如何在 Starlink 上設定 Captive Portal:偏遠與海上場域指南
本指南詳細說明如何繞過原生 Starlink 硬體,並使用企業級路由設備整合雲端管理的 captive portal。您將了解如何克服 CGNAT 限制、強制執行 VLAN 分割、管理衛星頻寬限制並確保符合法規規範。
收聽此指南
查看播客逐字稿

執行摘要
Starlink 在光纖無法到達的地區提供 220 Mbps 的連線能力,徹底改變了偏遠和海洋場所的網路格局。然而,對於面向公眾的環境,單靠連線能力是不夠的。當您為訪客、乘客或船員部署 Starlink 時,您必須實施身分驗證、存取控制、符合 GDPR 的同意聲明以及頻寬管理。原生的 Starlink 路由器不提供任何這些功能。
本指南詳細介紹了如何繞過原生 Starlink 硬體,並使用企業級路由設備整合雲端管理的 Captive Portal。您將學習如何克服電信級 NAT (CGNAT) 的限制、實施 VLAN 隔離、管理衛星頻寬限制並確保符合法規。
透過實施此架構,場所營運商可以將未受管理的網際網路管道轉變為安全、隔離的網路,從而收集第一方數據並保護核心業務基礎架構。
技術深度解析
CGNAT 的限制
在 Starlink 上部署 Captive Portal 時,首要的技術障礙是電信級 NAT (CGNAT)。標準的 Starlink 接收器會連接到處理 DHCP 和 NAT 的專有路由器。預設情況下,分配給您設備的 WAN IP 位址落在 100.64.0.0/10 範圍內。由於這不是公共 IP 位址,您的路由器無法接收來自網際網路的入站連線。
標準的 Captive Portal 架構通常假設雲端入口網站可以連回您的網路,以對使用者進行身分驗證或更新存取控制清單。使用 CGNAT 時,入站連線將會失敗。
為了解決此問題,您必須將 Starlink 接收器設定為旁路模式 (Bypass Mode,通常稱為橋接模式)。在旁路模式下,Starlink 路由器的功能會被停用,接收器會將 CGNAT 位址直接傳送到企業級路由器的 WAN 連接埠。接著,您的企業級路由器將完全掌控路由層。

反向通道架構
即使由企業級路由器處理流量,CGNAT 的入站限制仍然存在。解決方案是採用反向通道架構。您的路由器會建立與雲端入口網站的出站連線,並持續保持連線。所有身分驗證流量都透過此建立的通道傳輸。雲端基礎架構永遠不需要發起入站連線。
Purple 的雲端重疊架構原生處理此問題。您不需要手動設定 VPN 隧道。如果您的部署需要靜態 IP 以用於舊版架構的內部部署 RADIUS 伺服器或嚴格的 IP 允許清單,Starlink 商業與海事方案可提供付費附加的靜態 IP。
頻寬限制與流量塑形
衛星頻寬是共享且有限的資源。單一使用者串流播放 4K 影片可能會持續消耗 25 Mbps。在擁有 50 名乘客共享 220 Mbps Starlink 連線的船隻上,一個使用者就可能消耗總容量的 11%。
您必須在 Captive Portal 和路由器層級透過積極的流量塑形來解決此問題:
- 單一裝置限制: 限制個別訪客裝置下載為 5 Mbps,上傳為 2 Mbps。
- 公平使用政策: 實施每日數據額度上限(例如每 24 小時 2GB)。
- 應用程式控制: 優先處理網頁瀏覽和即時通訊協定,而非視訊串流和點對點檔案共享。
- 分級存取: 為基本連線提供免費方案,並為串流提供付費進階方案,將 WiFi 基礎設施從成本中心轉變為營收來源。

實作指南
請依照下列步驟,使用企業級硬體在 Starlink 上部署安全的 Captive Portal。
步驟 1:啟用旁路模式 (Bypass Mode)
- 安裝 Starlink 硬體,並使用原始路由器驗證連線。
- 開啟 Starlink 行動應用程式並導覽至 Settings (設定)。
- 選擇並確認 Bypass Starlink WiFi router (旁路 Starlink WiFi 路由器)。
- 將 Starlink 乙太網路轉接器連接到企業級路由器(Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme 或 Fortinet)的 WAN 連接埠。
注意:如果 Starlink 碟形天線進行出廠重設,旁路模式將會自動停用。請將此記錄在您的站點運作指南中,並在路由器的 WAN 介面上設定監控警示。
步驟 2:設定 VLAN 區隔
您必須將訪客流量與核心業務系統隔離。在核心交換器和存取點上至少設定三個 VLAN:
- VLAN 10 (員工): 傳輸 POS 系統、後勤辦公室應用程式及管理流量。
- VLAN 20 (訪客): 僅限網際網路的區段,會重導向至 Captive Portal。
- VLAN 30 (IoT): 用於攝影機、智慧恆溫器和建築管理系統的隔離網路。
設定防火牆規則以阻擋所有跨 VLAN 路由。VLAN 20 上的訪客裝置絕對不能 Ping 同一個 VLAN 10 上的 POS 終端機。此區隔是符合 PCI-DSS 規範的嚴格要求。
步驟 3:部署雲端 Captive Portal
- 設定您的存取點以在 VLAN 20 上廣播訪客 SSID。
- 將驗證方法設定為外部 RADIUS,或使用廠商的 API 整合。3. 將驗證伺服器指向 Purple 的雲端基礎架構。
- 設定 walled garden (白名單),以在驗證完成前允許流量傳輸至 Purple 的網域。
- 在 Purple 傳送門中設計歡迎頁面,確保品牌形象與您的場所一致,且清晰顯示服務條款。
步驟 4:測試使用者流程
在 iOS 和 Android 裝置上測試驗證流程。Apple 的 Captive Network Assistant (CNA) 與 Android 的網路探測行為有所不同。請驗證歡迎頁面是否在 10 秒內載入,且裝置在驗證後立即取得網際網路存取權限。
最佳實踐
- HTTPS 攔截: 確保您的路由器正確處理 HTTPS 攔截。現代裝置預設使用 HTTPS。如果路由器無法乾淨地重定向 HTTPS 請求,顧客在進入傳送門前將會遇到憑證錯誤。
- 工作階段 Keepalive: Starlink 的低地球軌道 (LEO) 星系提供 20 到 40 毫秒的延遲,但在衛星交接期間會出現短暫的峰值。請將您的 Captive Portal 工作階段 Keepalive 間隔設定為 60 秒或更短,以防止過早斷開連線。
- 離線快取: 設定您的路由器在本地快取作用中的工作階段。如果 Starlink 連線暫時中斷,已通過驗證的顧客在恢復連線時將保持在線狀態,而不需要被迫重新登入。
疑難排解與風險緩釋
| 故障模式 | 根本原因 | 緩釋措施 |
|---|---|---|
| Captive Portal 無法載入 | Walled garden 設定不正確 | 驗證是否已將所有必要的 Purple 網域和 CDN 端點新增至路由器上的預先驗證允許清單中。 |
| 雙重 NAT 錯誤 | 旁路模式 (Bypass Mode) 已停用 | 檢查 Starlink 應用程式以確認旁路模式已啟用。電力波動或手動重設可能會使天線恢復為預設設定。 |
| 顧客網速慢 | 未限制頻寬 | 套用單一裝置頻寬限制 (例如 5 Mbps),並在防火牆上阻擋 BitTorrent 等高頻寬應用程式。 |
| 安全稽核失敗 | 啟用跨 VLAN 路由 | 稽核防火牆規則,以確保來自 Guest VLAN 的流量無法路由至 Staff 或 Management VLAN。 |
投資報酬率與商業效益
在 Starlink 上部署受管理的 Captive Portal,能將原始的網路連線轉化為可衡量的商業資產。
對於一艘運行 Starlink Maritime 速度為 220 Mbps 的 120 艙房郵輪,原始存取無法產生任何商業回報。透過部署 Cisco Meraki 無線基地台與 Purple 的 Captive Portal,營運商可以為一般旅客實施每日 2GB 的額度限制,同時加價銷售 10GB 的白金級服務。由此產生的 WiFi 收益足夠支付每月 250 美元以上的 Starlink 訂閱費用。此外,該傳送門還能收集完全合規的第一方電子郵件數據,為營運商未來的航程擴大直接行銷名單。
在偏遠的飯店環境中,部署具有嚴格頻寬策略的網頁導向入口,可將房客對 WiFi 速度慢的投訴減少高達 60%,因為這能防止佔用頻寬的用戶獨佔衛星連線。
關鍵定義
旁路模式(Bypass Mode)
一種停用原生 Starlink 路由器之 DHCP 和 NAT 功能的組態設定,將 WAN IP 直接傳遞給第三方企業級路由器。
將企業級網路設備與 Starlink 接收器整合時所需,以避免雙重 NAT 和路由衝突。
CGNAT(電信級 NAT)
網際網路服務供應商(ISP)用於在多個客戶之間共享單一公用 IP 位址的方法。客戶的路由器會收到一個私人 IP 位址(通常為 100.64.0.0/10)。
Starlink 預設使用 CGNAT,這會阻止來自網際網路的輸入連線,並需要反向通道架構進行雲端管理。
VLAN(虛擬區域網路)
一種邏輯子網路,將來自不同實體區域網路(LAN)的裝置組合在一起。
用於將訪客 WiFi 流量與員工和 IoT 網路隔離,以確保安全性與合規性。
Captive Portal
公用存取網路的使用者在獲得存取權限之前,必須瀏覽並與之互動的網頁。
用於強制執行服務條款、收集行銷數據並在訪客 WiFi 網路上驗證使用者。
圍牆花園(Walled Garden)
在使用者完全通過驗證之前,控制其存取網頁內容和服務的限制環境。
在訪客裝置獲得完整的網際網路存取權限之前,需要允許其連線到雲端 captive portal 和驗證伺服器。
RADIUS
一種網路協定,為連線和使用網路服務的使用者提供集中式的驗證、授權和計費(AAA)管理。
企業級無線基地台用來與雲端 captive portal 通訊以驗證使用者憑證的底層協定。
流量整形(Traffic Shaping)
對網路流量進行操作和設定優先順序,以減少高用量使用者或對延遲敏感的應用程式所造成的影響。
在 Starlink 網路上至關重要,可將網頁瀏覽的優先權置於視訊串流等高頻寬活動之上。
第一手數據
企業直接從其客戶收集並擁有的資訊。
透過 Captive Portal 登入流程收集(例如電子郵件地址),並用於直接行銷和會員忠誠度活動。
範例
一艘擁有 120 間客艙的郵輪運行 220 Mbps 的 Starlink 海上服務(Starlink Maritime),需要提供旅客 WiFi 且不影響船務運作。他們需要一種機制來將網路連線變現並收集行銷數據。
營運商在整艘船上部署 Cisco Meraki 無線基地台,並劃分三個嚴格的 VLAN:船員、旅客和船舶系統。Purple 的 captive portal 處理旅客驗證,可透過電子郵件或與 PMS 整合的客艙號碼查詢進行。每位旅客每天可獲得 2GB 的免費額度。尊榮級旅客可購買 10GB 的額度。該入口網頁會收集第一手電子郵件數據,用於航程結束後的行銷。
一家沒有光纖基礎設施的偏遠高地飯店運行 150 Mbps 的 Starlink 企業版(Starlink Business)。房客經常抱怨晚上網速變慢,且飯店無法得知誰在使用網路。
該飯店在主建物和別館部署 HPE Aruba 無線基地台。他們將 Starlink 接收器設定為旁路模式(Bypass Mode),並將其連接到 Aruba 閘道器。房客在 Purple 的入口網頁上透過電子郵件進行驗證。飯店對每台設備實施 5 Mbps 的嚴格頻寬限制,並使用 Purple 的分析功能來監控尖峰使用時間。
練習題
Q1. 某個偏遠礦區營地部署了 Starlink 商業版。他們將一台 Cisco Meraki MX 防火牆連接到 Starlink 路由器。訪客可以連接到 WiFi,但 Captive Portal 頁面逾時且無法載入。最可能的原因是什麼?
提示:思考 Starlink 硬體預設如何處理路由,以及 Meraki 防火牆需要什麼才能有效管理流量。
查看標準答案
Starlink 接收器未設定為旁路模式(Bypass Mode)。因此,網路正遭受雙重 NAT(Starlink 路由器和 Meraki 防火牆都在嘗試進行網路位址轉換)的影響。管理員必須使用 Starlink 應用程式啟用旁路模式,以允許 Meraki 防火牆直接接收 CGNAT IP,並管理路由和 Captive Portal 攔截。
Q2. 您正在使用 Starlink 為一家飯店部署 Captive Portal。您已設定旁路模式和 VLAN 分段。在測試期間,您注意到 Apple 裝置會立即提示使用者登入,但某些 Android 裝置在使用者嘗試在驗證前瀏覽安全網站時會顯示憑證錯誤。您該如何解決這個問題?
提示:思考現代瀏覽器如何處理初始連接請求,以及路由器必須執行什麼操作才能乾淨地攔截這些請求。
查看標準答案
企業級路由器未針對 Captive Portal 重新導向正確設定 HTTPS 攔截。現代瀏覽器預設為 HTTPS。當使用者嘗試在驗證前造訪 HTTPS 網站時,路由器會攔截該流量並呈現自己的憑證,而瀏覽器會將該憑證拒絕為無效。您必須確保路由器的 Captive Portal 設定已設定為使用有效的 SSL 憑證進行重新導向,或者依賴使用 HTTP 端點自動觸發入口網站的作業系統級網路探測(例如 Apple 的 CNA)。
Q3. 一家海事營運商抱怨他們的 Starlink Maritime 連線(220 Mbps)每天晚上都變得無法使用。他們目前提供一個開放、免密碼的訪客網路。您應該在企業級路由器和 Captive Portal 上實施哪三種具體設定來解決此問題?
提示:重點在於控制個別使用者可以消耗多少數據量,並為關鍵流量類型設定優先順序。
查看標準答案
- 實施需要驗證的 Captive Portal,以追蹤和管理個別使用者。 2. 強制執行單一裝置頻寬限制(例如:下載 5 Mbps / 上傳 2 Mbps),以防止單一使用者獨佔連線。 3. 在防火牆套用流量塑形規則,為網頁瀏覽和即時通訊協定設定優先順序,同時限制或封鎖高頻寬應用程式(如視訊串流和 P2P 檔案分享)。
繼續閱讀本系列
Ruijie 的 Captive Portal:搭配 Purple 訪客 WiFi 進行設定
說明 Purple 的雲端訪客 WiFi 如何透過網頁驗證和 RADIUS(自命令列設定)部署於 Ruijie RG 系列基地台之上,以及在哪裡可以找到確切的設定步驟。
設計 B2B Captive Portals:收集註冊姓名與公司資料
本指南為 IT 經理與場域營運商提供了一個與廠商無關的技術框架,用於設計 B2B captive portals。指南詳細說明了如何規劃註冊欄位以擷取註冊姓名和公司資料,在確保高填答率的同時,維持 GDPR 合規性並建立企業帳戶級別的情報。
Captive Portal 架構:安全性、重新導向與最佳實踐
一份關於企業級 Captive Portal 架構的權威技術參考指南。本指南為部署安全且富含數據的訪客 WiFi 網路的 IT 主管,深入剖析網路隔離、DNS 重新導向、RADIUS 認證以及安全合規性。