一、行业发展现状

酒店的网络通常划分为不同的功能网络，包括：管理网（供酒店内部管理使用）、客房网（供客人访问internet网络）、无线网络（公共区域的无线上网）、IPTV网络（用于承载IPTV的网络）。

酒店租用运营商的带宽连接到internet，经常会发生以下令酒店IT manager不愿看到的现象：

●部分住店客人使用P2P技术（典型软件包括迅雷、电骡、BT等）高速下载，抢占了有限的internet访问带宽，导致大部分酒店的客人上网速度慢甚至无法上网。

●酒店工作人员上班时间沉迷于与工作无关的QQ聊天、访问工作无关网站、访问非法网站等，影响了内部工作效率，并且将病毒引入内部网络。

●个别酒店员工通过邮件、FTP等私自传输重要文件，导致机密泄露，如何提供有效的证据信息？

另外，根据我国公安部颁布的《互联网安全保护技术措施规定》（即"82号令"），要求"互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施，应当具有至少保存六十天记录备份的功能"，对于酒店而言，就是要记录酒店互联网访问记录。

在这种情形下迫切需要一种专业的应用控制网关产品，来解决以上问题，H3C ACG（应用控制网关）就是针对这种强烈需求推出的！

二、需求分析

在酒店行业中，要满足国家法律法规要求，在刚刚推出的《网络安全法》中，在酒店信息化建设汇总必须保证信息化建设，如在无线非经营性场所建设中，要保证实时记录用户上网行为记录，上网信息，实名认证等功能，此处就对酒店连锁行业进行典型的组网分析。

●酒店连锁领域，分支机构和总部要实现数据共享，总部要对分支机构进行管控，考虑到成本和安全问题，一般都会使用IPsec VPN进行互连，承载OA/邮件/绩效/订单等内网系统；

●为了保障良好的网络稳定性，为用户提供良好的上网体验，为服务器提供稳定的网络保障，企业网络出口一般采用多个运营商出口接入来实现负载均衡；

●网络内一般需要对用户做到精准管控，针对用户进行上网行为管理和流控，同时考虑到网络安全性问题，建议对用户进行进行实名认证以便于安全管控；

●酒店连锁场所，用户数量多，上网流量涉及到P2P下载，网页浏览等，需要保障大部分用户的正常网页浏览等流量，对P2P、流媒体等做出一定的限制。

三、解决方案介绍

1.方案说明

对于连锁型酒店而言，需要通过VPN进行互联互通，在方案设计中，需要保证内部信息对接简单性，同时也要保证在总部与分支管理及运维时的便捷简易。

对于所有的部署IPSec VPN的“总-分”型网络中，传统的IPSec VPN对接时，在总部和分支都需要配置后才可以上线，但是对于商贸连锁这种网络，分支机构一般没有网管人员，或者网管人员技术水平不足，导致IPSec VPN部署不便；同时在IPSec VPN出现故障时，排查困难、不易于维护。

IPSec VPN动态连接

新华三连锁酒店网络互联解决方案，可实现动态VPN，ACG1000设备部署IPSec VPN采用“自动化”方式，且后期维护简单：在IPsec VPN建立成功后，设备亦可以创建、修改和删除感兴趣流网段，此时一旦发生变化，将使用XML推送给对方，自动执行上述流程，无需手工干预。

三、亮点功能介绍

1.集中化管控

连锁型酒店行业开业频繁，且各个地区的出口带宽、房间数、访问控制需求不尽相同，ACG1000可以在门店端以一个基本配置迅速拨入VPN上线，再统一下发管理策略。

ACG集中管理

在出口部署ACG网关，可以通过ACG1000的集中管理组件集成了IPsec VPN的配置下发功能和VPN网关设备的注册机制。当VPN网关接入互联网时，使用配置好的账户和密码向集控平台发起注册。集控平台收到注册请求后，根据用户名进行准许，同时根据用户名查找对应的VPN配置文件，将配置文件下发到VPN网关设备上，从而让VPN网关能够迅速进行安全互连。同时设备上线机制为ACG主动向ACG manager注册，这样不仅可以解决NAT问题，而且管理员可以预先将设备配置加载到网管上，当门店设备上线时管理员无需在公司，而可以休假，只要再上班时去调整策略即可。

2．用户实名认证

有效的区分用户，是部署差异化授权和审计策略、有效防御身份冒充、权限扩散与滥用等的管理基础；并且H3C以用户需求为导向，领先的实现了用户急需的微信认证。

3.多种认证方式

通过该方案，可实现多种身份认证方式，如：

本地认证：Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定；

第三方认证：RADIUS、LDAP等

APP认证：不需要借助数据中心软件，无需APP修改，避免协调沟通成本；

微信认证：连接商家WiFi，自动弹出“一键微信连WiFi”并关注微信公众号；

ACG1000支持和自有SAM服务器对接，同时和第三方AAA服务器对接，业内主流的服务器如：深澜、城市热点等均可实现完美对接。

4．基于用户的行为轨迹分析

通过搜索引擎的方式对用户网络账号、行为动作、虚拟账号、关键字分析及上网时长等多维度的用户信息进行关联数据分析，真正实现了基于用户的上网行为管理与审计的可视化，将用户的上网行为轨迹清晰直观的加以呈现，有助于网络管理人员制定更有针对性的网络管理策略，保障网络资源的合理有效利用和工作效率提升。

用户行为轨迹分析

5．多级流量管理

通过部署该方案，通过卓越的应用识别技术，由于该识别技术有效的融合了DPI和DFI两种识别方法的优点，大幅度提升了应用识别的准确度。

6．广告推广

对于酒店有大量的业务和广告需要推送给用户，如果采用线下推送，成本高，用户感知不好。可使用我司设备的广告推广功能，在为用户提供免费WiFi的同时，用户连接入酒店网络，设备对用户强制推送广告页面来实现互联网营销。

广告页面推送