融汇画方网络准入设备技术白皮书

画方科技网络准入系统技术白皮书

目录1 了解北京融汇画方科技有限公司 北京融汇画方科技有限公司本白皮书中的内容是画方科技网络准入系统技术说明书。本材料的相关权力归北京融汇画方科技有限公司所有。白皮书中的任何部分未经本公司许可，不得转印、影印或复印。©2012 Allrightsreserved.画方科技网络准入系统技术白皮书本资料将定期更新，如欲获取最新相关信息，请访问北京融汇画方科技有限公司网站：您的意见和建议请发送至：北京融汇画方科技有限公司电子信箱：info@了解北京融汇画方科技有限公司公司背景北京融汇画方科技有限公司成立于2007年，是专注于信息安全和网络管理解决方案的研发、生产、销售、服务和咨询的专业厂商。北京融汇画方科技有限公司（以下简称画方科技）总部位于北京，拥有专业研发机构：信息安全研发中心。其产品覆盖了防火墙、防病毒、内网安全、入侵检测、网络管理等多款产品。从2007年至今，已经为国内金融保险、制造、交通、通信等行业以及众多的跨国公司和政府单位成功的实施安全解决方案。画方科技将秉承“一起进取，一起成长，一起分享”的发展理念，充分运用画方科技的技术优势，整合国内外资源，不断为用户提供最优秀的信息安全和网络管理的解决方案与应用服务。行业背景随着信息化技术的深入和互联网的迅速发展，整个世界正在迅速地融为一体，计算机网络已经成为国家的经济基础和命脉。众多的企业、组织与政府部门都在组建和发展自己的网络，并连接到Internet上，以充分共享、利用网络的信息和资源。计算机网络在经济和生活的各个领域正在迅速普及，其地位越来越重要，整个社会对网络的依赖程度越来越大。伴随着网络的发展，也产生了各种各样的问题，其中安全问题尤为突出。现在，网络中蠕虫、病毒及垃圾邮件肆意泛滥，木马无孔不入，DDOS攻击越来越常见，网络资源滥用（包括P2P下载、IM即时通讯、网络游戏、在线视频等行为），黑客攻击行为几乎每时每刻都在发生，内网非法接入，非法扫描事件时有发生。所有这些极大的困扰着包括企业、组织、政府部门与机构等在内的各种网络用户。能否有效的管理内网接入、有效的监控内网终端状态，有效的管理内网资源的权限，成为所有网络用户面临的一个重要的问题。为什么需要网络准入控制系统南方某省电信为适应发展，不断与外单位合作开发项目。但是，外协单位的合作人员在为电信带来了所需的服务的同时，还带来了病毒或者蠕虫！网络管理人员分析后发现，合作人员电脑带有病毒或者蠕虫，由于没有进行网络准入控制和网络隔离，合作人员的电脑接入了电信的办公内网。带有病毒或者蠕虫的终端，使得电信办公网络上的部分设备感染了病毒或者蠕虫。我国某大集团公司，在全国范围内建立了集团、省、地、县为一体的四级支撑网络，全面实施了集团的信息化，大幅提高了集团的管理效率。由于集团的业务关系到我们国家的国计民生，为加强信息安全，集团进行了大规模的投入，实现了办公内网和外网的物理隔离。但实现物理隔离后，陆续发生有员工将办公电脑通过ADSL或者通过Hub、路由器能进行联通，或将个人笔记本带入内网，造成非法外联，破坏了办公内网和外网的物理隔离，造成信息外泄。中央某部委机构，为保证内部信息系统安全，建立其了一套证书CA系统。但却发现许多人员不使用证书也能进入网络。在网络层对内部信息系统构成了威胁。同时，由于内网纵向贯通，也无法有效地分清下属单位进入中央部委的人员身份。很难做到内部审计。我国某保密单位，为了保证单位网络的安全，对网络地址进行了规划，同时对网络的IP地址和交换机端口进行了绑定。但当单位进行部门调整后，网络管理人员又需花费了大量精力对员工网络地址和访问控制策略进行了调整。经常发生设置错误。在进行了几次调整后，访问策略和绑定的错误越来越多。同时，由于常有几个人员共有同一个终端的情况，IP地址的绑定无法定位到人，对访问控制策略的设置和今后的审计都造成了很大的难度。北方某移动，虽然采购了大量的网络审计和控制设备，放在网络的出口处，但却发生有员工利用3G网卡，绕过公司内网，联到外网，将用户信息传出移动。随着我国信息系统建设的普及和成熟，企业的信息系统和网络变得越来越复杂。企业间的合作也变得非常普遍。这就要求各个企业必须对网络接入进行管理。同时，由于企业合作增多、移动办公的要求、人员流动的加快，对企业内部网络的边界保护就变得非常重要。美国著名调研机构Gartner研究表明，鉴于终端的非法使用和病毒泛滥，美国80%的受访企业想要采用网络准入控制（NAC）。你想有效的处理公司有网络需求上的来访者吗？你的网络可能有潜在的计算机病毒吗？在你不知情的情况下，任何人都可以连接到你的网络上吗？如果存在以上问题，那么你的网络将需要网络准入系统设备来解决。画方科技网络准入系统针对目前内网管理所存在的问题，来访者网络接入管理，员工BYOD，网络非法扫描，网络资源滥用，画方科技提供了完善的解决方案。画方科技网络准入系统（以下简称“NAM”）是画方科技拥有完全自主知识产权的安全产品，它是对防火墙的有效补充，实时管理内网终端接入状态，检测网络流量，监控各种网络行为，对违反安全策略的网络行为给予及时报警和阻断，实现从事前警告、事中防护到事后取证的一体化解决方案。NAM系统的功能和用处：更安全的检测BYOD（BringYourOwnDevice）设备。提供来访者网络接入管理。根据不同的角色设置访问控制权限。执行一致性检查。消除恶意软件。简化网络管理。NAM系统可有效保护从小型到大型的网络。其中可应用环境：银行大学、中小学工程公司会展中心医院和医疗中心酒店制造企业……系统架构图网络拓扑图产品特点无需安装客户端或ActiveX控件传统网络准入技术需要安装客户端或者ActiveX控件，其有如下缺点：实施困难需要网络管理员帮助每一个用户实施安装，其实施困难比较大，另外存在用户意外卸载客户端或者ActiveX控件的情况。2012年国内某大型石油化工企业就是由于安装网络准入客户端实施困难从而放弃客户端或者ActiveX控件准入控制方式转而改用无客户端准入控制方式。存在Bugs或安全漏洞客户端或者ActiveX可能存在Bugs或者安全漏洞，容易引起终端异常或被攻击利用，导致安全隐患进而影响整个网络稳定性和安全性。占用系统资源客户端或者ActiveX控件需要运行在终端系统上，会占用系统资源（CPU，内存，硬盘，网络带宽等），从而导致系统变慢影响正常工作。即插即用传统网络准入系统需要更改网络拓扑或配置核心交换机或更改路由配置等等，而有NAM设备根据你选择的部署方式，可以做到不需要更改现有的网络拓扑，不需要更改任何网络设备（包括接入层交换机、核心交换机、路由器等）配置。即插即用，实现方便快捷部署。基于网络行为主动发现主动管理NAM设备可监控网络内终端网络行为，并对某些特定的网络行为做到主控发现，主动隔离或限制。如对P2P下载，可以做到发现并隔离。终端因P2P软件下载被隔离后的通知页面支持网络设备硬件多，满足国内网络准入需要支持国内常见的各种网络设备硬件，具体参照5.支持的网络设备。部署方式旁路部署NAM设备的主要部署解决方案。具有分布部署、高冗余和持久稳定性。当使用适当的技术（如端口安全），一台NAM设备服务器可以管理数以百计的交换机以满足数千个节点或用户安全及使用。串联部署虽然旁路部署是NAM设备的首选方式，串联部署支持不受管理的有线和无线设备。可以在几分钟内完成NAM设备的串联部署！注意旁路模式和联机模式可以共存。认证与注册支持802.1X协议NAM设备通过RADIUS的模块，可支持无线和有线802.1X协议。支持IP语音（VoIP）在各种复杂的网络拓扑中支持VoIP。NAM设备支持多个厂商（思科，Edge-Core，惠普，华为，华为3C，Linksys公司，北电网络以及更多的）的交换机的VoIP功能。无线集成NAM设备通过RADIUS模块与无线网络无缝整合，可以使有线和无线网络使用相同的用户数据库并提供一致的用户体验。可同时支持各种不同厂家接入点（AP）的设备。灵活的设备注册NAM设备提供一套灵活的注册机制。不同于大多数设备，NAM设备能记住用户的注册信息，并在以后的访问中自动提供用户的通行许可。当然此功能是可选的。用户登录页面来访者注册页面合规检查检测异常的网络活动使用本地和远程异常网络检测模块，可以检测异常网络活动（如计算机病毒，蠕虫，木马，P2P连接等）。除了检测，NAM设备具有自身的预警和抑制机制。管理员对于每一个网络侵害行为均有完整的可控步骤。健康状态（SOH）NAM设备的可以对接入设备进行安全状态评估。例如，可以检测是否安装防病毒软件并运行、是否更新病毒库和最新的操作系统补丁，此功能可以在没有安装任何插件的形式实现（TNCSOHProtocol），也可以在终端设备上安装ActiveX插件实现。漏洞扫描安全漏洞扫描模块可以定时的在接入设备使进行安全漏洞扫描并生成安全报告。一键逃生一旦设备出现问题，NAM设备将中断所有网络通信，并基于节点或用户的当前状态（未注册的，有恶意行为的等），用户将被重定向到相应的URL。并给具有恶意行为的用户提供状态说明。隔离有问题的设备NAM设备支持几种相互独立的隔离技术，根据管理员设定规则可以自动隔离有问题的终端设备以保证整个网络的安全稳定。友好的管理界面基于命令行和Web的管理所有管理任务均可基于Web和命令行管理。基于Web的管理支持不同的权限级别。统计图节点列表注册节点统计图节点详细信息产品功能名词解释：节点：准入设备监控的网络设备或者终端，可能是一台PC、笔记本电脑、服务器、打印机或者IP电话等。灵活的VLAN管理和基于角色的访问控制通过划分不同VLAN（VLAN技术细节，请参照第三部分技术介绍）来管理终端设备。基于准入控制行业内的长期经验和几次技术更新，NAM设备在过去的几年中已经逐渐变的更为灵活和稳定。客户本身的VLAN拓扑可以保留，只需要在客户的网络中增加两个新的VLAN：注册VLAN和隔离VLAN。另外，NAM设备可兼容很多设备供应商（参照第四部分支持网络设备）的产品。VLAN的管理使用不同方式实现：通过交换机（基于VALN管理的默认方式）通过客户类别（基于角色管理的默认方式）通过客户端程序其他…并且，每个交换机可以与其他方法结合来管理使用VLAN。例如，通过NAM设备的默认设置，在适当分类后，基于客户所连接的设备，可以给客户的打印机分配一个VLAN。这意味着你可以很轻松的拥有按照设备类型创建的VLANs。来访准入–使用你自己的设备（BYOD）现在，大多数机构要处理不同类型公司的在线咨询，因此他们的工作需要网络接入。大多数情况下，公司的内部网络很少给未经审核的个人或者设备提供网络接入。而且，他们也很少能够得到公司内部环境的网络接入，这是为了避免管理负担。NAM设备支持一种特殊的VLAN管理来访者。如果你使用访客VLAN，你可以配置来访者VLAN只能访问互联网或授权的网络资源，在注册VLAN中提供向访客介绍如何注册以获取网络接入。这通常是提供网络接入的管理员来定义的。注册访客有几种方式：管理员提前授权来访者账户信息密码来访者自注册（需要或者不需要认证）来访者担保（员工与来访者关联）通过邮件激活的来访者通过移动电话激活的来访者（短信）NAM设备还整合了在线支付方案，比如支付宝。通过这种方式，你可以实现在线支付，获取相关的网络接入。更多内置检测类型NAM设备独有自动阻止网络上指定或者特定行为的设备,。除了应用入侵检测、漏洞评估作为信息源，NAM设备能够结合以下的检测机制，以有效阻止那些不必要的设备的网络接入：DHCP指纹NAM设备可以阻止基于DHCP指纹的设备。几乎每一个操作系统都有一套独特的DHCP指纹。NAM设备可以利用这个信息来阻止这些设备的网络接入。基于DHCP的指纹，你可以设置自动阻止，例如：Ø索尼PlayStation设备或任何其他游戏机Ø无线接入点（WAP）ØVoIP电话用户客户端NAM设备可以阻止那些基于已知的User-Agent的特定设备利用其内嵌的Web浏览器进行网络活动。用这种方法，你可以自动阻止，例如：Ø苹果iPod或iPhone设备Ø任何使用旧版本的微软InternetExplorer（IE）的人MAC地址NAM设备可以阻止具有特定MAC地址模式的设备的网络接入。用这种方法，你可以自动封锁一个特定的网络设备供应商提供的所有设备。自动注册 因为现有的大多数网络已经非常庞大和复杂，NAM设备提供多种自动注册客户端或设备的方法。通过网络设备通过网络设备（交换机，AP和无线控制器）可以设置自动注册所有需要网络接入的MAC地址请求访问网络。由DHCP指纹DHCP指纹可以被用来自动注册特定类型的设备（如VoIP电话，打印机）。通过MAC地址供应商设备供应商的MAC地址可以用来自动注册所提供的设备。例如，可以自动注册所有苹果产品。更多不同的浏览器类型，甚至更多的设备都可以用于自动登记。注册时间期限对设备网络接入时间范围可以通过参数的配置加以控制。它可以是一个绝对的日期（如“2012年3月28日星期三”），一个范围（如“从第一次网络接入的四个星期内”）或是当设备变为非活跃状态30分钟后失效。当准入失效时，注册设备就变为未注册设备。也可以设备类别为基础来实现这一控制。准入期限也可以在每个节点上手动编辑。带宽计算NAM设备可以自动跟踪网络上设备的带宽占用总量。它能通过内置的隔离支持，保证或者改变那些在某一时间段内消耗带宽较多的设备的准入级别。NAM设备能提供带宽消耗数据报告。移动网络设备移动网络设备是指在你的网络内移动的可以接入到交换机或无线接入点（AP）的网络设备。一旦配置合适，NAM设备将识别你的移动网络设备并配置相应的允许多种VLAN和多个的MAC地址接入口。在这一点上，移动网络设备可以通过或者不通过NAM设备实现网络接入。一旦该设备断开与NAM设备的连接，它将会重新回到其初始配置。灵活的身份验证NAM设备可以使用多种协议/标准给您的用户提供认证。这使得您可以在您的环境中集成NAM设备，而无需要求用户记住另一个用户名和密码。已知的认证源：微软的ActiveDirectoryNovell公司的eDirectoryOpenLDAP思科的ACSRADIUS(FreeRADIUS,Radiator,etc.)本地用户文件接入路由器NAM设备的架构允许通过路由器工作。服务器可以放置在数据中心，但仍然可以有效地保护分支机构。快速部署由于网络访问控制的可侵入性，NAM设备在部署时，发展成为能够很精细的控制每一个网络接口。不管NAM设备是否履行其职责，你可预先自动登记节点，但你也可以控制每一个交换机的每一个端口的水平。这使你能够以你希望的速度在每一个交换机，每一个楼层，每一个位置进行部署。针对隔离也是如此，首先你可以只记录违规时间，当你觉得某用户的违规事件越来越多，已经影响到你的网络正常运行你可以启动VLAN隔离。这两个特点使得部署NAM设备变得尽可能的简单。快速通道NAM设备可配置节点访问特定的资源，甚至是节点被隔离时。这使你可以提供用户访问特定的网络资源的通道，如系统补丁、强制安装软件或者工具。高可用性高可用性始终是NAM设备的研发重点。在我们所有部署中，无论是使用主动或者被动部署模式，都证明了NAM设备的高可用性。在我们的管理员手册中，详细记载了如何配置NAM设备以及如何使其高效稳定运转。支持的硬件NAM设备支持多个网络供应商及其各种网络硬件。具体硬件支持请参照第四部分硬件支持。基于业界多种标准NAM设备采用多种开放的标准，以避免厂商技术封锁。我们的支持和使用的标准，主要有：802.1X简单网络管理协议（SNMP）标准的SNMP管理信息库（MIB），如BRIDGE-MIB、Q-BRIDGE-MIB、IF-MIB、IEEE8021-PAE-MIBRADIUSNetFlow/IPFIX无线ISP漫游（WISPR）轻松定制、扩展在经过多次代码重构，NAM产品提供丰富的易于理解的API和详尽的二次开发样例，在各个功能模块第三方厂家均可可快速的进行二次开发，极大的满足了用户各种不同需求。VLAN分配技术简介VLAN（VirtualLocalAreaNetwork）的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。相比之前的网络准入控制的传统模式（APR和DHCP），VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。当前业界有几种不同的技术进行VLAN分配，这些技术在不同交换机的端口上相互之间是可以兼容的。这就意味着，网络管理员可以使用最新的具有更安全更先进技术的交换机，也可以同时老旧的不支持最新的技术的交换机。正如他名字所定义的，VLAN分配意味着准入设备管理每一个网络终端所属的VLAN。这个VLAN可以是管理员之前设置的某一个VLAN，也可以是一个新增加的VLAN，NAM设备在这个新增加的VLAN中可提供DHCP/DNS/HTTP等服务。使用SNMPTraps配置所有交换机端口（使用VLAN做准入的）主动向NAM设备发送SNMP主动通知（SNMTtraps）。在NAM设备上，我们使用SNMP接收器来接收通知，并根据网络终端设备当前状态把设备所连交换机端口设置到正确的VLAN当中。根据交换机功能，NAM设备能处理不同类型的SNMPTraps。你需要创建注册VLAN，NAM设备将把所有未注册的设备分配到此VLAN当中。如果你还希望隔离网络设备（具有恶意网络行为或者被病毒感染），你也需要创建隔离VLAN。连接更改Traps（LinkChangeTraps）最基本的设置，它需要第三层VLAN的MAC检测VLAN，在这个VLAN中没有DHCP服务器，不能连接到其他地方，它只是一个空VLAN。当一台主机连接到交换机端口时，交换机会向NAM设备发送一个linkUptrap，在交换机获得接入主机MAC地址之前，NAM设备将把此端口放入到MAC检测VLAN中，并且主机会发送DHCP请求（在此VLAN中，此DHCP请求不会被回复）为了让交换机获取主机的MAC地址，NAM设备会发送定期的SNMP查询到交换机上，直到交换机获取主机的MAC地址。当NAM设备获取到主机的MAC地址之后，NAM设备会检查其状态（已经存在，已经注册或者应该被隔离）并把此端口划分放入到正确的VLAN中。当一个设备被断开后，交换机发送“linkDown”通知NAM设备，NAM设备将此端口划分到MAC检测VLAN中。当计算机启动时，网卡的初始化生成多个链接状态，每一次交换接口发送一个“linkup”和“linkDown”通知到NAM设备上，NAM设备不得不对这些通知进行处理，但是这会产生一些负载。NAM设备优化了此处理过程，让主机所连接交换机端口能快速进入到正确状态。例如在断电的情况下，即时上千台的电脑同时开机，NAM设备管理起来也没有太多延迟。MAC地址通知进程（MACnotificationtraps）如果交换机支持MAC地址通知（MAC学习，MAC删除），我们建议您使用它的。这样NAM设备就不需要周期性查询交换机是否获取到主机的MAC地址。当它接收到一个linkUp通知，并且此端口MAC地址通知也启用了，NAM设备仅需要放置此端口到MAC检测VLAN中。当交换机获取到主机的MAC之后，其会主动向NAM设备发送包含主机MAC地址的通知。端口安全Trap（PortSecurityTraps）最基本的形式，端口安全功能能记住连接到此交换机端口设备的MAC地址，并且仅允许此MAC地址的设备去进行网络通信。如果其他的MAC地址设备试图通过此端口进行通信，交换机将不允许其进行网络通信并且发送port-securitytrap给NAM。如果你的交换机支持端口安全功能，建议管理员使用这个功能，而不是使用的linkUp/linkDown/或者MAC通知。为什么？因为如果MAC地址的端口被授权，不论是重新启动设备，连接或者断开设备，交换机均不会发送通知给NAM设备，这大大减少了交换机及NAM设备上的SNMP之间的交互。当启用端口安全通知时，就不需要启用linkUp/linkDown以及MAC地址通知。有线：​​802.1X+MAC旁路认证（MAB）802.1X基于端口的认证，其中包括请求者，认证（如NAS），以及认证服务器（AAA级）之间的通信。请求者通常是一个客户端设备上的软件，如笔记本电脑，验证是有线以太网交换机或无线接入点，认证服务器通常是一个RADIUS数据库。802.1X基于端口的身份验证，请求者（即客户端设备）直到通过认证请求才可以被授权访问网络，同时请求者需要提供如用户名/密码或数字证书给认证代理，认证代理转发认证信息给认证服务器。如果认证信息是有效的（认证服务器数据库），请求者（客户端设备）将被允许访问网络。认证协议被称为可扩展认证协议（EAP），其中有许多变种。请求者和验证服务器都需要采用相同的EAP协议。比较常用的是EAP-MD5、PEAP-MSCHAPv2（在Windows上针对于ActiveDirectory进行身份验证）以及EAP-TLS协议。在此背景下，NAM设备运行认证服务器（支持READIUS）并且可以根据认证信息返回给交换机适当的VLAN。越来越多的设备具有802.1X客户端，这使得这种做法越来越流行。在802.1X客户端不存的情况下，MAC身份验证（MAB）是一些交换机厂商推出的一个新的处理办法。在认证操作超时的情况下，交换机将停止执行802.1X请求者身份验证。并且将进入MAC旁路认证。使用和802.1X相同的方法，MAB使用MAC地址作为用户名并且没有复杂的EAP。使用MAB，如网络打印机或非802.1X功能的IP电话（IPT）的设备仍然可以得到对网络访问的授权和正确的VLAN。现在这种整合是不完善的，因为它可以手动修改涉及RADIUS的模块信息，但我们最新研发的NAM设备中内置802.1X+MAB已经解决了这个问题。无线集成无线802.1X与有线802.1X很多相像的地方，MAC地址认证与MAB认证有很多相像的地方，但是不同的是，802.1X用于设置安全密钥加密通信（WPA2-企业），而MAC地址认证仅用于授权允许或禁止无线网络上的一个MAC地址。NAM设备与无线网络无缝结合。然而，为了让有线接口，交换机，无线接入（AP）能一起有效的工作，其需要一些特定的功能，特别是，AP需要支持：多个SSID并且每个SSID均可划分VLAN支持RADIUS服务器的认证动态VLAN分配（通过RADIUS属性）SNMPdeauthenticationtraps关联站点认证失效管理员可以在AP上设定两个SSID，第一个为游客和未注册的客户保留。对于这个SSID，通信将不加密同时用户将连接到注册VLAN或来宾VLAN上（根据其注册状态）。用户可以通过NAM设备HTTPS认证功能认证并安全的访问SSID。第二个SSID将加密通信为注册的用户。支持网络设备有线设备支持NAM设备支持以下有线设备：交换机SNMPMAC认证802.1X3COMNJ2203COMSS42003COMSS45003COM4200G3COME4800G3COME5500G智邦科技ES3526XA智邦科技ES3528M安奈特AT8000GS阿米尔SS2R24iAvaya(seeNortels)思科2900XL思科2950思科2960/2970思科3500XLSeries思科3550思科3560思科3750思科4500思科6500思科ISR1800Series戴尔PowerConnect3424D-LinkDES3526D-LinkDES3550D-LinkDGS3100D-LinkDGS3200凯创公司D2凯创公司MatrixN3凯创公司SecureStackC2凯创公司SecureStackC3ExtremeNetworksSummit(XOS)ExtremeNetworksEASFoundry/BrocadeFastIron4802惠普E4800G惠普E5500G惠普Procurve2500Series惠普Procurve2600Series惠普Procurve3400clSeries惠普Procurve4100Series惠普Procurve5300Series惠普Procurve5400Series英特尔Express460英特尔Express530Juniper网络公司EXSeriesLGiPecsSeriesLinksysSRW224G4美国网件FGSSeries北电网络BayStack470北电网络BayStack4550北电网络BayStack5500Series北电网络ERS2500Series北电网络ERS4500Series北电网络ERS5500Series北电网络ES325北电网络BPS2000SMCTS6128L2SMCTS6224MSMCSMC8824M-SMC8848M无线设备支持NAM设备支持以下无线设备：AeroHIVEAP系列ArubaNetworks（200，600系列，800，2400，3000系列，6000）Avaya无线控制器思科无线服务模块（WiSM，WiSM2）思科WLC上（2100，2500，4400，5500）D-LinkDWS3026EXSW无线交换机（控制器）惠普ProCurveMSM710Mobility控制器Meru网络无线控制器摩托罗拉的RF交换机（控制器）Ruckus无线控制器Trapeze无线控制器XirrusWiFiArrays接入点NAM设备支持下列接入点：AeroHIVEAP系列思科1130AG思科1240AG思科1250惠普ProCu