連鎖酒店網絡互聯解決方案

一、行業發展現狀

酒店的網絡通常劃分爲不同的功能網絡，包括：管理網（供酒店內部管理使用）、客房網（供客人訪問internet網絡）、無線網絡（公共區域的無線上網）、IPTV網絡（用於承載IPTV的網絡）。

酒店租用運營商的帶寬連接到internet，經常會發生以下令酒店IT manager不願看到的現象：

● 部分住店客人使用P2P技術（典型軟件包括迅雷、電騾、BT等）高速下載，搶佔了有限的internet訪問帶寬，導致大部分酒店的客人上網速度慢甚至無法上網。

● 酒店工作人員上班時間沉迷於與工作無關的QQ聊天、訪問工作無關網站、訪問非法網站等，影響了內部工作效率，並且將病毒引入內部網絡。

● 個別酒店員工通過郵件、FTP等私自傳輸重要文件，導致機密泄露，如何提供有效的證據信息？

另外，根據我國公安部頒佈的《互聯網安全保護技術措施規定》（即"82號令"），要求"互聯網服務提供者和聯網使用單位依照本規定落實的記錄留存技術措施，應當具有至少保存六十天記錄備份的功能"，對於酒店而言，就是要記錄酒店互聯網訪問記錄。

在這種情形下迫切需要一種專業的應用控制網關產品，來解決以上問題，H3C ACG（應用控制網關）就是針對這種強烈需求推出的！

二、需求分析

在酒店行業中，要滿足國家法律法規要求，在剛剛推出的《網絡安全法》中，在酒店信息化建設彙總必須保證信息化建設，如在無線非經營性場所建設中，要保證實時記錄用戶上網行爲記錄，上網信息，實名認證等功能，此處就對酒店連鎖行業進行典型的組網分析。

● 酒店連鎖領域，分支機構和總部要實現數據共享，總部要對分支機構進行管控，考慮到成本和安全問題，一般都會使用IPsec VPN進行互連，承載OA/郵件/績效/訂單等內網系統；

● 爲了保障良好的網絡穩定性，爲用戶提供良好的上網體驗，爲服務器提供穩定的網絡保障，企業網絡出口一般採用多個運營商出口接入來實現負載均衡；

● 網絡內一般需要對用戶做到精準管控，針對用戶進行上網行爲管理和流控，同時考慮到網絡安全性問題，建議對用戶進行進行實名認證以便於安全管控；

● 酒店連鎖場所，用戶數量多，上網流量涉及到P2P下載，網頁瀏覽等，需要保障大部分用戶的正常網頁瀏覽等流量，對P2P、流媒體等做出一定的限制。

三、解決方案介紹

1.方案說明

對於連鎖型酒店而言，需要通過VPN進行互聯互通，在方案設計中，需要保證內部信息對接簡單性，同時也要保證在總部與分支管理及運維時的便捷簡易。

對於所有的部署IPSec VPN的“總-分”型網絡中，傳統的IPSec VPN對接時，在總部和分支都需要配置後纔可以上線，但是對於商貿連鎖這種網絡，分支機構一般沒有網管人員，或者網管人員技術水平不足，導致IPSec VPN部署不便；同時在IPSec VPN出現故障時，排查困難、不易於維護。

IPSec VPN動態連接

新華三連鎖酒店網絡互聯解決方案，可實現動態VPN，ACG1000設備部署IPSec VPN採用“自動化”方式，且後期維護簡單：在IPsec VPN建立成功後，設備亦可以創建、修改和刪除感興趣流網段，此時一旦發生變化，將使用XML推送給對方，自動執行上述流程，無需手工干預。

三、亮點功能介紹

1.集中化管控

連鎖型酒店行業開業頻繁，且各個地區的出口帶寬、房間數、訪問控制需求不盡相同，ACG1000可以在門店端以一個基本配置迅速撥入VPN上線，再統一下發管理策略。

ACG集中管理

在出口部署ACG網關，可以通過ACG1000的集中管理組件集成了IPsec VPN的配置下發功能和VPN網關設備的註冊機制。當VPN網關接入互聯網時，使用配置好的賬戶和密碼向集控平臺發起註冊。集控平臺收到註冊請求後，根據用戶名進行准許，同時根據用戶名查找對應的VPN配置文件，將配置文件下發到VPN網關設備上，從而讓VPN網關能夠迅速進行安全互連。同時設備上線機制爲ACG主動向ACG manager註冊，這樣不僅可以解決NAT問題，而且管理員可以預先將設備配置加載到網管上，當門店設備上線時管理員無需在公司，而可以休假，只要再上班時去調整策略即可。

2．用戶實名認證

有效的區分用戶，是部署差異化授權和審計策略、有效防禦身份冒充、權限擴散與濫用等的管理基礎；並且H3C以用戶需求爲導向，領先的實現了用戶急需的微信認證。

3.多種認證方式

通過該方案，可實現多種身份認證方式，如：

本地認證：Web 認證、用戶名/密碼認證、IP/MAC/IP-MAC 綁定；

第三方認證：RADIUS、LDAP等

APP認證：不需要藉助數據中心軟件，無需APP修改，避免協調溝通成本；

微信認證：連接商家WiFi，自動彈出“一鍵微信連WiFi”並關注微信公衆號；

ACG1000支持和自有SAM服務器對接，同時和第三方AAA服務器對接，業內主流的服務器如：深瀾、城市熱點等均可實現完美對接。

4．基於用戶的行爲軌跡分析

通過搜索引擎的方式對用戶網絡賬號、行爲動作、虛擬賬號、關鍵字分析及上網時長等多維度的用戶信息進行關聯數據分析，真正實現了基於用戶的上網行爲管理與審計的可視化，將用戶的上網行爲軌跡清晰直觀的加以呈現，有助於網絡管理人員制定更有針對性的網絡管理策略，保障網絡資源的合理有效利用和工作效率提升。

用戶行爲軌跡分析

5．多級流量管理

通過部署該方案，通過卓越的應用識別技術，由於該識別技術有效的融合了DPI和DFI兩種識別方法的優點，大幅度提升了應用識別的準確度。

6．廣告推廣

對於酒店有大量的業務和廣告需要推送給用戶，如果採用線下推送，成本高，用戶感知不好。可使用我司設備的廣告推廣功能，在爲用戶提供免費WiFi的同時，用戶連接入酒店網絡，設備對用戶強制推送廣告頁面來實現互聯網營銷。