Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 3322 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Trouble Switching from Virtual (Additional) IP addresses to Ethernet VLAN Addresses

notify.sina
Hi 

We are using a Sophos ASG220 UTM and we originally just used it the way it came out of the box with a  192.168.2.0/24 LAN. We then added additional networks by adding Additional addresses to eth0 as needed.
Now we are required to shift to VLAN based local networks. 
We run a KVM host network with lots of virtual machines.
What I did was to create the VLANs on the (Cisco 2960) switch and made the KVM hosts and guests VLAN-capable. So far so good.
To migrate the Additional addresses to Ethernet VLAN addresses on the ASG220, we first created the VLAN address in the same network as the existing Additional address (for instance 10.1.1.253 is the Additional address, and then created an Ethernet VLAN address for 10.1.1.254), and the servers are able to continue as normal. We even switched the servers' gateway addresses from the Additional IP to the Ethernet VLAN IP address and everything seems to work normally, until we try to remove the Additional IP address definition from the ASG220, and everything fails. The servers are no longer able to ping their new gateway address (the VLAN address) and they are no longer able to connect on the network. 
Restoring the Additional address returns the network to normal.
Please, why is this happening and what can we do to migrate fully to the VLAN IP addresses? Right now if the Additional Address is still up the network fails.

Thanks, I hope I was able to make the problem clear. 
Looking forward to any and every advice possible.


This thread was automatically locked due to age.
  • 0
    Thought I'd add some more insight into what is going on:

    The switch is a cisco 2960, and kvm linux hosts and guests on the LAN

    Original configuration is the Sophos has multiple virtual interfaces that serve as the network gateways to all LAN networks.
    I am successful in generating a new VLAN interface (but with a different IP address) to replace the existing gateway virtual IP address (for instance, for test network, virtual interface gateway address is 10.11.0.253, and the VLAN interface to replace it is 10.11.0.253).
    At first instance the guests and the kvm hosts are able to ping the switch, the new VLAN gateway interface and the old virtual gateway interface, after the VLAN is in place.
    But if I try to remove the old virtual interface (eg 10.11.0.253), then networking starts acting weird. The switch VLAN address (say 10.11.0.7) is unable to ping or reach the guests (say 10.11.0.36) on the VLAN, but it can reach the kvm host vlan bridge (say 10.11.0.4) address, and it can reach the gateway (10.11.0.254, VLAN address). Even after bring the gateway virtual interface (10.11.0.253) back up the situation remains for a while.
    The guests can reach each other on the same VLAN, but cannot ping the switch VLAN interface address, and cannot ping their VLAN gateway address, or route traffic to other external networks). But the guests can reach the LAN DNS servers, which are on a different subnet entirely (192.168.2.0)! But the guests also can only reach the DNS servers on the 192.168.2.0 subnet, they cannot reach all the addresses.

    Arping responds to and from all network machines/devices while all this is going on.

    This continued for a while even after rebooting the switch, and bringing up and down the gateway network interfaces. Then suddenly things started working again (but with the gateway virtual and VLAN addresses both up).

    Any ideas why this is happening?
  • 0
    It sounds like you're having routing problems because of duplicate or overlapping subnets.  Maybe a diagram would help us understand better.

    Cheers - Bob
  • 0
    Sorted it out. Apparently the ASG gets confused when it has two interfaces in the same subnet (one interface, a VLAN Interface, the other, a regular Additional interface). Alongside some issues with the KVM guests's libvirtd switchport (vnetX)  not showing up at the proper VLAN bridge interface (had to learn some brctl-fu), but everything is going according to plan now.
  • 0
    Apparently the ASG gets confused when it has two interfaces in the same subnet

    Yes, see #3.1 in Rulz.  WebAdmin creates routes automatically between subnets on all defined interfaces.

    Cheers - Bob
  • 0
    Bob,

    How do I efficiently migrate the default created LAN network (192.168.2.0/24) on eth0 from regular to VLAN-flavoured? Do you have any tips?