<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Oct 15, 2020 at 10:30 AM Saku Ytti <<a href="mailto:saku@ytti.fi">saku@ytti.fi</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Thu, 15 Oct 2020 at 17:22, Tim Durack <<a href="mailto:tdurack@gmail.com" target="_blank">tdurack@gmail.com</a>> wrote:<br>
<br>
<br>
> We deploy urpf strict on all customer end-host and broadband circuits. In this scenario urpf = ingress acl I don't have to think about.<br>
<br>
But you have to think about what prefixes a customer has. If BGP you<br>
need to generate prefix-list, if static you need to generate a static<br>
route. As you already have to know and manage this information, what<br>
is the incremental cost to also emit an ACL?<br>
<br>
-- <br>
  ++ytti<br>
</blockquote></div><br clear="all"><div>"You might argue that ingress packet acl would be operationally simpler on customer and upstream, as you could cover all scenarios."<br></div><div><br></div><div>Although for a static customer urpf is hard to beat...</div><div><br></div><div>-- <br></div><div dir="ltr" class="gmail_signature">Tim:></div></div>