57 69 74 68 20 52 41 73 2c 20 59 6f 75 72 20 64 65 76 69 63 65 73 20 77 69 6c 6c 20 61 75 74	.With.RAs,.Your.devices.will.aut
7880	6f 6d 61 74 69 63 61 6c 6c 79 20 66 69 6e 64 20 74 68 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20	omatically.find.the.information.
78a0	74 68 65 79 20 6e 65 65 64 20 66 6f 72 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 44 4e 53 2e 00 45	they.need.for.routing.and.DNS..E
78c0	76 65 6e 20 69 66 20 74 68 65 20 74 77 6f 20 7a 6f 6e 65 73 20 77 69 6c 6c 20 6e 65 76 65 72 20	ven.if.the.two.zones.will.never.
78e0	63 6f 6d 6d 75 6e 69 63 61 74 65 2c 20 69 74 20 69 73 20 61 20 67 6f 6f 64 20 69 64 65 61 20 74	communicate,.it.is.a.good.idea.t
7900	6f 20 63 72 65 61 74 65 20 74 68 65 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e	o.create.the.zone-pair-direction
7920	20 72 75 6c 65 73 65 74 73 20 61 6e 64 20 73 65 74 20 65 6e 61 62 6c 65 2d 64 65 66 61 75 6c 74	.rulesets.and.set.enable-default
7940	2d 6c 6f 67 2e 20 54 68 69 73 20 77 69 6c 6c 20 61 6c 6c 6f 77 20 79 6f 75 20 74 6f 20 6c 6f 67	-log..This.will.allow.you.to.log
7960	20 61 74 74 65 6d 70 74 73 20 74 6f 20 61 63 63 65 73 73 20 74 68 65 20 6e 65 74 77 6f 72 6b 73	.attempts.to.access.the.networks
7980	2e 20 57 69 74 68 6f 75 74 20 69 74 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 65 76 65 72 20 73 65 65	..Without.it,.you.will.never.see
79a0	20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 61 74 74 65 6d 70 74 73 2e 00 45 76 65 72 79 20	.the.connection.attempts..Every.
79c0	72 6f 75 74 65 72 20 2a 2a 6d 75 73 74 2a 2a 20 68 61 76 65 20 61 20 75 6e 69 71 75 65 20 72 6f	router.must.have.a.unique.ro
79e0	75 74 65 72 2d 69 64 2e 20 54 68 65 20 27 72 65 66 65 72 65 6e 63 65 2d 62 61 6e 64 77 69 64 74	uter-id..The.'reference-bandwidt
7a00	68 27 20 69 73 20 75 73 65 64 20 62 65 63 61 75 73 65 20 77 68 65 6e 20 4f 53 50 46 20 77 61 73	h'.is.used.because.when.OSPF.was
7a20	20 6f 72 69 67 69 6e 61 6c 6c 79 20 64 65 73 69 67 6e 65 64 2c 20 74 68 65 20 69 64 65 61 20 6f	.originally.designed,.the.idea.o
7a40	66 20 61 20 6c 69 6e 6b 20 66 61 73 74 65 72 20 74 68 61 6e 20 31 67 62 69 74 20 77 61 73 20 75	f.a.link.faster.than.1gbit.was.u
7a60	6e 68 65 61 72 64 20 6f 66 2c 20 61 6e 64 20 69 74 20 64 6f 65 73 20 6e 6f 74 20 73 63 61 6c 65	nheard.of,.and.it.does.not.scale
7a80	20 63 6f 72 72 65 63 74 6c 79 2e 00 45 76 65 72 79 20 72 6f 75 74 65 72 20 74 68 61 74 20 70 72	.correctly..Every.router.that.pr
7aa0	6f 76 69 64 65 73 20 61 63 63 65 73 73 20 74 6f 20 61 20 63 75 73 74 6f 6d 65 72 20 6e 65 74 77	ovides.access.to.a.customer.netw
7ac0	6f 72 6b 20 6e 65 65 64 73 20 74 6f 20 68 61 76 65 20 74 68 65 20 63 75 73 74 6f 6d 65 72 20 6e	ork.needs.to.have.the.customer.n
7ae0	65 74 77 6f 72 6b 20 28 56 52 46 20 2b 20 56 4e 49 29 20 63 6f 6e 66 69 67 75 72 65 64 2e 20 54	etwork.(VRF.+.VNI).configured..T
7b00	6f 20 6d 61 6b 65 20 6f 75 72 20 6f 77 6e 20 6c 69 76 65 73 20 65 61 73 69 65 72 2c 20 77 65 20	o.make.our.own.lives.easier,.we.
7b20	75 74 69 6c 69 7a 65 20 74 68 65 20 73 61 6d 65 20 56 52 46 20 74 61 62 6c 65 20 69 64 20 28 6c	utilize.the.same.VRF.table.id.(l
7b40	6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6e 75 6d 62 65 72 29 20 61 6e 64 20 56	ocal.routing.table.number).and.V
7b60	4e 49 20 28 56 69 72 74 75 61 6c 20 4e 65 74 77 6f 72 6b 20 49 64 65 6e 74 69 66 69 65 72 29 20	NI.(Virtual.Network.Identifier).
7b80	70 65 72 20 74 65 6e 61 6e 74 20 6f 6e 20 61 6c 6c 20 6f 75 72 20 72 6f 75 74 65 72 73 2e 00 45	per.tenant.on.all.our.routers..E
7ba0	76 65 72 79 20 74 65 6e 61 6e 74 20 69 73 20 61 73 73 69 67 6e 65 64 20 61 6e 20 69 6e 64 69 76	very.tenant.is.assigned.an.indiv
7bc0	69 64 75 61 6c 20 56 52 46 20 74 68 61 74 20 77 6f 75 6c 64 20 73 75 70 70 6f 72 74 20 6f 76 65	idual.VRF.that.would.support.ove
7be0	72 6c 61 70 70 69 6e 67 20 61 64 64 72 65 73 73 20 72 61 6e 67 65 73 20 66 6f 72 20 63 75 73 74	rlapping.address.ranges.for.cust
7c00	6f 6d 65 72 73 20 62 6c 75 65 2c 20 72 65 64 20 61 6e 64 20 67 72 65 65 6e 2e 20 49 6e 20 6f 75	omers.blue,.red.and.green..In.ou
7c20	72 20 65 78 61 6d 70 6c 65 2c 20 77 65 20 64 6f 20 6e 6f 74 20 75 73 65 20 6f 76 65 72 6c 61 70	r.example,.we.do.not.use.overlap
7c40	70 69 6e 67 20 72 61 6e 67 65 73 20 74 6f 20 6d 61 6b 65 20 69 74 20 65 61 73 69 65 72 20 77 68	ping.ranges.to.make.it.easier.wh
7c60	65 6e 20 73 68 6f 77 69 6e 67 20 64 65 62 75 67 20 63 6f 6d 6d 61 6e 64 73 2e 00 45 78 61 6d 70	en.showing.debug.commands..Examp
7c80	6c 65 00 45 78 61 6d 70 6c 65 20 31 3a 20 44 69 73 74 72 69 62 75 74 69 6e 67 20 6c 6f 61 64 20	le.Example.1:.Distributing.load.
7ca0	65 76 65 6e 6c 79 00 45 78 61 6d 70 6c 65 20 32 3a 20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64	evenly.Example.2:.Failover.based
7cc0	20 6f 6e 20 69 6e 74 65 72 66 61 63 65 20 77 65 69 67 68 74 73 00 45 78 61 6d 70 6c 65 20 33 3a	.on.interface.weights.Example.3:
7ce0	20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 72 75 6c 65 20 6f 72 64 65 72 00 45 78	.Failover.based.on.rule.order.Ex
7d00	61 6d 70 6c 65 20 34 3a 20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 72 75 6c 65 20	ample.4:.Failover.based.on.rule.
7d20	6f 72 64 65 72 20 2d 20 70 72 69 6f 72 69 74 79 20 74 72 61 66 66 69 63 00 45 78 61 6d 70 6c 65	order.-.priority.traffic.Example
7d40	20 35 3a 20 45 78 63 6c 75 64 65 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 6c 6f 61 64 20 62 61	.5:.Exclude.traffic.from.load.ba
7d60	6c 61 6e 63 69 6e 67 00 45 78 61 6d 70 6c 65 20 4e 65 74 77 6f 72 6b 00 46 69 6c 6c 20 60 60 70	lancing.Example.Network.Fill.``p
7d80	61 73 73 77 6f 72 64 60 60 20 61 6e 64 20 60 60 75 73 65 72 60 60 20 77 69 74 68 20 74 68 65 20	assword``.and.``user``.with.the.
7da0	63 72 65 64 65 6e 74 69 61 6c 20 70 72 6f 76 69 64 65 64 20 62 79 20 79 6f 75 72 20 49 53 50 2e	credential.provided.by.your.ISP.
7dc0	00 46 69 6e 61 6c 6c 79 2c 20 64 6f 6e 27 74 20 66 6f 72 67 65 74 20 74 68 65 20 3a 72 65 66 3a	.Finally,.don't.forget.the.:ref:
7de0	60 66 69 72 65 77 61 6c 6c 60 2e 20 54 68 65 20 75 73 61 67 65 20 69 73 20 69 64 65 6e 74 69 63	`firewall`..The.usage.is.identic
7e00	61 6c 2c 20 65 78 63 65 70 74 20 66 6f 72 20 69 6e 73 74 65 61 64 20 6f 66 20 60 73 65 74 20 66	al,.except.for.instead.of.`set.f
7e20	69 72 65 77 61 6c 6c 20 6e 61 6d 65 20 4e 41 4d 45 60 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73	irewall.name.NAME`,.you.would.us
7e40	65 20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d 65 20 4e 41 4d 45 60 2e	e.`set.firewall.ipv6-name.NAME`.
7e60	00 46 69 6e 61 6c 6c 79 2c 20 6c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 74 68 65 20 72 65 61 63	.Finally,.let...s.check.the.reac
7e80	68 61 62 69 6c 69 74 79 20 62 65 74 77 65 65 6e 20 43 45 73 3a 00 46 69 72 65 77 61 6c 6c 00 46	hability.between.CEs:.Firewall.F
7ea0	69 72 65 77 61 6c 6c 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 46 69 72 73 74 20 61 20 43	irewall.Configuration:.First.a.C
7ec0	41 2c 20 61 20 73 69 67 6e 65 64 20 73 65 72 76 65 72 20 61 6e 64 20 63 6c 69 65 6e 74 20 63 65	A,.a.signed.server.and.client.ce
7ee0	66 74 69 66 69 63 61 74 65 20 61 6e 64 20 61 20 44 69 66 66 69 65 2d 48 65 6c 6c 6d 61 6e 20 70	ftificate.and.a.Diffie-Hellman.p
7f00	61 72 61 6d 65 74 65 72 20 6d 75 73 73 74 20 62 65 20 67 65 6e 65 72 61 74 65 64 20 61 6e 64 20	arameter.musst.be.generated.and.
7f20	69 6e 73 74 61 6c 6c 65 64 2e 20 50 6c 65 61 73 65 20 6c 6f 6f 6b 20 3a 72 65 66 3a 60 68 65 72	installed..Please.look.:ref:`her
7f40	65 20 3c 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 70 6b 69 2f 69 6e 64 65 78 3a 70 6b 69 3e 60	e.<configuration/pki/index:pki>`
7f60	20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 46 69 72 73 74 20 70 72 65	.for.more.information..First.pre
7f80	70 61 72 65 20 6f 75 72 20 56 79 4f 53 20 72 6f 75 74 65 72 20 66 6f 72 20 63 6f 6e 6e 65 63 74	pare.our.VyOS.router.for.connect
7fa0	69 6f 6e 20 74 6f 20 4e 4d 50 2e 20 57 65 20 68 61 76 65 20 74 6f 20 73 65 74 20 75 70 20 74 68	ion.to.NMP..We.have.to.set.up.th
7fc0	65 20 53 4e 4d 50 20 70 72 6f 74 6f 63 6f 6c 20 61 6e 64 20 63 6f 6e 6e 65 63 74 69 76 69 74 79	e.SNMP.protocol.and.connectivity
7fe0	20 62 65 74 77 65 65 6e 20 74 68 65 20 72 6f 75 74 65 72 20 61 6e 64 20 4e 4d 50 2e 00 46 69 72	.between.the.router.and.NMP..Fir
8000	73 74 2c 20 77 65 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 60 60 76 79 6f 73 2d 77 61 6e 60	st,.we.configure.the.``vyos-wan`
8020	60 20 69 6e 74 65 72 66 61 63 65 20 74 6f 20 67 65 74 20 61 20 44 48 43 50 20 61 64 64 72 65 73	`.interface.to.get.a.DHCP.addres
8040	73 2e 00 46 69 72 73 74 2c 20 77 65 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 74 72 61 6e 73	s..First,.we.configure.the.trans
8060	70 6f 72 74 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 74 68 65 20 54 75 6e 6e 65 6c 20 69 6e 74 65	port.network.and.the.Tunnel.inte
8080	72 66 61 63 65 2e 00 46 6c 65 78 56 50 4e 20 69 73 20 61 20 6e 65 77 65 72 20 22 73 6f 6c 75 74	rface..FlexVPN.is.a.newer."solut
80a0	69 6f 6e 22 20 66 6f 72 20 64 65 70 6c 6f 79 6d 65 6e 74 20 6f 66 20 56 50 4e 73 20 61 6e 64 20	ion".for.deployment.of.VPNs.and.
80c0	69 74 20 75 74 69 6c 69 7a 65 73 20 49 4b 45 76 32 20 61 73 20 74 68 65 20 6b 65 79 20 65 78 63	it.utilizes.IKEv2.as.the.key.exc
80e0	68 61 6e 67 65 20 70 72 6f 74 6f 63 6f 6c 2e 20 54 68 65 20 72 65 73 75 6c 74 20 69 73 20 61 20	hange.protocol..The.result.is.a.
8100	66 6c 65 78 69 62 6c 65 20 61 6e 64 20 73 63 61 6c 61 62 6c 65 20 56 50 4e 20 73 6f 6c 75 74 69	flexible.and.scalable.VPN.soluti
8120	6f 6e 20 74 68 61 74 20 63 61 6e 20 62 65 20 65 61 73 69 6c 79 20 61 64 61 70 74 65 64 20 74 6f	on.that.can.be.easily.adapted.to
8140	20 66 69 74 20 76 61 72 69 6f 75 73 20 6e 65 74 77 6f 72 6b 20 6e 65 65 64 73 2e 20 49 74 20 63	.fit.various.network.needs..It.c
8160	61 6e 20 61 6c 73 6f 20 73 75 70 70 6f 72 74 20 61 20 76 61 72 69 65 74 79 20 6f 66 20 65 6e 63	an.also.support.a.variety.of.enc
8180	72 79 70 74 69 6f 6e 20 6d 65 74 68 6f 64 73 2c 20 69 6e 63 6c 75 64 69 6e 67 20 41 45 53 20 61	ryption.methods,.including.AES.a
81a0	6e 64 20 33 44 45 53 2e 00 46 6f 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20	nd.3DES..For.connection.between.
81c0	73 69 74 65 73 2c 20 77 65 20 61 72 65 20 72 75 6e 6e 69 6e 67 20 61 20 57 69 72 65 47 75 61 72	sites,.we.are.running.a.WireGuar
81e0	64 20 6c 69 6e 6b 20 74 6f 20 74 77 6f 20 52 45 4d 4f 54 45 20 72 6f 75 74 65 72 73 20 61 6e 64	d.link.to.two.REMOTE.routers.and
8200	20 75 73 69 6e 67 20 4f 53 50 46 20 6f 76 65 72 20 74 68 6f 73 65 20 6c 69 6e 6b 73 20 74 6f 20	.using.OSPF.over.those.links.to.
8220	64 69 73 74 72 69 62 75 74 65 20 72 6f 75 74 65 73 2e 20 54 68 61 74 20 72 65 6d 6f 74 65 20 73	distribute.routes..That.remote.s
8240	69 74 65 20 69 73 20 65 78 70 65 63 74 65 64 20 74 6f 20 73 65 6e 64 20 74 72 61 66 66 69 63 20	ite.is.expected.to.send.traffic.
8260	66 72 6f 6d 20 61 6e 79 74 68 69 6e 67 20 69 6e 20 31 30 2e 32 30 31 2e 30 2e 30 2f 31 36 00 46	from.anything.in.10.201.0.0/16.F
8280	6f 72 20 68 6f 6d 65 20 6e 65 74 77 6f 72 6b 20 75 73 65 72 73 2c 20 6d 6f 73 74 20 6f 66 20 74	or.home.network.users,.most.of.t
82a0	69 6d 65 20 49 53 50 20 6f 6e 6c 79 20 70 72 6f 76 69 64 65 73 20 2f 36 34 20 70 72 65 66 69 78	ime.ISP.only.provides./64.prefix
82c0	2c 20 68 65 6e 63 65 20 74 68 65 72 65 20 69 73 20 6e 6f 20 6e 65 65 64 20 74 6f 20 73 65 74 20	,.hence.there.is.no.need.to.set.
82e0	53 4c 41 20 49 44 20 61 6e 64 20 70 72 65 66 69 78 20 6c 65 6e 67 74 68 2e 20 53 65 65 20 3a 72	SLA.ID.and.prefix.length..See.:r
8300	65 66 3a 60 70 70 70 6f 65 2d 69 6e 74 65 72 66 61 63 65 60 20 66 6f 72 20 6d 6f 72 65 20 69 6e	ef:`pppoe-interface`.for.more.in
8320	66 6f 72 6d 61 74 69 6f 6e 2e 00 46 6f 72 20 72 65 64 75 6e 64 61 6e 74 20 2f 20 61 63 74 69 76	formation..For.redundant./.activ
8340	65 2d 61 63 74 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 73 65 65 20 3a 72 65 66	e-active.configurations.see.:ref
8360	3a 60 65 78 61 6d 70 6c 65 73 2d 61 7a 75 72 65 2d 76 70 6e 2d 64 75 61 6c 2d 62 67 70 60 00 46	:`examples-azure-vpn-dual-bgp`.F
8380	6f 72 20 73 69 6d 70 6c 69 63 69 74 79 2c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 61 6e 64	or.simplicity,.configuration.and
83a0	20 74 65 73 74 73 20 61 72 65 20 64 6f 6e 65 20 6f 6e 6c 79 20 75 73 69 6e 67 20 69 70 76 34 2c	.tests.are.done.only.using.ipv4,
83c0	20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 6e 20 64	.and.firewall.configuration.in.d
83e0	6f 6e 65 20 6f 6e 6c 79 20 6f 6e 20 6f 6e 65 20 72 6f 75 74 65 72 2e 00 46 6f 72 20 74 68 65 20	one.only.on.one.router..For.the.
8400	68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2c 20 72 65 70 6c 61 63 65 20 60 60 65 74 68 30 60	hardware.router,.replace.``eth0`
8420	60 20 77 69 74 68 20 60 60 62 6f 6e 64 30 60 60 2e 20 41 73 20 28 61 6c 6d 6f 73 74 29 20 65 76	`.with.``bond0``..As.(almost).ev
8440	65 72 79 20 63 6f 6d 6d 61 6e 64 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 74 68 69 73 20 77	ery.command.is.identical,.this.w
8460	69 6c 6c 20 6e 6f 74 20 62 65 20 73 70 65 63 69 66 69 65 64 20 75 6e 6c 65 73 73 20 64 69 66 66	ill.not.be.specified.unless.diff
8480	65 72 65 6e 74 20 74 68 69 6e 67 73 20 6e 65 65 64 20 74 6f 20 62 65 20 70 65 72 66 6f 72 6d 65	erent.things.need.to.be.performe
84a0	64 20 6f 6e 20 64 69 66 66 65 72 65 6e 74 20 68 6f 73 74 73 2e 00 46 72 6f 6d 20 44 61 74 61 63	d.on.different.hosts..From.Datac
84c0	65 6e 74 65 72 20 2d 20 54 68 69 73 20 63 6f 6e 6e 65 63 74 73 20 69 6e 74 6f 20 70 6f 72 74 20	enter.-.This.connects.into.port.
84e0	31 20 6f 6e 20 62 6f 74 68 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 69 73 20 74 61 67 67 65	1.on.both.switches,.and.is.tagge
8500	64 20 61 73 20 56 4c 41 4e 20 35 30 00 46 72 6f 6d 20 4d 61 6e 61 67 65 6d 65 6e 74 20 74 6f 20	d.as.VLAN.50.From.Management.to.
8520	4c 41 4e 31 2f 4c 41 4e 32 00 46 72 6f 6d 20 4d 61 6e 61 67 65 6d 65 6e 74 20 74 6f 20 4f 75 74	LAN1/LAN2.From.Management.to.Out
8540	73 69 64 65 20 28 66 61 69 6c 73 20 61 73 20 69 6e 74 65 6e 64 65 64 29 00 46 75 6c 6c 20 63 6f	side.(fails.as.intended).Full.co
8560	6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 61 6c 6c 20 64 65 76 69 63 65 73 00 47 52 45	nfiguration.from.all.devices.GRE
8580	3a 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 4c 33 56 50	:.General.information.about.L3VP
85a0	4e 73 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 63 6f 6e	Ns.can.be.found.in.the.:ref:`con
85c0	66 69 67 75 72 61 74 69 6f 6e 2f 76 72 66 2f 69 6e 64 65 78 3a 4c 33 56 50 4e 20 56 52 46 73 60	figuration/vrf/index:L3VPN.VRFs`
85e0	20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61	.chapter..General.information.ca
8600	6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 63 6f 6e 66 69 67 75 72	n.be.found.in.the.:ref:`configur
8620	61 74 69 6f 6e 2f 76 72 66 2f 69 6e 64 65 78 3a 4c 33 56 50 4e 20 56 52 46 73 60 20 63 68 61 70	ation/vrf/index:L3VPN.VRFs`.chap
8640	74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20	ter..General.information.can.be.
8660	66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 72 6f 75 74 69 6e 67 2d 62 67 70 60 20	found.in.the.:ref:`routing-bgp`.
8680	63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e	chapter..General.information.can
86a0	20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 72 6f 75 74 69 6e 67 2d 6f	.be.found.in.the.:ref:`routing-o
86c0	73 70 66 60 20 63 68 61 70 74 65 72 2e 00 48 61 72 64 77 61 72 65 00 48 61 72 64 77 61 72 65 20	spf`.chapter..Hardware.Hardware.
86e0	52 6f 75 74 65 72 20 2d 20 50 6f 72 74 20 38 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 48	Router.-.Port.8.of.each.switch.H
8700	65 72 65 20 69 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 6e 20 49 50 76 36 20 44 4d 5a	ere.is.an.example.of.an.IPv6.DMZ
8720	2d 57 41 4e 20 72 75 6c 65 73 65 74 2e 00 48 65 72 65 20 69 73 20 74 68 65 20 72 6f 75 74 69 6e	-WAN.ruleset..Here.is.the.routin
8740	67 20 74 61 62 6c 65 73 20 73 68 6f 77 69 6e 67 20 74 68 65 20 4d 50 4c 53 20 73 65 67 6d 65 6e	g.tables.showing.the.MPLS.segmen
8760	74 20 72 6f 75 74 69 6e 67 20 6c 61 62 65 6c 20 6f 70 65 72 61 74 69 6f 6e 73 3a 00 48 65 72 65	t.routing.label.operations:.Here
8780	20 77 65 20 73 65 74 20 74 68 65 20 70 72 65 66 69 78 20 74 6f 20 60 60 3a 3a 2f 36 34 60 60 20	.we.set.the.prefix.to.``::/64``.
87a0	74 6f 20 69 6e 64 69 63 61 74 65 20 61 64 76 65 72 74 69 73 69 6e 67 20 61 6e 79 20 2f 36 34 20	to.indicate.advertising.any./64.
87c0	70 72 65 66 69 78 20 74 68 65 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69	prefix.the.LAN.interface.is.assi
87e0	67 6e 65 64 2e 00 48 65 72 65 20 77 65 20 75 73 65 20 74 68 65 20 70 72 65 66 69 78 20 74 6f 20	gned..Here.we.use.the.prefix.to.
8800	63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 61 64 64 72 65 73 73 20 6f 66 20 65 74 68 31 20 28 4c	configure.the.address.of.eth1.(L
8820	41 4e 29 20 74 6f 20 66 6f 72 6d 20 60 60 3c 70 72 65 66 69 78 3e 3a 3a 36 34 60 60 2c 20 77 68	AN).to.form.``<prefix>::64``,.wh
8840	65 72 65 20 60 60 36 34 60 60 20 69 73 20 68 65 78 61 64 65 63 69 6d 61 6c 20 6f 66 20 61 64 64	ere.``64``.is.hexadecimal.of.add
8860	72 65 73 73 20 31 30 30 2e 00 48 69 67 68 20 41 76 61 69 6c 61 62 69 6c 69 74 79 20 57 61 6c 6b	ress.100..High.Availability.Walk
8880	74 68 72 6f 75 67 68 00 48 6f 77 20 64 6f 65 73 20 69 74 20 77 6f 72 6b 3f 00 48 75 62 00 49 20	through.How.does.it.work?.Hub.I.
88a0	63 68 6f 73 65 20 74 6f 20 72 75 6e 20 4f 53 50 46 20 61 73 20 74 68 65 20 49 47 50 20 28 49 6e	chose.to.run.OSPF.as.the.IGP.(In
88c0	74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f 74 6f 63 6f 6c 29 2e 20 41 6c 6c 20 72 65	terior.Gateway.Protocol)..All.re
88e0	71 75 69 72 65 64 20 42 47 50 20 73 65 73 73 69 6f 6e 73 20 61 72 65 20 65 73 74 61 62 6c 69 73	quired.BGP.sessions.are.establis
8900	68 65 64 20 76 69 61 20 61 20 64 75 6d 6d 79 20 69 6e 74 65 72 66 61 63 65 73 20 28 73 69 6d 69	hed.via.a.dummy.interfaces.(simi
8920	6c 61 72 20 74 6f 20 74 68 65 20 6c 6f 6f 70 62 61 63 6b 2c 20 62 75 74 20 69 6e 20 4c 69 6e 75	lar.to.the.loopback,.but.in.Linu
8940	78 20 79 6f 75 20 63 61 6e 20 68 61 76 65 20 6f 6e 6c 79 20 6f 6e 65 20 6c 6f 6f 70 62 61 63 6b	x.you.can.have.only.one.loopback
8960	2c 20 77 68 69 6c 65 20 74 68 65 72 65 20 63 61 6e 20 62 65 20 6d 61 6e 79 20 64 75 6d 6d 79 20	,.while.there.can.be.many.dummy.
8980	69 6e 74 65 72 66 61 63 65 73 29 20 6f 6e 20 74 68 65 20 50 45 20 72 6f 75 74 65 72 73 2e 20 49	interfaces).on.the.PE.routers..I
89a0	6e 20 63 61 73 65 20 6f 66 20 61 20 6c 69 6e 6b 20 66 61 69 6c 75 72 65 2c 20 74 72 61 66 66 69	n.case.of.a.link.failure,.traffi
89c0	63 20 69 73 20 64 69 76 65 72 74 65 64 20 69 6e 20 74 68 65 20 6f 74 68 65 72 20 64 69 72 65 63	c.is.diverted.in.the.other.direc
89e0	74 69 6f 6e 20 69 6e 20 74 68 69 73 20 74 72 69 61 6e 67 6c 65 20 73 65 74 75 70 20 61 6e 64 20	tion.in.this.triangle.setup.and.
8a00	42 47 50 20 73 65 73 73 69 6f 6e 73 20 77 69 6c 6c 20 6e 6f 74 20 67 6f 20 64 6f 77 6e 2e 20 4f	BGP.sessions.will.not.go.down..O
8a20	6e 65 20 63 6f 75 6c 64 20 65 76 65 6e 20 65 6e 61 62 6c 65 20 42 46 44 20 28 42 69 64 69 72 65	ne.could.even.enable.BFD.(Bidire
8a40	63 74 69 6f 6e 61 6c 20 46 6f 72 77 61 72 64 69 6e 67 20 44 65 74 65 63 74 69 6f 6e 29 20 6f 6e	ctional.Forwarding.Detection).on
8a60	20 74 68 65 20 6c 69 6e 6b 73 20 66 6f 72 20 61 20 66 61 73 74 65 72 20 66 61 69 6c 6f 76 65 72	.the.links.for.a.faster.failover
8a80	20 61 6e 64 20 72 65 73 69 6c 69 65 6e 63 65 20 69 6e 20 74 68 65 20 6e 65 74 77 6f 72 6b 2e 00	.and.resilience.in.the.network..
8aa0	49 20 63 72 65 61 74 65 2f 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65	I.create/configure.the.interface
8ac0	73 20 66 69 72 73 74 2e 20 42 75 69 6c 64 20 6f 75 74 20 74 68 65 20 72 75 6c 65 73 65 74 73 20	s.first..Build.out.the.rulesets.
8ae0	66 6f 72 20 65 61 63 68 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 77 68 69	for.each.zone-pair-direction.whi
8b00	63 68 20 69 6e 63 6c 75 64 65 73 20 61 74 20 6c 65 61 73 74 20 74 68 65 20 74 68 72 65 65 20 73	ch.includes.at.least.the.three.s
8b20	74 61 74 65 20 72 75 6c 65 73 2e 20 54 68 65 6e 20 49 20 73 65 74 75 70 20 74 68 65 20 7a 6f 6e	tate.rules..Then.I.setup.the.zon
8b40	65 2d 70 6f 6c 69 63 69 65 73 2e 00 49 20 6e 61 6d 65 20 72 75 6c 65 20 73 65 74 73 20 74 6f 20	e-policies..I.name.rule.sets.to.
8b60	69 6e 64 69 63 61 74 65 20 77 68 69 63 68 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69	indicate.which.zone-pair-directi
8b80	6f 6e 20 74 68 65 79 20 72 65 70 72 65 73 65 6e 74 2e 20 65 67 2e 20 5a 6f 6e 65 41 2d 5a 6f 6e	on.they.represent..eg..ZoneA-Zon
8ba0	65 42 20 6f 72 20 5a 6f 6e 65 42 2d 5a 6f 6e 65 41 2e 20 4c 41 4e 2d 44 4d 5a 2c 20 44 4d 5a 2d	eB.or.ZoneB-ZoneA..LAN-DMZ,.DMZ-
8bc0	4c 41 4e 2e 00 49 20 6e 61 6d 65 64 20 74 68 65 20 63 75 73 74 6f 6d 65 72 73 20 62 6c 75 65 2c	LAN..I.named.the.customers.blue,
8be0	20 72 65 64 20 61 6e 64 20 67 72 65 65 6e 20 77 68 69 63 68 20 69 73 20 63 6f 6d 6d 6f 6e 20 70	.red.and.green.which.is.common.p
8c00	72 61 63 74 69 63 65 20 69 6e 20 56 52 46 20 28 56 69 72 74 75 61 6c 20 52 6f 75 74 69 6e 67 20	ractice.in.VRF.(Virtual.Routing.
8c20	61 6e 64 20 46 6f 72 77 61 72 64 69 6e 67 29 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 73 63	and.Forwarding).documentation.sc
8c40	65 6e 61 72 69 6f 73 2e 00 49 20 73 70 75 6e 20 75 70 20 61 20 6e 65 77 20 6c 61 62 20 69 6e 20	enarios..I.spun.up.a.new.lab.in.
8c60	45 56 45 2d 4e 47 2c 20 77 68 69 63 68 20 72 65 70 72 65 73 65 6e 74 73 20 74 68 69 73 20 61 73	EVE-NG,.which.represents.this.as
8c80	20 74 68 65 20 22 46 6f 6f 20 42 61 72 20 2d 20 53 65 72 76 69 63 65 20 50 72 6f 76 69 64 65 72	.the."Foo.Bar.-.Service.Provider
8ca0	20 49 6e 63 2e 22 20 74 68 61 74 20 68 61 73 20 33 20 70 6f 69 6e 74 73 20 6f 66 20 70 72 65 73	.Inc.".that.has.3.points.of.pres
8cc0	65 6e 63 65 20 28 50 6f 50 29 20 69 6e 20 72 61 6e 64 6f 6d 20 64 61 74 61 63 65 6e 74 65 72 73	ence.(PoP).in.random.datacenters
8ce0	2f 73 69 74 65 73 20 6e 61 6d 65 64 20 50 45 31 2c 20 50 45 32 2c 20 61 6e 64 20 50 45 33 2e 20	/sites.named.PE1,.PE2,.and.PE3..
8d00	45 61 63 68 20 50 6f 50 20 61 67 67 72 65 67 61 74 65 73 20 61 74 20 6c 65 61 73 74 20 74 77 6f	Each.PoP.aggregates.at.least.two
8d20	20 63 75 73 74 6f 6d 65 72 73 2e 00 49 50 20 53 63 68 65 6d 61 00 49 50 2f 4d 50 4c 53 20 74 65	.customers..IP.Schema.IP/MPLS.te
8d40	63 68 6e 6f 6c 6f 67 79 20 69 73 20 77 69 64 65 6c 79 20 75 73 65 64 20 62 79 20 76 61 72 69 6f	chnology.is.widely.used.by.vario
8d60	75 73 20 73 65 72 76 69 63 65 20 70 72 6f 76 69 64 65 72 73 20 61 6e 64 20 6c 61 72 67 65 20 65	us.service.providers.and.large.e
8d80	6e 74 65 72 70 72 69 73 65 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 61 63 68 69 65 76 65 20 62	nterprises.in.order.to.achieve.b
8da0	65 74 74 65 72 20 6e 65 74 77 6f 72 6b 20 73 63 61 6c 61 62 69 6c 69 74 79 2c 20 6d 61 6e 61 67	etter.network.scalability,.manag
8dc0	65 61 62 69 6c 69 74 79 20 61 6e 64 20 66 6c 65 78 69 62 69 6c 69 74 79 2e 20 49 74 20 61 6c 73	eability.and.flexibility..It.als
8de0	6f 20 70 72 6f 76 69 64 65 73 20 74 68 65 20 70 6f 73 73 69 62 69 6c 69 74 79 20 74 6f 20 64 65	o.provides.the.possibility.to.de
8e00	6c 69 76 65 72 20 64 69 66 66 65 72 65 6e 74 20 73 65 72 76 69 63 65 73 20 66 6f 72 20 74 68 65	liver.different.services.for.the
8e20	20 63 75 73 74 6f 6d 65 72 73 20 69 6e 20 61 20 73 65 61 6d 6c 65 73 73 20 6d 61 6e 6e 65 72 2e	.customers.in.a.seamless.manner.
8e40	20 4c 61 79 65 72 20 33 20 56 50 4e 20 28 4c 33 56 50 4e 29 20 69 73 20 61 20 74 79 70 65 20 6f	.Layer.3.VPN.(L3VPN).is.a.type.o
8e60	66 20 56 50 4e 20 6d 6f 64 65 20 74 68 61 74 20 69 73 20 62 75 69 6c 74 20 61 6e 64 20 64 65 6c	f.VPN.mode.that.is.built.and.del
8e80	69 76 65 72 65 64 20 74 68 72 6f 75 67 68 20 4f 53 49 20 6c 61 79 65 72 20 33 20 6e 65 74 77 6f	ivered.through.OSI.layer.3.netwo
8ea0	72 6b 69 6e 67 20 74 65 63 68 6e 6f 6c 6f 67 69 65 73 2e 20 4f 66 74 65 6e 20 74 68 65 20 62 6f	rking.technologies..Often.the.bo
8ec0	72 64 65 72 20 67 61 74 65 77 61 79 20 70 72 6f 74 6f 63 6f 6c 20 28 42 47 50 29 20 69 73 20 75	rder.gateway.protocol.(BGP).is.u
8ee0	73 65 64 20 74 6f 20 73 65 6e 64 20 61 6e 64 20 72 65 63 65 69 76 65 20 56 50 4e 2d 72 65 6c 61	sed.to.send.and.receive.VPN-rela
8f00	74 65 64 20 64 61 74 61 20 74 68 61 74 20 69 73 20 72 65 73 70 6f 6e 73 69 62 6c 65 20 66 6f 72	ted.data.that.is.responsible.for
8f20	20 74 68 65 20 63 6f 6e 74 72 6f 6c 20 70 6c 61 6e 65 2e 20 4c 33 56 50 4e 20 75 74 69 6c 69 7a	.the.control.plane..L3VPN.utiliz
8f40	65 73 20 76 69 72 74 75 61 6c 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 66 6f 72 77 61 72 64 69 6e	es.virtual.routing.and.forwardin
8f60	67 20 28 56 52 46 29 20 74 65 63 68 6e 69 71 75 65 73 20 74 6f 20 72 65 63 65 69 76 65 20 61 6e	g.(VRF).techniques.to.receive.an
8f80	64 20 64 65 6c 69 76 65 72 20 75 73 65 72 20 64 61 74 61 20 61 73 20 77 65 6c 6c 20 61 73 20 73	d.deliver.user.data.as.well.as.s
8fa0	65 70 61 72 61 74 65 20 64 61 74 61 20 70 6c 61 6e 65 73 20 6f 66 20 74 68 65 20 65 6e 64 2d 75	eparate.data.planes.of.the.end-u
8fc0	73 65 72 73 2e 20 49 74 20 69 73 20 62 75 69 6c 74 20 75 73 69 6e 67 20 61 20 63 6f 6d 62 69 6e	sers..It.is.built.using.a.combin
8fe0	61 74 69 6f 6e 20 6f 66 20 49 50 2d 20 61 6e 64 20 4d 50 4c 53 2d 62 61 73 65 64 20 69 6e 66 6f	ation.of.IP-.and.MPLS-based.info
9000	72 6d 61 74 69 6f 6e 2e 20 47 65 6e 65 72 61 6c 6c 79 2c 20 4c 33 56 50 4e 73 20 61 72 65 20 75	rmation..Generally,.L3VPNs.are.u
9020	73 65 64 20 74 6f 20 73 65 6e 64 20 64 61 74 61 20 6f 6e 20 62 61 63 6b 2d 65 6e 64 20 56 50 4e	sed.to.send.data.on.back-end.VPN
9040	20 69 6e 66 72 61 73 74 72 75 63 74 75 72 65 73 2c 20 73 75 63 68 20 61 73 20 66 6f 72 20 56 50	.infrastructures,.such.as.for.VP
9060	4e 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 62 65 74 77 65 65 6e 20 64 61 74 61 20 63 65 6e 74 72	N.connections.between.data.centr
9080	65 73 2c 20 48 51 73 20 61 6e 64 20 62 72 61 6e 63 68 65 73 2e 00 49 50 53 65 63 20 63 6f 6e 66	es,.HQs.and.branches..IPSec.conf
90a0	69 67 75 72 61 74 69 6f 6e 3a 00 49 50 73 65 63 3a 00 49 50 76 34 20 4e 65 74 77 6f 72 6b 00 49	iguration:.IPsec:.IPv4.Network.I
90c0	50 76 36 20 4e 65 74 77 6f 72 6b 00 49 50 76 36 20 54 75 6e 6e 65 6c 00 49 53 49 53 2d 53 52 20	Pv6.Network.IPv6.Tunnel.ISIS-SR.
90e0	65 78 61 6d 70 6c 65 20 6e 65 74 77 6f 72 6b 00 49 53 49 53 2d 53 52 20 6e 65 74 77 6f 72 6b 00	example.network.ISIS-SR.network.
9100	49 53 50 00 49 66 20 74 68 65 20 63 6c 69 65 6e 74 20 69 73 20 63 6f 6e 6e 65 63 74 20 73 75 63	ISP.If.the.client.is.connect.suc
9120	63 65 73 73 66 75 6c 6c 79 20 79 6f 75 20 63 61 6e 20 63 68 65 63 6b 20 74 68 65 20 6f 75 74 70	cessfully.you.can.check.the.outp
9140	75 74 20 77 69 74 68 00 49 66 20 77 65 20 6e 65 65 64 20 74 6f 20 72 65 74 72 69 65 76 65 20 69	ut.with.If.we.need.to.retrieve.i
9160	6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 61 20 73 70 65 63 69 66 69 63 20 68 6f 73 74	nformation.about.a.specific.host
9180	2f 6e 65 74 77 6f 72 6b 20 69 6e 73 69 64 65 20 74 68 65 20 45 56 50 4e 20 6e 65 74 77 6f 72 6b	/network.inside.the.EVPN.network
91a0	20 77 65 20 6e 65 65 64 20 74 6f 20 72 75 6e 00 49 66 20 79 6f 75 20 61 72 65 20 66 6f 6c 6c 6f	.we.need.to.run.If.you.are.follo
91c0	77 69 6e 67 20 74 68 72 6f 75 67 68 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 2c 20 69 74 20 69	wing.through.this.document,.it.i
91e0	73 20 73 74 72 6f 6e 67 6c 79 20 73 75 67 67 65 73 74 65 64 20 79 6f 75 20 63 6f 6d 70 6c 65 74	s.strongly.suggested.you.complet
9200	65 20 74 68 65 20 65 6e 74 69 72 65 20 64 6f 63 75 6d 65 6e 74 2c 20 4f 4e 4c 59 20 64 6f 69 6e	e.the.entire.document,.ONLY.doin
9220	67 20 74 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 31 20 73 74 65 70 73 2c 20 61 6e 64	g.the.virtual.router1.steps,.and
9240	20 74 68 65 6e 20 63 6f 6d 65 20 62 61 63 6b 20 61 6e 64 20 77 61 6c 6b 20 74 68 72 6f 75 67 68	.then.come.back.and.walk.through
9260	20 69 74 20 41 47 41 49 4e 20 6f 6e 20 74 68 65 20 62 61 63 6b 75 70 20 68 61 72 64 77 61 72 65	.it.AGAIN.on.the.backup.hardware
9280	20 72 6f 75 74 65 72 2e 00 49 66 20 79 6f 75 20 61 72 65 20 75 73 69 6e 67 20 61 20 49 50 76 36	.router..If.you.are.using.a.IPv6
92a0	20 74 75 6e 6e 65 6c 20 66 72 6f 6d 20 48 45 2e 6e 65 74 20 6f 72 20 73 6f 6d 65 6f 6e 65 20 65	.tunnel.from.HE.net.or.someone.e
92c0	6c 73 65 2c 20 74 68 65 20 62 61 73 69 73 20 69 73 20 74 68 65 20 73 61 6d 65 20 65 78 63 65 70	lse,.the.basis.is.the.same.excep
92e0	74 20 79 6f 75 20 68 61 76 65 20 74 77 6f 20 57 41 4e 20 69 6e 74 65 72 66 61 63 65 73 2e 20 4f	t.you.have.two.WAN.interfaces..O
9300	6e 65 20 66 6f 72 20 76 34 20 61 6e 64 20 6f 6e 65 20 66 6f 72 20 76 36 2e 00 49 66 20 79 6f 75	ne.for.v4.and.one.for.v6..If.you
9320	20 75 73 65 20 61 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 69 74 73 65 6c 66 2c 20	.use.a.routing.protocol.itself,.
9340	79 6f 75 20 73 6f 6c 76 65 20 74 77 6f 20 70 72 6f 62 6c 65 6d 73 20 61 74 20 6f 6e 63 65 2e 20	you.solve.two.problems.at.once..
9360	54 68 69 73 20 69 73 20 6f 6e 6c 79 20 61 20 62 61 73 69 63 20 65 78 61 6d 70 6c 65 2c 20 61 6e	This.is.only.a.basic.example,.an
9380	64 20 69 73 20 70 72 6f 76 69 64 65 64 20 61 73 20 61 20 73 74 61 72 74 69 6e 67 20 70 6f 69 6e	d.is.provided.as.a.starting.poin
93a0	74 2e 00 49 66 20 79 6f 75 72 20 63 6f 6d 70 75 74 65 72 20 69 73 20 6f 6e 20 74 68 65 20 4c 41	t..If.your.computer.is.on.the.LA
93c0	4e 20 61 6e 64 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 53 53 48 20 69 6e 74 6f 20 79 6f 75 72 20	N.and.you.need.to.SSH.into.your.
93e0	56 79 4f 53 20 62 6f 78 2c 20 79 6f 75 20 77 6f 75 6c 64 20 6e 65 65 64 20 61 20 72 75 6c 65 20	VyOS.box,.you.would.need.a.rule.
9400	74 6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e 20 74 68 65 20 4c 41 4e 2d 4c 6f 63 61 6c 20 72 75 6c	to.allow.it.in.the.LAN-Local.rul
9420	65 73 65 74 2e 20 49 66 20 79 6f 75 20 77 61 6e 74 20 74 6f 20 61 63 63 65 73 73 20 61 20 77 65	eset..If.you.want.to.access.a.we
9440	62 70 61 67 65 20 66 72 6f 6d 20 79 6f 75 72 20 56 79 4f 53 20 62 6f 78 2c 20 79 6f 75 20 6e 65	bpage.from.your.VyOS.box,.you.ne
9460	65 64 20 61 20 72 75 6c 65 20 74 6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e 20 74 68 65 20 4c 6f 63	ed.a.rule.to.allow.it.in.the.Loc
9480	61 6c 2d 4c 41 4e 20 72 75 6c 65 73 65 74 2e 00 49 6d 61 67 65 20 6e 61 6d 65 3a 20 76 79 6f 73	al-LAN.ruleset..Image.name:.vyos
94a0	2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 2d 61 6d 64 36 34 2e	-1.4-rolling-202110310317-amd64.
94c0	69 73 6f 00 49 6e 20 3a 76 79 74 61 73 6b 3a 60 54 32 31 39 39 60 20 74 68 65 20 73 79 6e 74 61	iso.In.:vytask:`T2199`.the.synta
94e0	78 20 6f 66 20 74 68 65 20 7a 6f 6e 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 61 73 20	x.of.the.zone.configuration.was.
9500	63 68 61 6e 67 65 64 2e 20 54 68 65 20 7a 6f 6e 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20	changed..The.zone.configuration.
9520	6d 6f 76 65 64 20 66 72 6f 6d 20 60 60 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 7a 6f 6e 65 20 3c 6e	moved.from.``zone-policy.zone.<n
9540	61 6d 65 3e 60 60 20 74 6f 20 60 60 66 69 72 65 77 61 6c 6c 20 7a 6f 6e 65 20 3c 6e 61 6d 65 3e	ame>``.to.``firewall.zone.<name>
9560	60 60 2e 00 49 6e 20 56 79 4f 53 20 79 6f 75 20 6d 75 73 74 20 68 61 76 65 20 74 68 65 20 69 6e	``..In.VyOS.you.must.have.the.in
9580	74 65 72 66 61 63 65 73 20 63 72 65 61 74 65 64 20 62 65 66 6f 72 65 20 79 6f 75 20 63 61 6e 20	terfaces.created.before.you.can.
95a0	61 70 70 6c 79 20 69 74 20 74 6f 20 74 68 65 20 7a 6f 6e 65 20 61 6e 64 20 74 68 65 20 72 75 6c	apply.it.to.the.zone.and.the.rul
95c0	65 73 65 74 73 20 6d 75 73 74 20 62 65 20 63 72 65 61 74 65 64 20 70 72 69 6f 72 20 74 6f 20 61	esets.must.be.created.prior.to.a
95e0	70 70 6c 79 69 6e 67 20 69 74 20 74 6f 20 61 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 2e 00 49 6e 20	pplying.it.to.a.zone-policy..In.
9600	56 79 4f 53 2c 20 79 6f 75 20 68 61 76 65 20 74 6f 20 68 61 76 65 20 75 6e 69 71 75 65 20 52 75	VyOS,.you.have.to.have.unique.Ru
9620	6c 65 73 65 74 20 6e 61 6d 65 73 2e 20 49 6e 20 74 68 65 20 65 76 65 6e 74 20 6f 66 20 6f 76 65	leset.names..In.the.event.of.ove
9640	72 6c 61 70 2c 20 49 20 61 64 64 20 61 20 22 2d 36 22 20 74 6f 20 74 68 65 20 65 6e 64 20 6f 66	rlap,.I.add.a."-6".to.the.end.of
9660	20 76 36 20 72 75 6c 65 73 65 74 73 2e 20 65 67 2e 20 4c 41 4e 2d 44 4d 5a 2c 20 4c 41 4e 2d 44	.v6.rulesets..eg..LAN-DMZ,.LAN-D
9680	4d 5a 2d 36 2e 20 54 68 69 73 20 61 6c 6c 6f 77 73 20 66 6f 72 20 65 61 63 68 20 61 75 74 6f 2d	MZ-6..This.allows.for.each.auto-
96a0	63 6f 6d 70 6c 65 74 69 6f 6e 20 61 6e 64 20 75 6e 69 71 75 65 6e 65 73 73 2e 00 49 6e 20 72 75	completion.and.uniqueness..In.ru
96c0	6c 65 73 2c 20 69 74 20 69 73 20 67 6f 6f 64 20 74 6f 20 6b 65 65 70 20 74 68 65 6d 20 6e 61 6d	les,.it.is.good.to.keep.them.nam
96e0	65 64 20 63 6f 6e 73 69 73 74 65 6e 74 6c 79 2e 20 41 73 20 74 68 65 20 6e 75 6d 62 65 72 20 6f	ed.consistently..As.the.number.o
9700	66 20 72 75 6c 65 73 20 79 6f 75 20 68 61 76 65 20 67 72 6f 77 73 2c 20 74 68 65 20 6d 6f 72 65	f.rules.you.have.grows,.the.more
9720	20 63 6f 6e 73 69 73 74 65 6e 63 79 20 79 6f 75 20 68 61 76 65 2c 20 74 68 65 20 65 61 73 69 65	.consistency.you.have,.the.easie
9740	72 20 79 6f 75 72 20 6c 69 66 65 20 77 69 6c 6c 20 62 65 2e 00 49 6e 20 74 68 65 20 61 62 6f 76	r.your.life.will.be..In.the.abov
9760	65 20 65 78 61 6d 70 6c 65 73 2c 20 31 2c 32 2c 66 66 66 66 20 61 72 65 20 61 6c 6c 20 63 68 6f	e.examples,.1,2,ffff.are.all.cho
9780	73 65 6e 20 62 79 20 79 6f 75 2e 20 59 6f 75 20 63 61 6e 20 75 73 65 20 31 2d 66 66 66 66 20 28	sen.by.you..You.can.use.1-ffff.(
97a0	31 2d 36 35 35 33 35 29 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 6f 6e 20 74 68 65 20 72 6f 75	1-65535)..In.the.end,.on.the.rou
97c0	74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 77 65 20 77 69 6c 6c 20 73 65 74 20 6f 75 74 67	ter....VyOS2....we.will.set.outg
97e0	6f 69 6e 67 20 62 61 6e 64 77 69 64 74 68 20 6c 69 6d 69 74 73 20 62 65 74 77 65 65 6e 20 74 68	oing.bandwidth.limits.between.th
9800	65 20 e2 80 9c 56 79 4f 53 33 e2 80 9d 20 61 6e 64 20 e2 80 9c 56 79 4f 53 31 e2 80 9d 20 72 6f	e....VyOS3....and....VyOS1....ro
9820	75 74 65 72 73 2e 20 4c 65 74 27 73 20 73 65 74 20 61 20 6c 69 6d 69 74 20 66 6f 72 20 49 50 20	uters..Let's.set.a.limit.for.IP.
9840	31 30 2e 31 2e 31 2e 31 30 30 20 3d 20 35 20 4d 62 70 73 28 54 78 29 2e 20 57 65 20 77 69 6c 6c	10.1.1.100.=.5.Mbps(Tx)..We.will
9860	20 63 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 20 6f 66 20 74 68 65 20 77 6f 72 6b 20 77 69	.check.the.result.of.the.work.wi
9880	74 68 20 74 68 65 20 68 65 6c 70 20 6f 66 20 74 68 65 20 e2 80 9c 69 50 65 72 66 e2 80 9d 20 75	th.the.help.of.the....iPerf....u
98a0	74 69 6c 69 74 79 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 77 65 20 77 69 6c 6c 20 63 6f 6e 66	tility..In.the.end,.we.will.conf
98c0	69 67 75 72 65 20 74 68 65 20 74 72 61 66 66 69 63 20 73 68 61 70 65 72 20 75 73 69 6e 67 20 51	igure.the.traffic.shaper.using.Q
98e0	6f 53 20 6d 65 63 68 61 6e 69 73 6d 73 20 6f 6e 20 74 68 65 20 e2 80 9c 56 59 4f 53 32 e2 80 9d	oS.mechanisms.on.the....VYOS2...
9900	20 72 6f 75 74 65 72 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 79 6f 75 20 77 69 6c 6c 20 65 6e	.router..In.the.end,.you.will.en
9920	64 20 75 70 20 77 69 74 68 20 73 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 20 74 68 69 73 20 63 6f	d.up.with.something.like.this.co
9940	6e 66 69 67 2e 20 49 20 74 6f 6f 6b 20 6f 75 74 20 65 76 65 72 79 74 68 69 6e 67 20 62 75 74 20	nfig..I.took.out.everything.but.
9960	74 68 65 20 46 69 72 65 77 61 6c 6c 2c 20 49 6e 74 65 72 66 61 63 65 73 2c 20 61 6e 64 20 7a 6f	the.Firewall,.Interfaces,.and.zo
9980	6e 65 2d 70 6f 6c 69 63 79 20 73 65 63 74 69 6f 6e 73 2e 20 49 74 20 69 73 20 6c 6f 6e 67 20 65	ne-policy.sections..It.is.long.e
99a0	6e 6f 75 67 68 20 61 73 20 69 73 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20 79 6f 75 27 6c 6c 20	nough.as.is..In.the.end,.you'll.
99c0	67 65 74 20 61 20 70 6f 77 65 72 66 75 6c 20 69 6e 73 74 72 75 6d 65 6e 74 20 66 6f 72 20 6d 6f	get.a.powerful.instrument.for.mo
99e0	6e 69 74 6f 72 69 6e 67 20 74 68 65 20 56 79 4f 53 20 73 79 73 74 65 6d 73 2e 00 49 6e 20 74 68	nitoring.the.VyOS.systems..In.th
9a00	65 20 6e 65 78 74 20 63 68 61 70 74 65 72 20 6f 66 20 74 68 65 20 65 78 61 6d 70 6c 65 2c 20 77	e.next.chapter.of.the.example,.w
9a20	65 27 6c 6c 20 75 73 65 20 74 68 65 20 41 6e 73 69 62 6c 65 20 77 69 74 68 20 6a 69 6e 6a 61 32	e'll.use.the.Ansible.with.jinja2
9a40	20 74 65 6d 70 6c 61 74 65 73 20 61 6e 64 20 76 61 72 69 61 62 6c 65 73 2e 00 49 6e 20 74 68 69	.templates.and.variables..In.thi
9a60	73 20 63 61 73 65 2c 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 20 68 61 73 20	s.case,.the.hardware.router.has.
9a80	61 20 64 69 66 66 65 72 65 6e 74 20 49 50 2c 20 73 6f 20 69 74 20 77 6f 75 6c 64 20 62 65 00 49	a.different.IP,.so.it.would.be.I
9aa0	6e 20 74 68 69 73 20 63 61 73 65 2c 20 77 65 20 61 72 65 20 73 65 74 74 69 6e 67 20 74 68 65 20	n.this.case,.we.are.setting.the.
9ac0	76 36 20 72 75 6c 65 73 65 74 20 74 68 61 74 20 72 65 70 72 65 73 65 6e 74 73 20 74 72 61 66 66	v6.ruleset.that.represents.traff
9ae0	69 63 20 73 6f 75 72 63 65 64 20 66 72 6f 6d 20 74 68 65 20 4c 41 4e 2c 20 64 65 73 74 69 6e 65	ic.sourced.from.the.LAN,.destine
9b00	64 20 66 6f 72 20 74 68 65 20 44 4d 5a 2e 20 42 65 63 61 75 73 65 20 74 68 65 20 7a 6f 6e 65 2d	d.for.the.DMZ..Because.the.zone-
9b20	70 6f 6c 69 63 79 20 66 69 72 65 77 61 6c 6c 20 73 79 6e 74 61 78 20 69 73 20 61 20 6c 69 74 74	policy.firewall.syntax.is.a.litt
9b40	6c 65 20 61 77 6b 77 61 72 64 2c 20 49 20 6b 65 65 70 20 69 74 20 73 74 72 61 69 67 68 74 20 62	le.awkward,.I.keep.it.straight.b
9b60	79 20 74 68 69 6e 6b 69 6e 67 20 6f 66 20 69 74 20 62 61 63 6b 77 61 72 64 73 2e 00 49 6e 20 74	y.thinking.of.it.backwards..In.t
9b80	68 69 73 20 63 61 73 65 2c 20 77 65 27 6c 6c 20 74 72 79 20 74 6f 20 6d 61 6b 65 20 61 20 73 69	his.case,.we'll.try.to.make.a.si
9ba0	6d 70 6c 65 20 6c 61 62 20 75 73 69 6e 67 20 51 6f 53 20 61 6e 64 20 74 68 65 20 67 65 6e 65 72	mple.lab.using.QoS.and.the.gener
9bc0	61 6c 20 61 62 69 6c 69 74 79 20 6f 66 20 74 68 65 20 56 79 4f 53 20 73 79 73 74 65 6d 2e 20 57	al.ability.of.the.VyOS.system..W
9be0	65 20 72 65 63 6f 6d 6d 65 6e 64 20 79 6f 75 20 74 6f 20 67 6f 20 74 68 72 6f 75 67 68 20 74 68	e.recommend.you.to.go.through.th
9c00	65 20 6d 61 69 6e 20 61 72 74 69 63 6c 65 20 61 62 6f 75 74 20 60 51 6f 53 20 3c 68 74 74 70 73	e.main.article.about.`QoS.<https
9c20	3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f 6e 66 69 67	://docs.vyos.io/en/latest/config
9c40	75 72 61 74 69 6f 6e 2f 74 72 61 66 66 69 63 70 6f 6c 69 63 79 2f 69 6e 64 65 78 2e 68 74 6d 6c	uration/trafficpolicy/index.html
9c60	3e 60 5f 20 66 69 72 73 74 2e 00 49 6e 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 2c 20 77 65 20	>`_.first..In.this.document,.we.
9c80	68 61 76 65 20 62 65 65 6e 20 61 6c 6c 6f 63 61 74 65 64 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f	have.been.allocated.203.0.113.0/
9ca0	32 34 20 62 79 20 6f 75 72 20 75 70 73 74 72 65 61 6d 20 70 72 6f 76 69 64 65 72 2c 20 77 68 69	24.by.our.upstream.provider,.whi
9cc0	63 68 20 77 65 20 61 72 65 20 70 75 62 6c 69 73 68 69 6e 67 20 6f 6e 20 56 4c 41 4e 31 30 30 2e	ch.we.are.publishing.on.VLAN100.
9ce0	00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 4f 70 65 6e 56 50 4e 20 77 69 6c 6c 20 62 65	.In.this.example.OpenVPN.will.be
9d00	20 73 65 74 75 70 20 77 69 74 68 20 61 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65	.setup.with.a.client.certificate
9d20	20 61 6e 64 20 75 73 65 72 6e 61 6d 65 20 2f 20 70 61 73 73 77 6f 72 64 20 61 75 74 68 65 6e 74	.and.username./.password.authent
9d40	69 63 61 74 69 6f 6e 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 74 77 6f 20 4c 41 4e	ication..In.this.example.two.LAN
9d60	20 69 6e 74 65 72 66 61 63 65 73 20 65 78 69 73 74 20 69 6e 20 64 69 66 66 65 72 65 6e 74 20 73	.interfaces.exist.in.different.s
9d80	75 62 6e 65 74 73 20 69 6e 73 74 65 61 64 20 6f 66 20 6f 6e 65 20 6c 69 6b 65 20 69 6e 20 74 68	ubnets.instead.of.one.like.in.th
9da0	65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 73 3a 00 49 6e 20 74 68 69 73 20 65 78 61	e.previous.examples:.In.this.exa
9dc0	6d 70 6c 65 20 77 65 20 68 61 76 65 20 34 20 7a 6f 6e 65 73 2e 20 4c 41 4e 2c 20 57 41 4e 2c 20	mple.we.have.4.zones..LAN,.WAN,.
9de0	44 4d 5a 2c 20 4c 6f 63 61 6c 2e 20 54 68 65 20 6c 6f 63 61 6c 20 7a 6f 6e 65 20 69 73 20 74 68	DMZ,.Local..The.local.zone.is.th
9e00	65 20 66 69 72 65 77 61 6c 6c 20 69 74 73 65 6c 66 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70	e.firewall.itself..In.this.examp
9e20	6c 65 2c 20 65 74 68 30 20 69 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 69 6e 74 65 72 66 61 63	le,.eth0.is.the.primary.interfac
9e40	65 20 61 6e 64 20 65 74 68 31 20 69 73 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 69 6e 74 65	e.and.eth1.is.the.secondary.inte
9e60	72 66 61 63 65 2e 20 54 6f 20 70 72 6f 76 69 64 65 20 73 69 6d 70 6c 65 20 66 61 69 6c 6f 76 65	rface..To.provide.simple.failove
9e80	72 20 66 75 6e 63 74 69 6f 6e 61 6c 69 74 79 2e 20 49 66 20 65 74 68 30 20 66 61 69 6c 73 2c 20	r.functionality..If.eth0.fails,.
9ea0	65 74 68 31 20 74 61 6b 65 73 20 6f 76 65 72 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65	eth1.takes.over..In.this.example
9ec0	2c 20 77 65 20 77 69 6c 6c 20 73 65 74 20 75 70 20 61 20 73 69 6d 70 6c 65 20 75 73 65 20 6f 66	,.we.will.set.up.a.simple.use.of
9ee0	20 41 6e 73 69 62 6c 65 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 6d 75 6c 74 69 70 6c 65 20 56	.Ansible.to.configure.multiple.V
9f00	79 6f 53 20 72 6f 75 74 65 72 73 2e 20 57 65 20 68 61 76 65 20 66 6f 75 72 20 70 72 65 2d 63 6f	yoS.routers..We.have.four.pre-co
9f20	6e 66 69 67 75 72 65 64 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 74 68 69 73 20 63 6f 6e 66 69	nfigured.routers.with.this.confi
9f40	67 75 72 61 74 69 6f 6e 3a 00 49 6e 62 6f 75 6e 64 20 57 41 4e 20 63 6f 6e 6e 65 63 74 20 74 6f	guration:.Inbound.WAN.connect.to
9f60	20 44 4d 5a 20 68 6f 73 74 2e 00 49 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 45 74 68	.DMZ.host..Information.about.Eth
9f80	65 72 6e 65 74 20 56 69 72 74 75 61 6c 20 50 72 69 76 61 74 65 20 4e 65 74 77 6f 72 6b 73 00 49	ernet.Virtual.Private.Networks.I
9fa0	6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 70 72 65 66 69 78 2d 73 69 64 20 61 6e 64 20	nformation.about.prefix-sid.and.
9fc0	6c 61 62 65 6c 2d 6f 70 65 72 61 74 69 6f 6e 20 66 72 6f 6d 20 56 79 4f 53 00 49 6e 73 74 61 6c	label-operation.from.VyOS.Instal
9fe0	6c 20 74 68 65 20 41 6e 73 69 62 6c 65 3a 00 49 6e 73 74 61 6c 6c 20 74 68 65 20 70 61 72 61 6d	l.the.Ansible:.Install.the.param
a000	69 6b 6f 3a 00 49 6e 74 65 72 2d 56 52 46 20 52 6f 75 74 69 6e 67 20 6f 76 65 72 20 56 52 46 20	iko:.Inter-VRF.Routing.over.VRF.
a020	4c 69 74 65 00 49 6e 74 65 72 2d 56 52 46 20 72 6f 75 74 69 6e 67 20 69 73 20 61 20 77 65 6c 6c	Lite.Inter-VRF.routing.is.a.well
a040	2d 6b 6e 6f 77 6e 20 73 6f 6c 75 74 69 6f 6e 20 74 6f 20 61 64 64 72 65 73 73 20 63 6f 6d 70 6c	-known.solution.to.address.compl
a060	65 78 20 72 6f 75 74 69 6e 67 20 73 63 65 6e 61 72 69 6f 73 20 74 68 61 74 20 65 6e 61 62 6c 65	ex.routing.scenarios.that.enable
a080	20 2d 69 6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61 79 2d 20 74 6f 20 6c 65 61 6b 20 72 6f 75 74	.-in.a.dynamic.way-.to.leak.rout
a0a0	65 73 20 62 65 74 77 65 65 6e 20 56 52 46 73 2e 20 49 73 20 72 65 63 6f 6d 6d 65 6e 64 65 64 20	es.between.VRFs..Is.recommended.
a0c0	74 6f 20 74 61 6b 65 20 73 70 65 63 69 61 6c 20 63 6f 6e 73 69 64 65 72 61 74 69 6f 6e 20 77 68	to.take.special.consideration.wh
a0e0	69 6c 65 20 64 65 73 69 67 6e 69 6e 67 20 72 6f 75 74 65 2d 74 61 72 67 65 74 73 20 61 6e 64 20	ile.designing.route-targets.and.
a100	69 74 73 20 61 70 70 6c 69 63 61 74 69 6f 6e 20 61 73 20 69 74 20 63 61 6e 20 6d 69 6e 69 6d 69	its.application.as.it.can.minimi
a120	7a 65 20 66 75 74 75 72 65 20 69 6e 74 65 72 76 65 6e 74 69 6f 6e 73 20 77 68 69 6c 65 20 63 72	ze.future.interventions.while.cr
a140	65 61 74 69 6e 67 20 61 20 6e 65 77 20 56 52 46 20 77 69 6c 6c 20 61 75 74 6f 6d 61 74 69 63 61	eating.a.new.VRF.will.automatica
a160	6c 6c 79 20 74 61 6b 65 20 74 68 65 20 64 65 73 69 72 65 64 20 65 66 66 65 63 74 20 69 6e 20 69	lly.take.the.desired.effect.in.i
a180	74 73 20 70 72 6f 70 61 67 61 74 69 6f 6e 2e 00 49 6e 74 65 72 66 61 63 65 20 61 6e 64 20 72 6f	ts.propagation..Interface.and.ro
a1a0	75 74 69 6e 67 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 6e 74 65 72 6e 61 6c 20 4e 65	uting.configuration:.Internal.Ne
a1c0	74 77 6f 72 6b 00 49 6e 74 65 72 6e 65 74 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36	twork.Internet.Internet.-.192.16
a1e0	38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 32 35 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39	8.200.100.-.TCP/25.Internet.-.19
a200	32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 34 34 33 00 49 6e 74 65 72 6e 65 74	2.168.200.100.-.TCP/443.Internet
a220	20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 35 33 00 49 6e 74 65	.-.192.168.200.100.-.TCP/53.Inte
a240	72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 38 30 00	rnet.-.192.168.200.100.-.TCP/80.
a260	49 74 20 69 73 20 61 73 73 75 6d 65 64 20 74 68 61 74 20 74 68 65 20 72 6f 75 74 65 72 73 20 70	It.is.assumed.that.the.routers.p
a280	72 6f 76 69 64 65 64 20 62 79 20 75 70 73 74 72 65 61 6d 20 61 72 65 20 63 61 70 61 62 6c 65 20	rovided.by.upstream.are.capable.
a2a0	6f 66 20 61 63 74 69 6e 67 20 61 73 20 61 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 2c 20 61	of.acting.as.a.default.router,.a
a2c0	64 64 20 74 68 61 74 20 61 73 20 61 20 73 74 61 74 69 63 20 72 6f 75 74 65 2e 00 49 74 20 69 73	dd.that.as.a.static.route..It.is
a2e0	20 67 6f 6f 64 20 70 72 61 63 74 69 63 65 20 74 6f 20 6c 6f 67 20 62 6f 74 68 20 61 63 63 65 70	.good.practice.to.log.both.accep
a300	74 65 64 20 61 6e 64 20 64 65 6e 69 65 64 20 74 72 61 66 66 69 63 2e 20 49 74 20 63 61 6e 20 73	ted.and.denied.traffic..It.can.s
a320	61 76 65 20 79 6f 75 20 73 69 67 6e 69 66 69 63 61 6e 74 20 68 65 61 64 61 63 68 65 73 20 77 68	ave.you.significant.headaches.wh
a340	65 6e 20 74 72 79 69 6e 67 20 74 6f 20 74 72 6f 75 62 6c 65 73 68 6f 6f 74 20 61 20 63 6f 6e 6e	en.trying.to.troubleshoot.a.conn
a360	65 63 74 69 76 69 74 79 20 69 73 73 75 65 2e 00 49 74 20 77 69 6c 6c 20 6c 6f 6f 6b 20 73 6f 6d	ectivity.issue..It.will.look.som
a380	65 74 68 69 6e 67 20 6c 69 6b 65 20 74 68 69 73 3a 00 49 74 27 73 20 69 6d 70 6f 72 74 61 6e 74	ething.like.this:.It's.important
a3a0	20 74 6f 20 6e 6f 74 65 20 74 68 61 74 20 61 6c 6c 20 79 6f 75 72 20 65 78 69 73 74 69 6e 67 20	.to.note.that.all.your.existing.
a3c0	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 77 69 6c 6c 20 62 65 20 6d 69 67 72 61 74 65 64 20	configurations.will.be.migrated.
a3e0	61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 20 6f 6e 20 69 6d 61 67 65 20 75 70 67 72 61 64 65 2e 20	automatically.on.image.upgrade..
a400	4e 6f 74 68 69 6e 67 20 74 6f 20 64 6f 20 6f 6e 20 79 6f 75 72 20 73 69 64 65 2e 00 4b 65 65 70	Nothing.to.do.on.your.side..Keep
a420	20 6e 65 74 77 6f 72 6b 73 20 69 73 6f 6c 61 74 65 64 20 69 73 20 2d 69 6e 20 67 65 6e 65 72 61	.networks.isolated.is.-in.genera
a440	6c 2d 20 61 20 67 6f 6f 64 20 70 72 69 6e 63 69 70 6c 65 2c 20 62 75 74 20 74 68 65 72 65 20 61	l-.a.good.principle,.but.there.a
a460	72 65 20 63 61 73 65 73 20 77 68 65 72 65 20 79 6f 75 20 6d 69 67 68 74 20 6e 65 65 64 20 74 68	re.cases.where.you.might.need.th
a480	61 74 20 73 6f 6d 65 20 6e 65 74 77 6f 72 6b 20 63 61 6e 20 61 63 63 65 73 73 20 6f 74 68 65 72	at.some.network.can.access.other
a4a0	20 69 6e 20 61 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 2e 00 4c 33 56 50 4e 20 45 56 50 4e 20	.in.a.different.VRF..L3VPN.EVPN.
a4c0	77 69 74 68 20 56 79 4f 53 00 4c 33 56 50 4e 20 45 56 50 4e 20 77 69 74 68 20 56 79 4f 53 20 74	with.VyOS.L3VPN.EVPN.with.VyOS.t
a4e0	6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 4c 33 56 50 4e 20 63 6f 6e 66 69 67 75 72 61 74 69 6f	opology.image.L3VPN.configuratio
a500	6e 20 70 61 72 61 6d 65 74 65 72 73 20 74 61 62 6c 65 3a 00 4c 33 56 50 4e 20 66 6f 72 20 48 75	n.parameters.table:.L3VPN.for.Hu
a520	62 2d 61 6e 64 2d 53 70 6f 6b 65 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 77 69 74 68 20 56 79	b-and-Spoke.connectivity.with.Vy
a540	4f 53 00 4c 41 4e 20 31 00 4c 41 4e 20 32 00 4c 41 4e 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e	OS.LAN.1.LAN.2.LAN.Configuration
a560	00 4c 41 4e 20 61 6e 64 20 44 4d 5a 20 68 6f 73 74 73 20 68 61 76 65 20 62 61 73 69 63 20 6f 75	.LAN.and.DMZ.hosts.have.basic.ou
a580	74 62 6f 75 6e 64 20 61 63 63 65 73 73 3a 20 57 65 62 2c 20 46 54 50 2c 20 53 53 48 2e 00 4c 41	tbound.access:.Web,.FTP,.SSH..LA
a5a0	4e 20 63 61 6e 20 61 63 63 65 73 73 20 44 4d 5a 20 72 65 73 6f 75 72 63 65 73 2e 00 4c 41 4e 2c	N.can.access.DMZ.resources..LAN,
a5c0	20 57 41 4e 2c 20 44 4d 5a 2c 20 6c 6f 63 61 6c 20 61 6e 64 20 54 55 4e 20 28 74 75 6e 6e 65 6c	.WAN,.DMZ,.local.and.TUN.(tunnel
a5e0	29 00 4c 41 4e 31 00 4c 41 4e 31 20 74 6f 20 4c 41 4e 32 00 4c 41 4e 31 20 74 6f 20 4f 75 74 73	).LAN1.LAN1.to.LAN2.LAN1.to.Outs
a600	69 64 65 00 4c 41 4e 32 00 4c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 49 50 76 34 20 72 6f 75 74	ide.LAN2.Let...s.check.IPv4.rout
a620	69 6e 67 20 61 6e 64 20 4d 50 4c 53 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 6f 6e 20 70 72 6f 76	ing.and.MPLS.information.on.prov
a640	69 64 65 72 20 6e 6f 64 65 73 20 28 73 61 6d 65 20 70 72 6f 63 65 64 75 72 65 20 66 6f 72 20 61	ider.nodes.(same.procedure.for.a
a660	6c 6c 20 50 20 6e 6f 64 65 73 29 3a 00 4c 65 74 e2 80 99 73 20 73 61 79 20 77 65 20 68 61 76 65	ll.P.nodes):.Let...s.say.we.have
a680	20 61 20 72 65 71 75 69 72 65 6d 65 6e 74 20 74 6f 20 68 61 76 65 20 6d 75 6c 74 69 70 6c 65 20	.a.requirement.to.have.multiple.
a6a0	6e 65 74 77 6f 72 6b 73 2e 00 4c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20 73 68 6f 75 6c 64 20 62	networks..Local.subnets.should.b
a6c0	65 20 61 62 6c 65 20 74 6f 20 72 65 61 63 68 20 69 6e 74 65 72 6e 65 74 20 75 73 69 6e 67 20 73	e.able.to.reach.internet.using.s
a6e0	6f 75 72 63 65 20 6e 61 74 2e 00 4d 50 2d 42 47 50 20 6f 72 20 4d 75 6c 74 69 50 72 6f 74 6f 63	ource.nat..MP-BGP.or.MultiProtoc
a700	6f 6c 20 42 47 50 20 69 6e 74 72 6f 64 75 63 65 73 20 74 77 6f 20 6d 61 69 6e 20 63 6f 6e 63 65	ol.BGP.introduces.two.main.conce
a720	70 74 73 20 74 6f 20 73 6f 6c 76 65 20 74 68 69 73 20 6c 69 6d 69 74 61 74 69 6f 6e 3a 20 2d 20	pts.to.solve.this.limitation:.-.
a740	52 6f 75 74 65 20 44 69 73 74 69 6e 67 75 69 73 68 65 72 20 28 52 44 29 3a 20 49 73 20 75 73 65	Route.Distinguisher.(RD):.Is.use
a760	64 20 74 6f 20 64 69 73 74 69 6e 67 75 69 73 68 20 62 65 74 77 65 65 6e 20 64 69 66 66 65 72 65	d.to.distinguish.between.differe
a780	6e 74 20 56 52 46 73 20 e2 80 93 63 61 6c 6c 65 64 20 56 50 4e 73 2d 20 69 6e 73 69 64 65 20 74	nt.VRFs....called.VPNs-.inside.t
a7a0	68 65 20 42 47 50 20 50 72 6f 63 65 73 73 2e 20 54 68 65 20 52 44 20 69 73 20 61 70 70 65 6e 64	he.BGP.Process..The.RD.is.append
a7c0	65 64 20 74 6f 20 65 61 63 68 20 49 50 76 34 20 4e 65 74 77 6f 72 6b 20 74 68 61 74 20 69 73 20	ed.to.each.IPv4.Network.that.is.
a7e0	61 64 76 65 72 74 69 73 65 64 20 69 6e 74 6f 20 42 47 50 20 66 6f 72 20 74 68 61 74 20 56 50 4e	advertised.into.BGP.for.that.VPN
a800	20 6d 61 6b 69 6e 67 20 69 74 20 61 20 75 6e 69 71 75 65 20 56 50 4e 76 34 20 72 6f 75 74 65 2e	.making.it.a.unique.VPNv4.route.
a820	20 2d 20 52 6f 75 74 65 20 54 61 72 67 65 74 20 28 52 54 29 3a 20 54 68 69 73 20 69 73 20 61 6e	.-.Route.Target.(RT):.This.is.an
a840	20 65 78 74 65 6e 64 65 64 20 42 47 50 20 63 6f 6d 6d 75 6e 69 74 79 20 61 70 70 65 6e 64 20 74	.extended.BGP.community.append.t
a860	6f 20 74 68 65 20 56 50 4e 76 34 20 72 6f 75 74 65 20 69 6e 20 74 68 65 20 49 6d 70 6f 72 74 2f	o.the.VPNv4.route.in.the.Import/
a880	45 78 70 6f 72 74 20 70 72 6f 63 65 73 73 2e 20 57 68 65 6e 20 61 20 72 6f 75 74 65 20 70 61 73	Export.process..When.a.route.pas
a8a0	73 65 73 20 66 72 6f 6d 20 74 68 65 20 56 52 46 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69	ses.from.the.VRF.routing.table.i
a8c0	6e 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 20 69 74 20 77 69 6c 6c 20 61 64 64 20	nto.the.BGP.process.it.will.add.
a8e0	74 68 65 20 63 6f 6e 66 69 67 75 72 65 64 20 65 78 70 6f 72 74 20 65 78 74 65 6e 64 65 64 20 63	the.configured.export.extended.c
a900	6f 6d 6d 75 6e 69 74 79 28 69 65 73 29 20 66 6f 72 20 74 68 61 74 20 56 50 4e 2e 20 57 68 65 6e	ommunity(ies).for.that.VPN..When
a920	20 74 68 61 74 20 72 6f 75 74 65 20 6e 65 65 64 73 20 74 6f 20 67 6f 20 66 72 6f 6d 20 42 47 50	.that.route.needs.to.go.from.BGP
a940	20 69 6e 74 6f 20 74 68 65 20 56 52 46 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 77 69 6c 6c	.into.the.VRF.routing.table.will
a960	20 6f 6e 6c 79 20 70 61 73 73 20 69 66 20 74 68 61 74 20 67 69 76 65 6e 20 56 50 4e 20 69 6d 70	.only.pass.if.that.given.VPN.imp
a980	6f 72 74 20 70 6f 6c 69 63 79 20 6d 61 74 63 68 65 73 20 61 6e 79 20 6f 66 20 74 68 65 20 61 70	ort.policy.matches.any.of.the.ap
a9a0	70 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 28 69 65 73 29 20 69 6e 74 6f 20 74 68 61 74 20	pended.community(ies).into.that.
a9c0	70 72 65 66 69 78 2e 00 4d 61 69 6e 20 72 75 6c 65 73 3a 00 4d 61 6b 65 20 73 75 72 65 20 79 6f	prefix..Main.rules:.Make.sure.yo
a9e0	75 20 63 61 6e 20 70 69 6e 67 20 31 30 2e 32 35 34 2e 36 30 2e 31 20 61 6e 64 20 2e 32 20 66 72	u.can.ping.10.254.60.1.and..2.fr
aa00	6f 6d 20 62 6f 74 68 20 72 6f 75 74 65 72 73 2e 00 4d 61 6e 61 67 65 6d 65 6e 74 00 4d 61 6e 61	om.both.routers..Management.Mana
aa20	67 65 6d 65 6e 74 20 56 52 46 00 4d 61 6e 79 20 6f 74 68 65 72 20 48 79 70 65 72 76 69 73 6f 72	gement.VRF.Many.other.Hypervisor
aa40	73 20 64 6f 20 74 68 69 73 2c 20 61 6e 64 20 49 27 6d 20 68 6f 70 69 6e 67 20 74 68 61 74 20 74	s.do.this,.and.I'm.hoping.that.t
aa60	68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77 69 6c 6c 20 62 65 20 65 78 70 61 6e 64 65 64 20 74 6f	his.document.will.be.expanded.to
aa80	20 64 6f 63 75 6d 65 6e 74 20 68 6f 77 20 74 6f 20 64 6f 20 74 68 69 73 20 66 6f 72 20 6f 74 68	.document.how.to.do.this.for.oth
aaa0	65 72 73 2e 00 4d 61 73 71 75 65 72 61 64 65 20 54 72 61 66 66 69 63 20 6f 72 69 67 69 6e 61 74	ers..Masquerade.Traffic.originat
aac0	69 6e 67 20 66 72 6f 6d 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 74 68 61 74 20 69 73	ing.from.10.200.201.0/24.that.is
aae0	20 68 65 61 64 69 6e 67 20 6f 75 74 20 74 68 65 20 70 75 62 6c 69 63 20 69 6e 74 65 72 66 61 63	.heading.out.the.public.interfac
ab00	65 2e 00 4d 6f 6e 69 74 6f 72 69 6e 67 00 4d 75 6c 74 69 70 6c 65 20 4c 41 4e 2f 44 4d 5a 20 53	e..Monitoring.Multiple.LAN/DMZ.S
ab20	65 74 75 70 00 4e 41 54 20 61 6e 64 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 00 4e 4d 50 20	etup.NAT.and.conntrack-sync.NMP.
ab40	65 78 61 6d 70 6c 65 00 4e 61 74 69 76 65 20 49 50 76 34 20 61 6e 64 20 49 50 76 36 00 4e 65 74	example.Native.IPv4.and.IPv6.Net
ab60	77 6f 72 6b 20 43 61 62 6c 69 6e 67 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 00 4e 65	work.Cabling.Network.Topology.Ne
ab80	74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 20 44 69 61 67 72 61 6d 00 4e 65 74 77 6f 72 6b 20 54	twork.Topology.Diagram.Network.T
aba0	6f 70 6f 6c 6f 67 79 20 61 6e 64 20 72 65 71 75 69 72 65 6d 65 6e 74 73 00 4e 65 78 74 20 6f 6e	opology.and.requirements.Next.on
abc0	20 74 68 65 20 72 6f 75 74 65 72 20 56 79 4f 53 32 20 77 65 20 77 69 6c 6c 20 63 68 61 6e 67 65	.the.router.VyOS2.we.will.change
abe0	20 6c 61 62 65 6c 73 20 6f 6e 20 61 6c 6c 20 69 6e 63 6f 6d 69 6e 67 20 74 72 61 66 66 69 63 20	.labels.on.all.incoming.traffic.
ac00	6f 6e 6c 79 20 66 72 6f 6d 20 43 53 34 2d 3e 20 43 53 36 00 4e 65 78 74 20 74 68 69 6e 67 20 74	only.from.CS4->.CS6.Next.thing.t
ac20	6f 20 64 6f 2c 20 69 73 20 74 6f 20 63 72 65 61 74 65 20 61 20 77 69 72 65 67 75 61 72 64 20 6b	o.do,.is.to.create.a.wireguard.k
ac40	65 79 70 61 69 72 20 6f 6e 20 65 61 63 68 20 73 69 64 65 2e 20 41 66 74 65 72 20 74 68 69 73 2c	eypair.on.each.side..After.this,
ac60	20 74 68 65 20 70 75 62 6c 69 63 20 6b 65 79 20 63 61 6e 20 62 65 20 64 69 73 70 6c 61 79 65 64	.the.public.key.can.be.displayed
ac80	2c 20 74 6f 20 73 61 76 65 20 66 6f 72 20 6c 61 74 65 72 2e 00 4e 65 78 74 2c 20 77 65 20 77 69	,.to.save.for.later..Next,.we.wi
aca0	6c 6c 20 72 65 70 6c 61 63 65 20 6f 6e 6c 79 20 61 6c 6c 20 43 53 34 20 6c 61 62 65 6c 73 20 6f	ll.replace.only.all.CS4.labels.o
acc0	6e 20 74 68 65 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 72 6f 75 74 65 72 2e 00 4e 65 78 74 2c 20	n.the....VyOS2....router..Next,.
ace0	79 6f 75 20 6a 75 73 74 20 20 73 68 6f 75 6c 64 20 66 6f 6c 6c 6f 77 20 74 68 65 20 70 69 63 74	you.just..should.follow.the.pict
ad00	75 72 65 73 3a 00 4e 6f 64 65 00 4e 6f 74 65 20 74 68 61 74 20 72 6f 75 74 65 72 31 20 69 73 20	ures:.Node.Note.that.router1.is.
ad20	61 20 56 4d 20 74 68 61 74 20 72 75 6e 73 20 6f 6e 20 6f 6e 65 20 6f 66 20 74 68 65 20 63 6f 6d	a.VM.that.runs.on.one.of.the.com
ad40	70 75 74 65 20 6e 6f 64 65 73 2e 00 4e 6f 74 65 20 74 6f 20 61 6c 6c 6f 77 20 74 68 65 20 72 6f	pute.nodes..Note.to.allow.the.ro
ad60	75 74 65 72 20 74 6f 20 72 65 63 65 69 76 65 20 44 48 43 50 76 36 20 72 65 73 70 6f 6e 73 65 20	uter.to.receive.DHCPv6.response.
ad80	66 72 6f 6d 20 49 53 50 2e 20 57 65 20 6e 65 65 64 20 74 6f 20 61 6c 6c 6f 77 20 70 61 63 6b 65	from.ISP..We.need.to.allow.packe
ada0	74 73 20 77 69 74 68 20 73 6f 75 72 63 65 20 70 6f 72 74 20 35 34 37 20 28 73 65 72 76 65 72 29	ts.with.source.port.547.(server)
adc0	20 61 6e 64 20 64 65 73 74 69 6e 61 74 69 6f 6e 20 70 6f 72 74 20 35 34 36 20 28 63 6c 69 65 6e	.and.destination.port.546.(clien
ade0	74 29 2e 00 4e 6f 74 69 63 65 2c 20 6e 6f 6e 65 20 67 6f 20 74 6f 20 57 41 4e 20 73 69 6e 63 65	t)..Notice,.none.go.to.WAN.since
ae00	20 57 41 4e 20 77 6f 75 6c 64 6e 27 74 20 68 61 76 65 20 61 20 76 36 20 61 64 64 72 65 73 73 20	.WAN.wouldn't.have.a.v6.address.
ae20	6f 6e 20 69 74 2e 00 4e 6f 77 20 65 6e 61 62 6c 65 20 72 65 70 6c 69 63 61 74 69 6f 6e 20 62 65	on.it..Now.enable.replication.be
ae40	74 77 65 65 6e 20 6e 6f 64 65 73 2e 20 52 65 70 6c 61 63 65 20 65 74 68 30 2e 32 30 31 20 77 69	tween.nodes..Replace.eth0.201.wi
ae60	74 68 20 62 6f 6e 64 30 2e 32 30 31 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75	th.bond0.201.on.the.hardware.rou
ae80	74 65 72 2e 00 4e 6f 77 20 67 65 6e 65 72 61 74 65 20 61 6c 6c 20 72 65 71 75 69 72 65 64 20 63	ter..Now.generate.all.required.c
aea0	65 72 74 69 66 69 63 61 74 65 73 20 6f 6e 20 74 68 65 20 6f 76 70 6e 2d 73 65 72 76 65 72 3a 00	ertificates.on.the.ovpn-server:.
aec0	4e 6f 77 20 74 68 65 20 43 6c 69 65 6e 74 20 69 73 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 61	Now.the.Client.is.able.to.ping.a
aee0	20 70 75 62 6c 69 63 20 49 50 76 36 20 61 64 64 72 65 73 73 00 4e 6f 77 20 77 65 20 61 72 65 20	.public.IPv6.address.Now.we.are.
af00	61 62 6c 65 20 74 6f 20 73 65 74 75 70 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61	able.to.setup.the.tunnel.interfa
af20	63 65 2e 00 4e 6f 77 20 77 65 20 70 65 72 66 6f 72 6d 20 73 6f 6d 65 20 65 6e 64 2d 74 6f 2d 65	ce..Now.we.perform.some.end-to-e
af40	6e 64 20 74 65 73 74 69 6e 67 00 4e 6f 77 20 77 65 e2 80 99 72 65 20 63 68 65 63 6b 69 6e 67 20	nd.testing.Now.we...re.checking.
af60	69 42 47 50 20 73 74 61 74 75 73 20 61 6e 64 20 72 6f 75 74 65 73 20 66 72 6f 6d 20 72 6f 75 74	iBGP.status.and.routes.from.rout
af80	65 2d 72 65 66 6c 65 63 74 6f 72 20 6e 6f 64 65 73 20 74 6f 20 6f 74 68 65 72 20 64 65 76 69 63	e-reflector.nodes.to.other.devic
afa0	65 73 3a 00 4e 6f 77 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69	es:.Now.you.should.be.able.to.pi
afc0	6e 67 20 61 20 70 75 62 6c 69 63 20 49 50 76 36 20 41 64 64 72 65 73 73 00 4e 6f 77 2c 20 6c 65	ng.a.public.IPv6.Address.Now,.le
afe0	74 e2 80 99 73 20 63 68 65 63 6b 20 72 6f 75 74 69 6e 67 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20	t...s.check.routing.information.
b000	6f 6e 20 6f 75 74 20 48 75 62 20 50 45 3a 00 4f 53 50 46 20 4f 76 65 72 20 57 69 72 65 47 75 61	on.out.Hub.PE:.OSPF.Over.WireGua
b020	72 64 00 4f 53 50 46 20 75 6e 6e 75 6d 62 65 72 65 64 20 77 69 74 68 20 45 43 4d 50 00 4f 6e 20	rd.OSPF.unnumbered.with.ECMP.On.
b040	74 68 65 20 72 6f 75 74 65 72 2c 20 56 79 4f 53 34 20 73 65 74 20 61 6c 6c 20 74 72 61 66 66 69	the.router,.VyOS4.set.all.traffi
b060	63 20 61 73 20 43 53 34 2e 20 57 65 20 68 61 76 65 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74	c.as.CS4..We.have.to.configure.t
b080	68 65 20 64 65 66 61 75 6c 74 20 63 6c 61 73 73 20 61 6e 64 20 63 6c 61 73 73 20 66 6f 72 20 63	he.default.class.and.class.for.c
b0a0	68 61 6e 67 69 6e 67 20 61 6c 6c 20 6c 61 62 65 6c 73 20 66 72 6f 6d 20 43 53 30 20 74 6f 20 43	hanging.all.labels.from.CS0.to.C
b0c0	53 34 00 4f 6e 2d 70 72 65 6d 69 73 65 73 20 61 64 64 72 65 73 73 20 73 70 61 63 65 00 4f 6e 63	S4.On-premises.address.space.Onc
b0e0	65 20 61 6c 6c 20 72 6f 75 74 65 72 73 20 63 61 6e 20 62 65 20 73 61 66 65 6c 79 20 72 65 6d 6f	e.all.routers.can.be.safely.remo
b100	74 65 6c 79 20 6d 61 6e 61 67 65 64 20 61 6e 64 20 74 68 65 20 63 6f 72 65 20 6e 65 74 77 6f 72	tely.managed.and.the.core.networ
b120	6b 20 69 73 20 6f 70 65 72 61 74 69 6f 6e 61 6c 2c 20 77 65 20 63 61 6e 20 6e 6f 77 20 73 65 74	k.is.operational,.we.can.now.set
b140	75 70 20 74 68 65 20 74 65 6e 61 6e 74 20 6e 65 74 77 6f 72 6b 73 2e 00 4f 6e 63 65 20 61 6c 6c	up.the.tenant.networks..Once.all
b160	20 74 68 65 20 72 65 71 75 69 72 65 64 20 63 65 72 74 69 66 69 63 61 74 65 73 20 61 6e 64 20 6b	.the.required.certificates.and.k
b180	65 79 73 20 61 72 65 20 69 6e 73 74 61 6c 6c 65 64 2c 20 74 68 65 20 72 65 6d 61 69 6e 69 6e 67	eys.are.installed,.the.remaining
b1a0	20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 61	.OpenVPN.Server.configuration.ca
b1c0	6e 20 62 65 20 63 61 72 72 69 65 64 20 6f 75 74 2e 00 4f 6e 63 65 20 79 6f 75 20 68 61 76 65 20	n.be.carried.out..Once.you.have.
b1e0	61 6c 6c 20 6f 66 20 79 6f 75 72 20 72 75 6c 65 73 65 74 73 20 62 75 69 6c 74 2c 20 74 68 65 6e	all.of.your.rulesets.built,.then
b200	20 79 6f 75 20 6e 65 65 64 20 74 6f 20 63 72 65 61 74 65 20 79 6f 75 72 20 7a 6f 6e 65 2d 70 6f	.you.need.to.create.your.zone-po
b220	6c 69 63 79 2e 00 4f 6e 65 20 61 64 76 61 6e 74 61 67 65 20 6f 66 20 68 61 76 69 6e 67 20 74 68	licy..One.advantage.of.having.th
b240	65 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65 20 73 74 6f 72 65 64 20 69 73 20 74	e.client.certificate.stored.is.t
b260	68 65 20 61 62 69 6c 69 74 79 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 63 6c 69 65 6e 74 20	he.ability.to.create.the.client.
b280	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c	configuration..One.cable/logical
b2a0	20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 49 6e 74	.connection.between.LAN1.and.Int
b2c0	65 72 6e 65 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69	ernet.One.cable/logical.connecti
b2e0	6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 4c 41 4e 32 00 4f 6e 65 20 63 61 62	on.between.LAN1.and.LAN2.One.cab
b300	6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41	le/logical.connection.between.LA
b320	4e 31 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69	N1.and.Management.One.cable/logi
b340	63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 32 20 61 6e 64 20	cal.connection.between.LAN2.and.
b360	49 6e 74 65 72 6e 65 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65	Internet.One.cable/logical.conne
b380	63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 32 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e	ction.between.LAN2.and.Managemen
b3a0	74 00 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 4c 44 41 50 00 4f 70 65 6e 56 50 4e 20 77 69 74 68	t.OpenVPN.with.LDAP.OpenVPN.with
b3c0	20 4c 44 41 50 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 4f 70 65 72 61 74 69 6e 67 20 73	.LDAP.topology.image.Operating.s
b3e0	79 73 74 65 6d 3a 20 56 79 4f 53 00 4f 75 72 20 69 6d 70 6c 65 6d 65 6e 74 61 74 69 6f 6e 20 75	ystem:.VyOS.Our.implementation.u
b400	73 65 73 20 56 4d 77 61 72 65 27 73 20 44 69 73 74 72 69 62 75 74 65 64 20 50 6f 72 74 20 47 72	ses.VMware's.Distributed.Port.Gr
b420	6f 75 70 73 2c 20 77 68 69 63 68 20 61 6c 6c 6f 77 73 20 56 4d 77 61 72 65 20 74 6f 20 75 73 65	oups,.which.allows.VMware.to.use
b440	20 4c 41 43 50 2e 20 54 68 69 73 20 69 73 20 61 20 70 61 72 74 20 6f 66 20 74 68 65 20 45 4e 54	.LACP..This.is.a.part.of.the.ENT
b460	45 52 50 52 49 53 45 20 6c 69 63 65 6e 63 65 2c 20 61 6e 64 20 69 73 20 6e 6f 74 20 61 76 61 69	ERPRISE.licence,.and.is.not.avai
b480	6c 61 62 6c 65 20 6f 6e 20 61 20 66 72 65 65 20 6c 69 63 65 6e 63 65 2e 20 49 66 20 79 6f 75 20	lable.on.a.free.licence..If.you.
b4a0	61 72 65 20 69 6d 70 6c 65 6d 65 6e 74 69 6e 67 20 74 68 69 73 20 61 6e 64 20 64 6f 20 6e 6f 74	are.implementing.this.and.do.not
b4c0	20 68 61 76 65 20 61 63 63 65 73 73 20 74 6f 20 44 50 47 73 2c 20 79 6f 75 20 73 68 6f 75 6c 64	.have.access.to.DPGs,.you.should
b4e0	20 6e 6f 74 20 75 73 65 20 56 4d 77 61 72 65 2c 20 61 6e 64 20 75 73 65 20 73 6f 6d 65 20 6f 74	.not.use.VMware,.and.use.some.ot
b500	68 65 72 20 76 69 72 74 75 61 6c 69 7a 61 74 69 6f 6e 20 70 6c 61 74 66 6f 72 6d 20 69 6e 73 74	her.virtualization.platform.inst
b520	65 61 64 2e 00 4f 75 72 20 72 6f 75 74 65 72 73 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 68 61	ead..Our.routers.are.going.to.ha
b540	76 65 20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 32 30 33 2e	ve.a.floating.IP.address.of.203.
b560	30 2e 31 31 33 2e 31 2c 20 61 6e 64 20 75 73 65 20 2e 32 20 61 6e 64 20 2e 33 20 61 73 20 74 68	0.113.1,.and.use..2.and..3.as.th
b580	65 69 72 20 66 69 78 65 64 20 49 50 73 2e 00 4f 76 65 72 76 69 65 77 00 50 45 31 00 50 45 31 20	eir.fixed.IPs..Overview.PE1.PE1.
b5a0	69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 6e 20 69 6e 64 75 73 74 72 69 61 6c 20 61 72 65 61	is.located.in.an.industrial.area
b5c0	20 74 68 61 74 20 68 6f 6c 64 73 20 6d 75 6c 74 69 70 6c 65 20 6f 66 66 69 63 65 20 62 75 69 6c	.that.holds.multiple.office.buil
b5e0	64 69 6e 67 73 2e 20 41 6c 6c 20 63 75 73 74 6f 6d 65 72 73 20 68 61 76 65 20 61 20 73 69 74 65	dings..All.customers.have.a.site
b600	20 69 6e 20 74 68 69 73 20 61 72 65 61 2e 00 50 45 32 00 50 45 32 20 69 73 20 6c 6f 63 61 74 65	.in.this.area..PE2.PE2.is.locate
b620	64 20 69 6e 20 61 20 73 6d 61 6c 6c 65 72 20 61 72 65 61 20 77 68 65 72 65 20 62 79 20 63 6f 69	d.in.a.smaller.area.where.by.coi
b640	6e 63 69 64 65 6e 63 65 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 73 20 28 62 6c 75 65 20 61 6e 64	ncidence.two.customers.(blue.and
b660	20 72 65 64 29 20 73 68 61 72 65 20 61 6e 20 6f 66 66 69 63 65 20 62 75 69 6c 64 69 6e 67 2e 00	.red).share.an.office.building..
b680	50 45 33 00 50 45 33 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 20 73 6d 61 6c 6c 65 72 20	PE3.PE3.is.located.in.a.smaller.
b6a0	61 72 65 61 20 77 68 65 72 65 20 62 79 20 63 6f 69 6e 63 69 64 65 6e 63 65 20 74 77 6f 20 63 75	area.where.by.coincidence.two.cu
b6c0	73 74 6f 6d 65 72 73 20 28 62 6c 75 65 20 61 6e 64 20 67 72 65 65 6e 29 20 61 72 65 20 6c 6f 63	stomers.(blue.and.green).are.loc
b6e0	61 74 65 64 2e 00 50 50 50 6f 45 20 49 50 76 36 20 42 61 73 69 63 20 53 65 74 75 70 20 66 6f 72	ated..PPPoE.IPv6.Basic.Setup.for
b700	20 48 6f 6d 65 20 4e 65 74 77 6f 72 6b 00 50 50 50 6f 45 20 53 65 74 75 70 00 50 69 6e 67 20 62	.Home.Network.PPPoE.Setup.Ping.b
b720	65 74 77 65 65 6e 20 56 79 4f 53 2d 50 31 20 2f 20 56 79 4f 53 2d 50 32 20 74 6f 20 63 6f 6e 66	etween.VyOS-P1./.VyOS-P2.to.conf
b740	69 72 6d 20 72 65 61 63 68 61 62 69 6c 69 74 79 3a 00 50 69 6e 67 20 74 68 65 20 43 6c 69 65 6e	irm.reachability:.Ping.the.Clien
b760	74 20 66 72 6f 6d 20 74 68 65 20 44 48 43 50 20 53 65 72 76 65 72 2e 00 50 69 6e 67 73 20 77 69	t.from.the.DHCP.Server..Pings.wi
b780	6c 6c 20 62 65 20 73 65 6e 74 20 74 6f 20 66 6f 75 72 20 74 61 72 67 65 74 73 20 66 6f 72 20 68	ll.be.sent.to.four.targets.for.h
b7a0	65 61 6c 74 68 20 74 65 73 74 69 6e 67 20 28 33 33 2e 34 34 2e 35 35 2e 36 36 2c 20 34 34 2e 35	ealth.testing.(33.44.55.66,.44.5
b7c0	35 2e 36 36 2e 37 37 2c 20 35 35 2e 36 36 2e 37 37 2e 38 38 20 61 6e 64 20 36 36 2e 37 37 2e 38	5.66.77,.55.66.77.88.and.66.77.8
b7e0	38 2e 39 39 29 2e 00 50 6c 65 61 73 65 20 6e 6f 74 65 2c 20 27 61 75 74 6f 6e 6f 6d 6f 75 73 2d	8.99)..Please.note,.'autonomous-
b800	66 6c 61 67 27 20 61 6e 64 20 27 6f 6e 2d 6c 69 6e 6b 2d 66 6c 61 67 27 20 61 72 65 20 65 6e 61	flag'.and.'on-link-flag'.are.ena
b820	62 6c 65 64 20 62 79 20 64 65 66 61 75 6c 74 2c 20 27 76 61 6c 69 64 2d 6c 69 66 65 74 69 6d 65	bled.by.default,.'valid-lifetime
b840	27 20 61 6e 64 20 27 70 72 65 66 65 72 72 65 64 2d 6c 69 66 65 74 69 6d 65 27 20 61 72 65 20 73	'.and.'preferred-lifetime'.are.s
b860	65 74 20 74 6f 20 64 65 66 61 75 6c 74 20 76 61 6c 75 65 73 20 6f 66 20 33 30 20 64 61 79 73 20	et.to.default.values.of.30.days.
b880	61 6e 64 20 34 20 68 6f 75 72 73 20 72 65 73 70 65 63 74 69 76 65 6c 79 2e 00 50 6f 6c 69 63 79	and.4.hours.respectively..Policy
b8a0	2d 42 61 73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 61 6e 64 20 46 69 72 65	-Based.Site-to-Site.VPN.and.Fire
b8c0	77 61 6c 6c 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 50 72 65 2d 73 68 61 72 65 64 20 6b 65	wall.Configuration.Pre-shared.ke
b8e0	79 00 50 72 65 72 65 71 75 69 73 69 74 65 73 00 50 72 69 6f 72 69 74 69 65 73 00 50 72 6f 74 65	y.Prerequisites.Priorities.Prote
b900	63 74 20 74 68 65 20 72 6f 75 74 65 72 20 6f 6e 20 27 57 41 4e 27 20 69 6e 74 65 72 66 61 63 65	ct.the.router.on.'WAN'.interface
b920	2c 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 69 70 73 65 63 20 63 6f 6e 6e 65 63 74 69 6f 6e	,.allowing.only.ipsec.connection
b940	73 20 61 6e 64 20 73 73 68 20 61 63 63 65 73 73 20 66 72 6f 6d 20 74 72 75 73 74 65 64 20 69 70	s.and.ssh.access.from.trusted.ip
b960	73 2e 00 50 75 62 6c 69 63 20 4e 65 74 77 6f 72 6b 00 51 6f 53 20 65 78 61 6d 70 6c 65 00 52 44	s..Public.Network.QoS.example.RD
b980	00 52 44 20 26 20 52 54 20 53 63 68 65 6d 61 00 52 54 00 52 54 20 65 78 70 6f 72 74 00 52 54 20	.RD.&.RT.Schema.RT.RT.export.RT.
b9a0	69 6d 70 6f 72 74 00 52 65 67 75 6c 61 72 20 56 79 4f 53 20 75 73 65 72 73 20 77 69 6c 6c 20 6e	import.Regular.VyOS.users.will.n
b9c0	6f 74 69 63 65 20 74 68 61 74 20 74 68 65 20 42 47 50 20 73 79 6e 74 61 78 20 68 61 73 20 63 68	otice.that.the.BGP.syntax.has.ch
b9e0	61 6e 67 65 64 20 69 6e 20 56 79 4f 53 20 31 2e 34 20 66 72 6f 6d 20 65 76 65 6e 20 74 68 65 20	anged.in.VyOS.1.4.from.even.the.
ba00	70 72 69 6f 72 20 70 6f 73 74 20 61 62 6f 75 74 20 74 68 69 73 20 73 75 62 6a 65 63 74 2e 20 54	prior.post.about.this.subject..T
ba20	68 69 73 20 69 73 20 64 75 65 20 74 6f 20 54 31 37 31 31 2c 20 77 68 65 72 65 20 69 74 20 77 61	his.is.due.to.T1711,.where.it.wa
ba40	73 20 66 69 6e 61 6c 6c 79 20 64 65 63 69 64 65 64 20 74 6f 20 67 65 74 20 72 69 64 20 6f 66 20	s.finally.decided.to.get.rid.of.
ba60	74 68 65 20 72 65 64 75 6e 64 61 6e 74 20 42 47 50 20 41 53 4e 20 28 41 75 74 6f 6e 6f 6d 6f 75	the.redundant.BGP.ASN.(Autonomou
ba80	73 20 53 79 73 74 65 6d 20 4e 75 6d 62 65 72 29 20 73 70 65 63 69 66 69 63 61 74 69 6f 6e 20 6f	s.System.Number).specification.o
baa0	6e 20 74 68 65 20 43 4c 49 20 61 6e 64 20 6d 6f 76 65 20 69 74 20 74 6f 20 61 20 73 69 6e 67 6c	n.the.CLI.and.move.it.to.a.singl
bac0	65 20 6c 65 61 66 20 6e 6f 64 65 20 28 73 65 74 20 70 72 6f 74 6f 63 6f 6c 73 20 62 67 70 20 6c	e.leaf.node.(set.protocols.bgp.l
bae0	6f 63 61 6c 2d 61 73 29 2e 00 52 65 6d 6f 74 65 20 4e 65 74 77 6f 72 6b 73 00 52 65 70 6c 61 63	ocal-as)..Remote.Networks.Replac
bb00	65 20 74 68 65 20 32 30 33 2e 30 2e 31 31 33 2e 33 20 77 69 74 68 20 77 68 61 74 65 76 65 72 20	e.the.203.0.113.3.with.whatever.
bb20	74 68 65 20 6f 74 68 65 72 20 72 6f 75 74 65 72 27 73 20 49 50 20 61 64 64 72 65 73 73 20 69 73	the.other.router's.IP.address.is
bb40	2e 00 52 65 71 75 65 73 74 65 64 20 61 20 22 52 65 67 75 6c 61 72 20 54 75 6e 6e 65 6c 22 2e 20	..Requested.a."Regular.Tunnel"..
bb60	59 6f 75 20 77 61 6e 74 20 74 6f 20 63 68 6f 6f 73 65 20 61 20 6c 6f 63 61 74 69 6f 6e 20 74 68	You.want.to.choose.a.location.th
bb80	61 74 20 69 73 20 63 6c 6f 73 65 73 74 20 74 6f 20 79 6f 75 72 20 70 68 79 73 69 63 61 6c 20 6c	at.is.closest.to.your.physical.l
bba0	6f 63 61 74 69 6f 6e 20 66 6f 72 20 74 68 65 20 62 65 73 74 20 72 65 73 70 6f 6e 73 65 20 74 69	ocation.for.the.best.response.ti
bbc0	6d 65 2e 00 52 65 73 75 6c 74 73 00 52 6f 6c 65 00 52 6f 75 74 65 2d 42 61 73 65 64 20 52 65 64	me..Results.Role.Route-Based.Red
bbe0	75 6e 64 61 6e 74 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65	undant.Site-to-Site.VPN.to.Azure
bc00	20 28 42 47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f 49 50 73 65 63 29 00 52 6f 75 74 65 2d 42 61	.(BGP.over.IKEv2/IPsec).Route-Ba
bc20	73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 28 42	sed.Site-to-Site.VPN.to.Azure.(B
bc40	47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f 49 50 73 65 63 29 00 52 6f 75 74 65 2d 46 69 6c 74 65	GP.over.IKEv2/IPsec).Route-Filte
bc60	72 69 6e 67 00 52 6f 75 74 65 64 20 2f 34 38 2e 20 54 68 69 73 20 69 73 20 73 6f 6d 65 74 68 69	ring.Routed./48..This.is.somethi
bc80	6e 67 20 79 6f 75 20 63 61 6e 20 72 65 71 75 65 73 74 20 62 79 20 63 6c 69 63 6b 69 6e 67 20 74	ng.you.can.request.by.clicking.t
bca0	68 65 20 22 41 73 73 69 67 6e 20 2f 34 38 22 20 6c 69 6e 6b 20 69 6e 20 74 68 65 20 54 75 6e 6e	he."Assign./48".link.in.the.Tunn
bcc0	65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 74 75 6e 6e 65 6c 20 63 6f 6e 66 69 67 2e 20 49 74 20 61	elbroker.net.tunnel.config..It.a
bce0	6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 68 61 76 65 20 75 70 20 74 6f 20 36 35 6b 00 52 6f 75 74	llows.you.to.have.up.to.65k.Rout
bd00	65 64 20 2f 36 34 2e 20 54 68 69 73 20 69 73 20 74 68 65 20 64 65 66 61 75 6c 74 20 61 73 73 69	ed./64..This.is.the.default.assi
bd20	67 6e 6d 65 6e 74 2e 20 49 6e 20 49 50 76 36 2d 6c 61 6e 64 2c 20 69 74 27 73 20 67 6f 6f 64 20	gnment..In.IPv6-land,.it's.good.
bd40	66 6f 72 20 61 20 73 69 6e 67 6c 65 20 22 4c 41 4e 22 2c 20 61 6e 64 20 69 73 20 73 6f 6d 65 77	for.a.single."LAN",.and.is.somew
bd60	68 61 74 20 65 71 75 69 76 61 6c 65 6e 74 20 74 6f 20 61 20 2f 32 34 2e 00 52 6f 75 74 65 72 20	hat.equivalent.to.a./24..Router.
bd80	41 3a 00 52 6f 75 74 65 72 20 41 64 76 65 72 74 69 73 65 6d 65 6e 74 00 52 6f 75 74 65 72 20 42	A:.Router.Advertisement.Router.B
bda0	3a 00 52 6f 75 74 65 72 20 69 64 27 73 20 6d 75 73 74 20 62 65 20 75 6e 69 71 75 65 2e 00 52 75	:.Router.id's.must.be.unique..Ru
bdc0	6c 65 73 65 74 20 61 72 65 20 63 72 65 61 74 65 64 20 70 65 72 20 7a 6f 6e 65 2d 70 61 69 72 2d	leset.are.created.per.zone-pair-
bde0	64 69 72 65 63 74 69 6f 6e 2e 00 53 65 67 6d 65 6e 74 2d 72 6f 75 74 69 6e 67 20 49 53 2d 49 53	direction..Segment-routing.IS-IS
be00	20 65 78 61 6d 70 6c 65 00 53 65 74 20 44 4e 53 20 73 65 72 76 65 72 20 61 64 64 72 65 73 73 20	.example.Set.DNS.server.address.
be20	69 6e 20 74 68 65 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 73 6f 20 74 68 61 74 20 63 6c 69	in.the.advertisement.so.that.cli
be40	65 6e 74 73 20 63 61 6e 20 6f 62 74 61 69 6e 20 69 74 20 62 79 20 75 73 69 6e 67 20 52 44 4e 53	ents.can.obtain.it.by.using.RDNS
be60	53 20 6f 70 74 69 6f 6e 2e 20 4d 6f 73 74 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 73	S.option..Most.operating.systems
be80	20 28 57 69 6e 64 6f 77 73 2c 20 4c 69 6e 75 78 2c 20 4d 61 63 29 20 73 68 6f 75 6c 64 20 61 6c	.(Windows,.Linux,.Mac).should.al
bea0	72 65 61 64 79 20 73 75 70 70 6f 72 74 20 69 74 2e 00 53 65 74 20 49 50 20 61 64 64 72 65 73 73	ready.support.it..Set.IP.address
bec0	65 73 20 6f 6e 20 61 6c 6c 20 56 50 43 73 20 61 6e 64 20 61 20 64 65 66 61 75 6c 74 20 67 61 74	es.on.all.VPCs.and.a.default.gat
bee0	65 77 61 79 20 31 37 32 2e 31 37 2e 31 2e 31 2e 20 57 65 27 6c 6c 20 75 73 65 20 69 6e 20 74 68	eway.172.17.1.1..We'll.use.in.th
bf00	69 73 20 63 61 73 65 20 6f 6e 6c 79 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 2e 20 4f 6e 20 74	is.case.only.static.routes..On.t
bf20	68 65 20 56 79 4f 53 33 20 72 6f 75 74 65 72 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 63 68 61 6e	he.VyOS3.router,.we.need.to.chan
bf40	67 65 20 74 68 65 20 27 64 73 63 70 27 20 6c 61 62 65 6c 73 20 66 6f 72 20 74 68 65 20 56 50 43	ge.the.'dscp'.labels.for.the.VPC
bf60	73 2e 20 54 6f 20 64 6f 20 74 68 69 73 2c 20 77 65 20 75 73 65 20 74 68 69 73 20 63 6f 6e 66 69	s..To.do.this,.we.use.this.confi
bf80	67 75 72 61 74 69 6f 6e 2e 00 53 65 74 20 4d 54 55 20 69 6e 20 61 64 76 65 72 74 69 73 65 6d 65	guration..Set.MTU.in.advertiseme
bfa0	6e 74 20 74 6f 20 31 34 39 32 20 62 65 63 61 75 73 65 20 6f 66 20 50 50 50 6f 45 20 68 65 61 64	nt.to.1492.because.of.PPPoE.head
bfc0	65 72 20 6f 76 65 72 68 65 61 64 2e 00 53 65 74 20 74 68 65 20 56 52 46 20 6e 61 6d 65 20 61 6e	er.overhead..Set.the.VRF.name.an
bfe0	64 20 54 61 62 6c 65 20 49 44 2c 20 73 65 74 20 69 6e 74 65 72 66 61 63 65 20 61 64 64 72 65 73	d.Table.ID,.set.interface.addres
c000	73 20 61 6e 64 20 62 69 6e 64 20 69 74 20 74 6f 20 74 68 65 20 56 52 46 2e 20 4c 61 73 74 20 61	s.and.bind.it.to.the.VRF..Last.a
c020	64 64 20 74 68 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 20 74 6f 20 74 68 65 20 72 65 6d 6f 74	dd.the.static.route.to.the.remot
c040	65 20 6e 65 74 77 6f 72 6b 2e 00 53 65 74 20 74 68 65 20 63 6f 73 74 20 6f 6e 20 74 68 65 20 73	e.network..Set.the.cost.on.the.s
c060	65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 73 20 74 6f 20 62 65 20 32 30 30 2e 20 54 68 69 73 20 6d	econdary.links.to.be.200..This.m
c080	65 61 6e 73 20 74 68 61 74 20 74 68 65 79 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 75 73 65 64 20	eans.that.they.will.not.be.used.
c0a0	75 6e 6c 65 73 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 6c 69 6e 6b 73 20 61 72 65 20 64 6f 77	unless.the.primary.links.are.dow
c0c0	6e 2e 00 53 65 74 20 74 68 65 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 20 6f 6e 20 65 74 68 32 20	n..Set.the.local.subnet.on.eth2.
c0e0	61 6e 64 20 74 68 65 20 70 75 62 6c 69 63 20 69 70 20 61 64 64 72 65 73 73 20 65 74 68 31 20 6f	and.the.public.ip.address.eth1.o
c100	6e 20 65 61 63 68 20 73 69 74 65 2e 00 53 65 74 20 75 70 20 62 61 6e 64 77 69 64 74 68 20 6c 69	n.each.site..Set.up.bandwidth.li
c120	6d 69 74 73 20 6f 6e 20 74 68 65 20 65 74 68 32 20 69 6e 74 65 72 66 61 63 65 20 6f 66 20 74 68	mits.on.the.eth2.interface.of.th
c140	65 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 2e 00 53 65 74 73 20 79 6f 75 72 20	e.router....VyOS2.....Sets.your.
c160	4c 41 4e 20 69 6e 74 65 72 66 61 63 65 27 73 20 49 50 20 61 64 64 72 65 73 73 00 53 65 74 74 69	LAN.interface's.IP.address.Setti
c180	6e 67 20 42 47 50 20 67 6c 6f 62 61 6c 20 6c 6f 63 61 6c 2d 61 73 20 61 73 20 77 65 6c 6c 20 69	ng.BGP.global.local-as.as.well.i
c1a0	6e 73 69 64 65 20 74 68 65 20 56 52 46 2e 20 52 65 64 69 73 74 72 69 62 75 74 65 20 73 74 61 74	nside.the.VRF..Redistribute.stat
c1c0	69 63 20 72 6f 75 74 65 73 20 74 6f 20 69 6e 6a 65 63 74 20 63 6f 6e 66 69 67 75 72 65 64 20 6e	ic.routes.to.inject.configured.n
c1e0	65 74 77 6f 72 6b 73 20 69 6e 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 20 62 75 74	etworks.into.the.BGP.process.but
c200	20 73 74 69 6c 6c 20 69 6e 73 69 64 65 20 74 68 65 20 56 52 46 2e 00 53 65 74 74 69 6e 67 20 75	.still.inside.the.VRF..Setting.u
c220	70 20 41 6e 73 69 62 6c 65 20 6f 6e 20 61 20 73 65 72 76 65 72 20 72 75 6e 6e 69 6e 67 20 74 68	p.Ansible.on.a.server.running.th
c240	65 20 44 65 62 69 61 6e 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 2e 00 53 65 74 75 70	e.Debian.operating.system..Setup
c260	20 74 68 65 20 69 70 76 36 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 74 6f 20 74 68 65 20 74	.the.ipv6.default.route.to.the.t
c280	75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 00 53 68 6f 77 20 72 6f 75 74 65 73 20 66 6f 72 20	unnel.interface.Show.routes.for.
c2a0	61 6c 6c 20 56 52 46 73 00 53 69 6d 69 6c 61 72 6c 79 2c 20 74 6f 20 61 74 74 61 63 68 20 74 68	all.VRFs.Similarly,.to.attach.th
c2c0	65 20 66 69 72 65 77 61 6c 6c 2c 20 79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 69	e.firewall,.you.would.use.`set.i
c2e0	6e 74 65 72 66 61 63 65 73 20 65 74 68 65 72 6e 65 74 20 65 74 68 30 20 66 69 72 65 77 61 6c 6c	nterfaces.ethernet.eth0.firewall
c300	20 69 6e 20 69 70 76 36 2d 6e 61 6d 65 60 20 6f 72 20 60 65 74 20 66 69 72 65 77 61 6c 6c 20 7a	.in.ipv6-name`.or.`et.firewall.z
c320	6f 6e 65 20 4c 4f 43 41 4c 20 66 72 6f 6d 20 57 41 4e 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36	one.LOCAL.from.WAN.firewall.ipv6
c340	2d 6e 61 6d 65 60 2e 00 53 69 6e 63 65 20 73 6f 6d 65 20 49 53 50 73 20 64 69 73 63 6f 6e 6e 65	-name`..Since.some.ISPs.disconne
c360	63 74 73 20 63 6f 6e 74 69 6e 75 6f 75 73 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 6f 72 20 65 76	cts.continuous.connection.for.ev
c380	65 72 79 20 32 7e 33 20 64 61 79 73 2c 20 77 65 20 73 65 74 20 60 60 76 61 6c 69 64 2d 6c 69 66	ery.2~3.days,.we.set.``valid-lif
c3a0	65 74 69 6d 65 60 60 20 74 6f 20 32 20 64 61 79 73 20 74 6f 20 61 6c 6c 6f 77 20 50 43 20 66 6f	etime``.to.2.days.to.allow.PC.fo
c3c0	72 20 70 68 61 73 69 6e 67 20 6f 75 74 20 6f 6c 64 20 61 64 64 72 65 73 73 2e 00 53 69 6e 63 65	r.phasing.out.old.address..Since
c3e0	20 74 68 65 20 74 75 6e 6e 65 6c 20 69 73 20 61 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20	.the.tunnel.is.a.point-to-point.
c400	47 52 45 20 74 75 6e 6e 65 6c 2c 20 69 74 20 62 65 68 61 76 65 73 20 6c 69 6b 65 20 61 6e 79 20	GRE.tunnel,.it.behaves.like.any.
c420	6f 74 68 65 72 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20 69 6e 74 65 72 66 61 63 65 20 28	other.point-to-point.interface.(
c440	66 6f 72 20 65 78 61 6d 70 6c 65 3a 20 73 65 72 69 61 6c 2c 20 64 69 61 6c 65 72 29 2c 20 61 6e	for.example:.serial,.dialer),.an
c460	64 20 69 74 20 69 73 20 70 6f 73 73 69 62 6c 65 20 74 6f 20 72 75 6e 20 61 6e 79 20 49 6e 74 65	d.it.is.possible.to.run.any.Inte
c480	72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f 74 6f 63 6f 6c 20 28 49 47 50 29 2f 45 78 74 65	rior.Gateway.Protocol.(IGP)/Exte
c4a0	72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f 74 6f 63 6f 6c 20 28 45 47 50 29 20 6f 76 65 72	rior.Gateway.Protocol.(EGP).over
c4c0	20 74 68 65 20 6c 69 6e 6b 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 65 78 63 68 61 6e 67 65 20 72	.the.link.in.order.to.exchange.r
c4e0	6f 75 74 69 6e 67 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 00 53 69 6e 63 65 20 77 65 20 68 61 76 65	outing.information.Since.we.have
c500	20 34 20 7a 6f 6e 65 73 2c 20 77 65 20 6e 65 65 64 20 74 6f 20 73 65 74 75 70 20 74 68 65 20 66	.4.zones,.we.need.to.setup.the.f
c520	6f 6c 6c 6f 77 69 6e 67 20 72 75 6c 65 73 65 74 73 2e 00 53 69 6e 67 6c 65 20 4c 41 4e 20 53 65	ollowing.rulesets..Single.LAN.Se
c540	74 75 70 00 53 69 6e 67 6c 65 20 4c 41 4e 20 73 65 74 75 70 20 77 68 65 72 65 20 65 74 68 32 20	tup.Single.LAN.setup.where.eth2.
c560	69 73 20 79 6f 75 72 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 2e 20 55 73 65 20 74 68 65 20 54	is.your.LAN.interface..Use.the.T
c580	75 6e 6e 65 6c 62 72 6f 6b 65 72 20 52 6f 75 74 65 64 20 2f 36 34 20 70 72 65 66 69 78 3a 00 53	unnelbroker.Routed./64.prefix:.S
c5a0	69 74 65 2d 74 6f 2d 53 69 74 65 20 49 50 53 65 63 20 56 50 4e 20 74 6f 20 43 69 73 63 6f 20 75	ite-to-Site.IPSec.VPN.to.Cisco.u
c5c0	73 69 6e 67 20 46 6c 65 78 56 50 4e 00 53 6f 2c 20 77 68 65 6e 20 79 6f 75 72 20 4c 41 4e 20 69	sing.FlexVPN.So,.when.your.LAN.i
c5e0	73 20 65 74 68 31 2c 20 79 6f 75 72 20 44 4d 5a 20 69 73 20 65 74 68 32 2c 20 79 6f 75 72 20 63	s.eth1,.your.DMZ.is.eth2,.your.c
c600	61 6d 65 72 61 73 20 61 72 65 20 6f 6e 20 65 74 68 33 2c 20 65 74 63 3a 00 53 6f 6d 65 74 68 69	ameras.are.on.eth3,.etc:.Somethi
c620	6e 67 20 6c 69 6b 65 3a 00 53 70 6f 6b 65 00 53 74 61 72 74 20 62 79 20 73 65 74 74 69 6e 67 20	ng.like:.Spoke.Start.by.setting.
c640	74 68 65 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e	the.interface.and.default.action
c660	20 66 6f 72 20 65 61 63 68 20 7a 6f 6e 65 2e 00 53 74 61 72 74 20 74 68 65 20 70 6c 61 79 62 6f	.for.each.zone..Start.the.playbo
c680	6f 6b 3a 00 53 74 61 72 74 69 6e 67 20 66 72 6f 6d 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69	ok:.Starting.from.VyOS.1.4-rolli
c6a0	6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 2c 20 61 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20	ng-202308040557,.a.new.firewall.
c6c0	73 74 72 75 63 74 75 72 65 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 6f 6e 20 61 6c 6c 20 76 79	structure.can.be.found.on.all.vy
c6e0	6f 73 20 69 6e 73 74 61 6c 61 74 69 6f 6e 73 2c 20 61 6e 64 20 7a 6f 6e 65 20 62 61 73 65 64 20	os.instalations,.and.zone.based.
c700	66 69 72 65 77 61 6c 6c 20 69 73 20 6e 6f 20 6c 6f 6e 67 65 72 20 73 75 70 70 6f 72 74 65 64 2e	firewall.is.no.longer.supported.
c720	20 44 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 66 6f 72 20 6d 6f 73 74 20 6f 66 20 74 68 65 20 6e	.Documentation.for.most.of.the.n
c740	65 77 20 66 69 72 65 77 61 6c 6c 20 43 4c 49 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20	ew.firewall.CLI.can.be.found.in.
c760	74 68 65 20 60 66 69 72 65 77 61 6c 6c 20 3c 68 74 74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73	the.`firewall.<https://docs.vyos
c780	2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 66 69 72 65	.io/en/latest/configuration/fire
c7a0	77 61 6c 6c 2f 67 65 6e 65 72 61 6c 2e 68 74 6d 6c 3e 60 5f 20 63 68 61 70 74 65 72 2e 20 54 68	wall/general.html>`_.chapter..Th
c7c0	65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 69 73 20 73 74 69 6c 6c 20 61 76 61 69 6c	e.legacy.firewall.is.still.avail
c7e0	61 62 6c 65 20 66 6f 72 20 76 65 72 73 69 6f 6e 73 20 62 65 66 6f 72 65 20 31 2e 34 2d 72 6f 6c	able.for.versions.before.1.4-rol
c800	6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 20 61 6e 64 20 63 61 6e 20 62 65 20 66 6f 75	ling-202308040557.and.can.be.fou
c820	6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 2d 6c 65 67 61 63 79 60	nd.in.the.:ref:`firewall-legacy`
c840	20 63 68 61 70 74 65 72 2e 20 54 68 65 20 65 78 61 6d 70 6c 65 73 20 69 6e 20 74 68 69 73 20 73	.chapter..The.examples.in.this.s
c860	65 63 74 69 6f 6e 20 75 73 65 20 74 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 63	ection.use.the.legacy.firewall.c
c880	6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 6f 6d 6d 61 6e 64 73 2c 20 73 69 6e 63 65 20 74 68 69	onfiguration.commands,.since.thi
c8a0	73 20 66 65 61 74 75 72 65 20 68 61 73 20 62 65 65 6e 20 72 65 6d 6f 76 65 64 20 69 6e 20 65 61	s.feature.has.been.removed.in.ea
c8c0	72 6c 69 65 72 20 72 65 6c 65 61 73 65 73 2e 00 53 74 65 70 20 31 3a 20 56 52 46 20 61 6e 64 20	rlier.releases..Step.1:.VRF.and.
c8e0	43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 74 6f 20 72 65 6d 6f 74 65 20 6e 65 74 77 6f 72 6b	Configurations.to.remote.network
c900	73 00 53 74 65 70 20 32 3a 20 42 47 50 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 6f 72 20	s.Step.2:.BGP.Configuration.for.
c920	56 52 46 2d 4c 69 74 65 00 53 74 65 70 20 33 3a 20 56 50 4e 20 43 6f 6e 66 69 67 75 72 61 74 69	VRF-Lite.Step.3:.VPN.Configurati
c940	6f 6e 00 53 74 65 70 20 34 3a 20 45 6e 64 20 74 6f 20 45 6e 64 20 76 65 72 69 66 69 63 61 74 69	on.Step.4:.End.to.End.verificati
c960	6f 6e 00 53 74 65 70 2d 31 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 49 47 50 20 61 6e 64 20 65	on.Step-1:.Configuring.IGP.and.e
c980	6e 61 62 6c 69 6e 67 20 4d 50 4c 53 20 4c 44 50 00 53 74 65 70 2d 32 3a 20 43 6f 6e 66 69 67 75	nabling.MPLS.LDP.Step-2:.Configu
c9a0	72 69 6e 67 20 69 42 47 50 20 66 6f 72 20 4c 33 56 50 4e 20 63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e	ring.iBGP.for.L3VPN.control-plan
c9c0	65 00 53 74 65 70 2d 33 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 4c 33 56 50 4e 20 56 52 46 73	e.Step-3:.Configuring.L3VPN.VRFs
c9e0	20 6f 6e 20 50 45 20 6e 6f 64 65 73 00 53 74 65 70 2d 34 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67	.on.PE.nodes.Step-4:.Configuring
ca00	20 43 45 20 6e 6f 64 65 73 00 53 74 65 70 2d 35 3a 20 56 65 72 69 66 69 63 61 74 69 6f 6e 00 54	.CE.nodes.Step-5:.Verification.T
ca20	65 6e 61 6e 74 20 6e 65 74 77 6f 72 6b 73 20 28 56 52 46 73 29 00 54 65 73 74 20 4f 53 50 46 00	enant.networks.(VRFs).Test.OSPF.
ca40	54 65 73 74 20 57 69 72 65 47 75 61 72 64 00 54 65 73 74 20 74 68 65 20 72 65 73 75 6c 74 00 54	Test.WireGuard.Test.the.result.T
ca60	65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 32 2d 32 34 00 54 65 73 74 64 61 74 65 3a 20 32 30	estdate:.2023-02-24.Testdate:.20
ca80	32 33 2d 30 35 2d 31 31 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 38 2d 33 31 00 54 65	23-05-11.Testdate:.2023-08-31.Te
caa0	73 74 64 61 74 65 3a 20 32 30 32 34 2d 30 31 2d 31 33 00 54 65 73 74 69 6e 67 00 54 65 73 74 69	stdate:.2024-01-13.Testing.Testi
cac0	6e 67 20 61 6e 64 20 64 65 62 75 67 67 69 6e 67 00 54 68 61 74 27 73 20 68 6f 77 20 79 6f 75 20	ng.and.debugging.That's.how.you.
cae0	63 61 6e 20 65 78 70 61 6e 64 20 74 68 65 20 65 78 61 6d 70 6c 65 20 61 62 6f 76 65 2e 20 55 73	can.expand.the.example.above..Us
cb00	65 20 74 68 65 20 60 52 6f 75 74 65 64 20 2f 34 38 60 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20	e.the.`Routed./48`.information..
cb20	54 68 69 73 20 61 6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 61 73 73 69 67 6e 20 61 20 64 69 66 66	This.allows.you.to.assign.a.diff
cb40	65 72 65 6e 74 20 2f 36 34 20 74 6f 20 65 76 65 72 79 20 69 6e 74 65 72 66 61 63 65 2c 20 4c 41	erent./64.to.every.interface,.LA
cb60	4e 2c 20 6f 72 20 65 76 65 6e 20 64 65 76 69 63 65 2e 20 4f 72 20 79 6f 75 20 63 6f 75 6c 64 20	N,.or.even.device..Or.you.could.
cb80	62 72 65 61 6b 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 20 69 6e 74 6f 20 73 6d 61 6c 6c 65 72 20	break.your.network.into.smaller.
cba0	63 68 75 6e 6b 73 20 6c 69 6b 65 20 2f 35 36 20 6f 72 20 2f 36 30 2e 00 54 68 65 20 4c 61 62 20	chunks.like./56.or./60..The.Lab.
cbc0	61 73 75 6d 65 20 61 20 66 75 6c 6c 20 72 75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20 44 69 72 65	asume.a.full.running.Active.Dire
cbe0	63 74 6f 72 79 20 6f 6e 20 74 68 65 20 57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 2e 20 48 65 72	ctory.on.the.Windows.Server..Her
cc00	65 20 61 72 65 20 73 6f 6d 65 20 50 6f 77 65 72 53 68 65 6c 6c 20 63 6f 6d 6d 61 6e 64 73 20 74	e.are.some.PowerShell.commands.t
cc20	6f 20 71 75 69 63 6b 6c 79 20 61 64 64 20 61 20 54 65 73 74 20 41 63 74 69 76 65 20 44 69 72 65	o.quickly.add.a.Test.Active.Dire
cc40	63 74 6f 72 79 2e 00 54 68 65 20 54 6f 70 6f 6c 6f 67 79 20 61 72 65 20 63 6f 6e 73 69 73 74 73	ctory..The.Topology.are.consists
cc60	20 6f 66 3a 00 54 68 65 20 56 79 4f 53 20 69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67	.of:.The.VyOS.interface.is.assig
cc80	6e 65 64 20 74 68 65 20 2e 31 2f 3a 31 20 61 64 64 72 65 73 73 20 6f 66 20 74 68 65 69 72 20 72	ned.the..1/:1.address.of.their.r
cca0	65 73 70 65 63 74 69 76 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 41 4e 20 69 73 20 6f 6e 20 56 4c	espective.networks..WAN.is.on.VL
ccc0	41 4e 20 31 30 2c 20 4c 41 4e 20 6f 6e 20 56 4c 41 4e 20 32 30 2c 20 61 6e 64 20 44 4d 5a 20 6f	AN.10,.LAN.on.VLAN.20,.and.DMZ.o
cce0	6e 20 56 4c 41 4e 20 33 30 2e 00 54 68 65 20 60 60 63 6f 6d 6d 69 74 60 60 20 63 6f 6d 6d 61 6e	n.VLAN.30..The.``commit``.comman
cd00	64 20 69 73 20 69 6d 70 6c 69 65 64 20 61 66 74 65 72 20 65 76 65 72 79 20 73 65 63 74 69 6f 6e	d.is.implied.after.every.section
cd20	2e 20 49 66 20 79 6f 75 20 6d 61 6b 65 20 61 6e 20 65 72 72 6f 72 2c 20 60 60 63 6f 6d 6d 69 74	..If.you.make.an.error,.``commit
cd40	60 60 20 77 69 6c 6c 20 77 61 72 6e 20 79 6f 75 20 61 6e 64 20 79 6f 75 20 63 61 6e 20 66 69 78	``.will.warn.you.and.you.can.fix
cd60	20 69 74 20 62 65 66 6f 72 65 20 67 65 74 74 69 6e 67 20 74 6f 6f 20 66 61 72 20 69 6e 74 6f 20	.it.before.getting.too.far.into.
cd80	74 68 69 6e 67 73 2e 20 50 6c 65 61 73 65 20 65 6e 73 75 72 65 20 79 6f 75 20 63 6f 6d 6d 69 74	things..Please.ensure.you.commit
cda0	20 65 61 72 6c 79 20 61 6e 64 20 63 6f 6d 6d 69 74 20 6f 66 74 65 6e 2e 00 54 68 65 20 60 60 72	.early.and.commit.often..The.``r
cdc0	65 64 69 73 74 72 69 62 75 74 65 20 6f 73 70 66 60 60 20 63 6f 6d 6d 61 6e 64 20 69 73 20 74 68	edistribute.ospf``.command.is.th
cde0	65 72 65 20 70 75 72 65 6c 79 20 61 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 68 6f 77 20	ere.purely.as.an.example.of.how.
ce00	74 68 69 73 20 63 61 6e 20 62 65 20 65 78 70 61 6e 64 65 64 2e 20 49 6e 20 74 68 69 73 20 77 61	this.can.be.expanded..In.this.wa
ce20	6c 6b 74 68 72 6f 75 67 68 2c 20 69 74 20 77 69 6c 6c 20 62 65 20 66 69 6c 74 65 72 65 64 20 62	lkthrough,.it.will.be.filtered.b
ce40	79 20 42 47 50 4f 55 54 20 72 75 6c 65 20 31 30 30 30 30 2c 20 61 73 20 69 74 20 69 73 20 6e 6f	y.BGPOUT.rule.10000,.as.it.is.no
ce60	74 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32 34 2e 00 54 68 65 20 62 65 6c 6f 77 20 63 6f 6e 66	t.203.0.113.0/24..The.below.conf
ce80	69 67 75 72 61 74 69 6f 6e 20 69 73 20 75 73 65 64 20 61 73 20 65 78 61 6d 70 6c 65 20 77 68 65	iguration.is.used.as.example.whe
cea0	72 65 20 77 65 20 6b 65 65 70 20 66 6f 63 75 73 20 6f 6e 20 56 79 4f 53 2d 50 31 2f 56 79 4f 53	re.we.keep.focus.on.VyOS-P1/VyOS
cec0	2d 50 32 2f 58 52 76 2d 50 33 20 77 68 69 63 68 20 77 65 20 73 68 61 72 65 20 74 68 65 20 73 65	-P2/XRv-P3.which.we.share.the.se
cee0	74 74 69 6e 67 73 2e 00 54 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 73 74 65 70 73 20	ttings..The.configuration.steps.
cf00	61 72 65 20 74 68 65 20 73 61 6d 65 20 61 73 20 69 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20	are.the.same.as.in.the.previous.
cf20	65 78 61 6d 70 6c 65 2c 20 65 78 63 65 70 74 20 72 75 6c 65 20 31 30 2e 20 53 6f 20 77 65 20 6b	example,.except.rule.10..So.we.k
cf40	65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2c 20 72 65 6d 6f 76 65 20 72 75	eep.the.configuration,.remove.ru
cf60	6c 65 20 31 30 20 61 6e 64 20 61 64 64 20 61 20 6e 65 77 20 72 75 6c 65 20 66 6f 72 20 74 68 65	le.10.and.add.a.new.rule.for.the
cf80	20 66 61 69 6c 6f 76 65 72 20 6d 6f 64 65 3a 00 54 68 65 20 65 78 61 6d 70 6c 65 20 74 6f 70 6f	.failover.mode:.The.example.topo
cfa0	6c 6f 67 79 20 68 61 73 20 32 20 56 79 4f 53 20 72 6f 75 74 65 72 73 2e 20 4f 6e 65 20 61 73 20	logy.has.2.VyOS.routers..One.as.
cfc0	54 68 65 20 57 41 4e 20 52 6f 75 74 65 72 20 61 6e 64 20 6f 6e 20 61 73 20 61 20 43 6c 69 65 6e	The.WAN.Router.and.on.as.a.Clien
cfe0	74 2c 20 74 6f 20 74 65 73 74 20 61 20 73 69 6e 67 6c 65 20 4c 41 4e 20 73 65 74 75 70 00 54 68	t,.to.test.a.single.LAN.setup.Th
d000	65 20 66 69 72 73 74 20 74 77 6f 20 72 75 6c 65 73 20 61 72 65 20 74 6f 20 64 65 61 6c 20 77 69	e.first.two.rules.are.to.deal.wi
d020	74 68 20 74 68 65 20 69 64 69 6f 73 79 6e 63 72 61 73 69 65 73 20 6f 66 20 56 79 4f 53 20 61 6e	th.the.idiosyncrasies.of.VyOS.an
d040	64 20 69 70 74 61 62 6c 65 73 2e 00 54 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 61 72 65 20 74 68	d.iptables..The.following.are.th
d060	65 20 72 75 6c 65 73 20 74 68 61 74 20 77 65 72 65 20 63 72 65 61 74 65 64 20 66 6f 72 20 74 68	e.rules.that.were.created.for.th
d080	69 73 20 65 78 61 6d 70 6c 65 20 28 6d 61 79 20 6e 6f 74 20 62 65 20 63 6f 6d 70 6c 65 74 65 29	is.example.(may.not.be.complete)
d0a0	2c 20 62 6f 74 68 20 69 6e 20 49 50 76 34 20 61 6e 64 20 49 50 76 36 2e 20 49 66 20 74 68 65 72	,.both.in.IPv4.and.IPv6..If.ther
d0c0	65 20 69 73 20 6e 6f 20 49 50 20 73 70 65 63 69 66 69 65 64 2c 20 74 68 65 6e 20 74 68 65 20 73	e.is.no.IP.specified,.then.the.s
d0e0	6f 75 72 63 65 2f 64 65 73 74 69 6e 61 74 69 6f 6e 20 61 64 64 72 65 73 73 20 69 73 20 6e 6f 74	ource/destination.address.is.not
d100	20 65 78 70 6c 69 63 69 74 2e 00 54 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 73 6f 66 74 77 61 72	.explicit..The.following.softwar
d120	65 20 77 61 73 20 75 73 65 64 20 69 6e 20 74 68 65 20 63 72 65 61 74 69 6f 6e 20 6f 66 20 74 68	e.was.used.in.the.creation.of.th
d140	69 73 20 64 6f 63 75 6d 65 6e 74 3a 00 54 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 74 65 6d 70 6c	is.document:.The.following.templ
d160	61 74 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 75 73 65 64 20 69 6e	ate.configuration.can.be.used.in
d180	20 65 61 63 68 20 72 65 6d 6f 74 65 20 72 6f 75 74 65 72 20 62 61 73 65 64 20 69 6e 20 6f 75 72	.each.remote.router.based.in.our
d1a0	20 74 6f 70 6f 6c 6f 67 79 2e 00 54 68 65 20 66 6f 72 6d 61 74 20 6f 66 20 74 68 65 73 65 20 61	.topology..The.format.of.these.a
d1c0	64 64 72 65 73 73 65 73 3a 00 54 68 65 20 6c 61 62 20 49 20 62 75 69 6c 74 20 69 73 20 75 73 69	ddresses:.The.lab.I.built.is.usi
d1e0	6e 67 20 61 20 56 52 46 20 28 63 61 6c 6c 65 64 20 2a 2a 6d 67 6d 74 2a 2a 29 20 74 6f 20 70 72	ng.a.VRF.(called.mgmt).to.pr
d200	6f 76 69 64 65 20 6f 75 74 2d 6f 66 2d 62 61 6e 64 20 53 53 48 20 61 63 63 65 73 73 20 74 6f 20	ovide.out-of-band.SSH.access.to.
d220	74 68 65 20 50 45 20 28 50 72 6f 76 69 64 65 72 20 45 64 67 65 29 20 72 6f 75 74 65 72 73 2e 00	the.PE.(Provider.Edge).routers..
d240	54 68 65 20 6c 61 62 20 77 61 73 20 62 75 69 6c 74 20 75 73 69 6e 67 20 45 56 45 2d 4e 47 2e 00	The.lab.was.built.using.EVE-NG..
d260	54 68 65 20 6e 65 78 74 20 70 61 67 65 73 20 63 6f 6e 74 61 69 6e 73 20 61 75 74 6f 6d 61 74 69	The.next.pages.contains.automati
d280	63 20 66 75 6c 6c 20 74 65 73 74 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d	c.full.tested.configuration.exam
d2a0	70 6c 65 73 2e 00 54 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 20 75 73 65 64 20	ples..The.previous.example.used.
d2c0	74 68 65 20 66 61 69 6c 6f 76 65 72 20 63 6f 6d 6d 61 6e 64 20 74 6f 20 73 65 6e 64 20 74 72 61	the.failover.command.to.send.tra
d2e0	66 66 69 63 20 74 68 72 6f 75 67 68 20 65 74 68 31 20 69 66 20 65 74 68 30 20 66 61 69 6c 73 2e	ffic.through.eth1.if.eth0.fails.
d300	20 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 2c 20 66 61 69 6c 6f 76 65 72 20 66 75 6e 63 74	.In.this.example,.failover.funct
d320	69 6f 6e 61 6c 69 74 79 20 69 73 20 70 72 6f 76 69 64 65 64 20 62 79 20 72 75 6c 65 20 6f 72 64	ionality.is.provided.by.rule.ord
d340	65 72 2e 00 54 68 65 20 70 72 6f 63 65 73 73 20 77 69 6c 6c 20 64 6f 20 74 68 65 20 66 6f 6c 6c	er..The.process.will.do.the.foll
d360	6f 77 69 6e 67 20 73 74 65 70 73 3a 00 54 68 65 20 73 63 6f 70 65 20 6f 66 20 74 68 69 73 20 64	owing.steps:.The.scope.of.this.d
d380	6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 63 6f 76 65 72 20 73 75 63 68 20 63 61 73 65 73 20 69	ocument.is.to.cover.such.cases.i
d3a0	6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61 79 20 77 69 74 68 6f 75 74 20 74 68 65 20 75 73 65 20	n.a.dynamic.way.without.the.use.
d3c0	6f 66 20 4d 50 4c 53 2d 4c 44 50 2e 00 54 68 65 20 73 65 74 75 70 20 75 73 65 64 20 69 6e 20 74	of.MPLS-LDP..The.setup.used.in.t
d3e0	68 69 73 20 65 78 61 6d 70 6c 65 20 69 73 20 73 68 6f 77 6e 20 69 6e 20 74 68 65 20 66 6f 6c 6c	his.example.is.shown.in.the.foll
d400	6f 77 69 6e 67 20 64 69 61 67 72 61 6d 3a 00 54 68 65 20 73 69 6d 70 6c 65 20 77 61 79 20 77 69	owing.diagram:.The.simple.way.wi
d420	74 68 6f 75 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 68 6f 73 74 6e	thout.configuration.of.the.hostn
d440	61 6d 65 20 28 6f 6e 65 20 74 61 73 6b 20 66 6f 72 20 61 6c 6c 20 72 6f 75 74 65 72 73 29 3a 00	ame.(one.task.for.all.routers):.
d460	54 68 65 20 73 69 6d 70 6c 65 73 74 20 77 61 79 20 74 6f 20 74 65 73 74 20 69 73 20 74 6f 20 6c	The.simplest.way.to.test.is.to.l
d480	6f 6f 6b 20 61 74 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 72 61 63 6b 69 6e 67 20 73	ook.at.the.connection.tracking.s
d4a0	74 61 74 73 20 6f 6e 20 74 68 65 20 73 74 61 6e 64 62 79 20 68 61 72 64 77 61 72 65 20 72 6f 75	tats.on.the.standby.hardware.rou
d4c0	74 65 72 20 77 69 74 68 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 68 6f 77 20 63 6f 6e 6e	ter.with.the.command.``show.conn
d4e0	74 72 61 63 6b 2d 73 79 6e 63 20 73 74 61 74 69 73 74 69 63 73 60 60 2e 20 54 68 65 20 6e 75 6d	track-sync.statistics``..The.num
d500	62 65 72 73 20 73 68 6f 75 6c 64 20 62 65 20 76 65 72 79 20 63 6c 6f 73 65 20 74 6f 20 74 68 65	bers.should.be.very.close.to.the
d520	20 6e 75 6d 62 65 72 73 20 6f 6e 20 74 68 65 20 70 72 69 6d 61 72 79 20 72 6f 75 74 65 72 2e 00	.numbers.on.the.primary.router..
d540	54 68 65 20 73 79 6e 63 20 67 72 6f 75 70 20 69 73 20 75 73 65 64 20 74 6f 20 72 65 70 6c 69 63	The.sync.group.is.used.to.replic
d560	61 74 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 72 61 63 6b 69 6e 67 2e 20 49 74 20 6e 65 65 64	ate.connection.tracking..It.need
d580	73 20 74 6f 20 62 65 20 61 73 73 69 67 6e 65 64 20 74 6f 20 61 20 72 61 6e 64 6f 6d 20 56 52 52	s.to.be.assigned.to.a.random.VRR
d5a0	50 20 67 72 6f 75 70 2c 20 61 6e 64 20 77 65 20 61 72 65 20 63 72 65 61 74 69 6e 67 20 61 20 73	P.group,.and.we.are.creating.a.s
d5c0	79 6e 63 20 67 72 6f 75 70 20 63 61 6c 6c 65 64 20 60 60 73 79 6e 63 60 60 20 75 73 69 6e 67 20	ync.group.called.``sync``.using.
d5e0	74 68 65 20 76 72 72 70 20 67 72 6f 75 70 20 60 60 69 6e 74 60 60 2e 00 54 68 65 20 74 6f 70 6f	the.vrrp.group.``int``..The.topo
d600	6c 6f 67 79 20 68 61 73 20 33 20 56 79 4f 53 20 72 6f 75 74 65 72 73 20 61 6e 64 20 6f 6e 65 20	logy.has.3.VyOS.routers.and.one.
d620	63 6c 69 65 6e 74 2e 20 42 65 74 77 65 65 6e 20 74 68 65 20 44 48 43 50 20 53 65 72 76 65 72 20	client..Between.the.DHCP.Server.
d640	61 6e 64 20 74 68 65 20 44 48 43 50 20 52 65 6c 61 79 20 69 73 20 61 20 47 52 45 20 74 75 6e 6e	and.the.DHCP.Relay.is.a.GRE.tunn
d660	65 6c 2e 20 54 68 65 20 60 74 72 61 6e 73 70 6f 72 74 60 20 56 79 4f 53 20 72 65 70 72 65 73 65	el..The.`transport`.VyOS.represe
d680	6e 74 20 61 20 6c 61 72 67 65 20 4e 65 74 77 6f 72 6b 2e 00 54 68 65 20 74 6f 70 6f 6c 6f 67 79	nt.a.large.Network..The.topology
d6a0	20 68 61 76 65 20 61 20 63 65 6e 74 72 61 6c 20 61 6e 64 20 61 20 62 72 61 6e 63 68 20 56 79 4f	.have.a.central.and.a.branch.VyO
d6c0	53 20 72 6f 75 74 65 72 20 61 6e 64 20 6f 6e 65 20 63 6c 69 65 6e 74 2c 20 74 6f 20 74 65 73 74	S.router.and.one.client,.to.test
d6e0	2c 20 69 6e 20 65 61 63 68 20 73 69 74 65 2e 00 54 68 65 6e 20 61 64 64 20 61 20 72 6f 75 74 65	,.in.each.site..Then.add.a.route
d700	2d 6d 61 70 20 61 6e 64 20 72 65 66 65 72 65 6e 63 65 20 74 6f 20 61 62 6f 76 65 20 70 72 65 66	-map.and.reference.to.above.pref
d720	69 78 2e 20 43 6f 6e 73 69 64 65 72 20 74 68 61 74 20 74 68 65 20 61 63 74 69 6f 6e 73 20 74 61	ix..Consider.that.the.actions.ta
d740	6b 65 6e 20 69 6e 73 69 64 65 20 74 68 65 20 70 72 65 66 69 78 20 77 69 6c 6c 20 4d 41 54 43 48	ken.inside.the.prefix.will.MATCH
d760	20 74 68 65 20 72 6f 75 74 65 73 20 74 68 61 74 20 77 69 6c 6c 20 62 65 20 61 66 66 65 63 74 65	.the.routes.that.will.be.affecte
d780	64 20 62 79 20 74 68 65 20 61 63 74 69 6f 6e 73 20 69 6e 73 69 64 65 20 74 68 65 20 72 75 6c 65	d.by.the.actions.inside.the.rule
d7a0	73 20 6f 66 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 2e 00 54 68 65 6e 20 77 65 20 6e 65 65 64	s.of.the.route-map..Then.we.need
d7c0	20 74 6f 20 61 74 74 61 63 68 20 74 68 65 20 70 6f 6c 69 63 79 20 74 6f 20 74 68 65 20 42 47 50	.to.attach.the.policy.to.the.BGP
d7e0	20 70 72 6f 63 65 73 73 2e 20 54 68 69 73 20 6e 65 65 64 73 20 74 6f 20 62 65 20 75 6e 64 65 72	.process..This.needs.to.be.under
d800	20 74 68 65 20 69 6d 70 6f 72 74 20 73 74 61 74 65 6d 65 6e 74 20 69 6e 20 74 68 65 20 76 72 66	.the.import.statement.in.the.vrf
d820	20 77 65 20 6e 65 65 64 20 74 6f 20 66 69 6c 74 65 72 2e 00 54 68 65 72 65 20 61 72 65 20 73 6f	.we.need.to.filter..There.are.so
d840	6d 65 20 63 61 73 65 73 20 77 68 65 72 65 20 74 68 69 73 20 69 73 20 6e 6f 74 20 6e 65 65 64 65	me.cases.where.this.is.not.neede
d860	64 20 2d 66 6f 72 20 65 78 61 6d 70 6c 65 2c 20 69 6e 20 73 6f 6d 65 20 44 44 6f 53 20 61 70 70	d.-for.example,.in.some.DDoS.app
d880	6c 69 61 6e 63 65 2d 20 62 75 74 20 6d 6f 73 74 20 69 6e 74 65 72 2d 76 72 66 20 72 6f 75 74 69	liance-.but.most.inter-vrf.routi
d8a0	6e 67 20 64 65 73 69 67 6e 73 20 75 73 65 20 74 68 65 20 61 62 6f 76 65 20 63 6f 6e 66 69 67 75	ng.designs.use.the.above.configu
d8c0	72 61 74 69 6f 6e 73 2e 00 54 68 65 72 65 20 69 73 20 70 6c 65 6e 74 79 20 6f 66 20 69 6e 73 74	rations..There.is.plenty.of.inst
d8e0	72 75 63 74 69 6f 6e 73 20 61 6e 64 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 6f 6e 20 73 65	ructions.and.documentation.on.se
d900	74 74 69 6e 67 20 75 70 20 57 69 72 65 67 75 61 72 64 2e 20 54 68 65 20 6f 6e 6c 79 20 69 6d 70	tting.up.Wireguard..The.only.imp
d920	6f 72 74 61 6e 74 20 74 68 69 6e 67 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 72 65 6d 65 6d 62 65	ortant.thing.you.need.to.remembe
d940	72 20 69 73 20 74 6f 20 6f 6e 6c 79 20 75 73 65 20 6f 6e 65 20 57 69 72 65 47 75 61 72 64 20 69	r.is.to.only.use.one.WireGuard.i
d960	6e 74 65 72 66 61 63 65 20 70 65 72 20 4f 53 50 46 20 63 6f 6e 6e 65 63 74 69 6f 6e 2e 00 54 68	nterface.per.OSPF.connection..Th
d980	65 73 65 20 61 72 65 20 74 68 65 20 76 6c 61 6e 73 20 77 65 20 77 69 6c 6c 20 62 65 20 75 73 69	ese.are.the.vlans.we.will.be.usi
d9a0	6e 67 3a 00 54 68 65 79 20 77 61 6e 74 20 75 73 20 74 6f 20 65 73 74 61 62 6c 69 73 68 20 61 20	ng:.They.want.us.to.establish.a.
d9c0	42 47 50 20 73 65 73 73 69 6f 6e 20 74 6f 20 74 68 65 69 72 20 72 6f 75 74 65 72 73 20 6f 6e 20	BGP.session.to.their.routers.on.
d9e0	31 39 32 2e 30 2e 32 2e 31 31 20 61 6e 64 20 31 39 32 2e 30 2e 32 2e 31 32 20 66 72 6f 6d 20 6f	192.0.2.11.and.192.0.2.12.from.o
da00	75 72 20 72 6f 75 74 65 72 73 20 31 39 32 2e 30 2e 32 2e 32 31 20 61 6e 64 20 31 39 32 2e 30 2e	ur.routers.192.0.2.21.and.192.0.
da20	32 2e 32 32 2e 20 54 68 65 79 20 61 72 65 20 41 53 20 36 35 35 35 30 20 61 6e 64 20 77 65 20 61	2.22..They.are.AS.65550.and.we.a
da40	72 65 20 41 53 20 36 35 35 35 31 2e 00 54 68 69 73 20 4c 41 42 20 73 68 6f 77 20 68 6f 77 20 74	re.AS.65551..This.LAB.show.how.t
da60	6f 20 75 77 65 20 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 61 20 41 63 74 69 76 65 20 44 69 72 65	o.uwe.OpenVPN.with.a.Active.Dire
da80	63 74 6f 72 79 20 61 75 74 68 65 6e 74 69 63 61 74 69 6f 6e 20 62 61 63 6b 65 6e 64 2e 00 54 68	ctory.authentication.backend..Th
daa0	69 73 20 61 63 63 6f 6d 70 6c 69 73 68 65 73 20 61 20 66 65 77 20 74 68 69 6e 67 73 3a 00 54 68	is.accomplishes.a.few.things:.Th
dac0	69 73 20 63 68 61 70 74 65 72 20 63 6f 6e 74 61 69 6e 73 20 76 61 72 69 6f 75 73 20 63 6f 6e 66	is.chapter.contains.various.conf
dae0	69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 73 3a 00 54 68 69 73 20 63 6f 6e 66 69 67 75	iguration.examples:.This.configu
db00	72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 20 61 6e 64 20 74 68 65 20 72 65 71 75 69 72 6d 65 6e	ration.example.and.the.requirmen
db20	74 73 20 63 6f 6e 73 69 73 74 73 20 6f 6e 3a 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 61 69	ts.consists.on:.This.document.ai
db40	6d 73 20 74 6f 20 77 61 6c 6b 20 79 6f 75 20 74 68 72 6f 75 67 68 20 73 65 74 74 69 6e 67 20 65	ms.to.walk.you.through.setting.e
db60	76 65 72 79 74 68 69 6e 67 20 75 70 2c 20 73 6f 20 61 74 20 61 20 70 6f 69 6e 74 20 77 68 65 72	verything.up,.so.at.a.point.wher
db80	65 20 79 6f 75 20 63 61 6e 20 72 65 62 6f 6f 74 20 61 6e 79 20 6d 61 63 68 69 6e 65 20 61 6e 64	e.you.can.reboot.any.machine.and
dba0	20 6e 6f 74 20 6c 6f 73 65 20 6d 6f 72 65 20 74 68 61 6e 20 61 20 66 65 77 20 73 65 63 6f 6e 64	.not.lose.more.than.a.few.second
dbc0	73 20 77 6f 72 74 68 20 6f 66 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 2e 00 54 68 69 73 20 64 6f	s.worth.of.connectivity..This.do
dbe0	63 75 6d 65 6e 74 20 69 73 20 74 6f 20 64 65 73 63 72 69 62 65 20 61 20 62 61 73 69 63 20 73 65	cument.is.to.describe.a.basic.se
dc00	74 75 70 20 75 73 69 6e 67 20 50 50 50 6f 45 20 77 69 74 68 20 44 48 43 50 76 36 2d 50 44 20 2b	tup.using.PPPoE.with.DHCPv6-PD.+
dc20	20 53 4c 41 41 43 20 74 6f 20 63 6f 6e 73 74 72 75 63 74 20 61 20 74 79 70 69 63 61 6c 20 68 6f	.SLAAC.to.construct.a.typical.ho
dc40	6d 65 20 6e 65 74 77 6f 72 6b 2e 20 54 68 65 20 75 73 65 72 20 63 61 6e 20 66 6f 6c 6c 6f 77 20	me.network..The.user.can.follow.
dc60	74 68 65 20 73 74 65 70 73 20 64 65 73 63 72 69 62 65 64 20 68 65 72 65 20 74 6f 20 71 75 69 63	the.steps.described.here.to.quic
dc80	6b 6c 79 20 73 65 74 75 70 20 61 20 77 6f 72 6b 69 6e 67 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20	kly.setup.a.working.network.and.
dca0	75 73 65 20 74 68 69 73 20 61 73 20 61 20 73 74 61 72 74 69 6e 67 20 70 6f 69 6e 74 20 74 6f 20	use.this.as.a.starting.point.to.
dcc0	66 75 72 74 68 65 72 20 63 6f 6e 66 69 67 75 72 65 20 6f 72 20 66 69 6e 65 2d 74 75 6e 65 20 6f	further.configure.or.fine-tune.o
dce0	74 68 65 72 20 73 65 74 74 69 6e 67 73 2e 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77 61 6c	ther.settings..This.document.wal
dd00	6b 73 20 79 6f 75 20 74 68 72 6f 75 67 68 20 61 20 63 6f 6d 70 6c 65 74 65 20 48 41 20 73 65 74	ks.you.through.a.complete.HA.set
dd20	75 70 20 6f 66 20 74 77 6f 20 56 79 4f 53 20 6d 61 63 68 69 6e 65 73 2e 20 54 68 69 73 20 64 65	up.of.two.VyOS.machines..This.de
dd40	73 69 67 6e 20 69 73 20 62 61 73 65 64 20 6f 6e 20 61 20 56 4d 20 61 73 20 74 68 65 20 70 72 69	sign.is.based.on.a.VM.as.the.pri
dd60	6d 61 72 79 20 72 6f 75 74 65 72 20 61 6e 64 20 61 20 70 68 79 73 69 63 61 6c 20 6d 61 63 68 69	mary.router.and.a.physical.machi
dd80	6e 65 20 61 73 20 61 20 62 61 63 6b 75 70 2c 20 75 73 69 6e 67 20 56 52 52 50 2c 20 42 47 50 2c	ne.as.a.backup,.using.VRRP,.BGP,
dda0	20 4f 53 50 46 2c 20 61 6e 64 20 63 6f 6e 6e 74 72 61 63 6b 20 73 68 61 72 69 6e 67 2e 00 54 68	.OSPF,.and.conntrack.sharing..Th
ddc0	69 73 20 65 6e 73 75 72 65 73 20 79 6f 75 20 64 6f 6e 27 74 20 67 6f 20 74 6f 6f 20 66 61 73 74	is.ensures.you.don't.go.too.fast
dde0	20 6f 72 20 6d 69 73 73 20 61 20 73 74 65 70 2e 20 48 6f 77 65 76 65 72 2c 20 69 74 20 77 69 6c	.or.miss.a.step..However,.it.wil
de00	6c 20 6d 61 6b 65 20 79 6f 75 72 20 6c 69 66 65 20 65 61 73 69 65 72 20 74 6f 20 63 6f 6e 66 69	l.make.your.life.easier.to.confi
de20	67 75 72 65 20 74 68 65 20 66 69 78 65 64 20 49 50 20 61 64 64 72 65 73 73 20 61 6e 64 20 64 65	gure.the.fixed.IP.address.and.de
de40	66 61 75 6c 74 20 72 6f 75 74 65 20 6e 6f 77 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20	fault.route.now.on.the.hardware.
de60	72 6f 75 74 65 72 2e 00 54 68 69 73 20 65 78 61 6d 70 6c 65 20 75 73 65 73 20 74 68 65 20 66 61	router..This.example.uses.the.fa
de80	69 6c 6f 76 65 72 20 6d 6f 64 65 2e 00 54 68 69 73 20 67 69 76 65 73 20 75 73 20 4d 50 4c 53 20	ilover.mode..This.gives.us.MPLS.
dea0	73 65 67 6d 65 6e 74 20 72 6f 75 74 69 6e 67 20 65 6e 61 62 6c 65 64 20 61 6e 64 20 6c 61 62 65	segment.routing.enabled.and.labe
dec0	6c 73 20 66 6f 72 77 61 72 64 69 6e 67 20 3a 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73	ls.forwarding.:.This.guide.shows
dee0	20 61 20 73 61 6d 70 6c 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 6f 72 20 46 6c 65 78	.a.sample.configuration.for.Flex
df00	56 50 4e 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 49 6e 74 65 72 6e 65 74 20 50 72 6f 74 6f 63	VPN.site-to-site.Internet.Protoc
df20	6f 6c 20 53 65 63 75 72 69 74 79 20 28 49 50 73 65 63 29 2f 47 65 6e 65 72 69 63 20 52 6f 75 74	ol.Security.(IPsec)/Generic.Rout
df40	69 6e 67 20 45 6e 63 61 70 73 75 6c 61 74 69 6f 6e 20 28 47 52 45 29 20 74 75 6e 6e 65 6c 2e 00	ing.Encapsulation.(GRE).tunnel..
df60	54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61	This.guide.shows.an.example.of.a
df80	20 72 65 64 75 6e 64 61 6e 74 20 28 61 63 74 69 76 65 2d 61 63 74 69 76 65 29 20 72 6f 75 74 65	.redundant.(active-active).route
dfa0	2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 74 6f	-based.IKEv2.site-to-site.VPN.to
dfc0	20 41 7a 75 72 65 20 75 73 69 6e 67 20 56 54 49 20 61 6e 64 20 42 47 50 20 66 6f 72 20 64 79 6e	.Azure.using.VTI.and.BGP.for.dyn
dfe0	61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 70 64 61 74 65 73 2e 00 54 68 69 73 20 67 75 69 64 65	amic.routing.updates..This.guide
e000	20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 61 20 72 6f 75 74 65 2d 62 61 73	.shows.an.example.of.a.route-bas
e020	65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75	ed.IKEv2.site-to-site.VPN.to.Azu
e040	72 65 20 75 73 69 6e 67 20 56 54 49 20 61 6e 64 20 42 47 50 20 66 6f 72 20 64 79 6e 61 6d 69 63	re.using.VTI.and.BGP.for.dynamic
e060	20 72 6f 75 74 69 6e 67 20 75 70 64 61 74 65 73 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f	.routing.updates..This.guide.sho
e080	77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 70 6f 6c 69 63 79 2d 62 61 73 65 64 20 49 4b 45 76 32	ws.an.example.policy-based.IKEv2
e0a0	20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 62 65 74 77 65 65 6e 20 74 77 6f 20 56 79	.site-to-site.VPN.between.two.Vy
e0c0	4f 53 20 72 6f 75 74 65 72 73 2c 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 69	OS.routers,.and.firewall.configi
e0e0	75 72 61 74 69 6f 6e 2e 00 54 68 69 73 20 67 75 69 64 65 20 77 61 6c 6b 73 20 74 68 72 6f 75 67	uration..This.guide.walks.throug
e100	68 20 74 68 65 20 73 65 74 75 70 20 6f 66 20 68 74 74 70 73 3a 2f 2f 77 77 77 2e 74 75 6e 6e 65	h.the.setup.of.https://www.tunne
e120	6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 20 66 6f 72 20 61 6e 20 49 50 76 36 20 54 75 6e 6e 65 6c 2e	lbroker.net/.for.an.IPv6.Tunnel.
e140	00 54 68 69 73 20 68 61 73 20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20	.This.has.a.floating.IP.address.
e160	6f 66 20 31 30 2e 32 30 30 2e 32 30 31 2e 31 2f 32 34 2c 20 75 73 69 6e 67 20 76 69 72 74 75 61	of.10.200.201.1/24,.using.virtua
e180	6c 20 72 6f 75 74 65 72 20 49 44 20 32 30 31 2e 20 54 68 65 20 64 69 66 66 65 72 65 6e 63 65 20	l.router.ID.201..The.difference.
e1a0	62 65 74 77 65 65 6e 20 74 68 65 6d 20 69 73 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 6e 61	between.them.is.the.interface.na
e1c0	6d 65 2c 20 68 65 6c 6c 6f 2d 73 6f 75 72 63 65 2d 61 64 64 72 65 73 73 2c 20 61 6e 64 20 70 65	me,.hello-source-address,.and.pe
e1e0	65 72 2d 61 64 64 72 65 73 73 2e 00 54 68 69 73 20 68 61 73 20 61 20 66 6c 6f 61 74 69 6e 67 20	er-address..This.has.a.floating.
e200	49 50 20 61 64 64 72 65 73 73 20 6f 66 20 32 30 33 2e 30 2e 31 31 33 2e 31 2f 32 34 2c 20 75 73	IP.address.of.203.0.113.1/24,.us
e220	69 6e 67 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 31 31 33 2e 20 54 68 65 20 76	ing.virtual.router.ID.113..The.v
e240	69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 69 73 20 6a 75 73 74 20 61 20 72 61 6e 64 6f	irtual.router.ID.is.just.a.rando
e260	6d 20 6e 75 6d 62 65 72 20 62 65 74 77 65 65 6e 20 31 20 61 6e 64 20 32 35 34 2c 20 61 6e 64 20	m.number.between.1.and.254,.and.
e280	63 61 6e 20 62 65 20 73 65 74 20 74 6f 20 77 68 61 74 65 76 65 72 20 79 6f 75 20 77 61 6e 74 2e	can.be.set.to.whatever.you.want.
e2a0	20 42 65 73 74 20 70 72 61 63 74 69 63 65 73 20 73 75 67 67 65 73 74 20 79 6f 75 20 74 72 79 20	.Best.practices.suggest.you.try.
e2c0	74 6f 20 6b 65 65 70 20 74 68 65 6d 20 75 6e 69 71 75 65 20 65 6e 74 65 72 70 72 69 73 65 2d 77	to.keep.them.unique.enterprise-w
e2e0	69 64 65 2e 00 54 68 69 73 20 69 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66 20 74 68 65 20 74	ide..This.is.an.example.of.the.t
e300	68 72 65 65 20 62 61 73 65 20 72 75 6c 65 73 2e 00 54 68 69 73 20 69 73 20 62 61 73 65 64 20 6f	hree.base.rules..This.is.based.o
e320	6e 20 61 20 72 65 61 6c 2d 6c 69 66 65 20 70 72 6f 64 75 63 74 69 6f 6e 20 64 65 73 69 67 6e 2e	n.a.real-life.production.design.
e340	20 4f 6e 65 20 6f 66 20 74 68 65 20 63 6f 6d 70 6c 65 78 20 69 73 73 75 65 73 20 69 73 20 65 6e	.One.of.the.complex.issues.is.en
e360	73 75 72 69 6e 67 20 79 6f 75 20 68 61 76 65 20 72 65 64 75 6e 64 61 6e 74 20 64 61 74 61 20 49	suring.you.have.redundant.data.I
e380	4e 54 4f 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 2e 20 57 65 20 64 6f 20 74 68 69 73 20 77 69 74	NTO.your.network..We.do.this.wit
e3a0	68 20 61 20 70 61 69 72 20 6f 66 20 43 69 73 63 6f 20 4e 65 78 75 73 20 73 77 69 74 63 68 65 73	h.a.pair.of.Cisco.Nexus.switches
e3c0	20 61 6e 64 20 75 73 69 6e 67 20 56 69 72 74 75 61 6c 20 50 6f 72 74 43 68 61 6e 6e 65 6c 73 20	.and.using.Virtual.PortChannels.
e3e0	74 68 61 74 20 61 72 65 20 73 70 61 6e 6e 65 64 20 61 63 72 6f 73 73 20 74 68 65 6d 2e 20 41 73	that.are.spanned.across.them..As
e400	20 61 20 62 6f 6e 75 73 2c 20 74 68 69 73 20 61 6c 73 6f 20 61 6c 6c 6f 77 73 20 66 6f 72 20 63	.a.bonus,.this.also.allows.for.c
e420	6f 6d 70 6c 65 74 65 20 73 77 69 74 63 68 20 66 61 69 6c 75 72 65 20 77 69 74 68 6f 75 74 20 61	omplete.switch.failure.without.a
e440	6e 20 6f 75 74 61 67 65 2e 20 48 6f 77 20 79 6f 75 20 61 63 68 69 65 76 65 20 74 68 69 73 20 79	n.outage..How.you.achieve.this.y
e460	6f 75 72 73 65 6c 66 20 69 73 20 6c 65 66 74 20 61 73 20 61 6e 20 65 78 65 72 63 69 73 65 20 74	ourself.is.left.as.an.exercise.t
e480	6f 20 74 68 65 20 72 65 61 64 65 72 2e 20 42 75 74 20 6f 75 72 20 73 65 74 75 70 20 69 73 20 64	o.the.reader..But.our.setup.is.d
e4a0	6f 63 75 6d 65 6e 74 65 64 20 68 65 72 65 2e 00 54 68 69 73 20 69 73 20 63 6f 6e 6e 65 63 74 69	ocumented.here..This.is.connecti
e4c0	6e 67 20 62 61 63 6b 20 74 6f 20 74 68 65 20 53 54 41 54 49 43 20 49 50 20 6f 66 20 72 6f 75 74	ng.back.to.the.STATIC.IP.of.rout
e4e0	65 72 31 2c 20 6e 6f 74 20 74 68 65 20 66 6c 6f 61 74 69 6e 67 2e 00 54 68 69 73 20 69 73 20 69	er1,.not.the.floating..This.is.i
e500	64 65 6e 74 69 63 61 6c 2c 20 62 75 74 20 79 6f 75 20 75 73 65 20 74 68 65 20 42 47 50 50 52 45	dentical,.but.you.use.the.BGPPRE
e520	50 45 4e 44 4f 55 54 20 72 6f 75 74 65 2d 6d 61 70 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 74	PENDOUT.route-map.to.advertise.t
e540	68 65 20 72 6f 75 74 65 20 77 69 74 68 20 61 20 6c 6f 6e 67 65 72 20 70 61 74 68 2e 00 54 68 69	he.route.with.a.longer.path..Thi
e560	73 20 69 73 20 69 67 6e 6f 72 69 6e 67 20 74 68 65 20 65 78 74 72 61 20 4f 75 74 2d 6f 66 2d 62	s.is.ignoring.the.extra.Out-of-b
e580	61 6e 64 20 6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f 72 6b 69 6e 67 2c 20 77 68 69 63 68	and.management.networking,.which
e5a0	20 73 68 6f 75 6c 64 20 62 65 20 6f 6e 20 74 6f 74 61 6c 6c 79 20 64 69 66 66 65 72 65 6e 74 20	.should.be.on.totally.different.
e5c0	73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 61 20 64 69 66 66 65 72 65 6e 74 20 66 65 65 64 20 69	switches,.and.a.different.feed.i
e5e0	6e 74 6f 20 74 68 65 20 72 61 63 6b 2c 20 61 6e 64 20 69 73 20 6f 75 74 20 6f 66 20 73 63 6f 70	nto.the.rack,.and.is.out.of.scop
e600	65 20 6f 66 20 74 68 69 73 2e 00 54 68 69 73 20 73 63 65 6e 61 72 69 6f 20 63 6f 75 6c 64 20 62	e.of.this..This.scenario.could.b
e620	65 20 61 20 6e 69 67 68 74 6d 61 72 65 20 61 70 70 6c 79 69 6e 67 20 72 65 67 75 6c 61 72 20 72	e.a.nightmare.applying.regular.r
e640	6f 75 74 69 6e 67 20 61 6e 64 20 6d 69 67 68 74 20 6e 65 65 64 20 66 69 6c 74 65 72 69 6e 67 20	outing.and.might.need.filtering.
e660	69 6e 20 6d 75 6c 74 69 70 6c 65 20 69 6e 74 65 72 66 61 63 65 73 2e 00 54 68 69 73 20 73 65 63	in.multiple.interfaces..This.sec
e680	74 69 6f 6e 20 64 65 73 63 72 69 62 65 73 20 76 65 72 69 66 69 63 61 74 69 6f 6e 20 63 6f 6d 6d	tion.describes.verification.comm
e6a0	61 6e 64 73 20 66 6f 72 20 4d 50 4c 53 2f 42 47 50 2f 4c 44 50 20 70 72 6f 74 6f 63 6f 6c 73 20	ands.for.MPLS/BGP/LDP.protocols.
e6c0	61 6e 64 20 4c 33 56 50 4e 20 72 65 6c 61 74 65 64 20 72 6f 75 74 65 73 20 61 73 20 77 65 6c 6c	and.L3VPN.related.routes.as.well
e6e0	20 61 73 20 64 69 61 67 6e 6f 73 69 73 20 61 6e 64 20 72 65 61 63 68 61 62 69 6c 69 74 79 20 63	.as.diagnosis.and.reachability.c
e700	68 65 63 6b 73 20 62 65 74 77 65 65 6e 20 43 45 20 6e 6f 64 65 73 2e 00 54 68 69 73 20 73 65 63	hecks.between.CE.nodes..This.sec
e720	74 69 6f 6e 20 70 72 6f 76 69 64 65 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 73 74 65 70	tion.provides.configuration.step
e740	73 20 66 6f 72 20 73 65 74 74 69 6e 67 20 75 70 20 56 52 46 73 20 6f 6e 20 6f 75 72 20 50 45 20	s.for.setting.up.VRFs.on.our.PE.
e760	6e 6f 64 65 73 20 69 6e 63 6c 75 64 69 6e 67 20 43 45 20 66 61 63 69 6e 67 20 69 6e 74 65 72 66	nodes.including.CE.facing.interf
e780	61 63 65 73 2c 20 42 47 50 2c 20 72 64 20 61 6e 64 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 69	aces,.BGP,.rd.and.route-target.i
e7a0	6d 70 6f 72 74 2f 65 78 70 6f 72 74 20 62 61 73 65 64 20 6f 6e 20 74 68 65 20 70 72 65 2d 64 65	mport/export.based.on.the.pre-de
e7c0	66 69 6e 65 64 20 70 61 72 61 6d 65 74 65 72 73 2e 00 54 68 69 73 20 73 69 6d 70 6c 65 20 73 74	fined.parameters..This.simple.st
e7e0	72 75 63 74 75 72 65 20 73 68 6f 77 20 68 6f 77 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 77 6f 20	ructure.show.how.to.connect.two.
e800	6f 66 66 69 63 65 73 2e 20 4f 6e 65 20 72 65 6d 6f 74 65 20 62 72 61 6e 63 68 20 61 6e 64 20 74	offices..One.remote.branch.and.t
e820	68 65 20 63 65 6e 74 72 61 6c 20 6f 66 66 69 63 65 2e 00 54 68 69 73 20 73 69 6d 70 6c 65 20 73	he.central.office..This.simple.s
e840	74 72 75 63 74 75 72 65 20 73 68 6f 77 73 20 68 6f 77 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20	tructure.shows.how.to.configure.
e860	61 20 44 48 43 50 20 52 65 6c 61 79 20 6f 76 65 72 20 61 20 47 52 45 20 42 72 69 64 67 65 20 69	a.DHCP.Relay.over.a.GRE.Bridge.i
e880	6e 74 65 72 66 61 63 65 2e 00 54 68 69 73 20 77 69 6c 6c 20 62 65 20 76 69 73 69 62 6c 65 20 69	nterface..This.will.be.visible.i
e8a0	6e 20 27 73 68 6f 77 20 69 70 20 72 6f 75 74 65 27 2e 00 54 68 75 73 20 79 6f 75 20 63 61 6e 20	n.'show.ip.route'..Thus.you.can.
e8c0	65 61 73 69 6c 79 20 6d 61 74 63 68 20 69 74 20 74 6f 20 6f 6e 65 20 6f 66 20 74 68 65 20 64 65	easily.match.it.to.one.of.the.de
e8e0	76 69 63 65 73 2f 6e 65 74 77 6f 72 6b 73 20 62 65 6c 6f 77 2e 00 54 6f 20 61 63 68 69 65 76 65	vices/networks.below..To.achieve
e900	20 74 68 69 73 2c 20 79 6f 75 72 20 49 53 50 20 69 73 20 72 65 71 75 69 72 65 64 20 74 6f 20 73	.this,.your.ISP.is.required.to.s
e920	75 70 70 6f 72 74 20 44 48 43 50 76 36 2d 50 44 2e 20 49 66 20 79 6f 75 27 72 65 20 6e 6f 74 20	upport.DHCPv6-PD..If.you're.not.
e940	73 75 72 65 2c 20 70 6c 65 61 73 65 20 63 6f 6e 74 61 63 74 20 79 6f 75 72 20 49 53 50 20 66 6f	sure,.please.contact.your.ISP.fo
e960	72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 54 6f 20 61 64 64 20 6c 6f 67 67 69	r.more.information..To.add.loggi
e980	6e 67 20 74 6f 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 75 6c 65 2c 20 64 6f 3a 00 54 6f 20 61	ng.to.the.default.rule,.do:.To.a
e9a0	64 64 72 65 73 73 20 74 68 69 73 20 73 63 65 6e 61 72 69 6f 20 77 65 20 77 69 6c 6c 20 75 73 65	ddress.this.scenario.we.will.use
e9c0	20 74 6f 20 6f 75 72 20 61 64 76 61 6e 74 61 67 65 20 61 6e 20 65 78 74 65 6e 73 69 6f 6e 20 6f	.to.our.advantage.an.extension.o
e9e0	66 20 74 68 65 20 42 47 50 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 74 68 61 74 20	f.the.BGP.routing.protocol.that.
ea00	77 69 6c 6c 20 68 65 6c 70 20 75 73 20 69 6e 20 74 68 65 20 e2 80 9c 45 78 70 6f 72 74 e2 80 9d	will.help.us.in.the....Export...
ea20	20 62 65 74 77 65 65 6e 20 56 52 46 73 20 77 69 74 68 6f 75 74 20 74 68 65 20 6e 65 65 64 20 66	.between.VRFs.without.the.need.f
ea40	6f 72 20 4d 50 4c 53 2e 00 54 6f 20 64 65 70 6c 6f 79 20 61 20 4c 61 79 65 72 33 20 56 50 4e 20	or.MPLS..To.deploy.a.Layer3.VPN.
ea60	77 69 74 68 20 4d 50 4c 53 20 6f 6e 20 56 79 4f 53 2c 20 77 65 20 73 68 6f 75 6c 64 20 6d 65 65	with.MPLS.on.VyOS,.we.should.mee
ea80	74 20 61 20 63 6f 75 70 6c 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 20 69 6e 20 6f 72 64 65 72	t.a.couple.requirements.in.order
eaa0	20 74 6f 20 70 72 6f 70 65 72 6c 79 20 69 6d 70 6c 65 6d 65 6e 74 20 74 68 65 20 73 6f 6c 75 74	.to.properly.implement.the.solut
eac0	69 6f 6e 2e 20 57 65 27 6c 6c 20 75 73 65 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 6e 6f 64	ion..We'll.use.the.following.nod
eae0	65 73 20 69 6e 20 6f 75 72 20 4c 41 42 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 3a 00 54 6f 20 68 61	es.in.our.LAB.environment:.To.ha
eb00	76 65 20 62 61 73 69 63 20 70 72 6f 74 65 63 74 69 6f 6e 20 77 68 69 6c 65 20 6b 65 65 70 69 6e	ve.basic.protection.while.keepin
eb20	67 20 49 50 76 36 20 6e 65 74 77 6f 72 6b 20 66 75 6e 63 74 69 6f 6e 61 6c 2c 20 77 65 20 6e 65	g.IPv6.network.functional,.we.ne
eb40	65 64 20 74 6f 3a 00 54 6f 20 72 65 61 63 68 20 74 68 65 20 6e 65 74 77 6f 72 6b 2c 20 61 20 72	ed.to:.To.reach.the.network,.a.r
eb60	6f 75 74 65 20 6d 75 73 74 20 62 65 20 73 65 74 20 6f 6e 20 65 61 63 68 20 56 79 4f 53 20 68 6f	oute.must.be.set.on.each.VyOS.ho
eb80	73 74 2e 20 49 6e 20 74 68 69 73 20 73 74 72 75 63 74 75 72 65 2c 20 61 20 73 74 61 74 69 63 20	st..In.this.structure,.a.static.
eba0	69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 77 69 6c 6c 20 66 69 74 20 74 68 65 20 72 65 71	interface.route.will.fit.the.req
ebc0	75 69 72 65 6d 65 6e 74 73 2e 00 54 6f 70 6f 6c 6f 67 79 00 54 72 61 66 66 69 63 20 66 6c 6f 77	uirements..Topology.Traffic.flow
ebe0	73 20 66 72 6f 6d 20 7a 6f 6e 65 20 41 20 74 6f 20 7a 6f 6e 65 20 42 2e 20 54 68 61 74 20 66 6c	s.from.zone.A.to.zone.B..That.fl
ec00	6f 77 20 69 73 20 77 68 61 74 20 49 20 72 65 66 65 72 20 74 6f 20 61 73 20 61 20 7a 6f 6e 65 2d	ow.is.what.I.refer.to.as.a.zone-
ec20	70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 2e 20 65 67 2e 20 41 2d 3e 42 20 61 6e 64 20 42 2d 3e	pair-direction..eg..A->B.and.B->
ec40	41 20 61 72 65 20 74 77 6f 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 65 73 74 69 6e 61 74 69 6f 6e 73	A.are.two.zone-pair-destinations
ec60	2e 00 54 72 61 6e 73 70 6f 72 74 3a 00 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 74 6f 70 6f 6c 6f	..Transport:.Tunnelbroker.topolo
ec80	67 79 20 69 6d 61 67 65 00 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 28 49 50 76 36 29	gy.image.Tunnelbroker.net.(IPv6)
eca0	00 54 77 6f 20 56 79 4f 53 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 70 75 62 6c 69 63 20 49 50	.Two.VyOS.routers.with.public.IP
ecc0	20 61 64 64 72 65 73 73 2e 00 54 77 6f 20 72 75 6c 65 73 20 77 69 6c 6c 20 62 65 20 63 72 65 61	.address..Two.rules.will.be.crea
ece0	74 65 64 2c 20 74 68 65 20 66 69 72 73 74 20 72 75 6c 65 20 64 69 72 65 63 74 73 20 74 72 61 66	ted,.the.first.rule.directs.traf
ed00	66 69 63 20 63 6f 6d 69 6e 67 20 69 6e 20 66 72 6f 6d 20 65 74 68 32 20 74 6f 20 65 74 68 30 20	fic.coming.in.from.eth2.to.eth0.
ed20	61 6e 64 20 74 68 65 20 73 65 63 6f 6e 64 20 72 75 6c 65 20 64 69 72 65 63 74 73 20 74 68 65 20	and.the.second.rule.directs.the.
ed40	74 72 61 66 66 69 63 20 74 6f 20 65 74 68 31 2e 20 49 66 20 65 74 68 30 20 66 61 69 6c 73 20 74	traffic.to.eth1..If.eth0.fails.t
ed60	68 65 20 66 69 72 73 74 20 72 75 6c 65 20 69 73 20 62 79 70 61 73 73 65 64 20 61 6e 64 20 74 68	he.first.rule.is.bypassed.and.th
ed80	65 20 73 65 63 6f 6e 64 20 72 75 6c 65 20 6d 61 74 63 68 65 73 2c 20 64 69 72 65 63 74 69 6e 67	e.second.rule.matches,.directing
eda0	20 74 72 61 66 66 69 63 20 74 6f 20 65 74 68 31 2e 00 55 6e 6c 69 6b 65 20 49 50 76 34 2c 20 49	.traffic.to.eth1..Unlike.IPv4,.I
edc0	50 76 36 20 69 73 20 72 65 61 6c 6c 79 20 6e 6f 74 20 64 65 73 69 67 6e 65 64 20 74 6f 20 62 65	Pv6.is.really.not.designed.to.be
ede0	20 62 72 6f 6b 65 6e 20 75 70 20 73 6d 61 6c 6c 65 72 20 74 68 61 6e 20 2f 36 34 2e 20 53 6f 20	.broken.up.smaller.than./64..So.
ee00	69 66 20 79 6f 75 20 65 76 65 72 20 77 61 6e 74 20 74 6f 20 68 61 76 65 20 6d 75 6c 74 69 70 6c	if.you.ever.want.to.have.multipl
ee20	65 20 4c 41 4e 73 2c 20 56 4c 41 4e 73 2c 20 44 4d 5a 2c 20 65 74 63 2c 20 79 6f 75 27 6c 6c 20	e.LANs,.VLANs,.DMZ,.etc,.you'll.
ee40	77 61 6e 74 20 74 6f 20 69 67 6e 6f 72 65 20 74 68 65 20 61 73 73 69 67 6e 65 64 20 2f 36 34 2c	want.to.ignore.the.assigned./64,
ee60	20 61 6e 64 20 72 65 71 75 65 73 74 20 74 68 65 20 2f 34 38 20 61 6e 64 20 75 73 65 20 74 68 61	.and.request.the./48.and.use.tha
ee80	74 2e 00 55 73 69 6e 67 20 74 68 65 20 67 65 6e 65 72 61 6c 20 73 63 68 65 6d 61 20 66 6f 72 20	t..Using.the.general.schema.for.
eea0	65 78 61 6d 70 6c 65 3a 00 55 73 69 6e 67 20 74 68 69 73 20 63 6f 6d 6d 61 6e 64 20 77 65 20 61	example:.Using.this.command.we.a
eec0	72 65 20 61 6c 73 6f 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 74 72 61 6e 73 70	re.also.able.to.check.the.transp
eee0	6f 72 74 20 61 6e 64 20 63 75 73 74 6f 6d 65 72 20 6c 61 62 65 6c 20 28 69 6e 6e 65 72 2f 6f 75	ort.and.customer.label.(inner/ou
ef00	74 65 72 29 20 66 6f 72 20 48 75 62 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 20 28 31 30 2e	ter).for.Hub.network.prefix.(10.
ef20	30 2e 30 2e 31 30 30 2f 33 32 29 3a 00 56 4c 41 4e 20 31 30 30 20 61 6e 64 20 32 30 31 20 77 69	0.0.100/32):.VLAN.100.and.201.wi
ef40	6c 6c 20 68 61 76 65 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 65 73 2c 20 62	ll.have.floating.IP.addresses,.b
ef60	75 74 20 56 4c 41 4e 35 30 20 64 6f 65 73 20 6e 6f 74 2c 20 61 73 20 74 68 69 73 20 69 73 20 74	ut.VLAN50.does.not,.as.this.is.t
ef80	61 6c 6b 69 6e 67 20 64 69 72 65 63 74 6c 79 20 74 6f 20 75 70 73 74 72 65 61 6d 2e 20 43 72 65	alking.directly.to.upstream..Cre
efa0	61 74 65 20 6f 75 72 20 49 50 20 61 64 64 72 65 73 73 20 6f 6e 20 76 6c 61 6e 35 30 2e 00 56 4c	ate.our.IP.address.on.vlan50..VL
efc0	41 4e 73 00 56 4d 77 61 72 65 3a 20 59 6f 75 20 6d 75 73 74 20 44 49 53 41 42 4c 45 20 53 45 43	ANs.VMware:.You.must.DISABLE.SEC
efe0	55 52 49 54 59 20 6f 6e 20 74 68 69 73 20 50 6f 72 74 20 67 72 6f 75 70 2e 20 4d 61 6b 65 20 73	URITY.on.this.Port.group..Make.s
f000	75 72 65 20 74 68 61 74 20 60 60 50 72 6f 6d 69 73 63 75 6f 75 73 20 4d 6f 64 65 60 60 5c 20 2c	ure.that.``Promiscuous.Mode``\.,
f020	20 60 60 4d 41 43 20 61 64 64 72 65 73 73 20 63 68 61 6e 67 65 73 60 60 20 61 6e 64 20 60 60 46	.``MAC.address.changes``.and.``F
f040	6f 72 67 65 64 20 74 72 61 6e 73 6d 69 74 73 60 60 20 61 72 65 20 65 6e 61 62 6c 65 64 2e 20 41	orged.transmits``.are.enabled..A
f060	6c 6c 20 6f 66 20 74 68 65 73 65 20 77 69 6c 6c 20 62 65 20 64 6f 6e 65 20 61 73 20 70 61 72 74	ll.of.these.will.be.done.as.part
f080	20 6f 66 20 66 61 69 6c 6f 76 65 72 2e 00 56 52 46 00 56 52 52 50 20 43 6f 6e 66 69 67 75 72 61	.of.failover..VRF.VRRP.Configura
f0a0	74 69 6f 6e 00 56 65 72 69 66 69 63 61 74 69 6f 6e 00 56 65 72 73 69 6f 6e 3a 20 31 2e 34 2d 72	tion.Verification.Version:.1.4-r
f0c0	6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 00 56 65 72 73 69 6f 6e 3a 20 31 2e 34	olling-202110310317.Version:.1.4
f0e0	2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 35 31 30 30 37 33 34 00 56 65 72 73 69 6f 6e 3a 20 31	-rolling-202305100734.Version:.1
f100	2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 32 34 30 30 32 30 00 56 65 72 73 69 6f 6e 3a	.4-rolling-202308240020.Version:
f120	20 31 2e 35 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 34 30 31 31 32 31 32 33 39 00 56 65 72 73 69 6f	.1.5-rolling-202401121239.Versio
f140	6e 3a 20 76 79 6f 73 2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 32 31 35 30 33 31 37	n:.vyos-1.4-rolling-202302150317
f160	00 56 79 4f 53 00 56 79 4f 53 20 31 2e 33 20 61 64 64 65 64 20 69 6e 69 74 69 61 6c 20 73 75 70	.VyOS.VyOS.1.3.added.initial.sup
f180	70 6f 72 74 20 66 6f 72 20 56 52 46 73 20 28 69 6e 63 6c 75 64 69 6e 67 20 49 50 76 34 2f 49 50	port.for.VRFs.(including.IPv4/IP
f1a0	76 36 20 73 74 61 74 69 63 20 72 6f 75 74 69 6e 67 29 20 61 6e 64 20 56 79 4f 53 20 31 2e 34 20	v6.static.routing).and.VyOS.1.4.
f1c0	6e 6f 77 20 65 6e 61 62 6c 65 73 20 66 75 6c 6c 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67	now.enables.full.dynamic.routing
f1e0	20 70 72 6f 74 6f 63 6f 6c 20 73 75 70 70 6f 72 74 20 66 6f 72 20 4f 53 50 46 2c 20 49 53 2d 49	.protocol.support.for.OSPF,.IS-I
f200	53 2c 20 61 6e 64 20 42 47 50 20 66 6f 72 20 69 6e 64 69 76 69 64 75 61 6c 20 56 52 46 73 2e 00	S,.and.BGP.for.individual.VRFs..
f220	56 79 4f 53 20 61 63 74 73 20 61 73 20 44 48 43 50 2c 20 44 4e 53 20 66 6f 72 77 61 72 64 65 72	VyOS.acts.as.DHCP,.DNS.forwarder
f240	2c 20 4e 41 54 2c 20 72 6f 75 74 65 72 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 2e 00 56 79 4f 53	,.NAT,.router.and.firewall..VyOS
f260	20 61 73 20 43 6c 69 65 6e 74 00 56 79 4f 53 20 61 73 20 61 20 4f 70 65 6e 56 50 4e 20 53 65 72	.as.Client.VyOS.as.a.OpenVPN.Ser
f280	76 65 72 00 56 79 4f 53 20 69 73 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 4d 53 44 20 70 65	ver.VyOS.is.able.to.check.MSD.pe
f2a0	72 20 64 65 76 69 63 65 73 3a 00 56 79 4f 53 2d 43 45 2d 48 55 42 20 2d 2d 2d 2d 2d 2d 2d 3e 20	r.devices:.VyOS-CE-HUB.------->.
f2c0	56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 00 56 79 4f 53 2d 43 45 2d 48 55 42 20 2d 2d 2d 2d 2d	VyOS-CE1-SPOKE.VyOS-CE-HUB.-----
f2e0	2d 2d 3e 20 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 00 56 79 4f 53 2d 43 45 31 2d 48 55 42 3a	-->.VyOS-CE2-SPOKE.VyOS-CE1-HUB:
f300	00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 20 2d 2d 2d 2d 2d 3e 20 20 20 56 79 4f 53 2d 43 45	.VyOS-CE1-SPOKE.----->...VyOS-CE
f320	2d 48 55 42 00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 3a 00 56 79 4f 53 2d 43 45 32 2d 53 50	-HUB.VyOS-CE1-SPOKE:.VyOS-CE2-SP
f340	4f 4b 45 20 2d 2d 2d 2d 2d 2d 2d 3e 20 20 56 79 4f 53 2d 43 45 2d 48 55 42 00 56 79 4f 53 2d 43	OKE.------->..VyOS-CE-HUB.VyOS-C
f360	45 32 2d 53 50 4f 4b 45 3a 00 56 79 4f 53 2d 50 31 3a 00 56 79 4f 53 2d 50 32 3a 00 56 79 4f 53	E2-SPOKE:.VyOS-P1:.VyOS-P2:.VyOS
f380	2d 50 33 3a 00 56 79 4f 53 2d 50 34 3a 00 56 79 4f 53 2d 50 45 31 00 56 79 4f 53 2d 50 45 31 3a	-P3:.VyOS-P4:.VyOS-PE1.VyOS-PE1:
f3a0	00 56 79 4f 53 2d 50 45 32 00 56 79 4f 53 2d 50 45 32 3a 00 56 79 4f 53 2d 50 45 33 00 56 79 4f	.VyOS-PE2.VyOS-PE2:.VyOS-PE3.VyO
f3c0	53 2d 50 45 33 3a 00 56 79 4f 53 2d 52 52 31 2f 52 52 32 00 56 79 4f 53 2d 52 52 31 3a 00 56 79	S-PE3:.VyOS-RR1/RR2.VyOS-RR1:.Vy
f3e0	4f 53 2d 52 52 32 3a 00 56 79 6f 73 20 41 53 4e 00 56 79 6f 73 20 63 6f 6e 66 69 67 75 72 61 74	OS-RR2:.Vyos.ASN.Vyos.configurat
f400	69 6f 6e 00 56 79 6f 73 20 70 72 69 76 61 74 65 20 49 50 00 56 79 6f 73 20 70 75 62 6c 69 63 20	ion.Vyos.private.IP.Vyos.public.
f420	49 50 00 57 41 4e 20 49 6e 74 65 72 66 61 63 65 00 57 41 4e 20 4c 6f 61 64 20 42 61 6c 61 6e 63	IP.WAN.Interface.WAN.Load.Balanc
f440	65 72 20 65 78 61 6d 70 6c 65 73 00 57 61 6c 6b 74 68 72 6f 75 67 68 20 73 75 67 67 65 73 74 69	er.examples.Walkthrough.suggesti
f460	6f 6e 00 57 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 75 73 65 20 31 30 2e 32 30 30 2e 32 30	on.We.are.going.to.use.10.200.20
f480	31 2e 30 2f 32 34 20 66 6f 72 20 61 6e 20 27 69 6e 74 65 72 6e 61 6c 27 20 6e 65 74 77 6f 72 6b	1.0/24.for.an.'internal'.network
f4a0	20 6f 6e 20 56 4c 41 4e 32 30 31 2e 00 57 65 20 61 72 65 20 73 65 74 74 69 6e 67 20 75 70 20 56	.on.VLAN201..We.are.setting.up.V
f4c0	52 52 50 20 73 6f 20 74 68 61 74 20 69 74 20 64 6f 65 73 20 4e 4f 54 20 66 61 69 6c 20 62 61 63	RRP.so.that.it.does.NOT.fail.bac
f4e0	6b 20 77 68 65 6e 20 61 20 6d 61 63 68 69 6e 65 20 72 65 74 75 72 6e 73 20 69 6e 74 6f 20 73 65	k.when.a.machine.returns.into.se
f500	72 76 69 63 65 2c 20 61 6e 64 20 69 74 20 70 72 69 6f 72 69 74 69 7a 65 73 20 72 6f 75 74 65 72	rvice,.and.it.prioritizes.router
f520	31 20 6f 76 65 72 20 72 6f 75 74 65 72 32 2e 00 57 65 20 61 72 65 20 75 73 69 6e 67 20 61 20 22	1.over.router2..We.are.using.a."
f540	77 68 69 74 65 20 6c 69 73 74 22 20 61 70 70 72 6f 61 63 68 20 62 79 20 61 6c 6c 6f 77 69 6e 67	white.list".approach.by.allowing
f560	20 6f 6e 6c 79 20 77 68 61 74 20 69 73 20 6e 65 63 65 73 73 61 72 79 2e 20 49 6e 20 63 61 73 65	.only.what.is.necessary..In.case
f580	20 74 68 61 74 20 6e 65 65 64 20 74 6f 20 69 6d 70 6c 65 6d 65 6e 74 20 61 20 22 62 6c 61 63 6b	.that.need.to.implement.a."black
f5a0	20 6c 69 73 74 22 20 61 70 70 72 6f 61 63 68 20 74 68 65 6e 20 79 6f 75 20 77 69 6c 6c 20 6e 65	.list".approach.then.you.will.ne
f5c0	65 64 20 74 6f 20 63 68 61 6e 67 65 20 74 68 65 20 61 63 74 69 6f 6e 20 69 6e 20 74 68 65 20 72	ed.to.change.the.action.in.the.r
f5e0	6f 75 74 65 2d 6d 61 70 20 66 6f 72 20 61 20 64 65 6e 79 20 42 55 54 20 79 6f 75 20 6e 65 65 64	oute-map.for.a.deny.BUT.you.need
f600	20 74 6f 20 61 64 64 20 61 20 72 75 6c 65 20 74 68 61 74 20 70 65 72 6d 69 74 73 20 74 68 65 20	.to.add.a.rule.that.permits.the.
f620	72 65 73 74 20 64 75 65 20 74 6f 20 74 68 65 20 69 6d 70 6c 69 63 69 74 20 64 65 6e 79 20 69 6e	rest.due.to.the.implicit.deny.in
f640	20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 2e 00 57 65 20 63 72 65 61 74 65 20 61 20 70 72 65 66	.the.route-map..We.create.a.pref
f660	69 78 2d 6c 69 73 74 20 66 69 72 73 74 20 61 6e 64 20 61 64 64 20 61 6c 6c 20 74 68 65 20 72 6f	ix-list.first.and.add.all.the.ro
f680	75 74 65 73 20 77 65 20 6e 65 65 64 20 74 6f 2e 00 57 65 20 65 78 70 6c 69 63 69 74 6c 79 20 65	utes.we.need.to..We.explicitly.e
f6a0	78 63 6c 75 64 65 20 74 68 65 20 70 72 69 6d 61 72 79 20 75 70 73 74 72 65 61 6d 20 6e 65 74 77	xclude.the.primary.upstream.netw
f6c0	6f 72 6b 20 73 6f 20 74 68 61 74 20 42 47 50 20 6f 72 20 4f 53 50 46 20 74 72 61 66 66 69 63 20	ork.so.that.BGP.or.OSPF.traffic.
f6e0	64 6f 65 73 6e 27 74 20 61 63 63 69 64 65 6e 74 61 6c 6c 79 20 67 65 74 20 4e 41 54 27 65 64 2e	doesn't.accidentally.get.NAT'ed.
f700	00 57 65 20 68 61 76 65 20 66 6f 75 72 20 68 6f 73 74 73 20 6f 6e 20 74 68 65 20 6c 6f 63 61 6c	.We.have.four.hosts.on.the.local
f720	20 6e 65 74 77 6f 72 6b 20 31 37 32 2e 31 37 2e 31 2e 30 2f 32 34 2e 20 41 6c 6c 20 68 6f 73 74	.network.172.17.1.0/24..All.host
f740	73 20 61 72 65 20 6c 61 62 65 6c 65 64 20 43 53 30 20 62 79 20 64 65 66 61 75 6c 74 2e 20 57 65	s.are.labeled.CS0.by.default..We
f760	20 6e 65 65 64 20 74 6f 20 72 65 70 6c 61 63 65 20 6c 61 62 65 6c 73 20 6f 6e 20 61 6c 6c 20 68	.need.to.replace.labels.on.all.h
f780	6f 73 74 73 20 65 78 63 65 70 74 20 76 70 63 38 2e 20 57 65 20 77 69 6c 6c 20 72 65 70 6c 61 63	osts.except.vpc8..We.will.replac
f7a0	65 20 74 68 65 20 6c 61 62 65 6c 73 20 6f 6e 20 74 68 65 20 6e 65 61 72 65 73 74 20 72 6f 75 74	e.the.labels.on.the.nearest.rout
f7c0	65 72 20 e2 80 9c 56 79 4f 53 33 e2 80 9d 20 75 73 69 6e 67 20 74 68 65 20 49 50 20 61 64 64 72	er....VyOS3....using.the.IP.addr
f7e0	65 73 73 65 73 20 6f 66 20 74 68 65 20 73 6f 75 72 63 65 73 2e 00 57 65 20 68 61 76 65 20 66 6f	esses.of.the.sources..We.have.fo
f800	75 72 20 70 72 65 2d 63 6f 6e 66 69 67 75 72 65 64 20 72 6f 75 74 65 72 73 20 77 69 74 68 20 74	ur.pre-configured.routers.with.t
f820	68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 57 65 20 68 61 76 65 20 74 68 72 65 65	his.configuration:.We.have.three
f840	20 6e 65 74 77 6f 72 6b 73 2e 00 57 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61	.networks..We.keep.the.configura
f860	74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20	tion.from.the.previous.example,.
f880	64 65 6c 65 74 65 20 72 75 6c 65 20 31 30 20 61 6e 64 20 63 72 65 61 74 65 20 74 68 65 20 74 77	delete.rule.10.and.create.the.tw
f8a0	6f 20 6e 65 77 20 72 75 6c 65 73 20 61 73 20 64 65 73 63 72 69 62 65 64 3a 00 57 65 20 6b 65 65	o.new.rules.as.described:.We.kee
f8c0	70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20 70 72 65	p.the.configuration.from.the.pre
f8e0	76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 64 65 6c 65 74 65 20 72 75 6c 65 20 32 30 20 61 6e	vious.example,.delete.rule.20.an
f900	64 20 63 72 65 61 74 65 20 61 20 6e 65 77 20 72 75 6c 65 20 61 73 20 64 65 73 63 72 69 62 65 64	d.create.a.new.rule.as.described
f920	3a 00 57 65 20 6e 65 65 64 20 74 6f 20 65 6e 61 62 6c 65 20 72 6f 75 74 65 72 20 61 64 76 65 72	:.We.need.to.enable.router.adver
f940	74 69 73 65 6d 65 6e 74 20 66 6f 72 20 4c 41 4e 20 6e 65 74 77 6f 72 6b 20 73 6f 20 74 68 61 74	tisement.for.LAN.network.so.that
f960	20 50 43 20 63 61 6e 20 72 65 63 65 69 76 65 20 74 68 65 20 70 72 65 66 69 78 20 61 6e 64 20 75	.PC.can.receive.the.prefix.and.u
f980	73 65 20 53 4c 41 41 43 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 61 64 64 72 65 73	se.SLAAC.to.configure.the.addres
f9a0	73 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 2e 00 57 65 20 6f 6e 6c 79 20 77 61 6e 74 20 74 6f	s.automatically..We.only.want.to
f9c0	20 65 78 70 6f 72 74 20 74 68 65 20 6e 65 74 77 6f 72 6b 73 20 77 65 20 6b 6e 6f 77 2e 20 41 6c	.export.the.networks.we.know..Al
f9e0	77 61 79 73 20 64 6f 20 61 20 77 68 69 74 65 6c 69 73 74 20 6f 6e 20 79 6f 75 72 20 72 6f 75 74	ways.do.a.whitelist.on.your.rout
fa00	65 20 66 69 6c 74 65 72 73 2c 20 62 6f 74 68 20 69 6d 70 6f 72 74 69 6e 67 20 61 6e 64 20 65 78	e.filters,.both.importing.and.ex
fa20	70 6f 72 74 69 6e 67 2e 20 41 20 67 6f 6f 64 20 72 75 6c 65 20 6f 66 20 74 68 75 6d 62 20 69 73	porting..A.good.rule.of.thumb.is
fa40	20 2a 2a 27 49 66 20 79 6f 75 20 61 72 65 20 6e 6f 74 20 74 68 65 20 64 65 66 61 75 6c 74 20 72	.**'If.you.are.not.the.default.r
fa60	6f 75 74 65 72 20 66 6f 72 20 61 20 6e 65 74 77 6f 72 6b 2c 20 64 6f 6e 27 74 20 61 64 76 65 72	outer.for.a.network,.don't.adver
fa80	74 69 73 65 20 69 74 27 2a 2a 2e 20 54 68 69 73 20 6d 65 61 6e 73 20 77 65 20 65 78 70 6c 69 63	tise.it'**..This.means.we.explic
faa0	69 74 6c 79 20 64 6f 20 6e 6f 74 20 77 61 6e 74 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 74 68	itly.do.not.want.to.advertise.th
fac0	65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 20 28 62 75 74 20 64 6f 20 77	e.192.0.2.0/24.network.(but.do.w
fae0	61 6e 74 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 20 61 6e	ant.to.advertise.10.200.201.0.an
fb00	64 20 32 30 33 2e 30 2e 31 31 33 2e 30 2c 20 77 68 69 63 68 20 77 65 20 41 52 45 20 74 68 65 20	d.203.0.113.0,.which.we.ARE.the.
fb20	64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 66 6f 72 29 2e 20 54 68 69 73 20 66 69 6c 74 65 72 20	default.route.for)..This.filter.
fb40	69 73 20 61 70 70 6c 69 65 64 20 74 6f 20 60 60 72 65 64 69 73 74 72 69 62 75 74 65 20 63 6f 6e	is.applied.to.``redistribute.con
fb60	6e 65 63 74 65 64 60 60 2e 20 49 66 20 77 65 20 57 45 52 45 20 74 6f 20 61 64 76 65 72 74 69 73	nected``..If.we.WERE.to.advertis
fb80	65 20 69 74 2c 20 74 68 65 20 72 65 6d 6f 74 65 20 6d 61 63 68 69 6e 65 73 20 77 6f 75 6c 64 20	e.it,.the.remote.machines.would.
fba0	73 65 65 20 31 39 32 2e 30 2e 32 2e 32 31 20 61 76 61 69 6c 61 62 6c 65 20 76 69 61 20 74 68 65	see.192.0.2.21.available.via.the
fbc0	69 72 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 2c 20 65 73 74 61 62 6c 69 73 68 20 74 68 65 20	ir.default.route,.establish.the.
fbe0	63 6f 6e 6e 65 63 74 69 6f 6e 2c 20 61 6e 64 20 74 68 65 6e 20 4f 53 50 46 20 77 6f 75 6c 64 20	connection,.and.then.OSPF.would.
fc00	73 61 79 20 27 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 69 73 20 61 76 61 69 6c 61 62 6c 65 20 76	say.'192.0.2.0/24.is.available.v
fc20	69 61 20 74 68 69 73 20 74 75 6e 6e 65 6c 27 2c 20 61 74 20 77 68 69 63 68 20 70 6f 69 6e 74 20	ia.this.tunnel',.at.which.point.
fc40	74 68 65 20 74 75 6e 6e 65 6c 20 77 6f 75 6c 64 20 62 72 65 61 6b 2c 20 4f 53 50 46 20 77 6f 75	the.tunnel.would.break,.OSPF.wou
fc60	6c 64 20 64 72 6f 70 20 74 68 65 20 72 6f 75 74 65 73 2c 20 61 6e 64 20 74 68 65 6e 20 31 39 32	ld.drop.the.routes,.and.then.192
fc80	2e 30 2e 32 2e 30 2f 32 34 20 77 6f 75 6c 64 20 62 65 20 72 65 61 63 68 61 62 6c 65 20 76 69 61	.0.2.0/24.would.be.reachable.via
fca0	20 64 65 66 61 75 6c 74 20 61 67 61 69 6e 2e 20 54 68 69 73 20 69 73 20 63 61 6c 6c 65 64 20 27	.default.again..This.is.called.'
fcc0	66 6c 61 70 70 69 6e 67 27 2e 00 57 65 20 6f 6e 6c 79 20 77 61 6e 74 20 74 6f 20 69 6d 70 6f 72	flapping'..We.only.want.to.impor
fce0	74 20 6e 65 74 77 6f 72 6b 73 20 77 65 20 6b 6e 6f 77 2e 20 4f 75 72 20 4f 53 50 46 20 70 65 65	t.networks.we.know..Our.OSPF.pee
fd00	72 20 73 68 6f 75 6c 64 20 6f 6e 6c 79 20 62 65 20 61 64 76 65 72 74 69 73 69 6e 67 20 6e 65 74	r.should.only.be.advertising.net
fd20	77 6f 72 6b 73 20 69 6e 20 74 68 65 20 31 30 2e 32 30 31 2e 30 2e 30 2f 31 36 20 72 61 6e 67 65	works.in.the.10.201.0.0/16.range
fd40	2e 20 4e 6f 74 65 20 74 68 61 74 20 74 68 69 73 20 69 73 20 61 6e 20 49 4e 56 45 52 53 45 20 4d	..Note.that.this.is.an.INVERSE.M
fd60	41 54 43 48 2e 20 59 6f 75 20 64 65 6e 79 20 69 6e 20 61 63 63 65 73 73 2d 6c 69 73 74 20 31 30	ATCH..You.deny.in.access-list.10
fd80	30 20 74 6f 20 61 63 63 65 70 74 20 74 68 65 20 72 6f 75 74 65 2e 00 57 65 20 75 73 65 20 61 20	0.to.accept.the.route..We.use.a.
fda0	73 74 61 74 69 63 20 72 6f 75 74 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 6e 20 62 65	static.route.configuration.in.be
fdc0	74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 61 6e 64 20 65 61 63 68 20 4c 41 4e 20 61 6e 64 20	tween.the.Core.and.each.LAN.and.
fde0	4d 61 6e 61 67 65 6d 65 6e 74 20 72 6f 75 74 65 72 2c 20 61 6e 64 20 42 47 50 20 62 65 74 77 65	Management.router,.and.BGP.betwe
fe00	65 6e 20 74 68 65 20 43 6f 72 65 20 72 6f 75 74 65 72 20 61 6e 64 20 74 68 65 20 49 53 50 20 72	en.the.Core.router.and.the.ISP.r
fe20	6f 75 74 65 72 20 62 75 74 20 61 6e 79 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 70 72	outer.but.any.dynamic.routing.pr
fe40	6f 74 6f 63 6f 6c 20 63 61 6e 20 62 65 20 75 73 65 64 2e 00 57 65 20 75 73 65 20 73 6d 61 6c 6c	otocol.can.be.used..We.use.small
fe60	20 2f 33 30 27 73 20 66 72 6f 6d 20 31 30 2e 32 35 34 2e 36 30 2f 32 34 20 66 6f 72 20 74 68 65	./30's.from.10.254.60/24.for.the
fe80	20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20 6c 69 6e 6b 73 2e 00 57 65 20 75 73 65 20 74 68	.point-to-point.links..We.use.th
fea0	65 20 66 6f 6c 6c 6f 77 69 6e 67 20 6e 65 74 77 6f 72 6b 20 74 6f 70 6f 6c 6f 67 79 20 69 6e 20	e.following.network.topology.in.
fec0	74 68 69 73 20 65 78 61 6d 70 6c 65 3a 00 57 68 65 6e 20 69 6d 70 6f 72 74 69 6e 67 20 72 6f 75	this.example:.When.importing.rou
fee0	74 65 73 20 75 73 69 6e 67 20 4d 50 2d 42 47 50 20 69 74 20 69 73 20 70 6f 73 73 69 62 6c 65 20	tes.using.MP-BGP.it.is.possible.
ff00	74 6f 20 66 69 6c 74 65 72 20 61 20 73 75 62 73 65 74 20 6f 66 20 74 68 65 6d 20 62 65 66 6f 72	to.filter.a.subset.of.them.befor
ff20	65 20 61 72 65 20 69 6e 6a 65 63 74 65 64 20 69 6e 20 74 68 65 20 42 47 50 20 74 61 62 6c 65 2e	e.are.injected.in.the.BGP.table.
ff40	20 4f 6e 65 20 6f 66 20 74 68 65 20 6d 6f 73 74 20 63 6f 6d 6d 6f 6e 20 63 61 73 65 20 69 73 20	.One.of.the.most.common.case.is.
ff60	74 6f 20 75 73 65 20 61 20 72 6f 75 74 65 2d 6d 61 70 20 77 69 74 68 20 61 6e 20 70 72 65 66 69	to.use.a.route-map.with.an.prefi
ff80	78 2d 6c 69 73 74 2e 00 57 68 65 6e 20 74 72 61 66 66 69 63 20 69 73 20 6f 72 69 67 69 6e 61 74	x-list..When.traffic.is.originat
ffa0	65 64 20 66 72 6f 6d 20 74 68 65 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 6e 65 74 77	ed.from.the.10.200.201.0/24.netw
ffc0	6f 72 6b 2c 20 69 74 20 77 69 6c 6c 20 62 65 20 6d 61 73 71 75 65 72 61 64 65 64 20 74 6f 20 32	ork,.it.will.be.masqueraded.to.2
ffe0	30 33 2e 30 2e 31 31 33 2e 31 00 57 68 65 6e 20 75 74 69 6c 69 7a 69 6e 67 20 56 79 4f 53 20 69	03.0.113.1.When.utilizing.VyOS.i
10000	6e 20 61 6e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 20 77 69 74 68 20 43 69 73 63 6f 20 49 4f 53 2d	n.an.environment.with.Cisco.IOS-
10020	58 52 20 67 65 61 72 20 79 6f 75 20 63 61 6e 20 75 73 65 20 74 68 69 73 20 62 6c 75 65 20 70 72	XR.gear.you.can.use.this.blue.pr
10040	69 6e 74 20 61 73 20 61 6e 20 69 6e 69 74 69 61 6c 20 73 65 74 75 70 20 74 6f 20 67 65 74 20 4d	int.as.an.initial.setup.to.get.M
10060	50 4c 53 20 49 53 49 53 2d 53 52 20 77 6f 72 6b 69 6e 67 20 62 65 74 77 65 65 6e 20 74 68 6f 73	PLS.ISIS-SR.working.between.thos
10080	65 20 74 77 6f 20 64 65 76 69 63 65 73 2e 54 68 65 20 6c 61 62 20 77 61 73 20 62 75 69 6c 64 20	e.two.devices.The.lab.was.build.
100a0	75 73 69 6e 67 20 3a 61 62 62 72 3a 60 45 56 45 2d 4e 47 20 28 45 6d 75 6c 61 74 65 64 20 56 69	using.:abbr:`EVE-NG.(Emulated.Vi
100c0	72 74 75 61 6c 20 45 6e 76 69 72 6f 6e 6d 65 6e 74 20 4e 47 29 60 2e 00 57 68 65 6e 20 79 6f 75	rtual.Environment.NG)`..When.you
100e0	20 68 61 76 65 20 62 6f 74 68 20 72 6f 75 74 65 72 73 20 75 70 2c 20 79 6f 75 20 73 68 6f 75 6c	.have.both.routers.up,.you.shoul
10100	64 20 62 65 20 61 62 6c 65 20 74 6f 20 65 73 74 61 62 6c 69 73 68 20 61 20 63 6f 6e 6e 65 63 74	d.be.able.to.establish.a.connect
10120	69 6f 6e 20 66 72 6f 6d 20 61 20 4e 41 54 27 65 64 20 6d 61 63 68 69 6e 65 20 6f 75 74 20 74 6f	ion.from.a.NAT'ed.machine.out.to
10140	20 74 68 65 20 69 6e 74 65 72 6e 65 74 2c 20 72 65 62 6f 6f 74 20 74 68 65 20 61 63 74 69 76 65	.the.internet,.reboot.the.active
10160	20 6d 61 63 68 69 6e 65 2c 20 61 6e 64 20 74 68 61 74 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 73 68	.machine,.and.that.connection.sh
10180	6f 75 6c 64 20 62 65 20 70 72 65 73 65 72 76 65 64 2c 20 61 6e 64 20 77 69 6c 6c 20 6e 6f 74 20	ould.be.preserved,.and.will.not.
101a0	64 72 6f 70 20 6f 75 74 2e 00 57 68 65 6e 20 79 6f 75 20 68 61 76 65 20 65 6e 61 62 6c 65 64 20	drop.out..When.you.have.enabled.
101c0	4f 53 50 46 20 6f 6e 20 62 6f 74 68 20 72 6f 75 74 65 72 73 2c 20 79 6f 75 20 73 68 6f 75 6c 64	OSPF.on.both.routers,.you.should
101e0	20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 65 61 63 68 20 6f 74 68 65 72 20 77 69 74 68 20	.be.able.to.see.each.other.with.
10200	74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 68 6f 77 20 69 70 20 6f 73 70 66 20 6e 65 69 67 68	the.command.``show.ip.ospf.neigh
10220	62 6f 75 72 60 60 2e 20 54 68 65 20 73 74 61 74 65 20 6d 75 73 74 20 62 65 20 27 46 75 6c 6c 27	bour``..The.state.must.be.'Full'
10240	20 6f 72 20 27 32 2d 57 61 79 27 2e 20 49 66 20 69 74 20 69 73 20 6e 6f 74 2c 20 74 68 65 6e 20	.or.'2-Way'..If.it.is.not,.then.
10260	74 68 65 72 65 20 69 73 20 61 20 6e 65 74 77 6f 72 6b 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20	there.is.a.network.connectivity.
10280	69 73 73 75 65 20 62 65 74 77 65 65 6e 20 74 68 65 20 68 6f 73 74 73 2e 20 54 68 69 73 20 69 73	issue.between.the.hosts..This.is
102a0	20 6f 66 74 65 6e 20 63 61 75 73 65 64 20 62 79 20 4e 41 54 20 6f 72 20 4d 54 55 20 69 73 73 75	.often.caused.by.NAT.or.MTU.issu
102c0	65 73 2e 20 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 74 20 73 65 65 20 61 6e 79 20 6e 65 77 20 72	es..You.should.not.see.any.new.r
102e0	6f 75 74 65 73 20 28 75 6e 6c 65 73 73 20 74 68 69 73 20 69 73 20 74 68 65 20 73 65 63 6f 6e 64	outes.(unless.this.is.the.second
10300	20 70 61 73 73 29 20 69 6e 20 74 68 65 20 6f 75 74 70 75 74 20 6f 66 20 60 60 73 68 6f 77 20 69	.pass).in.the.output.of.``show.i
10320	70 20 72 6f 75 74 65 60 60 00 57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 20 32 30 31 39 20 77 69	p.route``.Windows.Server.2019.wi
10340	74 68 20 61 20 72 75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 00 57 69	th.a.running.Active.Directory.Wi
10360	72 65 67 75 61 72 64 00 57 69 72 65 67 75 61 72 64 20 64 6f 65 73 6e 27 74 20 68 61 76 65 20 74	reguard.Wireguard.doesn't.have.t
10380	68 65 20 63 6f 6e 63 65 70 74 20 6f 66 20 61 6e 20 75 70 20 6f 72 20 64 6f 77 6e 20 6c 69 6e 6b	he.concept.of.an.up.or.down.link
103a0	2c 20 64 75 65 20 74 6f 20 69 74 73 20 64 65 73 69 67 6e 2e 20 54 68 69 73 20 63 6f 6d 70 6c 69	,.due.to.its.design..This.compli
103c0	63 61 74 65 73 20 41 4e 44 20 73 69 6d 70 6c 69 66 69 65 73 20 75 73 69 6e 67 20 69 74 20 66 6f	cates.AND.simplifies.using.it.fo
103e0	72 20 6e 65 74 77 6f 72 6b 20 74 72 61 6e 73 70 6f 72 74 2c 20 61 73 20 66 6f 72 20 72 65 6c 69	r.network.transport,.as.for.reli
10400	61 62 6c 65 20 73 74 61 74 65 20 64 65 74 65 63 74 69 6f 6e 20 79 6f 75 20 6e 65 65 64 20 74 6f	able.state.detection.you.need.to
10420	20 75 73 65 20 53 4f 4d 45 54 48 49 4e 47 20 74 6f 20 64 65 74 65 63 74 20 77 68 65 6e 20 74 68	.use.SOMETHING.to.detect.when.th
10440	65 20 6c 69 6e 6b 20 69 73 20 64 6f 77 6e 2e 00 57 69 74 68 20 54 75 6e 6e 65 6c 62 72 6f 6b 65	e.link.is.down..With.Tunnelbroke
10460	72 2e 6e 65 74 2c 20 79 6f 75 20 68 61 76 65 20 74 77 6f 20 6f 70 74 69 6f 6e 73 3a 00 57 69 74	r.net,.you.have.two.options:.Wit
10480	68 20 74 68 69 73 20 63 6f 6d 6d 61 6e 64 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 63 68	h.this.command.we.are.able.to.ch
104a0	65 63 6b 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 61 6e 64 20 63 75 73 74 6f 6d 65 72 20 6c	eck.the.transport.and.customer.l
104c0	61 62 65 6c 20 28 69 6e 6e 65 72 2f 6f 75 74 65 72 29 20 66 6f 72 20 6e 65 74 77 6f 72 6b 20 73	abel.(inner/outer).for.network.s
104e0	70 6f 6b 65 73 20 70 72 65 66 69 78 65 73 20 31 30 2e 30 2e 30 2e 38 30 2f 33 32 20 2d 20 31 30	pokes.prefixes.10.0.0.80/32.-.10
10500	2e 30 2e 30 2e 39 30 2f 33 32 00 57 69 74 68 69 6e 20 74 68 65 20 56 52 46 20 77 65 20 73 65 74	.0.0.90/32.Within.the.VRF.we.set
10520	20 74 68 65 20 52 6f 75 74 65 2d 44 69 73 74 69 6e 67 75 69 73 68 65 72 20 28 52 44 29 20 61 6e	.the.Route-Distinguisher.(RD).an
10540	64 20 52 6f 75 74 65 2d 54 61 72 67 65 74 73 20 28 52 54 29 2c 20 74 68 65 6e 20 77 65 20 65 6e	d.Route-Targets.(RT),.then.we.en
10560	61 62 6c 65 20 74 68 65 20 65 78 70 6f 72 74 2f 69 6d 70 6f 72 74 20 56 50 4e 2e 00 58 52 76 2d	able.the.export/import.VPN..XRv-
10580	50 33 3a 00 59 6f 75 20 6d 61 6e 61 67 65 64 20 74 6f 20 63 6f 6d 65 20 74 68 69 73 20 66 61 72	P3:.You.managed.to.come.this.far
105a0	2c 20 6e 6f 77 20 77 65 20 77 61 6e 74 20 74 6f 20 73 65 65 20 74 68 65 20 6e 65 74 77 6f 72 6b	,.now.we.want.to.see.the.network
105c0	20 61 6e 64 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20 69 6e 20 61 63 74 69 6f 6e 2e 00 59	.and.routing.tables.in.action..Y
105e0	6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 74 6f 20 61 6e 64	ou.should.be.able.to.ping.to.and
10600	20 66 72 6f 6d 20 61 6c 6c 20 74 68 65 20 49 50 73 20 79 6f 75 20 68 61 76 65 20 61 6c 6c 6f 63	.from.all.the.IPs.you.have.alloc
10620	61 74 65 64 2e 00 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 77 20 62 65 20 61 62 6c 65 20 74 6f 20	ated..You.should.now.be.able.to.
10640	70 69 6e 67 20 73 6f 6d 65 74 68 69 6e 67 20 62 79 20 49 50 76 36 20 44 4e 53 20 6e 61 6d 65 3a	ping.something.by.IPv6.DNS.name:
10660	00 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 77 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 74	.You.should.now.be.able.to.see.t
10680	68 65 20 61 64 76 65 72 74 69 73 65 64 20 6e 65 74 77 6f 72 6b 20 6f 6e 20 74 68 65 20 6f 74 68	he.advertised.network.on.the.oth
106a0	65 72 20 68 6f 73 74 2e 00 59 6f 75 20 77 6f 75 6c 64 20 68 61 76 65 20 35 20 7a 6f 6e 65 73 20	er.host..You.would.have.5.zones.
106c0	69 6e 73 74 65 61 64 20 6f 66 20 6a 75 73 74 20 34 20 61 6e 64 20 79 6f 75 20 77 6f 75 6c 64 20	instead.of.just.4.and.you.would.
106e0	63 6f 6e 66 69 67 75 72 65 20 79 6f 75 72 20 76 36 20 72 75 6c 65 73 65 74 20 62 65 74 77 65 65	configure.your.v6.ruleset.betwee
10700	6e 20 79 6f 75 72 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 79 6f 75 72	n.your.tunnel.interface.and.your
10720	20 4c 41 4e 2f 44 4d 5a 20 7a 6f 6e 65 73 20 69 6e 73 74 65 61 64 20 6f 66 20 74 6f 20 74 68 65	.LAN/DMZ.zones.instead.of.to.the
10740	20 57 41 4e 2e 00 59 6f 75 20 77 6f 75 6c 64 20 68 61 76 65 20 74 6f 20 61 64 64 20 61 20 63 6f	.WAN..You.would.have.to.add.a.co
10760	75 70 6c 65 20 6f 66 20 72 75 6c 65 73 20 6f 6e 20 79 6f 75 72 20 77 61 6e 2d 6c 6f 63 61 6c 20	uple.of.rules.on.your.wan-local.
10780	72 75 6c 65 73 65 74 20 74 6f 20 61 6c 6c 6f 77 20 70 72 6f 74 6f 63 6f 6c 20 34 31 20 69 6e 2e	ruleset.to.allow.protocol.41.in.
107a0	00 5a 6f 6e 65 2d 50 6f 6c 69 63 79 20 65 78 61 6d 70 6c 65 00 5a 6f 6e 65 73 20 42 61 73 69 63	.Zone-Policy.example.Zones.Basic
107c0	73 00 5a 6f 6e 65 73 20 61 6e 64 20 52 75 6c 65 73 65 74 73 20 62 6f 74 68 20 68 61 76 65 20 61	s.Zones.and.Rulesets.both.have.a
107e0	20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 73 74 61 74 65 6d 65 6e 74 2e 20 57 68 65 6e 20	.default.action.statement..When.
10800	75 73 69 6e 67 20 5a 6f 6e 65 2d 50 6f 6c 69 63 69 65 73 2c 20 74 68 65 20 64 65 66 61 75 6c 74	using.Zone-Policies,.the.default
10820	20 61 63 74 69 6f 6e 20 69 73 20 73 65 74 20 62 79 20 74 68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63	.action.is.set.by.the.zone-polic
10840	79 20 73 74 61 74 65 6d 65 6e 74 20 61 6e 64 20 69 73 20 72 65 70 72 65 73 65 6e 74 65 64 20 62	y.statement.and.is.represented.b
10860	79 20 72 75 6c 65 20 31 30 30 30 30 2e 00 5a 6f 6e 65 73 20 64 6f 20 6e 6f 74 20 61 6c 6c 6f 77	y.rule.10000..Zones.do.not.allow
10880	20 66 6f 72 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 6f 66 20 61 63 63 65 70 74 3b	.for.a.default.action.of.accept;
108a0	20 65 69 74 68 65 72 20 64 72 6f 70 20 6f 72 20 72 65 6a 65 63 74 2e 20 49 74 20 69 73 20 69 6d	.either.drop.or.reject..It.is.im
108c0	70 6f 72 74 61 6e 74 20 74 6f 20 72 65 6d 65 6d 62 65 72 20 74 68 69 73 20 62 65 63 61 75 73 65	portant.to.remember.this.because
108e0	20 69 66 20 79 6f 75 20 61 70 70 6c 79 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 74 6f 20 61 20	.if.you.apply.an.interface.to.a.
10900	7a 6f 6e 65 20 61 6e 64 20 63 6f 6d 6d 69 74 2c 20 61 6e 79 20 61 63 74 69 76 65 20 63 6f 6e 6e	zone.and.commit,.any.active.conn
10920	65 63 74 69 6f 6e 73 20 77 69 6c 6c 20 62 65 20 64 72 6f 70 70 65 64 2e 20 53 70 65 63 69 66 69	ections.will.be.dropped..Specifi
10940	63 61 6c 6c 79 2c 20 69 66 20 79 6f 75 20 61 72 65 20 53 53 48 e2 80 99 64 20 69 6e 74 6f 20 56	cally,.if.you.are.SSH...d.into.V
10960	79 4f 53 20 61 6e 64 20 61 64 64 20 6c 6f 63 61 6c 20 6f 72 20 74 68 65 20 69 6e 74 65 72 66 61	yOS.and.add.local.or.the.interfa
10980	63 65 20 79 6f 75 20 61 72 65 20 63 6f 6e 6e 65 63 74 69 6e 67 20 74 68 72 6f 75 67 68 20 74 6f	ce.you.are.connecting.through.to
109a0	20 61 20 7a 6f 6e 65 20 61 6e 64 20 64 6f 20 6e 6f 74 20 68 61 76 65 20 72 75 6c 65 73 65 74 73	.a.zone.and.do.not.have.rulesets
109c0	20 69 6e 20 70 6c 61 63 65 20 74 6f 20 61 6c 6c 6f 77 20 53 53 48 20 61 6e 64 20 65 73 74 61 62	.in.place.to.allow.SSH.and.estab
109e0	6c 69 73 68 65 64 20 73 65 73 73 69 6f 6e 73 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 6f 74 20 62 65	lished.sessions,.you.will.not.be
10a00	20 61 62 6c 65 20 74 6f 20 63 6f 6e 6e 65 63 74 2e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78	.able.to.connect..`2001:470:xxxx
10a20	3a 31 3a 3a 2f 36 34 60 3a 20 41 20 73 75 62 6e 65 74 20 73 75 69 74 61 62 6c 65 20 66 6f 72 20	:1::/64`:.A.subnet.suitable.for.
10a40	61 20 4c 41 4e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 32 3a 3a 2f 36 34 60 3a 20 41 6e	a.LAN.`2001:470:xxxx:2::/64`:.An
10a60	6f 74 68 65 72 20 73 75 62 6e 65 74 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 3a 2f 34 38	other.subnet.`2001:470:xxxx::/48
10a80	60 3a 20 54 68 65 20 77 68 6f 6c 65 20 73 75 62 6e 65 74 2e 20 78 78 78 78 20 73 68 6f 75 6c 64	`:.The.whole.subnet..xxxx.should
10aa0	20 63 6f 6d 65 20 66 72 6f 6d 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 00 60 32 30 30 31 3a 34	.come.from.Tunnelbroker..`2001:4
10ac0	37 30 3a 78 78 78 78 3a 66 66 66 66 3a 2f 36 34 60 3a 20 54 68 65 20 6c 61 73 74 20 75 73 61 62	70:xxxx:ffff:/64`:.The.last.usab
10ae0	6c 65 20 2f 36 34 20 73 75 62 6e 65 74 2e 00 60 60 73 65 72 76 69 63 65 2d 6e 61 6d 65 60 60 20	le./64.subnet..``service-name``.
10b00	63 61 6e 20 62 65 20 61 6e 20 61 72 62 69 74 72 61 72 79 20 73 74 72 69 6e 67 2e 00 61 66 74 65	can.be.an.arbitrary.string..afte
10b20	72 20 61 6c 6c 20 74 68 65 73 65 20 73 74 65 70 73 20 74 68 65 20 63 6f 6e 66 69 67 20 6c 6f 6f	r.all.these.steps.the.config.loo
10b40	6b 20 6c 69 6b 65 20 74 68 69 73 3a 00 61 66 74 65 72 20 74 68 69 73 20 63 72 65 61 74 65 20 61	k.like.this:.after.this.create.a
10b60	20 73 69 67 6e 65 64 20 73 65 72 76 65 72 20 61 6e 64 20 61 20 63 6c 69 65 6e 74 20 63 65 72 74	.signed.server.and.a.client.cert
10b80	69 66 69 63 61 74 65 00 61 6e 64 20 6c 61 73 74 20 74 68 65 20 44 48 20 4b 65 79 00 62 6c 75 65	ificate.and.last.the.DH.Key.blue
10ba0	20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64	.uses.local.routing.table.id.and
10bc0	20 56 4e 49 20 32 30 30 30 00 63 68 30 30 73 33 2d 34 2d 73 33 63 75 72 33 2d 70 73 6b 00 63 6f	.VNI.2000.ch00s3-4-s3cur3-psk.co
10be0	6d 70 75 74 65 31 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65	mpute1.(VMware.ESXi.6.5).compute
10c00	31 20 2d 20 50 6f 72 74 20 39 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6d 70 75 74	1.-.Port.9.of.each.switch.comput
10c20	65 32 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 32 20 2d 20	e2.(VMware.ESXi.6.5).compute2.-.
10c40	50 6f 72 74 20 31 30 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6d 70 75 74 65 33 20	Port.10.of.each.switch.compute3.
10c60	28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f 6d 70 75 74 65 33 20 2d 20 50 6f 72	(VMware.ESXi.6.5).compute3.-.Por
10c80	74 20 31 31 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00 63 6f 6e 66 69 67 75 72 65 20 65 61	t.11.of.each.switch.configure.ea
10ca0	63 68 20 68 6f 73 74 20 69 6e 20 74 68 65 20 6c 61 62 00 63 72 65 61 74 65 20 74 68 65 20 6c 61	ch.host.in.the.lab.create.the.la
10cc0	62 20 6f 6e 20 61 20 65 76 65 2d 6e 67 20 73 65 72 76 65 72 00 64 6f 20 73 6f 6d 65 20 64 65 66	b.on.a.eve-ng.server.do.some.def
10ce0	69 6e 65 64 20 74 65 73 74 73 00 65 74 68 30 00 65 74 68 30 20 69 73 20 73 65 74 20 74 6f 20 62	ined.tests.eth0.eth0.is.set.to.b
10d00	65 20 72 65 6d 6f 76 65 64 20 66 72 6f 6d 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72	e.removed.from.the.load.balancer
10d20	27 73 20 69 6e 74 65 72 66 61 63 65 20 70 6f 6f 6c 20 61 66 74 65 72 20 35 20 70 69 6e 67 20 66	's.interface.pool.after.5.ping.f
10d40	61 69 6c 75 72 65 73 2c 20 65 74 68 31 20 77 69 6c 6c 20 62 65 20 72 65 6d 6f 76 65 64 20 61 66	ailures,.eth1.will.be.removed.af
10d60	74 65 72 20 34 20 70 69 6e 67 20 66 61 69 6c 75 72 65 73 2e 00 65 78 74 65 6e 64 65 64 20 63 6f	ter.4.ping.failures..extended.co
10d80	6d 6d 75 6e 69 74 79 20 61 6e 64 20 72 65 6d 6f 74 65 20 6c 61 62 65 6c 20 6f 66 20 73 70 65 63	mmunity.and.remote.label.of.spec
10da0	69 66 69 63 20 64 65 73 74 69 6e 61 74 69 6f 6e 00 66 69 72 73 74 20 74 68 65 20 50 43 41 00 67	ific.destination.first.the.PCA.g
10dc0	65 6e 65 72 61 74 65 20 74 68 65 20 64 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 61 6e 64 20 69 6e	enerate.the.documentation.and.in
10de0	63 6c 75 64 65 20 66 69 6c 65 73 00 67 72 65 65 6e 20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75	clude.files.green.uses.local.rou
10e00	74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20 34 30 30 30 00 69 6e 66 6f 72	ting.table.id.and.VNI.4000.infor
10e20	6d 61 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 50 45 20 61 6e 64 20 43 45 3a 00 6f 70 74 69 6f 6e	mation.between.PE.and.CE:.option
10e40	61 6c 20 64 6f 20 61 6e 20 75 70 67 72 61 64 65 20 74 6f 20 61 20 68 69 67 68 65 72 20 76 65 72	al.do.an.upgrade.to.a.higher.ver
10e60	73 69 6f 6e 20 61 6e 64 20 64 6f 20 73 74 65 70 20 33 20 61 67 61 69 6e 2e 00 72 65 64 20 75 73	sion.and.do.step.3.again..red.us
10e80	65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e	es.local.routing.table.id.and.VN
10ea0	49 20 33 30 30 30 00 72 6f 75 74 65 72 32 20 28 52 61 6e 64 6f 6d 20 31 52 55 20 6d 61 63 68 69	I.3000.router2.(Random.1RU.machi
10ec0	6e 65 20 77 69 74 68 20 34 20 4e 49 43 73 29 00 73 61 76 65 20 74 68 65 20 6f 75 74 70 75 74 20	ne.with.4.NICs).save.the.output.
10ee0	74 6f 20 61 20 66 69 6c 65 20 61 6e 64 20 69 6d 70 6f 72 74 20 69 74 20 69 6e 20 6e 65 61 72 6c	to.a.file.and.import.it.in.nearl
10f00	79 20 61 6c 6c 20 6f 70 65 6e 76 70 6e 20 63 6c 69 65 6e 74 73 2e 00 73 68 75 74 64 6f 77 6e 20	y.all.openvpn.clients..shutdown.
10f20	61 6e 64 20 64 65 73 74 72 6f 79 20 74 68 65 20 6c 61 62 2c 20 69 66 20 74 68 65 72 65 20 69 73	and.destroy.the.lab,.if.there.is
10f40	20 6e 6f 20 65 72 72 6f 72 00 73 70 65 63 69 66 69 63 20 56 50 4e 76 34 20 64 65 73 74 69 6e 61	.no.error.specific.VPNv4.destina
10f60	74 69 6f 6e 20 69 6e 63 6c 75 64 69 6e 67 20 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74	tion.including.extended.communit
10f80	79 20 61 6e 64 20 72 65 6d 6f 74 65 6c 61 62 65 6c 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 54	y.and.remotelabel.information..T
10fa0	68 69 73 20 70 72 6f 63 65 64 75 72 65 20 69 73 20 74 68 65 20 73 61 6d 65 20 6f 6e 20 61 6c 6c	his.procedure.is.the.same.on.all
10fc0	20 53 70 6f 6b 65 20 6e 6f 64 65 73 3a 00 73 77 69 74 63 68 31 20 28 4e 65 78 75 73 20 31 30 67	.Spoke.nodes:.switch1.(Nexus.10g
10fe0	62 20 53 77 69 74 63 68 29 00 73 77 69 74 63 68 32 20 28 4e 65 78 75 73 20 31 30 67 62 20 53 77	b.Switch).switch2.(Nexus.10gb.Sw
11000	69 74 63 68 29 00 76 36 20 70 61 69 72 73 20 77 6f 75 6c 64 20 62 65 3a 00 76 79 6f 73 31 30 20	itch).v6.pairs.would.be:.vyos10.
11020	2d 20 31 39 32 2e 30 2e 32 2e 31 30 38 00 76 79 6f 73 37 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30	-.192.0.2.108.vyos7.-.192.0.2.10
11040	35 00 76 79 6f 73 38 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 36 00 76 79 6f 73 39 20 2d 20 31 39	5.vyos8.-.192.0.2.106.vyos9.-.19
11060	32 2e 30 2e 32 2e 31 30 37 00 77 65 20 61 72 65 20 75 73 69 6e 67 20 22 73 6f 75 72 63 65 2d 61	2.0.2.107.we.are.using."source-a
11080	64 64 72 65 73 73 22 20 6f 70 74 69 6f 6e 20 63 61 75 73 65 20 77 65 20 61 72 65 20 6e 6f 74 20	ddress".option.cause.we.are.not.
110a0	72 65 64 69 73 74 72 69 62 75 74 69 6e 67 20 63 6f 6e 6e 65 63 74 65 64 20 69 6e 74 65 72 66 61	redistributing.connected.interfa
110c0	63 65 73 20 69 6e 74 6f 20 42 47 50 20 6f 6e 20 74 68 65 20 43 6f 72 65 20 72 6f 75 74 65 72 20	ces.into.BGP.on.the.Core.router.
110e0	68 65 6e 63 65 20 74 68 65 72 65 20 69 73 20 6e 6f 20 63 6f 6d 65 62 61 63 6b 20 72 6f 75 74 65	hence.there.is.no.comeback.route
11100	20 61 6e 64 20 70 69 6e 67 20 77 69 6c 6c 20 66 61 69 6c 2e 00 77 69 74 68 69 6e 20 56 52 46 73	.and.ping.will.fail..within.VRFs
11120	3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80	:....show.bgp.ipv4.vpn.summary..
11140	9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 42 47 50 20 56 50 4e 76 34 20 6e 65 69 67 68 62 6f	..for.checking.BGP.VPNv4.neighbo
11160	72 73 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79	rs:....show.bgp.ipv4.vpn.summary
11180	e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f 72 73 20	....for.checking.iBGP.neighbors.
111a0	61 67 61 69 6e 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 73 75 6d 6d 61	again....show.bgp.ipv4.vpn.summa
111c0	72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 6e 65 69 67 68 62 6f 72	ry....for.checking.iBGP.neighbor
111e0	73 20 61 67 61 69 6e 73 74 20 72 6f 75 74 65 2d 72 65 66 6c 65 63 74 6f 72 20 64 65 76 69 63 65	s.against.route-reflector.device
11200	73 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f	s:....show.bgp.ipv4.vpn.x.x.x.x/
11220	33 32 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 62 65 73 74 2d 70 61 74 68 2c 00 e2 80	32....for.checking.best-path,...
11240	9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f 33 32 e2 80 9d	.show.bgp.ipv4.vpn.x.x.x.x/32...
11260	20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 74 68 65 20 62 65 73 74 2d 70 61 74 68 20 74 6f 20 74	.for.checking.the.best-path.to.t
11280	68 65 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78 2e 78 2e 78 2e 78 2f	he....show.bgp.ipv4.vpn.x.x.x.x/
112a0	78 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 62 65 73 74 20 70 61 74 68 20 73 65 6c 65	x....for.checking.best.path.sele
112c0	63 74 65 64 20 66 6f 72 20 73 70 65 63 69 66 69 63 20 56 50 4e 76 34 20 64 65 73 74 69 6e 61 74	cted.for.specific.VPNv4.destinat
112e0	69 6f 6e 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e e2 80 9d 20 20 66 6f 72	ion....show.bgp.ipv4.vpn.....for
11300	20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 56 50 4e 76 34 20 70 72 65 66 69 78 65 73 20 69 6e 66	.checking.all.VPNv4.prefixes.inf
11320	6f 72 6d 61 74 69 6f 6e 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 5f 48	ormation:....show.bgp.vrf.BLUE_H
11340	55 42 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 47 50 20	UB.summary....for.checking.EBGP.
11360	6e 65 69 67 68 62 6f 72 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 42 4c 55 45 5f 53 50	neighbor....show.bgp.vrf.BLUE_SP
11380	4f 4b 45 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 45 42 47 50	OKE.summary....for.checking.EBGP
113a0	20 6e 65 69 67 68 62 6f 72 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c e2 80 9d	.neighbor....show.bgp.vrf.all...
113c0	20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 20 6c 65 61	.for.checking.all.the.prefix.lea
113e0	72 6e 69 6e 67 20 6f 6e 20 42 47 50 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 76 72 66 20 61 6c 6c	rning.on.BGP....show.bgp.vrf.all
11400	e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 74 68 65 20 70 72 65 66 69 78 65	....for.checking.all.the.prefixe
11420	73 20 6c 65 61 72 6e 69 6e 67 20 6f 6e 20 42 47 50 00 e2 80 9c 73 68 6f 77 20 69 70 20 6f 73 70	s.learning.on.BGP....show.ip.osp
11440	66 20 6e 65 69 67 68 62 6f 72 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6f 73 70 66 20	f.neighbor....for.checking.ospf.
11460	72 65 6c 61 74 69 6f 6e 73 68 69 70 00 e2 80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 72	relationship....show.ip.route.vr
11480	66 20 42 4c 55 45 5f 48 55 42 e2 80 9d 20 74 6f 20 76 69 65 77 20 74 68 65 20 52 49 42 20 69 6e	f.BLUE_HUB....to.view.the.RIB.in
114a0	20 6f 75 72 20 48 75 62 20 50 45 2e 00 e2 80 9c 73 68 6f 77 20 69 70 20 72 6f 75 74 65 20 76 72	.our.Hub.PE.....show.ip.route.vr
114c0	66 20 42 4c 55 45 5f 53 50 4f 4b 45 e2 80 9d 20 66 6f 72 20 76 69 65 77 69 6e 67 20 74 68 65 20	f.BLUE_SPOKE....for.viewing.the.
114e0	52 49 42 20 69 6e 20 6f 75 72 20 53 70 6f 6b 65 20 50 45 2e 00 e2 80 9c 73 68 6f 77 20 6d 70 6c	RIB.in.our.Spoke.PE.....show.mpl
11500	73 20 6c 64 70 20 62 69 6e 64 69 6e 67 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6d 70	s.ldp.binding....for.checking.mp
11520	6c 73 20 6c 61 62 65 6c 20 61 73 73 69 67 6e 6d 65 6e 74 00 e2 80 9c 73 68 6f 77 20 6d 70 6c 73	ls.label.assignment....show.mpls
11540	20 6c 64 70 20 6e 65 69 67 68 62 6f 72 20 e2 80 9c 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 6c	.ldp.neighbor.....for.checking.l
11560	64 70 20 6e 65 69 67 68 62 6f 72 73 00 4d 49 4d 45 2d 56 65 72 73 69 6f 6e 3a 20 31 2e 30 0a 43	dp.neighbors.MIME-Version:.1.0.C
11580	6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 74 65 78 74 2f 70 6c 61 69 6e 3b 20 63 68 61 72 73 65 74	ontent-Type:.text/plain;.charset
115a0	3d 55 54 46 2d 38 0a 43 6f 6e 74 65 6e 74 2d 54 72 61 6e 73 66 65 72 2d 45 6e 63 6f 64 69 6e 67	=UTF-8.Content-Transfer-Encoding
115c0	3a 20 38 62 69 74 0a 58 2d 47 65 6e 65 72 61 74 6f 72 3a 20 4c 6f 63 61 6c 61 7a 79 20 28 68 74	:.8bit.X-Generator:.Localazy.(ht
115e0	74 70 73 3a 2f 2f 6c 6f 63 61 6c 61 7a 79 2e 63 6f 6d 29 0a 50 72 6f 6a 65 63 74 2d 49 64 2d 56	tps://localazy.com).Project-Id-V
11600	65 72 73 69 6f 6e 3a 20 0a 4c 61 6e 67 75 61 67 65 3a 20 75 6b 0a 50 6c 75 72 61 6c 2d 46 6f 72	ersion:..Language:.uk.Plural-For
11620	6d 73 3a 20 6e 70 6c 75 72 61 6c 73 3d 33 3b 20 70 6c 75 72 61 6c 3d 28 28 6e 25 31 30 3d 3d 31	ms:.nplurals=3;.plural=((n%10==1
11640	29 20 26 26 20 28 6e 25 31 30 30 21 3d 31 31 29 29 20 3f 20 30 20 3a 20 28 28 6e 25 31 30 3e 3d	).&&.(n%100!=11)).?.0.:.((n%10>=
11660	32 20 26 26 20 6e 25 31 30 3c 3d 34 29 20 26 26 20 28 28 6e 25 31 30 30 3c 31 32 20 7c 7c 20 6e	2.&&.n%10<=4).&&.((n%100<12.\|\|.n
11680	25 31 30 30 3e 31 34 29 29 29 20 3f 20 31 20 3a 20 32 3b 0a 00 27 27 49 74 20 69 73 20 69 6d 70	%100>14))).?.1.:.2;..''It.is.imp
116a0	6f 72 74 61 6e 74 20 74 6f 20 6e 6f 74 65 2c 20 74 68 61 74 20 79 6f 75 20 64 6f 20 6e 6f 74 20	ortant.to.note,.that.you.do.not.
116c0	77 61 6e 74 20 74 6f 20 61 64 64 20 6c 6f 67 67 69 6e 67 20 74 6f 20 74 68 65 20 65 73 74 61 62	want.to.add.logging.to.the.estab
116e0	6c 69 73 68 65 64 20 73 74 61 74 65 20 72 75 6c 65 20 61 73 20 79 6f 75 20 77 69 6c 6c 20 62 65	lished.state.rule.as.you.will.be
11700	20 6c 6f 67 67 69 6e 67 20 62 6f 74 68 20 74 68 65 20 69 6e 62 6f 75 6e 64 20 61 6e 64 20 6f 75	.logging.both.the.inbound.and.ou
11720	74 62 6f 75 6e 64 20 70 61 63 6b 65 74 73 20 66 6f 72 20 65 61 63 68 20 73 65 73 73 69 6f 6e 20	tbound.packets.for.each.session.
11740	69 6e 73 74 65 61 64 20 6f 66 20 6a 75 73 74 20 74 68 65 20 69 6e 69 74 69 61 74 69 6f 6e 20 6f	instead.of.just.the.initiation.o
11760	66 20 74 68 65 20 73 65 73 73 69 6f 6e 2e 20 59 6f 75 72 20 6c 6f 67 73 20 77 69 6c 6c 20 62 65	f.the.session..Your.logs.will.be
11780	20 6d 61 73 73 69 76 65 20 69 6e 20 61 20 76 65 72 79 20 73 68 6f 72 74 20 70 65 72 69 6f 64 20	.massive.in.a.very.short.period.
117a0	6f 66 20 74 69 6d 65 2e 27 27 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 41 64 64 20 61 6e	of.time.''.Important:.Add.an
117c0	20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 74 6f 20 72 65 61 63 68 20 41 7a 75 72 65 27	.interface.route.to.reach.Azure'
117e0	73 20 42 47 50 20 6c 69 73 74 65 6e 65 72 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 41 64	s.BGP.listener.Important:.Ad
11800	64 20 61 6e 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 74 6f 20 72 65 61 63 68 20 62 6f	d.an.interface.route.to.reach.bo
11820	74 68 20 41 7a 75 72 65 27 73 20 42 47 50 20 6c 69 73 74 65 6e 65 72 73 00 2a 2a 49 6d 70 6f 72	th.Azure's.BGP.listeners.**Impor
11840	74 61 6e 74 2a 2a 3a 20 44 69 73 61 62 6c 65 20 63 6f 6e 6e 65 63 74 65 64 20 63 68 65 63 6b 20	tant**:.Disable.connected.check.
11860	5c 00 2a 2a 49 6d 70 6f 72 74 61 6e 74 2a 2a 3a 20 44 69 73 61 62 6c 65 20 63 6f 6e 6e 65 63 74	\.Important:.Disable.connect
11880	65 64 20 63 68 65 63 6b 2c 20 6f 74 68 65 72 77 69 73 65 20 74 68 65 20 72 6f 75 74 65 73 20 6c	ed.check,.otherwise.the.routes.l
118a0	65 61 72 6e 65 64 20 66 72 6f 6d 20 41 7a 75 72 65 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 69 6d	earned.from.Azure.will.not.be.im
118c0	70 6f 72 74 65 64 20 69 6e 74 6f 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 2e 00 2a	ported.into.the.routing.table..*
118e0	2a 4e 4f 54 45 3a 2a 2a 20 56 79 4f 53 20 52 6f 75 74 65 72 20 28 74 65 73 74 65 64 20 77 69 74	NOTE:*.VyOS.Router.(tested.wit
11900	68 20 56 79 4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 29	h.VyOS.1.4-rolling-202110310317)
11920	20 e2 80 93 20 20 54 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 62 65 6c 6f 77 20 61	......The.configurations.below.a
11940	72 65 20 73 70 65 63 69 66 69 63 61 6c 6c 79 20 66 6f 72 20 56 79 4f 53 20 31 2e 34 2e 78 2e 00	re.specifically.for.VyOS.1.4.x..
11960	2a 2a 4e 6f 74 65 3a 2a 2a 20 41 74 20 74 68 65 20 6d 6f 6d 65 6e 74 2c 20 74 72 61 63 65 20 6d	Note:.At.the.moment,.trace.m
11980	70 6c 73 20 64 6f 65 73 6e e2 80 99 74 20 73 68 6f 77 20 6c 61 62 65 6c 73 2f 70 61 74 68 73 2e	pls.doesn...t.show.labels/paths.
119a0	20 53 6f 20 77 65 e2 80 99 6c 6c 20 73 65 65 20 2a 20 2a 20 2a 20 20 66 6f 72 20 74 68 65 20 74	.So.we...ll.see...*..for.the.t
119c0	72 61 6e 73 69 74 20 72 6f 75 74 65 72 73 20 6f 66 20 74 68 65 20 6d 70 6c 73 20 62 61 63 6b 62	ransit.routers.of.the.mpls.backb
119e0	6f 6e 65 2e 00 2a 2a 54 68 69 73 20 73 70 65 63 69 66 69 63 20 65 78 61 6d 70 6c 65 20 69 73 20	one..**This.specific.example.is.
11a00	66 6f 72 20 61 20 72 6f 75 74 65 72 20 6f 6e 20 61 20 73 74 69 63 6b 2c 20 62 75 74 20 69 73 20	for.a.router.on.a.stick,.but.is.
11a20	76 65 72 79 20 65 61 73 69 6c 79 20 61 64 61 70 74 65 64 20 66 6f 72 20 68 6f 77 65 76 65 72 20	very.easily.adapted.for.however.
11a40	6d 61 6e 79 20 4e 49 43 73 20 79 6f 75 20 68 61 76 65 2a 2a 3a 00 2a 2a 56 69 72 74 75 61 6c 20	many.NICs.you.have:.Virtual.
11a60	52 6f 75 74 69 6e 67 20 61 6e 64 20 46 6f 72 77 61 72 64 69 6e 67 2a 2a 20 69 73 20 61 20 74 65	Routing.and.Forwarding**.is.a.te
11a80	63 68 6e 6f 6c 6f 67 79 20 74 68 61 74 20 61 6c 6c 6f 77 20 6d 75 6c 74 69 70 6c 65 20 69 6e 73	chnology.that.allow.multiple.ins
11aa0	74 61 6e 63 65 20 6f 66 20 61 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 74 6f 20 65 78 69 73	tance.of.a.routing.table.to.exis
11ac0	74 20 77 69 74 68 69 6e 20 61 20 73 69 6e 67 6c 65 20 64 65 76 69 63 65 2e 20 4f 6e 65 20 6f 66	t.within.a.single.device..One.of
11ae0	20 74 68 65 20 6b 65 79 20 61 73 70 65 63 74 20 6f 66 20 2a 2a 56 52 46 73 2a 2a 20 69 73 20 74	.the.key.aspect.of.VRFs.is.t
11b00	68 61 74 20 64 6f 20 6e 6f 74 20 73 68 61 72 65 20 74 68 65 20 73 61 6d 65 20 72 6f 75 74 65 73	hat.do.not.share.the.same.routes
11b20	20 6f 72 20 69 6e 74 65 72 66 61 63 65 73 2c 20 74 68 65 72 65 66 6f 72 65 20 70 61 63 6b 65 74	.or.interfaces,.therefore.packet
11b40	73 20 61 72 65 20 66 6f 72 77 61 72 64 65 64 20 62 65 74 77 65 65 6e 20 69 6e 74 65 72 66 61 63	s.are.forwarded.between.interfac
11b60	65 73 20 74 68 61 74 20 62 65 6c 6f 6e 67 20 74 6f 20 74 68 65 20 73 61 6d 65 20 56 52 46 20 6f	es.that.belong.to.the.same.VRF.o
11b80	6e 6c 79 2e 00 2a 2a 6f 66 66 73 69 74 65 31 2a 2a 00 2a 2a 72 6f 75 74 65 72 31 2a 2a 00 2a 2a	nly..offsite1.router1.**
11ba0	72 6f 75 74 65 72 32 2a 2a 00 31 30 2e 30 2e 30 2e 30 2f 31 36 00 31 30 2e 30 2e 30 2e 34 00 31	router2**.10.0.0.0/16.10.0.0.4.1
11bc0	30 2e 30 2e 30 2e 34 2c 31 30 2e 30 2e 30 2e 35 00 31 30 2e 31 2e 31 2e 30 2f 33 30 00 31 30 2e	0.0.0.4,10.0.0.5.10.1.1.0/30.10.
11be0	31 30 2e 30 2e 30 2f 31 36 00 31 30 2e 31 30 2e 30 2e 35 00 31 30 2e 32 2e 32 2e 30 2f 33 30 00	10.0.0/16.10.10.0.5.10.2.2.0/30.
11c00	31 30 2e 35 30 2e 35 30 2e 31 3a 31 30 31 31 00 31 30 2e 36 30 2e 36 30 2e 31 3a 31 30 31 31 00	10.50.50.1:1011.10.60.60.1:1011.
11c20	31 30 2e 38 30 2e 38 30 2e 31 3a 31 30 31 31 00 31 30 30 3a 20 27 50 75 62 6c 69 63 27 20 6e 65	10.80.80.1:1011.100:.'Public'.ne
11c40	74 77 6f 72 6b 2c 20 75 73 69 6e 67 20 6f 75 72 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32 34 20	twork,.using.our.203.0.113.0/24.
11c60	6e 65 74 77 6f 72 6b 2e 00 31 37 32 2e 31 36 2e 32 2e 30 2f 33 30 00 31 37 32 2e 31 37 2e 31 2e	network..172.16.2.0/30.172.17.1.
11c80	32 20 43 53 30 20 2d 3e 20 43 53 34 00 31 37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 30 00 31	2.CS0.->.CS4.172.17.1.2/24.CS0.1
11ca0	37 32 2e 31 37 2e 31 2e 32 2f 32 34 20 43 53 30 20 2d 20 3e 20 43 53 34 00 31 37 32 2e 31 37 2e	72.17.1.2/24.CS0.-.>.CS4.172.17.
11cc0	31 2e 32 2f 32 34 20 43 53 34 20 2d 20 3e 20 43 53 35 00 31 37 32 2e 31 37 2e 31 2e 33 20 43 53	1.2/24.CS4.-.>.CS5.172.17.1.3.CS
11ce0	30 20 2d 3e 20 43 53 35 00 31 37 32 2e 31 37 2e 31 2e 34 20 43 53 30 20 2d 3e 20 43 53 36 00 31	0.->.CS5.172.17.1.4.CS0.->.CS6.1
11d00	37 32 2e 31 37 2e 31 2e 34 30 20 43 53 30 20 62 79 20 64 65 66 61 75 6c 74 00 31 39 32 2e 31 36	72.17.1.40.CS0.by.default.192.16
11d20	38 2e 31 30 30 2e 31 30 2f 32 30 30 31 3a 30 44 42 38 3a 30 3a 41 41 41 41 3a 3a 31 30 20 69 73	8.100.10/2001:0DB8:0:AAAA::10.is
11d40	20 74 68 65 20 61 64 6d 69 6e 69 73 74 72 61 74 6f 72 27 73 20 63 6f 6e 73 6f 6c 65 2e 20 49 74	.the.administrator's.console..It
11d60	20 63 61 6e 20 53 53 48 20 74 6f 20 56 79 4f 53 2e 00 31 39 32 2e 31 36 38 2e 32 30 30 2e 32 30	.can.SSH.to.VyOS..192.168.200.20
11d80	30 2f 32 30 30 31 3a 30 44 42 38 3a 30 3a 42 42 42 42 3a 3a 32 30 30 20 69 73 20 61 6e 20 69 6e	0/2001:0DB8:0:BBBB::200.is.an.in
11da0	74 65 72 6e 61 6c 2f 65 78 74 65 72 6e 61 6c 20 44 4e 53 2c 20 77 65 62 20 61 6e 64 20 6d 61 69	ternal/external.DNS,.web.and.mai
11dc0	6c 20 28 53 4d 54 50 2f 49 4d 41 50 29 20 73 65 72 76 65 72 2e 00 31 39 32 2e 31 36 38 2e 33 2e	l.(SMTP/IMAP).server..192.168.3.
11de0	30 2f 33 30 00 31 39 38 2e 35 31 2e 31 30 30 2e 33 00 32 20 70 72 69 76 61 74 65 20 73 75 62 6e	0/30.198.51.100.3.2.private.subn
11e00	65 74 73 20 6f 6e 20 65 61 63 68 20 73 69 74 65 2e 00 32 20 78 20 52 6f 75 74 65 20 72 65 66 6c	ets.on.each.site..2.x.Route.refl
11e20	65 63 74 6f 72 73 20 28 56 79 4f 53 2d 52 52 78 29 00 32 30 30 31 3a 64 62 38 3a 3a 2f 31 32 37	ectors.(VyOS-RRx).2001:db8::/127
11e40	00 32 30 30 31 3a 64 62 38 3a 3a 32 2f 31 32 37 00 32 30 30 31 3a 64 62 38 3a 3a 34 2f 31 32 37	.2001:db8::2/127.2001:db8::4/127
11e60	00 32 30 30 31 3a 64 62 38 3a 3a 36 2f 31 32 37 00 32 30 31 3a 20 27 49 6e 74 65 72 6e 61 6c 27	.2001:db8::6/127.201:.'Internal'
11e80	20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 00	.network,.using.10.200.201.0/24.
11ea0	32 30 33 2e 30 2e 31 31 33 2e 32 00 32 30 33 2e 30 2e 31 31 33 2e 33 00 33 20 78 20 43 75 73 74	203.0.113.2.203.0.113.3.3.x.Cust
11ec0	6f 6d 65 72 20 45 64 67 65 20 28 56 79 4f 53 2d 43 45 78 29 00 33 20 78 20 50 72 6f 76 69 64 65	omer.Edge.(VyOS-CEx).3.x.Provide
11ee0	72 20 45 64 67 65 20 28 56 79 4f 73 2d 50 45 78 29 00 34 20 78 20 50 72 6f 76 69 64 65 72 20 72	r.Edge.(VyOs-PEx).4.x.Provider.r
11f00	6f 75 74 65 72 73 20 28 56 79 4f 53 2d 50 78 29 00 35 30 3a 20 55 70 73 74 72 65 61 6d 2c 20 75	outers.(VyOS-Px).50:.Upstream,.u
11f20	73 69 6e 67 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 20 61 6c	sing.the.192.0.2.0/24.network.al
11f40	6c 6f 63 61 74 65 64 20 62 79 20 74 68 65 6d 2e 00 36 34 34 39 36 3a 31 00 36 34 34 39 36 3a 31	located.by.them..64496:1.64496:1
11f60	30 30 00 36 34 34 39 36 3a 32 00 36 34 34 39 36 3a 35 30 00 36 34 34 39 39 00 36 35 30 33 35 3a	00.64496:2.64496:50.64499.65035:
11f80	31 30 31 31 00 36 35 30 33 35 3a 31 30 31 31 20 36 35 30 33 35 3a 31 30 33 30 00 36 35 30 33 35	1011.65035:1011.65035:1030.65035
11fa0	3a 31 30 33 30 00 36 35 35 34 30 00 41 20 62 72 69 65 66 20 65 78 63 75 72 73 69 6f 6e 20 69 6e	:1030.65540.A.brief.excursion.in
11fc0	74 6f 20 56 52 46 73 3a 20 54 68 69 73 20 68 61 73 20 62 65 65 6e 20 6f 6e 65 20 6f 66 20 74 68	to.VRFs:.This.has.been.one.of.th
11fe0	65 20 6c 6f 6e 67 65 73 74 2d 73 74 61 6e 64 69 6e 67 20 66 65 61 74 75 72 65 20 72 65 71 75 65	e.longest-standing.feature.reque
12000	73 74 73 20 6f 66 20 56 79 4f 53 20 28 64 61 74 69 6e 67 20 62 61 63 6b 20 74 6f 20 32 30 31 36	sts.of.VyOS.(dating.back.to.2016
12020	29 20 77 68 69 63 68 20 63 61 6e 20 62 65 20 64 65 73 63 72 69 62 65 64 20 61 73 20 22 61 20 56	).which.can.be.described.as."a.V
12040	4c 41 4e 20 66 6f 72 20 6c 61 79 65 72 20 32 20 69 73 20 77 68 61 74 20 61 20 56 52 46 20 69 73	LAN.for.layer.2.is.what.a.VRF.is
12060	20 66 6f 72 20 6c 61 79 65 72 20 33 22 2e 20 57 69 74 68 20 56 52 46 73 2c 20 61 20 72 6f 75 74	.for.layer.3"..With.VRFs,.a.rout
12080	65 72 2f 73 79 73 74 65 6d 20 63 61 6e 20 68 6f 6c 64 20 6d 75 6c 74 69 70 6c 65 2c 20 69 73 6f	er/system.can.hold.multiple,.iso
120a0	6c 61 74 65 64 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20 6f 6e 20 74 68 65 20 73 61 6d 65	lated.routing.tables.on.the.same
120c0	20 73 79 73 74 65 6d 2e 20 49 66 20 79 6f 75 20 77 6f 6e 64 65 72 20 77 68 61 74 27 73 20 74 68	.system..If.you.wonder.what's.th
120e0	65 20 64 69 66 66 65 72 65 6e 63 65 20 62 65 74 77 65 65 6e 20 6d 75 6c 74 69 70 6c 65 20 74 61	e.difference.between.multiple.ta
12100	62 6c 65 73 20 74 68 61 74 20 70 65 6f 70 6c 65 20 75 73 65 64 20 66 6f 72 20 70 6f 6c 69 63 79	bles.that.people.used.for.policy
12120	2d 62 61 73 65 64 20 72 6f 75 74 69 6e 67 20 73 69 6e 63 65 20 66 6f 72 65 76 65 72 2c 20 69 74	-based.routing.since.forever,.it
12140	27 73 20 74 68 61 74 20 61 20 56 52 46 20 61 6c 73 6f 20 69 73 6f 6c 61 74 65 73 20 63 6f 6e 6e	's.that.a.VRF.also.isolates.conn
12160	65 63 74 65 64 20 72 6f 75 74 65 73 20 72 61 74 68 65 72 20 74 68 61 6e 20 6a 75 73 74 20 73 74	ected.routes.rather.than.just.st
12180	61 74 69 63 20 61 6e 64 20 64 79 6e 61 6d 69 63 61 6c 6c 79 20 6c 65 61 72 6e 65 64 20 72 6f 75	atic.and.dynamically.learned.rou
121a0	74 65 73 2c 20 73 6f 20 69 74 20 61 6c 6c 6f 77 73 20 4e 49 43 73 20 69 6e 20 64 69 66 66 65 72	tes,.so.it.allows.NICs.in.differ
121c0	65 6e 74 20 56 52 46 73 20 74 6f 20 75 73 65 20 63 6f 6e 66 6c 69 63 74 69 6e 67 20 6e 65 74 77	ent.VRFs.to.use.conflicting.netw
121e0	6f 72 6b 20 72 61 6e 67 65 73 20 77 69 74 68 6f 75 74 20 69 73 73 75 65 73 2e 00 41 20 63 6f 6e	ork.ranges.without.issues..A.con
12200	6e 65 63 74 69 6f 6e 20 72 65 73 6f 75 72 63 65 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 41 7a 75	nection.resource.deployed.in.Azu
12220	72 65 20 6c 69 6e 6b 69 6e 67 20 74 68 65 20 41 7a 75 72 65 20 56 4e 65 74 20 67 61 74 65 77 61	re.linking.the.Azure.VNet.gatewa
12240	79 20 61 6e 64 20 74 68 65 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 67 61 74 65 77 61 79 20	y.and.the.local.network.gateway.
12260	72 65 70 72 65 73 65 6e 74 69 6e 67 20 74 68 65 20 56 79 6f 73 20 64 65 76 69 63 65 2e 00 41 20	representing.the.Vyos.device..A.
12280	68 6f 73 74 20 60 60 76 79 6f 73 2d 6f 6f 62 6d 60 60 20 77 69 6c 6c 20 75 73 65 20 61 73 20 61	host.``vyos-oobm``.will.use.as.a
122a0	20 73 73 68 20 70 72 6f 78 79 2e 20 54 68 69 73 20 68 6f 73 74 20 69 73 20 6a 75 73 74 20 6e 65	.ssh.proxy..This.host.is.just.ne
122c0	63 65 73 73 61 72 79 20 66 6f 72 20 74 68 65 20 4c 61 62 20 74 65 73 74 2e 00 41 20 6b 65 79 20	cessary.for.the.Lab.test..A.key.
122e0	70 6f 69 6e 74 20 74 6f 20 75 6e 64 65 72 73 74 61 6e 64 20 69 73 20 74 68 61 74 20 69 66 20 77	point.to.understand.is.that.if.w
12300	65 20 6e 65 65 64 20 74 77 6f 20 56 52 46 73 20 74 6f 20 63 6f 6d 6d 75 6e 69 63 61 74 65 20 62	e.need.two.VRFs.to.communicate.b
12320	65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 20 45 58 50 4f 52 54 20 72 74 20 66 72 6f 6d	etween.each.other.EXPORT.rt.from
12340	20 56 52 46 31 20 68 61 73 20 74 6f 20 62 65 20 69 6e 20 74 68 65 20 49 4d 50 4f 52 54 20 72 74	.VRF1.has.to.be.in.the.IMPORT.rt
12360	20 6c 69 73 74 20 66 72 6f 6d 20 56 52 46 32 2e 20 42 75 74 20 74 68 69 73 20 69 73 20 6f 6e 6c	.list.from.VRF2..But.this.is.onl
12380	79 20 69 6e 20 4f 4e 45 20 64 69 72 65 63 74 69 6f 6e 2c 20 74 6f 20 63 6f 6d 70 6c 65 74 65 20	y.in.ONE.direction,.to.complete.
123a0	74 68 65 20 63 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 74 68 65 20 45 58 50 4f 52 54 20 72 74 20	the.communication.the.EXPORT.rt.
123c0	66 72 6f 6d 20 56 52 46 32 20 68 61 73 20 74 6f 20 62 65 20 69 6e 20 74 68 65 20 49 4d 50 4f 52	from.VRF2.has.to.be.in.the.IMPOR
123e0	54 20 72 74 20 6c 69 73 74 20 66 72 6f 6d 20 56 52 46 31 2e 00 41 20 6c 6f 63 61 6c 20 6e 65 74	T.rt.list.from.VRF1..A.local.net
12400	77 6f 72 6b 20 67 61 74 65 77 61 79 20 64 65 70 6c 6f 79 65 64 20 69 6e 20 41 7a 75 72 65 20 72	work.gateway.deployed.in.Azure.r
12420	65 70 72 65 73 65 6e 74 69 6e 67 20 74 68 65 20 56 79 6f 73 20 64 65 76 69 63 65 2c 20 6d 61 74	epresenting.the.Vyos.device,.mat
12440	63 68 69 6e 67 20 74 68 65 20 62 65 6c 6f 77 20 56 79 6f 73 20 73 65 74 74 69 6e 67 73 20 65 78	ching.the.below.Vyos.settings.ex
12460	63 65 70 74 20 66 6f 72 20 61 64 64 72 65 73 73 20 73 70 61 63 65 2c 20 77 68 69 63 68 20 6f 6e	cept.for.address.space,.which.on
12480	6c 79 20 72 65 71 75 69 72 65 73 20 74 68 65 20 56 79 6f 73 20 70 72 69 76 61 74 65 20 49 50 2c	ly.requires.the.Vyos.private.IP,
124a0	20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 31 30 2e 31 30 2e 30 2e 35 2f 33 32 00 41 20	.in.this.example.10.10.0.5/32.A.
124c0	70 61 69 72 20 6f 66 20 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 73 20 64 65 70 6c	pair.of.Azure.VNet.Gateways.depl
124e0	6f 79 65 64 20 69 6e 20 61 63 74 69 76 65 2d 61 63 74 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74	oyed.in.active-active.configurat
12500	69 6f 6e 20 77 69 74 68 20 42 47 50 20 65 6e 61 62 6c 65 64 2e 00 41 20 70 61 69 72 20 6f 66 20	ion.with.BGP.enabled..A.pair.of.
12520	41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 73 20 64 65 70 6c 6f 79 65 64 20 69 6e 20	Azure.VNet.Gateways.deployed.in.
12540	61 63 74 69 76 65 2d 70 61 73 73 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 69 74	active-passive.configuration.wit
12560	68 20 42 47 50 20 65 6e 61 62 6c 65 64 2e 00 41 20 70 75 62 6c 69 63 2c 20 72 6f 75 74 61 62 6c	h.BGP.enabled..A.public,.routabl
12580	65 20 49 50 76 34 20 61 64 64 72 65 73 73 2e 20 54 68 69 73 20 64 6f 65 73 20 6e 6f 74 20 6e 65	e.IPv4.address..This.does.not.ne
125a0	63 65 73 73 61 72 69 6c 79 20 6e 65 65 64 20 74 6f 20 62 65 20 73 74 61 74 69 63 2c 20 62 75 74	cessarily.need.to.be.static,.but
125c0	20 79 6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 75 70 64 61 74 65 20 74 68 65 20 74 75 6e	.you.will.need.to.update.the.tun
125e0	6e 65 6c 20 65 6e 64 70 6f 69 6e 74 20 77 68 65 6e 2f 69 66 20 79 6f 75 72 20 49 50 20 61 64 64	nel.endpoint.when/if.your.IP.add
12600	72 65 73 73 20 63 68 61 6e 67 65 73 2c 20 77 68 69 63 68 20 63 61 6e 20 62 65 20 64 6f 6e 65 20	ress.changes,.which.can.be.done.
12620	77 69 74 68 20 61 20 73 63 72 69 70 74 20 61 6e 64 20 61 20 73 63 68 65 64 75 6c 65 64 20 74 61	with.a.script.and.a.scheduled.ta
12640	73 6b 2e 00 41 20 72 75 6c 65 20 6f 72 64 65 72 20 66 6f 72 20 70 72 69 6f 72 69 74 69 7a 69 6e	sk..A.rule.order.for.prioritizin
12660	67 20 74 72 61 66 66 69 63 20 69 73 20 75 73 65 66 75 6c 20 69 6e 20 73 63 65 6e 61 72 69 6f 73	g.traffic.is.useful.in.scenarios
12680	20 77 68 65 72 65 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 20 68 61 73 20 61 20	.where.the.secondary.link.has.a.
126a0	6c 6f 77 65 72 20 73 70 65 65 64 20 61 6e 64 20 73 68 6f 75 6c 64 20 6f 6e 6c 79 20 63 61 72 72	lower.speed.and.should.only.carr
126c0	79 20 68 69 67 68 20 70 72 69 6f 72 69 74 79 20 74 72 61 66 66 69 63 2e 20 49 74 20 69 73 20 61	y.high.priority.traffic..It.is.a
126e0	73 73 75 6d 65 64 20 66 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 74 68 61 74 20 65 74 68	ssumed.for.this.example.that.eth
12700	31 20 69 73 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 61 20 73 6c 6f 77 65 72 20 63 6f 6e 6e 65	1.is.connected.to.a.slower.conne
12720	63 74 69 6f 6e 20 74 68 61 6e 20 65 74 68 30 20 61 6e 64 20 73 68 6f 75 6c 64 20 70 72 69 6f 72	ction.than.eth0.and.should.prior
12740	69 74 69 7a 65 20 56 6f 49 50 20 74 72 61 66 66 69 63 2e 00 41 20 73 69 6d 70 6c 65 20 73 6f 6c	itize.VoIP.traffic..A.simple.sol
12760	75 74 69 6f 6e 20 63 6f 75 6c 64 20 62 65 20 75 73 69 6e 67 20 64 69 66 66 65 72 65 6e 74 20 72	ution.could.be.using.different.r
12780	6f 75 74 69 6e 67 20 74 61 62 6c 65 73 2c 20 6f 72 20 56 52 46 73 20 66 6f 72 20 61 6c 6c 20 74	outing.tables,.or.VRFs.for.all.t
127a0	68 65 20 6e 65 74 77 6f 72 6b 73 20 73 6f 20 77 65 20 63 61 6e 20 6b 65 65 70 20 74 68 65 20 72	he.networks.so.we.can.keep.the.r
127c0	6f 75 74 69 6e 67 20 72 65 73 74 72 69 63 74 69 6f 6e 73 2e 20 42 75 74 20 66 6f 72 20 75 73 20	outing.restrictions..But.for.us.
127e0	74 6f 20 72 6f 75 74 65 20 62 65 74 77 65 65 6e 20 74 68 65 20 64 69 66 66 65 72 65 6e 74 20 56	to.route.between.the.different.V
12800	52 46 73 20 77 65 20 77 6f 75 6c 64 20 6e 65 65 64 20 61 20 63 61 62 6c 65 20 6f 72 20 61 20 6c	RFs.we.would.need.a.cable.or.a.l
12820	6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f	ogical.connection.between.each.o
12840	74 68 65 72 3a 00 41 44 44 52 45 53 53 31 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53	ther:.ADDRESS10.change.CS0.->.CS
12860	34 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 32 2f 33 32 00 41 44 44 52 45 53 53 32 30	4.source.172.17.1.2/32.ADDRESS20
12880	20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20 43 53 35 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37	.change.CS0.->.CS5.source.172.17
128a0	2e 31 2e 33 2f 33 32 00 41 44 44 52 45 53 53 33 30 20 63 68 61 6e 67 65 20 43 53 30 20 2d 3e 20	.1.3/32.ADDRESS30.change.CS0.->.
128c0	43 53 36 20 73 6f 75 72 63 65 20 31 37 32 2e 31 37 2e 31 2e 34 2f 33 32 00 41 63 63 6f 75 6e 74	CS6.source.172.17.1.4/32.Account
128e0	20 61 74 20 68 74 74 70 73 3a 2f 2f 77 77 77 2e 74 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74	.at.https://www.tunnelbroker.net
12900	2f 00 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 6f 6e 20 57 69 6e 64 6f 77 73 20 73 65	/.Active.Directory.on.Windows.se
12920	72 76 65 72 00 41 64 64 20 28 74 65 6d 70 6f 72 61 72 79 29 20 64 65 66 61 75 6c 74 20 72 6f 75	rver.Add.(temporary).default.rou
12940	74 65 00 41 64 64 20 61 6c 6c 20 74 68 65 20 68 6f 73 74 73 20 6f 66 20 56 79 4f 53 3a 00 41 64	te.Add.all.the.hosts.of.VyOS:.Ad
12960	64 20 67 65 6e 65 72 61 6c 20 76 61 72 69 61 62 6c 65 73 3a 00 41 64 64 20 74 68 65 20 4c 44 41	d.general.variables:.Add.the.LDA
12980	50 20 70 6c 75 67 69 6e 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 69 6c 65 20 60 2f 63 6f	P.plugin.configuration.file.`/co
129a0	6e 66 69 67 2f 61 75 74 68 2f 6c 64 61 70 2d 61 75 74 68 2e 63 6f 6e 66 69 67 60 00 41 64 64 20	nfig/auth/ldap-auth.config`.Add.
129c0	74 68 65 20 73 69 6d 70 6c 65 20 70 6c 61 79 62 6f 6f 6b 20 77 69 74 68 20 74 68 65 20 74 61 73	the.simple.playbook.with.the.tas
129e0	6b 73 20 66 6f 72 20 65 61 63 68 20 72 6f 75 74 65 72 3a 00 41 64 64 69 6e 67 20 61 20 72 75 6c	ks.for.each.router:.Adding.a.rul
12a00	65 20 66 6f 72 20 74 68 65 20 73 65 63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65 00 41 64 76 65 72	e.for.the.second.interface.Adver
12a20	74 69 73 65 20 63 6f 6e 6e 65 63 74 65 64 20 72 6f 75 74 65 73 00 41 66 74 65 72 20 61 6c 6c 20	tise.connected.routes.After.all.
12a40	69 73 20 64 6f 6e 65 20 61 6e 64 20 63 6f 6d 6d 69 74 2c 20 6c 65 74 27 73 20 74 61 6b 65 20 61	is.done.and.commit,.let's.take.a
12a60	20 6c 6f 6f 6b 20 69 66 20 74 68 65 20 57 69 72 65 67 75 61 72 64 20 69 6e 74 65 72 66 61 63 65	.look.if.the.Wireguard.interface
12a80	20 69 73 20 75 70 20 61 6e 64 20 72 75 6e 6e 69 6e 67 2e 00 41 66 74 65 72 20 63 6f 6e 66 69 67	.is.up.and.running..After.config
12aa0	75 72 65 64 20 61 6c 6c 20 74 68 65 20 56 52 46 73 20 69 6e 76 6f 6c 76 65 64 20 69 6e 20 74 68	ured.all.the.VRFs.involved.in.th
12ac0	69 73 20 74 6f 70 6f 6c 6f 67 79 20 77 65 20 74 61 6b 65 20 61 20 64 65 65 70 65 72 20 6c 6f 6f	is.topology.we.take.a.deeper.loo
12ae0	6b 20 61 74 20 62 6f 74 68 20 42 47 50 20 61 6e 64 20 52 6f 75 74 69 6e 67 20 74 61 62 6c 65 20	k.at.both.BGP.and.Routing.table.
12b00	66 6f 72 20 74 68 65 20 56 52 46 20 4c 41 4e 31 00 41 66 74 65 72 20 73 6f 6d 65 20 74 65 73 74	for.the.VRF.LAN1.After.some.test
12b20	69 6e 67 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 69 70 73 65 63 20 73 74 61 74 75 73 2c 20	ing,.we.can.check.ipsec.status,.
12b40	61 6e 64 20 63 6f 75 6e 74 65 72 20 6f 6e 20 65 76 65 72 79 20 74 75 6e 6e 65 6c 3a 00 41 66 74	and.counter.on.every.tunnel:.Aft
12b60	65 72 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 30 20 6f 6e 20 72 6f 75 74 65 72 20	er.the.interface.eth0.on.router.
12b80	56 79 4f 53 33 00 41 66 74 65 72 20 74 68 69 73 2c 20 77 65 20 6e 65 65 64 20 74 68 65 20 44 48	VyOS3.After.this,.we.need.the.DH
12ba0	43 50 2d 53 65 72 76 65 72 20 61 6e 64 20 52 65 6c 61 79 20 63 6f 6e 66 69 67 75 72 61 74 69 6f	CP-Server.and.Relay.configuratio
12bc0	6e 2e 20 54 6f 20 67 65 74 20 61 20 74 65 73 74 61 62 6c 65 20 72 65 73 75 6c 74 2c 20 77 65 20	n..To.get.a.testable.result,.we.
12be0	6a 75 73 74 20 68 61 76 65 20 6f 6e 65 20 49 50 20 69 6e 20 74 68 65 20 44 48 43 50 20 72 61 6e	just.have.one.IP.in.the.DHCP.ran
12c00	67 65 2e 20 45 78 70 61 6e 64 20 69 74 20 61 73 20 79 6f 75 20 6e 65 65 64 20 69 74 2e 00 41 66	ge..Expand.it.as.you.need.it..Af
12c20	74 65 72 20 79 6f 75 20 68 61 76 65 20 65 61 63 68 20 70 75 62 6c 69 63 20 6b 65 79 2e 20 54 68	ter.you.have.each.public.key..Th
12c40	65 20 77 69 72 65 67 75 61 72 64 20 69 6e 74 65 72 66 61 63 65 73 20 63 61 6e 20 62 65 20 73 65	e.wireguard.interfaces.can.be.se
12c60	74 75 70 2e 00 41 6c 6c 20 6f 75 74 67 6f 69 6e 67 20 70 61 63 6b 65 74 73 20 61 72 65 20 61 73	tup..All.outgoing.packets.are.as
12c80	73 69 67 6e 65 64 20 74 68 65 20 73 6f 75 72 63 65 20 61 64 64 72 65 73 73 20 6f 66 20 74 68 65	signed.the.source.address.of.the
12ca0	20 61 73 73 69 67 6e 65 64 20 69 6e 74 65 72 66 61 63 65 20 28 53 4e 41 54 29 2e 00 41 6c 6c 20	.assigned.interface.(SNAT)..All.
12cc0	74 72 61 66 66 69 63 20 63 6f 6d 69 6e 67 20 69 6e 20 74 68 72 6f 75 67 68 20 65 74 68 32 20 69	traffic.coming.in.through.eth2.i
12ce0	73 20 62 61 6c 61 6e 63 65 64 20 62 65 74 77 65 65 6e 20 65 74 68 30 20 61 6e 64 20 65 74 68 31	s.balanced.between.eth0.and.eth1
12d00	20 6f 6e 20 74 68 65 20 72 6f 75 74 65 72 2e 00 41 6c 6c 6f 77 20 44 48 43 50 76 36 20 70 61 63	.on.the.router..Allow.DHCPv6.pac
12d20	6b 65 74 73 20 66 6f 72 20 72 6f 75 74 65 72 00 41 6c 6c 6f 77 20 61 63 63 65 73 73 20 74 6f 20	kets.for.router.Allow.access.to.
12d40	74 68 65 20 72 6f 75 74 65 72 20 6f 6e 6c 79 20 66 72 6f 6d 20 74 72 75 73 74 65 64 20 6e 65 74	the.router.only.from.trusted.net
12d60	77 6f 72 6b 73 2e 00 41 6c 6c 6f 77 20 61 6c 6c 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64	works..Allow.all.established.and
12d80	20 72 65 6c 61 74 65 64 20 74 72 61 66 66 69 63 20 66 6f 72 20 72 6f 75 74 65 72 20 61 6e 64 20	.related.traffic.for.router.and.
12da0	4c 41 4e 00 41 6c 6c 6f 77 20 61 6c 6c 20 69 63 6d 70 76 36 20 70 61 63 6b 65 74 73 20 66 6f 72	LAN.Allow.all.icmpv6.packets.for
12dc0	20 72 6f 75 74 65 72 20 61 6e 64 20 4c 41 4e 00 41 6c 6c 6f 77 20 61 6c 6c 20 6e 65 77 20 63 6f	.router.and.LAN.Allow.all.new.co
12de0	6e 6e 65 63 74 69 6f 6e 73 20 66 72 6f 6d 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 73 2e 00 41 6c	nnections.from.local.subnets..Al
12e00	6c 6f 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 66 72 6f 6d 20 4c 41 4e 73 20 74 6f 20 4c 41 4e	low.connections.from.LANs.to.LAN
12e20	73 20 74 68 72 6f 75 67 68 74 20 74 68 65 20 74 75 6e 6e 65 6c 2e 00 41 6c 6c 6f 77 20 64 6e 73	s.throught.the.tunnel..Allow.dns
12e40	20 72 65 71 75 65 73 74 73 20 6f 6e 6c 79 20 6f 6e 6c 79 20 66 6f 72 20 6c 6f 63 61 6c 20 6e 65	.requests.only.only.for.local.ne
12e60	74 77 6f 72 6b 73 2e 00 41 6c 6c 6f 77 20 69 63 6d 70 20 6f 6e 20 61 6c 6c 20 69 6e 74 65 72 66	tworks..Allow.icmp.on.all.interf
12e80	61 63 65 73 2e 00 41 6c 73 6f 20 77 65 20 63 61 6e 20 76 65 72 69 66 79 20 68 6f 77 20 50 45 20	aces..Also.we.can.verify.how.PE.
12ea0	64 65 76 69 63 65 73 20 72 65 63 65 69 76 65 73 20 56 50 4e 76 34 20 6e 65 74 77 6f 72 6b 73 20	devices.receives.VPNv4.networks.
12ec0	66 72 6f 6d 20 74 68 65 20 52 52 73 20 61 6e 64 20 69 6e 73 74 61 6c 6c 69 6e 67 20 74 68 65 6d	from.the.RRs.and.installing.them
12ee0	20 74 6f 20 74 68 65 20 73 70 65 63 69 66 69 63 20 63 75 73 74 6f 6d 65 72 20 56 52 46 73 3a 00	.to.the.specific.customer.VRFs:.
12f00	41 6c 73 6f 2c 20 77 65 20 63 61 6e 20 63 68 65 63 6b 20 66 69 72 65 77 61 6c 6c 20 63 6f 75 6e	Also,.we.can.check.firewall.coun
12f20	74 65 72 73 3a 00 41 6e 20 4c 33 56 50 4e 20 63 6f 6e 73 69 73 74 73 20 6f 66 20 6d 75 6c 74 69	ters:.An.L3VPN.consists.of.multi
12f40	70 6c 65 20 61 63 63 65 73 73 20 6c 69 6e 6b 73 2c 20 6d 75 6c 74 69 70 6c 65 20 56 50 4e 20 72	ple.access.links,.multiple.VPN.r
12f60	6f 75 74 69 6e 67 20 61 6e 64 20 66 6f 72 77 61 72 64 69 6e 67 20 28 56 52 46 29 20 74 61 62 6c	outing.and.forwarding.(VRF).tabl
12f80	65 73 2c 20 61 6e 64 20 6d 75 6c 74 69 70 6c 65 20 4d 50 4c 53 20 70 61 74 68 73 20 6f 72 20 6d	es,.and.multiple.MPLS.paths.or.m
12fa0	75 6c 74 69 70 6c 65 20 50 32 4d 50 20 4c 53 50 73 2e 20 41 6e 20 4c 33 56 50 4e 20 63 61 6e 20	ultiple.P2MP.LSPs..An.L3VPN.can.
12fc0	62 65 20 63 6f 6e 66 69 67 75 72 65 64 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 77 6f 20 6f 72 20	be.configured.to.connect.two.or.
12fe0	6d 6f 72 65 20 63 75 73 74 6f 6d 65 72 20 73 69 74 65 73 2e 20 49 6e 20 68 75 62 2d 61 6e 64 2d	more.customer.sites..In.hub-and-
13000	73 70 6f 6b 65 20 4d 50 4c 53 20 4c 33 56 50 4e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 73 2c 20 74	spoke.MPLS.L3VPN.environments,.t
13020	68 65 20 73 70 6f 6b 65 20 72 6f 75 74 65 72 73 20 6e 65 65 64 20 74 6f 20 68 61 76 65 20 75 6e	he.spoke.routers.need.to.have.un
13040	69 71 75 65 20 52 6f 75 74 65 20 44 69 73 74 69 6e 67 75 69 73 68 65 72 73 20 28 52 44 73 29 2e	ique.Route.Distinguishers.(RDs).
13060	20 49 6e 20 6f 72 64 65 72 20 74 6f 20 75 73 65 20 74 68 65 20 68 75 62 20 73 69 74 65 20 61 73	.In.order.to.use.the.hub.site.as
13080	20 61 20 74 72 61 6e 73 69 74 20 70 6f 69 6e 74 20 66 6f 72 20 63 6f 6e 6e 65 63 74 69 76 69 74	.a.transit.point.for.connectivit
130a0	79 20 69 6e 20 73 75 63 68 20 61 6e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 2c 20 74 68 65 20 73 70	y.in.such.an.environment,.the.sp
130c0	6f 6b 65 20 73 69 74 65 73 20 65 78 70 6f 72 74 20 74 68 65 69 72 20 72 6f 75 74 65 73 20 74 6f	oke.sites.export.their.routes.to
130e0	20 74 68 65 20 68 75 62 2e 20 53 70 6f 6b 65 73 20 63 61 6e 20 74 61 6c 6b 20 74 6f 20 68 75 62	.the.hub..Spokes.can.talk.to.hub
13100	73 2c 20 62 75 74 20 6e 65 76 65 72 20 68 61 76 65 20 64 69 72 65 63 74 20 70 61 74 68 73 20 74	s,.but.never.have.direct.paths.t
13120	6f 20 6f 74 68 65 72 20 73 70 6f 6b 65 73 2e 20 41 6c 6c 20 74 72 61 66 66 69 63 20 62 65 74 77	o.other.spokes..All.traffic.betw
13140	65 65 6e 20 73 70 6f 6b 65 73 20 69 73 20 63 6f 6e 74 72 6f 6c 6c 65 64 20 61 6e 64 20 64 65 6c	een.spokes.is.controlled.and.del
13160	69 76 65 72 65 64 20 6f 76 65 72 20 74 68 65 20 68 75 62 20 73 69 74 65 2e 00 41 6e 64 20 4e 41	ivered.over.the.hub.site..And.NA
13180	54 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 41 6e 64 20 70 69 6e 67 20 74 68 65 20 42 72	T.Configuration:.And.ping.the.Br
131a0	61 6e 63 68 20 50 43 20 66 72 6f 6d 20 79 6f 75 72 20 63 65 6e 74 72 61 6c 20 72 6f 75 74 65 72	anch.PC.from.your.central.router
131c0	20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 72 65 73 70 6f 6e 73 65 2e 00 41 6e 64 20 73 68 6f 77	.to.check.the.response..And.show
131e0	20 61 6c 6c 20 44 48 43 50 20 4c 65 61 73 65 73 00 41 6e 64 20 74 68 65 20 60 60 63 6c 69 65 6e	.all.DHCP.Leases.And.the.``clien
13200	74 60 60 20 74 6f 20 72 65 63 65 69 76 65 20 61 6e 20 49 50 76 36 20 61 64 64 72 65 73 73 20 77	t``.to.receive.an.IPv6.address.w
13220	69 74 68 20 73 74 61 74 65 6c 65 73 73 20 61 75 74 6f 63 6f 6e 66 69 67 2e 00 41 6e 73 69 62 6c	ith.stateless.autoconfig..Ansibl
13240	65 20 45 78 61 6d 70 6c 65 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 41 6e 73 69 62 6c 65	e.Example.topology.image.Ansible
13260	20 65 78 61 6d 70 6c 65 00 41 6e 79 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 72 65 6c 61 74 65 64	.example.Any.information.related
13280	20 74 6f 20 61 20 56 52 46 20 69 73 20 6e 6f 74 20 65 78 63 68 61 6e 67 65 64 20 62 65 74 77 65	.to.a.VRF.is.not.exchanged.betwe
132a0	65 6e 20 64 65 76 69 63 65 73 20 2d 6f 72 20 69 6e 20 74 68 65 20 73 61 6d 65 20 64 65 76 69 63	en.devices.-or.in.the.same.devic
132c0	65 2d 20 62 79 20 64 65 66 61 75 6c 74 2c 20 74 68 69 73 20 69 73 20 61 20 74 65 63 68 6e 69 71	e-.by.default,.this.is.a.techniq
132e0	75 65 20 63 61 6c 6c 65 64 20 2a 2a 56 52 46 2d 4c 69 74 65 2a 2a 2e 00 41 70 70 65 6e 64 69 78	ue.called.VRF-Lite..Appendix
13300	2d 41 00 41 70 70 65 6e 64 69 78 2d 42 00 41 73 20 61 20 72 65 6d 69 6e 64 65 72 2c 20 6f 6e 6c	-A.Appendix-B.As.a.reminder,.onl
13320	79 20 61 64 76 65 72 74 69 73 65 20 72 6f 75 74 65 73 20 74 68 61 74 20 79 6f 75 20 61 72 65 20	y.advertise.routes.that.you.are.
13340	74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 20 66 6f 72 2e 20 54 68 69 73 20 69 73 20	the.default.router.for..This.is.
13360	77 68 79 20 77 65 20 61 72 65 20 4e 4f 54 20 61 6e 6e 6f 75 6e 63 69 6e 67 20 74 68 65 20 31 39	why.we.are.NOT.announcing.the.19
13380	32 2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2c 20 62 65 63 61 75 73 65 20 69 66 20 74	2.0.2.0/24.network,.because.if.t
133a0	68 61 74 20 77 61 73 20 61 6e 6e 6f 75 6e 63 65 64 20 69 6e 74 6f 20 4f 53 50 46 2c 20 74 68 65	hat.was.announced.into.OSPF,.the
133c0	20 6f 74 68 65 72 20 72 6f 75 74 65 72 73 20 77 6f 75 6c 64 20 74 72 79 20 74 6f 20 63 6f 6e 6e	.other.routers.would.try.to.conn
133e0	65 63 74 20 74 6f 20 74 68 61 74 20 6e 65 74 77 6f 72 6b 20 6f 76 65 72 20 61 20 74 75 6e 6e 65	ect.to.that.network.over.a.tunne
13400	6c 20 74 68 61 74 20 63 6f 6e 6e 65 63 74 73 20 74 6f 20 74 68 61 74 20 6e 65 74 77 6f 72 6b 21	l.that.connects.to.that.network!
13420	00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 65 76 65 6e 20 69 66 20 62 6f 74 68 20 56 52 46 20	.As.we.can.see.even.if.both.VRF.
13440	4c 41 4e 31 20 61 6e 64 20 4c 41 4e 32 20 68 61 73 20 74 68 65 20 73 61 6d 65 20 69 6d 70 6f 72	LAN1.and.LAN2.has.the.same.impor
13460	74 20 52 54 73 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 73 65 6c 65 63 74 20 77 68 69 63	t.RTs.we.are.able.to.select.whic
13480	68 20 72 6f 75 74 65 73 20 61 72 65 20 65 66 66 65 63 74 69 76 65 6c 79 20 69 6d 70 6f 72 74 65	h.routes.are.effectively.importe
134a0	64 20 61 6e 64 20 69 6e 73 74 61 6c 6c 65 64 2e 00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 69	d.and.installed..As.we.can.see.i
134c0	6e 20 74 68 65 20 42 47 50 20 74 61 62 6c 65 20 61 6e 79 20 69 6d 70 6f 72 74 65 64 20 72 6f 75	n.the.BGP.table.any.imported.rou
134e0	74 65 20 68 61 73 20 62 65 65 6e 20 69 6e 6a 65 63 74 65 64 20 77 69 74 68 20 61 20 22 40 22 20	te.has.been.injected.with.a."@".
13500	66 6f 6c 6c 6f 77 65 64 20 62 79 20 74 68 65 20 56 50 4e 20 69 64 3b 20 49 6e 20 74 68 65 20 72	followed.by.the.VPN.id;.In.the.r
13520	6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6f 66 20 74 68 65 20 56 52 46 2c 20 69 66 20 74 68 65 20	outing.table.of.the.VRF,.if.the.
13540	72 6f 75 74 65 20 77 61 73 20 69 6e 73 74 61 6c 6c 65 64 2c 20 77 65 20 63 61 6e 20 73 65 65 20	route.was.installed,.we.can.see.
13560	2d 62 65 74 77 65 65 6e 20 72 6f 75 6e 64 20 62 72 61 63 6b 65 74 73 2d 20 74 68 65 20 65 78 70	-between.round.brackets-.the.exp
13580	6f 72 74 65 64 20 56 52 46 20 74 61 62 6c 65 2e 00 41 73 20 77 65 20 63 61 6e 20 73 65 65 20 74	orted.VRF.table..As.we.can.see.t
135a0	68 69 73 20 69 73 20 75 6e 70 72 61 63 74 69 63 61 6c 2e 00 41 73 20 77 65 20 6b 6e 6f 77 20 74	his.is.unpractical..As.we.know.t
135c0	68 65 20 6d 61 69 6e 20 61 73 73 75 6d 70 74 69 6f 6e 20 6f 66 20 4c 33 56 50 4e 20 e2 80 9c 48	he.main.assumption.of.L3VPN....H
135e0	75 62 20 61 6e 64 20 53 70 6f 6b 65 e2 80 9d 20 69 73 2c 20 74 68 61 74 20 74 68 65 20 74 72 61	ub.and.Spoke....is,.that.the.tra
13600	66 66 69 63 20 62 65 74 77 65 65 6e 20 73 70 6f 6b 65 73 20 68 61 76 65 20 74 6f 20 70 61 73 73	ffic.between.spokes.have.to.pass
13620	20 76 69 61 20 68 75 62 2c 20 69 6e 20 6f 75 72 20 73 63 65 6e 61 72 69 6f 20 56 79 4f 53 2d 50	.via.hub,.in.our.scenario.VyOS-P
13640	45 32 20 69 73 20 74 68 65 20 48 75 62 20 50 45 20 61 6e 64 20 74 68 65 20 56 79 4f 53 2d 43 45	E2.is.the.Hub.PE.and.the.VyOS-CE
13660	31 2d 48 55 42 20 69 73 20 74 68 65 20 63 65 6e 74 72 61 6c 20 63 75 73 74 6f 6d 65 72 20 6f 66	1-HUB.is.the.central.customer.of
13680	66 69 63 65 20 64 65 76 69 63 65 20 74 68 61 74 20 69 73 20 72 65 73 70 6f 6e 73 69 62 6c 65 20	fice.device.that.is.responsible.
136a0	66 6f 72 20 63 6f 6e 74 72 6f 6c 6c 69 6e 67 20 61 63 63 65 73 73 20 62 65 74 77 65 65 6e 20 61	for.controlling.access.between.a
136c0	6c 6c 20 73 70 6f 6b 65 73 20 61 6e 64 20 61 6e 6e 6f 75 6e 63 69 6e 67 20 69 74 73 20 6e 65 74	ll.spokes.and.announcing.its.net
136e0	77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 28 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 29 2e 20 56	work.prefixes.(10.0.0.100/32)..V
13700	79 4f 53 2d 50 45 32 20 68 61 73 20 74 68 65 20 6d 61 69 6e 20 56 52 46 20 28 69 74 73 20 6e 61	yOS-PE2.has.the.main.VRF.(its.na
13720	6d 65 20 69 73 20 42 4c 55 45 5f 48 55 42 29 2c 20 69 74 73 20 6f 77 6e 20 52 6f 75 74 65 2d 44	me.is.BLUE_HUB),.its.own.Route-D
13740	69 73 74 69 6e 67 75 69 73 68 65 72 28 52 44 29 20 61 6e 64 20 72 6f 75 74 65 2d 74 61 72 67 65	istinguisher(RD).and.route-targe
13760	74 20 69 6d 70 6f 72 74 2f 65 78 70 6f 72 74 20 6c 69 73 74 73 2e 20 4d 75 6c 74 69 70 72 6f 74	t.import/export.lists..Multiprot
13780	6f 63 6f 6c 2d 42 47 50 28 4d 50 2d 42 47 50 29 20 64 65 6c 69 76 65 72 73 20 4c 33 56 50 4e 20	ocol-BGP(MP-BGP).delivers.L3VPN.
137a0	72 65 6c 61 74 65 64 20 63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e 65 20 69 6e 66 6f 72 6d 61 74 69 6f	related.control-plane.informatio
137c0	6e 20 74 6f 20 74 68 65 20 6e 6f 64 65 73 20 61 63 72 6f 73 73 20 6e 65 74 77 6f 72 6b 20 77 68	n.to.the.nodes.across.network.wh
137e0	65 72 65 20 50 45 73 20 53 70 6f 6b 65 73 20 69 6d 70 6f 72 74 20 74 68 65 20 72 6f 75 74 65 2d	ere.PEs.Spokes.import.the.route-
13800	74 61 72 67 65 74 20 36 30 35 33 35 3a 31 30 33 30 20 28 74 68 69 73 20 69 73 20 65 78 70 6f 72	target.60535:1030.(this.is.expor
13820	74 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20 6f 66 20 76 72 66 20 42 4c 55 45 5f 48 55 42 29 20	t.route-target.of.vrf.BLUE_HUB).
13840	61 6e 64 20 65 78 70 6f 72 74 20 69 74 73 20 6f 77 6e 20 72 6f 75 74 65 2d 74 61 72 67 65 74 20	and.export.its.own.route-target.
13860	36 30 35 33 35 3a 31 30 31 31 28 74 68 69 73 20 69 73 20 76 72 66 20 42 4c 55 45 5f 53 50 4f 4b	60535:1011(this.is.vrf.BLUE_SPOK
13880	45 20 65 78 70 6f 72 74 20 72 6f 75 74 65 2d 74 61 72 67 65 74 29 2e 20 54 68 65 72 65 66 6f 72	E.export.route-target)..Therefor
138a0	65 2c 20 74 68 65 20 43 75 73 74 6f 6d 65 72 20 65 64 67 65 20 6e 6f 64 65 73 20 63 61 6e 20 6f	e,.the.Customer.edge.nodes.can.o
138c0	6e 6c 79 20 6c 65 61 72 6e 20 74 68 65 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 6f	nly.learn.the.network.prefixes.o
138e0	66 20 74 68 65 20 48 55 42 20 73 69 74 65 20 5b 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 5d 2e 20	f.the.HUB.site.[10.0.0.100/32]..
13900	46 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 56 79 4f 53 2d 43 45 31 20 68 61 73 20 6e 65	For.this.example.VyOS-CE1.has.ne
13920	74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 5b 31 30 2e 30 2e 30 2e 38 30 2f 33 32 5d 20 2f 20	twork.prefixes.[10.0.0.80/32]./.
13940	56 79 4f 53 2d 43 45 32 20 68 61 73 20 6e 65 74 77 6f 72 6b 20 70 72 65 66 69 78 65 73 20 5b 31	VyOS-CE2.has.network.prefixes.[1
13960	30 2e 30 2e 30 2e 39 30 2f 33 32 5d 2e 20 52 6f 75 74 65 2d 52 65 66 6c 65 63 74 6f 72 20 64 65	0.0.0.90/32]..Route-Reflector.de
13980	76 69 63 65 73 20 56 79 4f 53 2d 52 52 31 20 61 6e 64 20 56 79 4f 53 2d 52 52 32 20 61 72 65 20	vices.VyOS-RR1.and.VyOS-RR2.are.
139a0	75 73 65 64 20 74 6f 20 73 69 6d 70 6c 69 66 79 20 6e 65 74 77 6f 72 6b 20 72 6f 75 74 65 73 20	used.to.simplify.network.routes.
139c0	65 78 63 68 61 6e 67 65 20 61 6e 64 20 6d 69 6e 69 6d 69 7a 65 20 69 42 47 50 20 70 65 65 72 69	exchange.and.minimize.iBGP.peeri
139e0	6e 67 73 20 62 65 74 77 65 65 6e 20 64 65 76 69 63 65 73 2e 00 41 73 20 77 65 20 73 65 65 20 73	ngs.between.devices..As.we.see.s
13a00	68 61 70 65 72 20 69 73 20 77 6f 72 6b 69 6e 67 20 61 6e 64 20 74 68 65 20 74 72 61 66 66 69 63	haper.is.working.and.the.traffic
13a20	20 77 69 6c 6c 20 6e 6f 74 20 77 6f 72 6b 20 6f 76 65 72 20 35 20 4d 62 69 74 2f 73 2e 00 41 73	.will.not.work.over.5.Mbit/s..As
13a40	73 69 67 6e 20 65 78 74 65 72 6e 61 6c 20 49 50 20 61 64 64 72 65 73 73 65 73 00 41 73 73 75 6d	sign.external.IP.addresses.Assum
13a60	69 6e 67 20 74 68 65 20 70 69 6e 67 73 20 61 72 65 20 73 75 63 63 65 73 73 66 75 6c 2c 20 79 6f	ing.the.pings.are.successful,.yo
13a80	75 20 6e 65 65 64 20 74 6f 20 61 64 64 20 73 6f 6d 65 20 44 4e 53 20 73 65 72 76 65 72 73 2e 20	u.need.to.add.some.DNS.servers..
13aa0	53 6f 6d 65 20 6f 70 74 69 6f 6e 73 3a 00 41 74 20 74 68 65 20 66 69 72 73 74 20 73 74 65 70 20	Some.options:.At.the.first.step.
13ac0	77 65 20 6e 65 65 64 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 49 50 2f 4d 50 4c 53	we.need.to.configure.the.IP/MPLS
13ae0	20 62 61 63 6b 62 6f 6e 65 20 6e 65 74 77 6f 72 6b 20 75 73 69 6e 67 20 4f 53 50 46 20 61 73 20	.backbone.network.using.OSPF.as.
13b00	49 47 50 20 70 72 6f 74 6f 63 6f 6c 20 61 6e 64 20 4c 44 50 20 61 73 20 6c 61 62 65 6c 2d 73 77	IGP.protocol.and.LDP.as.label-sw
13b20	69 74 63 68 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 66 6f 72 20 74 68 65 20 62 61 73 65 20 63 6f	itching.protocol.for.the.base.co
13b40	6e 6e 65 63 74 69 76 69 74 79 20 62 65 74 77 65 65 6e 20 2a 2a 50 2a 2a 20 28 72 6f 76 69 64 65	nnectivity.between.P.(rovide
13b60	72 29 2c 20 2a 2a 50 2a 2a 20 28 72 6f 76 69 64 65 72 29 20 2a 2a 45 2a 2a 20 28 64 67 65 29 20	r),.P.(rovider).E.(dge).
13b80	61 6e 64 20 2a 2a 52 2a 2a 20 28 6f 75 74 65 29 20 2a 2a 52 2a 2a 20 28 65 66 6c 65 63 74 6f 72	and.R.(oute).R.(eflector
13ba0	29 20 6e 6f 64 65 73 3a 00 41 74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 6e 6f 77 20	).nodes:.At.this.point,.you.now.
13bc0	6e 65 65 64 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 58 20 6c 69 6e 6b 20 62 65 74 77 65 65	need.to.create.the.X.link.betwee
13be0	6e 20 61 6c 6c 20 66 6f 75 72 20 72 6f 75 74 65 72 73 2e 20 55 73 65 20 61 6d 64 69 66 66 65 72	n.all.four.routers..Use.amdiffer
13c00	65 6e 74 20 2f 33 30 20 66 6f 72 20 65 61 63 68 20 6c 69 6e 6b 2e 00 41 74 20 74 68 69 73 20 70	ent./30.for.each.link..At.this.p
13c20	6f 69 6e 74 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 53 53 48 20	oint,.you.should.be.able.to.SSH.
13c40	69 6e 74 6f 20 62 6f 74 68 20 6f 66 20 74 68 65 6d 2c 20 61 6e 64 20 77 69 6c 6c 20 6e 6f 20 6c	into.both.of.them,.and.will.no.l
13c60	6f 6e 67 65 72 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 63 6f 6e 73 6f 6c 65	onger.need.access.to.the.console
13c80	20 28 75 6e 6c 65 73 73 20 79 6f 75 20 62 72 65 61 6b 20 73 6f 6d 65 74 68 69 6e 67 21 29 00 41	.(unless.you.break.something!).A
13ca0	74 20 74 68 69 73 20 70 6f 69 6e 74 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65	t.this.point,.you.should.be.able
13cc0	20 74 6f 20 73 65 65 20 62 6f 74 68 20 49 50 20 61 64 64 72 65 73 73 65 73 20 77 68 65 6e 20 79	.to.see.both.IP.addresses.when.y
13ce0	6f 75 20 72 75 6e 20 60 60 73 68 6f 77 20 69 6e 74 65 72 66 61 63 65 73 60 60 5c 20 2c 20 61 6e	ou.run.``show.interfaces``\.,.an
13d00	64 20 60 60 73 68 6f 77 20 76 72 72 70 60 60 20 73 68 6f 75 6c 64 20 73 68 6f 77 20 62 6f 74 68	d.``show.vrrp``.should.show.both
13d20	20 69 6e 74 65 72 66 61 63 65 73 20 69 6e 20 4d 41 53 54 45 52 20 73 74 61 74 65 20 28 61 6e 64	.interfaces.in.MASTER.state.(and
13d40	20 53 4c 41 56 45 20 73 74 61 74 65 20 6f 6e 20 72 6f 75 74 65 72 32 29 2e 00 41 74 20 74 68 69	.SLAVE.state.on.router2)..At.thi
13d60	73 20 70 6f 69 6e 74 2c 20 79 6f 75 72 20 56 79 4f 53 20 69 6e 73 74 61 6c 6c 20 73 68 6f 75 6c	s.point,.your.VyOS.install.shoul
13d80	64 20 68 61 76 65 20 66 75 6c 6c 20 49 50 76 36 2c 20 62 75 74 20 6e 6f 77 20 79 6f 75 72 20 4c	d.have.full.IPv6,.but.now.your.L
13da0	41 4e 20 64 65 76 69 63 65 73 20 6e 65 65 64 20 61 63 63 65 73 73 2e 00 41 74 20 74 68 69 73 20	AN.devices.need.access..At.this.
13dc0	73 74 65 70 20 77 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 65 6e 61 62 6c 65 20 69 42 47 50	step.we.are.going.to.enable.iBGP
13de0	20 70 72 6f 74 6f 63 6f 6c 20 6f 6e 20 4d 50 4c 53 20 6e 6f 64 65 73 20 61 6e 64 20 52 6f 75 74	.protocol.on.MPLS.nodes.and.Rout
13e00	65 20 52 65 66 6c 65 63 74 6f 72 73 20 28 74 77 6f 20 72 6f 75 74 65 72 73 20 66 6f 72 20 72 65	e.Reflectors.(two.routers.for.re
13e20	64 75 6e 64 61 6e 63 79 29 20 74 68 61 74 20 77 69 6c 6c 20 64 65 6c 69 76 65 72 20 49 50 76 34	dundancy).that.will.deliver.IPv4
13e40	20 56 50 4e 20 28 4c 33 56 50 4e 29 20 72 6f 75 74 65 73 20 62 65 74 77 65 65 6e 20 74 68 65 6d	.VPN.(L3VPN).routes.between.them
13e60	3a 00 41 7a 75 72 65 20 41 53 4e 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 31	:.Azure.ASN.Azure.VNet.Gateway.1
13e80	20 70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 32 20	.public.IP.Azure.VNet.Gateway.2.
13ea0	70 75 62 6c 69 63 20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 42 47 50	public.IP.Azure.VNet.Gateway.BGP
13ec0	20 49 50 00 41 7a 75 72 65 20 56 4e 65 74 20 47 61 74 65 77 61 79 20 70 75 62 6c 69 63 20 49 50	.IP.Azure.VNet.Gateway.public.IP
13ee0	00 41 7a 75 72 65 20 61 64 64 72 65 73 73 20 73 70 61 63 65 00 42 47 50 00 42 47 50 20 49 50 76	.Azure.address.space.BGP.BGP.IPv
13f00	36 20 75 6e 6e 75 6d 62 65 72 65 64 20 77 69 74 68 20 65 78 74 65 6e 64 65 64 20 6e 65 78 74 68	6.unnumbered.with.extended.nexth
13f20	6f 70 00 42 47 50 20 69 73 20 61 6e 20 65 78 74 72 65 6d 65 6c 79 20 63 6f 6d 70 6c 65 78 20 6e	op.BGP.is.an.extremely.complex.n
13f40	65 74 77 6f 72 6b 20 70 72 6f 74 6f 63 6f 6c 2e 20 41 6e 20 65 78 61 6d 70 6c 65 20 69 73 20 70	etwork.protocol..An.example.is.p
13f60	72 6f 76 69 64 65 64 20 68 65 72 65 2e 00 42 4c 55 45 5f 48 55 42 00 42 4c 55 45 5f 53 50 4f 4b	rovided.here..BLUE_HUB.BLUE_SPOK
13f80	45 00 42 61 73 65 64 20 6f 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c	E.Based.on.the.previous.example,
13fa0	20 61 6e 6f 74 68 65 72 20 72 75 6c 65 20 66 6f 72 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 74	.another.rule.for.traffic.from.t
13fc0	68 65 20 73 65 63 6f 6e 64 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 33 20 63 61 6e 20 62 65 20	he.second.interface.eth3.can.be.
13fe0	61 64 64 65 64 20 74 6f 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 2e 20 48 6f 77 65	added.to.the.load.balancer..Howe
14000	76 65 72 2c 20 74 72 61 66 66 69 63 20 6d 65 61 6e 74 20 74 6f 20 66 6c 6f 77 20 62 65 74 77 65	ver,.traffic.meant.to.flow.betwe
14020	65 6e 20 74 68 65 20 4c 41 4e 20 73 75 62 6e 65 74 73 20 77 69 6c 6c 20 62 65 20 73 65 6e 74 20	en.the.LAN.subnets.will.be.sent.
14040	74 6f 20 65 74 68 30 20 61 6e 64 20 65 74 68 31 20 61 73 20 77 65 6c 6c 2e 20 54 6f 20 70 72 65	to.eth0.and.eth1.as.well..To.pre
14060	76 65 6e 74 20 74 68 69 73 2c 20 61 6e 6f 74 68 65 72 20 72 75 6c 65 20 69 73 20 72 65 71 75 69	vent.this,.another.rule.is.requi
14080	72 65 64 2e 20 54 68 69 73 20 72 75 6c 65 20 65 78 63 6c 75 64 65 73 20 74 72 61 66 66 69 63 20	red..This.rule.excludes.traffic.
140a0	62 65 74 77 65 65 6e 20 74 68 65 20 6c 6f 63 61 6c 20 73 75 62 6e 65 74 73 20 66 72 6f 6d 20 74	between.the.local.subnets.from.t
140c0	68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 2e 20 49 74 20 61 6c 73 6f 20 65 78 63 6c 75 64	he.load.balancer..It.also.exclud
140e0	65 73 20 6c 6f 63 61 6c 6c 79 2d 73 6f 75 72 63 65 73 20 70 61 63 6b 65 74 73 20 28 72 65 71 75	es.locally-sources.packets.(requ
14100	69 72 65 64 20 66 6f 72 20 77 65 62 20 63 61 63 68 69 6e 67 20 77 69 74 68 20 6c 6f 61 64 20 62	ired.for.web.caching.with.load.b
14120	61 6c 61 6e 63 69 6e 67 29 2e 20 65 74 68 2b 20 69 73 20 75 73 65 64 20 61 73 20 61 6e 20 61 6c	alancing)..eth+.is.used.as.an.al
14140	69 61 73 20 74 68 61 74 20 72 65 66 65 72 73 20 74 6f 20 61 6c 6c 20 65 74 68 65 72 6e 65 74 20	ias.that.refers.to.all.ethernet.
14160	69 6e 74 65 72 66 61 63 65 73 3a 00 42 61 73 69 63 20 46 69 72 65 77 61 6c 6c 00 42 61 73 69 63	interfaces:.Basic.Firewall.Basic
14180	20 53 65 74 75 70 20 28 76 69 61 20 63 6f 6e 73 6f 6c 65 29 00 42 61 73 69 6b 20 63 6f 6e 66 69	.Setup.(via.console).Basik.confi
141a0	67 75 72 61 74 69 6f 6e 20 6f 66 20 74 68 65 20 61 6e 73 69 62 6c 65 2e 63 66 67 3a 00 42 65 66	guration.of.the.ansible.cfg:.Bef
141c0	6f 72 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 65 74 68 30 20 6f 6e 20 72 6f 75 74 65 72	ore.the.interface.eth0.on.router
141e0	20 56 79 4f 53 33 00 42 6f 6e 64 69 6e 67 20 6f 6e 20 48 61 72 64 77 61 72 65 20 52 6f 75 74 65	.VyOS3.Bonding.on.Hardware.Route
14200	72 00 42 6f 74 68 20 4c 41 4e 73 20 68 61 76 65 20 74 6f 20 62 65 20 61 62 6c 65 20 74 6f 20 72	r.Both.LANs.have.to.be.able.to.r
14220	6f 75 74 65 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 6f 74 68 65 72 2c 20 62 6f 74 68 20 77 69	oute.between.each.other,.both.wi
14240	6c 6c 20 68 61 76 65 20 6d 61 6e 61 67 65 64 20 64 65 76 69 63 65 73 20 74 68 72 6f 75 67 68 20	ll.have.managed.devices.through.
14260	61 20 64 65 64 69 63 61 74 65 64 20 6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f 72 6b 20 61	a.dedicated.management.network.a
14280	6e 64 20 62 6f 74 68 20 77 69 6c 6c 20 6e 65 65 64 20 49 6e 74 65 72 6e 65 74 20 61 63 63 65 73	nd.both.will.need.Internet.acces
142a0	73 20 79 65 74 20 74 68 65 20 4c 41 4e 32 20 77 69 6c 6c 20 6e 65 65 64 20 61 63 63 65 73 73 20	s.yet.the.LAN2.will.need.access.
142c0	74 6f 20 73 6f 6d 65 20 73 65 74 20 6f 66 20 6f 75 74 73 69 64 65 20 6e 65 74 77 6f 72 6b 73 2c	to.some.set.of.outside.networks,
142e0	20 6e 6f 74 20 61 6c 6c 2e 20 54 68 65 20 6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f 72 6b	.not.all..The.management.network
14300	20 77 69 6c 6c 20 6e 65 65 64 20 61 63 63 65 73 73 20 74 6f 20 62 6f 74 68 20 4c 41 4e 73 20 62	.will.need.access.to.both.LANs.b
14320	75 74 20 63 61 6e 6e 6f 74 20 68 61 76 65 20 61 63 63 65 73 73 20 74 6f 2f 66 72 6f 6d 20 74 68	ut.cannot.have.access.to/from.th
14340	65 20 6f 75 74 73 69 64 65 2e 00 42 72 61 6e 63 68 00 42 79 20 64 65 66 61 75 6c 74 2c 20 69 70	e.outside..Branch.By.default,.ip
14360	74 61 62 6c 65 73 20 64 6f 65 73 20 6e 6f 74 20 61 6c 6c 6f 77 20 74 72 61 66 66 69 63 20 66 6f	tables.does.not.allow.traffic.fo
14380	72 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 65 73 73 69 6f 6e 73 20 74 6f 20 72 65 74 75 72 6e	r.established.sessions.to.return
143a0	2c 20 73 6f 20 79 6f 75 20 6d 75 73 74 20 65 78 70 6c 69 63 69 74 6c 79 20 61 6c 6c 6f 77 20 74	,.so.you.must.explicitly.allow.t
143c0	68 69 73 2e 20 49 20 64 6f 20 74 68 69 73 20 62 79 20 61 64 64 69 6e 67 20 74 77 6f 20 72 75 6c	his..I.do.this.by.adding.two.rul
143e0	65 73 20 74 6f 20 65 76 65 72 79 20 72 75 6c 65 73 65 74 2e 20 31 20 61 6c 6c 6f 77 73 20 65 73	es.to.every.ruleset..1.allows.es
14400	74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20 73 74 61 74 65 20 70 61 63 6b	tablished.and.related.state.pack
14420	65 74 73 20 74 68 72 6f 75 67 68 20 61 6e 64 20 72 75 6c 65 20 32 20 64 72 6f 70 73 20 61 6e 64	ets.through.and.rule.2.drops.and
14440	20 6c 6f 67 73 20 69 6e 76 61 6c 69 64 20 73 74 61 74 65 20 70 61 63 6b 65 74 73 2e 20 57 65 20	.logs.invalid.state.packets..We.
14460	70 6c 61 63 65 20 74 68 65 20 65 73 74 61 62 6c 69 73 68 65 64 2f 72 65 6c 61 74 65 64 20 72 75	place.the.established/related.ru
14480	6c 65 20 61 74 20 74 68 65 20 74 6f 70 20 62 65 63 61 75 73 65 20 74 68 65 20 76 61 73 74 20 6d	le.at.the.top.because.the.vast.m
144a0	61 6a 6f 72 69 74 79 20 6f 66 20 74 72 61 66 66 69 63 20 6f 6e 20 61 20 6e 65 74 77 6f 72 6b 20	ajority.of.traffic.on.a.network.
144c0	69 73 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 74 68 65 20 69 6e 76 61 6c 69 64 20 72	is.established.and.the.invalid.r
144e0	75 6c 65 20 74 6f 20 70 72 65 76 65 6e 74 20 69 6e 76 61 6c 69 64 20 73 74 61 74 65 20 70 61 63	ule.to.prevent.invalid.state.pac
14500	6b 65 74 73 20 66 72 6f 6d 20 6d 69 73 74 61 6b 65 6e 6c 79 20 62 65 69 6e 67 20 6d 61 74 63 68	kets.from.mistakenly.being.match
14520	65 64 20 61 67 61 69 6e 73 74 20 6f 74 68 65 72 20 72 75 6c 65 73 2e 20 48 61 76 69 6e 67 20 74	ed.against.other.rules..Having.t
14540	68 65 20 6d 6f 73 74 20 6d 61 74 63 68 65 64 20 72 75 6c 65 20 6c 69 73 74 65 64 20 66 69 72 73	he.most.matched.rule.listed.firs
14560	74 20 72 65 64 75 63 65 73 20 43 50 55 20 6c 6f 61 64 20 69 6e 20 68 69 67 68 20 76 6f 6c 75 6d	t.reduces.CPU.load.in.high.volum
14580	65 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 73 2e 20 4e 6f 74 65 3a 20 49 20 68 61 76 65 20 66 69 6c	e.environments..Note:.I.have.fil
145a0	65 64 20 61 20 62 75 67 20 74 6f 20 68 61 76 65 20 74 68 69 73 20 61 64 64 65 64 20 61 73 20 61	ed.a.bug.to.have.this.added.as.a
145c0	20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 61 73 20 77 65 6c 6c 2e 00 43 45 20 48 75 62 20	.default.action.as.well..CE.Hub.
145e0	64 65 76 69 63 65 00 43 53 34 20 2d 3e 20 43 53 35 00 43 65 6e 74 72 61 6c 00 43 68 65 63 6b 20	device.CS4.->.CS5.Central.Check.
14600	61 6c 6c 20 70 6f 73 73 69 62 6c 65 20 73 65 74 74 69 6e 67 73 20 60 68 65 72 65 20 3c 68 74 74	all.possible.settings.`here.<htt
14620	70 73 3a 2f 2f 67 69 74 68 75 62 2e 63 6f 6d 2f 74 68 72 65 65 72 69 6e 67 73 2f 6f 70 65 6e 76	ps://github.com/threerings/openv
14640	70 6e 2d 61 75 74 68 2d 6c 64 61 70 2f 62 6c 6f 62 2f 6d 61 73 74 65 72 2f 61 75 74 68 2d 6c 64	pn-auth-ldap/blob/master/auth-ld
14660	61 70 2e 63 6f 6e 66 3e 60 5f 00 43 68 65 63 6b 20 74 68 65 20 42 47 50 20 56 52 46 20 74 61 62	ap.conf>`_.Check.the.BGP.VRF.tab
14680	6c 65 20 61 6e 64 20 76 65 72 69 66 79 20 69 66 20 74 68 65 20 73 74 61 74 69 63 20 72 6f 75 74	le.and.verify.if.the.static.rout
146a0	65 73 20 61 72 65 20 69 6e 6a 65 63 74 65 64 20 73 68 6f 77 69 6e 67 20 74 68 65 20 63 6f 72 72	es.are.injected.showing.the.corr
146c0	65 63 74 20 6e 65 78 74 2d 68 6f 70 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 43 68 65 63 6b 20	ect.next-hop.information..Check.
146e0	74 68 65 20 72 65 73 75 6c 74 00 43 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 20 6f 6e 20 74	the.result.Check.the.result.on.t
14700	68 65 20 76 79 6f 73 31 30 20 72 6f 75 74 65 72 3a 00 43 68 65 63 6b 20 74 68 65 20 72 65 73 75	he.vyos10.router:.Check.the.resu
14720	6c 74 2e 00 43 68 65 63 6b 20 74 68 65 20 76 65 72 73 69 6f 6e 3a 00 43 68 65 63 6b 69 6e 67 20	lt..Check.the.version:.Checking.
14740	74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6f 66 20 74 68 65 20 56 52 46 20 73 68 6f	the.routing.table.of.the.VRF.sho
14760	75 6c 64 20 72 65 76 65 61 6c 20 62 6f 74 68 20 73 74 61 74 69 63 20 61 6e 64 20 63 6f 6e 6e 65	uld.reveal.both.static.and.conne
14780	63 74 65 64 20 65 6e 74 72 69 65 73 20 61 63 74 69 76 65 2e 20 41 20 50 49 4e 47 20 74 65 73 74	cted.entries.active..A.PING.test
147a0	20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 61 6e 64 20 72 65 6d 6f 74 65 20 72 6f 75	.between.the.Core.and.remote.rou
147c0	74 65 72 20 69 73 20 61 20 77 61 79 20 74 6f 20 76 61 6c 69 64 61 74 65 20 63 6f 6e 6e 65 63 74	ter.is.a.way.to.validate.connect
147e0	69 76 69 74 79 20 77 69 74 68 69 6e 20 74 68 65 20 56 52 46 2e 00 43 68 65 63 6b 69 6e 67 20 74	ivity.within.the.VRF..Checking.t
14800	68 72 6f 75 67 68 20 6f 70 2d 6d 6f 64 65 20 63 6f 6d 6d 61 6e 64 73 00 43 69 73 63 6f 00 43 69	hrough.op-mode.commands.Cisco.Ci
14820	73 63 6f 20 56 50 43 20 43 72 6f 73 73 63 6f 6e 6e 65 63 74 20 2d 20 50 6f 72 74 73 20 33 39 20	sco.VPC.Crossconnect.-.Ports.39.
14840	61 6e 64 20 34 30 20 62 6f 6e 64 65 64 20 62 65 74 77 65 65 6e 20 65 61 63 68 20 73 77 69 74 63	and.40.bonded.between.each.switc
14860	68 00 43 6c 61 6d 70 20 74 68 65 20 56 54 49 27 73 20 4d 53 53 20 74 6f 20 31 33 35 30 20 74 6f	h.Clamp.the.VTI's.MSS.to.1350.to
14880	20 61 76 6f 69 64 20 50 4d 54 55 20 62 6c 61 63 6b 68 6f 6c 65 73 2e 00 43 6c 69 65 6e 74 20 63	.avoid.PMTU.blackholes..Client.c
148a0	6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 20 62 65 74 77 65	onfiguration.Communication.betwe
148c0	65 6e 20 70 72 69 76 61 74 65 20 73 75 62 6e 65 74 73 20 73 68 6f 75 6c 64 20 62 65 20 64 6f 6e	en.private.subnets.should.be.don
148e0	65 20 74 68 72 6f 75 67 68 20 69 70 73 65 63 20 74 75 6e 6e 65 6c 20 77 69 74 68 6f 75 74 20 6e	e.through.ipsec.tunnel.without.n
14900	61 74 2e 00 43 6f 6e 63 6c 75 73 69 6f 6e 73 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 6f	at..Conclusions.Configuration.Co
14920	6e 66 69 67 75 72 61 74 69 6f 6e 20 27 4e 4d 50 27 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20	nfiguration.'NMP'.Configuration.
14940	27 56 79 4f 53 27 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 27 64 63 73 70 27 20 61 6e 64 20	'VyOS'.Configuration.'dcsp'.and.
14960	73 68 61 70 65 72 20 75 73 69 6e 67 20 51 6f 53 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 42	shaper.using.QoS.Configuration.B
14980	6c 75 65 70 72 69 6e 74 73 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 42 6c 75 65 70 72 69 6e	lueprints.Configuration.Blueprin
149a0	74 73 20 28 61 75 74 6f 74 65 73 74 29 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 56 79 4f 53	ts.(autotest).Configuration.VyOS
149c0	20 61 73 20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e	.as.OpenVPN.Server.Configuration
149e0	20 6f 66 20 62 61 73 69 63 20 66 69 72 65 77 61 6c 6c 20 69 6e 20 6f 6e 65 20 73 69 74 65 2c 20	.of.basic.firewall.in.one.site,.
14a00	69 6e 20 6f 72 64 65 72 20 74 6f 3a 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 43 6f 6e 66	in.order.to:.Configuration:.Conf
14a20	69 67 75 72 61 74 69 6f 6e 73 00 43 6f 6e 66 69 67 75 72 65 20 57 69 72 65 67 75 61 72 64 00 43	igurations.Configure.Wireguard.C
14a40	6f 6e 66 69 67 75 72 65 20 61 20 56 54 49 20 77 69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 20 61	onfigure.a.VTI.with.a.dummy.IP.a
14a60	64 64 72 65 73 73 00 43 6f 6e 66 69 67 75 72 65 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 20	ddress.Configure.conntrack-sync.
14a80	61 6e 64 20 65 6e 61 62 6c 65 20 68 65 6c 70 65 72 73 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65	and.enable.helpers.Configure.the
14aa0	20 49 4b 45 20 61 6e 64 20 45 53 50 20 73 65 74 74 69 6e 67 73 20 74 6f 20 6d 61 74 63 68 20 61	.IKE.and.ESP.settings.to.match.a
14ac0	20 73 75 62 73 65 74 20 6f 66 20 74 68 6f 73 65 20 73 75 70 70 6f 72 74 65 64 20 62 79 20 41 7a	.subset.of.those.supported.by.Az
14ae0	75 72 65 3a 00 43 6f 6e 66 69 67 75 72 65 20 74 68 65 20 56 50 4e 20 74 75 6e 6e 65 6c 00 43 6f	ure:.Configure.the.VPN.tunnel.Co
14b00	6e 66 69 67 75 72 65 20 74 68 65 20 56 50 4e 20 74 75 6e 6e 65 6c 73 00 43 6f 6e 66 69 67 75 72	nfigure.the.VPN.tunnels.Configur
14b20	65 20 74 68 65 20 57 41 4e 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 20 77 69 74 68 20 74 68 65	e.the.WAN.load.balancer.with.the
14b40	20 70 61 72 61 6d 65 74 65 72 73 20 64 65 73 63 72 69 62 65 64 20 61 62 6f 76 65 3a 00 43 6f 6e	.parameters.described.above:.Con
14b60	66 69 67 75 72 65 20 74 68 65 20 6c 6f 61 64 20 62 61 6c 61 6e 63 65 72 00 43 6f 6e 66 69 67 75	figure.the.load.balancer.Configu
14b80	72 65 20 74 77 6f 20 56 54 49 73 20 77 69 74 68 20 61 20 64 75 6d 6d 79 20 49 50 20 61 64 64 72	re.two.VTIs.with.a.dummy.IP.addr
14ba0	65 73 73 20 65 61 63 68 00 43 6f 6e 66 69 67 75 72 65 20 79 6f 75 72 20 42 47 50 20 73 65 74 74	ess.each.Configure.your.BGP.sett
14bc0	69 6e 67 73 00 43 6f 6e 6e 74 72 61 63 6b 20 68 65 6c 70 65 72 20 6d 6f 64 75 6c 65 73 20 61 72	ings.Conntrack.helper.modules.ar
14be0	65 20 65 6e 61 62 6c 65 64 20 62 79 20 64 65 66 61 75 6c 74 2c 20 62 75 74 20 74 68 65 79 20 74	e.enabled.by.default,.but.they.t
14c00	65 6e 64 20 74 6f 20 63 61 75 73 65 20 6d 6f 72 65 20 70 72 6f 62 6c 65 6d 73 20 74 68 61 6e 20	end.to.cause.more.problems.than.
14c20	74 68 65 79 27 72 65 20 77 6f 72 74 68 20 69 6e 20 63 6f 6d 70 6c 65 78 20 6e 65 74 77 6f 72 6b	they're.worth.in.complex.network
14c40	73 2e 20 59 6f 75 20 63 61 6e 20 64 69 73 61 62 6c 65 20 61 6c 6c 20 6f 66 20 74 68 65 6d 20 61	s..You.can.disable.all.of.them.a
14c60	74 20 6f 6e 65 20 67 6f 2e 00 43 6f 6e 73 69 64 65 72 20 68 6f 77 20 74 6f 20 71 75 69 63 6b 6c	t.one.go..Consider.how.to.quickl
14c80	79 20 73 65 74 20 75 70 20 4e 4d 50 20 61 6e 64 20 56 79 4f 53 20 66 6f 72 20 6d 6f 6e 69 74 6f	y.set.up.NMP.and.VyOS.for.monito
14ca0	72 69 6e 67 2e 20 4e 4d 50 20 69 73 20 6d 75 6c 74 69 2d 76 65 6e 64 6f 72 20 6e 65 74 77 6f 72	ring..NMP.is.multi-vendor.networ
14cc0	6b 20 6d 6f 6e 69 74 6f 72 69 6e 67 20 66 72 6f 6d 20 27 53 6f 6c 61 72 57 69 6e 64 73 27 20 62	k.monitoring.from.'SolarWinds'.b
14ce0	75 69 6c 74 20 74 6f 20 73 63 61 6c 65 20 61 6e 64 20 65 78 70 61 6e 64 20 77 69 74 68 20 74 68	uilt.to.scale.and.expand.with.th
14d00	65 20 6e 65 65 64 73 20 6f 66 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 2e 00 43 6f 72 65 00 43 6f	e.needs.of.your.network..Core.Co
14d20	72 65 20 52 6f 75 74 65 72 00 43 6f 72 65 20 6e 65 74 77 6f 72 6b 00 43 72 65 61 74 65 20 45 78	re.Router.Core.network.Create.Ex
14d40	70 6f 72 74 20 46 69 6c 74 65 72 00 43 72 65 61 74 65 20 49 6d 70 6f 72 74 20 46 69 6c 74 65 72	port.Filter.Create.Import.Filter
14d60	00 43 72 65 61 74 65 20 56 52 52 50 20 73 79 6e 63 2d 67 72 6f 75 70 00 43 72 65 61 74 65 20 61	.Create.VRRP.sync-group.Create.a
14d80	20 4c 41 43 50 20 62 6f 6e 64 20 6f 6e 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65	.LACP.bond.on.the.hardware.route
14da0	72 2e 20 57 65 20 61 72 65 20 61 73 73 75 6d 69 6e 67 20 74 68 61 74 20 65 74 68 30 20 61 6e 64	r..We.are.assuming.that.eth0.and
14dc0	20 65 74 68 31 20 61 72 65 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 70 6f 72 74 20 38 20 6f 6e	.eth1.are.connected.to.port.8.on
14de0	20 62 6f 74 68 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 74 68 61 74 20 74 68 6f 73 65 20 70	.both.switches,.and.that.those.p
14e00	6f 72 74 73 20 61 72 65 20 63 6f 6e 66 69 67 75 72 65 64 20 61 73 20 61 20 50 6f 72 74 2d 43 68	orts.are.configured.as.a.Port-Ch
14e20	61 6e 6e 65 6c 2e 00 43 72 65 61 74 65 20 61 6e 20 27 41 6c 6c 20 56 4c 41 4e 73 27 20 6e 65 74	annel..Create.an.'All.VLANs'.net
14e40	77 6f 72 6b 20 67 72 6f 75 70 2c 20 74 68 61 74 20 70 61 73 73 65 73 20 61 6c 6c 20 74 72 75 6e	work.group,.that.passes.all.trun
14e60	6b 65 64 20 74 72 61 66 66 69 63 20 74 68 72 6f 75 67 68 20 74 6f 20 74 68 65 20 56 4d 2e 20 41	ked.traffic.through.to.the.VM..A
14e80	74 74 61 63 68 20 74 68 69 73 20 6e 65 74 77 6f 72 6b 20 67 72 6f 75 70 20 74 6f 20 72 6f 75 74	ttach.this.network.group.to.rout
14ea0	65 72 31 20 61 73 20 65 74 68 30 2e 00 43 72 65 61 74 65 20 69 6e 74 65 72 66 61 63 65 20 77 65	er1.as.eth0..Create.interface.we
14ec0	69 67 68 74 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43 72 65 61 74 65 20	ight.based.configuration.Create.
14ee0	72 75 6c 65 20 6f 72 64 65 72 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 43	rule.order.based.configuration.C
14f00	72 65 61 74 65 20 72 75 6c 65 20 6f 72 64 65 72 20 62 61 73 65 64 20 63 6f 6e 66 69 67 75 72 61	reate.rule.order.based.configura
14f20	74 69 6f 6e 20 77 69 74 68 20 6c 6f 77 20 73 70 65 65 64 20 73 65 63 6f 6e 64 61 72 79 20 6c 69	tion.with.low.speed.secondary.li
14f40	6e 6b 00 43 72 65 61 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 68 72 6f 75 67 68 20	nk.Create.static.routes.through.
14f60	74 68 65 20 74 77 6f 20 49 53 50 73 20 74 6f 77 61 72 64 73 20 74 68 65 20 70 69 6e 67 20 74 61	the.two.ISPs.towards.the.ping.ta
14f80	72 67 65 74 73 20 61 6e 64 20 63 6f 6d 6d 69 74 20 74 68 65 20 63 68 61 6e 67 65 73 3a 00 43 72	rgets.and.commit.the.changes:.Cr
14fa0	65 61 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 6f 20 70 69 6e 67 20 74 61 72 67 65	eate.static.routes.to.ping.targe
14fc0	74 73 00 43 72 65 61 74 65 20 79 6f 75 72 20 72 6f 75 74 65 72 31 20 56 4d 2e 20 53 6f 20 69 74	ts.Create.your.router1.VM..So.it
14fe0	20 63 61 6e 20 77 69 74 68 73 74 61 6e 64 20 61 20 56 4d 20 48 6f 73 74 20 66 61 69 6c 69 6e 67	.can.withstand.a.VM.Host.failing
15000	20 6f 72 20 61 20 6e 65 74 77 6f 72 6b 20 6c 69 6e 6b 20 66 61 69 6c 69 6e 67 2e 20 55 73 69 6e	.or.a.network.link.failing..Usin
15020	67 20 56 4d 77 61 72 65 2c 20 74 68 69 73 20 69 73 20 61 63 68 69 65 76 65 64 20 62 79 20 65 6e	g.VMware,.this.is.achieved.by.en
15040	61 62 6c 69 6e 67 20 76 53 70 68 65 72 65 20 44 52 53 2c 20 76 53 70 68 65 72 65 20 41 76 61 69	abling.vSphere.DRS,.vSphere.Avai
15060	6c 61 62 69 6c 69 74 79 2c 20 61 6e 64 20 63 72 65 61 74 69 6e 67 20 61 20 44 69 73 74 72 69 62	lability,.and.creating.a.Distrib
15080	75 74 65 64 20 50 6f 72 74 20 47 72 6f 75 70 20 74 68 61 74 20 75 73 65 73 20 4c 41 43 50 2e 00	uted.Port.Group.that.uses.LACP..
150a0	44 48 43 50 20 52 65 6c 61 79 20 74 72 6f 75 67 68 20 47 52 45 2d 42 72 69 64 67 65 00 44 48 43	DHCP.Relay.trough.GRE-Bridge.DHC
150c0	50 2d 52 65 6c 61 79 00 44 48 43 50 2d 53 65 72 76 65 72 00 44 48 43 50 76 36 2d 50 44 20 53 65	P-Relay.DHCP-Server.DHCPv6-PD.Se
150e0	74 75 70 00 44 4d 5a 20 63 61 6e 6e 6f 74 20 61 63 63 65 73 73 20 4c 41 4e 20 72 65 73 6f 75 72	tup.DMZ.cannot.access.LAN.resour
15100	63 65 73 2e 00 44 4d 5a 2d 4c 41 4e 20 70 6f 6c 69 63 79 20 69 73 20 4c 41 4e 2d 44 4d 5a 2e 20	ces..DMZ-LAN.policy.is.LAN-DMZ..
15120	59 6f 75 20 63 61 6e 20 67 65 74 20 61 20 72 68 79 74 68 6d 20 74 6f 20 69 74 20 77 68 65 6e 20	You.can.get.a.rhythm.to.it.when.
15140	79 6f 75 20 62 75 69 6c 64 20 6f 75 74 20 61 20 62 75 6e 63 68 20 61 74 20 6f 6e 65 20 74 69 6d	you.build.out.a.bunch.at.one.tim
15160	65 2e 00 44 65 73 69 67 6e 00 44 65 76 69 63 65 2d 41 00 44 65 76 69 63 65 2d 42 00 44 75 70 6c	e..Design.Device-A.Device-B.Dupl
15180	69 63 61 74 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 44 75 72 69 6e 67 20 61 64 64 72 65	icate.configuration.During.addre
151a0	73 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2c 20 69 6e 20 61 64 64 69 74 69 6f 6e 20 74 6f	ss.configuration,.in.addition.to
151c0	20 61 73 73 69 67 6e 69 6e 67 20 61 6e 20 61 64 64 72 65 73 73 20 74 6f 20 74 68 65 20 57 41 4e	.assigning.an.address.to.the.WAN
151e0	20 69 6e 74 65 72 66 61 63 65 2c 20 49 53 50 20 61 6c 73 6f 20 70 72 6f 76 69 64 65 73 20 61 20	.interface,.ISP.also.provides.a.
15200	70 72 65 66 69 78 20 74 6f 20 61 6c 6c 6f 77 20 74 68 65 20 72 6f 75 74 65 72 20 74 6f 20 63 6f	prefix.to.allow.the.router.to.co
15220	6e 66 69 67 75 72 65 20 61 64 64 72 65 73 73 65 73 20 6f 66 20 4c 41 4e 20 69 6e 74 65 72 66 61	nfigure.addresses.of.LAN.interfa
15240	63 65 20 61 6e 64 20 6f 74 68 65 72 20 6e 6f 64 65 73 20 63 6f 6e 6e 65 63 74 69 6e 67 20 74 6f	ce.and.other.nodes.connecting.to
15260	20 4c 41 4e 2c 20 77 68 69 63 68 20 69 73 20 63 61 6c 6c 65 64 20 70 72 65 66 69 78 20 64 65 6c	.LAN,.which.is.called.prefix.del
15280	65 67 61 74 69 6f 6e 20 28 50 44 29 2e 00 44 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 73	egation.(PD)..Dynamic.routing.us
152a0	65 64 20 62 65 74 77 65 65 6e 20 43 45 20 61 6e 64 20 50 45 20 6e 6f 64 65 73 20 61 6e 64 20 65	ed.between.CE.and.PE.nodes.and.e
152c0	42 47 50 20 70 65 65 72 69 6e 67 20 65 73 74 61 62 6c 69 73 68 65 64 20 66 6f 72 20 74 68 65 20	BGP.peering.established.for.the.
152e0	72 6f 75 74 65 20 65 78 63 68 61 6e 67 69 6e 67 20 62 65 74 77 65 65 6e 20 74 68 65 6d 2e 20 41	route.exchanging.between.them..A
15300	6c 6c 20 72 6f 75 74 65 73 20 72 65 63 65 69 76 65 64 20 62 79 20 50 45 73 20 61 72 65 20 74 68	ll.routes.received.by.PEs.are.th
15320	65 6e 20 65 78 70 6f 72 74 65 64 20 74 6f 20 4c 33 56 50 4e 20 61 6e 64 20 64 65 6c 69 76 65 72	en.exported.to.L3VPN.and.deliver
15340	65 64 20 66 72 6f 6d 20 53 70 6f 6b 65 20 73 69 74 65 73 20 74 6f 20 48 75 62 20 61 6e 64 20 76	ed.from.Spoke.sites.to.Hub.and.v
15360	69 73 65 2d 76 65 72 73 61 20 62 61 73 65 64 20 6f 6e 20 70 72 65 76 69 6f 75 73 6c 79 20 63 6f	ise-versa.based.on.previously.co
15380	6e 66 69 67 75 72 65 64 20 4c 33 56 50 4e 20 70 61 72 61 6d 65 74 65 72 73 2e 00 45 61 63 68 20	nfigured.L3VPN.parameters..Each.
153a0	69 6e 74 65 72 66 61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 20 74 6f 20 61 20 7a 6f 6e 65 2e	interface.is.assigned.to.a.zone.
153c0	20 54 68 65 20 69 6e 74 65 72 66 61 63 65 20 63 61 6e 20 62 65 20 70 68 79 73 69 63 61 6c 20 6f	.The.interface.can.be.physical.o
153e0	72 20 76 69 72 74 75 61 6c 20 73 75 63 68 20 61 73 20 74 75 6e 6e 65 6c 73 20 28 56 50 4e 2c 20	r.virtual.such.as.tunnels.(VPN,.
15400	50 50 54 50 2c 20 47 52 45 2c 20 65 74 63 29 20 61 6e 64 20 61 72 65 20 74 72 65 61 74 65 64 20	PPTP,.GRE,.etc).and.are.treated.
15420	65 78 61 63 74 6c 79 20 74 68 65 20 73 61 6d 65 2e 00 45 61 63 68 20 6c 61 62 20 77 69 6c 6c 20	exactly.the.same..Each.lab.will.
15440	62 75 69 6c 64 20 61 6e 20 74 65 73 74 20 66 72 6f 6d 20 61 6e 20 65 78 74 65 72 6e 61 6c 20 73	build.an.test.from.an.external.s
15460	63 72 69 70 74 2e 20 54 68 65 20 70 61 67 65 20 63 6f 6e 74 65 6e 74 20 77 69 6c 6c 20 67 65 6e	cript..The.page.content.will.gen
15480	65 72 61 74 65 2c 20 73 6f 20 63 68 61 6e 67 65 73 20 77 69 6c 6c 20 6e 6f 74 20 74 61 6b 65 20	erate,.so.changes.will.not.take.
154a0	61 6e 20 65 66 66 65 63 74 2e 00 45 6e 61 62 6c 65 20 49 50 73 65 63 20 6f 6e 20 65 74 68 30 00	an.effect..Enable.IPsec.on.eth0.
154c0	45 6e 61 62 6c 65 20 4f 53 50 46 00 45 6e 61 62 6c 65 20 53 53 48 00 45 6e 61 62 6c 65 20 53 53	Enable.OSPF.Enable.SSH.Enable.SS
154e0	48 20 73 6f 20 79 6f 75 20 63 61 6e 20 6e 6f 77 20 53 53 48 20 69 6e 74 6f 20 74 68 65 20 72 6f	H.so.you.can.now.SSH.into.the.ro
15500	75 74 65 72 73 2c 20 72 61 74 68 65 72 20 74 68 61 6e 20 75 73 69 6e 67 20 74 68 65 20 63 6f 6e	uters,.rather.than.using.the.con
15520	73 6f 6c 65 2e 00 45 6e 61 62 6c 65 73 20 72 6f 75 74 65 72 20 61 64 76 65 72 74 69 73 65 6d 65	sole..Enables.router.advertiseme
15540	6e 74 73 2e 20 54 68 69 73 20 69 73 20 61 6e 20 49 50 76 36 20 61 6c 74 65 72 6e 61 74 69 76 65	nts..This.is.an.IPv6.alternative
15560	20 66 6f 72 20 44 48 43 50 20 28 74 68 6f 75 67 68 20 44 48 43 50 76 36 20 63 61 6e 20 73 74 69	.for.DHCP.(though.DHCPv6.can.sti
15580	6c 6c 20 62 65 20 75 73 65 64 29 2e 20 57 69 74 68 20 52 41 73 2c 20 59 6f 75 72 20 64 65 76 69	ll.be.used)..With.RAs,.Your.devi
155a0	63 65 73 20 77 69 6c 6c 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 20 66 69 6e 64 20 74 68 65 20	ces.will.automatically.find.the.
155c0	69 6e 66 6f 72 6d 61 74 69 6f 6e 20 74 68 65 79 20 6e 65 65 64 20 66 6f 72 20 72 6f 75 74 69 6e	information.they.need.for.routin
155e0	67 20 61 6e 64 20 44 4e 53 2e 00 45 76 65 6e 20 69 66 20 74 68 65 20 74 77 6f 20 7a 6f 6e 65 73	g.and.DNS..Even.if.the.two.zones
15600	20 77 69 6c 6c 20 6e 65 76 65 72 20 63 6f 6d 6d 75 6e 69 63 61 74 65 2c 20 69 74 20 69 73 20 61	.will.never.communicate,.it.is.a
15620	20 67 6f 6f 64 20 69 64 65 61 20 74 6f 20 63 72 65 61 74 65 20 74 68 65 20 7a 6f 6e 65 2d 70 61	.good.idea.to.create.the.zone-pa
15640	69 72 2d 64 69 72 65 63 74 69 6f 6e 20 72 75 6c 65 73 65 74 73 20 61 6e 64 20 73 65 74 20 65 6e	ir-direction.rulesets.and.set.en
15660	61 62 6c 65 2d 64 65 66 61 75 6c 74 2d 6c 6f 67 2e 20 54 68 69 73 20 77 69 6c 6c 20 61 6c 6c 6f	able-default-log..This.will.allo
15680	77 20 79 6f 75 20 74 6f 20 6c 6f 67 20 61 74 74 65 6d 70 74 73 20 74 6f 20 61 63 63 65 73 73 20	w.you.to.log.attempts.to.access.
156a0	74 68 65 20 6e 65 74 77 6f 72 6b 73 2e 20 57 69 74 68 6f 75 74 20 69 74 2c 20 79 6f 75 20 77 69	the.networks..Without.it,.you.wi
156c0	6c 6c 20 6e 65 76 65 72 20 73 65 65 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 61 74 74 65	ll.never.see.the.connection.atte
156e0	6d 70 74 73 2e 00 45 76 65 72 79 20 72 6f 75 74 65 72 20 2a 2a 6d 75 73 74 2a 2a 20 68 61 76 65	mpts..Every.router.must.have
15700	20 61 20 75 6e 69 71 75 65 20 72 6f 75 74 65 72 2d 69 64 2e 20 54 68 65 20 27 72 65 66 65 72 65	.a.unique.router-id..The.'refere
15720	6e 63 65 2d 62 61 6e 64 77 69 64 74 68 27 20 69 73 20 75 73 65 64 20 62 65 63 61 75 73 65 20 77	nce-bandwidth'.is.used.because.w
15740	68 65 6e 20 4f 53 50 46 20 77 61 73 20 6f 72 69 67 69 6e 61 6c 6c 79 20 64 65 73 69 67 6e 65 64	hen.OSPF.was.originally.designed
15760	2c 20 74 68 65 20 69 64 65 61 20 6f 66 20 61 20 6c 69 6e 6b 20 66 61 73 74 65 72 20 74 68 61 6e	,.the.idea.of.a.link.faster.than
15780	20 31 67 62 69 74 20 77 61 73 20 75 6e 68 65 61 72 64 20 6f 66 2c 20 61 6e 64 20 69 74 20 64 6f	.1gbit.was.unheard.of,.and.it.do
157a0	65 73 20 6e 6f 74 20 73 63 61 6c 65 20 63 6f 72 72 65 63 74 6c 79 2e 00 45 76 65 72 79 20 72 6f	es.not.scale.correctly..Every.ro
157c0	75 74 65 72 20 74 68 61 74 20 70 72 6f 76 69 64 65 73 20 61 63 63 65 73 73 20 74 6f 20 61 20 63	uter.that.provides.access.to.a.c
157e0	75 73 74 6f 6d 65 72 20 6e 65 74 77 6f 72 6b 20 6e 65 65 64 73 20 74 6f 20 68 61 76 65 20 74 68	ustomer.network.needs.to.have.th
15800	65 20 63 75 73 74 6f 6d 65 72 20 6e 65 74 77 6f 72 6b 20 28 56 52 46 20 2b 20 56 4e 49 29 20 63	e.customer.network.(VRF.+.VNI).c
15820	6f 6e 66 69 67 75 72 65 64 2e 20 54 6f 20 6d 61 6b 65 20 6f 75 72 20 6f 77 6e 20 6c 69 76 65 73	onfigured..To.make.our.own.lives
15840	20 65 61 73 69 65 72 2c 20 77 65 20 75 74 69 6c 69 7a 65 20 74 68 65 20 73 61 6d 65 20 56 52 46	.easier,.we.utilize.the.same.VRF
15860	20 74 61 62 6c 65 20 69 64 20 28 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 6e	.table.id.(local.routing.table.n
15880	75 6d 62 65 72 29 20 61 6e 64 20 56 4e 49 20 28 56 69 72 74 75 61 6c 20 4e 65 74 77 6f 72 6b 20	umber).and.VNI.(Virtual.Network.
158a0	49 64 65 6e 74 69 66 69 65 72 29 20 70 65 72 20 74 65 6e 61 6e 74 20 6f 6e 20 61 6c 6c 20 6f 75	Identifier).per.tenant.on.all.ou
158c0	72 20 72 6f 75 74 65 72 73 2e 00 45 76 65 72 79 20 74 65 6e 61 6e 74 20 69 73 20 61 73 73 69 67	r.routers..Every.tenant.is.assig
158e0	6e 65 64 20 61 6e 20 69 6e 64 69 76 69 64 75 61 6c 20 56 52 46 20 74 68 61 74 20 77 6f 75 6c 64	ned.an.individual.VRF.that.would
15900	20 73 75 70 70 6f 72 74 20 6f 76 65 72 6c 61 70 70 69 6e 67 20 61 64 64 72 65 73 73 20 72 61 6e	.support.overlapping.address.ran
15920	67 65 73 20 66 6f 72 20 63 75 73 74 6f 6d 65 72 73 20 62 6c 75 65 2c 20 72 65 64 20 61 6e 64 20	ges.for.customers.blue,.red.and.
15940	67 72 65 65 6e 2e 20 49 6e 20 6f 75 72 20 65 78 61 6d 70 6c 65 2c 20 77 65 20 64 6f 20 6e 6f 74	green..In.our.example,.we.do.not
15960	20 75 73 65 20 6f 76 65 72 6c 61 70 70 69 6e 67 20 72 61 6e 67 65 73 20 74 6f 20 6d 61 6b 65 20	.use.overlapping.ranges.to.make.
15980	69 74 20 65 61 73 69 65 72 20 77 68 65 6e 20 73 68 6f 77 69 6e 67 20 64 65 62 75 67 20 63 6f 6d	it.easier.when.showing.debug.com
159a0	6d 61 6e 64 73 2e 00 45 78 61 6d 70 6c 65 00 45 78 61 6d 70 6c 65 20 31 3a 20 44 69 73 74 72 69	mands..Example.Example.1:.Distri
159c0	62 75 74 69 6e 67 20 6c 6f 61 64 20 65 76 65 6e 6c 79 00 45 78 61 6d 70 6c 65 20 32 3a 20 46 61	buting.load.evenly.Example.2:.Fa
159e0	69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 69 6e 74 65 72 66 61 63 65 20 77 65 69 67 68 74	ilover.based.on.interface.weight
15a00	73 00 45 78 61 6d 70 6c 65 20 33 3a 20 46 61 69 6c 6f 76 65 72 20 62 61 73 65 64 20 6f 6e 20 72	s.Example.3:.Failover.based.on.r
15a20	75 6c 65 20 6f 72 64 65 72 00 45 78 61 6d 70 6c 65 20 34 3a 20 46 61 69 6c 6f 76 65 72 20 62 61	ule.order.Example.4:.Failover.ba
15a40	73 65 64 20 6f 6e 20 72 75 6c 65 20 6f 72 64 65 72 20 2d 20 70 72 69 6f 72 69 74 79 20 74 72 61	sed.on.rule.order.-.priority.tra
15a60	66 66 69 63 00 45 78 61 6d 70 6c 65 20 35 3a 20 45 78 63 6c 75 64 65 20 74 72 61 66 66 69 63 20	ffic.Example.5:.Exclude.traffic.
15a80	66 72 6f 6d 20 6c 6f 61 64 20 62 61 6c 61 6e 63 69 6e 67 00 45 78 61 6d 70 6c 65 20 4e 65 74 77	from.load.balancing.Example.Netw
15aa0	6f 72 6b 00 46 69 6c 6c 20 60 60 70 61 73 73 77 6f 72 64 60 60 20 61 6e 64 20 60 60 75 73 65 72	ork.Fill.``password``.and.``user
15ac0	60 60 20 77 69 74 68 20 74 68 65 20 63 72 65 64 65 6e 74 69 61 6c 20 70 72 6f 76 69 64 65 64 20	``.with.the.credential.provided.
15ae0	62 79 20 79 6f 75 72 20 49 53 50 2e 00 46 69 6e 61 6c 6c 79 2c 20 64 6f 6e 27 74 20 66 6f 72 67	by.your.ISP..Finally,.don't.forg
15b00	65 74 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 60 2e 20 54 68 65 20 75 73 61 67	et.the.:ref:`firewall`..The.usag
15b20	65 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 65 78 63 65 70 74 20 66 6f 72 20 69 6e 73 74 65	e.is.identical,.except.for.inste
15b40	61 64 20 6f 66 20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 6e 61 6d 65 20 4e 41 4d 45 60 2c 20	ad.of.`set.firewall.name.NAME`,.
15b60	79 6f 75 20 77 6f 75 6c 64 20 75 73 65 20 60 73 65 74 20 66 69 72 65 77 61 6c 6c 20 69 70 76 36	you.would.use.`set.firewall.ipv6
15b80	2d 6e 61 6d 65 20 4e 41 4d 45 60 2e 00 46 69 6e 61 6c 6c 79 2c 20 6c 65 74 e2 80 99 73 20 63 68	-name.NAME`..Finally,.let...s.ch
15ba0	65 63 6b 20 74 68 65 20 72 65 61 63 68 61 62 69 6c 69 74 79 20 62 65 74 77 65 65 6e 20 43 45 73	eck.the.reachability.between.CEs
15bc0	3a 00 46 69 72 65 77 61 6c 6c 00 46 69 72 65 77 61 6c 6c 20 43 6f 6e 66 69 67 75 72 61 74 69 6f	:.Firewall.Firewall.Configuratio
15be0	6e 3a 00 46 69 72 73 74 20 61 20 43 41 2c 20 61 20 73 69 67 6e 65 64 20 73 65 72 76 65 72 20 61	n:.First.a.CA,.a.signed.server.a
15c00	6e 64 20 63 6c 69 65 6e 74 20 63 65 66 74 69 66 69 63 61 74 65 20 61 6e 64 20 61 20 44 69 66 66	nd.client.ceftificate.and.a.Diff
15c20	69 65 2d 48 65 6c 6c 6d 61 6e 20 70 61 72 61 6d 65 74 65 72 20 6d 75 73 73 74 20 62 65 20 67 65	ie-Hellman.parameter.musst.be.ge
15c40	6e 65 72 61 74 65 64 20 61 6e 64 20 69 6e 73 74 61 6c 6c 65 64 2e 20 50 6c 65 61 73 65 20 6c 6f	nerated.and.installed..Please.lo
15c60	6f 6b 20 3a 72 65 66 3a 60 68 65 72 65 20 3c 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 70 6b 69	ok.:ref:`here.<configuration/pki
15c80	2f 69 6e 64 65 78 3a 70 6b 69 3e 60 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f	/index:pki>`.for.more.informatio
15ca0	6e 2e 00 46 69 72 73 74 20 70 72 65 70 61 72 65 20 6f 75 72 20 56 79 4f 53 20 72 6f 75 74 65 72	n..First.prepare.our.VyOS.router
15cc0	20 66 6f 72 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 6f 20 4e 4d 50 2e 20 57 65 20 68 61 76 65 20	.for.connection.to.NMP..We.have.
15ce0	74 6f 20 73 65 74 20 75 70 20 74 68 65 20 53 4e 4d 50 20 70 72 6f 74 6f 63 6f 6c 20 61 6e 64 20	to.set.up.the.SNMP.protocol.and.
15d00	63 6f 6e 6e 65 63 74 69 76 69 74 79 20 62 65 74 77 65 65 6e 20 74 68 65 20 72 6f 75 74 65 72 20	connectivity.between.the.router.
15d20	61 6e 64 20 4e 4d 50 2e 00 46 69 72 73 74 2c 20 77 65 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65	and.NMP..First,.we.configure.the
15d40	20 60 60 76 79 6f 73 2d 77 61 6e 60 60 20 69 6e 74 65 72 66 61 63 65 20 74 6f 20 67 65 74 20 61	.``vyos-wan``.interface.to.get.a
15d60	20 44 48 43 50 20 61 64 64 72 65 73 73 2e 00 46 69 72 73 74 2c 20 77 65 20 63 6f 6e 66 69 67 75	.DHCP.address..First,.we.configu
15d80	72 65 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 74 68 65	re.the.transport.network.and.the
15da0	20 54 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 2e 00 46 6c 65 78 56 50 4e 20 69 73 20 61 20	.Tunnel.interface..FlexVPN.is.a.
15dc0	6e 65 77 65 72 20 22 73 6f 6c 75 74 69 6f 6e 22 20 66 6f 72 20 64 65 70 6c 6f 79 6d 65 6e 74 20	newer."solution".for.deployment.
15de0	6f 66 20 56 50 4e 73 20 61 6e 64 20 69 74 20 75 74 69 6c 69 7a 65 73 20 49 4b 45 76 32 20 61 73	of.VPNs.and.it.utilizes.IKEv2.as
15e00	20 74 68 65 20 6b 65 79 20 65 78 63 68 61 6e 67 65 20 70 72 6f 74 6f 63 6f 6c 2e 20 54 68 65 20	.the.key.exchange.protocol..The.
15e20	72 65 73 75 6c 74 20 69 73 20 61 20 66 6c 65 78 69 62 6c 65 20 61 6e 64 20 73 63 61 6c 61 62 6c	result.is.a.flexible.and.scalabl
15e40	65 20 56 50 4e 20 73 6f 6c 75 74 69 6f 6e 20 74 68 61 74 20 63 61 6e 20 62 65 20 65 61 73 69 6c	e.VPN.solution.that.can.be.easil
15e60	79 20 61 64 61 70 74 65 64 20 74 6f 20 66 69 74 20 76 61 72 69 6f 75 73 20 6e 65 74 77 6f 72 6b	y.adapted.to.fit.various.network
15e80	20 6e 65 65 64 73 2e 20 49 74 20 63 61 6e 20 61 6c 73 6f 20 73 75 70 70 6f 72 74 20 61 20 76 61	.needs..It.can.also.support.a.va
15ea0	72 69 65 74 79 20 6f 66 20 65 6e 63 72 79 70 74 69 6f 6e 20 6d 65 74 68 6f 64 73 2c 20 69 6e 63	riety.of.encryption.methods,.inc
15ec0	6c 75 64 69 6e 67 20 41 45 53 20 61 6e 64 20 33 44 45 53 2e 00 46 6f 72 20 63 6f 6e 6e 65 63 74	luding.AES.and.3DES..For.connect
15ee0	69 6f 6e 20 62 65 74 77 65 65 6e 20 73 69 74 65 73 2c 20 77 65 20 61 72 65 20 72 75 6e 6e 69 6e	ion.between.sites,.we.are.runnin
15f00	67 20 61 20 57 69 72 65 47 75 61 72 64 20 6c 69 6e 6b 20 74 6f 20 74 77 6f 20 52 45 4d 4f 54 45	g.a.WireGuard.link.to.two.REMOTE
15f20	20 72 6f 75 74 65 72 73 20 61 6e 64 20 75 73 69 6e 67 20 4f 53 50 46 20 6f 76 65 72 20 74 68 6f	.routers.and.using.OSPF.over.tho
15f40	73 65 20 6c 69 6e 6b 73 20 74 6f 20 64 69 73 74 72 69 62 75 74 65 20 72 6f 75 74 65 73 2e 20 54	se.links.to.distribute.routes..T
15f60	68 61 74 20 72 65 6d 6f 74 65 20 73 69 74 65 20 69 73 20 65 78 70 65 63 74 65 64 20 74 6f 20 73	hat.remote.site.is.expected.to.s
15f80	65 6e 64 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 61 6e 79 74 68 69 6e 67 20 69 6e 20 31 30 2e	end.traffic.from.anything.in.10.
15fa0	32 30 31 2e 30 2e 30 2f 31 36 00 46 6f 72 20 68 6f 6d 65 20 6e 65 74 77 6f 72 6b 20 75 73 65 72	201.0.0/16.For.home.network.user
15fc0	73 2c 20 6d 6f 73 74 20 6f 66 20 74 69 6d 65 20 49 53 50 20 6f 6e 6c 79 20 70 72 6f 76 69 64 65	s,.most.of.time.ISP.only.provide
15fe0	73 20 2f 36 34 20 70 72 65 66 69 78 2c 20 68 65 6e 63 65 20 74 68 65 72 65 20 69 73 20 6e 6f 20	s./64.prefix,.hence.there.is.no.
16000	6e 65 65 64 20 74 6f 20 73 65 74 20 53 4c 41 20 49 44 20 61 6e 64 20 70 72 65 66 69 78 20 6c 65	need.to.set.SLA.ID.and.prefix.le
16020	6e 67 74 68 2e 20 53 65 65 20 3a 72 65 66 3a 60 70 70 70 6f 65 2d 69 6e 74 65 72 66 61 63 65 60	ngth..See.:ref:`pppoe-interface`
16040	20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00 46 6f 72 20 72 65 64 75 6e	.for.more.information..For.redun
16060	64 61 6e 74 20 2f 20 61 63 74 69 76 65 2d 61 63 74 69 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69	dant./.active-active.configurati
16080	6f 6e 73 20 73 65 65 20 3a 72 65 66 3a 60 65 78 61 6d 70 6c 65 73 2d 61 7a 75 72 65 2d 76 70 6e	ons.see.:ref:`examples-azure-vpn
160a0	2d 64 75 61 6c 2d 62 67 70 60 00 46 6f 72 20 73 69 6d 70 6c 69 63 69 74 79 2c 20 63 6f 6e 66 69	-dual-bgp`.For.simplicity,.confi
160c0	67 75 72 61 74 69 6f 6e 20 61 6e 64 20 74 65 73 74 73 20 61 72 65 20 64 6f 6e 65 20 6f 6e 6c 79	guration.and.tests.are.done.only
160e0	20 75 73 69 6e 67 20 69 70 76 34 2c 20 61 6e 64 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67	.using.ipv4,.and.firewall.config
16100	75 72 61 74 69 6f 6e 20 69 6e 20 64 6f 6e 65 20 6f 6e 6c 79 20 6f 6e 20 6f 6e 65 20 72 6f 75 74	uration.in.done.only.on.one.rout
16120	65 72 2e 00 46 6f 72 20 74 68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2c 20 72 65 70	er..For.the.hardware.router,.rep
16140	6c 61 63 65 20 60 60 65 74 68 30 60 60 20 77 69 74 68 20 60 60 62 6f 6e 64 30 60 60 2e 20 41 73	lace.``eth0``.with.``bond0``..As
16160	20 28 61 6c 6d 6f 73 74 29 20 65 76 65 72 79 20 63 6f 6d 6d 61 6e 64 20 69 73 20 69 64 65 6e 74	.(almost).every.command.is.ident
16180	69 63 61 6c 2c 20 74 68 69 73 20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 73 70 65 63 69 66 69 65 64	ical,.this.will.not.be.specified
161a0	20 75 6e 6c 65 73 73 20 64 69 66 66 65 72 65 6e 74 20 74 68 69 6e 67 73 20 6e 65 65 64 20 74 6f	.unless.different.things.need.to
161c0	20 62 65 20 70 65 72 66 6f 72 6d 65 64 20 6f 6e 20 64 69 66 66 65 72 65 6e 74 20 68 6f 73 74 73	.be.performed.on.different.hosts
161e0	2e 00 46 72 6f 6d 20 44 61 74 61 63 65 6e 74 65 72 20 2d 20 54 68 69 73 20 63 6f 6e 6e 65 63 74	..From.Datacenter.-.This.connect
16200	73 20 69 6e 74 6f 20 70 6f 72 74 20 31 20 6f 6e 20 62 6f 74 68 20 73 77 69 74 63 68 65 73 2c 20	s.into.port.1.on.both.switches,.
16220	61 6e 64 20 69 73 20 74 61 67 67 65 64 20 61 73 20 56 4c 41 4e 20 35 30 00 46 72 6f 6d 20 4d 61	and.is.tagged.as.VLAN.50.From.Ma
16240	6e 61 67 65 6d 65 6e 74 20 74 6f 20 4c 41 4e 31 2f 4c 41 4e 32 00 46 72 6f 6d 20 4d 61 6e 61 67	nagement.to.LAN1/LAN2.From.Manag
16260	65 6d 65 6e 74 20 74 6f 20 4f 75 74 73 69 64 65 20 28 66 61 69 6c 73 20 61 73 20 69 6e 74 65 6e	ement.to.Outside.(fails.as.inten
16280	64 65 64 29 00 46 75 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 61 6c 6c	ded).Full.configuration.from.all
162a0	20 64 65 76 69 63 65 73 00 47 52 45 3a 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61 74 69 6f	.devices.GRE:.General.informatio
162c0	6e 20 61 62 6f 75 74 20 4c 33 56 50 4e 73 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74	n.about.L3VPNs.can.be.found.in.t
162e0	68 65 20 3a 72 65 66 3a 60 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 76 72 66 2f 69 6e 64 65 78	he.:ref:`configuration/vrf/index
16300	3a 4c 33 56 50 4e 20 56 52 46 73 60 20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e	:L3VPN.VRFs`.chapter..General.in
16320	66 6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72	formation.can.be.found.in.the.:r
16340	65 66 3a 60 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 76 72 66 2f 69 6e 64 65 78 3a 4c 33 56 50	ef:`configuration/vrf/index:L3VP
16360	4e 20 56 52 46 73 60 20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66 6f 72 6d 61	N.VRFs`.chapter..General.informa
16380	74 69 6f 6e 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 72	tion.can.be.found.in.the.:ref:`r
163a0	6f 75 74 69 6e 67 2d 62 67 70 60 20 63 68 61 70 74 65 72 2e 00 47 65 6e 65 72 61 6c 20 69 6e 66	outing-bgp`.chapter..General.inf
163c0	6f 72 6d 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65	ormation.can.be.found.in.the.:re
163e0	66 3a 60 72 6f 75 74 69 6e 67 2d 6f 73 70 66 60 20 63 68 61 70 74 65 72 2e 00 48 61 72 64 77 61	f:`routing-ospf`.chapter..Hardwa
16400	72 65 00 48 61 72 64 77 61 72 65 20 52 6f 75 74 65 72 20 2d 20 50 6f 72 74 20 38 20 6f 66 20 65	re.Hardware.Router.-.Port.8.of.e
16420	61 63 68 20 73 77 69 74 63 68 00 48 65 72 65 20 69 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66	ach.switch.Here.is.an.example.of
16440	20 61 6e 20 49 50 76 36 20 44 4d 5a 2d 57 41 4e 20 72 75 6c 65 73 65 74 2e 00 48 65 72 65 20 69	.an.IPv6.DMZ-WAN.ruleset..Here.i
16460	73 20 74 68 65 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20 73 68 6f 77 69 6e 67 20 74 68 65	s.the.routing.tables.showing.the
16480	20 4d 50 4c 53 20 73 65 67 6d 65 6e 74 20 72 6f 75 74 69 6e 67 20 6c 61 62 65 6c 20 6f 70 65 72	.MPLS.segment.routing.label.oper
164a0	61 74 69 6f 6e 73 3a 00 48 65 72 65 20 77 65 20 73 65 74 20 74 68 65 20 70 72 65 66 69 78 20 74	ations:.Here.we.set.the.prefix.t
164c0	6f 20 60 60 3a 3a 2f 36 34 60 60 20 74 6f 20 69 6e 64 69 63 61 74 65 20 61 64 76 65 72 74 69 73	o.``::/64``.to.indicate.advertis
164e0	69 6e 67 20 61 6e 79 20 2f 36 34 20 70 72 65 66 69 78 20 74 68 65 20 4c 41 4e 20 69 6e 74 65 72	ing.any./64.prefix.the.LAN.inter
16500	66 61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 2e 00 48 65 72 65 20 77 65 20 75 73 65 20 74 68	face.is.assigned..Here.we.use.th
16520	65 20 70 72 65 66 69 78 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 61 64 64 72 65 73	e.prefix.to.configure.the.addres
16540	73 20 6f 66 20 65 74 68 31 20 28 4c 41 4e 29 20 74 6f 20 66 6f 72 6d 20 60 60 3c 70 72 65 66 69	s.of.eth1.(LAN).to.form.``<prefi
16560	78 3e 3a 3a 36 34 60 60 2c 20 77 68 65 72 65 20 60 60 36 34 60 60 20 69 73 20 68 65 78 61 64 65	x>::64``,.where.``64``.is.hexade
16580	63 69 6d 61 6c 20 6f 66 20 61 64 64 72 65 73 73 20 31 30 30 2e 00 48 69 67 68 20 41 76 61 69 6c	cimal.of.address.100..High.Avail
165a0	61 62 69 6c 69 74 79 20 57 61 6c 6b 74 68 72 6f 75 67 68 00 48 6f 77 20 64 6f 65 73 20 69 74 20	ability.Walkthrough.How.does.it.
165c0	77 6f 72 6b 3f 00 48 75 62 00 49 20 63 68 6f 73 65 20 74 6f 20 72 75 6e 20 4f 53 50 46 20 61 73	work?.Hub.I.chose.to.run.OSPF.as
165e0	20 74 68 65 20 49 47 50 20 28 49 6e 74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f 74 6f	.the.IGP.(Interior.Gateway.Proto
16600	63 6f 6c 29 2e 20 41 6c 6c 20 72 65 71 75 69 72 65 64 20 42 47 50 20 73 65 73 73 69 6f 6e 73 20	col)..All.required.BGP.sessions.
16620	61 72 65 20 65 73 74 61 62 6c 69 73 68 65 64 20 76 69 61 20 61 20 64 75 6d 6d 79 20 69 6e 74 65	are.established.via.a.dummy.inte
16640	72 66 61 63 65 73 20 28 73 69 6d 69 6c 61 72 20 74 6f 20 74 68 65 20 6c 6f 6f 70 62 61 63 6b 2c	rfaces.(similar.to.the.loopback,
16660	20 62 75 74 20 69 6e 20 4c 69 6e 75 78 20 79 6f 75 20 63 61 6e 20 68 61 76 65 20 6f 6e 6c 79 20	.but.in.Linux.you.can.have.only.
16680	6f 6e 65 20 6c 6f 6f 70 62 61 63 6b 2c 20 77 68 69 6c 65 20 74 68 65 72 65 20 63 61 6e 20 62 65	one.loopback,.while.there.can.be
166a0	20 6d 61 6e 79 20 64 75 6d 6d 79 20 69 6e 74 65 72 66 61 63 65 73 29 20 6f 6e 20 74 68 65 20 50	.many.dummy.interfaces).on.the.P
166c0	45 20 72 6f 75 74 65 72 73 2e 20 49 6e 20 63 61 73 65 20 6f 66 20 61 20 6c 69 6e 6b 20 66 61 69	E.routers..In.case.of.a.link.fai
166e0	6c 75 72 65 2c 20 74 72 61 66 66 69 63 20 69 73 20 64 69 76 65 72 74 65 64 20 69 6e 20 74 68 65	lure,.traffic.is.diverted.in.the
16700	20 6f 74 68 65 72 20 64 69 72 65 63 74 69 6f 6e 20 69 6e 20 74 68 69 73 20 74 72 69 61 6e 67 6c	.other.direction.in.this.triangl
16720	65 20 73 65 74 75 70 20 61 6e 64 20 42 47 50 20 73 65 73 73 69 6f 6e 73 20 77 69 6c 6c 20 6e 6f	e.setup.and.BGP.sessions.will.no
16740	74 20 67 6f 20 64 6f 77 6e 2e 20 4f 6e 65 20 63 6f 75 6c 64 20 65 76 65 6e 20 65 6e 61 62 6c 65	t.go.down..One.could.even.enable
16760	20 42 46 44 20 28 42 69 64 69 72 65 63 74 69 6f 6e 61 6c 20 46 6f 72 77 61 72 64 69 6e 67 20 44	.BFD.(Bidirectional.Forwarding.D
16780	65 74 65 63 74 69 6f 6e 29 20 6f 6e 20 74 68 65 20 6c 69 6e 6b 73 20 66 6f 72 20 61 20 66 61 73	etection).on.the.links.for.a.fas
167a0	74 65 72 20 66 61 69 6c 6f 76 65 72 20 61 6e 64 20 72 65 73 69 6c 69 65 6e 63 65 20 69 6e 20 74	ter.failover.and.resilience.in.t
167c0	68 65 20 6e 65 74 77 6f 72 6b 2e 00 49 20 63 72 65 61 74 65 2f 63 6f 6e 66 69 67 75 72 65 20 74	he.network..I.create/configure.t
167e0	68 65 20 69 6e 74 65 72 66 61 63 65 73 20 66 69 72 73 74 2e 20 42 75 69 6c 64 20 6f 75 74 20 74	he.interfaces.first..Build.out.t
16800	68 65 20 72 75 6c 65 73 65 74 73 20 66 6f 72 20 65 61 63 68 20 7a 6f 6e 65 2d 70 61 69 72 2d 64	he.rulesets.for.each.zone-pair-d
16820	69 72 65 63 74 69 6f 6e 20 77 68 69 63 68 20 69 6e 63 6c 75 64 65 73 20 61 74 20 6c 65 61 73 74	irection.which.includes.at.least
16840	20 74 68 65 20 74 68 72 65 65 20 73 74 61 74 65 20 72 75 6c 65 73 2e 20 54 68 65 6e 20 49 20 73	.the.three.state.rules..Then.I.s
16860	65 74 75 70 20 74 68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63 69 65 73 2e 00 49 20 6e 61 6d 65 20 72	etup.the.zone-policies..I.name.r
16880	75 6c 65 20 73 65 74 73 20 74 6f 20 69 6e 64 69 63 61 74 65 20 77 68 69 63 68 20 7a 6f 6e 65 2d	ule.sets.to.indicate.which.zone-
168a0	70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 20 74 68 65 79 20 72 65 70 72 65 73 65 6e 74 2e 20 65	pair-direction.they.represent..e
168c0	67 2e 20 5a 6f 6e 65 41 2d 5a 6f 6e 65 42 20 6f 72 20 5a 6f 6e 65 42 2d 5a 6f 6e 65 41 2e 20 4c	g..ZoneA-ZoneB.or.ZoneB-ZoneA..L
168e0	41 4e 2d 44 4d 5a 2c 20 44 4d 5a 2d 4c 41 4e 2e 00 49 20 6e 61 6d 65 64 20 74 68 65 20 63 75 73	AN-DMZ,.DMZ-LAN..I.named.the.cus
16900	74 6f 6d 65 72 73 20 62 6c 75 65 2c 20 72 65 64 20 61 6e 64 20 67 72 65 65 6e 20 77 68 69 63 68	tomers.blue,.red.and.green.which
16920	20 69 73 20 63 6f 6d 6d 6f 6e 20 70 72 61 63 74 69 63 65 20 69 6e 20 56 52 46 20 28 56 69 72 74	.is.common.practice.in.VRF.(Virt
16940	75 61 6c 20 52 6f 75 74 69 6e 67 20 61 6e 64 20 46 6f 72 77 61 72 64 69 6e 67 29 20 64 6f 63 75	ual.Routing.and.Forwarding).docu
16960	6d 65 6e 74 61 74 69 6f 6e 20 73 63 65 6e 61 72 69 6f 73 2e 00 49 20 73 70 75 6e 20 75 70 20 61	mentation.scenarios..I.spun.up.a
16980	20 6e 65 77 20 6c 61 62 20 69 6e 20 45 56 45 2d 4e 47 2c 20 77 68 69 63 68 20 72 65 70 72 65 73	.new.lab.in.EVE-NG,.which.repres
169a0	65 6e 74 73 20 74 68 69 73 20 61 73 20 74 68 65 20 22 46 6f 6f 20 42 61 72 20 2d 20 53 65 72 76	ents.this.as.the."Foo.Bar.-.Serv
169c0	69 63 65 20 50 72 6f 76 69 64 65 72 20 49 6e 63 2e 22 20 74 68 61 74 20 68 61 73 20 33 20 70 6f	ice.Provider.Inc.".that.has.3.po
169e0	69 6e 74 73 20 6f 66 20 70 72 65 73 65 6e 63 65 20 28 50 6f 50 29 20 69 6e 20 72 61 6e 64 6f 6d	ints.of.presence.(PoP).in.random
16a00	20 64 61 74 61 63 65 6e 74 65 72 73 2f 73 69 74 65 73 20 6e 61 6d 65 64 20 50 45 31 2c 20 50 45	.datacenters/sites.named.PE1,.PE
16a20	32 2c 20 61 6e 64 20 50 45 33 2e 20 45 61 63 68 20 50 6f 50 20 61 67 67 72 65 67 61 74 65 73 20	2,.and.PE3..Each.PoP.aggregates.
16a40	61 74 20 6c 65 61 73 74 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 73 2e 00 49 50 20 53 63 68 65 6d	at.least.two.customers..IP.Schem
16a60	61 00 49 50 2f 4d 50 4c 53 20 74 65 63 68 6e 6f 6c 6f 67 79 20 69 73 20 77 69 64 65 6c 79 20 75	a.IP/MPLS.technology.is.widely.u
16a80	73 65 64 20 62 79 20 76 61 72 69 6f 75 73 20 73 65 72 76 69 63 65 20 70 72 6f 76 69 64 65 72 73	sed.by.various.service.providers
16aa0	20 61 6e 64 20 6c 61 72 67 65 20 65 6e 74 65 72 70 72 69 73 65 73 20 69 6e 20 6f 72 64 65 72 20	.and.large.enterprises.in.order.
16ac0	74 6f 20 61 63 68 69 65 76 65 20 62 65 74 74 65 72 20 6e 65 74 77 6f 72 6b 20 73 63 61 6c 61 62	to.achieve.better.network.scalab
16ae0	69 6c 69 74 79 2c 20 6d 61 6e 61 67 65 61 62 69 6c 69 74 79 20 61 6e 64 20 66 6c 65 78 69 62 69	ility,.manageability.and.flexibi
16b00	6c 69 74 79 2e 20 49 74 20 61 6c 73 6f 20 70 72 6f 76 69 64 65 73 20 74 68 65 20 70 6f 73 73 69	lity..It.also.provides.the.possi
16b20	62 69 6c 69 74 79 20 74 6f 20 64 65 6c 69 76 65 72 20 64 69 66 66 65 72 65 6e 74 20 73 65 72 76	bility.to.deliver.different.serv
16b40	69 63 65 73 20 66 6f 72 20 74 68 65 20 63 75 73 74 6f 6d 65 72 73 20 69 6e 20 61 20 73 65 61 6d	ices.for.the.customers.in.a.seam
16b60	6c 65 73 73 20 6d 61 6e 6e 65 72 2e 20 4c 61 79 65 72 20 33 20 56 50 4e 20 28 4c 33 56 50 4e 29	less.manner..Layer.3.VPN.(L3VPN)
16b80	20 69 73 20 61 20 74 79 70 65 20 6f 66 20 56 50 4e 20 6d 6f 64 65 20 74 68 61 74 20 69 73 20 62	.is.a.type.of.VPN.mode.that.is.b
16ba0	75 69 6c 74 20 61 6e 64 20 64 65 6c 69 76 65 72 65 64 20 74 68 72 6f 75 67 68 20 4f 53 49 20 6c	uilt.and.delivered.through.OSI.l
16bc0	61 79 65 72 20 33 20 6e 65 74 77 6f 72 6b 69 6e 67 20 74 65 63 68 6e 6f 6c 6f 67 69 65 73 2e 20	ayer.3.networking.technologies..
16be0	4f 66 74 65 6e 20 74 68 65 20 62 6f 72 64 65 72 20 67 61 74 65 77 61 79 20 70 72 6f 74 6f 63 6f	Often.the.border.gateway.protoco
16c00	6c 20 28 42 47 50 29 20 69 73 20 75 73 65 64 20 74 6f 20 73 65 6e 64 20 61 6e 64 20 72 65 63 65	l.(BGP).is.used.to.send.and.rece
16c20	69 76 65 20 56 50 4e 2d 72 65 6c 61 74 65 64 20 64 61 74 61 20 74 68 61 74 20 69 73 20 72 65 73	ive.VPN-related.data.that.is.res
16c40	70 6f 6e 73 69 62 6c 65 20 66 6f 72 20 74 68 65 20 63 6f 6e 74 72 6f 6c 20 70 6c 61 6e 65 2e 20	ponsible.for.the.control.plane..
16c60	4c 33 56 50 4e 20 75 74 69 6c 69 7a 65 73 20 76 69 72 74 75 61 6c 20 72 6f 75 74 69 6e 67 20 61	L3VPN.utilizes.virtual.routing.a
16c80	6e 64 20 66 6f 72 77 61 72 64 69 6e 67 20 28 56 52 46 29 20 74 65 63 68 6e 69 71 75 65 73 20 74	nd.forwarding.(VRF).techniques.t
16ca0	6f 20 72 65 63 65 69 76 65 20 61 6e 64 20 64 65 6c 69 76 65 72 20 75 73 65 72 20 64 61 74 61 20	o.receive.and.deliver.user.data.
16cc0	61 73 20 77 65 6c 6c 20 61 73 20 73 65 70 61 72 61 74 65 20 64 61 74 61 20 70 6c 61 6e 65 73 20	as.well.as.separate.data.planes.
16ce0	6f 66 20 74 68 65 20 65 6e 64 2d 75 73 65 72 73 2e 20 49 74 20 69 73 20 62 75 69 6c 74 20 75 73	of.the.end-users..It.is.built.us
16d00	69 6e 67 20 61 20 63 6f 6d 62 69 6e 61 74 69 6f 6e 20 6f 66 20 49 50 2d 20 61 6e 64 20 4d 50 4c	ing.a.combination.of.IP-.and.MPL
16d20	53 2d 62 61 73 65 64 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 47 65 6e 65 72 61 6c 6c 79 2c 20	S-based.information..Generally,.
16d40	4c 33 56 50 4e 73 20 61 72 65 20 75 73 65 64 20 74 6f 20 73 65 6e 64 20 64 61 74 61 20 6f 6e 20	L3VPNs.are.used.to.send.data.on.
16d60	62 61 63 6b 2d 65 6e 64 20 56 50 4e 20 69 6e 66 72 61 73 74 72 75 63 74 75 72 65 73 2c 20 73 75	back-end.VPN.infrastructures,.su
16d80	63 68 20 61 73 20 66 6f 72 20 56 50 4e 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 62 65 74 77 65 65	ch.as.for.VPN.connections.betwee
16da0	6e 20 64 61 74 61 20 63 65 6e 74 72 65 73 2c 20 48 51 73 20 61 6e 64 20 62 72 61 6e 63 68 65 73	n.data.centres,.HQs.and.branches
16dc0	2e 00 49 50 53 65 63 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 50 73 65 63 3a 00 49 50	..IPSec.configuration:.IPsec:.IP
16de0	76 34 20 4e 65 74 77 6f 72 6b 00 49 50 76 36 20 4e 65 74 77 6f 72 6b 00 49 50 76 36 20 54 75 6e	v4.Network.IPv6.Network.IPv6.Tun
16e00	6e 65 6c 00 49 53 49 53 2d 53 52 20 65 78 61 6d 70 6c 65 20 6e 65 74 77 6f 72 6b 00 49 53 49 53	nel.ISIS-SR.example.network.ISIS
16e20	2d 53 52 20 6e 65 74 77 6f 72 6b 00 49 53 50 00 49 66 20 74 68 65 20 63 6c 69 65 6e 74 20 69 73	-SR.network.ISP.If.the.client.is
16e40	20 63 6f 6e 6e 65 63 74 20 73 75 63 63 65 73 73 66 75 6c 6c 79 20 79 6f 75 20 63 61 6e 20 63 68	.connect.successfully.you.can.ch
16e60	65 63 6b 20 74 68 65 20 6f 75 74 70 75 74 20 77 69 74 68 00 49 66 20 77 65 20 6e 65 65 64 20 74	eck.the.output.with.If.we.need.t
16e80	6f 20 72 65 74 72 69 65 76 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 61 20 73	o.retrieve.information.about.a.s
16ea0	70 65 63 69 66 69 63 20 68 6f 73 74 2f 6e 65 74 77 6f 72 6b 20 69 6e 73 69 64 65 20 74 68 65 20	pecific.host/network.inside.the.
16ec0	45 56 50 4e 20 6e 65 74 77 6f 72 6b 20 77 65 20 6e 65 65 64 20 74 6f 20 72 75 6e 00 49 66 20 79	EVPN.network.we.need.to.run.If.y
16ee0	6f 75 20 61 72 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 74 68 72 6f 75 67 68 20 74 68 69 73 20 64 6f	ou.are.following.through.this.do
16f00	63 75 6d 65 6e 74 2c 20 69 74 20 69 73 20 73 74 72 6f 6e 67 6c 79 20 73 75 67 67 65 73 74 65 64	cument,.it.is.strongly.suggested
16f20	20 79 6f 75 20 63 6f 6d 70 6c 65 74 65 20 74 68 65 20 65 6e 74 69 72 65 20 64 6f 63 75 6d 65 6e	.you.complete.the.entire.documen
16f40	74 2c 20 4f 4e 4c 59 20 64 6f 69 6e 67 20 74 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72	t,.ONLY.doing.the.virtual.router
16f60	31 20 73 74 65 70 73 2c 20 61 6e 64 20 74 68 65 6e 20 63 6f 6d 65 20 62 61 63 6b 20 61 6e 64 20	1.steps,.and.then.come.back.and.
16f80	77 61 6c 6b 20 74 68 72 6f 75 67 68 20 69 74 20 41 47 41 49 4e 20 6f 6e 20 74 68 65 20 62 61 63	walk.through.it.AGAIN.on.the.bac
16fa0	6b 75 70 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 49 66 20 79 6f 75 20 61 72 65 20	kup.hardware.router..If.you.are.
16fc0	75 73 69 6e 67 20 61 20 49 50 76 36 20 74 75 6e 6e 65 6c 20 66 72 6f 6d 20 48 45 2e 6e 65 74 20	using.a.IPv6.tunnel.from.HE.net.
16fe0	6f 72 20 73 6f 6d 65 6f 6e 65 20 65 6c 73 65 2c 20 74 68 65 20 62 61 73 69 73 20 69 73 20 74 68	or.someone.else,.the.basis.is.th
17000	65 20 73 61 6d 65 20 65 78 63 65 70 74 20 79 6f 75 20 68 61 76 65 20 74 77 6f 20 57 41 4e 20 69	e.same.except.you.have.two.WAN.i
17020	6e 74 65 72 66 61 63 65 73 2e 20 4f 6e 65 20 66 6f 72 20 76 34 20 61 6e 64 20 6f 6e 65 20 66 6f	nterfaces..One.for.v4.and.one.fo
17040	72 20 76 36 2e 00 49 66 20 79 6f 75 20 75 73 65 20 61 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f	r.v6..If.you.use.a.routing.proto
17060	63 6f 6c 20 69 74 73 65 6c 66 2c 20 79 6f 75 20 73 6f 6c 76 65 20 74 77 6f 20 70 72 6f 62 6c 65	col.itself,.you.solve.two.proble
17080	6d 73 20 61 74 20 6f 6e 63 65 2e 20 54 68 69 73 20 69 73 20 6f 6e 6c 79 20 61 20 62 61 73 69 63	ms.at.once..This.is.only.a.basic
170a0	20 65 78 61 6d 70 6c 65 2c 20 61 6e 64 20 69 73 20 70 72 6f 76 69 64 65 64 20 61 73 20 61 20 73	.example,.and.is.provided.as.a.s
170c0	74 61 72 74 69 6e 67 20 70 6f 69 6e 74 2e 00 49 66 20 79 6f 75 72 20 63 6f 6d 70 75 74 65 72 20	tarting.point..If.your.computer.
170e0	69 73 20 6f 6e 20 74 68 65 20 4c 41 4e 20 61 6e 64 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 53 53	is.on.the.LAN.and.you.need.to.SS
17100	48 20 69 6e 74 6f 20 79 6f 75 72 20 56 79 4f 53 20 62 6f 78 2c 20 79 6f 75 20 77 6f 75 6c 64 20	H.into.your.VyOS.box,.you.would.
17120	6e 65 65 64 20 61 20 72 75 6c 65 20 74 6f 20 61 6c 6c 6f 77 20 69 74 20 69 6e 20 74 68 65 20 4c	need.a.rule.to.allow.it.in.the.L
17140	41 4e 2d 4c 6f 63 61 6c 20 72 75 6c 65 73 65 74 2e 20 49 66 20 79 6f 75 20 77 61 6e 74 20 74 6f	AN-Local.ruleset..If.you.want.to
17160	20 61 63 63 65 73 73 20 61 20 77 65 62 70 61 67 65 20 66 72 6f 6d 20 79 6f 75 72 20 56 79 4f 53	.access.a.webpage.from.your.VyOS
17180	20 62 6f 78 2c 20 79 6f 75 20 6e 65 65 64 20 61 20 72 75 6c 65 20 74 6f 20 61 6c 6c 6f 77 20 69	.box,.you.need.a.rule.to.allow.i
171a0	74 20 69 6e 20 74 68 65 20 4c 6f 63 61 6c 2d 4c 41 4e 20 72 75 6c 65 73 65 74 2e 00 49 6d 61 67	t.in.the.Local-LAN.ruleset..Imag
171c0	65 20 6e 61 6d 65 3a 20 76 79 6f 73 2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33	e.name:.vyos-1.4-rolling-2021103
171e0	31 30 33 31 37 2d 61 6d 64 36 34 2e 69 73 6f 00 49 6e 20 3a 76 79 74 61 73 6b 3a 60 54 32 31 39	10317-amd64.iso.In.:vytask:`T219
17200	39 60 20 74 68 65 20 73 79 6e 74 61 78 20 6f 66 20 74 68 65 20 7a 6f 6e 65 20 63 6f 6e 66 69 67	9`.the.syntax.of.the.zone.config
17220	75 72 61 74 69 6f 6e 20 77 61 73 20 63 68 61 6e 67 65 64 2e 20 54 68 65 20 7a 6f 6e 65 20 63 6f	uration.was.changed..The.zone.co
17240	6e 66 69 67 75 72 61 74 69 6f 6e 20 6d 6f 76 65 64 20 66 72 6f 6d 20 60 60 7a 6f 6e 65 2d 70 6f	nfiguration.moved.from.``zone-po
17260	6c 69 63 79 20 7a 6f 6e 65 20 3c 6e 61 6d 65 3e 60 60 20 74 6f 20 60 60 66 69 72 65 77 61 6c 6c	licy.zone.<name>``.to.``firewall
17280	20 7a 6f 6e 65 20 3c 6e 61 6d 65 3e 60 60 2e 00 49 6e 20 56 79 4f 53 20 79 6f 75 20 6d 75 73 74	.zone.<name>``..In.VyOS.you.must
172a0	20 68 61 76 65 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 63 72 65 61 74 65 64 20 62 65 66	.have.the.interfaces.created.bef
172c0	6f 72 65 20 79 6f 75 20 63 61 6e 20 61 70 70 6c 79 20 69 74 20 74 6f 20 74 68 65 20 7a 6f 6e 65	ore.you.can.apply.it.to.the.zone
172e0	20 61 6e 64 20 74 68 65 20 72 75 6c 65 73 65 74 73 20 6d 75 73 74 20 62 65 20 63 72 65 61 74 65	.and.the.rulesets.must.be.create
17300	64 20 70 72 69 6f 72 20 74 6f 20 61 70 70 6c 79 69 6e 67 20 69 74 20 74 6f 20 61 20 7a 6f 6e 65	d.prior.to.applying.it.to.a.zone
17320	2d 70 6f 6c 69 63 79 2e 00 49 6e 20 56 79 4f 53 2c 20 79 6f 75 20 68 61 76 65 20 74 6f 20 68 61	-policy..In.VyOS,.you.have.to.ha
17340	76 65 20 75 6e 69 71 75 65 20 52 75 6c 65 73 65 74 20 6e 61 6d 65 73 2e 20 49 6e 20 74 68 65 20	ve.unique.Ruleset.names..In.the.
17360	65 76 65 6e 74 20 6f 66 20 6f 76 65 72 6c 61 70 2c 20 49 20 61 64 64 20 61 20 22 2d 36 22 20 74	event.of.overlap,.I.add.a."-6".t
17380	6f 20 74 68 65 20 65 6e 64 20 6f 66 20 76 36 20 72 75 6c 65 73 65 74 73 2e 20 65 67 2e 20 4c 41	o.the.end.of.v6.rulesets..eg..LA
173a0	4e 2d 44 4d 5a 2c 20 4c 41 4e 2d 44 4d 5a 2d 36 2e 20 54 68 69 73 20 61 6c 6c 6f 77 73 20 66 6f	N-DMZ,.LAN-DMZ-6..This.allows.fo
173c0	72 20 65 61 63 68 20 61 75 74 6f 2d 63 6f 6d 70 6c 65 74 69 6f 6e 20 61 6e 64 20 75 6e 69 71 75	r.each.auto-completion.and.uniqu
173e0	65 6e 65 73 73 2e 00 49 6e 20 72 75 6c 65 73 2c 20 69 74 20 69 73 20 67 6f 6f 64 20 74 6f 20 6b	eness..In.rules,.it.is.good.to.k
17400	65 65 70 20 74 68 65 6d 20 6e 61 6d 65 64 20 63 6f 6e 73 69 73 74 65 6e 74 6c 79 2e 20 41 73 20	eep.them.named.consistently..As.
17420	74 68 65 20 6e 75 6d 62 65 72 20 6f 66 20 72 75 6c 65 73 20 79 6f 75 20 68 61 76 65 20 67 72 6f	the.number.of.rules.you.have.gro
17440	77 73 2c 20 74 68 65 20 6d 6f 72 65 20 63 6f 6e 73 69 73 74 65 6e 63 79 20 79 6f 75 20 68 61 76	ws,.the.more.consistency.you.hav
17460	65 2c 20 74 68 65 20 65 61 73 69 65 72 20 79 6f 75 72 20 6c 69 66 65 20 77 69 6c 6c 20 62 65 2e	e,.the.easier.your.life.will.be.
17480	00 49 6e 20 74 68 65 20 61 62 6f 76 65 20 65 78 61 6d 70 6c 65 73 2c 20 31 2c 32 2c 66 66 66 66	.In.the.above.examples,.1,2,ffff
174a0	20 61 72 65 20 61 6c 6c 20 63 68 6f 73 65 6e 20 62 79 20 79 6f 75 2e 20 59 6f 75 20 63 61 6e 20	.are.all.chosen.by.you..You.can.
174c0	75 73 65 20 31 2d 66 66 66 66 20 28 31 2d 36 35 35 33 35 29 2e 00 49 6e 20 74 68 65 20 65 6e 64	use.1-ffff.(1-65535)..In.the.end
174e0	2c 20 6f 6e 20 74 68 65 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 77 65 20 77	,.on.the.router....VyOS2....we.w
17500	69 6c 6c 20 73 65 74 20 6f 75 74 67 6f 69 6e 67 20 62 61 6e 64 77 69 64 74 68 20 6c 69 6d 69 74	ill.set.outgoing.bandwidth.limit
17520	73 20 62 65 74 77 65 65 6e 20 74 68 65 20 e2 80 9c 56 79 4f 53 33 e2 80 9d 20 61 6e 64 20 e2 80	s.between.the....VyOS3....and...
17540	9c 56 79 4f 53 31 e2 80 9d 20 72 6f 75 74 65 72 73 2e 20 4c 65 74 27 73 20 73 65 74 20 61 20 6c	.VyOS1....routers..Let's.set.a.l
17560	69 6d 69 74 20 66 6f 72 20 49 50 20 31 30 2e 31 2e 31 2e 31 30 30 20 3d 20 35 20 4d 62 70 73 28	imit.for.IP.10.1.1.100.=.5.Mbps(
17580	54 78 29 2e 20 57 65 20 77 69 6c 6c 20 63 68 65 63 6b 20 74 68 65 20 72 65 73 75 6c 74 20 6f 66	Tx)..We.will.check.the.result.of
175a0	20 74 68 65 20 77 6f 72 6b 20 77 69 74 68 20 74 68 65 20 68 65 6c 70 20 6f 66 20 74 68 65 20 e2	.the.work.with.the.help.of.the..
175c0	80 9c 69 50 65 72 66 e2 80 9d 20 75 74 69 6c 69 74 79 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c 20	..iPerf....utility..In.the.end,.
175e0	77 65 20 77 69 6c 6c 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 74 72 61 66 66 69 63 20 73 68	we.will.configure.the.traffic.sh
17600	61 70 65 72 20 75 73 69 6e 67 20 51 6f 53 20 6d 65 63 68 61 6e 69 73 6d 73 20 6f 6e 20 74 68 65	aper.using.QoS.mechanisms.on.the
17620	20 e2 80 9c 56 59 4f 53 32 e2 80 9d 20 72 6f 75 74 65 72 2e 00 49 6e 20 74 68 65 20 65 6e 64 2c	....VYOS2....router..In.the.end,
17640	20 79 6f 75 20 77 69 6c 6c 20 65 6e 64 20 75 70 20 77 69 74 68 20 73 6f 6d 65 74 68 69 6e 67 20	.you.will.end.up.with.something.
17660	6c 69 6b 65 20 74 68 69 73 20 63 6f 6e 66 69 67 2e 20 49 20 74 6f 6f 6b 20 6f 75 74 20 65 76 65	like.this.config..I.took.out.eve
17680	72 79 74 68 69 6e 67 20 62 75 74 20 74 68 65 20 46 69 72 65 77 61 6c 6c 2c 20 49 6e 74 65 72 66	rything.but.the.Firewall,.Interf
176a0	61 63 65 73 2c 20 61 6e 64 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 73 65 63 74 69 6f 6e 73 2e 20	aces,.and.zone-policy.sections..
176c0	49 74 20 69 73 20 6c 6f 6e 67 20 65 6e 6f 75 67 68 20 61 73 20 69 73 2e 00 49 6e 20 74 68 65 20	It.is.long.enough.as.is..In.the.
176e0	65 6e 64 2c 20 79 6f 75 27 6c 6c 20 67 65 74 20 61 20 70 6f 77 65 72 66 75 6c 20 69 6e 73 74 72	end,.you'll.get.a.powerful.instr
17700	75 6d 65 6e 74 20 66 6f 72 20 6d 6f 6e 69 74 6f 72 69 6e 67 20 74 68 65 20 56 79 4f 53 20 73 79	ument.for.monitoring.the.VyOS.sy
17720	73 74 65 6d 73 2e 00 49 6e 20 74 68 65 20 6e 65 78 74 20 63 68 61 70 74 65 72 20 6f 66 20 74 68	stems..In.the.next.chapter.of.th
17740	65 20 65 78 61 6d 70 6c 65 2c 20 77 65 27 6c 6c 20 75 73 65 20 74 68 65 20 41 6e 73 69 62 6c 65	e.example,.we'll.use.the.Ansible
17760	20 77 69 74 68 20 6a 69 6e 6a 61 32 20 74 65 6d 70 6c 61 74 65 73 20 61 6e 64 20 76 61 72 69 61	.with.jinja2.templates.and.varia
17780	62 6c 65 73 2e 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 74 68 65 20 68 61 72 64 77 61 72 65	bles..In.this.case,.the.hardware
177a0	20 72 6f 75 74 65 72 20 68 61 73 20 61 20 64 69 66 66 65 72 65 6e 74 20 49 50 2c 20 73 6f 20 69	.router.has.a.different.IP,.so.i
177c0	74 20 77 6f 75 6c 64 20 62 65 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 77 65 20 61 72 65 20	t.would.be.In.this.case,.we.are.
177e0	73 65 74 74 69 6e 67 20 74 68 65 20 76 36 20 72 75 6c 65 73 65 74 20 74 68 61 74 20 72 65 70 72	setting.the.v6.ruleset.that.repr
17800	65 73 65 6e 74 73 20 74 72 61 66 66 69 63 20 73 6f 75 72 63 65 64 20 66 72 6f 6d 20 74 68 65 20	esents.traffic.sourced.from.the.
17820	4c 41 4e 2c 20 64 65 73 74 69 6e 65 64 20 66 6f 72 20 74 68 65 20 44 4d 5a 2e 20 42 65 63 61 75	LAN,.destined.for.the.DMZ..Becau
17840	73 65 20 74 68 65 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 66 69 72 65 77 61 6c 6c 20 73 79 6e 74	se.the.zone-policy.firewall.synt
17860	61 78 20 69 73 20 61 20 6c 69 74 74 6c 65 20 61 77 6b 77 61 72 64 2c 20 49 20 6b 65 65 70 20 69	ax.is.a.little.awkward,.I.keep.i
17880	74 20 73 74 72 61 69 67 68 74 20 62 79 20 74 68 69 6e 6b 69 6e 67 20 6f 66 20 69 74 20 62 61 63	t.straight.by.thinking.of.it.bac
178a0	6b 77 61 72 64 73 2e 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 77 65 27 6c 6c 20 74 72 79 20	kwards..In.this.case,.we'll.try.
178c0	74 6f 20 6d 61 6b 65 20 61 20 73 69 6d 70 6c 65 20 6c 61 62 20 75 73 69 6e 67 20 51 6f 53 20 61	to.make.a.simple.lab.using.QoS.a
178e0	6e 64 20 74 68 65 20 67 65 6e 65 72 61 6c 20 61 62 69 6c 69 74 79 20 6f 66 20 74 68 65 20 56 79	nd.the.general.ability.of.the.Vy
17900	4f 53 20 73 79 73 74 65 6d 2e 20 57 65 20 72 65 63 6f 6d 6d 65 6e 64 20 79 6f 75 20 74 6f 20 67	OS.system..We.recommend.you.to.g
17920	6f 20 74 68 72 6f 75 67 68 20 74 68 65 20 6d 61 69 6e 20 61 72 74 69 63 6c 65 20 61 62 6f 75 74	o.through.the.main.article.about
17940	20 60 51 6f 53 20 3c 68 74 74 70 73 3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c	.`QoS.<https://docs.vyos.io/en/l
17960	61 74 65 73 74 2f 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2f 74 72 61 66 66 69 63 70 6f 6c 69 63	atest/configuration/trafficpolic
17980	79 2f 69 6e 64 65 78 2e 68 74 6d 6c 3e 60 5f 20 66 69 72 73 74 2e 00 49 6e 20 74 68 69 73 20 64	y/index.html>`_.first..In.this.d
179a0	6f 63 75 6d 65 6e 74 2c 20 77 65 20 68 61 76 65 20 62 65 65 6e 20 61 6c 6c 6f 63 61 74 65 64 20	ocument,.we.have.been.allocated.
179c0	32 30 33 2e 30 2e 31 31 33 2e 30 2f 32 34 20 62 79 20 6f 75 72 20 75 70 73 74 72 65 61 6d 20 70	203.0.113.0/24.by.our.upstream.p
179e0	72 6f 76 69 64 65 72 2c 20 77 68 69 63 68 20 77 65 20 61 72 65 20 70 75 62 6c 69 73 68 69 6e 67	rovider,.which.we.are.publishing
17a00	20 6f 6e 20 56 4c 41 4e 31 30 30 2e 00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 4f 70 65	.on.VLAN100..In.this.example.Ope
17a20	6e 56 50 4e 20 77 69 6c 6c 20 62 65 20 73 65 74 75 70 20 77 69 74 68 20 61 20 63 6c 69 65 6e 74	nVPN.will.be.setup.with.a.client
17a40	20 63 65 72 74 69 66 69 63 61 74 65 20 61 6e 64 20 75 73 65 72 6e 61 6d 65 20 2f 20 70 61 73 73	.certificate.and.username./.pass
17a60	77 6f 72 64 20 61 75 74 68 65 6e 74 69 63 61 74 69 6f 6e 2e 00 49 6e 20 74 68 69 73 20 65 78 61	word.authentication..In.this.exa
17a80	6d 70 6c 65 20 74 77 6f 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 73 20 65 78 69 73 74 20 69 6e	mple.two.LAN.interfaces.exist.in
17aa0	20 64 69 66 66 65 72 65 6e 74 20 73 75 62 6e 65 74 73 20 69 6e 73 74 65 61 64 20 6f 66 20 6f 6e	.different.subnets.instead.of.on
17ac0	65 20 6c 69 6b 65 20 69 6e 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 73 3a	e.like.in.the.previous.examples:
17ae0	00 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 77 65 20 68 61 76 65 20 34 20 7a 6f 6e 65 73	.In.this.example.we.have.4.zones
17b00	2e 20 4c 41 4e 2c 20 57 41 4e 2c 20 44 4d 5a 2c 20 4c 6f 63 61 6c 2e 20 54 68 65 20 6c 6f 63 61	..LAN,.WAN,.DMZ,.Local..The.loca
17b20	6c 20 7a 6f 6e 65 20 69 73 20 74 68 65 20 66 69 72 65 77 61 6c 6c 20 69 74 73 65 6c 66 2e 00 49	l.zone.is.the.firewall.itself..I
17b40	6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 2c 20 65 74 68 30 20 69 73 20 74 68 65 20 70 72 69 6d	n.this.example,.eth0.is.the.prim
17b60	61 72 79 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 65 74 68 31 20 69 73 20 74 68 65 20 73 65	ary.interface.and.eth1.is.the.se
17b80	63 6f 6e 64 61 72 79 20 69 6e 74 65 72 66 61 63 65 2e 20 54 6f 20 70 72 6f 76 69 64 65 20 73 69	condary.interface..To.provide.si
17ba0	6d 70 6c 65 20 66 61 69 6c 6f 76 65 72 20 66 75 6e 63 74 69 6f 6e 61 6c 69 74 79 2e 20 49 66 20	mple.failover.functionality..If.
17bc0	65 74 68 30 20 66 61 69 6c 73 2c 20 65 74 68 31 20 74 61 6b 65 73 20 6f 76 65 72 2e 00 49 6e 20	eth0.fails,.eth1.takes.over..In.
17be0	74 68 69 73 20 65 78 61 6d 70 6c 65 2c 20 77 65 20 77 69 6c 6c 20 73 65 74 20 75 70 20 61 20 73	this.example,.we.will.set.up.a.s
17c00	69 6d 70 6c 65 20 75 73 65 20 6f 66 20 41 6e 73 69 62 6c 65 20 74 6f 20 63 6f 6e 66 69 67 75 72	imple.use.of.Ansible.to.configur
17c20	65 20 6d 75 6c 74 69 70 6c 65 20 56 79 6f 53 20 72 6f 75 74 65 72 73 2e 20 57 65 20 68 61 76 65	e.multiple.VyoS.routers..We.have
17c40	20 66 6f 75 72 20 70 72 65 2d 63 6f 6e 66 69 67 75 72 65 64 20 72 6f 75 74 65 72 73 20 77 69 74	.four.pre-configured.routers.wit
17c60	68 20 74 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 49 6e 62 6f 75 6e 64 20 57 41	h.this.configuration:.Inbound.WA
17c80	4e 20 63 6f 6e 6e 65 63 74 20 74 6f 20 44 4d 5a 20 68 6f 73 74 2e 00 49 6e 66 6f 72 6d 61 74 69	N.connect.to.DMZ.host..Informati
17ca0	6f 6e 20 61 62 6f 75 74 20 45 74 68 65 72 6e 65 74 20 56 69 72 74 75 61 6c 20 50 72 69 76 61 74	on.about.Ethernet.Virtual.Privat
17cc0	65 20 4e 65 74 77 6f 72 6b 73 00 49 6e 66 6f 72 6d 61 74 69 6f 6e 20 61 62 6f 75 74 20 70 72 65	e.Networks.Information.about.pre
17ce0	66 69 78 2d 73 69 64 20 61 6e 64 20 6c 61 62 65 6c 2d 6f 70 65 72 61 74 69 6f 6e 20 66 72 6f 6d	fix-sid.and.label-operation.from
17d00	20 56 79 4f 53 00 49 6e 73 74 61 6c 6c 20 74 68 65 20 41 6e 73 69 62 6c 65 3a 00 49 6e 73 74 61	.VyOS.Install.the.Ansible:.Insta
17d20	6c 6c 20 74 68 65 20 70 61 72 61 6d 69 6b 6f 3a 00 49 6e 74 65 72 2d 56 52 46 20 52 6f 75 74 69	ll.the.paramiko:.Inter-VRF.Routi
17d40	6e 67 20 6f 76 65 72 20 56 52 46 20 4c 69 74 65 00 49 6e 74 65 72 2d 56 52 46 20 72 6f 75 74 69	ng.over.VRF.Lite.Inter-VRF.routi
17d60	6e 67 20 69 73 20 61 20 77 65 6c 6c 2d 6b 6e 6f 77 6e 20 73 6f 6c 75 74 69 6f 6e 20 74 6f 20 61	ng.is.a.well-known.solution.to.a
17d80	64 64 72 65 73 73 20 63 6f 6d 70 6c 65 78 20 72 6f 75 74 69 6e 67 20 73 63 65 6e 61 72 69 6f 73	ddress.complex.routing.scenarios
17da0	20 74 68 61 74 20 65 6e 61 62 6c 65 20 2d 69 6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61 79 2d 20	.that.enable.-in.a.dynamic.way-.
17dc0	74 6f 20 6c 65 61 6b 20 72 6f 75 74 65 73 20 62 65 74 77 65 65 6e 20 56 52 46 73 2e 20 49 73 20	to.leak.routes.between.VRFs..Is.
17de0	72 65 63 6f 6d 6d 65 6e 64 65 64 20 74 6f 20 74 61 6b 65 20 73 70 65 63 69 61 6c 20 63 6f 6e 73	recommended.to.take.special.cons
17e00	69 64 65 72 61 74 69 6f 6e 20 77 68 69 6c 65 20 64 65 73 69 67 6e 69 6e 67 20 72 6f 75 74 65 2d	ideration.while.designing.route-
17e20	74 61 72 67 65 74 73 20 61 6e 64 20 69 74 73 20 61 70 70 6c 69 63 61 74 69 6f 6e 20 61 73 20 69	targets.and.its.application.as.i
17e40	74 20 63 61 6e 20 6d 69 6e 69 6d 69 7a 65 20 66 75 74 75 72 65 20 69 6e 74 65 72 76 65 6e 74 69	t.can.minimize.future.interventi
17e60	6f 6e 73 20 77 68 69 6c 65 20 63 72 65 61 74 69 6e 67 20 61 20 6e 65 77 20 56 52 46 20 77 69 6c	ons.while.creating.a.new.VRF.wil
17e80	6c 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 20 74 61 6b 65 20 74 68 65 20 64 65 73 69 72 65 64	l.automatically.take.the.desired
17ea0	20 65 66 66 65 63 74 20 69 6e 20 69 74 73 20 70 72 6f 70 61 67 61 74 69 6f 6e 2e 00 49 6e 74 65	.effect.in.its.propagation..Inte
17ec0	72 66 61 63 65 20 61 6e 64 20 72 6f 75 74 69 6e 67 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a	rface.and.routing.configuration:
17ee0	00 49 6e 74 65 72 6e 61 6c 20 4e 65 74 77 6f 72 6b 00 49 6e 74 65 72 6e 65 74 00 49 6e 74 65 72	.Internal.Network.Internet.Inter
17f00	6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f 32 35 00 49	net.-.192.168.200.100.-.TCP/25.I
17f20	6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d 20 54 43 50 2f	nternet.-.192.168.200.100.-.TCP/
17f40	34 34 33 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31 30 30 20 2d	443.Internet.-.192.168.200.100.-
17f60	20 54 43 50 2f 35 33 00 49 6e 74 65 72 6e 65 74 20 2d 20 31 39 32 2e 31 36 38 2e 32 30 30 2e 31	.TCP/53.Internet.-.192.168.200.1
17f80	30 30 20 2d 20 54 43 50 2f 38 30 00 49 74 20 69 73 20 61 73 73 75 6d 65 64 20 74 68 61 74 20 74	00.-.TCP/80.It.is.assumed.that.t
17fa0	68 65 20 72 6f 75 74 65 72 73 20 70 72 6f 76 69 64 65 64 20 62 79 20 75 70 73 74 72 65 61 6d 20	he.routers.provided.by.upstream.
17fc0	61 72 65 20 63 61 70 61 62 6c 65 20 6f 66 20 61 63 74 69 6e 67 20 61 73 20 61 20 64 65 66 61 75	are.capable.of.acting.as.a.defau
17fe0	6c 74 20 72 6f 75 74 65 72 2c 20 61 64 64 20 74 68 61 74 20 61 73 20 61 20 73 74 61 74 69 63 20	lt.router,.add.that.as.a.static.
18000	72 6f 75 74 65 2e 00 49 74 20 69 73 20 67 6f 6f 64 20 70 72 61 63 74 69 63 65 20 74 6f 20 6c 6f	route..It.is.good.practice.to.lo
18020	67 20 62 6f 74 68 20 61 63 63 65 70 74 65 64 20 61 6e 64 20 64 65 6e 69 65 64 20 74 72 61 66 66	g.both.accepted.and.denied.traff
18040	69 63 2e 20 49 74 20 63 61 6e 20 73 61 76 65 20 79 6f 75 20 73 69 67 6e 69 66 69 63 61 6e 74 20	ic..It.can.save.you.significant.
18060	68 65 61 64 61 63 68 65 73 20 77 68 65 6e 20 74 72 79 69 6e 67 20 74 6f 20 74 72 6f 75 62 6c 65	headaches.when.trying.to.trouble
18080	73 68 6f 6f 74 20 61 20 63 6f 6e 6e 65 63 74 69 76 69 74 79 20 69 73 73 75 65 2e 00 49 74 20 77	shoot.a.connectivity.issue..It.w
180a0	69 6c 6c 20 6c 6f 6f 6b 20 73 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 20 74 68 69 73 3a 00 49 74	ill.look.something.like.this:.It
180c0	27 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 6e 6f 74 65 20 74 68 61 74 20 61 6c 6c 20 79 6f	's.important.to.note.that.all.yo
180e0	75 72 20 65 78 69 73 74 69 6e 67 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 77 69 6c 6c 20	ur.existing.configurations.will.
18100	62 65 20 6d 69 67 72 61 74 65 64 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 20 6f 6e 20 69 6d 61	be.migrated.automatically.on.ima
18120	67 65 20 75 70 67 72 61 64 65 2e 20 4e 6f 74 68 69 6e 67 20 74 6f 20 64 6f 20 6f 6e 20 79 6f 75	ge.upgrade..Nothing.to.do.on.you
18140	72 20 73 69 64 65 2e 00 4b 65 65 70 20 6e 65 74 77 6f 72 6b 73 20 69 73 6f 6c 61 74 65 64 20 69	r.side..Keep.networks.isolated.i
18160	73 20 2d 69 6e 20 67 65 6e 65 72 61 6c 2d 20 61 20 67 6f 6f 64 20 70 72 69 6e 63 69 70 6c 65 2c	s.-in.general-.a.good.principle,
18180	20 62 75 74 20 74 68 65 72 65 20 61 72 65 20 63 61 73 65 73 20 77 68 65 72 65 20 79 6f 75 20 6d	.but.there.are.cases.where.you.m
181a0	69 67 68 74 20 6e 65 65 64 20 74 68 61 74 20 73 6f 6d 65 20 6e 65 74 77 6f 72 6b 20 63 61 6e 20	ight.need.that.some.network.can.
181c0	61 63 63 65 73 73 20 6f 74 68 65 72 20 69 6e 20 61 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 2e	access.other.in.a.different.VRF.
181e0	00 4c 33 56 50 4e 20 45 56 50 4e 20 77 69 74 68 20 56 79 4f 53 00 4c 33 56 50 4e 20 45 56 50 4e	.L3VPN.EVPN.with.VyOS.L3VPN.EVPN
18200	20 77 69 74 68 20 56 79 4f 53 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 4c 33 56 50 4e 20	.with.VyOS.topology.image.L3VPN.
18220	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 70 61 72 61 6d 65 74 65 72 73 20 74 61 62 6c 65 3a 00	configuration.parameters.table:.
18240	4c 33 56 50 4e 20 66 6f 72 20 48 75 62 2d 61 6e 64 2d 53 70 6f 6b 65 20 63 6f 6e 6e 65 63 74 69	L3VPN.for.Hub-and-Spoke.connecti
18260	76 69 74 79 20 77 69 74 68 20 56 79 4f 53 00 4c 41 4e 20 31 00 4c 41 4e 20 32 00 4c 41 4e 20 43	vity.with.VyOS.LAN.1.LAN.2.LAN.C
18280	6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 4c 41 4e 20 61 6e 64 20 44 4d 5a 20 68 6f 73 74 73 20 68	onfiguration.LAN.and.DMZ.hosts.h
182a0	61 76 65 20 62 61 73 69 63 20 6f 75 74 62 6f 75 6e 64 20 61 63 63 65 73 73 3a 20 57 65 62 2c 20	ave.basic.outbound.access:.Web,.
182c0	46 54 50 2c 20 53 53 48 2e 00 4c 41 4e 20 63 61 6e 20 61 63 63 65 73 73 20 44 4d 5a 20 72 65 73	FTP,.SSH..LAN.can.access.DMZ.res
182e0	6f 75 72 63 65 73 2e 00 4c 41 4e 2c 20 57 41 4e 2c 20 44 4d 5a 2c 20 6c 6f 63 61 6c 20 61 6e 64	ources..LAN,.WAN,.DMZ,.local.and
18300	20 54 55 4e 20 28 74 75 6e 6e 65 6c 29 00 4c 41 4e 31 00 4c 41 4e 31 20 74 6f 20 4c 41 4e 32 00	.TUN.(tunnel).LAN1.LAN1.to.LAN2.
18320	4c 41 4e 31 20 74 6f 20 4f 75 74 73 69 64 65 00 4c 41 4e 32 00 4c 65 74 e2 80 99 73 20 63 68 65	LAN1.to.Outside.LAN2.Let...s.che
18340	63 6b 20 49 50 76 34 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 4d 50 4c 53 20 69 6e 66 6f 72 6d 61	ck.IPv4.routing.and.MPLS.informa
18360	74 69 6f 6e 20 6f 6e 20 70 72 6f 76 69 64 65 72 20 6e 6f 64 65 73 20 28 73 61 6d 65 20 70 72 6f	tion.on.provider.nodes.(same.pro
18380	63 65 64 75 72 65 20 66 6f 72 20 61 6c 6c 20 50 20 6e 6f 64 65 73 29 3a 00 4c 65 74 e2 80 99 73	cedure.for.all.P.nodes):.Let...s
183a0	20 73 61 79 20 77 65 20 68 61 76 65 20 61 20 72 65 71 75 69 72 65 6d 65 6e 74 20 74 6f 20 68 61	.say.we.have.a.requirement.to.ha
183c0	76 65 20 6d 75 6c 74 69 70 6c 65 20 6e 65 74 77 6f 72 6b 73 2e 00 4c 6f 63 61 6c 20 73 75 62 6e	ve.multiple.networks..Local.subn
183e0	65 74 73 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 72 65 61 63 68 20 69 6e 74 65	ets.should.be.able.to.reach.inte
18400	72 6e 65 74 20 75 73 69 6e 67 20 73 6f 75 72 63 65 20 6e 61 74 2e 00 4d 50 2d 42 47 50 20 6f 72	rnet.using.source.nat..MP-BGP.or
18420	20 4d 75 6c 74 69 50 72 6f 74 6f 63 6f 6c 20 42 47 50 20 69 6e 74 72 6f 64 75 63 65 73 20 74 77	.MultiProtocol.BGP.introduces.tw
18440	6f 20 6d 61 69 6e 20 63 6f 6e 63 65 70 74 73 20 74 6f 20 73 6f 6c 76 65 20 74 68 69 73 20 6c 69	o.main.concepts.to.solve.this.li
18460	6d 69 74 61 74 69 6f 6e 3a 20 2d 20 52 6f 75 74 65 20 44 69 73 74 69 6e 67 75 69 73 68 65 72 20	mitation:.-.Route.Distinguisher.
18480	28 52 44 29 3a 20 49 73 20 75 73 65 64 20 74 6f 20 64 69 73 74 69 6e 67 75 69 73 68 20 62 65 74	(RD):.Is.used.to.distinguish.bet
184a0	77 65 65 6e 20 64 69 66 66 65 72 65 6e 74 20 56 52 46 73 20 e2 80 93 63 61 6c 6c 65 64 20 56 50	ween.different.VRFs....called.VP
184c0	4e 73 2d 20 69 6e 73 69 64 65 20 74 68 65 20 42 47 50 20 50 72 6f 63 65 73 73 2e 20 54 68 65 20	Ns-.inside.the.BGP.Process..The.
184e0	52 44 20 69 73 20 61 70 70 65 6e 64 65 64 20 74 6f 20 65 61 63 68 20 49 50 76 34 20 4e 65 74 77	RD.is.appended.to.each.IPv4.Netw
18500	6f 72 6b 20 74 68 61 74 20 69 73 20 61 64 76 65 72 74 69 73 65 64 20 69 6e 74 6f 20 42 47 50 20	ork.that.is.advertised.into.BGP.
18520	66 6f 72 20 74 68 61 74 20 56 50 4e 20 6d 61 6b 69 6e 67 20 69 74 20 61 20 75 6e 69 71 75 65 20	for.that.VPN.making.it.a.unique.
18540	56 50 4e 76 34 20 72 6f 75 74 65 2e 20 2d 20 52 6f 75 74 65 20 54 61 72 67 65 74 20 28 52 54 29	VPNv4.route..-.Route.Target.(RT)
18560	3a 20 54 68 69 73 20 69 73 20 61 6e 20 65 78 74 65 6e 64 65 64 20 42 47 50 20 63 6f 6d 6d 75 6e	:.This.is.an.extended.BGP.commun
18580	69 74 79 20 61 70 70 65 6e 64 20 74 6f 20 74 68 65 20 56 50 4e 76 34 20 72 6f 75 74 65 20 69 6e	ity.append.to.the.VPNv4.route.in
185a0	20 74 68 65 20 49 6d 70 6f 72 74 2f 45 78 70 6f 72 74 20 70 72 6f 63 65 73 73 2e 20 57 68 65 6e	.the.Import/Export.process..When
185c0	20 61 20 72 6f 75 74 65 20 70 61 73 73 65 73 20 66 72 6f 6d 20 74 68 65 20 56 52 46 20 72 6f 75	.a.route.passes.from.the.VRF.rou
185e0	74 69 6e 67 20 74 61 62 6c 65 20 69 6e 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 20	ting.table.into.the.BGP.process.
18600	69 74 20 77 69 6c 6c 20 61 64 64 20 74 68 65 20 63 6f 6e 66 69 67 75 72 65 64 20 65 78 70 6f 72	it.will.add.the.configured.expor
18620	74 20 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 28 69 65 73 29 20 66 6f 72 20 74 68	t.extended.community(ies).for.th
18640	61 74 20 56 50 4e 2e 20 57 68 65 6e 20 74 68 61 74 20 72 6f 75 74 65 20 6e 65 65 64 73 20 74 6f	at.VPN..When.that.route.needs.to
18660	20 67 6f 20 66 72 6f 6d 20 42 47 50 20 69 6e 74 6f 20 74 68 65 20 56 52 46 20 72 6f 75 74 69 6e	.go.from.BGP.into.the.VRF.routin
18680	67 20 74 61 62 6c 65 20 77 69 6c 6c 20 6f 6e 6c 79 20 70 61 73 73 20 69 66 20 74 68 61 74 20 67	g.table.will.only.pass.if.that.g
186a0	69 76 65 6e 20 56 50 4e 20 69 6d 70 6f 72 74 20 70 6f 6c 69 63 79 20 6d 61 74 63 68 65 73 20 61	iven.VPN.import.policy.matches.a
186c0	6e 79 20 6f 66 20 74 68 65 20 61 70 70 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 28 69 65 73	ny.of.the.appended.community(ies
186e0	29 20 69 6e 74 6f 20 74 68 61 74 20 70 72 65 66 69 78 2e 00 4d 61 69 6e 20 72 75 6c 65 73 3a 00	).into.that.prefix..Main.rules:.
18700	4d 61 6b 65 20 73 75 72 65 20 79 6f 75 20 63 61 6e 20 70 69 6e 67 20 31 30 2e 32 35 34 2e 36 30	Make.sure.you.can.ping.10.254.60
18720	2e 31 20 61 6e 64 20 2e 32 20 66 72 6f 6d 20 62 6f 74 68 20 72 6f 75 74 65 72 73 2e 00 4d 61 6e	.1.and..2.from.both.routers..Man
18740	61 67 65 6d 65 6e 74 00 4d 61 6e 61 67 65 6d 65 6e 74 20 56 52 46 00 4d 61 6e 79 20 6f 74 68 65	agement.Management.VRF.Many.othe
18760	72 20 48 79 70 65 72 76 69 73 6f 72 73 20 64 6f 20 74 68 69 73 2c 20 61 6e 64 20 49 27 6d 20 68	r.Hypervisors.do.this,.and.I'm.h
18780	6f 70 69 6e 67 20 74 68 61 74 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 77 69 6c 6c 20 62 65	oping.that.this.document.will.be
187a0	20 65 78 70 61 6e 64 65 64 20 74 6f 20 64 6f 63 75 6d 65 6e 74 20 68 6f 77 20 74 6f 20 64 6f 20	.expanded.to.document.how.to.do.
187c0	74 68 69 73 20 66 6f 72 20 6f 74 68 65 72 73 2e 00 4d 61 73 71 75 65 72 61 64 65 20 54 72 61 66	this.for.others..Masquerade.Traf
187e0	66 69 63 20 6f 72 69 67 69 6e 61 74 69 6e 67 20 66 72 6f 6d 20 31 30 2e 32 30 30 2e 32 30 31 2e	fic.originating.from.10.200.201.
18800	30 2f 32 34 20 74 68 61 74 20 69 73 20 68 65 61 64 69 6e 67 20 6f 75 74 20 74 68 65 20 70 75 62	0/24.that.is.heading.out.the.pub
18820	6c 69 63 20 69 6e 74 65 72 66 61 63 65 2e 00 4d 6f 6e 69 74 6f 72 69 6e 67 00 4d 75 6c 74 69 70	lic.interface..Monitoring.Multip
18840	6c 65 20 4c 41 4e 2f 44 4d 5a 20 53 65 74 75 70 00 4e 41 54 20 61 6e 64 20 63 6f 6e 6e 74 72 61	le.LAN/DMZ.Setup.NAT.and.conntra
18860	63 6b 2d 73 79 6e 63 00 4e 4d 50 20 65 78 61 6d 70 6c 65 00 4e 61 74 69 76 65 20 49 50 76 34 20	ck-sync.NMP.example.Native.IPv4.
18880	61 6e 64 20 49 50 76 36 00 4e 65 74 77 6f 72 6b 20 43 61 62 6c 69 6e 67 00 4e 65 74 77 6f 72 6b	and.IPv6.Network.Cabling.Network
188a0	20 54 6f 70 6f 6c 6f 67 79 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 20 44 69 61 67 72	.Topology.Network.Topology.Diagr
188c0	61 6d 00 4e 65 74 77 6f 72 6b 20 54 6f 70 6f 6c 6f 67 79 20 61 6e 64 20 72 65 71 75 69 72 65 6d	am.Network.Topology.and.requirem
188e0	65 6e 74 73 00 4e 65 78 74 20 6f 6e 20 74 68 65 20 72 6f 75 74 65 72 20 56 79 4f 53 32 20 77 65	ents.Next.on.the.router.VyOS2.we
18900	20 77 69 6c 6c 20 63 68 61 6e 67 65 20 6c 61 62 65 6c 73 20 6f 6e 20 61 6c 6c 20 69 6e 63 6f 6d	.will.change.labels.on.all.incom
18920	69 6e 67 20 74 72 61 66 66 69 63 20 6f 6e 6c 79 20 66 72 6f 6d 20 43 53 34 2d 3e 20 43 53 36 00	ing.traffic.only.from.CS4->.CS6.
18940	4e 65 78 74 20 74 68 69 6e 67 20 74 6f 20 64 6f 2c 20 69 73 20 74 6f 20 63 72 65 61 74 65 20 61	Next.thing.to.do,.is.to.create.a
18960	20 77 69 72 65 67 75 61 72 64 20 6b 65 79 70 61 69 72 20 6f 6e 20 65 61 63 68 20 73 69 64 65 2e	.wireguard.keypair.on.each.side.
18980	20 41 66 74 65 72 20 74 68 69 73 2c 20 74 68 65 20 70 75 62 6c 69 63 20 6b 65 79 20 63 61 6e 20	.After.this,.the.public.key.can.
189a0	62 65 20 64 69 73 70 6c 61 79 65 64 2c 20 74 6f 20 73 61 76 65 20 66 6f 72 20 6c 61 74 65 72 2e	be.displayed,.to.save.for.later.
189c0	00 4e 65 78 74 2c 20 77 65 20 77 69 6c 6c 20 72 65 70 6c 61 63 65 20 6f 6e 6c 79 20 61 6c 6c 20	.Next,.we.will.replace.only.all.
189e0	43 53 34 20 6c 61 62 65 6c 73 20 6f 6e 20 74 68 65 20 e2 80 9c 56 79 4f 53 32 e2 80 9d 20 72 6f	CS4.labels.on.the....VyOS2....ro
18a00	75 74 65 72 2e 00 4e 65 78 74 2c 20 79 6f 75 20 6a 75 73 74 20 20 73 68 6f 75 6c 64 20 66 6f 6c	uter..Next,.you.just..should.fol
18a20	6c 6f 77 20 74 68 65 20 70 69 63 74 75 72 65 73 3a 00 4e 6f 64 65 00 4e 6f 74 65 20 74 68 61 74	low.the.pictures:.Node.Note.that
18a40	20 72 6f 75 74 65 72 31 20 69 73 20 61 20 56 4d 20 74 68 61 74 20 72 75 6e 73 20 6f 6e 20 6f 6e	.router1.is.a.VM.that.runs.on.on
18a60	65 20 6f 66 20 74 68 65 20 63 6f 6d 70 75 74 65 20 6e 6f 64 65 73 2e 00 4e 6f 74 65 20 74 6f 20	e.of.the.compute.nodes..Note.to.
18a80	61 6c 6c 6f 77 20 74 68 65 20 72 6f 75 74 65 72 20 74 6f 20 72 65 63 65 69 76 65 20 44 48 43 50	allow.the.router.to.receive.DHCP
18aa0	76 36 20 72 65 73 70 6f 6e 73 65 20 66 72 6f 6d 20 49 53 50 2e 20 57 65 20 6e 65 65 64 20 74 6f	v6.response.from.ISP..We.need.to
18ac0	20 61 6c 6c 6f 77 20 70 61 63 6b 65 74 73 20 77 69 74 68 20 73 6f 75 72 63 65 20 70 6f 72 74 20	.allow.packets.with.source.port.
18ae0	35 34 37 20 28 73 65 72 76 65 72 29 20 61 6e 64 20 64 65 73 74 69 6e 61 74 69 6f 6e 20 70 6f 72	547.(server).and.destination.por
18b00	74 20 35 34 36 20 28 63 6c 69 65 6e 74 29 2e 00 4e 6f 74 69 63 65 2c 20 6e 6f 6e 65 20 67 6f 20	t.546.(client)..Notice,.none.go.
18b20	74 6f 20 57 41 4e 20 73 69 6e 63 65 20 57 41 4e 20 77 6f 75 6c 64 6e 27 74 20 68 61 76 65 20 61	to.WAN.since.WAN.wouldn't.have.a
18b40	20 76 36 20 61 64 64 72 65 73 73 20 6f 6e 20 69 74 2e 00 4e 6f 77 20 65 6e 61 62 6c 65 20 72 65	.v6.address.on.it..Now.enable.re
18b60	70 6c 69 63 61 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 6e 6f 64 65 73 2e 20 52 65 70 6c 61 63 65	plication.between.nodes..Replace
18b80	20 65 74 68 30 2e 32 30 31 20 77 69 74 68 20 62 6f 6e 64 30 2e 32 30 31 20 6f 6e 20 74 68 65 20	.eth0.201.with.bond0.201.on.the.
18ba0	68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 4e 6f 77 20 67 65 6e 65 72 61 74 65 20 61 6c	hardware.router..Now.generate.al
18bc0	6c 20 72 65 71 75 69 72 65 64 20 63 65 72 74 69 66 69 63 61 74 65 73 20 6f 6e 20 74 68 65 20 6f	l.required.certificates.on.the.o
18be0	76 70 6e 2d 73 65 72 76 65 72 3a 00 4e 6f 77 20 74 68 65 20 43 6c 69 65 6e 74 20 69 73 20 61 62	vpn-server:.Now.the.Client.is.ab
18c00	6c 65 20 74 6f 20 70 69 6e 67 20 61 20 70 75 62 6c 69 63 20 49 50 76 36 20 61 64 64 72 65 73 73	le.to.ping.a.public.IPv6.address
18c20	00 4e 6f 77 20 77 65 20 61 72 65 20 61 62 6c 65 20 74 6f 20 73 65 74 75 70 20 74 68 65 20 74 75	.Now.we.are.able.to.setup.the.tu
18c40	6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 2e 00 4e 6f 77 20 77 65 20 70 65 72 66 6f 72 6d 20 73	nnel.interface..Now.we.perform.s
18c60	6f 6d 65 20 65 6e 64 2d 74 6f 2d 65 6e 64 20 74 65 73 74 69 6e 67 00 4e 6f 77 20 77 65 e2 80 99	ome.end-to-end.testing.Now.we...
18c80	72 65 20 63 68 65 63 6b 69 6e 67 20 69 42 47 50 20 73 74 61 74 75 73 20 61 6e 64 20 72 6f 75 74	re.checking.iBGP.status.and.rout
18ca0	65 73 20 66 72 6f 6d 20 72 6f 75 74 65 2d 72 65 66 6c 65 63 74 6f 72 20 6e 6f 64 65 73 20 74 6f	es.from.route-reflector.nodes.to
18cc0	20 6f 74 68 65 72 20 64 65 76 69 63 65 73 3a 00 4e 6f 77 20 79 6f 75 20 73 68 6f 75 6c 64 20 62	.other.devices:.Now.you.should.b
18ce0	65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 61 20 70 75 62 6c 69 63 20 49 50 76 36 20 41 64 64	e.able.to.ping.a.public.IPv6.Add
18d00	72 65 73 73 00 4e 6f 77 2c 20 6c 65 74 e2 80 99 73 20 63 68 65 63 6b 20 72 6f 75 74 69 6e 67 20	ress.Now,.let...s.check.routing.
18d20	69 6e 66 6f 72 6d 61 74 69 6f 6e 20 6f 6e 20 6f 75 74 20 48 75 62 20 50 45 3a 00 4f 53 50 46 20	information.on.out.Hub.PE:.OSPF.
18d40	4f 76 65 72 20 57 69 72 65 47 75 61 72 64 00 4f 53 50 46 20 75 6e 6e 75 6d 62 65 72 65 64 20 77	Over.WireGuard.OSPF.unnumbered.w
18d60	69 74 68 20 45 43 4d 50 00 4f 6e 20 74 68 65 20 72 6f 75 74 65 72 2c 20 56 79 4f 53 34 20 73 65	ith.ECMP.On.the.router,.VyOS4.se
18d80	74 20 61 6c 6c 20 74 72 61 66 66 69 63 20 61 73 20 43 53 34 2e 20 57 65 20 68 61 76 65 20 74 6f	t.all.traffic.as.CS4..We.have.to
18da0	20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 64 65 66 61 75 6c 74 20 63 6c 61 73 73 20 61 6e 64	.configure.the.default.class.and
18dc0	20 63 6c 61 73 73 20 66 6f 72 20 63 68 61 6e 67 69 6e 67 20 61 6c 6c 20 6c 61 62 65 6c 73 20 66	.class.for.changing.all.labels.f
18de0	72 6f 6d 20 43 53 30 20 74 6f 20 43 53 34 00 4f 6e 2d 70 72 65 6d 69 73 65 73 20 61 64 64 72 65	rom.CS0.to.CS4.On-premises.addre
18e00	73 73 20 73 70 61 63 65 00 4f 6e 63 65 20 61 6c 6c 20 72 6f 75 74 65 72 73 20 63 61 6e 20 62 65	ss.space.Once.all.routers.can.be
18e20	20 73 61 66 65 6c 79 20 72 65 6d 6f 74 65 6c 79 20 6d 61 6e 61 67 65 64 20 61 6e 64 20 74 68 65	.safely.remotely.managed.and.the
18e40	20 63 6f 72 65 20 6e 65 74 77 6f 72 6b 20 69 73 20 6f 70 65 72 61 74 69 6f 6e 61 6c 2c 20 77 65	.core.network.is.operational,.we
18e60	20 63 61 6e 20 6e 6f 77 20 73 65 74 75 70 20 74 68 65 20 74 65 6e 61 6e 74 20 6e 65 74 77 6f 72	.can.now.setup.the.tenant.networ
18e80	6b 73 2e 00 4f 6e 63 65 20 61 6c 6c 20 74 68 65 20 72 65 71 75 69 72 65 64 20 63 65 72 74 69 66	ks..Once.all.the.required.certif
18ea0	69 63 61 74 65 73 20 61 6e 64 20 6b 65 79 73 20 61 72 65 20 69 6e 73 74 61 6c 6c 65 64 2c 20 74	icates.and.keys.are.installed,.t
18ec0	68 65 20 72 65 6d 61 69 6e 69 6e 67 20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 20 63 6f 6e 66	he.remaining.OpenVPN.Server.conf
18ee0	69 67 75 72 61 74 69 6f 6e 20 63 61 6e 20 62 65 20 63 61 72 72 69 65 64 20 6f 75 74 2e 00 4f 6e	iguration.can.be.carried.out..On
18f00	63 65 20 79 6f 75 20 68 61 76 65 20 61 6c 6c 20 6f 66 20 79 6f 75 72 20 72 75 6c 65 73 65 74 73	ce.you.have.all.of.your.rulesets
18f20	20 62 75 69 6c 74 2c 20 74 68 65 6e 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 63 72 65 61 74 65 20	.built,.then.you.need.to.create.
18f40	79 6f 75 72 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 2e 00 4f 6e 65 20 61 64 76 61 6e 74 61 67 65 20	your.zone-policy..One.advantage.
18f60	6f 66 20 68 61 76 69 6e 67 20 74 68 65 20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65	of.having.the.client.certificate
18f80	20 73 74 6f 72 65 64 20 69 73 20 74 68 65 20 61 62 69 6c 69 74 79 20 74 6f 20 63 72 65 61 74 65	.stored.is.the.ability.to.create
18fa0	20 74 68 65 20 63 6c 69 65 6e 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 4f 6e 65 20 63	.the.client.configuration..One.c
18fc0	61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20	able/logical.connection.between.
18fe0	4c 41 4e 31 20 61 6e 64 20 49 6e 74 65 72 6e 65 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69	LAN1.and.Internet.One.cable/logi
19000	63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20	cal.connection.between.LAN1.and.
19020	4c 41 4e 32 00 4f 6e 65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f	LAN2.One.cable/logical.connectio
19040	6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 31 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 00 4f 6e	n.between.LAN1.and.Management.On
19060	65 20 63 61 62 6c 65 2f 6c 6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65	e.cable/logical.connection.betwe
19080	65 6e 20 4c 41 4e 32 20 61 6e 64 20 49 6e 74 65 72 6e 65 74 00 4f 6e 65 20 63 61 62 6c 65 2f 6c	en.LAN2.and.Internet.One.cable/l
190a0	6f 67 69 63 61 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 4c 41 4e 32 20 61	ogical.connection.between.LAN2.a
190c0	6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 00 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 4c 44 41 50 00	nd.Management.OpenVPN.with.LDAP.
190e0	4f 70 65 6e 56 50 4e 20 77 69 74 68 20 4c 44 41 50 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65	OpenVPN.with.LDAP.topology.image
19100	00 4f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 3a 20 56 79 4f 53 00 4f 75 72 20 69 6d 70 6c	.Operating.system:.VyOS.Our.impl
19120	65 6d 65 6e 74 61 74 69 6f 6e 20 75 73 65 73 20 56 4d 77 61 72 65 27 73 20 44 69 73 74 72 69 62	ementation.uses.VMware's.Distrib
19140	75 74 65 64 20 50 6f 72 74 20 47 72 6f 75 70 73 2c 20 77 68 69 63 68 20 61 6c 6c 6f 77 73 20 56	uted.Port.Groups,.which.allows.V
19160	4d 77 61 72 65 20 74 6f 20 75 73 65 20 4c 41 43 50 2e 20 54 68 69 73 20 69 73 20 61 20 70 61 72	Mware.to.use.LACP..This.is.a.par
19180	74 20 6f 66 20 74 68 65 20 45 4e 54 45 52 50 52 49 53 45 20 6c 69 63 65 6e 63 65 2c 20 61 6e 64	t.of.the.ENTERPRISE.licence,.and
191a0	20 69 73 20 6e 6f 74 20 61 76 61 69 6c 61 62 6c 65 20 6f 6e 20 61 20 66 72 65 65 20 6c 69 63 65	.is.not.available.on.a.free.lice
191c0	6e 63 65 2e 20 49 66 20 79 6f 75 20 61 72 65 20 69 6d 70 6c 65 6d 65 6e 74 69 6e 67 20 74 68 69	nce..If.you.are.implementing.thi
191e0	73 20 61 6e 64 20 64 6f 20 6e 6f 74 20 68 61 76 65 20 61 63 63 65 73 73 20 74 6f 20 44 50 47 73	s.and.do.not.have.access.to.DPGs
19200	2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 74 20 75 73 65 20 56 4d 77 61 72 65 2c 20 61 6e 64	,.you.should.not.use.VMware,.and
19220	20 75 73 65 20 73 6f 6d 65 20 6f 74 68 65 72 20 76 69 72 74 75 61 6c 69 7a 61 74 69 6f 6e 20 70	.use.some.other.virtualization.p
19240	6c 61 74 66 6f 72 6d 20 69 6e 73 74 65 61 64 2e 00 4f 75 72 20 72 6f 75 74 65 72 73 20 61 72 65	latform.instead..Our.routers.are
19260	20 67 6f 69 6e 67 20 74 6f 20 68 61 76 65 20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64	.going.to.have.a.floating.IP.add
19280	72 65 73 73 20 6f 66 20 32 30 33 2e 30 2e 31 31 33 2e 31 2c 20 61 6e 64 20 75 73 65 20 2e 32 20	ress.of.203.0.113.1,.and.use..2.
192a0	61 6e 64 20 2e 33 20 61 73 20 74 68 65 69 72 20 66 69 78 65 64 20 49 50 73 2e 00 4f 76 65 72 76	and..3.as.their.fixed.IPs..Overv
192c0	69 65 77 00 50 45 31 00 50 45 31 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 6e 20 69 6e 64	iew.PE1.PE1.is.located.in.an.ind
192e0	75 73 74 72 69 61 6c 20 61 72 65 61 20 74 68 61 74 20 68 6f 6c 64 73 20 6d 75 6c 74 69 70 6c 65	ustrial.area.that.holds.multiple
19300	20 6f 66 66 69 63 65 20 62 75 69 6c 64 69 6e 67 73 2e 20 41 6c 6c 20 63 75 73 74 6f 6d 65 72 73	.office.buildings..All.customers
19320	20 68 61 76 65 20 61 20 73 69 74 65 20 69 6e 20 74 68 69 73 20 61 72 65 61 2e 00 50 45 32 00 50	.have.a.site.in.this.area..PE2.P
19340	45 32 20 69 73 20 6c 6f 63 61 74 65 64 20 69 6e 20 61 20 73 6d 61 6c 6c 65 72 20 61 72 65 61 20	E2.is.located.in.a.smaller.area.
19360	77 68 65 72 65 20 62 79 20 63 6f 69 6e 63 69 64 65 6e 63 65 20 74 77 6f 20 63 75 73 74 6f 6d 65	where.by.coincidence.two.custome
19380	72 73 20 28 62 6c 75 65 20 61 6e 64 20 72 65 64 29 20 73 68 61 72 65 20 61 6e 20 6f 66 66 69 63	rs.(blue.and.red).share.an.offic
193a0	65 20 62 75 69 6c 64 69 6e 67 2e 00 50 45 33 00 50 45 33 20 69 73 20 6c 6f 63 61 74 65 64 20 69	e.building..PE3.PE3.is.located.i
193c0	6e 20 61 20 73 6d 61 6c 6c 65 72 20 61 72 65 61 20 77 68 65 72 65 20 62 79 20 63 6f 69 6e 63 69	n.a.smaller.area.where.by.coinci
193e0	64 65 6e 63 65 20 74 77 6f 20 63 75 73 74 6f 6d 65 72 73 20 28 62 6c 75 65 20 61 6e 64 20 67 72	dence.two.customers.(blue.and.gr
19400	65 65 6e 29 20 61 72 65 20 6c 6f 63 61 74 65 64 2e 00 50 50 50 6f 45 20 49 50 76 36 20 42 61 73	een).are.located..PPPoE.IPv6.Bas
19420	69 63 20 53 65 74 75 70 20 66 6f 72 20 48 6f 6d 65 20 4e 65 74 77 6f 72 6b 00 50 50 50 6f 45 20	ic.Setup.for.Home.Network.PPPoE.
19440	53 65 74 75 70 00 50 69 6e 67 20 62 65 74 77 65 65 6e 20 56 79 4f 53 2d 50 31 20 2f 20 56 79 4f	Setup.Ping.between.VyOS-P1./.VyO
19460	53 2d 50 32 20 74 6f 20 63 6f 6e 66 69 72 6d 20 72 65 61 63 68 61 62 69 6c 69 74 79 3a 00 50 69	S-P2.to.confirm.reachability:.Pi
19480	6e 67 20 74 68 65 20 43 6c 69 65 6e 74 20 66 72 6f 6d 20 74 68 65 20 44 48 43 50 20 53 65 72 76	ng.the.Client.from.the.DHCP.Serv
194a0	65 72 2e 00 50 69 6e 67 73 20 77 69 6c 6c 20 62 65 20 73 65 6e 74 20 74 6f 20 66 6f 75 72 20 74	er..Pings.will.be.sent.to.four.t
194c0	61 72 67 65 74 73 20 66 6f 72 20 68 65 61 6c 74 68 20 74 65 73 74 69 6e 67 20 28 33 33 2e 34 34	argets.for.health.testing.(33.44
194e0	2e 35 35 2e 36 36 2c 20 34 34 2e 35 35 2e 36 36 2e 37 37 2c 20 35 35 2e 36 36 2e 37 37 2e 38 38	.55.66,.44.55.66.77,.55.66.77.88
19500	20 61 6e 64 20 36 36 2e 37 37 2e 38 38 2e 39 39 29 2e 00 50 6c 65 61 73 65 20 6e 6f 74 65 2c 20	.and.66.77.88.99)..Please.note,.
19520	27 61 75 74 6f 6e 6f 6d 6f 75 73 2d 66 6c 61 67 27 20 61 6e 64 20 27 6f 6e 2d 6c 69 6e 6b 2d 66	'autonomous-flag'.and.'on-link-f
19540	6c 61 67 27 20 61 72 65 20 65 6e 61 62 6c 65 64 20 62 79 20 64 65 66 61 75 6c 74 2c 20 27 76 61	lag'.are.enabled.by.default,.'va
19560	6c 69 64 2d 6c 69 66 65 74 69 6d 65 27 20 61 6e 64 20 27 70 72 65 66 65 72 72 65 64 2d 6c 69 66	lid-lifetime'.and.'preferred-lif
19580	65 74 69 6d 65 27 20 61 72 65 20 73 65 74 20 74 6f 20 64 65 66 61 75 6c 74 20 76 61 6c 75 65 73	etime'.are.set.to.default.values
195a0	20 6f 66 20 33 30 20 64 61 79 73 20 61 6e 64 20 34 20 68 6f 75 72 73 20 72 65 73 70 65 63 74 69	.of.30.days.and.4.hours.respecti
195c0	76 65 6c 79 2e 00 50 6f 6c 69 63 79 2d 42 61 73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20	vely..Policy-Based.Site-to-Site.
195e0	56 50 4e 20 61 6e 64 20 46 69 72 65 77 61 6c 6c 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 50	VPN.and.Firewall.Configuration.P
19600	72 65 2d 73 68 61 72 65 64 20 6b 65 79 00 50 72 65 72 65 71 75 69 73 69 74 65 73 00 50 72 69 6f	re-shared.key.Prerequisites.Prio
19620	72 69 74 69 65 73 00 50 72 6f 74 65 63 74 20 74 68 65 20 72 6f 75 74 65 72 20 6f 6e 20 27 57 41	rities.Protect.the.router.on.'WA
19640	4e 27 20 69 6e 74 65 72 66 61 63 65 2c 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 69 70 73 65	N'.interface,.allowing.only.ipse
19660	63 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 61 6e 64 20 73 73 68 20 61 63 63 65 73 73 20 66 72 6f	c.connections.and.ssh.access.fro
19680	6d 20 74 72 75 73 74 65 64 20 69 70 73 2e 00 50 75 62 6c 69 63 20 4e 65 74 77 6f 72 6b 00 51 6f	m.trusted.ips..Public.Network.Qo
196a0	53 20 65 78 61 6d 70 6c 65 00 52 44 00 52 44 20 26 20 52 54 20 53 63 68 65 6d 61 00 52 54 00 52	S.example.RD.RD.&.RT.Schema.RT.R
196c0	54 20 65 78 70 6f 72 74 00 52 54 20 69 6d 70 6f 72 74 00 52 65 67 75 6c 61 72 20 56 79 4f 53 20	T.export.RT.import.Regular.VyOS.
196e0	75 73 65 72 73 20 77 69 6c 6c 20 6e 6f 74 69 63 65 20 74 68 61 74 20 74 68 65 20 42 47 50 20 73	users.will.notice.that.the.BGP.s
19700	79 6e 74 61 78 20 68 61 73 20 63 68 61 6e 67 65 64 20 69 6e 20 56 79 4f 53 20 31 2e 34 20 66 72	yntax.has.changed.in.VyOS.1.4.fr
19720	6f 6d 20 65 76 65 6e 20 74 68 65 20 70 72 69 6f 72 20 70 6f 73 74 20 61 62 6f 75 74 20 74 68 69	om.even.the.prior.post.about.thi
19740	73 20 73 75 62 6a 65 63 74 2e 20 54 68 69 73 20 69 73 20 64 75 65 20 74 6f 20 54 31 37 31 31 2c	s.subject..This.is.due.to.T1711,
19760	20 77 68 65 72 65 20 69 74 20 77 61 73 20 66 69 6e 61 6c 6c 79 20 64 65 63 69 64 65 64 20 74 6f	.where.it.was.finally.decided.to
19780	20 67 65 74 20 72 69 64 20 6f 66 20 74 68 65 20 72 65 64 75 6e 64 61 6e 74 20 42 47 50 20 41 53	.get.rid.of.the.redundant.BGP.AS
197a0	4e 20 28 41 75 74 6f 6e 6f 6d 6f 75 73 20 53 79 73 74 65 6d 20 4e 75 6d 62 65 72 29 20 73 70 65	N.(Autonomous.System.Number).spe
197c0	63 69 66 69 63 61 74 69 6f 6e 20 6f 6e 20 74 68 65 20 43 4c 49 20 61 6e 64 20 6d 6f 76 65 20 69	cification.on.the.CLI.and.move.i
197e0	74 20 74 6f 20 61 20 73 69 6e 67 6c 65 20 6c 65 61 66 20 6e 6f 64 65 20 28 73 65 74 20 70 72 6f	t.to.a.single.leaf.node.(set.pro
19800	74 6f 63 6f 6c 73 20 62 67 70 20 6c 6f 63 61 6c 2d 61 73 29 2e 00 52 65 6d 6f 74 65 20 4e 65 74	tocols.bgp.local-as)..Remote.Net
19820	77 6f 72 6b 73 00 52 65 70 6c 61 63 65 20 74 68 65 20 32 30 33 2e 30 2e 31 31 33 2e 33 20 77 69	works.Replace.the.203.0.113.3.wi
19840	74 68 20 77 68 61 74 65 76 65 72 20 74 68 65 20 6f 74 68 65 72 20 72 6f 75 74 65 72 27 73 20 49	th.whatever.the.other.router's.I
19860	50 20 61 64 64 72 65 73 73 20 69 73 2e 00 52 65 71 75 65 73 74 65 64 20 61 20 22 52 65 67 75 6c	P.address.is..Requested.a."Regul
19880	61 72 20 54 75 6e 6e 65 6c 22 2e 20 59 6f 75 20 77 61 6e 74 20 74 6f 20 63 68 6f 6f 73 65 20 61	ar.Tunnel"..You.want.to.choose.a
198a0	20 6c 6f 63 61 74 69 6f 6e 20 74 68 61 74 20 69 73 20 63 6c 6f 73 65 73 74 20 74 6f 20 79 6f 75	.location.that.is.closest.to.you
198c0	72 20 70 68 79 73 69 63 61 6c 20 6c 6f 63 61 74 69 6f 6e 20 66 6f 72 20 74 68 65 20 62 65 73 74	r.physical.location.for.the.best
198e0	20 72 65 73 70 6f 6e 73 65 20 74 69 6d 65 2e 00 52 65 73 75 6c 74 73 00 52 6f 6c 65 00 52 6f 75	.response.time..Results.Role.Rou
19900	74 65 2d 42 61 73 65 64 20 52 65 64 75 6e 64 61 6e 74 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20	te-Based.Redundant.Site-to-Site.
19920	56 50 4e 20 74 6f 20 41 7a 75 72 65 20 28 42 47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f 49 50 73	VPN.to.Azure.(BGP.over.IKEv2/IPs
19940	65 63 29 00 52 6f 75 74 65 2d 42 61 73 65 64 20 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 56 50 4e	ec).Route-Based.Site-to-Site.VPN
19960	20 74 6f 20 41 7a 75 72 65 20 28 42 47 50 20 6f 76 65 72 20 49 4b 45 76 32 2f 49 50 73 65 63 29	.to.Azure.(BGP.over.IKEv2/IPsec)
19980	00 52 6f 75 74 65 2d 46 69 6c 74 65 72 69 6e 67 00 52 6f 75 74 65 64 20 2f 34 38 2e 20 54 68 69	.Route-Filtering.Routed./48..Thi
199a0	73 20 69 73 20 73 6f 6d 65 74 68 69 6e 67 20 79 6f 75 20 63 61 6e 20 72 65 71 75 65 73 74 20 62	s.is.something.you.can.request.b
199c0	79 20 63 6c 69 63 6b 69 6e 67 20 74 68 65 20 22 41 73 73 69 67 6e 20 2f 34 38 22 20 6c 69 6e 6b	y.clicking.the."Assign./48".link
199e0	20 69 6e 20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 20 74 75 6e 6e 65 6c 20	.in.the.Tunnelbroker.net.tunnel.
19a00	63 6f 6e 66 69 67 2e 20 49 74 20 61 6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 68 61 76 65 20 75 70	config..It.allows.you.to.have.up
19a20	20 74 6f 20 36 35 6b 00 52 6f 75 74 65 64 20 2f 36 34 2e 20 54 68 69 73 20 69 73 20 74 68 65 20	.to.65k.Routed./64..This.is.the.
19a40	64 65 66 61 75 6c 74 20 61 73 73 69 67 6e 6d 65 6e 74 2e 20 49 6e 20 49 50 76 36 2d 6c 61 6e 64	default.assignment..In.IPv6-land
19a60	2c 20 69 74 27 73 20 67 6f 6f 64 20 66 6f 72 20 61 20 73 69 6e 67 6c 65 20 22 4c 41 4e 22 2c 20	,.it's.good.for.a.single."LAN",.
19a80	61 6e 64 20 69 73 20 73 6f 6d 65 77 68 61 74 20 65 71 75 69 76 61 6c 65 6e 74 20 74 6f 20 61 20	and.is.somewhat.equivalent.to.a.
19aa0	2f 32 34 2e 00 52 6f 75 74 65 72 20 41 3a 00 52 6f 75 74 65 72 20 41 64 76 65 72 74 69 73 65 6d	/24..Router.A:.Router.Advertisem
19ac0	65 6e 74 00 52 6f 75 74 65 72 20 42 3a 00 52 6f 75 74 65 72 20 69 64 27 73 20 6d 75 73 74 20 62	ent.Router.B:.Router.id's.must.b
19ae0	65 20 75 6e 69 71 75 65 2e 00 52 75 6c 65 73 65 74 20 61 72 65 20 63 72 65 61 74 65 64 20 70 65	e.unique..Ruleset.are.created.pe
19b00	72 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 2e 00 53 65 67 6d 65 6e 74 2d 72	r.zone-pair-direction..Segment-r
19b20	6f 75 74 69 6e 67 20 49 53 2d 49 53 20 65 78 61 6d 70 6c 65 00 53 65 74 20 44 4e 53 20 73 65 72	outing.IS-IS.example.Set.DNS.ser
19b40	76 65 72 20 61 64 64 72 65 73 73 20 69 6e 20 74 68 65 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74	ver.address.in.the.advertisement
19b60	20 73 6f 20 74 68 61 74 20 63 6c 69 65 6e 74 73 20 63 61 6e 20 6f 62 74 61 69 6e 20 69 74 20 62	.so.that.clients.can.obtain.it.b
19b80	79 20 75 73 69 6e 67 20 52 44 4e 53 53 20 6f 70 74 69 6f 6e 2e 20 4d 6f 73 74 20 6f 70 65 72 61	y.using.RDNSS.option..Most.opera
19ba0	74 69 6e 67 20 73 79 73 74 65 6d 73 20 28 57 69 6e 64 6f 77 73 2c 20 4c 69 6e 75 78 2c 20 4d 61	ting.systems.(Windows,.Linux,.Ma
19bc0	63 29 20 73 68 6f 75 6c 64 20 61 6c 72 65 61 64 79 20 73 75 70 70 6f 72 74 20 69 74 2e 00 53 65	c).should.already.support.it..Se
19be0	74 20 49 50 20 61 64 64 72 65 73 73 65 73 20 6f 6e 20 61 6c 6c 20 56 50 43 73 20 61 6e 64 20 61	t.IP.addresses.on.all.VPCs.and.a
19c00	20 64 65 66 61 75 6c 74 20 67 61 74 65 77 61 79 20 31 37 32 2e 31 37 2e 31 2e 31 2e 20 57 65 27	.default.gateway.172.17.1.1..We'
19c20	6c 6c 20 75 73 65 20 69 6e 20 74 68 69 73 20 63 61 73 65 20 6f 6e 6c 79 20 73 74 61 74 69 63 20	ll.use.in.this.case.only.static.
19c40	72 6f 75 74 65 73 2e 20 4f 6e 20 74 68 65 20 56 79 4f 53 33 20 72 6f 75 74 65 72 2c 20 77 65 20	routes..On.the.VyOS3.router,.we.
19c60	6e 65 65 64 20 74 6f 20 63 68 61 6e 67 65 20 74 68 65 20 27 64 73 63 70 27 20 6c 61 62 65 6c 73	need.to.change.the.'dscp'.labels
19c80	20 66 6f 72 20 74 68 65 20 56 50 43 73 2e 20 54 6f 20 64 6f 20 74 68 69 73 2c 20 77 65 20 75 73	.for.the.VPCs..To.do.this,.we.us
19ca0	65 20 74 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 53 65 74 20 4d 54 55 20 69 6e	e.this.configuration..Set.MTU.in
19cc0	20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 74 6f 20 31 34 39 32 20 62 65 63 61 75 73 65 20 6f	.advertisement.to.1492.because.o
19ce0	66 20 50 50 50 6f 45 20 68 65 61 64 65 72 20 6f 76 65 72 68 65 61 64 2e 00 53 65 74 20 74 68 65	f.PPPoE.header.overhead..Set.the
19d00	20 56 52 46 20 6e 61 6d 65 20 61 6e 64 20 54 61 62 6c 65 20 49 44 2c 20 73 65 74 20 69 6e 74 65	.VRF.name.and.Table.ID,.set.inte
19d20	72 66 61 63 65 20 61 64 64 72 65 73 73 20 61 6e 64 20 62 69 6e 64 20 69 74 20 74 6f 20 74 68 65	rface.address.and.bind.it.to.the
19d40	20 56 52 46 2e 20 4c 61 73 74 20 61 64 64 20 74 68 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 20	.VRF..Last.add.the.static.route.
19d60	74 6f 20 74 68 65 20 72 65 6d 6f 74 65 20 6e 65 74 77 6f 72 6b 2e 00 53 65 74 20 74 68 65 20 63	to.the.remote.network..Set.the.c
19d80	6f 73 74 20 6f 6e 20 74 68 65 20 73 65 63 6f 6e 64 61 72 79 20 6c 69 6e 6b 73 20 74 6f 20 62 65	ost.on.the.secondary.links.to.be
19da0	20 32 30 30 2e 20 54 68 69 73 20 6d 65 61 6e 73 20 74 68 61 74 20 74 68 65 79 20 77 69 6c 6c 20	.200..This.means.that.they.will.
19dc0	6e 6f 74 20 62 65 20 75 73 65 64 20 75 6e 6c 65 73 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 6c	not.be.used.unless.the.primary.l
19de0	69 6e 6b 73 20 61 72 65 20 64 6f 77 6e 2e 00 53 65 74 20 74 68 65 20 6c 6f 63 61 6c 20 73 75 62	inks.are.down..Set.the.local.sub
19e00	6e 65 74 20 6f 6e 20 65 74 68 32 20 61 6e 64 20 74 68 65 20 70 75 62 6c 69 63 20 69 70 20 61 64	net.on.eth2.and.the.public.ip.ad
19e20	64 72 65 73 73 20 65 74 68 31 20 6f 6e 20 65 61 63 68 20 73 69 74 65 2e 00 53 65 74 20 75 70 20	dress.eth1.on.each.site..Set.up.
19e40	62 61 6e 64 77 69 64 74 68 20 6c 69 6d 69 74 73 20 6f 6e 20 74 68 65 20 65 74 68 32 20 69 6e 74	bandwidth.limits.on.the.eth2.int
19e60	65 72 66 61 63 65 20 6f 66 20 74 68 65 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 32 e2 80 9d	erface.of.the.router....VyOS2...
19e80	2e 00 53 65 74 73 20 79 6f 75 72 20 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 27 73 20 49 50 20 61	..Sets.your.LAN.interface's.IP.a
19ea0	64 64 72 65 73 73 00 53 65 74 74 69 6e 67 20 42 47 50 20 67 6c 6f 62 61 6c 20 6c 6f 63 61 6c 2d	ddress.Setting.BGP.global.local-
19ec0	61 73 20 61 73 20 77 65 6c 6c 20 69 6e 73 69 64 65 20 74 68 65 20 56 52 46 2e 20 52 65 64 69 73	as.as.well.inside.the.VRF..Redis
19ee0	74 72 69 62 75 74 65 20 73 74 61 74 69 63 20 72 6f 75 74 65 73 20 74 6f 20 69 6e 6a 65 63 74 20	tribute.static.routes.to.inject.
19f00	63 6f 6e 66 69 67 75 72 65 64 20 6e 65 74 77 6f 72 6b 73 20 69 6e 74 6f 20 74 68 65 20 42 47 50	configured.networks.into.the.BGP
19f20	20 70 72 6f 63 65 73 73 20 62 75 74 20 73 74 69 6c 6c 20 69 6e 73 69 64 65 20 74 68 65 20 56 52	.process.but.still.inside.the.VR
19f40	46 2e 00 53 65 74 74 69 6e 67 20 75 70 20 41 6e 73 69 62 6c 65 20 6f 6e 20 61 20 73 65 72 76 65	F..Setting.up.Ansible.on.a.serve
19f60	72 20 72 75 6e 6e 69 6e 67 20 74 68 65 20 44 65 62 69 61 6e 20 6f 70 65 72 61 74 69 6e 67 20 73	r.running.the.Debian.operating.s
19f80	79 73 74 65 6d 2e 00 53 65 74 75 70 20 74 68 65 20 69 70 76 36 20 64 65 66 61 75 6c 74 20 72 6f	ystem..Setup.the.ipv6.default.ro
19fa0	75 74 65 20 74 6f 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66 61 63 65 00 53 68 6f 77	ute.to.the.tunnel.interface.Show
19fc0	20 72 6f 75 74 65 73 20 66 6f 72 20 61 6c 6c 20 56 52 46 73 00 53 69 6d 69 6c 61 72 6c 79 2c 20	.routes.for.all.VRFs.Similarly,.
19fe0	74 6f 20 61 74 74 61 63 68 20 74 68 65 20 66 69 72 65 77 61 6c 6c 2c 20 79 6f 75 20 77 6f 75 6c	to.attach.the.firewall,.you.woul
1a000	64 20 75 73 65 20 60 73 65 74 20 69 6e 74 65 72 66 61 63 65 73 20 65 74 68 65 72 6e 65 74 20 65	d.use.`set.interfaces.ethernet.e
1a020	74 68 30 20 66 69 72 65 77 61 6c 6c 20 69 6e 20 69 70 76 36 2d 6e 61 6d 65 60 20 6f 72 20 60 65	th0.firewall.in.ipv6-name`.or.`e
1a040	74 20 66 69 72 65 77 61 6c 6c 20 7a 6f 6e 65 20 4c 4f 43 41 4c 20 66 72 6f 6d 20 57 41 4e 20 66	t.firewall.zone.LOCAL.from.WAN.f
1a060	69 72 65 77 61 6c 6c 20 69 70 76 36 2d 6e 61 6d 65 60 2e 00 53 69 6e 63 65 20 73 6f 6d 65 20 49	irewall.ipv6-name`..Since.some.I
1a080	53 50 73 20 64 69 73 63 6f 6e 6e 65 63 74 73 20 63 6f 6e 74 69 6e 75 6f 75 73 20 63 6f 6e 6e 65	SPs.disconnects.continuous.conne
1a0a0	63 74 69 6f 6e 20 66 6f 72 20 65 76 65 72 79 20 32 7e 33 20 64 61 79 73 2c 20 77 65 20 73 65 74	ction.for.every.2~3.days,.we.set
1a0c0	20 60 60 76 61 6c 69 64 2d 6c 69 66 65 74 69 6d 65 60 60 20 74 6f 20 32 20 64 61 79 73 20 74 6f	.``valid-lifetime``.to.2.days.to
1a0e0	20 61 6c 6c 6f 77 20 50 43 20 66 6f 72 20 70 68 61 73 69 6e 67 20 6f 75 74 20 6f 6c 64 20 61 64	.allow.PC.for.phasing.out.old.ad
1a100	64 72 65 73 73 2e 00 53 69 6e 63 65 20 74 68 65 20 74 75 6e 6e 65 6c 20 69 73 20 61 20 70 6f 69	dress..Since.the.tunnel.is.a.poi
1a120	6e 74 2d 74 6f 2d 70 6f 69 6e 74 20 47 52 45 20 74 75 6e 6e 65 6c 2c 20 69 74 20 62 65 68 61 76	nt-to-point.GRE.tunnel,.it.behav
1a140	65 73 20 6c 69 6b 65 20 61 6e 79 20 6f 74 68 65 72 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74	es.like.any.other.point-to-point
1a160	20 69 6e 74 65 72 66 61 63 65 20 28 66 6f 72 20 65 78 61 6d 70 6c 65 3a 20 73 65 72 69 61 6c 2c	.interface.(for.example:.serial,
1a180	20 64 69 61 6c 65 72 29 2c 20 61 6e 64 20 69 74 20 69 73 20 70 6f 73 73 69 62 6c 65 20 74 6f 20	.dialer),.and.it.is.possible.to.
1a1a0	72 75 6e 20 61 6e 79 20 49 6e 74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f 74 6f 63 6f	run.any.Interior.Gateway.Protoco
1a1c0	6c 20 28 49 47 50 29 2f 45 78 74 65 72 69 6f 72 20 47 61 74 65 77 61 79 20 50 72 6f 74 6f 63 6f	l.(IGP)/Exterior.Gateway.Protoco
1a1e0	6c 20 28 45 47 50 29 20 6f 76 65 72 20 74 68 65 20 6c 69 6e 6b 20 69 6e 20 6f 72 64 65 72 20 74	l.(EGP).over.the.link.in.order.t
1a200	6f 20 65 78 63 68 61 6e 67 65 20 72 6f 75 74 69 6e 67 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 00 53	o.exchange.routing.information.S
1a220	69 6e 63 65 20 77 65 20 68 61 76 65 20 34 20 7a 6f 6e 65 73 2c 20 77 65 20 6e 65 65 64 20 74 6f	ince.we.have.4.zones,.we.need.to
1a240	20 73 65 74 75 70 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 72 75 6c 65 73 65 74 73 2e 00 53	.setup.the.following.rulesets..S
1a260	69 6e 67 6c 65 20 4c 41 4e 20 53 65 74 75 70 00 53 69 6e 67 6c 65 20 4c 41 4e 20 73 65 74 75 70	ingle.LAN.Setup.Single.LAN.setup
1a280	20 77 68 65 72 65 20 65 74 68 32 20 69 73 20 79 6f 75 72 20 4c 41 4e 20 69 6e 74 65 72 66 61 63	.where.eth2.is.your.LAN.interfac
1a2a0	65 2e 20 55 73 65 20 74 68 65 20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 20 52 6f 75 74 65 64 20 2f	e..Use.the.Tunnelbroker.Routed./
1a2c0	36 34 20 70 72 65 66 69 78 3a 00 53 69 74 65 2d 74 6f 2d 53 69 74 65 20 49 50 53 65 63 20 56 50	64.prefix:.Site-to-Site.IPSec.VP
1a2e0	4e 20 74 6f 20 43 69 73 63 6f 20 75 73 69 6e 67 20 46 6c 65 78 56 50 4e 00 53 6f 2c 20 77 68 65	N.to.Cisco.using.FlexVPN.So,.whe
1a300	6e 20 79 6f 75 72 20 4c 41 4e 20 69 73 20 65 74 68 31 2c 20 79 6f 75 72 20 44 4d 5a 20 69 73 20	n.your.LAN.is.eth1,.your.DMZ.is.
1a320	65 74 68 32 2c 20 79 6f 75 72 20 63 61 6d 65 72 61 73 20 61 72 65 20 6f 6e 20 65 74 68 33 2c 20	eth2,.your.cameras.are.on.eth3,.
1a340	65 74 63 3a 00 53 6f 6d 65 74 68 69 6e 67 20 6c 69 6b 65 3a 00 53 70 6f 6b 65 00 53 74 61 72 74	etc:.Something.like:.Spoke.Start
1a360	20 62 79 20 73 65 74 74 69 6e 67 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 61 6e 64 20 64 65	.by.setting.the.interface.and.de
1a380	66 61 75 6c 74 20 61 63 74 69 6f 6e 20 66 6f 72 20 65 61 63 68 20 7a 6f 6e 65 2e 00 53 74 61 72	fault.action.for.each.zone..Star
1a3a0	74 20 74 68 65 20 70 6c 61 79 62 6f 6f 6b 3a 00 53 74 61 72 74 69 6e 67 20 66 72 6f 6d 20 56 79	t.the.playbook:.Starting.from.Vy
1a3c0	4f 53 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 2c 20 61 20 6e	OS.1.4-rolling-202308040557,.a.n
1a3e0	65 77 20 66 69 72 65 77 61 6c 6c 20 73 74 72 75 63 74 75 72 65 20 63 61 6e 20 62 65 20 66 6f 75	ew.firewall.structure.can.be.fou
1a400	6e 64 20 6f 6e 20 61 6c 6c 20 76 79 6f 73 20 69 6e 73 74 61 6c 61 74 69 6f 6e 73 2c 20 61 6e 64	nd.on.all.vyos.instalations,.and
1a420	20 7a 6f 6e 65 20 62 61 73 65 64 20 66 69 72 65 77 61 6c 6c 20 69 73 20 6e 6f 20 6c 6f 6e 67 65	.zone.based.firewall.is.no.longe
1a440	72 20 73 75 70 70 6f 72 74 65 64 2e 20 44 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 66 6f 72 20 6d	r.supported..Documentation.for.m
1a460	6f 73 74 20 6f 66 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 43 4c 49 20 63 61 6e 20	ost.of.the.new.firewall.CLI.can.
1a480	62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 60 66 69 72 65 77 61 6c 6c 20 3c 68 74 74 70 73	be.found.in.the.`firewall.<https
1a4a0	3a 2f 2f 64 6f 63 73 2e 76 79 6f 73 2e 69 6f 2f 65 6e 2f 6c 61 74 65 73 74 2f 63 6f 6e 66 69 67	://docs.vyos.io/en/latest/config
1a4c0	75 72 61 74 69 6f 6e 2f 66 69 72 65 77 61 6c 6c 2f 67 65 6e 65 72 61 6c 2e 68 74 6d 6c 3e 60 5f	uration/firewall/general.html>`_
1a4e0	20 63 68 61 70 74 65 72 2e 20 54 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 69 73	.chapter..The.legacy.firewall.is
1a500	20 73 74 69 6c 6c 20 61 76 61 69 6c 61 62 6c 65 20 66 6f 72 20 76 65 72 73 69 6f 6e 73 20 62 65	.still.available.for.versions.be
1a520	66 6f 72 65 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 20 61 6e	fore.1.4-rolling-202308040557.an
1a540	64 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 65	d.can.be.found.in.the.:ref:`fire
1a560	77 61 6c 6c 2d 6c 65 67 61 63 79 60 20 63 68 61 70 74 65 72 2e 20 54 68 65 20 65 78 61 6d 70 6c	wall-legacy`.chapter..The.exampl
1a580	65 73 20 69 6e 20 74 68 69 73 20 73 65 63 74 69 6f 6e 20 75 73 65 20 74 68 65 20 6c 65 67 61 63	es.in.this.section.use.the.legac
1a5a0	79 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 6f 6d 6d 61 6e 64	y.firewall.configuration.command
1a5c0	73 2c 20 73 69 6e 63 65 20 74 68 69 73 20 66 65 61 74 75 72 65 20 68 61 73 20 62 65 65 6e 20 72	s,.since.this.feature.has.been.r
1a5e0	65 6d 6f 76 65 64 20 69 6e 20 65 61 72 6c 69 65 72 20 72 65 6c 65 61 73 65 73 2e 00 53 74 65 70	emoved.in.earlier.releases..Step
1a600	20 31 3a 20 56 52 46 20 61 6e 64 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 20 74 6f 20 72 65	.1:.VRF.and.Configurations.to.re
1a620	6d 6f 74 65 20 6e 65 74 77 6f 72 6b 73 00 53 74 65 70 20 32 3a 20 42 47 50 20 43 6f 6e 66 69 67	mote.networks.Step.2:.BGP.Config
1a640	75 72 61 74 69 6f 6e 20 66 6f 72 20 56 52 46 2d 4c 69 74 65 00 53 74 65 70 20 33 3a 20 56 50 4e	uration.for.VRF-Lite.Step.3:.VPN
1a660	20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 53 74 65 70 20 34 3a 20 45 6e 64 20 74 6f 20 45 6e	.Configuration.Step.4:.End.to.En
1a680	64 20 76 65 72 69 66 69 63 61 74 69 6f 6e 00 53 74 65 70 2d 31 3a 20 43 6f 6e 66 69 67 75 72 69	d.verification.Step-1:.Configuri
1a6a0	6e 67 20 49 47 50 20 61 6e 64 20 65 6e 61 62 6c 69 6e 67 20 4d 50 4c 53 20 4c 44 50 00 53 74 65	ng.IGP.and.enabling.MPLS.LDP.Ste
1a6c0	70 2d 32 3a 20 43 6f 6e 66 69 67 75 72 69 6e 67 20 69 42 47 50 20 66 6f 72 20 4c 33 56 50 4e 20	p-2:.Configuring.iBGP.for.L3VPN.
1a6e0	63 6f 6e 74 72 6f 6c 2d 70 6c 61 6e 65 00 53 74 65 70 2d 33 3a 20 43 6f 6e 66 69 67 75 72 69 6e	control-plane.Step-3:.Configurin
1a700	67 20 4c 33 56 50 4e 20 56 52 46 73 20 6f 6e 20 50 45 20 6e 6f 64 65 73 00 53 74 65 70 2d 34 3a	g.L3VPN.VRFs.on.PE.nodes.Step-4:
1a720	20 43 6f 6e 66 69 67 75 72 69 6e 67 20 43 45 20 6e 6f 64 65 73 00 53 74 65 70 2d 35 3a 20 56 65	.Configuring.CE.nodes.Step-5:.Ve
1a740	72 69 66 69 63 61 74 69 6f 6e 00 54 65 6e 61 6e 74 20 6e 65 74 77 6f 72 6b 73 20 28 56 52 46 73	rification.Tenant.networks.(VRFs
1a760	29 00 54 65 73 74 20 4f 53 50 46 00 54 65 73 74 20 57 69 72 65 47 75 61 72 64 00 54 65 73 74 20	).Test.OSPF.Test.WireGuard.Test.
1a780	74 68 65 20 72 65 73 75 6c 74 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 32 2d 32 34 00	the.result.Testdate:.2023-02-24.
1a7a0	54 65 73 74 64 61 74 65 3a 20 32 30 32 33 2d 30 35 2d 31 31 00 54 65 73 74 64 61 74 65 3a 20 32	Testdate:.2023-05-11.Testdate:.2
1a7c0	30 32 33 2d 30 38 2d 33 31 00 54 65 73 74 64 61 74 65 3a 20 32 30 32 34 2d 30 31 2d 31 33 00 54	023-08-31.Testdate:.2024-01-13.T
1a7e0	65 73 74 69 6e 67 00 54 65 73 74 69 6e 67 20 61 6e 64 20 64 65 62 75 67 67 69 6e 67 00 54 68 61	esting.Testing.and.debugging.Tha
1a800	74 27 73 20 68 6f 77 20 79 6f 75 20 63 61 6e 20 65 78 70 61 6e 64 20 74 68 65 20 65 78 61 6d 70	t's.how.you.can.expand.the.examp
1a820	6c 65 20 61 62 6f 76 65 2e 20 55 73 65 20 74 68 65 20 60 52 6f 75 74 65 64 20 2f 34 38 60 20 69	le.above..Use.the.`Routed./48`.i
1a840	6e 66 6f 72 6d 61 74 69 6f 6e 2e 20 54 68 69 73 20 61 6c 6c 6f 77 73 20 79 6f 75 20 74 6f 20 61	nformation..This.allows.you.to.a
1a860	73 73 69 67 6e 20 61 20 64 69 66 66 65 72 65 6e 74 20 2f 36 34 20 74 6f 20 65 76 65 72 79 20 69	ssign.a.different./64.to.every.i
1a880	6e 74 65 72 66 61 63 65 2c 20 4c 41 4e 2c 20 6f 72 20 65 76 65 6e 20 64 65 76 69 63 65 2e 20 4f	nterface,.LAN,.or.even.device..O
1a8a0	72 20 79 6f 75 20 63 6f 75 6c 64 20 62 72 65 61 6b 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 20 69	r.you.could.break.your.network.i
1a8c0	6e 74 6f 20 73 6d 61 6c 6c 65 72 20 63 68 75 6e 6b 73 20 6c 69 6b 65 20 2f 35 36 20 6f 72 20 2f	nto.smaller.chunks.like./56.or./
1a8e0	36 30 2e 00 54 68 65 20 4c 61 62 20 61 73 75 6d 65 20 61 20 66 75 6c 6c 20 72 75 6e 6e 69 6e 67	60..The.Lab.asume.a.full.running
1a900	20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 6f 6e 20 74 68 65 20 57 69 6e 64 6f 77 73	.Active.Directory.on.the.Windows
1a920	20 53 65 72 76 65 72 2e 20 48 65 72 65 20 61 72 65 20 73 6f 6d 65 20 50 6f 77 65 72 53 68 65 6c	.Server..Here.are.some.PowerShel
1a940	6c 20 63 6f 6d 6d 61 6e 64 73 20 74 6f 20 71 75 69 63 6b 6c 79 20 61 64 64 20 61 20 54 65 73 74	l.commands.to.quickly.add.a.Test
1a960	20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 2e 00 54 68 65 20 54 6f 70 6f 6c 6f 67 79 20	.Active.Directory..The.Topology.
1a980	61 72 65 20 63 6f 6e 73 69 73 74 73 20 6f 66 3a 00 54 68 65 20 56 79 4f 53 20 69 6e 74 65 72 66	are.consists.of:.The.VyOS.interf
1a9a0	61 63 65 20 69 73 20 61 73 73 69 67 6e 65 64 20 74 68 65 20 2e 31 2f 3a 31 20 61 64 64 72 65 73	ace.is.assigned.the..1/:1.addres
1a9c0	73 20 6f 66 20 74 68 65 69 72 20 72 65 73 70 65 63 74 69 76 65 20 6e 65 74 77 6f 72 6b 73 2e 20	s.of.their.respective.networks..
1a9e0	57 41 4e 20 69 73 20 6f 6e 20 56 4c 41 4e 20 31 30 2c 20 4c 41 4e 20 6f 6e 20 56 4c 41 4e 20 32	WAN.is.on.VLAN.10,.LAN.on.VLAN.2
1aa00	30 2c 20 61 6e 64 20 44 4d 5a 20 6f 6e 20 56 4c 41 4e 20 33 30 2e 00 54 68 65 20 60 60 63 6f 6d	0,.and.DMZ.on.VLAN.30..The.``com
1aa20	6d 69 74 60 60 20 63 6f 6d 6d 61 6e 64 20 69 73 20 69 6d 70 6c 69 65 64 20 61 66 74 65 72 20 65	mit``.command.is.implied.after.e
1aa40	76 65 72 79 20 73 65 63 74 69 6f 6e 2e 20 49 66 20 79 6f 75 20 6d 61 6b 65 20 61 6e 20 65 72 72	very.section..If.you.make.an.err
1aa60	6f 72 2c 20 60 60 63 6f 6d 6d 69 74 60 60 20 77 69 6c 6c 20 77 61 72 6e 20 79 6f 75 20 61 6e 64	or,.``commit``.will.warn.you.and
1aa80	20 79 6f 75 20 63 61 6e 20 66 69 78 20 69 74 20 62 65 66 6f 72 65 20 67 65 74 74 69 6e 67 20 74	.you.can.fix.it.before.getting.t
1aaa0	6f 6f 20 66 61 72 20 69 6e 74 6f 20 74 68 69 6e 67 73 2e 20 50 6c 65 61 73 65 20 65 6e 73 75 72	oo.far.into.things..Please.ensur
1aac0	65 20 79 6f 75 20 63 6f 6d 6d 69 74 20 65 61 72 6c 79 20 61 6e 64 20 63 6f 6d 6d 69 74 20 6f 66	e.you.commit.early.and.commit.of
1aae0	74 65 6e 2e 00 54 68 65 20 60 60 72 65 64 69 73 74 72 69 62 75 74 65 20 6f 73 70 66 60 60 20 63	ten..The.``redistribute.ospf``.c
1ab00	6f 6d 6d 61 6e 64 20 69 73 20 74 68 65 72 65 20 70 75 72 65 6c 79 20 61 73 20 61 6e 20 65 78 61	ommand.is.there.purely.as.an.exa
1ab20	6d 70 6c 65 20 6f 66 20 68 6f 77 20 74 68 69 73 20 63 61 6e 20 62 65 20 65 78 70 61 6e 64 65 64	mple.of.how.this.can.be.expanded
1ab40	2e 20 49 6e 20 74 68 69 73 20 77 61 6c 6b 74 68 72 6f 75 67 68 2c 20 69 74 20 77 69 6c 6c 20 62	..In.this.walkthrough,.it.will.b
1ab60	65 20 66 69 6c 74 65 72 65 64 20 62 79 20 42 47 50 4f 55 54 20 72 75 6c 65 20 31 30 30 30 30 2c	e.filtered.by.BGPOUT.rule.10000,
1ab80	20 61 73 20 69 74 20 69 73 20 6e 6f 74 20 32 30 33 2e 30 2e 31 31 33 2e 30 2f 32 34 2e 00 54 68	.as.it.is.not.203.0.113.0/24..Th
1aba0	65 20 62 65 6c 6f 77 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 69 73 20 75 73 65 64 20 61 73	e.below.configuration.is.used.as
1abc0	20 65 78 61 6d 70 6c 65 20 77 68 65 72 65 20 77 65 20 6b 65 65 70 20 66 6f 63 75 73 20 6f 6e 20	.example.where.we.keep.focus.on.
1abe0	56 79 4f 53 2d 50 31 2f 56 79 4f 53 2d 50 32 2f 58 52 76 2d 50 33 20 77 68 69 63 68 20 77 65 20	VyOS-P1/VyOS-P2/XRv-P3.which.we.
1ac00	73 68 61 72 65 20 74 68 65 20 73 65 74 74 69 6e 67 73 2e 00 54 68 65 20 63 6f 6e 66 69 67 75 72	share.the.settings..The.configur
1ac20	61 74 69 6f 6e 20 73 74 65 70 73 20 61 72 65 20 74 68 65 20 73 61 6d 65 20 61 73 20 69 6e 20 74	ation.steps.are.the.same.as.in.t
1ac40	68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 65 78 63 65 70 74 20 72 75 6c 65	he.previous.example,.except.rule
1ac60	20 31 30 2e 20 53 6f 20 77 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f	.10..So.we.keep.the.configuratio
1ac80	6e 2c 20 72 65 6d 6f 76 65 20 72 75 6c 65 20 31 30 20 61 6e 64 20 61 64 64 20 61 20 6e 65 77 20	n,.remove.rule.10.and.add.a.new.
1aca0	72 75 6c 65 20 66 6f 72 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 6d 6f 64 65 3a 00 54 68 65 20	rule.for.the.failover.mode:.The.
1acc0	65 78 61 6d 70 6c 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 73 20 32 20 56 79 4f 53 20 72 6f 75 74	example.topology.has.2.VyOS.rout
1ace0	65 72 73 2e 20 4f 6e 65 20 61 73 20 54 68 65 20 57 41 4e 20 52 6f 75 74 65 72 20 61 6e 64 20 6f	ers..One.as.The.WAN.Router.and.o
1ad00	6e 20 61 73 20 61 20 43 6c 69 65 6e 74 2c 20 74 6f 20 74 65 73 74 20 61 20 73 69 6e 67 6c 65 20	n.as.a.Client,.to.test.a.single.
1ad20	4c 41 4e 20 73 65 74 75 70 00 54 68 65 20 66 69 72 73 74 20 74 77 6f 20 72 75 6c 65 73 20 61 72	LAN.setup.The.first.two.rules.ar
1ad40	65 20 74 6f 20 64 65 61 6c 20 77 69 74 68 20 74 68 65 20 69 64 69 6f 73 79 6e 63 72 61 73 69 65	e.to.deal.with.the.idiosyncrasie
1ad60	73 20 6f 66 20 56 79 4f 53 20 61 6e 64 20 69 70 74 61 62 6c 65 73 2e 00 54 68 65 20 66 6f 6c 6c	s.of.VyOS.and.iptables..The.foll
1ad80	6f 77 69 6e 67 20 61 72 65 20 74 68 65 20 72 75 6c 65 73 20 74 68 61 74 20 77 65 72 65 20 63 72	owing.are.the.rules.that.were.cr
1ada0	65 61 74 65 64 20 66 6f 72 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 28 6d 61 79 20 6e 6f 74 20	eated.for.this.example.(may.not.
1adc0	62 65 20 63 6f 6d 70 6c 65 74 65 29 2c 20 62 6f 74 68 20 69 6e 20 49 50 76 34 20 61 6e 64 20 49	be.complete),.both.in.IPv4.and.I
1ade0	50 76 36 2e 20 49 66 20 74 68 65 72 65 20 69 73 20 6e 6f 20 49 50 20 73 70 65 63 69 66 69 65 64	Pv6..If.there.is.no.IP.specified
1ae00	2c 20 74 68 65 6e 20 74 68 65 20 73 6f 75 72 63 65 2f 64 65 73 74 69 6e 61 74 69 6f 6e 20 61 64	,.then.the.source/destination.ad
1ae20	64 72 65 73 73 20 69 73 20 6e 6f 74 20 65 78 70 6c 69 63 69 74 2e 00 54 68 65 20 66 6f 6c 6c 6f	dress.is.not.explicit..The.follo
1ae40	77 69 6e 67 20 73 6f 66 74 77 61 72 65 20 77 61 73 20 75 73 65 64 20 69 6e 20 74 68 65 20 63 72	wing.software.was.used.in.the.cr
1ae60	65 61 74 69 6f 6e 20 6f 66 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 3a 00 54 68 65 20 66 6f 6c	eation.of.this.document:.The.fol
1ae80	6c 6f 77 69 6e 67 20 74 65 6d 70 6c 61 74 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 61	lowing.template.configuration.ca
1aea0	6e 20 62 65 20 75 73 65 64 20 69 6e 20 65 61 63 68 20 72 65 6d 6f 74 65 20 72 6f 75 74 65 72 20	n.be.used.in.each.remote.router.
1aec0	62 61 73 65 64 20 69 6e 20 6f 75 72 20 74 6f 70 6f 6c 6f 67 79 2e 00 54 68 65 20 66 6f 72 6d 61	based.in.our.topology..The.forma
1aee0	74 20 6f 66 20 74 68 65 73 65 20 61 64 64 72 65 73 73 65 73 3a 00 54 68 65 20 6c 61 62 20 49 20	t.of.these.addresses:.The.lab.I.
1af00	62 75 69 6c 74 20 69 73 20 75 73 69 6e 67 20 61 20 56 52 46 20 28 63 61 6c 6c 65 64 20 2a 2a 6d	built.is.using.a.VRF.(called.**m
1af20	67 6d 74 2a 2a 29 20 74 6f 20 70 72 6f 76 69 64 65 20 6f 75 74 2d 6f 66 2d 62 61 6e 64 20 53 53	gmt**).to.provide.out-of-band.SS
1af40	48 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 50 45 20 28 50 72 6f 76 69 64 65 72 20 45 64 67	H.access.to.the.PE.(Provider.Edg
1af60	65 29 20 72 6f 75 74 65 72 73 2e 00 54 68 65 20 6c 61 62 20 77 61 73 20 62 75 69 6c 74 20 75 73	e).routers..The.lab.was.built.us
1af80	69 6e 67 20 45 56 45 2d 4e 47 2e 00 54 68 65 20 6e 65 78 74 20 70 61 67 65 73 20 63 6f 6e 74 61	ing.EVE-NG..The.next.pages.conta
1afa0	69 6e 73 20 61 75 74 6f 6d 61 74 69 63 20 66 75 6c 6c 20 74 65 73 74 65 64 20 63 6f 6e 66 69 67	ins.automatic.full.tested.config
1afc0	75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 73 2e 00 54 68 65 20 70 72 65 76 69 6f 75 73 20 65	uration.examples..The.previous.e
1afe0	78 61 6d 70 6c 65 20 75 73 65 64 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 63 6f 6d 6d 61 6e 64	xample.used.the.failover.command
1b000	20 74 6f 20 73 65 6e 64 20 74 72 61 66 66 69 63 20 74 68 72 6f 75 67 68 20 65 74 68 31 20 69 66	.to.send.traffic.through.eth1.if
1b020	20 65 74 68 30 20 66 61 69 6c 73 2e 20 49 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 2c 20 66 61	.eth0.fails..In.this.example,.fa
1b040	69 6c 6f 76 65 72 20 66 75 6e 63 74 69 6f 6e 61 6c 69 74 79 20 69 73 20 70 72 6f 76 69 64 65 64	ilover.functionality.is.provided
1b060	20 62 79 20 72 75 6c 65 20 6f 72 64 65 72 2e 00 54 68 65 20 70 72 6f 63 65 73 73 20 77 69 6c 6c	.by.rule.order..The.process.will
1b080	20 64 6f 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 73 74 65 70 73 3a 00 54 68 65 20 73 63 6f	.do.the.following.steps:.The.sco
1b0a0	70 65 20 6f 66 20 74 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 63 6f 76 65 72 20	pe.of.this.document.is.to.cover.
1b0c0	73 75 63 68 20 63 61 73 65 73 20 69 6e 20 61 20 64 79 6e 61 6d 69 63 20 77 61 79 20 77 69 74 68	such.cases.in.a.dynamic.way.with
1b0e0	6f 75 74 20 74 68 65 20 75 73 65 20 6f 66 20 4d 50 4c 53 2d 4c 44 50 2e 00 54 68 65 20 73 65 74	out.the.use.of.MPLS-LDP..The.set
1b100	75 70 20 75 73 65 64 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 20 69 73 20 73 68 6f 77 6e	up.used.in.this.example.is.shown
1b120	20 69 6e 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 64 69 61 67 72 61 6d 3a 00 54 68 65 20 73	.in.the.following.diagram:.The.s
1b140	69 6d 70 6c 65 20 77 61 79 20 77 69 74 68 6f 75 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20	imple.way.without.configuration.
1b160	6f 66 20 74 68 65 20 68 6f 73 74 6e 61 6d 65 20 28 6f 6e 65 20 74 61 73 6b 20 66 6f 72 20 61 6c	of.the.hostname.(one.task.for.al
1b180	6c 20 72 6f 75 74 65 72 73 29 3a 00 54 68 65 20 73 69 6d 70 6c 65 73 74 20 77 61 79 20 74 6f 20	l.routers):.The.simplest.way.to.
1b1a0	74 65 73 74 20 69 73 20 74 6f 20 6c 6f 6f 6b 20 61 74 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f	test.is.to.look.at.the.connectio
1b1c0	6e 20 74 72 61 63 6b 69 6e 67 20 73 74 61 74 73 20 6f 6e 20 74 68 65 20 73 74 61 6e 64 62 79 20	n.tracking.stats.on.the.standby.
1b1e0	68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 20 77 69 74 68 20 74 68 65 20 63 6f 6d 6d 61 6e 64	hardware.router.with.the.command
1b200	20 60 60 73 68 6f 77 20 63 6f 6e 6e 74 72 61 63 6b 2d 73 79 6e 63 20 73 74 61 74 69 73 74 69 63	.``show.conntrack-sync.statistic
1b220	73 60 60 2e 20 54 68 65 20 6e 75 6d 62 65 72 73 20 73 68 6f 75 6c 64 20 62 65 20 76 65 72 79 20	s``..The.numbers.should.be.very.
1b240	63 6c 6f 73 65 20 74 6f 20 74 68 65 20 6e 75 6d 62 65 72 73 20 6f 6e 20 74 68 65 20 70 72 69 6d	close.to.the.numbers.on.the.prim
1b260	61 72 79 20 72 6f 75 74 65 72 2e 00 54 68 65 20 73 79 6e 63 20 67 72 6f 75 70 20 69 73 20 75 73	ary.router..The.sync.group.is.us
1b280	65 64 20 74 6f 20 72 65 70 6c 69 63 61 74 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 72 61 63 6b	ed.to.replicate.connection.track
1b2a0	69 6e 67 2e 20 49 74 20 6e 65 65 64 73 20 74 6f 20 62 65 20 61 73 73 69 67 6e 65 64 20 74 6f 20	ing..It.needs.to.be.assigned.to.
1b2c0	61 20 72 61 6e 64 6f 6d 20 56 52 52 50 20 67 72 6f 75 70 2c 20 61 6e 64 20 77 65 20 61 72 65 20	a.random.VRRP.group,.and.we.are.
1b2e0	63 72 65 61 74 69 6e 67 20 61 20 73 79 6e 63 20 67 72 6f 75 70 20 63 61 6c 6c 65 64 20 60 60 73	creating.a.sync.group.called.``s
1b300	79 6e 63 60 60 20 75 73 69 6e 67 20 74 68 65 20 76 72 72 70 20 67 72 6f 75 70 20 60 60 69 6e 74	ync``.using.the.vrrp.group.``int
1b320	60 60 2e 00 54 68 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 73 20 33 20 56 79 4f 53 20 72 6f 75 74	``..The.topology.has.3.VyOS.rout
1b340	65 72 73 20 61 6e 64 20 6f 6e 65 20 63 6c 69 65 6e 74 2e 20 42 65 74 77 65 65 6e 20 74 68 65 20	ers.and.one.client..Between.the.
1b360	44 48 43 50 20 53 65 72 76 65 72 20 61 6e 64 20 74 68 65 20 44 48 43 50 20 52 65 6c 61 79 20 69	DHCP.Server.and.the.DHCP.Relay.i
1b380	73 20 61 20 47 52 45 20 74 75 6e 6e 65 6c 2e 20 54 68 65 20 60 74 72 61 6e 73 70 6f 72 74 60 20	s.a.GRE.tunnel..The.`transport`.
1b3a0	56 79 4f 53 20 72 65 70 72 65 73 65 6e 74 20 61 20 6c 61 72 67 65 20 4e 65 74 77 6f 72 6b 2e 00	VyOS.represent.a.large.Network..
1b3c0	54 68 65 20 74 6f 70 6f 6c 6f 67 79 20 68 61 76 65 20 61 20 63 65 6e 74 72 61 6c 20 61 6e 64 20	The.topology.have.a.central.and.
1b3e0	61 20 62 72 61 6e 63 68 20 56 79 4f 53 20 72 6f 75 74 65 72 20 61 6e 64 20 6f 6e 65 20 63 6c 69	a.branch.VyOS.router.and.one.cli
1b400	65 6e 74 2c 20 74 6f 20 74 65 73 74 2c 20 69 6e 20 65 61 63 68 20 73 69 74 65 2e 00 54 68 65 6e	ent,.to.test,.in.each.site..Then
1b420	20 61 64 64 20 61 20 72 6f 75 74 65 2d 6d 61 70 20 61 6e 64 20 72 65 66 65 72 65 6e 63 65 20 74	.add.a.route-map.and.reference.t
1b440	6f 20 61 62 6f 76 65 20 70 72 65 66 69 78 2e 20 43 6f 6e 73 69 64 65 72 20 74 68 61 74 20 74 68	o.above.prefix..Consider.that.th
1b460	65 20 61 63 74 69 6f 6e 73 20 74 61 6b 65 6e 20 69 6e 73 69 64 65 20 74 68 65 20 70 72 65 66 69	e.actions.taken.inside.the.prefi
1b480	78 20 77 69 6c 6c 20 4d 41 54 43 48 20 74 68 65 20 72 6f 75 74 65 73 20 74 68 61 74 20 77 69 6c	x.will.MATCH.the.routes.that.wil
1b4a0	6c 20 62 65 20 61 66 66 65 63 74 65 64 20 62 79 20 74 68 65 20 61 63 74 69 6f 6e 73 20 69 6e 73	l.be.affected.by.the.actions.ins
1b4c0	69 64 65 20 74 68 65 20 72 75 6c 65 73 20 6f 66 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 2e 00	ide.the.rules.of.the.route-map..
1b4e0	54 68 65 6e 20 77 65 20 6e 65 65 64 20 74 6f 20 61 74 74 61 63 68 20 74 68 65 20 70 6f 6c 69 63	Then.we.need.to.attach.the.polic
1b500	79 20 74 6f 20 74 68 65 20 42 47 50 20 70 72 6f 63 65 73 73 2e 20 54 68 69 73 20 6e 65 65 64 73	y.to.the.BGP.process..This.needs
1b520	20 74 6f 20 62 65 20 75 6e 64 65 72 20 74 68 65 20 69 6d 70 6f 72 74 20 73 74 61 74 65 6d 65 6e	.to.be.under.the.import.statemen
1b540	74 20 69 6e 20 74 68 65 20 76 72 66 20 77 65 20 6e 65 65 64 20 74 6f 20 66 69 6c 74 65 72 2e 00	t.in.the.vrf.we.need.to.filter..
1b560	54 68 65 72 65 20 61 72 65 20 73 6f 6d 65 20 63 61 73 65 73 20 77 68 65 72 65 20 74 68 69 73 20	There.are.some.cases.where.this.
1b580	69 73 20 6e 6f 74 20 6e 65 65 64 65 64 20 2d 66 6f 72 20 65 78 61 6d 70 6c 65 2c 20 69 6e 20 73	is.not.needed.-for.example,.in.s
1b5a0	6f 6d 65 20 44 44 6f 53 20 61 70 70 6c 69 61 6e 63 65 2d 20 62 75 74 20 6d 6f 73 74 20 69 6e 74	ome.DDoS.appliance-.but.most.int
1b5c0	65 72 2d 76 72 66 20 72 6f 75 74 69 6e 67 20 64 65 73 69 67 6e 73 20 75 73 65 20 74 68 65 20 61	er-vrf.routing.designs.use.the.a
1b5e0	62 6f 76 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 73 2e 00 54 68 65 72 65 20 69 73 20 70 6c	bove.configurations..There.is.pl
1b600	65 6e 74 79 20 6f 66 20 69 6e 73 74 72 75 63 74 69 6f 6e 73 20 61 6e 64 20 64 6f 63 75 6d 65 6e	enty.of.instructions.and.documen
1b620	74 61 74 69 6f 6e 20 6f 6e 20 73 65 74 74 69 6e 67 20 75 70 20 57 69 72 65 67 75 61 72 64 2e 20	tation.on.setting.up.Wireguard..
1b640	54 68 65 20 6f 6e 6c 79 20 69 6d 70 6f 72 74 61 6e 74 20 74 68 69 6e 67 20 79 6f 75 20 6e 65 65	The.only.important.thing.you.nee
1b660	64 20 74 6f 20 72 65 6d 65 6d 62 65 72 20 69 73 20 74 6f 20 6f 6e 6c 79 20 75 73 65 20 6f 6e 65	d.to.remember.is.to.only.use.one
1b680	20 57 69 72 65 47 75 61 72 64 20 69 6e 74 65 72 66 61 63 65 20 70 65 72 20 4f 53 50 46 20 63 6f	.WireGuard.interface.per.OSPF.co
1b6a0	6e 6e 65 63 74 69 6f 6e 2e 00 54 68 65 73 65 20 61 72 65 20 74 68 65 20 76 6c 61 6e 73 20 77 65	nnection..These.are.the.vlans.we
1b6c0	20 77 69 6c 6c 20 62 65 20 75 73 69 6e 67 3a 00 54 68 65 79 20 77 61 6e 74 20 75 73 20 74 6f 20	.will.be.using:.They.want.us.to.
1b6e0	65 73 74 61 62 6c 69 73 68 20 61 20 42 47 50 20 73 65 73 73 69 6f 6e 20 74 6f 20 74 68 65 69 72	establish.a.BGP.session.to.their
1b700	20 72 6f 75 74 65 72 73 20 6f 6e 20 31 39 32 2e 30 2e 32 2e 31 31 20 61 6e 64 20 31 39 32 2e 30	.routers.on.192.0.2.11.and.192.0
1b720	2e 32 2e 31 32 20 66 72 6f 6d 20 6f 75 72 20 72 6f 75 74 65 72 73 20 31 39 32 2e 30 2e 32 2e 32	.2.12.from.our.routers.192.0.2.2
1b740	31 20 61 6e 64 20 31 39 32 2e 30 2e 32 2e 32 32 2e 20 54 68 65 79 20 61 72 65 20 41 53 20 36 35	1.and.192.0.2.22..They.are.AS.65
1b760	35 35 30 20 61 6e 64 20 77 65 20 61 72 65 20 41 53 20 36 35 35 35 31 2e 00 54 68 69 73 20 4c 41	550.and.we.are.AS.65551..This.LA
1b780	42 20 73 68 6f 77 20 68 6f 77 20 74 6f 20 75 77 65 20 4f 70 65 6e 56 50 4e 20 77 69 74 68 20 61	B.show.how.to.uwe.OpenVPN.with.a
1b7a0	20 41 63 74 69 76 65 20 44 69 72 65 63 74 6f 72 79 20 61 75 74 68 65 6e 74 69 63 61 74 69 6f 6e	.Active.Directory.authentication
1b7c0	20 62 61 63 6b 65 6e 64 2e 00 54 68 69 73 20 61 63 63 6f 6d 70 6c 69 73 68 65 73 20 61 20 66 65	.backend..This.accomplishes.a.fe
1b7e0	77 20 74 68 69 6e 67 73 3a 00 54 68 69 73 20 63 68 61 70 74 65 72 20 63 6f 6e 74 61 69 6e 73 20	w.things:.This.chapter.contains.
1b800	76 61 72 69 6f 75 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 73 3a 00	various.configuration.examples:.
1b820	54 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 20 61 6e 64 20 74	This.configuration.example.and.t
1b840	68 65 20 72 65 71 75 69 72 6d 65 6e 74 73 20 63 6f 6e 73 69 73 74 73 20 6f 6e 3a 00 54 68 69 73	he.requirments.consists.on:.This
1b860	20 64 6f 63 75 6d 65 6e 74 20 61 69 6d 73 20 74 6f 20 77 61 6c 6b 20 79 6f 75 20 74 68 72 6f 75	.document.aims.to.walk.you.throu
1b880	67 68 20 73 65 74 74 69 6e 67 20 65 76 65 72 79 74 68 69 6e 67 20 75 70 2c 20 73 6f 20 61 74 20	gh.setting.everything.up,.so.at.
1b8a0	61 20 70 6f 69 6e 74 20 77 68 65 72 65 20 79 6f 75 20 63 61 6e 20 72 65 62 6f 6f 74 20 61 6e 79	a.point.where.you.can.reboot.any
1b8c0	20 6d 61 63 68 69 6e 65 20 61 6e 64 20 6e 6f 74 20 6c 6f 73 65 20 6d 6f 72 65 20 74 68 61 6e 20	.machine.and.not.lose.more.than.
1b8e0	61 20 66 65 77 20 73 65 63 6f 6e 64 73 20 77 6f 72 74 68 20 6f 66 20 63 6f 6e 6e 65 63 74 69 76	a.few.seconds.worth.of.connectiv
1b900	69 74 79 2e 00 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 69 73 20 74 6f 20 64 65 73 63 72 69 62	ity..This.document.is.to.describ
1b920	65 20 61 20 62 61 73 69 63 20 73 65 74 75 70 20 75 73 69 6e 67 20 50 50 50 6f 45 20 77 69 74 68	e.a.basic.setup.using.PPPoE.with
1b940	20 44 48 43 50 76 36 2d 50 44 20 2b 20 53 4c 41 41 43 20 74 6f 20 63 6f 6e 73 74 72 75 63 74 20	.DHCPv6-PD.+.SLAAC.to.construct.
1b960	61 20 74 79 70 69 63 61 6c 20 68 6f 6d 65 20 6e 65 74 77 6f 72 6b 2e 20 54 68 65 20 75 73 65 72	a.typical.home.network..The.user
1b980	20 63 61 6e 20 66 6f 6c 6c 6f 77 20 74 68 65 20 73 74 65 70 73 20 64 65 73 63 72 69 62 65 64 20	.can.follow.the.steps.described.
1b9a0	68 65 72 65 20 74 6f 20 71 75 69 63 6b 6c 79 20 73 65 74 75 70 20 61 20 77 6f 72 6b 69 6e 67 20	here.to.quickly.setup.a.working.
1b9c0	6e 65 74 77 6f 72 6b 20 61 6e 64 20 75 73 65 20 74 68 69 73 20 61 73 20 61 20 73 74 61 72 74 69	network.and.use.this.as.a.starti
1b9e0	6e 67 20 70 6f 69 6e 74 20 74 6f 20 66 75 72 74 68 65 72 20 63 6f 6e 66 69 67 75 72 65 20 6f 72	ng.point.to.further.configure.or
1ba00	20 66 69 6e 65 2d 74 75 6e 65 20 6f 74 68 65 72 20 73 65 74 74 69 6e 67 73 2e 00 54 68 69 73 20	.fine-tune.other.settings..This.
1ba20	64 6f 63 75 6d 65 6e 74 20 77 61 6c 6b 73 20 79 6f 75 20 74 68 72 6f 75 67 68 20 61 20 63 6f 6d	document.walks.you.through.a.com
1ba40	70 6c 65 74 65 20 48 41 20 73 65 74 75 70 20 6f 66 20 74 77 6f 20 56 79 4f 53 20 6d 61 63 68 69	plete.HA.setup.of.two.VyOS.machi
1ba60	6e 65 73 2e 20 54 68 69 73 20 64 65 73 69 67 6e 20 69 73 20 62 61 73 65 64 20 6f 6e 20 61 20 56	nes..This.design.is.based.on.a.V
1ba80	4d 20 61 73 20 74 68 65 20 70 72 69 6d 61 72 79 20 72 6f 75 74 65 72 20 61 6e 64 20 61 20 70 68	M.as.the.primary.router.and.a.ph
1baa0	79 73 69 63 61 6c 20 6d 61 63 68 69 6e 65 20 61 73 20 61 20 62 61 63 6b 75 70 2c 20 75 73 69 6e	ysical.machine.as.a.backup,.usin
1bac0	67 20 56 52 52 50 2c 20 42 47 50 2c 20 4f 53 50 46 2c 20 61 6e 64 20 63 6f 6e 6e 74 72 61 63 6b	g.VRRP,.BGP,.OSPF,.and.conntrack
1bae0	20 73 68 61 72 69 6e 67 2e 00 54 68 69 73 20 65 6e 73 75 72 65 73 20 79 6f 75 20 64 6f 6e 27 74	.sharing..This.ensures.you.don't
1bb00	20 67 6f 20 74 6f 6f 20 66 61 73 74 20 6f 72 20 6d 69 73 73 20 61 20 73 74 65 70 2e 20 48 6f 77	.go.too.fast.or.miss.a.step..How
1bb20	65 76 65 72 2c 20 69 74 20 77 69 6c 6c 20 6d 61 6b 65 20 79 6f 75 72 20 6c 69 66 65 20 65 61 73	ever,.it.will.make.your.life.eas
1bb40	69 65 72 20 74 6f 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 66 69 78 65 64 20 49 50 20 61 64	ier.to.configure.the.fixed.IP.ad
1bb60	64 72 65 73 73 20 61 6e 64 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 6e 6f 77 20 6f 6e 20 74	dress.and.default.route.now.on.t
1bb80	68 65 20 68 61 72 64 77 61 72 65 20 72 6f 75 74 65 72 2e 00 54 68 69 73 20 65 78 61 6d 70 6c 65	he.hardware.router..This.example
1bba0	20 75 73 65 73 20 74 68 65 20 66 61 69 6c 6f 76 65 72 20 6d 6f 64 65 2e 00 54 68 69 73 20 67 69	.uses.the.failover.mode..This.gi
1bbc0	76 65 73 20 75 73 20 4d 50 4c 53 20 73 65 67 6d 65 6e 74 20 72 6f 75 74 69 6e 67 20 65 6e 61 62	ves.us.MPLS.segment.routing.enab
1bbe0	6c 65 64 20 61 6e 64 20 6c 61 62 65 6c 73 20 66 6f 72 77 61 72 64 69 6e 67 20 3a 00 54 68 69 73	led.and.labels.forwarding.:.This
1bc00	20 67 75 69 64 65 20 73 68 6f 77 73 20 61 20 73 61 6d 70 6c 65 20 63 6f 6e 66 69 67 75 72 61 74	.guide.shows.a.sample.configurat
1bc20	69 6f 6e 20 66 6f 72 20 46 6c 65 78 56 50 4e 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 49 6e 74	ion.for.FlexVPN.site-to-site.Int
1bc40	65 72 6e 65 74 20 50 72 6f 74 6f 63 6f 6c 20 53 65 63 75 72 69 74 79 20 28 49 50 73 65 63 29 2f	ernet.Protocol.Security.(IPsec)/
1bc60	47 65 6e 65 72 69 63 20 52 6f 75 74 69 6e 67 20 45 6e 63 61 70 73 75 6c 61 74 69 6f 6e 20 28 47	Generic.Routing.Encapsulation.(G
1bc80	52 45 29 20 74 75 6e 6e 65 6c 2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20	RE).tunnel..This.guide.shows.an.
1bca0	65 78 61 6d 70 6c 65 20 6f 66 20 61 20 72 65 64 75 6e 64 61 6e 74 20 28 61 63 74 69 76 65 2d 61	example.of.a.redundant.(active-a
1bcc0	63 74 69 76 65 29 20 72 6f 75 74 65 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f	ctive).route-based.IKEv2.site-to
1bce0	2d 73 69 74 65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 75 73 69 6e 67 20 56 54 49 20 61 6e 64	-site.VPN.to.Azure.using.VTI.and
1bd00	20 42 47 50 20 66 6f 72 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 70 64 61 74 65 73	.BGP.for.dynamic.routing.updates
1bd20	2e 00 54 68 69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 6f 66	..This.guide.shows.an.example.of
1bd40	20 61 20 72 6f 75 74 65 2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74	.a.route-based.IKEv2.site-to-sit
1bd60	65 20 56 50 4e 20 74 6f 20 41 7a 75 72 65 20 75 73 69 6e 67 20 56 54 49 20 61 6e 64 20 42 47 50	e.VPN.to.Azure.using.VTI.and.BGP
1bd80	20 66 6f 72 20 64 79 6e 61 6d 69 63 20 72 6f 75 74 69 6e 67 20 75 70 64 61 74 65 73 2e 00 54 68	.for.dynamic.routing.updates..Th
1bda0	69 73 20 67 75 69 64 65 20 73 68 6f 77 73 20 61 6e 20 65 78 61 6d 70 6c 65 20 70 6f 6c 69 63 79	is.guide.shows.an.example.policy
1bdc0	2d 62 61 73 65 64 20 49 4b 45 76 32 20 73 69 74 65 2d 74 6f 2d 73 69 74 65 20 56 50 4e 20 62 65	-based.IKEv2.site-to-site.VPN.be
1bde0	74 77 65 65 6e 20 74 77 6f 20 56 79 4f 53 20 72 6f 75 74 65 72 73 2c 20 61 6e 64 20 66 69 72 65	tween.two.VyOS.routers,.and.fire
1be00	77 61 6c 6c 20 63 6f 6e 66 69 67 69 75 72 61 74 69 6f 6e 2e 00 54 68 69 73 20 67 75 69 64 65 20	wall.configiuration..This.guide.
1be20	77 61 6c 6b 73 20 74 68 72 6f 75 67 68 20 74 68 65 20 73 65 74 75 70 20 6f 66 20 68 74 74 70 73	walks.through.the.setup.of.https
1be40	3a 2f 2f 77 77 77 2e 74 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2f 20 66 6f 72 20 61 6e 20	://www.tunnelbroker.net/.for.an.
1be60	49 50 76 36 20 54 75 6e 6e 65 6c 2e 00 54 68 69 73 20 68 61 73 20 61 20 66 6c 6f 61 74 69 6e 67	IPv6.Tunnel..This.has.a.floating
1be80	20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 31 30 2e 32 30 30 2e 32 30 31 2e 31 2f 32 34 2c 20	.IP.address.of.10.200.201.1/24,.
1bea0	75 73 69 6e 67 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 32 30 31 2e 20 54 68 65	using.virtual.router.ID.201..The
1bec0	20 64 69 66 66 65 72 65 6e 63 65 20 62 65 74 77 65 65 6e 20 74 68 65 6d 20 69 73 20 74 68 65 20	.difference.between.them.is.the.
1bee0	69 6e 74 65 72 66 61 63 65 20 6e 61 6d 65 2c 20 68 65 6c 6c 6f 2d 73 6f 75 72 63 65 2d 61 64 64	interface.name,.hello-source-add
1bf00	72 65 73 73 2c 20 61 6e 64 20 70 65 65 72 2d 61 64 64 72 65 73 73 2e 00 54 68 69 73 20 68 61 73	ress,.and.peer-address..This.has
1bf20	20 61 20 66 6c 6f 61 74 69 6e 67 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 32 30 33 2e 30 2e	.a.floating.IP.address.of.203.0.
1bf40	31 31 33 2e 31 2f 32 34 2c 20 75 73 69 6e 67 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49	113.1/24,.using.virtual.router.I
1bf60	44 20 31 31 33 2e 20 54 68 65 20 76 69 72 74 75 61 6c 20 72 6f 75 74 65 72 20 49 44 20 69 73 20	D.113..The.virtual.router.ID.is.
1bf80	6a 75 73 74 20 61 20 72 61 6e 64 6f 6d 20 6e 75 6d 62 65 72 20 62 65 74 77 65 65 6e 20 31 20 61	just.a.random.number.between.1.a
1bfa0	6e 64 20 32 35 34 2c 20 61 6e 64 20 63 61 6e 20 62 65 20 73 65 74 20 74 6f 20 77 68 61 74 65 76	nd.254,.and.can.be.set.to.whatev
1bfc0	65 72 20 79 6f 75 20 77 61 6e 74 2e 20 42 65 73 74 20 70 72 61 63 74 69 63 65 73 20 73 75 67 67	er.you.want..Best.practices.sugg
1bfe0	65 73 74 20 79 6f 75 20 74 72 79 20 74 6f 20 6b 65 65 70 20 74 68 65 6d 20 75 6e 69 71 75 65 20	est.you.try.to.keep.them.unique.
1c000	65 6e 74 65 72 70 72 69 73 65 2d 77 69 64 65 2e 00 54 68 69 73 20 69 73 20 61 6e 20 65 78 61 6d	enterprise-wide..This.is.an.exam
1c020	70 6c 65 20 6f 66 20 74 68 65 20 74 68 72 65 65 20 62 61 73 65 20 72 75 6c 65 73 2e 00 54 68 69	ple.of.the.three.base.rules..Thi
1c040	73 20 69 73 20 62 61 73 65 64 20 6f 6e 20 61 20 72 65 61 6c 2d 6c 69 66 65 20 70 72 6f 64 75 63	s.is.based.on.a.real-life.produc
1c060	74 69 6f 6e 20 64 65 73 69 67 6e 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 63 6f 6d 70 6c 65 78 20	tion.design..One.of.the.complex.
1c080	69 73 73 75 65 73 20 69 73 20 65 6e 73 75 72 69 6e 67 20 79 6f 75 20 68 61 76 65 20 72 65 64 75	issues.is.ensuring.you.have.redu
1c0a0	6e 64 61 6e 74 20 64 61 74 61 20 49 4e 54 4f 20 79 6f 75 72 20 6e 65 74 77 6f 72 6b 2e 20 57 65	ndant.data.INTO.your.network..We
1c0c0	20 64 6f 20 74 68 69 73 20 77 69 74 68 20 61 20 70 61 69 72 20 6f 66 20 43 69 73 63 6f 20 4e 65	.do.this.with.a.pair.of.Cisco.Ne
1c0e0	78 75 73 20 73 77 69 74 63 68 65 73 20 61 6e 64 20 75 73 69 6e 67 20 56 69 72 74 75 61 6c 20 50	xus.switches.and.using.Virtual.P
1c100	6f 72 74 43 68 61 6e 6e 65 6c 73 20 74 68 61 74 20 61 72 65 20 73 70 61 6e 6e 65 64 20 61 63 72	ortChannels.that.are.spanned.acr
1c120	6f 73 73 20 74 68 65 6d 2e 20 41 73 20 61 20 62 6f 6e 75 73 2c 20 74 68 69 73 20 61 6c 73 6f 20	oss.them..As.a.bonus,.this.also.
1c140	61 6c 6c 6f 77 73 20 66 6f 72 20 63 6f 6d 70 6c 65 74 65 20 73 77 69 74 63 68 20 66 61 69 6c 75	allows.for.complete.switch.failu
1c160	72 65 20 77 69 74 68 6f 75 74 20 61 6e 20 6f 75 74 61 67 65 2e 20 48 6f 77 20 79 6f 75 20 61 63	re.without.an.outage..How.you.ac
1c180	68 69 65 76 65 20 74 68 69 73 20 79 6f 75 72 73 65 6c 66 20 69 73 20 6c 65 66 74 20 61 73 20 61	hieve.this.yourself.is.left.as.a
1c1a0	6e 20 65 78 65 72 63 69 73 65 20 74 6f 20 74 68 65 20 72 65 61 64 65 72 2e 20 42 75 74 20 6f 75	n.exercise.to.the.reader..But.ou
1c1c0	72 20 73 65 74 75 70 20 69 73 20 64 6f 63 75 6d 65 6e 74 65 64 20 68 65 72 65 2e 00 54 68 69 73	r.setup.is.documented.here..This
1c1e0	20 69 73 20 63 6f 6e 6e 65 63 74 69 6e 67 20 62 61 63 6b 20 74 6f 20 74 68 65 20 53 54 41 54 49	.is.connecting.back.to.the.STATI
1c200	43 20 49 50 20 6f 66 20 72 6f 75 74 65 72 31 2c 20 6e 6f 74 20 74 68 65 20 66 6c 6f 61 74 69 6e	C.IP.of.router1,.not.the.floatin
1c220	67 2e 00 54 68 69 73 20 69 73 20 69 64 65 6e 74 69 63 61 6c 2c 20 62 75 74 20 79 6f 75 20 75 73	g..This.is.identical,.but.you.us
1c240	65 20 74 68 65 20 42 47 50 50 52 45 50 45 4e 44 4f 55 54 20 72 6f 75 74 65 2d 6d 61 70 20 74 6f	e.the.BGPPREPENDOUT.route-map.to
1c260	20 61 64 76 65 72 74 69 73 65 20 74 68 65 20 72 6f 75 74 65 20 77 69 74 68 20 61 20 6c 6f 6e 67	.advertise.the.route.with.a.long
1c280	65 72 20 70 61 74 68 2e 00 54 68 69 73 20 69 73 20 69 67 6e 6f 72 69 6e 67 20 74 68 65 20 65 78	er.path..This.is.ignoring.the.ex
1c2a0	74 72 61 20 4f 75 74 2d 6f 66 2d 62 61 6e 64 20 6d 61 6e 61 67 65 6d 65 6e 74 20 6e 65 74 77 6f	tra.Out-of-band.management.netwo
1c2c0	72 6b 69 6e 67 2c 20 77 68 69 63 68 20 73 68 6f 75 6c 64 20 62 65 20 6f 6e 20 74 6f 74 61 6c 6c	rking,.which.should.be.on.totall
1c2e0	79 20 64 69 66 66 65 72 65 6e 74 20 73 77 69 74 63 68 65 73 2c 20 61 6e 64 20 61 20 64 69 66 66	y.different.switches,.and.a.diff
1c300	65 72 65 6e 74 20 66 65 65 64 20 69 6e 74 6f 20 74 68 65 20 72 61 63 6b 2c 20 61 6e 64 20 69 73	erent.feed.into.the.rack,.and.is
1c320	20 6f 75 74 20 6f 66 20 73 63 6f 70 65 20 6f 66 20 74 68 69 73 2e 00 54 68 69 73 20 73 63 65 6e	.out.of.scope.of.this..This.scen
1c340	61 72 69 6f 20 63 6f 75 6c 64 20 62 65 20 61 20 6e 69 67 68 74 6d 61 72 65 20 61 70 70 6c 79 69	ario.could.be.a.nightmare.applyi
1c360	6e 67 20 72 65 67 75 6c 61 72 20 72 6f 75 74 69 6e 67 20 61 6e 64 20 6d 69 67 68 74 20 6e 65 65	ng.regular.routing.and.might.nee
1c380	64 20 66 69 6c 74 65 72 69 6e 67 20 69 6e 20 6d 75 6c 74 69 70 6c 65 20 69 6e 74 65 72 66 61 63	d.filtering.in.multiple.interfac
1c3a0	65 73 2e 00 54 68 69 73 20 73 65 63 74 69 6f 6e 20 64 65 73 63 72 69 62 65 73 20 76 65 72 69 66	es..This.section.describes.verif
1c3c0	69 63 61 74 69 6f 6e 20 63 6f 6d 6d 61 6e 64 73 20 66 6f 72 20 4d 50 4c 53 2f 42 47 50 2f 4c 44	ication.commands.for.MPLS/BGP/LD
1c3e0	50 20 70 72 6f 74 6f 63 6f 6c 73 20 61 6e 64 20 4c 33 56 50 4e 20 72 65 6c 61 74 65 64 20 72 6f	P.protocols.and.L3VPN.related.ro
1c400	75 74 65 73 20 61 73 20 77 65 6c 6c 20 61 73 20 64 69 61 67 6e 6f 73 69 73 20 61 6e 64 20 72 65	utes.as.well.as.diagnosis.and.re
1c420	61 63 68 61 62 69 6c 69 74 79 20 63 68 65 63 6b 73 20 62 65 74 77 65 65 6e 20 43 45 20 6e 6f 64	achability.checks.between.CE.nod
1c440	65 73 2e 00 54 68 69 73 20 73 65 63 74 69 6f 6e 20 70 72 6f 76 69 64 65 73 20 63 6f 6e 66 69 67	es..This.section.provides.config
1c460	75 72 61 74 69 6f 6e 20 73 74 65 70 73 20 66 6f 72 20 73 65 74 74 69 6e 67 20 75 70 20 56 52 46	uration.steps.for.setting.up.VRF
1c480	73 20 6f 6e 20 6f 75 72 20 50 45 20 6e 6f 64 65 73 20 69 6e 63 6c 75 64 69 6e 67 20 43 45 20 66	s.on.our.PE.nodes.including.CE.f
1c4a0	61 63 69 6e 67 20 69 6e 74 65 72 66 61 63 65 73 2c 20 42 47 50 2c 20 72 64 20 61 6e 64 20 72 6f	acing.interfaces,.BGP,.rd.and.ro
1c4c0	75 74 65 2d 74 61 72 67 65 74 20 69 6d 70 6f 72 74 2f 65 78 70 6f 72 74 20 62 61 73 65 64 20 6f	ute-target.import/export.based.o
1c4e0	6e 20 74 68 65 20 70 72 65 2d 64 65 66 69 6e 65 64 20 70 61 72 61 6d 65 74 65 72 73 2e 00 54 68	n.the.pre-defined.parameters..Th
1c500	69 73 20 73 69 6d 70 6c 65 20 73 74 72 75 63 74 75 72 65 20 73 68 6f 77 20 68 6f 77 20 74 6f 20	is.simple.structure.show.how.to.
1c520	63 6f 6e 6e 65 63 74 20 74 77 6f 20 6f 66 66 69 63 65 73 2e 20 4f 6e 65 20 72 65 6d 6f 74 65 20	connect.two.offices..One.remote.
1c540	62 72 61 6e 63 68 20 61 6e 64 20 74 68 65 20 63 65 6e 74 72 61 6c 20 6f 66 66 69 63 65 2e 00 54	branch.and.the.central.office..T
1c560	68 69 73 20 73 69 6d 70 6c 65 20 73 74 72 75 63 74 75 72 65 20 73 68 6f 77 73 20 68 6f 77 20 74	his.simple.structure.shows.how.t
1c580	6f 20 63 6f 6e 66 69 67 75 72 65 20 61 20 44 48 43 50 20 52 65 6c 61 79 20 6f 76 65 72 20 61 20	o.configure.a.DHCP.Relay.over.a.
1c5a0	47 52 45 20 42 72 69 64 67 65 20 69 6e 74 65 72 66 61 63 65 2e 00 54 68 69 73 20 77 69 6c 6c 20	GRE.Bridge.interface..This.will.
1c5c0	62 65 20 76 69 73 69 62 6c 65 20 69 6e 20 27 73 68 6f 77 20 69 70 20 72 6f 75 74 65 27 2e 00 54	be.visible.in.'show.ip.route'..T
1c5e0	68 75 73 20 79 6f 75 20 63 61 6e 20 65 61 73 69 6c 79 20 6d 61 74 63 68 20 69 74 20 74 6f 20 6f	hus.you.can.easily.match.it.to.o
1c600	6e 65 20 6f 66 20 74 68 65 20 64 65 76 69 63 65 73 2f 6e 65 74 77 6f 72 6b 73 20 62 65 6c 6f 77	ne.of.the.devices/networks.below
1c620	2e 00 54 6f 20 61 63 68 69 65 76 65 20 74 68 69 73 2c 20 79 6f 75 72 20 49 53 50 20 69 73 20 72	..To.achieve.this,.your.ISP.is.r
1c640	65 71 75 69 72 65 64 20 74 6f 20 73 75 70 70 6f 72 74 20 44 48 43 50 76 36 2d 50 44 2e 20 49 66	equired.to.support.DHCPv6-PD..If
1c660	20 79 6f 75 27 72 65 20 6e 6f 74 20 73 75 72 65 2c 20 70 6c 65 61 73 65 20 63 6f 6e 74 61 63 74	.you're.not.sure,.please.contact
1c680	20 79 6f 75 72 20 49 53 50 20 66 6f 72 20 6d 6f 72 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 2e 00	.your.ISP.for.more.information..
1c6a0	54 6f 20 61 64 64 20 6c 6f 67 67 69 6e 67 20 74 6f 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 75	To.add.logging.to.the.default.ru
1c6c0	6c 65 2c 20 64 6f 3a 00 54 6f 20 61 64 64 72 65 73 73 20 74 68 69 73 20 73 63 65 6e 61 72 69 6f	le,.do:.To.address.this.scenario
1c6e0	20 77 65 20 77 69 6c 6c 20 75 73 65 20 74 6f 20 6f 75 72 20 61 64 76 61 6e 74 61 67 65 20 61 6e	.we.will.use.to.our.advantage.an
1c700	20 65 78 74 65 6e 73 69 6f 6e 20 6f 66 20 74 68 65 20 42 47 50 20 72 6f 75 74 69 6e 67 20 70 72	.extension.of.the.BGP.routing.pr
1c720	6f 74 6f 63 6f 6c 20 74 68 61 74 20 77 69 6c 6c 20 68 65 6c 70 20 75 73 20 69 6e 20 74 68 65 20	otocol.that.will.help.us.in.the.
1c740	e2 80 9c 45 78 70 6f 72 74 e2 80 9d 20 62 65 74 77 65 65 6e 20 56 52 46 73 20 77 69 74 68 6f 75	...Export....between.VRFs.withou
1c760	74 20 74 68 65 20 6e 65 65 64 20 66 6f 72 20 4d 50 4c 53 2e 00 54 6f 20 64 65 70 6c 6f 79 20 61	t.the.need.for.MPLS..To.deploy.a
1c780	20 4c 61 79 65 72 33 20 56 50 4e 20 77 69 74 68 20 4d 50 4c 53 20 6f 6e 20 56 79 4f 53 2c 20 77	.Layer3.VPN.with.MPLS.on.VyOS,.w
1c7a0	65 20 73 68 6f 75 6c 64 20 6d 65 65 74 20 61 20 63 6f 75 70 6c 65 20 72 65 71 75 69 72 65 6d 65	e.should.meet.a.couple.requireme
1c7c0	6e 74 73 20 69 6e 20 6f 72 64 65 72 20 74 6f 20 70 72 6f 70 65 72 6c 79 20 69 6d 70 6c 65 6d 65	nts.in.order.to.properly.impleme
1c7e0	6e 74 20 74 68 65 20 73 6f 6c 75 74 69 6f 6e 2e 20 57 65 27 6c 6c 20 75 73 65 20 74 68 65 20 66	nt.the.solution..We'll.use.the.f
1c800	6f 6c 6c 6f 77 69 6e 67 20 6e 6f 64 65 73 20 69 6e 20 6f 75 72 20 4c 41 42 20 65 6e 76 69 72 6f	ollowing.nodes.in.our.LAB.enviro
1c820	6e 6d 65 6e 74 3a 00 54 6f 20 68 61 76 65 20 62 61 73 69 63 20 70 72 6f 74 65 63 74 69 6f 6e 20	nment:.To.have.basic.protection.
1c840	77 68 69 6c 65 20 6b 65 65 70 69 6e 67 20 49 50 76 36 20 6e 65 74 77 6f 72 6b 20 66 75 6e 63 74	while.keeping.IPv6.network.funct
1c860	69 6f 6e 61 6c 2c 20 77 65 20 6e 65 65 64 20 74 6f 3a 00 54 6f 20 72 65 61 63 68 20 74 68 65 20	ional,.we.need.to:.To.reach.the.
1c880	6e 65 74 77 6f 72 6b 2c 20 61 20 72 6f 75 74 65 20 6d 75 73 74 20 62 65 20 73 65 74 20 6f 6e 20	network,.a.route.must.be.set.on.
1c8a0	65 61 63 68 20 56 79 4f 53 20 68 6f 73 74 2e 20 49 6e 20 74 68 69 73 20 73 74 72 75 63 74 75 72	each.VyOS.host..In.this.structur
1c8c0	65 2c 20 61 20 73 74 61 74 69 63 20 69 6e 74 65 72 66 61 63 65 20 72 6f 75 74 65 20 77 69 6c 6c	e,.a.static.interface.route.will
1c8e0	20 66 69 74 20 74 68 65 20 72 65 71 75 69 72 65 6d 65 6e 74 73 2e 00 54 6f 70 6f 6c 6f 67 79 00	.fit.the.requirements..Topology.
1c900	54 72 61 66 66 69 63 20 66 6c 6f 77 73 20 66 72 6f 6d 20 7a 6f 6e 65 20 41 20 74 6f 20 7a 6f 6e	Traffic.flows.from.zone.A.to.zon
1c920	65 20 42 2e 20 54 68 61 74 20 66 6c 6f 77 20 69 73 20 77 68 61 74 20 49 20 72 65 66 65 72 20 74	e.B..That.flow.is.what.I.refer.t
1c940	6f 20 61 73 20 61 20 7a 6f 6e 65 2d 70 61 69 72 2d 64 69 72 65 63 74 69 6f 6e 2e 20 65 67 2e 20	o.as.a.zone-pair-direction..eg..
1c960	41 2d 3e 42 20 61 6e 64 20 42 2d 3e 41 20 61 72 65 20 74 77 6f 20 7a 6f 6e 65 2d 70 61 69 72 2d	A->B.and.B->A.are.two.zone-pair-
1c980	64 65 73 74 69 6e 61 74 69 6f 6e 73 2e 00 54 72 61 6e 73 70 6f 72 74 3a 00 54 75 6e 6e 65 6c 62	destinations..Transport:.Tunnelb
1c9a0	72 6f 6b 65 72 20 74 6f 70 6f 6c 6f 67 79 20 69 6d 61 67 65 00 54 75 6e 6e 65 6c 62 72 6f 6b 65	roker.topology.image.Tunnelbroke
1c9c0	72 2e 6e 65 74 20 28 49 50 76 36 29 00 54 77 6f 20 56 79 4f 53 20 72 6f 75 74 65 72 73 20 77 69	r.net.(IPv6).Two.VyOS.routers.wi
1c9e0	74 68 20 70 75 62 6c 69 63 20 49 50 20 61 64 64 72 65 73 73 2e 00 54 77 6f 20 72 75 6c 65 73 20	th.public.IP.address..Two.rules.
1ca00	77 69 6c 6c 20 62 65 20 63 72 65 61 74 65 64 2c 20 74 68 65 20 66 69 72 73 74 20 72 75 6c 65 20	will.be.created,.the.first.rule.
1ca20	64 69 72 65 63 74 73 20 74 72 61 66 66 69 63 20 63 6f 6d 69 6e 67 20 69 6e 20 66 72 6f 6d 20 65	directs.traffic.coming.in.from.e
1ca40	74 68 32 20 74 6f 20 65 74 68 30 20 61 6e 64 20 74 68 65 20 73 65 63 6f 6e 64 20 72 75 6c 65 20	th2.to.eth0.and.the.second.rule.
1ca60	64 69 72 65 63 74 73 20 74 68 65 20 74 72 61 66 66 69 63 20 74 6f 20 65 74 68 31 2e 20 49 66 20	directs.the.traffic.to.eth1..If.
1ca80	65 74 68 30 20 66 61 69 6c 73 20 74 68 65 20 66 69 72 73 74 20 72 75 6c 65 20 69 73 20 62 79 70	eth0.fails.the.first.rule.is.byp
1caa0	61 73 73 65 64 20 61 6e 64 20 74 68 65 20 73 65 63 6f 6e 64 20 72 75 6c 65 20 6d 61 74 63 68 65	assed.and.the.second.rule.matche
1cac0	73 2c 20 64 69 72 65 63 74 69 6e 67 20 74 72 61 66 66 69 63 20 74 6f 20 65 74 68 31 2e 00 55 6e	s,.directing.traffic.to.eth1..Un
1cae0	6c 69 6b 65 20 49 50 76 34 2c 20 49 50 76 36 20 69 73 20 72 65 61 6c 6c 79 20 6e 6f 74 20 64 65	like.IPv4,.IPv6.is.really.not.de
1cb00	73 69 67 6e 65 64 20 74 6f 20 62 65 20 62 72 6f 6b 65 6e 20 75 70 20 73 6d 61 6c 6c 65 72 20 74	signed.to.be.broken.up.smaller.t
1cb20	68 61 6e 20 2f 36 34 2e 20 53 6f 20 69 66 20 79 6f 75 20 65 76 65 72 20 77 61 6e 74 20 74 6f 20	han./64..So.if.you.ever.want.to.
1cb40	68 61 76 65 20 6d 75 6c 74 69 70 6c 65 20 4c 41 4e 73 2c 20 56 4c 41 4e 73 2c 20 44 4d 5a 2c 20	have.multiple.LANs,.VLANs,.DMZ,.
1cb60	65 74 63 2c 20 79 6f 75 27 6c 6c 20 77 61 6e 74 20 74 6f 20 69 67 6e 6f 72 65 20 74 68 65 20 61	etc,.you'll.want.to.ignore.the.a
1cb80	73 73 69 67 6e 65 64 20 2f 36 34 2c 20 61 6e 64 20 72 65 71 75 65 73 74 20 74 68 65 20 2f 34 38	ssigned./64,.and.request.the./48
1cba0	20 61 6e 64 20 75 73 65 20 74 68 61 74 2e 00 55 73 69 6e 67 20 74 68 65 20 67 65 6e 65 72 61 6c	.and.use.that..Using.the.general
1cbc0	20 73 63 68 65 6d 61 20 66 6f 72 20 65 78 61 6d 70 6c 65 3a 00 55 73 69 6e 67 20 74 68 69 73 20	.schema.for.example:.Using.this.
1cbe0	63 6f 6d 6d 61 6e 64 20 77 65 20 61 72 65 20 61 6c 73 6f 20 61 62 6c 65 20 74 6f 20 63 68 65 63	command.we.are.also.able.to.chec
1cc00	6b 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 61 6e 64 20 63 75 73 74 6f 6d 65 72 20 6c 61 62	k.the.transport.and.customer.lab
1cc20	65 6c 20 28 69 6e 6e 65 72 2f 6f 75 74 65 72 29 20 66 6f 72 20 48 75 62 20 6e 65 74 77 6f 72 6b	el.(inner/outer).for.Hub.network
1cc40	20 70 72 65 66 69 78 20 28 31 30 2e 30 2e 30 2e 31 30 30 2f 33 32 29 3a 00 56 4c 41 4e 20 31 30	.prefix.(10.0.0.100/32):.VLAN.10
1cc60	30 20 61 6e 64 20 32 30 31 20 77 69 6c 6c 20 68 61 76 65 20 66 6c 6f 61 74 69 6e 67 20 49 50 20	0.and.201.will.have.floating.IP.
1cc80	61 64 64 72 65 73 73 65 73 2c 20 62 75 74 20 56 4c 41 4e 35 30 20 64 6f 65 73 20 6e 6f 74 2c 20	addresses,.but.VLAN50.does.not,.
1cca0	61 73 20 74 68 69 73 20 69 73 20 74 61 6c 6b 69 6e 67 20 64 69 72 65 63 74 6c 79 20 74 6f 20 75	as.this.is.talking.directly.to.u
1ccc0	70 73 74 72 65 61 6d 2e 20 43 72 65 61 74 65 20 6f 75 72 20 49 50 20 61 64 64 72 65 73 73 20 6f	pstream..Create.our.IP.address.o
1cce0	6e 20 76 6c 61 6e 35 30 2e 00 56 4c 41 4e 73 00 56 4d 77 61 72 65 3a 20 59 6f 75 20 6d 75 73 74	n.vlan50..VLANs.VMware:.You.must
1cd00	20 44 49 53 41 42 4c 45 20 53 45 43 55 52 49 54 59 20 6f 6e 20 74 68 69 73 20 50 6f 72 74 20 67	.DISABLE.SECURITY.on.this.Port.g
1cd20	72 6f 75 70 2e 20 4d 61 6b 65 20 73 75 72 65 20 74 68 61 74 20 60 60 50 72 6f 6d 69 73 63 75 6f	roup..Make.sure.that.``Promiscuo
1cd40	75 73 20 4d 6f 64 65 60 60 5c 20 2c 20 60 60 4d 41 43 20 61 64 64 72 65 73 73 20 63 68 61 6e 67	us.Mode``\.,.``MAC.address.chang
1cd60	65 73 60 60 20 61 6e 64 20 60 60 46 6f 72 67 65 64 20 74 72 61 6e 73 6d 69 74 73 60 60 20 61 72	es``.and.``Forged.transmits``.ar
1cd80	65 20 65 6e 61 62 6c 65 64 2e 20 41 6c 6c 20 6f 66 20 74 68 65 73 65 20 77 69 6c 6c 20 62 65 20	e.enabled..All.of.these.will.be.
1cda0	64 6f 6e 65 20 61 73 20 70 61 72 74 20 6f 66 20 66 61 69 6c 6f 76 65 72 2e 00 56 52 46 00 56 52	done.as.part.of.failover..VRF.VR
1cdc0	52 50 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 56 65 72 69 66 69 63 61 74 69 6f 6e 00 56 65	RP.Configuration.Verification.Ve
1cde0	72 73 69 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 31 31 30 33 31 30 33 31 37 00	rsion:.1.4-rolling-202110310317.
1ce00	56 65 72 73 69 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 35 31 30 30 37 33	Version:.1.4-rolling-20230510073
1ce20	34 00 56 65 72 73 69 6f 6e 3a 20 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 32 34 30	4.Version:.1.4-rolling-202308240
1ce40	30 32 30 00 56 65 72 73 69 6f 6e 3a 20 31 2e 35 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 34 30 31 31	020.Version:.1.5-rolling-2024011
1ce60	32 31 32 33 39 00 56 65 72 73 69 6f 6e 3a 20 76 79 6f 73 2d 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d	21239.Version:.vyos-1.4-rolling-
1ce80	32 30 32 33 30 32 31 35 30 33 31 37 00 56 79 4f 53 00 56 79 4f 53 20 31 2e 33 20 61 64 64 65 64	202302150317.VyOS.VyOS.1.3.added
1cea0	20 69 6e 69 74 69 61 6c 20 73 75 70 70 6f 72 74 20 66 6f 72 20 56 52 46 73 20 28 69 6e 63 6c 75	.initial.support.for.VRFs.(inclu
1cec0	64 69 6e 67 20 49 50 76 34 2f 49 50 76 36 20 73 74 61 74 69 63 20 72 6f 75 74 69 6e 67 29 20 61	ding.IPv4/IPv6.static.routing).a
1cee0	6e 64 20 56 79 4f 53 20 31 2e 34 20 6e 6f 77 20 65 6e 61 62 6c 65 73 20 66 75 6c 6c 20 64 79 6e	nd.VyOS.1.4.now.enables.full.dyn
1cf00	61 6d 69 63 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 73 75 70 70 6f 72 74 20 66 6f	amic.routing.protocol.support.fo
1cf20	72 20 4f 53 50 46 2c 20 49 53 2d 49 53 2c 20 61 6e 64 20 42 47 50 20 66 6f 72 20 69 6e 64 69 76	r.OSPF,.IS-IS,.and.BGP.for.indiv
1cf40	69 64 75 61 6c 20 56 52 46 73 2e 00 56 79 4f 53 20 61 63 74 73 20 61 73 20 44 48 43 50 2c 20 44	idual.VRFs..VyOS.acts.as.DHCP,.D
1cf60	4e 53 20 66 6f 72 77 61 72 64 65 72 2c 20 4e 41 54 2c 20 72 6f 75 74 65 72 20 61 6e 64 20 66 69	NS.forwarder,.NAT,.router.and.fi
1cf80	72 65 77 61 6c 6c 2e 00 56 79 4f 53 20 61 73 20 43 6c 69 65 6e 74 00 56 79 4f 53 20 61 73 20 61	rewall..VyOS.as.Client.VyOS.as.a
1cfa0	20 4f 70 65 6e 56 50 4e 20 53 65 72 76 65 72 00 56 79 4f 53 20 69 73 20 61 62 6c 65 20 74 6f 20	.OpenVPN.Server.VyOS.is.able.to.
1cfc0	63 68 65 63 6b 20 4d 53 44 20 70 65 72 20 64 65 76 69 63 65 73 3a 00 56 79 4f 53 2d 43 45 2d 48	check.MSD.per.devices:.VyOS-CE-H
1cfe0	55 42 20 2d 2d 2d 2d 2d 2d 2d 3e 20 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 00 56 79 4f 53 2d	UB.------->.VyOS-CE1-SPOKE.VyOS-
1d000	43 45 2d 48 55 42 20 2d 2d 2d 2d 2d 2d 2d 3e 20 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 00 56	CE-HUB.------->.VyOS-CE2-SPOKE.V
1d020	79 4f 53 2d 43 45 31 2d 48 55 42 3a 00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 20 2d 2d 2d 2d	yOS-CE1-HUB:.VyOS-CE1-SPOKE.----
1d040	2d 3e 20 20 20 56 79 4f 53 2d 43 45 2d 48 55 42 00 56 79 4f 53 2d 43 45 31 2d 53 50 4f 4b 45 3a	->...VyOS-CE-HUB.VyOS-CE1-SPOKE:
1d060	00 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 20 2d 2d 2d 2d 2d 2d 2d 3e 20 20 56 79 4f 53 2d 43	.VyOS-CE2-SPOKE.------->..VyOS-C
1d080	45 2d 48 55 42 00 56 79 4f 53 2d 43 45 32 2d 53 50 4f 4b 45 3a 00 56 79 4f 53 2d 50 31 3a 00 56	E-HUB.VyOS-CE2-SPOKE:.VyOS-P1:.V
1d0a0	79 4f 53 2d 50 32 3a 00 56 79 4f 53 2d 50 33 3a 00 56 79 4f 53 2d 50 34 3a 00 56 79 4f 53 2d 50	yOS-P2:.VyOS-P3:.VyOS-P4:.VyOS-P
1d0c0	45 31 00 56 79 4f 53 2d 50 45 31 3a 00 56 79 4f 53 2d 50 45 32 00 56 79 4f 53 2d 50 45 32 3a 00	E1.VyOS-PE1:.VyOS-PE2.VyOS-PE2:.
1d0e0	56 79 4f 53 2d 50 45 33 00 56 79 4f 53 2d 50 45 33 3a 00 56 79 4f 53 2d 52 52 31 2f 52 52 32 00	VyOS-PE3.VyOS-PE3:.VyOS-RR1/RR2.
1d100	56 79 4f 53 2d 52 52 31 3a 00 56 79 4f 53 2d 52 52 32 3a 00 56 79 6f 73 20 41 53 4e 00 56 79 6f	VyOS-RR1:.VyOS-RR2:.Vyos.ASN.Vyo
1d120	73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 56 79 6f 73 20 70 72 69 76 61 74 65 20 49 50 00	s.configuration.Vyos.private.IP.
1d140	56 79 6f 73 20 70 75 62 6c 69 63 20 49 50 00 57 41 4e 20 49 6e 74 65 72 66 61 63 65 00 57 41 4e	Vyos.public.IP.WAN.Interface.WAN
1d160	20 4c 6f 61 64 20 42 61 6c 61 6e 63 65 72 20 65 78 61 6d 70 6c 65 73 00 57 61 6c 6b 74 68 72 6f	.Load.Balancer.examples.Walkthro
1d180	75 67 68 20 73 75 67 67 65 73 74 69 6f 6e 00 57 65 20 61 72 65 20 67 6f 69 6e 67 20 74 6f 20 75	ugh.suggestion.We.are.going.to.u
1d1a0	73 65 20 31 30 2e 32 30 30 2e 32 30 31 2e 30 2f 32 34 20 66 6f 72 20 61 6e 20 27 69 6e 74 65 72	se.10.200.201.0/24.for.an.'inter
1d1c0	6e 61 6c 27 20 6e 65 74 77 6f 72 6b 20 6f 6e 20 56 4c 41 4e 32 30 31 2e 00 57 65 20 61 72 65 20	nal'.network.on.VLAN201..We.are.
1d1e0	73 65 74 74 69 6e 67 20 75 70 20 56 52 52 50 20 73 6f 20 74 68 61 74 20 69 74 20 64 6f 65 73 20	setting.up.VRRP.so.that.it.does.
1d200	4e 4f 54 20 66 61 69 6c 20 62 61 63 6b 20 77 68 65 6e 20 61 20 6d 61 63 68 69 6e 65 20 72 65 74	NOT.fail.back.when.a.machine.ret
1d220	75 72 6e 73 20 69 6e 74 6f 20 73 65 72 76 69 63 65 2c 20 61 6e 64 20 69 74 20 70 72 69 6f 72 69	urns.into.service,.and.it.priori
1d240	74 69 7a 65 73 20 72 6f 75 74 65 72 31 20 6f 76 65 72 20 72 6f 75 74 65 72 32 2e 00 57 65 20 61	tizes.router1.over.router2..We.a
1d260	72 65 20 75 73 69 6e 67 20 61 20 22 77 68 69 74 65 20 6c 69 73 74 22 20 61 70 70 72 6f 61 63 68	re.using.a."white.list".approach
1d280	20 62 79 20 61 6c 6c 6f 77 69 6e 67 20 6f 6e 6c 79 20 77 68 61 74 20 69 73 20 6e 65 63 65 73 73	.by.allowing.only.what.is.necess
1d2a0	61 72 79 2e 20 49 6e 20 63 61 73 65 20 74 68 61 74 20 6e 65 65 64 20 74 6f 20 69 6d 70 6c 65 6d	ary..In.case.that.need.to.implem
1d2c0	65 6e 74 20 61 20 22 62 6c 61 63 6b 20 6c 69 73 74 22 20 61 70 70 72 6f 61 63 68 20 74 68 65 6e	ent.a."black.list".approach.then
1d2e0	20 79 6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 63 68 61 6e 67 65 20 74 68 65 20 61 63 74	.you.will.need.to.change.the.act
1d300	69 6f 6e 20 69 6e 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 20 66 6f 72 20 61 20 64 65 6e 79 20	ion.in.the.route-map.for.a.deny.
1d320	42 55 54 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 61 64 64 20 61 20 72 75 6c 65 20 74 68 61 74 20	BUT.you.need.to.add.a.rule.that.
1d340	70 65 72 6d 69 74 73 20 74 68 65 20 72 65 73 74 20 64 75 65 20 74 6f 20 74 68 65 20 69 6d 70 6c	permits.the.rest.due.to.the.impl
1d360	69 63 69 74 20 64 65 6e 79 20 69 6e 20 74 68 65 20 72 6f 75 74 65 2d 6d 61 70 2e 00 57 65 20 63	icit.deny.in.the.route-map..We.c
1d380	72 65 61 74 65 20 61 20 70 72 65 66 69 78 2d 6c 69 73 74 20 66 69 72 73 74 20 61 6e 64 20 61 64	reate.a.prefix-list.first.and.ad
1d3a0	64 20 61 6c 6c 20 74 68 65 20 72 6f 75 74 65 73 20 77 65 20 6e 65 65 64 20 74 6f 2e 00 57 65 20	d.all.the.routes.we.need.to..We.
1d3c0	65 78 70 6c 69 63 69 74 6c 79 20 65 78 63 6c 75 64 65 20 74 68 65 20 70 72 69 6d 61 72 79 20 75	explicitly.exclude.the.primary.u
1d3e0	70 73 74 72 65 61 6d 20 6e 65 74 77 6f 72 6b 20 73 6f 20 74 68 61 74 20 42 47 50 20 6f 72 20 4f	pstream.network.so.that.BGP.or.O
1d400	53 50 46 20 74 72 61 66 66 69 63 20 64 6f 65 73 6e 27 74 20 61 63 63 69 64 65 6e 74 61 6c 6c 79	SPF.traffic.doesn't.accidentally
1d420	20 67 65 74 20 4e 41 54 27 65 64 2e 00 57 65 20 68 61 76 65 20 66 6f 75 72 20 68 6f 73 74 73 20	.get.NAT'ed..We.have.four.hosts.
1d440	6f 6e 20 74 68 65 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 20 31 37 32 2e 31 37 2e 31 2e 30 2f	on.the.local.network.172.17.1.0/
1d460	32 34 2e 20 41 6c 6c 20 68 6f 73 74 73 20 61 72 65 20 6c 61 62 65 6c 65 64 20 43 53 30 20 62 79	24..All.hosts.are.labeled.CS0.by
1d480	20 64 65 66 61 75 6c 74 2e 20 57 65 20 6e 65 65 64 20 74 6f 20 72 65 70 6c 61 63 65 20 6c 61 62	.default..We.need.to.replace.lab
1d4a0	65 6c 73 20 6f 6e 20 61 6c 6c 20 68 6f 73 74 73 20 65 78 63 65 70 74 20 76 70 63 38 2e 20 57 65	els.on.all.hosts.except.vpc8..We
1d4c0	20 77 69 6c 6c 20 72 65 70 6c 61 63 65 20 74 68 65 20 6c 61 62 65 6c 73 20 6f 6e 20 74 68 65 20	.will.replace.the.labels.on.the.
1d4e0	6e 65 61 72 65 73 74 20 72 6f 75 74 65 72 20 e2 80 9c 56 79 4f 53 33 e2 80 9d 20 75 73 69 6e 67	nearest.router....VyOS3....using
1d500	20 74 68 65 20 49 50 20 61 64 64 72 65 73 73 65 73 20 6f 66 20 74 68 65 20 73 6f 75 72 63 65 73	.the.IP.addresses.of.the.sources
1d520	2e 00 57 65 20 68 61 76 65 20 66 6f 75 72 20 70 72 65 2d 63 6f 6e 66 69 67 75 72 65 64 20 72 6f	..We.have.four.pre-configured.ro
1d540	75 74 65 72 73 20 77 69 74 68 20 74 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 3a 00 57	uters.with.this.configuration:.W
1d560	65 20 68 61 76 65 20 74 68 72 65 65 20 6e 65 74 77 6f 72 6b 73 2e 00 57 65 20 6b 65 65 70 20 74	e.have.three.networks..We.keep.t
1d580	68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20 70 72 65 76 69 6f	he.configuration.from.the.previo
1d5a0	75 73 20 65 78 61 6d 70 6c 65 2c 20 64 65 6c 65 74 65 20 72 75 6c 65 20 31 30 20 61 6e 64 20 63	us.example,.delete.rule.10.and.c
1d5c0	72 65 61 74 65 20 74 68 65 20 74 77 6f 20 6e 65 77 20 72 75 6c 65 73 20 61 73 20 64 65 73 63 72	reate.the.two.new.rules.as.descr
1d5e0	69 62 65 64 3a 00 57 65 20 6b 65 65 70 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20	ibed:.We.keep.the.configuration.
1d600	66 72 6f 6d 20 74 68 65 20 70 72 65 76 69 6f 75 73 20 65 78 61 6d 70 6c 65 2c 20 64 65 6c 65 74	from.the.previous.example,.delet
1d620	65 20 72 75 6c 65 20 32 30 20 61 6e 64 20 63 72 65 61 74 65 20 61 20 6e 65 77 20 72 75 6c 65 20	e.rule.20.and.create.a.new.rule.
1d640	61 73 20 64 65 73 63 72 69 62 65 64 3a 00 57 65 20 6e 65 65 64 20 74 6f 20 65 6e 61 62 6c 65 20	as.described:.We.need.to.enable.
1d660	72 6f 75 74 65 72 20 61 64 76 65 72 74 69 73 65 6d 65 6e 74 20 66 6f 72 20 4c 41 4e 20 6e 65 74	router.advertisement.for.LAN.net
1d680	77 6f 72 6b 20 73 6f 20 74 68 61 74 20 50 43 20 63 61 6e 20 72 65 63 65 69 76 65 20 74 68 65 20	work.so.that.PC.can.receive.the.
1d6a0	70 72 65 66 69 78 20 61 6e 64 20 75 73 65 20 53 4c 41 41 43 20 74 6f 20 63 6f 6e 66 69 67 75 72	prefix.and.use.SLAAC.to.configur
1d6c0	65 20 74 68 65 20 61 64 64 72 65 73 73 20 61 75 74 6f 6d 61 74 69 63 61 6c 6c 79 2e 00 57 65 20	e.the.address.automatically..We.
1d6e0	6f 6e 6c 79 20 77 61 6e 74 20 74 6f 20 65 78 70 6f 72 74 20 74 68 65 20 6e 65 74 77 6f 72 6b 73	only.want.to.export.the.networks
1d700	20 77 65 20 6b 6e 6f 77 2e 20 41 6c 77 61 79 73 20 64 6f 20 61 20 77 68 69 74 65 6c 69 73 74 20	.we.know..Always.do.a.whitelist.
1d720	6f 6e 20 79 6f 75 72 20 72 6f 75 74 65 20 66 69 6c 74 65 72 73 2c 20 62 6f 74 68 20 69 6d 70 6f	on.your.route.filters,.both.impo
1d740	72 74 69 6e 67 20 61 6e 64 20 65 78 70 6f 72 74 69 6e 67 2e 20 41 20 67 6f 6f 64 20 72 75 6c 65	rting.and.exporting..A.good.rule
1d760	20 6f 66 20 74 68 75 6d 62 20 69 73 20 2a 2a 27 49 66 20 79 6f 75 20 61 72 65 20 6e 6f 74 20 74	.of.thumb.is.**'If.you.are.not.t
1d780	68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 72 20 66 6f 72 20 61 20 6e 65 74 77 6f 72 6b 2c	he.default.router.for.a.network,
1d7a0	20 64 6f 6e 27 74 20 61 64 76 65 72 74 69 73 65 20 69 74 27 2a 2a 2e 20 54 68 69 73 20 6d 65 61	.don't.advertise.it'**..This.mea
1d7c0	6e 73 20 77 65 20 65 78 70 6c 69 63 69 74 6c 79 20 64 6f 20 6e 6f 74 20 77 61 6e 74 20 74 6f 20	ns.we.explicitly.do.not.want.to.
1d7e0	61 64 76 65 72 74 69 73 65 20 74 68 65 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 6e 65 74 77 6f	advertise.the.192.0.2.0/24.netwo
1d800	72 6b 20 28 62 75 74 20 64 6f 20 77 61 6e 74 20 74 6f 20 61 64 76 65 72 74 69 73 65 20 31 30 2e	rk.(but.do.want.to.advertise.10.
1d820	32 30 30 2e 32 30 31 2e 30 20 61 6e 64 20 32 30 33 2e 30 2e 31 31 33 2e 30 2c 20 77 68 69 63 68	200.201.0.and.203.0.113.0,.which
1d840	20 77 65 20 41 52 45 20 74 68 65 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 20 66 6f 72 29 2e 20	.we.ARE.the.default.route.for)..
1d860	54 68 69 73 20 66 69 6c 74 65 72 20 69 73 20 61 70 70 6c 69 65 64 20 74 6f 20 60 60 72 65 64 69	This.filter.is.applied.to.``redi
1d880	73 74 72 69 62 75 74 65 20 63 6f 6e 6e 65 63 74 65 64 60 60 2e 20 49 66 20 77 65 20 57 45 52 45	stribute.connected``..If.we.WERE
1d8a0	20 74 6f 20 61 64 76 65 72 74 69 73 65 20 69 74 2c 20 74 68 65 20 72 65 6d 6f 74 65 20 6d 61 63	.to.advertise.it,.the.remote.mac
1d8c0	68 69 6e 65 73 20 77 6f 75 6c 64 20 73 65 65 20 31 39 32 2e 30 2e 32 2e 32 31 20 61 76 61 69 6c	hines.would.see.192.0.2.21.avail
1d8e0	61 62 6c 65 20 76 69 61 20 74 68 65 69 72 20 64 65 66 61 75 6c 74 20 72 6f 75 74 65 2c 20 65 73	able.via.their.default.route,.es
1d900	74 61 62 6c 69 73 68 20 74 68 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 2c 20 61 6e 64 20 74 68 65 6e	tablish.the.connection,.and.then
1d920	20 4f 53 50 46 20 77 6f 75 6c 64 20 73 61 79 20 27 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 69 73	.OSPF.would.say.'192.0.2.0/24.is
1d940	20 61 76 61 69 6c 61 62 6c 65 20 76 69 61 20 74 68 69 73 20 74 75 6e 6e 65 6c 27 2c 20 61 74 20	.available.via.this.tunnel',.at.
1d960	77 68 69 63 68 20 70 6f 69 6e 74 20 74 68 65 20 74 75 6e 6e 65 6c 20 77 6f 75 6c 64 20 62 72 65	which.point.the.tunnel.would.bre
1d980	61 6b 2c 20 4f 53 50 46 20 77 6f 75 6c 64 20 64 72 6f 70 20 74 68 65 20 72 6f 75 74 65 73 2c 20	ak,.OSPF.would.drop.the.routes,.
1d9a0	61 6e 64 20 74 68 65 6e 20 31 39 32 2e 30 2e 32 2e 30 2f 32 34 20 77 6f 75 6c 64 20 62 65 20 72	and.then.192.0.2.0/24.would.be.r
1d9c0	65 61 63 68 61 62 6c 65 20 76 69 61 20 64 65 66 61 75 6c 74 20 61 67 61 69 6e 2e 20 54 68 69 73	eachable.via.default.again..This
1d9e0	20 69 73 20 63 61 6c 6c 65 64 20 27 66 6c 61 70 70 69 6e 67 27 2e 00 57 65 20 6f 6e 6c 79 20 77	.is.called.'flapping'..We.only.w
1da00	61 6e 74 20 74 6f 20 69 6d 70 6f 72 74 20 6e 65 74 77 6f 72 6b 73 20 77 65 20 6b 6e 6f 77 2e 20	ant.to.import.networks.we.know..
1da20	4f 75 72 20 4f 53 50 46 20 70 65 65 72 20 73 68 6f 75 6c 64 20 6f 6e 6c 79 20 62 65 20 61 64 76	Our.OSPF.peer.should.only.be.adv
1da40	65 72 74 69 73 69 6e 67 20 6e 65 74 77 6f 72 6b 73 20 69 6e 20 74 68 65 20 31 30 2e 32 30 31 2e	ertising.networks.in.the.10.201.
1da60	30 2e 30 2f 31 36 20 72 61 6e 67 65 2e 20 4e 6f 74 65 20 74 68 61 74 20 74 68 69 73 20 69 73 20	0.0/16.range..Note.that.this.is.
1da80	61 6e 20 49 4e 56 45 52 53 45 20 4d 41 54 43 48 2e 20 59 6f 75 20 64 65 6e 79 20 69 6e 20 61 63	an.INVERSE.MATCH..You.deny.in.ac
1daa0	63 65 73 73 2d 6c 69 73 74 20 31 30 30 20 74 6f 20 61 63 63 65 70 74 20 74 68 65 20 72 6f 75 74	cess-list.100.to.accept.the.rout
1dac0	65 2e 00 57 65 20 75 73 65 20 61 20 73 74 61 74 69 63 20 72 6f 75 74 65 20 63 6f 6e 66 69 67 75	e..We.use.a.static.route.configu
1dae0	72 61 74 69 6f 6e 20 69 6e 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 61 6e 64 20 65	ration.in.between.the.Core.and.e
1db00	61 63 68 20 4c 41 4e 20 61 6e 64 20 4d 61 6e 61 67 65 6d 65 6e 74 20 72 6f 75 74 65 72 2c 20 61	ach.LAN.and.Management.router,.a
1db20	6e 64 20 42 47 50 20 62 65 74 77 65 65 6e 20 74 68 65 20 43 6f 72 65 20 72 6f 75 74 65 72 20 61	nd.BGP.between.the.Core.router.a
1db40	6e 64 20 74 68 65 20 49 53 50 20 72 6f 75 74 65 72 20 62 75 74 20 61 6e 79 20 64 79 6e 61 6d 69	nd.the.ISP.router.but.any.dynami
1db60	63 20 72 6f 75 74 69 6e 67 20 70 72 6f 74 6f 63 6f 6c 20 63 61 6e 20 62 65 20 75 73 65 64 2e 00	c.routing.protocol.can.be.used..
1db80	57 65 20 75 73 65 20 73 6d 61 6c 6c 20 2f 33 30 27 73 20 66 72 6f 6d 20 31 30 2e 32 35 34 2e 36	We.use.small./30's.from.10.254.6
1dba0	30 2f 32 34 20 66 6f 72 20 74 68 65 20 70 6f 69 6e 74 2d 74 6f 2d 70 6f 69 6e 74 20 6c 69 6e 6b	0/24.for.the.point-to-point.link
1dbc0	73 2e 00 57 65 20 75 73 65 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 6e 65 74 77 6f 72 6b 20	s..We.use.the.following.network.
1dbe0	74 6f 70 6f 6c 6f 67 79 20 69 6e 20 74 68 69 73 20 65 78 61 6d 70 6c 65 3a 00 57 68 65 6e 20 69	topology.in.this.example:.When.i
1dc00	6d 70 6f 72 74 69 6e 67 20 72 6f 75 74 65 73 20 75 73 69 6e 67 20 4d 50 2d 42 47 50 20 69 74 20	mporting.routes.using.MP-BGP.it.
1dc20	69 73 20 70 6f 73 73 69 62 6c 65 20 74 6f 20 66 69 6c 74 65 72 20 61 20 73 75 62 73 65 74 20 6f	is.possible.to.filter.a.subset.o
1dc40	66 20 74 68 65 6d 20 62 65 66 6f 72 65 20 61 72 65 20 69 6e 6a 65 63 74 65 64 20 69 6e 20 74 68	f.them.before.are.injected.in.th
1dc60	65 20 42 47 50 20 74 61 62 6c 65 2e 20 4f 6e 65 20 6f 66 20 74 68 65 20 6d 6f 73 74 20 63 6f 6d	e.BGP.table..One.of.the.most.com
1dc80	6d 6f 6e 20 63 61 73 65 20 69 73 20 74 6f 20 75 73 65 20 61 20 72 6f 75 74 65 2d 6d 61 70 20 77	mon.case.is.to.use.a.route-map.w
1dca0	69 74 68 20 61 6e 20 70 72 65 66 69 78 2d 6c 69 73 74 2e 00 57 68 65 6e 20 74 72 61 66 66 69 63	ith.an.prefix-list..When.traffic
1dcc0	20 69 73 20 6f 72 69 67 69 6e 61 74 65 64 20 66 72 6f 6d 20 74 68 65 20 31 30 2e 32 30 30 2e 32	.is.originated.from.the.10.200.2
1dce0	30 31 2e 30 2f 32 34 20 6e 65 74 77 6f 72 6b 2c 20 69 74 20 77 69 6c 6c 20 62 65 20 6d 61 73 71	01.0/24.network,.it.will.be.masq
1dd00	75 65 72 61 64 65 64 20 74 6f 20 32 30 33 2e 30 2e 31 31 33 2e 31 00 57 68 65 6e 20 75 74 69 6c	ueraded.to.203.0.113.1.When.util
1dd20	69 7a 69 6e 67 20 56 79 4f 53 20 69 6e 20 61 6e 20 65 6e 76 69 72 6f 6e 6d 65 6e 74 20 77 69 74	izing.VyOS.in.an.environment.wit
1dd40	68 20 43 69 73 63 6f 20 49 4f 53 2d 58 52 20 67 65 61 72 20 79 6f 75 20 63 61 6e 20 75 73 65 20	h.Cisco.IOS-XR.gear.you.can.use.
1dd60	74 68 69 73 20 62 6c 75 65 20 70 72 69 6e 74 20 61 73 20 61 6e 20 69 6e 69 74 69 61 6c 20 73 65	this.blue.print.as.an.initial.se
1dd80	74 75 70 20 74 6f 20 67 65 74 20 4d 50 4c 53 20 49 53 49 53 2d 53 52 20 77 6f 72 6b 69 6e 67 20	tup.to.get.MPLS.ISIS-SR.working.
1dda0	62 65 74 77 65 65 6e 20 74 68 6f 73 65 20 74 77 6f 20 64 65 76 69 63 65 73 2e 54 68 65 20 6c 61	between.those.two.devices.The.la
1ddc0	62 20 77 61 73 20 62 75 69 6c 64 20 75 73 69 6e 67 20 3a 61 62 62 72 3a 60 45 56 45 2d 4e 47 20	b.was.build.using.:abbr:`EVE-NG.
1dde0	28 45 6d 75 6c 61 74 65 64 20 56 69 72 74 75 61 6c 20 45 6e 76 69 72 6f 6e 6d 65 6e 74 20 4e 47	(Emulated.Virtual.Environment.NG
1de00	29 60 2e 00 57 68 65 6e 20 79 6f 75 20 68 61 76 65 20 62 6f 74 68 20 72 6f 75 74 65 72 73 20 75	)`..When.you.have.both.routers.u
1de20	70 2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 65 73 74 61 62 6c 69	p,.you.should.be.able.to.establi
1de40	73 68 20 61 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 72 6f 6d 20 61 20 4e 41 54 27 65 64 20 6d 61	sh.a.connection.from.a.NAT'ed.ma
1de60	63 68 69 6e 65 20 6f 75 74 20 74 6f 20 74 68 65 20 69 6e 74 65 72 6e 65 74 2c 20 72 65 62 6f 6f	chine.out.to.the.internet,.reboo
1de80	74 20 74 68 65 20 61 63 74 69 76 65 20 6d 61 63 68 69 6e 65 2c 20 61 6e 64 20 74 68 61 74 20 63	t.the.active.machine,.and.that.c
1dea0	6f 6e 6e 65 63 74 69 6f 6e 20 73 68 6f 75 6c 64 20 62 65 20 70 72 65 73 65 72 76 65 64 2c 20 61	onnection.should.be.preserved,.a
1dec0	6e 64 20 77 69 6c 6c 20 6e 6f 74 20 64 72 6f 70 20 6f 75 74 2e 00 57 68 65 6e 20 79 6f 75 20 68	nd.will.not.drop.out..When.you.h
1dee0	61 76 65 20 65 6e 61 62 6c 65 64 20 4f 53 50 46 20 6f 6e 20 62 6f 74 68 20 72 6f 75 74 65 72 73	ave.enabled.OSPF.on.both.routers
1df00	2c 20 79 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f 20 73 65 65 20 65 61 63 68	,.you.should.be.able.to.see.each
1df20	20 6f 74 68 65 72 20 77 69 74 68 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 60 60 73 68 6f 77 20 69	.other.with.the.command.``show.i
1df40	70 20 6f 73 70 66 20 6e 65 69 67 68 62 6f 75 72 60 60 2e 20 54 68 65 20 73 74 61 74 65 20 6d 75	p.ospf.neighbour``..The.state.mu
1df60	73 74 20 62 65 20 27 46 75 6c 6c 27 20 6f 72 20 27 32 2d 57 61 79 27 2e 20 49 66 20 69 74 20 69	st.be.'Full'.or.'2-Way'..If.it.i
1df80	73 20 6e 6f 74 2c 20 74 68 65 6e 20 74 68 65 72 65 20 69 73 20 61 20 6e 65 74 77 6f 72 6b 20 63	s.not,.then.there.is.a.network.c
1dfa0	6f 6e 6e 65 63 74 69 76 69 74 79 20 69 73 73 75 65 20 62 65 74 77 65 65 6e 20 74 68 65 20 68 6f	onnectivity.issue.between.the.ho
1dfc0	73 74 73 2e 20 54 68 69 73 20 69 73 20 6f 66 74 65 6e 20 63 61 75 73 65 64 20 62 79 20 4e 41 54	sts..This.is.often.caused.by.NAT
1dfe0	20 6f 72 20 4d 54 55 20 69 73 73 75 65 73 2e 20 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 74 20 73	.or.MTU.issues..You.should.not.s
1e000	65 65 20 61 6e 79 20 6e 65 77 20 72 6f 75 74 65 73 20 28 75 6e 6c 65 73 73 20 74 68 69 73 20 69	ee.any.new.routes.(unless.this.i
1e020	73 20 74 68 65 20 73 65 63 6f 6e 64 20 70 61 73 73 29 20 69 6e 20 74 68 65 20 6f 75 74 70 75 74	s.the.second.pass).in.the.output
1e040	20 6f 66 20 60 60 73 68 6f 77 20 69 70 20 72 6f 75 74 65 60 60 00 57 69 6e 64 6f 77 73 20 53 65	.of.``show.ip.route``.Windows.Se
1e060	72 76 65 72 20 32 30 31 39 20 77 69 74 68 20 61 20 72 75 6e 6e 69 6e 67 20 41 63 74 69 76 65 20	rver.2019.with.a.running.Active.
1e080	44 69 72 65 63 74 6f 72 79 00 57 69 72 65 67 75 61 72 64 00 57 69 72 65 67 75 61 72 64 20 64 6f	Directory.Wireguard.Wireguard.do
1e0a0	65 73 6e 27 74 20 68 61 76 65 20 74 68 65 20 63 6f 6e 63 65 70 74 20 6f 66 20 61 6e 20 75 70 20	esn't.have.the.concept.of.an.up.
1e0c0	6f 72 20 64 6f 77 6e 20 6c 69 6e 6b 2c 20 64 75 65 20 74 6f 20 69 74 73 20 64 65 73 69 67 6e 2e	or.down.link,.due.to.its.design.
1e0e0	20 54 68 69 73 20 63 6f 6d 70 6c 69 63 61 74 65 73 20 41 4e 44 20 73 69 6d 70 6c 69 66 69 65 73	.This.complicates.AND.simplifies
1e100	20 75 73 69 6e 67 20 69 74 20 66 6f 72 20 6e 65 74 77 6f 72 6b 20 74 72 61 6e 73 70 6f 72 74 2c	.using.it.for.network.transport,
1e120	20 61 73 20 66 6f 72 20 72 65 6c 69 61 62 6c 65 20 73 74 61 74 65 20 64 65 74 65 63 74 69 6f 6e	.as.for.reliable.state.detection
1e140	20 79 6f 75 20 6e 65 65 64 20 74 6f 20 75 73 65 20 53 4f 4d 45 54 48 49 4e 47 20 74 6f 20 64 65	.you.need.to.use.SOMETHING.to.de
1e160	74 65 63 74 20 77 68 65 6e 20 74 68 65 20 6c 69 6e 6b 20 69 73 20 64 6f 77 6e 2e 00 57 69 74 68	tect.when.the.link.is.down..With
1e180	20 54 75 6e 6e 65 6c 62 72 6f 6b 65 72 2e 6e 65 74 2c 20 79 6f 75 20 68 61 76 65 20 74 77 6f 20	.Tunnelbroker.net,.you.have.two.
1e1a0	6f 70 74 69 6f 6e 73 3a 00 57 69 74 68 20 74 68 69 73 20 63 6f 6d 6d 61 6e 64 20 77 65 20 61 72	options:.With.this.command.we.ar
1e1c0	65 20 61 62 6c 65 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 74 72 61 6e 73 70 6f 72 74 20 61 6e	e.able.to.check.the.transport.an
1e1e0	64 20 63 75 73 74 6f 6d 65 72 20 6c 61 62 65 6c 20 28 69 6e 6e 65 72 2f 6f 75 74 65 72 29 20 66	d.customer.label.(inner/outer).f
1e200	6f 72 20 6e 65 74 77 6f 72 6b 20 73 70 6f 6b 65 73 20 70 72 65 66 69 78 65 73 20 31 30 2e 30 2e	or.network.spokes.prefixes.10.0.
1e220	30 2e 38 30 2f 33 32 20 2d 20 31 30 2e 30 2e 30 2e 39 30 2f 33 32 00 57 69 74 68 69 6e 20 74 68	0.80/32.-.10.0.0.90/32.Within.th
1e240	65 20 56 52 46 20 77 65 20 73 65 74 20 74 68 65 20 52 6f 75 74 65 2d 44 69 73 74 69 6e 67 75 69	e.VRF.we.set.the.Route-Distingui
1e260	73 68 65 72 20 28 52 44 29 20 61 6e 64 20 52 6f 75 74 65 2d 54 61 72 67 65 74 73 20 28 52 54 29	sher.(RD).and.Route-Targets.(RT)
1e280	2c 20 74 68 65 6e 20 77 65 20 65 6e 61 62 6c 65 20 74 68 65 20 65 78 70 6f 72 74 2f 69 6d 70 6f	,.then.we.enable.the.export/impo
1e2a0	72 74 20 56 50 4e 2e 00 58 52 76 2d 50 33 3a 00 59 6f 75 20 6d 61 6e 61 67 65 64 20 74 6f 20 63	rt.VPN..XRv-P3:.You.managed.to.c
1e2c0	6f 6d 65 20 74 68 69 73 20 66 61 72 2c 20 6e 6f 77 20 77 65 20 77 61 6e 74 20 74 6f 20 73 65 65	ome.this.far,.now.we.want.to.see
1e2e0	20 74 68 65 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 73 20	.the.network.and.routing.tables.
1e300	69 6e 20 61 63 74 69 6f 6e 2e 00 59 6f 75 20 73 68 6f 75 6c 64 20 62 65 20 61 62 6c 65 20 74 6f	in.action..You.should.be.able.to
1e320	20 70 69 6e 67 20 74 6f 20 61 6e 64 20 66 72 6f 6d 20 61 6c 6c 20 74 68 65 20 49 50 73 20 79 6f	.ping.to.and.from.all.the.IPs.yo
1e340	75 20 68 61 76 65 20 61 6c 6c 6f 63 61 74 65 64 2e 00 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 77	u.have.allocated..You.should.now
1e360	20 62 65 20 61 62 6c 65 20 74 6f 20 70 69 6e 67 20 73 6f 6d 65 74 68 69 6e 67 20 62 79 20 49 50	.be.able.to.ping.something.by.IP
1e380	76 36 20 44 4e 53 20 6e 61 6d 65 3a 00 59 6f 75 20 73 68 6f 75 6c 64 20 6e 6f 77 20 62 65 20 61	v6.DNS.name:.You.should.now.be.a
1e3a0	62 6c 65 20 74 6f 20 73 65 65 20 74 68 65 20 61 64 76 65 72 74 69 73 65 64 20 6e 65 74 77 6f 72	ble.to.see.the.advertised.networ
1e3c0	6b 20 6f 6e 20 74 68 65 20 6f 74 68 65 72 20 68 6f 73 74 2e 00 59 6f 75 20 77 6f 75 6c 64 20 68	k.on.the.other.host..You.would.h
1e3e0	61 76 65 20 35 20 7a 6f 6e 65 73 20 69 6e 73 74 65 61 64 20 6f 66 20 6a 75 73 74 20 34 20 61 6e	ave.5.zones.instead.of.just.4.an
1e400	64 20 79 6f 75 20 77 6f 75 6c 64 20 63 6f 6e 66 69 67 75 72 65 20 79 6f 75 72 20 76 36 20 72 75	d.you.would.configure.your.v6.ru
1e420	6c 65 73 65 74 20 62 65 74 77 65 65 6e 20 79 6f 75 72 20 74 75 6e 6e 65 6c 20 69 6e 74 65 72 66	leset.between.your.tunnel.interf
1e440	61 63 65 20 61 6e 64 20 79 6f 75 72 20 4c 41 4e 2f 44 4d 5a 20 7a 6f 6e 65 73 20 69 6e 73 74 65	ace.and.your.LAN/DMZ.zones.inste
1e460	61 64 20 6f 66 20 74 6f 20 74 68 65 20 57 41 4e 2e 00 59 6f 75 20 77 6f 75 6c 64 20 68 61 76 65	ad.of.to.the.WAN..You.would.have
1e480	20 74 6f 20 61 64 64 20 61 20 63 6f 75 70 6c 65 20 6f 66 20 72 75 6c 65 73 20 6f 6e 20 79 6f 75	.to.add.a.couple.of.rules.on.you
1e4a0	72 20 77 61 6e 2d 6c 6f 63 61 6c 20 72 75 6c 65 73 65 74 20 74 6f 20 61 6c 6c 6f 77 20 70 72 6f	r.wan-local.ruleset.to.allow.pro
1e4c0	74 6f 63 6f 6c 20 34 31 20 69 6e 2e 00 5a 6f 6e 65 2d 50 6f 6c 69 63 79 20 65 78 61 6d 70 6c 65	tocol.41.in..Zone-Policy.example
1e4e0	00 5a 6f 6e 65 73 20 42 61 73 69 63 73 00 5a 6f 6e 65 73 20 61 6e 64 20 52 75 6c 65 73 65 74 73	.Zones.Basics.Zones.and.Rulesets
1e500	20 62 6f 74 68 20 68 61 76 65 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 73 74 61 74	.both.have.a.default.action.stat
1e520	65 6d 65 6e 74 2e 20 57 68 65 6e 20 75 73 69 6e 67 20 5a 6f 6e 65 2d 50 6f 6c 69 63 69 65 73 2c	ement..When.using.Zone-Policies,
1e540	20 74 68 65 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 69 73 20 73 65 74 20 62 79 20 74 68	.the.default.action.is.set.by.th
1e560	65 20 7a 6f 6e 65 2d 70 6f 6c 69 63 79 20 73 74 61 74 65 6d 65 6e 74 20 61 6e 64 20 69 73 20 72	e.zone-policy.statement.and.is.r
1e580	65 70 72 65 73 65 6e 74 65 64 20 62 79 20 72 75 6c 65 20 31 30 30 30 30 2e 00 5a 6f 6e 65 73 20	epresented.by.rule.10000..Zones.
1e5a0	64 6f 20 6e 6f 74 20 61 6c 6c 6f 77 20 66 6f 72 20 61 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f	do.not.allow.for.a.default.actio
1e5c0	6e 20 6f 66 20 61 63 63 65 70 74 3b 20 65 69 74 68 65 72 20 64 72 6f 70 20 6f 72 20 72 65 6a 65	n.of.accept;.either.drop.or.reje
1e5e0	63 74 2e 20 49 74 20 69 73 20 69 6d 70 6f 72 74 61 6e 74 20 74 6f 20 72 65 6d 65 6d 62 65 72 20	ct..It.is.important.to.remember.
1e600	74 68 69 73 20 62 65 63 61 75 73 65 20 69 66 20 79 6f 75 20 61 70 70 6c 79 20 61 6e 20 69 6e 74	this.because.if.you.apply.an.int
1e620	65 72 66 61 63 65 20 74 6f 20 61 20 7a 6f 6e 65 20 61 6e 64 20 63 6f 6d 6d 69 74 2c 20 61 6e 79	erface.to.a.zone.and.commit,.any
1e640	20 61 63 74 69 76 65 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 77 69 6c 6c 20 62 65 20 64 72 6f 70	.active.connections.will.be.drop
1e660	70 65 64 2e 20 53 70 65 63 69 66 69 63 61 6c 6c 79 2c 20 69 66 20 79 6f 75 20 61 72 65 20 53 53	ped..Specifically,.if.you.are.SS
1e680	48 e2 80 99 64 20 69 6e 74 6f 20 56 79 4f 53 20 61 6e 64 20 61 64 64 20 6c 6f 63 61 6c 20 6f 72	H...d.into.VyOS.and.add.local.or
1e6a0	20 74 68 65 20 69 6e 74 65 72 66 61 63 65 20 79 6f 75 20 61 72 65 20 63 6f 6e 6e 65 63 74 69 6e	.the.interface.you.are.connectin
1e6c0	67 20 74 68 72 6f 75 67 68 20 74 6f 20 61 20 7a 6f 6e 65 20 61 6e 64 20 64 6f 20 6e 6f 74 20 68	g.through.to.a.zone.and.do.not.h
1e6e0	61 76 65 20 72 75 6c 65 73 65 74 73 20 69 6e 20 70 6c 61 63 65 20 74 6f 20 61 6c 6c 6f 77 20 53	ave.rulesets.in.place.to.allow.S
1e700	53 48 20 61 6e 64 20 65 73 74 61 62 6c 69 73 68 65 64 20 73 65 73 73 69 6f 6e 73 2c 20 79 6f 75	SH.and.established.sessions,.you
1e720	20 77 69 6c 6c 20 6e 6f 74 20 62 65 20 61 62 6c 65 20 74 6f 20 63 6f 6e 6e 65 63 74 2e 00 60 32	.will.not.be.able.to.connect..`2
1e740	30 30 31 3a 34 37 30 3a 78 78 78 78 3a 31 3a 3a 2f 36 34 60 3a 20 41 20 73 75 62 6e 65 74 20 73	001:470:xxxx:1::/64`:.A.subnet.s
1e760	75 69 74 61 62 6c 65 20 66 6f 72 20 61 20 4c 41 4e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78	uitable.for.a.LAN.`2001:470:xxxx
1e780	3a 32 3a 3a 2f 36 34 60 3a 20 41 6e 6f 74 68 65 72 20 73 75 62 6e 65 74 00 60 32 30 30 31 3a 34	:2::/64`:.Another.subnet.`2001:4
1e7a0	37 30 3a 78 78 78 78 3a 3a 2f 34 38 60 3a 20 54 68 65 20 77 68 6f 6c 65 20 73 75 62 6e 65 74 2e	70:xxxx::/48`:.The.whole.subnet.
1e7c0	20 78 78 78 78 20 73 68 6f 75 6c 64 20 63 6f 6d 65 20 66 72 6f 6d 20 54 75 6e 6e 65 6c 62 72 6f	.xxxx.should.come.from.Tunnelbro
1e7e0	6b 65 72 2e 00 60 32 30 30 31 3a 34 37 30 3a 78 78 78 78 3a 66 66 66 66 3a 2f 36 34 60 3a 20 54	ker..`2001:470:xxxx:ffff:/64`:.T
1e800	68 65 20 6c 61 73 74 20 75 73 61 62 6c 65 20 2f 36 34 20 73 75 62 6e 65 74 2e 00 60 60 73 65 72	he.last.usable./64.subnet..``ser
1e820	76 69 63 65 2d 6e 61 6d 65 60 60 20 63 61 6e 20 62 65 20 61 6e 20 61 72 62 69 74 72 61 72 79 20	vice-name``.can.be.an.arbitrary.
1e840	73 74 72 69 6e 67 2e 00 61 66 74 65 72 20 61 6c 6c 20 74 68 65 73 65 20 73 74 65 70 73 20 74 68	string..after.all.these.steps.th
1e860	65 20 63 6f 6e 66 69 67 20 6c 6f 6f 6b 20 6c 69 6b 65 20 74 68 69 73 3a 00 61 66 74 65 72 20 74	e.config.look.like.this:.after.t
1e880	68 69 73 20 63 72 65 61 74 65 20 61 20 73 69 67 6e 65 64 20 73 65 72 76 65 72 20 61 6e 64 20 61	his.create.a.signed.server.and.a
1e8a0	20 63 6c 69 65 6e 74 20 63 65 72 74 69 66 69 63 61 74 65 00 61 6e 64 20 6c 61 73 74 20 74 68 65	.client.certificate.and.last.the
1e8c0	20 44 48 20 4b 65 79 00 62 6c 75 65 20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20	.DH.Key.blue.uses.local.routing.
1e8e0	74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20 32 30 30 30 00 63 68 30 30 73 33 2d 34 2d 73	table.id.and.VNI.2000.ch00s3-4-s
1e900	33 63 75 72 33 2d 70 73 6b 00 63 6f 6d 70 75 74 65 31 20 28 56 4d 77 61 72 65 20 45 53 58 69 20	3cur3-psk.compute1.(VMware.ESXi.
1e920	36 2e 35 29 00 63 6f 6d 70 75 74 65 31 20 2d 20 50 6f 72 74 20 39 20 6f 66 20 65 61 63 68 20 73	6.5).compute1.-.Port.9.of.each.s
1e940	77 69 74 63 68 00 63 6f 6d 70 75 74 65 32 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29	witch.compute2.(VMware.ESXi.6.5)
1e960	00 63 6f 6d 70 75 74 65 32 20 2d 20 50 6f 72 74 20 31 30 20 6f 66 20 65 61 63 68 20 73 77 69 74	.compute2.-.Port.10.of.each.swit
1e980	63 68 00 63 6f 6d 70 75 74 65 33 20 28 56 4d 77 61 72 65 20 45 53 58 69 20 36 2e 35 29 00 63 6f	ch.compute3.(VMware.ESXi.6.5).co
1e9a0	6d 70 75 74 65 33 20 2d 20 50 6f 72 74 20 31 31 20 6f 66 20 65 61 63 68 20 73 77 69 74 63 68 00	mpute3.-.Port.11.of.each.switch.
1e9c0	63 6f 6e 66 69 67 75 72 65 20 65 61 63 68 20 68 6f 73 74 20 69 6e 20 74 68 65 20 6c 61 62 00 63	configure.each.host.in.the.lab.c
1e9e0	72 65 61 74 65 20 74 68 65 20 6c 61 62 20 6f 6e 20 61 20 65 76 65 2d 6e 67 20 73 65 72 76 65 72	reate.the.lab.on.a.eve-ng.server
1ea00	00 64 6f 20 73 6f 6d 65 20 64 65 66 69 6e 65 64 20 74 65 73 74 73 00 65 74 68 30 00 65 74 68 30	.do.some.defined.tests.eth0.eth0
1ea20	20 69 73 20 73 65 74 20 74 6f 20 62 65 20 72 65 6d 6f 76 65 64 20 66 72 6f 6d 20 74 68 65 20 6c	.is.set.to.be.removed.from.the.l
1ea40	6f 61 64 20 62 61 6c 61 6e 63 65 72 27 73 20 69 6e 74 65 72 66 61 63 65 20 70 6f 6f 6c 20 61 66	oad.balancer's.interface.pool.af
1ea60	74 65 72 20 35 20 70 69 6e 67 20 66 61 69 6c 75 72 65 73 2c 20 65 74 68 31 20 77 69 6c 6c 20 62	ter.5.ping.failures,.eth1.will.b
1ea80	65 20 72 65 6d 6f 76 65 64 20 61 66 74 65 72 20 34 20 70 69 6e 67 20 66 61 69 6c 75 72 65 73 2e	e.removed.after.4.ping.failures.
1eaa0	00 65 78 74 65 6e 64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 20 61 6e 64 20 72 65 6d 6f 74 65 20 6c	.extended.community.and.remote.l
1eac0	61 62 65 6c 20 6f 66 20 73 70 65 63 69 66 69 63 20 64 65 73 74 69 6e 61 74 69 6f 6e 00 66 69 72	abel.of.specific.destination.fir
1eae0	73 74 20 74 68 65 20 50 43 41 00 67 65 6e 65 72 61 74 65 20 74 68 65 20 64 6f 63 75 6d 65 6e 74	st.the.PCA.generate.the.document
1eb00	61 74 69 6f 6e 20 61 6e 64 20 69 6e 63 6c 75 64 65 20 66 69 6c 65 73 00 67 72 65 65 6e 20 75 73	ation.and.include.files.green.us
1eb20	65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62 6c 65 20 69 64 20 61 6e 64 20 56 4e	es.local.routing.table.id.and.VN
1eb40	49 20 34 30 30 30 00 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 62 65 74 77 65 65 6e 20 50 45 20 61 6e	I.4000.information.between.PE.an
1eb60	64 20 43 45 3a 00 6f 70 74 69 6f 6e 61 6c 20 64 6f 20 61 6e 20 75 70 67 72 61 64 65 20 74 6f 20	d.CE:.optional.do.an.upgrade.to.
1eb80	61 20 68 69 67 68 65 72 20 76 65 72 73 69 6f 6e 20 61 6e 64 20 64 6f 20 73 74 65 70 20 33 20 61	a.higher.version.and.do.step.3.a
1eba0	67 61 69 6e 2e 00 72 65 64 20 75 73 65 73 20 6c 6f 63 61 6c 20 72 6f 75 74 69 6e 67 20 74 61 62	gain..red.uses.local.routing.tab
1ebc0	6c 65 20 69 64 20 61 6e 64 20 56 4e 49 20 33 30 30 30 00 72 6f 75 74 65 72 32 20 28 52 61 6e 64	le.id.and.VNI.3000.router2.(Rand
1ebe0	6f 6d 20 31 52 55 20 6d 61 63 68 69 6e 65 20 77 69 74 68 20 34 20 4e 49 43 73 29 00 73 61 76 65	om.1RU.machine.with.4.NICs).save
1ec00	20 74 68 65 20 6f 75 74 70 75 74 20 74 6f 20 61 20 66 69 6c 65 20 61 6e 64 20 69 6d 70 6f 72 74	.the.output.to.a.file.and.import
1ec20	20 69 74 20 69 6e 20 6e 65 61 72 6c 79 20 61 6c 6c 20 6f 70 65 6e 76 70 6e 20 63 6c 69 65 6e 74	.it.in.nearly.all.openvpn.client
1ec40	73 2e 00 73 68 75 74 64 6f 77 6e 20 61 6e 64 20 64 65 73 74 72 6f 79 20 74 68 65 20 6c 61 62 2c	s..shutdown.and.destroy.the.lab,
1ec60	20 69 66 20 74 68 65 72 65 20 69 73 20 6e 6f 20 65 72 72 6f 72 00 73 70 65 63 69 66 69 63 20 56	.if.there.is.no.error.specific.V
1ec80	50 4e 76 34 20 64 65 73 74 69 6e 61 74 69 6f 6e 20 69 6e 63 6c 75 64 69 6e 67 20 65 78 74 65 6e	PNv4.destination.including.exten
1eca0	64 65 64 20 63 6f 6d 6d 75 6e 69 74 79 20 61 6e 64 20 72 65 6d 6f 74 65 6c 61 62 65 6c 20 69 6e	ded.community.and.remotelabel.in
1ecc0	66 6f 72 6d 61 74 69 6f 6e 2e 20 54 68 69 73 20 70 72 6f 63 65 64 75 72 65 20 69 73 20 74 68 65	formation..This.procedure.is.the
1ece0	20 73 61 6d 65 20 6f 6e 20 61 6c 6c 20 53 70 6f 6b 65 20 6e 6f 64 65 73 3a 00 73 77 69 74 63 68	.same.on.all.Spoke.nodes:.switch
1ed00	31 20 28 4e 65 78 75 73 20 31 30 67 62 20 53 77 69 74 63 68 29 00 73 77 69 74 63 68 32 20 28 4e	1.(Nexus.10gb.Switch).switch2.(N
1ed20	65 78 75 73 20 31 30 67 62 20 53 77 69 74 63 68 29 00 76 36 20 70 61 69 72 73 20 77 6f 75 6c 64	exus.10gb.Switch).v6.pairs.would
1ed40	20 62 65 3a 00 76 79 6f 73 31 30 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 38 00 76 79 6f 73 37 20	.be:.vyos10.-.192.0.2.108.vyos7.
1ed60	2d 20 31 39 32 2e 30 2e 32 2e 31 30 35 00 76 79 6f 73 38 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30	-.192.0.2.105.vyos8.-.192.0.2.10
1ed80	36 00 76 79 6f 73 39 20 2d 20 31 39 32 2e 30 2e 32 2e 31 30 37 00 77 65 20 61 72 65 20 75 73 69	6.vyos9.-.192.0.2.107.we.are.usi
1eda0	6e 67 20 22 73 6f 75 72 63 65 2d 61 64 64 72 65 73 73 22 20 6f 70 74 69 6f 6e 20 63 61 75 73 65	ng."source-address".option.cause
1edc0	20 77 65 20 61 72 65 20 6e 6f 74 20 72 65 64 69 73 74 72 69 62 75 74 69 6e 67 20 63 6f 6e 6e 65	.we.are.not.redistributing.conne
1ede0	63 74 65 64 20 69 6e 74 65 72 66 61 63 65 73 20 69 6e 74 6f 20 42 47 50 20 6f 6e 20 74 68 65 20	cted.interfaces.into.BGP.on.the.
1ee00	43 6f 72 65 20 72 6f 75 74 65 72 20 68 65 6e 63 65 20 74 68 65 72 65 20 69 73 20 6e 6f 20 63 6f	Core.router.hence.there.is.no.co
1ee20	6d 65 62 61 63 6b 20 72 6f 75 74 65 20 61 6e 64 20 70 69 6e 67 20 77 69 6c 6c 20 66 61 69 6c 2e	meback.route.and.ping.will.fail.
1ee40	00 77 69 74 68 69 6e 20 56 52 46 73 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76	.within.VRFs:....show.bgp.ipv4.v
1ee60	70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 42 47 50 20 56	pn.summary....for.checking.BGP.V
1ee80	50 4e 76 34 20 6e 65 69 67 68 62 6f 72 73 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34	PNv4.neighbors:....show.bgp.ipv4
1eea0	20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 69 42 47	.vpn.summary....for.checking.iBG
1eec0	50 20 6e 65 69 67 68 62 6f 72 73 20 61 67 61 69 6e 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70	P.neighbors.again....show.bgp.ip
1eee0	76 34 20 76 70 6e 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 69	v4.vpn.summary....for.checking.i
1ef00	42 47 50 20 6e 65 69 67 68 62 6f 72 73 20 61 67 61 69 6e 73 74 20 72 6f 75 74 65 2d 72 65 66 6c	BGP.neighbors.against.route-refl
1ef20	65 63 74 6f 72 20 64 65 76 69 63 65 73 3a 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20	ector.devices:....show.bgp.ipv4.
1ef40	76 70 6e 20 78 2e 78 2e 78 2e 78 2f 33 32 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 62	vpn.x.x.x.x/32....for.checking.b
1ef60	65 73 74 2d 70 61 74 68 2c 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20 76 70 6e 20 78	est-path,....show.bgp.ipv4.vpn.x
1ef80	2e 78 2e 78 2e 78 2f 33 32 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 74 68 65 20 62 65	.x.x.x/32....for.checking.the.be
1efa0	73 74 2d 70 61 74 68 20 74 6f 20 74 68 65 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34 20	st-path.to.the....show.bgp.ipv4.
1efc0	76 70 6e 20 78 2e 78 2e 78 2e 78 2f 78 e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 62 65	vpn.x.x.x.x/x....for.checking.be
1efe0	73 74 20 70 61 74 68 20 73 65 6c 65 63 74 65 64 20 66 6f 72 20 73 70 65 63 69 66 69 63 20 56 50	st.path.selected.for.specific.VP
1f000	4e 76 34 20 64 65 73 74 69 6e 61 74 69 6f 6e 00 e2 80 9c 73 68 6f 77 20 62 67 70 20 69 70 76 34	Nv4.destination....show.bgp.ipv4
1f020	20 76 70 6e e2 80 9d 20 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 56 50 4e 76 34 20	.vpn.....for.checking.all.VPNv4.
1f040	70 72 65 66 69 78 65 73 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 3a 00 e2 80 9c 73 68 6f 77 20 62 67	prefixes.information:....show.bg
1f060	70 20 76 72 66 20 42 4c 55 45 5f 48 55 42 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63 68	p.vrf.BLUE_HUB.summary....for.ch
1f080	65 63 6b 69 6e 67 20 45 42 47 50 20 6e 65 69 67 68 62 6f 72 00 e2 80 9c 73 68 6f 77 20 62 67 70	ecking.EBGP.neighbor....show.bgp
1f0a0	20 76 72 66 20 42 4c 55 45 5f 53 50 4f 4b 45 20 73 75 6d 6d 61 72 79 e2 80 9d 20 66 6f 72 20 63	.vrf.BLUE_SPOKE.summary....for.c
1f0c0	68 65 63 6b 69 6e 67 20 45 42 47 50 20 6e 65 69 67 68 62 6f 72 00 e2 80 9c 73 68 6f 77 20 62 67	hecking.EBGP.neighbor....show.bg
1f0e0	70 20 76 72 66 20 61 6c 6c e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c 20 74 68	p.vrf.all....for.checking.all.th
1f100	65 20 70 72 65 66 69 78 20 6c 65 61 72 6e 69 6e 67 20 6f 6e 20 42 47 50 00 e2 80 9c 73 68 6f 77	e.prefix.learning.on.BGP....show
1f120	20 62 67 70 20 76 72 66 20 61 6c 6c e2 80 9d 20 66 6f 72 20 63 68 65 63 6b 69 6e 67 20 61 6c 6c	.bgp.vrf.all....for.checking.all
1f140	20 74 68 65 20 70 72 65 66 69 78 65 73 20 6c 65 61 72 6e 69 6e 67 20 6f 6e 20 42 47 50 00 e2 80	.the.prefixes.learning.on.BGP...
1f160	9c 73 68 6f 77 20 69 70 20 6f 73 70 66 20 6e 65 69 67 68 62 6f 72 e2 80 9d 20 66 6f 72 20 63 68	.show.ip.ospf.neighbor....for.ch
1f180	65 63 6b 69 6e 67 20 6f 73 70 66 20 72 65 6c 61 74 69 6f 6e 73 68 69 70 00 e2 80 9c 73 68 6f 77	ecking.ospf.relationship....show
1f1a0	20 69 70 20 72 6f 75 74 65 20 76 72 66 20 42 4c 55 45 5f 48 55 42 e2 80 9d 20 74 6f 20 76 69 65	.ip.route.vrf.BLUE_HUB....to.vie
1f1c0	77 20 74 68 65 20 52 49 42 20 69 6e 20 6f 75 72 20 48 75 62 20 50 45 2e 00 e2 80 9c 73 68 6f 77	w.the.RIB.in.our.Hub.PE.....show
1f1e0	20 69 70 20 72 6f 75 74 65 20 76 72 66 20 42 4c 55 45 5f 53 50 4f 4b 45 e2 80 9d 20 66 6f 72 20	.ip.route.vrf.BLUE_SPOKE....for.
1f200	76 69 65 77 69 6e 67 20 74 68 65 20 52 49 42 20 69 6e 20 6f 75 72 20 53 70 6f 6b 65 20 50 45 2e	viewing.the.RIB.in.our.Spoke.PE.
1f220	00 e2 80 9c 73 68 6f 77 20 6d 70 6c 73 20 6c 64 70 20 62 69 6e 64 69 6e 67 e2 80 9d 20 66 6f 72	....show.mpls.ldp.binding....for
1f240	20 63 68 65 63 6b 69 6e 67 20 6d 70 6c 73 20 6c 61 62 65 6c 20 61 73 73 69 67 6e 6d 65 6e 74 00	.checking.mpls.label.assignment.
1f260	e2 80 9c 73 68 6f 77 20 6d 70 6c 73 20 6c 64 70 20 6e 65 69 67 68 62 6f 72 20 e2 80 9c 20 66 6f	...show.mpls.ldp.neighbor.....fo
1f280	72 20 63 68 65 63 6b 69 6e 67 20 6c 64 70 20 6e 65 69 67 68 62 6f 72 73 00	r.checking.ldp.neighbors.