网络拓扑设计注意哪些

‘壹’ 校园网基本网络搭建及网络安全设计分析

摘要：伴随着Internet的日益普及，网络应用的蓬勃发展，网络信息资源的安全备受关注。校园网网络中的主机可能会受到非法入侵者的攻击，网络中的敏感数据有可能泄露或被修改，保证网络系统的保密性、完整性、可用性、可控性、可审查性方面具有其重要意义。通过网络拓扑结构和网组技术对校园网网络进行搭建，通过物理、数据等方面的设计对网络安全进行完善是解决上述问题的有效 措施 。

关键词：校园网；网络搭建；网络安全；设计。

以Internet为代表的信息化浪潮席卷全球，信息 网络技术 的应用日益普及和深入，伴随着网络技术的高速发展，各种各样的安全问题也相继出现，校园网被“黑”或被病毒破坏的事件屡有发生，造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。

一、 基本网络的搭建。

由于校园网网络特性（数据流量大，稳定性强，经济性和扩充性）和各个部门的要求（制作部门和办公部门间的访问控制），我们采用下列方案：

1. 网络拓扑结构选择：网络采用星型拓扑结构（如图1）。它是目前使用最多，最为普遍的局域网拓扑结构。节点具有高度的独立性，并且适合在中央位置放置网络诊断设备。

2.组网技术选择：目前，常用的主干网的组网技术有快速以太网（100Mbps）、FDDI、千兆以太网（1000Mbps）和ATM（155Mbps/622Mbps）。快速以太网是一种非常成熟的组网技术，它的造价很低，性能价格比很高；FDDI也是一种成熟的组网技术，但技术复杂、造价高，难以升级；ATM技术成熟，是多媒体应用系统的理想网络平台，但它的网络带宽的实际利用率很低；目前千兆以太网已成为一种成熟的组网技术，造价低于ATM网，它的有效带宽比622Mbps的ATM还高。因此，个人推荐采用千兆以太网为骨干，快速以太网交换到桌面组建计算机播控网络。

二、网络安全设计。

1.物理安全设计 为保证校园网信息网络系统的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的__带来了极大的危害。为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面：对主机房及重要信息存储、收发部门进行屏蔽处理，即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备，以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风、波导，门的关起等。对本地网 、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采用光缆传输的方式，大多数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。

2.网络共享资源和数据信息安全设计 针对这个问题，我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN（Virtual LocalArea Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到 其它 VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。从目前来看，根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员，被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。

但是，这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员，其配置过程简单明了。

3.计算机病毒、黑客以及电子邮件应用风险防控设计 我们采用防病毒技术，防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。

第一，防病毒技术。病毒伴随着计算机系统一起发展了十几年，目前其形态和入侵途径已经发生了巨大的变化，几乎每天都有新的病毒出现在INTERNET上，并且借助INTERNET上的信息往来，尤其是EMAIL进行传播，传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。

为保护服务器和网络中的工作站免受到计算机病毒的侵害，同时为了建立一个集中有效地病毒控制机制，天下论文网需要应用基于网络的防病毒技术。这些技术包括：基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如，我们准备在主机上统一安装网络防病毒产品套间，并在计算机信息网络中设置防病毒中央控制台，从控制台给所有的网络用户进行防病毒软件的分发，从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后，不但可以做到主机防范病毒，同时通过主机传递的文件也可以避免被病毒侵害，这样就可以建立集中有效地防病毒控制系统，从而保证计算机网络信息安全。形成的整体拓扑图。

第二，防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备，专门用于TCP/IP体系的网络层提供鉴别，访问控制，安全审计，网络地址转换（NAT），IDS，，应用代理等功能，保护内部 局域网安全 接入INTERNET或者公共网络，解决内部计算机信息网络出入口的安全问题。

校园网的一些信息不能公布于众，因此必须对这些信息进行严格的保护和保密，所以要加强外部人员对校园网网络的访问管理，杜绝敏感信息的泄漏。通过防火墙，严格控制外来用户对校园网网络的访问，对非法访问进行严格拒绝。防火墙可以对校园网信息网络提供各种保护，包括：过滤掉不安全的服务和非法访问，控制对特殊站点的访问，提供监视INTERNET安全和预警，系统认证，利用日志功能进行访问情况分析等。通过防火墙，基本可以保证到达内部的访问都是安全的可以有效防止非法访问，保护重要主机上的数据，提高网络完全性。校园网网络结构分为各部门局域网（内部安全子网）和同时连接内部网络并向外提供各种网络服务的安全子网。防火墙的拓扑结构图。

内部安全子网连接整个内部使用的计算机，包括各个VLAN及内部服务器，该网段对外部分开，禁止外部非法入侵和攻击，并控制合法的对外访问，实现内部子网的安全。共享安全子网连接对外提供的WEB，EMAIL，FTP等服务的计算机和服务器，通过映射达到端口级安全。外部用户只能访问安全规则允许的对外开放的服务器，隐藏服务器的其它服务，减少系统漏洞。

参考文献：

[1]Andrew S. Tanenbaum. 计算机网络（第4版）[M].北京：清华大学出版社，2008.8.

[2]袁津生，吴砚农。 计算机网络安全基础[M]. 北京：人民邮电出版社，2006.7.

[3]中国IT实验室。 VLAN及技术[J/OL], 2009.

‘贰’ 企业网络架构规划应从哪几方面着手

企业总体架构包括：企业战略、业务架构、技术架构、应用架构、基础设施、信息架构、信息安全和IT管理这8个方面。其中： 信息架构包括数据实体及数据的交换和流动，它用来保证数据有效的共享和交换，包括数据的采集、存储、发布和传输。 IT管理就是要求设计的企业网络架构必需安全、可控和可管理。 因此，规划企业的总体架构要基于系统的现状和企业的业务发展策略。从企业当前和将来的应用出发，先深入了解自己的商务和IT战略，彻底了解企业的当前期望，并制定高标准的商业流程图与可行性方案。随后深入了解企业当前信息系统的现状，对企业的业务系统进行仔细的分析，梳理企业网络当前存在的问题，总结归纳企业当前的实际需求，将信息系统与业务系统充分融合起来思考，最后设计出一个能提升整个网络应用平台的整合性、安全、可靠、稳定、可控和易用的企业总体网络架构解决方案。 实际上，对于一个网络应用规模较大的企业网络架构来说，还必需遵从分层的设计理论，按信息化应用的重要程度，将它们划分为多个层次，并按具体的实施时间依次分段实现。但是，在设计和实现时，必需考虑到每一层的融合问题。 另外，在规划和设计企业总体网络架构时，还需要注意下列这些方面： (1)、坚持从企业应用为最基本的出发点。 (2)、设计时应当将企业当前和各类应用和将来会上的应用都必需全部考虑进来，特别是要为企业业务的扩展留下足够的带宽和可扩展的空间。这些方面直接关系到企业网络架构中各类网络设备(如路由器、交换机、安全网关、服务器等)的采购决策，以及决定企业互联网总出口带宽的大小和企业网络的最终拓扑及规模。 (3)、在设计时，应当从全局出发，特别是集团性质的企业，其下属有多个分支机构，在设计企业总体网络架构时，就必需将所有的分支机构的各种应用都考虑进来。但是，在设计时，可以按分区的方式，先分别设计每个分支机构的网络架构，然后再将它们整合到企业的总体网络架构中来。 (4)、设计的企业总体架构必需考虑到企业可以在这方面允许投入的最大成本。并且，在同样成本投入的情况，要尽量设计一个可控、可管、安全、经济节能、绿色环保，以及稳定可靠、高性能的网络架构。也就是说，不能由于投入的资金不够就可以勉强着来，宁可分步实施，也不能如此。还有就是在设计时，要尽量为企业缩减相关投入成本，不论是在经济危机时期，还是在经济形势大好之时都应该如此。 (5)、设计的企业网络总体架构应当具有可行性，应当能够得到企业领导的大力支持。 (6)、设计的企业网络总体架构应当具有很高的灵活性和可扩展性，可以随意增加或缩减单元。 (7)、设计企业总体网络架构时，还应当考虑企业当前的技术条件是否满足对网络进行可控和可管理的要求。 (8)、另外，在设计和规划企业网络总体架构时，尽量考虑一些能够缩减企业投入成本，又能保证网络应用性能的技术和方法。例如虚拟化技术、SAN和NAS存储方式、SAAS和整合理论等。 (9)、对于一些属于某些法规法案中约束的企业，在设计时还必需将这些法规法案的遵从考虑进去。例如，在美国上市的企业就必需遵守其发布的萨班斯法案。 另外，在设计时，还可以借助一些有效的工具来帮忙，将会达到事半功倍的效果，例如一些IT子网划分工具，项目管理软件、做文档记录、拓扑生成、网络协议分析软件、网络弱点检测工具等。 不过，有时尽管我们按企业的实际需求进行有效的网络规划和设计，但是，设计出来的网络总体架构在具体实施时，总是会遇到一些很现实方面的问题。例如，一些设备厂商当前没有设计方案中的设备;或者企业中一些老员工对新方案有所抵触，领导突然改变主意;或者企业突然遇到某种重要问题，资金突然吃紧等等。此时，我们将不能按原定设计方案去实现，就只能根据现实情况做出相应的调整了。

‘叁’ 在组建网络时选择网络拓扑结构应考虑哪些因素

数量，需求等。

计算机网络的拓扑结构是引用拓扑学中研究与大小，形状无关的点，线关系的方法。把网络中的计算机和通信设备抽象为一个点，把传输介质抽象为一条线，由点和线组成的几何图形就是计算机网络的拓扑结构。网络的拓扑结构反映出网中个实体的结构关系，是建设计算机网络的第一步，是实现各种网络协议的基础，对网络的性能，系统的可靠性与通信费用都有重大影响。

(3)网络拓扑设计注意哪些扩展阅读：

注意事项：

用户可以为所有安装和配置步骤使用安装和服务器配置工具。尽管您可以使用额外的技术和第三方产品，但是您更有可能使用所提供的工具和应用程序来完全部署报表服务。对于内部网部署，您可以选择安装默认配置，以便在操作状态下安装报表服务器，假设安装可以使用默认值来配置报表服务器实例。

委托和模拟是其他可能也可用的特性。在报告服务中，委托和模拟可以使用请求报告的用户的安全标识来从外部数据源检索数据。如果您的域配置不支持这些特性，那么将遇到访问被拒绝的特性，如果报告的数据源属性指定了Windows集成安全选项，并且授权和模拟在领域中是不启用的。

‘肆’ 如何设计网络拓扑结构图

楼主给分谢谢！楼主好人！

去下载吧下载一个网络拓扑制作软件新建任务开始制作一般是路由器连接接入层交换机既汇聚层下来RJ4超5类线缆去连接下属交换机既终端交换机超5类线缆继续连接主机既你的PC外网你也可以画电信网络比较好用！

‘伍’ 网络设计需要考虑哪些

网络工程集成设计的一般步骤（2） 成本/效益评估 根据用户的需求和现状分析，对设计新的网络系统所需要投入的人力、财力、物力，以及可能产生的经济、社会效益进行综合评估。这项工作是集成商向用户提出系统设计报价和让用户接受设计方案的最有效参考依据。 书写需求分析报告 详细了解用户需求并进行现状分析和成本/效益评估后，就要以报告的形式向用户和项目经理人提出，以此作为下一步正式的系统设计的基础与前提。 （2）网络工程初步设计。 在全面、详细地了解了用户需求，并进行了用户现状分析和成本/效益评估后，在用户和项目经理人认可的前提下，就可以正式进行网络工程设计了。首先需要给出一个初步的方案，其中主要包括以下几个方面： 确定网络的规模和应用范围 确定网络覆盖范围（这主要是根据终端用户的地理位置分布而定）、定义网络应用的边界（着重强调的是用户的特定行业应用和关键应用，如MIS系统、ERP系统、数据库系统、广域网连接、企业网站系统、邮件服务器系统、VPN连接等）。 统一建网模式 根据用户网络规模和终端用户地理位置分布确定网络的总体架构，比如是集中式还是分布式，是采用客户机/服务器模式还是对等模式等。 确定初步方案 将网络系统的初步设计方案用文档记录下来，并向项目经理人和用户提交，审核通过后方可进行下一步运作。 （3）网络工程详细设计。 网络协议体系结构的确定 根据应用需求，确定用户端系统应该采用的网络拓扑结构类型，可选择的网络拓扑通常包括总线型、星型、树型和混合型4种。如果涉及广域网系统，则还需要确定采用哪一种中继系统，确定整个网络应该采用的协议体系结构。 节点规模设计 确定网络的主要节点设备的档次和应该具备的功能，这主要是根据用户网络规模、网络应用需求和相应设备所在的网络位置而定。局域网中核心层设备最高档，汇聚层的设备性能次之，接入层的性能要求最低。广域网中，用户主要考虑的是接入方式的选择，因为中继传输网和核心交换网通常都是由NSP提供的，无需用户关心。 确定网络操作系统 一个网络系统中，安装在服务器中的操作系统决定了整个网络系统的主要应用和管理模式，也基本上决定了终端用户所能采用的操作系统和应用软件系统。网络操作系统方面，目前主流应用的有Microsoft公司的Windows Server 2003和Windows Server 2008系统，是目前应用面最广、最容易掌握的操作系统，在中小型企业中绝大多数是采用这两种网络操作系统。另外还有一些Linux系统版本，如RedHat Enterprise Linux 5.0、Red Flag DC Server 5.0等。UNIX系统品牌也比较多，目前最主要应用的是SUN公司的Solaris 10.0、IBM AIX 5L等几种。 选定通信介质 根据网络分布、接入速率需求和投资成本分析为用户端系统选定适合的传输介质，为中继系统选定传输资源。在局域网中，通常是以廉价的五类/超五类双绞线为传输介质，而在广域网中则主要是以电话铜线、光纤、同轴电缆作为传输介质，具体要视所选择的接入方式而定。 网络设备的选型和配置 根据网络系统和计算机系统的方案，选择性能价格比最好的网络设备，并以适当的连接方式加以有效的组合。 结构化布线设计 根据用户的终端节点分布和网络规模设计整个网络系统的结构化布线（也就是通常所说的"综合布线"）图，在图中要求标注关键节点的位置和传输速率、传输介质、接口等特殊要求。结构化布线图要符合结构化布线的国际、国内标准，如EIA/TIA 568A/B、ISO/IEC 11801等。 确定详细方案 确定网络总体及各部分的详细设计方案，并形成正式文档交项目经理和用户审核，以便及时地发现问题，及时纠正。 （4）应用系统集成设计。 前面3个步骤是设计网络架构的，接下来要做的是进行应用系统集成设计。其中包括各种用户计算机应用系统设计和数据库系统、MIS管理系统选择等，具体包括以下几个方面： 应用系统设计 分模块地设计出满足用户应用需求的各种应用系统的框架和对网络系统的要求，特别是一些行业特定应用和关键应用，如进销存数据库系统、电子商务应用系统、财务管理系统、人事管理系统等。 计算机系统设计 根据用户业务特点、应用需求和数据流量，对整个系统的服务器、工作站、终端以及打印机等外设进行配置和设计，还可根据用户网络管理方面的需求选择适当的MIS管理系统对整个网络系统设备进行集中监控和管理。 机房环境设计 确定用户端系统的服务器所在机房和一般工作站机房的环境，包括温度、湿度、通风等要求。 确定系统集成详细方案 将整个应用系统涉及的各个部分加以集成，并最终形成系统集成的正式文档。 完成好应用系统集成后，就可以开始进行工程施工了，然后再进行下面的方案测试和试运行。 （5）网络工程方案测试。 系统设计后还不能马上投入正式的运行，而是要先做一些必要的性能测试和小范围的试运行。性能测试一般是通过专门的测试工具进行，主要测试网络接入性能、响应时间，以及关键应用系统的并发用户支持和稳定性等方面。试运行通常是就网络系统的基本性能进行评估，特别是对一些关键应用系统。试运行的时间一般不得少于一个星期。小范围试运行成功后即可全面试运行，全面试运行时间不得少于一个月。 在试运行过程中出现的问题应及时加以解决和改进，直到用户满意为止，当然这也结合用户的投资和实际应用需求等因素综合考虑。 做任何事都是有规律可循的，也必须遵守一定的原则。根据目前计算机网络的现状和需求分析以及未来的发展趋势，在网络工程设计时应遵循以下几个原则： 开放性和标准化原则 首先采用国际标准和国家标准，其次采用广为流行的、实用的工业标准，只有这样，网络系统内部才能方便地从外部网络快速获取信息。同时还要求在授权后网络内部的部分信息可以对外开放，保证网络系统适度的开放性。这是非常重要而且非常必要的，同时又是许多网络工程设计人员经常忽视的。我们在进行网络工程设计时，在有标准可执行的情况下，一定要严格按照相应的标准进行设计，而不要我行我素，特别是在像网线制作、结构化布线和网络设备协议支持等方面。采用开放的标准后就可以充分保障网络工程设计的延续性，即使将来当前设计人员不在公司了，后来人员也可以通过标准轻松地了解整个网络系统的设计标准，保证互连简单易行。 实用性与先进性兼顾原则 在进行网络工程设计时首先应该以注重实用为原则，紧密结合具体应用的实际需求。在选择具体的网络技术时一定同时考虑当前及未来一段时间内主流应用的技术，不要一味追求新技术和新产品，一则新的技术和产品还有一个成熟的过程，立即选用则可能会出现各种意想不到的问题；另一方面，最新技术的产品价格肯定非常昂贵，会造成不必要的资金浪费。 如在以太局域网技术中，目前千兆以下的以太网技术都已非常成熟，产品价格也已降到了合理的水平，但万兆以太网技术还没有得到普及应用，相应的产品价格仍相当昂贵，所以如果没有十分的必要，则不要选择万兆以太网技术的产品。 另外在选择技术时，一定要选择主流应用的技术，如像同轴电缆的令牌环以太网和FDDI光纤以太网目前已很少使用，就不要选用了。目前的以太网技术基本上都是基于双绞线和光纤的，其传输速率最低都应达到10/100Mb/s。 无瓶颈原则 这个非常重要，否则会造成花了高的成本购买了主档次设备却得不到相应的高性能。网络性能与网络安全一样，最终取决于网络通信链路中性能最低的那部分。 如某汇聚层交换机连接到了核心交换机的1000Mb/s双绞线以太网端口上，而该汇聚层交换机却只有100Mb/s甚至10Mb/s的端口，很显然这个汇聚层交换机上所连接的节点都只能享有10Mb/s或100Mb/s的性能。如果上联端口具有1000Mb/s性能，而各节点端口支持100Mb/s连接，则性能就完全不一样了。 还如服务器的各项硬件配置都非常高档（达到了企业级标准），但所用的网卡却只是普通的PCI 10/100Mb/s网卡，显然这又将成为服务器性能发挥的瓶颈。再好的其他配置，最终也无法正常发挥。再如，服务器的处理器达到了4个至强处理器，而内存容量却只有初始配置的1GB，或者磁盘采用了读写性能较低的IDE RAID或SATA RAID，这样配置的结果同样会使服务器的性能大打折扣，浪费了高性能配置资源。 这类现象还非常多，在此就不一一列举了。这就要求在进行网络工程设计时一定要全局综合考虑各部分的性能，而不能只注重局部的性能配置。特别是交换机端口、网卡和服务器组件配置等方面。 可用性原则 我们知道服务器的"四性"中有一个"可用性"，网络系统也一样。它决定了所设计的网络系统是否能满足用户应用和稳定运行的需求。网络的"可用性"其实就表现在网络的"可靠性"和"稳定性"上，要求网络系统能长时间稳定运行，而不要经常出现这样或那样的问题。否则给用户带来的损失可能是非常巨大的，特别是大型、外贸、电子商务类型的企业。当然这里所说的"可用性"还表现在所选择的产品要能真正用得上，如所选择的服务器产品只支持UNIX系统，而用户系统中根本不打算用UNIX系统，则所选择的服务器就用不上。 网络系统的"可用性"通常是由网络设备（软件系统其实也有"可用性"要求）的"可用性"决定的，主要体现在服务器、交换机、路由器、防火墙等重负荷设备上。这就要求在选购这些设备时一定不要一味地贪图廉价，而要选择一些国内外主流品牌、应用主流技术和成熟型号的产品。对于这些关键设备千万不要选择那些杂牌，一方面性能和稳定性无法保障，另一方面售后服务更将是无法弥补的长久的痛。 另外，网络系统的电源供应在可用性保障方面也非常重要，特别是对于关键网络设备和关键用户机。这时就需要为这些节点配置足够功率的不间断电源（UPS），在市电出现不稳定或者停电时可以持续一段时间供用户保存数据、退出系统，以免数据丢失。通常像服务器、交换机、路由器、防火墙之类的关键设备要接在支持数个小时以上（通常是3小时）的UPS电源上，而关键用户机则需要接在支持15分钟以上的UPS电源上。 适度安全性原则 网络安全涉及许多方面，最明显、最重要的就是对外界入侵、攻击的检测与防护。现在的网络几乎时刻受到外界的安全威胁，稍有不慎就会被那些病毒、黑客入侵，致使整个网络陷入瘫痪。在一个安全措施完善的计算机网络中，不仅要部署病毒防护系统、防火墙隔离系统，还可能要部署入侵检测、木马查杀系统和物理隔离系统等。当然所选用系统的具体等级要根据相应网络规模的大小和安全需求而定，并不一定要求每个网络系统都全面部署这些防护系统。在安全系统方面，要适度，不能片面强调什么安全第一。 除了病毒、黑客入侵外，网络系统的安全性需求还体现在用户对数据的访问权限上，一定要根据对应的工作需求为不同用户、不同数据配置相应的访问权限，对安全级别需求较高的数据则要采取相应的加密措施。同时，用户账户，特别是高权限账户的安全也应受到高度重视，要采取相应的账户防护策略（如密码复杂性策略和账户锁定策略等），保护好用户账户，以防被非法用户盗取。 在安全性防护方面，还有一个重要的方面，就是数据备份和容灾。这非常重要，在一定程度上决定了企业的生存与发展，特别是企业数据主要是电子文档的电子商务类企业。在设计网络系统时，一定要充分考虑到用户对数据备份和容灾的需求，部署相应级别的备份和容灾方案。如中小型企业通常是采用Microsoft公司Windows Server 2003和Windows Server 2008系统中的备份工具进行数据备份和恢复，而对于大型企业，则可能要采用第三方专门的数据备份系统，如Veritas（维他斯，现已并入赛门铁克公司）的Backup Exec系统。 适度可扩展性原则 这是为了适应用户业务和网络规模发展的需求，相当重要，特别是对于中小型企业网络来说。这类企业一般成长较快，很可能不到三年时间，网络用户规模就要翻倍，关键应用带宽需求也可能成倍增加。这时如果所设计的网络系统的可扩展性不强，就会给网络用户和性能的扩充带来极大的不便。 网络的可扩展性保证主要是通过交换机端口、服务器处理器数、内存容量、磁盘架数等方面来保证。通常要求核心层或骨干层，甚至汇聚层交换机的高速端口（通常为千兆端口）要有两个以上用于维护和扩展（通常是用加连接新增加的下级交换机），不要在设计之初就只想到当前所需的这类端口数，把所有高速端口都占用完。当然也不要为将来的网络留有太多这样的端口或设备，否则就会给网络工程设计带来巨大的成本压力，也会造成巨大的投资浪费。

‘陆’ 如何选择网络拓扑结构

拓扑结构的选择往往与传输媒体的选择及媒体访问控制方法的确定紧密相关。在选择网络拓扑结构时,应该考虑的主要因素有下列几点:
(1)可靠性。尽可能提高可靠性,以保证所有数据流能准确接收;还要考虑系统的可维护性,使故障检测和故障隔离较为方便。
(2)费用。建网时需考虑适合特定应用的信道费用和安装费用。
(3)灵活性。需要考虑系统在今后扩展或改动时,能容易地重新配置网络拓扑结构,能方便地处理原有站点的删除和新站点的加入。
(4)响应时间和吞吐量。要为用户提供尽可能短的响应时间和最大的吞吐量。

"拓扑"这个名词是从几何学中借用来的。网络拓扑是指网络形状,或者是它在物理上的连通性。网络的拓扑结构主要有:星形拓扑、总线拓扑、环形拓扑、树形拓扑、混合形拓扑及网形拓扑.