跳至主要内容

如何在 Starlink 上设置 Captive Portal:偏远和海上场所指南

本指南详细介绍了如何绕过 Starlink 原生硬件,并使用企业级路由设备集成云端托管的 Captive Portal。您将了解如何克服 CGNAT 限制、强制执行 VLAN 隔离、管理卫星带宽约束并确保合规性。

📖 5 分钟阅读📝 1,227 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
请以自信、权威且具有亲和力的英式英语进行演讲 - 就像一位资深顾问在向客户做简报。节奏沉稳、吐字清晰、温和而专业。无口头禅。适当进行短暂顿挫以示强调: 欢迎来到 Purple 技术简报。我将带您了解在 Starlink 上设置 Captive Portal 所需的一切知识 - 特别是针对远程场馆、海事运营商以及任何在光纤无法触及的地区运行宾客 WiFi 的用户。 [中顿] 让我们先从问题开始。对于以前受困于缓慢、昂贵的卫星连接或不稳定的 4G 网络场馆来说,Starlink 真正改变了其网络连接格局。一艘邮轮、一家偏远的高地酒店、一个建筑工地的福利区、一个农田里的节日活动现场 - 所有这些现在都可以通过一个大号披萨饼大小的天线接收器获得 100 到 220 Mbps 的网速。这非常了不起。但问题在于:单纯的连接只是工作的一半。一旦您将该连接提供给宾客、乘客或机组人员,您就需要身份验证、访问控制、符合 GDPR 的授权同意以及带宽管理。Starlink 开箱并不提供这些功能。 这就是 Captive Portal 派上用场的地方。这也是我们今天要做的事情。 [中顿] 第一部分:了解 Starlink 网络限制。 在您接触路由器之前,您需要了解 Starlink 在 WAN 接口上实际为您提供了什么。标准的 Starlink 天线接收器连接到处理 DHCP 和 NAT 的专有路由器。默认情况下,您处于运营商级 NAT(工程师称之为 CGNAT)之后。这意味着您的 WAN IP 地址在 100.64 到 100.127 范围内。它不是公网 IP。您无法接收来自互联网的入站连接。这对于 Captive Portal 架构来说至关重要。 解决方法是旁路模式 - 有时也称为桥接模式。您可以在 Starlink 应用程序的“设置”下启用此功能,然后切换“旁路 Starlink WiFi 路由器”。启用后,Starlink 天线接收器会将 CGNAT 地址直接传递给您的企业级路由器的 WAN 端口。Starlink 路由器停止执行 DHCP 和 NAT。您的路由器将接管。您仍然处于 CGNAT 之后,但现在您可以完全控制路由层。 一个关键点:如果 Starlink 天线接收器因任何原因恢复出厂设置,旁路模式将被禁用。您需要重新启用它。请将此步骤写入您的现场操作指南中。 [中顿] 现在,Starlink 提供了三种与场馆运营商相关的方案级别。标准版(Standard)提供最高 100 Mbps 的下载速度、尽力而为(best-effort)的优先级,且无静态 IP 选项。商业版(Business)提供最高 220 Mbps 的网速、优先数据分配以及静态 IP 附加服务。海事版(Maritime)为您提供相同的速度,并具有全球便携性 - 这在船只跨洋区移动时至关重要。对于任何多用户场馆,我建议至少选择商业版或海事版。标准版上的尽力而为数据意味着,一旦卫星小区拥堵,您的宾客的优先级就会降低。 [中顿] 第二部分:架构堆栈。 以下是您要构建的四层堆栈。 第一层是旁路模式下的 Starlink 上行链路。第二层是您的企业级路由器或防火墙 - Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Fortinet - 任何这些都可以。第三层是交换机或接入点级别的 VLAN 隔离。第四层是云端 Captive Portal,负责处理身份验证、同意书和分析。 让我花点时间专门讲一下 VLAN 隔离,因为这是不容妥协的。您至少需要三个 VLAN。用于员工的 VLAN 10 - 承载您的 POS 系统、后台办公应用程序和管理流量。用于访客的 VLAN 20 - 这是仅连接互联网并到达 Captive Portal 的隔离网段。用于物联网的 VLAN 30 - 摄像头、智能温控器、楼宇管理系统。这三个网络之间绝不能相互通信。应在防火墙处阻止跨 VLAN 路由。VLAN 20 上的访客绝不能访问 VLAN 10 上的 POS 终端。这不仅是最佳实践 - 如果您在相同的物理基础设施上处理卡片支付,这也是 PCI-DSS 的硬性要求。 [中顿] Captive Portal 本身驻留在云端。当访客连接到您的访客 SSID 并打开浏览器时,路由器会拦截 HTTP 请求并将其重定向到门户登录页面。访客通过电子邮件、社交登录或凭证代码进行身份验证,接受您的服务条款,随后门户会向路由器发送信号,授予该 MAC 地址互联网访问权限。在移动设备上,整个流程应在 10 秒内完成。 通过 Purple,该云端门户可与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 直接集成。您只需配置一次 RADIUS 或 API 集成,Purple 就会处理身份验证握手。无需本地身份验证服务器。这对于无法运行本地 RADIUS 服务器的远程场馆至关重要。 [中顿] 第三部分:CGNAT 问题及如何解决。 这是大多数 IT 团队都会遇到的挑战。标准的 Captive Portal 架构假设云端门户可以访问回您的网络。而使用 CGNAT,这是不可能的。入站连接会被阻止。 解决方案是建立反向隧道。您的路由器与云端门户建立出站连接并保持持久开启。所有身份验证流量都通过该隧道传输。云端永远不需要发起入站连接。Purple 的云端覆盖架构原生支持此功能 - 您无需手动配置 WireGuard 或 OpenVPN,尽管如果您运行自己的基础设施,这两者都是可行的替代方案。 如果您确实需要静态 IP - 例如,如果您在现场运行 RADIUS 服务器或需要一致的 IP 白名单 - Starlink Business 和 Maritime 将提供静态 IP 作为附加组件。在录制本文时,该服务在大多数地区都可用。请查看 Starlink 当前的计划页面以了解您所在特定地区的情况。 [medium pause] 第四部分:GDPR 和数据合规性。 这往往是远程和海上场所容易疏忽的地方。事实上,即使您的场所位于国际水域的船只上或在偏远地区,如果您从欧盟居民那里收集数据,您也无法免除 GDPR 的约束。而且,如果您在脱欧后的英国水域内运营,则适用 UK GDPR。 您的 Captive Portal 必须为营销传播提供一个特定的、未勾选的同意复选框。它必须清楚地说明您正在收集什么数据、原因以及您将保留这些数据多长时间。服务条款必须在访客进行身份验证之前即可访问。并且您必须能够根据要求证明特定个人在特定日期和时间给予了同意。 Purple 已通过 ISO 27001 认证、符合 GDPR、符合 CCPA 并通过了 Cyber Essentials 认证。每次登录事件都会记录时间戳、IP 地址和同意记录。如果监管机构提出疑问,该审计跟踪就是保护您的利器。 [medium pause] 第五部分:带宽管理。 在 Starlink 上,带宽是您最受限的资源。单个乘客播放 4K 视频可能会持续消耗每秒 25 兆比特。在拥有 50 名乘客和 220 兆连接的船只上,这意味着单个人就占用了总容量的 11%。 您可以在 Captive Portal 和路由器级别解决此问题。设置每个设备的带宽上限 - 例如,每个访客设备下行 5 兆比特,上行 2 兆比特。实施在达到每日数据配额后进行限速的公平使用策略。使用流量整形来优先处理网页浏览和即时消息,而不是视频流。并考虑分层接入:免费层用于基本连接,付费高级层用于视频流。这可以将您的 WiFi 从成本项目转化为收入流。 [medium pause] 现在让我为您提供两个真实场景。 场景一:一艘拥有 120 个舱位的邮轮。运营商运行 220 兆比特的 Starlink Maritime。他们在整艘船上部署了 Cisco Meraki 接入点,并划分了三个 VLAN - 船员、乘客和船舶系统。Purple 的 Captive Portal 通过与 PMS 集成的电子邮件或舱位号查询来处理乘客身份验证。每位乘客每天可获得 2 GB 的配额。高级层乘客可获得 10 GB。该门户收集第一方电子邮件数据用于航行后的营销。结果:WiFi 收入覆盖了 Starlink 订阅成本,并且运营商拥有一个不断增长的直接营销列表。 场景二:一家没有光纤的偏远高地酒店。他们运行的 Starlink Business 平均带宽为 150 Mbps。HPE Aruba 接入点覆盖了主楼和三栋配楼。宾客通过 Purple 门户上的电子邮件进行身份验证。该酒店利用 Purple 的分析功能来了解高峰使用时间,并相应地调整带宽策略。根据他们自己的运营数据,与之前的 4G 绑定方案相比,他们将宾客 WiFi 投诉减少了 60%。 [medium pause] 常见陷阱。让我梳理一下我最常遇到的五个问题。 第一:在天线重置后忘记重新启用旁路模式。请在操作手册中记录这一点,并在路由器的 WAN 接口上设置监控告警。 第二:未阻止跨 VLAN 路由。在我审查过的所有发生过安全事件的部署中,这一项都配置错误。请仔细检查两次。 第三:在宾客使用 HTTPS 优先浏览器的网络上,对 Captive Portal 使用 HTTP 重定向。现代浏览器默认使用 HTTPS。您的路由器需要正确处理 HTTPS 拦截,否则宾客在到达门户之前会看到证书错误。Purple 门户可以处理此问题,但您的路由器配置必须正确。 第四:没有分别在 iOS 和 Android 上进行测试。Apple 的 Captive Network Assistant 和 Android 的网络探测行为不同。在上线前对两者都进行测试。 第五:忽略延迟。Starlink 的低轨卫星群提供 20 到 40 毫秒的延迟 - 远好于传统的地球同步轨道卫星。但在卫星切换期间,您可能会看到短暂的延迟激增。您的 Captive Portal 超时设置需要考虑到这一点。将会话保持生存(keepalive)间隔设置为 60 秒或更短。 [medium pause] 快速问答。 在 Starlink 上使用 Captive Portal 需要静态 IP 吗?不需要,如果您的门户使用带有反向隧道的云托管架构。需要,如果您正在运行本地 RADIUS。 我可以在 Starlink 上运行多个 SSID 吗?可以 - 您的企业级接入点负责处理 SSID 的创建。处于旁路模式的 Starlink 仅提供上行链路。您可以运行接入点支持的任意数量的 SSID。 Purple 能与 Starlink 开箱即用吗?可以。您在 Starlink 天线上配置旁路模式,连接受支持的接入点,并将 RADIUS 或 API 集成指向 Purple 的云端。门户网站在一小时内即可上线。 如果 Starlink 连接中断会发生什么?Purple 门户会将活动会话在路由器本地缓存一段可配置的时间 - 通常为 24 小时。已通过身份验证的宾客将保持在线状态。新的身份验证将排队,直到连接恢复。 [medium pause] 总而言之。Starlink 为您提供管道。处于旁路模式的企业级路由器让您能够控制路由层。VLAN 细分隔离了您的访客、员工和 IoT 流量。云端 Captive Portal - 在此案例中为 Purple - 处理身份验证、GDPR 同意、带宽策略以及第一方数据收集。CGNAT 限制是通过反向隧道架构解决的,而不是通过静态 IP。Portal 级别的带宽管理则是确保您的 Starlink 连接能够被所有人正常使用的关键。 如果您正在为您的场所评估此方案,下一步是检查您正在运行的主机 AP 硬件 - Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 或 Fortinet - 并确认 Purple 针对该平台的集成文档。您可以在 purple.ai 找到完整的技术指南,Purple 团队也可以引导您完成针对特定站点的概念验证配置。 感谢收听。我们下次简报再见。

header_image.png

执行摘要

Starlink 在光纤无法触及的区域提供高达 220 Mbps 的连接速度,彻底改变了偏远地区和海洋场所的网络格局。然而,对于面向公众的环境而言,仅有连接是远远不够的。当您为访客、乘客或船员部署 Starlink 时,必须实施身份验证、访问控制、符合 GDPR 的同意管理以及带宽控制。原生的 Starlink 路由器并不提供这些功能。

本指南将详细介绍如何旁路原生 Starlink 硬件,并使用企业级路由设备集成云端管理的 Captive Portal。您将了解如何克服运营商级 NAT (CGNAT) 的局限性、实施 VLAN 分段、管理卫星带宽限制,并确保符合法规要求。

通过实施该架构,场所运营商可以将无管理的互联网管道转化为安全、细分的网络,从而捕获第一方数据并保护核心业务基础设施。

技术深度解析

CGNAT 限制

在 Starlink 上部署 Captive Portal 时,首要的技术障碍是运营商级 NAT (CGNAT)。标准的 Starlink 接收器连接到处理 DHCP 和 NAT 的专有路由器。默认情况下,分配给您设备的 WAN IP 地址属于 100.64.0.0/10 范围。由于这不是公网 IP 地址,您的路由器无法接收来自互联网的入站连接。

标准的 Captive Portal 架构通常假设云端门户可以回连到您的网络,以对用户进行身份验证或更新访问控制列表。在 CGNAT 环境下,入站连接将会失败。

要解决此问题,您必须将 Starlink 接收器配置为旁路模式(通常称为桥接模式)。在旁路模式下,Starlink 路由器的功能将被禁用,接收器直接将 CGNAT 地址发送到企业路由器的 WAN 端口。然后,您的企业路由器将接管整个路由层的完全控制权。

architecture_overview.png

反向隧道架构

即使由企业路由器处理流量,CGNAT 的入站限制依然存在。解决方案是采用反向隧道架构。您的路由器建立一条通往云端门户的出站连接并持续维护。所有身份验证流量都通过这条已建立的隧道传输。云端基础设施永远不需要发起入站连接。

Purple 的云覆盖架构原生支持此功能。您无需配置手动 VPN 隧道。如果您的部署需要用于传统本地 RADIUS 服务器的静态 IP 或严格的 IP 允许列表,Starlink 商业和海事计划可提供静态 IP 作为付费附加服务。

带宽限制与流量整形

卫星带宽是一种共享且有限的资源。单个用户流式传输 4K 视频可能会持续消耗 25 Mbps。在 50 名乘客共享 220 Mbps Starlink 连接的船舶上,一个用户就可能消耗总容量的 11%。

您必须通过激进的流量整形在 Captive Portal 和路由器级别解决此问题:

  • 单设备限制: 限制单个访客设备的下载速度为 5 Mbps,上传速度为 2 Mbps。
  • 公平使用政策: 强制执行每日数据限额(例如每 24 小时 2GB)。
  • 应用控制: 优先处理网页浏览和即时通讯协议,而非视频流和对等网络文件共享。
  • 分层准入: 为基础连接提供免费层,为流媒体提供付费高级层,将 WiFi 基础设施从成本中心转变为收入来源。

comparison_chart.png

实施指南

请按照以下步骤,使用企业级硬件在 Starlink 上部署安全的 Captive Portal。

步骤 1:启用旁路模式 (Bypass Mode)

  1. 安装 Starlink 硬件并使用原始路由器验证连接性。
  2. 打开 Starlink 移动应用程序并导航至 Settings(设置)。
  3. 选择并确认 Bypass Starlink WiFi router(旁路 Starlink WiFi 路由器)。
  4. 将 Starlink 以太网适配器连接到您的企业级路由器(Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme 或 Fortinet)的 WAN 端口。

注意:如果 Starlink 天线进行出厂设置重置,旁路模式将自动禁用。请在您的站点运行手册中记录此内容,并在路由器的 WAN 接口上配置监控警报。

步骤 2:配置 VLAN 分段

您必须将访客流量与核心业务系统隔离开来。在核心交换机和接入点上至少配置三个 VLAN:

  • VLAN 10(员工): 承载 POS 系统、后台办公应用和管理流量。
  • VLAN 20(访客): 仅限互联网访问的分段,重定向到 Captive Portal。
  • VLAN 30(IoT): 摄像头、智能温控器和楼宇管理系统的隔离网络。

配置防火墙规则以阻止所有 VLAN 间路由。VLAN 20 上的访客设备绝对不能 ping 通 VLAN 10 上的 POS 终端。这种分段是满足 PCI-DSS 合规性的严格要求。

步骤 3:部署云端 Captive Portal

  1. 配置您的接入点以在 VLAN 20 上广播访客 SSID。
  2. 将认证方法设置为外部 RADIUS 或使用厂商的 API 集成。
  3. 将身份验证服务器指向 Purple 的云基础设施。
  4. 配置围墙花园(白名单),以允许在身份验证完成前将流量传输到 Purple 的域名。
  5. 在 Purple Portal 中设计展示页面,确保品牌形象与您的场所相符,并清晰显示服务条款。

第 4 步:测试用户流程

在 iOS 和 Android 设备上测试身份验证流程。Apple 的 Captive Network Assistant (CNA) 和 Android 的网络探测行为有所不同。请验证展示页面是否在 10 秒内加载完成,以及设备在身份验证后是否立即获得互联网访问权限。

最佳实践

  • HTTPS 拦截: 确保您的路由器正确处理 HTTPS 拦截。现代设备默认使用 HTTPS。如果路由器无法干净地重定向 HTTPS 请求,访客在到达门户之前将遇到证书错误。
  • 会话保持 (Keepalive): Starlink 的近地轨道 (LEO) 星座提供的延迟为 20 到 40 毫秒,但在卫星切换期间会出现短暂的峰值。将您的 Captive Portal 会话保持间隔设置为 60 秒或更短,以防止过早断开连接。
  • 离线缓存: 配置您的路由器在本地缓存活动会话。如果 Starlink 连接暂时中断,已通过身份验证的访客在恢复连接后将保持在线状态,而无需被迫重新登录。

故障排除与风险缓解

故障模式 根本原因 缓解措施
Captive Portal 无法加载 围墙花园配置不正确 验证路由器上的预身份验证允许列表中是否已添加所有必需的 Purple 域名和 CDN 端点。
双重 NAT 错误 旁路模式 (Bypass Mode) 已禁用 检查 Starlink 应用程序以确认旁路模式已启用。电源波动或手动重置可能已将天线恢复为默认设置。
访客网速缓慢 未限制带宽 应用单设备带宽限制(例如 5 Mbps),并在防火墙上阻止 BitTorrent 等高带宽应用。
安全审计失败 跨 VLAN 路由已启用 审计防火墙规则,以确保来自访客 VLAN 的流量无法路由到员工或管理 VLAN。

投资回报率 (ROI) 与业务影响

在 Starlink 上部署托管的 Captive Portal 可以将原始的互联网连接转化为可衡量的业务资产。

对于一艘运行 220 Mbps Starlink Maritime 的 120 舱室邮轮来说,原始访问带来的业务回报为零。通过部署 Cisco Meraki 无线接入点和 Purple 的 Captive Portal,运营商可以对普通乘客强制执行每日 2GB 的额度,同时向上销售 10GB 的尊享套餐。由此产生的 WiFi 收入可以抵消每月 250 美元以上的 Starlink 订阅成本。此外,该门户还可以捕获完全合规的第一方电子邮件数据,从而扩大运营商未来航线的直接营销名单。 在偏远地区的酒店环境中,部署具有严格带宽策略的门户可使宾客对 WiFi 慢的投诉减少高达 60%,因为这能防止重度用户独占卫星链路。

关键定义

Bypass Mode

一种配置设置,可禁用原生 Starlink 路由器的 DHCP 和 NAT 功能,将 WAN IP 直接传递给第三方企业路由器。

将企业级网络设备与 Starlink 接收器集成时需要,以避免双重 NAT 和路由冲突。

CGNAT (Carrier Grade NAT)

一种由 ISP 使用的方法,用于在多个客户之间共享单个公网 IP 地址。客户的路由器会收到一个私网 IP 地址(通常为 100.64.0.0/10)。

Starlink 默认使用 CGNAT,这会阻止来自互联网的入站连接,并需要反向隧道架构进行云端管理。

VLAN (Virtual Local Area Network)

一个逻辑子网,将来自不同物理局域网的一组设备组合在一起。

用于将宾客 WiFi 流量与员工和 IoT 网络隔离,确保安全性和合规性。

Captive Portal

公共访问网络用户在被允许访问之前,必须查看并与其进行交互 marine 页面。

用于强制执行服务条款、收集营销数据并在宾客 WiFi 网络上对用户进行身份验证。

Walled Garden

在用户完全通过身份验证之前,控制其访问网络内容和服务的受限环境。

在授予完全互联网访问权限之前,需要允许宾客设备访问云端 Captive Portal 和身份验证服务器。

RADIUS

一种网络协议,为连接和使用网络服务的用户提供集中的身份验证、授权和计费管理。

企业级接入点用于与云端 Captive Portal 进行通信以验证用户凭据的基础协议。

Traffic Shaping

对网络流量进行操作和优化排序,以减少大流量用户或延迟敏感型应用的影响。

在 Starlink 网络上至关重要,可优先处理网页浏览,而非视频流等高带宽活动。

第一手数据

公司直接从客户那里收集并拥有的信息。

通过 Captive Portal 登录流程收集(例如电子邮件地址),并用于直接营销和忠诚度计划。

应用实例

一艘拥有 120 间客舱、运行 220 Mbps Starlink Maritime 的邮轮需要提供乘客 WiFi,且不能降低船舶运营效率。他们需要一种机制来实现连接变现并收集营销数据。

运营商在整个船只上部署 Cisco Meraki 接入点,并划分了三个严格的 VLAN:船员、乘客和船舶系统。Purple 的 Captive Portal 通过电子邮件或与 PMS 集成的客舱号查询来处理乘客身份验证。每位乘客每天可获得 2GB 的免费额度。高级舱位乘客可以购买 10GB 的配额。该门户收集第一手电子邮件数据,用于航行后的营销。

考官评语: 这种方法通过严格的每日限制解决了带宽限制问题,同时产生了直接收入。VLAN 隔离确保了乘客流量不会危及关键的船舶系统。PMS 集成提供了无缝的登录体验。

一家没有光纤基础设施的偏远高地酒店运行 150 Mbps 的 Starlink Business。宾客经常抱怨晚上的网速慢,且酒店无法获知谁在使用网络。

该酒店在主楼和附属建筑中部署了 HPE Aruba 接入点。他们将 Starlink 接收器配置为 Bypass Mode,并将其连接到 Aruba 网关。宾客在 Purple 门户上通过电子邮件进行身份验证。酒店对每台设备强制执行 5 Mbps 的严格带宽上限,并使用 Purple 的分析功能来监控高峰使用时间。

考官评语: 通过实施单设备限速,酒店防止了个人宾客在夜间高峰时段独占 150 Mbps 链路。电子邮件身份验证捕获了第一手数据,用于未来的直接预订活动,从而减少了对 OTA 的依赖。

练习题

Q1. 一个偏远的矿区营地部署了 Starlink Business。他们将 Cisco Meraki MX 防火墙连接到了 Starlink 路由器。访客可以连接到 WiFi,但 Captive Portal 页面超时并加载失败。最可能的原因是什么?

提示:考虑 Starlink 硬件默认如何处理路由,以及 Meraki 防火墙需要什么来有效管理流量。

查看标准答案

Starlink 天线未设置为 Bypass Mode。因此,网络正面临双重 NAT 的问题(Starlink 路由器和 Meraki 防火墙都在尝试进行网络地址转换)。管理员必须使用 Starlink 应用程序启用 Bypass Mode,以允许 Meraki 防火墙直接接收 CGNAT IP 并管理路由和 Captive Portal 拦截。

Q2. 您正在使用 Starlink 为一家酒店部署 Captive Portal。您已配置了 Bypass Mode 和 VLAN 隔离。在测试过程中,您注意到 Apple 设备会立即提示用户登录,但某些 Android 设备在用户尝试在认证前浏览安全网站时会显示证书错误。您该如何解决这个问题?

提示:思考现代浏览器如何处理初始连接请求,以及路由器必须如何处理才能干净地拦截它们。

查看标准答案

企业路由器未正确配置以处理 Captive Portal 重定向的 HTTPS 拦截。现代浏览器默认使用 HTTPS。当用户尝试在认证前访问 HTTPS 网站时,路由器会拦截流量并呈示自己的证书,浏览器会将其拒绝为无效证书。您必须确保路由器的 Captive Portal 设置配置为使用有效的 SSL 证书进行重定向,或者依赖 OS 级别的网络探测(如 Apple 的 CNA),这些探测使用 HTTP 端点来自动触发门户。

Q3. 一家海事运营商抱怨他们的 Starlink Maritime 连接(220 Mbps)每天晚上都会变得无法使用。他们目前提供一个开放且无需密码的访客网络。您应该在企业路由器和 Captive Portal 上实施哪三种具体配置来解决这个问题?

提示:重点在于控制单个用户可以消耗的数据量,并优先处理关键流量类型。

查看标准答案
  1. 实施需要认证的 Captive Portal,以跟踪和管理个人用户。2. 强制执行每个设备的带宽限制(例如,下行 5 Mbps / 上行 2 Mbps),以防止单个用户垄断连接。3. 在防火墙上应用流量整形规则,优先处理网页浏览和即时通讯协议,同时限制或阻止视频流媒体和 P2P 文件共享等高带宽应用。