EDX Network

URPF : Unicast Reverse Path Forwarding

 

https://packetfun.files.wordpress.com/2017/04/access-denied.jpg?w=1200

 

Nous profitons de la refonte de notre réseau pour mettre en place l'URPF et donc

appliquer la BCP 38 (https://www.ietf.org/rfc/rfc3704.txt).

 

Jusque là, nous avions travaillé avec des ACL de niveaux 3, ce qui compliquait notre administration

dans la mesure où les informations de filtrage était à la fois présente:

- dans nos filtres BGP

- dans la configuration de nos switch L3

 

Un ajout de préfixe pour nos clients nécessitait de mettre à jour les informations aux deux endroits.

Ansible pouvait faire le job, mais nécessitait une action manuelle de notre part, ou un trigger à créer.

Avec un backbone full L3, on peut désormais s'appuyer sur les routes apprises en BGP par nos

clients, et réduire la configuration présente sur nos équipements.

On s'assure donc que nos clients ne puissent émettre des packets avec des ips ne leur appartenant

pas (usurpation d'IP sources).