Quali fattori determinano un aggiornamento Cisco IOS?

19

In ordine di preferenza / priorità, quali fattori consideri nel condurre un upgrade (o downgrade) con Cisco IOS? Se non esistono fattori convincenti, per quanto tempo consentirebbe a una determinata versione di IOS di rimanere in esecuzione? Ho visto alcuni switch con tempi di attività> 5 anni.

E durante l'aggiornamento, come viene identificata la versione specifica di IOS come destinazione dell'aggiornamento?

cisco  cisco-ios  best-practices 
generalnetworkerror
fonte

Risposte:

27

In ordine di preferenza / priorità, la nostra azienda tende ad aggiornare in base a questi fattori:

  • Vulnerabilità, vulnerabilità, vulnerabilità!
  • bugs
  • Ottenimento di nuove funzionalità non attualmente disponibili: le nuove schede / moduli hanno una versione IOS "supportata per la prima volta" che potrebbe essere superiore a quella in esecuzione
  • Migrazione da treni di rilascio in pensione
  • Versioni corrispondenti su hardware distribuito di recente e simili

Un dispositivo molto critico per l'infrastruttura potrebbe non essere aggiornato in modo aggressivo come uno meno critico. Viene preso in considerazione il ruolo del dispositivo, la ridondanza che lo circonda e l'impatto dell'aggiornamento stesso a causa dei tempi di inattività sostenuti o dalla possibilità di avere modifiche al comportamento delle funzionalità di configurazione o impostazioni predefinite diverse quando si passa tra le versioni principali. Questa è la domanda di necessità che tocca anche costi soft come il tempo e le risorse per realizzare gli aggiornamenti misurati rispetto al peso dato a ciascuno dei fattori come le vulnerabilità.

Assicurati di abbonarti a più siti di annunci di vulnerabilità come Cisco PSIRT (Product Security Incident Response Team) e US Cert (Computer Emergency Readiness Team).

Un downgrade potrebbe essere in ordine se:

  • L'organizzazione ha una politica per eseguire solo versioni testate / QA e le nuove apparecchiature sono state rilasciate con una versione più recente.
  • Org ha una politica contro l'esecuzione di qualsiasi cosa diversa da GD.
  • Utilizzare l'output di Cisco "interprete versione" per cercare ovvi problemi / vulnerabilità / bug.
  • Cerca le versioni GD (distribuzione generale) ed evita DF (differito).
  • Utilizzare ED (distribuzione anticipata) solo quando contiene funzionalità indispensabili non disponibili altrove.
  • Evita LD (distribuzione limitata) quando possibile e usa invece GD.

Vi sono certamente argomenti per passare a una versione ED o LD, ma il desiderio, ovviamente, è quello di arrivare alla versione più stabile che soddisfi i requisiti. Utilizzare il Navigatore funzioni di Cisco per identificare set di funzionalità potenzialmente diversi (supponendo che si disponga della licenza per utilizzarli).

generalnetworkerror
fonte
3
Espandendo "Raggiungere nuove funzionalità" vorrei mettere in evidenza il fatto che le nuove schede / moduli hanno una versione IOS "prima supportata" che potrebbe essere superiore a quella che hai in esecuzione.
Mike Marotta,
2
Vorrei aggiungere dipende da quanto è critica l'apparecchiatura e se è ridondante o meno. Ad esempio, se si tratta del tuo interruttore principale e, per qualche motivo, ne hai solo uno, allora potresti NON voler aggiornare, a meno che NON DEVI farlo - e quindi forse non alla versione più recente, ma invece alla versione più STABILE.
Pseudocyber,
2
Avrei detto: 1. Vulnerabilità 2. Vulnerabilità 3. Vulnerabilità 4. Bug
Paul Gear
Punti eccellenti da parte di tutti. Ripiegato nella risposta.
generalnetworkerror
8

Ti sei perso, necessità

Uno switch in un vecchio armadio polveroso per scopa probabilmente non ha bisogno del suo IOS aggiornato all'ultimo IOS per correzioni di sicurezza e nuove funzionalità, se ha solo una stampante a getto d'inchiostro di 10 anni collegata.

Dovresti commentare quando non aggiornare anche, poiché può essere una perdita di tempo, risorse umane e causare tempi di inattività quando salti tra le versioni principali che potrebbero causare il mancato funzionamento delle funzionalità o la sintassi della configurazione, e così via.

jwbensley
fonte
Punti incorporati nella risposta.
generalnetworkerror
Esistono dispositivi di rete per collegare le cose, ignorando la sicurezza solo perché un dispositivo è "isolato" ha bruciato molte aziende. Con una politica di cambiamento ben gestita, l'aggiornamento è un piccolo costo e la coerenza acquisita da sola può facilmente rimborsare il costo.
LapTop006
1
@ LapTop006 Era un esempio fuori dal comune, il mio punto era che non dovresti sempre aggiornare "perché puoi", se non hai davvero buone ragioni per farlo.
jwbensley,
1

Tutti ottimi commenti. Ho anche visto la standardizzazione della rete e i risultati dei test IOS che possono aiutare a guidare l'aggiornamento iOS.

Concordo sul fatto che le vulnerabilità sono alte nell'elenco, ma dipendono anche dal tipo di rete e dal tipo di traffico.

Ad esempio, un istituto finanziario sarebbe più interessato alla sicurezza e alle vulnerabilità rispetto a un altro tipo di rete che potrebbe preoccuparsi di più dei bug una volta che vengono colpiti da uno, determinando così il cambiamento.

Oltre a questo, è anche meglio disabilitare i servizi non necessari nella rete o sui dispositivi.

user1609
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.