软星酒店网络规划与设计

系统简介

本文以软星酒店（番禺店）的企业网络规划设计为背景，以实现酒店需求为目的，对软星酒店需求进行分析，确定并介绍设计中涉及到的主干技术，根据园区网的设计方法，结合酒店的实际需求，进行网络规划设计。对酒店部门结构，进行合理的VLAN、IP规划，还包括对网络设备选型、网络安全设计、路由设计等方面。利用ENSP软件，构建酒店的网络拓扑结构，通过连通性测试、功能性测试验证是否满足酒店网络的基本需求。最后，总结网络规划设计中遇到的问题和不足之处。
本文中涉及到的技术不仅包括MSTP、VRRP、DHCP、DHCP Relay、ACL访问控制、OSPF、NAT、Link Aggregation、ARP安全、Port Security、IPSec VPN等。在满足酒店网络数据通信的前提下，对内网和外网的安全性进行设计。包括在内外网出口处部署防火墙，通过划分安全区域，设置防火墙安全策略控制内外网流量，对外网的常见攻击进行防范和安全加固等。
关键词：信息化，酒店，企业网络，规划设计，安全性

第1章 绪 论

1.1课题研究的背景及意义
1.1.1研究背景
随着互联网技术的发展，人们对上网的需求日益增大，企业的业务量不断飞速增长，企业的生产、办公规模也在不断壮大。纸质化办公、生产效率低下的问题逐渐暴露，为了提高企业的工作效率，适应企业生产发展的需要，建设企业网络已成为企业发展的必要。在这种发展形势下，企业迫切建设一个具备易扩展、可靠、安全的网络。
开业于一九九五年的软星酒店是一家坐落于广州天河区的商务酒店，酒店创立之初，周围地带鲜少竞争对手，酒店盈利能力强。但随着城市大兴土木，经济高速发展，酒店周围出现越来越多的同行竞争对手，加上酒店年代久远，建筑装修老化，设备陈旧，且早期酒店规模有限。因此，公司决定选择在番禺区建立酒店分店。分店需要构建酒店的网络，同时总店和分店之间也需要建立网络连接。
1.1.2研究意义
本课题针对软星酒店（番禺分店）进行网络规划设计，确定网络构建的需求，建立总店与分店之间的网络通信，满足总店和分店之间的网络通信需求，通过层次化设计构建网络架构，采用冗余设计提升网络环境的可靠性和稳定性，并针对酒店网络进行安全设计，提升数据通信的安全性。最终为软星酒店建立一个安全、稳定、可靠的网络环境，为酒店未来的发展奠定基础。
1.2国内外发展情况
目前，接入层、汇聚层、核心层三层网络结构设计在企业园区网络中越来越普遍，因其可靠性、模块化、扩展性满足了企业对网络建设的需求。
其中，接入层能够为终端用户提供对园区网络访问的途径。帮助企业解决了大量终端设备接入及流量带宽交换、接入控制的需求。汇聚层主要是对网络地址的聚集，将部门或工作组的访问连接到骨干区域，VLAN间的路由选择及安全策略。使得企业内部间可以数据通信的同时，可以通过安全策略实现流量的控制。又能以较少地接口接入骨干区域访问网络。核心层负责园区网中各个汇聚层设备之间数据的高速转发，因此这一层不应对数据包进行任何的处理，比如处理ACL和流量过滤。在三层结构下，企业将网络分成多个小单元，降低了网络的整体复杂性及故障的范围，升级任意层次的网络也不会对其他层次造成影响。单一设备的配置复杂性大幅降低，运维人员管理更为方便。
除此之外，在网络安全性上，一般会部署出口防火墙，配置安全策略对公网访问内网进行一定的限制，并用NAT地址转换技术实现内网访问公网的需求。在园区网络和园区网络的数据通信上，架设IPsecVPN加密访问分支机构。这种网络设计方案类似于软件开发中的解耦思想，将整体划分为独立的层次，实施相应的功能，又构成整体的一部分。在许多企业网络设计中，基本都是以它为理论基础。
1.3研究的主要内容和研究方法
1.3.1研究的主要内容
本文对软星酒店进行需求分析，从三层网络结构入手，对酒店进行网络设计。研究的内容包括以下几点：
1、规划酒店网络的IP及VLAN地址。
2、汇聚层、核心层进行冗余设计。
3、内网路由和出口路由设计。
4、网络安全设计。包括内网安全、外网安全及系统安全，内网安全涉及到的包括BPDU保护、端口安全、ACL技术，外网安全通过在出口处部署防火墙实施安全措施。在系统安全上，对办公主机实施安全加固措施。
5、构建网络拓扑并调试。
1.3.2研究方法
1、文献研究法：通过万方、知网、维普等国内学术网站，查阅有关企业园区网络设计的期刊及学术论文。从而对论文的理论依据及系统阐述起到支撑的作用。
2、阅读相关的计算机网络书籍，学习企业网络园区分层设计思想，了解每一层网络的具体作用。在华为官网搜集技术文档资料，查阅并学习所需的技术及配置案例。参考国内企业园区网络的方案架构、设计方法及实践方法，结合酒店网络的实际情况和业务需求，确定每一层具体的技术要求。
3、通过华为ENSP仿真模拟器进行该网络的设计、搭建、测试，确认该方案的可行性。
1.4论文组织结构安排
本论文总共六章，以下为每章研究的内容结构安排：
第1章 绪论。阐述课题的研究背景、研究意义、研究的内容。
第2章 需求分析。根据软星酒店的组织管理结构，网络建设需求进行需求分析，包括网络架构分析、应用需求分析、网络安全需求分析，充分掌握软星酒店对于建设网络的需求。
第3章 逻辑网络设计。通过分析得到的需求，进行网络设计，根据酒店的部门结构划分VLAN和IP地址规划，进行设备选型。
第4章 实施方案。简要介绍设计中应用到的技术，包括VLAN、MSTP、VRRP、ACL、OSPF、NAT、Port Security、IPSec VPN及防火墙技术，并给出具体的实施方案。
第5章 验证测试。通过华为仿真模拟器ENSP，对实验进行仿真构建测试，确保成功实现了酒店的需求。
第6章 总结。对研究课题时遇到的困难及存在的不足之处进行总结。

第2章 网络需求分析

2.1建筑结构分析
软星酒店为七层中小型建筑，由停车场、酒店大堂、厨房、餐厅、客房、内部办公楼层组成。每个楼层的具体部门如下：
负一层为停车场及保安部，保安部负责酒店的消防安保、停车场调度、出入安检等工作。
第一层为酒店大堂，分布有前厅部、市场营销部。其中前厅部负责接待宾客，为宾客办理入住手续，市场营销部负责酒店对外宣传以及协助行政人事部对员工进行工作考核的工作，两个部门都需要需要部署PC并接入到酒店局域网。
第二层为宴会部，包括厨房和餐厅，餐厅前台主要负责处理客户的用餐订单，厨房需要部署打印机，打印来自餐厅前台PC下达餐单，作为出餐凭据。
第三至第六层为客房，每层有20间客房，其中第六层为高级客房。客房除提供上网外，还安装有网络机顶盒，提供网络电视服务，提供智能面板调节灯光及空调。共计4个网络接口，采用有线的方式连接网络。
第七层为酒店内部办公楼层，分布有行政人事部、财务部、管家部。其中，管家部需要对酒店客房的状态（脏房、清洁房、预定房）动态监测，以便及时联系各楼层清洁员下达客房任务，因此也需要部署PC接入酒店局域网。
2.2网络架构分析
酒店网络需满足千兆到主干，百兆到桌面的带宽需求，保证酒店网络所需网络带宽。拓扑采用三层结构。各层主要实现功能如下：
接入层：要求百兆到桌面，端口密度满足终端设备全部接入。在网络中划分VLAN以隔离广播风暴，便于管理。配置MSTP实现负载均衡，并在网络边缘配置边缘端口和BPDU保护，防止BPDU报文恶意攻击。配置端口安全，限制端口MAC学习次数，从而限制外来接入设备。
汇聚层：要求做冗余设计，采用VRRP和MSTP技术实现负载均衡的同时，为接入层终端设备提供冗余网关备份。通过链路聚合的手工方式，加大链路带宽。对ARP报文进行认证和限速，防止内网ARP欺骗和流量攻击。通过配置ACL对部门间的访问作限制。配置OSPF动态路由协议。
核心层：主要是实现数据的高速转发，因此不会在核心层对数据做过多的处理影响转发效率。这一层主要是配置OSPF动态路由协议。
内网路由方面选用OSPF动态路由协议，实现链路的动态检测和路由表的自动维护。出口路由通过防火墙严格控制内外网流量进出，防火墙上配置NAT技术实现网络地址转换，从而实现酒店内网访问外网的需求。同时在防火墙上配置IPSec VPN，实现番禺分店加密访问总店的功能。

2.4应用需求分析
根据软星酒店的业务和管理需要，目前在酒店网络中的主要应用包括：
1、在对酒店内部提供服务方面，建立DHCP服务器，满足终端设备无需手动设置IP地址的上网需求，搭建FTP服务器，作为公用数据存储平台，提供部门之间资料的共享。
2、在对外网提供服务方面，搭建WEB服务器，作为酒店对外宣传和提供业务咨询的方式，以及OA服务器，为酒店提供办公自动化服务。
3、在业务应用需求方面，酒店客房使用智能门锁，前厅部在为客户办理入住手续时，需要对房卡进行读写操作，因此需搭建门锁服务器。为了对客房状态实时监控和响应客户服务，软星酒店购买了杭州西软信息技术有限公司的酒店管理系统。
2.5网络安全需求
1、出口安全
酒店应对外部网络流量的访问作限制，仅开放需要向外提供服务的WEB应用服务，还应对常见的报文流量攻击做安全防范。
2、内网安全
酒店行业人员流动频繁，且拥有一定的终端设备和服务器，需要实施内网安全措施，以防范来自酒店内部网络的攻击。同时，也需要完善酒店管理制度，对酒店工作人员的办公行为做行为管理。
2.6本章小结
本章对软星酒店网络建设进行了系统的需求分析，对每一层的功能和应用到的技术进行说明。最后从内、外网和系统安全层面，给出了酒店网络安全的措施。

第3章 逻辑网络设计

3.1酒店网络设计原则
软星酒店网络设计时需遵循以下基本原则：
1、可扩展性
设计酒店网络结构时，应考虑到未来企业发展带来的网络规模增大的问题。因此，酒店网络应具有扩展能力，也要避免对原有网络结构的破坏。
2、可靠性
酒店网络设计考虑网络的稳定可靠性，防止单点故障导致酒店网络瘫痪，应具备链路备份，网络故障自恢复的性能。
3、易管理性
网络建设需考虑后期网络维护管理的难度，合理的网络规划，如IP地址、VLAN的规划，网络架构的规划都能使网络的日常维护简单化。
4、经济性
网络建设应考虑酒店实际情况。设备的选型考虑容易升级换代，能最大限度保留原有设备且性价比较高的产品。
5、安全性
在考虑网络建设安全性的同时，安全性问题不应干扰酒店正常开展业务[5]。
3.2网络拓扑设计
在本文中，软星酒店网络拓扑设计大致如图3-1所示：

3.4网络安全设计
1、出口安全设计
为了在一定程度上提高软星酒店网络的安全性，在酒店网络出口处部署防火墙。考虑到Internet用户可能对酒店网络发起恶意攻击，因此需要结合防火墙安全策略控制内外网间的访问流量；将OA服务器和WEB服务器划分到DMZ区域，并对外开放WEB服务；开启DDOS防御功能，防御外网对内网进行的流量报文攻击。
2、内网安全设计
接入层：除了为边缘端口开启BPDU保护功能外，还需要在酒店各各部门终端设备连接接入层交换机的端口上开启端口安全功能，限制端口MAC学习次数，从而限制外来设备接入并访问酒店内网。
汇聚层：通过对其他部门使用ACL访问控制列表技术，严格限制除行政人事部外，其他部门访问财务部。还需对常见的ARP攻击进行防范，包括ARP报文欺骗攻击，以及对ARP报文进行限速，防止内网攻击者利用终端设备发送大量的ARP报文，导致设备CPU负载过高而无法处理其他业务。酒店是一个人员流动性大的服务业，为了阻止非法用户通过网线接入交换机后访问酒店内网，需要在接入层交换机开启端口安全功能，实现用户和交换机接口的绑定，同时还可以控制接口的用户接入数。
3、系统安全
大多数情况下，被攻击者访问未知链接或程序引起安全问题。因此，酒店网管人员应及时关闭系统自带的来宾账号，更新系统补丁，关闭不常用的敏感端口，安装软件防火墙如火绒，从而抵御攻击并对主机网络环境进行实时监控。
3.5设备选型
根据软星酒店网络建设的实际情况，选出如表3-5所示设备：
表3-5 设备选型清单
设备 型号
核心交换机 S6720-30C-EI-24S-AC
汇聚交换机 S3700-28TP-EI-24S-AC
接入交换机 S2710-52P-SI-AC
防火墙 USG6350
3.5.1接入层设备

图3-2 S2710-52P-SI-AC
接入层设备选用S2710-52P-SI-AC，具体参数如表3-6所示：
表3-6 S2710-52P-SI-AC性能参数
主要参数 应用层级 二层
传输速率 10/100/1000Mbps
背板带宽 32Gbps
包转发率 17.7Mpps
功能特性 VLAN 支持IEEE 802.1Q，整机支持4K个VLAN
网络管理 支持堆叠,支持Telnet/SSH远程配置，支持SNMP V1/V2/V3等
安全管理 支持防止DOS、ARP防攻击、ICMP防攻击功能等

3.5.2汇聚层设备

图3-3 S3700-28TP-EI-AC
汇聚层设备选用S3700-28TP-EI-AC，具体参数如表3-7所示：
表3-7 S3700-28TP-EI-AC性能参数
主要参数 应用层级 三层
传输速率 10/100/1000Mbps
背板带宽 64Gbps
包转发率 14.1Mpps
功能特性 VLAN 支持4K个VLAN
网络管理 支持堆叠，支持Telnet/SSH远程配置，支持eSight网管系统、支持WEB管理特性
安全管理 支持防止DOS、ARP防攻击、ICMP防攻击功能等

3.5.3核心层设备

图3-4 S6720-30C-EI-24S-AC
核心层设备选用S6720-30C-EI-24S-AC，具体参数如表3-8所示：
表3-8 S6720-30C-EI-24S-AC性能参数
主要参数 应用层级 三层
传输速率 10/100/1000Mbps
背板带宽 2.56Tbps
包转发率 720Mpps
功能特性 VLAN 支持IEEE 802.1Q，整机支持4K个VLAN
网络管理 支持iStack智能堆叠，支持网管系统、支持WEB网管特性
安全管理 支持防止DOS、ARP防攻击、ICMP防攻击功能等
支持HTTPS，支持CPU保护功能

3.5.4防火墙设备

图3-5 USG6350
网络安全设备选用华为USG6350，具体参数如表3-9所示：
表3-9 USG6350性能参数
主要参数 设备类型 下一代防火墙
固定接口 4GE+2Combo
接口扩展 可扩展千兆电口/千兆光口/万兆光口，支持BYPASS插卡
最大功率 170W
功能特性 入侵防御 支持IPS，第一时间获取最新威胁信息，准确检测并防御针对漏
洞的攻击
策略 安全策略、NAT策略、基于应用识别的带宽管理策略和黑白名单
VPN 支持IPSec VPN
3.6本章小结
本章根据网络设计原则对酒店网络拓扑进行设计，并对VLAN、IP进行划分。根据网络设备进行选型，为后面具体实施奠定基础。

第4章 网络实施方案

4.1STP生成树
4.1.1技术说明
由于软星酒店对网络的可靠性提出一定要求，因此网络会通过部署冗余设备进而为网络提供冗余链路。当酒店网络的业务流量所在链路发生故障时，原先冗余链路上备阻塞的二层端口经过生成树计算后重新开放，通过冗余的冗余链路对数据进行转发。我们采用生成树协议来实现二层链路的可靠性。应用生成树协议的具体作用如下：
1、交换机之间通过互相发送和接收BPDU报文的形式，根据生成树算法对一个或以上的端口进行阻塞，得到一个逻辑上无环路的网络拓扑结构，从而达到消除二层环路的作用[4]。
2、生成树协议起到备份链路的作用。当活动的链路发生故障时，生成树将原先阻塞的端口开放，激活原先被阻塞的备份链路，从而起到恢复网络连接的作用。
关于STP生成树协议，常见的有STP、RSTP、MSTP。其中，我们选用MSTP技术实现二层链路破环及链路备份的目的。理由如下：
1、STP和RSTP通过生成树算法后会针对所有VLAN阻塞一个或以上的接口，从而导致所有VLAN只能往同一条链路转发数据帧，单条链路负载较大，无法实现链路负载分担，造成链路带宽浪费。
2、STP和RSTP只支持一棵生成树，当网络拓扑结构比较大时，网络收敛的时间过长，拓扑改变波及的范围也大。
基于以上原因，我们决定采用MSTP技术。MSTP支持为每一个VLAN生成并维护不同的生成树。从而达到网络流量负载分担的目的，并且具有较快的收敛速度[1]。
关于STP优化方面，我们做以下操作：
1、软星酒店部门终端设备处在网络边缘，终端设备的端口设置edge port。edge port不会参与STP计算，也不会接收及处理配置BPDU报文。
2、开启BPDU保护，避免edge port接收到非法BPDU报文后被激活为非边缘端口，生成树重新计算造成网络震荡。当edge port收到BPDU报文时，该端口会自动关闭，由酒店网管人员手动恢复。
3、由于本文中汇聚层交换机是二、三层网络的分界点，下行二层网络中已经开启了MSTP功能。为了避免STP收敛影响到上行三层链路，本设计中汇聚、核心层交换机之间的互联接口需要全部去使能STP功能。
4.1.2实施应用
在接入1、2、3，汇聚1、汇聚2上配置MSTP，如图4-1所示：

图4-1 MSTP配置位置

汇聚1作为接入1、接入3的根桥，接入2的备份桥，汇聚2作为接入2的根桥，接入1、2的备份桥。通过MSTP堵塞对应的二层端口，实现链路冗余。将接入交换机下联与终端设备连接的端口配置为edge port，并开启BPDU保护。由于边缘端口频繁配置，下面仅以其中一个端口配置为例，具体配置如图4-2、4-3所示：

图4-2 MSTP配置1

图4-3 MSTP配置2
4.2VRRP虚拟路由冗余协议
4.2.1技术说明
即使二层链路采用了MSTP技术，但是如果终端的网关设备出故障，必然导致酒店部门和客房中以该网关设备地址为默认网关的终端无法跨网络访问。因此，必须对网关设备也作冗余设计。
VRRP虚拟路由冗余协议能够确保当主机的网关设备或通往网关设备的链路发生故障时，备份网关设备能够感知到并自动代替出现故障的主网关设备完成报文转发任务。VRRP协议能够实现多个出口网关备份[2]。我们配置VRRP协议时，需要注意以下两点：
1、当VRRP和MSTP共同存在时，MSTP划分VLAN的实例设置与实例的优先级，即MSTP中VLAN的主根和VRRP的master网关设备需要保持一致性，否则可能导致VLAN下的终端设备访问网关时，数据包发往网关走的时次优路径。即数据包先发往备份网关设备，再经过备份网关设备发往master网关设备，增加了数据包响应延迟，甚至可能造成丢包的现象。
2、通常情况下，VRRP协议作用的对象是主备网关设备本身，但是，假如接入层交换机去往master网关设备的链路上，其中一个端口或链路的故障，VRRP不会主动降低优先级将网关切换到backup设备，此时终端设备的路由还是流向master。如果master与backup之间存在互联时，数据包依旧能转发到网关master，但是必须经过backup设备，造成与序号1相同的后果。如果两者不存在互联，则终端设备无法与外界网络通信。因此，我们需要实现链路状态检测机制，当检测到链路状态发生故障时，VRRP也能够自动切换主备状态。这里我们采用track命令跟踪VRRP的链路状态。
4.2.2实施应用
配置三层VLANIF接口IP信息，VRRP虚拟路由冗余协议，实现网关冗余，提高网络的可靠性，并设置VRRP组的优先级，不同部门组的主备网关设备不同，并通过track命令实现链路状态检测。以VLAN 10为例，配置如图4-4所示：

图4-4 VRRP配置
4.3路由协议
4.3.1技术说明
骨干网络采用OSPF动态路由协议。OSPF作为一种链路状态协议，区别于距离矢量RIP，具有路由收敛快，资源开销小的特点[9]。
酒店网络拓扑中汇聚层和核心层之间存在多条冗余链路来加固网络。如果手工部署静态路由，静态路由没有链路主动探测及撤销的机制，需要部署BFD来联动触发静态路由的撤销和替换。非但配置繁杂，且没有可维护性。因此，采用OSPF动态路由协议，OSPF可以动态感知网络拓扑变化并及时收敛，实现路由自治需求[6]。并通过调整接口COST开销值实现三层链路冗余和负载分担。
在出口防火墙配置默认路由，并将默认路由引入到OSPF中。此时，内网的OSPF协议能够学习到去往外网的路由。
4.3.2实施应用
在酒店分部网络中，核心层与汇聚层、出口防火墙互联，并将彼此互联的链路路由以OSPF的形式通告出去。出口防火墙配置默认路由，并将默认路由重分发到OSPF中。出口防火墙相关配置如图4-5所示：

图4-5 防火墙OSPF配置
虽然汇聚层到核心层采用了OSPF实现了路由冗余设计，但我们希望通过调整接口OSPF开销值，实现路由选路功能。对于汇聚交换机huiju_01_s6720，调整汇聚和核心层之间链路VLAN 4的开销，使之成为备份链路。对于汇聚交huiju_02_s6720，调整汇聚和核心层之间链路VLAN 5的开销，使之成为备份链路。具体配置如图4-6所示：

图4-6 接口OSPF开销配置
4.4ACL访问控制列表
4.4.1技术说明
访问控制列表根据报文的五元组信息进行匹配，对经过网络设备的报文进行过滤处理，决定报文是否放行。ACL常与路由策略、QOS、Firewall等技术配合使用[10]。
4.4.2实施应用
按照酒店管理要求，除了酒店其他部门外，只有行政人事部允许主动访问财务部。在汇聚层交换机采用设定ACL规则匹配流量，并把规则应用在接口上。具体配置如图4-7所示：

图4-7 ACL配置
4.5网络地址转换
4.5.1技术说明
由于IPv4地址短缺，在IPv4过渡到IPv6这段时期，急需解决公网地址紧张的问题。因此，需要通过NAT技术实现IPv4地址的重复使用。NAT技术实现了多台终端设备同时使用一个公网IP地址上网的目的。
NAT技术主要分为静态NAT，动态NAT以及NAPT三种，静态NAT是公网地址和私网地址是1:1的映射关系，一个公网地址只能同时给一个私网地址分配使用。动态NAT则不再是一对一绑定，属于一个动态的映射过程。NAPT是实现IP地址和端口同时转换的NAT技术，属于多对多关系。因此，NAPT能使同时映射多个终端设备的IP地址，实现上网[8]。
本次软星酒店网络使用的是NAPT中的Easy IP技术及NAT Server技术，Easy IP技术是NAPT的一种，Easy IP直接以出口网关防火墙连接公网的接口IP地址作为转换后的公有IP地址。NAT Server用于让酒店的网站服务器、OA服务器向外网提供网页服务。
4.5.2实施应用
酒店内部全部采用私网地址，无法与外部网络直接通信。在出口防火墙配置NAT地址转换技术。酒店部署的是千兆电信宽带，由于酒店只申请了一个固定的公网地址，因此这里选用Easy IP的NAT方式更为合适。配置如图4-8所示：

图4-8 Easy IP配置
。

第5章 网络测试

本章通过华为ENSP网络仿真工具，搭建本设计中的拓扑结构实验，通过实验结果验证设计的可行性。
在部分功能验证过程中，需要用到WireShark抓包工具。利用WireShark抓取网络中的数据报文[3]。
5.1DHCP测试
由于部门过多，仅展示行政人事部终端设备获取DHCP服务器分配的IP地址信息结果。如图5-1所示，成功获取到分发的IP信息。

图5-1 DHCP仿真测试
5.2链路聚合仿真结果
汇聚层交换机采用手工链路聚合，结果如图5-2所示：

图5-2 链路聚合仿真结果
5.3端口安全仿真结果
通过修改行政人事部PC的MAC地址表，模拟非法主机接入酒店网络。如图5-3所示。PC PING不通网关。表明交换机没有对非绑定的MAC地址的数据帧进行转发。

图5-3 端口安全仿真结果
5.4MSTP仿真结果
接入1、接入2、接入3分别和汇聚1、汇聚2形成环路中。仿真结果如图5-4所示。
如图5-4中所示，接入1和汇聚1、汇聚2形成环路中，对于实例1，接入1的e0/0/6端口被阻塞，接入2和汇聚1、汇聚2形成环路中；对于实例2，接入2的e0/0/6端口被阻塞；接入3和汇聚1、汇聚2形成环路中，对于实例1，接入3的e0/0/7端口被阻塞，符合设计要求。

图5-4 MSTP仿真结果
5.5VRRP仿真结果
如图5-5所示，VLAN 10、20、30、40、100以汇聚1为主网关设备，汇聚2为备用网关设备。VLAN 50、60、70、80以汇聚2为主网关设备，汇聚1为备用网关设备。

图5-5 汇聚1、2 VRRP仿真结果
分别测试汇聚1的G0/0/1接口和汇聚2的G0/0/1接口出现故障时，VRRP主备是否切换成功。如图5-6所示，各VLAN成功切换到主备状态。

图5-6 汇聚1、2 VRRP主备切换仿真结果

第6章 结束语

6.1全文总结
论文简述了软星酒店设计背景和课题的意义，通过查阅资料，学习和研究企业园区网络建设的相关技术。对酒店的实际情况进行了需求分析，完成酒店网络的规划设计，内容包括拓扑结构设计、IP和VLAN规划、设备选型、安全设计与路由设计等。
其中，以酒店部门划分VLAN，并根据酒店人员数量，客房的容纳量规划IP地址。分别对汇聚层和核心层做冗余设计。通过MSTP和VRRP的搭配使用，实现了链路负载分担和冗余网关的目的。路由设计上，采用OSPF动态路由分发，同时实现三层路由冗余。在网络安全方面，使用端口安全及ACL对主机访问作限制，通过在出口部署防火墙，利用安全策略实现内外网之间流量的访问限制。并用NAT技术实现酒店的上网需求。
论文最后，根据设计的酒店网络拓扑图，通过华为ENSP仿真模拟软件搭建拓扑，配置实验。逐一实现并验证酒店的主要功能，以保证设计方案功能的可行性。