Как заблокировать диапазон IP Стран с Cisco ASA?
Как решение Dell, я, вероятно, посмотрел бы на MD3000, который можно затем присоединить к обоим узлам. В зависимости от Вашей файловой системы Вы можете монтировать его на обоих серверах одновременно, или возможно не (не действительно огромная проблема, если Вы наклоняетесь).
С другой стороны, при использовании Linux необходимо посмотреть на DRBD, который позволит Вам копировать данные на блочном уровне между этими двумя узлами. Объедините его с OpenAIS/Pacemaker, и у Вас может быть автоматическая обработка отказа также. Это также обладает дополнительным преимуществом не наличия единой точки отказа (Ваш сервер хранения).
Если бы гигантская группа сетевых объектов больше к Вашей симпатии, чем гигантский ACL, то я предполагаю, что это было бы другой опцией. Это - тот же уровень ужасных в командной строке и в выполнении, но это сделало бы это более симпатичным в ASDM, я предполагаю.
Очень остерегайтесь общих блоков стран; я видел, что он вызывает некоторые интересные проблемы. ("Почему я не могу добраться до Windows Update?" "О, Вы поражаете индонезийский сервер, и кто-то заблокировал всю Азию"),
В блоках Country IP Blocks мы можем агрегировать смежные сети, чтобы значительно уменьшить выходные данные. Просто свяжитесь с нами и спросите.
Я создал скрипт, в котором все, что вам нужно сделать, это выбрать авторитет, и он даст вам конфигурацию, чтобы выпасть в ASA. Он невероятно точный.
Вы можете заблокировать или разрешить определенный регион, если хотите. Скоро я обновлю его для работы с конкретными странами, но теперь он делает такие полномочия, как ARIN, RIPE, APNIC и т.д.
.