Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 47 replies
  • Subscribers 4 subscribers
  • Views 58264 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Netgear VLAN Switch config guide

BarryG
This is not Astaro-specific, but seeing as the Netgear 'Smart' VLAN switches are good choices for home and small-office use, and as I and other Astaro users have found it rather confusing to configure, I'm posting it here.

I have a Netgear GS108T 8-port 'smart' switch, which supports VLANs and gigE. All of their 'smart' models are probably similar to configure.

Astaro stuff:
First, make sure your NIC in your firewall supports VLANs according to the Astaro HCL, or ask on these forums if you're unsure.

Setup the VLANs as New Interfaces (Ethernet VLAN) in Astaro.


Netgear specific stuff:

1. In the switch configuration, make sure you're using 802.1Q, not Port-Based VLANs on the VLAN Configuration page.

2. Make sure the firewall is the Trunk for ALL VLANs you're using.

3. Configure ALL 3 sections of the VLAN Configuration section:

a. create an ID and Name for each

b. On the VLAN Membership page, 
For each VLAN,
Untag (U) each port that is part of that VLAN
and
Trunk (T) the firewall port

4. On the Port PVID page, Set the PVID (VLAN ID) for each port.
This was confusing for me, as I thought it only applied to Port-based VLANs (wrong).


Notes on my config:

I have the firewall on port1, which I also have as VLAN1, but that VLAN is not actually used for anything (you can see it's Untagged for all ports). I did this more to keep from messing up VLAN1 (the default VLAN) in case I needed it for troubleshooting, and because it is unclear what to do with a Trunk.

VLAN 13 is my trusted LAN

VLAN 10 is my DMZ for my webserver.

VLAN 11 is my untrusted LAN for guests and WiFi. I have my WiFi AP plugged into this VLAN, and am using the AP as a switch for my printer, etc. as well as for wireless.


Reasons to use VLANs at home:

You can have an External connection, plus multiple LANs and/or DMZs with only 2 NICs in the firewall. 
It may even be possible to have only 1 NIC, although this would be slightly less secure as you're putting your switch on the internet.
For me, this allows me to go from a tower pc to a (very low power) mini-ITX system without spending an extra $100+ for a motherboard with an option for a 3-port 'daughterboard' or other expensive setup. 

Also, it allows me to get a fanless Atom system with 2 Intel gigE NICs as opposed to a VIA with Realtek NICs. 
(My Atom system is still in progress as the NICs won't work _at least_ until Astaro 7.402 is out, but I've ordered the hardware anyways.)

The 'smart' 8-port switch was only about $45 more than a base-model Netgear gigE switch, cheaper than extra NICs would have been, and I wanted to upgrade to gigE anyways.

Pics of my Netgear config attached.

Barry


This thread was automatically locked due to age.
  • 0 in reply to BarryG
    Hi Barry,

    Thanks a bunch for the tutorial on getting the GS108T working with ASG VLAN's.  It was a great time saver for me as I woke up this morning not knowing anything about VLAN's.  
    Here's some info about my configuration and a few things I learned during this process.  Hopefully others will find it helpful.

    I've got the GS108T & ASG configured with two VLAN's, but needed something a bit more advanced.  

    I have a server with one Intel NIC that supports VLANs and I wanted the Host OS (Windows) to be accessible from my "Internal" network.  I also run VMware Server with Linux as a Guest OS (for Apache/HTTP server).  I wanted the VMware guest OS to only have access to my "DMZ" VLAN.

    Here's the setup I have:

    I have two VLAN's in ASG.
    Internal-192.168.0.1 (VLAN 2)
    DMZ-192.168.1.1 (VLAN 4)
    I have my main network switch on VLAN 2 (on physical port 2 of the GS108T).
    I have my Server (described above) on VLAN 4 (on physical port 4 of the GS108T).

    The trick is, when configured as Barry described (using IEEE 802.1Q VLAN Type/Mode), you need to make the port your Server is directly plugged into a "T" (instead of a "U") on the "VLAN Membership" page.  For my setup, I had to do this twice (once for each VLAN (2 & 4 in my case)).  I initially JUST had the port that goes to my ASG as a "T" (and all other ports a "U"), but this doesn't allow the tagged VLAN traffic to reach the Server.

    In the Server, I have an Intel CT Gigabit PCI-Express card that supports VLANs.  It's simply a matter of going into the CT card's configuration, and in my case, I created two VLAN's on the card (VLAN ID 2 & VLAN ID 4).  This in turn creates two new NIC's in Windows (one on the 192.168.0.x subnet, and one on the 192.168.1.x subnet with my setup as configured in ASG).

    Now, it's simply a matter of setting up VMware to use the "DMZ"-bound NIC, and Windows to use the "Internal"-bound NIC.
  • 0 in reply to BarryG
    Hi Barry,

    Thanks for the info with the Netgear. I'm struggling a bit trying to configure a similar setup so perhaps you could provide some insight. This is my current setup.

    System:
    HP x4000 Workstation
    Intel Quad Port gigE card
    Operating System:
    VMWare ESX 3.5

    Switch:
    GS108T

    My ASG (v. 7.5) is a Virtual Machine in ESX. It has 2 interfaces: eth1 is the external interface and it gets its IP (192.168.1.4/24) through DHCP. eth2 is the internal interface and is configured with a VLAN of 300. It has a static IP of 192.168.2.1/24 and has the DHCP service enabled starting with 192.168.2.2 - .254

    In ESX, I have connected both of these interfaces to a virtual switch (lets call it Security) and is connected to 1 physical adapter (vmnic1) with no VLANs. This physical adapter is connected to port 2 on my GS108T.

    I also have another virtual switch with a windows XP machine on it. (lets call this Production.) I have configured this with a VLAN of 300 as well. It's connected to another port on the card, vmnic4. This adapter is connected to port 5 on the GS108T.

    On my GS108T, I've configured as you've described (i.e: VLAN 300 configured, port 2 on the switch is Trunked, port 5 is Untagged).

    What I'm trying to do is get my Windows XP to obtain an IP from eth2 through DHCP and then connect to the internet through the external interface of the ASG. 

    From the XP box, I can't ping the internal interface and can't get an IP. Thoughts? I'm not sure if this is a routing issue or if I haven't configured the VLAN's properly, or perhaps a VMware configuration issue.
  • 0 in reply to Meenstrk
    Try changing Port 5 from "U" to "T" (tagged).  If you configured your Windows XP machine to run on VLAN 300, you'll need Port 5 Tagged in order for it to pass the VLAN 300 traffic that Windows XP will be looking for.  

    It's my understanding that "Untagged" ports are used when the devices connected to those ports are not configured to work with a VLAN (e.g. unware of VLAN).
  • 0
    Normal PCs should be on Untagged ports (untagged for the correct VLAN).

    As far as Pings go, make sure you have the ICMP options enabled in Astaro (Network Security - PacketFilter - ICMP).

    I'm not familiar with how VMWare handles VLANs, so I don't know if the problem lies there.

    Barry
  • 0 in reply to BarryG
    Anyone still needing help on GS108T and ESX and Astaro VLAN setup?

    I would gladly provide help on this topic, I think i do have some expierence in that consteallation because I run my whole home network two GS108T, two ESXi and an Astaro with 5 subnets on different VLANs all trunked to one physical NIC in ESX.

    Regards Sebastian
  • 0 in reply to sebim
    Hello Friends !

    i have purchased Netgear gs108t switch ,(hardware version 1.0.1 ,update latest firmware ) 

    i have 2 systems 

    1st is ASG on vmware esxi with 1 physical NIC  and 2nd is ASG on assembled pc atom based intel d945gclf with 1gb and 160 gb hdd with 2 nic  (i tryed to configured it on vmware based system )
    i am running asg on esxi with ubuntu on dmz for web server  and Windows 2008 r2 on lan for mail server 


    I am struggling to configure this switch from last 10 days 

    which ip i suppose to use for netgear /do i have to use netgear as a dhcp client from ASG 
    what suppose to configure 1st (netgear or asg for VLAN )

    never configured any managed switch 

    can some one please help me 

    thanks
  • 0
    Hi utm_kid, 
    Give the netgear a static IP on one of the LANs.

    You'll need to configure the Netgear from the LAN, and you'll need to configure the firewall from the EXT interface or a spare interface, as you won't be able to use the VLAN interface until the VLANs are all configured.

    I'd recommend configuring the switch first, but it doesn't really matter.

    Barry
  • 0 in reply to BarryG
    Hi Barry,

    many thanks for this guide. I have purchased the GS108T v2 and brought in up working with this guide in 5 minutes. [:)]

    best regards Christian
  • 0
    I noticed today that my internal NIC on Astaro (7.509) was running at 100/full instead of 1000/full.
    Not sure if this is a problem with the Netgear switch or the NIC or Astaro, but setting it to 1000/full manually worked.

    Barry
  • 0 in reply to BarryG
    Hi Barry,
    I have found that I can't all the ports on the GS108T to operate at 1ghz even with a 1ghz device connected to it. First 2 ports seem to work okay, but the rest only want to run at 100mhz.

    Need to shift some devices around to see what happens.

    Ian M