核心网络数据抓包分析指南

核心网络数据抓包分析指南

信令可以到达物理层之上的所有层，跟踪信令可以检验终端实现的正确性和与网络的互操作性。目前没有在终端侧进行信令测试的方法，主要是在网络侧来进行信令测试，话音主要在Abis和A接口测试，GPRS业务主要在Gb、Gn、Gr、Gi等接口，以及在WAPGW进行信令测试。

测试方法

1、使用ethereal软件在Gn/Gi接口抓包分析

1.1 数据获取

首先获取需要分析的数据，在使用问题终端测试的同时进行抓包。目前现网数据流量很大，若笔记本电脑性能较差，则丢包现象会比较严重。镜像会对交换机造成高负荷，因此镜像时间不宜过长，抓包完成后记得取消镜像。

以在Gn接口抓包为例，ethereal软件版本为0.10.0，WinPcap版本3.1 beta4（ethereal高版本如0.10.10等在使用中经常发生不能正常打开获取的数据文件，用低版本的则可以打开分析）：

1） 将笔记本电脑连接到LanSwitch上的100M空闲端口（笔记本不用设臵），在LanSwitch上做镜像，指令如下（summit交换机）:

#enable mirror to port 43 untaged

在端口43上激活mirror功能 #config mirror add vlan gn

对vlan Gn进行mirror，也就是说vlan Gn所有的traffic在端口43都可收到。

#show mirror

Mirror port: 43 is up

All ports in vlan Gn

打印做mirror的情况（包括Mirror端口的状态和被做mirror的端口）。

2） 运行ethereal软件，Capture->Start：

3） 设臵参数：

注意选择正确的网卡，单击OK即可开始抓包。也可以在File选项设臵存盘文件，将数据直接以文件形式保存在硬盘上，Gn的数据量很大，建议直接保存成文件。并且为避免文件过大影响分析，应选择以多文件形式存盘，并设定每个文件的大小，如图设臵为99个文件，每个文件大小100Mbytes，注意选中红圈标记处。由于现网数据量极大，Capture filter建议不设臵，设臵后可能造成抓不到包。

4） 抓包完成后，关闭LanSwitch镜像： #config mirror delete vlan gn 设置文件大小 设置文件数量 选择正确的网卡

文件名和存放位置 Capture fileter 取消对vlan Gi进行mirror。

#disable mirror

取消mirror功能。

1.2 数据分析

数据应结合终端测试时显示的现象一起分析。

1、 首先用ethereal打开抓包保存的数据文件，需要将目标数据过滤出来（目标数据即和测试终端相关的数据）。ethereal提供强大的过滤功能，通过设臵display filter可以从海量数据中将目标数据过滤出来显示。详细的filter设臵请参阅程序帮助。

上图显示最为常用的filter，将ip地址为10.101.9.214的所用数据包过滤出来。手机终端在PDP上下文激活获得ip地址后，用该ip地址即可将目标数据过滤出来。

2、 按照协议规范对目标数据进行分析，从协议的流程、字段、标志位等方面结合测试现象对可能的问题进行判断。

ethereal分三个窗格显示解码后的数据，如下图，由上往下依Display filter 次是：

1） 概要信息：缺省包括时间、分组大小、源/目的IP地址、协议、协议信息等，此窗格可以自定义需要显示的内容。这里可以看到完整的协议流程（前提：没有发生丢包），基本的错误信息也会在这里显示。

2） 详细解码：以协议树的形式提供由下往上对各层协议PDU的详细解码。

3）

十六进制数：以十六进制形式显示原始数据。

例子：

1） 包乱序 协议流程

详细解码

16进制数

Gn口出现乱序情况，sequence number为1的包比0包先到，导致终端在收到1包后认为0包丢失而发送Negative Ack，指示0包丢失需要重传，紧跟着WAP GW重传了0包。

2） 丢包

Frame18发送Negative ACK表示NO.6包没收到，frame19重传NO.6包。

3）

User abort

终端发出get请求后WAP GW回应并返回数据，终端紧跟发送abort消息取消会话，abort原因是用户取消。

4） 终端型号

终端在请求连接的时候将终端型号发送给WAP GW，上图显示终端类型为NOKIA3100。有的终端会发送错误的型号导致WAP GW返回错误的网页类型。

2、使用泰克K1205信令仪追踪Gb接口

说明：

四块数据采集板上面分别有四个采集口，每块数据采集板的采集能力是2Mbps，如果一个采集口上使用了x Mbps，那么，其他采集口只能使用（2－x）Mbps。

2.1 启动软件

打开泰克K1205信令仪的电源，K1205的信令仪软件将自动启动。

也可以手动在桌面上点击K1205的图标来运行。

运行过程中，软件会自动装载一些文件和协议，如图：

装载完成后进入系统界面，此时系统会自动重新load进上次使用的配臵文件，界面如图：

由图上的标注知，K1205分为实时采集数据部分（Online

Scenario）和离线分析数据部分（ Offline Scenario），我们对Gb口进行信令追踪的时候都需要用到。上图中一共有三条蓝绿色的通道（Scenario），第一条是实时采集数据的通道，第二条和第三条是离线分析数据的通道，图中用白色箭头表示了三条通道和左边树状图的对应关系。 实时采集数据

离线分析数据

离线分析数据的通道 实时采集数据的通道

设置采集板 设置测量参数 2.2 设臵需要使用的采集板卡

如图所示，我们点击“Card Overview”可以见到四块板卡的图片。

点击ports setup设臵板卡的参数。

测试Gb口的时候需要设臵为特殊模式，做其他接口测试的时候选择一般模式。 2.3 实时采集数据

以Gb接口为例。设臵测量参数时注意该BSC Gb设臵的时隙数。

选择设臵测量参数页面，此时实时采集数据部分（Online

Scenario）有一条通道，根据测量的信令链路，可以按需要增加实时采集数据部分（Online Scenario），点击Online Scenario右键，选择add scenario即可增加一条通道。

（备注：每条通道有三种类型的分支（branch），分别是采集文件record file、采集显示monitor、采集成Statistic。每条通道可以连接多个分支。）

为了生成可以离线分析的rf5文件，每条实时采集通道必须有record file的分支，至于是否需要monitor分支就可以视乎情况而定。建议每条通道都有一个record file和一个monitor分支。

设臵好通道后，还有两个地方需要设臵，一个是采集卡的参数，另一个是保存record file的名字。首先点击下图第一条通道的第一个蓝绿色的框框，弹出一个采集卡参数设臵的窗口：

窗口如下图： 点击这里弹出采集卡接口参数设置窗口 信令链路占用的时隙数

在左边数据采集通道列表中选定第一个通道。在板卡和接口记录列表中选择NEW。然后在窗口左边进行以下的设臵：

数据方向：

一般默认即可。默认是Monitor Pair，意思是采集板上接口的双向，收发两个方向都采集下来，选择这个后，只需要设臵First Pair就可以了，系统会自动设臵 Second Pair。

采集板序号：

如果这条通道是采集第一块板卡的，就选择“＃1”的；

接口编码：

如果连接的是第一块板卡的第一个接口，那么就在这里选择A

port。每块板卡的第一个接口对应A/B两个port，分别是一收一发，第二个接口对应C/D两个port，分别是一收一发，如此类推。 采集板序号

接口编码

选择协议栈

比特带宽 开始时隙 数据方向

数据采集通道列表

板卡和接口记录列表 文字颜色：

设臵输出的文本颜色，建议每个通道的颜色都不同。

协议栈：

测量Gb接口的时候选择K1205安装目录下的stacks\gprs\gprs_Gb_30.stk。

开始时隙：

这个是带宽运算的开始时隙，测量Gb口的时候都应该设臵为

Channel 1。

比特带宽：

这个是指信令信道占用的比特带宽，这个需要查找SGSN配线架表，查出该链路使用了多少个时隙，上图绿色的记录的时隙数TS是15，所以这里需要填写的是15×8＝120Bit/s。

剩下的其他参数全部默认即可。然后点击Apply应用保存设臵，这次板卡和接口列表就新建了一个名为：

[#1]A xxxxxxxxxxxx的记录。说明第一个数据采集通道使用信令仪的第一块板卡的第一个接口来采集数据，并且采集该接口的收发双向的数据。

依次类推设臵剩下的数据采集通道的板卡和接口。然后关闭窗口。

点击第一条通道的最后一个蓝绿色的框框中的recording file的“change”，弹出一个设臵窗口。

在上图的窗口中设臵记录保存的文件名。

这里依次进行设臵： 点击这里弹出保存文件设置窗口

点击这里扩展出下面的窗口部分 1. 选定适当的目录和适当的文件名；

2. 选择overwrite模式；（当文件名相同时覆盖，另有append模式，是在已经存在的文件后面追加记录）

3. 在file size中选择“使用所有available的空间”；（另有up to

defined maxium，意思是文件大小到下面定义的大小就停止写入。）

4. 选择single file单文件即可。（如果怕文件过大，可以选择multi

file）

整条通道设臵好后，建议先点击连接MONITOR的开关成ON状态，看看采集的信令数据是否正确，然后再点击连接recording file 的开关成ON状态。采集完毕将开关设臵为OFF。

2.4 离线分析信令数据

如同实时采集数据一样，在离线分析数据部分（ Offline

Scenario）新建一条OFF MONITOR通道。

点击上图recording file 框的open按钮，选择要分析的记录rf5文件，然后就可以在monitor中分析所有rf5记录文件的信令消息。