<div dir="ltr"><div dir="ltr">In Ciscoland, you do have to explicitly state that the default route is eligible for URPF verification, otherwise you'll get unexpected traffic drops.<br><br><pre style="margin-top:0px;margin-bottom:0px;padding:0px;border:0px;font-variant-numeric:inherit;font-variant-east-asian:inherit;font-stretch:inherit;font-size:17.6px;line-height:inherit;vertical-align:baseline;box-sizing:border-box;color:rgb(82,82,82)">ip verify unicast source reachable-via any allow-default</pre><br>And yes, it's main purpose is for implementing source-based remotely-triggered blackhole (SRTBH).</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Sep 30, 2021 at 10:58 AM Hunter Fuller via NANOG <<a href="mailto:nanog@nanog.org">nanog@nanog.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Thu, Sep 30, 2021 at 12:08 AM Mark Tinka <mark@tinka.africa> wrote:<br>
> If you don't plan to run a full BGP table on a device, don't enable uRPF, even loose-mode.<br>
<br>
At least in Ciscoland, loose URPF checks will pass if you have a<br>
default route. So I do not think it could result in inadvertent<br>
blackholing of traffic.<br>
<br>
What it does allow is for *deliberate* blackholing for traffic; if you<br>
null-route a prefix, you now block incoming traffic from that subnet<br>
as well. This can be useful and it is how we are using URPF.<br>
<br>
<br>
--<br>
Hunter Fuller (they)<br>
Router Jockey<br>
VBH M-1A<br>
+1 256 824 5331<br>
<br>
Office of Information Technology<br>
The University of Alabama in Huntsville<br>
Network Engineering<br>
</blockquote></div></div>