Слабое звено IP-видеонаблюдения. Решаем проблемы с сетью передачи данных

Вы купили дорогое и функциональное сетевое устройство, и вам не терпится ввести свое новое приобретение "в бой". Очевидно, что единственный способ заставить покупку работать -- подключить её к локальной компьютерной сети (конечно, вы можете использовать IP-камеры как муляжи, но если вы хотите, чтобы устройство функционировало, без сети не обойтись никак). К сожалению, не всегда новый видеорегистратор работает "из коробки" -- при интеграции устройств в сетевую инфраструктуру может возникнуть ряд неочевидных трудностей, обусловленных, как правило, самой инфраструктурой. Маркетинговый миф о простоте IP-видеонаблюдения был опровергнут головной болью практического опыта. Чтобы технический специалист сохранил на работе нервные клетки (свои и шефа), ему надо быть компетентным в сетях. Он должен назубок знать алгоритмы исправления типичных "багов" или, как минимум, понимать фундаментальные принципы для самостоятельного решения проблем.

Ты мне не начальник!

Первым делом вам следует узнать, можете ли вы активно управлять рассматриваемой сетью. В большинстве сетей, применяемых дома или в малом бизнесе, используются неуправляемые коммутаторы (коммутатор -- то же самое, что "свитч" на жаргоне). Обычно в них нет никаких инструментов мониторинга или диагностики сети. Это, увы, не поспособствует устранению неполадок: свитч не сможет сообщить вам, в нем ли скрыта проблема, или где она потенциально может быть. Единственным индикатором состояния будет веселое моргание светодиодов, показывающее, что устройство запущено, подключено к внешней сети и работает (или пытается работать) с определенным портом.

В высококлассных промышленных сетях обычно ставят управляемые коммутаторы, снабженные средствами диагностики и измерения производительности. Эти процедуры можно делать на различных уровнях (слово "уровень" в таких случаях -- не просто абстракция, а вполне конкретная сущность концептуальной модели OSI). Сотрудники ИТ-службы имеют доступ к этим средствам, а от остальных смертных эти возможности защищены логином и паролем администратора. В таких сетях можно управлять типом и скоростью соединений от свитча до отдельных устройств. Можно делать еще много разных вещей. Для диагностики существует множество средств: например, набор команд SNMP ("протокол простого управления сетью"), системы распознавания вторжения в сеть (IDS), функции разграничения логического доступа (NAC). Всё это позволяет отслеживать состояние устройств и создавать различные отчеты по сбоям сети или её отдельных компонентов. Обычно работа с этим инструментарием -- привилегия ИТ-отдела. Интеграторам систем безопасности со своей стороны необходимо убедиться, что сетевые охранные устройства внесены в список задач диагностического программного обеспечения. То есть, что их функциональность в самом деле контролируется.

Вопросы и ответы первоначальной инсталляции

Выберите правильные адреса. Большинство проблем, возникающих во время первоначальной установки сетевых охранных устройств, связано либо с выбором неподходящих IP-адресов, либо с дефектами кабельных соединений, либо с неправильной настройкой виртуальных портов.

Инсталлятор должен узнать, какие IP-адреса используются в сети, и какие из них свободны. Самый простой путь сделать это -- выполнить в консоли любого подключенного к сети компьютера команду ipconfig.

Эта команда покажет вам, какой используется диапазон IP-адресов, какая верная маска подсети, и какой адрес у стандартного шлюза или маршрутизатора. С помощью этой информации технические сотрудники, устанавливающие охранное оборудование, смогут выбрать IP-адреса, а так же ввести маску подсети и адрес шлюза. Проверить, свободен ли выбранный IP-адрес, можно с помощью команды ping (например, ping 192.168.1.25). Если адрес не откликается, значит, в данный момент он свободен. Но имейте в виду, что расположенный по этому адресу компьютер может быть просто выключен. Проверка адреса на незанятость очень важна -- в случае появления в сети двух устройств с одинаковыми IP ни одно из них не будет работать.

Проверкакабелей. Все кабели должны подозреваться в наличии дефекта. Без разницы, использовался ли он уже много лет, или был проложен сегодня -- эта паранойя в итоге сэкономит ваше время. Обычно мало кто предполагает, что проблемное звено -- пачкорд, ведь в нем же, кажется, нечему ломаться! Тем не менее, практика показывает, что более половины сетевых неисправностей связано с физическими недостатками кабелей или сетевых разъемов. Всегда проверяете любой отрезок кабеля двусторонним тестером и всегда заменяйте любой подозрительный разъем.

Штекер разъема RJ-45 удерживается в гнезде маленькой пластиковой защелкой. Часто бывает, что она со временем ослабевает, и коннектор частично выходит из порта. Несмотря на наличие контакта, соединение будет плохим, сигнал -- слабым, а данные -- поврежденными. Это очень распространенная причина сетевых сбоев. Если разъем надежно не защелкивается в гнезде, замените его. Профилактика позволит избежать ненужных звонков в техподдержку вендора с жалобами на нестабильно работающее оборудование.

Волоконно-оптические кабели можно проверить с помощью обычного фонарика. Просто приложите включенный фонарик к оптическому разъему с одной стороны кабеля и попросите кого-нибудь посмотреть на другой. Если свет проходит, волокно и разъемы исправны. Если же разъем остается темным, то участок кабеля неисправен. Скорее всего, проблема существует или на сопряжении волокна с разъемами, или на одной из склеек (если они есть). Вы планируете использовать существующую оптическую сеть? Советуем запастись оптоволоконными разъемами подходящего типа. Будьте готовы заменить ими старые. Было множество случаев, когда на неиспользуемое или "темное" оптоволокно ставились некачественные соединители ("темное" волокно продается или арендуется как физическая линия, а не как логический канал).

Программирование виртуальных портов. Одно из главных достоинств IP-оборудования -- возможность удаленного доступа. Если вы настроите все правильно, то сможете заходить на свой NVR откуда угодно, из любой точки планеты. Чтобы сконфигурировать устройство, техническим сотрудникам необходимо понимать концепцию виртуальных портов, и правильно определять их для разных приложений на разных сетевых компонентах. Напомним нашим читателям, что виртуальный порт -- это свойство пакета данных, определяющее его предназначение для той или иной программы. Для доступа к веб-интерфейсу сетевых видеорегистраторов или камер обычно используется порт 80 -- стандартный порт протокола HTTP. Умное планирование сетевой безопасности предполагает изменение его на число больше 1600. Всего может быть 65 435 портов, и если номер порта -- достаточно большое число, то использующему сетевой сканер злоумышленнику будет тяжелее его отыскать.

После определения виртуального порта его номер следует прописать в настройках трансляции сетевых адресов в маршрутизаторе, чтобы при обращении извне роутер "перебрасывал" пользователя на этот порт внутреннего сетевого устройства. Не забудьте "открыть" порт во всех файрволах. Очень часто бывает, что сетевое приложение не получает пакеты только потому, что они блокируются файрволом по номеру виртуального порта. Имейте в виду, что файрволы часто встроены в современные роутеры, свитчи и модемы.

Корень еще одной возможной проблемы заключается в том, что ПО некоторых устройств требует нескольких открытых портов. А системный администратор, увы, об этом не знает. Например, четырехканальному сетевому видеорегистратору одновременно нужны три порта: один для управления, второй для передачи видео реального времени, третий для работы с архивом. Эти порты должны быть открыты для протоколов TCP и UDP. Если инсталлятор этого не знал и не открыл все три порта, то пользователь если и сможет подсоединиться к видеорегистратору через Интернет, то никакого видео не посмотрит.

Промышленная сеть: поделитесь заботами с ближним

Если на объекте развернута локальная сеть промышленного уровня, то, скорее всего, в компании заказчика есть штатные системные администраторы. Их обязанность -- обеспечивать работоспособность и защищенность сети. Почему-то нередко бывает, что эту работу выполняют высокомерные заносчивые юноши с огромным, но ничем не подкрепленным самомнением (на поверку их квалификация в области сетевых технологий часто оказывается неудовлетворительной).Тем не менее, системный администратор сможет сказать вам, какие лучше выбрать IP-адреса, какую задать маску подсети, какой прописать шлюз, и на какие порты лучше "повесить" охранный софт. Если работники ИТ-отдела заказчика соответствующим образом настроили файрволы, а инсталляторы аккуратно сконфигурировали охранные устройства, все должно работать хорошо. Напоминаем: не забудьте протестировать каждый используемый кабель!

Когда система запущена и эксплуатируется, проблемы сами по себе возникают редко. Обычно их инициирует человеческий фактор. "Айтишники" заказчика могут внести в сетевую инфраструктуру аппаратные и программные изменения, не слишком беспокоясь о последствиях для системы физической безопасности. Изменение конфигурации управляемого коммутатора может привести к отключению охранных устройств от сети или сокращению доступной полосы пропускания. Если ширина канала IP-камеры или видеосервера падает, то обычно адаптивно увеличивается степень сжатия. Следовательно, страдает качество.

Если проблема возникла в устройстве, которое раньше работало нормально, то алгоритм действий технического сотрудника сравнительно прост. Во-первых, следует убедиться, что компонент по-прежнему подключен к компьютерной сети, а "счастливый" светодиод горит (он есть почти на всех сетевых устройствах). Если он включен или моргает, устройство подключено. Если не горит, надо проверить кабельное соединение до коммутатора -- возможно, в серверной выдернут сетевой кабель. Может быть, проблему решит простое переподключение и перезагрузка устройства.

Питание и сеть проверили? Тогда лучше обратиться к системным администраторам. Войдите в роль следователя: спросите их, не меняли ли они чего-нибудь в последнее время. Замена коммутатора или маршрутизатора, их перепрошивка, изменения в кабельной системе -- любое из этих действий может парализовать работу охранного оборудования. Это, конечно, не трагедия -- проблема будет решена изменением программной конфигурации затронутых компонентов сети.

Использование параллельной сети

Система безопасности -- критически важная часть инфраструктуры. Если не жаль средств, можно развернуть для охранной системы отдельную, параллельную IP-cеть. Тогда можно будет не бояться, что системные администраторы заказчика по случайности выведут из строя систему безопасности. Кроме того, физическое развязывание сетей позволит вам повысить безопасность хранимого архива. Но не забывайте о том, что на операционном уровне безопасность теснее и теснее интегрируется с бизнес-процессами. С технической стороны видеонаблюдение интегрируется со СКУД, СКУД -- с ERP-системами... Объясните это заказчику и примите решение о сетевой инфраструктуре вместе с ним. Для каждого объекта оно будет индивидуальным.