Какие факторы определяют обновление Cisco IOS?

19

В порядке предпочтения / приоритета, какие факторы вы учитываете при обновлении (или понижении) с помощью Cisco IOS? Если не существует убедительных факторов, как долго вы позволите конкретной версии IOS продолжать работать? Я видел некоторые выключатели с временем работы> 5 лет.

И при обновлении, как определенный выпуск IOS определяется как цель обновления?

generalnetworkerror
источник

Ответы:

27

В порядке предпочтения / приоритета наша компания стремится к обновлению на основе следующих факторов:

  • Уязвимости, уязвимости, уязвимости!
  • ошибки
  • Достижение новых функций, которые в настоящее время недоступны - новые карты / модули имеют версию IOS «впервые поддерживается», которая может быть выше, чем у вас
  • Миграция от отставных поездов выпуска
  • Соответствующие версии на недавно установленном и аналогичном оборудовании

Устройство, которое очень критично для инфраструктуры, может быть не так агрессивно модернизировано, как менее критичное. При этом учитывается роль устройства, избыточность, окружающая его, и влияние самого обновления на время простоя или возможность изменения поведения функции конфигурации или других значений по умолчанию при переходе между основными версиями. Это вопрос необходимости, который также касается мягких затрат, таких как время и ресурсы для выполнения обновлений, измеряемых в зависимости от веса, данного каждому из факторов, таких как уязвимости.

Обязательно подпишитесь на несколько сайтов объявлений об уязвимостях, таких как Cisco PSIRT (группа реагирования на инциденты безопасности продукта) и US Cert (группа готовности к чрезвычайным ситуациям с компьютером).

Понижение может быть в порядке, если:

  • В организации действует политика запуска только проверенных / проверенных версий, а новое оборудование поставляется с более поздним выпуском.
  • У Org есть политика против запуска чего-либо, кроме GD.

  • Используйте выходной интерпретатор Cisco «show version» для поиска очевидных проблем / уязвимостей / ошибок.
  • Ищите выпуски GD (General Deployment) и избегайте DF (Deferred).
  • Используйте ED (раннее развертывание) только в том случае, если он содержит обязательные функции, недоступные в других местах.
  • По возможности избегайте LD (Limited Deployment) и используйте вместо этого GD.

Есть, конечно, аргументы для перехода на версию ED или LD, но, конечно же, нужно найти наиболее стабильную версию, которая отвечает требованиям. Используйте Cisco Feature Navigator, чтобы помочь идентифицировать потенциально разные наборы функций (при условии, что у вас есть лицензия на их использование).

generalnetworkerror
источник
3
В продолжение «Получение новых функций» я бы выделил тот факт, что новые карты / модули имеют «первую поддерживаемую» версию IOS, которая может быть выше, чем у вас.
Майк Маротта
2
Я бы добавил, что это зависит от того, насколько критично оборудование и является ли оно избыточным или нет. Например, если это ваш основной коммутатор, и по какой-то причине у вас есть только один, то вы, возможно, НЕ захотите обновить, если вы НЕ ДОЛЖНЫ - и тогда, возможно, не до самой последней версии, а вместо этого до самой СТАБИЛЬНОЙ версии.
Псевдокибер
2
Я бы сказал: 1. Уязвимости 2. Уязвимости 3. Уязвимости 4. Ошибки
Пол Гир
Отличные очки всем. Сложил обратно в ответ.
generalnetworkerror
8

Вы пропустили, необходимость

Коммутатор в пыльном старом шкафу с метлой, вероятно, не нуждается в обновлении IOS до последней версии IOS для исправлений безопасности и новых функций, если к нему подключен только 10-летний струйный принтер.

Вы также должны прокомментировать, когда не следует обновляться , так как это может быть пустой тратой времени, человеческих ресурсов и причиной простоя при переходе между основными версиями, что может привести к тому, что функции перестают работать, или изменился синтаксис конфигурации, и так далее.

jwbensley
источник
Очки включены в ответ.
generalnetworkerror
Существуют сетевые устройства для соединения вещей, игнорируя безопасность только потому, что устройство «изолировано» сожгло многие компании. При хорошо управляемой политике изменения, это небольшая стоимость, и одна только достигнутая последовательность может легко окупить стоимость.
LapTop006
1
@ LapTop006 Это был случайный пример, но я хотел сказать, что вы не всегда должны обновляться «потому что можете», если у вас действительно нет на это веских причин.
Jwbensley
1

Все очень хорошие комментарии. Я также видел результаты стандартизации сети и IOS, которые могут помочь в обновлении ios.

Я согласен с тем, что уязвимости в списке высоки, но это также зависит от типа сети и типа трафика.

Например, финансовое учреждение будет больше заботиться о безопасности и уязвимостях, чем другой тип сети, которая может быть более обеспокоена ошибками, когда они сталкиваются с одной, что приводит к изменениям.

Помимо этого, также лучше отключить службы, которые не нужны в сети или на устройствах.

user1609
источник