Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 3 subscribers
  • Views 13916 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

EAP600, Cisco SG200-8P, VLAN, UTM9 connectivity

Mike_Cunningham
Hi,

This is a new thread based on previous posts to - https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21968

To summarize:

I implemented a VMware hosted software appliance UTM9 at a client, to replace a Netgear WNDR3800 router/WAP. The 3800 had 4 wireless zones, 2 production and 2 guest.

Once moved inside/behind the UTM9, the WNDR3800 Guest zones were no longer operational. This was unaccepable to the client, so I started a support ticket with Netgear.

The short answer (after 6 weeks of back and forth with Netgear) is the WNDR3800 does not provide this functionality, in any capacity, when it isn't directly connected to the ISPs modem.

At the same time, I posted to this forum and used recommenations here to purchase an Engenius EAP600 WAP and a Cisco SG200-8P VLAN capable switch.

Not wanting to arrive at the clients' with an untested solution, I have tried to setup the WAP and Cisco switch on my home UTM system, which is similar in topology to the clients' infrastructure. So far, I have been unable to get this 'system' working, and have reached out to this forum for guidance and assistance.

Current Home setup:

UTM9 software appliance with Home license running on a white box PC with 3 NICs.
- NIC1 - Local network - LAN - feeds a dumb GigE switch
- NIC2 - directly connected to a WNDR3800 for home wireless
- NIC3 - directly connected to ISP cablemodem - WAN

The local network has two VMware hosts, plugged into the dumb switch.

Provisional test changes/setup:

Configurethe EAP600 and the Cisco switch using a directly connected laptop.
Replace the dumb switch with the Cisco SG200-8P.
Plug the EAP600 into the Cisco switch.
Plug the VMware hosts into the Cisco switch. 
Change the UTM9 LAN interface from Ethernet static to Ethernet VLAN.

This is where the wheels fall off - nothing works as I expected.

I don't know if it's the WAP, switch, UTM9 or a combination of wrong configs.

Mike


This thread was automatically locked due to age.
  • 0
    Hi Mike,

    1. make sure the Cisco switch is in 802.1q VLAN mode and not Cisco's proprietary VLAN mode

    2. make sure you've tagged/trunked all your relevant VLANs on the switchport going to the UTM, and to the AP.

    3. make sure you added a virtual interface in the UTM for each VLAN

    Please post screenshots of the VLAN settings in the UTM, and the switch settings.

    Can you ping anything?

    Barry
  • 0
    Hi Barry,

    The Cisco 200 series has no CLI, web gui only.
    The only reference I can find to Native VLAN is in the individual port configuration but I'm not sure it's applicable to what you referenced.

    I would like to back up a bit and start with a review of the EAP600 and SG200-8P configurations, because as soon as I change the UTM NIC to Ethernet VLAN, I lose connectivity to PCs and see spoofed packets on the UTM.

    (I'm making all the configuration changes via the WNDR3800 wireless connection, unless that gets hosed. Then I connect a different laptop directly into the WNDR3800 or the SG200-8P).

    Further connection details:

    SG200-8P connections -

    Port 1 - PoE - connected to EAP600
    Port 2 - 4 PoE - no connection.
    Port 5 - connected to VMware host 1
    Port 6 - connected to VMware host 2
    Port 7 - connection for configuration laptop #2.
    Port 8 - connected to UTM9

    I will port some screenshots of the various configurations shortly.

    Thanks,

    Mike
  • 0
    Morning Mike,

    Been on the road most of the week playing catchup at work. One of those weeks. [:)]

    Looking over the config, ports g1 and g8 appear setup correctly as far as tagging goes. I'd prefer to see g1 in Trunk mode but general should work.

    The other ports however, aren't setup correctly. Ports g2 - g7 are set to use VLAN ID 1 as their native VLAN. Assuming you want wired traffic on a different network from wireless, you'd want to set those ports PVID to a different value, say 10, then set g8 to accept VLAN 10 traffic as tagged.
  • 0
    Thanks Andrew.

    Let's say that I don't want to separate  VLAN_24 and VLAN_50 (wireless production zones) from the wired traffic on Cisco ports 5-7. I'd like the UTM9 to serve up DHCP to all the LAN connected PCs and those 2 VLANs.

    Would my current configuration (as is) work then?

    Let me clarify - at the customer premises, there is an existing dumb switch where the hardwired PCs, printers and fax are connected. I want the wireless PCs that connect via VLAN_24 and VLAN_50 to be able to have the same access permissions (DNS, FTP, HTTP/S and email) as the hardwired, and for all devices to be able to 'see' each other (Netbios).

    VLANs 1024 and 1050 will be Guest zones, with no access to the local network. VLANs 2024 and 2050 will be BYODs with again no access to the local network.

    Thanks,

    Mike
  • 0
    Hi Mike,

    In that scenario, you really don't need that many unique VLAN tags. Each unique tag represents a unique network so what you would do is define a series of VLAN tags that represent each unique network, then tag in each device/SSID to that network.

    For example, LAN would be 100, Guest: 200, BYOD: 300. On the WiFi AP you'd set each SSID's VLAN tag to match which network it belongs to. On the switch, you'd set those hardwired ports to "access" mode with the PVID matching the VLAN they should be part of, 100 in this case.
  • 0
    Hi,

    FYI, VLAN's 0 and 1 are not supported by the UTM.

    Barry
  • 0
    Thanks Andrew and Barry - 

    Out of town until last night with no connectivity - not a reflection of the importance of this issue to me...

    A couple of questions -

    Can different BSSIDs have the same VLAN tag - i.e. can the production VLANs ( 2.4Ghz and 5.0Ghz radio base BSSIDs) both be assigned VLAN 100? Same question re Guest and BYOD VLAN(s).

    What about the management VLAN on the Cisco switch, currently set for VLAN 1 - which the UTM doesn't support? Set to 100?

    What about the DHCP server on the UTM? I guess I'll need 3 of them, one for each network (VLANs 100,200,300)?

    Thanks - Mike
  • 0
    Hi Mike,

    On the Engenius I believe you can set different SSID's with identical VLAN tags. Otherwise you couldn't have the same SSID showing in two bands on the same network.

    On most switches, including yours from what I read, you can set the management interface to whatever VLAN you wish. As you can with the Engenius. The only gotcha (I've been bit by this) is make absolutely sure you can access the VLAN from an outside device before you switch over the management interface. Doing like locking yourself out because you couldn't join the laptop to the management VLAN. [:)]