<p dir="ltr"><br>
On 29 Feb 2016 6:57 PM, "Roland Dobbins" <<a href="mailto:rdobbins@arbor.net">rdobbins@arbor.net</a>> wrote:<br>
><br>
> On 29 Feb 2016, at 14:47, Mark Smith wrote:<br>
><br>
>> RPF is basically an automated form of ingress source address ACLs, so<br>
>> anything that can do those can enforce source address validation - which<br>
>> would include going back at least as far back as AGS+.<br>
><br>
><br>
> It is much more complex and nuanced than this.<br>
></p>
<p dir="ltr">It can be, but that doesn't mean if your router doesn't support it there is nothing you can do.</p>
<p dir="ltr">Perfect is the enemy of good.</p>
<p dir="ltr">> I understand quite intimately how uRPF works with regards to Cisco implementations and the various options thereof.  I'm also quite aware of its limitations and of topological scenarios where it doesn't apply.  I recommend uRPF where and when it is appropriate.<br>
><br>
> tACLs can indeed be used for source-address validation, and I recommend them, when/where appropriate.  Note that tACL management on a network of any size is challenging.</p>
<p dir="ltr">That network had about 500 routers if I recall correctly.<br></p>
<p dir="ltr">> -----------------------------------<br>
> Roland Dobbins <<a href="mailto:rdobbins@arbor.net">rdobbins@arbor.net</a>><br>
><br>
> _______________________________________________<br>
> AusNOG mailing list<br>
> <a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
> <a href="http://lists.ausnog.net/mailman/listinfo/ausnog">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
</p>