管理ネットワーク。ベストプラクティス：大きなVLANまたはルーテッドインターフェイス

約50台のスイッチ（Core、Agg、Access）を備えたキャンパスネットワークを展開します。それらのいくつかはL2（20）であり、他はL3（30）です。これらのデバイスを管理する方法について考えています。

1. すべてのスイッチにわたる大きなVLAN。簡単に展開でき、アドレス指定も簡単ですが、大きなL2ブロードキャストドメイン。
2. L2スイッチの管理VLAN。コアおよび集約スイッチにアクセスするには、ルーテッド（またはSVI）インターフェイスを使用します。

ネットワークで何を使用しますか？

あなたが言ったように、私たちが話しているデバイスの数は重要ですが、それを除けば、可能な限り避けるべきは、デバイスの「帯域内」管理だけです。運用トラフィックと同じネットワークに管理トラフィックを乗せたくありません。すべてのスイッチに管理用の個別のイーサネットインターフェイスがあるわけではない場合は問題ありませんが、ほとんどすべての機器には何らかのシリアルコンソールがあります。これを使って。特にインバンド管理のバックアップとして。デバイスが惑星から落ちた場合、これはあなたのお尻を保存します。また、完全に別の機器への管理接続のための物理インフラストラクチャ。これは、シリアルコンソールアクセスに二重に適用されます。スイッチでインターフェイスの1つを使用している場合（専用の管理インターフェイスではありません）、それを接続するための別のネットワークがある限り、それほど大きな問題ではありません。

50個のデバイスは、単一のVLANを使用するためにフットプリントが不合理ではなく（再び、帯域内管理を行っていないことを前提としています）、1つのブロードキャストドメインを持っています-この段階で早すぎる最適化を試みている可能性があります。コアスイッチがモジュラーボックスである場合、間違いなくイーサネット管理インターフェイスを備えている必要があります。SVIまたは物理的なルーティングインターフェイスではなく、イーサネット管理インターフェイスを使用することをお勧めします。

編集：私の個人的な好みは、基本的に私が上でアドバイスしたことの概要です：常にシリアルコンソール。必要に応じて、専用のイーサネット管理インターフェイスを使用します。専用のイーサネット管理インターフェースが利用できない場合、ボックスの物理ポートを焼きますが、常に最低限のシリアルコンソールのために常に常に別個のネットワークを使用します。

これは本当にネットワークに依存しますが、私はL2 VLANに傾くでしょう。VLANのループについて懸念を表明する人もいますが、12年の間に大規模ネットワークで、ネットワーク管理VLANでループが作成されるのを見たことはありません。

それが起こらないとは限らないが、一般に管理VLANを設定するのに十分な知識がある人は、一般的にネットワークにループを引き起こさないことを十分に知っている。私が遭遇したほとんどのループは、エンドユーザーが何かを誤って接続/構成した場合、またはサーバー管理者がサーバー上でリンク集約/冗長性を誤って構成したり、VM環境を誤って構成したりするユーザーVLANで発生します。

L3アプローチに移行することで特定の問題を回避できますが、ルーティングされたネットワークを台無しにすることも簡単です。はい、予防策を講じることはできますが、可能な場合はKISSを使い続け、ルーティングは切り替えよりも複雑です。ルーティングの問題がインターネットに導入されたために発生した主要なインシデントのリストを開始しますか？

最終的に、John Jensenが指摘したように、必ずOOB管理システムも用意する必要がありますが、一般的にこれを帯域内管理のバックアップと呼びます。一般的に言えば、コンソールポートの速度設定を変更することはお勧めしません（回復状況に関しては、コンソールポートがデフォルトであるか、変更または変更が間違っているかを把握しなければならないのは苦痛です）。ポートは遅すぎる可能性があります（多くのベンダーはデフォルトで9600ボーに設定しています）。

同僚が既に述べたように、別の管理VLANを使用し、必要な数のVLANをトラフィックします。さらに、これらのすべてのスイッチを相互接続する方法、各デバイスで実行するソフトウェアバージョン（安定したバージョンを実行し、ほとんどすべての報告されたバグを知っている必要があります）をどのように相互接続し、他のことを計画するか、より慎重になります：トランク、イーサチャネル、そしてもちろん「STP」をどのように構成しますか。