🛠 База знаний: Инженер ПНР

Справочник по сетям, СКУД, видеонаблюдению и диспетчеризации

Базовая сетевая Wiki инженера ПНР

1. Главные понятия: IP, MAC и Маска

Представьте, что сеть — это город.

IP-адрес (например, 192.168.1.50) — это почтовый адрес дома. Он может меняться, если устройство перенесли в другую сеть.
MAC-адрес (например, 00:1A:2B:3C:4D:5E) — это уникальный "VIN-номер" сетевой карты устройства, зашитый на заводе. Коммутаторы (свитчи) общаются именно по MAC-адресам.
Маска подсети (обычно 255.255.255.0) — это правило, которое определяет, какие "дома" находятся на вашей улице, а какие — в чужом городе.

2. Шлюз и DNS

Основной шлюз (Default Gateway): IP-адрес роутера (дверь из локальной сети в интернет). Обычно это первый адрес в сети (например, 192.168.1.1).
DNS-сервер: "Телефонная книга", переводящая имена в IP-адреса. Часто указывают DNS от Google: 8.8.8.8.

3. Золотое правило ПНР: Статика vs DHCP
Вся инфраструктура (Серверы, Камеры, Контроллеры СКУД, ПЛК, Коммутаторы) ВСЕГДА настраивается на СТАТИЧЕСКИЕ IP-адреса. По DHCP должны работать только ноутбуки инженеров и смартфоны.

4. Как "раскидывать" IP-адреса (IP-планирование)

Никогда не раздавайте адреса хаотично. В сети с маской 255.255.255.0 у вас есть 254 свободных адреса. Пример грамотного распределения:

192.168.1.1 - 192.168.1.10 — Сетевое ядро (Роутеры, Управляемые коммутаторы).
192.168.1.11 - 192.168.1.30 — Серверы и АРМ (Сервер Sigur, Сервер TRASSIR, ПК охранника).
192.168.1.31 - 192.168.1.100 — СКУД и Домофония (Контроллеры дверей, вызывные панели).
192.168.1.101 - 192.168.1.200 — Видеонаблюдение (IP-камеры).
192.168.1.201 - 192.168.1.250 — Пул DHCP (Свободные адреса для подключения ноутбуков наладчиков).

5. Что такое VLAN (Виртуальные сети)

На крупных объектах все устройства не пихают в одну сеть. Их разделяют на VLAN (Virtual Local Area Network). Представьте, что у вас один физический коммутатор на 24 порта. С помощью VLAN вы программно "пилите" его на три независимых коммутатора:

VLAN 10 (Порты 1-8): Сеть бухгалтерии (Интернет, принтеры).
VLAN 20 (Порты 9-16): Сеть видеонаблюдения (Камеры).
VLAN 30 (Порты 17-24): Сеть СКУД.

Зачем? Безопасность (бухгалтер не достучится до СКУД) и стабильность (трафик камер не "положит" офисную сеть).

                🔥 Боевой пример: Засада с заводскими IP

                Вы привезли на объект 20 новых камер Hikvision. Заводской IP у всех одинаковый — 192.168.1.64. Если монтажник воткнет их все в коммутатор разом, сеть "ляжет" от конфликта IP, и вы не сможете зайти ни на одну. Как правильно: Подключайте камеры по одной к своему ноутбуку, меняйте IP на проектный, клейте стикер с новым IP на камеру, и только потом отдавайте в монтаж. Либо используйте утилиты пакетной активации (SADP Tool / ConfigTool).

6. Инструментарий ПНР-щика (Командная строка)

ping 192.168.1.50 -t  # Бесконечная проверка связи с устройством
ipconfig              # Узнать IP-адрес своего ноутбука
arp -a                # Показать таблицу IP и MAC-адресов в сети

7. Маршрутизация: Как подружить две разные подсети

Представьте ситуацию: у вас есть сервер СКУД в офисной сети 192.168.1.10 и контроллер двери в технической сети 192.168.2.50. Маска у обоих 255.255.255.0. Напрямую они друг друга не увидят никогда. Коммутатор (свитч) здесь не поможет — он работает только внутри одной подсети (на 2 уровне OSI).

Чтобы пакет из сети 1.X попал в сеть 2.X, нужен Маршрутизатор (Роутер) или L3-коммутатор. Процесс называется маршрутизацией.

                Как это настроить (3 обязательных шага):
                У роутера должно быть две "ноги" (интерфейса). Одна смотрит в сеть 1.X (например, имеет IP 192.168.1.1), вторая смотрит в сеть 2.X (имеет IP 192.168.2.1).
Настройка Шлюза на сервере СКУД: В настройках сетевой карты сервера (192.168.1.10) вы ОБЯЗАТЕЛЬНО должны прописать Основной шлюз (Default Gateway) — 192.168.1.1. Сервер рассуждает так: "Ага, мне нужно отправить пакет на 192.168.2.50. Это не моя улица. Значит, я отдам пакет Шлюзу, пусть он разбирается".
Настройка Шлюза на контроллере СКУД: В настройках контроллера (192.168.2.50) вы прописываете шлюз 192.168.2.1. Когда контроллер захочет ответить серверу, он тоже отдаст пакет своему шлюзу.

            

🔥 Боевой пример: Забытый шлюз на камере
Вы сидите с ноутбуком в сети 192.168.1.X. Пытаетесь пинговать камеру в сети 192.168.2.X. Пинга нет. Вы идете к камере, подключаетесь к ней напрямую проводом — камера работает, IP верный! В чем дело?
Причина: Монтажник прописал камере IP 192.168.2.50 и маску, но поле "Шлюз" оставил пустым (или нулями). Ваш пинг от ноутбука через роутер ДОХОДИТ до камеры. Камера его принимает, формирует ответ (Pong), видит, что получатель (ваш ноутбук) находится в чужой сети, пытается отправить ответ на шлюз... а шлюз не прописан! Пакет уничтожается. Правило: Если устройства в разных подсетях, шлюзы должны быть прописаны у ВСЕХ участников обмена.

8. Железо: Коммутаторы L2, L3 и Маршрутизаторы

Чтобы пакеты ходили между сетями, нужно правильное железо. В чем разница?

L2-коммутатор (Свитч 2 уровня): Работает только с MAC-адресами. Это "тупой, но быстрый" грузчик внутри одного здания. Он не понимает IP-адресов и не может перекинуть данные из сети 1.X в сеть 2.X. (Примеры: простые D-Link, TP-Link, Eltex MES1000/2000).
Маршрутизатор (Роутер): Работает на 3 уровне OSI (с IP-адресами). Это умный "таможенник", который знает, где находятся другие сети, и пересылает пакеты между ними. (Примеры: MikroTik, Cisco ISR, Keenetic).
L3-коммутатор (Свитч 3 уровня): Это гибрид! Мощный многопортовый свитч, внутри которого аппаратно зашит роутер. Он нужен для крупных объектов, чтобы маршрутизировать трафик между десятками VLAN на огромной скорости без задержек. (Примеры: Eltex MES3000, Cisco Catalyst).

9. Как настроить маршрутизацию (Inter-VLAN routing)

Есть два классических способа подружить сети (например, VLAN 10 для СКУД и VLAN 20 для Видео):

"Роутер на палочке" (Router on a stick): У вас есть обычный L2-свитч и отдельный роутер (например, MikroTik). Вы соединяете их ОДНИМ кабелем. На свитче этот порт настраивается как Trunk (пропускает все VLAN). На роутере вы создаете виртуальные сабинтерфейсы (например, ether1.10 с IP 192.168.1.1 и ether1.20 с IP 192.168.2.1). Роутер принимает трафик из одного VLAN, "переваривает" его и отправляет обратно в другой VLAN по тому же кабелю.
Маршрутизация на L3-коммутаторе (SVI): Роутер вообще не нужен! Прямо в командной строке L3-свитча вы создаете виртуальные интерфейсы (SVI).
interface vlan 10 -> ip address 192.168.1.1 255.255.255.0
interface vlan 20 -> ip address 192.168.2.1 255.255.255.0
Свитч сам начинает перекидывать пакеты между этими сетями со скоростью портов (Gigabit/10G).

                🔥 Боевой пример: "Бутылочное горлышко" видеонаблюдения

                На заводе 100 IP-камер (сеть 192.168.2.X) и сервер TRASSIR (сеть 192.168.1.X). Сисадмин настроил маршрутизацию через "Роутер на палочке" (MikroTik) по гигабитному линку. 100 камер генерируют поток 600 Мбит/с. Этот поток летит в роутер, роутер пыхтит (у него процессор загружен на 100%), маршрутизирует трафик и отправляет его обратно в свитч к серверу.

                Итог: Роутер "захлебывается", видео тормозит, сеть висит. Решение для ПНР: Тяжелый трафик (видео) между подсетями должен маршрутизироваться ТОЛЬКО ядром сети — мощным L3-коммутатором на аппаратном уровне (ASIC-чипами), а не программным роутером! Роутер оставьте только для выхода в интернет.

10. Архитектура для бедных: 30+ камер и СКУД при жестком бюджете

Что делать, если заказчик хочет 30-40 камер, СКУД на 5 дверей, но денег на умные L3-коммутаторы (Cisco, Eltex MES3000) нет, и бюджет позволяет купить только дешевые "неуправляемые" свитчи?

Трюк №1: Две сетевые карты в сервере (Физическое разделение)
Не пытайтесь маршрутизировать видео через дешевый офисный роутер! Вставьте в сервер видеонаблюдения (или ПК с TRASSIR) вторую сетевую карту.
Сетевая 1 (192.168.2.10): Смотрит в "грязную" сеть, где стоят только тупые PoE-свитчи и 30 камер. На этой сетевой карте НЕ прописывается шлюз. Камеры изолированы от интернета (их не взломают).
Сетевая 2 (192.168.1.10): Смотрит в корпоративную сеть со шлюзом и интернетом.
Итог: Сервер сам забирает тяжелое видео из грязной сети и отдает клиентам в чистую. Роутер отдыхает, L3-свитч не нужен!
Трюк №2: Магия Uplink-портов
Камере достаточно 5-8 Мбит/с. Поэтому порты, куда втыкаются камеры, могут быть старыми 100-мегабитными (Fast Ethernet). НО! Магистральный порт (Uplink), которым PoE-свитч соединяется с сервером или центральным коммутатором, ОБЯЗАТЕЛЬНО должен быть гигабитным (1000 Мбит/с). Если 30 камер по 8 Мбит/с (240 Мбит/с) попытаются пролезть в 100-мегабитный Uplink, половина камер просто "отвалится".
Трюк №3: Дробление PoE-бюджета
Один хороший коммутатор на 48 PoE-портов стоит космических денег. Если бюджет ограничен, купите один центральный гигабитный свитч (БЕЗ PoE) и 4 дешевых коммутатора по 8 PoE-портов. Соедините их "звездой". Это не только дешевле, но и надежнее: если сгорит блок питания у одного свитча, вы потеряете 8 камер, а не все 32.

🔥 Скрытая деталь: Тормоза СКУД из-за камер (Broadcast)
Контроллеры СКУД (Sigur, RusGuard, IronLogic) имеют очень слабые процессоры. Если вы от безысходности воткнете контроллер СКУД в один дешевый неуправляемый свитч вместе с 30 камерами, произойдет страшное. Камеры постоянно генерируют широковещательный мусор (ARP-запросы, мультикаст). Процессор контроллера СКУД будет пытаться обработать каждый этот пакет, загрузится на 100%, и турникет начнет открываться с задержкой в 2-3 секунды после поднесения карты.
Правило: Никогда не мешайте СКУД и Видео в одном физическом сегменте на неуправляемом железе! Либо VLAN, либо физически разные свитчи.

11. Топология и порты: Как правильно соединять PoE-коммутаторы

Когда камер много (30-50+), а бюджет ограничен, нельзя просто соединять свитчи гирляндой (один за другим). Это приведет к катастрофе.

Топология "Звезда" (Единственно верная):
Покупается один центральный Ядерный коммутатор (Core Switch). Он может быть БЕЗ PoE, но обязан быть гигабитным на всех портах (1000 Мбит/с) и иметь высокую пропускную способность матрицы (Switching Capacity, от 32 Гбит/с). К нему подключается сервер видеонаблюдения.
Далее, от этого центрального свитча лучами расходятся кабели (Uplink) к этажным PoE-коммутаторам (Access Switches).
Правило Uplink-портов (Комбо-порты):
На дешевых PoE-коммутаторах (например, 8 PoE портов 100 Мбит/с + 2 Uplink порта 1000 Мбит/с) порты Uplink часто бывают "комбинированными" (Combo). Это значит, что там есть и медный RJ-45, и слот под оптику (SFP). Внимание: Они работают по принципу "или-или". Если вы воткнули оптику в SFP-порт №9, медный порт №9 отключится. Не пытайтесь воткнуть два кабеля в комбо-порты с одним номером!
Каскадирование (Гирлянда) — Зло:
Если вы соедините 4 коммутатора по 8 камер цепочкой (Свитч 1 -> Свитч 2 -> Свитч 3 -> Свитч 4 -> Сервер), то через Uplink-порт первого свитча пойдет трафик только его 8 камер (64 Мбит/с). А вот через Uplink-порт четвертого свитча (перед сервером) пойдет трафик ВСЕХ 32 камер (256 Мбит/с). Если порты 100-мегабитные, сеть "захлебнется" уже на втором свитче. Если гигабитные — выживет, но если сгорит Свитч 2, отвалятся и Свитч 1, и Свитч 2.

                🔥 Боевой пример: PoE-бюджет и порты Hi-PoE (Ultra PoE)

                Вы купили поворотную PTZ-камеру (Speed Dome) с дворником и мощным ИК-прожектором на 150 метров. В характеристиках написано: "Потребление 40 Вт". Вы втыкаете её в обычный PoE-порт коммутатора, а она не крутится или постоянно перезагружается.

                Причина: Стандартный порт PoE (802.3af) выдает максимум 15.4 Вт. Улучшенный порт PoE+ (802.3at) выдает 30 Вт. Вашей камере нужно 40 Вт!

                Решение: Ищите на коммутаторе порты, выделенные красным или оранжевым цветом (обычно это порты №1 и №2). Это порты Hi-PoE (802.3bt), они могут выдавать до 60-90 Вт. Если таких портов нет, придется покупать отдельный PoE-инжектор на 60 Вт и ставить его в разрыв кабеля перед камерой.

Архитектура СКУД и инженерная база

СКУД — это не просто "приложил карточку — дверь открылась". Это сложный комплекс, где цена ошибки — заблокированные при пожаре люди или сгоревшие контроллеры.

1. Золотое правило контроллера (Офлайн-режим)

Любая современная сетевая СКУД состоит из трех уровней: Считыватели, Контроллеры и Сервер. Главное правило: Контроллер должен принимать решение об открытии двери САМ, без связи с сервером. Сервер нужен только для заливки в контроллер базы ключей и сбора логов. Если сеть упадет, дверь должна работать.

🔥 Боевой пример: Сгоревшее реле и шунтирующий диод
Монтажник подключает мощный электромагнитный замок напрямую к реле контроллера СКУД. Через 2 месяца контроллер умирает. Причина: Электромагнит — это катушка индуктивности. Когда реле отключает питание замка, возникает ЭДС самоиндукции (обратный скачок напряжения до сотен вольт), которая пробивает контакты реле. Решение: ВСЕГДА ставьте шунтирующий диод (например, 1N4007) параллельно контактам замка в обратной полярности! Он "гасит" этот скачок. У нормальных брендов (Sigur) диоды идут в комплекте в пакетике.

2. Протоколы считывателей: Wiegand vs OSDP

Wiegand: Старый стандарт де-факто. Односторонняя связь (считыватель только шлет данные), данные не шифруются, легко перехватить.
OSDP: Современный стандарт (работает поверх RS-485). Двусторонняя связь, шифрование AES-128, сервер видит, если считыватель оторвали от стены.

                🔥 Скрытая деталь: Чудеса с длиной Wiegand

                Максимальная длина линии Wiegand от считывателя до контроллера по обычной неэкранированной витой паре — около 15-20 метров (хотя в теории пишут до 100м). Если прокинуть 50 метров, начнутся чудеса: человек прикладывает карту, считыватель пищит, а контроллер пишет в лог "Неизвестный формат карты". Это происходит из-за наводок и затухания сигнала. Решение: Если считыватель далеко, переводите его на протокол OSDP (RS-485 бьет на 1200 метров) или ставьте контроллер ближе к двери.

3. Идентификаторы: Почему EM-Marine должен умереть

Эра простых белых карточек EM-Marine (125 кГц) прошла. Их можно скопировать в любом ларьке за 100 рублей. Если вы ставите EM-Marine на завод — СКУД там просто для галочки.

Mifare Classic (13.56 МГц): Популярны, но их криптозащита (Crypto1) давно взломана. Копируются чуть сложнее, но всё равно копируются.
Mifare Plus / DESFire: Современный стандарт. Память карты шифруется алгоритмом AES. Нюанс ПНР: Чтобы они работали безопасно, инженер должен перевести карты из заводского режима (SL1) в защищенный режим (SL3) с помощью мастер-карты и крипто-считывателя. Без этого они копируются так же легко, как Classic.
Биометрия и Смартфоны (BLE/NFC): Абсолютный тренд. Лицо скопировать нельзя, а телефон всегда с собой.

4. Замки и Пожарная безопасность (NO vs NC)

Замки делятся на два типа по поведению при отключении электричества:

NO (Normally Open / Нормально открытые): Нет тока — дверь открыта. Это электромагнитные замки.
NC (Normally Closed / Нормально закрытые): Нет тока — дверь заперта. Это электромеханические защелки.

🔥 Боевой пример: Аппаратная разблокировка при пожаре
По ГОСТу пути эвакуации должны оборудоваться замками типа NO (магнитами). При срабатывании пожарной сигнализации (АПС) двери должны открыться. Фатальная ошибка: Интегрировать СКУД и АПС только по сети (софтово). Если при пожаре сгорит свитч или зависнет сервер, люди сгорят. Решение: Пожарная сигнализация должна рвать ПИТАНИЕ замков аппаратно (через "сухой контакт" реле пожарного прибора), независимо от того, что там думает контроллер СКУД!

Сравнение логики: Sigur vs TRASSIR

Главное, что нужно понимать инженеру: TRASSIR идет от видео и нейросетей, а Sigur идет от бизнес-логики и IT-инфраструктуры.

TRASSIR: Магия видеоаналитики и Python

Вся гибкость Трассира кроется в мощнейших модулях нейроаналитики и встроенном интерпретаторе Python. Сервером СКУД выступает сам видеосервер.

Умная стройка: Камера распознает лицо, но турникет не откроется, пока модуль аналитики не подтвердит, что на человеке надета каска и сигнальный жилет.
Двойная верификация авто: Камера читает номер авто, вторая камера распознает лицо водителя. Шлагбаум откроется только при совпадении пары "Машина + Водитель".

🔥 Боевой пример: Ловушка Antipassback (Запрет повторного прохода)
Вы настроили строгий Antipassback. Директор заходит на завод, но турникет был открыт, и он прошел "паровозиком" за сотрудником, не приложив карту. Вечером директор пытается выйти, прикладывает карту, а турникет пишет: "Ошибка: Нет входа" (система думает, что он еще на улице). Директор в бешенстве.
Решение: Для ТОП-менеджмента всегда настраивайте "Мягкий Antipassback" (система пускает, но пишет нарушение в лог) или ставьте галочку "Игнорировать правила зональности".

Sigur: Бог корпоративной логики и интеграций

Sigur — это конструктор для IT-директора и HR. Его гибкость в том, что он «из коробки» умеет общаться с огромным количеством стороннего софта.

Абсолютный контроль: СКУД + Алкотестер + 1С. При наличии алкоголя в выдохе турникет блокируется, а в 1С:ЗУП автоматически ставится прогул.
Полный HR-автоматизм: Интеграция с Active Directory. HR принимает человека на работу, Sigur сам создает пропуск и назначает права доступа. При увольнении пропуск блокируется в ту же секунду.

                Идеальный симбиоз: Логика доступов и турникеты строятся на контроллерах Sigur, а видеонаблюдение и распознавание лиц — на серверах TRASSIR. Системы интегрируются друг с другом по сети.
            

SCADA: Системы диспетчеризации

SCADA (Supervisory Control And Data Acquisition) — это «Режим Бога» для инженера. Система собирает данные со всех инженерных систем (вентиляция, электроснабжение, котельные) и выводит их на экран диспетчера.

Архитектура SCADA

Нижний уровень (Полевой): Датчики температуры, давления, реле, задвижки.
Средний уровень (ПЛК): Программируемые логические контроллеры (Овен, Wiren Board). Собирают сигналы и управляют клапанами.
Верхний уровень (SCADA-сервер): Софт, опрашивающий ПЛК по протоколам Modbus RTU/TCP или OPC UA.

🔥 Боевой пример: Убийство шины RS-485 (Modbus RTU)
Монтажники часто тянут кабель RS-485 от датчиков к ПЛК "звездой" (от каждого датчика свой кабель в одну точку). Это фатальная ошибка! RS-485 работает ТОЛЬКО по топологии "Шина" (гирлянда: от устройства к устройству). При "звезде" возникают отражения сигнала, и датчики начинают хаотично отваливаться. И не забывайте ставить согласующие резисторы (терминаторы 120 Ом) на первом и последнем устройстве в линии!

Лидеры рынка РФ

MasterSCADA: Абсолютный монополист. Применяется от котельных до ТЭЦ. Программируется на языках МЭК (ST, FBD) или C#.
Simple-Scada: Быстрорастущая, современная SCADA с красивым интерфейсом (DirectX/OpenGL). Скрипты на Pascal/Delphi.
Trace Mode: Ветеран рынка, невероятно надежная система для тяжелой промышленности и металлургии.
iRidium pro: Платформа для BMS (Умных зданий). Идеально для элитных ЖК и офисов. Скрипты на JavaScript.

                Суть ПНР в SCADA: Если в СКУД вы оперируете понятиями «Сотрудник» и «Дверь», то в SCADA вы оперируете «Тегами» (переменными) — регистрами в памяти контроллера, которые нужно привязать к графическим элементам на экране (мнемосхеме).
            

Экосистема Eltex

Eltex идет от «сетевой инфраструктуры». Это крупнейший российский производитель телекоммуникационного оборудования, который строит свою экосистему «Умное здание».

Суперсила Eltex: Моновендорность

С Eltex можно построить всю IT-инфраструктуру здания на одном бренде:

Ядро сети и коммутаторы доступа
Wi-Fi по всему зданию
IP-телефония
SIP-домофоны и СКУД
IP-камеры

Специфика для инженера ПНР

Чтобы работать с Eltex, нужно стать сетевым инженером (Network Engineer). Вы должны уметь работать в командной строке (CLI) коммутаторов, настраивать VLAN, транки, маршрутизацию, PoE-бюджеты и QoS.

Нюанс по СКУД: СКУД для Eltex — молодое направление. Для базовых задач (ЖК, апарт-отели) их SIP-домофоны идеальны. Но для сложной корпоративной логики (хитрые графики, алкотестирование) Sigur пока значительно гибче.

С чего начать погружение в ПНР?

Шаг 1. Подтянуть IT-базу

Сети: IP-адресация, маски, шлюзы, VLAN.
Базы данных: Основы SQL (SELECT, UPDATE, INSERT) для работы с БД СКУД.
ОС: Базовое администрирование Windows Server и основы командной строки Linux.

Шаг 2. Развернуть виртуальные стенды (Бесплатно)

Вендоры дают возможность тренироваться бесплатно:

Sigur: Скачайте серверное ПО, включите режим эмуляции контроллеров и создайте виртуальную проходную.
TRASSIR: Скачайте демо-версию, подключите веб-камеру или RTSP-поток со смартфона, настройте аналитику.

Шаг 3. Собрать "настольный стенд"

Купите б/у IP-контроллер (Sigur E500 или Z-5R Web), считыватель Mifare, несколько карточек и блок питания. Задача: обжать витую пару, подключить всё на столе и добиться, чтобы при прикладывании карты реле щелкало.

Шаг 4. Программирование (Уровень PRO)

Выучите основы Python. Напишите скрипт в TRASSIR для отправки уведомлений в Telegram или скрипт для добавления сотрудников в Sigur через их API.

Практические советы и частые "грабли" ПНР

В полях голая теория часто разбивается о суровую реальность. Вот топ-5 практических сетевых проблем, с которыми вы столкнетесь на объектах.

1. Ловушка PoE-бюджета (Power over Ethernet)

Часто монтажники покупают 24-портовый PoE-коммутатор и думают, что в него можно воткнуть 24 камеры. Но если суммарная мощность камер (особенно ночью, когда включается ИК-подсветка) превысит бюджет коммутатора, он начнет хаотично отключать порты.

Пример: У вас коммутатор с бюджетом PoE 120 Вт. Вы подключаете 24 камеры. Каждая потребляет 7 Вт (ночью с ИК-подсветкой). 24 * 7 = 168 Вт.
Итог: Коммутатору не хватает мощности. Ночью часть камер будет просто отключаться и перезагружаться.
Правило: Всегда считайте суммарное потребление устройств (ватты) перед покупкой железа! Оставляйте запас в 15-20%.

2. Сетевые петли (Broadcast Storm)

Самый страшный сон сисадмина. Классика жанра: монтажник случайно воткнул оба конца одного патч-корда в один коммутатор (или соединил два коммутатора двумя кабелями без настройки агрегации).

Симптомы: Пакеты начинают бесконечно летать по кругу, размножаясь с огромной скоростью. Вся сеть предприятия "ложится" за секунду. Лампочки на коммутаторах начинают бешено мигать всеми портами одновременно. Пинги пропадают.
Решение: Ищите петлю и выдергивайте кабель. На всех управляемых коммутаторах (Eltex, Cisco, Mikrotik) первым делом ОБЯЗАТЕЛЬНО включайте протокол STP / RSTP (Spanning Tree Protocol). Он сам найдет петлю и программно заблокирует лишний порт, спасая сеть от падения.

3. Физика витой пары

Правило 100 метров: По стандарту Ethernet максимальная длина кабеля от коммутатора до камеры — 100 метров. На 105 метрах камера может работать днем, но отваливаться ночью (из-за просадки напряжения PoE при включении ИК-подсветки). Если нужно дальше — ставьте PoE-экстендеры (удлинители) или оптику.
Обжимка: Всегда обжимайте коннекторы RJ-45 по стандарту T568B (Бело-оранжевый, Оранжевый, Бело-зеленый, Синий, Бело-синий, Зеленый, Бело-коричневый, Коричневый). Если перепутать пары местами, линк может подняться, но скорость упадет до 10 Мбит/с, и видео будет жутко тормозить (возникнут коллизии на физическом уровне).

4. Удаленный доступ (Как выпустить систему в мир)

Заказчик всегда хочет смотреть камеры или СКУД с телефона из дома. Есть 3 пути:

P2P (Облако): Самый простой. Включаете галочку P2P в регистраторе, сканируете QR-код телефоном. Минусы: работает через чужие серверы (часто китайские), может тормозить, небезопасно для крупных объектов.
Белый IP + Проброс портов (Port Forwarding): Провайдер дает статический (белый) IP-адрес роутеру. Вы на роутере настраиваете правило: "Всех, кто стучится снаружи на порт 8000, перенаправлять на внутренний IP камеры 192.168.1.50".
VPN (Высший пилотаж): На роутере (например, Mikrotik или Keenetic) поднимается VPN-сервер (WireGuard или OpenVPN). Заказчик включает VPN на телефоне и оказывается как бы внутри локальной сети офиса. Это самый безопасный и профессиональный метод.

5. Алгоритм траблшутинга: "Камера не в сети"

Если устройство не пингуется, не спешите его менять. Идите по шагам (модель OSI снизу вверх):

                Физика: Горит ли лампочка (линк) на порту коммутатора? Если нет — проблема в кабеле, коннекторе или питании. Переобожмите кабель.
Канал (MAC): Напишите в консоли arp -a. Виден ли MAC-адрес камеры? Если MAC виден, а пинга нет — значит, у вас на ноутбуке и на камере настроены разные подсети (разные маски).
Сеть (IP): Нет ли конфликта IP-адресов? Попробуйте отключить камеру от сети (выдернуть кабель) и запустить ping на её адрес. Если пинг всё равно идет — значит, этот IP уже занят кем-то другим в сети (например, чьим-то смартфоном)!

            

Интеграции по API: Как системы общаются друг с другом

Времена, когда системы связывали "сухими контактами" (проводками), прошли. Сейчас СКУД, 1С и Видеонаблюдение общаются по сети через API (Application Programming Interface).

1. Что такое REST API?

Это набор правил, по которым одна программа может попросить другую что-то сделать по протоколу HTTP (как в браузере).

GET-запрос: "Дай мне информацию". (Например, 1С запрашивает у Sigur список всех проходов Иванова за месяц).
POST-запрос: "Создай/Измени данные". (Например, HR добавляет Иванова в 1С, и 1С отправляет POST-запрос в Sigur, чтобы тот создал Иванову пропуск).

2. Форматы данных: JSON и XML

Чтобы программы понимали друг друга, данные передаются в структурированном текстовом виде. Сегодня стандартом является JSON.

{
  "employee_id": "1054",
  "name": "Иванов Иван",
  "event": "access_granted",
  "time": "2026-05-08T08:00:00"
}

🔥 Боевой пример: Тормоза 1С и "Синхронные" запросы
Худшее, что можно сделать — настроить СКУД так, чтобы при поднесении карты контроллер отправлял запрос в 1С: "Можно пустить?", и ждал ответа. 1С — система медленная. Человек приложит карту и будет стоять перед закрытым турникетом 3-5 секунд, собирая пробку на проходной.
Решение (Асинхронность): 1С должна раз в час выгружать списки доступов в базу Sigur. Контроллер Sigur принимает решение локально за 0.1 секунды, а уже потом, в фоновом режиме, отправляет лог прохода обратно в 1С для учета рабочего времени.

3. Инструменты ПНР-щика (Postman)

                Если интеграция СКУД и 1С не работает, инженер не должен гадать. Он открывает программу Postman, вбивает туда IP-адрес сервера СКУД, формирует тестовый JSON-запрос и смотрит, какой ответ (HTTP Status Code) вернет сервер:
                200 OK: Всё отлично, запрос принят.
401 Unauthorized: Ошибка логина/пароля (или токена) API.
400 Bad Request: Вы отправили кривой JSON (например, забыли запятую).

            

Протоколы видеонаблюдения: ONVIF vs RTSP

Главная проблема видеонаблюдения — "зоопарк" брендов. Как заставить камеру Dahua работать с сервером TRASSIR или регистратором Hikvision? Для этого есть два универсальных языка.

1. RTSP (Real-Time Streaming Protocol)

Это "тупая труба", по которой льется только видео и звук. Больше ничего.

Плюсы: Поддерживается вообще всеми IP-камерами в мире (даже самыми дешевыми с AliExpress).
Минусы: Сервер не может управлять камерой. Он не может изменить её IP, не может покрутить объектив (PTZ), не может получить от камеры сигнал "Я увидела движение". Серверу приходится самому анализировать каждый кадр, что сильно грузит процессор.
Пример ссылки: rtsp://admin:12345@192.168.1.50:554/stream1 (Эту ссылку можно открыть даже в плеере VLC на компьютере).

                🔥 Боевой пример: Рассыпание картинки (I-Frame и Битрейт)

                Заказчик жалуется: "Когда человек идет, за ним тянется шлейф из квадратиков (артефактов)". Это не камера плохая, это кривая настройка кодека H.265. Решение: Проверьте параметр Опорный кадр (I-Frame Interval). Он должен быть равен частоте кадров (FPS) или в 2 раза больше. Если FPS=25, I-Frame должен быть 25 или 50. Если поставить 100 — картинка будет "рассыпаться" при малейшем движении.

2. ONVIF (Open Network Video Interface Forum)

Это "умный" стандарт общения. Если камера и сервер поддерживают ONVIF, они становятся лучшими друзьями.

Сервер может сам найти камеру в сети.
Сервер может менять настройки камеры (яркость, битрейт).
Главное: Камера сама детектирует движение и присылает серверу легкое текстовое уведомление ("Тут кто-то ходит!"), а сервер уже включает запись. Это экономит 80% мощности сервера.

🔥 Скрытая деталь: Рассинхрон времени (NTP)
Вы подключаете новую камеру по ONVIF к серверу, вводите верный пароль, а сервер пишет "Ошибка авторизации". Почему? Потому что на камере стоит 1970 год, а на сервере 2026. Протокол безопасности ONVIF (WS-Security) отклоняет запросы со старыми метками времени, считая их хакерской атакой (Replay Attack). Правило: Первым делом настраивайте NTP-сервер на всех камерах!

Частая "грабля" ПНР: Вы подключаете камеру по ONVIF, видео нет, выдает ошибку пароля. Секрет: У многих современных камер (особенно Hikvision) по умолчанию ONVIF отключен! Нужно зайти в веб-интерфейс камеры, включить ONVIF и создать отдельного пользователя для ONVIF (он может отличаться от пароля для входа в веб-интерфейс).

Основы Linux для инженера ПНР

Современные серверы СКУД (Sigur, RusGuard) и Видеонаблюдения (TRASSIR OS, Macroscop) всё чаще ставятся на Linux (Debian, Ubuntu). Забудьте про мышку — добро пожаловать в консоль.

Топ-5 команд для выживания на объекте:

1. Узнать IP-адрес сервера:

ip a

(Аналог ipconfig в Windows. Ищите строчки, начинающиеся с inet, например inet 192.168.1.10).

2. Проверить, работает ли служба (серверный модуль):

systemctl status sigur-server

(Покажет, запущен ли сервер СКУД. Если упал — напишет причину красным цветом. Для перезапуска используйте systemctl restart sigur-server).

3. Чтение логов в реальном времени (Магия ПНР):

tail -f /var/log/syslog

(Команда tail -f выводит последние строки файла и обновляет экран в реальном времени. Вы прикладываете карточку к считывателю и сразу видите в консоли, как сервер её обрабатывает).

4. Проверка нагрузки (Почему всё тормозит?):

htop

(Красивый диспетчер задач. Показывает загрузку процессора, оперативной памяти и список самых тяжелых процессов. Выход — клавиша F10 или Q).

5. Редактирование сетевых настроек:

nano /etc/network/interfaces

(Открывает простой текстовый редактор прямо в консоли. Используется для изменения IP-адреса сервера со статики на DHCP или наоборот. Сохранить — Ctrl+O, Выйти — Ctrl+X).

                Лайфхак: В Linux можно нажимать клавишу Tab для автодополнения команд и путей к файлам. Не пишите длинные пути руками, напишите первые 3 буквы и нажмите Tab!
            