PCAP Mitschnittdatei/Trace für UCServer erstellen - Netzwerkanalyse

Für die Analyse ist ggf. eine Mitschnittdatei für die Netzwerkanalyse in Zusammenhang mit dem UCServer notwendig, die über das estos UCServer SIP (Debug-)Logging hinausgeht.

Als populäres Werkzeug zum Mitschnitt des Netzwerkverkehrs ist Wireshark zu nennen, es gibt jedoch weitere Tools, die den Netzwerkverkehr im PCAP-Format erfassen können.

Die Anforderung einer Mitschnittdatei erfolgt bei Bedarf durch den estos Support, kann jedoch bei nachfolgend genannten Fällen bereits prophylaktisch bei Erhebung der Analysedaten berücksichtigt werden.

In der Konfiguration der SIP Leitungsgruppen kann je Leitung ein PCAP-Log aktiviert werden. Die dabei erzeugten PCAP-Logdateien enthalten den Mitschnitt der SIP-Kommunikation zwischen PBX und SIP Gateway des estos ProCall Enterprise Servers:

• https://help.estos.com/help/de-DE/procall/8/ucserver/dokumentation/tech/sip_pcap_logfiles.htm
• https://help.estos.com/help/de-DE/procall/7.8/ucserver/dokumentation/tech/sip_pcap_logfiles.htm

Diese PCAP-Logs sind insbesondere hilfreich bei einer TLS/sRTP-Anbindung an das TK-System, da hierbei die SIP Messages entschlüsselt erfasst werden.

Name und Ablageort dieser PCAP-Logdateien: <UCServerInstVerzeichnis>\logs \sipav_YYYY_MM_DD_HH_MM.pcapng

Dieser Mitschnitt enthält KEINE RTP-/RTCP-Kommunikation und ist deshalb für eine Bewertung insbesondere der Sprachqualität nicht geeignet.

Mitschnittdatei auf dem UCServer erstellen - Grundlage für Analyse

Die Erzeugung einer Mitschnittdatei über die PCAP Programmierschnittstelle auf dem UCServer kann u.a. zum Beispiel sinnvoll sein zur Erfassung

• der vollständigen SIP Kommunikation zwischen Telefonanlage und UCServer bei evtl. gestörter SIP-Kommunikation

• der Audiodaten zwischen Telefonanlage und UCServer (RTP) zur Betrachtung der Audioqualität (delay, jitter, loss)

• der Audiodaten zwischen UCServer und ProCall Client (SRTP) zur Betrachtung der Audioqualität (delay, jitter, loss)

• der STUN (bind requests) und TURN Operationen (allocations, channels) zum ICE Handshaking

• gestörter Kommunikationsbeziehungen (Firewall Operationen, NAT Operationen, ICMP Errors)

• des DTLS Handshaking und Key Exchange zwischen UCServer und ProCall Client

PCAP Mitschnitt auf Host der ProCall Clients

In besonderen Analysesituationen kann auch auf dem Host des ProCall Enterprise Clients der PCAP Mitschnitt sinnvoll sein, um bspw. die Veränderung des Media Jitter auf den Interfaces von Server und Client miteinander zu vergleichen oder Packet Delay zwischen den Hosts identifizieren zu können.

PCAP Mitschnitt bei estos Server-Diensten auf mehr als einem Host

Ist ein vom estos UCServer Dienst auf einem weiteren Host abgesetzt betriebener estos UC Media Server Dienst im Einsatz, kann zur Untersuchung von RTP Audioströmen und der damit verbundenen Verbindungsaushandlung auch ein PCAP Mitschnitt auf dem weiteren UC Media Server Host erforderlich sein.
Werden diese Dienste auf separaten Hosts getrennt voneinander betrieben, wird der PCAP Mitschnitt auf dem estos UCServer Host nur die SIP und SDP Kommunikation beinhalten, und der PCAP-Mitschnitt auf dem estos UC Media Server Host wird das Audio Streaming für eine nachfolgende Analyse erfassen.

Es ist darauf zu achten, Capture Filter nur bedarfsweise einzusetzen, um die PCAP Logs in ihrem Umfang zu reduzieren.

Da ProCall Enterprise sich insbesondere IPv4 als auch IPv6 zunutze macht, zum Transport sowohl TCP und UDP zum Einsatz kommen und die Kommunikation über alle Netzwerkschnittstellen erfolgen kann (auch localhost Kommunikation), dürfen wesentliche Informationen vom Capturing nicht ausgeklammert werden und es müssen sämtliche relevante Netzwerkschnittstellen für das Capturing aktiviert sein.

Sniffer Paket Wireshark

Als häufig genutztes Sniffer-Paket eignet sich die Netzwerkanalysesoftware Wireshark, die als Freie Software unter GPL Lizenz verfügbar ist. 

In Wireshark häufig genutzte Display Filter Statements

• IPv4-Ziele: ip.dst==x oder ip.src==x
• UDP-Ziele: udp.dstport==x oder udp.srcport==x
• SIP-Dialoge: sip
• Mediastreaming: rtp || rtcp
  (aufgrund der Verschlüsselung des Mediastreams ist u. U. das Decoding des Streams zwischen UC Media Server und Client zuvor explizit auf RTP einzustellen)
• STUN-/TURN-Operationen: stun || classicstun || turnchannel
• DTLS Handshaking: dtls

Wie erstellen Sie einen Wireshark Trace für den UCServer?

Sofern noch nicht geschehen, installieren Sie auf dem UCServer das Programm Wireshark.

Die aktuelle Version von Wireshark finden Sie hier: https://www.wireshark.org/#download