1. 先怼一下

实在忍不住了，怼一下高票优质科技领域创作者的答案，基本概念混淆，误导观众害人不浅。主要有几个谬误：

1、人家只要1000个摄像机，把16位网段分20个21位的子网，不知道为啥要干这个，估计是显示自己多专业吧。关键又没说明白，弄巧成拙。

2、作者解释：

如果假设作者意思是将1000个摄像机都放入172.16.0.0/21这个网段，那么可用IP范围是172.16.0.1-172.168.7.254，一共是8*255-2=2044个，超过1倍的设计容量，这个无可厚非。

但是网段设计有点需要说明的是：

作者把把所有摄像机都放入172.16/21网段，没有表明二层隔离如何设计，1000个IP的广播包估计会拖死全网。

如果将21位网段继续划分为24位子网，那么新的问题出现：所有的摄像机都会认为别的设备跟自己是同网段，到别的设备的流量不会发往三层路由，如何将这些前端的流量引入后端NVR和视频服务器？

3、VRRP的名字叫Virtual redundant Routing protocol 虚拟冗余路由协议，既然叫路由，所以他运行在第三层并不是作者所言第二层。

2. 设计方案

下面说下我的设计，免的有人说我光说不练。

前面有个作者说的不错，1000个摄像机根据应用场景的不同可能有不同的组网方式：

2.1. PON组网

PON组网方式适合于园区很大，距离很远的场景，因为网线只能传100米，如果在100米内一台交换机不能覆盖48或者24台摄像机的话，那么采用PON是最合适的。因为首先距离远，接入交换机和核心交换机连接必然采用光缆，那么我一定希望接入交换机的数量越少越好，这样能够降低光缆、接入机柜的施工成本。如果一个点需要接入的摄像机太少那么采用PON方式就非常方便了，ONU设备下挂POE小交换机就近接入，ONU通过分光器接入到OLT设备，不需要采用什么核心交换机之类的东西了。产品成本低，光缆施工如果人熟的话也不是很贵。

2.2. 传统交换机组网

IP组网适应程度较高，从大到小都比较合适，而且会打个VLAN搞个直连路由就号称自己会做网络的人满地都是，能把静态路由指对方向已经是高手。维护也比较容易找人。

2.2.1. 网络结构

监控网络的特点是摄像机之间不会有数据交互，主要的业务流量会由前端摄像机发往后端存储。

核心交换机通过Virtual Chassis组成一台虚机，避免VRRP STP那种几十年前的落后技术，接入层通过2条1G或10G光纤链路捆绑到核心，任何一条链路断了也不会影响数据传输。

考虑到从接入层到后端存储的安全性，在核心交换机上挂2台防火墙智能化，起HA，这里必须考虑的是全网1000台摄像机，预估会有4G流量过来，所以核心交换机出去的带宽必须是万兆，防火墙吞吐性能至少达到7G以上。

如果想便宜也可以，核心换单机，防火墙扔掉，网络照样可以跑，只不过安全性和可靠性会更差。

2.2.2. 三层参数2.2.2.1. IPv4设计

以24位掩码为一个VLAN，一个VLAN一个C，如果你不懂什么叫24位，那么建议再去看书，不要来问我。

尽量将24或者48摄像机接入到一台交换机上，这样可以节约交换机端口，而且在接入交换机上不用选择可VLAN的设备，因为他没有本地隔离的需求，只需要在核心交换机上对每个接入端口打不同的VLAN用以隔离二层广播。也可以直接在QFX交换机物理接口（AE）上直接启用三层，不需要搞什么vlan interface。

2.2.2.2. IPv6

1000台摄像机可以采用Site local 的fec0::/64地址段直接使用，不需要划分什么子网、VLAN。

IPv6不存在ARP广播，摄像机之间也基本不存在互访的流量，所以完全可以直接采用一个大广播域而不用担心广播风暴。

Site local地址相当于RFC1918的私网地址，不会跟互联网上其他地址冲突，这是一种自动配置方法。

要采用这个技术，前提是核心交换机能支持IPv6并配置了前缀列表，而且他需要作为路由器去响应摄像机的Router solicitation message。

3. 产品清单

大单啊，哪位老板买单智能化，私信联系啊！