9.1.7　城域网

城域网是在一个城市范围内所建立的计算机通信网，简称MAN，属宽带局域网。由于采用具有有源交换元件的局域网技术，网中传输时延较小，它的传输媒介主要采用光缆，传输速率在100Mbit/s以上。MAN的一个重要用途是用作骨干网，通过它将位于同城市内不同地点的主机、数据库，以及LAN等互相连接起来，这与WAN的作用有相似之处，但两者在实现方法与性能上有很大差别。

1．城域网概述

目前提到的城域网指的是城域范围的以太网/IP城域网，是数据网的范畴。城域传送网是指在城域范围内为各种业务网提供传输电路的基础承载网络，类似于本地传送网。

IP城域网是各地市的宽带、窄带等IP业务的承载平台，所有IP业务都将在城域网内接入开展，所以，为不同地区构建一个适合该地区业务需求发展的城域网是未来几年网络建设规划方面的重中之重，城域网是通信运营商开展宽带增值应用的关键层面。城域网组网所采用技术的优劣将直接影响宽带用户的有效接入和新型增值业务的开展。

宽带城域网是在城市范围内，以IP和ATM电信技术为基础，以光纤作为传输介质，集数据、语音、视频服务于一体的高带宽、多功能、多业务接入的多媒体通信网络。它能够满足政府机构、金融保险、大中小学校、公司企业等单位对高速率、高质量数据通信业务日益旺盛的需求，特别是快速发展起来的互联网用户群对宽带高速上网的需求。

城域网是接近用户的网络，为用户提供语音、数据、图像、多媒体、IP接入等业务和各种增值业务，如VPN及智能业务，并与各运营商长途网互通的本市（地）综合业务网络。作为数据骨干网和长途电话网在城域范围内的延伸覆盖，新一代城域网不仅担当边缘网络的角色，而且承担集团用户、商用大楼、智能小区的业务接入和电路出租任务的用户智能网络的功能，网络本身配置智能功能以管理运营商推出的各种IP业务，配合其覆盖面广、投资量大、接入技术多样、接入方式灵活的特点。

从结构上可以将城域网分成3个层次：核心层、汇聚层和接入层，如图9-23所示。

图9-23　城域网结构示意图

（1）核心层

核心层是高速交换与转发中心，其主要功能是给业务汇接点提供高容量的业务承载与交换通道，实现各叠加网的互连互通。由于城域网核心层设备是连接省骨干网的出口，所以应选用高速路由器。

核心层实现骨干网络之间的优化传输，骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。

（2）汇聚层

汇聚层主要是给业务接入点提供业务的汇聚、管理和分发处理。这一层次的设备连接大量的接入层设备，要求具备极高的端口密度和交换容量。同时，汇聚层设备数量相对较多，是网络建设成本的重要组成部分，应充分考虑设备的性能价格比。当前，接入层设备主要是吉比特以太网接口，如IPDSLAM、接入层以太网交换机等，接口比较单一。综合考虑以上各种因素，汇聚层设备应选用高档三层交换机，这也是主流运营商的组网方案。相比之下，同档次的路由器价格是三层交换机价格的几倍，而且端口密度低，整机容量小，二层转发能力弱，不适应城域网建设的要求。三层交换机近两年在技术上取得了飞速的进步，特别是采用专用集成电路（Application Specific Integrated Circuit，ASIC）+网络处理器（Network Processing Unit，NPU）方案的三层交换机，综合了ASIC的高速恒定处理能力和NPU的灵活性优势，实现了交换路由一体化，很好地满足了汇聚层网络设备的需要。

城域网汇聚层的一项重要功能是实施业务管理，包括用户认证和带宽管理功能。目前的手段主要是以太网传输点对点协议（Point-to-Point Protocol over Ethernet，PPPoE），用户数据流被封装在PPP二层链路中，由宽带远程接入服务器（Broadband Remote Access Server，BRAS）设备终结PPP连接，转发IP报文。由于所有的用户流量都要流经BRAS设备，所以需要多台BRAS来完成用户认证和带宽管理功能。如果采用BRAS外置设备，网络的建设成本将大大提高，而如果在三层交换机中内置BRAS，可以节省购置BRAS的开销，同时带来的是机房、电源、光纤以及维护成本的节约。汇聚层设备内置BRAS，是城域网设备进化发展的必然选择。

（3）接入层

接入层的功能是为用户提供各种接入方式和带宽及流量控制等。接入层设备一般采用二层交换机或综合接入设备，位置根据实际网络环境中的用户数量、距离和密度等情况设置。接入层网络结构采用星形，接入方式有两种，一种是FTTx+LAN，适用于用户密集区域，如小区个人用户、集团用户、政府机关等；另一种是数字用户线路（x Digital Subscriber Line，xDSL）或Cable Modem，适用于电话线或有线电视网的区域。

2．宽带IP城域网及其应用

宽带IP城域网是根据业务发展和竞争的需要而建设的城市范围（也可以是包括所辖县区等的本地网范围）的宽带多媒体通信网，是宽带骨干网络在城市范围内的延伸，并作为本地的公共信息服务平台组成部分，负责承载各种多媒体业务，为用户提供各种接入方式，满足政府部门、企事业单位、个人用户对基于IP的各种多媒体业务的需求。

（1）宽带IP城域网的技术体制

根据宽带IP城域网的性质和功能，它必须是可管理和可扩展的分层的电信运营网络。

如前所述，目前一般将城域网划分为核心层、汇聚层和接入层。对于规模不大的城域网，核心层与汇聚层可以合在一起，以简化网络。但是，城域网的建设是一个渐进的过程，网络的不同层次甚至同一层次可能由不同的投资者分别建设，如果采用这种划分方法，则过于简单，不能充分反映网络建设的具体情况。因此，在实际工程建设中，通常将城域网划分为城域网城域部分和城域网接入部分。

城域网城域部分为运营商网络，由运营商统一规划与建设，又可分为城域核心层和城域汇聚层。城域核心层主要完成城域网内部信息的高速传送与交换，实现与其他网络的互连互通，而城域汇聚层主要完成信息的汇聚与分发。

城域接入部分可由运营商、因特网服务提供商（Internet Service Provider，ISP）、企业、建筑商以及物业管理部门建设，不仅是传统意义上提供接入，而且还需要向用户提供本地业务。城域接入部分又分为接入汇接层和用户接入层。接入汇接层完成信息的汇接与分发，实现用户管理，城域接入部分的业务提供、计费等功能。用户接入层为用户提供具体的接入手段。

建设宽带IP城域网，要根据各地的经济和业务发展情况统一考虑，同时所采用的技术应该是符合标准化的。

根据不同地区的IP业务发展情况，组建宽带IP城域网的方案有采用高速路由器为核心组建、采用高速LAN交换机为核心组建、采用ATM交换机为核心组建小型IP城域网。

1）采用高速路由器为核心组建宽带IP城域网

在IP业务量较大的城市，IP城域网核心层将直接采用高速路由器来组建宽带IP城域网，并以吉比特以太网技术方式组网为主，PPPoverSDH连接为辅，中继采用市内光纤连接。考虑到IP业务量大的城市需要处理的IP数据包比较多，只有采用高速路由器才能处理得过来，并且当IP业务量比较大时，IP层面的流量控制和服务级别划分（Class of Service，CoS）等也是不可缺少的，而这些功能都只有高速路由器才能提供，所以对于业务量比较大的城市采用高速路由器来组建IP城域网比较合适。对于城域网的核心层面建设，应该以简单的网络拓扑为主。例如，只以两个节点为核心节点，其他骨干节点分别与这两个核心节点相连接等。另外，一些接入服务器，如PSTN/ISDN拨号接入服务器、宽带拨号（支持PPPoE，即PPP over Ethernet点到点协议包在以太网上传送）接入服务器、虚拟专用网（Virtual Private Network，VPN）接入服务器等，也将放置在城域网的骨干节点。城域网的接入层面将主要由LAN交换机为主组成，向用户提供以太网宽带接入。

2）采用高速LAN交换机为核心组建宽带IP城域网

对于业务量中等的城市，可采用高速LAN交换机（同时支持第2和第3层）为核心来组建宽带IP城域网，并完全以吉比特以太网技术方式组网，中继采用市内光纤连接。考虑到IP业务量中等的城市需要处理的IP数据包并不是特别多，并且由于带宽相对比较富余，IP层面的流量控制和服务级别划分等也不是特别重要，所以采用高速LAN交换机来组网是完全可行的。考虑到网络的稳定性，高速LAN交换机将同时支持链路层和IP路由，并且需要支持链路层的用户隔离和广播数量的抑制。

由于高速LAN交换机价位比较低，通过划分虚拟局域网（Virtual Local Area Network，VLAN）的方式，可以使得虚拟拨号穿过城域网的基于VLAN交换机的骨干层面，宽带接入服务器将可以采用集中式接入方案，在城域网业务发展初期，用这种方式组建IP城域网将是比较节省投资的。

当城市中的IP业务量越来越大，使得以高速LAN交换机为核心组建的IP城域网不能适应发展要求时，可以考虑向以高速路由器为核心组建城域网的方案过渡。实际上，由于在高速LAN交换机上已经激活了IP层面，所以从城域网核心层开始引入高速路由器进行过渡是非常容易和平滑的。由于引入的高速路由器将隔断虚拟拨号的VLAN，所以伴随着高速路由器的引入，宽带拨号接入服务器也应该逐渐从集中式向分布式过渡。

3）采用ATM交换机为核心组建小型IP城域网

对于业务量小的城市，可利用现有ATM交换机增加模块和节点来组建IP城域网。考虑到IP业务量小的地市需要处理和承载的IP数据包不是特别多，并且现有电信的ATM网络带宽比较富余，为了充分地利用现有的设备和资源，完全可以通过改造和适当扩建ATM网络，如在ATM网络中引入多协议标记交换（Multi Protocol Label Switch，MPLS）等功能，使其拥有支持高速IP路由的能力等来组建小型的IP城域网。

（2）城域网路由协议

为了保证城域网的相对独立性，一般情况下城域网自成一个自治域，与省骨干网路由域完全隔离。这样做一方面可以给城域网充分的灵活性，在路由设置和IP地址分配方面有更大的自由度，另一方面也可以减少城域的路由动荡对省网路由的冲击。

省IP骨干网一般与城域网通过外部边界网关协议（External Border Gateway Protocol，E-BGP）、路由协议进行路由沟通。省骨干网节点在与城域网骨干节点进行E-BGP路由沟通时，应该加入一些路由限制策略，保证省IP骨干网的路由不会受到较大影响。

（3）AAA与RADIUS

认证、授权和计费（Authentication Authorizationand Accounting，AAA）提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致的框架。AAA的配置实际上是对网络安全的一种管理。这里的网络安全主要指访问控制。包括哪些用户可以访问网络服务器、具有访问权的用户可以得到哪些服务、如何对正在使用网络资源的用户进行计费。认证、授权和计费各自的作用如下。

·认证：认证用户是否可以获得访问权。

·授权：授权用户可以使用哪些服务。

·计费：记录用户使用网络资源的情况。

RADIUS协议被设计用于AAA。1996年5月，RADIUS协议开始被IETF认可为AAA方面的工业标准。

1）RADIUS协议的客户机/服务器结构

RADIUS协议采用客户机/服务器（Client/Server，C/S）结构。客户端通常运行于接入服务器（Access Server，AS）上，它的职责是将用户的信息发送到指定的RADIUS服务器，是连接用户和RADIUS服务器之间的桥梁。

RADIUS服务器通常运行于工作站或服务器上，其职责是接收客户端发来的用户认证请求信息，完成对用户的认证，同时将提供服务所需要的配置信息返回给客户端，并对用户开始进行计费。RADIUS服务器数据库中的相关安全信息采用了集中存放的方式，避免安全信息凌乱散布带来的不安全性，同时更可靠且易于管理。

2）RADIUS协议工作流程

RADIUS客户端会为每个拨号用户建立一个会话过程，并把第一次服务的开始作为会话起点，将服务的结束作为会话终点。

RADIUS协议工作流程如图9-24所示，其中，A8010表示接入服务器即RADIUS客户端，TA表示ISDN终端适配器。

图9-24　RADIUS协议工作流程

RADIUS协议工作流程如下。

①用户使用ADSL拨号上网，接入A8010。

②A8010从用户那里获取用户名和口令，将其与用户的一些其他信息（如接入号码）打包向RADIUS服务器发送，该报文称为认证请求（Access-Request）报文。

③RADIUS服务器收到认证请求报文后，首先通过共享密钥判断A8010是否已经在本服务器登记注册，如果已经注册，则根据报文中用户名、口令等信息认证用户是否合法。如果用户非法，则向A8010发送访问拒绝（Access-Reject）报文。如果用户合法，那么RADIUS服务器会将用户的配置信息（如IP地址）打包发送到A8010，该报文称为访问接受（Access-Accept）报文。

④A8010收到访问接受/拒绝报文后，先判断报文中的数字签名是否正确，如果不正确就认为收到了一个非法报文，则丢弃该报文。如果数字签名正确，那么A8010会接受用户的上网请求，并用收到的信息对用户进行配置（收到了访问接受报文），或者是拒绝该用户的上网请求（收到了访问拒绝报文）。RADIUS认证/授权过程结束。

⑤在用户通过认证之后，A8010向RADIUS服务器发送一个计费开始请求报文，RADIUS计费过程开始。

⑥RADIUS服务器收到后根据用户类别进行响应。

⑦在用户断网之后，A8010向RADIUS服务器发送一个计费停止请求报文（信息包括接收发送字节数、会话时间及挂断原因等）。

⑧RADIUS服务器收到后同样要给予响应。

3）其他

RADIUS协议使用UDP作为传送协议，同时使用了两个UDP端口号分别用于认证和计费。在RADIUS的协议文本RFC2138和RFC2139中，规定1812作为认证端口号，1813为计费端口号。

在RADIUS服务器上，通常要维护3个数据库：一个用于存储用户信息（包括用户名、口令以及使用的协议、IP地址等配置），一个用于存储接入服务器的信息（包括所认可的接入服务器以及它们之间的共享密钥），第三个数据库存储的信息用于解释RADIUS报文的属性三元组。

RADIUS报文的数据部分由一个个的属性三元组组成，属性三元组由属性编号、整个属性的长度和属性值构成。图9-25所示的是一个用户名（User-Name）属性三元组的示例。

图9-25　属性三元组示例

（4）IP城域网的关键技术

IP城域网的关键技术涉及的因素很多，如网络技术、接入技术等，下面主要介绍用户认证与接入、用户管理、接入带宽控制、IP地址分配与网络地址转换、用户信息安全及网络管理等城域网的关键技术。

1）用户认证与接入

运营商建设网络的根本目的在于能够通过网络运营为用户提供服务而获取利润。因此，必须对使用网络的用户按照一定的原则进行计费。而最简单的计费方式莫过于采用包月制方式，但由于用户的需求不一，如告诉上网可能需要1Mbit/s带宽，看MPEG-1节目可能需要2Mbit/s带宽，看MPEG-2节目可能需要6Mbit/s带宽，随着竞争的加剧，这种包月制计费方式将难以适应市场需求，因此网络必须能够支持按照用户使用网络资源时情况进行计费。要做到这一点，就必须首先能够对使用网络的用户进行身份认证，以防止非法用户的盗用。

窄带接入方式是利用PPP技术通过AAA服务器实现用户的身份认证并分配IP地址，使得用户能够通过接入服务器接入网络，进行信息交互。宽带接入方式下，通过以太网交换机或路由器实现的网络，并不提供相应的功能对用户进行身份认证。因此，要做到这一点，必须引入有关技术与相应的设备，如客户管理系统。

目前与此有关的技术可以归为两类，分别是不需要严格认证的方法和需要严格认证的方法。不需要严格认证的方法是将用户静态配置的IP地址或者采用DHCP自动获取的IP地址与用户终端设备的MAC地址和基于端口的VLANID捆绑在一起，用户开机就自动接入到网络中，不需要对用户的身份进行认证，上述IP地址、MAC地址与VLANID的捆绑能够有效地保证合法的终端才能接入网络中，以确保用户信息的安全性。但这种方法存在着一个严重的缺陷，只是保证合法终端接入网络，而不是保证合法用户接入网络，不管是集团用户还是家庭用户，对此都几乎难以容忍，这直接导致了DHCP+的出现。而且，这种方式目前还不能做到按用户进行计费。因此，这种方式只能在网络建设初期包月制情况下使用。需要严格认证的方法能够保证每一个网络使用者都是合法的用户，一个终端可以有多个不同的用户，如果与客户管理系统一起使用，不同用户还可以拥有访问网络资源的不同权限。目前，需要严格认证的方法分为两种，PPPoE/A技术和DHCP+技术。

PPPoE/A技术既能够实现一个客户端与多个远程主机连接的功能，又能够提供类似于PPP的访问控制和计费功能。使用PPPoE/A技术，类似于使用点对点协议的拨号服务方式，每个主机使用自己的点对点协议栈，用户使用他们所熟悉的拨号网络用户接口进行拨号。通PPPoE/A技术，每个用户可以有他自己的接入管理、计费和业务类型。

PPPoE/A技术有IETF的远程过程调用（Remote Procedure Call，RPC）技术与设备比较成熟，可以防止地址冲突与地址盗用，既可以按时长计费也可以按流量计费，能够对特定用户设置访问列表过滤或实现防火墙功能，能够对特定用户访问网络的速率进行控制，能够利用现有的用户认证、管理和计费系统实现宽窄带用户的统一管理认证和计费，能够方便地提供动态业务选择特性，而这些都是DHCP+所不具备的。因此，目前建议使用这种方法建设宽带IP城域网。

DHCP+是为了适应网络发展的需要而对传统的DHCP协议进行了改进，主要增加了认证功能。即DHCP服务器在将配置参数发给客户端之前必须将客户端提供的用户名和密码送到RADIUS服务器进行认证，通过后才将配置信息发给客户端。与PPPoE/A技术一样，DHCP+也需要在客户端上安装客户端软件，不同的是，DHCP+客户端与服务器可以通过在每个子网内增加中继代理而跨越三层，不一定要在同一个二层内。而且，服务器只是在获得IP配置信息阶段起作用，以后的通信完全不经过它，而PPPoE/A技术由于服务器与客户端之间存在PPP连接，因此服务器是所有通信的必经之路。

DHCP+的主要优点是使用DHCP+服务器只在用户接入网络前为用户提供配置与管理信息，一般不会成为瓶颈，并能够很容易地实现组播的应用。但是，DHCP+还没有正式的标准，产品和应用很少，不能防止地址冲突和地址盗用，不能按流量进行计费，不能对用户的数据流量进行控制，应用DHCP+需要改变现有的后台管理系统。

2）用户管理

宽带IP城域网的用户主要有集团用户和家庭用户两类。集团用户一般采用包月制方式，不需要认证。而家庭用户一般希望网络能够根据其实际需要提供业务和计费。因此，用户管理主要是对需要进行严格认证的用户的管理。

相对于分散认证分散管理方式（即将用户信息放置在靠近用户的汇接层上，用户接入网络时客户管理系统不需要到远端去就能获取有关用户的信息而完成对用户的认证），采用集中认证集中管理方式（城域网中的用户集中在一起进行管理，用户接入网络时，客户管理系统利用RADIUS技术到用户管理中心获取有关用户的信息，完成对用户的认证），管理起来非常方便，特别是在这种情况下，能够将宽带RADIUS服务器与窄带RADIUS服务器集中放在一起，甚至将两者合二为一，实现宽窄带用户统一管理。注意，在这种方式下客户管理系统可以根据网络业务量的大小放置在不同的位置上。

分布式放置在靠近用户的汇接层（如接入汇接层）上设置客户管理系统，为该汇接层之下的用户提供认证、流量控制等功能。这样做，可以不需要大容量的客户管理系统，并使网络的可扩展性非常好。由于可以根据网络规模的大小和业务需要选择不同等级的且具有良好性价比的客户管理系统，因此不会出现因为分布式设置而像使用其他宽带接入服务器一样使造价过高的情况，同时为业务的进一步快速增长留下足够的空间。

集中式放置在核心层上集中设置客户管理系统，对一个片区的大量小区和集团用户进行集中认证。这种方式的优势在于可以对用户进行集中管理，但对设备的要求比较高，很有可能成为网络进一步发展的瓶颈。因此，建议在网络建设初期每个片区内用户比较少时，可以考虑采用这种方法。随着网络建设的不断发展和用户的不断增多，还是应该过渡到分布式设置。但集中式设置的系统并不是不使用了，事实上它可以用来为分布式设置的系统提供业务汇聚功能。如对于VPN业务，利用集中式设置的系统可以简化全网配置。

3）接入带宽控制

用户如果以以太网方式接入，则城域网提供给用户的一般是10/100Mbit/s以太网接口。从实际情况来看，用户对这样的速率并不满意，主要原因有两个，一是城域网目前能够提供的，需要较高带宽的且能够吸引用户的宽带业务并不多，大部分用户目前还不需要如此高的速率，他们希望运营商能够将带宽根据他们的实际需要分成多个等级，每个等级采用不同的收费标准；二是目前用户上网大部分是为了访问城域网之外的业务，而由于汇聚层/骨干层/业务层设备的限制，在城域网之外速率并不高，因此用户希望运营商能够提供与汇聚层/骨干层/业务层相适应的接入速率，以降低资费。从竞争角度和业务发展趋势来看，用户的这种合理要求应该予以满足。目前，这种要求可以采用两种不同方法实现，一种是在分散放置的客户管理系统上对每个用户的接入带宽进行控制，另一种是在用户接入点上对用户接入带宽进行控制。

在分散放置的客户管理系统上进行控制的优点在于网络中对客户管理系统以下的设备没有任何要求，普通的二层以太网交换机就可以了；缺点在于所有设备处于一个共享LAN中，在客户管理系统以下的设备没有严格的带宽高低思想，使得资源不能充分利用。在用户接入节点上进行控制的优点是能够充分利用接入层的网络资源，保证每个用户都能够得到其所需要的服务质量，缺点是需要接入层的设备支持。

4）IP地址分配与网络地址转换

IP地址资源问题一直是因特网建设中的难题之一。随着宽带城域网的建设，这个问题可能会变得更加严重。因为宽带网络的用户可能是永远在线的，特别是包月制情况下，所以在宽带IP城域网中，除了建设初期用户IP地址可以采用公有IP地址之外，一般都采用私有IP地址。但即使如此也应该考虑到IP地址资源是非常有限的，随着网络规模的不断扩大与用户数的急剧增长，很快会耗尽。因此，建议用户IP地址通过动态分配方式进行分配（IP地址既可以私有，也可以公有）。用户访问网络资源时，从IP地址池中临时申请到一个IP地址，使用完后再归还到IP地址池中。而IP地址池，可以位于客户管理系统上，也可以集中放置在RADIUS服务器上。

由于高速接入因特网是宽带城域网的主要业务，而进行因特网访问时，用户必须使用全球唯一　IP地址。因此，在宽带IP城域网建设中如果采用了私有IP地址，运营商应该保证用户在使用私有IP地址时同样可以接入因特网，解决办法就是采用专门的IP地址转换设备或采用带NAT插卡的客户管理系统，将私有IP地址转换成运营商自己的公有IP地址，从而可以进行统一的因特网寻址。

在网络转换设备中，私有IP地址转换为公有IP地址可以有：静态方式、动态方式和复用动态方式3种实现方式。其中，静态方式是通过配置将一个私有用户地址与一个公有IP地址对应，用于接入外部网络的用户数比较少时。动态方式是用户接入外部网络时网络设备从公有IP地址池中选择一个空闲的IP地址与其私有IP地址对应。复用动态方式利用公有IP地址和TCP端口号来标识私有IP地址和TCP端口号，协议规定使用16位的端口号，除去一些保留的端口外，一个公有IP地址可以区分多达6万个采用私有IP地址的用户端口号。由于一般运营商申请到的公有IP地址比较少，而用户数却可能很多，因此一般都采用复用动态方式。

宽带IP城域网是一个整体，在这个整体中网络建设与IP地址分配应该统一规划。因此，除了在网络建设初期，由于覆盖范围比较小，用户数量比较少，可以采用分布式设置NAT之外，最好采用集中式放置NAT，以进一步减少公有IP地址的使用，节省投资，便于管理。特别是，集中放置的高端NAT设备保证了全网的网络性能几乎不受其影响。

5）用户信息安全

用户信息安全问题一直是IP网络中的讨论热点。在宽带IP城域网建设中，也肯定会成为人们关注的焦点之一。事实上，在网络建设初期，用户对安全性可能要求不高。但是，随着用户数的不断上升和用户使用的业务种类不断增多，特别是电子商务的逐渐普及，用户将会越来越多地考虑到信息的安全性。用户信息的不安全性主要是由用户处于以太网环境中引起的，因此要保证用户信息的安全性，就必须实现以太网环境下的用户隔离。目前主要采用的技术为VLAN技术。VLAN技术是由IEEE802.3q和IEEE802.1q定义的，基本思想是在传统的以太网的帧结构中加入VLAN标识，划分在一个VLAN中的用户才能互相通信，不同VLAN中的用户互相隔离，一个设备支持的最大VLAN数量为4096（0~4095）。在宽带IP城域网中，在接入设备上基于设备的端口、用户MAC地址、用户IP地址或其他策略将一个用户划分成一个VLAN，客户管理系统终结所有VLAN，实现三层交换功能，并实现IP地址与用户MAC地址和VLANID的绑定，防止IP地址的盗用。

采用VLAN实现用户之间的隔离，严格论证的方法对需要进行认证的用户进行认证和计费，是城域网建设的发展趋势。

6）网络管理

宽带IP城域网网络管理的要求与因特网网络管理的要求是一样的，如支持基于Web、Telnet和CLI的网络管理方式，支持SNMP、RMON等网络管理协议，支持带内和带外网络管理信息通道等。但其特殊性主要体现在宽带IP城域网中集中了多个厂商的设备，并直接面向各种不同类型的用户，因此其网络管理系统也应该支持这种特殊性，即支持与其他网络管理系统的集成，以方便地实现多个厂商设备的统一管理：支持按时长、按流量、包月制等多种计费方式或者针对不同的策略进行计费的功能，以满足城域网不同用户的需求。

对于如何管理宽带IP城域网，目前有采用带内网络管理、带外网络管理、两种方式同时使用或者两种方式混合使用（城域汇聚及其以上层次的设备采用带外网络管理，城域汇聚以下设备采用带内网络管理）4种方式。从网络层次划分来看，城域网城域部分应该采用统一的管理方式，而城域网接入部分，应根据具体情况实现。具体地说，就是如果运营商为自己建设网络，则由于投资少、实现快，能够满足全部管理要求，因此宜采用混合方式。如果运营商为其他投资者建设网络，则应该采用带内网络管理比较符合实际情况。

（5）几种典型的应用

典型的宽带IP城域网应用包括信息化智能小区、商业楼（区）、校园网和企业网等。按照其提供的业务，可划分为接入型园区网络和互连型园区网络两种类型。

接入型园区网的典型应用是信息化小区系统，其业务以因特网接入和小区内宽带业务的接入为主，用户间交互的业务为辅。接入型业务要求系统能提供较完善的AAA功能，用户能实现动态业务选择，通过PPPoE+RADIUS服务器方式满足用户对网络安全性的要求。宽带接入服务器可以实现上述功能，帮助运营商计对不同的用户和不同的业务，施予不同的带宽和流量控制策略。

互连型园区网的典型应用是企业网和校园网，业务以用户间的互通为主，互连型业务需要系统提供VPN功能。引入综合接入服务器能实现VPN的集中处理，有效降低系统造价。此外，从运营的角度考虑，支持多视域管理的功能也是非常必要的。视域包括全局视域和客户视域两种，全局视域是指网络运营商的视域，网络运营商可以查看系统的全貌，对系统的全局参数进行配置。客户视域是ISP/VPN等客户的视域，视域之间相互隔离，各个租用带宽的ISP/VPN用户只能查看和配置自己购买的服务的相关参数。