网络拓扑图绘制指南:完整展示区域与设备
说明网络拓扑图是什么、zone/group/device/connection 如何组成图,以及支持哪些设备类型和属性。
拓扑图不是设备图标合集,它要说明网络区域、设备角色和访问路径。
网络拓扑图用来回答“系统运行在怎样的网络环境里,哪些设备或服务通过什么链路连接”。它常见于网络工程、物联网、Web 系统部署、安全防护类论文。它和技术架构图不同:架构图讲系统分层和职责,拓扑图讲网络区域、设备位置、协议端口和访问边界。
一张有用的拓扑图,不需要图标多漂亮,但必须让读者知道外部用户从哪里进入,网关、防火墙、应用服务、数据库分别在哪个区域,数据库是否被外网直接访问。
这张图由哪些东西组成
本工具的网络拓扑图由区域、分组、设备和连接组成。区域写在最外层,设备可以直接放在区域下,也可以放进分组里。
| 组件 | DSL 写法 | 图里表达什么 | |
|---|---|---|---|
| 标题 | @title 教务系统网络拓扑图 | 论文图名和预览标题 | |
| 区域 zone | `zone internal: 内部业务网络 | cidr=10.10.0.0/16` | 外部网络、边界区、内网、数据区等 |
| 分组 group | group app: 应用区 | 同一区域内的逻辑分组 | |
| 设备 device | gateway ingress: API Gateway | 具体设备、服务或组件 | |
| 设备备注 | `server api: API 服务 | note=双实例` | 补充部署说明 |
| 连接 | ingress -> api: HTTP 8080 | 访问路径、协议、端口或链路说明 |
支持的设备类型包括 browser、firewall、nat、gateway、router、switch、server、app、tomcat、database、mysql、cache、redis、storage、queue、device。设备类型会影响图标和视觉表达。
一个可用的文本例子
@title 论文图表工作台网络拓扑图
zone external: 外部网络
browser userBrowser: 用户浏览器
zone edge: 接入边界区
firewall waf: WAF / 防火墙
gateway ingress: API Gateway
zone internal: 内部业务网络 | cidr=10.20.0.0/16
group app: 应用区
app frontend: Nuxt 前端服务
server api: ASP.NET Core API
group data: 数据区
database pg: PostgreSQL
storage files: 导出文件存储
userBrowser -> waf: HTTPS 443
waf -> ingress: HTTPS 443
ingress -> frontend: HTTP 3000
ingress -> api: HTTP 8080
api -> pg: TCP 5432
api -> files: NFS / Object Storage连接标签不要只写“连接”。写上 HTTPS、HTTP、TCP、JDBC、Redis、端口号或链路目的,图才有部署价值。
先分区域,再放设备
拓扑图最重要的是边界。外部网络、边界区、业务区、数据区、管理区这些区域不是装饰,它们说明安全隔离和访问控制。数据库通常应该放在内网数据区,不应直接暴露给外部网络。
如果系统涉及防火墙、网关、反向代理、VPN、NAT 或内外网隔离,就把边界画出来。正文里也要说明为什么这样分区,而不是只说“网络拓扑如下”。
物理拓扑和逻辑拓扑不要混在一起
物理拓扑关注真实设备和接线,例如交换机、路由器、服务器如何连接;逻辑拓扑关注访问路径和安全区域,例如用户经 HTTPS 进入网关,API 服务再访问数据库。毕业论文里的软件系统多数更适合画逻辑拓扑。
如果论文是校园网改造,可以强调物理链路;如果是 Web 平台或管理系统,重点通常是逻辑访问路径、协议和安全边界。
写进论文时怎么落笔
图后可以这样说明:
系统将外部访问统一收敛到边界区网关,应用服务部署在内部业务网络,数据库和文件存储位于数据区。外部用户只能通过 HTTPS 访问网关,不能直接访问数据库,从而降低数据层暴露风险。这段话解释了部署和安全理由,图才不是摆设。
定稿前检查
- 是否至少有一个区域和一条连接。
- 设备类型是否能表达真实角色。
- 连接标签是否写了协议、端口或链路目的。
- 数据库、缓存、存储是否放在合理安全区域。
- 图后是否解释网络分区和访问控制。
绘图太麻烦?
使用云朵绘图,新一代计算机论文绘图工具,AI一键绘图!