如何在 Starlink 上設定 Captive Portal：偏遠地區與海事場所指南

以自信、權威且口語化的英式英語發音 - 就像資深顧問向客戶進行簡報。節奏沉穩、發音清晰、溫暖而專業。不使用贅詞。偶爾進行短暫停頓以示強調： 歡迎來到 Purple 技術簡報。我將帶您了解在 Starlink 上設定 Captive Portal 所需的一切知識 - 特別是針對偏遠地區場所、海事營運商，以及任何在無法使用光纖的環境下運行訪客 WiFi 的人。 [medium pause] 讓我們從問題開始。對於以前只能使用緩慢、昂貴的衛星連線或不穩定 4G 的場所，Starlink 確實改變了連線現狀。郵輪、偏遠的高地飯店、建設工地的福利設施、野外祭典活動現場 - 所有這些現在都可以透過一個大披薩大小的接收器獲得每秒 100 到 220 Mbps 的網速。這非常了不起。但問題是：原始連線只完成了工作的一半。一旦您將該連線提供給訪客、旅客或船員，您就需要驗證、存取控制、符合 GDPR 規範的同意聲明以及頻寬管理。Starlink 開箱即用時並不提供這些功能。 這就是 Captive Portal 發揮作用的地方。而這正是我們今天要做的事情。 [medium pause] 第一部分：了解 Starlink 網路限制。 在您接觸路由器之前，您需要了解 Starlink 實際上在 WAN 介面上為您提供了什麼。標準的 Starlink 接收器連接到一個處理 DHCP 和 NAT 的專有路由器。預設情況下，您處於載波級 NAT（工程師稱為 CGNAT）之後。這意味著您的 WAN IP 地址在 100.64 到 100.127 範圍內。它不是公用 IP。您無法接收來自網際網路的輸入連線。這對 Captive Portal 架構至關重要。 解決方法是 Bypass Mode - 有時稱為橋接模式。您可以在 Starlink 應用程式的「設定」中啟用此功能，然後切換「Bypass Starlink WiFi router」。啟用後，Starlink 接收器會將 CGNAT 地址直接傳遞給企業級路由器的 WAN 連接埠。Starlink 路由器停止執行 DHCP 和 NAT。由您的路由器接管。您仍然處於 CGNAT 之後，但現在您對路由層擁有了完全的控制權。 一個關鍵點：如果 Starlink 接收器因任何原因恢復原廠設定，Bypass Mode 將被停用。您需要重新啟用它。請將此步驟寫入您的現場操作手冊中。 [medium pause] 現在，Starlink 提供了三種與場所營運商相關的方案級別。Standard 提供高達 100 Mbps 的下載速度、盡力而為（best-effort）的優先級，且無靜態 IP 選項。Business 提供高達 220 Mbps 的速度、優先數據分配以及靜態 IP 加購服務。Maritime 提供相同的速度並具備全球漫遊能力 - 如果船舶在不同海域之間移動，這至關重要。對於任何多使用者場所，我建議至少使用 Business 或 Maritime。Standard 方案上的盡力而為數據意味著每當衛星蜂巢區擁塞時，您的訪客連線優先級就會被降低。 [medium pause] 第二部分：架構堆疊。 這是您正在建置的四層堆疊。 第一層是處於 Bypass Mode 的 Starlink 上行鏈路。第二層是您的企業級路由器或防火牆 - Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Fortinet - 任何這些都可以。第三層是交換器或無線基地台層級的 VLAN 隔離。第四層是雲端 Captive Portal，負責處理驗證、同意聲明和分析。 讓我花點時間討論 VLAN 隔離，因為這是不可妥協的。您至少需要三個 VLAN。VLAN 10 用於員工 - 這承載了您的 POS 系統、後台應用程式和管理流量。VLAN 20 用於訪客 - 這是僅限網際網路且會導向 Captive Portal 的區段。VLAN 30 用於 IoT - 攝影機、智慧恆溫器、建築管理系統。這三個網路絕對不能互相通訊。必須在防火牆阻斷 VLAN 間路由。VLAN 20 上的訪客絕對不能存取 VLAN 10 上的 POS 終端機。這不僅是最佳實踐 - 如果您在同一個實體基礎設施上處理信用卡付款，這也是 PCI DSS 的硬性要求。 [medium pause] Captive Portal 本身位於雲端。當訪客連線到您的訪客 SSID並開啟瀏覽器時，路由器會攔截 HTTP 請求並將其重新導向到 Portal 登入頁面。訪客進行驗證（透過電子郵件、社群登入或憑證代碼），接受您的服務條款，然後 Portal 會通知路由器授予該 MAC 地址網際網路存取權限。在行動裝置上，整個流程應在 10 秒內完成。 透過 Purple，該雲端 Portal 可以直接與 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 整合。您只需設定一次 RADIUS 或 API 整合，Purple 就會處理驗證交握。不需要地端驗證伺服器。這對於無法運行本地 RADIUS 伺服器的偏遠地區場所至關重要。 [medium pause] 第三部分：CGNAT 問題及其解決方案。 這是最容易讓 IT 團隊措手不及的挑戰。標準的 Captive Portal 架構假設雲端 Portal 可以主動連線回您的網路。但在 CGNAT 下，這是不可能的。輸入連線會被阻擋。 解決方案是反向通道。您的路由器建立一條通往雲端 Portal 的輸出連線，並保持持續開啟。所有驗證流量都透過該通道傳輸。雲端永遠不需要發起輸入連線。Purple 的雲端重疊架構原生處理了這一點 - 您不需要手動設定 WireGuard 或 OpenVPN，儘管如果您運行自己的基礎設施，這兩者都是可行的替代方案。 如果您確實需要靜態 IP - 例如，如果您在地端運行 RADIUS 伺服器或需要一致的 IP 允許清單 - Starlink Business 和 Maritime 提供靜態 IP 作為加購服務。在錄製本文時，這在大多數地區都可用。請查看 Starlink 當前的方案頁面以了解您的特定區域。 [medium pause] 第四部分：GDPR 與數據合規性。 這是偏遠地區和海事場所經常忽略的地方。您的場所位於國際水域的船隻上或偏遠地區，這一點並不能免除您在收集歐盟居民數據時遵守 GDPR 的義務。如果您在脫歐後的英國水域營運，英國 GDPR 同樣適用。 您的 Captive Portal 必須針對行銷傳播呈現一個特定的、未勾選的同意核取方塊。它必須清楚說明您正在收集哪些數據、原因以及您將保留多久。在訪客驗證之前，必須可以存取服務條款。並且您必須能夠根據要求證明特定個人在特定日期和時間給予了同意。 Purple 通過了 ISO 27001 認證、符合 GDPR、CCPA 規範，並通過了 Cyber Essentials 認證。每次登入事件都會記錄時間戳記、IP 地址和同意記錄。當監管機構提出疑問時，該稽核軌跡就是您的保護傘。 [medium pause] 第五部分：頻寬管理。 在 Starlink 上，頻寬是您最受限的資源。單一旅客串流 4K 影片可能會持續消耗 25 Mbps。在擁有 50 名旅客且連線速度為 220 Mbps 的船隻上，這意味著一個人就佔用了總容量的 11%。 您必須在 Captive Portal 和路由器層級解決此問題。設定單一設備頻寬上限 - 例如，每個訪客設備下載 5 Mbps，上傳 2 Mbps。實施在達到每日數據額度後進行限速的公平使用政策。使用流量整形來優先處理網頁瀏覽和即時通訊，而非視訊串流。並考慮分級存取：基本連線使用免費級別，串流使用付費尊榮級別。這可以將您的 WiFi 從成本支出轉變為收入來源。 [medium pause] 現在讓我給您兩個真實世界的案例。 案例一：一艘擁有 120 間客艙的郵輪。營運商運行 220 Mbps 的 Starlink Maritime。他們在整艘郵輪上部署了 Cisco Meraki 無線基地台，並劃分了三個 VLAN - 船員、旅客和船舶系統。Purple 的 Captive Portal 透過與 PMS 整合的電子郵件或客艙號碼查詢來處理旅客驗證。每位旅客每天可獲得 2GB 的額度。尊榮級旅客可獲得 10GB。該 Portal 會收集第一方電子郵件數據，用於航程結束後的行銷。結果：WiFi 收入涵蓋了 Starlink 的訂閱成本，且營運商獲得了持續增長的直接行銷名單。 案例二：一家無光纖的偏遠高地飯店。他們運行平均 150 Mbps 的 Starlink Business。HPE Aruba 無線基地台覆蓋了主樓和三棟別館。房客在 Purple 的 Portal 上透過電子郵件進行驗證。飯店使用 Purple 的分析功能來了解尖峰使用時間，並相應地調整頻寬政策。根據他們自己的營運數據，與之前的 4G 綁定設定相比，他們將房客的 WiFi 投訴減少了 60%。 [medium pause] 常見陷阱。讓我逐一介紹我最常看到的五個陷阱。 第一：在接收器重設後忘記重新啟用 Bypass Mode。請將此記錄在您的操作手冊中，並在路由器的 WAN 介面上設定監控警報。 第二：未阻斷 VLAN 間路由。在我審查過的所有發生過安全事件的部署中，這個部分都設定錯誤。請仔細檢查兩次。 第三：在訪客使用 HTTPS 優先瀏覽器的網路上，對 Captive Portal 使用 HTTP 重新導向。現代瀏覽器預設使用 HTTPS。您的路由器需要正確處理 HTTPS 攔截，否則訪客在到達 Portal 之前會看到憑證錯誤。Purple 的 Portal 可以處理這一點，但您的路由器設定必須正確。 第四：未分別在 iOS 和 Android 上進行測試。Apple 的 Captive Network Assistant 和 Android 的網路探測行為不同。在正式上線前對兩者都進行測試。 第五：忽略延遲。Starlink 的低軌衛星星座提供了 20 到 40 毫秒的延遲 - 遠優於傳統的地球靜止軌道衛星。但在衛星切換期間，您可能會遇到短暫的延遲突波。您的 Captive Portal 逾時設定需要考慮到這一點。將工作階段保持連線（keepalive）間隔設定為 60 秒或更短。 [medium pause] 快速問答。 在 Starlink 上使用 Captive Portal 需要靜態 IP 嗎？不需要，如果您的 Portal 使用具有反向通道的雲端託管架構。需要，如果您運行地端 RADIUS。 我可以在 Starlink 上運行多個 SSID 嗎？可以 - 您的企業級無線基地台負責處理 SSID 建立。處於 Bypass Mode 的 Starlink 僅提供上行鏈路。您可以運行無線基地台支援的多個 SSID。 Purple 是否支援 Starlink 開箱即用？是的。您在 Starlink 接收器上設定 Bypass Mode，連接支援的無線基地台，並將 RADIUS 或 API 整合指向 Purple 的雲端。Portal 將在一小時內上線。 如果 Starlink 連線中斷會怎樣？Purple 的 Portal 會在路由器上本地快取作用中的工作階段一段可設定的時間 - 通常為 24 小時。已驗證的訪客將保持連線。新的驗證將排隊，直到連線恢復。 [medium pause] 總結一下。Starlink 為您提供管道。處於 Bypass Mode 的企業級路由器讓您控制路由層。VLAN 隔離將您的訪客、員工和 IoT 流量分開。雲端 Captive Portal（在此案例中為 Purple）處理驗證、GDPR 同意聲明、頻寬政策和第一方數據收集。CGNAT 限制是透過反向通道架構解決的，而不是透過靜態 IP。而 Portal 層級的頻寬管理是保持您的 Starlink 連線對每個人都可用的關鍵。 如果您正在為您的場所評估此方案，下一步是檢查您正在運行的無線基地台硬體 - Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 或 Fortinet - 並確認該平台的 Purple 整合文件。您可以在 purple.ai 找到完整的技術指南，Purple 團隊可以引導您為您的特定站點進行概念驗證設定。 感謝您的收聽。我們下次簡報再見。