中階版 | TP-Link Omada 工廠網路

說明

這是最推薦的實用版。花費比精簡版高，但員工、Wi-Fi、伺服器、工廠設備都分開，出問題比較不會互相拖累。

適合正式營運。未來要加設備或服務，也比較好擴充，不需要整個網路重做。

拓撲

中華電信固定 IP211.22.241.73 - 78 進入 TP-Link Omada ER8411 WAN。

TP-Link Omada ER8411VPN、NAT、固定 IP 分流，員工出口使用 211.22.241.77。

TP-Link Omada OC300接在管理網 VLAN 99，集中管理 Gateway、Switch、AP。

TP-Link Omada SG3428X-M2核心交換器，承接 TP-Link Omada ER8411 LAN Trunk 與各 VLAN。

TP-Link Omada TL-SG3428XMPPoE+ 交換器，供電給 TP-Link Omada EAP673 x4 與 TP-Link Omada EAP650-Outdoor x1。

TP-Link Omada SG2210MP x3三台 OT Access Switch，分別接工廠設備 VLAN 110、120、130。

OT DMZJump Server、廠商 VPN、Historian Mirror、檔案交換區。

VLAN 配置

VLAN 10：員工有線。
VLAN 20：公司 Wi-Fi，使用帳號認證控管。
VLAN 30：訪客 Wi-Fi，只允許 Internet。
VLAN 50：Server Zone，AD、DNS、NAS、ERP。
VLAN 100：OT DMZ，IT 與 OT 唯一中介層。
VLAN 110 / 120 / 130：工廠設備 1 / 2 / 3。
VLAN 99：管理網。

設備清單

GatewayTP-Link Omada ER8411 x1固定 IP 進線、VPN、NAT、跨 VLAN 路由與防火牆政策中心。

ControllerTP-Link Omada OC300 x1集中管理 Omada 設備、告警、拓撲、韌體與設定備份。

Core SwitchTP-Link Omada SG3428X-M2 x1核心 Trunk 匯集點，連接 Gateway、Server、PoE Switch 與 OT Switch。

PoE SwitchTP-Link Omada TL-SG3428XMP x2供電給 AP、攝影機與 PoE 終端，承接辦公區與 Wi-Fi 接入。

Indoor APTP-Link Omada EAP673 x4提供辦公室與會議區 Wi-Fi 6 覆蓋，支援多 SSID 對應 VLAN。

Outdoor APTP-Link Omada EAP650-Outdoor x1提供廠區戶外、出入口與裝卸區無線覆蓋。

OT SwitchTP-Link Omada SG2210MP x3三台分別對應工廠設備 1、2、3，維持 OT 分區隔離。

ServerJump Server、Syslog、Backup Server提供廠商遠端中介、日誌集中保存與設定備份。

設備串接方式

中華電信光纖設備LAN Port → TP-Link Omada ER8411 WANWAN 綁定 211.22.241.73 - 78；預設閘道 211.22.241.254；員工出口使用 211.22.241.77。

TP-Link Omada ER8411 LAN10G SFP+ Trunk → TP-Link Omada SG3428X-M2核心 Trunk 承載 VLAN 10: 192.168.10.0/24、20: 192.168.20.0/24、30: 192.168.30.0/24、50: 192.168.50.0/24、99: 192.168.99.0/24、100: 192.168.100.0/24、110/120/130。

TP-Link Omada SG3428X-M2Access → TP-Link Omada OC300TP-Link Omada OC300 管理 IP 放 VLAN 99: 192.168.99.0/24，集中控管 Omada Gateway、Switch、AP。

TP-Link Omada SG3428X-M2Trunk → TP-Link Omada TL-SG3428XMP x2上行 Trunk 承載 VLAN 20、30、99；PoE Switch 管理 IP 放 192.168.99.0/24。

TP-Link Omada TL-SG3428XMP PoE PortsAccess → TP-Link Omada EAP673 x4、TP-Link Omada EAP650-Outdoor x1AP 管理 IP 放 VLAN 99；Company SSID → VLAN 20 / 192.168.20.0/24；Guest SSID → VLAN 30 / 192.168.30.0/24。

TP-Link Omada SG3428X-M2Access → Server ZoneAD、DNS、NAS、Syslog、Backup Server 放 VLAN 50: 192.168.50.0/24。

TP-Link Omada SG3428X-M2Access → OT DMZJump Server、Historian Mirror、檔案交換區放 VLAN 100: 192.168.100.0/24。

TP-Link Omada SG3428X-M2Trunk → TP-Link Omada SG2210MP x3OT Switch 1 → VLAN 110 / 192.168.110.0/24 / NAT 211.22.241.73；OT Switch 2 → VLAN 120 / 192.168.120.0/24 / NAT 211.22.241.74；OT Switch 3 → VLAN 130 / 192.168.130.0/24 / NAT 211.22.241.75。

導入步驟

先建 TP-Link Omada ER8411、TP-Link Omada OC300、TP-Link Omada SG3428X-M2 核心架構。
規劃固定 IP NAT，員工、OT、DMZ 出口分開。
建立 OT DMZ，廠商只能 VPN 到 Jump Server。
分批搬移 Server、Wi-Fi 與工廠設備 VLAN。
啟用 Omada 告警、Syslog、設定備份與設備命名規則。

中階版：正式營運推薦

說明

拓撲

VLAN 配置

設備串接方式

導入步驟