🛠 База знаний: Инженер ПНР

Справочник по сетям, СКУД, видеонаблюдению и диспетчеризации

Базовая сетевая Wiki инженера ПНР

1. Главные понятия: IP, MAC и Маска

Представьте, что сеть — это город.

2. Шлюз и DNS

3. Золотое правило ПНР: Статика vs DHCP
Вся инфраструктура (Серверы, Камеры, Контроллеры СКУД, ПЛК, Коммутаторы) ВСЕГДА настраивается на СТАТИЧЕСКИЕ IP-адреса. По DHCP должны работать только ноутбуки инженеров и смартфоны.

4. Как "раскидывать" IP-адреса (IP-планирование)

Никогда не раздавайте адреса хаотично. В сети с маской 255.255.255.0 у вас есть 254 свободных адреса. Пример грамотного распределения:

5. Что такое VLAN (Виртуальные сети)

На крупных объектах все устройства не пихают в одну сеть. Их разделяют на VLAN (Virtual Local Area Network). Представьте, что у вас один физический коммутатор на 24 порта. С помощью VLAN вы программно "пилите" его на три независимых коммутатора:

Зачем? Безопасность (бухгалтер не достучится до СКУД) и стабильность (трафик камер не "положит" офисную сеть).

🔥 Боевой пример: Засада с заводскими IP
Вы привезли на объект 20 новых камер Hikvision. Заводской IP у всех одинаковый — 192.168.1.64. Если монтажник воткнет их все в коммутатор разом, сеть "ляжет" от конфликта IP, и вы не сможете зайти ни на одну. Как правильно: Подключайте камеры по одной к своему ноутбуку, меняйте IP на проектный, клейте стикер с новым IP на камеру, и только потом отдавайте в монтаж. Либо используйте утилиты пакетной активации (SADP Tool / ConfigTool).

6. Инструментарий ПНР-щика (Командная строка)

ping 192.168.1.50 -t  # Бесконечная проверка связи с устройством
ipconfig              # Узнать IP-адрес своего ноутбука
arp -a                # Показать таблицу IP и MAC-адресов в сети

7. Маршрутизация: Как подружить две разные подсети

Представьте ситуацию: у вас есть сервер СКУД в офисной сети 192.168.1.10 и контроллер двери в технической сети 192.168.2.50. Маска у обоих 255.255.255.0. Напрямую они друг друга не увидят никогда. Коммутатор (свитч) здесь не поможет — он работает только внутри одной подсети (на 2 уровне OSI).

Чтобы пакет из сети 1.X попал в сеть 2.X, нужен Маршрутизатор (Роутер) или L3-коммутатор. Процесс называется маршрутизацией.

Как это настроить (3 обязательных шага):
  1. У роутера должно быть две "ноги" (интерфейса). Одна смотрит в сеть 1.X (например, имеет IP 192.168.1.1), вторая смотрит в сеть 2.X (имеет IP 192.168.2.1).
  2. Настройка Шлюза на сервере СКУД: В настройках сетевой карты сервера (192.168.1.10) вы ОБЯЗАТЕЛЬНО должны прописать Основной шлюз (Default Gateway) — 192.168.1.1. Сервер рассуждает так: "Ага, мне нужно отправить пакет на 192.168.2.50. Это не моя улица. Значит, я отдам пакет Шлюзу, пусть он разбирается".
  3. Настройка Шлюза на контроллере СКУД: В настройках контроллера (192.168.2.50) вы прописываете шлюз 192.168.2.1. Когда контроллер захочет ответить серверу, он тоже отдаст пакет своему шлюзу.
🔥 Боевой пример: Забытый шлюз на камере
Вы сидите с ноутбуком в сети 192.168.1.X. Пытаетесь пинговать камеру в сети 192.168.2.X. Пинга нет. Вы идете к камере, подключаетесь к ней напрямую проводом — камера работает, IP верный! В чем дело?
Причина: Монтажник прописал камере IP 192.168.2.50 и маску, но поле "Шлюз" оставил пустым (или нулями). Ваш пинг от ноутбука через роутер ДОХОДИТ до камеры. Камера его принимает, формирует ответ (Pong), видит, что получатель (ваш ноутбук) находится в чужой сети, пытается отправить ответ на шлюз... а шлюз не прописан! Пакет уничтожается. Правило: Если устройства в разных подсетях, шлюзы должны быть прописаны у ВСЕХ участников обмена.

8. Железо: Коммутаторы L2, L3 и Маршрутизаторы

Чтобы пакеты ходили между сетями, нужно правильное железо. В чем разница?

9. Как настроить маршрутизацию (Inter-VLAN routing)

Есть два классических способа подружить сети (например, VLAN 10 для СКУД и VLAN 20 для Видео):

  1. "Роутер на палочке" (Router on a stick): У вас есть обычный L2-свитч и отдельный роутер (например, MikroTik). Вы соединяете их ОДНИМ кабелем. На свитче этот порт настраивается как Trunk (пропускает все VLAN). На роутере вы создаете виртуальные сабинтерфейсы (например, ether1.10 с IP 192.168.1.1 и ether1.20 с IP 192.168.2.1). Роутер принимает трафик из одного VLAN, "переваривает" его и отправляет обратно в другой VLAN по тому же кабелю.
  2. Маршрутизация на L3-коммутаторе (SVI): Роутер вообще не нужен! Прямо в командной строке L3-свитча вы создаете виртуальные интерфейсы (SVI).
    interface vlan 10 -> ip address 192.168.1.1 255.255.255.0
    interface vlan 20 -> ip address 192.168.2.1 255.255.255.0
    Свитч сам начинает перекидывать пакеты между этими сетями со скоростью портов (Gigabit/10G).
🔥 Боевой пример: "Бутылочное горлышко" видеонаблюдения
На заводе 100 IP-камер (сеть 192.168.2.X) и сервер TRASSIR (сеть 192.168.1.X). Сисадмин настроил маршрутизацию через "Роутер на палочке" (MikroTik) по гигабитному линку. 100 камер генерируют поток 600 Мбит/с. Этот поток летит в роутер, роутер пыхтит (у него процессор загружен на 100%), маршрутизирует трафик и отправляет его обратно в свитч к серверу.
Итог: Роутер "захлебывается", видео тормозит, сеть висит. Решение для ПНР: Тяжелый трафик (видео) между подсетями должен маршрутизироваться ТОЛЬКО ядром сети — мощным L3-коммутатором на аппаратном уровне (ASIC-чипами), а не программным роутером! Роутер оставьте только для выхода в интернет.

10. Архитектура для бедных: 30+ камер и СКУД при жестком бюджете

Что делать, если заказчик хочет 30-40 камер, СКУД на 5 дверей, но денег на умные L3-коммутаторы (Cisco, Eltex MES3000) нет, и бюджет позволяет купить только дешевые "неуправляемые" свитчи?

🔥 Скрытая деталь: Тормоза СКУД из-за камер (Broadcast)
Контроллеры СКУД (Sigur, RusGuard, IronLogic) имеют очень слабые процессоры. Если вы от безысходности воткнете контроллер СКУД в один дешевый неуправляемый свитч вместе с 30 камерами, произойдет страшное. Камеры постоянно генерируют широковещательный мусор (ARP-запросы, мультикаст). Процессор контроллера СКУД будет пытаться обработать каждый этот пакет, загрузится на 100%, и турникет начнет открываться с задержкой в 2-3 секунды после поднесения карты.
Правило: Никогда не мешайте СКУД и Видео в одном физическом сегменте на неуправляемом железе! Либо VLAN, либо физически разные свитчи.

11. Топология и порты: Как правильно соединять PoE-коммутаторы

Когда камер много (30-50+), а бюджет ограничен, нельзя просто соединять свитчи гирляндой (один за другим). Это приведет к катастрофе.

🔥 Боевой пример: PoE-бюджет и порты Hi-PoE (Ultra PoE)
Вы купили поворотную PTZ-камеру (Speed Dome) с дворником и мощным ИК-прожектором на 150 метров. В характеристиках написано: "Потребление 40 Вт". Вы втыкаете её в обычный PoE-порт коммутатора, а она не крутится или постоянно перезагружается.
Причина: Стандартный порт PoE (802.3af) выдает максимум 15.4 Вт. Улучшенный порт PoE+ (802.3at) выдает 30 Вт. Вашей камере нужно 40 Вт!
Решение: Ищите на коммутаторе порты, выделенные красным или оранжевым цветом (обычно это порты №1 и №2). Это порты Hi-PoE (802.3bt), они могут выдавать до 60-90 Вт. Если таких портов нет, придется покупать отдельный PoE-инжектор на 60 Вт и ставить его в разрыв кабеля перед камерой.

12. Памятка: Стандарты IP-адресации (на примере /24)

Базовое правило: Оргтехника и сетевое железо всегда на статике до пула DHCP.

Диапазон Назначение Примеры устройств
.1 Основной шлюз Router, Firewall
.2 — .9 Инфраструктура Коммутаторы, Точки Wi-Fi
.10 — .29 Серверы NVR, NAS, Контроллеры домена
.30 — .49 Оргтехника и IoT Принтеры, IP-телефоны, СКУД
.50 — .99 Резерв статики Запас на расширение
.100 — .199 Пул DHCP Ноутбуки, Смартфоны гостей

Симметрия VLAN и подсетей

Формат: 10.X.Y.0/24, где Y = VLAN ID

13. Логика нумерации VLAN (Почему 10, 20, 30?)

Да, вы можете использовать абсолютно любые числа от 2 до 4094. Названия 10, 20, 30 используются исключительно для удобства, масштабируемости и порядка.

1. Технические ограничения (Что можно, а что нельзя)

VLAN ID — это число, которое "вшивается" в каждый пакет данных (согласно стандарту 802.1Q). На это выделено ровно 12 бит памяти, поэтому максимальное количество VLAN'ов ограничено математически: от 1 до 4094.

Итого: В вашем распоряжении любые числа от 2 до 1001 и от 1006 до 4094.

2. Почему используют 10, 20, 30? (Правило "Шаг в 10")

Это золотой стандарт (best practice), который пришел от крупных интеграторов. Причина одна: Оставить пространство для маневра.

Представьте, что вы назвали сети подряд: VLAN 2, VLAN 3, VLAN 4.

Проходит год. Офис разрастается, и заказчик просит разделить бухгалтерию и менеджеров в разные изолированные сети. Если у вас занята "двойка" и "тройка", вам придется давать бухгалтерии VLAN 5. Логика рушится, начинается хаос.

Если вы используете шаг 10:

Заказчик просит разделить офис? Легко! Вы берете числа "внутри десятка":

Логика сохраняется: любой инженер видит, что VLAN'ы, начинающиеся на единичку (10-19), — это "офисные люди", на двойку (20-29) — "камеры", на тройку (30-39) — "телефоны".

3. Правило "Корпоративного стандарта"

У многих компаний-интеграторов есть жесткий внутренний стандарт, который применяется вообще ко всем объектам. Например, инженер приезжает на абсолютно новый, незнакомый ему объект, видит кабель, втыкает ноутбук и получает IP-адрес 10.0.50.15. Он сразу понимает: "Ага, третья цифра 50, значит это VLAN 50. По нашему внутреннему стандарту VLAN 50 — это СКУД. Значит, я подключился к розетке охранника".

Типовой корпоративный стандарт выглядит примерно так:

Вы можете придумать абсолютно любые цифры (хоть 33, 44 и 77). Главное — придерживаться этой логики на всех своих объектах. Тогда ваша команда будет понимать инфраструктуру с закрытыми глазами!

Архитектура СКУД и инженерная база

СКУД — это не просто "приложил карточку — дверь открылась". Это сложный комплекс, где цена ошибки — заблокированные при пожаре люди или сгоревшие контроллеры.

1. Золотое правило контроллера (Офлайн-режим)

Любая современная сетевая СКУД состоит из трех уровней: Считыватели, Контроллеры и Сервер. Главное правило: Контроллер должен принимать решение об открытии двери САМ, без связи с сервером. Сервер нужен только для заливки в контроллер базы ключей и сбора логов. Если сеть упадет, дверь должна работать.

🔥 Боевой пример: Сгоревшее реле и шунтирующий диод
Монтажник подключает мощный электромагнитный замок напрямую к реле контроллера СКУД. Через 2 месяца контроллер умирает. Причина: Электромагнит — это катушка индуктивности. Когда реле отключает питание замка, возникает ЭДС самоиндукции (обратный скачок напряжения до сотен вольт), которая пробивает контакты реле. Решение: ВСЕГДА ставьте шунтирующий диод (например, 1N4007) параллельно контактам замка в обратной полярности! Он "гасит" этот скачок. У нормальных брендов (Sigur) диоды идут в комплекте в пакетике.

2. Протоколы считывателей: Wiegand vs OSDP

🔥 Скрытая деталь: Чудеса с длиной Wiegand
Максимальная длина линии Wiegand от считывателя до контроллера по обычной неэкранированной витой паре — около 15-20 метров (хотя в теории пишут до 100м). Если прокинуть 50 метров, начнутся чудеса: человек прикладывает карту, считыватель пищит, а контроллер пишет в лог "Неизвестный формат карты". Это происходит из-за наводок и затухания сигнала. Решение: Если считыватель далеко, переводите его на протокол OSDP (RS-485 бьет на 1200 метров) или ставьте контроллер ближе к двери.

3. Идентификаторы: Почему EM-Marine должен умереть

Эра простых белых карточек EM-Marine (125 кГц) прошла. Их можно скопировать в любом ларьке за 100 рублей. Если вы ставите EM-Marine на завод — СКУД там просто для галочки.

4. Эмиссия: Как программировать защищенные карты (Mifare Plus)

Просто купить дорогие карты Mifare Plus недостаточно. С завода они работают в режиме "SL1" (читается только открытый серийный номер UID, как у дешевых EM-Marine, и они так же легко копируются). Чтобы включить шифрование AES-128 (режим "SL3"), карты и считыватели нужно "познакомить" — этот процесс называется Эмиссией.

Что нужно для настройки:

Процесс программирования (Шаги ПНР):

  1. Генерация ключей: В ПО СКУД (например, Sigur) вы нажимаете "Сгенерировать крипто-ключи объекта". Программа создает уникальный пароль для вашего здания.
  2. Прошивка настенных считывателей: Считыватели на стенах нужно научить понимать этот пароль. Есть два пути:
    Путь А (Старый): Вы берете чистую карту, кладете на USB-считыватель и делаете из нее "Мастер-карту". Затем идете ногами по объекту и прикладываете эту Мастер-карту к каждому настенному считывателю. Он "съедает" ключ, радостно пищит и перезагружается.
    Путь Б (Современный - OSDP): Если считыватели подключены к контроллеру по цифровой шине RS-485 (OSDP), вы просто нажимаете кнопку в ПО, и ключи заливаются во все считыватели по сети автоматически!
  3. Прошивка карт сотрудников: Кадровик кладет чистую карту на USB-считыватель. ПО записывает в защищенный сектор памяти карты крипто-ключ и переводит её в режим SL3. Теперь карту невозможно скопировать.
🔥 Скрытая деталь: Потеря крипто-ключей (Фатально)
Если вы настроили шифрование Mifare, а потом у вас "умер" жесткий диск на сервере и нет бэкапа базы данных — это катастрофа. Вы потеряли крипто-ключи. Настенные считыватели и карты сотрудников навсегда останутся зашифрованными этим ключом. Вы не сможете их перепрограммировать, прочитать или сбросить на заводские настройки (они превратятся в кирпичи). Правило: Сделали эмиссию — немедленно сделайте бэкап БД СКУД и сохраните его на флешку в сейф!

Расключение считывателя (Провода):

Стандартная цветовая маркировка проводов (косички) настенного считывателя:

5. Замки и Пожарная безопасность (NO vs NC)

Замки делятся на два типа по поведению при отключении электричества:

🔥 Боевой пример: Аппаратная разблокировка при пожаре
По ГОСТу пути эвакуации должны оборудоваться замками типа NO (магнитами). При срабатывании пожарной сигнализации (АПС) двери должны открыться. Фатальная ошибка: Интегрировать СКУД и АПС только по сети (софтово). Если при пожаре сгорит свитч или зависнет сервер, люди сгорят. Решение: Пожарная сигнализация должна рвать ПИТАНИЕ замков аппаратно (через "сухой контакт" реле пожарного прибора), независимо от того, что там думает контроллер СКУД!

Сравнение логики: Sigur vs TRASSIR

Главное, что нужно понимать инженеру: TRASSIR идет от видео и нейросетей, а Sigur идет от бизнес-логики и IT-инфраструктуры.

TRASSIR: Магия видеоаналитики и Python

Вся гибкость Трассира кроется в мощнейших модулях нейроаналитики и встроенном интерпретаторе Python. Сервером СКУД выступает сам видеосервер.

🔥 Боевой пример: Ловушка Antipassback (Запрет повторного прохода)
Вы настроили строгий Antipassback. Директор заходит на завод, но турникет был открыт, и он прошел "паровозиком" за сотрудником, не приложив карту. Вечером директор пытается выйти, прикладывает карту, а турникет пишет: "Ошибка: Нет входа" (система думает, что он еще на улице). Директор в бешенстве.
Решение: Для ТОП-менеджмента всегда настраивайте "Мягкий Antipassback" (система пускает, но пишет нарушение в лог) или ставьте галочку "Игнорировать правила зональности".

Sigur: Бог корпоративной логики и интеграций

Sigur — это конструктор для IT-директора и HR. Его гибкость в том, что он «из коробки» умеет общаться с огромным количеством стороннего софта.

Идеальный симбиоз: Логика доступов и турникеты строятся на контроллерах Sigur, а видеонаблюдение и распознавание лиц — на серверах TRASSIR. Системы интегрируются друг с другом по сети.

SCADA: Системы диспетчеризации

SCADA (Supervisory Control And Data Acquisition) — это «Режим Бога» для инженера. Система собирает данные со всех инженерных систем (вентиляция, электроснабжение, котельные) и выводит их на экран диспетчера.

Архитектура SCADA

  1. Нижний уровень (Полевой): Датчики температуры, давления, реле, задвижки.
  2. Средний уровень (ПЛК): Программируемые логические контроллеры (Овен, Wiren Board). Собирают сигналы и управляют клапанами.
  3. Верхний уровень (SCADA-сервер): Софт, опрашивающий ПЛК по протоколам Modbus RTU/TCP или OPC UA.
🔥 Боевой пример: Убийство шины RS-485 (Modbus RTU)
Монтажники часто тянут кабель RS-485 от датчиков к ПЛК "звездой" (от каждого датчика свой кабель в одну точку). Это фатальная ошибка! RS-485 работает ТОЛЬКО по топологии "Шина" (гирлянда: от устройства к устройству). При "звезде" возникают отражения сигнала, и датчики начинают хаотично отваливаться. И не забывайте ставить согласующие резисторы (терминаторы 120 Ом) на первом и последнем устройстве в линии!

Лидеры рынка РФ

Суть ПНР в SCADA: Если в СКУД вы оперируете понятиями «Сотрудник» и «Дверь», то в SCADA вы оперируете «Тегами» (переменными) — регистрами в памяти контроллера, которые нужно привязать к графическим элементам на экране (мнемосхеме).

Экосистема Eltex

Eltex идет от «сетевой инфраструктуры». Это крупнейший российский производитель телекоммуникационного оборудования, который строит свою экосистему «Умное здание».

Суперсила Eltex: Моновендорность

С Eltex можно построить всю IT-инфраструктуру здания на одном бренде:

Специфика для инженера ПНР

Чтобы работать с Eltex, нужно стать сетевым инженером (Network Engineer). Вы должны уметь работать в командной строке (CLI) коммутаторов, настраивать VLAN, транки, маршрутизацию, PoE-бюджеты и QoS.

Нюанс по СКУД: СКУД для Eltex — молодое направление. Для базовых задач (ЖК, апарт-отели) их SIP-домофоны идеальны. Но для сложной корпоративной логики (хитрые графики, алкотестирование) Sigur пока значительно гибче.

С чего начать погружение в ПНР?

Шаг 1. Подтянуть IT-базу

Шаг 2. Развернуть виртуальные стенды (Бесплатно)

Вендоры дают возможность тренироваться бесплатно:

Шаг 3. Собрать "настольный стенд"

Купите б/у IP-контроллер (Sigur E500 или Z-5R Web), считыватель Mifare, несколько карточек и блок питания. Задача: обжать витую пару, подключить всё на столе и добиться, чтобы при прикладывании карты реле щелкало.

Шаг 4. Программирование (Уровень PRO)

Выучите основы Python. Напишите скрипт в TRASSIR для отправки уведомлений в Telegram или скрипт для добавления сотрудников в Sigur через их API.

Практические советы и частые "грабли" ПНР

В полях голая теория часто разбивается о суровую реальность. Вот топ-5 практических сетевых проблем, с которыми вы столкнетесь на объектах.

1. Ловушка PoE-бюджета (Power over Ethernet)

Часто монтажники покупают 24-портовый PoE-коммутатор и думают, что в него можно воткнуть 24 камеры. Но если суммарная мощность камер (особенно ночью, когда включается ИК-подсветка) превысит бюджет коммутатора, он начнет хаотично отключать порты.

2. Сетевые петли (Broadcast Storm)

Самый страшный сон сисадмина. Классика жанра: монтажник случайно воткнул оба конца одного патч-корда в один коммутатор (или соединил два коммутатора двумя кабелями без настройки агрегации).

Симптомы: Пакеты начинают бесконечно летать по кругу, размножаясь с огромной скоростью. Вся сеть предприятия "ложится" за секунду. Лампочки на коммутаторах начинают бешено мигать всеми портами одновременно. Пинги пропадают.
Решение: Ищите петлю и выдергивайте кабель. На всех управляемых коммутаторах (Eltex, Cisco, Mikrotik) первым делом ОБЯЗАТЕЛЬНО включайте протокол STP / RSTP (Spanning Tree Protocol). Он сам найдет петлю и программно заблокирует лишний порт, спасая сеть от падения.

3. Физика витой пары

4. Удаленный доступ (Как выпустить систему в мир)

Заказчик всегда хочет смотреть камеры или СКУД с телефона из дома. Есть 3 пути:

  1. P2P (Облако): Самый простой. Включаете галочку P2P в регистраторе, сканируете QR-код телефоном. Минусы: работает через чужие серверы (часто китайские), может тормозить, небезопасно для крупных объектов.
  2. Белый IP + Проброс портов (Port Forwarding): Провайдер дает статический (белый) IP-адрес роутеру. Вы на роутере настраиваете правило: "Всех, кто стучится снаружи на порт 8000, перенаправлять на внутренний IP камеры 192.168.1.50".
  3. VPN (Высший пилотаж): На роутере (например, Mikrotik или Keenetic) поднимается VPN-сервер (WireGuard или OpenVPN). Заказчик включает VPN на телефоне и оказывается как бы внутри локальной сети офиса. Это самый безопасный и профессиональный метод.

5. Алгоритм траблшутинга: "Камера не в сети"

Если устройство не пингуется, не спешите его менять. Идите по шагам (модель OSI снизу вверх):

  1. Физика: Горит ли лампочка (линк) на порту коммутатора? Если нет — проблема в кабеле, коннекторе или питании. Переобожмите кабель.
  2. Канал (MAC): Напишите в консоли arp -a. Виден ли MAC-адрес камеры? Если MAC виден, а пинга нет — значит, у вас на ноутбуке и на камере настроены разные подсети (разные маски).
  3. Сеть (IP): Нет ли конфликта IP-адресов? Попробуйте отключить камеру от сети (выдернуть кабель) и запустить ping на её адрес. Если пинг всё равно идет — значит, этот IP уже занят кем-то другим в сети (например, чьим-то смартфоном)!

Интеграции по API: Как системы общаются друг с другом

Времена, когда системы связывали "сухими контактами" (проводками), прошли. Сейчас СКУД, 1С и Видеонаблюдение общаются по сети через API (Application Programming Interface).

1. Что такое REST API?

Это набор правил, по которым одна программа может попросить другую что-то сделать по протоколу HTTP (как в браузере).

2. Форматы данных: JSON и XML

Чтобы программы понимали друг друга, данные передаются в структурированном текстовом виде. Сегодня стандартом является JSON.

{
  "employee_id": "1054",
  "name": "Иванов Иван",
  "event": "access_granted",
  "time": "2026-05-08T08:00:00"
}
🔥 Боевой пример: Тормоза 1С и "Синхронные" запросы
Худшее, что можно сделать — настроить СКУД так, чтобы при поднесении карты контроллер отправлял запрос в 1С: "Можно пустить?", и ждал ответа. 1С — система медленная. Человек приложит карту и будет стоять перед закрытым турникетом 3-5 секунд, собирая пробку на проходной.
Решение (Асинхронность): 1С должна раз в час выгружать списки доступов в базу Sigur. Контроллер Sigur принимает решение локально за 0.1 секунды, а уже потом, в фоновом режиме, отправляет лог прохода обратно в 1С для учета рабочего времени.

3. Инструменты ПНР-щика (Postman)

Если интеграция СКУД и 1С не работает, инженер не должен гадать. Он открывает программу Postman, вбивает туда IP-адрес сервера СКУД, формирует тестовый JSON-запрос и смотрит, какой ответ (HTTP Status Code) вернет сервер:
  • 200 OK: Всё отлично, запрос принят.
  • 401 Unauthorized: Ошибка логина/пароля (или токена) API.
  • 400 Bad Request: Вы отправили кривой JSON (например, забыли запятую).

Протоколы видеонаблюдения: ONVIF vs RTSP

Главная проблема видеонаблюдения — "зоопарк" брендов. Как заставить камеру Dahua работать с сервером TRASSIR или регистратором Hikvision? Для этого есть два универсальных языка.

1. RTSP (Real-Time Streaming Protocol)

Это "тупая труба", по которой льется только видео и звук. Больше ничего.

🔥 Боевой пример: Рассыпание картинки (I-Frame и Битрейт)
Заказчик жалуется: "Когда человек идет, за ним тянется шлейф из квадратиков (артефактов)". Это не камера плохая, это кривая настройка кодека H.265. Решение: Проверьте параметр Опорный кадр (I-Frame Interval). Он должен быть равен частоте кадров (FPS) или в 2 раза больше. Если FPS=25, I-Frame должен быть 25 или 50. Если поставить 100 — картинка будет "рассыпаться" при малейшем движении.

2. ONVIF (Open Network Video Interface Forum)

Это "умный" стандарт общения. Если камера и сервер поддерживают ONVIF, они становятся лучшими друзьями.

🔥 Скрытая деталь: Рассинхрон времени (NTP)
Вы подключаете новую камеру по ONVIF к серверу, вводите верный пароль, а сервер пишет "Ошибка авторизации". Почему? Потому что на камере стоит 1970 год, а на сервере 2026. Протокол безопасности ONVIF (WS-Security) отклоняет запросы со старыми метками времени, считая их хакерской атакой (Replay Attack). Правило: Первым делом настраивайте NTP-сервер на всех камерах!
Частая "грабля" ПНР: Вы подключаете камеру по ONVIF, видео нет, выдает ошибку пароля. Секрет: У многих современных камер (особенно Hikvision) по умолчанию ONVIF отключен! Нужно зайти в веб-интерфейс камеры, включить ONVIF и создать отдельного пользователя для ONVIF (он может отличаться от пароля для входа в веб-интерфейс).

Основы Linux для инженера ПНР

Современные серверы СКУД (Sigur, RusGuard) и Видеонаблюдения (TRASSIR OS, Macroscop) всё чаще ставятся на Linux (Debian, Ubuntu). Забудьте про мышку — добро пожаловать в консоль.

Топ-5 команд для выживания на объекте:

1. Узнать IP-адрес сервера:

ip a

(Аналог ipconfig в Windows. Ищите строчки, начинающиеся с inet, например inet 192.168.1.10).

2. Проверить, работает ли служба (серверный модуль):

systemctl status sigur-server

(Покажет, запущен ли сервер СКУД. Если упал — напишет причину красным цветом. Для перезапуска используйте systemctl restart sigur-server).

3. Чтение логов в реальном времени (Магия ПНР):

tail -f /var/log/syslog

(Команда tail -f выводит последние строки файла и обновляет экран в реальном времени. Вы прикладываете карточку к считывателю и сразу видите в консоли, как сервер её обрабатывает).

4. Проверка нагрузки (Почему всё тормозит?):

htop

(Красивый диспетчер задач. Показывает загрузку процессора, оперативной памяти и список самых тяжелых процессов. Выход — клавиша F10 или Q).

5. Редактирование сетевых настроек:

nano /etc/network/interfaces

(Открывает простой текстовый редактор прямо в консоли. Используется для изменения IP-адреса сервера со статики на DHCP или наоборот. Сохранить — Ctrl+O, Выйти — Ctrl+X).

Лайфхак: В Linux можно нажимать клавишу Tab для автодополнения команд и путей к файлам. Не пишите длинные пути руками, напишите первые 3 буквы и нажмите Tab!

АПС и СОУЭ: Пожарная безопасность

АПС (Автоматическая пожарная сигнализация) и СОУЭ (Система оповещения и управления эвакуацией) — это самые строгие системы в слаботочке. Здесь нельзя "колхозить", всё жестко регламентировано ГОСТами и Сводами Правил (СП 484, СП 3). За ошибку здесь можно сесть в тюрьму.

1. Виды пожарной сигнализации

2. Виды СОУЭ (Оповещение)

Делятся на 5 типов в зависимости от сложности здания:

3. Главные бренды на рынке РФ

🔥 Боевой пример: КЗ в адресной линии (ДПЛС)
В адресно-аналоговой системе Болид (контроллер С2000-КДЛ) датчики висят на двухпроводной линии связи (ДПЛС). Монтажник случайно перебил кабель стремянкой и сделал Короткое Замыкание (КЗ). Если линия проложена "лучом", отвалятся ВСЕ датчики после места обрыва.
Решение (Подводный камень): Адресные линии нужно кольцевать (Топология "Кольцо") и ОБЯЗАТЕЛЬНО ставить БРИЗы (Блоки разветвительно-изолирующие). При КЗ БРИЗы отсекут поврежденный участок с двух сторон, а остальное кольцо продолжит работать, получая питание с двух концов!

4. Беспроводные системы АПС (Радиоканал)

Когда тянуть кабель невозможно или слишком дорого (например, в Эрмитаже или в офисе с готовым дорогим ремонтом), на сцену выходят беспроводные системы. Флагман в РФ — «Стрелец-ПРО» от Аргус-Спектр.

🔥 Боевой пример: Радиоглушилки и Севшие батарейки
Беспроводная система — это кайф для монтажника, но боль для службы эксплуатации. Если на объекте 500 радиодатчиков висят на высоте 6 метров, через 5-7 лет (когда начнут садиться батарейки) инженеру придется арендовать вышку-туру и менять 1000 батареек (основную и резервную в каждом датчике).
Подводный камень ПНР: Никогда не монтируйте радиосистему "на глаз"! Перед монтажом инженер ОБЯЗАТЕЛЬНО должен пройти по объекту с тестовым комплектом и замерить уровень сигнала (сделать радиопланирование). Если на складе стеллажи забьют металлическими банками, сигнал может пропасть, и система "ослепнет"!

5. Расключение и Кабели: За что бьет инспектор

В АПС нельзя использовать обычную витую пару (UTP) или ШВВП!

🔥 Скрытая деталь: Интеграция АПС со смежными системами
АПС — это "главнокомандующий" здания при пожаре. При сработке датчика система должна не только включить сирену, но и отработать жесткий алгоритм:
1. СКУД: Отправить сигнал на разблокировку всех магнитных замков и турникетов (аппаратно, через реле!).
2. Вентиляция: Отключить приточную вентиляцию (чтобы не подавать кислород огню).
3. Дымоудаление: Включить мощные вытяжные вентиляторы на крыше и открыть клапаны дымоудаления на этаже пожара.
4. Лифты: Опустить все лифты на первый этаж, открыть двери и заблокировать их (чтобы люди не сгорели в шахте).
Настройка этих сценариев (написание логики в PProg у Болида) — и есть главная и самая высокооплачиваемая работа инженера ПНР в пожарке.
🔥 Боевой пример: Строительная пыль
Вы смонтировали красивые белые датчики (ДИП) на потолок, а строители еще штробят стены и красят. Через день пульт начинает орать "ПОЖАР!". Оптическая камера датчика забилась строительной пылью, и он думает, что это дым.
Правило: До окончания ВСЕХ пыльных работ датчики должны висеть в заводских пластиковых колпачках (или замотанные в пакетики). Снимать их имеет право только инженер ПНР перед сдачей объекта!

Умный дом и BMS (Building Management System)

BMS — это мозг здания. Если SCADA чаще применяется на заводах, то BMS — это элитные ЖК, офисы А-класса и частные виллы.

1. Основные протоколы

2. Специфика ПНР (Софт ETS)

Всё оборудование KNX (от выключателей до реле) программируется через единый софт — ETS (Engineering Tool Software). Инженер создает групповые адреса (например, "Свет в гостиной") и связывает кнопку выключателя с каналом реле в щитке.

🔥 Боевой пример: Залипание реле от LED-ламп
Вы подключили красивую светодиодную люстру к дорогому реле KNX. Через неделю свет перестал выключаться. Причина: У LED-ламп (и их блоков питания) огромные пусковые токи. В момент включения ток может подскочить в 50-100 раз от номинала на долю секунды. Контакты внутри реле просто привариваются друг к другу (залипают).
Решение: Для LED-освещения всегда используйте специализированные реле с маркировкой "C-Load" (с усиленными контактами) или ставьте промежуточные контакторы (пускатели), чтобы сберечь дорогое оборудование умного дома.

Системы защиты периметра

Периметралка — это первый рубеж обороны (заборы заводов, аэропортов, коттеджных поселков).

1. Основные технологии

🔥 Боевой пример: Борьба с ложными срабатываниями
Главная боль периметралки — она орет на всё: на собак, на птиц, на сильный ветер, на проезжающий поезд. Если система дает 10 ложных тревог за ночь, охранник просто выключит звук и пойдет спать.
Подводный камень ПНР: Настройка чувствительности — это ювелирная работа. Для ИК-барьеров нужно настраивать время перекрытия луча (чтобы падающий лист не вызывал тревогу, а человек — вызывал). Для трибо-кабеля нужно в софте отсекать частоты, характерные для дождя и ветра, оставляя только паттерны "перекусывания металла" и "ударов".

Инструменты и Софт инженера (Чек-лист)

С чем инженер ПНР должен приезжать на объект.

1. Must-have Софт на ноутбуке

2. Аппаратный набор (Железо)

3. Софт на дежурной флешке инженера (Набор выживания)

На объектах часто нет интернета. Этот набор программ должен быть заранее скачан и лежать в архиве (на флешке или FTP-сервере):

Сетевые утилиты (Основа)

Видеонаблюдение (СВН)

ОПС, СКУД и БД

Аппаратная диагностика

Повседневные инструменты

Базовый SQL для инженера СКУД

Базы данных СКУД (Sigur, RusGuard) обычно крутятся на PostgreSQL или MS SQL. Умение залезть в базу напрямую спасает, когда интерфейс программы не позволяет сделать хитрую выгрузку.

1. Инструмент: DBeaver

Бесплатный и мощный клиент для подключения к любым базам данных. Вводите IP сервера, логин, пароль — и видите все таблицы СКУД.

🔥 Боевой пример: Поиск "мертвых душ"
HR просит: "Выгрузи мне всех сотрудников, которые не прикладывали пропуск к турникету больше 30 дней, мы их уволим". В интерфейсе СКУД такого отчета может не быть. Инженер пишет SQL-запрос:
SELECT name, department 
FROM employees 
WHERE id NOT IN (
    SELECT employee_id 
    FROM access_logs 
    WHERE event_date > CURRENT_DATE - INTERVAL '30 days'
);
(Перевод: Выбрать имена из таблицы сотрудников, чьих ID нет в таблице логов проходов за последние 30 дней).
🔥 Скрытая деталь: Бэкап через консоль
Если сервер на Linux, графического интерфейса нет. Бэкап базы PostgreSQL делается одной командой:
pg_dump -U postgres sigur_db > /backup/sigur_backup.sql
Настройте эту команду в планировщике cron, чтобы она выполнялась каждую ночь, и вы будете спать спокойно.

Типовые решения

Настройка VLAN

Настройка VLAN (Virtual Local Area Network) — это классический способ разделить один физический коммутатор на несколько логических, изолированных друг от друга сетей. Это позволяет отделить, например, тяжелый трафик видеонаблюдения от обычной офисной сети, повысить безопасность и уменьшить количество широковещательного мусора.

Давайте разберем настройку на типовом сценарии. Логика настройки 802.1Q VLAN абсолютно одинакова для Dahua, TP-Link, D-Link и других вендоров, могут лишь немного отличаться названия меню.

📋 Наш сценарий:

У нас есть 24-портовый L2-коммутатор. Мы хотим разделить трафик на два потока:


Важные понятия перед настройкой:

  1. Access порт (Untagged) — порт для конечных устройств (ПК, камеры). Устройство не знает ничего про VLAN. Коммутатор сам вешает ярлык (тег) на входящий трафик и снимает его при выходе.
  2. Trunk порт (Tagged) — порт для связи коммутаторов или роутеров. Трафик идет с «ярлыками» (тегами), чтобы принимающее устройство понимало, к какому VLAN относится каждый пакет.
  3. PVID (Port VLAN ID) — номер VLAN, который коммутатор присваивает любому входящему нетегированному трафику на конкретном порту.

Вариант 1: Настройка через Web-интерфейс (типично для Dahua / TP-Link)

В большинстве современных коммутаторов настройка сводится к трем шагам в разделе L2 Features -> VLAN -> 802.1Q VLAN:

Шаг 1. Создание VLAN

  1. Зайдите в меню 802.1Q VLAN.
  2. Нажмите Add (Добавить).
  3. Введите VLAN ID: 10, Name: Office.
  4. Введите VLAN ID: 20, Name: CCTV.

Шаг 2. Настройка портов (Tagged / Untagged)

Теперь нужно указать, какие порты принадлежат каким VLAN:

Шаг 3. Настройка PVID (Port VLAN ID)

Это критически важный шаг, про который часто забывают. Перейдите во вкладку VLAN Port Setup (или Port PVID):

Не забудьте нажать кнопку Save (Сохранить конфигурацию), иначе после перезагрузки настройки слетят!

Вариант 2: Настройка через CLI (типично для D-Link DGS / TP-Link JetStream / Cisco)

Если вы подключаетесь по SSH или консольному кабелю, настройка выглядит так (команды могут минимально отличаться в зависимости от синтаксиса конкретной прошивки):

# Переходим в режим конфигурации
enable
configure terminal

# Создаем VLAN 10 и 20
vlan 10
 name Office
 exit
vlan 20
 name CCTV
 exit

# Настраиваем порты для компьютеров (Access / Untagged)
interface range ethernet 1/0/1-4
 switchport mode access
 switchport access vlan 10
 exit

# Настраиваем порты для камер (Access / Untagged)
interface range ethernet 1/0/5-8
 switchport mode access
 switchport access vlan 20
 exit

# Настраиваем Uplink-порт до роутера (Trunk / Tagged)
interface ethernet 1/0/24
 switchport mode trunk
 switchport trunk allowed vlan 10,20
 exit

# Сохраняем конфигурацию
end
write memory

Итог: как это работает

  1. Камера на порту 5 отправляет видео. Пакет попадает в коммутатор без тега.
  2. Коммутатор видит, что у порта 5 стоит PVID 20. Он вешает на пакет невидимую бирку «VLAN 20».
  3. Пакет с этой биркой не может попасть на порты 1-4 (офис), так как они принадлежат VLAN 10. Трафик полностью изолирован.
  4. Пакет направляется в порт 24 (Trunk), так как там разрешен VLAN 20. Пакет уходит на роутер вместе с биркой «VLAN 20».
  5. Роутер (если на нем настроены соответствующие сабинтерфейсы) принимает этот пакет, понимает, что это от камер, и направляет его на видеорегистратор.

Частая ошибка: Один IP-диапазон на разные VLAN

Золотое правило сетей: 1 VLAN = 1 отдельная IP-подсеть.

Если вы разделили порты на разные VLAN, вы обязаны раздать устройствам в этих VLAN IP-адреса из разных подсетей. Если оставить всем устройствам IP-адреса из одной сети (например, 192.168.1.X), они не смогут общаться. Устройство будет отправлять широковещательный ARP-запрос в свой VLAN, но коммутатор не пропустит его в другой VLAN. Связи не будет.

Как делать ПРАВИЛЬНО:


Правильный порядок настройки (Алгоритм ПНР)

Если сначала воткнуть все камеры и компьютеры в свитч, а потом пытаться настраивать VLAN, сеть будет постоянно «отваливаться», а вы запутаетесь.

  1. Бумага (IP-план). Расписываем подсети и шлюзы для каждого VLAN.
  2. Настройка Роутера (Ядра). Создаем на роутере виртуальные интерфейсы (сабинтерфейсы) и назначаем им IP-адреса шлюзов.
  3. Настройка Коммутатора. Настраиваем VLAN на свитче, делаем порт до роутера Trunk-ом, а порты для устройств — Access-портами (как описано выше).
  4. Подключение устройств. Только теперь берем камеру, подключаем напрямую к ноутбуку, меняем ее IP и шлюз, и втыкаем в нужный порт коммутатора.

Настройка маршрутизации: "Роутер на палочке" (на примере MikroTik)

Чтобы устройства из разных VLAN могли общаться, им нужен маршрутизатор. Схема, когда роутер соединен с коммутатором одним кабелем, по которому бегают тегированные пакеты, называется «Роутер на палочке» (Router on a stick).

Допустим, коммутатор подключен во 2-й порт роутера (ether2).

Шаг 1. Создаем виртуальные интерфейсы (VLAN)

Идем в меню Interfaces -> вкладка VLAN. Добавляем:

Шаг 2. Назначаем IP-адреса (Шлюзы)

Идем в меню IP -> Addresses. Добавляем:

Шаг 3. Маршрутизация и Безопасность (Firewall)

Любой коммерческий роутер (MikroTik, Cisco, Keenetic) автоматически маршрутизирует трафик между всеми сетями, которые подключены к нему напрямую. Как только вы назначили IP-адреса, роутер сам добавил маршруты.

🔥 Изоляция сетей (Firewall)
По умолчанию роутер разрешает сетям общаться. Но суть VLAN — изолировать сети! Мы не хотим, чтобы бухгалтер зашел на веб-интерфейс камеры. Поэтому последним этапом идем в IP -> Firewall -> Filter Rules и создаем правила:
1. Разрешить (Accept) трафик из VLAN 10 в VLAN 20 только для IP-адреса сервера видеонаблюдения.
2. Запретить (Drop) весь остальной трафик из VLAN 10 в VLAN 20.

PoE-экстендеры (удлинители и разветвители)

PoE-экстендеры (удлинители/разветвители) спасают на объектах, когда забыли заложить кабель или заказчик внезапно просит «добавить вон там еще одну камеру», а тянуть новую трассу 80 метров через готовый ремонт невозможно.

Давайте разберем всю физику и логику этого устройства, чтобы понимать, где оно спасет, а где устроит катастрофу.

1. Как это устроено внутри? Почему регистратор видит 2 камеры?

Многие думают, что разветвитель — это какая-то хитрая магия, которая «склеивает» видеопотоки. На самом деле всё гораздо проще.

Активный PoE-разветвитель (на 1 вход и 2 выхода) — это просто крошечный, полноценный неуправляемый L2-коммутатор (свитч).
Его единственное отличие от обычного свитча в том, что у него нет вилки для розетки 220В. Он питается от приходящего PoE (технология PoE Passthrough — получение питания и передача его дальше).

Как данные ходят по сети:

  1. Внутри экстендера стоит чип коммутации. У него есть своя MAC-таблица.
  2. Камера №1 и Камера №2 имеют свои уникальные MAC-адреса и IP-адреса.
  3. Когда они шлют видео, экстендер просто пересылает их Ethernet-кадры в приходящий кабель (Uplink).
  4. Главный коммутатор в серверной видит, что на его порту (куда подключен экстендер) «висят» сразу два MAC-адреса. Для коммутатора это абсолютно нормальная ситуация.
  5. Регистратор (NVR) обращается к камерам по их IP-адресам. Ему вообще всё равно, сколько коммутаторов стоит между ним и камерой. Он отправляет запрос, главный свитч кидает его в нужный порт, экстендер читает MAC-адрес и отдает пакет в нужный порт нужной камере.

(Примечание: Существуют еще "пассивные штаны" — дешевые разветвители, которые ставятся с двух сторон кабеля и физически делят 8 жил витой пары на две группы по 4 жилы. Это устаревший и плохой метод, мы говорим именно про современные активные экстендеры).

2. Как НАДО делать (Правила выживания)

Если вы решили использовать PoE-экстендер, вы обязаны учитывать законы физики, а именно — бюджет мощности и падение напряжения.

3. Как НЕ НАДО делать (Частые ошибки монтажников)

❌ Гирлянда из экстендеров (Каскадирование)
Сценарий: Монтажник ставит экстендер через 100 метров, от него питает камеру и тянет кабель еще на 100 метров ко второму экстендеру, от него к третьему...
Почему нельзя: С каждым метром кабеля и каждым экстендером падает напряжение. На втором каскаде напряжение просядет так, что камера будет постоянно перезагружаться. Максимум, что можно сделать надежно — это 1 каскад (100м до экстендера + 100м до камеры), при условии, что главный свитч выдает честные 30 Вт (PoE+), а кабель идеального качества.
❌ Подключение PTZ-камер (Повороток)
Почему нельзя: Поворотная камера с моторами и мощным ИК-прожектором может потреблять 25-40 Вт в пике (при старте моторов). Никакой стандартный экстендер это не вытянет. Экстендеры — только для фиксированных камер (куполов и цилиндров).
❌ Установка экстендера на улице без гермокоробки
Почему нельзя: Большинство экстендеров имеют класс защиты IP20 (для помещений). Даже если на нем написано "Outdoor", контакты RJ-45 окислятся от влажности за один сезон. Экстендер всегда нужно прятать во влагозащищенную монтажную коробку (IP66) и использовать гермовводы.
❌ Использование экстендеров в системах СКУД
Почему нельзя: Иногда хитрые монтажники пытаются через PoE-экстендер запитать и камеру, и IP-контроллер СКУД. Контроллер управляет электромагнитным замком, который потребляет приличный ток. В момент открытия/закрытия замка происходит скачок потребления, просадка напряжения, и камера перезагружается. СКУД и Видео должны питаться раздельно!
Резюме для инженера:
PoE-экстендер — это отличный, легальный костыль. Он работает стабильно годами, если вы выполнили два условия: взяли хороший медный кабель и убедились, что порт главного коммутатора выдает 30 Ватт (PoE+).

Исполнительная документация (ИД)

Инженер ПНР — это не только провода и код. Это сдача объекта заказчику. Нет бумаги — нет денег.

Что входит в ИД:

🔥 Боевой пример: "Забытые пароли"
Вы сдали объект (100 камер), подписали акты, уехали. Через год заказчик хочет добавить еще один сервер. Он звонит вам: "А какой пароль от камер?". А вы ставили стандартный Admin123!, но заказчик попросил сменить на сложный, вы сменили и... никуда не записали. Сброс пароля на 100 камерах Hikvision — это платный выезд и неделя работы через техподдержку с отправкой XML-файлов. Правило: Паспорта систем, IP-адреса и пароли должны быть переданы заказчику под роспись в день сдачи объекта!