戰未來十年!《第一章》架構設計 - UniFi, VLAN, 與速度分流



在「序章」中,我確立了「零瓶頸」的 10G 內網是我唯一的目標。但要實現這個目標,光有熱情是不夠的,你需要一張精確的施工藍圖。

這張藍圖,就是我的「網路架構」。

得益於新家「Greenfield (綠地)」的優勢,我所有的規劃都將圍繞著位於 2F 房間的「18U 司令部 (Command Center)」機櫃展開。所有的佈線都將採用「星狀拓樸 (Star Topology)」,每一條 Cat 6a 網路線都從這個機櫃出發,奔向 3 個樓層的每一個角落。

而機櫃內的靈魂,我稱之為「混搭(Hybrid)架構」。

1. 核心哲學:UniFi 的「腦」 遇上 QNAP 的「心」

為什麼是「混搭」?為什麼不乾脆全套 UniFi 或全套 QNAP

  • 全套 UniFi (Ubiquiti) 它的生態系(尤其是 UDM-SE)提供了如同蘋果 (Apple) 般的完美整合體驗,路由、防火牆、Wi-Fi 控制器無人能及。,它的 10G/2.5G 交換器在「埠口組合」上非常彆扭,缺乏我最需要的「10G RJ45」埠,CP 值極低。
  • 全套 QNAP ( Zyxel) 它們擁有地表最強的交換器(規格齊全),但它們的「路由器」和「Wi-Fi AP」系統,在軟體介面和生態系整合度上,遠遠不如 UniFi

結論:我必須「取其精華」。

  • 大腦 (路由/控制) 我選擇 UniFi UDM-SE。它是我家的「總閘門」和「Wi-Fi 指揮官」。
  • 心臟 (交換/儲存) 我選擇 QNAPQSW-M2116P 交換器是我的「10G/2.5G 資料中樞」,TVS-h674 NAS 則是我 10G 效能的「血液來源」。

2. 速度分流 (Speed Segregation):打造三層網路車道

我的網路不是「一條路通到底」,而是像高速公路一樣,為不同流量規劃了專用車道。

Tier 1 (紅色)10Gbps 效能超跑道

  • 目的: 絕對的零瓶頸,為影音工作流而生。
  • 成員:
    1. TVS-h674 NAS (10G RJ45)
    2. 主力工作電腦 (10G RJ45)
    3. UDM-SE (10G SFP+ 上行)
  • 路徑: 這三台設備全部連接到 QNAP QSW-M2116P-2T2S 交換器的 10G 埠口上。這確保了我的電腦存取 NAS 時,能跑出 1000MB/s 的傳輸巨獸。

Tier 2 (藍色)2.5Gbps 高速快車道

  • 目的: 突破 1G 限制,解放新世代設備的潛力。
  • 成員:
    1. UniFi U7 Pro (Wi-Fi 7 APs)
    2. N100 HA 主機 (Proxmox 虛擬機)
  • 路徑: 這些設備全部連接到 QSW-M2116P-2T2S 2.5G PoE+ 埠口。這確保了我的 Wi-Fi 7 不會被 1G 骨幹掐脖子,也確保了我的 Home Assistant 虛擬機能夠高速處理跨 VLAN 的資料庫 I/O

Tier 3 (黑色)1Gbps 基礎幹道

  • 目的: 穩定、可靠,滿足 99% 的日常設備。
  • 成員: 全屋 3 層樓的「其他」牆壁網路孔、客房電腦、遊戲機、舊的備份 NAS (TS-453+)
  • 路徑: 這些設備可以插在 QSW-M2116P-2T2S 剩下的 2.5G 埠上 (向下相容),或是插在我那台功成不退的舊 Netgear GS516TP 交換器上。

3. VLAN 隔離 (Security):我的數位城堡護城河

這是我 5 Home Assistant 經驗換來的血淚教訓。

一個「扁平化」的網路(所有設備都在同一個網段)是極度危險的。你永遠不知道哪一台 Tuya 智慧插座、哪一台 WeLink 攝影機什麼時候會「造反」,或者成為駭客的跳板。

我的 TVS-h674 裡存放著全家 10 年的照片和重要資料,我絕不允許它和那些「我不信任」的 IoT 設備活在同一個廣播域 (Broadcast Domain)

因此,我利用 UDM-SE 強大的防火牆,建立了三道「護城河」:

VLAN 10 (Trusted):信任的內城

  • 網段: 192.168.10.x
  • 成員: NAS、主力電腦、N100 HA 主機、我和家人的手機/筆電。
  • 權限: 皇室成員。可存取所有網路。

VLAN 20 (IoT):隔離的廣場

  • 網段: 192.168.20.x
  • 成員: 所有 ESPHome 設備、Tuya 裝置、IP Cam、智慧電視、掃地機器人。
  • 權限: 平民與外來商人。嚴禁它們「主動」存取 VLAN 10 (內城)。它們只能被動地接受 HA 主機的命令,以及連上 Internet

VLAN 30 (Guest):訪客的驛站

  • 網段: 192.168.30.x
  • 成員: 來訪的親朋好友。
  • 權限: 訪客。只能連上 Internet,看不到內城 (VLAN 10) 和廣場 (VLAN 20) 的任何設備。

這套架構的魔力在於: N100 HA 主機 ( VLAN 10) 可以單向跨越防火牆,去命令 VLAN 20 ESPHome 設備開燈;但 VLAN 20 的設備無法反向攻擊 VLAN 10 NAS。這就是「零信任」網路的精髓。

4. 最終藍圖 (The Topology)

空談誤國,實圖興邦。這張圖總結了我所有的架構設計:



(下一章:第二章:魔鬼在細節 - 核心設備選型 (血淚史))

 


留言

張貼留言

這個網誌中的熱門文章

戰未來十年!我的新家 3 層樓 10G 影音內網 + 全屋 Wi-Fi 7 實戰紀實《序章》

圖片
序章:為什麼我需要「 10G 」? 當我拿到新家鑰匙的那一刻,我看著這棟三層樓的「中古屋」,心中浮現的不是沙發要擺哪裡,也不是牆要漆什麼顏色,而是一張巨大的網路拓樸圖。 搬新家,在 IT 術語中稱為「 Greenfield ( 綠地 ) 佈署 」。這是一張完美的白紙,是身為一個 Prosumer ( 專業消費者 ) 夢寐以求的「黃金施工期」。 這是我 唯一 的機會,可以在水泥封上之前,把未來 10 年的基礎建設一次到位。我知道,如果我現在妥協,未來 10 年的每一天,我都會活在「早知道 ... 」的悔恨中。 但真正的問題來了: 我真的需要「 10G 」嗎? 迷思: 10G 網路 = 10G 網際網路? 在開始之前,我們必須釐清一個最大的迷思:我談的「 10G 」,指的 不是 向中華電信申請的「對外 (WAN) 網際網路」,而是指我家中設備互連的「 內部區域網路 (LAN) 」。 就算我申請了 2G/1G 的光世代,如果我的內網只有 1G (1Gbps) ,那就像是擁有一條 8 線道的高速公路,但終點卻是一個單線道的收費站。 而這個 1G 的收費站,就是我決心剷除的瓶頸。 1Gbps (110MB/s) 的天花板,我受夠了 1Gbps (Gigabit) 網路,換算成我們熟悉的下載速度,理論極限大約是 110-120 MB/s 。 這在 10 年前很夠用,但在 2025 年的今天,它代表什麼? 代表我從主力電腦備份 500GB 的資料到 NAS ,需要 75 分鐘 。 代表我想在 QNAP TVS-h674 上剪輯 4K (ProRes) 影片,素材讀取會卡頓到讓我放棄。 代表我的 Plex 或 Jellyfin 媒體庫在同時應付 2-3 個 4K 藍光原盤 (Remux) 串流時,會開始緩衝。 代表我未來安裝的 Wi-Fi 7 AP (U7 Pro) ,它那 2.5G 的網路埠,會被 1G 的交換器活活掐死在 1G 。 1G 內網,已經從「基礎建設」淪為「效能枷鎖」。 驅動我的「 10G 之魂」:三大核心需求 我的需求不是「上上網、看看 Netflix 」而已,我追求的是一個高效、穩定、且安...
閱讀完整內容

Building CL3 — From Manual Trading to a Decision Engine

圖片
  Building CL3 為什麼我決定建立自己的 Investment Decision Engine 每一個投資人,最終都會面對同一個問題。 市場充滿不確定性、資訊噪音,以及難以預測的變化。 但隨著時間,我逐漸意識到一件更重要的事情: 真正困難的不是市場,而是決策。 多年以來,我和大多數投資人一樣參與市場。 看圖表(Charts) 閱讀新聞(News) 觀察價格變動(Price Movements) 然後依靠經驗做出投資判斷。 有時候這些判斷很成功。 但有時候並不如此。 慢慢地,我發現一個現象: 人的判斷其實並不穩定。 有些時候,我們可以非常理性與紀律。 但在其他時候,情緒(Emotion)、恐懼(Fear)、或市場壓力會干擾決策。 同一個投資人,在不同時間點,可能會做出完全不同的投資行為。 這讓我開始思考一個問題: 如果投資決策可以被系統化(Systematized),會是什麼樣子? 不是一個黑箱的 Trading Bot 。 而是一個更有意義的東西: Investment Decision Engine 這個想法,就是 CL3 的起點 。 Why CL3? 有趣的是, CL3 這個名字並不是一開始就精心設計的品牌。 它其實來自一次意外。 當時我正在和 AI 討論投資相關的想法,在回覆訊息時,我忘記把鍵盤從 Zhuyin Input Method(中文注音輸入法) 切換回中文。 我敲下了三個鍵: C(ㄏ) L(ㄠ) 3(ˇ) 在注音輸入法中,這三個鍵其實會輸入一個中文字: 「好」 但在當時的對話情境中,AI 看到的只是: CL3 有趣的是,AI 並沒有把它當作錯字。 反而開始回應一段關於 CL3 系統架構與投資方法 的說明。 那一刻我突然覺得: 也許這不只是一次打錯字。 也許這可以成為一個專案名稱。 於是 CL3 就成為了我開始撰寫這個投資系統時使用的專案代號。 What CL3 Means 隨著系統逐漸發展,我發現這三個字母其實也可以代表整個系統的核心理念: CL3 = Cycle · Logic · Layer Cycle 市場總是在循環(Market Cycle)。 牛市(Bull Market)、修正(Correction)、風險收縮(Risk...
閱讀完整內容

戰未來十年!《第二章》魔鬼在細節 - 核心設備選型 (血淚史)

圖片
  這一章是 90% 的人(包含我)花費最多時間、也最容易後悔的地方。每一個決策都像是在十字路口,選錯了,未來的 10 年都會充滿遺憾。 這就是我的「選型血淚史」。 第二章:魔鬼在細節 - 核心設備選型 ( 血淚史 ) 如果「架構藍圖」是理想,那麼「設備選型」就是殘酷的現實。這是在「預算」、「效能」和「功能」之間進行的痛苦拔河。我的每一分錢都要花在刀口上,而這刀口,必須能劃開 10G 的頻寬。 ( 路由 ) 靈魂: UDM-SE (Dream Machine Special Edition) 網路的靈魂,就是路由器。它決定了你的網路有多穩、有多安全、有多「聰明」。 我的選擇是 UniFi Dream Machine Special Edition (UDM-SE) 。 為什麼是它? UDM-SE 是一台「 All-in-One 」的怪物。在 1U 的機身裡,它整合了: 高效能路由器 (Router) : 支援 10G 路由效能, VLAN 防火牆規則再多也不怕。 2.5G WAN 埠: 這是關鍵!它能 跑滿 中華電信 2G/1G 光世代。 10G SFP+ LAN 埠: 這是我的「 10G 骨幹」與核心交換器 (QSW-M2116P) 連接的命脈。 PoE+ 交換器: 內建 8 個 PoE 埠,其中 2 個還是 2.5G PoE+ ! UniFi 控制器: 無需額外主機 (Cloud Key 或 N100 VM) ,它本身就是 UniFi 生態系的大腦。 【血淚史】 UDM-SE vs. UDM-Pro :差點選錯的致命妥協 新手最常問:「 UDM-SE 和 UDM-Pro 到底差在哪?」 UDM-Pro (2019 年產品 ) 看似便宜了 $4,000 多元,但這 $4,000 是我認為「 最划算的升級 」,因為 Pro 版有兩個致命缺陷: WAN 瓶頸: UDM-Pro 的 WAN 埠只有 1G ! 在 2025 年的今天,當中華電信 2G 方案已是常態,你買一台 1G WAN 的旗艦路由器?這等於是「 落地即過時 」。 UDM-SE...
閱讀完整內容