幾種方式解決SIP穿越NAT總結(jié)

1、SIP穿越NAT的幾種方式多媒體會(huì)話(huà)信令協(xié)議是在準(zhǔn)備建立媒體流傳輸?shù)拇碇g交換信息的協(xié)議，媒體流與信令流截然不同，它們所采用的網(wǎng)絡(luò)通道也不一致。由于協(xié)議自身設(shè)計(jì)上的原因，使得媒體流無(wú)法直接穿透網(wǎng)絡(luò)地址轉(zhuǎn)換/防火墻(NAT/Firewall)。因?yàn)樗鼈兩嫫诘哪繕?biāo)只是為了建立一個(gè)在信息中攜帶IP地址的分組流，這在遇到NAT/Firewall 時(shí)會(huì)帶來(lái)許多問(wèn)題。而且這些協(xié)議的目標(biāo)是通過(guò)建立P2P(Peer to Peer)媒體流以減小時(shí)延，而協(xié)議本身很多方面卻與NAT存在兼容性問(wèn)題，這也是穿透 NAT/Firewall的困難所在。而NAT仍是解決當(dāng)前公用IP地址緊缺和網(wǎng)絡(luò)安全問(wèn)題的最有力手段，所

2、以解決NAT穿越成為首要問(wèn)題。以SIP通信為例，呼叫建立和媒體通信的建立是依賴(lài)SIP消息首部和SDP消息所描述的地址和端口信息進(jìn)行的，呼叫雙方分別在內(nèi)網(wǎng)和外網(wǎng)上，內(nèi)網(wǎng)是通過(guò)NAT設(shè)備連接到外網(wǎng)，由于NAT設(shè)備工作在IP和TCP/UDP層，所以它不對(duì)SDP等應(yīng)用層數(shù)據(jù)進(jìn)行NAT變換，因此會(huì)造成尋址失敗，從而導(dǎo)致呼叫無(wú)法正常建立。另外，VOIP設(shè)備的主要通信協(xié)議（如SIP和H.323）要求終端之間使用IP地址和端口號(hào)來(lái)建立端到端的數(shù)據(jù)偵聽(tīng)外來(lái)的呼叫，而防火墻卻通常被配置阻止任何不請(qǐng)自到的數(shù)據(jù)分組通過(guò)。需要網(wǎng)絡(luò)管理者打開(kāi)防火墻上的一個(gè)端口來(lái)接收呼叫建立數(shù)據(jù)分組，例如5060端口（SIP的通信端口），

3、但I(xiàn)P語(yǔ)音和視頻通信協(xié)議還要求打開(kāi)許多別的端口接收呼叫控制信息來(lái)建立語(yǔ)音和視頻通信，這些端口號(hào)事先并不知道，是動(dòng)態(tài)分配的，也就是說(shuō)網(wǎng)絡(luò)管理者為了允許語(yǔ)音和視頻通信將不得不打開(kāi)防火墻上所有的端口，防火墻就失去了存在的意義。所以當(dāng)前的問(wèn)題還有需要解決監(jiān)聽(tīng)端口的問(wèn)題。如下圖SIP呼叫不成功示意圖分析：1 d:211.83.100.100:23766 s:192.168.1.166:10102 d:211.83.100.100:23766 s:211.83.100.166:99933. d:211.83.100.166:9993 s:211.83.100.100:237664. d:192.168.1

4、.166:1010 s:211.83.100.100:237665. d:211.83.100.110:23788 s:211.83.100.100:20206. d:211.83.100.100:3399 s:211.83.100.110:237887. d:211.83.100.166:9993 s:211.83.100.100:237668. d:192.168.1.166:1010 s:211.83.100.100:237669.d:211.83.100.100:3399 s:211.83.100.110:2378810.d:211.83.100.166:9993 s:211.83.1

5、00.100:2376611.d:192.168.1.166:1010 s:211.83.100.100:2376612.d:211.83.100.110:23788 s:192.168.1.166:1010 d:211.83.100.110:23788 s:211.83.100.166:999313.d:192.168.1.166 s:211.83.100.110:23788 A對(duì)B invite 時(shí)在SDP中帶上了RTP協(xié)商的端口和私網(wǎng)IP，B回復(fù)200OK時(shí)告知RTP時(shí)的端口和私網(wǎng)地址，B收到A的RTP包后回復(fù)，因?yàn)镽TP包記錄是私網(wǎng)地址，所以RTP包被丟棄。 目前主流的幾種解決方式有A

6、LG、STUN、TURN、ICE，我們分別來(lái)介紹它們的工作原理及工作流程。1. ALG1.1工作原理ALG是指能識(shí)別特定應(yīng)用層協(xié)議（如SIP、H.323或MGCP協(xié)議）的防火墻。它不是簡(jiǎn)單地查看分組首部信息來(lái)解決數(shù)據(jù)分組是否可以通過(guò)，而是更深層地分析負(fù)載內(nèi)容的數(shù)據(jù)，也就是應(yīng)用層的數(shù)據(jù)。SIP和H.323協(xié)議都在負(fù)載中放了重要的控制信息。通過(guò)分析哪一個(gè)端口需要打開(kāi)。防火墻動(dòng)態(tài)的打開(kāi)那些被應(yīng)用的端口，而所有別的端口依然安全地保持關(guān)閉狀態(tài)。ALG是支持VOIP應(yīng)用最簡(jiǎn)單的一種方式，但該方案的缺點(diǎn)非常明顯：每增加一種新的應(yīng)用都將需要對(duì) NAT/Firewall進(jìn)行升級(jí)。在安全要求上還需要作一些折衷，因

7、為ALG 不能識(shí)別加密后的報(bào)文內(nèi)容，所以必須保證報(bào)文采用明文傳送，這使得報(bào)文在公網(wǎng)中傳送時(shí)有很大的安全隱患。SIP響應(yīng)消息用于對(duì)請(qǐng)求消息進(jìn)行響應(yīng)，指示呼叫或注冊(cè)的成功或失敗狀態(tài)。在請(qǐng)求與響應(yīng)報(bào)文中需要進(jìn)行ALG處理的地址字段類(lèi)型主要有：Via、Record_Route、Contact、SDP。ALG處理流程為如下三個(gè)步驟：首先，ALG根據(jù)會(huì)話(huà)標(biāo)識(shí)的協(xié)議類(lèi)型對(duì)報(bào)文進(jìn)行解碼，若解碼發(fā)現(xiàn)報(bào)文為不需要做ALG或解碼發(fā)現(xiàn)為錯(cuò)誤字段時(shí)退出，解碼發(fā)現(xiàn)需進(jìn)行字段轉(zhuǎn)換時(shí)進(jìn)一步處理；其次，ALG查找接口上的NAT配置，根據(jù)NAT配置轉(zhuǎn)換報(bào)文中的IP地址、端口、call-id等信息并建立關(guān)聯(lián)表，關(guān)聯(lián)表記錄了載荷地址

8、的轉(zhuǎn)換關(guān)系；最后，ALG調(diào)整報(bào)文載荷中的長(zhǎng)度字段，如sip message header的content-length字段標(biāo)識(shí)message body的長(zhǎng)度，ALG對(duì)message body中的地址轉(zhuǎn)換后，message body長(zhǎng)度可能變化，content-length字段值需要置為變化后的值。1.2工作流程示意圖分析：1 d:211.83.100.100:23766 s:192.168.1.166:10102 d:211.83.100.100:23766 s:211.83.100.166:99939. d:211.83.100.166:9993 s:211.83.100.100:23766

9、10. d:192.168.1.166:1010 s:211.83.100.100:2376611. d:211.83.100.110:23788 s:211.83.100.100:202012. d:211.83.100.100:3399 s:211.83.100.110:2378813. d:211.83.100.166:9993 s:211.83.100.100:2376614. d:192.168.1.166:1010 s:211.83.100.100:237669.d:211.83.100.100:3399 s:211.83.100.110:2378810.d:211.83.100.

10、166:9993 s:211.83.100.100:2376611.d:192.168.1.166:1010 s:211.83.100.100:2376612.d:211.83.100.110:23788 s:192.168.1.166:1010 d:211.83.100.110:23788 s:211.83.100.166:9993ALG NAT對(duì)A發(fā)給B的RTP包中的內(nèi)容進(jìn)行解碼，發(fā)現(xiàn)私網(wǎng)地址就轉(zhuǎn)換為公網(wǎng)IP，并做映射建立關(guān)聯(lián)表，最后調(diào)整報(bào)文載荷中的長(zhǎng)度字段。13. d:211.83.100.166:9993 s:211.83.100.110:23788 A對(duì)B invite 時(shí)在SDP中

11、帶上了RTP協(xié)商的端口和私網(wǎng)IP，B回復(fù)200OK時(shí)告知RTP時(shí)的端口和私網(wǎng)地址，B收到A的RTP包是經(jīng)過(guò)ALG NAT修改后的數(shù)據(jù)包，就知道目的地址發(fā)給211.83.100.166:999314.d:192.168.1.166:1010 s:211.83.100.166:99932. STUN2.1工作原理STUN的全稱(chēng)是Simple Traversal of UDP Through NAT，即UDP對(duì)NAT的簡(jiǎn)單穿越方式。是一種網(wǎng)絡(luò)協(xié)議它允許位于NAT（或多重NAT）后的客戶(hù)端找出自己的公網(wǎng)地址，查出自己位于哪種類(lèi)型的NAT之后以及NAT為某一個(gè)本地端口所綁定的Internet端端口。這些

12、信息被用來(lái)在兩個(gè)同時(shí)處于NAT 路由器之后的主機(jī)之間建立UDP通信。該協(xié)議由RFC 3489定義。1) 應(yīng)用程序（即STUN CLIENT）向NAT外的STUN SERVER通過(guò)UDP發(fā)送請(qǐng)求STUN 消息詢(xún)問(wèn)自身的轉(zhuǎn)換后地址，2) STUN SERVER收到請(qǐng)求消息，產(chǎn)生響應(yīng)消息，響應(yīng)消息中攜帶請(qǐng)求消息的源端口，即STUN CLIENT在NAT上對(duì)應(yīng)的外部端口。響應(yīng)消息通過(guò)NAT發(fā)送給STUN CLIENT，3) STUN CLIENT通過(guò)響應(yīng)消息體中的內(nèi)容得知其在NAT上對(duì)應(yīng)的外部地址，并且將其填入以后呼叫協(xié)議的UDP負(fù)載中，告知對(duì)端，同時(shí)還可以在終端注冊(cè)時(shí)直接注冊(cè)這個(gè)轉(zhuǎn)換后的公有IP地址

13、，這樣就解決SIP穿越NAT的通信建立問(wèn)題以及作為被叫時(shí)的問(wèn)題。4) 本端的接收地址和端口號(hào)為NAT外的地址和端口號(hào)。由于通過(guò)STUN協(xié)議已在NAT上預(yù)先建立媒體流的NAT映射表項(xiàng)，故媒體流可順利穿越NAT。2.2網(wǎng)絡(luò)結(jié)構(gòu)圖2.3工作流程示意圖A：192.168.0.10 A NAT：192.168.1.1 211.83.100.100STUN SERVER：211.83.100.110B：192.168.11.11 B NAT：192.168.11.1 211.83.100.120分析：1 d:211.83.100.110:1111 s:192.168.0.10:10102 d:211.83

14、.100.110:1111 s:211.83.100.100:20203 d:211.83.100.100:2020 s:211.83.100.100:2020 4 d:192.168.0.10:1010 s:211.83.100.100:20205 d:211.83.100.120:2222 s:192.168.11.11:3030 6 d:211.83.100.120:2222 s:211.83.100.120:40407 d:211.83.100.120:4040 s:211.83.100.120:2222 8 d:192.168.11.11:3030 s:211.83.100.120:

15、2222A與B接收到STUN的響應(yīng)消息就得到信令和媒體流在NAT上的映射地址，并將這些地址寫(xiě)到SIP消息中的Via,Contact字段以及SDP中的媒體流傳送地址，代替原有的私網(wǎng)地址。如A的SDP帶的端口為10000，B的SDP帶的端口為20000，A、B相互告知對(duì)端它的端口，最后終端注冊(cè)時(shí)直接用這個(gè)轉(zhuǎn)換后的公有IP地址注冊(cè)。所以端口10000 B NAT是打開(kāi)的，端口20000 A NAT是打開(kāi)的，所以RTP包可路由。9 d:211.83.100.120:4040 s:211.83.100.100:888810 d:211.83.100.100:8888 s:211.83.100.120:4

16、0402.4需要注意1) NAT/PAT對(duì)于地址轉(zhuǎn)換關(guān)系是有一定生命期的，某個(gè)地址轉(zhuǎn)換后在一段時(shí)間內(nèi)沒(méi)有被使用將會(huì)被清除，當(dāng)這個(gè)業(yè)務(wù)流再次出現(xiàn)時(shí)，將會(huì)建立一個(gè)新的地址轉(zhuǎn)換關(guān)系，這就意味著STUN的詢(xún)問(wèn)過(guò)程以及終端的注冊(cè)過(guò)程都需要再執(zhí)行一遍才能保證通信的正確。解決這個(gè)問(wèn)題一個(gè)比較通行的方案是采用某種方式保持NAT/PAT的轉(zhuǎn)換關(guān)系，例如在NAT/PAT生命期內(nèi)重復(fù)注冊(cè)一次，比如NAT/PAT的生命期是3分鐘，那么就將注冊(cè)重復(fù)周期設(shè)置為2分鐘。2) 另外STUN server并非指一個(gè)專(zhuān)用的服務(wù)器，而是指一種功能、一個(gè)協(xié)議，我們可以在softswitch或者任何一個(gè)需要此功能的服務(wù)器上內(nèi)置此協(xié)議,

17、 后面代碼也包含一個(gè)簡(jiǎn)單的Server實(shí)現(xiàn)。3) 但是在NAT采用對(duì)稱(chēng)模式(symmetric NAT)工作時(shí)，STUN的方案就會(huì)出現(xiàn)問(wèn)題。假如我們?cè)趕oftswitch上提供STUN server功能，終端A通過(guò)STUN可以獲得NAT為終端A與softswitch之間通信分配的地址A'，并將這個(gè)地址注冊(cè)在softswitch上，當(dāng)一個(gè)公網(wǎng)上的終端B呼叫終端A時(shí)，A'和B通過(guò)softswitch完成呼叫建立過(guò)程。當(dāng)B試圖向A'發(fā)送媒體流時(shí)，問(wèn)題就出現(xiàn)了。因?yàn)閷?duì)稱(chēng)NAT只允許從softswitch發(fā)送數(shù)據(jù)給地址A'，從B發(fā)送的媒體流將被丟棄。所以STUN無(wú)法應(yīng)用于

18、工作在對(duì)稱(chēng)模式的NAT.4) STUN協(xié)議最大的優(yōu)點(diǎn)是無(wú)需現(xiàn)有NAT/FW設(shè)備做任何改動(dòng),同時(shí)STUN方式可在多個(gè)NAT串聯(lián)的網(wǎng)絡(luò)環(huán)境中使用. STUN的局限性在于STUN并不適合支持TCP連接的穿越,同時(shí)STUN方式不支持對(duì)對(duì)稱(chēng)NAT（Symmetric NAT）.5) 解決穿透NAT問(wèn)題的另一思路是，私網(wǎng)中的VOIP終端通過(guò)某種機(jī)制預(yù)先得到出口NAT上的對(duì)外地址，然后在凈載中所填寫(xiě)的地址信息直接填寫(xiě)出口 NAT上的對(duì)外地址，而不是私網(wǎng)內(nèi)終端的私有IP地址，這樣凈載中的內(nèi)容在經(jīng)過(guò)NAT時(shí)就無(wú)需被修改了，只需按普通NAT流程轉(zhuǎn)換報(bào)文頭的IP地址即可，凈載中的 IP地址信息和報(bào)文頭地址信息是一致

19、的。STUN協(xié)議就是基于此思路來(lái)解決應(yīng)用層地址的轉(zhuǎn)換問(wèn)題。6) 一旦客戶(hù)端得知了Internet端的UDP端口，通信就可以開(kāi)始了。如果NAT是完全圓錐型的，那么雙方中的任何一方都可以發(fā)起通信。如果NAT是受限圓錐型或端口受限圓錐型，雙方必須一起開(kāi)始傳輸。7) 需要注意的是，要使用STUN RFC中描述的技術(shù)并不一定需要使用STUN協(xié)議還可以另外設(shè)計(jì)一個(gè)協(xié)議并把相同的功能集成到運(yùn)行該協(xié)議的服務(wù)器上。8) SIP之類(lèi)的協(xié)議是使用UDP分組在Internet上傳輸音頻和或視頻數(shù)據(jù)的。不幸的是，由于通信的兩個(gè)末端往往位于NAT之后，因此用傳統(tǒng)的方法是無(wú)法建立連接的。這也就是STUN發(fā)揮作用的地方。9)

20、 STUN是一個(gè)客戶(hù)機(jī)服務(wù)器協(xié)議。一個(gè)VoIP電話(huà)或軟件包可能會(huì)包括一個(gè)STUN客戶(hù)端。這個(gè)客戶(hù)端會(huì)向STUN服務(wù)器發(fā)送請(qǐng)求，之后，服務(wù)器就會(huì)向STUN客戶(hù)端報(bào)告NAT路由器的公網(wǎng)IP地址以及NAT為允許傳入流量傳回內(nèi)網(wǎng)而開(kāi)通的端口。10) 以上的響應(yīng)同時(shí)還使得STUN客戶(hù)端能夠確定正在使用的NAT類(lèi)型因?yàn)椴煌腘AT類(lèi)型處理傳入的UDP分組的方式是不同的。四種主要類(lèi)型中有三種是可以使用的：完全圓錐型NAT、受限圓錐型NAT和端口受限圓錐型NAT但大型公司網(wǎng)絡(luò)中經(jīng)常采用的對(duì)稱(chēng)型NAT（又稱(chēng)為雙向NAT）則不能使用。3. TURN3.1工作原理TURN的全稱(chēng)為T(mén)raversal Using Re

21、layNAT，即通過(guò)Relay方式穿越NAT，TURN應(yīng)用模型通過(guò)分配TURNServer的地址和端口作為客戶(hù)端對(duì)外的接受地址和端口，即私網(wǎng)用戶(hù)發(fā)出的報(bào)文都要經(jīng)過(guò)TURNServer進(jìn)行Relay轉(zhuǎn)發(fā)。這種方式又稱(chēng)SPAN(Simple Protocol for Augmenting NATs)方式. TURN方式解決NAT問(wèn)題的思路與STUN相似，也是基于私網(wǎng)接入用戶(hù)通過(guò)某種機(jī)制預(yù)先得到其私有地址對(duì)應(yīng)在公網(wǎng)的地址（STUN方式得到的地址為出口NAT上的地址，TURN方式得到地址為T(mén)URNServer上的地址），然后在報(bào)文負(fù)載中所描述的地址信息直接填寫(xiě)該公網(wǎng)地址的方式，實(shí)際應(yīng)用原理也是一樣的。

22、這種方式除了具有STUN方式的優(yōu)點(diǎn)外，還解決了STUN應(yīng)用無(wú)法穿透對(duì)稱(chēng)NAT（Symmetric NAT）以及類(lèi)似的Firewall設(shè)備的缺陷，即無(wú)論企業(yè)網(wǎng)/駐地網(wǎng)出口為哪種類(lèi)型的NAT/FW，都可以實(shí)現(xiàn)NAT的穿透，同時(shí)TURN支持基于TCP的應(yīng)用，如H323協(xié)議。此外TURN Server控制分配地址和端口，能分配RTP/RTCP地址對(duì)(RTCP端口號(hào)為RTP端口號(hào)加1)作為私網(wǎng)終端用戶(hù)的接受地址，避免了STUN方式中出口NAT對(duì)RTP/RTCP地址端口號(hào)的任意分配，使得客戶(hù)端無(wú)法收到對(duì)端發(fā)來(lái)的RTCP報(bào)文(對(duì)端發(fā)RTCP報(bào)文時(shí)，目的端口號(hào)缺省按RTP端口號(hào)加 1發(fā)送)。TURN的局限性在

23、于需要VOIP終端支持TURN Client，這一點(diǎn)同STUN一樣對(duì)網(wǎng)絡(luò)終端有要求。此外所有報(bào)文都必須經(jīng)過(guò)TURN Server轉(zhuǎn)發(fā)，增大了包的延遲和丟包的可能性。3.2網(wǎng)絡(luò)拓?fù)鋱D 3.3工作流程示意圖A：192.168.0.10 A NAT：192.168.1.1 211.83.100.100STUN SERVER：211.83.100.110B：192.168.11.11 B NAT：192.168.11.1 211.83.100.120分析：d:211.83.100.110:1111 s:192.168.0.10:10102 d:211.83.100.110:1111 s:21

24、1.83.100.100:20203 d:211.83.100.100:2020 s:211.83.100.100:2020 4 d:192.168.0.10:1010 s:211.83.100.100:20205 d:211.83.100.120:2222 s:192.168.11.11:3030 6 d:211.83.100.120:2222 s:211.83.100.110:40407 d:211.83.100.110:4040 s:211.83.100.120:2222 8 d:192.168.11.11:3030 s:211.83.100.120:2222A與B接收到TURN的響應(yīng)消

25、息就得到信令和媒體流在NAT上的映射地址，并將這些地址寫(xiě)到SIP消息中的Via,Contact字段以及SDP中的媒體流傳送地址，代替原有的私網(wǎng)地址。如A的SDP帶的端口為10000，B的SDP帶的端口為20000，A、B相互告知對(duì)端它的端口，所以端口10000 B NAT是打開(kāi)的，端口20000 A NAT是打開(kāi)的，所以RTP包可路由。9 d:211.83.100.110:1111 s:211.83.100.100:555610 d:211.83.100.120:2222 s:211.83.100.110:1111 d:192.168.11.11:3030 s:211.83.100.120:2

26、22211 d:211.83.100.110:4040 s:211.83.100.120:655512 d:211.83.100.100:5556 s:211.83.100.110:4040 d:192.168.0.10:1010 s:211.83.100.100:2020 4. ICE4.1工作原理交互式連通建立方式ICE(Interactive Connectivity Establishment)并非一種新的協(xié)議，它不需要對(duì)STUN、TURN或RSIP進(jìn)行擴(kuò)展就可適用于各種NAT。ICE是通過(guò)綜合運(yùn)用上面某幾種協(xié)議，使之在最適合的情況下工作，以彌補(bǔ)單獨(dú)使用其中任何一種所帶來(lái)的固有缺陷。I

27、CE跟STUN和TURN不一樣，ICE不是一種協(xié)議，而是一個(gè)framework，它整合了STUN和TURN。使用ICE方式穿透NAT，必須映射ICE定義的參數(shù)到SIP消息格式中，同時(shí)對(duì)其SDP屬性進(jìn)行簡(jiǎn)單擴(kuò)展在SDP的Media塊中定義一個(gè)新的屬性“alt”來(lái)支持ICE。它包含一個(gè)候選IP地址和端口，SDP的接受端可以用該地址來(lái)替換m和c中的地址。Media塊中可能會(huì)有多個(gè)alt屬性，這時(shí)每個(gè)alt應(yīng)該包括不重復(fù)的IP地址和端口。 對(duì)于SIP來(lái)說(shuō)，ICE只需要定義一些SDP(Session Description Protocol)附加屬性即可，對(duì)于別的多媒體信令協(xié)議也需要制定一些相

28、應(yīng)的機(jī)制來(lái)實(shí)現(xiàn)。其思想是：建立媒體流信道時(shí)，發(fā)出很多種選擇，有本地端口，STUN端口，TURN端口，并給出這些端口的優(yōu)先級(jí)，由被叫方自主選擇端口，根據(jù)一定的算法和聯(lián)通性測(cè)試，選出最好的端口來(lái)通信。ICE算法流程分為以F幾個(gè)過(guò)程：    (1)收集本地傳輸?shù)刂?#160;   會(huì)話(huà)者從服務(wù)器上獲得主機(jī)上一個(gè)物理(或虛擬)接口綁定一個(gè)端口的本地傳輸?shù)刂贰?#160;   (2)啟動(dòng)STUN    與傳統(tǒng)的STUN不同，ICE用戶(hù)名和密碼可以通過(guò)信令協(xié)議進(jìn)行交換。    (3)確定傳輸?shù)刂返膬?yōu)先級(jí)    優(yōu)先級(jí)反映了UA在該地址上接收媒體流的優(yōu)先級(jí)別，取值范圍0到1之間，按照被傳輸媒體流量來(lái)確定。    (4)構(gòu)建初始化信息(Initiate Message)    初始化消息由一系列媒體流組成，每個(gè)媒體流的任意Peer之間實(shí)現(xiàn)最人連通可能性的傳輸?shù)刂肥怯晒W(wǎng)L轉(zhuǎn)發(fā)服務(wù)器(如TURN)提供的地址。    (5)響應(yīng)處理    連通性檢查和執(zhí)行I