Minimal Build

最精簡版：先切區、先可管

適合先把現有混雜網路整理成可控架構。重點是 Omada 集中管理、基本 VLAN 隔離、員工 Wi-Fi 與訪客 Wi-Fi 分離。

查看共用 IP 規劃比較中階版

說明

這是最省的整理版。重點是先把員工、Wi-Fi、訪客和工廠設備分開，不要全部混在同一個網路。

適合先改善混亂狀態。安全性和備援普通，但比現在好管理，之後也能再升級。

拓撲

中華電信固定 IP211.22.241.73 - 78 進入 TP-Link Omada ER7212PC WAN。

TP-Link Omada ER7212PCGateway、NAT、VPN、Omada Controller、PoE 接入。

TP-Link Omada SG2210MP接在 TP-Link Omada ER7212PC LAN Trunk，擴充 PoE 埠。

TP-Link Omada EAP650 x3接在 TP-Link Omada SG2210MP，建立 Company 與 Guest SSID。

工廠設備三組 OT VLAN 從 TP-Link Omada ER7212PC 與 TP-Link Omada SG2210MP 分段接出。

VLAN 配置

VLAN 10：員工有線，192.168.10.0/24。
VLAN 20：公司 Wi-Fi，192.168.20.0/24。
VLAN 30：訪客 Wi-Fi，只能上網。
VLAN 110 / 120 / 130：三組工廠設備網路，彼此不互通。
VLAN 99：Omada 管理網，只有 IT 可進入。

設備串接方式

中華電信光纖設備LAN Port → TP-Link Omada ER7212PC WANWAN 使用 211.22.241.77，Gateway 211.22.241.254，其他固定 IP 保留給 OT NAT。

TP-Link Omada ER7212PC LANTrunk → TP-Link Omada SG2210MP Uplink承載 VLAN 10: 192.168.10.0/24、VLAN 20: 192.168.20.0/24、VLAN 30: 192.168.30.0/24、VLAN 99: 192.168.99.0/24、VLAN 110/120/130。

TP-Link Omada SG2210MP PoE Port 1 - 3Access → TP-Link Omada EAP650 x3AP 管理 IP 在 VLAN 99；Company SSID 對應 VLAN 20: 192.168.20.0/24；Guest SSID 對應 VLAN 30: 192.168.30.0/24。

TP-Link Omada ER7212PC / TP-Link Omada SG2210MP Access PortsAccess → 工廠設備設備 1: VLAN 110 / 192.168.110.0/24；設備 2: VLAN 120 / 192.168.120.0/24；設備 3: VLAN 130 / 192.168.130.0/24。

IT 管理電腦Access → VLAN 99管理網 192.168.99.0/24；TP-Link Omada ER7212PC、TP-Link Omada SG2210MP、TP-Link Omada EAP650 管理 IP 都放這個網段。

導入步驟

先接 Omada Gateway 與 Controller，建立管理網。
建立員工、Wi-Fi、訪客、工廠設備 VLAN。
把 AP 掛入 Omada，設定 Company / Guest SSID。
分批把工廠設備搬入 VLAN 110 / 120 / 130。
防火牆政策採預設拒絕，只開必要服務。