Справочник по сетям, СКУД, видеонаблюдению и диспетчеризации
Базовая сетевая Wiki инженера ПНР
1. Главные понятия: IP, MAC и Маска
Представьте, что сеть — это город.
IP-адрес (например, 192.168.1.50) — это почтовый адрес дома. Он может меняться, если устройство перенесли в другую сеть.
MAC-адрес (например, 00:1A:2B:3C:4D:5E) — это уникальный "VIN-номер" сетевой карты устройства, зашитый на заводе. Коммутаторы (свитчи) общаются именно по MAC-адресам.
Маска подсети (обычно 255.255.255.0) — это правило, которое определяет, какие "дома" находятся на вашей улице, а какие — в чужом городе.
2. Шлюз и DNS
Основной шлюз (Default Gateway): IP-адрес роутера (дверь из локальной сети в интернет). Обычно это первый адрес в сети (например, 192.168.1.1).
DNS-сервер: "Телефонная книга", переводящая имена в IP-адреса. Часто указывают DNS от Google: 8.8.8.8.
3. Золотое правило ПНР: Статика vs DHCP
Вся инфраструктура (Серверы, Камеры, Контроллеры СКУД, ПЛК, Коммутаторы) ВСЕГДА настраивается на СТАТИЧЕСКИЕ IP-адреса. По DHCP должны работать только ноутбуки инженеров и смартфоны.
4. Как "раскидывать" IP-адреса (IP-планирование)
Никогда не раздавайте адреса хаотично. В сети с маской 255.255.255.0 у вас есть 254 свободных адреса. Пример грамотного распределения:
На крупных объектах все устройства не пихают в одну сеть. Их разделяют на VLAN (Virtual Local Area Network). Представьте, что у вас один физический коммутатор на 24 порта. С помощью VLAN вы программно "пилите" его на три независимых коммутатора:
VLAN 10 (Порты 1-8): Сеть бухгалтерии (Интернет, принтеры).
VLAN 20 (Порты 9-16): Сеть видеонаблюдения (Камеры).
VLAN 30 (Порты 17-24): Сеть СКУД.
Зачем? Безопасность (бухгалтер не достучится до СКУД) и стабильность (трафик камер не "положит" офисную сеть).
🔥 Боевой пример: Засада с заводскими IP
Вы привезли на объект 20 новых камер Hikvision. Заводской IP у всех одинаковый — 192.168.1.64. Если монтажник воткнет их все в коммутатор разом, сеть "ляжет" от конфликта IP, и вы не сможете зайти ни на одну. Как правильно: Подключайте камеры по одной к своему ноутбуку, меняйте IP на проектный, клейте стикер с новым IP на камеру, и только потом отдавайте в монтаж. Либо используйте утилиты пакетной активации (SADP Tool / ConfigTool).
6. Инструментарий ПНР-щика (Командная строка)
ping 192.168.1.50 -t # Бесконечная проверка связи с устройством
ipconfig # Узнать IP-адрес своего ноутбука
arp -a # Показать таблицу IP и MAC-адресов в сети
7. Маршрутизация: Как подружить две разные подсети
Представьте ситуацию: у вас есть сервер СКУД в офисной сети 192.168.1.10 и контроллер двери в технической сети 192.168.2.50. Маска у обоих 255.255.255.0. Напрямую они друг друга не увидят никогда. Коммутатор (свитч) здесь не поможет — он работает только внутри одной подсети (на 2 уровне OSI).
Чтобы пакет из сети 1.X попал в сеть 2.X, нужен Маршрутизатор (Роутер) или L3-коммутатор. Процесс называется маршрутизацией.
Как это настроить (3 обязательных шага):
У роутера должно быть две "ноги" (интерфейса). Одна смотрит в сеть 1.X (например, имеет IP 192.168.1.1), вторая смотрит в сеть 2.X (имеет IP 192.168.2.1).
Настройка Шлюза на сервере СКУД: В настройках сетевой карты сервера (192.168.1.10) вы ОБЯЗАТЕЛЬНО должны прописать Основной шлюз (Default Gateway) — 192.168.1.1. Сервер рассуждает так: "Ага, мне нужно отправить пакет на 192.168.2.50. Это не моя улица. Значит, я отдам пакет Шлюзу, пусть он разбирается".
Настройка Шлюза на контроллере СКУД: В настройках контроллера (192.168.2.50) вы прописываете шлюз 192.168.2.1. Когда контроллер захочет ответить серверу, он тоже отдаст пакет своему шлюзу.
🔥 Боевой пример: Забытый шлюз на камере
Вы сидите с ноутбуком в сети 192.168.1.X. Пытаетесь пинговать камеру в сети 192.168.2.X. Пинга нет. Вы идете к камере, подключаетесь к ней напрямую проводом — камера работает, IP верный! В чем дело? Причина: Монтажник прописал камере IP 192.168.2.50 и маску, но поле "Шлюз" оставил пустым (или нулями). Ваш пинг от ноутбука через роутер ДОХОДИТ до камеры. Камера его принимает, формирует ответ (Pong), видит, что получатель (ваш ноутбук) находится в чужой сети, пытается отправить ответ на шлюз... а шлюз не прописан! Пакет уничтожается. Правило: Если устройства в разных подсетях, шлюзы должны быть прописаны у ВСЕХ участников обмена.
8. Железо: Коммутаторы L2, L3 и Маршрутизаторы
Чтобы пакеты ходили между сетями, нужно правильное железо. В чем разница?
L2-коммутатор (Свитч 2 уровня): Работает только с MAC-адресами. Это "тупой, но быстрый" грузчик внутри одного здания. Он не понимает IP-адресов и не может перекинуть данные из сети 1.X в сеть 2.X. (Примеры: простые D-Link, TP-Link, Eltex MES1000/2000).
Маршрутизатор (Роутер): Работает на 3 уровне OSI (с IP-адресами). Это умный "таможенник", который знает, где находятся другие сети, и пересылает пакеты между ними. (Примеры: MikroTik, Cisco ISR, Keenetic).
L3-коммутатор (Свитч 3 уровня): Это гибрид! Мощный многопортовый свитч, внутри которого аппаратно зашит роутер. Он нужен для крупных объектов, чтобы маршрутизировать трафик между десятками VLAN на огромной скорости без задержек. (Примеры: Eltex MES3000, Cisco Catalyst).
9. Как настроить маршрутизацию (Inter-VLAN routing)
Есть два классических способа подружить сети (например, VLAN 10 для СКУД и VLAN 20 для Видео):
"Роутер на палочке" (Router on a stick): У вас есть обычный L2-свитч и отдельный роутер (например, MikroTik). Вы соединяете их ОДНИМ кабелем. На свитче этот порт настраивается как Trunk (пропускает все VLAN). На роутере вы создаете виртуальные сабинтерфейсы (например, ether1.10 с IP 192.168.1.1 и ether1.20 с IP 192.168.2.1). Роутер принимает трафик из одного VLAN, "переваривает" его и отправляет обратно в другой VLAN по тому же кабелю.
Маршрутизация на L3-коммутаторе (SVI): Роутер вообще не нужен! Прямо в командной строке L3-свитча вы создаете виртуальные интерфейсы (SVI). interface vlan 10 -> ip address 192.168.1.1 255.255.255.0 interface vlan 20 -> ip address 192.168.2.1 255.255.255.0
Свитч сам начинает перекидывать пакеты между этими сетями со скоростью портов (Gigabit/10G).
🔥 Боевой пример: "Бутылочное горлышко" видеонаблюдения
На заводе 100 IP-камер (сеть 192.168.2.X) и сервер TRASSIR (сеть 192.168.1.X). Сисадмин настроил маршрутизацию через "Роутер на палочке" (MikroTik) по гигабитному линку. 100 камер генерируют поток 600 Мбит/с. Этот поток летит в роутер, роутер пыхтит (у него процессор загружен на 100%), маршрутизирует трафик и отправляет его обратно в свитч к серверу. Итог: Роутер "захлебывается", видео тормозит, сеть висит. Решение для ПНР: Тяжелый трафик (видео) между подсетями должен маршрутизироваться ТОЛЬКО ядром сети — мощным L3-коммутатором на аппаратном уровне (ASIC-чипами), а не программным роутером! Роутер оставьте только для выхода в интернет.
10. Архитектура для бедных: 30+ камер и СКУД при жестком бюджете
Что делать, если заказчик хочет 30-40 камер, СКУД на 5 дверей, но денег на умные L3-коммутаторы (Cisco, Eltex MES3000) нет, и бюджет позволяет купить только дешевые "неуправляемые" свитчи?
Трюк №1: Две сетевые карты в сервере (Физическое разделение)
Не пытайтесь маршрутизировать видео через дешевый офисный роутер! Вставьте в сервер видеонаблюдения (или ПК с TRASSIR) вторую сетевую карту.
Сетевая 1 (192.168.2.10): Смотрит в "грязную" сеть, где стоят только тупые PoE-свитчи и 30 камер. На этой сетевой карте НЕ прописывается шлюз. Камеры изолированы от интернета (их не взломают).
Сетевая 2 (192.168.1.10): Смотрит в корпоративную сеть со шлюзом и интернетом.
Итог: Сервер сам забирает тяжелое видео из грязной сети и отдает клиентам в чистую. Роутер отдыхает, L3-свитч не нужен!
Трюк №2: Магия Uplink-портов
Камере достаточно 5-8 Мбит/с. Поэтому порты, куда втыкаются камеры, могут быть старыми 100-мегабитными (Fast Ethernet). НО! Магистральный порт (Uplink), которым PoE-свитч соединяется с сервером или центральным коммутатором, ОБЯЗАТЕЛЬНО должен быть гигабитным (1000 Мбит/с). Если 30 камер по 8 Мбит/с (240 Мбит/с) попытаются пролезть в 100-мегабитный Uplink, половина камер просто "отвалится".
Трюк №3: Дробление PoE-бюджета
Один хороший коммутатор на 48 PoE-портов стоит космических денег. Если бюджет ограничен, купите один центральный гигабитный свитч (БЕЗ PoE) и 4 дешевых коммутатора по 8 PoE-портов. Соедините их "звездой". Это не только дешевле, но и надежнее: если сгорит блок питания у одного свитча, вы потеряете 8 камер, а не все 32.
🔥 Скрытая деталь: Тормоза СКУД из-за камер (Broadcast)
Контроллеры СКУД (Sigur, RusGuard, IronLogic) имеют очень слабые процессоры. Если вы от безысходности воткнете контроллер СКУД в один дешевый неуправляемый свитч вместе с 30 камерами, произойдет страшное. Камеры постоянно генерируют широковещательный мусор (ARP-запросы, мультикаст). Процессор контроллера СКУД будет пытаться обработать каждый этот пакет, загрузится на 100%, и турникет начнет открываться с задержкой в 2-3 секунды после поднесения карты. Правило: Никогда не мешайте СКУД и Видео в одном физическом сегменте на неуправляемом железе! Либо VLAN, либо физически разные свитчи.
11. Топология и порты: Как правильно соединять PoE-коммутаторы
Когда камер много (30-50+), а бюджет ограничен, нельзя просто соединять свитчи гирляндой (один за другим). Это приведет к катастрофе.
Топология "Звезда" (Единственно верная):
Покупается один центральный Ядерный коммутатор (Core Switch). Он может быть БЕЗ PoE, но обязан быть гигабитным на всех портах (1000 Мбит/с) и иметь высокую пропускную способность матрицы (Switching Capacity, от 32 Гбит/с). К нему подключается сервер видеонаблюдения.
Далее, от этого центрального свитча лучами расходятся кабели (Uplink) к этажным PoE-коммутаторам (Access Switches).
Правило Uplink-портов (Комбо-порты):
На дешевых PoE-коммутаторах (например, 8 PoE портов 100 Мбит/с + 2 Uplink порта 1000 Мбит/с) порты Uplink часто бывают "комбинированными" (Combo). Это значит, что там есть и медный RJ-45, и слот под оптику (SFP). Внимание: Они работают по принципу "или-или". Если вы воткнули оптику в SFP-порт №9, медный порт №9 отключится. Не пытайтесь воткнуть два кабеля в комбо-порты с одним номером!
Каскадирование (Гирлянда) — Зло:
Если вы соедините 4 коммутатора по 8 камер цепочкой (Свитч 1 -> Свитч 2 -> Свитч 3 -> Свитч 4 -> Сервер), то через Uplink-порт первого свитча пойдет трафик только его 8 камер (64 Мбит/с). А вот через Uplink-порт четвертого свитча (перед сервером) пойдет трафик ВСЕХ 32 камер (256 Мбит/с). Если порты 100-мегабитные, сеть "захлебнется" уже на втором свитче. Если гигабитные — выживет, но если сгорит Свитч 2, отвалятся и Свитч 1, и Свитч 2.
🔥 Боевой пример: PoE-бюджет и порты Hi-PoE (Ultra PoE)
Вы купили поворотную PTZ-камеру (Speed Dome) с дворником и мощным ИК-прожектором на 150 метров. В характеристиках написано: "Потребление 40 Вт". Вы втыкаете её в обычный PoE-порт коммутатора, а она не крутится или постоянно перезагружается. Причина: Стандартный порт PoE (802.3af) выдает максимум 15.4 Вт. Улучшенный порт PoE+ (802.3at) выдает 30 Вт. Вашей камере нужно 40 Вт! Решение: Ищите на коммутаторе порты, выделенные красным или оранжевым цветом (обычно это порты №1 и №2). Это порты Hi-PoE (802.3bt), они могут выдавать до 60-90 Вт. Если таких портов нет, придется покупать отдельный PoE-инжектор на 60 Вт и ставить его в разрыв кабеля перед камерой.
12. Памятка: Стандарты IP-адресации (на примере /24)
Базовое правило: Оргтехника и сетевое железо всегда на статике до пула DHCP.
VLAN 30 (IP-телефония):10.10.30.0/24 (шлюз .1, телефоны из DHCP)
VLAN 99 (Гостевой Wi-Fi):10.10.99.0/24 (шлюз .1, гости из DHCP)
13. Логика нумерации VLAN (Почему 10, 20, 30?)
Да, вы можете использовать абсолютно любые числа от 2 до 4094. Названия 10, 20, 30 используются исключительно для удобства, масштабируемости и порядка.
1. Технические ограничения (Что можно, а что нельзя)
VLAN ID — это число, которое "вшивается" в каждый пакет данных (согласно стандарту 802.1Q). На это выделено ровно 12 бит памяти, поэтому максимальное количество VLAN'ов ограничено математически: от 1 до 4094.
VLAN 1:Использовать крайне не рекомендуется. Это дефолтный VLAN на всех коммутаторах "из коробки" (Native VLAN). В нем обычно бегает служебный трафик коммутаторов. Из соображений безопасности (чтобы кто-то не воткнулся в пустой порт и не попал в главную сеть), пользовательский трафик оттуда убирают.
VLAN 1002 — 1005:Исторически зарезервированы. В старом оборудовании Cisco они зарезервированы для древних сетей (Token Ring, FDDI). Их просто нельзя использовать.
VLAN 0 и 4095: Зарезервированы для системных нужд протокола, вы их даже не сможете создать.
Итого: В вашем распоряжении любые числа от 2 до 1001 и от 1006 до 4094.
2. Почему используют 10, 20, 30? (Правило "Шаг в 10")
Это золотой стандарт (best practice), который пришел от крупных интеграторов. Причина одна: Оставить пространство для маневра.
Представьте, что вы назвали сети подряд: VLAN 2, VLAN 3, VLAN 4.
VLAN 2 — Офис.
VLAN 3 — Видеонаблюдение.
Проходит год. Офис разрастается, и заказчик просит разделить бухгалтерию и менеджеров в разные изолированные сети. Если у вас занята "двойка" и "тройка", вам придется давать бухгалтерии VLAN 5. Логика рушится, начинается хаос.
Если вы используете шаг 10:
VLAN 10 — Офис (Общий)
VLAN 20 — Видеонаблюдение
VLAN 30 — Телефония
Заказчик просит разделить офис? Легко! Вы берете числа "внутри десятка":
VLAN 11 — Офис (Бухгалтерия)
VLAN 12 — Офис (Менеджеры)
VLAN 13 — Офис (Руководство)
Логика сохраняется: любой инженер видит, что VLAN'ы, начинающиеся на единичку (10-19), — это "офисные люди", на двойку (20-29) — "камеры", на тройку (30-39) — "телефоны".
3. Правило "Корпоративного стандарта"
У многих компаний-интеграторов есть жесткий внутренний стандарт, который применяется вообще ко всем объектам. Например, инженер приезжает на абсолютно новый, незнакомый ему объект, видит кабель, втыкает ноутбук и получает IP-адрес 10.0.50.15. Он сразу понимает: "Ага, третья цифра 50, значит это VLAN 50. По нашему внутреннему стандарту VLAN 50 — это СКУД. Значит, я подключился к розетке охранника".
Типовой корпоративный стандарт выглядит примерно так:
VLAN 90-99: Гостевые сети (Guest Wi-Fi, изолированные от всего)
VLAN 100+: Управление самим железом (Management VLAN — IP адреса самих коммутаторов)
Вы можете придумать абсолютно любые цифры (хоть 33, 44 и 77). Главное — придерживаться этой логики на всех своих объектах. Тогда ваша команда будет понимать инфраструктуру с закрытыми глазами!
Архитектура СКУД и инженерная база
СКУД — это не просто "приложил карточку — дверь открылась". Это сложный комплекс, где цена ошибки — заблокированные при пожаре люди или сгоревшие контроллеры.
1. Золотое правило контроллера (Офлайн-режим)
Любая современная сетевая СКУД состоит из трех уровней: Считыватели, Контроллеры и Сервер. Главное правило: Контроллер должен принимать решение об открытии двери САМ, без связи с сервером. Сервер нужен только для заливки в контроллер базы ключей и сбора логов. Если сеть упадет, дверь должна работать.
🔥 Боевой пример: Сгоревшее реле и шунтирующий диод
Монтажник подключает мощный электромагнитный замок напрямую к реле контроллера СКУД. Через 2 месяца контроллер умирает. Причина: Электромагнит — это катушка индуктивности. Когда реле отключает питание замка, возникает ЭДС самоиндукции (обратный скачок напряжения до сотен вольт), которая пробивает контакты реле. Решение: ВСЕГДА ставьте шунтирующий диод (например, 1N4007) параллельно контактам замка в обратной полярности! Он "гасит" этот скачок. У нормальных брендов (Sigur) диоды идут в комплекте в пакетике.
2. Протоколы считывателей: Wiegand vs OSDP
Wiegand: Старый стандарт де-факто. Односторонняя связь (считыватель только шлет данные), данные не шифруются, легко перехватить.
OSDP: Современный стандарт (работает поверх RS-485). Двусторонняя связь, шифрование AES-128, сервер видит, если считыватель оторвали от стены.
🔥 Скрытая деталь: Чудеса с длиной Wiegand
Максимальная длина линии Wiegand от считывателя до контроллера по обычной неэкранированной витой паре — около 15-20 метров (хотя в теории пишут до 100м). Если прокинуть 50 метров, начнутся чудеса: человек прикладывает карту, считыватель пищит, а контроллер пишет в лог "Неизвестный формат карты". Это происходит из-за наводок и затухания сигнала. Решение: Если считыватель далеко, переводите его на протокол OSDP (RS-485 бьет на 1200 метров) или ставьте контроллер ближе к двери.
3. Идентификаторы: Почему EM-Marine должен умереть
Эра простых белых карточек EM-Marine (125 кГц) прошла. Их можно скопировать в любом ларьке за 100 рублей. Если вы ставите EM-Marine на завод — СКУД там просто для галочки.
Mifare Classic (13.56 МГц): Популярны, но их криптозащита (Crypto1) давно взломана. Копируются чуть сложнее, но всё равно копируются.
Mifare Plus / DESFire: Современный стандарт. Память карты шифруется алгоритмом AES. Нюанс ПНР: Чтобы они работали безопасно, инженер должен перевести карты из заводского режима (SL1) в защищенный режим (SL3) с помощью мастер-карты и крипто-считывателя. Без этого они копируются так же легко, как Classic.
Биометрия и Смартфоны (BLE/NFC): Абсолютный тренд. Лицо скопировать нельзя, а телефон всегда с собой.
4. Эмиссия: Как программировать защищенные карты (Mifare Plus)
Просто купить дорогие карты Mifare Plus недостаточно. С завода они работают в режиме "SL1" (читается только открытый серийный номер UID, как у дешевых EM-Marine, и они так же легко копируются). Чтобы включить шифрование AES-128 (режим "SL3"), карты и считыватели нужно "познакомить" — этот процесс называется Эмиссией.
Что нужно для настройки:
Настольный USB-считыватель: Подключается к ПК инженера или кадровика (например, Sigur MR100 USB, Z-2 USB MF, ACR1281U).
Настенные считыватели: Поддерживающие шифрование Mifare (например, Sigur MR100, RusGuard).
Чистые карты Mifare Plus (с памятью 2K или 4K).
Процесс программирования (Шаги ПНР):
Генерация ключей: В ПО СКУД (например, Sigur) вы нажимаете "Сгенерировать крипто-ключи объекта". Программа создает уникальный пароль для вашего здания.
Прошивка настенных считывателей: Считыватели на стенах нужно научить понимать этот пароль. Есть два пути:
Путь А (Старый): Вы берете чистую карту, кладете на USB-считыватель и делаете из нее "Мастер-карту". Затем идете ногами по объекту и прикладываете эту Мастер-карту к каждому настенному считывателю. Он "съедает" ключ, радостно пищит и перезагружается.
Путь Б (Современный - OSDP): Если считыватели подключены к контроллеру по цифровой шине RS-485 (OSDP), вы просто нажимаете кнопку в ПО, и ключи заливаются во все считыватели по сети автоматически!
Прошивка карт сотрудников: Кадровик кладет чистую карту на USB-считыватель. ПО записывает в защищенный сектор памяти карты крипто-ключ и переводит её в режим SL3. Теперь карту невозможно скопировать.
🔥 Скрытая деталь: Потеря крипто-ключей (Фатально)
Если вы настроили шифрование Mifare, а потом у вас "умер" жесткий диск на сервере и нет бэкапа базы данных — это катастрофа. Вы потеряли крипто-ключи. Настенные считыватели и карты сотрудников навсегда останутся зашифрованными этим ключом. Вы не сможете их перепрограммировать, прочитать или сбросить на заводские настройки (они превратятся в кирпичи). Правило: Сделали эмиссию — немедленно сделайте бэкап БД СКУД и сохраните его на флешку в сейф!
Если подключаем по Wiegand: Зеленый (D0), Белый (D1).
Если подключаем по OSDP (RS-485): Желтый (A / TRX+), Синий (B / TRX-). (Цвета A и B могут отличаться у разных брендов, всегда смотрите паспорт!)
Управление (Индикация): Коричневый (Красный светодиод), Оранжевый (Зеленый светодиод), Желтый (Зуммер/Пищалка) — эти провода используются только при Wiegand. В OSDP индикация управляется по тем же двум проводам данных (A и B).
5. Замки и Пожарная безопасность (NO vs NC)
Замки делятся на два типа по поведению при отключении электричества:
NO (Normally Open / Нормально открытые): Нет тока — дверь открыта. Это электромагнитные замки.
NC (Normally Closed / Нормально закрытые): Нет тока — дверь заперта. Это электромеханические защелки.
🔥 Боевой пример: Аппаратная разблокировка при пожаре
По ГОСТу пути эвакуации должны оборудоваться замками типа NO (магнитами). При срабатывании пожарной сигнализации (АПС) двери должны открыться. Фатальная ошибка: Интегрировать СКУД и АПС только по сети (софтово). Если при пожаре сгорит свитч или зависнет сервер, люди сгорят. Решение: Пожарная сигнализация должна рвать ПИТАНИЕ замков аппаратно (через "сухой контакт" реле пожарного прибора), независимо от того, что там думает контроллер СКУД!
Сравнение логики: Sigur vs TRASSIR
Главное, что нужно понимать инженеру: TRASSIR идет от видео и нейросетей, а Sigur идет от бизнес-логики и IT-инфраструктуры.
TRASSIR: Магия видеоаналитики и Python
Вся гибкость Трассира кроется в мощнейших модулях нейроаналитики и встроенном интерпретаторе Python. Сервером СКУД выступает сам видеосервер.
Умная стройка: Камера распознает лицо, но турникет не откроется, пока модуль аналитики не подтвердит, что на человеке надета каска и сигнальный жилет.
Двойная верификация авто: Камера читает номер авто, вторая камера распознает лицо водителя. Шлагбаум откроется только при совпадении пары "Машина + Водитель".
🔥 Боевой пример: Ловушка Antipassback (Запрет повторного прохода)
Вы настроили строгий Antipassback. Директор заходит на завод, но турникет был открыт, и он прошел "паровозиком" за сотрудником, не приложив карту. Вечером директор пытается выйти, прикладывает карту, а турникет пишет: "Ошибка: Нет входа" (система думает, что он еще на улице). Директор в бешенстве. Решение: Для ТОП-менеджмента всегда настраивайте "Мягкий Antipassback" (система пускает, но пишет нарушение в лог) или ставьте галочку "Игнорировать правила зональности".
Sigur: Бог корпоративной логики и интеграций
Sigur — это конструктор для IT-директора и HR. Его гибкость в том, что он «из коробки» умеет общаться с огромным количеством стороннего софта.
Абсолютный контроль: СКУД + Алкотестер + 1С. При наличии алкоголя в выдохе турникет блокируется, а в 1С:ЗУП автоматически ставится прогул.
Полный HR-автоматизм: Интеграция с Active Directory. HR принимает человека на работу, Sigur сам создает пропуск и назначает права доступа. При увольнении пропуск блокируется в ту же секунду.
Идеальный симбиоз: Логика доступов и турникеты строятся на контроллерах Sigur, а видеонаблюдение и распознавание лиц — на серверах TRASSIR. Системы интегрируются друг с другом по сети.
SCADA: Системы диспетчеризации
SCADA (Supervisory Control And Data Acquisition) — это «Режим Бога» для инженера. Система собирает данные со всех инженерных систем (вентиляция, электроснабжение, котельные) и выводит их на экран диспетчера.
Архитектура SCADA
Нижний уровень (Полевой): Датчики температуры, давления, реле, задвижки.
Средний уровень (ПЛК): Программируемые логические контроллеры (Овен, Wiren Board). Собирают сигналы и управляют клапанами.
Верхний уровень (SCADA-сервер): Софт, опрашивающий ПЛК по протоколам Modbus RTU/TCP или OPC UA.
🔥 Боевой пример: Убийство шины RS-485 (Modbus RTU)
Монтажники часто тянут кабель RS-485 от датчиков к ПЛК "звездой" (от каждого датчика свой кабель в одну точку). Это фатальная ошибка! RS-485 работает ТОЛЬКО по топологии "Шина" (гирлянда: от устройства к устройству). При "звезде" возникают отражения сигнала, и датчики начинают хаотично отваливаться. И не забывайте ставить согласующие резисторы (терминаторы 120 Ом) на первом и последнем устройстве в линии!
Лидеры рынка РФ
MasterSCADA: Абсолютный монополист. Применяется от котельных до ТЭЦ. Программируется на языках МЭК (ST, FBD) или C#.
Simple-Scada: Быстрорастущая, современная SCADA с красивым интерфейсом (DirectX/OpenGL). Скрипты на Pascal/Delphi.
Trace Mode: Ветеран рынка, невероятно надежная система для тяжелой промышленности и металлургии.
iRidium pro: Платформа для BMS (Умных зданий). Идеально для элитных ЖК и офисов. Скрипты на JavaScript.
Суть ПНР в SCADA: Если в СКУД вы оперируете понятиями «Сотрудник» и «Дверь», то в SCADA вы оперируете «Тегами» (переменными) — регистрами в памяти контроллера, которые нужно привязать к графическим элементам на экране (мнемосхеме).
Экосистема Eltex
Eltex идет от «сетевой инфраструктуры». Это крупнейший российский производитель телекоммуникационного оборудования, который строит свою экосистему «Умное здание».
Суперсила Eltex: Моновендорность
С Eltex можно построить всю IT-инфраструктуру здания на одном бренде:
Ядро сети и коммутаторы доступа
Wi-Fi по всему зданию
IP-телефония
SIP-домофоны и СКУД
IP-камеры
Специфика для инженера ПНР
Чтобы работать с Eltex, нужно стать сетевым инженером (Network Engineer). Вы должны уметь работать в командной строке (CLI) коммутаторов, настраивать VLAN, транки, маршрутизацию, PoE-бюджеты и QoS.
Нюанс по СКУД: СКУД для Eltex — молодое направление. Для базовых задач (ЖК, апарт-отели) их SIP-домофоны идеальны. Но для сложной корпоративной логики (хитрые графики, алкотестирование) Sigur пока значительно гибче.
С чего начать погружение в ПНР?
Шаг 1. Подтянуть IT-базу
Сети: IP-адресация, маски, шлюзы, VLAN.
Базы данных: Основы SQL (SELECT, UPDATE, INSERT) для работы с БД СКУД.
ОС: Базовое администрирование Windows Server и основы командной строки Linux.
Шаг 2. Развернуть виртуальные стенды (Бесплатно)
Вендоры дают возможность тренироваться бесплатно:
Sigur: Скачайте серверное ПО, включите режим эмуляции контроллеров и создайте виртуальную проходную.
TRASSIR: Скачайте демо-версию, подключите веб-камеру или RTSP-поток со смартфона, настройте аналитику.
Шаг 3. Собрать "настольный стенд"
Купите б/у IP-контроллер (Sigur E500 или Z-5R Web), считыватель Mifare, несколько карточек и блок питания. Задача: обжать витую пару, подключить всё на столе и добиться, чтобы при прикладывании карты реле щелкало.
Шаг 4. Программирование (Уровень PRO)
Выучите основы Python. Напишите скрипт в TRASSIR для отправки уведомлений в Telegram или скрипт для добавления сотрудников в Sigur через их API.
Практические советы и частые "грабли" ПНР
В полях голая теория часто разбивается о суровую реальность. Вот топ-5 практических сетевых проблем, с которыми вы столкнетесь на объектах.
1. Ловушка PoE-бюджета (Power over Ethernet)
Часто монтажники покупают 24-портовый PoE-коммутатор и думают, что в него можно воткнуть 24 камеры. Но если суммарная мощность камер (особенно ночью, когда включается ИК-подсветка) превысит бюджет коммутатора, он начнет хаотично отключать порты.
Пример: У вас коммутатор с бюджетом PoE 120 Вт. Вы подключаете 24 камеры. Каждая потребляет 7 Вт (ночью с ИК-подсветкой). 24 * 7 = 168 Вт.
Итог: Коммутатору не хватает мощности. Ночью часть камер будет просто отключаться и перезагружаться.
Правило: Всегда считайте суммарное потребление устройств (ватты) перед покупкой железа! Оставляйте запас в 15-20%.
2. Сетевые петли (Broadcast Storm)
Самый страшный сон сисадмина. Классика жанра: монтажник случайно воткнул оба конца одного патч-корда в один коммутатор (или соединил два коммутатора двумя кабелями без настройки агрегации).
Симптомы: Пакеты начинают бесконечно летать по кругу, размножаясь с огромной скоростью. Вся сеть предприятия "ложится" за секунду. Лампочки на коммутаторах начинают бешено мигать всеми портами одновременно. Пинги пропадают. Решение: Ищите петлю и выдергивайте кабель. На всех управляемых коммутаторах (Eltex, Cisco, Mikrotik) первым делом ОБЯЗАТЕЛЬНО включайте протокол STP / RSTP (Spanning Tree Protocol). Он сам найдет петлю и программно заблокирует лишний порт, спасая сеть от падения.
3. Физика витой пары
Правило 100 метров: По стандарту Ethernet максимальная длина кабеля от коммутатора до камеры — 100 метров. На 105 метрах камера может работать днем, но отваливаться ночью (из-за просадки напряжения PoE при включении ИК-подсветки). Если нужно дальше — ставьте PoE-экстендеры (удлинители) или оптику.
Обжимка: Всегда обжимайте коннекторы RJ-45 по стандарту T568B (Бело-оранжевый, Оранжевый, Бело-зеленый, Синий, Бело-синий, Зеленый, Бело-коричневый, Коричневый). Если перепутать пары местами, линк может подняться, но скорость упадет до 10 Мбит/с, и видео будет жутко тормозить (возникнут коллизии на физическом уровне).
4. Удаленный доступ (Как выпустить систему в мир)
Заказчик всегда хочет смотреть камеры или СКУД с телефона из дома. Есть 3 пути:
P2P (Облако): Самый простой. Включаете галочку P2P в регистраторе, сканируете QR-код телефоном. Минусы: работает через чужие серверы (часто китайские), может тормозить, небезопасно для крупных объектов.
Белый IP + Проброс портов (Port Forwarding): Провайдер дает статический (белый) IP-адрес роутеру. Вы на роутере настраиваете правило: "Всех, кто стучится снаружи на порт 8000, перенаправлять на внутренний IP камеры 192.168.1.50".
VPN (Высший пилотаж): На роутере (например, Mikrotik или Keenetic) поднимается VPN-сервер (WireGuard или OpenVPN). Заказчик включает VPN на телефоне и оказывается как бы внутри локальной сети офиса. Это самый безопасный и профессиональный метод.
5. Алгоритм траблшутинга: "Камера не в сети"
Если устройство не пингуется, не спешите его менять. Идите по шагам (модель OSI снизу вверх):
Физика: Горит ли лампочка (линк) на порту коммутатора? Если нет — проблема в кабеле, коннекторе или питании. Переобожмите кабель.
Канал (MAC): Напишите в консоли arp -a. Виден ли MAC-адрес камеры? Если MAC виден, а пинга нет — значит, у вас на ноутбуке и на камере настроены разные подсети (разные маски).
Сеть (IP): Нет ли конфликта IP-адресов? Попробуйте отключить камеру от сети (выдернуть кабель) и запустить ping на её адрес. Если пинг всё равно идет — значит, этот IP уже занят кем-то другим в сети (например, чьим-то смартфоном)!
Интеграции по API: Как системы общаются друг с другом
Времена, когда системы связывали "сухими контактами" (проводками), прошли. Сейчас СКУД, 1С и Видеонаблюдение общаются по сети через API (Application Programming Interface).
1. Что такое REST API?
Это набор правил, по которым одна программа может попросить другую что-то сделать по протоколу HTTP (как в браузере).
GET-запрос: "Дай мне информацию". (Например, 1С запрашивает у Sigur список всех проходов Иванова за месяц).
POST-запрос: "Создай/Измени данные". (Например, HR добавляет Иванова в 1С, и 1С отправляет POST-запрос в Sigur, чтобы тот создал Иванову пропуск).
2. Форматы данных: JSON и XML
Чтобы программы понимали друг друга, данные передаются в структурированном текстовом виде. Сегодня стандартом является JSON.
🔥 Боевой пример: Тормоза 1С и "Синхронные" запросы
Худшее, что можно сделать — настроить СКУД так, чтобы при поднесении карты контроллер отправлял запрос в 1С: "Можно пустить?", и ждал ответа. 1С — система медленная. Человек приложит карту и будет стоять перед закрытым турникетом 3-5 секунд, собирая пробку на проходной. Решение (Асинхронность): 1С должна раз в час выгружать списки доступов в базу Sigur. Контроллер Sigur принимает решение локально за 0.1 секунды, а уже потом, в фоновом режиме, отправляет лог прохода обратно в 1С для учета рабочего времени.
3. Инструменты ПНР-щика (Postman)
Если интеграция СКУД и 1С не работает, инженер не должен гадать. Он открывает программу Postman, вбивает туда IP-адрес сервера СКУД, формирует тестовый JSON-запрос и смотрит, какой ответ (HTTP Status Code) вернет сервер:
200 OK: Всё отлично, запрос принят.
401 Unauthorized: Ошибка логина/пароля (или токена) API.
400 Bad Request: Вы отправили кривой JSON (например, забыли запятую).
Протоколы видеонаблюдения: ONVIF vs RTSP
Главная проблема видеонаблюдения — "зоопарк" брендов. Как заставить камеру Dahua работать с сервером TRASSIR или регистратором Hikvision? Для этого есть два универсальных языка.
1. RTSP (Real-Time Streaming Protocol)
Это "тупая труба", по которой льется только видео и звук. Больше ничего.
Плюсы: Поддерживается вообще всеми IP-камерами в мире (даже самыми дешевыми с AliExpress).
Минусы: Сервер не может управлять камерой. Он не может изменить её IP, не может покрутить объектив (PTZ), не может получить от камеры сигнал "Я увидела движение". Серверу приходится самому анализировать каждый кадр, что сильно грузит процессор.
Пример ссылки:rtsp://admin:12345@192.168.1.50:554/stream1 (Эту ссылку можно открыть даже в плеере VLC на компьютере).
🔥 Боевой пример: Рассыпание картинки (I-Frame и Битрейт)
Заказчик жалуется: "Когда человек идет, за ним тянется шлейф из квадратиков (артефактов)". Это не камера плохая, это кривая настройка кодека H.265. Решение: Проверьте параметр Опорный кадр (I-Frame Interval). Он должен быть равен частоте кадров (FPS) или в 2 раза больше. Если FPS=25, I-Frame должен быть 25 или 50. Если поставить 100 — картинка будет "рассыпаться" при малейшем движении.
2. ONVIF (Open Network Video Interface Forum)
Это "умный" стандарт общения. Если камера и сервер поддерживают ONVIF, они становятся лучшими друзьями.
Сервер может сам найти камеру в сети.
Сервер может менять настройки камеры (яркость, битрейт).
Главное: Камера сама детектирует движение и присылает серверу легкое текстовое уведомление ("Тут кто-то ходит!"), а сервер уже включает запись. Это экономит 80% мощности сервера.
🔥 Скрытая деталь: Рассинхрон времени (NTP)
Вы подключаете новую камеру по ONVIF к серверу, вводите верный пароль, а сервер пишет "Ошибка авторизации". Почему? Потому что на камере стоит 1970 год, а на сервере 2026. Протокол безопасности ONVIF (WS-Security) отклоняет запросы со старыми метками времени, считая их хакерской атакой (Replay Attack). Правило: Первым делом настраивайте NTP-сервер на всех камерах!
Частая "грабля" ПНР: Вы подключаете камеру по ONVIF, видео нет, выдает ошибку пароля. Секрет: У многих современных камер (особенно Hikvision) по умолчанию ONVIF отключен! Нужно зайти в веб-интерфейс камеры, включить ONVIF и создать отдельного пользователя для ONVIF (он может отличаться от пароля для входа в веб-интерфейс).
Основы Linux для инженера ПНР
Современные серверы СКУД (Sigur, RusGuard) и Видеонаблюдения (TRASSIR OS, Macroscop) всё чаще ставятся на Linux (Debian, Ubuntu). Забудьте про мышку — добро пожаловать в консоль.
Топ-5 команд для выживания на объекте:
1. Узнать IP-адрес сервера:
ip a
(Аналог ipconfig в Windows. Ищите строчки, начинающиеся с inet, например inet 192.168.1.10).
2. Проверить, работает ли служба (серверный модуль):
systemctl status sigur-server
(Покажет, запущен ли сервер СКУД. Если упал — напишет причину красным цветом. Для перезапуска используйте systemctl restart sigur-server).
3. Чтение логов в реальном времени (Магия ПНР):
tail -f /var/log/syslog
(Команда tail -f выводит последние строки файла и обновляет экран в реальном времени. Вы прикладываете карточку к считывателю и сразу видите в консоли, как сервер её обрабатывает).
4. Проверка нагрузки (Почему всё тормозит?):
htop
(Красивый диспетчер задач. Показывает загрузку процессора, оперативной памяти и список самых тяжелых процессов. Выход — клавиша F10 или Q).
5. Редактирование сетевых настроек:
nano /etc/network/interfaces
(Открывает простой текстовый редактор прямо в консоли. Используется для изменения IP-адреса сервера со статики на DHCP или наоборот. Сохранить — Ctrl+O, Выйти — Ctrl+X).
Лайфхак: В Linux можно нажимать клавишу Tab для автодополнения команд и путей к файлам. Не пишите длинные пути руками, напишите первые 3 буквы и нажмите Tab!
АПС и СОУЭ: Пожарная безопасность
АПС (Автоматическая пожарная сигнализация) и СОУЭ (Система оповещения и управления эвакуацией) — это самые строгие системы в слаботочке. Здесь нельзя "колхозить", всё жестко регламентировано ГОСТами и Сводами Правил (СП 484, СП 3). За ошибку здесь можно сесть в тюрьму.
1. Виды пожарной сигнализации
Пороговая (Неадресная): Дешевая классика. Датчики (извещатели) висят на одном проводе (шлейфе). Если один датчик сработал, прибор показывает "Пожар в Шлейфе №1". Вы не знаете, какой именно датчик сработал, знаете только зону (например, весь коридор). В конце шлейфа ОБЯЗАТЕЛЬНО ставится оконечный резистор (например, 4.7 кОм), чтобы прибор понимал, что провод не оборван.
Адресно-аналоговая: Современный стандарт. Прибор общается с каждым датчиком индивидуально. Датчик передает точное значение задымленности или температуры, а прибор сам решает, пожар это или просто пыль. Вы точно знаете: "Пожар, кабинет 305, датчик №14".
2. Виды СОУЭ (Оповещение)
Делятся на 5 типов в зависимости от сложности здания:
Тип 1 и 2: Звуковое (сирены "Иволга") и световое (табло "ВЫХОД").
Тип 3, 4 и 5: Речевое оповещение (динамики на потолке, которые приятным женским голосом говорят: "Внимание! Пожарная тревога! Просьба покинуть помещение"). Строится на усилителях (например, Тромбон, Roxton, Inter-M).
3. Главные бренды на рынке РФ
Болид (ИСО "Орион"): Абсолютный монополист. Стоит в 80% зданий РФ. Дешево, сердито, надежно. Боль ПНР-щика: программируется через жутко архаичные утилиты UProg (настройка приборов) и PProg (настройка пульта С2000М). Связь между приборами идет по интерфейсу RS-485.
Рубеж: Главный конкурент Болида. Считается более современным в плане адресных линий. Программируется через софт FireSec.
Аргус-Спектр (Стрелец-ПРО): Короли беспроводных систем. Датчики работают по радиоканалу, батареек хватает на 10 лет. Идеально для музеев, исторических зданий или объектов, где уже сделан чистовой ремонт и нельзя штробить стены.
🔥 Боевой пример: КЗ в адресной линии (ДПЛС)
В адресно-аналоговой системе Болид (контроллер С2000-КДЛ) датчики висят на двухпроводной линии связи (ДПЛС). Монтажник случайно перебил кабель стремянкой и сделал Короткое Замыкание (КЗ). Если линия проложена "лучом", отвалятся ВСЕ датчики после места обрыва. Решение (Подводный камень): Адресные линии нужно кольцевать (Топология "Кольцо") и ОБЯЗАТЕЛЬНО ставить БРИЗы (Блоки разветвительно-изолирующие). При КЗ БРИЗы отсекут поврежденный участок с двух сторон, а остальное кольцо продолжит работать, получая питание с двух концов!
4. Беспроводные системы АПС (Радиоканал)
Когда тянуть кабель невозможно или слишком дорого (например, в Эрмитаже или в офисе с готовым дорогим ремонтом), на сцену выходят беспроводные системы. Флагман в РФ — «Стрелец-ПРО» от Аргус-Спектр.
Плюсы: Скорость монтажа (прикрутил датчик на 2 самореза — готово), сохранение интерьера, топология Mesh (каждое устройство работает как ретранслятор, передавая сигнал от соседей, если прямой путь до пульта перекрыт).
Минусы: Оборудование стоит дороже проводного. Радиосигнал плохо проходит через толстый железобетон и металлические перекрытия.
🔥 Боевой пример: Радиоглушилки и Севшие батарейки
Беспроводная система — это кайф для монтажника, но боль для службы эксплуатации. Если на объекте 500 радиодатчиков висят на высоте 6 метров, через 5-7 лет (когда начнут садиться батарейки) инженеру придется арендовать вышку-туру и менять 1000 батареек (основную и резервную в каждом датчике). Подводный камень ПНР: Никогда не монтируйте радиосистему "на глаз"! Перед монтажом инженер ОБЯЗАТЕЛЬНО должен пройти по объекту с тестовым комплектом и замерить уровень сигнала (сделать радиопланирование). Если на складе стеллажи забьют металлическими банками, сигнал может пропасть, и система "ослепнет"!
5. Расключение и Кабели: За что бьет инспектор
В АПС нельзя использовать обычную витую пару (UTP) или ШВВП!
Кабель должен быть огнестойким: маркировка FRLS (Fire Resistance Low Smoke) или FRHF (без галогенов). Он красный или оранжевый.
Кабель АПС нельзя класть в один лоток с силовыми кабелями 220В и даже с витой парой от интернета (по СП 484 должен быть отступ).
Скрутки запрещены! Соединения делаются только в огнестойких распределительных коробках (УК-ОП) на клеммниках.
🔥 Скрытая деталь: Интеграция АПС со смежными системами
АПС — это "главнокомандующий" здания при пожаре. При сработке датчика система должна не только включить сирену, но и отработать жесткий алгоритм:
1. СКУД: Отправить сигнал на разблокировку всех магнитных замков и турникетов (аппаратно, через реле!).
2. Вентиляция: Отключить приточную вентиляцию (чтобы не подавать кислород огню).
3. Дымоудаление: Включить мощные вытяжные вентиляторы на крыше и открыть клапаны дымоудаления на этаже пожара.
4. Лифты: Опустить все лифты на первый этаж, открыть двери и заблокировать их (чтобы люди не сгорели в шахте). Настройка этих сценариев (написание логики в PProg у Болида) — и есть главная и самая высокооплачиваемая работа инженера ПНР в пожарке.
🔥 Боевой пример: Строительная пыль
Вы смонтировали красивые белые датчики (ДИП) на потолок, а строители еще штробят стены и красят. Через день пульт начинает орать "ПОЖАР!". Оптическая камера датчика забилась строительной пылью, и он думает, что это дым. Правило: До окончания ВСЕХ пыльных работ датчики должны висеть в заводских пластиковых колпачках (или замотанные в пакетики). Снимать их имеет право только инженер ПНР перед сдачей объекта!
Умный дом и BMS (Building Management System)
BMS — это мозг здания. Если SCADA чаще применяется на заводах, то BMS — это элитные ЖК, офисы А-класса и частные виллы.
1. Основные протоколы
KNX: Золотой стандарт автоматизации зданий. Децентрализованная шина (нет главного контроллера, каждое устройство имеет свои "мозги"). Очень дорого, невероятно надежно.
DALI: Специализированный протокол только для управления освещением (диммирование, RGB).
Modbus (RTU/TCP): Классика для управления климатом (фанкойлы, кондиционеры, счетчики).
2. Специфика ПНР (Софт ETS)
Всё оборудование KNX (от выключателей до реле) программируется через единый софт — ETS (Engineering Tool Software). Инженер создает групповые адреса (например, "Свет в гостиной") и связывает кнопку выключателя с каналом реле в щитке.
🔥 Боевой пример: Залипание реле от LED-ламп
Вы подключили красивую светодиодную люстру к дорогому реле KNX. Через неделю свет перестал выключаться. Причина: У LED-ламп (и их блоков питания) огромные пусковые токи. В момент включения ток может подскочить в 50-100 раз от номинала на долю секунды. Контакты внутри реле просто привариваются друг к другу (залипают). Решение: Для LED-освещения всегда используйте специализированные реле с маркировкой "C-Load" (с усиленными контактами) или ставьте промежуточные контакторы (пускатели), чтобы сберечь дорогое оборудование умного дома.
Системы защиты периметра
Периметралка — это первый рубеж обороны (заборы заводов, аэропортов, коттеджных поселков).
1. Основные технологии
ИК-барьеры (Лучевые): Две стойки (приемник и передатчик) светят друг в друга невидимыми лучами. Пересек луч — тревога.
Трибоэлектрический кабель: Специальный кабель стяжками крепится на сетчатый забор (например, "Гюрза", "Трезор"). Реагирует на вибрацию и деформацию, когда кто-то лезет через забор или режет сетку.
Радиоволновые датчики: Создают объемную невидимую "колбасу" из радиоволн вдоль забора.
🔥 Боевой пример: Борьба с ложными срабатываниями
Главная боль периметралки — она орет на всё: на собак, на птиц, на сильный ветер, на проезжающий поезд. Если система дает 10 ложных тревог за ночь, охранник просто выключит звук и пойдет спать. Подводный камень ПНР: Настройка чувствительности — это ювелирная работа. Для ИК-барьеров нужно настраивать время перекрытия луча (чтобы падающий лист не вызывал тревогу, а человек — вызывал). Для трибо-кабеля нужно в софте отсекать частоты, характерные для дождя и ветра, оставляя только паттерны "перекусывания металла" и "ударов".
Инструменты и Софт инженера (Чек-лист)
С чем инженер ПНР должен приезжать на объект.
1. Must-have Софт на ноутбуке
Advanced IP Scanner: Быстрый поиск всех устройств в локальной сети.
Wireshark: Анализатор трафика. Если сервер не видит камеру, запускаем Wireshark и смотрим, летят ли вообще от нее пакеты.
PuTTY / MobaXterm: SSH-клиенты для подключения к консоли Linux-серверов и коммутаторов.
Postman: Для тестирования и отладки REST API интеграций.
Кабельный тестер с рефлектометром: Не просто "пикалка" за 500 рублей, а прибор (например, Noyafa или Fluke), который покажет длину кабеля и на каком метре произошел обрыв.
USB-RS485 конвертер ("Свисток"): Жизненно необходим для подключения ноутбука напрямую к датчикам, ПЛК и контроллерам СКУД. Без него вы как без рук.
Мультиметр: Проверить наличие 12В/24В, прозвонить кабель на КЗ, замерить сопротивление оконечных резисторов.
Патч-корд 3 метра: Для подключения ноутбука напрямую к оборудованию.
3. Софт на дежурной флешке инженера (Набор выживания)
На объектах часто нет интернета. Этот набор программ должен быть заранее скачан и лежать в архиве (на флешке или FTP-сервере):
Сетевые утилиты (Основа)
Advanced IP Scanner / Angry IP Scanner — портативные сканеры локальной сети.
Winbox — для настройки роутеров Mikrotik.
PuTTY / MobaXterm — SSH/Telnet-клиенты, и главное — подключение через COM-порт (Serial).
Tftpd32 / Tftpd64 — легкий DHCP, TFTP и Syslog сервер (для заливки прошивок).
iPerf3 — утилита командной строки для измерения реальной пропускной способности сети.
Видеонаблюдение (СВН)
ONVIF Device Manager (ODM) — универсальный поиск и управление любыми ONVIF-камерами.
VLC Media Player (Portable) — для прямой проверки RTSP-потоков.
Draw.io (diagrams.net) — быстрое создание схем подключения и топологий сети.
Базовый SQL для инженера СКУД
Базы данных СКУД (Sigur, RusGuard) обычно крутятся на PostgreSQL или MS SQL. Умение залезть в базу напрямую спасает, когда интерфейс программы не позволяет сделать хитрую выгрузку.
1. Инструмент: DBeaver
Бесплатный и мощный клиент для подключения к любым базам данных. Вводите IP сервера, логин, пароль — и видите все таблицы СКУД.
🔥 Боевой пример: Поиск "мертвых душ"
HR просит: "Выгрузи мне всех сотрудников, которые не прикладывали пропуск к турникету больше 30 дней, мы их уволим". В интерфейсе СКУД такого отчета может не быть. Инженер пишет SQL-запрос:
SELECT name, department
FROM employees
WHERE id NOT IN (
SELECT employee_id
FROM access_logs
WHERE event_date > CURRENT_DATE - INTERVAL '30 days'
);
(Перевод: Выбрать имена из таблицы сотрудников, чьих ID нет в таблице логов проходов за последние 30 дней).
🔥 Скрытая деталь: Бэкап через консоль
Если сервер на Linux, графического интерфейса нет. Бэкап базы PostgreSQL делается одной командой: pg_dump -U postgres sigur_db > /backup/sigur_backup.sql
Настройте эту команду в планировщике cron, чтобы она выполнялась каждую ночь, и вы будете спать спокойно.
Типовые решения
Настройка VLAN
Настройка VLAN (Virtual Local Area Network) — это классический способ разделить один физический коммутатор на несколько логических, изолированных друг от друга сетей. Это позволяет отделить, например, тяжелый трафик видеонаблюдения от обычной офисной сети, повысить безопасность и уменьшить количество широковещательного мусора.
Давайте разберем настройку на типовом сценарии. Логика настройки 802.1Q VLAN абсолютно одинакова для Dahua, TP-Link, D-Link и других вендоров, могут лишь немного отличаться названия меню.
📋 Наш сценарий:
У нас есть 24-портовый L2-коммутатор. Мы хотим разделить трафик на два потока:
VLAN 10 (Офис): Порты 1–4. Сюда подключены компьютеры сотрудников.
VLAN 20 (Видеонаблюдение): Порты 5–8. Сюда подключены IP-камеры.
Порт 24 (Uplink): Подключен к главному роутеру или серверу. Через этот порт должны проходить данные обеих сетей.
Важные понятия перед настройкой:
Access порт (Untagged) — порт для конечных устройств (ПК, камеры). Устройство не знает ничего про VLAN. Коммутатор сам вешает ярлык (тег) на входящий трафик и снимает его при выходе.
Trunk порт (Tagged) — порт для связи коммутаторов или роутеров. Трафик идет с «ярлыками» (тегами), чтобы принимающее устройство понимало, к какому VLAN относится каждый пакет.
PVID (Port VLAN ID) — номер VLAN, который коммутатор присваивает любому входящему нетегированному трафику на конкретном порту.
Вариант 1: Настройка через Web-интерфейс (типично для Dahua / TP-Link)
В большинстве современных коммутаторов настройка сводится к трем шагам в разделе L2 Features -> VLAN -> 802.1Q VLAN:
Шаг 1. Создание VLAN
Зайдите в меню 802.1Q VLAN.
Нажмите Add (Добавить).
Введите VLAN ID: 10, Name: Office.
Введите VLAN ID: 20, Name: CCTV.
Шаг 2. Настройка портов (Tagged / Untagged)
Теперь нужно указать, какие порты принадлежат каким VLAN:
Для VLAN 10:
Порты 1, 2, 3, 4 отмечаем как Untagged (или Access).
Порт 24 отмечаем как Tagged (или Trunk).
Для VLAN 20:
Порты 5, 6, 7, 8 отмечаем как Untagged.
Порт 24 отмечаем как Tagged.
Шаг 3. Настройка PVID (Port VLAN ID)
Это критически важный шаг, про который часто забывают. Перейдите во вкладку VLAN Port Setup (или Port PVID):
Для портов 1–4 установите PVID = 10.
Для портов 5–8 установите PVID = 20.
Для порта 24 оставьте PVID = 1 (по умолчанию, так как трафик на нем уже будет ходить с тегами).
Не забудьте нажать кнопку Save (Сохранить конфигурацию), иначе после перезагрузки настройки слетят!
Вариант 2: Настройка через CLI (типично для D-Link DGS / TP-Link JetStream / Cisco)
Если вы подключаетесь по SSH или консольному кабелю, настройка выглядит так (команды могут минимально отличаться в зависимости от синтаксиса конкретной прошивки):
# Переходим в режим конфигурации
enable
configure terminal
# Создаем VLAN 10 и 20
vlan 10
name Office
exit
vlan 20
name CCTV
exit
# Настраиваем порты для компьютеров (Access / Untagged)
interface range ethernet 1/0/1-4
switchport mode access
switchport access vlan 10
exit
# Настраиваем порты для камер (Access / Untagged)
interface range ethernet 1/0/5-8
switchport mode access
switchport access vlan 20
exit
# Настраиваем Uplink-порт до роутера (Trunk / Tagged)
interface ethernet 1/0/24
switchport mode trunk
switchport trunk allowed vlan 10,20
exit
# Сохраняем конфигурацию
end
write memory
Итог: как это работает
Камера на порту 5 отправляет видео. Пакет попадает в коммутатор без тега.
Коммутатор видит, что у порта 5 стоит PVID 20. Он вешает на пакет невидимую бирку «VLAN 20».
Пакет с этой биркой не может попасть на порты 1-4 (офис), так как они принадлежат VLAN 10. Трафик полностью изолирован.
Пакет направляется в порт 24 (Trunk), так как там разрешен VLAN 20. Пакет уходит на роутер вместе с биркой «VLAN 20».
Роутер (если на нем настроены соответствующие сабинтерфейсы) принимает этот пакет, понимает, что это от камер, и направляет его на видеорегистратор.
Частая ошибка: Один IP-диапазон на разные VLAN
Золотое правило сетей: 1 VLAN = 1 отдельная IP-подсеть.
Если вы разделили порты на разные VLAN, вы обязаны раздать устройствам в этих VLAN IP-адреса из разных подсетей. Если оставить всем устройствам IP-адреса из одной сети (например, 192.168.1.X), они не смогут общаться. Устройство будет отправлять широковещательный ARP-запрос в свой VLAN, но коммутатор не пропустит его в другой VLAN. Связи не будет.
Если сначала воткнуть все камеры и компьютеры в свитч, а потом пытаться настраивать VLAN, сеть будет постоянно «отваливаться», а вы запутаетесь.
Бумага (IP-план). Расписываем подсети и шлюзы для каждого VLAN.
Настройка Роутера (Ядра). Создаем на роутере виртуальные интерфейсы (сабинтерфейсы) и назначаем им IP-адреса шлюзов.
Настройка Коммутатора. Настраиваем VLAN на свитче, делаем порт до роутера Trunk-ом, а порты для устройств — Access-портами (как описано выше).
Подключение устройств. Только теперь берем камеру, подключаем напрямую к ноутбуку, меняем ее IP и шлюз, и втыкаем в нужный порт коммутатора.
Настройка маршрутизации: "Роутер на палочке" (на примере MikroTik)
Чтобы устройства из разных VLAN могли общаться, им нужен маршрутизатор. Схема, когда роутер соединен с коммутатором одним кабелем, по которому бегают тегированные пакеты, называется «Роутер на палочке» (Router on a stick).
Допустим, коммутатор подключен во 2-й порт роутера (ether2).
Шаг 1. Создаем виртуальные интерфейсы (VLAN)
Идем в меню Interfaces -> вкладка VLAN. Добавляем:
Address: 192.168.10.1/24 (обязательно с маской /24), Interface: vlan10-office
Address: 192.168.20.1/24, Interface: vlan20-cctv
Шаг 3. Маршрутизация и Безопасность (Firewall)
Любой коммерческий роутер (MikroTik, Cisco, Keenetic) автоматически маршрутизирует трафик между всеми сетями, которые подключены к нему напрямую. Как только вы назначили IP-адреса, роутер сам добавил маршруты.
🔥 Изоляция сетей (Firewall)
По умолчанию роутер разрешает сетям общаться. Но суть VLAN — изолировать сети! Мы не хотим, чтобы бухгалтер зашел на веб-интерфейс камеры. Поэтому последним этапом идем в IP -> Firewall -> Filter Rules и создаем правила:
1. Разрешить (Accept) трафик из VLAN 10 в VLAN 20 только для IP-адреса сервера видеонаблюдения.
2. Запретить (Drop) весь остальной трафик из VLAN 10 в VLAN 20.
PoE-экстендеры (удлинители и разветвители)
PoE-экстендеры (удлинители/разветвители) спасают на объектах, когда забыли заложить кабель или заказчик внезапно просит «добавить вон там еще одну камеру», а тянуть новую трассу 80 метров через готовый ремонт невозможно.
Давайте разберем всю физику и логику этого устройства, чтобы понимать, где оно спасет, а где устроит катастрофу.
1. Как это устроено внутри? Почему регистратор видит 2 камеры?
Многие думают, что разветвитель — это какая-то хитрая магия, которая «склеивает» видеопотоки. На самом деле всё гораздо проще.
Активный PoE-разветвитель (на 1 вход и 2 выхода) — это просто крошечный, полноценный неуправляемый L2-коммутатор (свитч).
Его единственное отличие от обычного свитча в том, что у него нет вилки для розетки 220В. Он питается от приходящего PoE (технология PoE Passthrough — получение питания и передача его дальше).
Как данные ходят по сети:
Внутри экстендера стоит чип коммутации. У него есть своя MAC-таблица.
Камера №1 и Камера №2 имеют свои уникальные MAC-адреса и IP-адреса.
Когда они шлют видео, экстендер просто пересылает их Ethernet-кадры в приходящий кабель (Uplink).
Главный коммутатор в серверной видит, что на его порту (куда подключен экстендер) «висят» сразу два MAC-адреса. Для коммутатора это абсолютно нормальная ситуация.
Регистратор (NVR) обращается к камерам по их IP-адресам. Ему вообще всё равно, сколько коммутаторов стоит между ним и камерой. Он отправляет запрос, главный свитч кидает его в нужный порт, экстендер читает MAC-адрес и отдает пакет в нужный порт нужной камере.
(Примечание: Существуют еще "пассивные штаны" — дешевые разветвители, которые ставятся с двух сторон кабеля и физически делят 8 жил витой пары на две группы по 4 жилы. Это устаревший и плохой метод, мы говорим именно про современные активные экстендеры).
2. Как НАДО делать (Правила выживания)
Если вы решили использовать PoE-экстендер, вы обязаны учитывать законы физики, а именно — бюджет мощности и падение напряжения.
Считайте ватты (Стандарты PoE):
Сам экстендер потребляет на свою работу около 1.5–2 Вт. Обычный порт коммутатора (стандарт 802.3af) выдает максимум 15.4 Вт. Если вы повесите на него экстендер (2 Вт) и две уличные камеры с ИК-подсветкой (по 7 Вт каждая), то в сумме получится 16 Вт. Днем всё будет работать, а ночью, когда включится подсветка, порт на главном коммутаторе уйдет в защиту по перегрузке и отключит обе камеры. Как надо: Порт главного коммутатора, от которого питается экстендер, ОБЯЗАТЕЛЬНО должен поддерживать стандарт PoE+ (802.3at), который выдает до 30 Вт. Этого с запасом хватит на экстендер и 2-3 камеры.
Используйте только чистую медь (AWG24):
При передаче постоянного тока по тонким проводам на большие расстояния происходит просадка напряжения. Если вы используете дешевый кабель CCA (омедненный алюминий), напряжение может упасть с 48В до 35В еще до того, как дойдет до экстендера. Экстендеру не хватит сил запитать камеры. Только 100% медь!
Учитывайте пропускную способность:
Экстендеры обычно имеют порты 100 Мбит/с. Для 2-3 камер (даже 4K разрешения), которые генерят по 8-10 Мбит/с, этого канала (Uplink) хватит с головой.
3. Как НЕ НАДО делать (Частые ошибки монтажников)
❌ Гирлянда из экстендеров (Каскадирование) Сценарий: Монтажник ставит экстендер через 100 метров, от него питает камеру и тянет кабель еще на 100 метров ко второму экстендеру, от него к третьему... Почему нельзя: С каждым метром кабеля и каждым экстендером падает напряжение. На втором каскаде напряжение просядет так, что камера будет постоянно перезагружаться. Максимум, что можно сделать надежно — это 1 каскад (100м до экстендера + 100м до камеры), при условии, что главный свитч выдает честные 30 Вт (PoE+), а кабель идеального качества.
❌ Подключение PTZ-камер (Повороток) Почему нельзя: Поворотная камера с моторами и мощным ИК-прожектором может потреблять 25-40 Вт в пике (при старте моторов). Никакой стандартный экстендер это не вытянет. Экстендеры — только для фиксированных камер (куполов и цилиндров).
❌ Установка экстендера на улице без гермокоробки Почему нельзя: Большинство экстендеров имеют класс защиты IP20 (для помещений). Даже если на нем написано "Outdoor", контакты RJ-45 окислятся от влажности за один сезон. Экстендер всегда нужно прятать во влагозащищенную монтажную коробку (IP66) и использовать гермовводы.
❌ Использование экстендеров в системах СКУД Почему нельзя: Иногда хитрые монтажники пытаются через PoE-экстендер запитать и камеру, и IP-контроллер СКУД. Контроллер управляет электромагнитным замком, который потребляет приличный ток. В момент открытия/закрытия замка происходит скачок потребления, просадка напряжения, и камера перезагружается. СКУД и Видео должны питаться раздельно!
Резюме для инженера:
PoE-экстендер — это отличный, легальный костыль. Он работает стабильно годами, если вы выполнили два условия: взяли хороший медный кабель и убедились, что порт главного коммутатора выдает 30 Ватт (PoE+).
Исполнительная документация (ИД)
Инженер ПНР — это не только провода и код. Это сдача объекта заказчику. Нет бумаги — нет денег.
Что входит в ИД:
Кабельный журнал: Таблица, где расписан каждый кабель (Откуда, Куда, Марка, Длина).
Таблица IP-адресов и паролей: Самый важный документ для сисадмина заказчика. Передается в защищенном виде.
Схемы расположения: Поэтажные планы с точным указанием, где висит какая камера и какой у нее MAC-адрес.
Акт комплексного опробования: Бумага, в которой комиссия подписывается, что при имитации пожара двери открылись, а сирена завыла.
🔥 Боевой пример: "Забытые пароли"
Вы сдали объект (100 камер), подписали акты, уехали. Через год заказчик хочет добавить еще один сервер. Он звонит вам: "А какой пароль от камер?". А вы ставили стандартный Admin123!, но заказчик попросил сменить на сложный, вы сменили и... никуда не записали. Сброс пароля на 100 камерах Hikvision — это платный выезд и неделя работы через техподдержку с отправкой XML-файлов. Правило: Паспорта систем, IP-адреса и пароли должны быть переданы заказчику под роспись в день сдачи объекта!