Pular para o conteúdo principal

Como Configurar um Captive Portal no Starlink: Um Guia para Locais Remotos e Marítimos

Este guia detalha como contornar o hardware nativo do Starlink e integrar um captive portal gerenciado em nuvem usando equipamentos de roteamento corporativos. Você aprenderá como superar a limitação de CGNAT, aplicar a segmentação de VLAN, gerenciar restrições de largura de banda de satélite e garantir a conformidade regulatória.

📖 5 min de leitura📝 1,227 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Fale em inglês britânico com um tom confiante, autoritário e de conversação - como um consultor sênior instruindo um cliente. Ritmo medido, articulação clara, caloroso mas profissional. Sem palavras de preenchimento. Breves pausas ocasionais para dar ênfase: Bem-vindo ao Briefing Técnico da Purple. Vou orientar você em tudo o que precisa saber sobre como configurar um Captive Portal no Starlink - especificamente para locais remotos, operadores marítimos e qualquer pessoa que execute WiFi de convidados onde a fibra simplesmente não é uma opção. [pausa média] Vamos começar com o problema. O Starlink mudou genuinamente o cenário de conectividade para locais que antes estavam presos a conexões de satélite lentas e caras ou 4G instável. Um navio de cruzeiro, um hotel remoto nas montanhas, uma unidade de bem-estar em um canteiro de obras, o local de um festival em um campo - todos eles agora podem obter de 100 a 220 megabits por segundo a partir de uma antena do tamanho de uma pizza grande. Isso é notável. Mas aqui está o detalhe: a conectividade bruta é apenas metade do trabalho. No momento em que você coloca essa conexão diante de convidados, passageiros ou tripulantes, você precisa de autenticação, controle de acesso, consentimento em conformidade com a GDPR e gerenciamento de largura de banda. O Starlink não oferece nada disso nativamente. É aí que entra um Captive Portal. E é isso que vamos construir hoje. [pausa média] Seção um: compreendendo as restrições de rede do Starlink. Antes de tocar em um roteador, você precisa entender o que o Starlink realmente entrega na interface WAN. A antena padrão do Starlink conecta-se a um roteador proprietário que gerencia DHCP e NAT. Por padrão, você está atrás de um NAT de nível de operadora - o que os engenheiros chamam de CGNAT. Isso significa que seu endereço IP WAN está na faixa de 100.64 a 100.127. Não é um IP público. Você não pode receber conexões de entrada da internet. E isso importa enormemente para a arquitetura do Captive Portal. A solução é o modo bypass - às vezes chamado de modo bridge. Você ativa isso no aplicativo Starlink em Configurações e, em seguida, ativa "Bypass Starlink WiFi router". Uma vez ativado, a antena do Starlink passa o endereço CGNAT diretamente para a porta WAN do seu roteador corporativo. O roteador Starlink para de fazer DHCP e NAT. Seu roteador assume o controle. Você ainda está atrás do CGNAT, mas agora tem controle total da camada de roteamento. Um ponto crítico: se a antena do Starlink for redefinida para os padrões de fábrica por qualquer motivo, o modo bypass é desativado. Você precisará reativá-lo. Inclua isso no manual de operações do seu site. [pausa média] Agora, o Starlink oferece três níveis de plano relevantes para operadores de locais de eventos. O Standard oferece até 100 megabits de download, prioridade de melhor esforço e nenhuma opção de IP estático. O Business oferece até 220 megabits, alocação de dados prioritária e um opcional de IP estático. O Maritime oferece as mesmas velocidades com portabilidade global - essencial se a embarcação se mover entre regiões oceânicas. Para qualquer local com múltiplos usuários, eu recomendaria o Business ou o Maritime como limite mínimo. Dados de melhor esforço no Standard significam que seus convidados perdem prioridade sempre que a célula de satélite estiver congestionada. [pausa média] Seção dois: a pilha de arquitetura. Aqui está a pilha de quatro camadas que você está construindo. A camada um é o uplink Starlink em modo bypass. A camada dois é o seu roteador ou firewall corporativo - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Fortinet - qualquer um deles funciona. A camada três é a segmentação de VLAN no nível do switch ou ponto de acesso. A camada quatro é o captive portal em nuvem, que lida com autenticação, consentimento e analytics. Deixe-me dedicar um momento à segmentação de VLAN porque ela é inegociável. Você precisa de, no mínimo, três VLANs. VLAN 10 para funcionários - ela transporta seus sistemas de PDV, aplicativos de back-office e tráfego de gerenciamento. VLAN 20 para convidados - este é o segmento exclusivo para internet que chega ao captive portal. VLAN 30 para IoT - câmeras, termostatos inteligentes, sistemas de gerenciamento predial. Essas três redes não devem conseguir se comunicar entre si. O roteamento inter-VLAN deve ser bloqueado no firewall. Um convidado na VLAN 20 nunca deve conseguir acessar seu terminal de PDV na VLAN 10. Isso não é apenas uma boa prática - é um requisito do PCI-DSS se você estiver processando pagamentos com cartão em qualquer lugar da mesma infraestrutura física. [medium pause] O captive portal em si fica na nuvem. Quando um convidado se conecta ao seu SSID de convidado e abre um navegador, o roteador intercepta a solicitação HTTP e a redireciona para a página de login do portal. O convidado se autentica - via e-mail, login social ou código de voucher - aceita seus termos de serviço, e o portal sinaliza ao roteador para conceder acesso à internet a esse endereço MAC. Todo o fluxo deve ser concluído em menos de 10 segundos em um dispositivo móvel. Com o Purple, esse portal em nuvem se integra diretamente com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Você configura a integração de RADIUS ou API uma vez, e o Purple cuida do handshake de autenticação. Nenhum servidor de autenticação local é necessário. Isso é essencial para locais remotos onde você não pode executar um servidor RADIUS local. [medium pause] Seção três: o problema do CGNAT e como resolvê-lo. Aqui está o desafio que pega a maioria das equipes de TI de surpresa. As arquiteturas padrão de captive portal assumem que o portal em nuvem pode acessar sua rede de volta. Com o CGNAT, isso é impossível. As conexões de entrada são bloqueadas. A solução é um túnel reverso. Seu roteador estabelece uma conexão de saída para o portal em nuvem e a mantém aberta de forma persistente. Todo o tráfego de autenticação flui por esse túnel. A nuvem nunca precisa iniciar uma conexão de entrada. A arquitetura de sobreposição em nuvem do Purple lida com isso nativamente - você não precisa configurar o WireGuard ou o OpenVPN manualmente, embora ambos sejam alternativas válidas se você estiver executando sua própria infraestrutura. Se você precisar de um IP estático - por exemplo, se estiver executando um servidor RADIUS no local ou precisar de uma lista de permissões de IP consistente - o Starlink Business e o Maritime oferecem um IP estático como um complemento. No momento da gravação, isso está disponível na maioria das regiões. Verifique as páginas de planos atuais do Starlink para o seu território específico. [medium pause] Seção quatro: GDPR e conformidade de dados. É aqui que os locais remotos e marítimos costumam ser pegos de surpresa. O fato de seu local estar em uma embarcação em águas internacionais, ou em uma localização remota, não o isenta do GDPR se você estiver coletando dados de residentes da UE. E se você estiver operando em águas do Reino Unido pós-Brexit, o UK GDPR se aplica. Seu Captive Portal deve apresentar uma caixa de seleção de consentimento específica e desmarcada para comunicações de marketing. Ele deve indicar claramente quais dados você está coletando, por que e por quanto tempo os reterá. Os termos de serviço devem estar acessíveis antes de o visitante se autenticar. E você deve ser capaz de demonstrar, mediante solicitação, que um indivíduo específico deu consentimento em uma data e hora específicas. O Purple é certificado ISO 27001, em conformidade com o GDPR, CCPA e certificado Cyber Essentials. Cada evento de login é registrado com uma marca temporal, endereço IP e registro de consentimento. Essa trilha de auditoria é o que protege você caso um regulador faça perguntas. [medium pause] Seção cinco: gerenciamento de largura de banda. No Starlink, a largura de banda é o seu recurso mais limitado. Um único passageiro transmitindo vídeo em 4K pode consumir 25 megabits por segundo continuamente. Em uma embarcação com 50 passageiros e uma conexão de 220 megabits, isso representa uma pessoa consumindo 11% da capacidade total. Você resolve isso no nível do Captive Portal e do roteador. Defina limites de largura de banda por dispositivo - por exemplo, 5 megabits de download e 2 megabits de upload por dispositivo de visitante. Implemente políticas de uso justo que reduzam a velocidade após um limite diário de dados. Use a modelagem de tráfego para priorizar a navegação na web e mensagens em vez de streaming de vídeo. E considere o acesso em camadas: um nível gratuito para conectividade básica, um nível premium pago para streaming. Isso converte o seu WiFi de uma linha de custo em uma fonte de receita. [medium pause] Agora deixe-me apresentar dois cenários do mundo real. Cenário um: um navio de cruzeiro de 120 cabines. O operador utiliza o Starlink Maritime a 220 megabits. Eles implantam pontos de acesso Cisco Meraki em toda a embarcação com três VLANs - tripulação, passageiros e sistemas do navio. O Captive Portal do Purple lida com a autenticação de passageiros por e-mail ou uma consulta pelo número da cabine integrada com o PMS. Cada passageiro recebe uma franquia diária de 2 gigabytes. Os passageiros do nível premium recebem 10 gigabytes. O portal coleta dados de e-mail proprietários para marketing pós-viagem. Resultado: a receita do WiFi cobre o custo de assinatura do Starlink, e o operador tem uma lista crescente de marketing direto. Cenário dois: um hotel remoto nas Terras Altas sem fibra. Eles operam com Starlink Business a uma média de 150 megabits. Os pontos de acesso HPE Aruba cobrem o prédio principal e três anexos. Os hóspedes se autenticam via e-mail no portal da Purple. O hotel utiliza as ferramentas de análise da Purple para entender os horários de pico de uso e ajusta as políticas de largura de banda de acordo. Eles reduziram as reclamações sobre o WiFi de hóspedes em 60% em comparação com a configuração anterior de agregação de 4G, segundo os seus próprios dados operacionais. [medium pause] Erros comuns. Deixe-me apresentar os cinco que vejo com mais frequência. Um: esquecer de reativar o modo bypass após um reset da antena. Documente isso no seu manual de procedimentos e configure um alerta de monitoramento na interface WAN do seu roteador. Dois: não bloquear o roteamento inter-VLAN. Todas as implantações que analisei e que tiveram um incidente de segurança apresentavam essa falha de configuração. Verifique duas vezes. Três: usar redirecionamento HTTP para o Captive Portal em uma rede onde os hóspedes usam navegadores prioritariamente HTTPS. Os navegadores modernos usam HTTPS por padrão. O seu roteador precisa gerenciar a interceptação HTTPS corretamente, caso contrário, os hóspedes verão erros de certificado antes de chegarem ao portal. O portal da Purple lida com isso, mas a configuração do seu roteador precisa estar correta. Quatro: não testar no iOS e Android separadamente. O Captive Network Assistant da Apple e o teste de rede do Android se comportam de maneira diferente. Teste ambos antes de entrar em operação. Cinco: ignorar a latência. A constelação LEO da Starlink oferece uma latência de 20 a 40 milissegundos - muito melhor do que o satélite geoestacionário tradicional. Mas durante as transições entre satélites, você pode notar picos rápidos. As configurações de tempo limite do seu Captive Portal precisam considerar isso. Defina os intervalos de keepalive da sessão para 60 segundos ou menos. [medium pause] Perguntas rápidas. Preciso de um IP estático para um Captive Portal na Starlink? Não, se o seu portal utiliza uma arquitetura hospedada na nuvem com tunelamento reverso. Sim, se você estiver executando um RADIUS local. Posso executar múltiplos SSIDs na Starlink? Sim - os seus pontos de acesso corporativos gerenciam a criação de SSIDs. A Starlink em modo bypass apenas fornece o uplink. Você pode executar quantos SSIDs os seus pontos de acesso suportarem. A Purple funciona com a Starlink diretamente de fábrica? Sim. Você configura o modo bypass na antena Starlink, conecta os seus pontos de acesso suportados e aponta a integração de RADIUS ou API para a nuvem da Purple. O portal fica ativo em menos de uma hora. O que acontece se a conexão da Starlink cair? O portal da Purple armazena em cache as sessões ativas localmente no roteador por um período configurável - normalmente 24 horas. Os hóspedes que já estão autenticados permanecem online. Novas autenticações entram em fila até que a conectividade seja restaurada. [medium pause] Resumindo. O Starlink oferece a conexão. O seu roteador corporativo em modo bypass oferece controle sobre a camada de roteamento. A segmentação de VLAN isola o tráfego de convidados, funcionários e IoT. Um Captive Portal em nuvem - o da Purple, neste caso - lida com autenticação, consentimento da GDPR, políticas de largura de banda e coleta de dados primários. A limitação do CGNAT é solucionada pela arquitetura de túnel reverso, e não por IP estático. E o gerenciamento de largura de banda no nível do portal é o que mantém a sua conexão Starlink utilizável para todos. Se você está avaliando isso para o seu estabelecimento, o próximo passo é verificar qual hardware de ponto de acesso você está utilizando - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet - e confirmar a documentação de integração da Purple para essa plataforma. Você pode encontrar o guia técnico completo em purple.ai, e a equipe da Purple pode orientar você em uma configuração de prova de conceito para o seu site específico. Obrigado por ouvir. Nos vemos no próximo briefing.

header_image.png

Resumo Executivo

A Starlink oferece conectividade de até 220 Mbps em locais onde a fibra óptica não chega, mudando completamente o cenário de redes para locais remotos e marítimos. No entanto, para ambientes voltados ao público, a conectividade por si só não basta. Ao implantar a Starlink para convidados, passageiros ou tripulantes, é preciso implementar autenticação, controle de acesso, consentimento em conformidade com a GDPR e gerenciamento de largura de banda. O roteador nativo da Starlink não oferece nenhum desses recursos.

Este guia explica em detalhes como ignorar o hardware nativo da Starlink e integrar um Captive Portal gerenciado na nuvem usando equipamentos de roteamento corporativos. Você aprenderá a superar as limitações do Carrier Grade NAT (CGNAT), implementar segmentação de VLAN, gerenciar restrições de largura de banda de satélite e garantir a conformidade regulatória.

Ao implementar esta arquitetura, os operadores de estabelecimentos transformam um link de internet não gerenciado em uma rede segura e segmentada que captura dados primários e protege a infraestrutura de negócios principal.

Visão Técnica Detalhada

A Restrição do CGNAT

O principal obstáculo técnico ao implantar um Captive Portal na Starlink é o Carrier Grade NAT (CGNAT). A antena padrão da Starlink conecta-se a um roteador proprietário que lida com DHCP e NAT. Por padrão, o endereço IP WAN atribuído ao seu equipamento fica dentro da faixa 100.64.0.0/10. Como este não é um endereço IP público, seu roteador não pode receber conexões de entrada da internet.

As arquiteturas padrão de Captive Portal geralmente pressupõem que o portal na nuvem pode acessar sua rede de volta para autenticar usuários ou atualizar listas de controle de acesso. Com o CGNAT, as conexões de entrada falham.

Para resolver isso, você deve configurar a antena Starlink no Modo Bypass (geralmente chamado de modo bridge). No Modo Bypass, as funções do roteador Starlink são desativadas e a antena envia o endereço CGNAT diretamente para a porta WAN do seu roteador corporativo. O seu roteador corporativo assume então o controle total da camada de roteamento.

architecture_overview.png

Arquitetura de Túnel Reverso

Mesmo com o roteador corporativo gerenciando o tráfego, a restrição de entrada do CGNAT permanece. A solução é uma arquitetura de túnel reverso. Seu roteador estabelece uma conexão de saída com o portal na nuvem e a mantém continuamente. Todo o tráfego de autenticação flui por esse túnel estabelecido. A infraestrutura de nuvem nunca precisa iniciar uma conexão de entrada. A arquitetura de sobreposição em nuvem da Purple gerencia isso nativamente. Você não precisa configurar túneis VPN manuais. Se a sua implantação exigir um IP estático para servidores RADIUS locais legados ou listas de permissões de IP rigorosas, os planos Starlink Business e Maritime oferecem um IP estático como um complemento pago.

Restrições de Largura de Banda e Controle de Tráfego

A largura de banda de satélite é um recurso compartilhado e finito. Um único usuário transmitindo vídeo em 4K pode consumir continuamente 25 Mbps. Em uma embarcação com 50 passageiros compartilhando uma conexão Starlink de 220 Mbps, um único usuário poderia consumir 11% da capacidade total.

Você deve resolver isso no nível do Captive Portal e do roteador por meio de um controle de tráfego agressivo:

  • Limites por dispositivo: Restrinja dispositivos de convidados individuais a 5 Mbps de download e 2 Mbps de upload.
  • Políticas de uso justo: Imponha limites diários de dados (por exemplo, 2 GB a cada 24 horas).
  • Controle de aplicativos: Priorize a navegação na web e protocolos de mensagens em detrimento de streaming de vídeo e compartilhamento de arquivos ponto a ponto.
  • Acesso em camadas: Ofereça uma camada gratuita para conectividade básica e uma camada premium paga para streaming, transformando a infraestrutura de WiFi de um centro de custo em uma fonte de receita.

comparison_chart.png

Guia de Implementação

Siga estas etapas para implantar um Captive Portal seguro na Starlink usando hardware corporativo.

Etapa 1: Ativar o Modo Bypass

  1. Instale o hardware da Starlink e verifique a conectividade usando o roteador original.
  2. Abra o aplicativo móvel da Starlink e navegue até Configurações.
  3. Selecione e confirme Bypass Starlink WiFi router.
  4. Conecte o Adaptador Ethernet da Starlink à porta WAN do seu roteador corporativo (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet).

Observação: Se a antena da Starlink passar por uma reconfiguração de fábrica, o Modo Bypass será desativado automaticamente. Documente isso no manual de operações do seu site e configure um alerta de monitoramento na interface WAN do seu roteador.

Etapa 2: Configurar a Segmentação de VLAN

Você deve isolar o tráfego de convidados dos seus sistemas de negócios principais. Configure pelo menos três VLANs no seu switch principal e pontos de acesso:

  • VLAN 10 (Funcionários): Transporta sistemas de PDV, aplicativos de retaguarda e tráfego de gerenciamento.
  • VLAN 20 (Convidados): Segmento apenas de internet que redireciona para o Captive Portal.
  • VLAN 30 (IoT): Rede isolada para câmeras, termostatos inteligentes e sistemas de gerenciamento predial.

Configure regras de firewall para bloquear todo o roteamento entre VLANs. Um dispositivo de convidado na VLAN 20 nunca deve ser capaz de pingar um terminal de PDV na VLAN 10. Essa segmentação é um requisito rigoroso para a conformidade com o PCI-DSS.

Etapa 3: Implantar o Captive Portal em Nuvem

  1. Configure seus pontos de acesso para transmitir o SSID de Convidados na VLAN 20.
  2. Defina o método de autenticação para RADIUS externo ou use a integração de API do fornecedor.3. Aponte o servidor de autenticação para a infraestrutura em nuvem do Purple.
  3. Configure o walled garden (lista de permissões) para permitir o tráfego para os domínios do Purple antes que a autenticação seja concluída.
  4. Crie a splash page no portal Purple, garantindo que o branding esteja alinhado com o seu estabelecimento e que os termos de serviço sejam exibidos claramente.

Passo 4: Testar o Fluxo do Usuário

Teste o fluxo de autenticação em dispositivos iOS e Android. O Captive Network Assistant (CNA) da Apple e o teste de rede do Android se comportam de maneira diferente. Verifique se a splash page carrega em até 10 segundos e se o dispositivo obtém acesso à internet imediatamente após a autenticação.

Melhores Práticas

  • Interceptação HTTPS: Certifique-se de que seu roteador gerencie a interceptação HTTPS corretamente. Os dispositivos modernos usam HTTPS por padrão. Se o roteador não puder redirecionar as solicitações HTTPS de forma limpa, os visitantes terão erros de certificado antes de acessar o portal.
  • Keepalive da Sessão: A constelação de Órbita Terrestre Baixa (LEO) da Starlink oferece latências de 20 a 40 milissegundos, mas ocorrem breves picos durante as transferências de satélite. Defina o intervalo de keepalive da sessão do seu Captive Portal para 60 segundos ou menos para evitar desconexões prematuras.
  • Cache Offline: Configure seu roteador para armazenar em cache as sessões ativas localmente. Se a conexão da Starlink cair temporariamente, os visitantes que já foram autenticados permanecerão online quando a conectividade for restaurada, em vez de serem forçados a fazer login novamente.

Solução de Problemas e Mitigação de Riscos

Modo de Falha Causa Raiz Mitigação
O Captive Portal falha ao carregar Configuração incorreta do walled garden Verifique se todos os domínios do Purple e endpoints de CDN necessários foram adicionados à lista de permissões de pré-autenticação no roteador.
Erros de NAT Duplo O Modo Bypass está desativado Verifique o aplicativo Starlink para confirmar se o Modo Bypass está ativo. Flutuações de energia ou reinicializações manuais podem ter restaurado a antena para as configurações padrão.
Velocidades lentas para visitantes Banda ilimitada Aplique limites de largura de banda por dispositivo (por exemplo, 5 Mbps) e bloqueie aplicativos de alta largura de banda, como BitTorrent, no firewall.
Falha na auditoria de segurança O roteamento inter-VLAN está ativado Audite as regras de firewall para garantir que o tráfego da VLAN de Visitantes não possa ser roteado para a VLAN de Funcionários ou de Gerenciamento.

Retorno sobre o Investimento (ROI) e Impacto nos Negócios

A implantação de um Captive Portal gerenciado na Starlink transforma uma conexão de internet bruta em um ativo de negócios mensurável.

Para um navio de cruzeiro de 120 cabines executando Starlink Maritime a 220 Mbps, o acesso bruto gera zero retorno de negócios. Ao implantar pontos de acesso Cisco Meraki e o Captive Portal do Purple, a operadora pode aplicar uma franquia diária de 2 GB para passageiros padrão, enquanto vende uma categoria premium de 10 GB. A receita de WiFi resultante cobre o custo de assinatura mensal do Starlink. Além disso, o portal captura dados de e-mail de primeira parte totalmente em conformidade com a legislação, expandindo a lista de marketing direto da operadora para viagens futuras.

Em um ambiente de hotel remoto, a implantação de um portal com políticas rígidas de largura de banda reduz as reclamações dos hóspedes sobre WiFi lento em até 60%, pois evita que usuários que consomem muitos dados monopolizem o link de satélite.

Definições principais

Bypass Mode

Uma configuração que desativa as funções de DHCP e NAT do roteador nativo do Starlink, passando o IP WAN diretamente para um roteador corporativo de terceiros.

Necessário ao integrar equipamentos de rede corporativos com uma antena Starlink para evitar duplo NAT e conflitos de roteamento.

CGNAT (Carrier Grade NAT)

Um método usado por provedores de internet (ISPs) para compartilhar um único endereço IP público entre vários clientes. O roteador do cliente recebe um endereço IP privado (geralmente 100.64.0.0/10).

O Starlink usa CGNAT por padrão, o que impede conexões de entrada vindas da internet e exige arquiteturas de túnel reverso para gerenciamento em nuvem.

VLAN (Virtual Local Area Network)

Uma sub-rede lógica que agrupa uma coleção de dispositivos de diferentes redes locais (LANs) físicas.

Usada para isolar o tráfego de WiFi de visitantes das redes de funcionários e IoT, garantindo segurança e conformidade.

Captive Portal

Uma página web que o usuário de uma rede de acesso público é obrigado a visualizar e interagir antes que o acesso seja concedido.

Usado para aplicar termos de serviço, coletar dados de marketing e autenticar usuários em redes WiFi de visitantes.

Walled Garden

Um ambiente limitado que controla o acesso do usuário a conteúdos e serviços web antes que ele esteja totalmente autenticado.

Necessário para permitir que os dispositivos dos visitantes acessem o captive portal na nuvem e os servidores de autenticação antes de receberem acesso total à internet.

RADIUS

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Tarifação (AAA) para usuários que se conectam e utilizam um serviço de rede.

O protocolo subjacente usado por pontos de acesso corporativos para se comunicarem com o captive portal na nuvem para verificar as credenciais do usuário.

Traffic Shaping

A manipulação e priorização do tráfego de rede para reduzir o impacto de usuários com consumo excessivo ou de aplicativos sensíveis à latência.

Essencial em redes Starlink para priorizar a navegação web em detrimento de atividades de alto consumo de banda, como streaming de vídeo.

Dados Primários (First-Party Data)

Informações que uma empresa coleta diretamente de seus clientes e possui.

Capturado por meio do processo de login do Captive Portal (por exemplo, endereços de e-mail) e utilizado para campanhas de marketing direto e fidelização.

Exemplos práticos

Uma embarcação de cruzeiro de 120 cabines operando com Starlink Maritime a 220 Mbps precisa fornecer WiFi para passageiros sem prejudicar as operações do navio. Eles exigem um mecanismo para monetizar a conexão e coletar dados de marketing.

O operador implanta pontos de acesso Cisco Meraki em toda a embarcação com três VLANs estritas: tripulação, passageiros e sistemas do navio. O captive portal da Purple gerencia a autenticação dos passageiros via e-mail ou consulta de número de cabine integrada ao PMS. Cada passageiro recebe uma franquia diária de 2GB. Passageiros de categoria premium podem adquirir uma franquia de 10GB. O portal coleta dados de e-mail primários (first-party data) para marketing pós-viagem.

Comentário do examinador: Esta abordagem resolve a limitação de largura de banda por meio de limites diários estritos, ao mesmo tempo em que gera receita direta. A segmentação de VLAN garante que o tráfego dos passageiros não comprometa os sistemas críticos do navio. A integração com o PMS proporciona uma experiência de login fluida.

Um hotel remoto em uma região montanhosa sem infraestrutura de fibra opera com Starlink Business a 150 Mbps. Os hóspedes reclamam frequentemente de velocidades lentas durante a noite, e o hotel não tem visibilidade sobre quem está utilizando a rede.

O hotel implanta pontos de acesso HPE Aruba no edifício principal e nos anexos. Eles configuram a antena Starlink em Bypass Mode e a conectam a um gateway Aruba. Os hóspedes se autenticam via e-mail no portal da Purple. O hotel aplica um limite estrito de largura de banda de 5 Mbps por dispositivo e usa os relatórios analíticos da Purple para monitorar os horários de pico de uso.

Comentário do examinador: Ao implementar o controle de banda por dispositivo, o hotel evita que hóspedes individuais monopolizem o link de 150 Mbps durante os horários de pico da noite. A autenticação por e-mail captura dados primários para futuras campanhas de reserva direta, reduzindo a dependência de OTAs.

Questões práticas

Q1. Um acampamento de mineração remoto implantou a Starlink Business. Eles conectaram um firewall Cisco Meraki MX ao roteador Starlink. Os visitantes conseguem se conectar ao WiFi, mas a página do Captive Portal expira e falha ao carregar. Qual é a causa mais provável?

Dica: Considere como o hardware Starlink lida com o roteamento por padrão e o que o firewall Meraki exige para gerenciar o tráfego de maneira eficaz.

Ver resposta modelo

A antena Starlink não foi colocada em Bypass Mode. Como resultado, a rede está sofrendo com duplo NAT (tanto o roteador Starlink quanto o firewall Meraki estão tentando realizar Network Address Translation). O administrador deve usar o aplicativo Starlink para ativar o Bypass Mode, permitindo que o firewall Meraki receba o IP do CGNAT diretamente e gerencie o roteamento e a interceptação do Captive Portal.

Q2. Você está implantando um Captive Portal para um hotel usando Starlink. Você configurou o Bypass Mode e a segmentação de VLAN. Durante os testes, você nota que os dispositivos Apple solicitam o login do usuário imediatamente, mas alguns dispositivos Android mostram um erro de certificado quando o usuário tenta navegar em um site seguro antes de se autenticar. Como você resolve isso?

Dica: Pense em como os navegadores modernos lidam com as solicitações de conexão inicial e no que o roteador deve fazer para interceptá-las de forma limpa.

Ver resposta modelo

O roteador corporativo não está configurado para lidar corretamente com a interceptação HTTPS para o redirecionamento do Captive Portal. Os navegadores modernos usam HTTPS por padrão. Quando o usuário tenta visitar um site HTTPS antes de se autenticar, o roteador intercepta o tráfego e apresenta seu próprio certificado, que o navegador rejeita como inválido. Você deve garantir que as configurações do Captive Portal do roteador estejam configuradas para usar um certificado SSL válido para o redirecionamento, ou depender das investigações de rede em nível de SO (como o CNA da Apple), que usam endpoints HTTP para acionar o portal automaticamente.

Q3. Uma operadora marítima reclama que sua conexão Starlink Maritime (220 Mbps) se torna inutilizável todas as noites. Atualmente, eles oferecem uma rede de visitantes aberta e sem senha. Quais são as três configurações específicas que você deve implementar no roteador corporativo e no Captive Portal para resolver isso?

Dica: Concentre-se em controlar a quantidade de dados que os usuários individuais podem consumir e em priorizar tipos de tráfego críticos.

Ver resposta modelo
  1. Implementar um Captive Portal que exija autenticação para rastrear e gerenciar usuários individuais. 2. Aplicar limites de largura de banda por dispositivo (por exemplo, 5 Mbps de download / 2 Mbps de upload) para evitar que um único usuário monopolize a conexão. 3. Aplicar regras de modelagem de tráfego (traffic shaping) no firewall para priorizar a navegação na web e os protocolos de mensagens, enquanto limita ou bloqueia aplicativos de alta largura de banda, como streaming de vídeo e compartilhamento de arquivos P2P.