阅读提示：防火墙服务模块（FWSM）是一个Catalyst 6500系列多千兆位防火墙模块。FWSM是一种支持交换矩阵的模块，可以与总线和交换矩阵进行交互。
Q. 什么是防火墙服务模块？

A. 防火墙服务模块（FWSM）是一个Catalyst 6500系列多千兆位防火墙模块。FWSM是一种支持交换矩阵的模块，可以与总线和交换矩阵进行交互。FWSM可以在Cisco Catalyst 6500系列交换机和Cisco 7600系列互联网路由器中提供状态防火墙功能。

Q. FWSM主要具有哪些特性？

A. FWSM的主要特性包括：

· 高性能，OC-48 或者 5 Gbps 吞吐量，全双工防火墙功能

· 具有整个PIX 6.0软件功能集和PIX 6.2的下列特性：

o 命令授权

o 对象组合

o ILS/NetMeeting修正

o URL过滤改进

· 3M pps 吞吐量

· 支持100个VLAN

· 一百万个并发连接

· LAN故障恢复：主从备份模式，设备内部/设备之间

· 利用OSPF/RIP进行动态路由

· 每个机箱支持多个模块

Q. 防火墙服务模块（FWSM）和Cisco PIX防火墙之间有何不同？

A. FWSM是Cisco Catalyst 6500系列交换机和Cisco 7600系列互联网路由器的一种集成模块--与独立的Cisco PIX防火墙不同。

FWSM建立在Cisco PIX技术的基础之上。
Q. FWSM运行的是什么操作系统？

A. FWSM和Cisco PIX防火墙运行的操作系统都是实时操作系统Finesse。Finesse是一种真正的微核系统，能够提供可重复使用的软件、便于移植的源代码，并可以提高产品质量，减少测试次数，缩短产品上市时间，提高投资回报。
Q. FWSM用什么机制检测流量？

A. FWSM使用与Cisco PIX防火墙相同的检测算法：自适应安全算法（ASA）。ASA是一种状态检测引擎，可以检测流量的完整性。ASA可以使用源和目的地的地址和端口、TCP序列号，以及其他TCP标志，散列IP报头信息。散列的作用相当于指纹，即创建一个独特的代码，表明建立输入或者输出连接的客户端的身份。

如需查看更多的ASA文档，请接入：

[url]http://www.cisco.com/univercd/cc[/url] ... 60/config/intro.htm
Q. Cisco PIX防火墙和PWSM的特性有何区别？

A. FWSM支持Cisco PIX防火墙6.0版本的所有功能和6.2版本的某些功能。下表列出了它们的主要区别。如需查看这些区别的详细说明，请参阅"Cisco PIX 与防火墙模块的区别"文档。[提供该文档的URL][应当链接到防火墙网页]

特性 FSM   Cisco PIX  
性能 5 Gb 1.7 Gb
VLAN标签 有 无
路由 动态 静态
故障恢复使用许可 不需要 需要
××× 功能 无 有
IDS 签名 无 有
最大接口数 100 10
输入控制列表（ACL）支持 128000 2M
Q. FWSM的性能如何？

A. 总性能约为5Gbps。FWSM可以每秒支持一百万个并发连接，并且每秒可以建立超过10万个连接。

A. 装有FWSM的Cisco Catalyst 6500 系列可以提供目前性能最高的防火墙功能--它能够让企业将多种关键任务型防火墙功能整合到一个设备之中，从而减少分散的防火墙的个数，简化对多个防火墙的管理。FWSM主要部署在企业园区的边缘和分布点。
Q. FWSM所能支持的最低的软件版本是多少？

A. 最低的IOS软件版本是12.1(13)E，而综合CatOS的最低版本是7.5(1)。
Q. FWSM支持交换矩阵吗？

A. 是的，FWSM支持交换矩阵。它具有一条与总线的连接和一条与交换矩阵的连接。
Q. FWSM是否利用热备份路由协议（HSRP）实现冗余？

A. 不是。主FWSM和冗余FWSM都使用与Cisco PIX防火墙相同的协议交换逻辑更新和状态信息。
Q. 怎样将流量发送给FWSM？该模块是否具有外部端口？

A. FWSM上没有外部端口。系统会给FWSM分配一些传输流量的VLAN，这些VLAN上的流量将获得防火墙的保护。
Q. FWSM是否支持冗余？

A. FCS可以提供状态防火墙故障恢复。FWSM采用了独特的设计，可以结合PIX状态故障恢复功能。FWSM模块可以安装在同一个或者另外一个Catalyst 6500系列交换机中。
Q. FWSM是否支持路由协议？

A. 是的，它支持开放最短路径优先（OSPF）和路由信息协议（RIP）。
Q. 在订购FWSM时，我应当使用什么产品编号？

A. FWSM的产品编号为：
产品编号 说明
WS-SVC-FWM-1-K9 用于Cisco Catalyst 6500的防火墙服务模块
WS-SVC-FWM-1-K9= 用于Cisco Catalyst 6500的防火墙服务模块（备件）
SC-SVC-FWM-1.1-K9 用于Catalyst 6500的防火墙模块软件
SC-SVC-FWM-1.1-K9= 用于Catalyst 6500的防火墙模块软件（备件）
Q. FWSM是否具有使用许可选项？

A. 没有，该模块没有任何受限的和不受限的使用许可选项。
Q. FWSM使用的是什么三重数据加密标准（3DES）软件？

A. FWSM上的加密功能只能用于网络管理。您不能用该模块上的3DES软件进行远程接入或者站点间隧道端接。
Q. 模块软件是否内置3DES软件，我是否需要单独订购该软件？

A. 3DES 与软件镜像捆绑提供。您不需要单独订购该软件。
Q. 机载闪存和DRAM内存有多大，我能否升级DRAM？

A. FWSM的闪存为128MB，DRAM内存为1GB。内存无法现场升级。
Q. FWSM获得了什么认证？

A. 我们将在2002日历年度的第四季度之前获得ICSA认证。
Q. 我是否可以在FWSM上连接远程虚拟专用网（×××）用户？

A. 不行，FWSM不能提供×××功能。
Q. 我是否可以在同一个机箱中安装多个模块？

A. 可以，每个机箱最多可以安装四个模块。
Q. FWSM是否支持组播功能？

A. 最初的版本不能支持组播功能，但是组播支持将在未来的版本中提供。
Q. 我是否可以在同一个设备中安装和运行FWSM和IPSec ×××加速模块？

A. 不能。最初版本的IOS镜像不能互相兼容，因而不能将这两个模块安装在同一个设备中。
Q. FWSM是否支持IDSM***检测模块？

A. 防火墙服务模块和IDS模块可以共存于同一个设备中。由于IDS模块是一个从设备，所以获得防火墙保护的VLAN也可以拓展到IDS模块，进行***检测。
Q. FWSM是否可以提供拒绝服务/DDoS检测和管理功能？

A. 可以。FWSM可以根据协议或者地址设置阀值、日志和配置。
Q. FWSM可以发现哪些拒绝服务***？

A. 它可以发现下列***：

o ICMP Flood

o UDP Flood

o Ping of Death

o IP Spoofing

o IP源路由选项
Q. FWSM是否支持IP源路由过滤功能？

A. IP源路由过滤功能由IOS提供。
Q. FWSM是否可以支持URL/HTTP过滤?

A. 是的，需要通过像Websense这样的Web过滤工具。
Q. FWSM缺省的安全设置是什么？

A. FWSM会拒绝所有方向上的所有分组，包括来自于管理接口的探测流量。
Q. FWSM是否可以提供高可用性的主/主备份支持？

A. FWSM 目前可以提供主/从备份支持。主/主备份支持目前正在研究之中。
Q. FWSM的主/从冗余功能是否可以提供无缝的故障恢复？

A. 可以。
Q. FWSM是否支持流量整型？

A. FWSM可以通过Catalyst 6500线卡支持流量整型，这种线卡可以为FWSM提供VLAN接口。
Q. FWSM是否支持QoS机制和速率限制？

A. 可以，它支持Catalyst 6500的所有QoS功能。
Q. FWSMD是否支持安全的带外管理？

A. 可以，通过管理VLAN上的IPSec。
Q. FWSM是否支持Traceroute和ping?

A. 如果获得明确许可就可以支持。缺省状态下不支持。
Q. 应当用什么应用配置FWSM和监控系统日志流量？

A. 在最初的版本中，用户可以通过CLI 和Cisco PIX设备管理器（PDM）管理FWSM。PDM可以通过基于向导的菜单帮助用户进行防火墙配置。

防火墙的透明模式
特性介绍：从PIX 7.0和[u][b][color=#ff0000]FWSM[/color][/b][/u] 2.2开始防火墙可以支持透明的防火墙模式，接口不需要配置地址信息，工作在二层。只支持两个接口inside和outside，当然可以配置一个管理接口，但是管理接口不能用于处理用户流量，在多context模式下不能复用物理端口。由于连接的是同一地址段的网络，所以不支持NAT，虽然没有IP地址但是同样可以配置ACL来检查流量。
进入透明模式 Firewall(config)# firewall transparent
(show firewall 来验证当前的工作模式，由于路由模式和透明模式工作方式不同，所以互相切换的时候会清除当前配置文件)
配置接口 Firewall(config)# interface hardware-id
Firewall(config-if)# speed {auto | 10 | 100 |nonegotiate}
Firewall(config-if)# duplex {auto | full | half}
Firewall(config-if)# [no] shutdown
Firewall(config-if)# nameif if_name
Firewall(config-if)# security-level level
注：不用配置IP地址信息，但是其它的属性还是要配置的，接口的安全等级一般要不一样，
same-security-traffic permit inter-interface命令可以免除此限制。  
配置管理地址 Firewall(config)# ip address ip_address subnet_mask
Firewall(config)# route   if_name   foreign_network foreign_mask gateway [metric]
MAC地址表的配置 Firewall# show mac-address-table 显示MAC地址表
Firewall(config)# mac-address-table aging-time minutes 设置MAC地址表过期时间
Firewall(config)# mac-address-table static if_name mac_address 设置静态MAC条目
Firewall(config)# mac-learn if_name disable 禁止特定接口地址学习(show mac-learn验证)
ARP检查 Firewall(config)# arp if_name ip_address mac_address 静态ARP条目
Firewall(config)# arp-inspection if_name enable [flood | no-flood]
端口启用ARP检查为非IP协议配置转发策略 Firewall(config)# access-list acl_id ethertype {permit | deny} {any | bpdu | ipx | mpls-unicast | mpls-multicast | ethertype}
Firewall(config)# access-group acl_id {in | out} interface if_name

6509的FWMS模块配置

我的6509 [u][b][color=#ff0000]fwsm[/color][/b][/u]笔记
[url=http://bbs.tech-ccie.com/viewthread.php?tid=4910][color=#003366]http://bbs.tech-ccie.com/viewthread.php?tid=4910[/color][/url]

基于PIX6.0，支持100个VLAN，和switch通过6G的etherchannel连接，802.1q封装。

未配置的VLAN都作为inside处理，它们之间的通信不经过[u][b][color=#ff0000]FWSM[/color][/b][/u]。
外发的包到达高安全级端口，要经过NAT修改源地址后流向低安全级端口；流入的包要先经过检查，修改目标地址后转发到受保护端口

[u][b][color=#ff0000]FWSM[/color][/b][/u]可以在MSFC前，也可以在MSFC后

3个配置例子
1

OUTSIDE——MSFC—vlan10—[u][b][color=#ff0000]FWSM[/color][/b][/u]—vlan20—CORE——HOST的配置过程

· Create the Layer 3 Interface to be used as gateway by [u][b][color=#ff0000]FWSM[/color][/b][/u]. This is done in global config mode.
o MSFC(config)#interface vlan 10
o MSFC(config-int)#ip address 206.10.10.1 255.255.255.0
o MSFC(config-int)#no shutdown
· Define a vlan-group for the Firewall Module and assign the vlans to a Firewall Module.
o MSFC(config)#firewall vlan-group 1 10,20
o MSFC(config)#firewall module 3 vlan-group 1
· Session to the [u][b][color=#ff0000]FWSM[/color][/b][/u]. To do this type “session slot &module # proc 1” in enable mode. For our example we will assume the
[u][b][color=#ff0000]FWSM[/color][/b][/u] is in slot 3 of the chassis.
o MSFC#session slot 3 proc 1
· Create Layer 3 interfaces on the [u][b][color=#ff0000]FWSM[/color][/b][/u]. The command to do this is “nameif &vlan# &interface name &security level” in
global config mode.
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#nameif 10 outside 0
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#ip address outside 206.10.10.2 255.255.255.0
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#nameif 20 inside 100
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#ip address inside 10.20.20.1 255.255.255.0
· Add default route to Outside security level on the [u][b][color=#ff0000]FWSM[/color][/b][/u].
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#route outside 0.0.0.0 0.0.0.0 206.10.10.1 1
· Configure a STATIC NAT entry for hosts A and B to be seen by outside users.
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#static (inside,outside) 206.10.10.25 10.20.20.25 netmask 255.255.255.255 ?Host A
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#static (inside,outside) 206.10.10.26 10.20.20.26 netmask 255.255.255.255 ?Host B
· Configure a NAT entry for users in the inside security level that wish to initiate a connection to the outside security level.
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#nat (inside) 1 0 0
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#global (outside) 1 206.10.10.100
· Configure access control lists and apply them to the interfaces to restrict access to the inside securty level by hosts on the
outside security level.
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#access-list outside-acl permit tcp any host 206.10.10.25 eq www
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)# access-list outside-acl permit tcp any host 206.10.10.25 eq ftp
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)# access-list outside-acl permit tcp any host 206.10.10.25 eq ftp-data
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)# access-list outside-acl permit icmp any host 206.10.10.25 (this allows outside users to ping)
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#access-list outside-acl permit tcp any host 206.10.10.26 eq www
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)# access-list outside-acl permit tcp any host 206.10.10.26 eq ftp
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)# access-list outside-acl permit tcp any host 206.10.10.26 eq ftp-data
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)# access-list outside-acl permit icmp any host 206.10.10.26 ?(this allows outside users to ping)
· Now apply the defined access-list "outside-acl" to the outside interface as follows:
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#access-group outside-acl in interface outside

2

OUTSIDE—vlan10—[u][b][color=#ff0000]FWSM[/color][/b][/u]—vlan20—MSFC—vlan30—CORE——HOST 与上面例子的不同之处在于：
[u][b][color=#ff0000]FWSM[/color][/b][/u]通过vlan10连接外部，所以65连接外部的g8/1要属于vlan10
o MSFC(config)#interface gigabit 8/1
o MSFC(config-int)# switchport
o MSFC(config-int)#switchport mode access
o MSFC(config-int)#switchport access vlan 10
o MSFC(config-int)#no shutdown
MSFC上使用静态路由即可
o MSFC(config)#ip route 0.0.0.0 0.0.0.0 10.20.20.1
[u][b][color=#ff0000]FWSM[/color][/b][/u]使用静态路由以便使外部数据可以进入内部
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#route inside 10.0.0.0 255.0.0.0 10.20.20.2

3

DMZ
|
vlan50
|
OUTSIDE——MSFC—vlan10—[u][b][color=#ff0000]FWSM[/color][/b][/u]—vlan20—CORE——HOST的配置过程比1增加了如下：
|
vlan60
|
DMZ
· Create the DMZ VLAN’s on the MSFC in global config mode
o MSFC(config)#vlan 50
o MSFC(config-vlan)#no shutdown
o MSFC(config)#vlan 60
o MSFC(config-vlan)#no shutdown
· Add VLAN’s 50 and 60 to the firewall-vlan group created in Configuration #1.
o MSFC(config)#firewall vlan-group 1 50,60
DMZ的计算机连接端口要设成switchport以便[u][b][color=#ff0000]FWSM[/color][/b][/u]可以看到
o MSFC(config)#interface FastEthernet 7/1
o MSFC(config-int)#switchport
o MSFC(config-int)switchport mode access
o MSFC(config-int)switchport access vlan 60
o MSFC(config-int)no shutdown
· Session to the [u][b][color=#ff0000]FWSM[/color][/b][/u] as outlined in Configuration #1 and configure the Layer 3 interfaces for the DMZ security levels.
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#nameif 60 dmz1 60
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#nameif 50 dmz2 50
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#ip address dmz1 10.60.60.1 255.255.255.0
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#ip address dmz2 10.50.50.1 255.255.255.0
· To enable users to be able to connect with the servers in the DMZ’s, STATIC and NAT translations will have to be
established depending upon the direction of the traffic flow.
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#nat (dmz1) 2 10.60.60.0 255.255.255.0
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#global (outside) 2 206.10.10.60
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#global (dmz2) 2 10.50.50.200
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#nat (dmz2) 3 10.50.50.0 255.255.255.0
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#global (outside) 3 206.10.10.50
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#static (inside,dmz1) 10.60.60.60 10.20.20.25 netmask 255.255.255.255
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#static (inside,dmz2) 10.50.50.50 10.20.20.25 netmask 255.255.255.255
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#static (dmz1,dmz2) 10.50.50.50 10.60.60.25 netmask 255.255.255.255
有关acl
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#access-list web permit tcp any host 206.10.10.125 eq www
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#access-list web permit tcp any host 206.10.1

小弟最近在改造公司的网络，三台6509，其中两台上面配置了FWSM和IDS模块，另外一块没有，三台6509放置在两个机房，主机房为一台有FWSM和IDS模块的6509和一台没有FWSM和IDS模块的6509，备份机房放置一台配置了FWSM和IDS模块的6509。
小弟网络中有若干VLAN需要透传于这三台6509之间，请教是否可以使用GLBP协议？
GLBP协议和HSRP协议各自具备哪些优劣特性。

2007-3-9 14:34

链路冗余：HSRP/SLB/VRRP/GLBP简单理解

一、HSRP介绍及相关配置

1）HSRP介绍
全称Hot Standby Routing Protocol，原理比较简单，类似于服务器HA群集，
两台或更多的路由器以同样的方式配置成Cluster，创建出单个的虚拟路由器，
然后客户端将网关指向该虚拟路由器。
最后由HSRP决定哪个路由器扮演真正的默认网关。

具体说，HRSP用于在源主机无法动态地学习到网关IP地址的情况下防止默认路由的失败。
它主要用于多接入，多播和广播局域网(例如以太网)。

2）相关技术介绍
局域网中，在主网关失效瘫痪的情况下，如何找到备份网关，主要有以下几种办法：

proxy ARP
IRDP
动态路由
HSRP

Proxy ARP
支持Proxy ARP 的计算机无论与本网段的计算机还是不同网段的计算机进入通讯都发送ARP广播以寻找与目的地址相对应的MAC地址，
这时，知道目的地址的路由器会响应ARP的请求，并将自己的MAC地址广播给源计算机，
然后源计算机就将IP数据包发给该路由器，并由路由器最终将数据包发送到目的。

ARP代理的主要缺点是切换时间长，如果主网关正在传输数据时失效，客户机仍然会继续发包，导致传输中断，
只有再另外发送Proxy ARP请求或重新启动之后才能找到备用网关以进行传输。

IRDP
支持IRDP的客户机会监听主网关发出的“Hello”的多点广播信息包，
如果该计算机不再收到“Hello”信息时，它就会利用备份路由器进行数据传输。

动态路由
如果使用动态路由来实现网关切换，则存在收敛过慢和内存占用的问题。

HRSP
自动切换

3）HRSP原理
需要注意的是，Cluster里的每个成员路由器仍然是标准的路由器，
客户端仍然可以将成员路由器配置成其默认网关。

在Cisco路由器中，最多可以配置256个HSRP组，
因为HSRP能够使用的MAC地址类似于：0000.0c07.ac**。

HRSP每隔3秒发送hello包，包括group ID，HSRP group和优先级(默认为100)。
路由器彼此之间依据优先级，确定优先级最高的路由器是活动路由器。
如果优先级相同，在IP地址高的成为活动路由器。

在HRSP组中，只允许同时存在一个活动路由器，其他路由器都处于备用状态，
备用路由器不转发数据包。

如果备用路由器持续不断地收到活动路由器发来的hello包，
则其会一直处于备用状态。
一旦备用路由器在规定的时间内(Hold Time，默认10秒)没有收到hello包，，
则认为活动路由器失效，
优先级最高的备用路由器就接替活动路由器的角色，开始转发数据包。

4）HRSP preempt技术
HRSP技术能够保证优先级高的路由器失效恢复后总能处于活动状态。

活动路由器失效后，优先级最高的备用路由器处于活动状态，
如果没有使用preempt技术，
则当活动路由器恢复后，只能处于备用状态，
先前的备用服务器代替其角色处于活动状态，直到下一次选举发生。

5）HRSP track技术
如果所监测的端口出现故障，则也可以进行路由器的切换。

如果主路由器上有多条线路被跟踪，
则当一条线路出现故障时，就会切换到备份路由器上，即使其他都线路正常工作，
直到主路由器该线路正常工作，才能重新切换回来。

该功能在实际应用中完全可以由线路备份功能实现。

6）HRSP配置
routerA#conf t
routerA(config)#int e0
routerA(config)#standby ip 172.16.1.254
routerA(config)#standby preempt
routerA(config)#standby track serial 0
routerA(config)#exit
routerA#

二、SLB介绍及相关配置

1）SLB介绍
全称Server Load Balancing，可以看作HSRP的扩展，实现多个服务器之间的复杂均衡。

虚拟服务器代表的是多个真实服务器的群集，
客户端向虚拟服务器发起连接时，通过某种复杂均衡算法，转发到某真实服务器。

负载均衡算法有两种：
Weighted round robin(WRR)和Weighted least connections(WLC),
WRR使用加权轮询算法分配连接，WLC通过一定的权值，将下一个连接分配给活动连接数少的服务器。

2）SLB配置
配置分为两部分，
第一部分是使用slb serverfarm serverfarm_name命令定义SLB选项，包括指定真实服务器地址；
第二部分是使用ip slb vserver virtual_server-name来指定虚拟服务器地址。

router#config t
router(config)#ip slb serverfarm email
router(config-slb-sfarm)#real 192.168.1.1
router(config-slb-sfarm)#inservice
router(config-slb-sfarm)#real 192.168.1.2
router(config-slb-sfarm)#inservice
router(config-slb-sfarm)#exit
router(config)#ip slb vserver vserver_one
router(config-slb-vserver)#vitual 10.1.1.1 tcp 25
router(config-slb-vserver)#serverfarm email
router(config-slb-vserver)#inservice
router(config-slb-vserver)#exit
router(config)#exit
router#

三、VRRP介绍

全称Virtual Router Redundancy Protocol，和HSRP类似，
只是HSRP是Cisco专有的协议，只应用在Cisco设备上。
VRRP符合Internet标准，定义见RFC2338，是不同厂家之间共同遵循的标准。
VRRP负责从VRRP路由器组中选择一个作为Master，
然后客户端使用虚拟路由器地址作为其默认网关。
配置例子见：[url]http://www.2umm.com/xxlr1.asp?id=6134[/url]

四、GLBP介绍及配置

1）GLBP介绍
全称Gateway Load Banancing Protocol，
和HRSP、VRRP不同的是，GLBP不仅提供冗余网关，还在各网关之间提供负载均衡，
而HRSP、VRRP都必须选定一个活动路由器，而备用路由器则处于闲置状态。

和HRSP不同的是，GLBP可以绑定多个MAC地址到虚拟IP，
从而允许客户端选择不同的路由器作为其默认网关，而网关地址仍使用相同的虚拟IP，
从而实现一定的冗余。

2）活动网关选举
使用类似于HRSP的机制选举活动网关，
优先级最高的路由器成为活动落由器，称作Acitve Virtual Gateway，其他非AVG提供冗余。

某路由器被推举为AVG后，和HRSP不同的工作开始了，AVG分配虚拟的MAC地址给其他GLBP组成员。
所有的GLBP组中的路由器都转发包，
但是各路由器只负责转发与自己的虚拟MAC地址的相关的数据包。

3）地址分配
每个GLBP组中最多有4个虚拟MAC地址，非AVG路由器有AVG按序分配虚拟MAC地址，
非AVG也被称作Active Virtual Forwarder(AVF)。

AVF分为两类：Primary Virtual Forwarder和Secondary Virtual Forwarder。
直接由AVG分配虚拟MAC地址的路由器被称作Primary Virtual Forwarder，
后续不知道AVG真实IP地址的组成员，只能使用hellos包来识别其身份，然后被分配虚拟MAC地址，此类被称作Secondary Virtual Forwarder。

4）GLBP配置
如果AVG失效，则推举就会发生，决定哪个AVF替代AVG来分配MAC地址，推举机制依赖于优先级。
最多可以配置1024个GLBP组，不同的用户组可以配置成使用不同的组AVG来作为其网关。

router#conf t
router(config)#int fastethernet 0/0
router(config-if)#ip address 10.1.1.1
router(config-if)#glbp 99 ip 10.1.1.254
router(config-if)#glbp 99 priority 105
router(config-if)#glbp 99 preempt delay 10
router(config-if)#glbp 99 weighting track int s0 10
router(config-if)#exit
router(config)#^Z

(PDF - 605 KB)

Cisco Catalyst® 6500交换机和Cisco 7600系列路由器的防火墙服务模块（FWSM）是一种高速的、集成化的服务模块，可以提供业界最快的防火墙数据传输速率：5Gb的吞吐量，100000CPS，以及一百万个并发连接。在一个设备中最多可以安装四个FWSM，因而每个设备最高可以提供20Gb的吞吐量。作为世界领先的Cisco PIX防火墙系列的一部分，FWSM可以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能。
FWSM采用了Cisco PIX技术，并且运行Cisco PIX操作系统（OS）--一个实时的、牢固的嵌入式系统，可以消除安全漏洞，防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法（ASA）的保护机制，它可以提供面向连接的全状态防火墙功能。利用ASA，FWSM可以根据源地址和目的地地址，随机的TCP序列号，端口号，以及其他TCP标志，为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略，控制所有输入和输出的流量。
FWSM的主要优点防火墙的传统角色已经发生了变化。今天的防火墙不仅可以保护企业网络免受未经授权的外部接入的***，还可以防止未经授权的用户接入企业网络的子网、工作组和LAN。FBI的统计数据显示，70%的安全问题都来自于企业内部。在FBI开展的调查中，五分之一的受访者表示，在过去12个月中，有***者闯入或者试图闯入他们的企业网络。大部分专家都认为，大多数网络***活动都没有被检测出来。
集成模块 FWSM安装在Cisco Catalyst 6500系列交换机或者Cisco 7600互联网路由器的内部，让这些设备的任何端口都可以充当防火墙端口，并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说，这种功能非常重要。Cisco Catalyst 6500 真正成为了那些需要各种智能化服务（例如防火墙接入、***检测、虚拟专用网（×××））和多层LAN、WAN和MAN交换功能的客户的首选IP服务交换机。
适应未来需要FWSM可以支持5Gb的吞吐量，因而可以提供无以伦比的性能，让用户无须对系统进行彻底的升级，就可以满足未来的要求。在Catalyst 6500中最多可以添加三个FWSM，以满足用户不断发展的需求。
可靠性FWSM建立在Cisco PIX技术的基础之上，并使用了同一个经过时间检验的Cisco PIX操作系统--一个安全的、实时的操作系统。FWSM可以利用行之有效的Cisco PIX技术检测分组，从而可以在同一个平台上×××能和安全的独特组合。
低廉的整体运营成本FWSM可以提供所有防火墙中最佳的性能价格比。Cisco Catalyst机型的SmartNet® 合同中包含了维护成本。由于FWSM是基于Cisco PIX防火墙的，所以培训和管理成本都很低，而且由于它是集成在设备内部的，所以大大减少了需要管理的设备的数量。
易用性Cisco PIX 设备管理器的直观的图形化用户界面（GUI）可以用于管理和配置FWSM。在配置和监控方面，FWSM可以获得思科管理框架和Cisco AVVID（集成化语音、视频和数据体系结构）合作伙伴的支持。
FWSM 特性[tr]FWSM 特性[/tr][tr]主要特性 优点[/tr] 性能 5 Gbps 一百万个并发连接 每秒建立和断开超过10万个连接
多种接口 最多可以支持100个防火墙VLAN--任何Cisco Catalyst 4000 VLAN都可以充当防火墙VLAN 支持802.1q 和ISL 协议
切入型代理 对每个VLAN实施安全策略
主要特性 优点
配置支持 控制台到命令行界面(CLI) Telnet 到Cisco PIX防火墙的内部接口 基于IPSec的Telnet到Cisco PIX防火墙的外部接口 SSH到 CLI SSL 到 Cisco PIX 设备管理器
AAA 支持 通过TACACS＋和RADIUS支持，集成常见的身份认证、授权和记帐服务
NAT/PAT 支持 提供动态/静态的网络地址解析（NAT）和端口地址解析（PAT）
Cisco PIX 设备管理器(PDM) 简便、直观、基于Web的GUI可以支持远程防火墙管理 多种基于实时数据和历史数据的报告可以提供使用趋势、基本性能和安全事件等信息
安全网络管理 安全的、采用三重数据加密标准 (3DES)加密的网络管理接入
访问控制列表 最多支持128000条访问控制列表
URL 过滤 在服务器中设定策略，并利用Websense软件检查输出的URL请求
命令授权 对所有CLI设置优先级，创建与这些优先级对应的用户账号或者登录环境。
对象群组 能够组合网络对象（例如主机）和服务（例如ftp和http）
防范 DoS DNS 保护 Flood Defender Flood Guard TCP 阻截 单播反向路径发送 FragGuard和虚拟重组
路由 静态路由 动态；例如路由信息协议（RIP）和开放最短路径优先（OSPF）
高可用性 状态故障恢复--设备内部和设备之间
日志 全面的系统日志、FTP、URL和ACL日志  
其他协议 H.323 V2 基于IP的NetBios RAS 第二版本 RTSP SIP XDMCP Skinny

FWSM 部署FWSM可以部署在企业园区的数据中心的网络拓扑中。
今天的企业不仅仅需要周边安全，还需要连接业务伙伴和提供园区安全区域，为企业中的各个部门提供安全服务。FWSM可以通过让用户和管理员以不同的策略在企业中设立安全域，提供一种灵活、经济、基于性能的解决方案。图2显示了一个利用状态过滤来建立不同的、基于VLAN的安全域的园区部署。
园区部署利用FWSM，用户可以为不同的VLAN制定相应的策略。
数据中心也需要用状态防火墙安全解决方案来保护数据，并以尽可能低的成本提供千兆位的性能。
电子商务数据中心部署FWSM可以通过在防火墙中提供最佳的性能价格比，最大限度地提高资本投资效率，让客户可以放弃过去那些需要另购防火墙负载均衡设备的、价格昂贵的防火墙产品。
订购信息[tr]订购信息[/tr][tr]产品编号说明[/tr] WS-SVC-FWM-1-K9 用于Cisco Catalyst 6500的防火墙服务模块
WS-SVC-FWM-1-K9= 用于Cisco Catalyst 6500的防火墙服务模块（备件）
SC-SVC-FWM-1.1-K9 用于Catalyst 6500的防火墙模块软件
SC-SVC-FWM-1.1-K9= 用于Catalyst 6500的防火墙模块软件（备件）
使用许可FWSM不需要任何使用许可。
系统要求
Supervisor 2/多层交换功能卡2 (MSFC2)
内置Cisco IOS® 软件，版本在12.1(13)E以上
综合CatOS 最低软件版本7.5(1)
在Cisco Catalyst 6500系列交换机或者Cisco 7600系列互联网路由器中占有一个插槽
在同一个设备中最多安装四个防火墙模块
政策法规安全
UL 1950
CSA C22.2 No. 950-95
EN60950
EN60825-1
TS001
CE Marking
IEC 60950
AS/NZS3260
EMI
FCC Part 15 Class A
ICES-003 Class A
VCCI Class B
EN55022 Class B
CISPR22 Class B
CE Marking
AS/NZS3548 Class B
NEBS
SR-3580 - NEBS: 标准等级 (符合第三级)
GR-63-CORE - NEBS: 物理保护
GR-1089-CORE - NEBS: EMC 和安全
ETSI
ETS-300386-2 交换设备
电信
ITU-T G.610
ITU-T G.703
ITU-T G.707
ITU-T G.783 Sections 9-10
ITU-T G.784
ITU-T G.803
ITU-T G.813
ITU-T G.825
ITU-T G.826
ITU-T G.841
ITU-T G.957 Table 3
ITU-T G.958
ITU-T I.361
ITU-T I.363
ITU I.432
ITU-T Q.2110
ITU-T Q.2130
ITU-T Q.2140
ITU-T Q.2931
ITU-T O.151
ITU-T O.171
ETSI ETS 300 417-1-1
TAS SC BISDN (1998)
ACA TS 026 (1997)
BABT /TC/139 (Draft 1e)