In diesem Artikel werden die Grundlagen der Erfassung und Analyse des von 3CX-PBX-Anlagen generierten SIP-Verkehrs erläutert. Der Artikel richtet sich an unerfahrene Systemadministratoren oder normale Benutzer, deren Aufgaben die Wartung der Telefonie umfassen. Für eine eingehende Untersuchung des Themas empfehlen wir Ihnen, den
3CX Advanced Training Course zu absolvieren .
Mit 3CX V16 können Sie den SIP-Verkehr direkt über die Weboberfläche des Servers erfassen und im Standard-Wireshark-PCAP-Format speichern. Sie können die Erfassungsdatei anhängen, wenn Sie sich an den technischen Support wenden, oder sie zur Selbstanalyse herunterladen.
Wenn 3CX unter Windows ausgeführt wird, müssen Sie Wireshark selbst auf dem 3CX-Server installieren. Andernfalls wird beim Versuch der Erfassung die folgende Meldung angezeigt.
Auf Linux-Systemen wird tcpdump automatisch installiert, wenn Sie 3CX installieren oder aktualisieren.
Verkehrserfassung
Um mit der Aufnahme zu beginnen, gehen Sie zum Schnittstellenabschnitt Start> SIP-Ereignisse und wählen Sie die Schnittstelle aus, auf der Sie die Aufnahme machen möchten. Sie können auch Datenverkehr auf allen Schnittstellen gleichzeitig erfassen, mit Ausnahme von IPv6-Tunnelschnittstellen.
In 3CX für Linux können Sie den Datenverkehr für den lokalen Host (lo) erfassen. Diese Erfassung wird verwendet, um SIP-Client-Verbindungen mithilfe der
3CX-Tunnel- Technologie
und des Session Border Controllers zu analysieren.
Mit der Schaltfläche Traffic Capture wird Wireshark unter Windows oder tcpdump unter Linux gestartet. An dieser Stelle müssen Sie das Problem schnell reproduzieren, weil Capture lädt den Prozessor und belegt genügend Speicherplatz.
Beachten Sie die folgenden Anrufparameter:
- Die angerufene Nummer, die von anderen Nummern / Teilnehmern des Anrufs angerufen wurde.
- Die genaue Zeit, zu der das Problem auf der 3CX-Serveruhr aufgetreten ist.
- Die Route des Anrufs.
Versuchen Sie, nicht auf andere Stellen der Benutzeroberfläche zu klicken, außer auf die Schaltfläche „Stopp“. Klicken Sie auch nicht auf andere Links in diesem Browserfenster. Andernfalls wird die Erfassung des Datenverkehrs im Hintergrund fortgesetzt und führt zu einer zusätzlichen Belastung des Servers.
Capture-Datei abrufen
Die Schaltfläche Stopp stoppt die Aufnahme und speichert die Aufnahmedatei. Sie können die Datei zur Analyse im Wireshark-Dienstprogramm auf Ihren Computer herunterladen oder eine spezielle Datei für den
technischen Support erstellen, die diese Erfassung und andere Debugging-Informationen enthält. Nach dem Herunterladen oder der Aufnahme in das technische Supportpaket wird die Erfassungsdatei aus Sicherheitsgründen automatisch vom 3CX-Server gelöscht.
Auf dem 3CX-Server befindet sich die Datei am folgenden Speicherort:
- Windows: C: \ ProgramData \ 3CX \ Instance1 \ Data \ Logs \ dump.pcap
- Linux: /var/lib/3cxpbx/Instance/Data/Logs/dump.pcap
Um eine erhöhte Serverlast oder einen erhöhten Paketverlust während der Erfassung zu vermeiden, ist der Erfassungszeitraum auf 2 Millionen Pakete begrenzt. Danach wird die Erfassung automatisch gestoppt. Wenn Sie eine längere Erfassung benötigen, verwenden Sie das separate Wireshark-Dienstprogramm, wie unten beschrieben.
Wireshark Traffic Capture
Wenn Sie an einer eingehenderen Analyse des Netzwerkverkehrs interessiert sind, erfassen Sie diese manuell. Laden Sie hier das Wireshark-Dienstprogramm für Ihr Betriebssystem herunter. Gehen Sie nach der Installation des Dienstprogramms auf dem 3CX-Server zu Capture> Interfaces. Alle Netzwerkschnittstellen des Betriebssystems werden hier angezeigt. Schnittstellen-IP-Adressen können in IPv6 angezeigt werden. Um die IPv4-Adresse anzuzeigen, klicken Sie auf die IPv6-Adresse.
Wählen Sie die zu erfassende Schnittstelle aus und klicken Sie auf die Schaltfläche Optionen. Deaktivieren Sie "Datenverkehr erfassen" im Promiscuous-Modus und lassen Sie die restlichen Einstellungen unverändert.
Jetzt sollten Sie das Problem reproduzieren. Wenn das Problem reproduziert wird, beenden Sie die Aufnahme (Menü Aufnahme> Stopp). Sie können SIP-Nachrichten im Menü Telefonie> SIP-Flows auswählen.
Grundlagen der Verkehrsanalyse - SIP INVITE-Nachricht
Betrachten Sie die Hauptfelder der INVITE SIP-Nachricht, die gesendet wird, um einen VoIP-Anruf herzustellen, d. H. ist der Ausgangspunkt für die Analyse. In der Regel enthält SIP INVITE 4 bis 6 Felder mit Informationen, die von SIP-Endgeräten (Telefonen, Gateways) und Telekommunikationsbetreibern verwendet werden. Wenn Sie den Inhalt von INVITE und die darauf folgenden Meldungen verstehen, können Sie häufig die Ursache des Problems ermitteln. Darüber hinaus hilft die Kenntnis der INVITE-Felder beim Verbinden von SIP-Betreibern mit 3CX oder beim Kombinieren von 3CX mit anderen SIP-Vermittlungsstellen.
In einer INVITE-Nachricht werden Benutzer (oder SIP-Geräte) durch URI identifiziert. In der Regel ist ein SIP-URI die Telefonnummer des Benutzers + die SIP-Serveradresse. Der SIP-URI ist einer E-Mail-Adresse sehr ähnlich und wird als sip: x @ y: Port geschrieben.
Request-Line-URI:
Request-Line-URI - Das Feld enthält den Empfänger des Anrufs. Es enthält dieselben Informationen wie im Feld An, jedoch ohne Anzeigenamen.
Via:
Via - Jeder SIP-Server (Proxy), über den die INVITE-Anforderung geleitet wird, fügt seine IP-Adresse und seinen Port, an den die Nachricht empfangen wurde, oben in der Via-Liste hinzu. Dann wird die Nachricht weiter entlang der Route übertragen. Wenn der endgültige Empfänger die INVITE-Anfrage beantwortet, „durchsuchen“ alle Transitknoten den Via-Header und senden auf derselben Route eine Nachricht an den Absender zurück. In diesem Fall löscht der SIP-Transit-Proxy seine Daten aus dem Header.
Von:
Von - Der Header gibt den Initiator der Anforderung aus Sicht des SIP-Servers an. Der Header wird auf die gleiche Weise wie eine E-Mail-Adresse gebildet (user @ domain, wobei user die Nebenstellennummer des 3CX-Benutzers und domain die lokale IP-Adresse oder SIP-Domäne des 3CX-Servers ist). Wie der To-Header enthält der From-Header einen URI und optional einen Benutzernamen für den Anzeigenamen. Aus dem From-Header können Sie genau verstehen, wie diese SIP-Anforderung verarbeitet werden soll.
Der SIP RFC 3261-Standard sieht vor, dass das IP-Telefon oder die VoIP-Schnittstelle (UAC), wenn der Anzeigename nicht übertragen wird, den Anzeigenamen „Anonym“ verwenden muss, z. B. Von: „Anonym“ <sip: 10000@10.172.0.2>.
An:
An - Dieser Header gibt den Empfänger der Anfrage an. Dies kann entweder der endgültige Empfänger des Anrufs oder eine Zwischenverbindung sein. Normalerweise enthält der Header einen SIP-URI, es sind jedoch auch andere Schemata möglich (siehe RFC 2806 [9]). SIP-URIs müssen jedoch in allen SIP-Implementierungen unabhängig vom Gerätehersteller unterstützt werden. Der To-Header kann auch einen Anzeigenamen enthalten, z. B. An: "Vorname Nachname" <sip: 101@10.172.0.2>).
In der Regel enthält das Feld An einen SIP-URI, der den ersten (nächsten) SIP-Proxy angibt, der die Anforderung verarbeitet. Dies muss nicht der endgültige Empfänger der Anfrage sein.
Kontakt:
Kontakt - Der Header enthält den SIP-URI, über den Sie den Absender der INVITE-Anfrage kontaktieren können. Dies ist ein erforderlicher Header und sollte nur einen SIP-URI enthalten. Es ist Teil einer bidirektionalen Kommunikation, die der anfänglichen SIP INVITE-Anforderung entspricht. Es ist sehr wichtig, dass der Kontaktheader die richtigen Informationen (einschließlich der IP-Adresse) enthält, unter denen der Absender der Anforderung auf eine Antwort wartet. URI-Kontakt wird auch für die weitere Kommunikation nach dem Aufbau einer Kommunikationssitzung verwendet.
Erlaube:
Zulassen - Das Feld enthält eine Liste von Parametern (SIP-Methoden), die durch ein Komma getrennt sind. Sie beschreiben, welche Funktionen des SIP-Protokolls dieser Absender (Gerät) unterstützt. Vollständige Liste der Methoden: ACK, BYE, CANCEL, INFO, INVITE, NOTIFY, OPTIONEN, PRACK, REFER, REGISTER, SUBSCRIBE, UPDATE. Weitere SIP-Methoden werden
hier beschrieben.