1. Что такое ONVIF Profile S

ONVIF (Open Network Video Interface Forum) — это глобальный стандарт, разработанный для обеспечения совместимости между устройствами видеонаблюдения разных производителей. Profile S — это подмножество спецификации ONVIF, ориентированное на передачу видео и аудио в реальном времени.

Profile S включает следующие функции:

• Обнаружение устройств по протоколу WS-Discovery (UDP 3702).
• Аутентификация по логину/паролю (HTTP Digest или Basic).
• Получение URI видеопотоков через запрос GetStreamUri.
• Передача видео по протоколу RTSP (порт 554) с использованием кодеков H.264, H.265, MJPEG.
• Управление PTZ (Pan/Tilt/Zoom) через команды ONVIF, если устройство поддерживает.
• Синхронизация времени через NTP или встроенные механизмы.

Использование ONVIF Profile S позволяет избежать привязки к проприетарным SDK и упрощает интеграцию в сторонние VMS, такие как Milestone XProtect, Genetec, AxxonSoft и другие. Для Hikvision это особенно важно, так как их родной протокол (ISAPI) не всегда поддерживается в полном объёме сторонними системами.

2. Подготовка оборудования

Успешная интеграция требует соблюдения минимальных требований к версиям ПО и сетевой доступности.

Версии прошивки Hikvision

Поддержка ONVIF Profile S появилась в прошивках начиная с версии 5.4.5, но стабильная работа обеспечивается только с 5.7.0 и выше. Рекомендуется обновить камеру до последней доступной версии через веб-интерфейс или Hikvision Batch Configuration Tool. Устаревшие прошивки могут не передавать URI потоков корректно или не поддерживать H.265 через ONVIF.

Версии Milestone XProtect

Milestone XProtect Express и Express+ не поддерживают добавление устройств по ONVIF. Требуется как минимум XProtect Smart Client или выше (Professional, Expert, Corporate). Убедитесь, что на сервере установлены последние обновления (Hotfixes), так как они часто содержат улучшения совместимости с ONVIF-устройствами.

Сетевые требования

Камера и сервер XProtect должны иметь IP-связность. Необходимо открыть следующие порты:

• 80/TCP или 443/TCP — для HTTP/HTTPS и ONVIF-запросов.
• 554/TCP — для RTSP-потока (видео).
• 8899/TCP — альтернативный порт ONVIF на некоторых моделях Hikvision (например, DS-2CD2xxx).
• 3702/UDP — для WS-Discovery (опционально, если используется автоматическое обнаружение).

Если камеры находятся в отдельном VLAN, убедитесь, что маршрутизация и ACL разрешают трафик между сетями.

Компонент	Минимальное требование	Рекомендуемое
Hikvision прошивка	5.4.5	5.8.0+
Milestone XProtect	Smart Client	Professional 2023 R2+
Сетевой доступ	Порты 80, 554 открыты	Порты 80, 443, 554, 8899 открыты

3. Настройка ONVIF на камере Hikvision

Настройка выполняется через веб-интерфейс камеры. Интерфейс может отличаться в зависимости от серии (AcuSense, ColorVu, DarkFighter), но логика идентична.

Шаг 1: Доступ к веб-интерфейсу

Откройте браузер и введите IP-адрес камеры. Авторизуйтесь под учётной записью с правами администратора.

Шаг 2: Включение ONVIF

1. Перейдите в раздел: Configuration → Network → Advanced Settings → Integration Protocol.
2. Установите флажок Enable ONVIF.
3. В поле Port укажите:
   • 80 — если используется HTTP,
   • 443 — если включён HTTPS,
   • 8899 — если камера не отвечает на 80/443 (характерно для некоторых моделей 2018–2020 гг.).
4. Опция Enable WS-Discovery может быть включена для автоматического обнаружения в локальной сети, но не обязательна для ручного добавления.
5. Нажмите Save.

После сохранения камера может перезагрузить сетевой стек. Это нормально.

Шаг 3: Проверка статуса

В том же разделе после перезагрузки должно отображаться: ONVIF: Enabled, Port: 80. Если статус не изменился — проверьте, не блокирует ли функцию прошивка (некоторые OEM-версии от операторов связи имеют ONVIF отключённым на уровне firmware).

4. Создание пользователя ONVIF

ONVIF требует отдельного пользователя с явно заданными правами. Глобальный аккаунт admin не рекомендуется использовать по соображениям безопасности.

Шаг 1: Создание локального пользователя

1. Перейдите: Configuration → System → User.
2. Нажмите Add.
3. Заполните поля:
   • User Name: используйте имя без пробелов и кириллицы, например, milestone_onvif.
   • Password: минимум 8 символов, с цифрами и заглавными буквами.
   • Confirm Password: повторите пароль.
   • User Level:
     • Viewer — только просмотр видео,
     • Operator — просмотр + PTZ + экспорт,
     • Administrator — полный доступ (не рекомендуется).
4. Нажмите OK.

Шаг 2: Привязка пользователя к ONVIF

1. Вернитесь в раздел Integration Protocol.
2. В выпадающем списке ONVIF User выберите созданного пользователя.
3. Сохраните настройки.

⚠️ Учётные записи, синхронизированные с Active Directory или LDAP, не отображаются в списке ONVIF User. Только локальные пользователи поддерживаются.

5. Добавление камеры в Milestone XProtect

Процедура выполняется в Management Client на сервере XProtect.

Шаг 1: Запуск Device Manager

Откройте Milestone XProtect Management Client под учётной записью с правами администратора системы.

Шаг 2: Ручное добавление устройства

1. Перейдите в Device Manager.
2. Нажмите правой кнопкой в пустой области → Add Device.
3. В мастере добавления:
   • Выберите категорию: ONVIF.
   • В списке устройств: Generic ONVIF (не выбирайте Hikvision — это проприетарный драйвер).
4. На следующем экране укажите:
   • Host Name or IP Address: IP-адрес камеры.
   • Port: 80 (или 8899, если использовали его в настройках камеры).
   • User Name: имя ONVIF-пользователя.
   • Password: пароль.
5. Нажмите Next.

Шаг 3: Получение потоков

Milestone отправит запрос GetCapabilities и GetProfiles к камере. Если аутентификация успешна, отобразится список видеопотоков (profiles). Если окно пустое — проверьте логи XProtect и настройки ONVIF на камере.

6. Выбор видеопотока (Main/Secondary)

Hikvision генерирует два независимых видеопотока, каждый со своими параметрами:

Main Stream (Основной поток)

• Разрешение: максимальное (например, 3840×2160).
• Частота кадров: до 30 fps.
• Битрейт: переменный или постоянный, до 16 Мбит/с.
• Назначение: архивная запись, детальный анализ.

Sub-Stream (Дополнительный поток)

• Разрешение: низкое (например, 704×576 или 640×480).
• Частота кадров: до 15 fps.
• Битрейт: 256–1024 Кбит/с.
• Назначение: live-просмотр, мобильные устройства.

Добавление в XProtect

Рекомендуется добавлять оба потока как отдельные устройства:

1. При первом добавлении выберите Main Stream, назовите камеру Entrance_Main.
2. Повторите процедуру добавления для той же камеры, но выберите Sub-Stream, назовите Entrance_Sub.

В правилах записи назначьте Main Stream на архив, а в макетах Live View используйте Sub-Stream для экономии пропускной способности сети и ресурсов клиента.

7. Поддержка PTZ через ONVIF

Управление PTZ через ONVIF работает, если:

• Камера физически поддерживает PTZ (купольные, скоростные купола).
• В настройках камеры включён PTZ-протокол (в Hikvision это обычно ONVIF или Hikvision по умолчанию).
• ONVIF-пользователь имеет уровень Operator или выше.

В Milestone XProtect при клике правой кнопкой на окне камеры появляется меню PTZ с элементами управления. Все команды (движение, зум, пресеты) передаются через ONVIF-методы ContinuousMove, RelativeMove, GotoPreset.

Если PTZ не отвечает, но видео есть — проверьте права пользователя и настройки PTZ в веб-интерфейсе камеры (раздел Configuration → PTZ).

8. Проверка работы

После добавления выполните полную проверку:

• Live View: изображение отображается без артефактов, задержка ≤ 2 сек.
• Запись: в окне Recording Server статус «Recording», на диске растёт объём архива.
• Архив: при воспроизведении за вчерашний день видео доступно.
• PTZ (если есть): камера реагирует на команды, пресеты работают.
• Логи: в Management Client → View → Logs нет ошибок типа «Authentication failed» или «RTSP timeout».

Также проверьте использование ресурсов сервера: CPU и дисковая подсистема не должны быть перегружены из-за некорректного битрейта.

9. Типичные ошибки и решения

Симптом	Глубокая причина	Диагностика и решение
«Invalid username or password» при добавлении	Пользователь не привязан к ONVIF или использует AD-аккаунт	Проверить выпадающий список ONVIF User в камере; создать локального пользователя
Видео добавляется, но чёрный экран	Брандмауэр блокирует RTSP (порт 554)	Проверить связность: telnet [IP] 554; открыть порт на сервере и камере
Нет PTZ-управления	Уровень пользователя — Viewer	Изменить уровень на Operator в настройках камеры
Камера не отвечает на порту 80	Прошивка использует порт 8899 для ONVIF	Попробовать порт 8899 при добавлении в XProtect
Запись есть, но live — нет	В XProtect выбран только Main Stream, а сеть не тянет его в live	Добавить Sub-Stream отдельно и использовать его для просмотра
Частые отключения камеры	Нестабильное питание PoE или перегрев	Проверить журнал камеры (System → Log); заменить PoE-инжектор

10. Рекомендации по безопасности

• Изолируйте сеть видеонаблюдения в отдельный VLAN без доступа из пользовательской сети.
• Используйте HTTPS для веб-интерфейса камеры и ONVIF (порт 443), чтобы избежать перехвата учётных данных.
• Отключите ненужные сервисы на камере: Telnet, FTP, UPnP.
• Регулярно обновляйте прошивку — Hikvision выпускает патчи для уязвимостей (например, CVE-2021-36260).
• Не используйте учётную запись admin для ONVIF — создавайте отдельного пользователя с минимальными правами.
• Ограничьте IP-доступ к камере через ACL (в разделе Security → IP Filtering).

11. Заключение

Интеграция Hikvision в Milestone XProtect через ONVIF Profile S — это стандартный, безопасный и масштабируемый подход.

Ключевые принципы успеха:

• Использовать актуальные версии прошивки и XProtect.
• Создавать отдельного локального пользователя с правами Operator или Viewer.
• Привязывать этого пользователя к ONVIF в настройках камеры.
• Добавлять Main и Sub потоки отдельно для оптимизации ресурсов.
• Проверять сетевую доступность по портам 80/443 и 554.

Этот метод обеспечивает стабильную работу, упрощает поддержку и гарантирует совместимость при расширении системы.