¿Existe una mejor manera de diseñar una red de administración fuera de banda?

Me han pedido que ayude en el diseño de una red de administración "OOB", pero tengo un número limitado de recursos disponibles. Tengo lo siguiente:

1. 1 par de pila Cisco 3750-X con un módulo de red C3KX-NM-1G en cada uno.
2. 8 Switches "agregados" Cisco 2960-24TC-L.

Ejecutamos una topología de red Core Colapsada de Capa 2 con un núcleo Cisco 6509-E VSS. Tenemos 128 conmutadores de acceso conectados a nuestro núcleo a través de canales de puertos de 1 Gps. Es una mezcla de enlaces ascendentes de cobre y fibra. Fibra hasta el segundo piso y cobre en nuestro centro de datos.

El pensamiento actual de nuestro consultor es configurar el SVI de administración en cada uno de nuestros conmutadores de acceso con su propia VLAN conectada a nuestros 2690 conmutadores "agregados". Los conmutadores agregados a su vez se vincularán a la pila 3750-X a través de un enlace troncal 802.1q y se configurarán con IP sin numerar para emular un enlace de capa 3 sin pasar, en esencia, la comunicación L2 entre los conmutadores de acceso de producción. La pila 3750-X tendrá un Loopback configurado para cada VLAN individual que los conmutadores de acceso de producción usarán como una puerta de enlace predeterminada.

La idea / preocupación es que no queremos que nuestra red de administración pase el tráfico STP a los otros conmutadores de acceso o arriesguemos cualquier tipo de convergencia de red entre las dos redes separadas. Tipo de configuración de VLAN privada de "Pobre hombre".

Me pregunto si esta es la mejor manera o la más eficiente de configurar esto o si hay una mejor manera de hacerlo.

Sé que los 3750X tienen una interfaz de administración en la parte posterior que es un puerto 10/100 Fast Ethernet. Está justo al lado del puerto de consola RJ-45. También creo que el conmutador 2960 que enumeró allí también tiene un puerto de administración en la parte frontal, encima de los puertos SFP.

Suponiendo que sus conmutadores no estén demasiado lejos, puede usar las interfaces de administración para administrar sus dispositivos de forma remota si lo desea. Por supuesto, necesitaría un cableado adicional para otro "conmutador de administración" que probablemente contendría la VLAN requerida solo para administrar estos dispositivos.

De lo contrario, también podría ejecutar un servidor de servidor de terminal como un OpenGear o algo así y hacer que las conexiones de la consola se vinculen a este dispositivo para controlarlas de forma remota si toda su red tiene problemas o no.

Estas interfaces de administración operan en su propio VRF y tampoco participarán en STP ya que no se están ejecutando en la VLAN activa que se les está conectando. Sin embargo, lo he visto en donde a algunas organizaciones les gusta tener la VLAN de administración en la misma subred que los hosts en el conmutador. Esto les permite hacer ping y verificar la tabla de direcciones arp / mac y determinar dónde los dispositivos son un poco más fáciles que si se tratara de una simple red L2. Sin embargo, hay ventajas y desventajas de cada método, dado que querías elegir un método fuera de banda. Yo diría que la interfaz de administración es probablemente su mejor dirección.