Jakie czynniki wpływają na aktualizację Cisco IOS?

19

W porządku preferencji / priorytetu, jakie czynniki bierzesz pod uwagę przy przeprowadzaniu uaktualnienia (lub obniżenia) z Cisco IOS? Jeśli nie istnieją żadne istotne czynniki, jak długo pozwoliłbyś, aby określona wersja IOS działała? Widziałem niektóre przełączniki z czasem pracy> 5 lat.

A w przypadku aktualizacji, w jaki sposób określona wersja IOS jest identyfikowana jako cel aktualizacji?

generalnetworkerror
źródło

Odpowiedzi:

27

W kolejności preferencji / priorytetów nasza firma dąży do aktualizacji na podstawie następujących czynników:

  • Luki w zabezpieczeniach, słabe punkty, słabe punkty!
  • Błędy
  • Nowe funkcje nie są obecnie dostępne - nowe karty / moduły mają „najpierw obsługiwane w” wersji IOS, która może być wyższa niż to, co masz uruchomione
  • Migracja z wycofanych pociągów zwalniających
  • Pasujące wersje na ostatnio wdrożonym i podobnym sprzęcie

Urządzenie, które jest bardzo krytyczne dla infrastruktury, może nie być tak agresywnie ulepszane, jak urządzenie mniej krytyczne. Zwrócono uwagę na rolę urządzenia, otaczającą go nadmiarowość oraz wpływ samego uaktualnienia na spowodowane przestojem lub na możliwość zmiany zachowania funkcji konfiguracji lub różnych ustawień domyślnych podczas przechodzenia między głównymi wersjami. Jest to pytanie o konieczność, które dotyczy również miękkich kosztów, takich jak czas i zasoby, aby dokonać aktualizacji mierzonych w stosunku do wagi przypisanej każdemu z czynników, takich jak podatność na zagrożenia.

Subskrybuj wiele witryn z ogłoszeniami o lukach, takich jak Cisco PSIRT (zespół reagowania na incydenty związane z bezpieczeństwem produktu) i US Cert (zespół gotowości na wypadek awarii komputera).

Obniżenie może być konieczne, jeśli:

  • Organizacja ma zasady, aby uruchamiać tylko wersje przetestowane / poddane kontroli jakości, a nowy sprzęt został dostarczony z nowszą wersją.
  • Org ma politykę przeciwko prowadzeniu czegokolwiek innego niż GD.

  • Skorzystaj z Cisco Output Output Interpreter z „show version”, aby wyszukać oczywiste problemy / słabości / błędy.
  • Poszukaj wersji GD (General Deployment) i unikaj DF (odroczony).
  • Używaj ED (Early Deployment) tylko wtedy, gdy zawiera niezbędne funkcje niedostępne gdzie indziej.
  • Jeśli to możliwe, unikaj LD (Limited Deployment) i zamiast tego użyj GD.

Istnieją oczywiście argumenty przemawiające za przejściem na wersję ED lub LD, ale pragnienie to oczywiście uzyskanie najbardziej stabilnej wersji, która spełnia wymagania. Użyj Nawigatora funkcji Cisco, aby zidentyfikować potencjalnie różne zestawy funkcji (zakładając, że masz licencję na ich używanie).

generalnetworkerror
źródło
3
Rozwijając „Osiąganie nowych funkcji”, chciałbym podkreślić fakt, że nowe karty / moduły mają „najpierw obsługiwane” w wersji IOS, które mogą być wyższe niż to, co masz uruchomione.
Mike Marotta
2
Dodam, że zależy to od tego, jak ważny jest sprzęt i czy jest zbędny, czy nie. Na przykład, jeśli jest to twój główny przełącznik i z jakiegoś powodu masz go tylko jeden, to NIE możesz chcieć uaktualnić, chyba że MUSISZ - a może nie do najnowszej wersji, ale do wersji STABILNEJ.
Pseudocyber
2
Powiedziałbym: 1. Luki w zabezpieczeniach 2. Luki w zabezpieczeniach 3. Luki w zabezpieczeniach 4. Błędy
Paul Gear
Doskonałe punkty dla wszystkich. Składany z powrotem w odpowiedzi.
generalnetworkerror
8

Tęskniłeś za koniecznością

Przełącznik w starej, zakurzonej szafie na miotły prawdopodobnie nie potrzebuje uaktualnienia IOS do najnowszego IOS w celu poprawek bezpieczeństwa i nowych funkcji, jeśli ma tylko 10-letnią drukarkę atramentową.

Należy również komentować, kiedy nie należy aktualizować , ponieważ może to być strata czasu, zasobów ludzkich i powodować przestoje podczas przeskakiwania między głównymi wersjami, które mogą powodować, że funkcje nie będą działać lub składnia konfiguracji uległa zmianie i tak dalej.

jwbensley
źródło
Punkty uwzględnione w odpowiedzi.
generalnetworkerror
Istnieją urządzenia sieciowe do łączenia rzeczy, ignorując bezpieczeństwo tylko dlatego, że urządzenie jest „izolowane”, co spaliło wiele firm. Przy dobrze zarządzanych zmianach aktualizacja polityki jest niewielkim kosztem, a sama spójność może z łatwością ją spłacić.
LapTop006
1
@ LapTop006 To był przykład mankietu, ale miałem na myśli to, że nie zawsze powinieneś aktualizować „ponieważ możesz”, jeśli naprawdę nie masz dobrego powodu.
jwbensley
1

Wszystkie bardzo dobre komentarze. Widziałem także standaryzację sieci i wyniki testów IOS, które mogą pomóc w aktualizacji systemu iOS.

Zgadzam się, że luki znajdują się wysoko na liście, ale zależy to również od rodzaju sieci i rodzaju ruchu.

Na przykład instytucja finansowa byłaby bardziej zainteresowana bezpieczeństwem i słabymi punktami niż inny typ sieci, który mógłby być bardziej zaniepokojony błędami, gdy zostaną one trafione jedną z nich, powodując zmianę.

Poza tym najlepiej też wyłączyć usługi niepotrzebne w sieci lub na urządzeniach.

użytkownik1609
źródło