一、行業(yè)發(fā)展現狀

酒店的網(wǎng)絡(luò )通常劃分為不同的功能網(wǎng)絡(luò )，包括：管理網(wǎng)（供酒店內部管理使用）、客房網(wǎng)（供客人訪(fǎng)問(wèn)internet網(wǎng)絡(luò )）、無(wú)線(xiàn)網(wǎng)絡(luò )（公共區域的無(wú)線(xiàn)上網(wǎng)）、IPTV網(wǎng)絡(luò )（用于承載IPTV的網(wǎng)絡(luò )）。

酒店租用運營(yíng)商的帶寬連接到internet，經(jīng)常會(huì )發(fā)生以下令酒店IT manager不愿看到的現象：

● 部分住店客人使用P2P技術(shù)（典型軟件包括迅雷、電騾、BT等）高速下載，搶占了有限的internet訪(fǎng)問(wèn)帶寬，導致大部分酒店的客人上網(wǎng)速度慢甚至無(wú)法上網(wǎng)。

● 酒店工作人員上班時(shí)間沉迷于與工作無(wú)關(guān)的QQ聊天、訪(fǎng)問(wèn)工作無(wú)關(guān)網(wǎng)站、訪(fǎng)問(wèn)非法網(wǎng)站等，影響了內部工作效率，并且將病毒引入內部網(wǎng)絡(luò )。

● 個(gè)別酒店員工通過(guò)郵件、FTP等私自傳輸重要文件，導致機密泄露，如何提供有效的證據信息？

另外，根據我國公安部頒布的《互聯(lián)網(wǎng)安全保護技術(shù)措施規定》（即"82號令"），要求"互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位依照本規定落實(shí)的記錄留存技術(shù)措施，應當具有至少保存六十天記錄備份的功能"，對于酒店而言，就是要記錄酒店互聯(lián)網(wǎng)訪(fǎng)問(wèn)記錄。

在這種情形下迫切需要一種專(zhuān)業(yè)的應用控制網(wǎng)關(guān)產(chǎn)品，來(lái)解決以上問(wèn)題，H3C ACG（應用控制網(wǎng)關(guān)）就是針對這種強烈需求推出的！

二、需求分析

在酒店行業(yè)中，要滿(mǎn)足國家法律法規要求，在剛剛推出的《網(wǎng)絡(luò )安全法》中，在酒店信息化建設匯總必須保證信息化建設，如在無(wú)線(xiàn)非經(jīng)營(yíng)性場(chǎng)所建設中，要保證實(shí)時(shí)記錄用戶(hù)上網(wǎng)行為記錄，上網(wǎng)信息，實(shí)名認證等功能，此處就對酒店連鎖行業(yè)進(jìn)行典型的組網(wǎng)分析。

● 酒店連鎖領(lǐng)域，分支機構和總部要實(shí)現數據共享，總部要對分支機構進(jìn)行管控，考慮到成本和安全問(wèn)題，一般都會(huì )使用IPsec VPN進(jìn)行互連，承載OA/郵件/績(jì)效/訂單等內網(wǎng)系統；

● 為了保障良好的網(wǎng)絡(luò )穩定性，為用戶(hù)提供良好的上網(wǎng)體驗，為服務(wù)器提供穩定的網(wǎng)絡(luò )保障，企業(yè)網(wǎng)絡(luò )出口一般采用多個(gè)運營(yíng)商出口接入來(lái)實(shí)現負載均衡；

● 網(wǎng)絡(luò )內一般需要對用戶(hù)做到精準管控，針對用戶(hù)進(jìn)行上網(wǎng)行為管理和流控，同時(shí)考慮到網(wǎng)絡(luò )安全性問(wèn)題，建議對用戶(hù)進(jìn)行進(jìn)行實(shí)名認證以便于安全管控；

● 酒店連鎖場(chǎng)所，用戶(hù)數量多，上網(wǎng)流量涉及到P2P下載，網(wǎng)頁(yè)瀏覽等，需要保障大部分用戶(hù)的正常網(wǎng)頁(yè)瀏覽等流量，對P2P、流媒體等做出一定的限制。

三、解決方案介紹

1.方案說(shuō)明

對于連鎖型酒店而言，需要通過(guò)VPN進(jìn)行互聯(lián)互通，在方案設計中，需要保證內部信息對接簡(jiǎn)單性，同時(shí)也要保證在總部與分支管理及運維時(shí)的便捷簡(jiǎn)易。

對于所有的部署IPSec VPN的“總-分”型網(wǎng)絡(luò )中，傳統的IPSec VPN對接時(shí)，在總部和分支都需要配置后才可以上線(xiàn)，但是對于商貿連鎖這種網(wǎng)絡(luò )，分支機構一般沒(méi)有網(wǎng)管人員，或者網(wǎng)管人員技術(shù)水平不足，導致IPSec VPN部署不便；同時(shí)在IPSec VPN出現故障時(shí)，排查困難、不易于維護。

IPSec VPN動(dòng)態(tài)連接

新華三連鎖酒店網(wǎng)絡(luò )互聯(lián)解決方案，可實(shí)現動(dòng)態(tài)VPN，ACG1000設備部署IPSec VPN采用“自動(dòng)化”方式，且后期維護簡(jiǎn)單：在IPsec VPN建立成功后，設備亦可以創(chuàng )建、修改和刪除感興趣流網(wǎng)段，此時(shí)一旦發(fā)生變化，將使用XML推送給對方，自動(dòng)執行上述流程，無(wú)需手工干預。

三、亮點(diǎn)功能介紹

1.集中化管控

連鎖型酒店行業(yè)開(kāi)業(yè)頻繁，且各個(gè)地區的出口帶寬、房間數、訪(fǎng)問(wèn)控制需求不盡相同，ACG1000可以在門(mén)店端以一個(gè)基本配置迅速撥入VPN上線(xiàn)，再統一下發(fā)管理策略。

ACG集中管理

在出口部署ACG網(wǎng)關(guān)，可以通過(guò)ACG1000的集中管理組件集成了IPsec VPN的配置下發(fā)功能和VPN網(wǎng)關(guān)設備的注冊機制。當VPN網(wǎng)關(guān)接入互聯(lián)網(wǎng)時(shí)，使用配置好的賬戶(hù)和密碼向集控平臺發(fā)起注冊。集控平臺收到注冊請求后，根據用戶(hù)名進(jìn)行準許，同時(shí)根據用戶(hù)名查找對應的VPN配置文件，將配置文件下發(fā)到VPN網(wǎng)關(guān)設備上，從而讓VPN網(wǎng)關(guān)能夠迅速進(jìn)行安全互連。同時(shí)設備上線(xiàn)機制為ACG主動(dòng)向ACG manager注冊，這樣不僅可以解決NAT問(wèn)題，而且管理員可以預先將設備配置加載到網(wǎng)管上，當門(mén)店設備上線(xiàn)時(shí)管理員無(wú)需在公司，而可以休假，只要再上班時(shí)去調整策略即可。

2．用戶(hù)實(shí)名認證

有效的區分用戶(hù)，是部署差異化授權和審計策略、有效防御身份冒充、權限擴散與濫用等的管理基礎；并且H3C以用戶(hù)需求為導向，領(lǐng)先的實(shí)現了用戶(hù)急需的微信認證。

3.多種認證方式

通過(guò)該方案，可實(shí)現多種身份認證方式，如：

本地認證：Web 認證、用戶(hù)名/密碼認證、IP/MAC/IP-MAC 綁定；

第三方認證：RADIUS、LDAP等

APP認證：不需要借助數據中心軟件，無(wú)需APP修改，避免協(xié)調溝通成本；

微信認證：連接商家WiFi，自動(dòng)彈出“一鍵微信連WiFi”并關(guān)注微信公眾號；

ACG1000支持和自有SAM服務(wù)器對接，同時(shí)和第三方AAA服務(wù)器對接，業(yè)內主流的服務(wù)器如：深瀾、城市熱點(diǎn)等均可實(shí)現完美對接。

4．基于用戶(hù)的行為軌跡分析

通過(guò)搜索引擎的方式對用戶(hù)網(wǎng)絡(luò )賬號、行為動(dòng)作、虛擬賬號、關(guān)鍵字分析及上網(wǎng)時(shí)長(cháng)等多維度的用戶(hù)信息進(jìn)行關(guān)聯(lián)數據分析，真正實(shí)現了基于用戶(hù)的上網(wǎng)行為管理與審計的可視化，將用戶(hù)的上網(wǎng)行為軌跡清晰直觀(guān)的加以呈現，有助于網(wǎng)絡(luò )管理人員制定更有針對性的網(wǎng)絡(luò )管理策略，保障網(wǎng)絡(luò )資源的合理有效利用和工作效率提升。

用戶(hù)行為軌跡分析

5．多級流量管理

通過(guò)部署該方案，通過(guò)卓越的應用識別技術(shù)，由于該識別技術(shù)有效的融合了DPI和DFI兩種識別方法的優(yōu)點(diǎn)，大幅度提升了應用識別的準確度。

6．廣告推廣

對于酒店有大量的業(yè)務(wù)和廣告需要推送給用戶(hù)，如果采用線(xiàn)下推送，成本高，用戶(hù)感知不好�？墒褂梦宜驹O備的廣告推廣功能，在為用戶(hù)提供免費WiFi的同時(shí)，用戶(hù)連接入酒店網(wǎng)絡(luò )，設備對用戶(hù)強制推送廣告頁(yè)面來(lái)實(shí)現互聯(lián)網(wǎng)營(yíng)銷(xiāo)。