Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 4582 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help with VLAN tagging

iroc409
I am trying to set up my network with a new installation of Sophos UTM, but am having issues with my VLAN.  I'm not sure if I am understanding this correctly, so maybe someone can help.  I've done a bit of searching on Google, but it hasn't got me where I need to be.

Currently, I have an EdgeRouter Lite on the perimeter, with a Dell PowerConnect 2816 switch and an Engenius WAP.  My internal LAN is all untagged packets, and I have a guest/untrusted wifi on a tagged VLAN.  The WAP does the VLAN tagging for the devices.

Obviously, the untagged VLAN doesn't work with Sophos.  So, I can add another VLAN to my network, and add it to the appropriate ports as tagged traffic.  However, on the Dell switch, I cannot disable the untagged VLAN 1.  It is on all ports all the time, except a mirror port I have.

So, on each port that I want my local internal devices to connect, those ports have untagged VLAN 1, and tagged VLAN 64.  How does the traffic from the port get tagged, since the port accepts both types of traffic?  Do I have to set up the VLANs at the end device itself?  I don't see a way to make the switch tag the traffic for me--which leaves me wondering about devices like my network printer that I don't think I can set a tag on.


This thread was automatically locked due to age.
Parents
  • 0
    Hi,
    vlan 1 is the administrative vlan, so if you remove it you won't be able to access the switch.
    You could put the UTM on an untagged port on the switch.

    I am not clear on what you are trying to achieve with your vlans? Your setup sound rather convoluted?
    As BobA says a pretty picture sure helps. Please add it as an attachment but not linked in the body of the message.

    Ian
  • 0 in reply to RFCat_vk_01
    I can't do anything with VLAN1, the switch will not let me.  It is always an untagged member of all ports on the switch.

    I am using VLAN1, with its untagged traffic, as the internal network.  VLAN128 is a tagged network for separate guest wifi access--a pretty standard setup.  I attached a small diagram.  In the diagram, I am trying to replace the EdgeRouter with the Sophos UTM.  In the switch config images, port 1 is the "trunk" port (Dell doesn't really have a trunk port per se), and port 5 is the WAP.

    So, I created another VLAN (64) to use as the internal network.  How do I mark the ports for this VLAN, tagged or untagged?  Will a device that does not tag its own traffic automatically become part of the untagged VLAN1 when it connects?  I see no way to force a device on a port to a specific VLAN.
Reply
  • 0 in reply to RFCat_vk_01
    I can't do anything with VLAN1, the switch will not let me.  It is always an untagged member of all ports on the switch.

    I am using VLAN1, with its untagged traffic, as the internal network.  VLAN128 is a tagged network for separate guest wifi access--a pretty standard setup.  I attached a small diagram.  In the diagram, I am trying to replace the EdgeRouter with the Sophos UTM.  In the switch config images, port 1 is the "trunk" port (Dell doesn't really have a trunk port per se), and port 5 is the WAP.

    So, I created another VLAN (64) to use as the internal network.  How do I mark the ports for this VLAN, tagged or untagged?  Will a device that does not tag its own traffic automatically become part of the untagged VLAN1 when it connects?  I see no way to force a device on a port to a specific VLAN.
Children
  • 0 in reply to iroc409
    Hi,
    do not change vlan1 it is required by your switch.

    I haven't looked to your drawings yet, that is next.

    Ian

    I looked at your drawings.
    1/. you only have one tagged port per vlan all other ports should be U unless you are feeding other switches which are your distribution switches.
    2/. you need to have all ports on vlan 1 as U.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?