25-思科防火墙：配置访问控制

一、实验拓扑：

二、实验要求：
1、ASA可以添加监控ICMP，这样R3、R5可以PingR1，因为是Outbound流量；R1反过来是不行的，Inbound流量不放行，通不过；
2、Unicast IP Outbound方向通行；ARP双向都通行；Multicast IP（组播流量）、IPX（广播流量）双向都不通；
比如：R1和R2启用OSPF协议（或者用EIGRP），中间经过ASA，建立OSPF协议的时候中间用的是组播IP地址：224.0.0.5、224.0.0.6，经过ASA都是组播IP，两边都过不了的；
解决方法：必须在Outside、Inside所有接口都应用ACL才可以，推荐ACL应用到全局模式；
3、单播Outbound全通、Inbound全不通；
4、允许组播和广播的流量：部署ACL放行这些流量，应用到全局格式：
ciscoasa(config)# access-group mingzi global