風險評估報告v

1、資金管理系統(tǒng)風險評估報告2010年12月天融信公司安全服務事業(yè)部文檔信息項目名稱PICC安全服務項目文檔編號版本號日期參與人員更新說明V1.020101231王沖、胡 浩分發(fā)控制編號、+ -4V.讀者文檔權限與文檔的主要關系PICC版權說明本文件中出現(xiàn)的全部內容， 除另有特別注明，版權均屬北京天融信公司所有。任何個人、機構未經北京天融信公司的書面授權許可，不得以任何方式復制或引用文件的任何片斷。北京天融信公司安全服務事業(yè)部負責對本文檔的解釋。保密申明本文件包含了來自北京天融信的可靠、權威的信息，接受這份文件表示同意對其內容保密并且未經北京天融信公司書面請求和書面認可，不得復制，泄露或散布這份文

2、件。如果你不是有意接受者，請注意對這份文件內容的任何形式的泄露、復制或散布都是被禁止的。1 簡介51.1 目的51.2 范圍61.3 評估方法61.4 評估工具選擇62 資產安全評估總結 72.1 資產評估對象及方法 722漏洞嚴重級別定義 72.3 網(wǎng)絡安全風險評估 82.3.1 網(wǎng)絡拓撲結構說明 82.3.2 網(wǎng)絡拓撲結構風險分析 82.3.3 網(wǎng)絡與安全設備資產安全概述 82.3.4 網(wǎng)絡與安全設備資產安全風險漏洞錯誤！未定義書簽。 夕卜網(wǎng)防火墻一主(93) 夕卜網(wǎng)防火墻一備(93) 內網(wǎng)防火墻一

3、主(29) 內網(wǎng)防火墻一備(29) SSLVPN ()風險漏洞詳細描述 安全認證交換機 2 服務器區(qū)交換機2 服務器區(qū)交換機配置 2 服務器區(qū)交換機風險漏洞詳細描述 292.4 主機系統(tǒng)安全綜合分析 292.4.1 Web 服務器(8) 30 Web 服務器(8)安全現(xiàn)狀 30 Web服務器(8)風險漏洞詳細描述 332.4.2 Web 服務

4、器(9) 3 Web 服務器(9)安全現(xiàn)狀 3 Web服務器(9)風險漏洞詳細描述 372.4.3 Web 服務器(0) 3 Web 服務器(0)安全現(xiàn)狀 3 Web服務器(0)風險漏洞詳細描述 422.4.4 Web 服務器(1) 4 Web 服務器(1)安全現(xiàn)狀 4 Web服務器(1)風險漏洞詳細描述 462.4.5

5、Web 服務器(2) 4 Web 服務器(2)安全現(xiàn)狀 4 Web服務器(2)風險漏洞詳細描述 50246應用服務器(32) 512.461 應用服務器(32 )安全現(xiàn)狀512.462 應用服務器(32)風險漏洞詳細描述 542.4.7 數(shù)據(jù)庫服務器(66) 5 數(shù)據(jù)庫服務器(66 )安全現(xiàn)狀 5 數(shù)據(jù)庫服務器(66)風險漏洞詳細描述 572.4.8 數(shù)

6、據(jù)庫服務器(67) 5 數(shù)據(jù)庫服務器(66 )安全現(xiàn)狀 5 數(shù)據(jù)庫服務器(66)風險漏洞詳細描述 592.5 應用安全綜合分析 592.6 數(shù)據(jù)庫安全綜合分析 602.6.1 Oracle數(shù)據(jù)庫(66)風險漏洞詳細描述 602.6.2 Oracle數(shù)據(jù)庫(67)風險漏洞詳細描述 602.7 數(shù)據(jù)傳輸安全綜合分析 611簡介企業(yè)對信息技術和服務的依賴意味著自身更容易受到安全威脅的攻擊。 為保 證企業(yè)富有競爭力，保持現(xiàn)金流順暢和贏利，以及維護企業(yè)的良好商業(yè)形象， 信

7、息安全的三要素保密性、完整性和可用性都是至關重要的。對于一個特定的網(wǎng)絡，為了實現(xiàn)其網(wǎng)絡安全的目標，就是要在網(wǎng)絡安全風險 評估的基礎上，明確系統(tǒng)中所存在的各種安全風險，并制訂相應的安全策略，通 過網(wǎng)絡安全管理和各種網(wǎng)絡安全技術的實施，從而達到網(wǎng)絡安全的目標。安全評估是網(wǎng)絡安全防御中的一項重要技術， 其原理是根據(jù)已知的安全漏洞 知識庫，對目標可能存在的安全隱患進行逐項檢查。 目標可以包括工作站、服務 器、交換機、路由器、數(shù)據(jù)庫等各種網(wǎng)絡對象和應用對象。然后根據(jù)掃描結果向 系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高網(wǎng)絡安全整體水平產生重要 依據(jù)。在網(wǎng)絡安全體系的建設中，安全掃描工具花費低、效果好

8、、見效快、與網(wǎng) 絡的運行相對獨立、安裝運行簡單，可以大規(guī)模減少安全管理員的手工勞動， 有 利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。為了充分了解客戶當前的網(wǎng)絡安全威脅狀況，需要利用一些常用的掃描工 具、應用軟件以及人工分析的等方式獲得客戶中重要服務器的各類數(shù)據(jù)。在掃描之后，將掃描系統(tǒng)獲得的報告匯集成為一個當前系統(tǒng)漏洞評估報告，同時根據(jù)漏洞情況提供加強網(wǎng)絡安全的建議。1.1目的本期安全服務項目，包括安全評估，將在技術層上進行評估，以實現(xiàn)以下安 全評估目標：? 識別被評估系統(tǒng)存在的操作系統(tǒng)遠程安全漏洞? 識別被評估系統(tǒng)存在的應用系統(tǒng)安全漏洞評估完成后，將進行加固，保障系統(tǒng)安全。1.2范圍本次安全評估范圍如

9、下：?6臺Windows主機?2臺linux主機?2臺數(shù)據(jù)庫?2臺網(wǎng)絡設備?6臺安全設備1.3評估方法利用網(wǎng)絡掃描工具、安全評估工具和人工評估工具， 檢查資產的弱點，從而 識別能被入侵者用來非法進入網(wǎng)絡的漏洞。生成網(wǎng)絡掃描評估報告，提交檢測到 的漏洞信息，包括位置和詳細描述。這樣就允許管理員偵測和管理安全風險信息。掃描內容包括：? 系統(tǒng)開放的端口號；? 系統(tǒng)中存在的安全漏洞；? 是否存在弱口令；1.4評估工具選擇1. 漏洞掃描工具Nessus安全掃描軟件Nessus是 一個功能強大而又易于使用的遠程安全掃描器，它不僅免費而且更新極快。安全掃描器的功能是對指定網(wǎng)絡進行安全檢查，找出該網(wǎng)絡是否存在

10、有導致對手攻擊的安全漏洞。該系統(tǒng)被設計為client/sever模式，服務器端負責進行安全檢查，客戶端用來配置管理服務器端。在服務端還采用了 plug-in的體系, 允許用戶加入執(zhí)行特定功能的插件，這插件可以進行更快速和更復雜的安全檢 查。在Nessus中還采用了一個共享的信息接口，稱之知識庫，其中保存了前面 進行檢查的結果。檢查的結果可以 HTML、純文本、LaTeX等幾種格式保存。2. 人工檢查Checklist集合天融信多年的安全服務經驗，依據(jù)等級保護、SOX、PCI法案以及各種 安全基線制訂的checklist進行安全檢查。2資產安全評估總結2.1資產評估對象及方法picc資金管理系統(tǒng)

11、的資產安全評估采用安全掃描工具評估掃描與人工本地 安全評估相結合的方式進行，評估的對象范圍如下：序號資產名稱資產類型IP資產信息1234567891011121314151617182.2漏洞嚴重級別定義本文檔將根據(jù)安全掃描評估結果進行統(tǒng)計， 本項目中，我們對涉及到的風險 漏洞級別做如下定義：等級說明高風險漏洞漏洞能夠使攻擊者直接獲得系統(tǒng)控制權限，或者繞過防火墻。中風險漏洞漏洞會泄露使攻擊者獲得系統(tǒng)訪問權的信息。低風險漏洞系統(tǒng)泄露的信息會使系統(tǒng)遭到攻擊。2.3網(wǎng)絡安全風險評估2.3.1 網(wǎng)絡拓撲結構說明資金管理系統(tǒng)網(wǎng)絡邊界部署有 2臺天融信NGFW400防火墻，通過配置嚴格 的訪問控制策略實現(xiàn)

12、邊界防護，外網(wǎng)防火墻采取主-備模式實現(xiàn)設備的冗余部 署，有效防止了單點故障。該系統(tǒng)服務器部署在應用安全區(qū)和數(shù)據(jù)庫安全區(qū)中， 服務器區(qū)交換機劃分兩個VLAN VLAN351和VLAN352分別連接應用服務器和數(shù) 據(jù)庫服務器。資金管理系統(tǒng)使用數(shù)字證書作為用戶身份的唯一標識，用戶在登陸該系統(tǒng)時 必須使用usbkey進行登陸，實現(xiàn)了該系統(tǒng)的強身份認證，同時服務器區(qū)防火墻 設置安全策略，禁止用戶直接訪問資金管理系統(tǒng)，用戶需要通過SSLVPN勺認證, 認證通過后才能訪問該系統(tǒng)。圖1資金管理系統(tǒng)拓撲圖2.3.2 網(wǎng)絡拓撲結構風險分析資金管理系統(tǒng)的網(wǎng)絡結構清晰，各個安全域劃分明確，網(wǎng)絡安全設備均采取 雙機熱備

13、方式進行冗余。但是該系統(tǒng)的安全認證交換機、服務器區(qū)交換機無備件， 存在單點故障危險，一旦上述設備出現(xiàn)故障將會影響資金管理系統(tǒng)的正常運行。2.3.3 網(wǎng)絡與安全設備安全綜合分析資產風險合計主機咼風險中風險低風險合計外網(wǎng)防火墻-主(93 )0022外網(wǎng)防火墻-備(93 )0022內網(wǎng)防火墻-主(29 )0022內網(wǎng)防火墻-備(29 )0022SSLVPN±( )0022SSLVPN<( )0022女全認證交換機0112服務器區(qū)交換機0213233.1 外網(wǎng)防火

14、墻一主(93 )233.1.1 外網(wǎng)防火墻主(93 )配置分類具體配置備注網(wǎng)口信息n etwork in terface eth0 ip add mask52 ha-staticnetwork in terface eth1 ip add mask52network in terface eth2 ip add 93 mask92network in terface eth3 ip add mask

15、92路由信息network route add dst 4/26 gw 53 metric 1 id 101network route add dst 28/26 gw53 metric 1 id 102network route add dst /0 gw metric 1 id 100對象ID 8002 define area add name area_eth0 attribute 'eth0 'access on vsid 0ID

16、 8033 define area add name接中信國安 attribute'eth1 ' access on vsid 0ID 8034 define area add name接資金系統(tǒng)統(tǒng) attribute'eth2 ' access on vsid 0ID 8041 define area add name vlan350 attribute 'eth3'access on vsid 0ID 8045 define host add name web1 ipaddr '8'vsid 0ID 804

17、6 define host add name web2 ipaddr '9'vsid 0ID 8047 define host add name web3 ipaddr '0'vsid 0ID 8048 define host add name web4 ipaddr '1'vsid 0ID 8049 define host add name web5 ipaddr '2'vsid 0ID 8050 define host add name web6

18、ipaddr '3 'vsid 0ID 8051 defi ne host add name OM_APP1 ipaddr'32 ' vsid 0ID 8052 define host add name OM_APP2 ipaddr'33 ' vsid 0ID 8053 define host add name OM_APP3 ipaddr'34 ' vsid 0ID 8054 define host add name OM_APP4 ipaddr&#

19、39;35 ' vsid 0ID 8055 define host add name OM_APP5 ipaddr'36 ' vsid 0ID 8056 define host add name OM_Task1 ipaddr'56 ' vsid 0ID 8057 define host add name OM_Task2 ipaddr'57 ' vsid 0ID 8058 define host add name OM_Report ipaddr '

20、42 ' vsid 0ID 8059 define host add name建行服務器 2 ipaddr'9 ' vsid 0ID 8060 define host add name建行服務器 3 ipaddr'0 ' vsid 0ID 8061 define host add name工行服務器 ipaddr' ' vsid 0ID 8062 define host add name農行服務器 ipaddr'0 ' vs

21、id 0ID 8063 define host add name中行服務器 ipaddr'9 ' vsid 0ID 8064 define host add name建行服務器 1 ipaddr'8 ' vsid 0ID 8068 define host add name工行轉換地址 ipaddr'0 ' vsid 0ID 8069 define host add name農行轉換地址 ipaddr'2 ' vsid 0ID 8070 define hos

22、t add name中行轉換地址 ipaddr'3 ' vsid 0ID 8071 define host add name建行轉換地址 ipaddr'1 ' vsid 0ID 8083 define host add name VPN ipaddr ''vsid 0ID 8084 define host add name RA服務器 ipaddr'8 ' vsid 0ID 8085 define host add name CA服務器 ipaddr

23、9;1 ' vsid 0ID 8093 define host add name'5 ' vsid 0ID 8095 define host add name'26 ' vsid 0ID 8096 define host add name'27' vsid 0ID 8100 define host add name DSP1ipaddr'vsid 0ID 8101 defi ne host add name 06 ipaddr&#

24、39;06 ' vsid 0ID 8103 define host add name'66 ' vsid 0ID 8104 define host add name'68 ' vsid 0ID 8105 define host add name'68 ' vsid 0ID 8111 define host add name'53 ' vsid 0ID 8113 define host add name'10.1.25

25、1.60 ' vsid 0ID 8119 define host add name'06 ' vsid 0ID 8120 define host add name'07 ' vsid 0ID 8121 define host add name'08 ' vsid 0ID 8122 define host add name'09 ' vsid 0ID 8123 define host add name'10 '

26、 vsid 0ID 8124 define host add name'11 ' vsid 0ID 8125 define host add name'12 ' vsid 0ID 8126 define host add name'13 ' vsid 0ID 8127 define host add name'16 ' vsid 0ID 8128 define host add name'17 ' vsid 0ID

27、8129 define host add name'18 ' vsid 0郵件服務器ipaddr 建行前置機1 ipaddr 建行前置機2 ipaddr'96數(shù)據(jù)庫服務器1 ipaddr 數(shù)據(jù)庫服務器2 ipaddr 數(shù)據(jù)庫虛地址ipaddr 防火墻ipaddr 日志服務器ipaddr 工行前置機1 ipaddr 工行前置機2 ipaddr 工行前置機3 ipaddr 工行前置機4 ipaddr 工行前置機5 ipaddr 工行前置機6 ipaddr 工行前置機7 ipaddr 工行前置機8 ipaddr 農行前置機1 ipadd

28、r 農行前置機2 ipaddr 農行前置機3 ipaddr 農行前置機4 ipaddrID 8130 define host add name'19 ' vsid 0ID 8131 defi ne host add name中行前置機 1 ipaddr'38 ' vsid 0ID 8132 define host add name中行前置機 2 ipaddr'39 ' vsid 0ID 8140 define host add name測試服務器 ipaddr'10.1.251.

29、61 ' vsid 0ID 8141 define host add name測試服務器 2 ipaddr'2 ' vsid 0ID 8143 define host add name 6-47 ipaddr '6 7 ' vsid 0ID 8146 define host add name RA ipaddr '8'vsid 0ID 8147 define host add name VPN1ipaddr '9

30、9;vsid 0ID 8150 define host add name 4 ipaddr'4 ' vsid 0ID 8151 defi ne host add name 3 ipaddr'5 ' vsid 0ID 8154 define host add name DSP1-4 ipaddr'96979899'vsid 0ID 8155 define host add name

31、3 ipaddr'3 ' vsid 0ID 8156 define host add name 91 ipaddr'91 ' vsid 0ID 8161 defi ne host add name 2 ipaddr'2 ' vsid 0ID 8163 define host add name 1 ipaddr'1 ' vsid 0ID 8164 define h

32、ost add name 0 ipaddr'0 ' vsid 0ID 8167 define host add name ipaddr' ' vsid 0ID 8173 define host add name ipaddr' ' vsid 0ID 8181 define host add name DSP198-199 ipaddr '98 99 ' vsid 0ID 8

33、090 define sub net add name ipaddr mask vsid 0ID 8091 define sub net add name ipaddr mask vsid 0ID 8116 defi ne sub net add name3.* ipaddr mask vsid 0ID 8166 defi ne sub net add namesichua n ipaddr mask vsid 0I

34、D 8179 define sub net add name ipaddr mask vsid 0ID 8180 define sub net add name ipaddr mask vsid 0ID 8001 defi ne range add name any ip1 ip2 55 vsid 0ID 8072 define service add name TCP446protocol 6 port 446 vs

35、id 0ID 8074 define service add name TCP14029 protocol 6 port 14029 vsid 0ID 8075 define service add name TCP14030 protocol 6port 14030 vsid 0ID 8078 define service add nameTCP8721protocol 6 port 8721 vsid 0ID 8079 define service add name TCP12020 protocol 6 port 12020 vsid 0ID 8080 define service ad

36、d name TCP12500 protocol 6port 12500 vsid 0ID 8087 define service add nameTCP5656protocol 6 port 5656 vsid 0ID 8088 define service add nameTCP5462protocol 6 port 5462 vsid 0ID 8089 define service add nameTCP5501protocol 6 port 5501 vsid 0ID 8097 define service add nameTCP6800protocol 6 port 6800 vsi

37、d 0ID 8115 define service add name tcp443 protocol 6 port 443 vsid 0ID 8117 define service add nametcp8088 protocol 6 port 8088 vsid 0ID 8133 define service add nametcp8080 protocol 6 port 8080 vsid 0ID 8142 define service add name TCP14031 protocol 6 port 14031 vsid 0ID 8157 define service add name

38、 TCP10001 protocol 6 port 10001 vsid 0ID 8158 define service add nameTCP1522protocol 6 port 1522 vsid 0ID 8174 define service add nameTCP8800protocol 6 port8800 vsid 0網(wǎng)絡地址 轉換ID 8139 nat policy add orig src'農行前置機 1 農行前置機2農行前置機3農行前置機4 ' orig_dst '農行服務器'tra ns_src農行轉換地址 vsid 0ID 8136 na

39、t policy add orig_src '工行前置機 1 工行前置機2工行前置機3工行前置機4工行前置機5工行前置 機6工行前置機7工行前置機8 ' orig_dst '工行服務器' tran s_src 工行轉換地址 vsid 0ID 8137 nat policy add orig_src '建行前置機 1 建行前置機2 ' orig_dst '建行服務器2建行服務器3建行服務器1 ' tra ns_src建行轉換地址 vsid 0ID 8138 nat policy add orig_src '中行前置機 1 中

40、行前置機2 ' orig_dst '中行服務器'trans_src中行轉換地址 vsid 0訪問控制ID 8162 firewall policy add acti on accept src'2 ' dst '3 ' group_ name臨時vsid 0ID 8169 firewall policy add action accept src 'VPN1VPN ' dst 'any ' group_ name臨時 vsid 0ID 8152 firewall

41、policy add acti on accept src'3 ' dst '4 ' group_ name臨時vsid 0ID 8153 firewall policy add acti on accept src'4 ' dst '3 ' group_ name臨時vsid 0ID 8144 firewall policy add acti on accept dstarea'vla n350 接資金系統(tǒng)統(tǒng)'src '

42、;6-47 'group_name 臨時 vsid 0 comment '女全評估掃描 'ID 8106 firewall policy add acti on accept src' ' dst '數(shù)據(jù)庫服務器1數(shù)據(jù)庫服務器2數(shù)據(jù)庫虛地址'service 'TELNET EPMAP(TCP)MICROSOFT-DS(TCP) SQLNet_1521 MSTermi nalDNS_Tra nsfer ' group_ name臨時 vsid 0ID 8102 firewall policy

43、 add acti on accept src' ' dst 'web1 OM_APP1 DSP1 06 ' service 'EPMAP(TCP) MICROSOFT-DS(TCP) MICROSOFT-DS(UDP)PMAP(UDPMSTerminal ' group_name 臨時vsid 0ID 8114 firewall policy add acti on accept src' ' dst '日志服務器 測試服務器 測試服務器2 '

44、 group name 臨時vsid 0ID 8082 firewall policy add acti on accept src 'any ' dst 'VPN RA VPN1 ' service 'HTTPS PING SSH tcp8080 TELNET ' group_name 臨時 vsid 0ID 8112 firewall policy add acti on accept src' ' dst '防火墻'service 'PING SSHHTTPS 

45、9; group_ name 臨時 vsid 0ID 8073 firewall policy add acti on accept src '工行前置機1工行前置機2工行前置機3工行前置機4工行前 置機5工行前置機6工行前置機7工行前置機8 ' dst ' 工 行服務器'service 'TCP446 PING ' vsid 0ID 8076 firewall policy add acti on accept src '農行前置機1農行前置機2農行前置機3農行前置機4 ' dst '農行服務器'service

46、'TCP14029 TCP14031 PING ' vsid0ID 8077 firewall policy add acti on accept src '中行前置機1中行前置機2 ' dst '中行服務器service'HTTPS PING ' vsid 0ID 8081 firewall policy add acti on accept src '建行前置機1建行前置機2 ' dst '建行服務器2建行服務器3建行服務器 1 ' service 'TCP8721 TCP12020TCP125

47、00PING 'vsid 0ID 8086 firewall policy add action accept src 'RA服務器dst 'CA 服務器service 'HTTP HTTPS MySQL TCP5656 TCP5462 TCP5501 ' vsid 0ID 8092 firewall policy add acti on accept src' ' dst 'RA服務器service 'HTTPHTTPS MySQL TCP5656 TCP5462 TCP5501 PIN

48、G ' vsid 0sk2ID 8094 firewall policy add action accept src 'OM_APP1 OM_APP2 OM_APP3 OM_APP4 OM_APP5 OM_Task1 OM_Ta OM_Report ' dst ' 郵件服務器'service 'SMTP POP3 ' vsid 0ID 8098 firewall policy add acti on accept src '建行服務器2建行服務器3建行服務器1 ' dst ' 建行前置機1 建行前置機 2 '

49、; service 'TCP6800 ' vsid 0ID 8118 firewall policy add action accept src 'VPN 'dst 'web1 web2 web3 web4 web5 ' service 'tcp8088 ' vsid 0ID 8165 firewall policy add acti on accept src'0 1 2 ' dst 'any ' vsid 0ID 8176 firewa

50、ll policy add acti on accept src 'any 'dst '0 1 2'vsid 0ID 8178 firewall policy add action accept src 'DSP1-4'dst 'any ' vsid 0ID 8182 firewall policy add acti on accept src' ' dst 'DSP198-199工行前

51、置機 7農行前置機3 ' vsid 0ID 8110 firewall policy add action deny vsid 0開放服務ID 8010 pf service add n ame gui area area_eth0 address name anyID 8011 pf service add n ame ssh area area_eth0 address name anyID 8012 pf service add n ame update area area_eth0 address name anyID 8013 pf service add n ame pin

52、g area area_eth0 address name anyID 8029 pf service add n ame webui area area_eth0 address name anyID 8030 pf service add n ame telnet area area_eth0 address name anyID 8035 pf service add n ame webui area接中信國安address name anyID 8037 pf service add n ame ping area接中信國安address name anyID 8038 pf serv

53、ice add name ping area接資金系統(tǒng)統(tǒng)address name anyID 8042 pf service add n ame ping area vla n350 address name anyID 8043 pf service add name ssh area接中信國安address name anyID 8145 pf service add name tel net area接中信國安address name any雙機熱備ha mode asha as-vrid 11ha gratuitous-arp 90ha local ha peer 5.5

54、.5.1233.1.2外網(wǎng)防火墻主(93 )風險漏洞詳細描述本次安全評估針對網(wǎng)絡與安全設備主要米取人工檢查等方式對該設備安全 狀況進行了現(xiàn)狀調查，通過對該設備配置的分析，該設備的安全基本情況如下所 示：1. 該設備可以通過 Telnet、SSH HTTPS等多種方式進行遠程管理，但是 telnet作為一種不安全的管理方式，在網(wǎng)絡中明文傳輸帳戶、密碼以及 設備配置，存在較大的安全風險。2. 該設備的遠程IP地址未作嚴格限定，允許任何IP地址進行遠程管理， 存在一定的安全隱患。 外網(wǎng)防火墻一備(93 )參見 內網(wǎng)防

55、火墻一主(29 ).1內網(wǎng)防火墻一主(29 )配置分類具體配置備注網(wǎng)口信息n etwork in terface eth0 ip add 4.442 mask52 ha-static label 0network in terface eth1 ip add 53 mask92 label 0network in terface eth2 ip add 29 mask92 label 0network in terface

56、eth3 ip add 5 mask92 label 0路由信息network route add dst /0 gw 93 metric 1 id 100對象ID 8002 define area add name area_eth0 attribute 'eth0 'access on vsid 0ID 8029 define area add name上連 attribute 'eth1 'access on vsid 0ID 8032 define area add name

57、 VLAN351 attribute 'eth3'access on vsid 0ID 8069 define area add name VLAN352 attribute 'eth2'access on vsid 0ID 8170 define area add name HA attribute 'eth4 ' access on vsid 0ID 8037 define host add name'82 ' vsid 0ID 8038 define host add name'11.209.1.

58、158 ' vsid 0ID 8039 define host add name'97 ' vsid 0ID 8040 define host add name'65 ' vsid 0ID 8041 defi ne host add name'0 ' vsid 0ID 8042 define host add name'2 ' vsid 0ID 8043 define host add name'3 ' vsid

59、0ID 8044 define host add name'1 ' vsid 0ID 8051 defi ne host add name'50 ' vsid 0ID 8052 define host add name'51 ' vsid 0ID 8053 define host add name'52 ' vsid 0ID 8054 define host add name'53 ' vsid 0ID 8055 defi ne host add n ame'54 ' vsid 0ID 8056 define host add name'11.