Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1906 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLAN Ethernet: When to use?

IngoPohlschneider
Hello
I support a ASG 425 that is currently configured with several VLANs on the lag0 interface.

I wonder if this is required...

1) There is a coreswitch that does the routing between this VLANs anyway (so ASG is not involved in any filtering between VLANs...I guess that would be a usecase for using VLAN-interfaces in the ASG?)

2) The core switch has a default route set to one of those IPs of the ASG

Wouldn't it be smarter / less cluttered to configure just one standard Ethernet Interface with that IP address and kick out all the other VLAN-Interfaces?

Best regards and sorry for the pretty basic question


This thread was automatically locked due to age.
  • 0
    It depends on what you like to do and how everything fits together.

    Question: How are you using Web-Proxy? Transparent?

    When you drop the VLANs, you need backroutes for every network, from Astaro to coreswitch.

    Sven
  • 0
    Hello
    we are currently using the standard proxy but thinking about transparent mode.
    Not sure though since the question of user-based filtering is not solved yet.

    What do you mean by backroute?
    We got two static routes to ship traffic of internal networks back to the Coreswitch or MPLS-Router depending on the internal network
  • 0 in reply to IngoPohlschneider
    I'd think that if the VLAN interfaces on the ASG aren't being used, it wouldn't hurt to remove it.  Or just disable it and see if any issues pop up. If they don't just delete it.

    Sounds like the switch handles VLAN traffic between LANs and your ASG just handles internet traffic?  Does your switch do any filtering between the LANs, or are the VLANs just setup to break up broadcast?
  • 0
    Hello
    yes that is correct.
    The VLANs are used to break down broadcast traffic and via IP helpers to separate the network into subnets which are handled by different DHCP-subnets.

    A few days ago I tried to do just what you suggested:
    I deactivated all VLAN-interfaces where i thought there shouldn't be any dependencies. But the ASG wasn't reachable anymore from the LAN afterwards (not even on IPs where I didn't deactivate the interfaces)

    Best regards
  • 0
    try a traceroute from the different subnets to the ASG, then you may be able to figure out how the packets are routed.
    Personally I would let the ASG handle the VLAN-routing. I believe it does a better job in routing than most L3-switches do and you also get the capabilities of the ASG (real firewall in stead of ACL's usually available in switches).
  • 0
    Hello
    I checked more closely for dependencies and routing settings. now got rid of the unneeded interfaces without any issues.

    I don't agree on that since there are currently no internal restrictions between networks. Therefore using the VLAN-Interfaces would only generate additional load on the ASG w/o any other benefits. 

    Best regards
  • 0
    All right, no problem. Good you could clean up some interfaces.