Quais fatores determinam uma atualização do Cisco IOS?

19

Em ordem de preferência / prioridade, que fatores você considera ao conduzir uma atualização (ou downgrade) com o Cisco IOS? Se não houver fatores convincentes, por quanto tempo você permitiria que uma versão específica do IOS permanecesse em execução? Eu já vi alguns switches com tempo de atividade> 5 anos.

E ao atualizar, como a versão específica do IOS é identificada como o destino da atualização?

cisco  cisco-ios  best-practices 
generalnetworkerror
fonte

Respostas:

27

Em ordem de preferência / prioridade, nossa empresa tende a atualizar com base nesses fatores:

  • Vulnerabilidades, vulnerabilidades, vulnerabilidades!
  • Insetos
  • Atingindo novos recursos não disponíveis no momento - novos cartões / módulos têm uma versão do IOS "primeiro suportada" que pode ser maior do que a que você está executando
  • Migrando para longe de trens de liberação aposentados
  • Versões correspondentes em hardware implantado e similar mais recentemente

Um dispositivo que é muito crítico para a infraestrutura pode não ser tão agressivamente atualizado quanto um que é menos crítico. Considera-se a função do dispositivo, a redundância em torno dele e o impacto da atualização propriamente dita pelo tempo de inatividade ou pela possibilidade de alterações no comportamento do recurso de configuração ou padrões diferentes ao passar entre as versões principais. Essa é a pergunta de necessidade que também aborda custos baixos, como tempo e recursos para realizar as atualizações medidas com base no peso atribuído a cada um dos fatores, como vulnerabilidades.

Certifique-se de assinar vários sites de anúncios de vulnerabilidades, como Cisco PSIRT (Equipe de resposta a incidentes de segurança do produto) e o US Cert (Equipe de prontidão para emergências de computadores).

Um downgrade pode estar em ordem se:

  • A organização possui uma política para executar apenas versões testadas / de controle de qualidade e os novos equipamentos vieram com uma versão mais recente.
  • A organização tem uma política contra a execução de qualquer coisa que não seja a GD.
  • Use o interpretador de saída da Cisco "show version" para procurar problemas / vulnerabilidades / bugs óbvios.
  • Procure por versões do GD (General Deployment) e evite o DF (adiado).
  • Use ED (Early Deployment) somente quando ele tiver recursos obrigatórios não disponíveis em outros lugares.
  • Evite LD (implantação limitada) quando possível e use o GD.

Certamente existem argumentos para ir para uma versão ED ou LD, mas o desejo, é claro, é chegar à versão mais estável que atenda aos requisitos. Use o Feature Navigator da Cisco para ajudar a identificar conjuntos de recursos potencialmente diferentes (supondo que você esteja licenciado para usá-los).

generalnetworkerror
fonte
3
Expandindo "Atingindo novos recursos", eu destacaria o fato de que novas placas / módulos têm uma versão IOS "suportada pela primeira vez", que pode ser maior do que o que você está executando.
Mike Marotta
2
Eu acrescentaria que depende de quão crítico é o equipamento e se é redundante ou não. Por exemplo, se é o seu switch principal e, por algum motivo, você tem apenas um, NÃO deve atualizar, a menos que tenha - e talvez não a versão mais recente, mas a versão mais estável.
Pseudocyber
2
Eu teria dito: 1. Vulnerabilidades 2. Vulnerabilidades 3. Vulnerabilidades 4. Erros
Paul engrenagem
Excelentes pontos por todos. Dobrado de volta em resposta.
generalnetworkerror
8

Você perdeu, necessidade

Um interruptor em um armário de vassoura velho e empoeirado provavelmente não precisa que o IOS seja atualizado para o IOS mais recente para correções de segurança e novos recursos, se ele tiver apenas uma impressora a jato de tinta de 10 anos conectada.

Você também deve comentar quando não atualizar , pois pode ser uma perda de tempo, recursos humanos e causar tempo de inatividade ao saltar entre versões principais que podem fazer com que os recursos não funcionem mais ou a sintaxe da configuração tenha mudado, e assim por diante.

jwbensley
fonte
Pontos incorporados na resposta.
generalnetworkerror
Existem dispositivos de rede para conectar coisas, ignorando a segurança apenas porque um dispositivo é "isolado" queimou muitas empresas. Com uma política de mudança bem gerenciada, a atualização custa um pequeno custo, e a consistência adquirida sozinha pode facilmente compensar o custo.
LapTop006
1
@ LapTop006 Esse foi um exemplo fora do manguito, porém, meu argumento foi que você nem sempre deve atualizar "porque pode", ou se você realmente não tem um bom motivo para isso.
precisa saber é o seguinte
1

Todos muito bons comentários. Também vi resultados de testes de padronização de rede e IOS que podem ajudar a impulsionar a atualização do ios.

Concordo que as vulnerabilidades estão no alto da lista, mas também depende do tipo de rede e tipo de tráfego.

Por exemplo, uma instituição financeira estaria mais preocupada com segurança e vulnerabilidades do que outro tipo de rede que poderia estar mais preocupada com bugs, uma vez atingida por uma, assim, levando a mudanças.

Além disso, também é melhor desativar serviços não necessários na rede ou nos dispositivos.

user1609
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.