Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 547 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

License Count issue

MarkMurphy
I have a couple cisco SG300 Managed switches and 4 total VLANs defined. I have one of the switches in Layer 3 mode for routing between the VLANS. The fire wall is plugged into VLAN21 and records all the devices on that VLAN. However the other 3 VLANS that route through the Layer 3 switch and then out the firewall does not show up in the License list. This is not NAT switching just plan layer 3 routing internally. I would think the firewall would also count all those IP address from VLAN20, VLAN10 and VLAN1.

Anyone know why the firewall does not count the other VLANS?

Thanks


This thread was automatically locked due to age.
  • 0
    Hi,

    If the switch is doing routing instead of 802.1Q VLANs with a Trunk to the UTM, then the UTM won't see your internal/intra-VLAN traffic.

    It should see the traffic from those VLANs when they hit the internet though.
    You're sure there's no NAT?
    Try a sniffer; tcpdump is available on the UTM console or ssh shell.

    Merry Christmas,
    Barry
  • 0
    Thanks Berry, This is what I have setup
    I have 3 internal VLANS VLAN1, VLAN20, VLAN21 
    VLAN21 = 192.168.21.0/24
    VLAN20 = 192.168.20.0/24
    VLAN1 = 192.168.3.0/24

    The Layer 3 switch is routing internally all 3 VLANS with a remote gateway of 192.168.21.1 (Firewall Internal interface) so 0.0.0.0/0 routes to 192.168.21.1 from the Layer3 switch. and all the other subnets route internally on the switch.

    The Switch VLAN21 Interface is 192.168.21.3 and I have a static route on the firewall  to VLAN20 Switch Interface 192.168.21.3) and VLAN1 Switch Interface (192.168.21.3) so that traffic going to those VANS from VLAN21 interface can get routed.

    All VLANS can access the internet through the firewall. I also had to create a Masquerading rule for each of those subnets to the firewall external interface to allow the firewall to pass the traffic as well as firewall rules using those internal network definitions. Since I had to create these rules I am confident that the firewall is seeing these IP address from these networks unchanged.

    I do not have a device capable of doing NAT internally so I am sure this is not being used.

    Since the only IP address I see in the Lic count are all from the 192.168.21.0/24 network and this is the internal firewall interface it would seem that the firewall is NOT counting other subnets behind it.

    I do see logs on the firewall with those subnets in them. DHCP is providing the following for gateways

    VLAN1 = 192.168.3.3
    VLAN20= 192.168.20.2
    VLAN21 192.168.21.1 (Firewall internal interface)

    The only other thing I could do is set VLAN21 gateway to 192.168.21.3 and let the switch route that to the firewall but I am thinking if I do that then those IP's may also not get counted and the list will be only shorter. Also I figured that since VLAN21 is on the same subnet as the firewall the extra Hop would not be needed.

    Lastly, VLAN10 is the external VLAN not routed internally and has the cable modem on it and the firewall external interface plus a couple Ooma IP phones and has direct connection to the internet.

    I am not using any trunks to the firewall and only have 2 standard interfaces Ext and Int

    I would have to believe there is something strange about how the counts are being tracked as this would be a standard way any enterprise would have there internal subnets setup with one route to the internet through the firewall.
  • 0
    I've seen the same: UTM between two routers only sees the routers for license count.

    At the time I didn't have to worry about the count itself: Appliance followed by Unlimited Software.

    The UTM was routing too. It was an inherited configuration - now entirely replaced and I've moved on.

    Is this breaking something in your environment or just an annoyance?
  • 0
    no issues for me I just thought that this was worth reporting as it seems to make Lic counting pointless and would seem a very common infrastructure setup.