如何在 Starlink 上设置 Captive Portal:偏远和海上场所指南
本指南详细介绍了如何绕过 Starlink 原生硬件,并使用企业级路由设备集成云端托管的 Captive Portal。您将了解如何克服 CGNAT 限制、强制执行 VLAN 隔离、管理卫星带宽约束并确保合规性。
收听本指南
查看播客转录

执行摘要
Starlink 在光纤无法触及的区域提供高达 220 Mbps 的连接速度,彻底改变了偏远地区和海洋场所的网络格局。然而,对于面向公众的环境而言,仅有连接是远远不够的。当您为访客、乘客或船员部署 Starlink 时,必须实施身份验证、访问控制、符合 GDPR 的同意管理以及带宽控制。原生的 Starlink 路由器并不提供这些功能。
本指南将详细介绍如何旁路原生 Starlink 硬件,并使用企业级路由设备集成云端管理的 Captive Portal。您将了解如何克服运营商级 NAT (CGNAT) 的局限性、实施 VLAN 分段、管理卫星带宽限制,并确保符合法规要求。
通过实施该架构,场所运营商可以将无管理的互联网管道转化为安全、细分的网络,从而捕获第一方数据并保护核心业务基础设施。
技术深度解析
CGNAT 限制
在 Starlink 上部署 Captive Portal 时,首要的技术障碍是运营商级 NAT (CGNAT)。标准的 Starlink 接收器连接到处理 DHCP 和 NAT 的专有路由器。默认情况下,分配给您设备的 WAN IP 地址属于 100.64.0.0/10 范围。由于这不是公网 IP 地址,您的路由器无法接收来自互联网的入站连接。
标准的 Captive Portal 架构通常假设云端门户可以回连到您的网络,以对用户进行身份验证或更新访问控制列表。在 CGNAT 环境下,入站连接将会失败。
要解决此问题,您必须将 Starlink 接收器配置为旁路模式(通常称为桥接模式)。在旁路模式下,Starlink 路由器的功能将被禁用,接收器直接将 CGNAT 地址发送到企业路由器的 WAN 端口。然后,您的企业路由器将接管整个路由层的完全控制权。

反向隧道架构
即使由企业路由器处理流量,CGNAT 的入站限制依然存在。解决方案是采用反向隧道架构。您的路由器建立一条通往云端门户的出站连接并持续维护。所有身份验证流量都通过这条已建立的隧道传输。云端基础设施永远不需要发起入站连接。
Purple 的云覆盖架构原生支持此功能。您无需配置手动 VPN 隧道。如果您的部署需要用于传统本地 RADIUS 服务器的静态 IP 或严格的 IP 允许列表,Starlink 商业和海事计划可提供静态 IP 作为付费附加服务。
带宽限制与流量整形
卫星带宽是一种共享且有限的资源。单个用户流式传输 4K 视频可能会持续消耗 25 Mbps。在 50 名乘客共享 220 Mbps Starlink 连接的船舶上,一个用户就可能消耗总容量的 11%。
您必须通过激进的流量整形在 Captive Portal 和路由器级别解决此问题:
- 单设备限制: 限制单个访客设备的下载速度为 5 Mbps,上传速度为 2 Mbps。
- 公平使用政策: 强制执行每日数据限额(例如每 24 小时 2GB)。
- 应用控制: 优先处理网页浏览和即时通讯协议,而非视频流和对等网络文件共享。
- 分层准入: 为基础连接提供免费层,为流媒体提供付费高级层,将 WiFi 基础设施从成本中心转变为收入来源。

实施指南
请按照以下步骤,使用企业级硬件在 Starlink 上部署安全的 Captive Portal。
步骤 1:启用旁路模式 (Bypass Mode)
- 安装 Starlink 硬件并使用原始路由器验证连接性。
- 打开 Starlink 移动应用程序并导航至 Settings(设置)。
- 选择并确认 Bypass Starlink WiFi router(旁路 Starlink WiFi 路由器)。
- 将 Starlink 以太网适配器连接到您的企业级路由器(Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme 或 Fortinet)的 WAN 端口。
注意:如果 Starlink 天线进行出厂设置重置,旁路模式将自动禁用。请在您的站点运行手册中记录此内容,并在路由器的 WAN 接口上配置监控警报。
步骤 2:配置 VLAN 分段
您必须将访客流量与核心业务系统隔离开来。在核心交换机和接入点上至少配置三个 VLAN:
- VLAN 10(员工): 承载 POS 系统、后台办公应用和管理流量。
- VLAN 20(访客): 仅限互联网访问的分段,重定向到 Captive Portal。
- VLAN 30(IoT): 摄像头、智能温控器和楼宇管理系统的隔离网络。
配置防火墙规则以阻止所有 VLAN 间路由。VLAN 20 上的访客设备绝对不能 ping 通 VLAN 10 上的 POS 终端。这种分段是满足 PCI-DSS 合规性的严格要求。
步骤 3:部署云端 Captive Portal
- 配置您的接入点以在 VLAN 20 上广播访客 SSID。
- 将认证方法设置为外部 RADIUS 或使用厂商的 API 集成。
- 将身份验证服务器指向 Purple 的云基础设施。
- 配置围墙花园(白名单),以允许在身份验证完成前将流量传输到 Purple 的域名。
- 在 Purple Portal 中设计展示页面,确保品牌形象与您的场所相符,并清晰显示服务条款。
第 4 步:测试用户流程
在 iOS 和 Android 设备上测试身份验证流程。Apple 的 Captive Network Assistant (CNA) 和 Android 的网络探测行为有所不同。请验证展示页面是否在 10 秒内加载完成,以及设备在身份验证后是否立即获得互联网访问权限。
最佳实践
- HTTPS 拦截: 确保您的路由器正确处理 HTTPS 拦截。现代设备默认使用 HTTPS。如果路由器无法干净地重定向 HTTPS 请求,访客在到达门户之前将遇到证书错误。
- 会话保持 (Keepalive): Starlink 的近地轨道 (LEO) 星座提供的延迟为 20 到 40 毫秒,但在卫星切换期间会出现短暂的峰值。将您的 Captive Portal 会话保持间隔设置为 60 秒或更短,以防止过早断开连接。
- 离线缓存: 配置您的路由器在本地缓存活动会话。如果 Starlink 连接暂时中断,已通过身份验证的访客在恢复连接后将保持在线状态,而无需被迫重新登录。
故障排除与风险缓解
| 故障模式 | 根本原因 | 缓解措施 |
|---|---|---|
| Captive Portal 无法加载 | 围墙花园配置不正确 | 验证路由器上的预身份验证允许列表中是否已添加所有必需的 Purple 域名和 CDN 端点。 |
| 双重 NAT 错误 | 旁路模式 (Bypass Mode) 已禁用 | 检查 Starlink 应用程序以确认旁路模式已启用。电源波动或手动重置可能已将天线恢复为默认设置。 |
| 访客网速缓慢 | 未限制带宽 | 应用单设备带宽限制(例如 5 Mbps),并在防火墙上阻止 BitTorrent 等高带宽应用。 |
| 安全审计失败 | 跨 VLAN 路由已启用 | 审计防火墙规则,以确保来自访客 VLAN 的流量无法路由到员工或管理 VLAN。 |
投资回报率 (ROI) 与业务影响
在 Starlink 上部署托管的 Captive Portal 可以将原始的互联网连接转化为可衡量的业务资产。
对于一艘运行 220 Mbps Starlink Maritime 的 120 舱室邮轮来说,原始访问带来的业务回报为零。通过部署 Cisco Meraki 无线接入点和 Purple 的 Captive Portal,运营商可以对普通乘客强制执行每日 2GB 的额度,同时向上销售 10GB 的尊享套餐。由此产生的 WiFi 收入可以抵消每月 250 美元以上的 Starlink 订阅成本。此外,该门户还可以捕获完全合规的第一方电子邮件数据,从而扩大运营商未来航线的直接营销名单。 在偏远地区的酒店环境中,部署具有严格带宽策略的门户可使宾客对 WiFi 慢的投诉减少高达 60%,因为这能防止重度用户独占卫星链路。
关键定义
Bypass Mode
一种配置设置,可禁用原生 Starlink 路由器的 DHCP 和 NAT 功能,将 WAN IP 直接传递给第三方企业路由器。
将企业级网络设备与 Starlink 接收器集成时需要,以避免双重 NAT 和路由冲突。
CGNAT (Carrier Grade NAT)
一种由 ISP 使用的方法,用于在多个客户之间共享单个公网 IP 地址。客户的路由器会收到一个私网 IP 地址(通常为 100.64.0.0/10)。
Starlink 默认使用 CGNAT,这会阻止来自互联网的入站连接,并需要反向隧道架构进行云端管理。
VLAN (Virtual Local Area Network)
一个逻辑子网,将来自不同物理局域网的一组设备组合在一起。
用于将宾客 WiFi 流量与员工和 IoT 网络隔离,确保安全性和合规性。
Captive Portal
公共访问网络用户在被允许访问之前,必须查看并与其进行交互 marine 页面。
用于强制执行服务条款、收集营销数据并在宾客 WiFi 网络上对用户进行身份验证。
Walled Garden
在用户完全通过身份验证之前,控制其访问网络内容和服务的受限环境。
在授予完全互联网访问权限之前,需要允许宾客设备访问云端 Captive Portal 和身份验证服务器。
RADIUS
一种网络协议,为连接和使用网络服务的用户提供集中的身份验证、授权和计费管理。
企业级接入点用于与云端 Captive Portal 进行通信以验证用户凭据的基础协议。
Traffic Shaping
对网络流量进行操作和优化排序,以减少大流量用户或延迟敏感型应用的影响。
在 Starlink 网络上至关重要,可优先处理网页浏览,而非视频流等高带宽活动。
第一手数据
公司直接从客户那里收集并拥有的信息。
通过 Captive Portal 登录流程收集(例如电子邮件地址),并用于直接营销和忠诚度计划。
应用实例
一艘拥有 120 间客舱、运行 220 Mbps Starlink Maritime 的邮轮需要提供乘客 WiFi,且不能降低船舶运营效率。他们需要一种机制来实现连接变现并收集营销数据。
运营商在整个船只上部署 Cisco Meraki 接入点,并划分了三个严格的 VLAN:船员、乘客和船舶系统。Purple 的 Captive Portal 通过电子邮件或与 PMS 集成的客舱号查询来处理乘客身份验证。每位乘客每天可获得 2GB 的免费额度。高级舱位乘客可以购买 10GB 的配额。该门户收集第一手电子邮件数据,用于航行后的营销。
一家没有光纤基础设施的偏远高地酒店运行 150 Mbps 的 Starlink Business。宾客经常抱怨晚上的网速慢,且酒店无法获知谁在使用网络。
该酒店在主楼和附属建筑中部署了 HPE Aruba 接入点。他们将 Starlink 接收器配置为 Bypass Mode,并将其连接到 Aruba 网关。宾客在 Purple 门户上通过电子邮件进行身份验证。酒店对每台设备强制执行 5 Mbps 的严格带宽上限,并使用 Purple 的分析功能来监控高峰使用时间。
练习题
Q1. 一个偏远的矿区营地部署了 Starlink Business。他们将 Cisco Meraki MX 防火墙连接到了 Starlink 路由器。访客可以连接到 WiFi,但 Captive Portal 页面超时并加载失败。最可能的原因是什么?
提示:考虑 Starlink 硬件默认如何处理路由,以及 Meraki 防火墙需要什么来有效管理流量。
查看标准答案
Starlink 天线未设置为 Bypass Mode。因此,网络正面临双重 NAT 的问题(Starlink 路由器和 Meraki 防火墙都在尝试进行网络地址转换)。管理员必须使用 Starlink 应用程序启用 Bypass Mode,以允许 Meraki 防火墙直接接收 CGNAT IP 并管理路由和 Captive Portal 拦截。
Q2. 您正在使用 Starlink 为一家酒店部署 Captive Portal。您已配置了 Bypass Mode 和 VLAN 隔离。在测试过程中,您注意到 Apple 设备会立即提示用户登录,但某些 Android 设备在用户尝试在认证前浏览安全网站时会显示证书错误。您该如何解决这个问题?
提示:思考现代浏览器如何处理初始连接请求,以及路由器必须如何处理才能干净地拦截它们。
查看标准答案
企业路由器未正确配置以处理 Captive Portal 重定向的 HTTPS 拦截。现代浏览器默认使用 HTTPS。当用户尝试在认证前访问 HTTPS 网站时,路由器会拦截流量并呈示自己的证书,浏览器会将其拒绝为无效证书。您必须确保路由器的 Captive Portal 设置配置为使用有效的 SSL 证书进行重定向,或者依赖 OS 级别的网络探测(如 Apple 的 CNA),这些探测使用 HTTP 端点来自动触发门户。
Q3. 一家海事运营商抱怨他们的 Starlink Maritime 连接(220 Mbps)每天晚上都会变得无法使用。他们目前提供一个开放且无需密码的访客网络。您应该在企业路由器和 Captive Portal 上实施哪三种具体配置来解决这个问题?
提示:重点在于控制单个用户可以消耗的数据量,并优先处理关键流量类型。
查看标准答案
- 实施需要认证的 Captive Portal,以跟踪和管理个人用户。2. 强制执行每个设备的带宽限制(例如,下行 5 Mbps / 上行 2 Mbps),以防止单个用户垄断连接。3. 在防火墙上应用流量整形规则,优先处理网页浏览和即时通讯协议,同时限制或阻止视频流媒体和 P2P 文件共享等高带宽应用。
继续阅读本系列
Ruijie Captive Portal:使用 Purple 访客 WiFi 进行设置
介绍 Purple 的云端访客 WiFi 如何利用 Web 认证和 RADIUS(通过命令行配置)运行在 Ruijie RG 系列接入点之上,以及在何处可以找到具体的设置步骤。
设计 B2B Captive Portal:收集注册姓名与公司数据
本指南为 IT 经理和场所运营者提供了一个与供应商无关的技术框架,用于设计 B2B captive portals。它详细介绍了如何构建注册字段以捕获注册姓名和公司数据,在确保高完成率的同时,保持 GDPR 合规并构建账户级智能。
Captive Portal 架构:安全性、重定向与最佳实践
企业级 Captive Portal 架构的权威技术参考。本指南为部署安全、数据丰富的访客 WiFi 网络的 IT 决策者深入剖析网络隔离、DNS 重定向、RADIUS 身份验证以及安全合规性。