How to Trunk Ports?

On the UTM it's called "Link Aggregation", it uses LACP standard.

Hi, Uwe,

Use the 'Link Aggregation' tab in 'Interfaces'.  I think you canjust add one if you're using Standard Ethernet.  If you have VLANs, I think you need to Link the interfaces first and then put VLANs on it.

Cheers - Bob
PS Oops, Mario posted after I opened the thread... thank goodness I gave the same answer as you did! [;)]

 If you have VLANs, I think you need to Link the interfaces first and then put VLANs on it.

Right [:)]
We have also tried to activate LACP on the HP switch, but after that, the link is immediately down. I think, that the HP LACP is a little different to the Sophos UTM LACP. Is this right?
At the moment we use only LACP on the Sophos UTM and it is running perfect! So only the UTM controlls the LACP packets.

Nice greetings

Okay, next week is the week that I will use to do that.

Thanks for all your helpful answers! According to the manual BAlfson is right. But when reading through the LCAP complications post I begin to doubt.

My plan (let's talk about non-HA now and one UTM device):

- backup UTM and HP Procurve Switch (4200 series) configs
- configure 4x TRUNK Ports on the HP switch: Tagged for every needed VLAN (CLI: command "menu", switch config...)
- unplug all according UTM ports
- delete the UTM configured interfaces and screenshot the warning messages (needed to trace back the firewall rules that will get lost in order to re-set it up)
- set up link aggregation interface lag1 including the VLANs (still have to work through the manual on this)
- adjust/configure the firewall rules (and anything else?)
- connect the UTM ports to the switch ports.
- Pray.

BAlfson, is there anything missing or improvable on this? :-)

Check docu on LACP configuration of both UTM and Switch. In the past we had some trouble connecting Cisco switches to 3Com switches using aggregated links, and though both were configured with LACP is had something to do with static or dynamic LACP if I recall correctly.

It sounds good!
We have done the same and it works (without the LACP configuration on the HP switches - HP A5500series).

- adjust/configure the firewall rules (and anything else?)

Normaly there are no more actions you have to do.

Nice greetings

GuyFawkes, are you saying that you would define the VLANs on the four ports of the HP switch, but you would not trunk them?

Uwe, if you have an unused eth#, why not preserve the existing Firewall/NAT/etc. setup?  If you don't have a spare Ethernet NIC, 

Add a NIC of the same type as one of the exiting NICs.

• Power up and move the existing Interface definitions to the new NIC as VLANs.
  
• Create a LAG on the four original NICs.
  
• Move the existing Interface definitions as VLANs onto the new LAG.
  
• Remove the new NIC if desired.

I bet that will be faster and more reliable than reconfiguring a lot of things.  Can that work for you?

Cheers - Bob

Hi BAlfson

Unfortunately I have no free NIC eth# any longer. I will use one DSL line interface to configure it for a 192.168.0.1 option to configure the UTM. Otherwise I would cut myself off during the configuration because there are just four NICs that I can and want to use for the link aggregation.

Also I no doubt about the LACP settings. In case the automatic trunk port configuration on the HP switch doesn't work I don't know what to do. Let's see.

Update: this seems helpful

Okay, I successfully converted the UTM's interfaces yesterday!

Thank you very much for the LACP hint! Indeed the Procurve Switch only works with LA while having LACP activated which is not the default option when trunking ports in the config menu. But it's possible on the CLI (see link above, last post).

Also you have to take care and reconfigure many settings: whatever you do, take screenshots before. It tremendously helps afterwards! ;-)

All firewall rules including an interface object will be deleted. DHCP, DNS, NAT, Masquerading, Web Filter Profiles, SSL VPN remote Access... all that has to be reviewed and recreated in most cases. I just want to let you know in case someone else wants to try it. 

By the way we have the v. 9.103-5 installed (firmware).

* * *

QUESTION:

I probably need to configure QoS. I created the link aggregation because we will use BYOD for hundreds of students in our school in a couple of weeks. currently the WLAN VLANs only used one eth-interface on the UTM. That was too low in bandwith. Now I set it up to handle many other VLANs with these 4x 1Gbit.

I wonder that when someone creates a lot of traffic (i.e. in one of the WLAN VLANs) in the future - how I can "safe" the bandwith for the other VLANs? Or is there an even more effective way to manage/supervise that?

Uwe, please start a new thread for a new topic.

Cheers - Bob