[SOLVED] VLAN/DHCP Issue with Cisco switch

Hi, I'm not sure I understand your terminology re "access port".

Did you create any virtual interfaces within the VLAN interface?

Is the switch Tagging/Trunking all the traffic to the firewall?

I posted a howto for Netgear switches at
https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32409

Barry

An access port as in it is just a standard (non-trunked or .q port) - I am operating a Cisco switch.  I assigned the VLAN via a port-based option, so there is no tag, but is statically assigned to the VLAN.

I'm not sure if I created a virtual interface?  I created a new VLAN interface under the Interfaces options in the UTM console, then added a DHCP server to the hardware interface.

The port need to be trunk.

I just switched it to a trunk port, assigned it to both vlans. 

I have tried setting the PVID to each vlan number as well - tagged and in tagged. No go on any of them. 

I can get it to work as a standard Ethernet interface, but that won't allow me to isolate traffic, even if it is a different subnet and I deny traffic to the private network. 

Any other ideas why it doesn't issue DHCP requests as a vlan interface. It is a separate physical NIC...

Here are images of my Cisco SLM-2024 swtich that shows the port/vlan configurations.

Port GE12 is the uplink to the new NIC in the UTM.  The NIC is tagged with a vlan of 10.

I have an Intel PRO/1000 PT Quad Port (PCI-X Intel 82546EB) controller which is on the HCL.  Hopefully these help as I am out of ideas on my end.

Hi, 

1. can you also show the Interface configuration from the UTM?

2. Is the cisco equipment in 802.1Q mode, or cisco proprietary vlan mode?

Barry

1) Attached please find the UTM config sections.  I have taken a few different screenshots.  

2) I believe they are 802.1q mode (according to the documentation they are created in the mode by default).  I took a screenshot of the uplink port to the UTM VLAN interface and attached as well.  I created the vlan, it didn't ask what type, but the port is in Trunk mode.  There is an alternate option that says Q-in-Q mode.

Hi, Your config in the UTM looks fine.

I don't really know Cisco well enough to say if it is right, but what is the difference between a 'General' port and an 'Access' port?

Also, is your 'Internal' NIC on a different switch?

Barry

OK - I have it fixed and working properly.  I don't think the firmware I was running properly configured Trunk ports.  I updated the switch to the latest firmware, reset to factory defaults and configured the uplink port to the UTM as TRUNK (the same as originally) and it is working now.

An 'access' port in Cisco terms is a non-trunk port.  It can only be assigned 1 VLAN and will not support tagging or communication with other VLANs (if assigned vlan 5 - it will only communicate to vlan 5).  If you don't want to risk the possibility of a machine connecting to the wrong VLAN, or a malicious user performing attacks to traverse into a restricted VLAN (vlan hopping), then you configure it as an access port.

I have never heard of a 'general' port in Cisco until this version of switch I bought (although I have strictly configured them via the CLI and IOS commands).  All the documentation I have read says to stick with TRUNK and ACCESS ports.

I have posted the configuration of my VLANs for reference (GE12 is the uplink to the separate physical NIC on the UTM configured for the isolated VLAN).

Thanks for the update. I'm updating the title of this thread to make it easier for other Cisco users to find.