En este artículo, hablaremos sobre los conceptos básicos de capturar y analizar el tráfico SIP generado por las PBX 3CX. El artículo está dirigido a administradores de sistemas novatos o usuarios comunes cuyas responsabilidades incluyen el mantenimiento de la telefonía. Para un estudio en profundidad del tema, le recomendamos que complete el
curso de capacitación avanzada 3CX .
3CX V16 le permite capturar tráfico SIP directamente a través de la interfaz web del servidor y guardarlo en el formato estándar Wireshark PCAP. Puede adjuntar el archivo de captura al contactar con el soporte técnico o descargarlo para autoanálisis.
Si 3CX se ejecuta en Windows, debe instalar Wireshark en el servidor 3CX usted mismo. De lo contrario, cuando intente capturar, aparecerá el siguiente mensaje.
En los sistemas Linux, tcpdump se instala automáticamente cuando instala o actualiza 3CX.
Captura de tráfico
Para comenzar a capturar, vaya a la sección de la interfaz Inicio> Eventos SIP y seleccione la interfaz en la que desea capturar. También puede capturar tráfico en todas las interfaces simultáneamente, excepto las interfaces de túnel IPv6.
En 3CX para Linux, puede capturar el tráfico para el host local (lo). Esta captura se utiliza para analizar conexiones de clientes SIP utilizando la tecnología de
túnel 3CX y el controlador de borde de sesión .
El botón Traffic Capture inicia Wireshark en Windows o tcpdump en Linux. En este punto, debe reproducir rápidamente el problema, porque Capture carga el procesador y ocupa suficiente espacio en disco.
Preste atención a los siguientes parámetros de llamada:
- El número que se llamó, que fue llamado por otros números / participantes de la llamada.
- La hora exacta en que ocurrió el problema en el reloj del servidor 3CX.
- La ruta de la llamada.
Intente no hacer clic en otros lugares de la interfaz, excepto el botón "Detener". Tampoco haga clic en otros enlaces en esta ventana del navegador. De lo contrario, la captura de tráfico continuará en segundo plano y generará una carga adicional en el servidor.
Obteniendo archivo de captura
El botón Detener detiene la captura y guarda el archivo de captura. Puede descargar el archivo a su computadora para analizarlo en la utilidad Wireshark o generar un archivo especial de
soporte técnico que incluirá esta captura y otra información de depuración. Después de la descarga o inclusión en el paquete de soporte técnico, el archivo de captura se elimina automáticamente del servidor 3CX por razones de seguridad.
En el servidor 3CX, el archivo se encuentra en la siguiente ubicación:
- Windows: C: \ ProgramData \ 3CX \ Instance1 \ Data \ Logs \ dump.pcap
- Linux: /var/lib/3cxpbx/Instance/Data/Logs/dump.pcap
Para evitar una mayor carga del servidor o pérdida de paquetes durante la captura, el período de captura se limita a 2 millones de paquetes. Después de eso, la captura se detiene automáticamente. Si necesita una captura más larga, use la utilidad Wireshark separada, como se describe a continuación.
Captura de tráfico de Wireshark
Si está interesado en un análisis más profundo del tráfico de red, captúrelo manualmente. Descargue la utilidad Wireshark para su sistema operativo
desde aquí . Después de instalar la utilidad en el servidor 3CX, vaya a Captura> Interfaces. Todas las interfaces de red del sistema operativo se mostrarán aquí. Las direcciones IP de la interfaz se pueden mostrar en IPv6. Para ver la dirección IPv4, haga clic en la dirección IPv6.
Seleccione la interfaz para capturar y haga clic en el botón Opciones. Desmarque Capturar tráfico en modo promiscuo y deje el resto de la configuración sin cambios.
Ahora deberías reproducir el problema. Cuando se reproduzca el problema, detenga la captura (menú Captura> Detener). Puede seleccionar mensajes SIP en el menú Telefonía> Flujos SIP.
Conceptos básicos de análisis de tráfico - Mensaje SIP INVITE
Considere los campos principales del mensaje INVITE SIP que se envía para establecer una llamada VoIP, es decir Es el punto de partida para el análisis. Por lo general, SIP INVITE incluye de 4 a 6 campos con información que utilizan los dispositivos terminales SIP (teléfonos, puertas de enlace) y operadores de telecomunicaciones. Comprender el contenido de INVITE y los mensajes que le siguen a menudo ayuda a determinar la fuente del problema. Además, conocer los campos INVITE ayuda al conectar operadores SIP a 3CX o al combinar 3CX con otros intercambios SIP.
En un mensaje INVITE, los usuarios (o dispositivos SIP) se identifican por URI. Por lo general, un URI SIP es el número de teléfono del usuario + la dirección del servidor SIP. SIP URI es muy similar a una dirección de correo electrónico y está escrito como sip: x @ y: Port.
Request-Line-URI:
Request-Line-URI: el campo contiene el destinatario de la llamada. Contiene la misma información que en el campo Para, pero sin un Nombre para mostrar.
Vía:
Vía: cada servidor SIP (proxy) a través del cual pasa la solicitud INVITE, agrega en la parte superior de la lista Vía su dirección IP y el puerto al que se recibió el mensaje. Luego, el mensaje se transmite más a lo largo de la ruta. Cuando el destinatario final responde la solicitud INVITE, todos los nodos de tránsito "miran" el encabezado Via y devuelven un mensaje al remitente a lo largo de la misma ruta. En este caso, el proxy de tránsito SIP elimina sus datos del encabezado.
De:
Desde: el encabezado indica el iniciador de la solicitud desde el punto de vista del servidor SIP. El encabezado se forma de la misma manera que una dirección de correo electrónico (usuario @ dominio, donde usuario es el número de extensión del usuario 3CX, y dominio es la dirección IP local o dominio SIP del servidor 3CX). Al igual que el encabezado To, el encabezado From contiene un URI y, opcionalmente, un nombre de usuario de nombre para mostrar. Desde el encabezado From, puede comprender exactamente cómo se debe procesar esta solicitud SIP.
El estándar SIP RFC 3261 establece que si el Nombre para mostrar no se transmite, el teléfono IP o la puerta de enlace VoIP (UAC) deben usar el Nombre para mostrar "Anónimo", por ejemplo, De: "Anónimo" <sip: 10000@10.172.0.2>.
Para:
Para: este encabezado indica el destinatario de la solicitud. Puede ser el destinatario final de la llamada o un enlace intermedio. Normalmente, el encabezado contiene un URI SIP, pero son posibles otros esquemas (consulte RFC 2806 [9]). Sin embargo, los URI de SIP deben ser compatibles con todas las implementaciones de SIP, independientemente del fabricante del equipo. El encabezado Para también puede contener un Nombre para mostrar Nombre para mostrar, por ejemplo, Para: “Nombre Apellido” (sip: 101@10.172.0.2>).
Normalmente, el campo Para contiene un URI SIP que indica el primer (siguiente) proxy SIP que procesará la solicitud. Este no tiene que ser el destinatario final de la solicitud.
Contacto:
Contacto: el encabezado contiene el URI de SIP, por el cual puede contactar al remitente de la solicitud INVITE. Este es un encabezado obligatorio y debe contener solo un URI SIP. Forma parte de una comunicación bidireccional que corresponde a la solicitud SIP INVITE inicial. Es muy importante que el encabezado del contacto contenga la información correcta (incluida la dirección IP) en la que el remitente de la solicitud está esperando una respuesta. El contacto URI también se usa en comunicaciones posteriores, después del establecimiento de una sesión de comunicación.
Permitir:
Permitir: el campo contiene una lista de parámetros (métodos SIP), separados por una coma. Describen qué características del protocolo SIP admite este remitente (dispositivo). Lista completa de métodos: ACK, BYE, CANCEL, INFO, INVITE, NOTIFY, OPTIONS, PRACK, REFER, REGISTRO, SUSCRIPCIÓN, ACTUALIZACIÓN. Aquí se describen más métodos SIP.