AI Recommended Build

AI 最推版：單 ISP、六固定 IP、資安與維運優先

這版不限制做法與預算，但只使用一條中華電信 ISP 與 6 個固定 IP。核心原則是固定 IP 集中在專用防火牆，內部用 VLAN / Zone 分區，Cisco 負責交換器與 Wi-Fi，資安、稽核、備份由專用系統補齊。

回首頁總覽比較高階版

說明

這是最完整、最安全的版本。預算不是優先考量，目標是讓工廠網路穩定、好查、出事時比較救得回來。

適合重視停線風險的工廠。員工電腦、工廠設備、Wi-Fi、NAS、廠商遠端維護都分開管理，廠商不能直接碰機台。

拓撲

中華電信固定 IP211.22.241.73 - 78 進入 PA-1410 HA 防火牆，預設閘道 211.22.241.254。

Palo Alto Networks PA-1410 x2邊界防火牆雙機，集中處理 NAT、VPN、IPS、App-ID、URL Filtering 與跨區政策。

Cisco Catalyst 9500X-28C8D10G SFP+ 匯聚層，連接防火牆、核心交換器、伺服器、備份與資安設備。

Cisco Catalyst 9300X-48HX2.5G 核心接入，承接辦公區、Server Zone、OT DMZ、管理網與監視器網。

Cisco Catalyst 9300X-48HX x2PoE++ 接入層，供電給 Cisco Wireless CW9176I、監視器與 PoE 終端。

OT Access Switch x3三組工廠設備獨立接入 VLAN 110、120、130，跨區流量必須回到防火牆。

Security / Backup ZoneMicrosoft Sentinel、Microsoft Defender for Endpoint、Nozomi Networks Guardian、Teleport、Veeam 與 NAS 放在受控 Server / DMZ 區。

固定 IP 分配

211.22.241.73：工廠設備區 1 NAT / 廠商 VPN 政策入口。
211.22.241.74：工廠設備區 2 NAT / 廠商 VPN 政策入口。
211.22.241.75：工廠設備區 3 NAT / 廠商 VPN 政策入口。
211.22.241.76：DMZ / Reverse Proxy / 未來對外服務。
211.22.241.77：員工、NAS、公司 Wi-Fi 對外出口。
211.22.241.78：防火牆 HA 服務 IP 與未來服務保留。

內部網段

VLAN 10：員工有線，192.168.10.0/24。
VLAN 20：公司 Wi-Fi，192.168.20.0/24。
VLAN 30：訪客 Wi-Fi，192.168.30.0/24，只允許上網。
VLAN 50：Server Zone，192.168.50.0/24，NAS、AD、DNS、SIEM、備份。
VLAN 60：監視器系統，192.168.60.0/24，NVR 與攝影機。
VLAN 70：未來服務，192.168.70.0/24。
VLAN 99：管理網，192.168.99.0/24，防火牆、Switch、AP、UPS 管理。
VLAN 100：OT DMZ，192.168.100.0/24，Jump Server、Historian、檔案交換。
VLAN 110 / 120 / 130：工廠設備區，192.168.110.0/24、120.0/24、130.0/24。
VLAN 200：備份網，192.168.200.0/24，備份與還原流量。

設備清單

FirewallPalo Alto Networks PA-1410 x2固定 IP、NAT、VPN、IPS、App-ID、URL Filtering、跨區防火牆政策與 HA。

ControllerCisco Catalyst Center x1管理 Cisco switch、AP、SSID、VLAN 與設備狀態。

10G CoreCisco Catalyst 9500X-28C8D x110G SFP+ 匯聚，連接防火牆、核心交換器、伺服器與備份設備。

Access CoreCisco Catalyst 9300X-48HX x12.5G 接入與 VLAN 匯整，連接辦公區、Server、OT DMZ、管理網。

PoE++Cisco Catalyst 9300X-48HX x2供電給 Wi-Fi 7 AP、監視器與高耗電 PoE 設備。

Wi-FiCisco Wireless CW9176I x4公司 Wi-Fi、訪客 Wi-Fi 與行動裝置高密度覆蓋。

OT SwitchCisco Catalyst IE-3400-8P2S x3分別接工廠設備區 1、2、3，維持 OT 分區。

IdentityMicrosoft Entra ID MFA + RADIUS遠端 VPN、Wi-Fi、Jump Server 登入使用 MFA 與帳號控管。

SecurityMicrosoft Sentinel、Microsoft Defender for Endpoint、Nozomi Networks Guardian、Teleport集中日誌、端點防護、工控資產監控、廠商遠端維護稽核。

BackupVeeam Hardened Repository不可變備份、NAS / Server 備份、離線備份與還原演練。

設備串接方式

中華電信光纖設備LAN Port → PA-1410 HA WAN固定 IP 211.22.241.73 - 78 全部綁在防火牆；預設閘道 211.22.241.254。

PA-1410 HA10G SFP+ Trunk → Cisco Catalyst 9500X-28C8D防火牆提供所有 VLAN Gateway：192.168.10.1、20.1、30.1、50.1、60.1、70.1、99.1、100.1、110.1、120.1、130.1、200.1。

Cisco Catalyst 9500X-28C8D10G SFP+ → Cisco Catalyst 9300X-48HX承載 VLAN 10、50、60、70、99、100、110、120、130、200。

Cisco Catalyst 9500X-28C8D10G SFP+ → Cisco Catalyst 9300X-48HX x2承載 VLAN 20 / 192.168.20.0/24、VLAN 30 / 192.168.30.0/24、VLAN 99 / 192.168.99.0/24。

Cisco Catalyst 9300X-48HX PoE++ PortsAccess → Cisco Wireless CW9176I x4AP 管理 IP 放 VLAN 99；公司 Wi-Fi 對應 VLAN 20；訪客 Wi-Fi 對應 VLAN 30。

Cisco Catalyst 9300X-48HX PoE PortsAccess → 監視器 / NVR監視器放 VLAN 60 / 192.168.60.0/24；遠端監看必須經 VPN 或內部授權端，不直接占用工廠設備固定 IP。

Cisco Catalyst 9300X-48HXAccess → Server ZoneNAS、AD、DNS、Microsoft Sentinel、Microsoft Defender for Endpoint、Veeam Backup 放 VLAN 50 / 192.168.50.0/24。

Cisco Catalyst 9300X-48HXAccess → Future Service未來服務放 VLAN 70 / 192.168.70.0/24；對外服務優先使用 211.22.241.76 的 DMZ / Reverse Proxy。

Cisco Catalyst 9300X-48HXAccess → OT DMZJump Server、Historian、檔案交換放 VLAN 100 / 192.168.100.0/24。

Cisco Catalyst 9300X-48HXTrunk → Cisco Catalyst IE-3400-8P2S x3OT 1: VLAN 110 / 192.168.110.0/24 / NAT 211.22.241.73；OT 2: VLAN 120 / 192.168.120.0/24；OT 3: VLAN 130 / 192.168.130.0/24。

IT 管理端Access → VLAN 99管理網 192.168.99.0/24；只允許指定 IT 電腦管理防火牆、Cisco Catalyst Center、Switch、AP、UPS。

政策重點

員工網可以連 NAS、ERP、DNS、AD，但不能直連 OT 設備。
廠商 VPN 只能進 Jump Server，不能直接打 PLC、HMI、監視器或 NAS。
OT 設備只允許必要通訊到 OT DMZ，禁止主動連員工網。
監視器網只允許 NVR、授權管理端與指定遠端監看政策。
訪客 Wi-Fi 只允許上網，禁止進入任何內部 VLAN。
所有防火牆、交換器、AP、Server、NAS 日誌送 Microsoft Sentinel。
備份採不可變儲存，每月做還原演練。