VLAN setup on Sophos UTM 9 with Cisco SG500 layer 3 switch

In UTM you can create multiple VLAN interfaces on a single physical interface. You have to connect such a port to a switch that has all those VLAN's as tagged (untagged is not supported by UTM).
BTW VLAN1 is used by the UTM itself, it's better to choose another VLAN for your equipment.

The Sophos UTM is doing the routing job. You only have to create the vlans. All VLANs need to be tagged at the Sophos UTM Port. At Cisco Catalyst Switches it is like

interface GigabitEthernet0/1
 switchport mode trunk
 switchport trunk allowed vlan 1, 100, 200

Hi Nemo,

The case when the layer 3 switch does the routing seems like a better practice, as it takes away some of the load from the UTM router? right? Wouldn't it be nice to cover that case for your blog [:P]... that would solve my issue as well [:D]

Hi, sieprepeligroso, and welcome to the User BB!

I think that VLAN 1 is reserved in the UTM for Wireless Security.

Cheers - Bob

Layer 3 switches are something I never really got. I understand the idea of them is to offload routing from the router to the switch where often times the onboard asic can handle routing faster then the router can. In concept a great idea for internal networks but I've never seen a Layer 3 switch with anything better then a packet filter so that seems to defeat the purpose of having something like the UTM around in the first place.

Hello, 
I am doing simular.  
As I understand as noted in the post,
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk allowed vlan 1, 100, 200 
is correct for the trunk. If you use the trunk allowed statement, only the listed Vlans will travel across the trunk. If the trunk allowed statement is left off, all Vlans should normally travel across the trunk. trunk allowed  lets you prume vlans and only listed ones are passed.
Where I work we only use the trunk allow statements on the core and maybe distribution switches but never on the access switch trunk ports. 

I need to look up the tagged or untagged vlans on Cisco.  Maybe the allowed statement forces the packets to be tagged or puts the trunk in a tagged mode???

I have a c3550-12G layer 3, but not using the routing. I have all my Cisco switches set to vlan 10 for all my traffic and all internal network is working fine. I can even web into the UTM when using the Vlan interface and ping it. But I can not get out to the internet.
I think I am very close.
Interface  eth0 is set to Vlan, DHCP scope are created for my vlans. DNS is enabled on all vlans. 

Switch: Model number: WS-C3550-12G
IOS Ver: c3550-ipservicesk9-mz.122-44.SE6
My config for my UTM Vlan switch port is:
interface GigabitEthernet0/10
 description UTM VLAN Int
 switchport trunk encapsulation dot1q
 switchport mode trunk
end

I even tried it as:
interface GigabitEthernet0/10
 description UTM VLAN Int
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk native vlan 10
end


but no luck getting out to the Internet. Maybe DNS resolution? I was able to ping and traceroute out side on eth1 (WAN) and no issues so WAN is fine. All access to internal servers and systems all worked fine. Just either DNS not resolving or something odd about any traffic between eth0 and eth1 not passing. logged into the UTM, using the  tools, traceroute and NSlookup works. I think I am real close.

DHCP has the vlan interfaces listed, the network addresses are all 192.168.2.0 /24, 192.168.3.0/24 and 192.168.4.0 /24 for my vlan 10, 20 and 30. right now all access ports and all network is on vlan 10.

DNS is told to allow the vlan interfaces of 10, 20 and 30.

Any thoughts and ideas, or anyone using a Cisco switch and can list what they have their switch trunk port set to?

I have two computers running the home version of UTM. So one machine is configured at default install settings so to speak of for the static ethernet interface and the 2nd one is the one I am trying to get the Vlan interface mode to work on. When that is working I will copy the config to the other machine. One machine is always off and is my backup to the first one. But also is nice to have as a test machine.

Doing more digging from Cisco side.

To configure a trunk port, you will have to issue this configuration on the trunk port on both switches:

    Switch#configure terminal
    Switch(config)#interface GigabitEthernet 1/0/10
    Switch(config-if)#switchport trunk encapsulation dot1q
    Switch(config-if)#switchport mode trunk
    Switch(config-if)#no shut
    Switch(config-if)#end
    Switch# 

This will create a trunk, per default it will accept any vlan tags, so if you do not want the network you connected to access any of your private vlans you will need an access list of which VLAN tags to accept on this port.

    switchport trunk allowed vlan 10 

By issuing this command on the port, you will only allow vlan 10 to flow through it.

Am I missing a step or somehting? Do you need to add this line "vlan dot1q tag native" in the global config ????  

my trunk ports ahve this:
 switchport trunk encapsulation dot1q
 switchport mode trunk

Chad

Hello,

I think this is the missing link for Cisco switches (3550 series I have and referencing)
found from a Cisco document.  I think besides the basic statements to set up a trun port, you need this in the global settings. Please correct me if I am wrong.


 vlan dot1q tag native

Use the vlan dot1q tag native global configuration command to enable tagging of native VLAN frames on all IEEE 802.1Q trunk ports. Use the no form of this command to return to the default setting.

vlan dot1q tag native

no vlan dot1q tag native
Syntax Description

This command has no arguments or keywords.
Defaults

The IEEE 802.1Q native VLAN tagging is disabled.

Hi, 

yes, if you're trunking the vlans to the utm, you MUST use 802.1q

Barry

Okay, still no go, but I can log into the UTM on vlan 10, nothing passes out to the Internet. 

I think the instructions in the book is in a way poorly written.
Yes it tells you how to set up the vlan interface, so what, what is missing is all the little step by step details, the A to Z as we will say. A full generic example setup is missing for wich one can follow by example and make needed changes to fit your own needs.

So what are all the rules, and every little place that needs to be hit to make it pass traffic out to the Internet and or between the vlans?

1. "vlan dot1q tag native" is applied on all Cisco switches in the global config.
2. Trunk ports on switches have basic config for working trunk connections.
commands on trunk ports on Cisco switches are:

switchport trunk encapsulation dot1q
switchport mode trunk

3. Interface eth0 is set to vlan.
4. all three vlans are set to ETH0 adapter
5. DHCP is set on each Vlan with own subnet (192.168.2.0/24, 192.168.2.3.0/24 and 192.168.4.0/24)
6. DNS has Vlan interfaces set so it can do DNS for them.

Now what else am I missing? 
7. Sounds like NAT, DNAT is missing?
8. Firewall rules to let vlans out to internet?
9. firewall rules to let each vlan send data to the other vlans as needed?

I was hoping when setting up UTM from scratch as you loaded it from CD you had option to set the ETH0 to vlan to beging with, but no option to do so and no option in setup wizzard either. 

I think I have steps 1 through 6 set correctly, and I am sure I need to do more with NAT and Firewall rules. I did find an example that spoke of the NAT and firewall rules and tried to follow it and modify it to my system and still not able to pass traffic in/out from the Internet.  Since all of network is now on vlan 10, I can reach all internal devices fine on the LAN side.

Does anyone have a basic step by step example for say just routing one vlan out to the Internet they can share? Trying to make my NAT and firewall rules is not working out. I have experimented but not able to get the correct matches to make it work.

Chad