Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 4 subscribers
  • Views 3648 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Tagged and untagges VLANs hinter RED50, die an eine Sophos XG angebunden ist

d.glaab@mh-online.de

Hallo zusammen,

ich möchte eigentlich nur wissen, ob das folgende Szenario überhaupt unterstützt wird und wenn ja, was ich falsch mache...

Folgende Umgebung:
- Internes LAN hinter der XG: 192.168.100.0/24
- Internes VLAN 101 hinter der XG: 192.168.101.0/24
- Netzwerk hinter RED: 192.168.200.0/24
- VLAN 201 hinter RED: 192.168.201.0/24
- VLAN 202 hinter RED: 192.168.202.0/24
- VLAN 221 Interface im LAN und hinter RED, gebridget über VLAN Bridge

Ich bekomme alle Netzwerke über den Tunnel hinter das RED, nur nicht in der Kombination, die ich final haben möchte:
- 192.168.200.0/24 untagged
- 192.168.201.0/24 tagged
- 192.168.202.0/24 tagged
- 192.168.221.0/24 tagged

Untagged, hybrid Port: VLAN ID xyz
Hier bekomme ich immer nur das VLAN, welches ich angebe untagged, es kommen keine getaggten Pakete an. Ich kann nur eine VLAN ID angeben, ansonsten erhalte ich von der Firewall eine Fehlermeldung, dass ich nur eine VLAN ID angeben darf.

Untagged, drop tagged (access port): VLAN ID xxx,yyy,zzz
Hier kann ich mehrere VLAN IDs angeben und erhalte auch keine Fehlermeldung. Dennoch werden nur Pakete des VLAN xxx untagged übertragen, getaggt wird nichts übertragen.

Tagged (Trunk port): VLAN ID xxx,yyy,zzz
Alle Pakete aller VLAN IDs werden getaggt übertragen. Dieses Verhalten habe ich im Vergleich zu den anderen beiden Modi auch genau so erwartet.

Gibt es also schlussendlich irgendeine Konfiguration, in der gleichzeitige Pakete tagged und untagged übetragen werden? Bzw. in der Pakete im IP Netzwerk des RED (in meinem Beispiel 192.168.200.0/24) untagged und alle anderen angegeben VLAN IDs tagged übertragen werden?

Vielen Dank im Voraus

Viele Grüße
Dominic



This thread was automatically locked due to age.
  • 0

    Hallo,

    sie sind hier im SG-Forum, evtl. gibt es mehr/bessere Antworten im XG-Forum.

    https://community.sophos.com/products/xg-firewall/

    Aber ich will versuchen zu helfen.

    An der SG wäre es der Hybrid-port.

    Ein ungetaggtes VLAN und alles was getaggt an die RED gesendet wird.

    Aber da sich meist sowieso ein Switch um das getaggte kümmern muss, würde ich alle VLAN's taggen und diese dann am Switch auseinanderdividieren.

    Wie war feststellbar, dass keine getaggten Pakete ankommen?

    Wie sieht die definition der RED-Ports aus?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk,

    vielen Dank für die Hinweise, da bin ich wohl im Kanal verrutscht.

    Ich habe zum Einen einen gamanagten Switch hinter dem RED, zum Anderen habe ich mir über meine Netzwerkkartenhardware VLAN interfaces an meinem Notebook eingerichtet. Die habe ich auch erfolgreich bei getaggten Ports einsetzen können.

    Ich habe sämtliche Definitionen der RED-Ports getestet, da ich mich gewundert habe, dass ich bei "hybrid" nur eine VLAN ID angeben konnte. Sinnvollerweise habe ich aber daraus abgeleitet, dass es sich dann um das ungetaggte VLAN handeln muss. Was mich mehr gewundert hat, ist, dass ich beim Access Port mehrere VLAN IDs angeben kann und er qausi die erste nimmt - daher hatte ich die Hoffnung, dass VLAN ID 2, 3, 4, ... dann getaggt mitgegeben werden.

    Beispiel Hybrid:

    Ich hätte gehofft, dass dann 202 und 221 getaggt mitgegeben worden wären.

    Beispiel Access:

    Lustig, dass ich hier mehrere VLAN IDs angeben kann. So weit ich testen konnte, ist aber immer nur 201 angekommen - untagged.

    Es wäre kein Beinbruch, die VLANs alle getaggt mitzugeben und hinter dem RED vom Switch verarbeiten zu lassen. Es ist also eher ein optisches, denn ein technisches Problem. Mir erschließt sich nur nicht, für was ich eine RED IP brauche, wenn ich sie hinter dem RED nicht mehr verwenden kann, so bald ich VLAN Funktionalitäten aktiviere.

    Ich habe leider heute mein Test-Equipment nicht zur Verfügung, werde aber morgen nochmal ein zwei Sachen testen können, ggf. auch in Verbindung mit einer SG.

    Vielen Dank und viele Grüße

    Dominic

Unfiltered HTML