Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 8894 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Inter-VLAN routing with redundant topology

szcz7977
Good afternoon Sophos Wizards, 

We're about to start the implementation of our SG330 into our current topology and we're unable to get through one obstacle. This obstacle is, that we don't know how to configure inter-vlan routing on more than one interface (for sake of redundancy) . 

The problem is following:  We're able to configure router-on-a-stick approach (http://www.networkstraining.com/images/router-on-a-stick.jpg) with one interface. But if you take a look on the picture in the attachment, you see, that we'd prefer to make a inter-vlan routing on two interfaces. All the links (excluding the links from access switches to computers) are trunk in this picture. I'd really appreciate some hints regarding this topic. 

Although I lack the experience with sophos configuration, I thought of config, where eth2 and eth3 are bridged, interface br0 is created and virtual VLAN interfaces are then assigned to br0 interface. Please take a look on second picture in attachment, where such config is depicted. On the other hand, I'm unable to figure out, how the STP protocol would behave [:S], because all the links seem to me like a huge broadcast domain (regardless of the fact, that each VLAN is broadcast domain on its own). I assume, that either of the links eth2 or eth3 would be blocked in order to break physical loop and avoid broadcast storms.  

Our current redundant inter-vlan routing is achieved with two Cisco 4500 series L3 switches. Since these L3 switches are able to restrict traffic up to 4th layer, we're thinking of configuration on inter-vlan routing on SOPHOS UTM.

Thank you in advance for any valuable advices, best regards, 
SZ


This thread was automatically locked due to age.
Parents
  • 0
    Hi BALfson, Hi Predrag, 

    Thank you both for your replies. 

     @BAlfson
    I gave up to try suggested configuration topology in virtualized environment (virtualbox). As soon as I get back to company (I'm on CCNP TSHOOT training right now), I'll try to set up topology and settings suggested by you. But to be honest, I'm sceptical, because as far as my knowledge goes, LACP requires to team against one physical box. The only possibility how we could team it against two physical (but one logical!) host is to set up the L3 switches to one single stack (via StackWise). 

    @predrag 
    Thanks for sharing an interesting idea, but I'm afraid that this approach won't help me to achieve the desired outcome. I want to have inter-vlan routing (& firewalling) achieved by astaro. If I would set up the topology in way you suggested in your post, it wouldn't work for me, because there would be trunk between L3 switches and inter-vlan traffic would flow via this trunk. It wouldn't go via firewall (because of all the SVIs in L3 switches). I assume, that for this purpose, the link between L3 switches and UTM SOPHOS has to be L2. 

    Thank you both for sharing valuable info,
     SZ
Reply
  • 0
    Hi BALfson, Hi Predrag, 

    Thank you both for your replies. 

     @BAlfson
    I gave up to try suggested configuration topology in virtualized environment (virtualbox). As soon as I get back to company (I'm on CCNP TSHOOT training right now), I'll try to set up topology and settings suggested by you. But to be honest, I'm sceptical, because as far as my knowledge goes, LACP requires to team against one physical box. The only possibility how we could team it against two physical (but one logical!) host is to set up the L3 switches to one single stack (via StackWise). 

    @predrag 
    Thanks for sharing an interesting idea, but I'm afraid that this approach won't help me to achieve the desired outcome. I want to have inter-vlan routing (& firewalling) achieved by astaro. If I would set up the topology in way you suggested in your post, it wouldn't work for me, because there would be trunk between L3 switches and inter-vlan traffic would flow via this trunk. It wouldn't go via firewall (because of all the SVIs in L3 switches). I assume, that for this purpose, the link between L3 switches and UTM SOPHOS has to be L2. 

    Thank you both for sharing valuable info,
     SZ
Children
  • 0 in reply to szcz7977
    LACP doesn't have to be on one box on switch side, as I have stated VSS can resolve this issue. I am using this on my 525 with 4 interfaces going to two different switches in LACP mode.

    #sh switch virtual
    Switch mode                  : Virtual Switch
    Virtual switch domain number : 10
    Local switch number          : 1
    Local switch operational role: Virtual Switch Active
    Peer switch number           : 2
    Peer switch operational role : Virtual Switch Standby

    #sh ver
    Cisco IOS Software, s2t54 Software (s2t54-IPSERVICESK9_NPE-M), Version 15.1(1)SY2, RELEASE SOFTWARE (fc4)

    Read on:
    Catalyst 4500 Series Switch Software Configuration Guide, Release IOS XE 3.4.xSG and IOS 15.1(2)SGx - Configuring VSS [Cisco Catalyst 4500 Series Switches] - Cisco

    If you have the right supervisor this can be achieved within minutes. If you want PM me and I can provide you with more details how to set this up.
  • 0 in reply to pedja
    Hi Predrag, 

    thanks for your reply. I'll take a look at the link you provided and I'll try to set it in virtual lab. If there would be any doubts or uncertainities, I'd contact you via PM, if you wouldn't mind. 

    I'll let you know how it went and if I was successful.

    Thank you for your effort and have a nice day. 
    SZ
  • 0 in reply to szcz7977
    Good afternoon gentlemen, 

    I've finally found half a day to try some stuff in lab and I think I've figured it out. It was piece of a cake. 

    Solution is following: 

    I bridged few interfaces together. Br0 was created. Then I created SVI for each VLAN I wanted to route on sophos. The only thing that needs additional attention is spanning-tree protocol. I connected switch to sophos with multiple links. Henceforth, I had a loop in my network. Without spanning-tree enabled, it was only matter of few tens of seconds and few pings, until the network went down (broadcast storm). With STP enabled, everything went ok. The only thing that remains to figure out is some specific STP stuff (how to set priorities, if STP is available per vlan, ...). 

    Thank you all for your effort, have a nice rest of the week, 
    SZ