Geralmente, o tráfego de VOIP pode ser dividido em 2 partes ... Controle de tráfego e Tráfego de Áudio .
Isso pode não ser como a Avaya especificamente faz isso, mas no VoIP normal você deve ver o SIP (Session Initiation Protocol) indo e voltando pela porta 5060 para trocar informações como Indicador de mensagem em espera, Registros de telefone e semelhantes . Ao fazer uma chamada, você também deve ver o tráfego SIP configurando a chamada e trocando as informações dos fluxos de áudio para começar a transmitir. Os pacotes de áudio não lhe darão muito para ver no Wireshark, já que são apenas dados de áudio codificados.
Edit: A propósito, você não deve necessariamente ter que usar o Wireshark para solucionar problemas de VoIP. Na maioria das vezes, o servidor VoIP ou o endpoint deve fornecer algumas informações de solução de problemas ou diagnósticos de depuração conforme as coisas estão acontecendo e são muito mais valiosas (e fazem muito mais sentido) do que os dados do Wireshark.