Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 19 replies
  • Subscribers 0 subscribers
  • Views 9564 views
  • Users 0 members are here
Options
Suggested

[9.165] [ANSWERED] RED50 VLAN per port

maygyver
Hi,

how do I use this feature?

I have one RED50. I set each Switch port to untagged an VLAN 11,12,13,14.

What I have to do next? Setup four VLAN Interface onto the red50 Interface each with 11,12,13,14 as VLAN?

Why do you have an Option untagged/drop tagged. Is there a usecase for this? Normaly a switchport drops tagged packets, when it is an untagges access port. What is the diffrence between port Option untagged and untagged/drop tagged.



Sven
  • 0
    Hi Sven,

    So here is an overview regarding the definitions of the LAN modes if the Switchport configuration is VLAN. To use this feature the RED50 Interface must be Type "Ethernet VLAN".

    -> Untagged: Ethernet frames with the VLAN IDs specified in the LAN VID will be sent to this port, so traffic will pass. The frames are sent without tags. Only one VID can be configured here, and basically should be the same with the VID you configured on the Eth VLAN interface.
    -> Untagged, drop tagged: Ethernet frames with the VLAN IDs specified in the LAN VID(s) will not be sent to this port, so traffic will be blocked. The frames are sent without tags.
    ->Tagged: Ethernet frames with the VLAN IDs specified in the LAN VID(s) will be sent to this port. The frames are sent with tags, and the end devices have to support VLAN. Frames without VLAN IDs will not be sent to this port. This port allows up to 64 different VLAN ID(s) separated by comma.
    ->Unused: This Port is closed. No frames with or without VLAN IDs specified in the LAN VID(s) will be sent to this port.

    I would advice, if you want to test this feature, to use a Layer 3 Switch capable of VLAN tagging, and set few ports to tagged, and some to untagged. Then configure the handling of the traffic on UTM side, afterall the feature purpose is to classify the traffic.
    For ex:
    -> SW port 1 tagged Vlan 11 ----------|     Configure the RED sw port to tagged 11,12 - traffic should pass tagged
    -> SW port 2 tagged Vlan 12 ----------|
    -> SW port3 untagged     ---------------> Configure the RED sw port to untagged - traffic should pass without any tag
    -> SW port 5 tagged Vlan 13  ------> Configure RED sw port to untagged drop tagged traffic - traffic issued from VLAN 13 should be dropped

    I hope this is useful. All the best,
    Bianca
  • 0 in reply to Tinkerbell
    Hallo,

    ich muss hier leider mal auf deutsch wechseln.

    Leider verstehe ich die Einstellungen am RED50 nicht, da die Einstellungen nicht gleich zu den Einstellungen sind, die ich von Switchen kenne.

    Im Switch Bereich verhält sich ein untagged Port so, dass er nur untagged Pakete annimmt und dann für den weiteren Transport das Paket tagged. Demnach verstehe ich die Option Einstellungsvarianten "untagged" und "untagged/drop tagged" nicht.

    Aus dem Switch Bereich kenne ich folgendes:
    "Access port" mit genau einer VLAN IDs untagged.
    "Trunk port" mit einer oder mehreren VLAN IDs alles tagged.
    "Hybrid port" mit einer VLAN ID untagged und einer oder mehreren VLAN IDs tagged.
    In der Hybrid Variante ist die PVID (Parent VLAN ID die unttaged VLAN ID)


    Unabhänig davon, wie muss ich auf der Sophos UTM Seite das Interface einstellen?
    Beispiel: 
    RED50:
    port1: untagged 11
    port2: untagged 12
    port3: untagged 13
    port4: untagged 14

    Muss ich dann auf der UTM Seite vier Interfaces mit den entsprechenden VLAN IDs anlegen?

    Danke
    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0 in reply to maygyver

    Muss ich dann auf der UTM Seite vier Interfaces mit den entsprechenden VLAN IDs anlegen?


    Würde ich jetzt mal vermuten, was soll die UTM sonst mit den VLANs anfangen?

    Gruß Robert
  • 0
    Thanks for reporting. We are now tracking this as Mantis ID #29816
  • 0 in reply to Astaro Beta Bot
    Hi there,

    I opened an ID for the PM to hopefully rephrase the types of Lan Modes, to match the switch world terminology (aka switchport trunk, switchport access, hybrid) according to 802.1q standard. Also the online help should be improved for a better understanding of these modes.

    The way its addressed now on the UTM vs ieee 802.q:
    -> access: our "Untagged, drop traffic"
    -> trunk: our "Tagged"
    -> hybrid: our "Untagged"

    BR,
    Bianca
  • 0
    The Mantis ID #29816 is now under investigation. We are planning to release a fix for this issue in Version 9.200.
  • 0 in reply to Astaro Beta Bot
    I think the problem is not how to label the RED50 configuration options according to what is used in the switches area, but to really understand how VLAN tagging is actually implemented in RED50, which might be a bit different. Therefore, the following diagrams might help you to get a better understanding of the feature. We are open however for suggestions how to rename the options if they are misleading.
  • 0 in reply to beccus
    @Tinkerbell,@beccus

    Thanks, for your help. I got it.
    I think the best way is to label it according 802.1q.
    This way everyone is able to understand it.


    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0
    Hi Sven,
    the 802.1q standard you mention also seems to be a bit ambiguous in the nomenclature. However, we are willing to rename the config options. Is what tinkerbell suggests identical with what you would expect?

    "Untagged, drop tagged" => "Access"
    "Tagged" => "Trunk"
    "Untagged" => "Hybrid"

    Thank you.
  • 0 in reply to beccus
    After internal discussions we decided to not rename the various VLAN  config options. We will make sure, however, to extensively document the  feature in the online help to make sure everyone understands the use  cases.
Unfiltered HTML