如何在 Starlink 上设置 Captive Portal：远程与海洋场所指南

以自信、权威且口语化的语气进行演讲——就像高级顾问向客户做简报一样。节奏沉稳，发音清晰，温和而专业。无口头禅。偶尔进行简短停顿以示强调： 欢迎收听 Purple 技术简报。我将带您了解在 Starlink 上设置 Captive Portal 所需的一切知识——特别是针对远程场所、海洋运营商以及任何在无法使用光纤的情况下运行宾客 WiFi 的人。 [medium pause] 让我们从问题开始。Starlink 确实改变了那些以前受困于缓慢、昂贵的卫星链路或不稳定 4G 的场所的连接现状。邮轮、偏远的高地酒店、建筑工地的福利设施、野外节日现场——所有这些现在都可以通过一个大号比萨大小的天线获得 100 到 220 Mbps 的网速。这非常了不起。但问题是：原始连接只是工作的一半。一旦您将该连接提供给宾客、乘客或船员，您就需要身份验证、访问控制、符合 GDPR 的同意管理以及带宽管理。Starlink 开箱即用并不提供这些功能。 这就是 Captive Portal 发挥作用的地方。这也是我们今天要做的事情。 [medium pause] 第一部分：了解 Starlink 网络限制。 在您接触路由器之前，您需要了解 Starlink 在 WAN 接口上实际为您提供了什么。标准的 Starlink 天线连接到一个处理 DHCP 和 NAT 的专用路由器。默认情况下，您处于运营商级 NAT（工程师称之为 CGNAT）之后。这意味着您的 WAN IP 地址在 100.64 到 100.127 范围内。它不是公网 IP。您无法接收来自互联网的入站连接。这对于 Captive Portal 架构至关重要。 解决方法是 Bypass Mode（旁路模式）——有时也称为桥接模式。您可以在 Starlink 应用程序的“设置”下启用此功能，然后切换 "Bypass Starlink WiFi router"。启用后，Starlink 天线会将 CGNAT 地址直接传递给企业路由器的 WAN 端口。Starlink 路由器停止执行 DHCP 和 NAT。您的路由器接管工作。您仍然处于 CGNAT 之后，但现在您对路由层拥有完全的控制权。 关键的一点：如果 Starlink 天线由于任何原因恢复出厂设置，Bypass Mode 将被禁用。您需要重新启用它。请将此写入您的现场操作手册中。 [medium pause] 现在，Starlink 提供了三种与场所运营商相关的方案层级。Standard（标准版）提供高达 100 Mbps 的下行速度、尽力而为的优先级，且没有静态 IP 选项。Business（商业版）提供高达 220 Mbps 的速度、优先数据分配和静态 IP 附加组件。Maritime（海洋版）提供相同的速度并支持全球便携性——如果船舶在不同海域之间移动，这一点至关重要。对于任何多用户场所，我建议至少选择 Business 或 Maritime。Standard 上的尽力而为数据意味着，只要卫星小区拥堵，您的宾客就会被降低优先级。 [medium pause] 第二部分：架构堆栈。 这是您正在构建的四层堆栈。 第一层是处于 Bypass Mode 的 Starlink 上行链路。第二层是您的企业路由器或防火墙——Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Fortinet——其中任何一个都可以。第三层是交换机或接入点级别的 VLAN 隔离。第四层是云端 Captive Portal，负责处理身份验证、同意管理和分析。 让我花点时间讨论一下 VLAN 隔离，因为这是不可妥协的。您至少需要三个 VLAN。VLAN 10 用于员工——承载您的 POS系统、后台办公应用程序和管理流量。VLAN 20 用于宾客——这是仅限互联网访问的细分网络，会引导至 Captive Portal。VLAN 30 用于 IoT——摄像头、智能温控器、楼宇管理系统。这三个网络绝对不能互相通信。应在防火墙处阻止 VLAN 间路由。VLAN 20 上的宾客绝不能访问 VLAN 10 上的 POS 终端。这不仅是最佳实践——如果您在相同的物理基础设施上处理刷卡支付，这也是 PCI DSS 的硬性要求。 [medium pause] Captive Portal 本身位于云端。当宾客连接到您的宾客 SSID 并打开浏览器时，路由器会拦截 HTTP 请求并将其重定向到门户登录页面。宾客通过电子邮件、社交登录或凭证代码进行身份验证，接受您的服务条款，然后门户通知路由器授予该 MAC 地址互联网访问权限。在移动设备上，整个流程应在 10 秒内完成。 通过 Purple，该云端门户可直接与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 集成。您只需配置一次 RADIUS 或 API 集成，Purple 就会处理身份验证握手。无需本地身份验证服务器。这对于无法运行本地 RADIUS 服务器的远程场所至关重要。 [medium pause] 第三部分：CGNAT 问题及其解决方法。 这是让大多数 IT 团队措手不及的挑战。标准的 Captive Portal 架构假设云端门户可以访问您的内部网络。而在 CGNAT 下，这是不可能的。入站连接会被阻止。 解决方案是反向隧道。您的路由器建立到云端门户的出站连接并保持持久开启。所有身份验证流量都通过该隧道传输。云端永远不需要发起入站连接。Purple 的云端覆盖架构原生处理此问题——您无需手动配置 WireGuard 或 OpenVPN，尽管如果您运行自己的基础设施，这两者都是可行的替代方案。 如果您确实需要静态 IP——例如，如果您在现场运行 RADIUS 服务器或需要一致的 IP 白名单——Starlink Business 和 Maritime 提供静态 IP 附加组件。在录制本文时，该服务在大多数地区均可用。请查看 Starlink 当前的方案页面以了解您的具体地区。 [medium pause] 第四部分：GDPR 和数据合规性。 这往往是远程和海洋场所容易忽视的地方。即使您的场所位于国际水域的船只上或偏远地区，如果您向欧盟居民收集数据，也无法免除 GDPR 的约束。如果您在脱欧后的英国水域运营，英国 GDPR 同样适用。 您的 Captive Portal 必须提供一个特定的、未勾选的营销传播同意复选框。它必须明确说明您正在收集什么数据、原因以及保留时间。服务条款必须在宾客进行身份验证之前可供访问。并且您必须能够根据要求证明特定个人在特定日期和时间给予了同意。 Purple 已通过 ISO 27001 认证，符合 GDPR、CCPA 并获得 Cyber Essentials 认证。每次登录事件都会记录时间戳、IP 地址和同意记录。如果监管机构提出质疑，该审计追踪将为您提供保护。 [medium pause] 第五部分：带宽管理。 在 Starlink 上，带宽是您最受限的资源。单个乘客播放 4K 视频可能会持续消耗 25 Mbps。在一艘拥有 50 名乘客且连接速度为 220 Mbps 的船只上，这意味着一个人就占用了总容量的 11%。 您可以在 Captive Portal 和路由器级别解决此问题。设置单设备带宽上限——例如，每个宾客设备下行 5 Mbps，上行 2 Mbps。实施超出每日数据额度后进行限速的公平使用政策。使用流量整形来优先处理网页浏览和即时通讯，而不是视频流。并考虑分层访问：基础连接免费，视频流使用付费尊享版。这可以将您的 WiFi 从成本支出转变为收入来源。 [medium pause] 现在让我为您提供两个真实世界的场景。 场景一：一艘拥有 120 间客舱的邮轮。运营商运行着 220 Mbps 的 Starlink Maritime。他们在整艘船上部署了 Cisco Meraki 接入点，并划分了三个 VLAN——船员、乘客和船舶系统。Purple 的 Captive Portal 通过电子邮件或与 PMS 集成的客舱号查询来处理乘客身份验证。每位乘客每天可获得 2GB 的额度。尊享级乘客可获得 10GB。该门户收集第一手电子邮件数据，用于航行后的营销。结果：WiFi 收入覆盖了 Starlink 订阅成本，且运营商拥有了一个不断增长的直接营销名单。 场景二：一家没有光纤的偏远高地酒店。他们运行着平均 150 Mbps 的 Starlink Business。HPE Aruba 接入点覆盖了主楼和三栋配楼。宾客通过电子邮件在 Purple 的门户上进行身份验证。酒店使用 Purple 的分析功能来了解高峰使用时间，并相应地调整带宽策略。根据他们自己的运营数据，与之前的 4G 绑定方案相比，他们将宾客的 WiFi 投诉减少了 60%。 [medium pause] 常见陷阱。让我为您梳理一下我最常遇到的五个陷阱。 第一：在天线重置后忘记重新启用 Bypass Mode。请在您的操作手册中记录这一点，并在路由器的 WAN 接口上设置监控告警。 第二：未阻止 VLAN 间路由。我审查过的每一个发生过安全事件的部署都存在此项配置错误。请仔细检查两次。 第三：在宾客使用 HTTPS 优先浏览器的网络上，对 Captive Portal 使用 HTTP 重定向。现代浏览器默认使用 HTTPS。您的路由器需要正确处理 HTTPS 拦截，否则宾客在到达门户之前会看到证书错误。Purple 的门户可以处理此问题，但您的路由器配置必须正确。 第四：未分别在 iOS 和 Android 上进行测试。Apple 的 Captive Network Assistant 和 Android 的网络探测行为不同。在上线前对两者都进行测试。 第五：忽视延迟。Starlink 的 LEO 星座提供 20 到 40 毫秒的延迟——远优于传统的地球静止轨道卫星。但在卫星切换期间，您可能会看到短暂的峰值。您的 Captive Portal 超时设置需要考虑到这一点。将会话保持（keepalive）间隔设置为 60 秒或更短。 [medium pause] 快速问答。 在 Starlink 上使用 Captive Portal 需要静态 IP 吗？如果您的门户使用带有反向隧道的云端托管架构，则不需要。如果您运行本地 RADIUS，则需要。 我可以在 Starlink 上运行多个 SSID 吗？可以——您的企业接入点负责处理 SSID 的创建。处于 Bypass Mode 的 Starlink 仅提供上行链路。您可以运行接入点支持的任意数量的 SSID。 Purple 是否开箱即用支持 Starlink？是的。您在 Starlink 天线上配置 Bypass Mode，连接支持的接入点，并将 RADIUS 或 API 集成指向 Purple 的云端。门户将在一个小时内上线。 如果 Starlink 连接中断会发生什么？Purple 的门户会在路由器上本地缓存活动会话，缓存时间可配置——通常为 24 小时。已通过身份验证的宾客将保持在线。新的身份验证将排队，直到连接恢复。 [medium pause] 总结一下。Starlink 为您提供管道。处于 Bypass Mode 的企业路由器让您控制路由层。VLAN 隔离将您的宾客、员工和 IoT 流量隔离开来。云端 Captive Portal（在本例中为 Purple）处理身份验证、GDPR 同意、带宽策略和第一手数据收集。CGNAT 限制是通过反向隧道架构解决的，而不是通过静态 IP。门户级别的带宽管理是保持您的 Starlink 连接对每个人都可用的关键。 如果您正在为您的场所评估此方案，下一步是检查您运行的是哪种接入点硬件——Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 或 Fortinet——并确认该平台的 Purple 集成文档。您可以在 purple.ai 找到完整的技术指南，Purple 团队可以引导您完成针对您特定站点的概念验证配置。 感谢收听。我们下期简报再见。