中華電信固定 IP
211.22.241.73 - 78
Gateway 211.22.241.254
Budget Flexible Architecture
工廠網路架構建置提案
以 TP-Link Omada SDN 作為網路管理平台,搭配中華電信固定 IP、Omada VPN Router、JetStream 交換器與 EAP 無線基地台。目標是讓員工網、Wi-Fi、伺服器、 工廠設備與廠商遠端維護彼此隔離,同時保留清楚的擴充與維運路徑。
固定 IP
211.22.241.73 - .78
管理平台
TP-Link Omada SDN
建議原則
預設拒絕、必要才開
6
組固定 IP 集中由 Omada Gateway 控管 NAT / VPN
3
條工廠設備區獨立分段,避免產線互相影響
1
個 OT DMZ 作為 IT 與 OT 的唯一中介層
Reference Topology
建議邏輯拓撲
所有跨區流量經過防火牆政策,不讓員工網路、Wi-Fi、廠商 VPN 直接碰觸機台。
TP-Link Omada ER8411
中階與高階主推,承接固定 IP、VPN、NAT、VLAN Gateway 與各區出口分流。
首頁拓撲採中階版標準設備TP-Link Omada OC300
集中管理 Router、Switch、AP、SSID、VLAN、告警與設定備份。
管理所有 Omada Gateway、Switch 與 APTP-Link Omada SG3428X-M2
核心 VLAN Trunk、2.5G 接入、10G SFP+ 上行,連接伺服器與各區交換器。
高階可加 TP-Link Omada SX3016F 做 10G 匯聚TP-Link Omada TL-SG3428XMP
TP-Link Omada EAP673 x4
公司 Wi-Fi、訪客 Wi-Fi、行動裝置
TP-Link Omada SG2210MP
AD、DNS、NAS、Jump Server、Historian Mirror、檔案交換區。
TP-Link Omada SG2210MP x3
工廠設備 1 / 2 / 3,各產線獨立 VLAN,不互相直接通訊。
員工與公司 Wi-Fi
PC、筆電、手機、TP-Link Omada EAP650/TP-Link Omada EAP673。出口使用 211.22.241.77。
訪客 Wi-Fi
只允許上網,禁止連 Server、OT、管理網。
Server + OT DMZ
AD、DNS、NAS、Jump Server、廠商 VPN 中介、Historian Mirror。
工廠設備區
PLC、HMI、SCADA、機台、相機。對應 211.22.241.73 - 75 NAT / VPN。
管理網
Omada Controller、Switch、AP、UPS、NVR 管理介面,限 IT 存取。
Build Options
四種建置版本
從能立即落地的精簡版,到具備高可用與 OT 安全監控的高階版。
最精簡版
先切區、先可管適合先把混雜網路整理乾淨,降低員工網與工廠設備互相影響的風險。
- TP-Link Omada ER7212PC 作為 VPN Router、Gateway、Controller 與 PoE 接入。
- TP-Link Omada SG2210MP 擴充 PoE 埠,集中管理 AP 與小型接入設備。
- 建立 IT、OT、Wi-Fi、Guest VLAN。
- 工廠設備 1 / 2 / 3 分成獨立 VLAN。
- TP-Link Omada EAP650 提供員工 Wi-Fi 與訪客 Wi-Fi,訪客只能上網。
中階版
加入備援與 OT DMZ適合正式營運使用,重點是 IT / OT 中介層、固定 IP 分流、集中日誌與廠商管控。
- TP-Link Omada ER8411 作為主 Gateway,支援 10G SFP+ 與多固定 IP NAT 規劃。
- TP-Link Omada OC300 獨立硬體控制器集中管理 Gateway、Switch、AP。
- TP-Link Omada SG3428X-M2 作為核心交換器。
- 建立 OT DMZ,Jump Server 作為遠端維護唯一入口。
- TP-Link Omada EAP673 提供較高吞吐量的 Wi-Fi 6,辦公室與會議區分區部署。
- Syslog / NetFlow / 設備設定備份集中保存。
高階版
零信任與高可用適合預算充足且重視停線風險的工廠,目標是可觀測、可稽核、可快速復原。
- TP-Link Omada ER8411 雙機備援規劃,使用單一中華電信線路與固定 IP 分流。
- TP-Link Omada OC300 作為固定控制器,集中管理 Gateway、Switch、AP。
- TP-Link Omada SX3016F、TP-Link Omada SG3428X-M2、TP-Link Omada SG3428XPP-M2 建立 2.5G + 10G 骨幹。
- TP-Link Omada EAP772 Wi-Fi 7 AP 用於高密度區,TP-Link Omada EAP650-Outdoor 用於廠區戶外。
- SIEM / EDR / Immutable Backup / 離線備份完整導入。
- OT 深度偵測、MFA 與跳板機錄影可外掛專用資安系統。
AI 最推版
不限作法與預算保留單一中華電信 ISP 與 6 個固定 IP,但採用專用防火牆、OT 安全、MFA、Jump Server、SIEM、不可變備份與 Omada 網管混合架構。
- Palo Alto Networks PA-1410 雙機作為邊界防火牆與固定 IP 政策中心。
- Cisco Catalyst Center、Cisco Catalyst 9500X-28C8D、Cisco Catalyst 9300X-48HX、Cisco Wireless CW9176I 負責交換器與 Wi-Fi 管理。
- 工廠設備 1/2/3、員工、NAS、Wi-Fi、DMZ、未來服務全部獨立 VLAN。
- 廠商遠端維護只允許進入 MFA + Jump Server,不直連 OT 設備。
- 導入 Microsoft Sentinel、Microsoft Defender for Endpoint、Nozomi Networks Guardian、Veeam Immutable Backup 與集中日誌。
Omada Bill of Materials
TP-Link Omada 設備清單
以下是依四種等級整理的採購方向。實際數量需依現場樓層、配線櫃、AP 覆蓋範圍與機台數量微調。
最精簡版
重點是用最少設備完成集中管理、VLAN 分區與員工 Wi-Fi。
| 設備 | 型號 | 數量 | 功能與作用 |
|---|---|---|---|
| Gateway / Controller | TP-Link Omada ER7212PC | 1 | 負責固定 IP 進線、NAT、VPN、VLAN Gateway、Omada 控制器與少量 PoE 接入。 |
| PoE 交換器 | TP-Link Omada SG2210MP | 1 | 擴充 PoE 埠,供電給 AP,承接員工、Wi-Fi、訪客與 OT VLAN Trunk。 |
| 室內 AP | TP-Link Omada EAP650 | 3 | 提供公司 Wi-Fi 與訪客 Wi-Fi,透過 Omada 統一設定 SSID 與 VLAN。 |
AI 最推版
不限定 Omada,採用專用資安設備補齊邊界、OT、身份驗證、稽核與復原能力。
| 設備 | 型號 | 數量 | 功能與作用 |
|---|---|---|---|
| 邊界防火牆 | Palo Alto Networks PA-1410 | 2 | 承接 6 個固定 IP,處理 NAT、VPN、IPS、URL Filtering、App-ID 與跨區政策。 |
| 網路管理平台 | Cisco Catalyst Center | 1 | 集中管理 Cisco 交換器與 AP。 |
| 核心交換器 | Cisco Catalyst 9500X-28C8D | 1 | 核心骨幹,連接防火牆、接入交換器、伺服器與備份設備。 |
| PoE++ 交換器 | Cisco Catalyst 9300X-48HX | 2 | 供電給 Wi-Fi 7 AP、監視器與高耗電 PoE 設備。 |
| Wi-Fi 7 AP | Cisco Wireless CW9176I | 4 | 提供高密度公司 Wi-Fi 與訪客 Wi-Fi。 |
| 資安與備份 | Microsoft Sentinel、Microsoft Defender for Endpoint、Nozomi Networks Guardian、Veeam Hardened Repository | 1 組 | 補齊偵測、告警、遠端維護稽核與資料復原能力。 |
中階版
適合正式營運,把 OT DMZ、10G uplink、集中日誌與 Wi-Fi 覆蓋補齊。
| 設備 | 型號 | 數量 | 功能與作用 |
|---|---|---|---|
| Gateway | TP-Link Omada ER8411 | 1 | 承接中華電信固定 IP,處理 NAT、VPN、路由、防火牆政策與各區出口分流。 |
| Controller | TP-Link Omada OC300 | 1 | 集中管理 Omada Gateway、Switch、AP、VLAN、SSID、告警與設定備份。 |
| 核心交換器 | TP-Link Omada SG3428X-M2 | 1 | 作為核心 Trunk 匯集點,連接 Gateway、PoE Switch、Server、OT 與管理網。 |
| PoE 交換器 | TP-Link Omada TL-SG3428XMP | 2 | 供電給 AP 與 PoE 設備,承接辦公區、Wi-Fi、監視器與部分接入點。 |
| 室內 AP | TP-Link Omada EAP673 | 4 | 提供辦公室與會議區 Wi-Fi 6 覆蓋,支援公司與訪客 SSID 分流。 |
| 戶外 AP | TP-Link Omada EAP650-Outdoor | 1 | 提供廠區外圍、裝卸區、出入口的無線覆蓋。 |
| OT 接入交換器 | TP-Link Omada SG2210MP | 3 | 分別接工廠設備 1、2、3,讓三組 OT VLAN 實體與邏輯上分開。 |
高階版
適合預算充足、重視骨幹速度與維運可視性的工廠。
| 設備 | 型號 | 數量 | 功能與作用 |
|---|---|---|---|
| Gateway | TP-Link Omada ER8411 | 2 | Gateway 雙機備援,承接固定 IP、VPN、NAT、路由與跨區防火牆政策。 |
| Controller | TP-Link Omada OC300 | 1 | 集中控管所有 Omada 設備,保存設定、告警、韌體與日誌狀態。 |
| 10G 匯聚 | TP-Link Omada SX3016F | 1 | 作為 10G SFP+ 骨幹,連接 Gateway、核心交換器、伺服器與備份設備。 |
| 2.5G 核心 | TP-Link Omada SG3428X-M2 | 1 | 提供 2.5G 接入與 VLAN 匯整,支援高速 AP、Server 與管理網。 |
| PoE++ 交換器 | TP-Link Omada SG3428XPP-M2 | 2 | 供電給 Wi-Fi 7 AP 與高耗電 PoE 設備,支援高密度無線環境。 |
| Wi-Fi 7 AP | TP-Link Omada EAP772 | 4 | 提供高密度 Wi-Fi 7 覆蓋,適合辦公室、會議區與行動裝置密集區。 |
設計提醒:
Omada 很適合 30 人左右工廠做集中網管、VLAN、VPN、Wi-Fi 與交換器管理;但若要嚴格 OT 深度封包辨識、工控資產異常偵測、完整 MFA 與跳板機錄影,建議在 Omada 架構外再加資安平台。
Connection Summary
中階標準串接摘要
中華電信→ TP-Link Omada ER8411 WANWAN 綁定 211.22.241.73 - 78;Gateway 211.22.241.254;員工出口 211.22.241.77。
TP-Link Omada ER8411 LAN→ TP-Link Omada SG3428X-M2 CoreTrunk 承載 VLAN 10 / 20 / 30 / 50 / 99 / 100 / 110 / 120 / 130。
TP-Link Omada SG3428X-M2→ TP-Link Omada OC300、Server、OT DMZ、OT SwitchTP-Link Omada OC300 管理網 VLAN 99: 192.168.99.0/24;Server VLAN 50: 192.168.50.0/24;OT DMZ VLAN 100: 192.168.100.0/24。
TP-Link Omada SG3428X-M2→ TP-Link Omada TL-SG3428XMP x2PoE Switch 管理 IP 放 VLAN 99;AP SSID 對應 VLAN 20: 192.168.20.0/24 與 VLAN 30: 192.168.30.0/24。
TP-Link Omada SG2210MP x3→ 工廠設備 1 / 2 / 3VLAN 110: 192.168.110.0/24 NAT 211.22.241.73;VLAN 120: 192.168.120.0/24 NAT 211.22.241.74;VLAN 130: 192.168.130.0/24 NAT 211.22.241.75。
Public IP Plan
固定 IP 使用建議
| 固定 IP | 建議用途 | 控管方式 |
|---|---|---|
| 211.22.241.73 | 工廠設備區 1 NAT / VPN | 防火牆政策 + OT DMZ |
| 211.22.241.74 | 工廠設備區 2 NAT / VPN | 防火牆政策 + OT DMZ |
| 211.22.241.75 | 工廠設備區 3 NAT / VPN | 防火牆政策 + OT DMZ |
| 211.22.241.76 | DMZ / 對外服務 / 備用 | Reverse Proxy |
| 211.22.241.77 | 員工網路與內部 Wi-Fi 出口 | URL Filter / IPS / DNS 安全 |
| 211.22.241.78 | Gateway HA 服務 IP | TP-Link Omada ER8411 HA 規劃 |
Private Segments
內部 VLAN 建議
VLAN 10員工有線192.168.10.0/24
VLAN 20公司 Wi-Fi192.168.20.0/24
VLAN 30訪客 Wi-Fi192.168.30.0/24
VLAN 50伺服器區192.168.50.0/24
VLAN 100OT DMZ192.168.100.0/24
VLAN 110工廠設備 1192.168.110.0/24
VLAN 120工廠設備 2192.168.120.0/24
VLAN 130工廠設備 3192.168.130.0/24
Rollout
導入順序
先盤點,再切區,最後補上高可用與監控;避免一次改太多造成產線中斷。
-
01
資產盤點
列出機台、PLC、HMI、相機、伺服器、印表機、AP、交換器與廠商遠端需求。
-
02
建立新核心網路
防火牆、Core Switch、VLAN、DHCP、DNS、管理網與基礎監控先完成。
-
03
分批搬移
先員工與 Wi-Fi,再伺服器,最後每條產線安排停機窗口搬入 OT 分區。
-
04
強化與驗收
測試斷線切換、VPN、備份還原、日誌告警、跨區政策與廠商維護流程。