Чтобы быть более конкретным, у меня есть запрос от клиента на блокировку диапазона IP-адресов Китая. Я умею это делать. Я бы использовал IP-адреса из https://www.countryipblocks.net/e_country_data/CN_netmask.txt и сделайте ACL. Что ж, если вы посмотрите на то, что существует 3 412 сетей, мне придется заблокировать.
Я действительно спрашиваю, есть ли способ создать супербольшой ACL? Если бы это было непрерывное IP-пространство, я мог бы просто суперсеть, но это не так.
Я создал сценарий, в котором все, что вам нужно сделать, это выбрать авторитет, и он предоставит вам конфигурацию для перехода в ASA. Это невероятно точно.
Вы можете заблокировать или разрешить определенный регион, если хотите. Я скоро буду обновлять его для конкретных стран, но теперь он поддерживает такие авторитеты, как ARIN, RIPE, APNIC и т. Д.
В Country IP Blocks мы можем агрегировать смежные сети, чтобы значительно уменьшить объем выходных данных. Просто свяжитесь с нами и спросите.
Если вам больше по душе гигантская группа сетевых объектов, чем гигантский ACL, то я думаю, это был бы другой вариант. Это такой же уродливый уровень в командной строке и в исполнении, но я полагаю, это сделало бы его красивее в ASDM.
Будьте очень осторожны с блокировками стран; Я видел, как это вызывает некоторые интересные проблемы. («Почему я не могу зайти в Центр обновления Windows?» «О, вы попадаете на индонезийский сервер, и кто-то заблокировал всю Азию»)