Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 6935 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM as Layer-3 VLAN router/switch???

tuxi
Hi to all of you,

excuse my noob question, I am new to all this VLAN stuff.
I want to build a new network which should get split up into several VLANs.

Now I read a bit about VLANs and as I read a layer 2 switch is not enough for setting up VLANs?

So what I read is that there is a need for a layer 3 switch or router.

My question: I have a virtualized UTM (ESXi 5u1) - is this UTM able to do this layer3 router thing?

I'm really sorry for not being able to describe better what I want to do.
Please just ask if I wrote something which is not understandable.

Greetz,
Michael


This thread was automatically locked due to age.
  • 0
    Hi, if all of the switching will be within the ESXi server, I believe you can use a virtual switch in ESXi (with VLAN tags).

    Otherwise, you need a VLAN switch.
    You probably need to dedicate a physical NIC in the ESXi server to the Astaro VM.

    Once you have that, Astaro can do the routing (and firewalling and IPS) between the VLANs.

    Barry
  • 0 in reply to BarryG
    Hi Tuxi,

    Welcome to the fun world of VLANs. [:)]

    The UTM is considered a layer 3 device so you don't need a special layer 3 switch to achieve what you want, what you do need is a 'VLAN capable' layer 2 switch, a good example being the HP Procurve 2510 family.

    ESXi also supports VLAN's so the Astaro UTM will do inter-VLAN switching just fine.
  • 0
    Yep, the deployments I do as part of my job work with multiple interfaces in VMware with different VLANs. Just need to make sure the VLAN is defined when creating the network on the vSwitch, and you are using a layer 3 switch with the used VLAN's tagged on the port running to the UTM (most cases this is your ESXi node uplink).
  • 0
    Hi,

    thank you all for your answers.
    I'm afraid I don't get it.

    So what do I need now?

    Can the UTM do the routing stuff between multiple VLANs when Layer-2 switches are used? I have the idea of putting the ESXi machine into a trunk port?

    Or do I have to use a VLAN routing layer-3 aware switch?
    I'm testing with D-Link DGS-1500-28 but this one only support 4 vlan ip's - but I only can set up vlan ip's for the default vlan and for two more vlan's.
    So with this switch I don't have enough vlan ip's... Not good.

    If I need a better layer-3 switch - which one do you prefer?
    It shouldn't be too cost-intensive...

    Michael
  • 0 in reply to tuxi
    Can the UTM do the routing stuff between multiple VLANs when Layer-2 switches are used? I have the idea of putting the ESXi machine into a trunk port?
     Yes it can. As I stated earlier the UTM is a layer three device that is Layer 2 VLAN aware. Admin preference but I use the UTM this way.

    Or do I have to use a VLAN routing layer-3 aware switch?
     You can do it this way as well. Even going this route you'll still need to make the UTM aware of the various VLANs.

    I think there's some confusion here. VLANs are a Layer 2 concept whereas routing between networks is a Layer 3 concept. A VLAN is just a way of allowing a physical switch to segregate itself into multiple logical switches.

    The traditional way of doing VLAN's is to use a Layer 2 VLAN switch and designate which ports belong to what VLAN. A trunk port is then designated which is attached to the router. That trunk port supports multiple VLANs and tags each packet with the corresponding VLAN id.

    The router is aware of each VLAN tag and knows what IP subnet each one belongs to so when a packet comes in tagged as coming from VLAN-10 with a destination IP in VLAN-20, it marks the packet with the new VLAN id and forwards it back to the switch. The switch then sees the new VLAN id and forwards it to the correct device on the second VLAN.

    All a Layer 3 switch does is embed a basic router, like I described above, into the switch itself. The primary advantage of a layer 3 switch is that it can typically maintain wire speed between VLAN's whereas a Layer 2 switch has to share the trunk port with other VLAN's so the bandwidth is limited to the trunk port.

    Excluding some of the smaller SOHO devices, most of the Layer 3 switches I've seen are typically $500-$1000 more expensive per device then a comparable Layer 2 only device. The Layer 3 version of my primary switch at work is around $3000 whereas the Layer 2 is only $2000. Given I already forked over $1200 for my Astaro, there's no sense spending the extra $$$ as I don't need wireline speeds between VLANs.[:D]
  • 0
    Hi, any L2+VLAN switch is fine.

    I'm using a Netgear 'smart' switch; they're a couple hundred for 24 ports.

    Barry
  • 0 in reply to tuxi
    I'm testing with D-Link DGS-1500-28 but this one only support 4 vlan ip's - but I only can set up vlan ip's for the default vlan and for two more vlan's.
    So with this switch I don't have enough vlan ip's... Not good.


    I think you're doing something wrong...
    D-Link | DGS-1500-28 24-Port Gigabit SmartPro Switch, 4 SFP Ports

    Says it supports 4094 VLAN IDs (VIDs), or 256 'dynamic VLANs', whatever that means.

    Barry