通过城域网的建设，可以为企业、信息化小区的用户提供 10M/100M 的高速接入。为了有效控制用户上网的权限和接入带宽，必须采用灵活的接入控制手段。目前，主要有两种接入控制方式，即：网上配置 SSO （ Service-Sign-On ）系统、 RedBack SMS 宽带接入服务器。

网上配置 SSO （ Service-Sign-On ），是 Macroview 公司设计的专门为小区、大楼宽带接入实现的接入控制机制。它采用 Cisco 的 CSRC （ CiscoSubscriberRegiterCenter ）技术实现用户的登录、校验、分配地址的过程。 SSO 系统包括 UserRegistar 服务器、 NetworkRegistar 服务器、 SSO Web 服务器、 spoof 哄骗 DNS 服务器、 BillingDataStore 计费存储器等设备。其组成示意图如下：

在城域网上，设置一个 SSO 的服务器组，完成所有用户登录的认证和控制过程。服务器可以进行组合，在一台服务器硬件上实现多个服务器功能。

城域网上信息化小区的接入有两种设备，即 Catalyst2924 和 Catalyst6509 。在以 Catalyst2924 接入时，需增加一台路由器，再接入城域网。该路由器将接受 SSO 服务器的控制，采用访问控制列表 AccessList 实时建立或取消对某个用户的访问控制。在以 Catalyst6509 接入时，由于 Catalyst6509 具有路由功能，可以实现访问控制，因此不用增加路由器。

一个正常的 SSO 处理流程如下图所示：

（图片较大 请放大查看）

整个 SSO 登录过程包含 5 个处理流程。

1) 初始用户激活过程

- 用户 PC 设置为 DHCP 方式，开机后，将用户 PC 的 MAC 地址发往 NetworkRegistar 服务器要求分配 IP 地址；

- 这时，由于这个 MAC 地址未注册，服务器分配一个临时的 IP 地址以及哄骗 DNS 服务器的 IP 地址。这个 IP 其实并不是合法 IP ，不能上网；

2) 用户浏览器到 SSO Web 服务器的流程

- 用户启动 WEB 浏览器，输入任何一个 WEB SITE 的域名；域名解析的申请被发到哄骗 DNS 服务器上，这个哄骗 DNS 将所有域名解析成为 SSO WEB 服务器的 IP 地址；

- 用户的浏览器进入到 SSO WEB 服务器，出现要求用户登录的界面。

3) SSO Web 服务器登记确认流程

- 用户输入用户名和密码，并且提交； SSO Web 服务器将用户名及密码发往 UserRegister 服务器进行验证。

- 验证通过后， SSO Web 服务器根据用户地址查询 NetworkRegister 服务器有关用户接入的信息，如 Catalyst 的 MAC 地址以及用户接入的端口等信息。然后，通过 SNMP 消息从用户接入设备获取用户的接入信息，确定用户 PC 所在 VLAN 网段后，决定分配给用户真实的 IP 地址。并通知 NetworkRegister 服务器添加一项记录，对应用户 PC 的 Mac 地址和真实的 IP 地址；

- SSO Web 服务器创建一个 SessionToken 和一个临时呼叫记录，并下传一个 Java applet 到用户端。

4 ）登记后用户设备激活流程

- 在用户 PC 上， Java applet 再次到 NetworkRegistar 服务器申请 IP 地址，这时，服务器中已有相应记录，因此，服务器分配真实的合法的 IP 地址给用户。

- Java applet 产生一个特殊的 Http 请求给 SSO Web 服务器， SSO Web 服务器向用户接入的路由器发送访问控制命令，准许用户的访问通过。同时开始计时。

- 用户进入访问 Internet 的过程。在该过程中，用户端的 Java applet 程序定期发送 keep-alive 消息通知 SSO 这个用户仍处于激活状态。 SSO Web 服务器每收到一个 keep-alive 消息都会修改一次临时记录的时间。

5 ）用户退出或超时

用户点击网页上的“ Log-Off ”键， Java applet 将向 SSO web 服务器发送 logout 的 http 请求；或者，当 SSO Web 服务器检测某个临时记录已超时更新时， SSO Web 服务器将执行以下任务：

- SSO Web 服务器将临时记录的信息写入计费数据库中，同时删除临时记录。

- SSO Web 服务器向 NetworkRegistar 发送消息要求删除用户对应 Mac 地址的记录。