戰未來十年!《第四章》關鍵設定筆記 (VLAN & HA)

 


好的,硬體只是「骨架」,軟體設定才是「神經」。這一章,我們要讓網路「活」起來,並在「安全」與「便利」之間,劃出一條完美的界線。

第四章:關鍵設定筆記 - 讓 VLAN 與 Home Assistant 完美協作

我的機櫃 (18U) 已經就位,UDM-SETVS-h674 的風扇聲正譜出第一首交響曲。但現在,它們都還只是「孤島」。

是時候進入 UniFi 控制器,編織我的網路神經了。這一步將決定誰能與誰對話,這也是我 10G 影音內網的「安全基石」。

1. UDM-SE:用 VLAN 建立數位護城河

我的第一項任務,就是執行「第一章」的藍圖,在 UDM-SE 上建立我的「數位城堡」。

如果你是 UniFi 新手,這個介面非常直觀:

  1. 登入 UDM-SE: 透過 unifi.ui.com192.168.1.1 登入。

  2. 修改預設網路 (Default):

    • 導航至 設定 (Settings) > 網路 (Networks)

    • 點選 Default (預設) 網路。

    • (重要) 我不喜歡 192.168.1.x 網段。我將它重新命名為 Trusted,並將 IP 網段改為 192.168.10.1/24

    • 這裡就是我的「皇室內城」(VLAN 10)。

  3. 建立 IoT 網路 (VLAN 20):

    • 點選 Create New Network

    • Network Name (名稱): IoT

    • VLAN ID (關鍵): 20

    • Gateway/Subnet (IP 網段): 192.168.20.1/24

    • (Pro-Tip) 在「Advanced」中,我關閉了「IGMP Snooping」和「mDNS」,因為我不希望 IoT 設備的垃圾廣播封包污染我的網路。

    • 這裡就是我的「隔離廣場」。

  4. 建立訪客網路 (VLAN 30):

    • 再次點選 Create New Network

    • Network Name: Guest

    • VLAN ID: 30

    • Gateway/Subnet: 192.168.30.1/24

    • (關鍵) 網路類型選擇 Guest Network。UniFi 會自動幫你建立「客戶端隔離」和「禁止存取內網」的防火牆規則,省時省力。

防火牆呢? UniFi 預設的防火牆規則是「VLAN 互不相通,但全部允許存取 Internet」。這正是我要的!

但這也帶來了 Home Assistant (HA) 玩家的終極難題...

2. 靈魂拷問:HA (Trusted) 如何命令 ESPHome (IoT)?

問題來了:

  • 我的 N100 HA 主機Trusted 區 (192.168.10.x)。

  • 我的 ESPHome 智慧插座在 IoT 區 (192.168.20.x)。

  • HA 的「自動探索 (Auto-Discovery)」是依賴 mDNS 廣播,而廣播無法跨越 VLAN

結果: 我的 HA 主機,變成了一個「瞎子」,它完全看不到 IoT 區的任何設備。

網路上充斥著各種複雜的解法:安裝 mDNS 中繼器、設定 IGMP Proxy... 這些都會污染我的 Trusted 網路,違背了我「安全隔離」的初衷。

真正的答案,其實既簡單又優雅。

3. 解法:「DHCP 靜態租約」的精準打擊

我們不需要讓 HA「看見」所有 IoT 設備,我們只需要 HA「知道」它想控制的設備在哪裡。

正確的連線流程是:HA 主機 (Client) 主動去連線 ESPHome 設備 (Server)。而我們預設的防火牆規則是「Trusted -> IoT = 允許」,所以連線本身沒有被阻擋。

唯一的障礙是:HA 不知道 ESPHome 設備的 IP。

我的標準作業程序 (SOP) 如下:

步驟一:ESPHome 設備 (YAML 設定)

  • 保持最簡潔。我的 ESPHome .yaml 檔中什麼都不用加wifi: 區塊就只有 ssidpassword

  • 它會自動使用 DHCP,這是最乾淨的管理方式。

YAML
# 保持 YAML 乾淨,使用 DHCP
wifi:
  ssid: "MyHome-IoT-SSID"
  password: "My-IoT-Password"

# ... (api:, sensor: 等其他設定) ...

步驟二:UDM-SE (指派固定 IP)

  • 這才是核心。我讓 ESPHome 設備連上 IoT Wi-Fi。

  • 我登入 UDM-SE 控制台,在 Client Devices 列表中找到這台剛連上線的 ESPHome 設備。

  • 點選它 > Settings (設定)

  • 啟用「Fixed IP (固定 IP)」。

  • 我手動指派一個 IoT 網段的 IP 給它,例如 192.168.20.50

  • UDM-SE 會將這個 IP 永久綁定在這台 ESPHome 設備的 MAC 位址上。

步驟三:Home Assistant (手動新增整合)

  • 現在,我知道我的 ESPHome 設備「永遠」都會在 192.168.20.50 這個地址。

  • 我回到 HA 主機 (192.168.10.x)。

  • 進入 設定 > 裝置與服務 > 新增整合

  • 搜尋 ESPHome

  • 在跳出的「主機 (Host)」欄位中,我不再依賴自動探索,而是手動輸入:192.168.20.50

  • 按下「提交」。

砰!連線成功!

結論:安全與便利的完美平衡

這套 SOP 實現了「最佳實踐 (Best Practice)」:

  1. HA (Trusted)192.168.10.x

  2. ESPHome (IoT)192.168.20.x

  3. 連線:HA 主動連線 192.168.20.50,防火牆 (Trusted -> IoT) 允許

  4. 安全:ESPHome 無法主動連線我的 NAS (192.168.10.x),防火牆 (IoT -> Trusted) 阻擋

我不需要複雜的防火牆「開孔 (Pinhole)」或 mDNS 中繼器。我只用了最基礎的「DHCP 靜態租約」和「手動新增整合」,就完美實現了「單向控制、反向隔離」的終極安全架構。

(下一章:最終章:18U 機櫃巡禮 & 未來展望)

留言

張貼留言

這個網誌中的熱門文章

戰未來十年!我的新家 3 層樓 10G 影音內網 + 全屋 Wi-Fi 7 實戰紀實《序章》

圖片
序章:為什麼我需要「 10G 」? 當我拿到新家鑰匙的那一刻,我看著這棟三層樓的「中古屋」,心中浮現的不是沙發要擺哪裡,也不是牆要漆什麼顏色,而是一張巨大的網路拓樸圖。 搬新家,在 IT 術語中稱為「 Greenfield ( 綠地 ) 佈署 」。這是一張完美的白紙,是身為一個 Prosumer ( 專業消費者 ) 夢寐以求的「黃金施工期」。 這是我 唯一 的機會,可以在水泥封上之前,把未來 10 年的基礎建設一次到位。我知道,如果我現在妥協,未來 10 年的每一天,我都會活在「早知道 ... 」的悔恨中。 但真正的問題來了: 我真的需要「 10G 」嗎? 迷思: 10G 網路 = 10G 網際網路? 在開始之前,我們必須釐清一個最大的迷思:我談的「 10G 」,指的 不是 向中華電信申請的「對外 (WAN) 網際網路」,而是指我家中設備互連的「 內部區域網路 (LAN) 」。 就算我申請了 2G/1G 的光世代,如果我的內網只有 1G (1Gbps) ,那就像是擁有一條 8 線道的高速公路,但終點卻是一個單線道的收費站。 而這個 1G 的收費站,就是我決心剷除的瓶頸。 1Gbps (110MB/s) 的天花板,我受夠了 1Gbps (Gigabit) 網路,換算成我們熟悉的下載速度,理論極限大約是 110-120 MB/s 。 這在 10 年前很夠用,但在 2025 年的今天,它代表什麼? 代表我從主力電腦備份 500GB 的資料到 NAS ,需要 75 分鐘 。 代表我想在 QNAP TVS-h674 上剪輯 4K (ProRes) 影片,素材讀取會卡頓到讓我放棄。 代表我的 Plex 或 Jellyfin 媒體庫在同時應付 2-3 個 4K 藍光原盤 (Remux) 串流時,會開始緩衝。 代表我未來安裝的 Wi-Fi 7 AP (U7 Pro) ,它那 2.5G 的網路埠,會被 1G 的交換器活活掐死在 1G 。 1G 內網,已經從「基礎建設」淪為「效能枷鎖」。 驅動我的「 10G 之魂」:三大核心需求 我的需求不是「上上網、看看 Netflix 」而已,我追求的是一個高效、穩定、且安...
閱讀完整內容

Building CL3 — From Manual Trading to a Decision Engine

圖片
  Building CL3 為什麼我決定建立自己的 Investment Decision Engine 每一個投資人,最終都會面對同一個問題。 市場充滿不確定性、資訊噪音,以及難以預測的變化。 但隨著時間,我逐漸意識到一件更重要的事情: 真正困難的不是市場,而是決策。 多年以來,我和大多數投資人一樣參與市場。 看圖表(Charts) 閱讀新聞(News) 觀察價格變動(Price Movements) 然後依靠經驗做出投資判斷。 有時候這些判斷很成功。 但有時候並不如此。 慢慢地,我發現一個現象: 人的判斷其實並不穩定。 有些時候,我們可以非常理性與紀律。 但在其他時候,情緒(Emotion)、恐懼(Fear)、或市場壓力會干擾決策。 同一個投資人,在不同時間點,可能會做出完全不同的投資行為。 這讓我開始思考一個問題: 如果投資決策可以被系統化(Systematized),會是什麼樣子? 不是一個黑箱的 Trading Bot 。 而是一個更有意義的東西: Investment Decision Engine 這個想法,就是 CL3 的起點 。 Why CL3? 有趣的是, CL3 這個名字並不是一開始就精心設計的品牌。 它其實來自一次意外。 當時我正在和 AI 討論投資相關的想法,在回覆訊息時,我忘記把鍵盤從 Zhuyin Input Method(中文注音輸入法) 切換回中文。 我敲下了三個鍵: C(ㄏ) L(ㄠ) 3(ˇ) 在注音輸入法中,這三個鍵其實會輸入一個中文字: 「好」 但在當時的對話情境中,AI 看到的只是: CL3 有趣的是,AI 並沒有把它當作錯字。 反而開始回應一段關於 CL3 系統架構與投資方法 的說明。 那一刻我突然覺得: 也許這不只是一次打錯字。 也許這可以成為一個專案名稱。 於是 CL3 就成為了我開始撰寫這個投資系統時使用的專案代號。 What CL3 Means 隨著系統逐漸發展,我發現這三個字母其實也可以代表整個系統的核心理念: CL3 = Cycle · Logic · Layer Cycle 市場總是在循環(Market Cycle)。 牛市(Bull Market)、修正(Correction)、風險收縮(Risk...
閱讀完整內容

戰未來十年!《第二章》魔鬼在細節 - 核心設備選型 (血淚史)

圖片
  這一章是 90% 的人(包含我)花費最多時間、也最容易後悔的地方。每一個決策都像是在十字路口,選錯了,未來的 10 年都會充滿遺憾。 這就是我的「選型血淚史」。 第二章:魔鬼在細節 - 核心設備選型 ( 血淚史 ) 如果「架構藍圖」是理想,那麼「設備選型」就是殘酷的現實。這是在「預算」、「效能」和「功能」之間進行的痛苦拔河。我的每一分錢都要花在刀口上,而這刀口,必須能劃開 10G 的頻寬。 ( 路由 ) 靈魂: UDM-SE (Dream Machine Special Edition) 網路的靈魂,就是路由器。它決定了你的網路有多穩、有多安全、有多「聰明」。 我的選擇是 UniFi Dream Machine Special Edition (UDM-SE) 。 為什麼是它? UDM-SE 是一台「 All-in-One 」的怪物。在 1U 的機身裡,它整合了: 高效能路由器 (Router) : 支援 10G 路由效能, VLAN 防火牆規則再多也不怕。 2.5G WAN 埠: 這是關鍵!它能 跑滿 中華電信 2G/1G 光世代。 10G SFP+ LAN 埠: 這是我的「 10G 骨幹」與核心交換器 (QSW-M2116P) 連接的命脈。 PoE+ 交換器: 內建 8 個 PoE 埠,其中 2 個還是 2.5G PoE+ ! UniFi 控制器: 無需額外主機 (Cloud Key 或 N100 VM) ,它本身就是 UniFi 生態系的大腦。 【血淚史】 UDM-SE vs. UDM-Pro :差點選錯的致命妥協 新手最常問:「 UDM-SE 和 UDM-Pro 到底差在哪?」 UDM-Pro (2019 年產品 ) 看似便宜了 $4,000 多元,但這 $4,000 是我認為「 最划算的升級 」,因為 Pro 版有兩個致命缺陷: WAN 瓶頸: UDM-Pro 的 WAN 埠只有 1G ! 在 2025 年的今天,當中華電信 2G 方案已是常態,你買一台 1G WAN 的旗艦路由器?這等於是「 落地即過時 」。 UDM-SE...
閱讀完整內容