管理网络。最佳实践：大型VLAN或路由接口

我们将部署约50台交换机（Core，Agg，Access）的园区网络。其中一些将是L2（20），而另一些将是L3（30）。我们正在考虑如何管理这些设备：

1. 所有交换机之间都有一个大VLAN。易于部署，易于寻址，但 L2广播域很大。
2. L2交换机的管理VLAN。要访问核心和聚合交换机，请使用路由（或SVI）接口。

您想在网络中使用什么？

如您所说，这关系到我们正在讨论的设备数量，但是除此之外，如果可能的话，仅对设备进行“带内”管理应该避免。您不想让您的管理流量与生产流量在同一网络上。如果不是所有的交换机都具有单独的以太网管理接口，那很好，但是几乎每台设备都具有某种形式的串行控制台。用它。特别是作为带内管理的备份。如果设备从地球上掉下来，这将节省您的屁股。我还建议使用完全独立的物理基础架构，用于管理与设备的连接。这适用于串行控制台访问。如果您在交换机上使用一个接口（这不是专用的管理接口），那么只要您有一个单独的网络来连接它，也没什么大不了的。

50个设备的占用空间并不太合理，可以使用单个VLAN（同样，假设您没有在进行带内管理），并且拥有一个广播域-您可能在此阶段尝试过早优化。如果您的核心交换机是模块化机箱，那么它们绝对应该具有以太网管理接口-我建议您使用那些而不是SVI或物理路由接口。

编辑：我的个人喜好基本上概述了我在上面建议的内容：始终是串行控制台。如果适用，使用专用的以太网管理接口。如果没有专用的以太网管理接口，则在机箱上刻录物理端口，但始终始终是一个单独的网络，以使串行控制台的数量降到最低。

这确实取决于网络，但是我倾向于使用L2 VLAN。尽管有些人对VLAN上的环路表示了担忧，但在大型网络上的12年中，我从未见过在网络管理VLAN上创建环路。

并不是说它不会发生，但是通常，那些了解足够多的人可以建立管理VLAN的人们通常都知道不会在网络上造成环路。我遇到的大多数循环都在用户VLAN上，在这些VLAN上，最终用户错误地连接/配置了某些东西，或者当服务器管理员错误地配置了服务器上的链路聚合/冗余或错误地配置了VM环境时。

转向L3方法确实可以避免该特定问题，但是也很容易搞砸路由网络。是的，您可以采取预防措施，但是我会尽量坚持使用KISS，并且路由比交换更复杂。我们是否应该开始列出由于路由问题引入互联网而发生的主要事件？

最终，正如约翰·詹森（John Jensen）所指出的那样，您当然也应该拥有一个OOB管理系统，但是我通常将其称为带内管理的备份。一般来说，我不建议您在控制台端口上更改速度设置（当涉及到恢复情况时，必须弄清控制台端口是否为默认端口，更改或错误更改可能会很麻烦），即使是在115k波特的情况下，控制台端口可能太慢（许多供应商默认使用9600波特）。

我将使用我们的同事已经说过的单独的管理VLAN，然后使用所需的流量VLAN。此外，我将更加谨慎，您将如何互连所有这些交换机，每台设备上运行的软件版本（必须确保运行的是稳定版本，并且大多数都知道任何已报告的错误），然后计划其他事项：您如何配置中继，以太通道以及“ STP”。