校园网的方案拓朴图如下：
#$[*109908.jpg*#图9（点击看大图）*#0*#0*#center*]$#
    网络建立起来以后，对网络管理员来说最关心的应是网络的安全性问题。在校园网这样的网络环境里，较敏感的数据比如有学生的学籍档案管理系统，试题库，财务等信息资源，这需要很好的保护，不能让不该访问的主机能访问得到。这样的需求可以在网络的层面得到很好的解决，我们只需要在交换机上划分多个VLAN并做适当的访问控制列表。把校园网划分多个更小的虚拟的局域网后，就可以按部门把主机归类入各自部门的VLAN子网内。划分VLAN后，若没有路由的帮助，VLAN与VLAN之间的主机是不能通信的，这也许是我们所想要的，但某些情况下还是有让少部分重要的主机能跨越VLAN，实现VLAN间的访问，所以不能全部VLAN间都不能访问。要实现VLAN之间的访问，就必须采用第3层的路由技术。在这以前，要解决这一问题的方法只有使用路由器设备。传统的路由器基于软件设计，协议复杂，与局域网速度相比，其数据传输的效率较低，通常成为网络中的瓶颈。改进的方法就是采用第3层交换技术。第3层交换技术是将第2层交换技术与第3层转发技术相结合，利用第3层协议中的信息来加强第2层交换功能的机制。第3层交换技术很好地解决了跨VLAN路由和传输速度之间的矛盾，成为大中型企业网络中核心交换技术的首选。

    本案的中心交换机是三层交换机，带有路由的功能，所以能够很轻松地部署VLAN和实现VLAN之间的路由，而不用路由器来代劳VLAN路由。访问控制列表在这里也非常重要，因为VLAN在有了VLAN路由之后，就可以互相访问，我们就需要在三层的中心交换机里配置访问控制列表。对于很重要的VLAN子网，我们想重点保护它，就可以设置这样的列表“描述句”：禁止来源地是某个IP段的主机进入本VLAN。当然这个列表“描述句”是思科IOS网际操作系统的命令行。