I den här artikeln kommer vi att prata om grunderna för att fånga och analysera SIP-trafik som genereras av 3CX PBX. Artikeln riktar sig till nybörjare systemadministratörer eller vanliga användare vars ansvar inkluderar telefoniunderhåll. För en fördjupad studie av ämnet rekommenderar vi att gå igenom .
3CX V16 låter dig fånga SIP-trafik direkt genom serverns webbgränssnitt och spara den i standardformatet Wireshark PCAP. Du kan bifoga fångstfilen när du kontaktar teknisk support eller ladda ner den för oberoende analys.
Om 3CX körs på Windows måste du själv installera Wireshark på 3CX-servern. Annars visas följande meddelande när du försöker fånga.
På Linux-system installeras verktyget tcpdump automatiskt vid installation eller uppdatering av 3CX.
Trafikfångst
För att börja fånga, gå till gränssnittsavsnittet Hem > SIP-händelser och välj det gränssnitt som du vill fånga på. Du kan också fånga trafik på alla gränssnitt samtidigt, utom IPv6-tunnelgränssnitt.
I 3CX för Linux kan du fånga trafik för lokal värd (lo). Denna fångst används för att analysera SIP-klientanslutningar med hjälp av teknik .
Knappen Traffic Capture startar Wireshark på Windows eller tcpdump på Linux. Vid det här laget måste du snabbt reproducera problemet, eftersom... capture är CPU-intensivt och tar upp en hel del diskutrymme.
Var uppmärksam på följande samtalsparametrar:
- Det nummer som samtalet ringdes från, dit även andra nummer/deltagare i samtalet ringde.
- Den exakta tiden då problemet uppstod enligt 3CX-serverklockan.
- Ring rutt.
Försök att inte klicka någonstans i gränssnittet förutom knappen "Stopp". Klicka inte heller på andra länkar i det här webbläsarfönstret. Annars kommer trafikfångst att fortsätta i bakgrunden och kommer att resultera i ytterligare belastning på servern.
Ta emot en fångstfil
Stopp-knappen stoppar infångningen och sparar infångningsfilen. Du kan ladda ner filen till din dator för analys i Wireshark-verktyget eller skapa en speciell fil , som kommer att inkludera denna fångst och annan felsökningsinformation. När den väl har laddats ner eller inkluderats i ett supportpaket raderas infångningsfilen automatiskt från 3CX-servern av säkerhetsskäl.
På 3CX-servern finns filen på följande plats:
- Windows: C:ProgramData3CXInstance1DataLogsdump.pcap
- Linux: /var/lib/3cxpbx/Instance/Data/Logs/dump.pcap
För att undvika ökad serverbelastning eller paketförlust under infångning är infångningsperioden begränsad till 2 miljoner paket. Efter detta stoppas infångningen automatiskt. Om du behöver en längre inspelning, använd det separata Wireshark-verktyget enligt beskrivningen nedan.
Fånga trafik med Wireshark-verktyget
Om du är intresserad av en djupare analys av nätverkstrafik, fånga den manuellt. Ladda ner Wireshark-verktyget för ditt operativsystem . Efter att ha installerat verktyget på 3CX-servern, gå till Capture > Interfaces. Alla nätverksgränssnitt för operativsystemet kommer att visas här. Gränssnittets IP-adresser kan visas i IPv6-standard. För att se IPv4-adressen, klicka på IPv6-adressen.
Välj gränssnittet för att fånga och klicka på knappen Alternativ. Avmarkera Fånga trafik i promiskuöst läge och lämna resten av inställningarna oförändrade.
Nu bör du återskapa problemet. När problemet återskapas, sluta fånga (Meny Capture > Stop). Du kan välja SIP-meddelanden i menyn Telefoni > SIP-flöden.
Trafikanalys grunderna - SIP INVITE-meddelande
Låt oss titta på huvudfälten i SIP INVITE-meddelandet, som skickas för att upprätta ett VoIP-samtal, dvs. är utgångspunkten för analysen. Vanligtvis innehåller SIP INVITE från 4 till 6 fält med information som används av SIP-ändenheter (telefoner, gateways) och telekomoperatörer. Att förstå innehållet i INBJUDAN och de meddelanden som följer på den kan ofta hjälpa till att fastställa källan till problemet. Dessutom är kunskap om INVITE-fälten till hjälp när du kopplar SIP-operatörer till 3CX eller kombinerar 3CX med andra SIP-växel.
I INVITE-meddelandet identifieras användare (eller SIP-enheter) av URI. Vanligtvis är SIP URI användarens telefonnummer + SIP-serveradress. SIP URI är mycket lik en e-postadress och skrivs som sip:x@y:Port.
Request-Line-URI:
Request-Line-URI - Fältet innehåller mottagaren av samtalet. Den innehåller samma information som fältet Till, men utan användarens visningsnamn.
via:
Via - varje SIP-server (proxy) som INVITE-förfrågan passerar lägger till sin IP-adress och porten som meddelandet togs emot på högst upp på Via-listan. Meddelandet sänds sedan vidare längs rutten. När den slutliga mottagaren svarar på en INVITE-förfrågan "slår alla transitnoder upp" Via-huvudet och returnerar meddelandet till avsändaren längs samma rutt. I det här fallet tar transit SIP-proxyn bort sina data från rubriken.
Från:
Från - rubriken indikerar initiatorn för begäran ur SIP-serverns synvinkel. Rubriken är utformad på samma sätt som en e-postadress (användare@domän, där användare är anknytningsnumret till 3CX-användaren, och domän är den lokala IP-adressen eller SIP-domänen för 3CX-servern). Precis som rubriken Till innehåller från-huvudet en URI och eventuellt användarens visningsnamn. Genom att titta på Från-huvudet kan du förstå exakt hur denna SIP-förfrågan ska behandlas.
SIP-standarden RFC 3261 föreskriver att om visningsnamnet inte överförs måste IP-telefonen eller VoIP-gatewayen (UAC) använda visningsnamnet "Anonym", till exempel Från: "Anonym"[e-postskyddad]>.
Till:
Till - Denna rubrik anger mottagaren av begäran. Detta kan antingen vara den slutliga mottagaren av samtalet eller en mellanlänk. Vanligtvis innehåller rubriken SIP URI, men andra scheman är möjliga (se RFC 2806 [9]). SIP URI:er måste dock stödjas i alla implementeringar av SIP-protokollet, oavsett hårdvarutillverkare. Till-rubriken kan också innehålla ett visningsnamn, till exempel Till: "Förnamn Efternamn"[e-postskyddad]>).
Vanligtvis innehåller fältet Till en SIP URI som pekar på den första (nästa) SIP-proxy som kommer att behandla begäran. Detta behöver inte vara den slutliga mottagaren av begäran.
Kontakt:
Kontakt - rubriken innehåller SIP-URI som du kan kontakta avsändaren av INVITE-förfrågan med. Detta är en obligatorisk rubrik och får endast innehålla en SIP URI. Det är en del av tvåvägskommunikationen som motsvarar den ursprungliga SIP INVITE-förfrågan. Det är mycket viktigt att kontakthuvudet innehåller den korrekta informationen (inklusive IP-adressen) där avsändaren av förfrågan förväntar sig ett svar. URI Contact används även i vidare kommunikation, efter att kommunikationssessionen har upprättats.
Tillåta:
Tillåt - fältet innehåller en lista med parametrar (SIP-metoder), separerade med kommatecken. De beskriver vilka SIP-protokollfunktioner en given avsändare (enhet) stöder. Fullständig lista över metoder: ACK, BYE, CANCEL, INFO, BJUD IN, MEDDELA, ALTERNATIV, PRACK, REFER, REGISTRERA, PRENUMERERA, UPPDATERA. SIP-metoder beskrivs mer i detalj .
Källa: will.com