Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 4712 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Two ASGs (HA) with dual WAN connected to VLAN

noregrets
I'm making some network changes and plan to end up with the configuration seen in the attached network diagram.  Here is the scenario:

- Two ASG 220s connected in HA active-passive mode
- Two Internet connections from different ISPs
- HP 5406 zl layer 3 core switch/router
- Two WAN VLANs on the 5406, one for each Internet connection. They will not be routable to other VLANs on the 5406; they will just be used to distribute the Internet connections to the ASGs.
- An Internet VLAN on the 5406 that will service the other VLANs on the switch with an Internet connection.  It will have two ports - one connected to the Internal/LAN port of each ASG.
- There will be a static route on the 5406 directing all packets that are destined for a network that is not one of the routable VLANs on the switch to the ASG, which will be accessible via the Internet VLAN.

I already have the the two ASGs working together as an HA unit.  I also have dual WAN working, but the connections are distributed using simple, physical 5 port switches.  The new piece is the 5406 and the VLANs on it.

Does all this look ok from a functionality perspective?  Do I need to define any static routes from the ASGs back to the Internet VLAN on the 5406?  Anything else on the ASGs I need to set up?

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    For some reason, your png won't display in IE9 on my Win7.  It seems like the easiest would be to duplicate your multi-switch approach in the 5406.  That is, at Layer 2, isolate three ports each for each WAN connection and use the other ports for your LANs.

    If you have a DMZ, you might benefit from creating VLANs for your LANs on aggregated NICs.  If you do make that change, be sure to leave one that's not aggregated+VLANed as a backup management interface.  Depending on the age of the 220s, eth4-eth7 might be 100Mb instead of GB like eth0-3.

    Cheers - Bob
Reply
  • 0
    For some reason, your png won't display in IE9 on my Win7.  It seems like the easiest would be to duplicate your multi-switch approach in the 5406.  That is, at Layer 2, isolate three ports each for each WAN connection and use the other ports for your LANs.

    If you have a DMZ, you might benefit from creating VLANs for your LANs on aggregated NICs.  If you do make that change, be sure to leave one that's not aggregated+VLANed as a backup management interface.  Depending on the age of the 220s, eth4-eth7 might be 100Mb instead of GB like eth0-3.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Thanks for your advice.  I attached a jpg version of my network diagram. 

    Yes, replacing the physical switches with 3 port VLANs on the 5406 is what I'm planning to do.  Thank you for confirming that.  Will I need to create any static routes from the ASG back to the 5406?  I don't have any configured now, but I wasn't sure if it would be any different since I will be sending the Internet connection to the LANs using a VLAN on the 5406 rather than a physical switch.

    I do not have a DMZ configured at this point, but I will need to add one soon.  Could you please elaborate on the way you recommend configuring it?  I'm not exactly sure what you mean and why it is beneficial to do it that way.

    Thanks!
  • 0 in reply to noregrets
    Hi Noregrets,

    Looks from your diagram that you're wanting to attempt the same thing I've tackled at our head office. We're running 2510G's and a single WAN link so while not exactly the same, the idea is methinks.

    From a functionality standpoint I can't see any reason why it shouldn't. You're basically moving from physical switches to VLAN's so the big thing is to make sure the VLAN's are properly configured at all three points (ISP, Switch, ASG). There shouldn't be any need for any Layer 3/4 features of that switch in this case.