Saltar al contenido principal

Cómo configurar un Captive Portal en Starlink: una guía para ubicaciones remotas y marítimas

Esta guía detalla cómo omitir el hardware nativo de Starlink e integrar un Captive Portal gestionado en la nube utilizando equipos de enrutamiento empresarial. Aprenderá a superar la limitación de CGNAT, aplicar la segmentación por VLAN, gestionar las limitaciones de ancho de banda satelital y garantizar el cumplimiento normativo.

📖 5 min de lectura📝 1,227 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Hable en inglés británico con un tono seguro, autoritario y conversacional, como un consultor senior que informa a un cliente. Ritmo pausado, articulación clara, cálido pero profesional. Sin muletillas. Breves pausas ocasionales para dar énfasis: Bienvenido a la sesión informativa técnica de Purple. Le guiaré a través de todo lo que necesita saber para configurar un Captive Portal en Starlink, específicamente para ubicaciones remotas, operadores marítimos y cualquiera que ofrezca WiFi para invitados donde la fibra simplemente no es una opción. [pausa media] Empecemos por el problema. Starlink ha cambiado realmente el panorama de la conectividad para aquellos establecimientos que antes estaban limitados a conexiones de satélite lentas y caras o a un 4G inestable. Un barco de crucero, un hotel de montaña remoto, un módulo de bienestar en una obra, el recinto de un festival en un campo... todos ellos pueden obtener ahora entre 100 y 220 megabits por segundo con una antena del tamaño de una pizza grande. Eso es extraordinario. Pero aquí está el detalle: la conectividad en bruto es solo la mitad del trabajo. En el momento en que pone esa conexión a disposición de invitados, pasajeros o tripulación, necesita autenticación, control de acceso, consentimiento que cumpla con el GDPR y gestión del ancho de banda. Starlink no ofrece nada de eso de forma nativa. Ahí es donde entra en juego un Captive Portal. Y eso es lo que vamos a construir hoy. [pausa media] Sección uno: comprender las limitaciones de red de Starlink. Antes de tocar un router, debe entender qué le ofrece realmente Starlink en la interfaz WAN. La antena estándar de Starlink se conecta a un router propietario que gestiona DHCP y NAT. Por defecto, se encuentra detrás de una NAT de nivel de operador, lo que los ingenieros llaman CGNAT. Eso significa que su dirección IP WAN está en el rango de 100.64 a 100.127. No es una IP pública. No puede recibir conexiones entrantes desde internet. Y eso es sumamente importante para la arquitectura del Captive Portal. La solución es el modo bypass, a veces llamado modo puente. Esto se activa en la aplicación de Starlink, en Configuración, y luego activando "Bypass Starlink WiFi router". Una vez activado, la antena de Starlink pasa la dirección CGNAT directamente al puerto WAN de su router empresarial. El router de Starlink deja de gestionar DHCP y NAT. Su router toma el control. Sigue estando detrás de una CGNAT, pero ahora tiene el control total de la capa de enrutamiento. Un punto crítico: si la antena de Starlink se restablece de fábrica por cualquier motivo, el modo bypass se desactiva. Tendrá que volver a activarlo. Incluya esto en el manual de procedimientos de su instalación. [pausa media] Actualmente, Starlink ofrece tres niveles de planes relevantes para los operadores de establecimientos. El plan Standard le ofrece hasta 100 megabits de bajada, prioridad de mejor esfuerzo y sin opción de IP estática. El plan Business le ofrece hasta 220 megabits, asignación de datos de prioridad y un complemento de IP estática. El plan Maritime le ofrece las mismas velocidades con portabilidad global, algo esencial si la embarcación se desplaza entre regiones oceánicas. Para cualquier establecimiento multiusuario, recomendaría como mínimo el plan Business o Maritime. Los datos de mejor esfuerzo en el plan Standard significan que sus invitados perderán prioridad siempre que la celda de satélite esté congestionada. [pausa media] Sección dos: la pila de arquitectura. Esta es la pila de cuatro capas que va a construir. La capa uno es el enlace ascendente de Starlink en modo bypass. La capa dos es su router o firewall empresarial (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Fortinet; cualquiera de ellos sirve). La capa tres es la segmentación de VLAN a nivel de switch o punto de acceso. La capa cuatro es el Captive Portal en la nube, que gestiona la autenticación, el consentimiento y las analíticas. Permítame detenerme un momento en la segmentación de VLAN porque no es negociable. Necesita como mínimo tres VLAN. La VLAN 10 para el personal: esta transporta sus sistemas TPV, aplicaciones de back-office y tráfico de gestión. La VLAN 20 para invitados: este es el segmento exclusivo para internet que llega al Captive Portal. La VLAN 30 para IoT: cámaras, termostatos inteligentes y sistemas de gestión de edificios. Estas tres redes no deben poder comunicarse entre sí. El enrutamiento inter-VLAN debe estar bloqueado en el firewall. Un invitado en la VLAN 20 nunca debe poder acceder a su terminal TPV en la VLAN 10. Eso no es solo una buena práctica - es un requisito de PCI-DSS si procesa pagos con tarjeta en cualquier lugar de la misma infraestructura física. [pausa media] El propio Captive Portal reside en la nube. Cuando un invitado se conecta a su SSID de invitados y abre un navegador, el router intercepta la solicitud HTTP y la redirige a la página de inicio de sesión del portal. El invitado se autentica (mediante correo electrónico, inicio de sesión social o un código de cupón), acepta sus condiciones de servicio y el portal indica al router que conceda acceso a internet a esa dirección MAC. Todo el flujo debe completarse en menos de 10 segundos en un dispositivo móvil. Con Purple, ese portal en la nube se integra directamente con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Configura la integración de RADIUS o API una vez y Purple se encarga del intercambio de autenticación. No se requiere ningún servidor de autenticación local. Esto es fundamental para centros remotos donde no se puede ejecutar un servidor RADIUS local. [pausa media] Sección tres: el problema de CGNAT y cómo solucionarlo. Este es el desafío que pilla desprevenidos a la mayoría de los equipos de TI. Las arquitecturas estándar de Captive Portal asumen que el portal en la nube puede volver a acceder a su red. Con CGNAT, eso es imposible. Las conexiones entrantes están bloqueadas. La solución es un túnel inverso. Su router establece una conexión saliente con el portal en la nube y la mantiene abierta de forma persistente. Todo el tráfico de autenticación fluye a través de ese túnel. La nube nunca necesita iniciar una conexión entrante. La arquitectura de superposición en la nube de Purple gestiona esto de forma nativa; no es necesario configurar WireGuard o OpenVPN manualmente, aunque ambas son alternativas válidas si gestiona su propia infraestructura. Si realmente necesita una IP estática (por ejemplo, si tiene un servidor RADIUS in situ o necesita una lista de IPs permitidas consistente), Starlink Business y Maritime ofrecen una IP estática como un complemento. En el momento de la grabación, esto está disponible en la mayoría de las regiones. Consulte las páginas de planes actuales de Starlink para su territorio específico. [medium pause] Sección cuatro: GDPR y cumplimiento de datos. Aquí es donde las ubicaciones remotas y marítimas a menudo se ven atrapadas. El hecho de que su ubicación esté en un buque en aguas internacionales, o en una ubicación remota, no le exime del GDPR si está recopilando datos de residentes de la UE. Y si opera en aguas del Reino Unido después del Brexit, se aplica el UK GDPR. Su Captive Portal debe presentar una casilla de verificación de consentimiento específica y desmarcada para las comunicaciones de marketing. Debe indicar claramente qué datos recopila, por qué y cuánto tiempo los conservará. Las condiciones del servicio deben ser accesibles antes de que el invitado se autentique. Y debe ser capaz de demostrar, bajo petición, que una persona específica dio su consentimiento en una fecha y hora específicas. Purple cuenta con la certificación ISO 27001, cumple con el GDPR, con la CCPA y está certificada en Cyber Essentials. Cada evento de inicio de sesión se registra con una marca de tiempo, una dirección IP y un registro de consentimiento. Ese registro de auditoría es lo que le protege si un regulador hace preguntas. [medium pause] Sección cinco: gestión del ancho de banda. En Starlink, el ancho de banda es su recurso más limitado. Un solo pasajero que reproduzca vídeo en 4K puede consumir 25 megabits por segundo de forma continua. En un buque con 50 pasajeros y una conexión de 220 megabits, eso representa una sola persona consumiendo el 11% de la capacidad total. Esto se resuelve a nivel de Captive Portal y de router. Establezca límites de ancho de banda por dispositivo (por ejemplo, 5 megabits de bajada y 2 megabits de subida por dispositivo de invitado). Implemente políticas de uso justo que reduzcan la velocidad tras un límite de datos diario. Utilice la priorización de tráfico para dar prioridad a la navegación web y a la mensajería frente al streaming de vídeo. Y considere el acceso escalonado: un nivel gratuito para la conectividad básica y un nivel premium de pago para el streaming. Eso convierte su WiFi de un coste en una fuente de ingresos. [medium pause] Ahora permítame presentarle dos escenarios del mundo real. Escenario uno: un buque de crucero de 120 camarotes. El operador utiliza Starlink Maritime a 220 megabits. Despliega puntos de acceso Cisco Meraki por todo el buque con tres VLANs: tripulación, pasajeros y sistemas del barco. El Captive Portal de Purple gestiona la autenticación de los pasajeros mediante correo electrónico o una búsqueda de número de camarote integrada con el PMS. Cada pasajero tiene una franquicia diaria de 2 gigabytes. Los pasajeros del nivel premium obtienen 10 gigabytes. El portal recopila datos de correo electrónico de origen para el marketing posterior al viaje. Resultado: los ingresos de WiFi cubren el coste de la suscripción a Starlink y el operador tiene una lista de marketing directo en constante crecimiento. Escenario dos: un hotel remoto en las Highlands sin fibra. Utilizan Starlink Business a una media de 150 megabits. Los puntos de acceso HPE Aruba cubren el edificio principal y tres edificios anexos. Los huéspedes se autentican por correo electrónico en el portal de Purple. El hotel utiliza las analíticas de Purple para conocer las horas de mayor uso y ajusta las políticas de ancho de banda en consecuencia. Han reducido las quejas sobre el WiFi para huéspedes en un 60% en comparación con su anterior configuración de agregación 4G, según sus propios datos operativos. [medium pause] Errores comunes. Permítame repasar los cinco que veo con más frecuencia. Uno: olvidar volver a activar el modo bypass tras reiniciar la antena. Documente esto en su libro de ruta y configure una alerta de monitorización en la interfaz WAN de su router. Dos: no bloquear el enrutamiento inter-VLAN. Todos los despliegues que he revisado que tuvieron un incidente de seguridad tenían esto mal configurado. Compruébelo dos veces. Tres: utilizar el redireccionamiento HTTP para el Captive Portal en una red donde los huéspedes utilizan navegadores que priorizan HTTPS. Los navegadores modernos usan HTTPS por defecto. Su router debe gestionar la interceptación HTTPS correctamente o los huéspedes verán errores de certificado antes de llegar al portal. El portal de Purple gestiona esto, pero la configuración de su router debe ser correcta. Cuatro: no realizar pruebas en iOS y Android por separado. El Captive Network Assistant de Apple y la sonda de red de Android se comportan de forma diferente. Pruebe ambos antes de la puesta en marcha. Cinco: ignorar la latencia. La constelación LEO de Starlink ofrece una latencia de 20 a 40 milisegundos, mucho mejor que la de los satélites geoestacionarios tradicionales. Pero durante las transferencias entre satélites, se pueden observar picos breves. Los ajustes de tiempo de espera de su Captive Portal deben tener esto en cuenta. Establezca los intervalos de keepalive de la sesión en 60 segundos o menos. [medium pause] Preguntas rápidas. ¿Necesito una IP estática para un Captive Portal en Starlink? No, si su portal utiliza una arquitectura alojada en la nube con túnel inverso. Sí, si está ejecutando RADIUS de forma local. ¿Puedo tener múltiples SSIDs en Starlink? Sí, sus puntos de acceso empresariales gestionan la creación de SSIDs. Starlink en modo bypass solo proporciona el enlace ascendente. Puede tener tantos SSIDs como admitan sus puntos de acceso. ¿Funciona Purple con Starlink de forma nativa? Sí. Configura el modo bypass en la antena de Starlink, conecta sus puntos de acceso compatibles y apunta la integración RADIUS o API a la nube de Purple. El portal está activo en menos de una hora. ¿Qué ocurre si se cae la conexión de Starlink? El portal de Purple almacena en caché las sesiones activas localmente en el router durante un período configurable, normalmente 24 horas. Los huéspedes que ya están autenticados permanecen conectados. Las nuevas autenticaciones se ponen en cola hasta que se restablece la conectividad. [medium pause] Para resumir. Starlink le proporciona la línea. Su router empresarial en modo bypass le ofrece el control de la capa de enrutamiento. La segmentación VLAN aísla el tráfico de sus invitados, empleados e IoT. Un Captive Portal en la nube - el de Purple, en este caso - gestiona la autenticación, el consentimiento de GDPR, la política de ancho de banda y la recopilación de datos de origen. La limitación de CGNAT se resuelve mediante una arquitectura de túnel inverso, no mediante una IP estática. Y la gestión del ancho de banda a nivel de portal es lo que mantiene su conexión Starlink utilizable para todo el mundo. Si está evaluando esto para su establecimiento, el siguiente paso es comprobar qué hardware de punto de acceso está utilizando - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme o Fortinet - y confirmar la documentación de integración de Purple para esa plataforma. Puede encontrar la guía técnica completa en purple.ai, y el equipo de Purple puede guiarle a través de una configuración de prueba de concepto para su ubicación específica. Gracias por escuchar. Nos vemos en el próximo informe.

header_image.png

Resumen Ejecutivo

Starlink ofrece una conectividad de 220 Mbps en ubicaciones a las que la fibra no puede llegar, transformando por completo el panorama de las redes para entornos remotos y marítimos. Sin embargo, para entornos de cara al público, la conectividad por sí sola no es suficiente. Al desplegar Starlink para invitados, pasajeros o tripulación, debe implementar autenticación, control de acceso, consentimiento que cumpla con el GDPR y gestión de ancho de banda. El router nativo de Starlink no proporciona ninguna de estas capacidades.

Esta guía explica detalladamente cómo omitir el hardware nativo de Starlink e integrar un Captive Portal gestionado en la nube utilizando equipos de enrutamiento empresarial. Aprenderá a superar las limitaciones de Carrier Grade NAT (CGNAT), implementar la segmentación de VLAN, gestionar las limitaciones de ancho de banda satelital y garantizar el cumplimiento normativo.

Al implementar esta arquitectura, los operadores de las instalaciones transforman un canal de internet no gestionado en una red segura y segmentada que captura datos de origen y protege la infraestructura empresarial principal.

Análisis Técnico Detallado

La Limitación de CGNAT

El principal obstáculo técnico al desplegar un Captive Portal en Starlink es el Carrier Grade NAT (CGNAT). La antena estándar de Starlink se conecta a un router propietario que gestiona el DHCP y la NAT. Por defecto, la dirección IP WAN asignada a su equipo entra dentro del rango 100.64.0.0/10. Dado que no se trata de una dirección IP pública, su router no puede recibir conexiones entrantes desde internet.

Las arquitecturas estándar de Captive Portal a menudo asumen que el portal en la nube puede conectarse de vuelta a su red para autenticar usuarios o actualizar las listas de control de acceso. Con CGNAT, las conexiones entrantes fallan.

Para resolver esto, debe configurar la antena de Starlink en Bypass Mode (a menudo denominado modo puente). En Bypass Mode, las funciones del router de Starlink se desactivan y la antena envía la dirección CGNAT directamente al puerto WAN de su router empresarial. Su router empresarial asume entonces el control total de la capa de enrutamiento.

architecture_overview.png

Arquitectura de Túnel Inverso

Incluso con el router empresarial gestionando el tráfico, la restricción de entrada de CGNAT permanece. La solución es una arquitectura de túnel inverso. Su router establece una conexión saliente con el portal en la nube y la mantiene continuamente. Todo el tráfico de autenticación fluye a través de este túnel establecido. La infraestructura en la nube nunca necesita iniciar una conexión entrante.

La arquitectura superpuesta en la nube de Purple maneja esto de forma nativa. No es necesario configurar túneles VPN manuales. Si su despliegue requiere una IP estática para servidores RADIUS locales heredados o una lista blanca de IP estricta, los planes Starlink Business y Maritime proporcionan una IP estática como complemento de pago.

Limitaciones de ancho de banda y modelado de tráfico

El ancho de banda de satélite es un recurso compartido y finito. Un solo usuario que reproduzca vídeo en 4K puede consumir de forma continua 25 Mbps. En una embarcación con 50 pasajeros que comparten una conexión Starlink de 220 Mbps, un solo usuario podría consumir el 11% de la capacidad total.

Debe solucionar esto a nivel de Captive Portal y de router mediante un modelado de tráfico estricto:

  • Límites por dispositivo: Restrinja los dispositivos de invitados individuales a 5 Mbps de bajada y 2 Mbps de subida.
  • Políticas de uso justo: Aplique asignaciones de datos diarias (por ejemplo, 2 GB cada 24 horas).
  • Control de aplicaciones: Dé prioridad a la navegación web y a los protocolos de mensajería frente a la transmisión de vídeo y el intercambio de archivos peer-to-peer.
  • Acceso por niveles: Ofrezca un nivel gratuito para conectividad básica y un nivel premium de pago para streaming, transformando la infraestructura WiFi de un centro de costes en una fuente de ingresos.

comparison_chart.png

Guía de implementación

Siga estos pasos para desplegar un Captive Portal seguro en Starlink utilizando hardware empresarial.

Paso 1: Activar el modo bypass

  1. Instale el hardware de Starlink y verifique la conectividad utilizando el router original.
  2. Abra la aplicación móvil de Starlink y diríjase a Ajustes.
  3. Seleccione y confirme Bypass del router WiFi de Starlink.
  4. Conecte el adaptador Ethernet de Starlink al puerto WAN de su router empresarial (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme o Fortinet).

Nota: Si la antena de Starlink se restablece a los valores de fábrica, el modo bypass se desactiva automáticamente. Documente esto en su manual de procedimientos del sitio y configure una alerta de monitorización en la interfaz WAN de su router.

Paso 2: Configurar la segmentación de VLAN

Debe aislar el tráfico de invitados de sus sistemas empresariales principales. Configure al menos tres VLAN en su switch principal y puntos de acceso:

  • VLAN 10 (Personal): Transporta los sistemas POS, las aplicaciones de back-office y el tráfico de gestión.
  • VLAN 20 (Invitados): Segmento exclusivo de Internet que redirige al Captive Portal.
  • VLAN 30 (IoT): Red aislada para cámaras, termostatos inteligentes y sistemas de gestión de edificios.

Configure reglas de firewall para bloquear todo el enrutamiento inter-VLAN. Un dispositivo de invitado en la VLAN 20 nunca debe poder hacer ping a un terminal POS en la VLAN 10. Esta segmentación es un requisito estricto para el cumplimiento de PCI-DSS.

Paso 3: Desplegar el Captive Portal en la nube

  1. Configure sus puntos de acceso para transmitir el SSID de invitados en la VLAN 20.
  2. Establezca el método de autenticación en un RADIUS externo o utilice la integración API del proveedor.3. Apunte el servidor de autenticación a la infraestructura en la nube de Purple.
  3. Configure el walled garden (lista de permitidos) para autorizar el tráfico a los dominios de Purple antes de que se complete la autenticación.
  4. Diseñe la splash page en el portal de Purple, asegurándose de que la imagen de marca coincida con su establecimiento y que las condiciones del servicio se muestren claramente.

Paso 4: Probar el flujo de usuario

Pruebe el flujo de autenticación tanto en dispositivos iOS como Android. El Asistente de Red Cautiva (CNA) de Apple y la sonda de red de Android se comportan de forma diferente. Verifique que la splash page se cargue en un plazo de 10 segundos y que el dispositivo obtenga acceso a internet inmediatamente después de la autenticación.

Buenas prácticas

  • Intercepción HTTPS: Asegúrese de que su router gestione correctamente la intercepción HTTPS. Los dispositivos modernos utilizan HTTPS por defecto. Si el router no puede redirigir las solicitudes HTTPS de forma limpia, los clientes experimentarán errores de certificado antes de llegar al portal.
  • Keepalive de sesión: La constelación de órbita terrestre baja (LEO) de Starlink proporciona latencias de 20 a 40 milisegundos, pero se producen breves picos durante las transiciones entre satélites. Establezca el intervalo de keepalive de sesión del Captive Portal en 60 segundos o menos para evitar desconexiones prematuras.
  • Caché sin conexión: Configure su router para almacenar en caché las sesiones activas de forma local. Si la conexión de Starlink se cae temporalmente, los clientes que ya estén autenticados seguirán conectados cuando se restablezca la conectividad, en lugar de verse obligados a iniciar sesión de nuevo.

Resolución de problemas y mitigación de riesgos

Modo de fallo Causa raíz Mitigación
El Captive Portal no se carga Configuración incorrecta del walled garden Verifique que todos los dominios de Purple y endpoints de CDN requeridos estén añadidos a la lista de permitidos previa a la autenticación en el router.
Errores de doble NAT El modo Bypass está desactivado Compruebe la aplicación Starlink para confirmar que el modo Bypass está activo. Las fluctuaciones de energía o los reinicios manuales pueden haber devuelto la antena a la configuración predeterminada.
Velocidades lentas para invitados Ancho de banda sin restricciones Aplique límites de ancho de banda por dispositivo (por ejemplo, 5 Mbps) y bloquee aplicaciones de gran ancho de banda como BitTorrent en el firewall.
Fallo en la auditoría de seguridad El enrutamiento inter-VLAN está habilitado Audite las reglas del firewall para asegurarse de que el tráfico de la VLAN de invitados no pueda enrutarse a la VLAN de personal o de gestión.

Retorno de la inversión (ROI) e impacto empresarial

La implementación de un Captive Portal gestionado en Starlink transforma una conexión a internet básica en un activo empresarial cuantificable.

Para un crucero de 120 camarotes que utiliza Starlink Maritime a 220 Mbps, el acceso directo no genera ningún retorno comercial. Al implementar puntos de acceso Cisco Meraki y el Captive Portal de Purple, el operador puede imponer un límite diario de 2 GB para los pasajeros estándar y, al mismo tiempo, vender una categoría premium de 10 GB. Los ingresos resultantes del servicio WiFi cubren el coste de la suscripción mensual a Starlink de más de 250 $. Además, el portal recopila datos de correo electrónico de origen de conformidad con la normativa, ampliando la lista de marketing directo del operador para futuros viajes.En el entorno de un hotel remoto, implementar un portal con políticas estrictas de ancho de banda reduce las quejas de los huéspedes sobre la lentitud del WiFi hasta en un 60%, ya que se evita que los usuarios de alto consumo monopolicen el enlace satelital.

Definiciones clave

Bypass Mode

Un ajuste de configuración que desactiva las funciones de DHCP y NAT del router nativo de Starlink, pasando la IP WAN directamente a un router empresarial de terceros.

Requerido al integrar equipos de red empresariales con una antena Starlink para evitar el doble NAT y conflictos de enrutamiento.

CGNAT (Carrier Grade NAT)

Un método utilizado por los ISP para compartir una única dirección IP pública entre varios clientes. El router del cliente recibe una dirección IP privada (normalmente 100.64.0.0/10).

Starlink utiliza CGNAT por defecto, lo que impide las conexiones entrantes desde internet y requiere arquitecturas de túnel inverso para la gestión en la nube.

VLAN (Virtual Local Area Network)

Una subred lógica que agrupa un conjunto de dispositivos de diferentes redes LAN físicas.

Se utiliza para aislar el tráfico de la red WiFi de invitados de las redes del personal y de IoT, garantizando la seguridad y el cumplimiento normativo.

Captive Portal

Una página web que el usuario de una red de acceso público está obligado a visualizar e interactuar con ella antes de que se le conceda acceso.

Se utiliza para hacer cumplir los términos de servicio, recopilar datos de marketing y autenticar a los usuarios en redes WiFi de invitados.

Walled Garden

Un entorno limitado que controla el acceso del usuario a contenidos y servicios web antes de que se haya autenticado por completo.

Requerido para permitir que los dispositivos de los invitados accedan al Captive Portal en la nube y a los servidores de autenticación antes de que se les conceda acceso total a internet.

RADIUS

Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y registro (AAA) para los usuarios que se conectan y utilizan un servicio de red.

El protocolo subyacente utilizado por los puntos de acceso empresariales para comunicarse con el Captive Portal en la nube para verificar las credenciales de los usuarios.

Modelado de Tráfico

La manipulación y priorización del tráfico de red para reducir el impacto de los usuarios intensivos o de las aplicaciones sensibles a la latencia.

Esencial en las redes Starlink para priorizar la navegación web sobre actividades de gran ancho de banda como la transmisión de vídeo.

Datos de origen

Información que una empresa recopila directamente de sus clientes y de la que es propietaria.

Capturados a través del proceso de inicio de sesión del captive portal (por ejemplo, direcciones de correo electrónico) y utilizados para campañas de marketing directo y fidelización.

Ejemplos prácticos

Un crucero de 120 camarotes que utiliza Starlink Marítimo a 220 Mbps necesita proporcionar WiFi para pasajeros sin degradar las operaciones del barco. Requieren un mecanismo para monetizar la conexión y recopilar datos de marketing.

El operador despliega puntos de acceso Cisco Meraki por todo el barco con tres VLAN estrictas: tripulación, pasajeros y sistemas del barco. El Captive Portal de Purple gestiona la autenticación de los pasajeros mediante correo electrónico o una búsqueda por número de camarote integrada con el PMS. Cada pasajero recibe un límite diario de 2 GB. Los pasajeros de categoría premium pueden adquirir una asignación de 10 GB. El portal recopila datos de correo electrónico de origen para acciones de marketing posteriores al viaje.

Comentario del examinador: Este enfoque resuelve la limitación de ancho de banda mediante límites diarios estrictos, al tiempo que genera ingresos directos. La segmentación por VLAN garantiza que el tráfico de los pasajeros no comprometa los sistemas críticos del barco. La integración con el PMS proporciona una experiencia de inicio de sesión fluida.

Un hotel rural remoto sin infraestructura de fibra utiliza Starlink Negocios a 150 Mbps. Los huéspedes se quejan con frecuencia de la lentitud de la velocidad durante la noche, y el hotel no tiene visibilidad de quién está utilizando la red.

El hotel despliega puntos de acceso HPE Aruba en el edificio principal y en los anexos. Configuran la antena de Starlink en Bypass Mode y la conectan a una puerta de enlace de Aruba. Los huéspedes se autentican por correo electrónico en el portal de Purple. El hotel aplica un límite estricto de ancho de banda de 5 Mbps por dispositivo y utiliza los análisis de Purple para supervisar las horas de mayor uso.

Comentario del examinador: Al implementar la limitación de ancho de banda por dispositivo, el hotel evita que los huéspedes individuales monopolicen el enlace de 150 Mbps durante las horas punta de la noche. La autenticación por correo electrónico captura datos de origen para futuras campañas de reserva directa, reduciendo la dependencia de las OTA.

Preguntas de práctica

Q1. Un campamento minero remoto ha implementado Starlink Business. Han conectado un firewall Cisco Meraki MX al router de Starlink. Los invitados pueden conectarse a la WiFi, pero la página del captive portal agota el tiempo de espera y no se carga. ¿Cuál es la causa más probable?

Sugerencia: Considere cómo maneja el enrutamiento el hardware de Starlink de forma predeterminada y qué requiere el firewall de Meraki para gestionar el tráfico de manera eficaz.

Ver respuesta modelo

La antena de Starlink no se ha configurado en Bypass Mode. Como resultado, la red sufre de doble NAT (tanto el router de Starlink como el firewall de Meraki intentan realizar la traducción de direcciones de red). El administrador debe usar la aplicación de Starlink para habilitar el Bypass Mode, lo que permitirá que el firewall de Meraki reciba directamente la IP CGNAT y gestione el enrutamiento y la intercepción del captive portal.

Q2. Está implementando un captive portal para un hotel que utiliza Starlink. Ha configurado el Bypass Mode y la segmentación por VLAN. Durante las pruebas, observa que los dispositivos Apple solicitan al usuario que inicie sesión de inmediato, pero algunos dispositivos Android muestran un error de certificado cuando el usuario intenta navegar a un sitio web seguro antes de autenticarse. ¿Cómo resuelve esto?

Sugerencia: Piense en cómo gestionan los navegadores modernos las solicitudes de conexión iniciales y qué debe hacer el router para interceptarlas limpiamente.

Ver respuesta modelo

El router empresarial no está configurado para gestionar correctamente la intercepción HTTPS para la redirección del captive portal. Los navegadores modernos utilizan HTTPS por defecto. Cuando el usuario intenta visitar un sitio HTTPS antes de autenticarse, el router intercepta el tráfico y presenta su propio certificado, que el navegador rechaza por no ser válido. Debe asegurarse de que la configuración del captive portal del router esté establecida para utilizar un certificado SSL válido para la redirección, o confiar en las sondas de red a nivel de sistema operativo (como el CNA de Apple) que utilizan endpoints HTTP para activar el portal automáticamente.

Q3. Un operador marítimo se queja de que su conexión Starlink Maritime (220 Mbps) se vuelve inutilizable todas las noches. Actualmente ofrecen una red de invitados abierta y sin contraseña. ¿Qué tres configuraciones específicas debería implementar en el router empresarial y en el captive portal para resolver esto?

Sugerencia: Concéntrese en controlar la cantidad de datos que pueden consumir los usuarios individuales y en priorizar los tipos de tráfico críticos.

Ver respuesta modelo
  1. Implementar un captive portal que requiera autenticación para rastrear y gestionar a los usuarios individuales. 2. Aplicar límites de ancho de banda por dispositivo (por ejemplo, 5 Mbps de bajada / 2 Mbps de subida) para evitar que un solo usuario monopolice la conexión. 3. Aplicar reglas de modelado de tráfico en el firewall para priorizar la navegación web y los protocolos de mensajería, al tiempo que se limita o bloquea el uso de aplicaciones de gran ancho de banda, como la transmisión de vídeo y el intercambio de archivos P2P.