Saltar para o conteúdo principal

Como Configurar um Captive Portal no Starlink: Um Guia para Espaços Remotos e Marítimos

Este guia detalha como contornar o hardware nativo do Starlink e integrar um captive portal gerido na nuvem utilizando equipamento de encaminhamento empresarial. Irá aprender a ultrapassar a limitação de CGNAT, aplicar a segmentação de VLAN, gerir as restrições de largura de banda de satélite e garantir a conformidade regulamentar.

📖 5 min de leitura📝 1,227 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Fale em inglês britânico com um tom confiante, autoritário e de conversação - como um consultor sénior a dar orientações a um cliente. Ritmo ponderado, articulação clara, caloroso mas profissional. Sem palavras de preenchimento. Pausas breves ocasionais para dar ênfase: Bem-vindo ao Purple Technical Briefing. Vou guiá-lo por tudo o que precisa de saber sobre como configurar um captive portal no Starlink - especificamente para locais remotos, operadores marítimos e qualquer pessoa que execute WiFi para convidados onde a fibra simplesmente não é uma opção. [medium pause] Comecemos pelo problema. O Starlink mudou genuinamente o cenário de conectividade para locais que anteriormente estavam limitados a ligações de satélite lentas e dispendiosas ou a um 4G instável. Um navio de cruzeiro, um hotel remoto nas montanhas, uma unidade de apoio social num estaleiro de construção, o recinto de um festival num campo - todos estes podem agora obter de 100 a 220 megabits por segundo a partir de uma antena do tamanho de uma pizza grande. Isso é notável. Mas a questão é esta: a conectividade bruta é apenas metade do trabalho. No momento em que disponibiliza essa ligação a convidados, passageiros ou tripulação, necessita de autenticação, controlo de acessos, consentimento em conformidade com o GDPR e gestão de largura de banda. O Starlink não lhe oferece nada disso de imediato. É aí que entra um captive portal. E é isso que vamos construir hoje. [medium pause] Secção um: compreender as limitações de rede do Starlink. Antes de tocar num router, precisa de compreender o que o Starlink realmente lhe oferece na interface WAN. A antena Starlink padrão liga-se a um router proprietário que gere DHCP e NAT. Por predefinição, está atrás de um NAT de nível de operador - o que os engenheiros chamam de CGNAT. Isso significa que o seu endereço IP WAN está na gama de 100.64 a 100.127. Não é um IP público. Não pode receber ligações de entrada a partir da internet. E isso é extremamente importante para a arquitetura do captive portal. A solução é o modo bypass - por vezes chamado de modo bridge. Ative isto na aplicação Starlink em Definições e depois ative "Bypass Starlink WiFi router." Uma vez ativado, a antena Starlink passa o endereço CGNAT diretamente para a porta WAN do seu router empresarial. O router Starlink deixa de fazer DHCP e NAT. O seu router assume o controlo. Continua atrás de CGNAT, mas agora tem controlo total da camada de encaminhamento. Um ponto crítico: se a antena Starlink for reposta para as definições de fábrica por qualquer motivo, o modo bypass é desativado. Terá de o reativar. Inclua isso no manual de procedimentos do seu site. [medium pause] Atualmente, o Starlink oferece três níveis de planos relevantes para operadores de espaços de atendimento ao público. O Standard oferece até 100 megabits de download, prioridade de melhor esforço e nenhuma opção de IP estático. O Business oferece até 220 megabits, atribuição de dados prioritários e um suplemento de IP estático. O Maritime oferece as mesmas velocidades com portabilidade global - essencial se a embarcação se deslocar entre regiões oceânicas. Para qualquer espaço multiutilizador, recomendaria o Business ou o Maritime no mínimo. Os dados de melhor esforço no Standard significam que os seus convidados perdem a prioridade sempre que a célula de satélite estiver congestionada. [medium pause] Secção dois: a stack de arquitetura. Aqui está a stack de quatro camadas que vai construir. A camada um é o uplink Starlink em modo bypass. A camada dois é o seu router ou firewall empresarial - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Fortinet - qualquer um destes funciona. A camada três é a segmentação VLAN ao nível do comutador ou do ponto de acesso. A camada quatro é o Captive Portal na nuvem, que gere a autenticação, o consentimento e a análise de dados. Permita-me dedicar um momento à segmentação VLAN porque esta é inegociável. Precisa, no mínimo, de três VLANs. A VLAN 10 para o pessoal - que transporta os seus sistemas POS, aplicações de back office e tráfego de gestão. A VLAN 20 para convidados - este é o segmento exclusivo de internet que acede ao Captive Portal. A VLAN 30 para IoT - câmaras, termóstatos inteligentes, sistemas de gestão de edifícios. Estas três redes não devem conseguir comunicar entre si. O encaminhamento inter-VLAN deve ser bloqueado na firewall. Um convidado na VLAN 20 nunca deve conseguir aceder ao seu terminal POS na VLAN 10. Isto não é apenas uma boa prática - é um requisito PCI-DSS se estiver a processar pagamentos com cartão em qualquer parte da mesma infraestrutura física. [pausa média] O próprio Captive Portal reside na nuvem. Quando um convidado se liga ao seu SSID de convidados e abre um browser, o router intercetada o pedido HTTP e redireciona-o para a página de início de sessão do portal. O convidado autentica-se - via e-mail, início de sessão social ou um código de voucher - aceita os seus termos de serviço, e o portal sinaliza ao router para conceder acesso à internet a esse endereço MAC. Todo o fluxo deve ser concluído em menos de 10 segundos num dispositivo móvel. Com o Purple, esse portal na nuvem integra-se diretamente com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Configura a integração de RADIUS ou API uma vez, e o Purple trata do protocolo de autenticação. Não é necessário nenhum servidor de autenticação no local. Isto é crítico para locais remotos onde não é possível executar um servidor RADIUS local. [pausa média] Secção três: o problema do CGNAT e como resolvê-lo. Aqui está o desafio que apanha a maioria das equipas de TI de surpresa. As arquiteturas padrão de Captive Portal assumem que o portal na nuvem consegue aceder de volta à sua rede. Com o CGNAT, isso é impossível. As ligações de entrada são bloqueadas. A solução é um túnel reverso. O seu router estabelece uma ligação de saída para o portal na nuvem e mantém-na aberta permanentemente. Todo o tráfego de autenticação flui através desse túnel. A nuvem nunca precisa de iniciar uma ligação de entrada. A arquitetura de sobreposição na nuvem do Purple lida com isto nativamente - não precisa de configurar o WireGuard ou o OpenVPN manualmente, embora ambos sejam alternativas válidas se estiver a executar a sua própria infraestrutura. Se precisar de um IP estático - por exemplo, se estiver a executar um servidor RADIUS no local ou se precisar de uma lista de permissões de IP consistente - o Starlink Business e o Starlink Maritime oferecem um IP estático como extra. À data desta gravação, está disponível na maioria das regiões. Verifique as páginas dos planos atuais da Starlink para o seu território específico. [medium pause] Secção quatro: GDPR e conformidade de dados. É aqui que os espaços remotos e marítimos são frequentemente apanhados de surpresa. O facto de o seu espaço estar numa embarcação em águas internacionais, ou num local remoto, não o isenta do GDPR se estiver a recolher dados de residentes da UE. E se estiver a operar em águas do Reino Unido pós-Brexit, aplica-se o UK GDPR. O seu Captive Portal deve apresentar uma caixa de seleção de consentimento específica e desmarcada para comunicações de marketing. Deve indicar claramente quais os dados que está a recolher, porquê e durante quanto tempo os irá reter. Os termos de serviço devem estar acessíveis antes de o convidado se autenticar. E deve ser capaz de demonstrar, mediante pedido, que um indivíduo específico deu o seu consentimento numa data e hora específicas. O Purple possui certificação ISO 27001, está em conformidade com o GDPR e o CCPA, e possui a certificação Cyber Essentials. Cada evento de início de sessão é registado com uma marca temporal, endereço IP e registo de consentimento. Essa pista de auditoria é o que o protege caso um regulador faça perguntas. [medium pause] Secção cinco: gestão de largura de banda. No Starlink, a largura de banda é o seu recurso mais limitado. Um único passageiro a transmitir vídeo em 4K pode consumir 25 megabits por segundo continuamente. Numa embarcação com 50 passageiros e uma ligação de 220 megabits, isto representa uma pessoa a consumir 11% da capacidade total. Pode resolver isto ao nível do Captive Portal e do router. Defina limites de largura de banda por dispositivo - por exemplo, 5 megabits de download e 2 megabits de upload por dispositivo de convidado. Implemente políticas de utilização responsável que limitem a velocidade após uma franquia diária de dados. Utilize a modelação de tráfego para priorizar a navegação na web e as mensagens em detrimento da transmissão de vídeo. E considere o acesso em níveis: um nível gratuito para conectividade básica e um nível premium pago para transmissão de vídeo. Isso converte o seu WiFi de uma linha de custos num fluxo de receitas. [medium pause] Agora, permita-me apresentar-lhe dois cenários do mundo real. Cenário um: um navio de cruzeiro de 120 cabines. O operador utiliza o Starlink Maritime a 220 megabits. Implementa pontos de acesso Cisco Meraki em toda a embarcação com três VLANs - tripulação, passageiros e sistemas do navio. O Captive Portal do Purple lida com a autenticação dos passageiros através de e-mail ou de uma consulta do número da cabine integrada com o PMS. Cada passageiro tem uma franquia diária de 2 gigabytes. Os passageiros do nível premium recebem 10 gigabytes. O portal recolhe dados de e-mail primários para marketing pós-viagem. Resultado: a receita do WiFi cobre o custo da assinatura do Starlink e o operador tem uma lista crescente de marketing direto. Cenário dois: um hotel remoto nas Terras Altas sem fibra. Operam com o Starlink Business a uma média de 150 megabits. Os pontos de acesso HPE Aruba cobrem o edifício principal e três edifícios anexos. Os hóspedes autenticam-se via e-mail no portal da Purple. O hotel utiliza a análise de dados da Purple para compreender as horas de pico de utilização e ajusta as políticas de largura de banda em conformidade. Reduziram as reclamações sobre o WiFi de hóspedes em 60% em comparação com a sua configuração anterior de ligação 4G, de acordo com os seus próprios dados operacionais. [medium pause] Erros comuns. Permita-me detalhar os cinco que vejo com mais frequência. Um: esquecer-se de reativar o modo bypass após uma reposição da antena. Documente isto no seu manual de procedimentos e defina um alerta de monitorização na interface WAN do seu router. Dois: não bloquear o encaminhamento inter-VLAN. Todas as implementações que analisei e que tiveram um incidente de segurança tinham isto mal configurado. Verifique duas vezes. Três: utilizar o redirecionamento HTTP para o Captive Portal numa rede onde os hóspedes utilizam navegadores focados primeiro em HTTPS. Os navegadores modernos utilizam HTTPS por predefinição. O seu router precisa de lidar corretamente com a interceção HTTPS, caso contrário os hóspedes verão erros de certificado antes de chegarem ao portal. O portal da Purple lida com isto, mas a configuração do seu router precisa de estar correta. Quatro: não testar em iOS e Android separadamente. O Captive Network Assistant da Apple e a sonda de rede do Android comportam-se de forma diferente. Teste ambos antes do lançamento. Cinco: ignorar a latência. A constelação LEO da Starlink oferece uma latência de 20 a 40 milissegundos - muito melhor do que o satélite geoestacionário tradicional. Mas durante as transições entre satélites, pode haver picos breves. As definições de tempo limite do seu Captive Portal precisam de ter isto em conta. Defina os intervalos de keepalive da sessão para 60 segundos ou menos. [medium pause] Perguntas rápidas. Preciso de um IP estático para um Captive Portal na Starlink? Não, se o seu portal utilizar uma arquitetura alojada na nuvem com túnel reverso. Sim, se estiver a utilizar RADIUS local. Posso executar vários SSIDs na Starlink? Sim - os seus pontos de acesso empresariais tratam da criação de SSIDs. A Starlink em modo bypass fornece apenas a ligação ascendente. Pode executar tantos SSIDs quantos os seus pontos de acesso suportarem. A Purple funciona com a Starlink diretamente de origem? Sim. Configura o modo bypass na antena Starlink, liga os seus pontos de acesso suportados e aponta a integração RADIUS ou API para a nuvem da Purple. O portal fica ativo em menos de uma hora. O que acontece se a ligação Starlink cair? O portal da Purple armazena as sessões ativas localmente no router durante um período configurável - normalmente 24 horas. Os hóspedes que já estão autenticados permanecem online. As novas autenticações ficam em fila de espera até que a conectividade seja restabelecida. [medium pause] Para resumir. A Starlink fornece-lhe o canal. O seu router empresarial em modo bypass dá-lhe o controlo da camada de routing. A segmentação VLAN isola o tráfego de convidados, funcionários e IoT. Um Captive Portal na nuvem - o da Purple, neste caso - lida com a autenticação, consentimento do GDPR, política de largura de banda e recolha de dados primários. A limitação de CGNAT é resolvida por uma arquitetura de túnel inverso, e não por IP estático. E a gestão de largura de banda ao nível do portal é o que mantém a sua ligação Starlink utilizável para todos. Se está a avaliar isto para o seu espaço, o próximo passo é verificar qual o hardware de ponto de acesso que está a utilizar - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks ou Fortinet - e confirmar a documentação de integração da Purple para essa plataforma. Pode encontrar o guia técnico completo em purple.ai, e a equipa da Purple pode orientá-lo através de uma configuração de prova de conceito para o seu site específico. Obrigado por ouvir. Vemo-nos no próximo briefing.

header_image.png

Resumo Executivo

A Starlink fornece conectividade de 220 Mbps em locais onde a fibra não chega, mudando completamente o panorama das redes para locais remotos e marítimos. No entanto, para ambientes voltados para o público, a conectividade por si só não basta. Ao implementar a Starlink para convidados, passageiros ou tripulação, é necessário implementar autenticação, controlo de acesso, consentimento em conformidade com o GDPR e gestão de largura de banda. O router nativo da Starlink não oferece nenhuma destas funcionalidades.

Este guia explica em detalhe como contornar o hardware nativo da Starlink e integrar um Captive Portal gerido na nuvem usando equipamento de encaminhamento empresarial. Irá aprender a superar as limitações do Carrier Grade NAT (CGNAT), a implementar segmentação de VLAN, a gerir as restrições de largura de banda do satélite e a garantir a conformidade regulamentar.

Ao implementar esta arquitetura, os operadores de locais transformam uma linha de internet não gerida numa rede segura e segmentada que recolhe dados primários e protege a infraestrutura empresarial principal.

Análise Técnica Detalhada

A Restrição do CGNAT

O principal obstáculo técnico ao implementar um Captive Portal na Starlink é o Carrier Grade NAT (CGNAT). A antena padrão da Starlink liga-se a um router proprietário que gere o DHCP e o NAT. Por predefinição, o endereço IP da WAN atribuído ao seu equipamento fica dentro do intervalo 100.64.0.0/10. Como este não é um endereço IP público, o seu router não pode receber ligações de entrada a partir da internet.

As arquiteturas padrão de Captive Portal pressupõem frequentemente que o portal na nuvem pode aceder de volta à sua rede para autenticar utilizadores ou atualizar as listas de controlo de acesso. Com o CGNAT, as ligações de entrada falham.

Para resolver isto, deve configurar a antena da Starlink no Modo Bypass (frequentemente designado por modo bridge). No Modo Bypass, as funções do router da Starlink são desativadas e a antena envia o endereço do CGNAT diretamente para a porta WAN do seu router empresarial. O seu router empresarial assume então o controlo total da camada de encaminhamento.

architecture_overview.png

Arquitetura de Túnel Inverso

Mesmo com o router empresarial a gerir o tráfego, a restrição de entrada do CGNAT permanece. A solução é uma arquitetura de túnel inverso. O seu router estabelece uma ligação de saída para o portal na nuvem e mantém-na continuamente. Todo o tráfego de autenticação flui através deste túnel estabelecido. A infraestrutura na nuvem nunca precisa de iniciar uma ligação de entrada. A arquitetura de sobreposição na nuvem da Purple lida com isto de forma nativa. Não precisa de configurar túneis VPN manuais. Se a sua implementação exigir um IP estático para servidores RADIUS locais legados ou listas de permissões de IP estritas, os planos Starlink Business e Maritime fornecem um IP estático como um suplemento pago.

Restrições de Largura de Banda e Modelação de Tráfego

A largura de banda de satélite é um recurso partilhado e finito. Um único utilizador a transmitir vídeo em 4K pode consumir continuamente 25 Mbps. Numa embarcação com 50 passageiros a partilhar uma ligação Starlink de 220 Mbps, um utilizador poderia consumir 11% da capacidade total.

Deve abordar esta questão ao nível do Captive Portal e do router através de uma modelação de tráfego agressiva:

  • Limites por dispositivo: Limite os dispositivos de convidados individuais a 5 Mbps de download e 2 Mbps de upload.
  • Políticas de utilização justa: Imponha limites diários de dados (por exemplo, 2 GB por cada 24 horas).
  • Controlo de aplicações: Priorize a navegação na web e os protocolos de mensagens em detrimento da transmissão de vídeo e da partilha de ficheiros peer-to-peer.
  • Acesso em níveis: Disponibilize um nível gratuito para conectividade básica e um nível premium pago para transmissão, transformando a infraestrutura de WiFi de um centro de custos numa fonte de receita.

comparison_chart.png

Guia de Implementação

Siga estes passos para implementar um Captive Portal seguro na Starlink utilizando hardware empresarial.

Passo 1: Ativar o Modo Bypass

  1. Instale o hardware da Starlink e verifique a conectividade utilizando o router original.
  2. Abra a aplicação móvel da Starlink e navegue até Definições.
  3. Selecione e confirme Ignorar router WiFi Starlink.
  4. Ligue o Adaptador Ethernet Starlink à porta WAN do seu router empresarial (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet).

Nota: Se a antena Starlink for reposta para as definições de fábrica, o Modo Bypass é desativado automaticamente. Documente isto no seu manual de operações do local e configure um alerta de monitorização na interface WAN do seu router.

Passo 2: Configurar a Segmentação de VLAN

Deve isolar o tráfego de convidados dos seus sistemas de negócio principais. Configure pelo menos três VLANs no seu switch principal e pontos de acesso:

  • VLAN 10 (Pessoal): Transporta sistemas POS, aplicações de back-office e tráfego de gestão.
  • VLAN 20 (Convidado): Segmento apenas de Internet que redireciona para o Captive Portal.
  • VLAN 30 (IoT): Rede isolada para câmaras, termóstatos inteligentes e sistemas de gestão de edifícios.

Configure regras de firewall para bloquear todo o encaminhamento inter-VLAN. Um dispositivo de convidado na VLAN 20 nunca deve conseguir fazer ping a um terminal POS na VLAN 10. Esta segmentação é um requisito estrito para a conformidade com o padrão PCI-DSS.

Passo 3: Implementar o Captive Portal na Nuvem

  1. Configure os seus pontos de acesso para transmitir o SSID de Convidado na VLAN 20.
  2. Defina o método de autenticação para RADIUS externo ou utilize a integração de API do fornecedor.
  3. Aponte o servidor de autenticação para a infraestrutura de nuvem do Purple.
  4. Configure o walled garden (lista de permissões) para permitir o tráfego para os domínios do Purple antes de a autenticação estar concluída.
  5. Desenhe a splash page no portal Purple, garantindo que o branding está alinhado com o seu espaço e que os termos de serviço são apresentados claramente.

Passo 4: Testar o Fluxo de Utilizador

Teste o fluxo de autenticação em dispositivos iOS e Android. O Captive Network Assistant (CNA) da Apple e a sonda de rede do Android comportam-se de forma diferente. Verifique se a splash page carrega em menos de 10 segundos e se o dispositivo obtém acesso à internet imediatamente após a autenticação.

Melhores Práticas

  • Interceção HTTPS: Garanta que o seu router lida corretamente com a interceção HTTPS. Os dispositivos modernos utilizam HTTPS por predefinição. Se o router não conseguir redirecionar os pedidos HTTPS de forma limpa, os convidados irão deparar-se com erros de certificado antes de acederem ao portal.
  • Session Keepalive: A constelação de Órbita Baixa Terrestre (LEO) da Starlink oferece latências de 20 a 40 milissegundos, mas ocorrem pequenos picos durante a transição entre satélites. Defina o intervalo de keepalive de sessão do seu Captive Portal para 60 segundos ou menos para evitar a desconexão prematura.
  • Caching Offline: Configure o seu router para fazer o cache local das sessões ativas. Se a ligação Starlink cair temporariamente, os convidados que já se encontram autenticados permanecerão online quando a conectividade for restabelecida, em vez de serem forçados a iniciar sessão novamente.

Resolução de Problemas e Mitigação de Riscos

Modo de Falha Causa Raiz Mitigação
O Captive Portal não carrega Configuração incorreta do walled garden Verifique se todos os domínios Purple e endpoints de CDN necessários foram adicionados à lista de permissões de pré-autenticação no router.
Erros de Duplo NAT O Bypass Mode está desativado Verifique a aplicação Starlink para confirmar que o Bypass Mode está ativo. Flutuações de energia ou reinicializações manuais podem ter reposto as configurações padrão da antena.
Velocidades de convidado lentas Largura de banda sem restrições Aplique limites de largura de banda por dispositivo (ex.: 5 Mbps) e bloqueie aplicações de alta largura de banda, como o BitTorrent, na firewall.
Falha na auditoria de segurança O encaminhamento inter-VLAN está ativado Audite as regras de firewall para garantir que o tráfego da VLAN de Convidados não consegue ser encaminhado para a VLAN de Funcionários ou de Gestão.

ROI e Impacto no Negócio

A implementação de um Captive Portal gerido na Starlink transforma uma ligação de internet bruta num ativo de negócio mensurável.

Para um navio de cruzeiro de 120 cabines a operar a Starlink Maritime a 220 Mbps, o acesso bruto resulta num retorno de negócio nulo. Ao implementar pontos de acesso Cisco Meraki e o Captive Portal do Purple, o operador pode impor um limite diário de 2GB para passageiros padrão, enquanto faz o upsell de um nível premium de 10GB. A receita de WiFi resultante cobre o custo mensal de subscrição Starlink superior a $250. Além disso, o portal recolhe dados de e-mail primários totalmente em conformidade, expandindo a lista de marketing direto do operador para futuras viagens.

Num ambiente hoteleiro remoto, a implementação de um portal com políticas de largura de banda rigorosas reduz as reclamações dos hóspedes relativamente a WiFi lento em até 60%, uma vez que os utilizadores intensivos são impedidos de monopolizar a ligação por satélite.

Definições Principais

Bypass Mode

Uma definição de configuração que desativa as funções nativas de DHCP e NAT do router Starlink, passando o IP WAN diretamente para um router empresarial de terceiros.

Necessário ao integrar equipamento de rede empresarial com uma antena Starlink para evitar double NAT e conflitos de encaminhamento.

CGNAT (Carrier Grade NAT)

Um método utilizado pelos ISPs para partilhar um único endereço IP público entre múltiplos clientes. O router do cliente recebe um endereço IP privado (normalmente 100.64.0.0/10).

O Starlink utiliza CGNAT por predefinição, o que impede ligações de entrada a partir da internet e exige arquiteturas de túnel reverso para a gestão na nuvem.

VLAN (Virtual Local Area Network)

Uma sub-rede lógica que agrupa um conjunto de dispositivos de diferentes LANs físicas.

Utilizada para isolar o tráfego de WiFi de convidados das redes de funcionários e IoT, garantindo a segurança e a conformidade.

Captive Portal

Uma página web que um utilizador de uma rede de acesso público é obrigado a visualizar e com a qual deve interagir antes de lhe ser concedido acesso.

Utilizado para aplicar os termos de serviço, recolher dados de marketing e autenticar utilizadores em redes de WiFi de convidados.

Walled Garden

Um ambiente limitado que controla o acesso do utilizador a conteúdos e serviços web antes de este se ter autenticado totalmente.

Necessário para permitir que os dispositivos dos convidados acedam ao captive portal na nuvem e aos servidores de autenticação antes de lhes ser concedido acesso total à internet.

RADIUS

Um protocolo de rede que fornece uma gestão centralizada de Autenticação, Autorização e Contabilidade para utilizadores que se ligam e utilizam um serviço de rede.

O protocolo subjacente utilizado pelos pontos de acesso empresariais para comunicar com o captive portal na nuvem para verificar as credenciais do utilizador.

Traffic Shaping

A manipulação e priorização do tráfego de rede para reduzir o impacto de utilizadores intensivos ou de aplicações sensíveis à latência.

Essencial em redes Starlink para priorizar a navegação na web em detrimento de atividades de elevada largura de banda, como a transmissão de vídeo.

First-Party Data

Informação que uma empresa recolhe diretamente dos seus clientes e que possui.

Captado através do processo de início de sessão do captive portal (ex.: endereços de email) e utilizado para campanhas de marketing direto e fidelização.

Exemplos Práticos

Um navio de cruzeiro de 120 cabinas a operar com Starlink Maritime a 220 Mbps necessita de fornecer WiFi aos passageiros sem prejudicar as operações do navio. Precisam de um mecanismo para rentabilizar a ligação e recolher dados de marketing.

O operador implementa pontos de acesso Cisco Meraki por todo o navio com três VLANs estritas: tripulação, passageiros e sistemas do navio. O captive portal da Purple gere a autenticação dos passageiros através de e-mail ou pesquisa pelo número da cabina integrada com o PMS. Cada passageiro recebe um limite diário de 2GB. Os passageiros da classe premium podem adquirir uma atribuição de 10GB. O portal recolhe dados de e-mail em regime de first-party data para marketing pós-viagem.

Comentário do Examinador: Esta abordagem resolve a restrição de largura de banda através de limites diários estritos, gerando simultaneamente receita direta. A segmentação de VLAN garante que o tráfego dos passageiros não compromete os sistemas críticos do navio. A integração com o PMS proporciona uma experiência de início de sessão sem fricções.

Um hotel remoto nas Highlands sem infraestrutura de fibra utiliza Starlink Business a 150 Mbps. Os hóspedes queixam-se frequentemente de velocidades lentas durante a noite, e o hotel não tem visibilidade sobre quem está a utilizar a rede.

O hotel implementa pontos de acesso HPE Aruba no edifício principal e nos anexos. Configuram a antena Starlink em Bypass Mode e ligam-na a um gateway Aruba. Os hóspedes autenticam-se por e-mail no portal da Purple. O hotel aplica um limite estrito de largura de banda de 5 Mbps por dispositivo e utiliza as ferramentas analíticas da Purple para monitorizar as horas de pico de utilização.

Comentário do Examinador: Ao implementar a limitação de largura de banda por dispositivo, o hotel evita que hóspedes individuais monopolizem a ligação de 150 Mbps durante as horas de pico da noite. A autenticação por e-mail recolhe first-party data para futuras campanhas de reserva direta, reduzindo a dependência de OTAs.

Perguntas de Prática

Q1. Um acampamento mineiro remoto implementou o Starlink Business. Ligaram uma firewall Cisco Meraki MX ao router Starlink. Os convidados conseguem ligar-se ao WiFi, mas a página do captive portal expira e não carrega. Qual é a causa mais provável?

Dica: Considere como o hardware Starlink lida com o encaminhamento por predefinição e o que a firewall Meraki necessita para gerir o tráfego de forma eficaz.

Ver resposta modelo

O prato Starlink não foi colocado em Bypass Mode. Como resultado, a rede está a sofrer de duplo NAT (o router Starlink e a firewall Meraki estão ambos a tentar realizar Network Address Translation). O administrador deve utilizar a aplicação Starlink para ativar o Bypass Mode, permitindo que a firewall Meraki receba o IP CGNAT diretamente e gira o encaminhamento e a interseção do captive portal.

Q2. Está a implementar um captive portal para um hotel utilizando o Starlink. Configurou o Bypass Mode e a segmentação de VLAN. Durante os testes, nota que os dispositivos Apple solicitam ao utilizador que inicie sessão imediatamente, mas alguns dispositivos Android mostram um erro de certificado quando o utilizador tenta navegar para um website seguro antes de se autenticar. Como resolve isto?

Dica: Pense em como os navegadores modernos lidam com os pedidos de ligação iniciais e o que o router deve fazer para os intercetar de forma limpa.

Ver resposta modelo

O router empresarial não está configurado para lidar corretamente com a interseção de HTTPS para o redirecionamento do captive portal. Os navegadores modernos utilizam HTTPS por predefinição. Quando o utilizador tenta aceder a um site HTTPS antes de se autenticar, o router interceta o tráfego e apresenta o seu próprio certificado, que o navegador rejeita como inválido. Deve garantir que as definições de captive portal do router estão configuradas para utilizar um certificado SSL válido para o redirecionamento, ou depender das sondas de rede ao nível do SO (como o CNA da Apple) que utilizam endpoints HTTP para acionar o portal automaticamente.

Q3. Um operador marítimo queixa-se de que a sua ligação Starlink Maritime (220 Mbps) se torna inutilizável todas as noites. Atualmente, disponibiliza uma rede de convidados aberta e sem palavra-passe. Que três configurações específicas deve implementar no router empresarial e no captive portal para resolver esta questão?

Dica: Foque-se em controlar a quantidade de dados que os utilizadores individuais podem consumir e em priorizar tipos de tráfego críticos.

Ver resposta modelo
  1. Implementar um captive portal que exija autenticação para monitorizar e gerir os utilizadores individuais. 2. Impor limites de largura de banda por dispositivo (ex.: 5 Mbps de download / 2 Mbps de upload) para evitar que um único utilizador monopolize a ligação. 3. Aplicar regras de modelação de tráfego (traffic shaping) na firewall para priorizar a navegação na Web e os protocolos de mensagens, limitando ou bloqueando aplicações de elevada largura de banda, como streaming de vídeo e partilha de ficheiros P2P.