Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 5100 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

High Availability Multi-WAN

Corey3443
Afternoon Everyone,

Just a quick question regarding HA. We plan on upgrading our existing hardware and integrating HA (active/passive) but im unsure on how best to tackle the WAN side. 

Quick Overview:
2x 24/5 each Uplink Connections managed by their respective modem. These are in a half-bridge mode with only 1 port out. Both have public IP address blocks. General Internet Traffic + Incoming SMTP Email.
1x 10/10 Uplink attached to our MPLS network managed by our isp, single port out. Only for IPSec/WAF Traffic.

Hardware wise it will either be 2x sg230 or 2x sg310. Now I know im going to have to put a switch infront, plug each uplink into it. My concern is how best to configure UTM.

a) give each uplink its own vlan and use a physical interface per vlan.
b) same as above, but use a single interface or LAG and use tagged vlans trunked to switch.

Currently eth0+1+2 are connected directly to each uplink and have direct access. They receive a public IP and all NAT'ing is handled utm side. They just don't authenticate (modem's handle that)

Im pretty confident in my network skills and have been using utm/asg for many years now but havent setup a multi-wan & HA setup before. 

Just looking for some insight.

Regards,
Corey


This thread was automatically locked due to age.
  • 0
    Corey, I would be concerned that a 310 would be inadequate for 250-to-500 users with Full Guard.  If I were your reseller, I would have you do a 30-day trial with those units, but I would ask you to get the decision makers ready for a budget with 430s.  It's just a guess that you'll wind up with 330s.

    I like the idea of LAGs with VLANs as that should provide a more robust setup.  You might want to combine that with what Astaro called "Full Mesh" in the image below.

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks for the reply bob.

    Corey, I would be concerned that a 310 would be inadequate for 250-to-500 users with Full Guard.

    This setup is for a site of 200 Users with 10 remote (potential growth for more). All our smaller sites (10-50) are using UTM or RED but the old guard wanted to keep the existing hardware for the larger sites So this will be the first medium one to move. We plan on testing the 310's anyways. Reseller actually recommended 230's but I doubt that's enough.

    When we do head-office that will most likely require 4xx series (550 users + 50 remote). This is currently being serviced by utm running in esxi.

    I like the idea of LAGs with VLANs as that should provide a more robust setup.

    Yea i've setup other vendors in a similar fashion but as this was my first HA with utm I figured id ask.
  • 0
    The 310 has half-again as much RAM as the 230 and a significantly more powerful processor with AES-NI.  In the USA, the cost difference for renewing 230 and 310 Full Guard is only about US$600/year, so I can understand your better-safe-than-sorry approach.  I mention this when speaking of upgrading from a UTM 220, but I normally only quote the 230 unless the client wants to do as you.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML