一(yī)、行業(yè)發展現狀

酒店的網絡通(tōng)常劃分為(wèi)不同的功能(néng)網絡，包括：管理網（供酒店内部管理使用）、客房網（供客人訪問internet網絡）、無線網絡（公共區域的無線上(shàng)網）、IPTV網絡（用于承載IPTV的網絡）。

酒店租用運營商的帶寬連接到(dào)internet，經常會(huì)發生(shēng)以下(xià)令酒店IT manager不願看(kàn)到(dào)的現象：

● 部分住店客人使用P2P技(jì)術(shù)（典型軟件(jiàn)包括迅雷、電(diàn)騾、BT等）高(gāo)速下(xià)載，搶占了有限的internet訪問帶寬，導緻大部分酒店的客人上(shàng)網速度慢(màn)甚至無法上(shàng)網。

● 酒店工(gōng)作人員(yuán)上(shàng)班時間沉迷于與工(gōng)作無關的QQ聊天、訪問工(gōng)作無關網站、訪問非法網站等，影響了内部工(gōng)作效率，并且将病毒引入内部網絡。

● 個(gè)别酒店員(yuán)工(gōng)通(tōng)過郵件(jiàn)、FTP等私自(zì)傳輸重要文件(jiàn)，導緻機(jī)密洩露，如何提供有效的證據信息？

另外，根據我國(guó)公安部頒布的《互聯網安全保護技(jì)術(shù)措施規定》（即"82号令"），要求"互聯網服務提供者和聯網使用單位依照(zhào)本規定落實的記錄留存技(jì)術(shù)措施，應當具有至少保存六十天記錄備份的功能(néng)"，對于酒店而言，就(jiù)是要記錄酒店互聯網訪問記錄。

在這種情形下(xià)迫切需要一(yī)種專業(yè)的應用控制網關産品，來解決以上(shàng)問題，H3C ACG（應用控制網關）就(jiù)是針對這種強烈需求推出的！

二、需求分析

在酒店行業(yè)中，要滿足國(guó)家法律法規要求，在剛剛推出的《網絡安全法》中，在酒店信息化建設彙總必須保證信息化建設，如在無線非經營性場所建設中，要保證實時記錄用戶上(shàng)網行為(wèi)記錄，上(shàng)網信息，實名認證等功能(néng)，此處就(jiù)對酒店連鎖行業(yè)進行典型的組網分析。

● 酒店連鎖領域，分支機(jī)構和總部要實現數據共享，總部要對分支機(jī)構進行管控，考慮到(dào)成本和安全問題，一(yī)般都會(huì)使用IPsec VPN進行互連，承載OA/郵件(jiàn)/績效/訂單等内網系統；

● 為(wèi)了保障良好的網絡穩定性，為(wèi)用戶提供良好的上(shàng)網體驗，為(wèi)服務器(qì)提供穩定的網絡保障，企業(yè)網絡出口一(yī)般采用多(duō)個(gè)運營商出口接入來實現負載均衡；

● 網絡内一(yī)般需要對用戶做到(dào)精準管控，針對用戶進行上(shàng)網行為(wèi)管理和流控，同時考慮到(dào)網絡安全性問題，建議對用戶進行進行實名認證以便于安全管控；

● 酒店連鎖場所，用戶數量多(duō)，上(shàng)網流量涉及到(dào)P2P下(xià)載，網頁浏覽等，需要保障大部分用戶的正常網頁浏覽等流量，對P2P、流媒體等做出一(yī)定的限制。

三、解決方案介紹

1.方案說明

對于連鎖型酒店而言，需要通(tōng)過VPN進行互聯互通(tōng)，在方案設計中，需要保證内部信息對接簡單性，同時也要保證在總部與分支管理及運維時的便捷簡易。

對于所有的部署IPSec VPN的“總-分”型網絡中，傳統的IPSec VPN對接時，在總部和分支都需要配置後才可以上(shàng)線，但是對于商貿連鎖這種網絡，分支機(jī)構一(yī)般沒有網管人員(yuán)，或者網管人員(yuán)技(jì)術(shù)水(shuǐ)平不足，導緻IPSec VPN部署不便；同時在IPSec VPN出現故障時，排查困難、不易于維護。

IPSec VPN動态連接

新華三連鎖酒店網絡互聯解決方案，可實現動态VPN，ACG1000設備部署IPSec VPN采用“自(zì)動化”方式，且後期維護簡單：在IPsec VPN建立成功後，設備亦可以創建、修改和删除感興趣流網段，此時一(yī)旦發生(shēng)變化，将使用XML推送給對方，自(zì)動執行上(shàng)述流程，無需手工(gōng)幹預。

三、亮點功能(néng)介紹

1.集中化管控

連鎖型酒店行業(yè)開(kāi)業(yè)頻繁，且各個(gè)地區的出口帶寬、房間數、訪問控制需求不盡相(xiàng)同，ACG1000可以在門(mén)店端以一(yī)個(gè)基本配置迅速撥入VPN上(shàng)線，再統一(yī)下(xià)發管理策略。

ACG集中管理

在出口部署ACG網關，可以通(tōng)過ACG1000的集中管理組件(jiàn)集成了IPsec VPN的配置下(xià)發功能(néng)和VPN網關設備的注冊機(jī)制。當VPN網關接入互聯網時，使用配置好的賬戶和密碼向集控平台發起注冊。集控平台收到(dào)注冊請求後，根據用戶名進行準許，同時根據用戶名查找對應的VPN配置文件(jiàn)，将配置文件(jiàn)下(xià)發到(dào)VPN網關設備上(shàng)，從(cóng)而讓VPN網關能(néng)夠迅速進行安全互連。同時設備上(shàng)線機(jī)制為(wèi)ACG主動向ACG manager注冊，這樣不僅可以解決NAT問題，而且管理員(yuán)可以預先将設備配置加載到(dào)網管上(shàng)，當門(mén)店設備上(shàng)線時管理員(yuán)無需在公司，而可以休假，隻要再上(shàng)班時去調整策略即可。

2．用戶實名認證

有效的區分用戶，是部署差異化授權和審計策略、有效防禦身份冒充、權限擴散與濫用等的管理基礎；并且H3C以用戶需求為(wèi)導向，領先的實現了用戶急需的微信認證。

3.多(duō)種認證方式

通(tōng)過該方案，可實現多(duō)種身份認證方式，如：

本地認證：Web 認證、用戶名/密碼認證、IP/MAC/IP-MAC 綁定；

第三方認證：RADIUS、LDAP等

APP認證：不需要借助數據中心軟件(jiàn)，無需APP修改，避免協調溝通(tōng)成本；

微信認證：連接商家WiFi，自(zì)動彈出“一(yī)鍵微信連WiFi”并關注微信公衆号；

ACG1000支持和自(zì)有SAM服務器(qì)對接，同時和第三方AAA服務器(qì)對接，業(yè)内主流的服務器(qì)如：深瀾、城(chéng)市(shì)熱點等均可實現完美對接。

4．基于用戶的行為(wèi)軌迹分析

通(tōng)過搜索引擎的方式對用戶網絡賬号、行為(wèi)動作、虛拟賬号、關鍵字分析及上(shàng)網時長(cháng)等多(duō)維度的用戶信息進行關聯數據分析，真正實現了基于用戶的上(shàng)網行為(wèi)管理與審計的可視化，将用戶的上(shàng)網行為(wèi)軌迹清晰直觀的加以呈現，有助于網絡管理人員(yuán)制定更有針對性的網絡管理策略，保障網絡資源的合理有效利用和工(gōng)作效率提升。

用戶行為(wèi)軌迹分析

5．多(duō)級流量管理

通(tōng)過部署該方案，通(tōng)過卓越的應用識别技(jì)術(shù)，由于該識别技(jì)術(shù)有效的融合了DPI和DFI兩種識别方法的優點，大幅度提升了應用識别的準确度。

6．廣告推廣

對于酒店有大量的業(yè)務和廣告需要推送給用戶，如果采用線下(xià)推送，成本高(gāo)，用戶感知不好。可使用我司設備的廣告推廣功能(néng)，在為(wèi)用戶提供免費(fèi)WiFi的同時，用戶連接入酒店網絡，設備對用戶強制推送廣告頁面來實現互聯網營銷。

廣告頁面推送