核心网络数据抓包分析指南VIP

核心网络数据抓包分析指南核心网络数据抓包分析指南 信令可以到达物理层之上的所有层 跟踪信令可以检验终端实 现的正确性和与网络的互操作性 目前没有在终端侧进行信令测试 的方法 主要是在网络侧来进行信令测试 话音主要在 Abis 和 A 接 口测试 GPRS 业务主要在 Gb Gn Gr Gi 等接口 以及在 WAPGW 进行信令测试 测试方法测试方法 1 使用 使用 ethereal 软件在软件在 Gn Gi 接口抓包分析接口抓包分析 1 11 1 数据获取数据获取 首先获取需要分析的数据 在使用问题终端测试的同时进行抓 包 目前现网数据流量很大 若笔记本电脑性能较差 则丢包现象 会比较严重 镜像会对交换机造成高负荷 因此镜像时间不宜过长 抓包完成后记得取消镜像 以在 Gn 接口抓包为例 ethereal 软件版本为 0 10 0 WinPcap 版本 3 1 beta4 ethereal 高版本如 0 10 10 等在使用中经常发生 不能正常打开获取的数据文件 用低版本的则可以打开分析 1 将笔记本电脑连接到 LanSwitch 上的 100M 空闲端口 笔记本 不用设置 在 LanSwitch 上做镜像 指令如下 summit 交换 机 enable mirror to port 43 untaged 在端口 43 上激活 mirror 功能 config mirror add vlan gn 对 vlan Gn 进行 mirror 也就是说 vlan Gn 所有的 traffic 在 端口 43 都可收到 show mirror Mirror port 43 is up All ports in vlan Gn 打印做 mirror 的情况 包括 Mirror 端口的状态和被做 mirror 的端口 2 运行 ethereal 软件 Capture Start 3 设置参数 注意选择正确的网卡 单击 OK 即可开始抓包 也可以在 File 选项 设置存盘文件 将数据直接以文件形式保存在硬盘上 Gn 的数据量 很大 建议直接保存成文件 并且为避免文件过大影响分析 应选 择以多文件形式存盘 并设定每个文件的大小 如图设置为 99 个文 件 每个文件大小 100Mbytes 注意选中红圈标记处 由于现网数 据量极大 Capture filter 建议不设置 设置后可能造成抓不到包 4 抓包完成后 关闭 LanSwitch 镜像 设置文件大小 设置文件数量 选择正确的网卡 文件名和存放位置 Capture fileter config mirror delete vlan gn 取消对 vlan Gi 进行 mirror disable mirror 取消 mirror 功能 1 21 2 数据分析数据分析 数据应结合终端测试时显示的现象一起分析 1 首先用 ethereal 打开抓包保存的数据文件 需要将目标数据过 滤出来 目标数据即和测试终端相关的数据 ethereal 提供 强大的过滤功能 通过设置 display filter 可以从海量数据中 将目标数据过滤出来显示 详细的 filter 设置请参阅程序帮助 上图显示最为常用的 filter 将 ip 地址为 10 101 9 214 的所 用数据包过滤出来 手机终端在 PDP 上下文激活获得 ip 地址后 用 该 ip 地址即可将目标数据过滤出来 2 按照协议规范对目标数据进行分析 从协议的流程 字段 标 Display filter 志位等方面结合测试现象对可能的问题进行判断 ethereal 分三个窗格显示解码后的数据 如下图 由上往下依 次是 1 概要信息 缺省包括时间 分组大小 源 目的 IP 地址 协议 协议信息等 此窗格可以自定义需要显示的内容 这里可以看到完整的协议流程 前提 没有发生丢包 基 本的错误信息也会在这里显示 2 详细解码 以协议树的形式提供由下往上对各层协议 PDU 的详细解码 3 十六进制数 以十六进制形式显示原始数据 例子 1 包乱序 协议流程 详细解码 16 进制数 Gn 口出现乱序情况 sequence number 为 1 的包比 0 包先到 导致终端在收到 1 包后认为 0 包丢失而发送 Negative Ack 指示 0 包丢失需要重传 紧跟着 WAP GW 重传了 0 包 2 丢包 Frame18 发送 Negative ACK 表示 NO 6 包没收到 frame19 重传 NO 6 包 3 User abort 终端发出 get 请求后 WAP GW 回应并返回数据 终端紧跟发送 abort 消息取消会话 abort 原因是用户取消 4 终端型号 终端在请求连接的时候将终端型号发送给 WAP GW 上图显示终 端类型为 NOKIA3100 有的终端会发送错误的型号导致 WAP GW 返回 错误的网页类型 2 使用泰克 使用泰克 K1205 信令仪追踪信令仪追踪 Gb 接口接口 说明 说明 四块数据采集板上面分别有四个采集口 每块数据采集板的采 集能力是 2Mbps 如果一个采集口上使用了 x Mbps 那么 其他采 集口只能使用 2 x Mbps 2 12 1 启动软件启动软件 打开泰克 K1205 信令仪的电源 K1205 的信令仪软件将自动启动 也可以手动在桌面上点击 K1205 的图标来运行 运行过程中 软件会自动装载一些文件和协议 如图 装载完成后进入系统界面 此时系统会自动重新 load 进上次使用的 配置文件 界面如图 由图上的标注知 K1205 分为实时采集数据部分 Online Scenario 和离线分析数据部分 Offline Scenario 我们对 Gb 口进行信令追踪的时候都需要用到 上图中一共有三条蓝绿色的通 道 Scenario 第一条是实时采集数据的通道 第二条和第三条是 离线分析数据的通道 图中用白色箭头表示了三条通道和左边树状 图的对应关系 实时采集数据 离线分析数据 离线分析数 据的通道 实时采集数 据的通道 设置采集板设置测量参数 2 22 2 设置需要使用的采集板卡设置需要使用的采集板卡 如图所示 我们点击 Card Overview 可以见到四块板卡的图片 点击 ports setup 设置板卡的参数 测试 Gb 口的时候需要设置为特殊模式 做其他接口测试的时候选择 一般模式 2 32 3 实时采集数据实时采集数据 以 Gb 接口为例 设置测量参数时注意该 BSC Gb 设置的时隙数 选择设置测量参数页面 此时实时采集数据部分 Online Scenario 有一条通道 根据测量的信令链路 可以按需要增加实 时采集数据部分 Online Scenario 点击 Online Scenario 右键 选择 add scenario 即可增加一条通道 备注 每条通道有三种类型的分支 branch 分别是采集文件 record file 采集显示 monitor 采集成 Statistic 每条通道可 以连接多个分支 为了生成可以离线分析的 rf5 文件 每条实时采集通道必须有 record file 的分支 至于是否需要 monitor 分支就可以视乎情况 而定 建议每条通道都有一个 record file 和一个 monitor 分支 设置好通道后 还有两个地方需要设置 一个是采集卡的参数 另一个是保存 record file 的名字 首先点击下图第一条通道的第 一个蓝绿色的框框 弹出一个采集卡参数设置的窗口 点击这里弹出 采集卡接口参 数设置窗口 信令链路占 用的时隙数 窗口如下图 在左边数据采集通道列表中选定第一个通道 在板卡和接口记 录列表中选择 NEW 然后在窗口左边进行以下的设置 数据方向 一般默认即可 默认是 Monitor Pair 意思是采集板上接口的 双向 收发两个方向都采集下来 选择这个后 只需要设置 First Pair 就可以了 系统会自动设置 Second Pair 采集板序号 如果这条通道是采集第一块板卡的 就选择 1 的 接口编码 如果连接的是第一块板卡的第一个接口 那么就在这里选择 A port 每块板卡的第一个接口对应 A B 两个 port 分别是一收一发 采集板序号 接口编码 选择协议栈 比特带宽 开始时隙 数据方向 数据采集 通道列表 板卡和接口 记录列表 第二个接口对应 C D 两个 port 分别是一收一发 如此类推 文字颜色 设置输出的文本颜色 建议每个通道的颜色都不同 协议栈 测量 Gb 接口的时候选择 K1205 安装目录下的 stacks gprs gprs Gb 30 stk 开始时隙 这个是带宽运算的开始时隙 测量 Gb 口的时候都应该设置为 Channel 1 比特带宽 这个是指信令信道占用的比特带宽 这个需要查找 SGSN 配线架 表 查出该链路使用了多少个时隙 上图绿色的记录的时隙数 TS 是 15 所以这里需要填写的是 15 8 120Bit s 剩下的其他参数全部默认即可 然后点击 Apply 应用保存设置 这次板卡和接口列表就新建了一个名为 1 A xxxxxxxxxxxx 的记录 说明第一个数据采集通道使用信令仪 的第一块板卡的第一个接口来采集数据 并且采集该接口的收发双 向的数据 依次类推设置剩下的数据采集通道的板卡和接口 然后关闭窗 口 点击第一条通道的最后一个蓝绿色的框框中的 recording file 的 change 弹出一个设置窗口 在上图的窗口中设置记录保存的文件名 这里依次进行设置 点击这里弹出 保存文件设置 窗口 点击这里扩展 出下面的窗口 部分 1 选定适当的目录和适当的文件名 2 选择 overwrite 模式 当文件名相同时覆盖 另有 append 模 式 是在已经存在的文件后面追加记录 3 在 file size 中选择 使用所有 available 的空间 另有 up to defined maxium 意思是文件大小到下面定义的大小就停止 写入 4 选择 single file 单文件即可 如果怕文件过大 可以选择 multi file 整条通道设置好后 建议先点击连接 MONITOR 的开关成 ON 状态 看看采集的信令数据是否正确 然后再点击连接 recording file 的开关成 ON 状态 采集完毕将开关设置为 OFF 2 42 4 离线分析信令数据离线分析信令数据 如同实时采集数据一样 在离线分析数据部分 Offline Scenario 新建一条 OFF MONITOR 通道 点击上图 recording file 框的 open 按钮 选择要分析的记录 rf5 文件 然后就可以在 monitor 中分析所有 rf5 记录文件的信令 消息 在选择 rf5 文件的时候 注意标注地方的协议盏文件是否正确 如果只需要统计 建议修改 Frames min 的值 越大回放越快 最大 可以设置为 140 000Frame min K1205 具有统计分析功能 点击 application 框 可以选择适 合的统计工具进行信令消息统计 协议栈我们选 择图中的这个 gprs Gb 30 stk 记录数据回放 的速度 最大 140 000 选择好文件后 单击播放按钮即可开始回放 监视窗口进行显示 监视窗口分三个窗格显示解码数据 与 ethereal 各窗格显示内容类 似 如下