Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 24098 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLAN setup on Sophos UTM 9 with Cisco SG500 layer 3 switch

siemprepeligroso
Hi,

I am new to the forum, so I apologize in advance in case of writing smth stupid.

Our goal, is to create 3 VLANs and seperate the networks between different departements.

 

VLAN1 (which is the default VLAN in the switch) - will be used for IT department and the management.

VLAN100 - will be used for business .

VLAN200 - will be used for guests who need to connect to the internet through WiFi.

 

I have created VLAN100 and VLAN200, and VLAN1 is there by default.

 

I want to use port 13 for VLAN200 and to connect the Wifi access-point there.

 
The uplink is in port 25.



I did plenty of reading on forums but did not come up to a final useful result.

As BAIfson has pointed out in his answer here: https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/29039

There are to approaches for setting up VLANs in a given network, 

1) leave the router to do the routing
2) the layer 3 switch does the routing

I came across this post here: Sophos UTM VLAN Interfaces & Routing on a stick | Network Guy
In my opinion here the router is doing the routing and not the Layer 3 switch? Am I wrong? Can someone please confirm.

When looking at the posts in different forums, to achieve the case where the Layer 3 switch does the routing, something like "allowing multiple subnets in a single interface" has to be done in the router. How can I achieve this with the Sophos UTM 9?

What is the best practice for my scenario? And how can I achieve it?

Best regards,
D


This thread was automatically locked due to age.
Parents
  • 0
    Hello, 
    I am doing simular.  
    As I understand as noted in the post,
    interface GigabitEthernet0/1
    switchport mode trunk
    switchport trunk allowed vlan 1, 100, 200 
    is correct for the trunk. If you use the trunk allowed statement, only the listed Vlans will travel across the trunk. If the trunk allowed statement is left off, all Vlans should normally travel across the trunk. trunk allowed  lets you prume vlans and only listed ones are passed.
    Where I work we only use the trunk allow statements on the core and maybe distribution switches but never on the access switch trunk ports. 

    I need to look up the tagged or untagged vlans on Cisco.  Maybe the allowed statement forces the packets to be tagged or puts the trunk in a tagged mode???

    I have a c3550-12G layer 3, but not using the routing. I have all my Cisco switches set to vlan 10 for all my traffic and all internal network is working fine. I can even web into the UTM when using the Vlan interface and ping it. But I can not get out to the internet.
    I think I am very close.
    Interface  eth0 is set to Vlan, DHCP scope are created for my vlans. DNS is enabled on all vlans. 

    Switch: Model number: WS-C3550-12G
    IOS Ver: c3550-ipservicesk9-mz.122-44.SE6
    My config for my UTM Vlan switch port is:
    interface GigabitEthernet0/10
     description UTM VLAN Int
     switchport trunk encapsulation dot1q
     switchport mode trunk
    end

    I even tried it as:
    interface GigabitEthernet0/10
     description UTM VLAN Int
     switchport trunk encapsulation dot1q
     switchport mode trunk
     switchport trunk native vlan 10
    end


    but no luck getting out to the Internet. Maybe DNS resolution? I was able to ping and traceroute out side on eth1 (WAN) and no issues so WAN is fine. All access to internal servers and systems all worked fine. Just either DNS not resolving or something odd about any traffic between eth0 and eth1 not passing. logged into the UTM, using the  tools, traceroute and NSlookup works. I think I am real close.

    DHCP has the vlan interfaces listed, the network addresses are all 192.168.2.0 /24, 192.168.3.0/24 and 192.168.4.0 /24 for my vlan 10, 20 and 30. right now all access ports and all network is on vlan 10.

    DNS is told to allow the vlan interfaces of 10, 20 and 30.

    Any thoughts and ideas, or anyone using a Cisco switch and can list what they have their switch trunk port set to?

    I have two computers running the home version of UTM. So one machine is configured at default install settings so to speak of for the static ethernet interface and the 2nd one is the one I am trying to get the Vlan interface mode to work on. When that is working I will copy the config to the other machine. One machine is always off and is my backup to the first one. But also is nice to have as a test machine.
Reply
  • 0
    Hello, 
    I am doing simular.  
    As I understand as noted in the post,
    interface GigabitEthernet0/1
    switchport mode trunk
    switchport trunk allowed vlan 1, 100, 200 
    is correct for the trunk. If you use the trunk allowed statement, only the listed Vlans will travel across the trunk. If the trunk allowed statement is left off, all Vlans should normally travel across the trunk. trunk allowed  lets you prume vlans and only listed ones are passed.
    Where I work we only use the trunk allow statements on the core and maybe distribution switches but never on the access switch trunk ports. 

    I need to look up the tagged or untagged vlans on Cisco.  Maybe the allowed statement forces the packets to be tagged or puts the trunk in a tagged mode???

    I have a c3550-12G layer 3, but not using the routing. I have all my Cisco switches set to vlan 10 for all my traffic and all internal network is working fine. I can even web into the UTM when using the Vlan interface and ping it. But I can not get out to the internet.
    I think I am very close.
    Interface  eth0 is set to Vlan, DHCP scope are created for my vlans. DNS is enabled on all vlans. 

    Switch: Model number: WS-C3550-12G
    IOS Ver: c3550-ipservicesk9-mz.122-44.SE6
    My config for my UTM Vlan switch port is:
    interface GigabitEthernet0/10
     description UTM VLAN Int
     switchport trunk encapsulation dot1q
     switchport mode trunk
    end

    I even tried it as:
    interface GigabitEthernet0/10
     description UTM VLAN Int
     switchport trunk encapsulation dot1q
     switchport mode trunk
     switchport trunk native vlan 10
    end


    but no luck getting out to the Internet. Maybe DNS resolution? I was able to ping and traceroute out side on eth1 (WAN) and no issues so WAN is fine. All access to internal servers and systems all worked fine. Just either DNS not resolving or something odd about any traffic between eth0 and eth1 not passing. logged into the UTM, using the  tools, traceroute and NSlookup works. I think I am real close.

    DHCP has the vlan interfaces listed, the network addresses are all 192.168.2.0 /24, 192.168.3.0/24 and 192.168.4.0 /24 for my vlan 10, 20 and 30. right now all access ports and all network is on vlan 10.

    DNS is told to allow the vlan interfaces of 10, 20 and 30.

    Any thoughts and ideas, or anyone using a Cisco switch and can list what they have their switch trunk port set to?

    I have two computers running the home version of UTM. So one machine is configured at default install settings so to speak of for the static ethernet interface and the 2nd one is the one I am trying to get the Vlan interface mode to work on. When that is working I will copy the config to the other machine. One machine is always off and is my backup to the first one. But also is nice to have as a test machine.
Children
No Data