思科6504交换机二层组播通过ASA透明模式防火墙

Cisco6504组播配置：

ip pim snooping

int vlan2

ip address 192.168.87.101 255.255.255.0

ip igmp snooping querier /IGMP侦听查询器，这台交换机将作为询问者，负责向主机询问是否要接收组播数据。

ip pim snooping /pim(协议无关组播窥探)，运行pim snooping的二层设备通过对收到的PIM协议报文进行分析，将有接收需求的端口添加到相应的组播转发表项中，以实现组播报文的精确转发。

当二层设备只运行IGMP Snooping时，它通过监听PIM路由器发出的PIM Hello报文来维护路由器端口，并将所有组播数据报文向VLAN内的所有路由器端口转发；而对于其它类型的PIM协议报文，则在VLAN内广播。因此，无论PIM路由器是否有接收需求，都会收到所有的PIM协议报文和组播数据报文。

当二层设备同时运行了IGMP Snooping和PIM Snooping时，它通过监听PIM路由器发出的PIM协议报文来了解其接收需求，从而将有接收需求的PIM路由器所在的端口加入到相应的组播转发表项中，使PIM协议报文和组播数据报文能够被精确转发给有接收需求的PIM路由器，从而节约了网络带宽。

asa5520防火墙配置：

//配置外网接口

int gig0/0

nameif outside

secrity-level 0

//配置内网接口

int gig0/1

nameif inside

secrity-level 100

//启用透明模式

firewall transparent

//配置管理地址

ip address 192.168.87.102 255.255.255.0

//配置ACL

access-list 101 extended permit icmp any any

access-list 101 extended permit udp any 224.224.1.0 255.255.255.192 eq 2000

access-list 101 extended permit igmp any any //因为6504交换机配置组播使用了IGMP协议。如果6504未使用该协议，即只做个二层交换机，传送UDP报文，则不需要使用该命令

//应用ACL

access-group 101 in interface outside

access-group 101 in interface inside